اﻣﻨﯿﺖ ﭼﯿﺴﺖ

مجموعه اقداماتی جهت حفاظت از سیستم ها، شبکه و غیره جهت جلوگیری از سرقت اطلاعات و صدمه به سخت افزار و نرم افزار گفتهمی شود.

خدمات امنیتی چیست؟

اجرا و پیاده سازی ساز و کارها و ارائه ی آن به کاربران به شرطی کهبتوان میزان وقوع حمله را به حداقل رساند.

مشهورترین این خدمات عبارت است از :

(Privacy Information) محرمانه ماندن اطلاعات

(Authentication) احراز هویت

(Encryption) رمزنگاری

(Permission Control) کنترل دسترسی

(Permission Control) کنترل دسترسی

توجه داشتن به مباحث امنیتی از جمله مهم ترین عواملی است کهمی تواند در حفظ اطلاعات شما و فاش نشدن آن ها تاثیر به سزاییداشته باشد. پس صرف هزینه در این زمینه نیز سبب آسودگی خاطربسیاری از کاربران شما خواهد شد.

سیستم های مدیریت محتوا (CMS)

سیستم های مدیریت محتوا (CMS)

به طور کلی، امنیت به اینکه از چه پلتفرمی استفاده می کنید ارتباطیندارد و چنین چیزی غیر ممکن است که بتوان CMS کاملا امنیساخت و حتی امنیت را صرفا به نوع آن (CMS) مرتبط دانست. بهعلاوه افزایش امنیت به معنای پایین آوردن میزان ریسک نفوذ استنه حذف آن؛ این به معنی بهبود وضعیت سایت شما و کاهش احتمالهک شدن آن است نه جلوگیری از آن! چون امنیت هیچ گاه ۱۰۰%نیست و مهم ترین وب سایت های خبری و سازمانی نیز تجربه تلخهک شدن را داشته اند. اما با شناخت مهم ترین تهدیدهای امنیتی وبسایت می توان راه های نفوذ به وب سایت را تا حد زیادی بست.

برای افزایش امنیت در CMS به مقاله ی راه های افزایش امنیتمراجعه نمایید.

مهمترین تهدیدهای امنیتی وب سایت ها

۱) هاستینگ (میزبانی وب)

۱) هاستینگ (میزبانی وب)

مهمترین تهدیدهای امنیتی وب سایت ها

یکی از انواع تهدیدهای امنیتی وب سایت ها که منجر به هک شدنوب سایت ها می شود، مسائل مربوط به هاستینگ می باشد. امروزهشما انتخاب های زیادی در خرید یک هاست دارید. بهتر است بدانیدکه آنها تا چه حد به مسائل امنیتی اهمیت می دهند و پایبند آنخواهند بود.

هاست یا سرور مناسب می بایست از حریم خصوصی شما محافظتکند و مدیر سرور مسئولیت ارائه سرویس را بر عهده گیرد. با توجه

به اینکه ما با هرگونه ایمن سازی وب سایت هیچ گاه به امنیت ۱۰۰%نخواهیم رسید، بک آپ گیری منظم و روزانه طبق نیاز شما یکی ازمهم ترین خدمات هاستینگ به حساب می آید.

برای انتخاب یک هاست ایمن به مقاله ی راهنمای انتخاب هاستمناسب مراجعه نمایید.

۲) اپلیکیشن های مورد استفاده در وب سایت

در صورتی که از امنیت هاست خود اطمینان حاصل کردید، حال بایدبه این نکته توجه داشته باشید که امنیت هاست به زیر ساخت سایتمربوط می شود و آنها مسئول امنیت برنامه هایی که شما اقدام بهنصب کرده اید نخواهند بود.

مسائل امنیتی سایت ها به ندرت مربوط به بخش هاستینگ می شودو در بیشتر مواقع به بخش اپلیکیشن های مورد استفاده مرتبط است.

خود آن شامل زیرمجموعه های مختلفی است که می توان با محدودخود آن شامل زیرمجموعه های مختلفی است که می توان با محدود

کردن دسترسی ها – افزایش اطلاعات و دانش خود در زمینه امنیتو دریافت برنامه های موردنیاز از منابع معتبر این ریسک را به میزانقابل توجهی کاهش داد. (در مقالات بعدی به طور تخصصی به اینمبحث می پردازیم.)

۳) حفره های امنیتی کلاینت

مدیران و ادمین سایت ها باید اطمینان داشته باشند که کامپیوتر آنهافاقد هرگونه ویروس، نرم افزار جاسوسی، تروجان ها و .. باشد. درمواقعی که حفره های امنیتی در کامپیوتر شما وجود داشته باشد،احتمال به خطر افتادن امنیت وب سایت وجود دارد و تمام تلاش هایمدیران هاست و بخش پشتیبانی بی ثمر خواهد بود. در صورتوجود حفره های امنیتی، شامل باز بودن پورت های مهم سیستم،وجود بدافزار (RAT)، کیلاگر (Keylogger) و… ممکن است ازصفحه مانیتور شما تصویر برداری شود و یا کیبورد شما تحت نظرباشد و…

باید توجه داشت که نمونه های یاد شده یکی از رایج ترین و ساده ترینروش های هک و سرقت اطلاعات است. (در مقالات بعدی به طورتخصصی به این مبحث خواهیم پرداخت.)

۴) حفره های امنیتی وب سرور (Server Side)

حفره های امنیتی وب سرور (Server Side)

حفره هایی امنیتی در وب سرورها نیز یکی دیگر از تهدیدهای امنیتی

وب سایت ها است. همیشه باید توجه داشت که نسخه معتبری از وبوب سایت ها است. همیشه باید توجه داشت که نسخه معتبری از وب

سرور را نصب کرده باشیم. زمان تهیه ی هاست، حتما اطمینان حاصلکنید که مدیران آن سرور به این مسئله توجه دارند.

در صورتی که امنیت وب سایت شما اهمیت زیادی دارد و از هاست

اشتراکی استفاده می کنید (در هاست اشتراکی چندین وب سایت دریک هاست وجود دارد) ممکن است امنیت وب سایت شما در معرضخطر باشد و هر چقدر موارد امنیتی را رعایت کرده باشید فرقینمی کند!

زیرا در این مواقع هکر از حفره امنیتی وب سایت های ضعیف تر که درهاست با شما مشترک هستند استفاده کرده و به هدف (Target) کهممکن از سایت شما باشد نفوذ می کند. (به این نوع حملات Symlinkگفته می شود)، اطمینان حاصل کنید که مدیران هاست به این مسئلهآگاهی لازم را داشته و دسترسی ها را محدود کرده اند.

و یا اینکه اگر وضعیت مالی شما کفاف می دهد، سایتتان را به هاستاختصاصی منتقل کنید که البته هزینه بالاتری نسبت به هاستاشتراکی دارد.

۵) حفره های امنیتی شبکه

یکی دیگر از موارد تهدیدهای امنیتی وب سایت، وجود حفره هایامنیتی در شبکه است. کل مسیر ارتباطی در شبکه، هر دو سمت(Serverو Client) باید مورد اعتماد باشد. به عنوان مثال نباید ازاینترنت کافی شاپ برای ورود به بخش مدیریت وب سایت خوداستفاده کنید. همین طور استفاده از سیستم های Wireless ریسکبزرگ به حساب می آید. حال اگر مدیریت و امنیت سرور به عهدهبزرگ به حساب می آید. حال اگر مدیریت و امنیت سرور به عهدهخودتان باشد، امنیت شبکه متصل به سرور و سایر سیستم ها نیزاولویت بالاتری دارد. (در مقالات بعدی به طور تخصصی به اینمبحث خواهیم پرداخت.)

۶) رمزهای عبور (Password)

مهمترین تهدیدهای امنیتی در وب سایت ها

انتخاب یک رمز عبور قوی و غیر قابل کرک جهت تأمین امنیت وب

سایت!  هدف از قوی بودن پسورد، جلوگیری از حدس زدن آن توسطافراد و مقابله با حملات بروت فورس است. (حملاتی که با تستتعدادی از پسوردها روی اکانت انجام می شود)

یکی از عادت های بد برخی افراد، استفاده از یک پسورد ثابت یاپسوردهای یکسان در حساب های کاربری مختلف است.

هکرها با به دست آوردن پسورد شما در وب سایت های کم اهمیت،حدس می زنند که شما در انتخاب پسورد از چه عباراتی استفادهمی کنید! لذا از به  کار بردن عبارات قابل حدس و یکسان خودداری

کنید. همیشه سعی کنید از پسوردهایی برای حساب های کاربری خوداستفاده کنید که ترکیبی از اعداد، حروف بزرگ، حروف کوچک،نشانه ها و… باشد. برای مثال:

Am!e!@#J)78*$’a`d

وب سایت زیر به شما کمک خواهد کرد تا بتوانید میزان ایمن بودنپسورد انتخابی را تست کنید و بدانید چه زمانی طول می کشد تا

پسورد انتخابی را تست کنید و بدانید چه زمانی طول می کشد تاپسورد شما کرک شود.

howsecureismypassword.net (Protocol) پروتکل (۷

(Protocol) پروتکل

در بحث امنیت سرور، اگر سرور شما از سرویس SFTP پشتیبانی

می کند، باید از این سرویس به جای FTP استفاده کنید. از آنجایی

سرویس SFTP مشابه FTP می باشد اما با یک تفاوت! و آن هم ایناست که پسورد و اطلاعات شما را رمزگذاری کرده و سپس ارسالمی کند. در نتیجه رمز عبور شما هیچ گاه به طور واضح در شبکه

ارسال نخواهد شد و توسط برنامه های جاسوسی و اسنیف (شنود)

قابل شناسایی نیست! در واقع  استفاده از سرویس SFTP می تواندنقش مهمی در تأمین امنیت وب سایت داشته باشد. یکی ازمعروف ترین نرم افزار ها WireShark می باشد.

۸) مجوزهای دسترسی (Permission)

مجوز های دسترسی (Permission)

از مهم ترین تهدیدهای امنیتی وب سایت ها می توان به مجوز

دسترسی ویرایش فایل ها اشاره کرد. مخصوصا زمانی که از هاستاشتراکی استفاده می کنید. بهتر است تا جایی که امکان داردمجوزهای دسترسی را برای ویرایش و آپلود فایل به درستی محدود

کنید. مسلما برای این کار باید با ساختار سیستم مدیریت محتوا خودکنید. مسلما برای این کار باید با ساختار سیستم مدیریت محتوا خودآشنا باشید.

۹) امنیت پایگاه داده (Database)

در صورتی که چندین وب سایت را در یک سرور مدیریت می کنیدبهتر است جهت تأمین امنیت وب سایت، برای هر کدام از وب

سایت ها یک پایگاه داده مجزا تعریف کنید. در صورتی که هکر به یکدیتابیس دسترسی پیدا کند این کار مانع دسترسی هکر و هک شدنسایر وب سایت ها می شود.

امنیت پایگاه داده شامل نکات زیادی می باشد که بیشتر به مدیریتسرور مربوط می شود تا اینکه مدیر سایت نقشی در آن داشته باشد.

برای مثال: تغییر پیشوند جداول، تغییر نوع رمزنگاری پسوردها وغیره. (در مقالات بعدی به طور تخصصی به این مبحث خواهیمپرداخت.)

۹ مورد بیان شده از جمله مهمترین تهدیدهای امنیتی وب سایت هابودند که با رعایت آنها می توان گامی موثر در تأمین امنیت

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *