uody
6th March 2011, 01:01 AM
چک لیست امنیتی برای مدیر یک وب سایت
در سال های اخیر افزایش قابل توجهی در تعداد وب سایت های هک شده ثبت گردیده است. یکی از دلایل این افزایش تمایل افراد و شرکت ها به انتشار بد افزار ها و جهت دادن به نتایج جستجو در اینترنت به نفع خود است. و به این ترتیب با اهداف سود جویانه انگیزه هک کردن وب سایت ها افزایش یافته است. اگر شما هم یک مدیر وب سایت هستید اکنون وقت خوبی است تا با هم نکاتی را مرور کنیم که با رعایت آنها وب سایت خود را در ناحیه کم خطر قرار داده اید. البته امنیت یک وب سایت موضوعی پویاست و اگر به آن اهمیت می دهید بهتر است فقط به این مقاله بسنده نکنید و به عنوان یک مدیر سایت باید همیشه آخرین اطلاعات و اخبار امنیتی را داشته باشید.
تنظیمات سرور خود را چک کنید.
آپاچی در وب سایت خود نکاتی برای تنظیمات امنیتی ارائه داده است و اگر سیستم عامل سرور شما لینوکس است باید از آن مطلع باشید و همینطور مایکروسافت برای IIS منابع امنیتی مختلفی در وب سایت خود ارائه داده است. این اطلاعات و نکات درباره موضوعاتی از قبیل مجوزها، include سمت سرور ، معتبر ساختن و رمزگذاری می باشد.
باید آخرین وصله های منیتی را نصب کنید و نرم افزار ها را به روز رسانی نمایید.
تله ای که بیشتر مدیران وب سایت ها در آن گیر می افتند نصب یک انجمن یا بلاگ در وب سایت خود و سپس به امان خدا گذاشتن آن است. این مانند این است که یک اتومبیل گرانقیمت بخرید ولی برای آن هیچ دزدگیری نصب نکنید و آنرا شب ها بیرون از خانه پارک کنید. اولین قدم برای حفظ امنیت یک وب سایت این است که لیستی از نرم افزار ها و Plug in های نصب شده تهیه کنید و برای خود یک برنامه منظم برای بررسی آخرین نسخه ها و Update ها مشخص کنید تا در صورت لزوم آنها را به روز رسانی نمایید. یکی از ساده ترین راههای ردگیری این نرم افزار ها استفاده از فید یا RSS وب سایت هایی است که در زمینه امنیت فعالیت می کنند. بدین ترتیب در کمترین زمان مهمترین اخبار و رویداد های امنیتی را بدست می آورید.
به طور منظم فایل های Log خود را بررسی کنید.
اگر این کار را تبدیل به عادت کنید منافع زیادی کسب خواهید کرد. که یکی از آنها امنیت مضاعف است. و از اطلاعاتی که بدست خواهید آورد شگفت زده خواهید شد.
نقاط آسیب پذیر معمول را بررسی کنید
از ایجاد دایرکتوری های با مجوز آزاد برای همه اجتناب کنید. این مانند این است که در اصلی خانه خود را باز بگذارید و بالای آن بنویسید بفرمایید تو و از خودتان پذیرایی کنید.همچنین مراقب نقاط آسیب پذیری مانند XSS یا Cross-site scripting و SQL Injection باشید. و در نهایت یک پسورد خوب انتخاب کنید که هم از حروف و هم از اعداد تشکیل شده باشد و کلمه ای معنی دار نباشد.
مراقب محتویات تولید شده توسط افراد ثالث باشید
در اینترنت تعداد زیادی ابزار های کاربردی وجود دارد که می توانید آنها را دانلود کرده و به راحتی در وب سایت خود نصب کنید. از آن جمله می توان به ابزار های اندازه گیری ترافیک اشاره کرد هر چند ابزار های با ارزشی در اینترنت برای یک وب سایت پیدا می شود ولی بعضی از انها با اهداف نفوذ به وب سایت شما یا خرابکاری طراحی شده اند. آنها می خواهند اهداف خرابکارانه و آلوده کردن تعداد زیادی کامپیوتر را از طریق وب سایت شما انجام دهند بدون اینکه شما به عنوان یک مدیر وب سایت از این موضوع مطلع شوید. بنابراین باید در دانلود و نصب این ابزار ها باید بسیار محتاط باشید.
از جستجوی site: گوگل استفاده کنید
این کار بسیار بدیهی به نظر می رسد ولی معمولاً نادیده گرفته می شود. خوب عاقلانه است اگر هر از چند گاهی وب سایت خود را برای عاری بودن از بدافزار ها بگردید. فرض کنید نام وب سایت شما Yadbegir.com است کافیست در باکس جستجوی گوگل تایپ کنید
site: yadbegir.com
از Webmasters Tools گوگل استفاده کنید
اینجا جایی است که ابزار های رایگان و مفید متنوعی برای یک مدیر وب سایت وجود دارد. و درباره اینکه googlebot چگونه در وب سایت شما پرسه می زند هم اطلاعات جالبی بدست خواهید آورد. یکی از قابلیت های خوب Webmasters Tools این است که اگر گوگل بد افزاری را در وب سایت شما پیدا کند از آن اطلاع خواهید یافت. و زمانیکه مشکل وب سایت خود را برطرف کردید می توانید درخواستی برای بررسی مجدد وب سایت خود بفرستید. به این ترتیب علاوه بر اطلاع زود هنگام از بروز مشکل احتمال از دست دادن بازدید کنندگان وب سایت از سمت گوگل را به کمترین حد کاهش خواهید داد.
از پروتکل های امن استفاده کنید
برای انتقال اطلاعات بهتر است از SFTP و SSH به جای پرتکل های متنی ساده استفاده کنید. SFTP و SSH اطلاعات را کدگذاری می کنند و بسیار مطمئن تر هستند.
وبلاگ امنیتی گوگل را مطالعه کنید.
در این وبلاگ اطلاعات امنیتی با ارزشی وجود دارد همینطور منابع مختلفی به شما معرفی می کند.
از هاستینگ خود پشتیبانی بخواهید.
اکثر شرکت های هاستینگ معتبر که دومین و فضای وب سایت را به شما اجاره می دهند دارای متخصصین خبره ای در زمینه امنیت هستند. و هر گاه درباره امنیت وب سایت خود به مشکلی برخورد کردید یا دچار شک و تردید شدید کافیست به وب سایت آنها مراجعه کنید و یک پیغام بگذارید مطمئن باشید آنها برای امنیت سرور خود ارزش زیادی قائل هستند و برای بهبود آن کمک خواهند کرد.
امیدوارم این نکات به شما در بهبود امنیت وب سایت تان کمک کرده باشد خوب حال با بکار گیری این نکات و افزایش دانش خود مدیریت امن وب سایت خود را آغاز کنید.
نوشته: جاناتان جونز
ترجمه: علی یزدی مقدم
در سال های اخیر افزایش قابل توجهی در تعداد وب سایت های هک شده ثبت گردیده است. یکی از دلایل این افزایش تمایل افراد و شرکت ها به انتشار بد افزار ها و جهت دادن به نتایج جستجو در اینترنت به نفع خود است. و به این ترتیب با اهداف سود جویانه انگیزه هک کردن وب سایت ها افزایش یافته است. اگر شما هم یک مدیر وب سایت هستید اکنون وقت خوبی است تا با هم نکاتی را مرور کنیم که با رعایت آنها وب سایت خود را در ناحیه کم خطر قرار داده اید. البته امنیت یک وب سایت موضوعی پویاست و اگر به آن اهمیت می دهید بهتر است فقط به این مقاله بسنده نکنید و به عنوان یک مدیر سایت باید همیشه آخرین اطلاعات و اخبار امنیتی را داشته باشید.
تنظیمات سرور خود را چک کنید.
آپاچی در وب سایت خود نکاتی برای تنظیمات امنیتی ارائه داده است و اگر سیستم عامل سرور شما لینوکس است باید از آن مطلع باشید و همینطور مایکروسافت برای IIS منابع امنیتی مختلفی در وب سایت خود ارائه داده است. این اطلاعات و نکات درباره موضوعاتی از قبیل مجوزها، include سمت سرور ، معتبر ساختن و رمزگذاری می باشد.
باید آخرین وصله های منیتی را نصب کنید و نرم افزار ها را به روز رسانی نمایید.
تله ای که بیشتر مدیران وب سایت ها در آن گیر می افتند نصب یک انجمن یا بلاگ در وب سایت خود و سپس به امان خدا گذاشتن آن است. این مانند این است که یک اتومبیل گرانقیمت بخرید ولی برای آن هیچ دزدگیری نصب نکنید و آنرا شب ها بیرون از خانه پارک کنید. اولین قدم برای حفظ امنیت یک وب سایت این است که لیستی از نرم افزار ها و Plug in های نصب شده تهیه کنید و برای خود یک برنامه منظم برای بررسی آخرین نسخه ها و Update ها مشخص کنید تا در صورت لزوم آنها را به روز رسانی نمایید. یکی از ساده ترین راههای ردگیری این نرم افزار ها استفاده از فید یا RSS وب سایت هایی است که در زمینه امنیت فعالیت می کنند. بدین ترتیب در کمترین زمان مهمترین اخبار و رویداد های امنیتی را بدست می آورید.
به طور منظم فایل های Log خود را بررسی کنید.
اگر این کار را تبدیل به عادت کنید منافع زیادی کسب خواهید کرد. که یکی از آنها امنیت مضاعف است. و از اطلاعاتی که بدست خواهید آورد شگفت زده خواهید شد.
نقاط آسیب پذیر معمول را بررسی کنید
از ایجاد دایرکتوری های با مجوز آزاد برای همه اجتناب کنید. این مانند این است که در اصلی خانه خود را باز بگذارید و بالای آن بنویسید بفرمایید تو و از خودتان پذیرایی کنید.همچنین مراقب نقاط آسیب پذیری مانند XSS یا Cross-site scripting و SQL Injection باشید. و در نهایت یک پسورد خوب انتخاب کنید که هم از حروف و هم از اعداد تشکیل شده باشد و کلمه ای معنی دار نباشد.
مراقب محتویات تولید شده توسط افراد ثالث باشید
در اینترنت تعداد زیادی ابزار های کاربردی وجود دارد که می توانید آنها را دانلود کرده و به راحتی در وب سایت خود نصب کنید. از آن جمله می توان به ابزار های اندازه گیری ترافیک اشاره کرد هر چند ابزار های با ارزشی در اینترنت برای یک وب سایت پیدا می شود ولی بعضی از انها با اهداف نفوذ به وب سایت شما یا خرابکاری طراحی شده اند. آنها می خواهند اهداف خرابکارانه و آلوده کردن تعداد زیادی کامپیوتر را از طریق وب سایت شما انجام دهند بدون اینکه شما به عنوان یک مدیر وب سایت از این موضوع مطلع شوید. بنابراین باید در دانلود و نصب این ابزار ها باید بسیار محتاط باشید.
از جستجوی site: گوگل استفاده کنید
این کار بسیار بدیهی به نظر می رسد ولی معمولاً نادیده گرفته می شود. خوب عاقلانه است اگر هر از چند گاهی وب سایت خود را برای عاری بودن از بدافزار ها بگردید. فرض کنید نام وب سایت شما Yadbegir.com است کافیست در باکس جستجوی گوگل تایپ کنید
site: yadbegir.com
از Webmasters Tools گوگل استفاده کنید
اینجا جایی است که ابزار های رایگان و مفید متنوعی برای یک مدیر وب سایت وجود دارد. و درباره اینکه googlebot چگونه در وب سایت شما پرسه می زند هم اطلاعات جالبی بدست خواهید آورد. یکی از قابلیت های خوب Webmasters Tools این است که اگر گوگل بد افزاری را در وب سایت شما پیدا کند از آن اطلاع خواهید یافت. و زمانیکه مشکل وب سایت خود را برطرف کردید می توانید درخواستی برای بررسی مجدد وب سایت خود بفرستید. به این ترتیب علاوه بر اطلاع زود هنگام از بروز مشکل احتمال از دست دادن بازدید کنندگان وب سایت از سمت گوگل را به کمترین حد کاهش خواهید داد.
از پروتکل های امن استفاده کنید
برای انتقال اطلاعات بهتر است از SFTP و SSH به جای پرتکل های متنی ساده استفاده کنید. SFTP و SSH اطلاعات را کدگذاری می کنند و بسیار مطمئن تر هستند.
وبلاگ امنیتی گوگل را مطالعه کنید.
در این وبلاگ اطلاعات امنیتی با ارزشی وجود دارد همینطور منابع مختلفی به شما معرفی می کند.
از هاستینگ خود پشتیبانی بخواهید.
اکثر شرکت های هاستینگ معتبر که دومین و فضای وب سایت را به شما اجاره می دهند دارای متخصصین خبره ای در زمینه امنیت هستند. و هر گاه درباره امنیت وب سایت خود به مشکلی برخورد کردید یا دچار شک و تردید شدید کافیست به وب سایت آنها مراجعه کنید و یک پیغام بگذارید مطمئن باشید آنها برای امنیت سرور خود ارزش زیادی قائل هستند و برای بهبود آن کمک خواهند کرد.
امیدوارم این نکات به شما در بهبود امنیت وب سایت تان کمک کرده باشد خوب حال با بکار گیری این نکات و افزایش دانش خود مدیریت امن وب سایت خود را آغاز کنید.
نوشته: جاناتان جونز
ترجمه: علی یزدی مقدم