کتاب آموزش برنامه نویسی Ext JS
برای اولین بار در ایران
Ext JS
در مورد Ext JS بیشتر بدانید
خرید کتاب
چطور به عنوان یک ادمین مراقب امنیت وب سایت خود باشیم
دسته بندی ها :از دست ندهید , امنیت
۲۴ تیر ۱۳۹۶
369 بازدید

مدیران وب‌سایت‌ها، مخصوصا آنهایی که در کسب و کارهای کوچک یا سازمان‌هایی بدون نیروی متخصص در این بخش و متخصصان حوزه‌ آی تی اغلب از اصول اولیه مبحث امنیت چشم‌پوشی می‌کنند. این امر می‌تواند در عصر مدرن نه تنها از حیث حملات مستقیم هکری بلکه از نظر حملات اسکریپتی که در مقابل مجموعه‌ای از اهداف بی انتها و تصادفی رخ می‌دهد هم خطرناک باشد.

اصلا مهم نیست که وب‌سایت شما تا چه حد کوچک و نسبتا بی اهمیت است، در هر صورت می‌تواند هدف حملات هکری باشد و چه شما فردی باشید که سایت را نوشته و یا فردی که آن را مدیریت می‌کند، ممکن است با این چند نکته اولیه در حوزه‌ی امنیت وب آشنا نباشید. در این مقاله به این نکات می‌پردازیم، پس با سامیت همراه باشید.

امنیت کلمه عبور

امنیت خوب پسورد (کلمه عبور) یکی از مهم‌ترین فاکتورها برای امنیت وب‌سایت محسوب می‌شود. شما به عنوان مدیر وب‌سایت مسئول انواع پسوردهای مهم شامل مدیریت حساب هاست، دسترسی FTP، دسترسی SSH، دیتابیس‌های MySQL، کنترل پنل وب‌سایت، پنل ادمین وردپرس و سایر موارد هستید. تمام این موارد نیاز به پسوردهای مختلف دارند (هرگز از یک پسورد دوباره استفاده نکنید). در این خصوص عبارات عبور بهتر از کلمات عبور یا همان پسوردها هستند. پیچیدگی پسورد هم به امنیت وب‌سایت کمک می‌کند اما باید چیزی باشد که بتوانید آن را به خاطر بسپارید یا باید از یک پسورد منیجر برای کمک به خود استفاده کنید.

سطح دسترسی کاربر

فاکتور دیگری که باید در نظر بگیرید دسترسی مدیران وب‌سایت به آن است. اگر سازمان شما به بیش از یک نفر برای مدیریت وب‌سایت نیاز داشته باشد شما باید برای مواردی مانند پانل ادمین دارای حساب‌های جداگانه باشید. این کاربران باید دارای سطوح دسترسی متفاوتی هم باشند. در مورد سیستم‌های مدیریت محتوا، این کاربران باید دارای دسترسی محدود به تنظیمات مدیریتی، قابلیت تغییر محتوای سایرین یا مدیریت فایل‌ها باشند مگر اینکه واقعا نیاز به این دسترسی‌ها وجود داشته باشد.

داشتن سطوح دسترسی و حساب‌های کاربری جداگانه به جلوگیری از آسیب‌های تصادفی یا بدخواهانه بر وب‌سایت شما کمک کرده و در صورتی که فعالیت خرابکارانه انجام شود یا کاربری هک شود، استفاده از حساب‌های شخصی به شما در رهگیری و ثبت اینکه چه کسی تغییرات خاصی ایجاد کرده کمک خواهد کرد. همچنین می‌توانید با این روش فردی که از سازمان شما رفته از سمت ادمین وب‌سایت خود حذف کنید- می‌توانید به آسانی حساب آنها را غیرفعال کرده و نیازی هم به تنظیم مجدد پسوردهای مشترک نیست.

نسخه پشتیبان

در مورد اهمیت نسخه پشتیبان خوب نباید زیادی غلو کرد. سیستم پشتیبانی که کارکرد صحیحی داشته باشد (یعنی هر از چندگاهی تست می‌شود) در مواقع اهمال‌کاری، کدنویسی غلط، کاربران ناشی، نقص بزرگ سخت‌افزاری یا حوادث طبیعی جلو از دست رفتن داده‌ها گرفته می‌شود. حتی برای وب‌سایت‌های کوچک اطلاعاتی که اغلب تغییری در آنها ایجاد نمی‌شود، عدم وجود نسخه پشتیبان می‌تواند برای یک کمپانی‌ چندمیلیون تومان هزینه در بر داشته باشد تا وب‌سایت جدیدی را ایجاد کنند. برخی از هاست‌ها به صورت روزانه از وب‌سایت مشتریان خود پشتیبان (back up) می‌گیرند.

HTTPS

با شرط جدید گوگل برای مجهز شدن وب‌سایت‌ها به گواهینامه‌ی SSL، وب‌سایت‌های بدون HTTPS که اطلاعات حساس کاربر را می‌پذیرند توسط مرورگرها به عنوان وب‌سایت نا امن نمایش داده می‌شوند و شاید خیلی زود تمام وب‌سایت‌های بدون HTTPS با این عنوان شناخته شوند. به همین دلیل، عملا هر وب‌سایتی مخصوصا آن‌ دسته از وب‌سایت‌هایی که به تازگی ایجاد شده‌اند نیاز به HTTPS دارند.

با این کار شما از اطلاعات کاربران خود محافظت کرده و اگر وب‌سایت شما حاوی اطلاعات حساس کاربر نیست بازهم حس اطمینان و اعتماد را در بازدیدکنندگان ایجاد خواهد کرد. می‌توانید به صورت رایگان با ابزارهایی مانند Let’s Encrypt این کار را انجام دهید. همچنین اگر از هاست‌های مشترک استفاده می‌کنید بسیاری از هاست‌ها گواهینامه‌ی Let’s Encrypt خود را به صورت رایگان از قسمت کنترل پنل مشتری در اختیار آنها قرار می‌دهند و کار امنیت وب‌سایت را تا این حد ساده می‌کنند.

دسترسی به دیتابیس

دیتابیس‌ها در حال حاضر برای بیشتر پلتفرم‌های وب‌سایت‌ شامل اکثر سیستم‌های مدیریت محتوا و وب‌سایت‌های دارای کاربر و بک‌اِند، ضروری هستند. البته دیتابیس‌ها باعث بروز ریسک‌های امنیتی هم هستند. اگر داده ذخیره شود در برابر هویت‌های مخرب، آسیب‌پذیر خواهد بود. شما باید ایمنی دیتابیس‌های خود را در نظر بگیرید. چه کسی به کنترل پنل وب‌سایت شما یا حساب SSH در سرور دسترسی دارد و آیا مشخصات آنها امن است؟ آیا کاربران دیتابیس‌های شما اجازه‌ی مناسب برای استفاده از دیتابیس‌های خود را دارند؟ آیا به آنها اجازه‌ی دسترسی بین‌المللی داده‌اید که نباید بدهید؟ آیا پسوردهای آنها امن هستند؟

علاوه بر این می‌توانید بررسی کنید که راه‌های دسترسی به دیتابیس چیست. در حالت ایده‌ال می‌توانید دسترسی به UI‌هایی مانند phpMyAdmin را فقط برای دسترسی به آدرس‌ IP‌های خاص باز کنید یا دسترسی راه دور به دیتابیس را محدود کرده و به جای آن از طریق SSH یا ابزار‌هایی مانند MySQL Workbench یا Sequel pro از خط فرمان استفاده کرده و آسیب‌پذیری را به حداقل برسانید.

مانیتورینگ

راه دیگری که شاید بخواهید انجام دهید نصب نوعی سرویس مانیتورینگ برای پیغام‌های هشدار وب‌سایت است تا بتوانید پیغام‌های آنی برای زمان از کار افتادگی وب‌سایت یا پیغام‌ پر شدن RAM یا استفاده بیش از حد از CPU دریافت کنید. اگر از یک CMS مثل وردپرس یا دروپال استفاده می‌کنید، می‌توانید از پلاگین‌های امنیت استفاده کنید تا پیغام‌های مربوط به امنیت، تلاش برای هک و غیره را دریافت کنید.

سرویس‌های مختلف و فراوانی مانند Uptime Robot یا Pingdom وجود دارد که می‌توانید این پیغام‌ها را در اختیار شما قرار دهد و می‌توانید به صورت رایگان و یا پرداخت مبلغی اندک آنها را بر روی وب‌سایت خود داشته باشید.

هرچقدر بیشتر به این نکات فکر کنید در حفظ امنیت وب‌سایت خود موفق‌تر خواهید بود. خوشبختانه این مقاله می‌تواند تفکر شما در مورد امنیت را کمی قلقلک دهد مخصوصا اگر موردی بیان شده باشد که قبلا به آن فکر نکرده باشید. می‌توانید ایده‌ها یا راهکارهایی که برای وب‌سایت خود به کار برده‌اید را در زیر همین مقاله با ما در میان بگذارید.




نظراتتان را با ما در میان بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *