با درود سرويس شما دراين مقاله به بررسي ۱۲ نكته كاربري به جهت امنيت اينترنت سايتها اشاره ميشود كه با رعايت آنها مطمئنن تارنما شما از هر حيث امن و غير قابل نفوذ خواهد بود .
بهينه سازي سايت
۱ - عدم نمايش اشتباه در وب سايت يكياز جذابترين و يا اين كه ممكنست بي آلايش ترين راه و روش هاي نفوذ به سايت استفاده از كاوشگر دوستداشتني گوگل مي باشد! معمولا هكرها در سايتها در ادامه اشتباه ميباشند خطايي كه به طور بصري قابل مشاهده بوده و مي توان از آن در جهت نفوذ به تارنما استفاده كرد . گوگل اين قابليت را بطور بي نقص براي كساني كه نو با يكسري متد هك آشنا گرديده اند مهيا نموده است . به صورت نمونه سايتي دارنده خطايي از گونه warning هست . هكر با جستجوي عبارت intext : warning : mysql _ result با ليستي از صفحه ها خطاي سايتهايي كه گوگل آنانرا در ديتابيس خويش ذخيره كرده روبرو ميگردد و با مقداري تغيير تحول در مدل كاوش به هدف ها با جزييات بيشتر و يا اين كه سايتهاي مهم تري روبرو ميشود . و گشوده به صورت مانند با جستجوي عبارت site : . org intext : warning : mysql _ result ليستي از سايتهاي مدني نمايش داده ميگردد . در شرايط خطاي warning چه بسا اسم كاربري ورود به پنل مهم وبسايت نمايش داده ميشود كه هكر با استفاده از brute force و پاره اي كارايي ميتواند پسورد وبسايت را پيدا نمايد . به همين عارضه ها است كه بايستي كليه غلط ها در هنگام بالا بودن تارنما غير قابل نمايش باشد . در وضعيت كلي خوب تر است در يكياز فايلهاي داراي اهميت وب سايت خويش كه در ساير قسمتها فراخواني ميگردد كه معمولا اين پوشه ميتواند config . php باشد از تابع mysql _ error ( 0 ) استفاده نماييد تا چه بسا در حالتي كه خطايي نيز در اجراي مراحل كدها فيس داده اين نادرست براي يوزرها نمايش داده نشود .
سئو در مشهد
۲ – استفاده از password protect يكي شايسته ترين روش ها براي جلوگيري از ورود هكر به فولدهاي خاص استفاده از امكان password protect در پنل رئيس cpanel ميباشد . براي مثال در صورتي فايلهاي مديريتي وب سايت شما در باطن فولدر اي به اسم Admin جاي دارد و با وارد كردن اسم كاربري و پسورد وارد اين فولدر ميشويد و به پنل مدير تارنما دسترسي داريد با استفاده از اين امكان ميتوانيد بر روي اين فولدر پسوردي قرار دهيد . از اين پس پيشين از ورود شما به ورقه Admin پنجره اي ظواهر شده كه از شما اسم كاربري و پسوردي را ميخواهد كه در نصيب password protect تهيه نموده ايد . دراينحالت چه بسا چنانچه هكر از روش متد sql injection به پسورد مدير تارنما دسترسي پيدا نموده باشد نميتواند به پنل مدير وبسايت نفوذ نمايد چون ابتدا مي بايست از پسوردي كه شما بر روي فايل خويش گذارده ايد عبور نمايد . در سود خوب تر است مدام فايلهاي مرتبط با صفحه هاي مدير خويش را در فولدر اي جدا از فايلهاي حساس وبسايت قرار دهيد تا بتونيد از اين طرز از آنها نگهداري كنيد .
۳ – استفاده از پوشه robot . txt پوشه robots . txt يك پوشه متني بي آلايش هست كه بيشتر به جهت سئو ( search engine optimaiz ) در سايتها استفاده ميگردد . البته ميتوان از اين فولدر جهت نگهداري از فولدرهايي كه نمي خواهيد ديتا درون آنان بوسيله موتورهاي كاوش چشم شود استفاده فرماييد . فولدر robots . txt را بايستي در ريشه وبسايت خويش قرار دهيد و نظير نمونه از آن استفاده فرماييد . ابتدا يك فولدر با اسم robots . txt توليد فرمائيد و آنگاه داخل آن عبارتهاي زير را قرار دهيد : User - agent : * Disallow : /upload/ با استفاده از اين امر رباتهاي كاوشگر محتويات درون پوشته upload را ايندكس نمي كنند . اينكار از اين جهت با اهميت است كه ممكن است شما در تارنما فولدر اي داشته باشد كه محتواي فايلهاي آپلود شده در آن منحصربهفرد اعضاي وب سايت باشد يا اين كه نخواهيد داده ها باطن اين فايل در نتايج جستجوهاي اينترنتي چشم شود يكياز ابتدايي ترين كارهايي كه ضروري است انجام دهيد توليد همين پوشه robots . txt ميباشد كه تاثير بسزايي درين فرمان دارااست و همينطور به سئو وبسايت شما هم امداد شاياني مي كند . در صورتيكه مي خواهيد يك پوشه خاص را از حيث رباتها نهفته فرماييد مي بايست نشاني ظريف پوشه را در باطن robots . txt وارد فرماييد . Markup User - agent : * Disallow : /upload/mypic . jpg دقت نمائيد كه محتوياتي كه باطن اين پوشه قرار ميگيرد از نگاه رباتها كليدي به حروف بزرگ و كوچك است در فيض فولدر Upload با فايل upload تماما مختلف ميباشد . و همينطور شما ميتوانيد از الگوهاي خاص مثل عبارت هاي با قاعده استفاده كنيد كه اما در اينجا صرفا ميتوان از علامتهاي ( * ? $ ) استفاده كرد .
۴ – اعتبار سنجي بدون نقص فرم ها هيچ تارنما دايناميكي سواي فرم معناي دايناميك را نمي دهد . وقتي كه در صفحه ها وب سايت خويش از فرم هاي گوناگون مثل نام نويسي , تماس با ما و… استفاده مينماييد فراموش نكنيد كه داده ها فرم ها را نيز در سمت كلاينت و نيز در سمت سرور قبلي از ارسال آن ها به ديتابيس بررسي كنيد . براي اعتبار سنجي سمت كلاينت ميتوانيد از javascript يا اين كه jquery استفاده نمائيد كه يكي شايسته ترين پلاگينهاي جان دار براي اعتبارسنجي فرم jqueryvalidation ميباشد كه قابليت و امكان هاي زياد متعددي در اعتبار سنجي گونه هاي فرم ها دارااست . در سمت سرور قبلي از اينكه ديتا ارسالي بوسيله استفاده كننده به ديتابيس رسد بايستي اعتبار سنجي جامعي انجام دهيد چون احتمال دارد كاربري مزاحم كاراكترها يا اين كه عبارتهاي خاصي را به جهت نفوذ به وبسايت در فرم وارد كردهباشد اگر كه اعتبار سنجي شما بدون نقص انجام نشده باشد شايد سبب هك شدن وبسايت و از بين رفتن داده ها شما شود . يكياز معمولي ترين كاراكترهايي كه براي نفوذ به وبسايت از روش متد sql injection انجام ميشود ارسال ‘ از روش فرم ها به ديتابيس هست كه براحتي ميتوانيد بوسيله توابعي مثل addslashes يا اين كه mysql _ real _ escape _ string جلوي آنرا بگيريد اين توابع قبلي از ‘ يك به جهت غير فعال كردن آن قرار مي دهند . همينطور براي جلوگيري از هجوم ها xss خوبتر است از توابعي نظير striptags يا اين كه htmlentities استفاده فرمائيد . طرز استفاده از اين توابع در وب سايت قانوني php كاملا شرح داده شدهاست .
۵ - Hash كردن رمزهاي ورود يا اين كه داده هاي كليدي در گويش فراگيري php توابع متعددي براي hash كردن اطلاعات موجود هست كه براحتي مي توانيد از آن ها براي كد كردن داده ها اصلي خويش استفاده نماييد . يك كدام از توابع كاربردي و معمولي base64 _ encode ( ) هست كه معمولا از اين تابع براي كد كردن عبارتهاي طولاني مثل نسخه برداري رايت استفاده ميگردد كه براي استفاده كننده معمولي تشخصيص و راز گشايي آن يه خرده نقص ميباشد . براي استفاده كافي است تابع را متن و ديتايي كه مي خواهيد encode شود باطن پرانتر بنويسيد . از ساير تابع هاي كاربردي ميتوان به md5 اشاره نمود . md5 يك تابع رجوع و برگشت ناپذير ميباشد يعني رمزگشايي از آن مثل base64 آسوده نيست بلكه براي رمزگشايي ديتاهاي متعدد با عبارت md5 شده مقايسه مي گردد و در حالتيكه كهاين مقايسه درست باشد پاسخ بازگردانده ميشود . از اين تابع بيشتر به جهت سر دار كردن پسوردها استفاده ميشود . تابع به صورتي فعاليت مي كند كه هر تعداد كاراكتري كه به آن بدهيد آنرا تبديل به يك عبارت ۳۲ تايي مي نمايد . به صورت نمونه ۱۲۳۴۵۶ در شرايط md5 به طور e10adc3949ba59abbe56e057f20f883e چشم خواهد شد . تابع ديگري مثل md5 موجود هست كه sha1 اسم داراست در اين صورت عبارت محل ورود به يك حرفه ۴۰ تايي تبديل مي گردد . شما ميتوانيد با استفاده از اين توابع و عمليات salt پسوردهاي پيچيده اي ايجاد كنيد كه رمزگشايي آنان كاري زمان بر و مضاعف مشقت بار باشد . در واقع Salt يك روش است كه از روش آن فن اي را ميتوان به كد hash شده بيش تر كرد تا كرك كردن آن طاقت فرسا خيس شود . به صورت نمونه تابع زير تابع hashing انجمن ساز Vbulletin ميباشد PHP function hash _ password ( $password , $salt ) { // if the password is not already an md5 , md5 it now if ( $password == ” ) { } else if ( !$this - >verify _ md5 ( $password ) ) { $password = md5 ( $password ) ; } // hash the md5′d password with the salt return md5 ( $password . $salt ) ; } كه خلاصه آن به طور زير خواهد بود PHP $hash=MD5 ( MD5 ( $password ) +$salt ) خوبتر است مدام تعداد كاراكترهاي salt را بيشتر از ۵ كاراكتر بگيريد تا كرك آن طاقت فرسا خيس شود .
۶ - در اختيار گرفتن بي نقص فايلهاي در حالا آپلود در صورتيكه در وب سايت خويش فرمي داريد كه از روش آن فايلي قرار است روي تارنما آپلود شود بايستي اعتنا ويژه اي در بررسي فايلهاي آپلود شده داشته باشيد . قبلي از هرچيز بايستي پسوند فايلهاي مجاز را معلوم فرمائيد يعني درصورتيكه استفاده كننده قرار است عكسي آپلود كند حتما پسوند هاي مجاز را معين كنيد . نيز در سمت كلاينت و نيز در سمت سرور نظير آنچه در قبلي نقل شده اعتبارسنجي پوشه را انجام دهيد . بعضي مواقع پيش ميآيد كه مهاجم با تغيير تحول در پسوند پوشه سعي بر بدور زدن كدها اعتبارسنجي بر مي آيد به صورت نمونه مهاجم فايلي به اسم shell . php دارااست و آنرا به طور shell . php . jpg تغيير و تحول اسم ميدهد دراينصورت در صورتيكه كه كد اعتبار سنجي شما بدون نقص و كاربردي نباشد پوشه به صورت موفقيت آميز بر روي وبسايت شما آپلود ميگردد .
با درود سرويس شما دراين مقاله به بررسي ۱۲ نكته كاربري به جهت امنيت اينترنت سايتها اشاره ميشود كه با رعايت آنها مطمئنن تارنما شما از هر حيث امن و غير قابل نفوذ خواهد بود .
بهينه سازي سايت
۱ - عدم نمايش اشتباه در وب سايت يكياز جذابترين و يا اين كه ممكنست بي آلايش ترين راه و روش هاي نفوذ به سايت استفاده از كاوشگر دوستداشتني گوگل مي باشد! معمولا هكرها در سايتها در ادامه اشتباه ميباشند خطايي كه به طور بصري قابل مشاهده بوده و مي توان از آن در جهت نفوذ به تارنما استفاده كرد . گوگل اين قابليت را بطور بي نقص براي كساني كه نو با يكسري متد هك آشنا گرديده اند مهيا نموده است . به صورت نمونه سايتي دارنده خطايي از گونه warning هست . هكر با جستجوي عبارت intext : warning : mysql _ result با ليستي از صفحه ها خطاي سايتهايي كه گوگل آنانرا در ديتابيس خويش ذخيره كرده روبرو ميگردد و با مقداري تغيير تحول در مدل كاوش به هدف ها با جزييات بيشتر و يا اين كه سايتهاي مهم تري روبرو ميشود . و گشوده به صورت مانند با جستجوي عبارت site : . org intext : warning : mysql _ result ليستي از سايتهاي مدني نمايش داده ميگردد . در شرايط خطاي warning چه بسا اسم كاربري ورود به پنل مهم وبسايت نمايش داده ميشود كه هكر با استفاده از brute force و پاره اي كارايي ميتواند پسورد وبسايت را پيدا نمايد . به همين عارضه ها است كه بايستي كليه غلط ها در هنگام بالا بودن تارنما غير قابل نمايش باشد . در وضعيت كلي خوب تر است در يكياز فايلهاي داراي اهميت وب سايت خويش كه در ساير قسمتها فراخواني ميگردد كه معمولا اين پوشه ميتواند config . php باشد از تابع mysql _ error ( 0 ) استفاده نماييد تا چه بسا در حالتي كه خطايي نيز در اجراي مراحل كدها فيس داده اين نادرست براي يوزرها نمايش داده نشود .
سئو در مشهد
۲ – استفاده از password protect يكي شايسته ترين روش ها براي جلوگيري از ورود هكر به فولدهاي خاص استفاده از امكان password protect در پنل رئيس cpanel ميباشد . براي مثال در صورتي فايلهاي مديريتي وب سايت شما در باطن فولدر اي به اسم Admin جاي دارد و با وارد كردن اسم كاربري و پسورد وارد اين فولدر ميشويد و به پنل مدير تارنما دسترسي داريد با استفاده از اين امكان ميتوانيد بر روي اين فولدر پسوردي قرار دهيد . از اين پس پيشين از ورود شما به ورقه Admin پنجره اي ظواهر شده كه از شما اسم كاربري و پسوردي را ميخواهد كه در نصيب password protect تهيه نموده ايد . دراينحالت چه بسا چنانچه هكر از روش متد sql injection به پسورد مدير تارنما دسترسي پيدا نموده باشد نميتواند به پنل مدير وبسايت نفوذ نمايد چون ابتدا مي بايست از پسوردي كه شما بر روي فايل خويش گذارده ايد عبور نمايد . در سود خوب تر است مدام فايلهاي مرتبط با صفحه هاي مدير خويش را در فولدر اي جدا از فايلهاي حساس وبسايت قرار دهيد تا بتونيد از اين طرز از آنها نگهداري كنيد .
۳ – استفاده از پوشه robot . txt پوشه robots . txt يك پوشه متني بي آلايش هست كه بيشتر به جهت سئو ( search engine optimaiz ) در سايتها استفاده ميگردد . البته ميتوان از اين فولدر جهت نگهداري از فولدرهايي كه نمي خواهيد ديتا درون آنان بوسيله موتورهاي كاوش چشم شود استفاده فرماييد . فولدر robots . txt را بايستي در ريشه وبسايت خويش قرار دهيد و نظير نمونه از آن استفاده فرماييد . ابتدا يك فولدر با اسم robots . txt توليد فرمائيد و آنگاه داخل آن عبارتهاي زير را قرار دهيد : User - agent : * Disallow : /upload/ با استفاده از اين امر رباتهاي كاوشگر محتويات درون پوشته upload را ايندكس نمي كنند . اينكار از اين جهت با اهميت است كه ممكن است شما در تارنما فولدر اي داشته باشد كه محتواي فايلهاي آپلود شده در آن منحصربهفرد اعضاي وب سايت باشد يا اين كه نخواهيد داده ها باطن اين فايل در نتايج جستجوهاي اينترنتي چشم شود يكياز ابتدايي ترين كارهايي كه ضروري است انجام دهيد توليد همين پوشه robots . txt ميباشد كه تاثير بسزايي درين فرمان دارااست و همينطور به سئو وبسايت شما هم امداد شاياني مي كند . در صورتيكه مي خواهيد يك پوشه خاص را از حيث رباتها نهفته فرماييد مي بايست نشاني ظريف پوشه را در باطن robots . txt وارد فرماييد . Markup User - agent : * Disallow : /upload/mypic . jpg دقت نمائيد كه محتوياتي كه باطن اين پوشه قرار ميگيرد از نگاه رباتها كليدي به حروف بزرگ و كوچك است در فيض فولدر Upload با فايل upload تماما مختلف ميباشد . و همينطور شما ميتوانيد از الگوهاي خاص مثل عبارت هاي با قاعده استفاده كنيد كه اما در اينجا صرفا ميتوان از علامتهاي ( * ? $ ) استفاده كرد .
۴ – اعتبار سنجي بدون نقص فرم ها هيچ تارنما دايناميكي سواي فرم معناي دايناميك را نمي دهد . وقتي كه در صفحه ها وب سايت خويش از فرم هاي گوناگون مثل نام نويسي , تماس با ما و… استفاده مينماييد فراموش نكنيد كه داده ها فرم ها را نيز در سمت كلاينت و نيز در سمت سرور قبلي از ارسال آن ها به ديتابيس بررسي كنيد . براي اعتبار سنجي سمت كلاينت ميتوانيد از javascript يا اين كه jquery استفاده نمائيد كه يكي شايسته ترين پلاگينهاي جان دار براي اعتبارسنجي فرم jqueryvalidation ميباشد كه قابليت و امكان هاي زياد متعددي در اعتبار سنجي گونه هاي فرم ها دارااست . در سمت سرور قبلي از اينكه ديتا ارسالي بوسيله استفاده كننده به ديتابيس رسد بايستي اعتبار سنجي جامعي انجام دهيد چون احتمال دارد كاربري مزاحم كاراكترها يا اين كه عبارتهاي خاصي را به جهت نفوذ به وبسايت در فرم وارد كردهباشد اگر كه اعتبار سنجي شما بدون نقص انجام نشده باشد شايد سبب هك شدن وبسايت و از بين رفتن داده ها شما شود . يكياز معمولي ترين كاراكترهايي كه براي نفوذ به وبسايت از روش متد sql injection انجام ميشود ارسال ‘ از روش فرم ها به ديتابيس هست كه براحتي ميتوانيد بوسيله توابعي مثل addslashes يا اين كه mysql _ real _ escape _ string جلوي آنرا بگيريد اين توابع قبلي از ‘ يك به جهت غير فعال كردن آن قرار مي دهند . همينطور براي جلوگيري از هجوم ها xss خوبتر است از توابعي نظير striptags يا اين كه htmlentities استفاده فرمائيد . طرز استفاده از اين توابع در وب سايت قانوني php كاملا شرح داده شدهاست .
۵ - Hash كردن رمزهاي ورود يا اين كه داده هاي كليدي در گويش فراگيري php توابع متعددي براي hash كردن اطلاعات موجود هست كه براحتي مي توانيد از آن ها براي كد كردن داده ها اصلي خويش استفاده نماييد . يك كدام از توابع كاربردي و معمولي base64 _ encode ( ) هست كه معمولا از اين تابع براي كد كردن عبارتهاي طولاني مثل نسخه برداري رايت استفاده ميگردد كه براي استفاده كننده معمولي تشخصيص و راز گشايي آن يه خرده نقص ميباشد . براي استفاده كافي است تابع را متن و ديتايي كه مي خواهيد encode شود باطن پرانتر بنويسيد . از ساير تابع هاي كاربردي ميتوان به md5 اشاره نمود . md5 يك تابع رجوع و برگشت ناپذير ميباشد يعني رمزگشايي از آن مثل base64 آسوده نيست بلكه براي رمزگشايي ديتاهاي متعدد با عبارت md5 شده مقايسه مي گردد و در حالتيكه كهاين مقايسه درست باشد پاسخ بازگردانده ميشود . از اين تابع بيشتر به جهت سر دار كردن پسوردها استفاده ميشود . تابع به صورتي فعاليت مي كند كه هر تعداد كاراكتري كه به آن بدهيد آنرا تبديل به يك عبارت ۳۲ تايي مي نمايد . به صورت نمونه ۱۲۳۴۵۶ در شرايط md5 به طور e10adc3949ba59abbe56e057f20f883e چشم خواهد شد . تابع ديگري مثل md5 موجود هست كه sha1 اسم داراست در اين صورت عبارت محل ورود به يك حرفه ۴۰ تايي تبديل مي گردد . شما ميتوانيد با استفاده از اين توابع و عمليات salt پسوردهاي پيچيده اي ايجاد كنيد كه رمزگشايي آنان كاري زمان بر و مضاعف مشقت بار باشد . در واقع Salt يك روش است كه از روش آن فن اي را ميتوان به كد hash شده بيش تر كرد تا كرك كردن آن طاقت فرسا خيس شود . به صورت نمونه تابع زير تابع hashing انجمن ساز Vbulletin ميباشد PHP function hash _ password ( $password , $salt ) { // if the password is not already an md5 , md5 it now if ( $password == ” ) { } else if ( !$this - >verify _ md5 ( $password ) ) { $password = md5 ( $password ) ; } // hash the md5′d password with the salt return md5 ( $password . $salt ) ; } كه خلاصه آن به طور زير خواهد بود PHP $hash=MD5 ( MD5 ( $password ) +$salt ) خوبتر است مدام تعداد كاراكترهاي salt را بيشتر از ۵ كاراكتر بگيريد تا كرك آن طاقت فرسا خيس شود .
۶ - در اختيار گرفتن بي نقص فايلهاي در حالا آپلود در صورتيكه در وب سايت خويش فرمي داريد كه از روش آن فايلي قرار است روي تارنما آپلود شود بايستي اعتنا ويژه اي در بررسي فايلهاي آپلود شده داشته باشيد . قبلي از هرچيز بايستي پسوند فايلهاي مجاز را معلوم فرمائيد يعني درصورتيكه استفاده كننده قرار است عكسي آپلود كند حتما پسوند هاي مجاز را معين كنيد . نيز در سمت كلاينت و نيز در سمت سرور نظير آنچه در قبلي نقل شده اعتبارسنجي پوشه را انجام دهيد . بعضي مواقع پيش ميآيد كه مهاجم با تغيير تحول در پسوند پوشه سعي بر بدور زدن كدها اعتبارسنجي بر مي آيد به صورت نمونه مهاجم فايلي به اسم shell . php دارااست و آنرا به طور shell . php . jpg تغيير و تحول اسم ميدهد دراينصورت در صورتيكه كه كد اعتبار سنجي شما بدون نقص و كاربردي نباشد پوشه به صورت موفقيت آميز بر روي وبسايت شما آپلود ميگردد .