امنیت سایت باید چگونه باشد بخش دوم

استفاده از رمز عبور قدرتمند و محافظت از آن

یکی از مواردی که همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد کمی به آن اهمیت می دهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند باید بیش از ۸ کاراکتر داشته ، تلفیقی از حروف بزرگ و کوچک – اعداد و کاراکترهای خاص مانند @ , % , ! و موارد مشابه باشد. مورد دیگر محافظت و تغییر آن است. اطلاعات حساس را می بایست بصورت مطمئنی محافظت کرد. خوشبختانه سیستم هایی مانند Bit Locker و مشابه آن می توانند از اطلاعات حساس ما مراقبت کنند. بحث دیگر تغییر دوره ای رمز عبور است که می بایست در بازه های زمانی مشخصی مانند ماهی یکبار تغییر داده شود تا در برابر حملات brute force محافظت شود.

 

تعیین سطح دسترسی مناسب اطلاعات

تعیین سطح دسترسی مناسب مخصوصا برای فایل هایی که محتوی اطلاعات کلیدی مانند اطلاعات دیتابیس هستند بسیار ضروری است. در این مورد باید سطحی از دسترسی را به فایل داد که تنها وب سرور و owner فایل بتوانند اطلاعات داخل فایل کانفیگ را بخوانند و غیر از آنها به هیچ نحو دیگری قابل خواندن و نوشتن نباشد. برای فایل ها و دایرکتوری های دیگر نیز باید سطح دسترسی معقول و استاندارد تعیین کرده و از اعطای دسترسی سطح بالا خودداری کنیم.

 

محافظت از مسیر ورود به مدیریت سایت

پیشنهاد می شود از قابلیت محافظت از مسیر ورود به مدیریت فروشگاه استفاده نمایید. اینکار در تامین و کمک به امنیت سایت موثر بوده و در مواقعی محافظت اساسی به عمل می آورد. فرض کنید اگر در حالتی نام کاربری و رمز عبور سایت شما به دست هکر افتاده باشد با اینکار می توانید از مشاهده مسیر مدیریت توسط هکر ممانعت به عمل آورید. همانطور که در ابتدای بحث گفته شد امنیت ۱۰۰ درصد نیست اما با انجام موارد امنیتی می توان تا حد بالایی از بروز مشکلات امنیتی جلوگیری کرد و در واقع با انجام و تامین صحیح امنیت سایت می توان در مواقع بحرانی روی اقدامات انجام شده حساب باز کرد و تجربه نیز اثبات کرده با کانفیگ صحیح امنیتی بسیاری از ضعف های دیگر پوشش داده می شوند. در موضوع امنیت کوچکترین موارد هم اهمیت خاص خود را دارند.

 

تعیین محدودیت های دسترسی و مشاهده

با تعیین محدودیت های دسترسی امنیت سایت تا حد بالایی بهبود می یابد. در سایت ها این امکان وجود دارد که با اعمال محدودیت هایی مانند تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص غیر جلوگیری کرد. در این حالت به وب سرور دستور داده می شود که اگر آی پی کاربر غیر از مقدار یا مقادیر تعریف شده باشد آنها را با پیغام forbidden یا access denied روبرو کند. در سرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی می توان از آن استفاده کرد. پیشنهاد می کنیم حتما از امکان محدودیت آی پی مخصوصا در مسیر مدیرتی سایت خود استفاده کنید.

 

محافظت سایت در برابر اسپمرها

روبات های اسپمر با جستجو در سایت ها و پیدا کردن نقاط ضعف در آنها مخصوصا فرم های محافظت نشده که تکمیل آنها بصورت ماشینی امکان پذیر است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در اینکار انجام نشده باشد بسیار محتمل است که با ایجاد اختلال در سرور میزبان سایت ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شوید. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA می توانید از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم reCAPTCHA گوگل را به شما پیشنهاد می کنیم. بسیاری از سایت های بزرگ و معتبر دنیا از این سیستم استفاده می کنند و شما نیز می توانید با اطمینان خاطر از این ابزار امنیتی استفاده کنید.

 

پیگیری مشکلات امنیتی گزارش شده و بروزرسانی امنیتی مداوم

مدیر امنیت سایت باید همیشه آخرین اخبار و رویدادهای امنیت مخصوصا مواردی که در ارتباط مستقیم با امنیت سایت است را رصد و پیگیری کند. بسیاری از مواقع سایت های بزرگ و حتی متوسط و کوچک قربانی این مشکلات می شوند. غالبا هر شرکت یا مرجعی که اقدام به انتشار محصولی می کند در مواقعی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر می شود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل محافظت کند را ارائه نماید. در چنین مواقعی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت می شود. توجه داشته باشید که حتی سایت هایی که در بالاترین سطح امنیتی محافظت شده اند نیز در برابر باگ های امنیتی آسیب پذیر هستند و می بایست بلافاصله نسب به رفع باگ در سایت اقدام شود. عضویت در خبرنامه و انجمن ، پیگیری بخش اخبار و بلاگ سایتی که از محصولات آن استفاده میکنیم راهکار مناسبی برای اطلاع سریع و به عملکرد به موقع است.

 

راه اندازی گواهی امنیتی SSL بر روی سایت

یکی از بهترین راهکارها برای حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتیSSL بر روی سایت است که علاوه بر موارد امنیتی ، تاثیرات بسیار خوبی در نتایج سئو و جلب اعتماد کاربران دارد. گواهی ssl بر روی سایت اطلاعات ورودی و خروجی را با الگوریتم بسیار پیچیده ای رمزنگاری کرده و از شنود و دزدیده شدن آنها جلوگیری می کند. اینکار سبب می شود که در بسیاری از حالات حتی در صورت استفاده کاربر یا مدیر سایت از اینترنت ناامن مشکلی ایجاد نشود. در واقع در این حالت اگر اطلاعات مورد شنود نیز قرار گیرد قابل بهره برداری نخواهد بود و شنود کننده با یکسری اطلاعات رمزنگاری شده روبرو خواهد شد.

 

بخش اول مقاله را در اینجا بخوانید

به اشتراک بگذارید