برچسب: امنیت سایت

0 دیدگاه

16 ژوئن, 2020

سرعت سئوسایت و روشهای افزایش آن

روش های افزایش سرعت وب سایت

چند مورد از روش هایی که برای افزایش سرعت وب سایت استفاده می شود :

تنظیم سایز عکس ها قبل از آپلود

اگر شما از سیستم های مدیریت محتوایی مانند وردپرس یا جوملا استفاده می کنید احتمالا تا کنون متوجه شده اید که می توانید عکس ها را با سایز بزرگ آپلود کنید و سپس سایز نمایش داده شده را در قسمت مدیریت وب سایت تنظیم کنید.

با این حال، آپلود کردن عکس های سنگین می تواند در کند شدن سرویس هاستینگ شما تاثیر داشته باشد.

برای جلوگیری از این اتفاق، با استفاده از یک ویرایشگر تصویر سایز عکس ها را تنظیم کنید سپس آنها را آپلود کنید.

حذف پلاگین های غیر ضروری

امروزه پلاگین ها و اسکریپت های زیادی به صورت رایگان در دسترس عموم هستند و همین امر مالکان وب سایت ها را وسوسه می کند که بیش از نیاز واقعی شان از آنها استفاده کنند. اما به خاطر داشته باشید که هر پلاگین برای اجرا شدن نیاز به منابعی دارد- همین منابع زیاد سایت شما را کند می کند.

قبل از اضافه کردن پلاگین های جدید به سایتتان بررسی کنید که این پلاگین از نظر سرعت و کیفیت بهینه شده باشد در صورتی که پس از نصب پلاگین سایت شما به شکل محسوسی کند شد می توانید گزینه های مشابه و ترجیحا معروف تری را استفاده کنید. معمولا پلاگین های معروف و پر استفاده از نظر سرعت و امنیت توسط افراد زیادی تست شده و تیم پشتیبانی قوی دارند.

به روز رسانی کردن وب سایت

این کار به CMS (سیستم مدیریت محتوا) و یا e-commerce (سیستم مدیریت فروشگاه ) مورد استفاده ی سایت شما بستگی دارد. لازم است که مرتبا چک کنید تا ببینید نرم افزار مدیریت محتوای وب سایتتان جدیدا آپدیت شده است یا خیر.

اگر نسخه ی جدید موجود بود فورا سایتتان را به روز کنید (البته قبل از آن باید یک بکاپ (نسخه ی پشتیبان) از سایتتان بگیرید). توسعه دهندگان CMS همیشه در راستای بهبود نرم افزارشان کار می کنند، به خصوص وقتی پای سرعت در میان باشد. آپدیت کردن به آخرین نسخه می تواند حرکتی بزرگ در راستای از بین بردن موانعی باشد که سایت شما را کند کرده است.

استفاده از CDN ها

CDN یا Content Delivery Networks شبکه ی گسترده ای از سرور های موجود در سراسر جهان هستند. اگر شما از CDN استفاده نکنید کاربرانتان مجبورند به سرور مرکزی وصل شوند.

این باعث می شود سرعت لود سایت شما برای کاربر کند شود، به خصوص اگر بازدید کننده ها ی سایت شما خیلی از سرور مرکزی دور باشند. علاوه بر این، اگر شما فقط از یک سرور استفاده کنید، احتمال دارد بارگیری زیاد شود و سایت از کار بیفتد.

CDN ها اجازه می دهند که کاربران از طریق یک وب هاست نزدیک، به یک نسخه ی ذخیره شده از سایت شما دسترسی پیدا کنند و این دو مشکل را به این طریق حل می کنند. علاوه بر این، اگر یکی از سرورهای شما overload شود می تواند به یک سرور دیگر وصل شود.

فعال کردن حافظه ی موقت مرورگر

Caching (حافظه ی موقت) مرورگر، یک تکنولوژی است که به مرورگر اجازه می دهد که یک کپی از صفحات سایت ذخیره کند و وقتی بازدید کننده در آینده دوباره بر می گردد، محتوای خواسته شده از قسمت حافظه ی موقت آورده شود و نیاز به لود شدن کل سایت نباشد. این کار تعدادی از منابع مورد استفاده برای نمایش صفحات شما را ذخیره می کند، در نتیجه باعث افزایش سرعت لود برای کاربران می شود.

سئوکارحرفه ای:مهندس مهدی مژدهی

ادامه مطلب

0 دیدگاه

5 فوریه, 2020

حمله به صفحات سئوسایت

1.Injection یا تزریق

این نوع حمله به صفحات وب به این صورت انجام می شود که حمله کننده درگاه های مختلفی را که از طریق آن می تواند اطلاعات ارسال کند، پیدا می کند. بعد از آن یک سری دستورات اجرایی را برای پلتفرم ها ارسال می کند تا آنها روی سرور اجرا شوند. هدف اصلی حمله کننده در این روش اجرای دستورات برنامه نویسی در بخش های مختلف سرور وب یا پایگاه داده است، در نتیجه تاثیری بر کاربران نخواهد داشت.

برای اینکه دستورات اجرایی به سرور ارسال شوند سه روش وجود دارد؛ در اولین روش از طریق متغیرهای تعریف شده در آدرس URL وب سایت ارسال انجام می شود. در روش دوم از طریق عناصر HTML که در تولید یک فرم استفاده می شوند این انتقال انجام می شود. این عناصر شامل باکس متن و منوهای کشویی است که در وب سایت ها برای گرفتن اطلاعات از کاربر قرار داده می شوند، تا کاربران اطلاعات را ایجاد یا ویرایش کنند. در روش سوم این انتقال توسط فایل هایی انجام می شود که نرم افزار آنها را پردازش می کند، مثلا فایل های XML که ساختاری محتوایی دارند و اطلاعات را به سرور انتقال می دهند.

در اجرای دستورات روی پلتفرم نیز، عناصر در سمت سرور هدف قرار می گیرند. در سرور وب برای اجرا کردن یک ویروس روی سرور، بدست گرفتن کنترل سرور و انجام کارهایی جهت ایجاد مشکل و تخریب بر روی سرور انجام می شود. در سرور پایگاه داده نیز، برای بدست آوردن اطلاعات پایگاه داده به روشی که کنترل های امنیتی آن داده ها را فیلتر نکند انجام می شود.

معروف ترین حملات این دسته عبارتند از:

SQL Injection: برای تزریق کد به پایگاه داده
Command Injection: برای تزریق کد های مخصوص سیستم عامل بر روی وب یا پایگاه داده
XML Injection: برای تزریق کدهایی که در ساختار معتبر استاندارد XML ایجاد می شوند و با بارگذاری و پردازش آن اجرا می شوند

همه این حملات تلاش می کنند تا ساختارهای امنیتی را دور بزنند و با دسترسی به زیرساخت نرم افزار اختیارات را بدست گرفته و اطلاعات را بدست آورند یا سرور را کنترل کنند. حتی برای کاربران شناسایی شده نیز باید همه نکات امنیتی رعایت شوند و به هیچ کاربری با هر سطحی نباید اعتماد کرد.

2.شکسته شدن session و احراز هویت

در هنگام ورود هر کاربر احراز هویت انجام می شود که حمله کنندگان تلاش می کنند تا اطلاعات اشخاص معتبر را بدست آورند. یکی از راه های آن ها استفاده از ضعف کلمات عبور کاربران است، که در این روش آن ها برای یک نام کاربری مجموعه ای از کلمات عبور را آماده کرده و به سرور ارسال می کنند تا یکی از آن ها درست تشخیص داده شود. برای جلوگیری از اینگونه حملات راه هایی مثل پیچیدگی کلمات عبور، استفاده از امضای دیجیتال، وارد کردن کد امنیتی و قفل کردن حساب در صورت تعداد زیاد ورود رمز عبور پیشنهاد می شود.

سرور نیز برای اینکه متوجه شود تا کدام کاربر وارد می شود، یک نشست ایجاد می کند که حمله کننده به دنبال نشست معتبر می گردد تا بتواند هدفش را عملی کند. در نظر داشته باشید هر بار که کاربر به سیستم درخواست می دهد یک نشست برایش ایجاد می شود که با یک شناسه شناخته می شود. این شناسه به عنوان متغیر در آدرس URL ارسال می شود و یا در کوکی مرورگر ذخیره می شود. حمله کننده با بدست آوردن این شناسه می تواند خود را به عنوان کاربر مجاز تعریف کند. روشهای مختلفی را نیز برای بدست آوردن این شناسه به کار می گیرند، یکی از این روش ها تولید تصادفی شناسه و فرستادن آن به سرور است. در روش دیگر حمله کننده به دنبال الگوریتم های خاص است تا بتواند شناسه های معتبر را پیدا کند.

در نتیجه نرم افزارها باید توابع مدیریت نشست را قوی کنند که این کار با استفاده از الگوریتم های تصادفی انجام می شود، یا با امکان تغییر شناسه کاربر انجام می شود و یا اینکه اجازه مدیریت نشست به کاربر داده شود تا هر زمان که لازم بود خودش بتواند نشست را پایان دهد. یک روش دیگر نیز تعیین مدت زمانی خاص برای اعتبار نشست است که اگر در طی این مدت کاری انجام نشد، نشست پایان یابد. همچنین می توان به گونه ای تنظیمات انجام داد که این شناسه در کوکی ها و URL نباشد.

3. XSS یا تزریق اسکریپت

در این نوع کدهای اسکریپتی به نرم افزار تزریق می شوند ولی یک تفاوت اساسی وجود دارد و آن هم هدف حمله است. برخلاف تزریق که هدفش پایگاه داده بود و برای کاربر مشکلی وجود نداشت، در این حمله هدف اجرای کد بر روی مرورگر کاربر است. در این حمله کدها روی سرور اجرا نمی شوند، اما زمانی که بعد از درخواست کاربر، این کدها به مرورگر منتقل می شوند، مرورگر این کدها را اجرا می کند و اطلاعات کاربر از طریق آن به حمله کننده می رسد. یکی از روش های جلوگیری از این حمله Encode کردن داده های کاربری است.

4.پیکر بندی اشتباه امنیت

در این نوع حمله به صفحات وب هدف اصلی حمله کننده، اکانت های پیش فرض، صفحات استفاده نشده، نقص های اصلاح نشده و فایل های بدون امنیت است. مثلا زمانی که لیست دایرکتوری روی سرور غیر فعال نشده باشد، حمله کننده به این فایل ها دست پیدا می کند، آن ها را decompile می کند و با دسترسی به کد ها نواقص کنترل های دسترسی را می فهمد. در نتیجه هم تولید کننده و هم استفاده کننده نرم افزار باید اقدامات امنیتی لازم را انجام دهند و نقشه ای از پیکر بندی امن تهیه کرده و آن را در مکان نرم افزار اجرا کنند.

5.فاش شدن داده های حساس

در این روش که معمولا حمله توسط فردی انجام می شود که به داده های حساس یا نسخه پشتیبان آن ها دسترسی دارد، بدین ترتیب چون به صورت عادی به داده های رمز گذاری شده دسترسی نمی یابد کلیدها را سرقت می کند و یا داده های در حال انتقال را سرقت می کند. باید توجه شود هر داده حساسی که در مسیر بین سرور تا کاربر حرکت می کند، امنیتش در خطر می افتد. برای اینکه از حمله به این داده ها جلوگیری شود باید داده ها رمز گذاری شوند و داده های غیر ضروری حذف شوند. یکی از بهترین راه ها این است که برای مسیر انتقال داده بین سرور و کاربر از پروتکل های رمز نگاری قوی مثل TLS باید استفاده شود.

سئوکار حرفه ای:مهندس مهدی مژدهی

ادامه مطلب