درباره هدرهای امنیتی، نحوه کار و اهمیت آنها در سئو، هدرهای امنیتی برتر که باید بدانید و موارد دیگر بیاموزید.
هدرهای امنیتی به راحتی در ممیزی وب سایت نادیده گرفته می شوند.
در حالی که برخی ممکن است بگویند که امنیت وب سایت یک نگرانی مرتبط با سئو نیست، زمانی که یک سایت هک شود و ترافیک جستجو به صفر برسد، به سئو مرتبط می شود.
سرصفحههای امنیتی باید دغدغه اصلی همه کسانی باشد که هر چیزی را در اینترنت منتشر میکنند.
خبر خوب این است که پیکربندی آنها نسبتاً ساده است و به حفظ امنیت وب سایت و بازدیدکنندگان آن کمک می کند.
در این ستون، هدرهای امنیتی چیست و چگونه کار می کنند و همچنین با 5 هدر امنیتی برتر، نحوه پیاده سازی آنها، از کدام افزونه های وردپرس می توانید برای تنظیم هدرهای امنیتی و موارد دیگر استفاده کنید.
بیا شروع کنیم!
تبلیغ خدمات رخ نت : طراحی سایت در اصفهان
سربرگ های امنیتی چیست؟
سرصفحه های امنیتی دستورالعمل هایی هستند که مرورگرها باید از آنها پیروی کنند و از طریق پاسخ هدر HTTP ارسال می شوند.
هدر HTTP پاسخی است که توسط یک وب سرور به مرورگری که سعی در دسترسی به یک صفحه وب دارد.
پاسخ سرصفحه مواردی مانند زمانی که صفحه وب وجود ندارد (400 سرصفحه پاسخ) ارتباط برقرار می کند.
یا اینکه خوب است یک فونت را از Google دانلود کنید اما به هیچ داده دیگری خارج از دامنه وب سایت اعتماد نکنید.
در آن مثال، بخشی که به مرورگر میگوید خوب است فونتهای Google را دانلود کنید اما به هیچ فایلی که در جای دیگری غیر از خود وبسایت منشا گرفته باشد اعتماد نکنید، یک دستورالعمل امنیتی است.
یک دستورالعمل امنیتی مانند آن، مرورگر را از دانلود فایل های مخرب از وب سایت دیگر مسدود می کند.
سربرگ های امنیتی محدودیت ها و دستورالعمل هایی را معرفی می کنند که از رویدادهای امنیتی ناخواسته جلوگیری می کند.
چرا از هدرهای امنیتی استفاده کنیم؟
نرم افزارهای ربات خودکار به طور مداوم وب سایت ها را برای نقاط ضعف امنیتی بررسی و آزمایش می کنند.
این آسیبپذیریها را میتوان توسط سیستم مدیریت محتوا، کتابخانه جاوا اسکریپت که برای افزودن قابلیتها استفاده میشود، و برای ضعفهای امنیتی معرفیشده توسط یک افزونه یا یک موضوع معرفی کرد.
گفته می شود وب سایت هایی که از هدرهای امنیتی استفاده می کنند در برابر تهدیدات امنیتی سخت تر می شوند.
در حالی که یک وب سایت می تواند بدون استفاده از هدرهای امنیتی با به روز نگه داشتن اجزای آن و استفاده از افزونه های امنیتی کار کند، انجام این کار بیهوده وب سایت و بازدیدکنندگان سایت را در معرض خطرات امنیتی قرار می دهد.
به عنوان مثال، افزونههای امنیتی نمیتوانند جلوی تزریق تبلیغاتی را بگیرند که درآمد تبلیغاتی را از صاحب سایت سلب میکند.
شاید بهترین دلیل برای استفاده از هدرهای امنیتی این باشد که پیاده سازی آنها نسبتاً آسان است و اطمینان حاصل می شود که یک وب سایت به طور عادی کار می کند.
5 سرفصل امنیتی برتر
1. Content-Security-Policy (CSP)
یک خط مشی امنیتی محتوا (CSP) به محافظت از وب سایت و بازدیدکنندگان سایت در برابر حملات Cross Site Scripting (XSS) و در برابر حملات تزریق داده کمک می کند.
اسکریپت بین سایتی (XSS)
اکسپلویت های Cross-Site Scripting (XSS) زمانی اتفاق می افتد که هکرها از یک حفره امنیتی برای آپلود اسکریپت های مخرب در یک وب سایت استفاده می کنند که سپس در مرورگر قربانی دانلود می شوند.
حملات XSS از نقایص موجود در یک سیستم مدیریت محتوا استفاده می کنند که به دلیل پاکسازی ناکافی فایل ورودی کاربر، امکان تزریق ورودی های غیرمنتظره را فراهم می کند.
به عنوان مثال، معمولاً یک فرم ایمیل باید به گونه ای کدگذاری شود که ورودی محدودی داشته باشد.
یک فرم کدگذاری شده ضعیف ممکن است اجازه ورود دیگری را بدهد که می تواند منجر به تزریق فایل های مخرب شود.
حمله XSS می تواند برای سرقت رمزهای عبور یا به عنوان بخشی از یک رویداد هک چند مرحله ای استفاده شود.
حملات تزریقی
پروژه Open Web Application Security Project (OWASP) حملات تزریقی را به عنوان یک خطر امنیتی جدی توصیف می کند:
“تزریق تلاش مهاجم برای ارسال داده ها به یک برنامه کاربردی به گونه ای است که معنای دستورات ارسال شده به مترجم را تغییر دهد.
به عنوان مثال، رایجترین مثال تزریق SQL است که در آن مهاجم به جای فقط «101» «101 OR 1=1» را ارسال میکند. هنگامی که این داده در یک پرس و جوی SQL گنجانده می شود، معنای آن را تغییر می دهد تا به جای تنها یک رکورد، همه رکوردها را برگرداند.
… اغلب این مفسرها با دسترسی زیادی اجرا می شوند، بنابراین یک حمله موفقیت آمیز می تواند به راحتی منجر به نقض قابل توجه داده ها، یا حتی از دست دادن کنترل مرورگر، برنامه یا سرور شود. در مجموع، حملات تزریقی درصد بزرگی از خطرات امنیتی جدی برنامه را تشکیل می دهند.
خط مشی امنیت محتوا به خودی خود صد در صد از سایت در برابر حملات محافظت نمی کند، اما به کاهش احتمال حمله اسکریپت بین سایت کمک می کند.
یک هدر CSP به مرورگر دستور می دهد که منابع را فقط از مجموعه ای از دامنه ها و فقط از آن دامنه ها دانلود کند.
هر مهاجمی که در حال دانلود اسکریپت های مخرب از سرور دیگری خارج از آن گروه مورد اعتماد باشد، مسدود خواهد شد.
ایجاد یک خطمشی امنیت محتوا میتواند به همان اندازه سختگیرانه یا ملایمتر باشد که یک ناشر نیاز دارد.
هشدار: با این حال، راهاندازی یکی میتواند کمی مشکل باشد، زیرا باید همه اسکریپتها و منابعی را که از خارج از دامنه شما دانلود میشوند فهرست کنید تا آنها را در لیست سفید قرار دهید.
2. سربرگ امنیتی حمل و نقل (HSTS)
سرصفحه Strict-Transport-Security Header Strict-Transport-Security HTTP Strict Transport Security (HSTS) نیز نامیده می شود.
بسیاری از وب سایت ها فقط یک تغییر مسیر 301 از HTTP به HTTPS دارند.
اما این برای ایمن نگه داشتن وب سایت کافی نیست زیرا وب سایت هنوز در برابر حمله مرد میانی آسیب پذیر است.
HSTS مانع از کاهش اتصال HTTPS به یک اتصال HTTP توسط مهاجم می شود که سپس به مهاجم اجازه می دهد از تغییر مسیرهای ناامن استفاده کند.
به عنوان مثال، اگر شخصی برای دسترسی به سایتی در example.com تایپ کند، بدون اینکه در واقع قسمت https را تایپ کند (یا به سادگی http را از روی عادت تایپ کند)، در این صورت فرصت برای حمله man-in-the-middle وجود دارد.
این نوع حمله می تواند ارتباط بازدیدکنندگان سایت با وب سایت را به خطر بیندازد و هرگونه اطلاعات حساسی که بین بازدید کننده و وب سایت رد و بدل می شود برای مهاجم قابل مشاهده می شود.
به عنوان مثال، یک مهاجم می تواند کوکی هایی را که حاوی اطلاعات حساسی مانند اعتبارنامه ورود هستند، رهگیری کند.
دولت ایالات متحده سه سناریو را فهرست می کند که در آن HTTPS می تواند به HTTP تنزل یابد و متعاقباً به مهاجم اجازه می دهد امنیت را به خطر بیاندازد.
این سه روشی است که می توان HTTPS را کاهش داد:
- هنگامی که کاربر “gsa.gov” را در نوار URL تایپ می کند، مرورگرها به طور پیش فرض از http:// استفاده می کنند.
- کاربر ممکن است روی پیوند قدیمی که به اشتباه از آدرس http:// استفاده می کند کلیک کند.
- شبکه کاربر ممکن است خصمانه باشد و فعالانه پیوندهای https:// را به http:// بازنویسی کند.
هدر HSTS با مجبور کردن مرورگر به عدم پذیرش اتصال HTTP از این اتفاق جلوگیری می کند.
هدر HTTP Strict Transport Security (HSTS) به مرورگر می گوید که کل وب سایت فقط باید توسط یک پروتکل امن HTTPS قابل دسترسی باشد.
نکته جانبی: نحوه از پیش بارگذاری HSTS در کروم
در یک یادداشت مرتبط، Google Chrome یک برنامه HSTS Preload دارد که در آن ناشران میتوانند سایتهای خود را ارسال کنند تا توسط Chrome بهعنوان فهرستی که فقط از طریق پروتکل HTTPS قابل دسترسی هستند، فهرست شوند.
بسیاری از مرورگرهای وب مبتنی بر کروم متعاقباً این وبسایتها را با HTTPS و فقط از طریق HTTPS از قبل بارگذاری میکنند، و آن استاندارد را مستقیماً در مرورگر کدنویسی میکنند.
سایت های واجد شرایط باید از قبل هدر امنیتی HSTS را ارائه کنند.
این چهار شرط لازم برای واجد شرایط بودن برای بارگیری پیشبارگیری HSTS کروم است:
- «گواهی معتبر ارائه کنید.
- اگر در پورت 80 گوش می دهید، از HTTP به HTTPS در همان هاست هدایت شوید.
- همه زیر دامنه ها را از طریق HTTPS ارائه دهید. به ویژه، اگر یک رکورد DNS برای آن زیر دامنه وجود دارد، باید از HTTPS برای زیر دامنه www پشتیبانی کنید.
- یک هدر HSTS در دامنه پایه برای درخواست های HTTPS ارائه شود: – حداکثر سن باید حداقل 31536000 ثانیه (1 سال) باشد. – دستورالعمل includeSubDomains باید مشخص شود. – دستورالعمل پیش بارگذاری باید مشخص شود.- اگر در حال ارائه یک تغییر مسیر اضافی از سایت HTTPS شما، آن تغییر مسیر همچنان باید سربرگ HSTS داشته باشد (به جای صفحه ای که به آن هدایت می شود).
آشنایی با خدمات رخ نت : طراحی لوگو اصفهان
3. X-Content-Type-Options
این هدر امنیتی انواع خاصی از سوء استفاده ها را که می تواند اتفاق بیفتد، به عنوان مثال، از طریق محتوای مخرب تولید شده توسط کاربر، متوقف می کند.
اگر محتوا یک تصویر (.jpg)، یک فیلم (mp4.)، یا متن، HTML، جاوا اسکریپت، و دیگر انواع محتوای قابل دانلود از یک وبسایت باشد، مرورگرها میتوانند «خروج» کنند.
«sniffing» به مرورگر اجازه میدهد تا عناصر صفحه وب را دانلود کرده و به درستی آنها را ارائه کند، بهویژه در شرایطی که ابردادهای که مرورگر برای ارائه عنصر به آن نیاز دارد، وجود ندارد.
Sniffing به مرورگر اجازه می دهد تا بفهمد عنصر چیست (تصویر، متن و غیره) و سپس آن عنصر را رندر کند.
با این حال، هکرها سعی میکنند مرورگرها را فریب دهند تا فکر کنند یک فایل مضر جاوا اسکریپت در واقع یک تصویر است، به مرورگر اجازه میدهد فایل را دانلود کند و سپس آن فایل را اجرا کند، به ویژه با آنچه که به عنوان Drive-by Download Attack.
هدر X-Content-Type-Options می تواند با غیرفعال کردن توانایی مرورگرها از “خریدن” برای نوع محتوا، آن و سایر حملات مرتبط را متوقف کند.
4. X-Frame-Options
هدر امنیتی X-Frame-Options به توقف حملات جک کلیک کمک می کند.
موزیلا Click-jacking را اینگونه توصیف می کند:
«… تمرین فریب دادن کاربر برای کلیک کردن روی پیوند، دکمه و غیره که غیر از آن چیزی است که کاربر فکر میکند.
این را می توان به عنوان مثال برای سرقت اعتبار ورود به سیستم یا دریافت مجوز ناخواسته کاربر برای نصب یک بدافزار استفاده کرد.”
برای مثال، هدر X-Frame-Options با جلوگیری از رندر شدن یک صفحه وب در داخل یک iframe کار می کند.
با این حال، بیش از حملات مبتنی بر iframe از آن جلوگیری می کند.
مایکروسافت Frame Sniffing را به این صورت تعریف می کند:
Framesniffing یک تکنیک حمله است که از عملکرد مرورگر برای سرقت اطلاعات از یک وب سایت استفاده می کند.
برنامه های کاربردی وب که به محتوای آنها اجازه می دهند در یک IFRAME بین دامنه ای میزبانی شود ممکن است در برابر این حمله آسیب پذیر باشند.
هدر X-Frame-Options را می توان برای کنترل قرار دادن یک صفحه در IFRAME استفاده کرد.
از آنجایی که تکنیک Framesniffing متکی بر توانایی قرار دادن سایت قربانی در IFRAME است، یک برنامه وب می تواند با ارسال یک هدر X-Frame-Options مناسب از خود محافظت کند.
پروژه امنیتی برنامه وب باز (OWASP) توضیح مفیدی در مورد حملات جک کلیک ارائه می دهد:
“… مهاجمی را تصور کنید که وب سایتی می سازد که دکمه ای روی آن دارد که می گوید “برای یک آی پاد رایگان اینجا را کلیک کنید”.
با این حال، در بالای آن صفحه وب، مهاجم یک iframe را با حساب ایمیل شما بارگذاری کرده است و دقیقاً دکمه «حذف همه پیامها» را مستقیماً در بالای دکمه «آیپاد رایگان» ردیف کرده است.
قربانی سعی میکند روی دکمه «آیپاد رایگان» کلیک کند، اما در عوض روی دکمه نامرئی «حذف همه پیامها» کلیک کرده است.
در اصل، مهاجم کلیک کاربر را «ربایش» کرده است، از این رو نام آن «Clickjacking» است.
هدر X-Frame-Options برای محافظت از بازدیدکنندگان سایت و همچنین اعتبار سایت شما مهم است.
صفحه وب OWASP در مورد جک کردن کلیک در ادامه توضیح می دهد که چگونه Adobe Flash قربانی یک حمله جک کلیک شد که به هکرها اجازه می داد کنترل میکروفون ها و دوربین ها را در دست بگیرند و در نتیجه شهرت منفی فلش را به عنوان یک کابوس امنیتی تثبیت کرد.
شناخته شدن در رسانه های اجتماعی و اینترنت بزرگ به عنوان یک خطر امنیتی برای تجارت بد است.
هدر X-Frame-Options یک اقدام امنیتی مفید برای پیاده سازی است.
5. Referrer-Policy
هدف از هدر Referrer-Policy این است که به یک ناشر وب سایت اجازه می دهد زمانی که بازدیدکننده سایت برای بازدید از وب سایت دیگری روی پیوندی کلیک می کند، اطلاعات ارسال شده را کنترل کند.
هنگامی که یک بازدیدکننده سایت روی پیوندی کلیک می کند و در سایت دیگری قرار می گیرد، مرورگر بازدیدکننده اطلاعاتی در مورد اینکه چه صفحه وب آن بازدید را ارسال کرده است، ارائه می دهد.
وقتی به گزارشهای سرور خود نگاه میکنید، اطلاعات ارجاعدهنده ارسال میشود که نشان میدهد چه سایتهایی بازدیدکنندگان را ارسال کردهاند.
با این حال، برخی موقعیتها وجود دارد که نشانی اینترنتی سایتی که یک بازدیدکننده را به بازدیدکننده دیگری ارجاع میدهد، میتواند حاوی اطلاعات حساسی باشد که ممکن است به شخص ثالث درز کند.
نحوه عملکرد Referrer-Policy با محدود کردن تعداد اطلاعات ارسال شده پس از کلیک بازدیدکنندگان سایت بر روی پیوند است.
یک ناشر وب سایت می تواند انتخاب کند که هیچ اطلاعاتی در مورد ارجاع دهنده ارسال نکند، آنها می توانند انتخاب کنند که فقط نام دامنه را ارسال کنند یا می توانند کل رشته URL را ارسال کنند.
هشت دستورالعمل وجود دارد که می توان با استفاده از هدر Referrer-Policy ارسال کرد:
- Referrer-Policy: no-referrer.
- Referrer-Policy: no-referrer-when-downgrade.
- Referrer-Policy: مبدا.
- Referrer-Policy: origin-when-cross-origin.
- Referrer-Policy: همان منبع.
- خط مشی ارجاع دهنده: منشاء دقیق.
- Referrer-Policy: strict-origin-when-cross-origin.
- Referrer-Policy: unsafe-url.
یک تنظیم رایج خطمشی ارجاعدهنده Header “no-referrer-when-downgrade” است که به این معنی است که اطلاعات ارجاعدهنده به URLهای قابل اعتمادی که در HTTPS هستند ارسال میشود اما هیچ اطلاعات ارجاعی به وبسایتهای HTTP غیرقابل اعتماد ارسال نمیشود.
توجه به این نکته مهم است که تنظیم خط مشی ارجاع کننده بر پیوندهای وابسته تأثیری نخواهد داشت.
اطلاعات ارجاع دهنده در URL صفحه فرود کدگذاری می شود، بنابراین اطلاعات ارجاع دهنده و درآمد توسط تاجری که ارجاع وابسته را دریافت می کند، ثبت می شود.
نحوه پیاده سازی هدرهای امنیتی
راه های متعددی برای تنظیم هدرهای امنیتی وجود دارد و یکی از راه های محبوب فایل htaccess.
مزیت استفاده از فایل htaccess این است که ناشر را از دانلود افزونه دیگر نجات می دهد.
پلاگین های کدگذاری ضعیف می توانند به یک خطر امنیتی تبدیل شوند، بنابراین به حداقل رساندن تعداد افزونه های نصب شده می تواند مفید باشد.
مهم: هر پیاده سازی هدر امنیتی با توجه به ویژگی های هر وب سایت، به خصوص Content-Security-Policy (CSP) متفاوت خواهد بود.
افزونه های وردپرس برای تنظیم سرصفحه های امنیتی
برخی از افزونههای محبوب وجود دارند که قبلاً روی میلیونها وبسایت نصب شدهاند که دارای گزینه تنظیم هدرهای امنیتی هستند.
اگر قبلاً این افزونهها را نصب کردهاید، گزینه استفاده از یک افزونه به جای سر و صدا کردن با فایل htaccess. برای کسانی است که راحتی را ترجیح میدهند.
SSL Pro واقعا ساده
بیش از پنج میلیون وب سایت SSL واقعا ساده را نصب کرده اند.
ارتقاء به نسخه حرفه ای با قیمت مناسب، گزینه ای را برای تنظیم تا هشت هدر امنیتی به روش آسان فراهم می کند.با نصب و کانفیگ صحیح این افزونه مشکلات نام برده در سئو برطرف می شود و پیشنهاد ما استفاده از افزونه های پریمیوم است و افزونه پریمیوم را میتوانید از سایت ژاکت تهیه کنید.همچنین برای اطلاع از قیمت ها و شرایط سئو اصفهان روی لینک کلیک کنید.
تغییر مسیر
افزونه 100% رایگان Redirection وردپرس بیش از ده سال است که وجود دارد و در بیش از 2 میلیون وب سایت نصب شده است.
این افزونه به شما این امکان را می دهد تا علاوه بر پنج مورد برتر لیست شده در این مقاله، از میان بسیاری از سرفصل های امنیتی از پیش تعیین شده مختلف، انتخاب کنید.
Preset به این معنی است که شما می توانید از دستورالعمل های استاندارد انتخاب کنید.
با توجه به صفحه دانلود وردپرس Redirection:
هدر HTTP را اضافه کنید
هدرهای HTTP را می توان به تغییر مسیرها یا کل سایت شما اضافه کرد که به کاهش تأثیر تغییر مسیرها یا افزایش امنیت کمک می کند. شما همچنین می توانید هدرهای سفارشی خود را اضافه کنید.”
علاوه بر این، افزونه Redirection به شما این امکان را می دهد که اگر چیزی وجود دارد که پیدا نمی کنید، هدرهای امنیتی خود را سفارشی کنید.
افزونه Redirection نصب موفقیت آمیز پنج هدر امنیتی برتر را آسان می کند:
- X-Frame-Options.
- X-Content-Type-Options.
- Referrer-Policy.
- Strict-Transport-Security.
- Content-Security-Policy.
هدرهای امنیتی را با Cloudflare تنظیم کنید
Cloudflare راهی برای تنظیم هدرهای امنیتی با استفاده از کارگران Cloudflare خود دارد.
Cloudflare همچنین یک صفحه پشتیبانی دیگر با دستورالعمل ها دارد:
“ضمیمه سرصفحه
برای پیوست کردن هدرها به پاسخهای Cloudflare Pages، یک فایل متنی ساده _headers در پوشه خروجی پروژه خود ایجاد کنید.معمولاً پوشهای است که حاوی فایلهای HTML آماده و داراییهای تولید شده توسط بیلد، مانند فاویکونها است.
فایل _headers نباید همیشه در دایرکتوری ریشه مخزن باشد. تغییرات هدرها در زمان ساخت به وبسایت شما بهروزرسانی میشوند، بنابراین مطمئن شوید که هر بار که سرصفحهها را بهروزرسانی میکنید، فایل را متعهد کرده و فشار دهید تا یک ساخت جدید ایجاد شود.
قوانین هدر در بلوک های چند خطی تعریف می شوند.
اولین خط یک بلوک، نشانی وب یا الگوی URL است که در آن سرصفحههای قانون باید اعمال شوند. در خط بعدی، یک لیست تورفتگی از نامهای هدر و مقادیر هدر باید نوشته شود…”
نحوه بررسی هدرهای امنیتی
هدرهای امنیتی به راحتی قابل بررسی هستند.
SecurityHeaders.com یک سرویس بررسی هدر امنیتی رایگان ارائه می دهد.
نرم افزار حسابرسی وب Screaming Frog همچنین دارای گزینه ای برای بررسی هدرها است که در برگه امنیت موجود است.
هدرهای امنیتی را بخشی از ممیزی های سئوی خود قرار دهید
هدرهای امنیتی چیزی است که بسیاری از ناشران یا کارشناسان سئو ممکن است در نظر نگیرند.
اما هدرهای امنیتی مهم هستند و باید در هر ممیزی سایت مورد توجه قرار گیرند، خواه این ممیزی در داخل انجام شود یا توسط ممیزی سئو سایت شخص ثالث.
امنیت وب سایت یک موضوع مرتبط با سئو است، زیرا شکست در کاهش مسائل امنیتی منفی می تواند هر موفقیت مرتبط با رتبه بندی را معکوس کند.
شهرت منفی می تواند به رتبه بندی و فروش آسیب برساند.
از دست دادن دید جستجو باعث ضررهای ویرانگر می شود.
پیادهسازی هدرهای امنیتی نسبتاً آسان است، باید هنگام انتشار هر وبسایتی در میان جعبههای برتر بررسی شود.
منبع : searchenginejournal.com