دسته: امنیت وب

تنظیمات امنیتی سایت و سرور

تنظیمات امنیتی سایت و سرور

معمولا فایل configuration در وب سرورها وجود دارد. به عنوان مثال در سرورهای لینوکسی معمولا از فایل htaccess که در ریشه سایت قرار دارد، جهت اعمال برخی تنظیمات استفاده می شود.

هنگامی که هکرها به سایتی نفوذ می کنند ممکن است با اعمال تغییراتی در فایل تنظیمات وب سرور بر کارکرد سایت تاثیر بگذارند. یکی از اهداف هکرها هدایت کاربرانی که از موتورهای جستجو وارد سایت می شوند و یا هدایت ربات های موتورهای جستجو به صفحات اسپمی و به غیر از سایت اصلی است. این نوع ریدایرکت، Cloaking نام دارد و نقض دستورالعملهای گوگل وبمستر است.

هکرها معمولا فایل تنظیمات را به گونه ای تغییر میدهند که افرادی که مستقیم وارد سایت می شوند، به صورت نرمال می توانند از سایت استفاده کنند ولی کاربرانی که از طریق موتور جستجو روی لینک سایت شما کلیک میکنند به صفحه دیگری که هکر آن را طراحی کرده ریدایرکت می شوند. همچنین هکر میتواند تنظیمات را به گونه ای انجام دهد که اگر فردی به صورت مستقیم قصد داشته باشد وارد صفحه اسپمی طراحی شده توسط هکر شود، با صفحه 404 مواجه شود. در حقیقت صفحه اسپمی مورد هدف هکر فقط از طریق موتور جستجو و با کلیک کردن بر روی لینک صفحات سایت شما در صفحه نتایج موتور جستجو قابل دسترس خواهد بود.

نمونه زیر یکی از تغییرات رایج در فایل htaccess می باشد:
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|bing)
RewriteRule ^(.*)$ example.php?$1 [L]

در نمونه بالا، کاربری که از طریق موتورهای جستجوی معروف مانند گوگل، یاهو و بینگ وارد سایت شما شود به صفحه example.php هدایت خواهد شد و از طریق آن فایل PHP ممکن است هر محتوای اسپمی به کاربر نمایش داده شود.

امنیت سیستم مدیریت محتوا CMS

امنیت سیستم مدیریت محتوا

گوگل از سال 2014 تحت کمپین جهانی #NoHacked اقدام به آگاهی رسانی در مورد امنیت وب نمود. مطالب زیر برگرفته از راهنماییهای گوگل برای امنیت سایت است.

بروز نگاه داشتن سیستم مدیریت محتوا یا CMS:

اگر شما از سیستمهای مدیریت محتوا مانند جوملا، وردپرس، دروپال، مجنتو یا ووکامرس استفاده می کنید، ساده ترین راه برای امن نگاه داشتن سایت این است که CMS مورد استفاده تان را آپدیت نگاه دارید. هیچ موقع برای آپدیت کردن، زمان را از دست ندهید و در اسرع وقت سیستم مدیریت محتوایتان را بروز کنید. تولیدکنندگان CMS معمولا در سایت هایشان در مورد موارد امنیتی اطلاع رسانی می کنند و این امکان هست که در قسمت security announcements مشترک شد. سعی کنید همیشه از در جریان اطلاعیه های امنیتی توسط تولیدکنندگام CMS قرار بگیرید و اقدامات لازم را انجام دهید.

nohacked keep cms updated
Photo by Google

منابع زیر در مورد موارد امنیتی رایج در بین تعدادی از CMS ها و پلتفورم های e-commerce است:

وردپرس ← https://goo.gl/5c0SYf

جوملا ← https://goo.gl/B3HoxV

دروپال ← https://goo.gl/XQaaFz

مجنتو ← https://goo.gl/iK0gGR

ووکامرس ← https://goo.gl/tvA7HO

به این نکته توجه داشته باشید که امنیت سایت از نظر سئو نیز اهمیت دارد و در برخی موارد هکرها با هدف آسیب رساندن به موقعیت یک سایت در موتورهای جستجو به یک سایت نفوذ کرده و از نظر SEO به آن صدمه می رسانند.

امنیت سایت از دیدگاه سئوی حرفه ای

امنیت سایت از دیدگاه سئوی حرفه ای

یکی از اهداف هکرها برای آسیب رساندن به وب سایت ها، SEO است. در بسیاری از موارد، سایت های هک شده از نظر سئو آسیب جدی می بینند و در نتیجه با افت رنک در موتورهای جستجو مواجه می شوند. گوگل تصویر زیر را در آستانه سال نو میلادی تحت کمپین #NoHacked پابلیش نمود. معنی این عکس این است که SEO spam می تواند مشتریان احتمالی را به سایتهای مخرب هدایت کند و منجر به از دست رفتن فروش شود. در نتیجه امن نگاه داشتن وب سایت یک مقوله جدا نشدنی از سئو است و یک سئوکار حرفه ای همیشه باید امنیت سایت را مد نظر داشته باشد و در صورت لزوم از افرادی که متخصص امنیت سرور و یا سایت هستند بهره ببرد.

سئو اسپم
NoHacked Photo by Google

گوگل سرچ کنسول و امنیت وب سایت:

سرویس گوگل سرچ کنسول یک ابزار برای سئوکاران، وبمستران و دارنگان وب سایت ها است که توسط آن می توان از برخی ایرادات سایت از دیدگاه سئو مطلع شد و با توجه به آمار و اطلاعاتی که گوگل از این طریق به وبمستران می دهد، امکان بهینه سازی سایت برای موتورهای جستجو وجود دارد. اگر هنوز سایت خود را در Google Search Console اضافه نکرده اید، همین الان این کار را انجام دهید. ضمنا می توانید از مقاله آموزش اضافه کردن سایت در گوگل سرچ کنسول بهره ببرید.

یکی از کاربردهای گوگل سرچ کنسول در زمینه امنیت این است که هنگامی که گوگل تشخیص دهد که سایتی هک شده است و یا دچار مشکلات امنیتی از نظیر فیشینگ، URL injection و موارد مشابه شده، به وبمستر با ذکر مشکل بوجود آمده، اطلاع رسانی میکند و وبمستر نیز می تواند پس از برطرف کردن مشکلات بوجود آمده، درخواستی به نام reconsideration request برای گوگل ارسال کند تا گوگل مجدد سایت وی را بررسی کند و در صورت تایید برطرف شدن مشکل توسط گوگل، وضعیت سایت از نظر رنکینگ در موتور جستجو به حالت قبل باز گردد.

کمپین جهانی NoHacked برای آگاهی رسانی در مورد امنیت وب:

در ماه جون سال 2014، گوگل کمپین جهانی NoHacked را در شبکه های اجتماعی با هدف افزایش آگاهی وبمستران و مالکان سایت ها در مورد امنیت وب راه اندازی کرد و هر ساله مطالبی را تحت عنوان #NoHacked منتشر میکند. شما می توانید با جستجوی #NoHacked مطالب مفیدی را در این ارتباط پیدا کنید.