دسته: امنیت وب

5 ماه فرصت دارید تا سایت خود را https کنید

5 ماه فرصت دارید تا سایت خود را https کنید

گوگل همواره اهمیت ویژه ای به امنیت کاربران در اینترنت قائل بوده است و از چند سال پیش، قبل از اینکه https بودن یکی از سیگنالهای محاسبه رنکینگ گوگل شود، شروع به تشویق وبمستران سایت ها برای حرکت از http به https کرد و پس از مدتی در آگوست سال 2014 اقدام به در نظر گرفتن https به عنوان یکی از سیگنالهای رنکینگ در الگوریتم هایش نمود که منجر به ارتقا رنکینگ صفحات https گردید.

درصد لود صفحات با https در سیستم عامل های مختلف
درصد لود صفحات با https در سیستم عامل های مختلف

پروتکل https آنقدر اهمیت داشت که از سال 2015 گوگل در راستای اعمال فشار بر سایتها برای امن شدن، شروع به ایندکس سایت ها با https به صورت پیشفرش نمود که البته این مورد فقط برای صفحاتی اعمال می شود که چند شرط زیر را دارا باشند:

  • همه منابع سایت با https بارگذاری شوند.
  • آدرسهای https با robots.txt بلاک نشده باشند.
  • آدرسهای https به آدرسهای http ریدایرکت نشوند.
  • صفحات دارای canonical با آدرسهای http نباشند.
  • صفحات دارای متا تگ noindex نباشند.
  • سرور دارای سرتیفیکیت TLS یا SSL معتبر باشد.

از ژانویه 2017 گوگل کروم همانند تصویر زیر اقدام به نمایش عبارت Not secure برای صفحات http که دارای فیلد پسورد و کردیت کارت بودند کرد.

رفتار گوگل کروم 53 و 56 در برابر صفحات http
رفتار گوگل کروم 53 و 56 در برابر صفحات http

حالا گوگل اعلام کرده است که در راستای ارتقا امنیت وب از ماه جولای سال 2018 در مرورگر گوگل کروم همانند تصویر زیر اقدام به نمایش عبارت Not secure در کنار آدرس همه صفحاتی که با http در دسترس هستند خواهد کرد.

رفتار گوگل کروم 64 و 68 در برابر صفحات http
رفتار گوگل کروم 64 و 68 در برابر صفحات http

بنابراین دیگر پروتکل http کم کم به انتهای راه خود رسیده است. اگر برای سئوی حرفه ای سایت برنامه ریزی دارید و اگر هنوز سایت شما با http در دسترس است هر چه سریعتر اقدام به تهیه و نصب سرتیفیکیت SSL کنید که هم با بی اعتمادی کاربران مواجه نشوید و هم با https شدن، سئوی سایتتان را بهبود ببخشید.

برای اینکه سایتی با پروتکل https در دسترس باشد نیاز به تهیه و نصب گواهی SSL دارد. سرتیفیکت های مختلف SSL وجود دارند که شما می توانید در راهنمای خرید گواهینامه SSL با آنها آشنا شوید تا بتوانید انتخاب هوشمندانه تری در خرید سرتیفیکیت SSL داشته باشید.

اخطار گوگل به وبمستران برای آپگرید TLS

اخطار گوگل به وبمستران برای آپگرید TLS

همان طور که می دانید گوگل به امنیت وب و کاربران اینترنت اهمیت زیادی می دهد و به همین دلیل استفاده از پروتکل HTTPS از سال 2014 یکی از پارامترهای رنکینگ گوگل است و تاثیر HTTPS در رنکینگ سایت قابل توجه است. جهت اینکه سایت شما با HTTPS در دسترس باشد، نیاز است که یک گواهی SSL خریداری و بر روی وب سرور نصب گردد. گواهی های SSL انواع متفاوتی دارند که می توانید در راهنمای خرید گواهینامه SSL درباره آنها بیشتر بخوانید.

واژه TLS مخفف Transport Layer Security و واژه SSL مخفف Secure Sockets Layer است. TLS در حال حاضر تا نسخه 1.3 عرضه شده است که البته TLS v1.3 همچنان در مرحله بتا است. با توجه به وجود نسخه های متفاوت گواهی های TLS و میزان امنیت متفاوت آنها و با توجه به اهمیت امنیت وب از دیدگاه گوگل، اخیرا گوگل از طریق گوگل سرچ کنسول اقدام به ارسال پیغام برای وبمسترانی نموده است که از TLS v1 استفاده می کنند. متن پیام گوگل سرچ کنسول در تصویر زیر قابل مشاهده است.

اخطار TLSv1 گوگل سرچ کنسول
اخطار گوگل سرچ کنسول در مورد TLSv1

طبق گفته گوگل، به دلیل پایین بودن امنیت TLS v1، سایتهایی که از TLS v1 استفاده می کنند باید گواهی خود را هر چه سریعتر به TLS v1.2 آپگرید کنند. جهت رویت اطلاعات گواهی TLS سایت هایی که HTTPS هستند می توانید در مرورگر گوگل کروم سایت مورد نظر را باز کرده و سپس با فشردن کلید F12 وارد محیط Dev Tools کروم شوید و با توجه به تصویر زیر در تب security در قسمت Secure connection، ورژن TLS را مشاهده نمایید و همچنین جهت اطلاع از جزئیات گواهی TLS می توانید روی دکمه view certificate کلیک نمایید.

نسخه TLS در DevTools گوگل کروم
بررسی نسخه TLS در DevTools گوگل کروم

TLS نسخه 1.2 یک پروتکل قوی است و برخی از مرورگرهای خیلی قدیمی از آن پشتیبانی نمی کند. در حال حاضر کمتر از یک درصد از کاربران اینترنت از مرورگرهایی استفاده می کنند که از TLS نسخه 1.2 پشتیبانی نمی کنند. یک سئوکار باید جهت سئوی حرفه ای سایت به موارد امنیتی نیز نگاهی ویژه داشته باشد چرا که امنیت کاربران و اطلاعات برای گوگل بسیار با اهمیت است.

دلایل رایج هک شدن سایت توسط اسپمرها

دلایل رایج هک شدن سایت توسط اسپمرها

هک شدن سایت می تواند به اعتبار سایت در بین کاربران صدمه وارد کند و یا با تغییر محتوا و به هم ریختگی صفحات به رنکینگ سایت در موتورهای جستجو آسیب برساند. پس در سئوی حرفه ای باید به امنیت سایت و سرور نیز اهمیت داد و در این راستا استفاده از یک فرد و یا تیم متخصص امنیت سایت و سرور بسیار مفید خواهد بود.

در این مقاله ما قصد داریم برخی از مواردی که احتمال آسیب پذیری سایت را افزایش می دهد بررسی کنیم.

تمپلیت ها و پلاگین های نامطمئن

همیشه تلاش کنید که قالب و پلاگین های مورد نظرتان را از منابع اصلی فروش آنها تهیه کنید و از دانلود رایگان قالب ها یا پلاگین های پولی خودداری کنید. حتی در بسیاری از موارد برخی افراد سودجو اقدام به آلوده کردن کدهای یک قالب و یا پلاگین کرده و آن را مجدد و با قیمت ارزان تر از نسخه اصلی به فروش می رسانند.

تمپلیت ها و پلاگین های نامطمئن
NoHacked photo by Google

کلمه عبور

هکر ها می توانند از تکنیک های حدس زدن پسورد استفاده کنند و با سرعت زیر و با استفاده از نرم افزار اقدام به تست تعداد زیادی کلمه عبور کنند. در تکنیک های حدس زدن پسورد معمولا با استفاده از نرم افزار، تعدادی حرف و عدد و یا کاراکترهای خاص را با یکدیگر ترکیب و آن را در سایت تست می کنند. برای جلوگیری از این تکنیک، یک پسورد قوی برای قسمت های مختلف سایت مانند سرور، کنترل پنل ادمین، دیتابیس و غیره داشته باشید. منظور از پسورد قوی استفاده از پسوردی با تعداد کاراکتر بیشتر از 8 یا 10 عدد است که شامل حروف کوچک و بزرگ و اعداد و کاراکترهای خاص باشد و همچنین فاقد معنی و غیر قابل حدس زدن باشد.

یک نکته دیگر این است که از یک نام کاربری و کلمه عبور در جاهای مختلف استفاده نکنید که اگر به هر دلیلی یکی از آنها فاش شد، فرد هکر نتواند به بقیه سرویس های شما راه پیدا کند.

اهراز هویت دو مرحله ای

ضمنا توصیه می شود از سرویس های اهراز هویت دو مرحله ای یا two-factor authentication مانند سرویس Google 2-Step Verification استفاده کنید که در صورت فاش شدن کلمه عبور، هکر نتواند از سرویس های شما استفاده کند و برای لاگین کردن به گوشی موبایل شما نیز نیاز داشته باشد. سرویس های اهراز هویت دو مرحله ای در حقیقت یک لایه امنیتی اضافه هستند که برای عبور از آن باید به به عنوان مثال به گوشی موبایلتان دسترسی داشته باشید تا رمز یکبار مصرفی که برایتان ارسال شده را دریافت و جهت لاگین از آن استفاده نمایید. برخی از CMS ها راهکارها و یا پلاگین هایی را بدین منظور ارائه نموده اند.

عدم بروز رسانی

یکی دیگر از از دلایل رایج نفوذپذیر بودن سایت ها در برابر حملات، آپدیت نبودن نرم افزار ها است. همیشه تلاش کنید که آخرین نسخه سیستم عامل وب سرور، نرم افزارهایی که روی سرور نصب شده، سیستم مدیریت محتوا، پلاگین ها، ماژولها و کامپوننت هایی که روی سرور نصب شده اند استفاده کنید و یا دست کم بروزرسانی های امنیتی آنها را به صورت دوره ای انجام دهید. شما می توانید از جدیدترین بروزرسانی های امنیتی سه CMS محبوب وردپرس و جوملا و دروپال از طریق لینک های زیر مطلع شوید.

حفره های امنیتی ناشی از سیاست گذاری

اگر شما مدیر یک سایت هستید، همیشه تلاش کنید که با سیاست گذاری صحیح باعث کاهش آسیب های احتمالی در آینده شوید. سیاست گذاری های زیر می تواند به امنیت کاربران و سایت شما کمک کند:

  • اجبار کاربران برای انتخاب کلمه عبور قوی
  • ندادن دسترسی در سطح مدیر به کاربرانی که به آن دسترسی نیاز ندارند.
  • استفاده از HTTPS برای همه صفحات سایت.
  • اجازه ندادن به آپلود فایل به کاربر مهمان
  • چک کردن فایل های آپلود شده از نظر امنیتی
  • غیر فعال کردن سرویس های بدون استفاده در سرور
  • بررسی دوره ای لاگ های سرور

نتیجه گیری

فهمیدن اینکه سایت شما از چه قسمتی با مشکل هک مواجه شده و یا از چه روشی به آن نفوذ شده، به شما کمک می کند که بتوانید در مقابل حملات احتمالی آینده از سایتتان محافظت کنید.

اگر سایتی هک شود و یا با مشکلات امنیتی مواجه شود که گوگل قادر به تشخیص آن باشد، پیغامی مبنی بر هک شدن سایت در گوگل سرچ کنسول سایت مربوطه به وبمستر سایت ارسال می شود و پیغام this site may be hacked در صفحه نتایج جستجوی گوگل در زیر صفحات سایت مربوطه نمایش داده می شود که این امر منجر به کلیک نکردن کاربران بر روی صفحات سایت در صفحه نتایج گوگل خواهد شد که به رنکینگ سایت صدمه می رساند. پس تاکید میکنیم که به امنیت سایت از دیدگاه سئو نیز نگاه کنید و برای آن برنامه ریزی جدی داشته باشید.

راهنمای جامع خرید گواهینامه SSL

راهنمای جامع خرید گواهینامه SSL

اگر می خواهید برای سایتتان گواهینامه SSL تهیه کنید و سایت امنی داشته باشید ولی نمیدانید از کجا شروع کنید و یا چه گواهینامه ای برای سایت شما مناسب است، مطالعه این مقاله به شما کمک خواهد کرد که تصمیم بهتری را اتخاذ کنید.
انواع مختلفی از گواهینامه های SSL وجود دارند که هر کدام از لحاظ سطح امنیت و تعداد دامین قابل استفاده به ازای یک گواهینامه و همچنین میزان اعتبار آنها با یکدیگر متفاوت هستند و به همین دلیل برای بیشتر کاربران، انتخاب نوع سرتیفیکیت SSL کار دشواری است.

پرسش های رایج در خرید سرتیفیکیت SSL:

ما در این مقاله قصد داریم به پرسش های رایجی که برای بیشتر وبمستران در خرید سرتیفیکیت SSL وجود دارد پاسخ دهیم.

  1. کدام سرتیفیکیت SSL در رنکینگ سایت تاثیر بیشتری دارد؟
  2. چه نوع گواهینامه SSL باید خریداری کنم؟
  3. آیا باید از گواهینامه های رایگان استفاده کنم و یا باید سرتیفیکت را خریداری کنم؟
  4. از گواهینامه SSL کدام شرکت استفاده کنم؟
  5. کدام سرتیفیکت برای امن کردن sub-domain و یا تعدادی دامین به صورت همزمان بهتر است؟

تاثیر HTTPS در رنکینگ سایت در سال 2014 توسط گوگل اعلام شد ولی طبق گفته گوگل هیچ تفاوتی در بین سرتیفیکت های معرفی شده در بالا از نظر میزان تاثیرگذاری در رنکینگ وجود ندارد.

انواع سرتیفکیت SSL:

سه نوع کلی گواهینامه SSL وجود دارد و شما باید با توجه به سطح امنیت مورد نیازتان یکی از آنها را انتخاب نمایید.

گواهینامه Domain-Validated SSL:

این نوع سرتیفیکیت به نام low assurance certificate یا گواهینامه با تضمین پایین یا DV SSL Certificate نیز شناخته می شود. در هنگام تهیه آن، دامنه مورد نظر به صورت اتوماتیک بررسی می شود و تاییدیه ای نیز توسط ایمیل و یا تنظیم DNS توسط وبمستر انجام می شود و مدت زمان صدور آن از چند دقیقه تا چند ساعت به طول می انجامد.

گواهینامه Organization-Validated SSL:

این نوع سرتیفیکیت به نام high assurance certificate یا گواهینامه با تضمین بالا یا OV SSL Certificate نیز شناخته می شود. در هنگام تهیه آن، مالکیت دامنه مورد نظر توسط فروشنده بررسی و اعتبارسنجی می شود و جهت اخذ آن نیاز به ارائه اطلاعات شرکت از قبیل نام شرکت و نام کشور و استان و شهر می باشد. مدت زمان صدور سرتیفیکت OV SSL از چند ساعت تا چند روز به طول می انجامد. گواهینامه OV SSL برای وب سایت بیزینس ها و شرکت ها مناسب است.

گواهینامه Extended-Validated SSL:

این نوع سرتیفیکیت به نام EV SSL Certificate نیز شناخته می شود. در هنگام تهیه آن، خریدار گواهینامه EV SSL جهت احراز مالکیت دامنه مورد نظر باید مدارک قانونی بیشتری را نسبت به گواهینامه OV SSL ارائه کند. مدت زمان صدور سرتیفیکت EV SSL از چند روز تا چند هفته به طول می انجامد. گواهینامه EV SSL برای وب سایت های e-commerce مناسب است.

از کجا گواهینامه SSL بخرم؟

شرکت های GeoTrust و digicert و Comodo و Symantec یا همان VeriSign سابق از جمله فروشندگان اصلی و معتبر گواهینامه های SSL هستند. شرکت Comodo در سال 2015 با سهم 33.6 درصدی از صدور گواهینامه های SSL، بزرگترین فروشنده سرتیفیکت SSL بود.

خرید گواهینامه SSL از فروشندگان معتبر
فروشندگان معتبر گواهینامه SSL

با توجه به تعداد مجاز domain یا sub-domain قابل استفاده با یک گواهینامه، سه نوع دیگر از گواهینامه های SSL وجود دارند:

– گواهینامه Single-name SSL:

این نوع سرتیفیکیت فقط قابل استفاده برای یک دامین است و امکان استفاده از آن برای sub-domain وجود ندارد. به عنوان مثال اگر گواهینامه Single-name SSL برای دامین www.webyooz.com خریداری شده باشد، امکان استفاده از آن برای test.webyooz.com وجود ندارد.

– گواهینامه Wildcard SSL:

از این نوع سرتیفیکیت جهت امن کردن یک دامین به همراه همه sub-domain های آن استفاده می شود. به عنوان نمونه اگر سرتیفیکیت Wildcard SSL برای دامین www.example.com خریداری شده باشد، امکان استفاده از آن برای blog.example.com و news.example.com وجود دارد.

– گواهینامه Multi-domain SSL:

با استفاده از سرتیفیکیت Multi-domain SSL امکان استفاده از یک گواهینامه برای تعداد 210 دامین وجود دارد. البته برخی از شرکتهای ارائه دهنده گواهینامه اجازه استفاده از یک گواهینامه Multi-domain برای تعداد بیشتری دامین را می دهند.

گواهینامه SSL رایگان:

برخی از شرکتها گواهینامه SSL را به صورت رایگان ارائه می کنند ولی استفاده از آنها ممکن است منجر به نمایش پیغام معتبر نبودن سرتیفیکت توسط بیشتر مرورگرهای اینترنت گردد. البته در بین سرتیفیکیت های رایگان، استفاده از سرویس Let’s Encrypt ایرادی ندارد. شما می توانید Let’s Encrypt را بر روی سرور نصب کنید و برای دامین ها و سابدامینهایتان سرتیفیکیت SSL رایگان سه ماهه ایجاد کنید که به صورت اتوماتیک هر 3 ماه یک بار به مدت 3 ماه دیگر تمدید خواهد شد.

گواهینامه SSL رایگان

کدهای رمزگذاری شده و نامفهوم در سایت

کدهای رمزگذاری شده و نامفهوم در سایت

یکی از روشهایی که هکرها برای اضافه کردن کدهایشان به سایت ها به کار می برند، استفاده از تکنیک های مختلف encoding است. هکر با استفاده از این تکنیک ها کدها را به صورت نامفهوم برای کاربر انسان و البته مفهوم برای وب سرور و یا مرورگر اینترنت در سایت قرار می دهد.
هدف اصلی استفاده از روش encoding، مخفی کردن و همچنین کاهش سایز کد مانند یک webshell است. به عنوان مثال با استفاده از ترکیب base64_decode() و فانکشن های PHP مانند strrev() شما می توانید یک کد ساده PHP را به جمله ای شبیه نمونه زیر تبدیل کنید:

با استفاده از ابزارهایی مانند سایت DDcode و PhpFiddle و Tools4noobs می توانید کدهای PHP رمزنگاری شده مانند نمونه بالا را را رمزگشایی کنید.

آموزش سئو یا بهینه سازی سایت برای موتور جستجو:

در صورتیکه بتوانید عبارت رمزنگاری شده بالا را رمزگشایی کنید، می توانید با ارسال متن رمزگشایی شده از 10 درصد تخفیف در دوره آموزش سئوی حرفه ای به صورت خصوصی و یا دوره آموزش سئو در مجتع فنی تهران برخوردار شوید.
magnified codes

کمپین #NoHacked:

گوگل از سال 2014 با راه اندازی کمپین #NoHacked اقدام به اطلاع رسانی در مورد امنیت وب نمود و همواره اطلاعاتی را در این راستا در شبکه های اجتماعی منتشر می کند. ما در این مقاله و نوشته های دیگر، تحت عنوان “امنیت وب” تعدادی از مقالات منتشر شده توسط گوگل را ترجمه، گردآوری و بازنویسی کرده ایم که امیدواریم برای شما مفید واقع شود.