چک لیست امنیت سایت برای توسعه دهندگان وب سایت ها
برای داشتن یک سایت با امنیت عالی، نیاز به بررسی وجود یک سری عوامل است تا متوجه شویم آیا سایت ما از امنیت کافی برخوردار است؟ آیا تمام قوانین لازم را برای بالا بردن ضریب امنیت سایت رعایت کرده ایم یا خیر؟
در این مقاله می خواهیم موارد مهم یا چک لیست امنیت سایت را با هم مرور کنیم.
با حجم حملات رو افزون، مدیران سایت های مختلف، تجاری، اداری یا … نیاز به بالا بردن ضریب امنیت سایت های شان را خواهند داشت. ( اصول و راهکار های امنیت سایبری برای شرکت ها و سازمان ها)
اصولا عوامل مختلفی در افزایش سطح امنیت سایت ها دخیل هستند. علاوه بر سایت ها و طراحان اش، مدیران سرور ها نیز باید حواس شان را به امنیت سرور خود معطوف کنند تا ضریب احتمال حملات به آن ها کاهش پیدا کند.
چرا باید ضریب امنیتی وب سایت را بالا ببریم؟
ممکن است این سوال یک سری از دوستان باشد.
طبق آمار ها تقریبا هر 36 ثانیه یک وب سایت در جهان مورد حمله سایبری قرار می گیرد و دارندگان کسب و کار های اینترنتی (خصوصا کسب و کار های بزرگ) خطر مورد حمله قرار گرفتن را بیشتر از پیش، حس می کنند.
در حمله سایبری، نفوذگر می تواند به اطلاعات بسیار زیادی دست پیدا کند و از آن ها برای مقاصد خطرناکی، سودجویی کند.
امروزه حمله های سایبری و هک انواع پیچیده تری پیدا کرده و به زیر شاخه های بیشتری گسترش پیداکرده است. به همین علت امنیت سایت از جایگاه بالاتری نزد توسعه دهندگان سایت، پیدا کرده است. امنیت سایبری که به بیان راه های ایمن سازی در برابر حملات سایبری می پردازد، یکی از مهم ترین مسائلی است که هر توسعه دهنده وب آن را می داند. یا هر شخصی که تازه به این زمینه قدم گذاشته، بهتر است با آن بیشتر و بیشتر آشنا شود.
اگر وب سایتی مورد حمله قرار بگیرد، مدیران برای پاکسازی وب سایت خود، مجبور به پرداخت هزینه خواهند شد که در اغلب موارد بسیار زیاد خواهد بود. ( طبعا با بزرگ تر شدن کسب و کار اینترنتی، میزان خسارت هم افزایش پیدا خواهد کرد.)
آمار های محققان فعال در این زمینه هشدار می دهد که تا سال 2021، جرایم سایبری و تخریب های ناشی از آن 6 تریلیون دلار! در دنیا خسارت برجای خواهد گذاشت که حقیقتا مبلغ بسیار زیادی خواهد بود.
حالا فکرش را بکنید که از پس پرداخت این مبالغ برای بهبود آثار تخریب در سایت خود هم بر آمدید! اطلاعات از دست رفته ( و صدالبته محرمانه) مشتریان، اعتماد آن ها را با درصد احتمال بسیار زیادی نسبت به شما و کسب و کارتان، از بین خواهد برد.
این چند مورد تنها گوشه ای از خسارت های ناشی از حملات سایبری خواهند بود. پس برای آنکه سایت تان را از گزند این جرایم مصون نگه دارید نیاز به ابزار هایی خواهید داشت که در وهله اول امنیت سایت شما را آنالیز کرده و در صورت پایین بودن میزان آن با چک لیستی شما را به بالا بردن ضریب امنیتی سایت راهنمایی کنند.
چک لیست امنیت سایت
با هم چک لیست امنیت سایت را مرور خواهیم کرد.
انتخاب میزبان
اولین قدم برای بالا بردن ضریب امنیتی، داشتن یک میزبان خوب است.
باید میزبان را به درستی و متناسب با کارکرد های سایت خود انتخاب کنیم. دسترسی ها و گزینه های مدیریتی مناسب می تواند به ما در قدم اول ( چک لیست امنیت سایت) کمک به سزایی کند. چراکه اگر شما از میزبان خوبی بهره مند باشید راحت تر و آن طور که شایسته تر است می توانید بر روی امنیت سایت خود کار کرده و آن را تقویت کنید.
برای مثال یک میزبان خوب باید از ابزار های آنالیز برنامه های مخرب بهره برده باشد. یا گواهینامه SSL را که برای رمزگذاری ارتباط بین سرور وب سایت و مرورگر های بازدید کننده است هم، می تواند یکی دیگر از گزینه های مهم و قابل بحث برای انتخاب میزبان باشد.
گفتیم که میزبان باید متناسب با نوع کسب و کار انتخاب شود. مثلا اگر شما یک کسب و کار تجاری الکترونیکی دارید، میزبان باید برای شما استاندارد های امنیتی لازم برای پرداخت های کارتی را تدارک دیده باشد.
پروتکل های ورود و خروج
پروتکل های امنیتی را بدو ورود یا خروج، و تمام اطلاعاتی را که با میزبان یا … خود به اشتراک می گذارید را باید رعایت کنید. یک سهل انگاری کوچک در ارتباطات می تواند راه نفوذ مجرمان سایبری را به سایت شما باز کند. پس به خوبی توجه داشته باشید که از اطلاعات خود در این مراحل محافظت لازم را به عمل می آورید.
با اجرای پروتکل انتقال HTTPS می توانید سایت خود را بیشتر ایمن کنید.
توجه داشته باشید که یک رمز عبور قوی تا درصد بسیار زیادی شما را از حملات مصون خواهد داشت.
FireWall یا دیوار آتش
از فایروال های برنامه های تحت وب استفاده کنید.
WAF ابزاری فوق العاده قدرتمند است که شما و تجارت تان را از دردسرهای زیادی نجات خواهد داد. (برای شناسایی و جلوگیری از حملات، به ویژه از ربات های خودکار، بسیار مفید خواهد بود.)
کاربرد اصلی فایروال، نظارت بر ترافیک پروتکل انتقال متن (HTTP) است که به طور قابل توجهی بیشتر از ترافیک HTTPS در معرض خطرات امنیتی است. فایروال ModSecurity و ابزارهای مشابه حملات رایج مانند تزریق SQL ، برنامه نویسی Cross-Site (XSS)، جعل بین سایت و غیره را به طور موثر کاهش می دهد.
در واقع، هنگام استقرار WAF، یک محافظ بین برنامه وب و اینترنت شما ایجاد می شود. هر سرویس گیرنده وب باید قبل از رسیدن به سرور از آن عبور کند. مجموعه ای از قوانین از پیش تعریف شده ، ترافیک مخرب را فیلتر کرده و از سایت ها در برابر آسیب پذیری محافظت می کند.
پایگاه داده
یکی از راه های نفوذ و حمله به وب سایت پایگاه داده آن است. ما در عصری از ارتباطات زندگی می کنیم که اطلاعات دارای بالاترین ارزش است و پایگاه داده می تواند برای مجرمان منبع بسیار ارزشمند و وسوسه انگیزی باشد.
باید سعی کرد تا اطلاعاتی که در پایگاه داده موجود است را به نوعی رمزنگاری کرد و یا راه های دسترسی به آن راد سخت تر کرد تا احتمال نفوذ به آن را کمتر کرد.
برخی از گزینه ها که باید در نظر گرفت شامل رمزگذاری در حالت استراحت مانند Amazon’s AWS Aurora است. با این کار داده های روی دیسک به طور موثری ایمن می شوند. به همین ترتیب ، ممکن است بخواهید لیستی از تمام ابزاری را که برای ذخیره اطلاعات مشتری استفاده می کنید ، تنظیم کنید. این ممکن است شامل پایگاه های داده ، سیستم های اسناد ، GitHub ، Dropbox و موارد دیگر باشد.
خودتان را هک کنید
بله! خودتان را در آخر این چک لیست هک کنید! اگر خودتان سر رشته دارید، و یا با استخدام یک هکر کلاه سفید که برای امتحان کردن میزان امنیت و نفوذپذیری سایت، مورد اعتماد تان است، سعی کنید باریکه های نفوذ به سایت تان را شناسایی کنید و آن ها را از بین ببرید.
خودتان خودتان را محک بزنید تا ببینید چقدر برای بالابردن ضریب امنیتی سایت تان جای کار دارید.
پس:
- یک میزبان وب ایمن انتخاب کنید.
- رمزگذاری همه اتصالات و ورود کاربردر حالتی کاملا امن و ساختار یافته.
- از Firewall Web Application (WAF) استفاده کنید.
- پایگاه داده خود را ایمن نگه دارید.
- سعی کنید خود را هک کنید.
امیدواریم از این چک لیست امنیت سایت مهم برای بالابردن امنیت وب سایت های خود استفاده کنید و برایتان مفید واقع شود؛چراکه اصلی و مهم ترین عوامل امنیت سایت را با خود به همراه دارد و قطعا عمل به آن( به روشی صحیح و اصولی) می تواند سایت های شما را ایمن تر کند.