۱۵ راهکار مناسب برای ایمن سازی وب سایت

از آنجاییکه هیچ نرم افزار مهم و مختصری (همچون یک آنتی ویروس) در رابطه با ایمن سازی وب سایت وجود ندارد، افراد تصور میکنند با طراحی یک وب سایت ایمن سازی نیز انجام شده است. مطمئنا اینطور نیست. محافظت از یک وب سایت یا سرور شبکه تنها با انجام یک سری مراحل ممکن میشود. شاید بی توجهی به میز محل کارتان زیاد مهم نباشد ولی داشتن یک وب سایت هک شده تاثیر بدی بر شما، کار و کالایتان میگذارد. حتی در صورتیکه حجم تهدیدات روزانه درحد صفر باشد، نباید محافظت از وب سایت را فراموش کرد. البته قبل از شروع اولین مرحله از ایمن سازی و طراحی یک برنامه ی امنیتی دقیق باید کارهای ریشه ای و مهم را انجام داد. در ادامه ۱۵ نکته مفید درجهت ایجاد مقدمات ایمن سازی شبکه را ارائه میکنیم.

_از زبانهای برنامه نویسی آزاد (Open source)استفاده کنید:

در صورت نداشتن گروه توسعه ی ماهر، استفاده از زبانهای برنامه نویسی آزاد پیشنهاد بسیار خوبی است. زبانهای آزاد مثل WordPress, Drupal, Joomla, Magento,… بسیار قوی و مناسب بوده وبا هزاران کدگذار جهت بروزرسانی پشتیبانی میشوند.

این امر ازنفوذ هکرها و جاسوسان به وب سایت بدلیل وجود کدهای ضعیف جلوگیری میکند. شما میتوانید از زبانهای موجود استفاده کرده و آنها را بطور دلخواه اصلاح کنید. زبانهای برنامه نویسی تجاری شرکتهای معروف را نیز میتوان گسترش داد، درصورتیکه مرتبا بروزرسانی شوند.

_دائما بروزرسانی کنید:

زبانهای برنامه نویسی را به محض انتشار نسخه جدید، حتی درصورت نداشتن ویژگیهای جدید، بروزرسانی کنید. بروزرسانیهای مختصر اشکالات موجود در زبان را برطرف ساخته و به اندازه ی بروزرسانی نسخه ی کامل مهم می باشد. اگر نمیدانید که بروزرسانی تنظیمات شما را برهم میزند یا خیر، سراغ قسمت پشتیبانی بروید و قبل از انجام بروزرسانی منتظر نمانید تا تنظیمات ثابت شود.

_از کلمه ی عبور قوی استفاده کنید:

کلمه های عبوری همچون “عاشقانه۱۲۳” و “عاشق اسب تک شاخ” مطمئنا مناسب نبوده و استفاده از آنها بی ملاحظگی است. کلمه ی عبور نباید بیانگر شخصیت درونی شما باشد چراکه قرار است چیزهایی را ایمن نگه دارد. از ترکیبی از حروف،اعداد،و علائم خاص استفاده کنید بطوریکه کلمه ای حداقل ۱۰ حرفی تشکیل گردد. برنامه های کاربردی همچون Lastpass, Keepass شما را در تولید و حفظ کلمه های عبور قوی کمک میکنند.

_آدرس ایمیل را ایمن کنید:

آدرس ایمیل که برای متصل شدن به سرور شبکه،CMS،پایگاه داده ها و… بکار میرود را دور از دسترس قراردهید. از آدرسی کاملا متفاوت در صفحه ی ارتباط استفاده کنید. این کار جلوی جاسوسان را که بصورت ایمیل مخفی ظاهر میشوند را میگیرد.

_یک پیشوند مخصوص بخش پایگاه داده ها اضافه کنید:

اگر از یک CMS,blog،یا زبان برنامه نویسی استفاده میکنید، پیشوند پیش فرض مربوط به بخش پایگاه داده ها را تغییر دهید. برای مثال درمورد WordPress این پیشوند wp است. بنابراین اگر یک هکر حرفه ای راهی را برای استخراج اطلاعات از پایگاه داده ها پیداکند، پیشوندهای پیش فرض پاشنه های آشیل شما خواهند بود.

_رمز از پایگاه داده ها محافظت میکند:

دربسیاری از زبانهای برنامه نویسی وارد کردن رمز پایگاه داده ها واجب نیست و خالی گذاشتن کادر آن جلوی نصب زبان را نخواهد گرفت. یک رمز خالی نوعی اتلاف لایه ی امنیتی اضافی است. رمزپایگاه داده ها وب سایت را کند نخواهد کرد بنابراین دلیلی برای انتخاب نکردن آن وجود ندارد.

_پوشه ی نصب را پاک کنید:

بعد از اتمام نصب نیازی به حفظ پوشه ی نصب کننده نیست. احتمال بسیارزیاد وجوددارد که هکر نصب کننده را دوباره اجرا،پایگاه داده ها را خالی کرده و کنترل سایت و محتوای آنرا دراختیار بگیرد. به شدت توصیه میگردد که بعد از اتمام نصب پوشه ی نصب را پاک کنید اما اگر مسیرتان را در سرور شبکه میشناسید میتوانید پوشه را تغییر نام دهید.

_رمزهای فایل و پوشه را تغییر دهید:

در برخی زبانهای برنامه نویسی حین نصب خواندن – نوشتن کامل ضروری است. این امر با وارد کردن کد۷۷۷ درپوشه های مهم مثل config, admin حاصل میشود. رمز فایلها را به عدد اولیه ی آنها مثل ۷۵۵ یا ۶۴۴ برگردانید. یک فایل یا پوشه با رمز خواندن – نوشتن کامل امکان ایجاد رمزهای جاسوسی را در وب سایتتان افزایش میدهد.

_از دسترسی FTPایمن بهره ببرید:

اگر سرور شبکه یا ISPتان دسترسی SFTP را پشتیبانی میکند، سریعا فایلها را بصورت کاملا رمزگذاری شده به سرورتان ارسال کنید. هیچ کس نمیتواند نسبت به آنچه به سرور شبکه ارسال و یا از آن دریافت میکنید ایراد بگیرد.

_دسترسی کلی را محدود کنید:

هرگز دسترسی کلی به کسی ندهید. اجازه ی دسترسی به پوشه های غیر سیستمی خاص در ارسال های FTPرا به افراد غیر از مدیر ندهید.

_از وجود فایل htaccess  اطمینان حاصل کنید:

فایلهای htaccessاغلب برای تعیین محدودیت های امنیتی در دایرکتوری خاص بکار میروند. مطمئن شوید که ازروی اتفاق پاک نشده باشند.

_فایل robots.txtرا اضافه کنید:

این فایل دستورالعملهای خاصی برای جستجوی موتورهای جستجو ارائه میکند. فایده ی این دستورالعملها این است که فایلهایی که باید و فایلهایی را که نباید فهرست شوند را مشخص میکند. پوشه هایی دارای اسناد، تصاویر و … را میتوان با مخفی سازی از فهرست شدن و مشخص شدن در محیط شبکه منع کرد.

_از pluginهای امنیتی استفاده کنید:

پایگاههای کامل همیشه دارای pluginهایی برای افزایش عاملیت هسته ای زبان برنامه نویسی هستند. دنبال آن دسته از pluginها باشید که لایه ی امنیتی بیشتری اضافه میکنند.

_وب لاگهای جدید و مهم در زمینه ی تکنولوژی را مطالعه کنید:

اطلاعات خودتان را درمورد آخرین آسیب پذیریها، ویروسها و حملات اینترنتی بروز کنید. این اطلاعات به شما کمک خواهد کرد که از وب سایتتان محافظت کرده ویا در صورت بروز خطری بسیار جدی موقتا آنرا غیرفعال سازید. Wired’s Threat Level , Kreb’s on Securityمکانهای خوبی برای شروع خواهند بود.

_از زبانهای برنامه نویسی و تمهای باطل شده دوری کنید:

کپی غیرقانونی از زبانهای تجاری و تمها آسانترین نوع کپی غیرقانونی است. حجم فایل کمتر، عدم نیاز به رمز، Daemonو بسته های Dllپردردسر باعث گرایش به کپی غیرقانونی زبان برنامه نویسی میشود. با این وجود بر خلاف نرم افزارهای کپی شده بصورت غیرقانونی که یک ویروس مخفی در آنها به کمک نرم افزار ضد ویروس از بین خواهدرفت، راهی برای جلوگیری از نفوذ به پایگاه کدها وجود ندارد. حتی یک برنامه نویس حرفه ای نیز نمیتواند هزاران خط کد را برای کنترل عاری بودن زبان کپی شده از مسیرهای نفوذ بررسی کند. یک زبان یا تم باطل شده همراه با مسیر نفوذ هکر را قادر میسازد تا بوسیله ی ایمیلهای وعده دهنده حاکی از بهبود شرایطی که نمیتواند بهبود یابد افراد را فریب دهد. اگر خوش شانس باشید که از وب سایتتان برای تبلیغات ضد دولتی یا ترویج استفاده از کودکان در مسائل جنسی استفاده نشود.

وقتی صحبت از امنیت در اینترنت میشود، راههای بسیار زیادی برای حفاظت از یک وب سایت پیش رو قرار میگیرد. راهکارها و نکته های مناسبی را که برای حفاظت از وب سایتتان بکار میگیرید با ما در میان بگذارید.

منبع: web.appstorm