6 نکته اساسی امنیتی برای محافظت از سایت PHP شما از هکرها

سایت PHP شما راه اندازی شده است. تبریک می گویم! اما صبر کنید .. آیا شما از سخت شدن امنیتی اساسی مراقبت کرده اید?


PHP یک زبان برنامه نویسی با سبک وزن و در عین حال بسیار قدرتمند است. این نیرو حدود 80٪ برنامه های وب جهانی را به خود اختصاص می دهد و آن را به یکی از رایج ترین زبانهای جهان در توسعه تبدیل می کند.

دلیل محبوبیت و کاربرد گسترده آن ، ساختار رمزگذاری آسان آن و کارکردهای سازگار با توسعه دهنده است. تعداد زیادی CMS و چارچوب های ساخته شده در بالای PHP وجود دارد و هزاران نفر از توسعه دهندگان شناخته شده از سراسر جهان بخش عادی از جامعه آن هستند.

یک نمونه عالی وردپرس است.

هنگامی که برنامه های PHP روی سرورهای مستقر مستقر می شوند ، ممکن است با چندین مورد هک و حملات وب روبرو شوید ، که باعث می شود داده های سایت آن برای سرقت به شدت آسیب پذیر شوند. این یکی از مباحث بسیار بحث برانگیز در جامعه است که نحوه ساختن یک برنامه کاملاً ایمن ، نگه داشتن تمام اهداف اصلی پروژه.

علیرغم بهترین تلاشها ، توسعه دهندگان همیشه از راه حلهای پنهان که هنگام تهیه یک برنامه غافل می شوند ، احتیاط می کنند. این نقاط ضعف می تواند به طور جدی حفاظت از داده های حیاتی سایت را در هر مورد به خطر بیاندازد میزبانی وب برای PHP MySQL برنامه ها ، آنها را برای اقدامات هک آسیب پذیر قرار می دهد.

بنابراین ، این مقاله در مورد برخی نکات مفید امنیتی PHP است که می توانید با عاقلانه در پروژه های خود استفاده کنید. با استفاده از این نکات کوچک ، می توانید اطمینان حاصل کنید که برنامه شما همیشه در مورد کنترل های امنیتی ایستاده است و هرگز در برابر حملات وب خارجی به خطر نمی افتد.

برنامه نویسی متقابل سایت (XSS)

برنامه نویسی Cross-Site یکی از خطرناکترین حملات خارجی است که با تزریق کد یا اسکریپت مخرب به وب سایت انجام می شود. این می تواند هسته های برنامه شما را تحت تأثیر قرار دهد ، زیرا هکر می تواند هر نوع کد را به برنامه شما تزریق کند حتی بدون آنکه به شما اشاره ای بکند. این حمله بیشتر در وب سایتهایی انجام می شود که داده های کاربر را قبول و ارسال می کنند.

در حمله XSS ، کد تزریق شده جایگزین کد اصلی وب سایت شما می شود ، اما به عنوان یک کد واقعی که عملکرد سایت را مختل می کند کار می کند و اغلب دزدی می کند. هکرها با استفاده از کنترل دسترسی برنامه شما ، دسترسی به کوکی ها ، جلسات ، تاریخچه و سایر عملکردهای مهم خود را دور می زنند.

با استفاده از نمادهای HTML خاص می توانید با این حمله مقابله کنید & ENT_QUOTES در کدهای برنامه شما. با استفاده از ENT_QUOTES ، می توانید گزینه های نقل قول های یک و دو را حذف کنید ، این امکان را برای شما فراهم می کند تا هرگونه حمله از طریق برنامه نویسی درون سایت را پاک کنید..

جعل درخواست متقابل سایت (CSRF)

CSRF کنترل کامل برنامه را به هکرها واگذار می کند تا هرگونه اقدام نامطلوب را انجام دهند. با کنترل کامل ، هکرها می توانند با انتقال کد آلوده به وب سایت شما ، عملیات مخرب را انجام دهند ، در نتیجه سرقت داده ها ، تغییرات عملکردی و غیره این حمله کاربران را مجبور می کند تا درخواست های متعارف را به موارد مخرب تغییر یافته ، مانند انتقال وجه ناآگاهانه ، حذف کنند. کل بانک اطلاعاتی بدون هیچ گونه اطلاع رسانی و غیره.

حمله CSRF فقط پس از کلیک بر روی پیوند مخرب پنهان ارسال شده توسط هکر قابل شروع است. این بدان معناست که اگر به اندازه کافی باهوش هستید که اسکریپت های مخفی آلوده را کشف کنید ، می توانید به راحتی هرگونه حمله بالقوه CSRF را رد کنید. در همین حال ، شما همچنین می توانید از دو اقدامات محافظتی برای تقویت امنیت برنامه خود استفاده کنید ، یعنی با استفاده از درخواست های GET در URL خود و اطمینان از درخواست های غیر GET فقط از کد سمت مشتری خود تولید کنید..

جلسه ربودن

Hijacking Session حمله ای است که از طریق آن هکر شناسه جلسه شما را می دهد تا به حساب مورد نظر دسترسی پیدا کند. با استفاده از آن شناسه جلسه ، هکر می تواند جلسه شما را با ارسال درخواست به سرور اعتبار دهد ، جایی که یک $ _SESSION $ بدون به روز نگه داشتن اطلاعات شما به روز بودن آن را تأیید می کند. می توان آن را از طریق حمله XSS یا با دسترسی به داده هایی که داده های جلسه ذخیره شده اند ، انجام داد.

برای جلوگیری از ربودن جلسات ، همیشه جلسات خود را به آدرس IP واقعی خود وصل کنید. این عمل به شما کمک می کند جلسات را هر وقت تخلف ناشناخته ای را باطل کنید ، بلافاصله به شما اطلاع می دهیم که شخصی در تلاش است جلوی جلسه شما را بگیرد تا بتواند کنترل دسترسی برنامه را بدست آورد. و همیشه بخاطر داشته باشید که ID را تحت هیچ شرایطی قرار ندهید ، زیرا بعدا می تواند هویت شما را با حمله دیگری به خطر بیاندازد.

از حملات تزریق SQL جلوگیری کنید

بانک اطلاعاتی یکی از مؤلفه های اصلی برنامه است که بیشتر از طریق حمله تزریق SQL توسط هکرها مورد هدف قرار می گیرد. این نوعی حمله است که در آن هکر از پارامترهای خاص URL برای دسترسی به پایگاه داده استفاده می کند. این حمله همچنین می تواند با استفاده از فیلدهای فرم وب انجام شود ، جایی که هکر می تواند داده هایی را که از طریق سؤالاتی که می خواهید تغییر دهید تغییر دهد. با تغییر آن قسمت ها و نمایش داده ها ، هکر می تواند کنترل پایگاه داده شما را به دست آورد و می تواند چندین دستکاری فاجعه بار را انجام دهد ، از جمله حذف کل بانک اطلاعاتی برنامه.

برای جلوگیری از حملات تزریق SQL ، همیشه توصیه می شود از نمایش داده های پارامتری استفاده کنید. این سؤالات PDO قبل از اجرای درخواست SQL ، استدلالها را به درستی جایگزین می کند ، و به طور موثقانه احتمال حمله تزریق SQL را رد می کند. این عمل نه تنها به شما در تأمین امنیت پرس و جوهای SQL کمک می کند بلکه باعث می شود که آنها برای پردازش کارآمد ساختار یافته باشند.

همیشه از گواهینامه های SSL استفاده کنید

برای به دست آوردن انتقال داده ایمن به پایان تا پایان از طریق اینترنت ، همیشه از برنامه های خود از گواهینامه های SSL استفاده کنید. این یک پروتکل استاندارد جهانی است که به عنوان پروتکل انتقال Hypertext (HTTPS) شناخته می شود و می تواند داده ها را بین سرورها ایمن انتقال دهد. با استفاده از گواهینامه SSL ، برنامه شما مسیر انتقال داده ایمن را بدست می آورد ، که تقریباً هکرها را برای سرورهای شما غیرممکن می کند..

همه مرورگرهای اصلی وب مانند Google Chrome ، Safari ، Firefox ، Opera و دیگران استفاده از گواهینامه SSL را توصیه می کنند ، زیرا یک پروتکل رمزگذاری شده برای انتقال ، دریافت و رمزگشایی داده ها از طریق اینترنت فراهم می کند..

فایلها را از مرورگر مخفی کنید

یک ساختار دایرکتوری خاص در چارچوب های میکرو پی اچ پی وجود دارد ، که ذخیره فایل های مهم چارچوب مانند کنترلرها ، مدل ها ، پرونده پیکربندی (.yaml) و غیره را تضمین می کند..

بیشتر اوقات ، این پرونده ها توسط مرورگر پردازش نمی شوند ، با این حال آنها برای مدت طولانی در مرورگر مشاهده می شوند ، و ایجاد یک نقض امنیتی برای برنامه.

بنابراین ، همیشه فایل های خود را در یک پوشه عمومی ذخیره کنید ، نه اینکه آنها را در فهرست root قرار دهید. این امر باعث می شود تا در مرورگر قابل دسترسی نباشد و ویژگی های عملکردی را از هر حمله کننده بالقوه پنهان کند.

نتیجه

برنامه های PHP همیشه در برابر حملات خارجی آسیب پذیر هستند ، اما با استفاده از نکات ذکر شده در بالا می توانید هسته های برنامه خود را به راحتی از هرگونه حمله مخرب محافظت کنید. به عنوان یک توسعه دهنده ، وظیفه شما این است که از داده های وب سایت خود محافظت کرده و آن را بدون خطا کنید.

علاوه بر این نکات ، بسیاری از تکنیک ها می توانند به شما کمک کنند برنامه وب خود را در برابر حملات خارجی ایمن کنید ، مانند استفاده از بهترین راه حل میزبانی ابر که به شما اطمینان می دهد از ویژگی های امنیتی بهینه ، ابر WAF ، تنظیم ریشه اسناد ، آدرس های IP سفید ، و موارد دیگر برخوردار هستید..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map