طراحی سایت

طراحی سایت با امنیت بالا

طراحی سایت با امنیت بالا

[et_pb_section bb_built=”1″][et_pb_row][et_pb_column type=”4_4″][et_pb_text _builder_version=”3.19.17″]

چگونه در طراحی سایت می توان وب سایت را ایمن کرد و امنیت آن را بالا برد؟

 

طراحی سایت با امنیت بالا خود می تواند موضوعی پیچیده (یا حتی گیج کننده) در دنیای اینترنت همیشه در حال تحول باشد. این راهنما برای ایجاد یک چارچوب مشخص برای صاحبان وب سایت است که به دنبال کاهش خطر و به کارگیری اصول امنیتی در سایت خود هستند. اگر سایت ندارید از الان بفکر طراحی سایت با امنیت بالا باشید.

قبل از شروع ، مهم است که به خاطر بسپاریم که امنیت هرگز یک راه حل همیشگی قابل تنظیم نیست.در عوض ما شما را ترغیب می کنیم که به عنوان یک فرایند مداوم سایت خود را ارزیابی کنید و خطرهای آن را کاهش دهید.

 

ما باید امنیت وب سایت را به صورت جامع  در نظر بگیریم و از داده های سایت خود مراقبت کنیم.

 

امنیت وب سایت چیست؟

امنیت وب سایت اقداماتی است که برای تأمین امنیت وب سایت در برابر حملات سایبری انجام می شود.در واقع امنیت وب سایت یک فرایند همیشه در حال انجام و یک بخش اساسی برای مدیریت یک وب سایت است.

 

چرا امنیت وب سایت اهمیت دارد؟

امنیت وب سایت مهم است زیرا هیچ کس نمی خواهد یک وب سایت هک شده داشته باشد. داشتن یک وب سایت ایمن به اندازه داشتن یک میزبان وب سایت برای حضور آنلاین حیاتی است. به عنوان مثال اگر یک وب سایت هک شده و در لیست سیاه قرار گرفته باشد ، تا ۹۸٪ از ترافیک خود را از دست می دهد. نداشتن یک وب سایت امن می تواند به اندازه نداشتن وب سایت و حتی بدتر از آن بد باشد. به عنوان مثال ، نقض اطلاعات مشتری و یا از دست دادن اطلاعات اکانت مشتریان سایت می تواند منجر به طرح دعوا ، جریمه های سنگین برای یک شرکت شود.

۱ تعریف یک استراتژی برای سایت:

یک استراتژی دفاعی برای امنیت عمیق وب سایت لازم است

 

۲ چگونه جوانب مثبت طراحی سایت با امنیت بالا را ببینیم:

ما نمی توانیم آماری را فراموش کنیم ، که باعث می شود امنیت وب سایت موضوعی قانع کننده برای هر کسب وکار آنلاینی صرف نظر از اندازه آنها باشد.

۶۷٪ از مشتریان وب سایتها در مورد امنیت وب سایت سوال کرده اند ، اما تنها کمتر از ۱٪ از سایتها، امنیت وب سایت را به عنوان یک سرویس می دانند.

حدود ۷۲٪ متخصصان و طراحان سایت نگران تجربه حمله سایبری در سایتهای مشتری محور هستند.

 

چرا وب سایت ها هک می شوند:

در سال ۲۰۲۰ هزاران سایت در اینترنت وجود دارند.غالباً تصور اشتباهی در مورد هک شدن وب سایت ها وجود دارد. دارندگان  و پشتیبانهای سایت معتقدند که سایت آنها هک نمی شوند زیرا سایتهای آنها کوچک است. هکرها اگر بخواهند اطلاعات یا منابعی را بدزدند می توانند سایت های بزرگتری را انتخاب کنند.

 ولی برای اهداف دیگرشان (که رایج تر است) ، هر سایت کوچک هم به اندازه کافی ارزشمند است.

 

هنگام هک کردن وب سایت اهداف مختلفی وجود دارد ، اما موارد اصلی به صورت زیر هستند:

 

  • بهره برداری از بازدید کنندگان یک سایت
  • سرقت اطلاعات ذخیره شده در سرور.
  • فریب ربات ها و خزنده ها  و ربات های موتورهای جستجو(سئو سیاه)
  • سوءاستفاده از منابع سرور.
  • علاقه به خرابکاری.

 

۱ حملات خودکار به سایت ها

اتوماسیون باعث کاهش هزینه ها ، امکان افزایش فرصت برای راحتی کارها و موفقیت سایت می شود – صرف نظر از میزان ترافیک یا محبوبیت وب سایت.

 

اما در حقیقت ، اتوماسیون در دنیای هک کردن پادشاهی است. حملات خودکار اغلب شامل نقاط آسیب پذیر شناخته شده برای تحت تأثیر قرار دادن زیر مجموعه بزرگی از سایت ها می شود ، گاهی اوقات حتی بدون اطلاع صاحب سایت.

 

حملات خودکار براساس فرصت انجام می شود. برخلاف تصور عامه ، حملات خودکار به دلیل دسترسی و سهولت دسترسی ، بسیار بیشتر از حملات هدفمند است.

[/et_pb_text][/et_pb_column][/et_pb_row][et_pb_row][et_pb_column type=”1_2″][et_pb_text _builder_version=”3.19.17″]

تقریبا ۶۰٪ سایتها در اینترنت با CMS اجرا می شود.

 

۲.ملاحظات امنیتی سیستم های مدیریت محتوا CMS

با استفاده از سیستم مدیریت محتوای منبع باز (CMS) مانند وردپرس ،مجنتو،  جوملا یا دروپال ، یک شرکت به راحتی می تواند وارد فضای آنلاین شود و وب سایت خود را به سرعت راه اندازی کند.ولی آیا طراحی سایت با امنیت بالا با این سیستمهای مدیریت محتوا ممکن است؟

در حالی که این سیستم عامل ها اغلب به روزرسانی های امنیتی زیادی را ارائه می دهند ، استفاده از بخش های قابل توسعه مانند افزونه ها – منجر به آسیب پذیری هایی می شود که هکر ها می توانند با این فرصتها به سایت حمله کنند.

ما راهنمای امنیتی سایت را برای هر سیستم مدیریت محتوا آماده کرده ایم تا به صاحبان وب سایت ها کمک کنیم از سایتهای خود محافظت کنند و تهدیدات آن را کاهش دهند.

[/et_pb_text][/et_pb_column][et_pb_column type=”1_2″][et_pb_image _builder_version=”3.19.17″ src=”https://idev-group.ir/blog/wp-content/uploads/2020/07/طراحی-سایت-امنیت-بالا-با-استفاده-از-تیم-طراحی-سایت-شرکت-نرم-افزاری-آی-دِو.jpg” /][/et_pb_column][/et_pb_row][et_pb_row][et_pb_column type=”4_4″][et_pb_text _builder_version=”3.19.17″]

امنیت اطلاعات در طراحی سایت با امنیت بالا

محرمانه بودن اطلاعات  ، صداقت و در دسترس بودن آنها سه جز اصلی هر سایتی باید باشد. از این مدل برای توسعه سیاستهای تأمین امنیت سازمانها هم استفاده می شود.

۱ محرمانه بودن

محرمانه بودن به کنترل دسترسی اطلاعات برای اطمینان از عدم دسترسی به افرادی که دسترسی ندارند ، اطلاق می شود. این کار را می توان با گذرواژه ها ، نام های کاربری و سایر متغیر های کنترل دسترسی در طراحی سایت با امنیت بالا انجام داد.

 

یکپارچگی اطلاعات:

 

یکپارچگی اطمینان حاصل می کند که اطلاعاتی که کاربران نهایی دریافت می کنند توسط کسی غیر از مالک سایت قابل تغییر نیست. این اغلب با رمزگذاری انجام می شود ، مانند گواهینامه های Secure Socket Layer (SSL)  که اطمینان حاصل می کنند که داده ها در هنگام گذر از سایت رمزگذاری می شوند.

 

در دسترس بودن اطلاعات

در دسترس بودن اطمینان می دهد که در صورت لزوم می توان به اطلاعات دسترسی داشت.

شایع ترین تهدید برای دسترسی به وب سایت ، حمله دی داس DDoS است.

 

اکنون که ما در حملات خودکار و هدفمند یاد گرفتیم ، می توانیم به رایج ترین تهدیدهای امنیتی وب سایت بپردازیم:

 

آسیب پذیری ها و تهدیدات وب سایت

در اینجا رایج ترین آسیب پذیری ها و تهدیدات امنیتی وب سایت ذکر شده است:

۱.تزریق SQL

حملات تزریق SQL با تزریق کد مخرب در یک کوئری آسیب پذیر SQL انجام می شود.یک مهاجم درخواست خاص ساخته شده را اضافه کند.

 

یک حمله موفق ، کوئری پایگاه داده را به گونه ای تغییر می دهد که می تواند به جای اطلاعاتی که وب سایت انتظار دارد ، اطلاعات مورد نظر مهاجم را بازگرداند. تزریق SQL حتی می تواند با اطلاعات مخرب اطلاعات پایگاه داده را تغییر داده یا اضافه کند.

 

۲.اسکریپت نویسی Cross-site (XSS)

حملات اسکریپت کراس سایت شامل تزریق اسکریپت های مخرب سمت مشتری به یک وب سایت و استفاده از وب سایت به عنوان یک روش انتشار است.در طراحی سایت با امنیت بالا حتما باید این موارد را در نظر داشته باشید.

 

خطر XSS این است که به یک مهاجم اجازه می دهد تا محتوا را در یک وب سایت تزریق کند و نحوه نمایش آن را تغییر دهد و مرورگر قربانی را مجبور کند تا هنگام بارگیری صفحه ، کد ارائه شده توسط مهاجم را اجرا کند. اگر ادمین سایت وارد شده باشد کد بارگیری می شود ، اسکریپت با سطح دسترسی ادمین سایت اجرا می شود ، که می تواند منجر به تصاحب سایت شود.

 

۳.حمله های نیروی بی اعتبار یا ناشناس Credential

دسترسی به ناحیه مدیر وب سایت ، کنترل پنل یا حتی به سرور SFTP یکی از روشهای رایج است که برای به خطر انداختن وب سایت ها استفاده می شود. مراحل بسیار ساده می باشد؛ مهاجمان در اصل یک اسکریپت را امتحان می کنند تا چندین نام کاربری و کلمه عبور را امتحان کند تا زمانی که اطلاعات ورود را پیدا کند.

 

پس از دریافت اطلاعات دسترسی ، مهاجمان می توانند انواع فعالیت های مخرب ، از کمپین های هرزنامه گرفته تا دزدی کارت اعتباری را انجام دهند.

 

۴.نفوذ و حملات بدافزار | طراحی سایت با امنیت بالا

مهاجمان با استفاده از برخی از موارد امنیتی قبلی به عنوان ابزاری برای دسترسی غیرمجاز به وب سایت ، می توانند:

 

  • هرزنامه ها را در صفحه تزریق کنند
  • برای حفظ دسترسی ، یک درب پشتی در سایت ایجاد کنند.
  • اطلاعات بازدید کننده یا داده های کارت اعتباری را جمع آوری کنند
  • سوء استفاده  بر روی سرور انجام دهند تا سطح دسترسی افزایش یابد
  • از رایانه های بازدید کنندگان برای استخراج بیت کوین یا ارزهای رمزگذاری شده استفاده کنند.
  • اسکریپت های و کنترل بات نت را ذخیره کند.
  • نمایش تبلیغات ناخواسته ، بازدید کنندگان را به سایت های کلاهبرداری هدایت کند.
  • میزبان دانلودهای مخرب
  • حمله به سایتهای دیگر را انجام دهد.

 

۵.حمله دی داس DoS/DDoS

حمله (DDoS) یک حمله اینترنتی غیرقابل نفوذ است. این حمله به سایت ها برای از بین بردن وب سایت هدفمند و یا کند کردن آن با خرابکاری در شبکه ، سرور یا برنامه با ترافیک جعلی است.

 

حملات DDoS تهدیدهایی است که در طراحی سایت با امنیت بالا باید خود را با آن آشنا سازید زیرا یک بخش مهم از نظر امنیتی است. هنگامی که یک حمله DDoS یک نقطه پایانی آسیب پذیر منابع را هدف قرار می دهد ، حتی تعداد کمی ترافیک نیز برای موفقیت حمله کافی است.

 

ساخت سایت با امنیت بالا و انطباق PCI

استانداردهای امنیت داده های کارت های پرداخت (PCI-DSS) الزامات لازم را برای صاحبان وب سایت یا فروشگاه های آنلاین ارائه می دهد. این الزامات به شما اطمینان می دهد که می توانید داده های دارنده کارت را که به عنوان یک فروشگاه اینترنتی جمع می کنید به طور صحیح تضمین و نگهداری کنید.

 

برای یک کارت پرداخت الکترونیک اطلاعات به این صورت است:

 

  • تاریخ انقضا
  • کد شماره حساب
  • کد پین
  • رقم CVV
  • نام دارنده کارت و / یا نام خانوادگی

مقررات مربوط به انطباق PCI بدون توجه به اینکه داده ها را به صورت دیجیتالی ، به صورت کتبی به اشتراک می گذارید اعمال می شود .

 

برای وب سایت های فروش آنلاین ، انجام همه کارهایی که در توان خود دارند برای اطمینان از انتقال داده های دارنده کارت از مرورگر به سرور وب با رمزگذاری صحیح از طریق HTTPS بسیار مهم است. همچنین هنگام انتقال اطلاعات مشخص، باید به طور ایمن روی سرور ذخیره شود.

 

هکرها ممکن است سعی کنند داده های دارنده کارت را در هر زمان سرقت یا رهگیری کنند ، خواه داده ها در حالت ذخیره باشد و یا در حال انتقال.

چارچوب امنیت سایت

صرف نظر از اندازه فروشگاه آنلاین شما ، ایجاد یک چارچوب امنیتی می تواند به کاهش خطر کلی سایت کمک کند.

دانستن امنیت یک فرایند مداوم است به معنای شروع آن با ایجاد یک چارچوب امنیت وب سایت است. این چارچوب مستلزم ایجاد “فرهنگ امنیت” است.

پنج عملکرد: شناسایی ، محافظت ، کشف ، پاسخ و بازیابی با جزئیات بیشتر به همراه عملکردهایی برای ساخت سایت با امنیت بالا ارائه می شوند:

 

۱ موجودیت های سایت را مشخص کنید

در این مرحله تمام موجودی و دارایی سایت مستند و بررسی می شود.

 

موجودی دارایی سایت را می توان به زیر گروههای زیر برد:

 

خواص وب سایت،

سرورهای وب و زیرساختها ،

افزونه ها و ماژول ها ،

ادغام های بخشهای مختلف و خدمات به مشتریان ،

نقاط دسترسی در سایت

هنگامی که لیستی از دارایی های وب سایت خود را می نویسید ، می توانید برای محافظت از آنها برنامه ریزی کنید.

 

۲.محافظت از منابع سایت

دلایل زیادی وجود دارد که اجرای اقدامات پیشگیرانه در ساخت سایت با امنیت بالا بسیار مهم است ، اما از کجا شروع می کنید؟برای طراحی سایت با امنیت بالا اینها به عنوان فناوریهای محافظتی و لایه های دفاعی شناخته می شوند.

 

بعضی اوقات این اقدامات الزامات مربوط به بخشهای آسیب پذیر سایت است.همچنین می تواند مربوط به سیاست های آموزش کارکنان و کنترل دسترسی باشد.

یکی از بهترین راه های محافظت از وب سایت شما ، فعال کردن برنامه فایروال وب است.

 

 

۳.نظارت مداوم روی سایت

نظارت مداوم مفهومی است که به اجرای ابزارهایی برای نظارت بر وب سایت (دارایی) شما و هشدار دادن به شما در مورد هر مسئله ای اشاره دارد.

 

برای تأیید وضعیت امنیتی ، نظارت سایت باید انجام شود:

 

سوابق DNS ،

گواهینامه های SSL ،

پیکربندی وب سرور ،

به روز رسانی برنامه ها ،

دسترسی کاربر ،

یکپارچگی پرونده های سایت،

همچنین می توانید از اسکنرها و ابزارهای امنیتی (مانند SiteCheck) برای اسکن کردن آسیب پذیری سایت استفاده کنید.

 

۴.پاسخ دهی در محل آسیب دیده سایت

هنگامی که حادثه ای رخ داد ، باید یک برنامه پاسخگویی در محل ایجاد شود. داشتن یک برنامه پاسخگویی قبل از حادثه مناسب است.

 

یک برنامه پاسخگویی مناسب برای آسیب سایت شامل موارد زیر است:

 

انتخاب تیم یا شخص پاسخ دهنده در حادثه

گزارش حادثه برای بررسی یافته ها

کاهش اثرات حمله به سایت

در طی روند از بین بردن خسارات به سایت ، ما هرگز از قبل نمی دانیم چه بدافزارهایی را می خواهیم پیدا کنیم. برخی از مسائل می توانند به سرعت گسترش یافته و سایر وب سایتها را در محیطهای سرور مشترک (آلودگی متقابل) آلوده کنند.

 

روند پاسخ به حادثه ، ، به چهار مرحله گسترده تقسیم می شود:

 

تهیه و برنامه ریزی

تشخیص و تجزیه و تحلیل

مهار ، ریشه کن کردن و بازیابی

فعالیت های بعد از آسیب دیدن سایت

داشتن یک مرحله آماده سازی جامع و یک تیم امنیتی وب سایت که می توانید روی آن حساب کنید برای موفقیت این ماموریت بسیار مهم است.

 

 

تهیه و برنامه ریزی

در این مرحله ، ما اطمینان پیدا می کنیم که قبل از وقوع یک حادثه ، همه ابزار و منابع لازم را در اختیار داریم.

 

شرکت های میزبانی وب سرور با اطمینان از امنیت کافی سیستم ها ، سرورها و شبکه ها در این مرحله نقش اساسی دارند. همچنین اطمینان حاصل کنید که توسعه دهنده وب یا تیم فنی شما برای رسیدگی به یک حادثه امنیتی سایت آماده است.

 

تشخیص و تجزیه و تحلیل

اگرچه روش های مختلف حمله وجود دارد ، اما ما باید برای رسیدگی به هرگونه آسیبی در سایت آماده باشیم.

بسته به مسئله و قصد ، مرحله تشخیص می تواند مشکل باشد. برخی از مهاجمان به دنبال شهرت هستند ، برخی دیگر ممکن است بخواهند از منابع استفاده کنند یا از اطلاعات حساس (کارت اعتباری) مشتریان سو استفاده کنند.

 

در بعضی موارد ، هیچ علامتی مبنی بر نصب یک درب پشتی وجود ندارد که انتظار می رود مهاجم برای فعالیت های مخرب به آن دسترسی پیدا کند.

 

مهار ، ریشه کن کردن و بازیابی

این روند باید با نوع مسئله موجود در وب سایت و استراتژی های از پیش تعریف شده بر اساس حمله سازگار شود.

 

به عنوان مثال ، حمله های کریپتوماینر معمولاً منابع زیادی را از طریق سرور (Leecher) مصرف می کنند و قبل از شروع روند اصلاح ، تیم امنیت سایت باید آماده باشند. مهار این حمله یک اقدام اساسی برای جلوگیری از هدر رفتن منابع اضافی و آسیب بیشتر است.

 

اگر یک پرونده خاص را ۱۰۰٪ مخرب تشخیص دهیم ، باید عملی برای پاک کردن آن انجام شود. اگر پرونده حاوی کد جزئی مخرب است ، فقط باید آن بخشی از آن در سایت حذف شود. هر سناریو باید یک روند خاص داشته باشد.

 

.

 

فعالیت های انجام شده و گزارش آسیب به سایت

 

در این مرحله ، تیم امنیت سایت باید گزارشی را ارائه دهد که جزئیات آن چه اتفاق افتاده است ، چه اقداماتی انجام شده است و مداخله چگونه انجام شده است را توضیح دهد. ما باید درباره این حادثه تأمل کنیم ، از آن درس بگیریم و برای جلوگیری از موضوعات مشابه در آینده اقدام کنیم. این اقدامات می تواند به آسانی به روزرسانی یک جزء ، تغییر رمزهای سایت یا اضافه کردن فایروال وب سایت باشد تا از آسیب های جدید جلوگیری کند.

 

 

اگر شما در زمینه طراحی سایت با امنیت بالا تجربه ای ندارید برای سفارش طراحی سایت با امنیت بالا با گروه نرم افزاری آی دِو در ارتباط باشید. متخصصان i-dev وب سایت با امنیت بالا به شما ارائه می دهند و شما را در این زمینه راهنمایی خواهند کرد.

 

 

بهترین روشهای برای ایجاد رمز قوی در طراحی سایت با امنیت بالا:

 

از رمزهای عبور خود مجدداً استفاده نکنید: هر رمز عبوری که دارید باید منحصر به فرد باشد. یک رمز ساز می تواند این کار را آسان تر کند.

گذرواژه‌های طولانی: بیش از ۱۲ کاراکتر را برای رمز عبور خود امتحان کنید. هرچه رمز عبور سایت طولانی تر باشد ، یک برنامه رایانه ای برای هم کردن آن زمان بیشتری صرف می کند.

از رمزهای عبور تصادفی استفاده کنید: اگر برنامه رمز ساز شما شامل کلمات یافت شده بصورت آنلاین یا در فرهنگ لغت باشد ، می توانید میلیونها رمز عبور را در عرض چند دقیقه حدس بزنید. اگر در گذرواژه خود کلمات واقعی دارید ، تصادفی نیست. اگر به راحتی می توانید رمز عبور خود را بیان کنید ، به این معنی است که به اندازه کافی قوی نیست. حتی استفاده از جایگزینی کاراکتر (یعنی جایگزین کردن حرف O با عدد ۰) کافی نیست. چندین  رمزساز قوی وجود دارد ، مانند LastPass (آنلاین) و KeePass  (آفلاین).

این ابزارها کلمه عبورهای شما را با فرمت رمزگذاری شده ایجاد می کنند و به راحتی می توانند با کلیک یک دکمه رمزهای عبور تصادفی تولید کنند.

 

۳.خطر سرور مشترک در ساخت سایت با امنیت بالا:

میزبانی وب سایت های بسیار بر روی یک سرور واحد می تواند ایده آل به نظر برسد ، به خصوص اگر برنامه میزبانی وب “نامحدود” داشته باشید. متأسفانه ، این یکی از بدترین روشهای امنیتی است که می توانید به کار بگیرید. میزبانی بسیاری از سایتها در یک سرور مشترک ، سطح حمله بسیار بزرگی را ایجاد می کند.

 

بسیاری از شرکتهای طراحی سایت در ایران از سرور مشترک برای طراحی سایت استفاده می کنند که بسیار مشکل زا است.ما در شرکت طراحی سایت آی دِو برای هر وب سایت از سرور اختصاصی استفاده می کنیم تا طراحی سایت با امنیت بالا را برای شما عزیزان فراهم کنیم.

 

یک مشکل دیگر در سرور مشترک این است که سایت شما به دلیل سرور ضعیف یا تحت تاثیر سایت های دیگر در آن سرور می تواند آسیب پذیر شود.

 

به عنوان مثال ، یک سرور حاوی یک سایت ممکن است یک سایت وردپرسی با یک قالب و ۱۰ افزونه داشته باشد که به طور بالقوه توسط یک مهاجم هکر قابل هک باشد. اگر اکنون میزبانی پنج سایت را در یک سرور واحد دارید، فعالیت هکر باعث پخش شدن این نفوذ و آسیب در کل سرور می شود و بقیه سایتهای شما هم آسیب خواهند دید.

 

پس از موفقیت آمیز بودن پاکسازی ، اکنون نوبت به تنظیم مجدد رمزهای سایت است. به جای فقط یک سایت ، تعدادی از آنها را دارید.

 

۴.دسترسی کاربر و مجوزهای سایت

کد وب سایت شما ممکن است مورد حمله یک مهاجم قرار نگیرد ، اما کاربران شما باعث آسیب سایت شوند. ضبط آدرسهای IP و کل تاریخچه فعالیت بعداً برای سایت مفید خواهد بود.

 

به عنوان مثال افزایش زیاد تعداد کاربران ثبت شده ممکن است نشانگر عدم موفقیت در روند ثبت نام باشد و یا به کاربران و اسپم ها اجازه دهد تا سایت شما را با محتوای بی ارزش و لینک سازی اسپم پر کنند.این بخش در سئو بسیار حائز اهمیت است.

 

 

آیا یک نویسنده باید از همه دسترسی ها برخوردار باشد؟ نقش های جداگانه ای را بر اساس اعتماد به آنها در نظر بگیرید ودسترسی خاصی برای هر فرد در نظر بگیرید.

 

این فقط در مورد سایتهایی که دارای چندین کاربر یا ورود هستند صدق می کند. مهم این است که هر کاربر اجازه لازم را برای انجام کار خود داشته باشد. اگر مجوزهای بیشتر لحظه به لحظه مورد نیاز است ، آن را به شخص بدهید. بعد از اتمام کار ، آن را کاهش دهید.

 

به عنوان مثال ، اگر شخصی می خواهد یک پست وبلاگ مهمان را برای شما بنویسد ، اطمینان حاصل کنید که حساب آنها از دسترسی ادمین کامل برخوردار نیست. این حساب فقط باید قادر به ایجاد پست های جدید و ویرایش پست های خاص خود باشد زیرا دیگر نیازی به امکان تغییر تنظیمات سایت ندارد.

 

 

این بخش غالبا توسط مدیر سایت نادیده گرفته می شود:

 پاسخگویی و نظارت. اگر چندین نفر یک حساب کاربری واحد را به اشتراک بگذارند و یک تغییر ناخواسته توسط آن کاربر ایجاد شود ، چگونه می دانید کدام یک از اعضای تیم شما مسئول بوده است؟

 

هنگامی که برای هر کاربر حساب جداگانه دارید ، می توانید تغییران اعمال شده توسط هر کاربر را کنترل کنید.

 

مجوزهای فایل ها در سایت

مجوزهای فایل ها تعریف می کنند چه کسی می تواند برای یک پرونده چه کاری انجام دهد. هر پرونده دارای سه مجوز در دسترسی است و هر مجوز توسط یک شماره ارائه می شود:

 

دفعات بازدید: مشاهده محتوای پرونده

نوشتن : محتوای پرونده را تغییر دهید

اجرای : پرونده یا برنامه را اجرا کنید

 

انواع کاربر

همچنین سه نوع کاربر وجود دارد:

 

مالک: معمولاً سازنده پرونده است ، اما این قابل تغییر است. فقط یک کاربر می تواند مالک باشد.

گروه: به هر پرونده گروهی اختصاص داده می شود و هر کاربر که بخشی از آن گروه باشد این مجوزها را دریافت می کند.

عمومی: هر کس دیگری.

 

 

طراحی سایت با امنیت بالا با تغییر تنظیمات پیش فرض سیستم مدیریت محتوا:

برنامه های کاربردی امروز CMS (هر چند استفاده آسان) می تواند از منظر امنیتی برای کاربران مشکل زا باشد. تاکنون رایج ترین حملات علیه وب سایت ها کاملاً خودکار بوده است. بسیاری از این حملات تنها به تنظیمات پیش فرض کاربران متکی هستند. این بدان معنی است که شما می توانید با تغییر تنظیمات پیش فرض هنگام نصب CMS مورد نظر خود ، از تعداد زیادی از حملات و نفوذ به سایت خود جلوگیری کنید.

 

به عنوان مثال ، برخی از برنامه های CMS توسط کاربر قابل نوشتن است – به کاربر امکان می دهد پلاگین مورد نظر خود را نصب کند.

 

تنظیماتی وجود دارد که ممکن است بخواهید برای کنترل نظرات ، کاربران تنظیم کنید. مجوزهای پرونده نمونه دیگری از تنظیمات پیش فرض است.

 

 

آموزش طراحی سایت با وردپرس

 

 

۶ انتخاب پلاگین مناسب برای سایت

 

در اینجا مواردی است که می توانید هنگام تصمیم گیری برای استفاده از پلاگین ها به دنبال آن باشید:

 

پس از آخرین به روزرسانی برنامه افزودنی یا افزونه: اگر آخرین به روزرسانی بیشتر از یک سال پیش بود ، ممکن است نویسنده دست از کار روی آن کشیده باشد.

 از افزونهایی استفاده کنید که بطور فعال ایجاد می شوند زیرا نشان می دهد که نویسنده حداقل در صورت کشف مسائل امنیتی مایل به پیاده سازی اصلاح است.

سن برنامه پلاگین و تعداد نصب ها: افزونه ای که توسط یک نویسنده ایجاد شده است و دارای زیادی نصب است ، قابل اعتمادتر از یک نسخه دارای چند نصب است که توسط یک توسعه دهنده بار اول منتشر شده است. نه تنها توسعه دهندگان با تجربه ایده بهتر در مورد بهترین شیوه های امنیتی دارند ، بلکه احتمالاً با وارد کردن کد مخرب در برنامه افزودنی خود به شهرت خود آسیب می رسانند.

منابع قانونی و قابل اعتماد: افزونه ها ، برنامه های افزودنی و خود را از منابع قانونی دانلود کنید. مراقب نسخه های رایگان باشید که ممکن است آلوده به بدافزارها باشند. برخی برنامه های پلاگین وجود دارد که تنها هدف آنها آلوده کردن هرچه بیشتر وب سایت با بدافزار است.

پشتیبان گیری( بک آپ) وب سایت

در صورت هک ، داشتن نسخه پشتیبان وب سایت برای بازیابی وب سایت شما بسیار مهم است. اگرچه برای داشتن راه امنیتی سایت نباید جایگزینی در نظر گرفته شود ، تهیه نسخه پشتیبان می تواند به بازیابی فایل های آسیب دیده سایت کمک کند.

 

انتخاب بهترین روش تهیه پشتیبان وب سایت:

یک بک آپ خوب باید شرایط زیر را برآورده کند:

 

اول ، آنها باید در خارج سایت نگهداری شوند. اگر نسخه پشتیبان تهیه شده شما در سرور وب سایت شما ذخیره می شود ، در برابر حملات آسیب پذیر هستند مانند هر فایل دیگری که در آنجا هستند. شما باید نسخه پشتیبان خود را خارج از سایت نگه دارید زیرا می خواهید داده های ذخیره شده شما در برابر هکرها و خرابی سخت افزار محافظت شود. ذخیره کردن نسخه پشتیبان در وب سرور شما نیز یک خطر مهم امنیتی است. این نسخه پشتیبان همواره حاوی نسخه های غیرقابل مشاهده CMS و افزونهای سایت شما هستند و به هکرها امکان دسترسی آسان به سرور شما را می دهند.

دوم ، نسخه پشتیبان تهیه شده شما باید خودکار باشد. شما هر روز کارهای زیادی انجام می دهید که به خاطر آوردن تهیه نسخه پشتیبان از وب سایت خود ممکن است غیرقابل تصور باشد. از یک نرم افزار پشتیبان گیری خوب استفاده کنید که می تواند برای رفع نیازهای وب سایت شما به طور خودکار بک آپ بگیرد.

نسخه پشتیبان سایت را تست کنید تا مطمئن شوید که در واقع کار می کنند.

۸.پرونده های پیکربندی سرور

با پرونده های پیکربندی سرورخود آشنا شوید: سرورهای Apache از پرونده .htaccess استفاده می کنند ، سرورهای Nginx از nginx.conf استفاده می کنند ، سرورهای IIS Microsoft از web.config استفاده می کنند.

 

در اینجا چند روش عالی برای اضافه کردن یک وب سرور خاص وجود دارد:

 

جلوگیری از مرور دایرکتوری: این کار باعث می شود کاربران مخرب از مشاهده محتویات هر فهرست در وب سایت دیدن نکنند. محدود کردن اطلاعات در دسترس مهاجمان همیشه یک احتیاط امنیتی مفید است.

جلوگیری از تصویر hotlinking یا لینک دانلود دایرکتوری: در حالی که این یک پیشرفت امنیتی نیست ، اما مانع از نمایش وب سایت های دیگر در سرور شما می شود.هزینه پهنای باند برنامه میزبانی شما ممکن است به سرعت در حال افزایش باشد.

 

محافظت از پرونده های حساس: می توانید قوانینی را برای محافظت از پرونده ها و پوشه های خاص تنظیم کنید. پرونده های پیکربندی سیستم مدیریت محتوا سایت یکی از حساس ترین پرونده هایی است که در سرور ذخیره می شود زیرا شامل جزئیات ورود به بانک اطلاعاتی در متن ساده است. سایر مکان ها ، مانند بخشهای دسترسی مدیر سایت ، می توانند قفل شوند

 

 ۹.یک گواهی SSL نصب کنید

از گواهینامه های SSL برای رمزگذاری داده ها در انتقال بین هاست (وب سرور یا فایروال) و مشتری (مرورگر وب) استفاده می شود. این کاراطمینان حاصل می کند که اطلاعات شما به سرور درست ارسال شده و رهگیری نمی شوند.

 

۱۰ بهترین اقدامات امنیتی شخصی را دنبال کنید

ایمن سازی رایانه شخصی شما یک کار مهم برای دارندگان وب سایت است. دستگاه های شما می توانند به یک منبع هک تبدیل شده و باعث هک شدن وب سایت شما شوند.

 

شما باید تمام برنامه های استفاده نشده را از رایانه خود حذف کنید. این مرحله بسیار مهم است زیرا این برنامه ها می توانند مسائل مربوط به حریم خصوصی را نیز انجام دهند و به بخشهای مختلف سیستم شما دسترسی داشته باشند، دقیقاً مانند پلاگین های بلااستفاده و موجود در وب سایت شما.

 

۱۱.یک فایروال وب نصب کنید

استفاده از گواهینامه های SSL به تنهایی برای جلوگیری از دسترسی هکرها به اطلاعات حساس کافی نیست. آسیب پذیری در برنامه وب شما می تواند به هکر اجازه دهد تا از ترافیک شما اصطلاحا استراق سمع کند ، بازدید کننده را به وب سایت های جعلی هدایت کند ، اطلاعات جعلی را نمایش دهد.

 

فایروال وب (WAF) برای جلوگیری از چنین حملاتی علیه وب سایت ها طراحی شده است و به شما امکان می دهد تا روی بهینه سازی سایت خود تمرکز کنید.

 

۱۲.از سرویس امنیت وب سایت استفاده کنید

برای کمک به محافظت از وب سایت های خود وطراحی سایت با امنیت بالا، از این منابع و ابزار رایگان استفاده کنید.

 

ابزارهای امنیت وب سایت:

در اینجا برخی از ابزارهای امنیتی وب سایت رایگان را معرفی می کنیم:

 

SiteCheck – بررسی رایگان امنیت وب سایت و اسکنر بدافزار

Sucuri Load Time Tester – سرعت وب سایت را بررسی و مقایسه کنید

افزونه امنیتی Sucuri WordPress – اسکنر بدافزار و بهبود امنیت برای وب سایت های وردپرسی

کنسول جستجوی Google – اطلاعیه ها و ابزارهای امنیتی برای اندازه گیری میزان ترافیک و عملکرد جستجوی وب سایت ها

Bing Webmaster Tools – گزارشهای تشخیصی و امنیتی موتور جستجوگر

Yandex Webmaster – اعلان های جستجوی وب و نقض امنیت وب

Unmaskparasites – صفحات را برای محتوای غیرقانونی پنهان بررسی کنید

 Best WAF– مقایسه بهترین فایروال های  وب مبتنی بر فضای ابری

منابع بیشتر برای مطالعه طراحی سایت با امنیت بالا:

https://sitecheck.sucuri.net/

https://sucuri.net/guides/pci-compliance-requirements-checklist/

 

https://www.nist.gov/

 

https://www.sans.org/

 

 

سؤالات متداول درباره امنیت سایت و طراحی سایت با امنیت بالا

 

چرا امنیت وب سایت مهم است؟

امنیت سایت برای نگهداری آنلاین و ایمن کردن وب سایت برای بازدید کنندگان بسیار حیاتی است. بدون توجه مناسب به امنیت وب سایت ، هکرها می توانند از وب سایت شما سوءاستفاده کنند ، آن را آفلاین کرده و بر حضور آنلاین شما تأثیر بگذارند. تأثیرات وب سایت هک شده می تواند شامل ضرر مالی ، مشکلات شهرت برند و رتبه بندی بد سایت در موتورهای جستجو باشد.

 

خطرات امنیتی برای وب سایت چیست؟

 

خطرات اصلی امنیتی یک وب سایت شامل: کد آسیب پذیر ، کنترل ضعیف دسترسی و بهره برداری از منابع سرور است. به عنوان مثال ، حملات DDoS می تواند یک وب سایت را در عرض چند دقیقه از دسترس بازدید کنندگان خارج کند. دلایل زیادی برای هک شدن وب سایت ها وجود دارد. یک رمز عبور ضعیف یا افزونه منسوخ  شده می تواند  منجر به یک وب سایت هک شده شود.

 

چگونه می توانید بگویید سایت شما ایمن است؟

یک وب سایت ایمن دارای یک فایروال وب است که برای جلوگیری از حمله و هک ها فعال شده است. همچنین بهترین اقدامات امنیتی وب سایت را دارا است و هیچگونه مشکلات پیکربندی یا آسیب پذیری های شناخته شده ای ندارد. می توانید از SiteCheck استفاده کنید تا سایت خود را بررسی کنید.

 

آیا برای وب سایت خود نیاز به امنیت دارم؟

بله کاملا. امنیت سایت با اکثر خدمات میزبانی وب گنجانده نشده است. مسئولیت تأمین وب سایت بر عهده مالک سایت است. امنیت باید یکی از اولین ملاحظات در هنگام طراحی سایت باشد.اگر طراحی سایت خود را از یک شرکت طراحی سایت می سپارید حتما از آنها بخواهید طراحی سایت با امنیت بالا را برای شما انجام دهند.

 

چگونه می توان وب سایت خود را ایمن کرد؟

می توانید وب سایت خود را با رعایت بهترین شیوه های امنیتی وب سایت ، مانند داشتن فایروال وب سایت ، ایمن کنید. با استفاده از آخرین نسخه CMS ، افزونه ها و ساخت رمزعبور قوی؛ فقط دادن نوع دسترسی به شخصی که برای انجام یک کار به آن نیاز دارد.

 

هنوز هم درباره امنیت سایت خود نگران هستید؟جهت مشاوره با کارشناسان طراحی سایت آی دِو در تماس باشید. ما سایت شما را با امنیت بالایی طراحی خواهیم کرد و استانداردهای سئو در آن رعایت خواهند شد.

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]

author-avatar

درباره مدیر وب سایت

شرکت نرم افزاری آسان افزار رایانه آتیه گستر (گروه نرم افزاری i-dev) با مسئولیت محدود و شماره ثبت 550646 در اداره ثبت شرکت های استان تهران ثبت شد و محوریت کاریش، طراحی و پیاده سازی و توسعه نرم افزار های تحت وب و اپلیکیشن های موبایلی با محوریت PWA و همچنین طراحی سیستم های یکپارچه سازمانی و شرکتی همانند ERP - CRM و HelpDesk می باشد.

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *