7نکته مهم برای افزایش امنیت وب سایت ( سیستم های مدیریت محتوا )
همانطور که میدانید امنیت در یک وب سایت حرف اول و آخر رو میزنه و نداشتن امنیت کافی در یک وب سایت , یعنی عدم حرفه ای بودن وب سایت …
بحث امنیت هیچ گاه بحث مطلقی نیست و سایت های بزرگ دنیا از جمله گوگل و یاهو هم هر از چند گاهی مورد حمله هکرها قرار گرفته و امنیت آنها زیر سوال میرود .
هیچ وقت نمیتوان گفت یک وب سایت دارای امنیت 100% مطلق میباشد . به همین دلیل وبمستران فقط به دنبال راهکارهایی برای افزایش هر چه بیشتر امنیت در وب سایت خود هستند تا احتمال هک شدن وب سایت خود رو تا جایی که امکان دارد به سمت صفر میل دهند .
راهکار های افزایش امنیت یک وب سایت به چندین عامل مختلف بستگی دارد و با درست انجام دادن این عوامل , میتوان امنیت یک وب سایت رو افزایش داد .
با روی کار آمدن سیستم های مدیریت محتوای رایگان از جمله وردپرس , جوملا , دروپال و … ( هرچند فوق العاده سیستم های قوی از نظر امنیت هستند ) ولی باز هم به دلیل رایگان بودن آنها و در دسترس بودن سورس آنها توسط هکر ها , هر لحظه امکان هک شدن آنها وجود دارد .
در این پست قصد دارم 10 نکته بسیار حیاتی , ساده و فوق العاده مهم رو بیان کنم تا با انجام دادن آنها , ضریب امنیت وب سایت خود را تا حد قابل قبولی بالا ببرید .
1 – استفاده از هاستینگ حرفه ای با فایروال پیشرفته :
یقینا مهمترین بحث در امنیت بالای یک وب سایت , داشتن یک سرور کانفیگ شده و حرفه ای می باشد .
یکی از راه های نفوذ به وب سایت توسط هکر ها , از طریق ورود به هاستینگ می باشد .
سعی کنید حتما از یک شرکت هاستینگ معروف , شرکتی و پرکاربر استفاده نمایید تا جلوی یکی از راههای نفوذ را ببندید .
هاستینگ هایی که توسط یک شخص و به صورت حقیقی پشتیبانی میشود اصلا قابل اطمینان نمی باشند .
هاستینگ ها باید علاوه بر حرفه ای بون , دارای فایروال ( دیوار آتشین ) باشند تا دارای امنیت بیشتری باشند .
2 – انتخاب رمز های بسیار قوی و ساخت ftp مجزا :
سعی کنید از رمز های ساده استفاده نکنید و رمز های خود را ( از جمله رمز های hosting – email – ftp و … ) به صورت سخت و غیر قابل فهم انتخاب کنید .
به عنوان مثال ( Dm$#04^”]Gf! ) .
در ضمن اصلا اطلاعات ورود به هاستینگ , ایمیل , ftp , سیستم مدیریت محتوا و … را با هم یکی انتخاب نکنید . زیرا با هک شدن هر کدام , به راحتی تمامی اطلاعات دیگرهک میشود . پس برای هر کدام , نام کاربری و رمز عبور مجزا انتخاب نمایید .
3 – سطح دسترسی پوشه ها :
در سیستم های مدیریت محتوا مانند wordpress , joomla و … , سطح دسترسی به فایل ها به صورت پیشفرض تعیین شده است که بهتر است شما با داده های زیر تغییر دهید .
سطح دسترسی پوشه ها = 755
سطح دسترسی فایل ها = 644
سطح دسترسی فایل config بعد از نصب سیستم مدیریت محتوا = 444
سطح دسترسی htaccess. فایل = 644
منظور از سطح دسترسی , همان گزینه permission واقع در فایل منیجر ( file manager ) هاستینگ می باشد .
4 – ایجاد رمز بر روی پوشه مدیریت در کنترل پنل هاست :
تمامی هاستینگ ها امکانی رو در اختیار ما قرار میدهند که میتوانیم برای یک فایل یا یک پوشه نام کاربری و رمز عبور انتخاب کنیم .
از این گزینه میتوانیم برای بالا بردن امنیت یک وب سایت استفاده کنیم . بنابراین باید پوشه های مدیریت cms ها رو با استفاده از این روش رمز گذاری کنیم .
منظور از پوشه مدیریت , همان پوشه ای هست که با ورود به آن , به قسمت مدیریت cms وارد میشویم .
مثلا برای وردپرس , پوشه ی wp-admin می باشد .
5 – استفاده از آخرین ورژن ها و حذف مشاهده ورژن توسط کاربر :
تمامی سیستم های مدیریت محتوا دارای باگ های امنیتی هستند که هر چند وقت یک بار , با آپدیت رسمی منتشر شده توسط سایت پشتیبانی آنها , میتوان جلوی این باگ ها رو بست. پس همیشه باید سیستم مدیریت محتوای خود را بروز نگه دارید .
ضمنا هر cms در هر بار آپدیت دارای یک ورژن خاص می باشد که نباید اجازی ی دسترسی هکر رو به این ورژن بدهیم . یعنی کاربران و هکر ها نباید بدونند که شما از چه ورژنی از cms استفاده میکنید .
برای انجام این کار باید با توجه به آموزشی که هر cms در سایت پشتیبانی خود دارد , مراحل حذف نمایش ورژن cms را انجام دهید.
مثلا در وردپرس باید کد زیر را به فایل functions.php اضافه نمایید .
2
3
4
5
6
|
<?php remove_action(‘wp_header’, ‘wp_generator’); ?>
|
6 -استفاده از پلاگین های معروف و قابل اعتماد :
در سیستم های مدیریت محتوا , به هیچ عنوان از پلاگین های غیر مشهور و غیر قابل اطمینان استفاده نکنید .
چون پلاگین ها میتونن با توجه به برنامه نویسی ضعیفشون , سایت شما رو دارای باگ امنیتی کرده و هکر به سایت شما نفوذ کند .
سعی کنید از پلاگین های تایید شده که در سایت پشتیبانی هر cms قرار داده شده است استفاده کنید .
7 – تغییر پیشوند جداول در پایگاه داده :
پس از نصب هر cms بر روی هاست خود , جداول پیشفرضی در پایگاه داده شما ( واقع در phpmyadmin ) ساخته میشود که دارای یک پیشوند می باشند .
به عنوان مثال ( wp_comments ) یا ( oc_product ) .
بیشتر cms ها در هنگام نصب از شما میخواهند که این نام پیشفرض را با نام دلخواه خود عوض نمایید . پس حتما باید این کار را باید انجام دهید .
اما اگر حالا که کار از کار گذشته و به همان نام پیشفرض در پایگاه داده قرار داده شده , شما باید با استفاده از پلاگین های مخصوص هر cms که در سایت پشتیبانی آن بیان شده , این تعویض پیشوند را انجام دهید .
نقل از : اسکریپت دات کام
گرد آورنده : سجاد صالح پور