روش های افزایش امنیت سایت

دسته بندی: آموزش, امنیت
روش های افزایش امنیت سایت

آیا تا حالا به این فک کردید که وب سایتتان به اندازه کافی ایمن هست یا نه؟
ریسک هک شدن در یک سایت هرگز به صفر نمی رسد اما به عنوان یک وب مستر، شما نقش مهمی در به حداقل رساندن خطر هک شدن سایت خود دارید. اگر می خواهید سایتتون وضعیت خوبی داشته باشه باید هم درک درستی از اهمیت امنیت سایت داشته باشید و هم طرز استفاده از از ابزار امنیتی رو بلد باشید.
اصلاح وضعیت بد امنیتی یک سایت به معنای شناختن مشکلاتیست که قبلا به آنها توجه نکردیم.

بیاید بحثمون رو با نگاه انداختن به برخی آمار شروع کنیم:
– در سال ۲۰۱۸ تعداد کل وب سایت ها مرز ۱.۸ میلیارد رو رد کرد.
– روزانه گوگل ۱۰هزار وب سایت را بلاک می کند.
– تقریبا یک میلیون بدافزار جدید هر روز تولید می شود.

مهاجمان یا هکرها، با استفاده از تکنیک های زیر، به دنبال سرقت ترکیبات نام کاربری و کلمه عبور هستند:

Brute Force

Brute Force یک اصطلاحه که ما ازون برای نوعی از حملات استفاده می کنیم که در اون هکر سعی در به دست آوردن نام کاربری و کلمه عبور یک سایت دارد. این نوع حملات در CMS های آماده و مشهور مثل وردپرس، جوملا، دروپال و مگنتو بسیار زیاد اتفاق می افتد. این نوع حمله فقط مخصوص سایت نیست بلکه در مورد سرویس های مشهور و پرکاربرد مثل FTP و SSH هم استفاده می شود.
راه های زیادی برای انجام این نوع حمله وجود دارد. حمله مبتنی بر دیکشنری یا dictionary-based پرکاربردترین روش است. روش کار در این تکنیک بسیار ساده است. یک لیست از پرکاربردترین پسورد هایی که معمولا افراد از آن استفاده می کنند وجود دارد. این پسورد ها تک تک برای ورود به سایت شما امتحان می شوند. اگر یک جستجوی کوچیک در اینترنت انجام بدید میلیون ها لیست ازین پسوردها پیدا خواهید کرد.
حمله بروت فورس تا وقتی به نام کاربری و کلمه عبور صحیح دست پیدا نکند متوقف نمی شود.
معمولا، برای یک هکر، نوشتن برنامه ای که هزاران ترکیب نام کاربری و پسورد را تست کند، چند دقیقه بیشتر زمان نمی برد. بیشتر حملات مبتنی بر دیکشنری کلمات کلیدی خود نام دومین را هم اضافه می کنند تا شانس موفقیت خود را بالا ببرد.

حتما بخوانید:  whois چیست؟ بررسی مالکیت دامنه با هوایز

فیشینگ

تکنیک فیشینگ به این صورت کار می کند که یک وب سایت یا ایمیل جعلی که بسیار به نام اصلی دومین یا ایمیل شبیه است ایجاد می شود تا کاربر را دچار اشتباه کند و باعث شود کاربر نام کاربری و رمز خود را در سایت جعلی وارد کند.
درست مثل یک ماهیگیر، که قرقره چوب ماهیگیری خود را می چرخاند و سر آن را در آب میاندازد و ماهی ها را فریب می دهد، یک هکر هم در این روش، با استفاده از سایت های جعلی شانس خود را برای فریب کاربران امتحان می کند. فیشینگ معمولا با صفحات لاگین جعلی پیاده سازی می شود . این صفحات جعلی در مقابل بازدیدکنندگان سایت به نمایش گذاشته می شود به این امید که برخی کاربران، طعمه را گاز بگیرد( مثل ماهی) و اطلاعات محرمانه خود را در فرم لاگین وارد کنید.
شاید به نظرتان عجیب بیاید که چطور ممکن است افراد فریب این صفحات جعلی را بخورند! اما باید بدانید هکر هایی که ازین روش استفاده می کنند معمولا دانش کافی در مورد توسعه وب و اسکریپت نویسی دارند و قادرند صفحات را تا حد زیادی شبیه به صفحه اصلی طراحی کنند بطوریکه تشخیص آن از سایت اصلی به دقت نیاز دارد. در نتیجه کاربران فریب خورده و اطلاعات کاربری خود را وارد می کنند.

 

Cross-Site Scripting ) XSS)

XSS یک نوع آسیب پذیری مشهور است که برنامه های تحت وب زیادی را تحت تاثیر خود قرار داده است. خطرات زیادی پشت XSS وجود دارد. در این روش هکر اجازه دارد محتوای دلخواه خود را برای تغییر نحوه نمایش یک سایت به آن تزریق کنید. بنابراین مرورگر شخصی که هدف حمله قرار گرفته مجبور می شود کدی را در لود صفحه اجرا می کند که توسط هکر نوشته شده است.
معمولا آسیب پذیری XSS وابسته به این است که کاربر نوعی فعل و انفعال را انجام دهد. این کاری که کاربر باید انجام دهد به دو شکل صورت می گیرد، هم می توان برای انجام این فعل و انفعال از مهندسی اجتماعی استفاده کرد ( یعنی هکر خودش اقدام کرده و کاربر را فریب می هد تا اطلاعات محرمانه خود را وارد کند) و هم می توان منتظر ماند تا کاربر با پای خودش از طریق یک URL خاص از قبل طراحی شده که موجب آسیب پذیری می شود، وارد سایت شده و از آن بازدید کند. مثلا، یک صفحه آسیب پذیر می تواند طوری دستکاری شود که کاربران را برای وارد کردن اطلاعات حساب کاربری خود در iFrame تزریق شده توسط هکر، جذب کند.
باوجود اینکه، در ابتدا XSS به عنوان یک آسیب پذیری برای برنامه ها شناخته شده بود، هم اکنون یک مشکل کنترل دسترسی هم حساب می شود. چون تقریبا به هکر روی مرورگرهای وب کنترل کامل می دهد.

حتما بخوانید:  آموزش نصب وردپرس روی لوکال هاست (Xampp)

Man in the Middle ) MITM)

همانطور که از اسم این نوع حمله پیداست، شخصی به طور محرمانه ارتباط بین دو طرف را که باید بدون رابط شخص ثالث صورت گیرد، مشاهده و تغییر می دهد.
حملات MITM، اطلاعات حساب کاربری فرد را از طریق شبکه های نا ایمن به دست می آورد. این نوع حملات یکی از دلایلی هستند که اهمیت برخورداری از پروتکل های رمزنگاری مثل SSL را بالا می برند.

چگونه انعطاف پذیری سایت را در برابر حملات DDOS بالا ببریم

در ادامه روی بهترین روش های کش کردن که خطر از کار افتادن سایت شما را بر اثر یک حمله DDOS کم می کند، صحبت کنیم.

کش کردن وب سایت، یک تکنیک ذخیره کردن محتواست،  اگر از CDN استفاده شده باشد کش، محتوا را در سروری که به بازدیدکننده نزدیک تر است ذخیره می کند. در واقع کش یک تصویر دقیق و خاص از محتواست.

Caching

وقتی یک وب سایت مورد بازدید قرار می گیرد، معمولا سرور باید کد سایت را کامپایل کرده، نتیجه نهایی را به بازدیدکننده نمایش دهد، و تمام امکانات و محتوای سایت را برای بازدیدکننده فراهم آورد. این همه کار، منابع سرور شما را استفاده کرده و سرعت کلی لود سایت را پایین می آورد. برای اجتناب از این سربار، در هر زمان ممکن، نوع خاصی از caching را استفاده کنید.
خوب است بدانید کش نه تنها معیارهای لود شدن سایت مثل Time to first byte) TTFB) (زمان لود شدن اولین بایت) را کاهش می دهد، بلکه منابع سرور را نیز ذخیره می کند.

حتما بخوانید:  آموزش صفحه ساز Visual Composer وردپرس

انواع کش

انواع و استراتژی های گوناگونی برای کش وجود دارد که ما در این مبحث همه آنها را ذکر نخواهیم کرد. به سه مورد از آنها که در عمل بیشتر استفاده می شوند می پردازیم:

۱- کش فایل های استاتیک

اولین نوع کش، ساده ترین نوع آن است که به آن کش فایل های استاتیک می گویند.
تصاویر، ویدئوها، CSS، جاوا اسکریپت و فونت ها همیشه باید از شبکه توزیع محتوا یا CDN بارگزاری شوند. این ارائه دهندگان شبکه، دارای هزاران سرور هستند که در دیتاسنترهای جهانی گسترده اند. یعنی CDN خیلی سریعتر از سرور خودتان، اطلاعات را به کاربران می رساند.
نکته اینجاست که وقتی از CDN استفاده می کنید احتمال اینکه سرور شما با حملات پهنای باند مواجه شود بسیار کم است.
مسلما سایت شما با سرعت بسیار بیشتری لود می شود، چرا که سهم قابل توجهی از محتوای آن را فایل های ایستا تشکیل داده اند که توسط CDN سرویس دهی می شوند.

۲- کش صفحات

این نوع از کش یقینا قدرتمند ترین آن است. در این روش، هر زمان که ممکن باشد محتوای پویای سایت شما به صفحات HTML تبدیل می شود، و باعث می شود سایت بسیار سریعتر شده و مصرف منابع سرور کاهش پیدا کند.
باید بدانید که همه صفحات قابل کش شن نیستند . این واقعیت ما را به شناخت نوع بعدی کش جلب می کند.

۳- کش در حافظه

با استفاده از نرم افزار هایی مثل Redis یا Memcached ، وب سایت شما می تواند بخشی از دیتابیس خودش را مستقیما از حافظه سرور بازیابی کند.
استفاده از این نوع کش (کش در حافظه)، زمان پاسخ دهی اسکریپت های SQL را بهبود می دهد. علاوه بر این حجم عملیات خواندن و نوشتن روی دیسک وب سرور را کاهش می دهد.

برگرفته از [sucuri.net]

برای بهبود امنیت سایتتان مطالعه کنید: افزایش امنیت سایت در ۵ قدم ساده

۱+

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.
You need to agree with the terms to proceed

همچنین شاید دوست داشته باشید!

فهرست