در ابتدا بهتر است بگوییم امنیت سایت چیست به شرایط و وضعیتی گفته میشود که در آن سایت با وجود خدماتدهی معمول و مورد نیاز ، بالاترین سطح امنیتی مورد نیاز را داشته و سطح آسیب پذیری آن در پایینترین سطح ممکن باشد. امنیت سایت به موارد بسیاری وابسته است که باید رعایت شوند.
اهمیت امنیت سایت
امنیت سایت از اهمیت فوق العادهای برخوردار است و میتوان گفت موثرترین عامل ادامه فعالیت ، ثبات و اعتبار یک سایت با توجه به موارد دیگر ، موضوع مهم امنیت است. اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق بوده و سایت آسیبی نخواهد دید اما اگر موارد امنیتی رعایت و تامین نشده باشد ضریب آسیبپذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وجود دارد. نوع ، تعداد و روشهای هک و نفوذ بسیار گسترده هستند و مقابله در برابر تمامی آنها اقدامات بسیار جدی و دائمی را طلب میکند. علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت و رسیدگی نیز در امنیت بسیار حائز اهمیت است.
میزبانی سایت بر روی هاست امن
هاستِ سایت خود را از شرکتهای معتبر و قابل اعتماد تهیه کنید. وجود بستر امن که سایت بر روی آن میزبانی میشود از اهمیت بسیار ویژه ای برخوردار است. استفاده از سیستمهای امنیتی شامل آنتیویروس ، آنتی اسپم ، آنتی شل ، فایروال سخت افزاری و نرم افزاری و کانفیگ حرفه ای و اصولی سرور نقش اساسی در برخورد با حملات را ایفا می کند. در کل امنیت سایت وابسته به تمامی عوامل مطرح شده است که امنیت هاست نیز یکی از موارد بسیار مهم است. در هنگام خرید هاست به موارد ذکر شده توجه نمایید.
استفاده از اینترنت امن و مطمئن
غالبا ارتباط بین سایتها و کاربران دو طرفه بوده و این ارتباط از طریق اینترنت انجام میشود. برای ثبتنام ، ورود و بسیاری از موارد دیگر میبایست درخواستی از سمت کاربر به سایت ارسال شود تا سایت پاسخ مناسب برای آن درخواست را انجام دهد. برای مثال در هنگام ورود به یک سایت اگر در مسیر درخواست ( از کامپیوتر ما تا سایت و بالعکس ) شنودی انجام شود اطلاعات کاربری ما به راحتی به سرقت میرود حال اگر این مورد در سطح بالاتری و برای مدیر سایت اتفاق بیافتد یک فاجعه رخ داده است که برای جلوگیری از اینکار میبایست از ارتباطی امن و حدالامکان محدود شده استفاده کنیم. استفاده از اینترنت عمومی که کنترل و محدودیت امنیتی خاصی بر روی آن انجام نشده است میتواند بسیار خطرناک باشد. توجه داشته باشید که حتی در صورت استفاده از اینترنت شخصی نیز میبایست اقدامات امنیتی مناسب برای تامین اینترنت امن را انجام داد. با توجه به اینکه عمدتا اینترنت در کشور ما از طریق adsl و هدایت آنها از طریق مودم و روتر انجام شده و اتصال اکثر دستگاهها به اینترنت از طریق Wi-Fi انجام میپذیرد میبایست تمهیدات خاصی جهت جلوگیری از هک وای فای انجام داد. مواردی مانند محدود کردن مودم به Mac Address دستگاهها ، غیر فعال کردن wps ، فعال کردن فایروال مودم و …
استفاده از سیستم عامل و نرم افزارهای معتبر و اصلی
این موضوع برای عموم کاملا قابل درک است که با استفاده از سیستم عامل و نرمافزارهای معتبر و اصلی امنیت بسیار بالاتری نسبت به حالت معکوس آن خواهیم داشت. این نکته را در نظر داشته باشید که ممکن است در منابع غیر اصلی تغییراتی در هسته یا بخشی از سیستم عامل و نرمافزار مورد استفاده انجام شده باشد و بسیار محتمل است که این تغییرات به سمت سوء استفاده ، تخریب و جاسوسی و … باشد و نکته قابل بحث در اینجاست که متاسفانه در این حالت تشخیص و جلوگیری از این مشکل بسیار سخت خواهد بود و پیشنهاد ما به شما این است که حتما از سیستم عامل و نرمافزارهای معتبر و اصلی استفاده کرده و به هیچ عنوان از نسخههای کرک شده و مشابه استفاده نکنید. علاوه بر موارد گفته شده اگر از بعد انسانی و اخلاقی نیز به موضوع نگاه کنیم بهتر است به حقوق تولید کننده احترام گذاشته و از محصولات اصلی آنها استفاده کنیم.
استفاده از آنتیویروس و فایروال قدرتمند ، بهروز ، معتبر و اصل
این بخش نیز از اصول بخش قبل پیروی میکند اما تفاوتهای شاخصی نیز دارد. استفاده از آنتیویروس و فایروال قدرتمند ، بهروز ، معتبر و اصل از اساسیترین مواردی است که یک وبمستر باید از آن استفاده کند. حتی با در نظر گرفتن حصول تمامی شرایط دیگر و عدم قید به این موضوع میتواند مشکلات امنیتی بسیاری بوجود آید. محصولات امنیتی خوبی برای اینکار عرضه شدهاند که از آنها میتوان به محصولات عرضه شده توسط شرکتهای eset و kaspersky اشاره کرد. اگر قادر به تهیه لایسنس نیستید این محصولات امنیتی دارای بازه محدود Trial نیز هستند که میتوانید از آنها استفاده کنید.
استفاده از رمز عبور قدرتمند و محافظت از آن
یکی از مواردی که همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد کمی به آن اهمیت میدهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند باید بیش از 8 کاراکتر داشته ، تلفیقی از حروف بزرگ و کوچک – اعداد و کاراکترهای خاص مانند @ , % , ! و موارد مشابه باشد. مورد دیگر محافظت و تغییر آن است. بحث دیگر تغییر دورهای رمز عبور است که میبایست در بازههای زمانی مشخصی مانند ماهی یکبار تغییر داده شود تا در برابر حملات brute force محافظت شود.
تعیین سطح دسترسی مناسب اطلاعات
تعیین سطح دسترسی مناسب مخصوصا برای فایلهایی که محتوی اطلاعات کلیدی مانند اطلاعات دیتابیس هستند بسیار ضروری است. در این مورد باید سطحی از دسترسی را به فایل داد که تنها وبسرور و owner فایل بتوانند اطلاعات داخل فایل کانفیگ را بخوانند و غیر از آنها به هیچ نحو دیگری قابل خواندن و نوشتن نباشد. برای فایلها و دایرکتوریهای دیگر نیز باید سطح دسترسی معقول و استاندارد تعیین کرده و از اعطای دسترسی سطح بالا خودداری کنیم.
تعیین محدودیتهای دسترسی و مشاهده
با تعیین محدودیتهای دسترسی امنیت سایت تا حد بالایی بهبود مییابد. در سایتها این امکان وجود دارد که با اعمال محدودیتهایی مانند تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص غیر جلوگیری کرد. در این حالت به وبسرور دستور داده میشود که اگر آی پی کاربر غیر از مقدار یا مقادیر تعریف شده باشد آنها را با پیغام forbidden یا access denied روبرو کند. در وبسرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی میتوان از آن استفاده کرد. پیشنهاد میکنیم حتما از امکان محدودیت آیپی مخصوصا در مسیر مدیرتی سایت خود استفاده کنید.
محافظت سایت در برابر اسپمرها
روباتهای اسپمر با جستجو در سایتها و پیدا کردن نقاط ضعف در آنها مخصوصا فرمهای محافظت نشده که تکمیل آنها بهصورت ماشینی امکانپذیر است اقدام به حملات انبوه اسپم میکنند که اگر محافظتی در اینکار انجام نشدهباشد بسیار محتمل است که با ایجاد اختلال در سرور میزبان سایت ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شوید. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA میتوانید از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم reCAPTCHA گوگل را به شما پیشنهاد میکنیم. بسیاری از سایتهای بزرگ و معتبر دنیا از این سیستم استفاده میکنند و شما نیز میتوانید با اطمینان خاطر از این ابزار امنیتی استفاده کنید.
پیگیری مشکلات امنیتی گزارش شده و بروزرسانی امنیتی مداوم
مدیر امنیت سایت باید همیشه آخرین اخبار و رویدادهای امنیت مخصوصا مواردی که در ارتباط مستقیم با امنیت سایت است را رصد و پیگیری کند. بسیاری از مواقع سایتهای بزرگ و حتی متوسط و کوچک قربانی این مشکلات میشوند. غالبا هر شرکت یا مرجعی که اقدام به انتشار محصولی میکند در مواقعی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر میشود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل محافظت کند را ارائه نماید. در چنین مواقعی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت میشود. توجه داشته باشید که حتی سایتهایی که در بالاترین سطح امنیتی محافظت شدهاند نیز در برابر باگهای امنیتی آسیبپذیر هستند و میبایست بلافاصله نسب به رفع باگ در سایت اقدام شود.
راهاندازی گواهی امنیتی SSL بر روی سایت
یکی از بهترین راهکارها برای حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتی SSL بر روی سایت است که علاوه بر موارد امنیتی ، تاثیرات بسیار خوبی در نتایج سئو و جلب اعتماد کاربران دارد. گواهی ssl بر روی سایت اطلاعات ورودی و خروجی را با الگوریتم بسیار پیچیدهای رمزنگاری کرده و از شنود و دزدیده شدن آنها جلوگیری میکند. اینکار سبب میشود که در بسیاری از حالات حتی در صورت استفاده کاربر یا مدیر سایت از اینترنت ناامن مشکلی ایجاد نشود. در واقع در این حالت اگر اطلاعات مورد شنود نیز قرار گیرد قابل بهرهبرداری نخواهد بود و شنود کننده با یکسری اطلاعات رمزنگاری شده روبهرو خواهد شد.