امنیت سایت

برای تامین امنیت سایت قبل از بیان هر نکته ای باید با مفهوم امنیت آشنا شویم، سپس تهدیدهای امنیتی وب سایت و راه های نفوذ را بشناسیم تا بتوانیم از راه درست با آن ها مقابله کنیم. هنگامی که شما وب سایتی را راه اندازی می کنید از هر روشی برای تضمین موفقیت خود استفاده می کنید اما ممکن است یک موضوع حیاتی را نادیده بگیرید؛ آن هم بحث امنیت سایت!

امنیت سایت چیست؟

امنیت سایت به وضعیت و شرایطی گفته می شود که در آن، وب سایت ما با وجود خدمات دهی بالاترین سطح امنیتی مورد نیاز را داشته باشد و سطح آسیب پذیری آن در پایین ترین سطح ممکن باشد. به عبارتی دیگر به مجموعه اقداماتی گفته می شود که انجام آن، سبب جلوگیری از سرقت اطلاعات و صدمه به سخت افزار و نرم افزار می شود.

اهمیت امنیت سایت چیست؟

در جواب این سوال می توان گفت بحث امنیت سایت یکی از موثرترین عامل ادامه فعالیت و اعتبار یک سایت می باشد. متاسفانه امروزه با بررسی وضعیت سایت های عادی و یا حتی بزرگ می توان گفت مدیران و مسئولان اکثر سایت ها به بحث امنیت سایت توجه زیادی نکرده اند. اهمیت بحث امنیت سایت زمانی مشخص می شود که سایت مورد حمله و نفوذ قرار بگیرد که در این حمله دو نتیجه بیشتر نخواهیم داشت!

نتیجه اول: اگر امنیت سایت به صورت صحیح و اصولی تامین شده باشد حمله ناموفق می باشد.

نتیجه دوم: اگر در بحث امنیت سایت نکات و روش های تامین امنیت به درستی رعایت نشده باشد ضریب آسیب پذیری سایت بالا خواهد بود و در نتیجه احتمال موفق بودن حمله در این صورت خیلی زیاد است.

پس در نتیجه می توان گفت امنیت سایت، تنها با بکارگیری اصول امنیتی در وب سایت ایجاد می شود و البته علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت و رسیدگی نیز در امنیت سایت بسیار حائز اهمیت است و مدیران سایت باید به این نکته توجه داشته باشند که حتی با بکارگیری اصول امنیتی در وب سایت، در هر زمانی وب سایت ممکن است مورد حمله و آسیب پذیری ناشی از آن قرار بگیرد.

تا این قسمت از مقاله با مفهوم امنیت سایت و دلیل اهمیت آن در وب سایت آشنا شدیم. اکنون می خواهیم چند مورد اصلی از گزینه هایی که سبب کاهش امنیت سایت می شود را نام ببریم:

• استفاده از هاست رایگان و نا امن:

در هاست های رایگان، امنیت هیچ وقت تضمین شده نیست، تنها به این علت که رایگان است! زمانی که شما برای تهیه فضای میزبانی (هاست) هزینه ای پرداخت می کنید؛ علاوه بر منابعی که دریافت می کنید امنیت و پشتیبانی سایت هم برای شما تضمین می شود. به این دلیل که وب سایت شما توسط یکی از سرور های شرکت های هاستینگ میزبانی می شود و تامین امنیت سایت شما برای آنها کاملا ضروری است.

برای تهیه هاست حتما باید نکاتی را مدنظر داشت. پیشنهاد ما به شما این است که مقاله “هاست مناسب” را در وب سایت ما مطالعه کنید.

• آپدیت نکردن سیستم مدیریت محتوا ، افزونه ها و قالب ها:

قاعدتا هر برنامه ای که نسخه ی جدید آن وجود داشته باشد نسبت به نسخه قبلی ممکن است قابلیت ها و امکانات جدید و بروزتری داشته باشد و قطعا هم از لحاظ امنیتی هم شرایط بهتری را دارد. سیستم های مدیریت محتوا (وردپرس ، جوملا ، دروپال و…) هم مانند تمامی برنامه ها هرچندوقت یکبار نسخه ی جدید خود را به بازار عرضه می کنند که ویژگی های پیشرفته تری نسبت به نسخه های قبلی خود دارند.

برای مثال وردپرس در هر آپدیت خود سعی می کند سایت را از لحاظ فنی ، گرافیکی ، سئو و همچنین مباحث سرعت و امنیت پیشرفته تر کند.

• استفاده از نام کاربری های رایج (admin …) و رمزهای بسیار ضعیف:

تا به حال به این فکر کرده اید که پسوردهایی که برای اکانت های خود انتخاب می کنید چقدر ایمن هستند؟

بدون شک می توان گفت امنیت اطلاعات و حساب کاربری بسیار اهمیت دارد. پس اگر که پسورد پنل پیشخوان سیستم مدیریت محتوای خودتان را آسان و قابل حدس انتخاب کنید احتمال نفوذ هکرها به سایت شما ساده تر می شود و در نتیجه اطلاعات ارزشمند شما در سایت در معرض خطر قرار می گیرد. پس از پسوردهای رایج (مانند: کدملی ، شماره همراه و… ) استفاده نکنید. برای انتخاب پسورد به نکات زیر توجه کنید:

• • پسورد انتخابی شما باید شامل حروف ، کاراکتر های خاص مانند : @,#,$,&,* و… باشد.
  • حداقل 12 کاراکتر باشد و توصیه می شود.
  • هر 4 ماه یک بار پسورد خود را تعویض کنید.
  • به هیچ وجه یک پسورد را برای چندین اکانت در سایت استفاده نکنید.
  • نصب نکردن افزونه های امنیتی در سایت

افزونه های امنیتی مختلفی برای سیستم های مدیریت محتوا مانند وردپرس ساخته شده اند که امکان فراهم کردن قابلیت های امنیتی را در سایت به شما خواهند داد. با نصب این افزونه ها می توان امنیت سایت را بالا برد و از نفوذ حمله ی هکر ها و افراد سودجو جلوگیری کرد.

یکی از راهکارهای بسیار مهم جهت افزایش امنیت سایت:

• نصب گواهینامه امنیت سایت (SSL) :

SSL مخفف عبارت (Secure Sokets Layer) به معنای لایه ی سوکت های امن، یک فناوری امنیتی استاندارد برای برقراری یک پیوند رمزگذاری شده بین یک سرور و یک مرورگر می باشد. این پیوند امن ، محرمانه بودن تمامی داده هایی که بین سرور و مرورگر رد و بدل می شود را تضمین می کند.

آیا تا بحال به این نکته دقت کرده اید که آدرس برخی از سایت ها با عبارت //:http و برخی دیگر با آدرس //:https شروع می شود؟

در انتهای عبارت دوم یک حرف s مشاهده می کنید که وجود این حرف در انتهای این آدرس به این معنی است که سایت امن و رمزگذاری شده است و اطلاعاتی که رد و بدل می کنید فقط بین خودتان و همان وب سایت باقی خواهد ماند.

مزایای دریافت گواهینامه SSL :

• SSL از اطلاعات شما محافظت می کند:

همانطور که گفته شد وظیفه اصلی SSL محرمانه نگه داشتن اطلاعاتی است که بین کاربر و سرور رد و بدل می شود. با نصب این گواهینامه به عبارتی هر بیت از داده ها رمزگذاری می شود. به زبان ساده تر می توان گفت اطلاعات قفل می شوند و کلید قفل فقط در اختیار کاربر قرار دارد.

SSL علاوه بر حفاظت از اطلاعات حساسی مانند رمزهای عبور و اطلاعات کارت بانکی و… در مقابله با نفوذ هکرها و خرابکاران اینترنتی به شما کمک می کند. در نتیجه داده ها توسط SSL به یک فرمت غیرقابل خواندن تبدیل می شود و در این صورت هکرها قادر به نفوذ در برابر فناوری رمزگذاری بی همتای SSL نمی باشند.

• SSL هویت شما را تایید می کند:

یکی دیگر از وظایف اصلی گواهینامه امنیت تایید اعتبار وب سایت می باشد. جالب است بدانید امروزه حجم تقلب و کلاه برداری در اینترنت به طور چشمگیری در حال افزایش است و بسیاری از مردم با استفاده کردن از وب سایت های تقلبی و نا امن، خود را صاحب خسارت های جبران ناپذیری کرده اند. هنگامی که هویت وب سایت شما توسط SSL تایید شد سایت شما گواهینامه ای دریافت می کند که به کاربر اطمینان خاطر می دهد با همان هویت اصلی سایت در ارتباط است.

• SSL باعث بهبود رتبه شما در نتایج موتورهای جستجو می شود:

یکی از متخصصین گوگل به نام مت کاتس در سال 2014 اعلام کرد که گواهینامه SSL هرچند معیاری کوچک و سبک است؛ اما در رتبه بندی و سئو سایت تاثیر زیادی دارد. البته درک این موضوع نیز کار سختی نیست چرا که گوگل اولویت را به سایت هایی می دهد که تمام جزئیات امنیتی را برای خود و کاربرانشان رعایت کرده باشند. پس اگر دو سایت شرایط کاملا یکسانی داشته باشند ولی فقط یکی از سایت ها دارای گواهینامه امنیت باشد و دیگری فاقد آن؛ بی شک تاثیر SSL موجب رتبه بهتر برای سایت اول می شود.

SSL از نظر اعتبار سه نوع می باشد:

1. گواهینامه اعتبارسنجی دامنه یا Domain Validated (DV) :

در فرآیند صدور گواهینامه DV SSL  تنها نام دامنه شما توسط شرکت صادر کننده ، تایید و احرار خواهد شد و در واقع هیچگونه بررسی برای اثبات سازمان و یا شرکت مالک وب سایت انجام نمی شود. از لحاظ هزینه، گواهینامه DV SSL ارزان تر از دیگر گواهینامه ها است و معمولا برای وب سایت های عمومی استفاده می شود. پس در این نوع گواهینامه امنیتی علاوه بر رمزنگاری ارتباط ها نام دامنه شما هم احراز خواهد شد.

2. گواهینامه اعتبارسنجی سازمانی یا Organization Validated (OV) :

در این نوع گواهینامه علاوه بر تمامی مواردی که در گواهینامه DV SSL بررسی می شود اطلاعات دیگری اعم از نام شرکت و یا سازمان شما هم تایید و احراز می شود. می توان گفت این نوع گواهینامه سطح بالاتری نسبت به گواهینامه DV SSL را دارا می باشد. برای دریافت گواهینامه OV SSL درخواست کننده باید مدارک کامل ثبتی ، قانونی و هویتی  شرکت ، سازمان و نهاد مربوطه را باید به همراه فرم های درخواست و معرفی یک شخص مسئول همراه مدارک در مراحل اول به صورت اینترنتی ارسال کرد. پس خرید گواهینامه OV SSL نیاز به تایید کامل هویت سازمان درخواست کننده دارد.

3. گواهینامه اعتبارسنجی پیشرفته یا Extended Validated (EV) :

این نوع از گواهینامه SSL یکی از کامل ترین و قابل اطمینان ترین انواع گواهینامه امنیت می باشد و با توجه به این نکته مراحل احراز هویت برای این گواهینامه بسیار سخت گیرانه تر نسبت به گواهینامه OV می باشد. در این نوع گواهینامه علاوه بر تمامی مواردی که در دو نوع قبلی اشاره شد نام کامل و رسمی شرکت شما نیز در کنار نام دامنه در نوار آدرس مرورگر درج می شود پس کاربران پس از ورود به سایت با دیدن نام کامل شرکت ، لحظه ای به صحت و اعتبار سایت شک نخواهد کرد و با اطمینان و اعتماد کامل به بازدید خود در سایت ادامه می دهد.

گواهینامه EV SSL بهترین انتخاب برای جلب اعتماد و امن سازی بیشتر سایت های بزرگ و جلوگیری از کلاهبرداری های اینترنتی می باشد به دلیل اینکه تمامی اطلاعات سازمان و یا شرکت شما مانند آدرس ، شماره های تماس و… بررسی می شود.

اکنون ممکن است برای شما سوالی پیش بیاید که بهتر است برای وب سایت خود از چه نوع گواهینامه ای استفاده کرد؟

اگر شما صاحب یک وب سایت شخصی هستید که دارای پروفایل شخصی و معرفی خود و رزومه ی خودتان باشد و یا از سایت فقط برای اطلاع رسانی و یا معرفی استفاده می کنید بهترین انتخاب برای شما گواهینامه OV SSL  می باشد. زیرا نسبت به دو نوع دیگر هم مقرون به صرفه تر می باشد و هم نحوه صدور و دریافت آن راحت تر است.

اگر صاحب یک شرکت، سازمان و یا یک کسب و کار هستید و تمایل دارید که بازدید کننده در وب سایت شما حس امنیت بیشتری داشته باشد گواهینامه OV SSL  را به شما پیشنهاد می کنیم.

اما اگر یک شرکت متوسط و یا بزرگ را مدیریت می کنید و دوست دارید بازدید کننده ها از سایت شما لحظه ای به اعتبار شرکت و سایت شما شک نداشته باشند بهترین انتخاب برای شما دریافت گواهینامه EV SSL می باشد.

برای جمع بندی می توان هر سه نوع گواهینامه را با هم مقایسه کرد:

• برای گواهینامه DV یک ایمیل مشخص مورد نیاز است اما در گواهینامه های OV و EV مدارک کامل ثبتی و قانونی و هویتی شرکت ، سازمان و یا نهاد بایستی ارائه گردد.
• محدودیتی برای دریافت گواهینامه DV وجود ندارد اما گواهینامه های OV و EV تنها به اشخاص حقوقی تعلق می گیرد.
• اعتبار گواهینامه ها به ترتیب گواهینامه EV در رتبه اول ، گواهینامه OV در رتبه دوم و در نهایت گواهینامه DV در رتبه سوم قرار می گیرد.
• از لحاظ فنی و نوع رمزنگاری و امنیت هر سه گواهینامه در یک سطح هستند.