تقی حسن زاده، پایگاه خبری دانا، سرویس دانش وف ناوری؛ امنیت سایت به مجموعه اقداماتی گفته می شود که با انجام آنها ضریب امنیت سایت به حداکثر رسیده و امکان نفوذ به آن به حداقل می رسد. توجه داشته باشید که امنیت سایت تابع موارد دیگری نیز می باشد که تمامی آنها نقش بسیار اساسی در تامین امنیت وبسایت دارند. امنیت سرور ، امنیت شبکه ، امنیت اینترنت ، امنیت سیستم عامل ، امنیت نرم افزار و بسیاری از موارد دیگر نقش کلیدی در تامین زیرساخت امنیت سایت دارند.
بحث فعلا در مراحل پایه است و هنوز در مورد اقدامات موثر و کلیدی در خود سایت مبحثی ارائه نشده است. با فرض بر اینکه تمامی موارد پایه تامین هستند و مشکلی در سایر موارد که امنیت سایت تحت تاثیر آنهاست به یکسری اقدامات بر روی هر سایتی نیاز است که امنیت آن تامین گردد.
میتوانید فرمهای وب خود را ایمنتر کنید یا میتوانید آنها را کاملاً باز بگذارید. مشکلات زمانی وجود میآیند که آنها را کاملاً باز بگذارید بدون اینکه واقعاً بدانید آنها را آسیبپذیر کردهاید. اگر به دنبال فرمهای وب ایمنتر هستید، در اینجا چند نکته وجود دارد که باید در نظر بگیرید.
امنیت سایت چیست
امنیت سایت چیست : به شرایط و وضعیتی گفته می شود که در آن سایت با وجود خدمات دهی معمول و مورد نیاز ، بالاترین سطح امنیتی مورد نیاز را داشته و سطح آسیب پذیری آن در پایین ترین سطح ممکن باشد. امنیت سایت به موارد بسیاری وابسته است که باید رعایت شوند.
اهمیت امنیت سایت
امنیت سایت از اهمیت فوق العاده ای برخوردار است و می توان گفت موثرترین عامل ادامه فعالیت ، ثبات و اعتبار یک سایت با توجه به موارد دیگر ، موضوع مهم امنیت است. متاسفانه با بررسی وضعیت سایت های عادی و حتی بزرگ و حساس به این نتیجه می رسیم که بسیاری از مدیران و مسئولان سایت ها اهمیت کمی به امنیت سایت می دهند. هک نشدن سایت ، امن بودن سایت را تضمین نمی کند به این معنی که ممکن است بر روی یک سایت با ضعف های امنیتی ، تلاشی برای هک و نفوذ به آن انجام نشده است و در صورت انجام سایت مورد بحث آسیب پذیر خواهد بود. اهمیت امنیت سایت زمانی مشخص می شود که سایت تحت حمله قرار دارد که محتمل به دو نتیجه خواهد بود. اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق بوده و سایت آسیبی نخواهد دید اما اگر موارد امنیتی رعایت و تامین نشده باشد ضریب آسیب پذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وجود دارد. این نکته نیز قابل توجه است که حتی با وجود انجام و پوشش موارد امنیتی هر سایتی در هر زمان و موقعیت مستعد دریافت حملات و آسیب پذیری ناشی از حملات است. نوع ، تعداد و روشهای هک و نفوذ بسیار گسترده هستند و مقابله در برابر تمامی آنها اقدامات بسیار جدی و دائمی را طلب می کند. علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت و رسیدگی نیز در امنیت بسیار حائز اهمیت است.
یک تستر امنیتی داشته باشید که سعی کند آنها را خراب کند
در حالت ایدهآل، یک هکر میخواهد اطلاعات را از فرمهای شما جمعآوری کند. آنها به دنبال شکستن فرم شما نیستند، بلکه به دنبال راههایی هستند که اطلاعات را از فرمهای شما استخراج کنند. این در واقع بسیار پیچیدهتر از شکستن فرمهای شما یا کنترل آنها است. میتوانید یک آزمایشکننده امنیتی استخدام کنید تا فرمهای شما را بشکند و/یا سعی کند اطلاعات را از آنها جمعآوری کند.
آیا امنیت را اضافه کردهاید؟
کارهایی وجود دارد که میتوانید برای ایمنتر کردن فرمهایتان انجام دهید، درست مانند اینکه چگونه میتوانید درب ورودی خود را ایمنتر کنید. یک روش رایج این است که فرم قبل از ارسال اطلاعات را رمزگذاری کند. اگر برنامه دریافتکننده شما دارای کلید رمزگشایی باشد، میتوانید اطلاعات را مشاهده کنید، اما یک هکر باید هم اطلاعات را بدزدد و هم آن را رمزگشایی کند (که زمان بر و گران است). در اینجا چند ویژگی امنیتی رایج وجود دارد:
CAPTCHA/reCAPTCHA
اینجاست که از افراد میخواهید فرم را پر کنند و یک پازل را تکمیل کنند تا نشان دهند که رباتهای اسپم نیستند. هرزنامهها آزاردهنده هستند و یک حمله متمرکز میتواند فرم شما را خراب کند.
reCAPTCHA نامرئی
راههای مختلفی وجود دارد که ممکن است رباتهای هرزنامه را بگیرند. رایجترین آنها جایی است که تیک باکسهای مخفی دارند که رباتها آنها را تیک میزنند، اما انسانها نمیتوانند آنها را ببینند و بنابراین تیک نمیزنند.
SSL 256 بیتی
این یک روش رمزگذاری رایج است. این روش رمزگذاری معمولاً برای ارسال اطلاعات از طریق مرورگرهای وب استفاده میشود. ایمنسازی یک وبسایت با SSL اغلب جایی است که امنیت فرمها به پایان میرسد.
رمزگذاری اطلاعات
پاسخ کوتاه این است که محتوای رمزگذاری شدهای ایجاد میکند که برای رمزگشایی آن تلاش، زمان و هزینه زیادی صرف میشود. همانطور که قبلاً ذکر شد، ممکن است به حفظ امنیت اطلاعات در حین تایپ شدن کمک نکند، اما به حفظ امنیت آن در حین حرکت در اینترنت کمک میکند.
فرمهای محافظت شده با رمز عبور
انجام این کار و ثبتنام افراد در حسابها به شما اطلاعات بیشتری در مورد کاربران میدهد. این بدان معناست که شما ابزارهای بیشتری در اختیار دارید تا به شما در ازبینبردن هکرها و غیره کمک کند. متأسفانه، تعداد کمتری از بازدیدکنندگان وبسایت مایل به ثبتنام برای حسابهای کاربری هستند، بهخصوص اگر در چیزی که شما ارائه میدهید یا میفروشید سرمایهگذاری نکرده باشند.
از کسی بخواهید کد را بررسی کند
اگر خودتان یک برنامهنویس نیستید، از شخص دیگری بخواهید کد را بررسی کند. شما به دنبال کد تمیز خوب و بدون عناصر پنهان هستید. یک راه هوشمندانه برای پنهان کردن کد، قراردادن آن در بین محتوای کپی شده و پیست شده است. اگر کدهای اضافی زیادی در فرم وب وجود داشته باشد، این نشان میدهد که یا توسعهدهنده اصلی کار ضعیفی انجام داده است، یا حفرههایی در برنامه وجود دارد که دیگران (از جمله توسعهدهنده اصلی) میتوانند از آنها سوءاستفاده کنند.
از کسی بخواهید که فیلدهای مخفی و مواردی ازاینقبیل را بررسی کند، اما به یاد داشته باشید که برخی از فیلدهای مخفی خود برای امنیت استفاده میشوند، بنابراین برنامهنویسی پیدا کنید که تفاوتهای ظریف امنیت فرم را درک کند.
اگر مطمئن نیستید، از شخص دیگری بخواهید کد را بررسی کند، توسعهدهندگان واجد شرایط زیادی در وبسایتهای مستقل وجود دارند که میتوانند بررسیهای امنیتی را برای فرمهای وب شما انجام دهند. فقط مراقب باشید به آنها دسترسی کامل به وبسایت خود ندهید وگرنه ممکن است دیگر هرگز آن را نبینید.
محافظت سایت در برابر اسپمرها
روبات های اسپمر با جستجو در سایت ها و پیدا کردن نقاط ضعف در آنها مخصوصا فرم های محافظت نشده که تکمیل آنها بصورت ماشینی امکان پذیر است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در اینکار انجام نشده باشد بسیار محتمل است که با ایجاد اختلال در سرور میزبان سایت ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شوید. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA می توانید از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم reCAPTCHA گوگل را به شما پیشنهاد می کنیم. بسیاری از سایت های بزرگ و معتبر دنیا از این سیستم استفاده می کنند و شما نیز می توانید با اطمینان خاطر از این ابزار امنیتی استفاده کنید.
پیگیری مشکلات امنیتی گزارش شده و بروزرسانی امنیتی مداوم
مدیر امنیت سایت باید همیشه آخرین اخبار و رویدادهای امنیت مخصوصا مواردی که در ارتباط مستقیم با امنیت سایت است را رصد و پیگیری کند. بسیاری از مواقع سایت های بزرگ و حتی متوسط و کوچک قربانی این مشکلات می شوند. غالبا هر شرکت یا مرجعی که اقدام به انتشار محصولی می کند در مواقعی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر می شود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل محافظت کند را ارائه نماید. در چنین مواقعی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت می شود. توجه داشته باشید که حتی سایت هایی که در بالاترین سطح امنیتی محافظت شده اند نیز در برابر باگ های امنیتی آسیب پذیر هستند و می بایست بلافاصله نسب به رفع باگ در سایت اقدام شود. عضویت در خبرنامه و انجمن ، پیگیری بخش اخبار و بلاگ سایتی که از محصولات آن استفاده میکنیم راهکار مناسبی برای اطلاع سریع و به عملکرد به موقع است.
راه اندازی گواهی امنیتی SSL بر روی سایت
یکی از بهترین راهکارها برای حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتی SSL بر روی سایت است که علاوه بر موارد امنیتی ، تاثیرات بسیار خوبی در نتایج سئو و جلب اعتماد کاربران دارد. گواهی ssl بر روی سایت اطلاعات ورودی و خروجی را با الگوریتم بسیار پیچیده ای رمزنگاری کرده و از شنود و دزدیده شدن آنها جلوگیری می کند. اینکار سبب می شود که در بسیاری از حالات حتی در صورت استفاده کاربر یا مدیر سایت از اینترنت ناامن مشکلی ایجاد نشود. در واقع در این حالت اگر اطلاعات مورد شنود نیز قرار گیرد قابل بهره برداری نخواهد بود و شنود کننده با یکسری اطلاعات رمزنگاری شده روبرو خواهد شد.