در این اموزش قصد داریم به شما آموزش دهیم که چگونه امنیت وب سایت خود را افزایش دهیم؟
چرا امنیت وب سایت و سیستم اهمیت زیادی دارد ؟
اکثر افراد به امنیت خود اهمیت نمی دهند و با جمله (کسی که ما را هک نمی کند و یا جمله ما اصلا اطلاعاتی نداریم که کسی بخواهد ما را هک کند) بار خود را کم می کنند و خود را گول می زنند اما چنین چیزی کاملا اشتباه است زیرا نفوذگر در بعضی مواقع هیچ نیازی به اطلاعات شما ندارد و تنها قصد ان از نفوذ به سیستم شما استفاده از سیستم شما به عنوان یک attacker است.
به این صورت که پس از نفوذ به سیستم شما با استفاده از متد هایی , اقدام به نفوذ با استفاده از سیستم شخصی شما می کند و اگر مشکلی پیش بیاید در ابتدای کار شما باید جوابگوی قانون باشید زیرا از سیستم شما به عنوان یک attacker استفاده شده است. این مورد فقط در سیستم های شخصی حاکم نیست و ممکن است حتی از یک سرور وب سایت استفاده شود.
چرا امنیت در وب اهمیت دارد ؟
همانگونه که گفته شد همیشه هدف از نفوذ استفاده از اطلاعات شخصی شما نیست و این موضوع در وب سایت ها هم صدق می کند و یکی از دلایل هک شدن وب سایت ها موضوع رقابت در بین نفوذگر هاست که پس از نفوذ به سایت ها با اپلود صفحه دیفیس خود و در نهایت ثبت سایت در سایت های ثبت سایت هک شده اقدام به رقابت با دیگر نفوذگر ها می کنند و حتی ممکن است برای تمرین اقدام به نفوذ سایت کنند.
اما در ادامه با موضوع پر اهمیت تامین امنیت در انواع مختلف وب سایت ها اشنا می شوید. اگر شما یک وبمستر هستید حتما باید نکات امنیتی را رعایت کنید تا توانایی جلوگیری از نفوذ به وب سایت خود را داشته باشید.
انتخاب یک پسورد قدرتمند
یکی از مهم ترین و پایه ترین اقدامات امنیتی انتخاب و نوشتن یک پسورد قوی و غیر قابل حدس است.
تغییر ادرس صفحه مدیریت برای امنیت وب سایت
یکی از مهم ترین نکته های امنیتی مخفی کردن صفحه ورود به پنل مدیریت است زیرا اگر نفوذگر پنل مدیریت سایت شما را پیدا کند درصد بسیار بالایی از راه را طی کرده است و می تواند با استفاده از متد هایی مانند حملات بروت فورس اقدام به کرک صفحه لاگین کند.
اما زمانی که صفحه ورود به پنل مدیریت وب سایت خود را در یک مسیر غیر قابل حدس قرار دهید و نفوذگر نتواند ان صفحه را پیدا کند حتی اگر یوزر و پسورد اصلی شما را داشته باشد توانایی نفوذ به سایت شما را ندارد زیرا اگر نتواند وارد پنل مدیریت محتوا شود یوزرنیم و پسورد برای نفوذگر کاربردی نخواهد داشت.
کپچا برای ورود به صفحه مدیریت
تا به حال با کپچا های بسیار زیادی در سایت های مختلف رو به رو شده اید که از شما درخواست می کنند که ثابت کنید یک انسان هستید و در این صورت می توانید از خدمات ذکر شده استفاده کنید.
کپچا ها نمونه های مختلفی دارند که به اصطلاح ثابت کردن خودتان و حل کردن مسئله , ریکپچا گفته می شود.
کچپا چیست و چه کاربردی برای امنیت وب سایت دارد ؟
کپچا برای شناسایی ربات ها استفاده می شود تا حملات بروت فورس و گاهی حمله DDOS را خنثی کند اما دقت داشته باشید که امنیت هیچ گاه صد درصد نیست و افراد خبره راه هایی برای دورزدن این محدودیت طراحی و پیاده سازی می کنند ، کپچا های مختلفی وجود دارد مانند کپچا های متنی یا کپچا های حل مسائل ریاضی که در هر صورت شما باید اثبات کنید که یک انسان هستید و قصد صدمه زدن به سایت را ندارید.
یکی از مهمترین عوامل موثر در انتخاب یک هاستینگ، امنیت بالا می باشد.
یکی از مهمترین عوامل موثر در انتخاب یک 
وان سرور با ارائه هاست اشتراکی و اختصاصی با به روز ترین کانفیگ های امنیتی، امنیت وب سایت شما را تامین می کند.
انتخاب رمز عبور برای ورود به صفحه لاگین
یکی دیگر از اقدامات امنیتی انتخاب رمز عبور برای رسیدن به صفحه لاگین است به این معنی که قبل از ان که وارد صفحه لاگین شوید باید یک یوزرنیم و یک پسورد وارد کنید و پس از ان به صفحه لاگین ریدایرکت می شوید که سپس در آن صفحه باید از یوزرنیم و پسورد اصلی استفاده کنید. در این صورت کار نفوذگر بسیار سخت تر می شود زیرا حتی اگر نفوذگر رمز عبور و نام کاربری اصلی شما را داشته باشد در ابتدا باید از صفحه لاگین اولی عبور کند تا به صفحه لاگین اصلی برسد.
افزونه چیست ؟ و نقش ان ها در امنیت وب سایت
پنل های مدیریت محتوای محبوب مانند وردپرس و جوملا این امکان را در اختیار کاربران خود قرار می دهند تا در وب سایت مورد نظر از امکانات اضافه تر استفاده کنید.
اما این پنل ها زمانی که در اختیار کاربر قرار داده می شوند یک پنل کاملا خام هستند و باید طبق نیاز و سلیقه خود آن را شخصی سازی کنید و در این میان افزونه های مختلف به کمک شما می ایند تا کار شما سریع تر و بهتر پیش برود ، یک دسته از این افرونه ها , افزونه های امنیتی هستند که می توانند کمک شایانی کند که در ادامه با برخی از این افرونه ها اشنا خواهید شد
افزونه های امنیتی در وردپرس
افرونه wordfence security در وردپرس
یکی از مهم ترین قابلیت های این افزونه جلوگیری از حمله بروت فورس است که می تواند ایپی مورد نظر را بلاک کند و توانایی استفاده از ان ایپی را به نفوذگر نخواهد داد.
افزونه secupress برای امنیت وب سایت های وردپرسی
قابلیت ویژه ای که این افزونه دارد این است که می توانید با استفاده از این افزونه مسیر ورود به صفحه مدیریت را تغییر دهید که پیش تر با این نکته امنیتی اشنا شده اید.
افزونه google Authenticator برای وردپرس
امکان مهمی که این افرونه در اختیار کاربران خود قرار میدهد استفاده از قابلیت تایید دومرحله ای است که می توانید این امکان را با استفاده از این افزونه بر روی وب سایت خود اعمال کنید.
نکته : افرونه های بسیار زیادی برای امنیت وب سایت های ورد پرسی طراحی و پیاده سازه شده اند که می توانید از انها در وب سایت خود استفاده کنید و این نکته حائز اهمیت است که ما تنها بخشی از کاربرد های افزونه های بالا را برای شما شرح داده ایم و هرکدام از افزونه هایی که در بالا با ان ها اشنا شده اید قابلیت های بیشتری در اختیار شما قرار می دهند.
بروزرسانی هسته cms و بروزرسانی پلاگین و افزونه ها
بروزرسانی و بروز بودن سرویس هایی که استفاده می کنید بسیار مهم است زیرا ممکن است از نسخه ای استفاده کنید که شامل حفره های امنیتی بسیار خطرناک است و باید سریعا قبل از بروز هرگونه مشکل امنیتی سرویس خود را اعم از هسته سیستم مدیریت محتوا و پلاگین ها و … را بروز رسانی نمایید.
امنیت در cms های اختصاصی
اگر برای مدیریت و امنیت وب سایت خود از cms های اختصاصی استفاده می کنید و برای خود یک cms طراحی کرده اید، برای برقراری امنیت این cms باید از انواع متدها برای بالا بردن امنیت خود استفاده کنید برای مثال کد ها را بررسی کنید و قسمت هایی که باعث به وجود امدن باگ شده است را رفع کنید ولی زمان بسیار زیادی را از شما خواهد گرفت و پیشنهاد می کنیم از اسکنر های امنیتی استفاده کنید تا با اسکن کردن سایت شما حفره های امنیتی را به شما نمایش دهند.
نکته : به اسکنر های امنیتی بسنده نکنید و خودتان به صورت دستی سایت خود را اسکن کنید.
Htaccess چیست وچرا اهمیت بالایی دارد ؟
فایل Htaccess یکی از فایل های مهمی است که اگریک وب سایت را با php و وب سرور اپاچی راه اندازی کرده باشید برای شما به وجود خواهد آمد یا میتوانید ان را به صورت دستی ایجاد کنید.
این فایل قدرت بسیار زیادی دارد که کانفیگ های سرور بر روی این فایل ثبت می شوند مانند بلاک کردن ایپی ها یا ریدایرکت دامنه و زیر دامنه ها و به صورت کلی باید از این فایل محافظت شود زیرا کانفیگ های مهم در این فایل وجود دارد برای امنیت ان میتوانید سطح دسترسی ان را محدود کنید.
همیشه از سایت خود backup داشته باشید
یکی دیگر از نکات امنیتی گرفتن بکاپ از سایت و سرور است .
که اگر روزی سایت و سرور شما با مشکل مواجه شود توانایی حل مشکل و بازگردانی سایت را داشته باشید.
حملات مختلفی باعث می شود که شما نیاز به یک بکاپ پیدا می کنید که یکی از خطرناک ترین این حملات , حمله یک نفوذگر به سایت و سرور شما است و ممکن است تمام اطلاعات شما را حذف کند و از شما درخواست پرداخت پول داشته باشد یا حتی به صورت کامل سرور را format کند و در این صورت شما باید امادگی داشته باشید تا بتوانید سایت خود را بدون هیچ مشکلی مجددا راه اندازی کنید.
برای بکاپ گیری می توانید از طریق پشتیبانی هاستینگ خود اقدام کنید اما خود شما هم می توانید با استفاده از ابزارها و افرونه هایی از سایت خود بکاپ بگیرید که یکی از افزونه های پرکاربرد برای بکاپ گیری در وردپرس افزونه updraftplus است.
چرا همیشه از جمله امنیت هیچ گاه صد درصد نیست استفاده می کنیم ؟
اگر دقت داشته باشید تا به حال این جمله را از افراد مختلف زیاد شنیده اید، اما این جمله به چه معناست و ایا حقیقت دارد ؟
در ابتدای کار باید بگوییم که بله کاملا حقیقت دارد و کسی تا به حال نتوانسته امنیت خود را صد درصد تضمین کند. برای مثال تصور کنید دارای یک سایت هستید که برای شما اهمیت بسیار بالایی دارد و به امنیت وب سایت بسیار اهمیت داده اید ، نفوذگر زمانی که برای اولین بار وارد سایت شما خواهد شد اقدام به جمع اوری اطلاعات می کند و اطلاعاتی از قبیل cms سایت , زبان استفاده شده در سایت و اطلاعاتی از این قبیل جمع اوری می کند و سپس به مراحل بعدی پیش می رود.
اشنایی با راه های نفوذگر
تصور کنید نفوذگر پس از جستجوی امنیتی فراوان در وب سایت شما نتواند باگ امنیتی در وب سایت پیدا کند، اما دلیل بر این نیست که سایت شما باگ ندارد ممکن است نفوذگر توانایی پیدا کردن باگ در سایت شما را ندارد.
سپس در مراحل بعدی اقدام به راه های مختلفی ازجمله حملات سمت سرور , حملات بروت فورس و هزاران حمله دیگر می کند که هرکدام از این ها یک دنیای بسیار گسترده دارند و حتی اگر شما توانسته باشید به شدتی امنیت وب سایت خود را بالا ببرید که نفوذ به سایت را بسیار سخت کنید ممکن است از طریق مهندسی اجتماعی ضربه بخورید زیرا انسان ها همیشه اسیب پذیر هستند و از کوچک ترین مشکلات خود ضربه های بسیار بزرگی خواهد خورد.
حتی اگر امنیت وب سایت و سرور خود را طبق جدیدترین متد های روز امن کرده باشید ممکن است در آینده چندین باگ بسیار خطرناک در سیستم های مدیریت محتوا پیدا شود که هزاران نفوذگر فقط با چک کردن سایت های ثبت اکسپلویت متوجه اسیب پذیری جدید شده و قبل از اینکه شما دست به کار شوید ممکن است سایت شما مورد نفوذ قرار گرفته باشد بدون اینکه شما متوجه این موضوع شده باشید.
نتیجه گیری
دنیای نفوذ و امنیت وب یک دنیای بی نهایت است و برای پیشرفت و حرفه ای شدن در این زمینه نیاز دارید تا همیشه بروز باشید و همیشه در حال یادگیری باشید زیرا امنیت و نفوذ همیشه در حال رقابت با یکدیگر هستند به همین دلیل است که برخی از روش های نفوذ استفاده شده دیگر قابل استفاده نیستند زیرا حفره های امنیتی ان ها برطرف شده و شما باید همیشه به دنبال روش های جدید باشید و گاهی لازم است خودتان برای متد های جدید دست به کار شوید.
منبع: pentestcore.com