مهمترین نکات امنیتی هاستینگ

بعد از خرید هاست  با توجه یه نکات اساسی مانند تفاوت هاست لینوکس و ویندوز باید به مهمترین نکات امنیتی هاستینگ هنگامی که ما در مورد امنیت وب سایت بحث می کنیم، مشکلات امنیتی شرکت های بزرگ به ذهن ما خطور میکند. از قبیل هک شدن های چند میلیون دلاری شامل سرقت اطلاعات کارت اعتباری، سرقت اطلاعات لاگین و سرقت سایر اطلاعات با‌ارزش و… . بهمین دلیل اکثریت بر این باور هستند که تنها شرکت های بزرگ در معرض خطرات امنیتی آنلاین هستند.

استانداردهای امنیتی برای هرگونه وبسایتی اعم از بزرگ یا کوچک مهم و حیاتی می باشد. به همین دلیل است که صاحبان سایت اغلب با هشدارهای امنیتی از سمت ارائه دهندگان میزبانی وب مواجه می شوند.

آموزش و یادگیری مباحث امنیتی اولین گام برای حفاظت از برند تجاری شما در دنیای آنلاین است. در ادامه برخی از بهترین شیوه های مدیریت وب سایت و بالابردن امنیت سایت آورده شده است.

بکاپ گیری و ریستور اطلاعات

افراد اغلب از در نظر گرفتن بکاپ به عنوان یک عنصر امنیتی چشم پوشی می کنند. در حالیکه نسخه های بکاپ می بایست در یک مسیر امن دور از سرور اصلی نگه داشته شود. در مواقع آلوده شدن سایت و هک شدن آن، نسخه پشتیبان یک منبع قابل اطمینان برای ریستور نمودن آخرین نسخه های سیستم و داده‌ها می باشد.

لذا قبل از تهیه هاست ، مهم است که در مورد نحوه تهیه نسخه پشتیبان و سیاست بکاپ گیری از شرکت هاستینگ مربوطه پرس وجو نمایید. به عنوان مثال، اغلب در چه بازه زمانی( هفتگی، ماهانه و یا روزانه) پشتیبان گیری انجام می شود آیا اطلاعات توسط آن‌ها ریستور میشود و…

مانیتورینگ شبکه

آیا ارائه کننده میزبانی وب، بر شبکه داخلی جهت بررسی نفوذ و فعالیت های غیرمعمول نظارت می کند؟ نظارت دقیق می تواند نرم افزارهای مخرب را قبل از اینکه به سایت شما برسد، شناسایی و متوقف کند. همچنین آمار دقیق از میزان قطعی سرور و نیز مشکلات سمت سرور ارائه می دهد.

SSL، فایروال ها، و پیشگیری ازحملات DDoS

حملات توزیع شده (Denial-of-Service) (DDoS) زمانی رخ می دهد که تعداد زیادی ترافیک مازاد به سایت شما ارسال می شود که از سمت بازدیدکنندگان واقعی نیست. پیشگیری از این قبیل حملات با تنظیم فایروال شبکه امکان‌پذیر می باشد. با این حال، محدودیت هایی وجود دارد که فایروال نمی‌تواند کلیه انواع حملات DDoS را متوقف کند.

علاوه بر آن می بایست با فایروال نرم افزاری web application firewall (WAF) ترافیک HTTP را روی برنامه های خاص وب نظارت کنیم. این امر امنیت بیشتری را نسبت به فایروال شبکه ای که امنیت HTTP را کنترل می کند، فراهم می کند اما نیازهای خاص یک برنامه وب را درک نمی کند. WAF می تواند برای جلوگیری از تزریق SQL و همچنین تکنیک های دیگر مانند اسکریپت cross-site و بررسی آسیب پذیری ها پیکربندی شود.جهت اطلاعات بیشتر به مقاله نکات امنیتی مهم جهت هک شدن سایت مراجعه نمایید.

اگرچه پیشگیری از DDoS باید در سطح شبکه اجرا شود، اما مهاجمان ممکن است از یک یا چند روش مختلف برای سوء استفاده از سرورهای خود استفاده کنند و صاحبان سایت باید بر اساس آن پاسخ دهند و از خودشان محافظت کنند. تعدادی از ابزارهای امنیتی قابل توجه، از جمله Cloudflare و Incapsula، ابزار و خدمات پیشگیرانه پیشرفته ای را ارائه می دهند که می توانند برای کمک به نگهداری سایت ها مورد استفاده قرار گیرند.

در نهایت، هنگامی که داده های حساس به سرور و از سرور منتقل می شوند، فناوری SSL (لایه های امن سوکت) مورد نیاز است. یک گواهینامه SSL سرور شما را از حملات یا نرم افزارهای مخرب محافظت نمی کند، بلکه ارتباطات بین سرور شما و فردی را که از سایت شما استفاده می کند، رمزگذاری می کند. با استفاده از SSL، شما با اطمینان اطلاعات مشتری خود را دارید و اعتماد آنها را به سایت خود حفظ می کنید.

رمزهای عبور و دسترسی کاربر

شما می بایست برای افراد مختلف نظیر ویرایشگران، مهمان و بازدیدکنندگان وب سایت سطوح امنیتی مختلفی ایجاد نموده و دسترسی آن‌ها را با توجه به نیاز آن‌ها و ماهیت سایت محدود نمایید.

همه کاربران نیاز به دسترسی ادمین و کامل به همه بخش‌ها ندارند و می بایست دسترسی متناسب با هر فرد به او اعطا شود. بعنوان مثال کاربری که تنها میخواهد پست آپلود کند نیز به دسترسی به بخش تنظیمات، حذف یا افزودن پلاگین ها و سایر بخش‌ها ندارد.

همچنین پسورد ها یا رمز عبور اولین نقطه دفاعی در برابر مهاجمان و نرم افزارهای مخرب بر روی سیستم ها هستند . شما باید همیشه باید یک پسورد قوی برای خود انتخاب کنید،اگر در شبکه محل کار خود از سیستم استفاده می کنید ، این وظیفه مدیر شبکه است که به شما آموزش دهد که چگونه یک رمز عبور قوی برای خود انتخاب کنید ، متاسفانه در بیشتر اوقات رمز های عبوری انتخابی برای کاربران از کلمات معنی دار و اعداد مشخص استفاده می کنند که امکان حدس زدن و هک کردن آنها را زیاد می کند. لذا همواره می بایست پسورد های قوی شامل حروف بزرگ، کوچک ، اعداد و کاراکترهای خاص نظیر#%$ و… در نظر گرفت.

همچنین امکان آپلود انواع فایل‌ها و نیز انواع پسوند هارا توسط کاربران محدود نمایید. دسترسی آپلود سایت را به انواع فایل هایی که کاربران واقعاً به آنها نیاز دارند محدود کنید و اجازه ندهید فایل‌های اجرایی، اسکریپت ها و یا سایر کد های ناشناخته را آپلود کنند.

بررسی کد

بررسی کد شامل بررسی عمیق برنامه پس از تکمیل و آماده سازی جهت انتشار می باشد. بهترین روش چهت اینکار ترکیب ابزارهای خودکار و بازرسی دستی توسط فرد است. این بررسی ها می بایست در کلیه زمینه‌های مورد استفاده در برنامه انجام شود. از قبیل ورود و احراز هویت، پردازش داده ها، رمزنگاری و ذخیره سازی و….

تزریق SQL یک روش است که در آن مهاجم به یک درخواست ورودی، مانند نام کاربری، با دستور SQL معتبر پاسخ می دهد. این دستورات می توانند به داده ها دسترسی پیدا کنند یا آن را حذف کنند. راهنمای مایکروسافت در مورد تزریق SQL جزئیات حملات را شرح می دهد و راه هایی را برای کاهش خطرات مانند استفاده از متغیرهای session نشان می دهد.