آنالیز امنیتی سایت

بستا وب با گستره ای از تست ها و سرویس های امنیتی که نیازهای اطلاعاتی و امنیتی شرکت‌ها و سازمان‌ها را در بر می‌گیرد آماده ارائه بهترین خدمات به شما عزیزان می باشد.

یک وب سایت هک شده به طور جدی می تواند در تلاش های بهینه سازی موتور جستجو تاثیر بگذارد . چه عواملی یک وب سایت را آسیب پذیر می کند و چگونه می توان از وب سایت خود مقابل هکرها محافظت نمود؟

تاثیر وب سایت هک شده در SEO به سه دسته عمده تقسیم می شود :

رتبه بندی در موتورهای جستجو . . موتورهای جستجوگر همچون گوگل می تواند وب سایت شما را به عنوان یک سایت مورد حمله یا یک سایت مخرب مجازات کنند و این باعث کاهش رتبه شما و یا پنالتی وب سایت شما از جدول سرچ شود ، تا زمانی که وب سایت شما به طور کامل به حالت عادی برگردد این یک ریسک بزرگ برای وب سایت شما محسوب می شود. این کاهش رتبه بندی در میزان ترافیک وب سایت شما نیز تاثیر بسزایی خواهد داشت .

تاثیر بر روی کاربران بازدید کننده از وب سایت شما ، گاهی اوقات حتی اگر یک وب سایت توسط نرم افزارهای شناسایی فیشینگ و یا malware شناخته نشود و در گوگل نیز شناخته شده نباشد، یک هکر می تواند با استفاده از اسکریپت های قابل اجرا بر روی سایت شما اطلاعات شما و کاربران شما را سرقت کند ، و شما از این موضوع آگاه نشوید

نمونه ای از این اطلاعات می تواند کلمات عبور ، شماره تماس ، اطلاعات مربوط به کارت های اعتباری و غیره باشد.

تاثیر بر اعتماد . اگر امنیت وب سایت شما به خطر بیافتد و وب سایت شما به عنوان یک میزبان مهاجم که سرقت اطلاعات مشتری را انجام می دهد شناسایی شود ، شما ممکن است مجبور به پرداخت خسارت (بازپرداخت) و در بدترین قسمت اعتماد شما به عنوان یک بازرگان معتبر ممکن است زیر سوال رود ، و ایجاد دوباره اطمینان برای مشتریان نیازمند زمانی چند برابر قبل می شود.

مهم نیست که چقدر بهینه سازی کلمات کلیدی وب سایت شما خوب باشد ، اگر شما از مسائل امنیتی چشم پوشی کنید ، پس از آن همه تلاش خود برای افزایش رتبه و ترافیک سایت در یک لحظه و توسط یک نفوذگر به خطر خواهد افتاد .

دراینجا برخی از مسائل امنیتی رایج در وب سایت های تجاری و غیر تجاری را مورد بررسی قرار می دهیم :

از آنجا که افزایش محبوبیت وب سایت های داینامیک (وب سایت هایی که از پایگاه داده برای نمایش اطلاعات بر روی صفحات وب استفاده می کنند ) رو به افزایش است ، هک پایگاه داده اولین بار با استفاده از تزریق کدهای sql در سال 2009 شروع شد که مسئول 19 درصد از حملات وب می باشد

آنالیز امنیتی وب سایت

منبع: The Web Hacking Incident Database 2009

علل اصلی تزریق SQL شامل موارد زیر است:

کافی نبودن اعتبارهای ورودی کاربر.اگر شما از وب فرم ها ، کوکی ها ، شناسه پرس و جو استفاده می کنید باید در اعتبار بخشی آن در پایگاه داده اطمینان حاصل کنید ، استفاده از ورودی های مسموم به مهاجم اجازه دستکاری در فرم های شما با ارسال درخواست های اس کیو ال می شود.

سیستم های مختلف نیازمند راه حل های مختلف می باشند . در MySQL شما می توانید از فانکشن شناخته شده mysql_real_escape_string برای فیلتر کردن ورودی قبل از انجام هر گونه نمایش داده استفاده کنید .

طراحی پایگاه داده ضعیف

در هنگام طراحی پایگاه داده باید هنگام ایجاد کارکترها برای فیلدها دقت لازم را انجام دهید مسلما یک فیلد نام کاربری نیازی به داشتن کارکتری بیش از 35 حرف نخواهد داشت .

امتیازات نامناسب پایگاه داده

وب اپلیکیشن های ما نباید دسترسی به ریشه به یک پایگاه داده خواص داشته باشند . ممکن است این به نظر برای دسترسی یک کاربر به صورت کاربردی خوب به نظر برسد ، اما نباید تمام دسترسی را شامل شود . اکثر برنامه های کاربردی وب قابلیت خواندو نوشتن در پایگاه داده را دارند ،اما هرگز برای ایجاد جدول یا ساخت پایگاه داده بر روی سرور نباید مورد استفاده قرار گیرد

از آنجایی که MySQL در دنیا به صورت متن باز بوده و از محبوبیت زیادی برخوردار می باشد ، جنبه ها امنیتی آن نیز برای شما بسیار حائز اهمیت است ، در این رابطه می توانید مقاله آموزش نکات امنیتی در MySQL را بخوانید .

اولین مسئله قابل اهمیت داشتن یک پسورد خیلی قوی می باشد ، درصورتی که شما نمی توانید امنیت وب سایت خود را تامین کنید یک پسورد با کارکترهای مختلف و بلند برای لاگین پنل ادمین خود انتخاب کنید تا دسترسی به پسورد شما زمان بیشتری را برای هکر به همراه داشته باشد.حداقل تعداد کاراکتر برای یک پسورد مناسب 12 تا 15 حرف می باشد .

با توجه به مستندات یک رمز عبور 8 کاراکتری نسبت به یک رمز عبور 96 کاراکتر در سیستم به این معنی است که حملات نوع D از نوع brute force 23 سال تفاوت زمانی برای شکستن رمز عبور دارد.البته بسته به نوع سیستم حمله کننده زمان کمی کوتاه تر یا بلند تر خواهد بود .

22 درصد از حملاتی که در سال 2009 ثبت شده اند مربوط به حملات brute force می باشد .

اگر شما پوشه ادمین را از دسترس دیگران دور نگه دارید به احتمال زیاد می توانید از بروز این حملات جلوگیری کنید ( به دلیل اینکه شما تنها کسی می باشید که به پوشه ادمین دسترسی دارید )برای مثال در وردپرس دایرکتوری ادمین wp-admin می باشد

شما با استفاده از .htaccessمی توانید دسترسی دایرکتوری wp-admin که مربوط به پنل ادمین می باشد را محدود کنید

Order allow,deny Allow from 123.456.789

این کار باعث می شود که فقط یک کاربر با آی پی ذکر شده (admin ip) قادر به دسترسی به پنل ادمین باشد و بتواند فایل ها را حذف ویرایش و پلاگین ها را تغییر دهد.

تمام آدرس آی پی ها دیگر (مانند کاربران ، از جمله هکرها) مسدود خواهند شد و با خطای 404 مواجه خواهند شد ، شما نیز می توانید این کار را با تمام فولدرهای حساس خود انجام دهید .

این به تنهایی امنیت وب سایت شما را تامین نمی کند ، ولی یکی از نگرانی های جدی برای SEO وب سایت شما را از بین می برد

Cross Site Scripting

این آسیب پذیری با اجرای اسکریپت در مرورگر سرویس گیرنده رخ می دهد به عنوان مثال، اگر یک وب سایت به XSS (کراس سایت اسکریپت) آسیب پذیر باشد، مهاجم می تواند یک URL با کد های مخرب در وب سایت شما اجرا کند.

خبر خوب این است که شما می توانید سایت خود را از لحاظ امنیتی چک کنید و این نیاز به دانش خاصی ندارد.

برای تشخیص باگ های xss و sql می توانید از سایت www.acunetix.com نرم افزار اسکنر آسیب پذیری را دریافت کرده و وب سایت خود را چک نمائید ، اگر سایت شما آسیب پذیر بود برای از بین بردن این آسیب پذیری می توانید با ما در تماس باشید.

گروه طراحی سایت بستا مفتخر است شما را در طراحی سایت به صورت استاندارد در تمامی مراحل از پیاده سازی تا اجرا همراهی نماید