5 عنوان امنیتی HTTP که برای سئو باید بدانید

درباره هدرهای امنیتی، نحوه کار و اهمیت آنها در سئو، هدرهای امنیتی برتر که باید بدانید و موارد دیگر بیاموزید.
هدرهای امنیتی به راحتی در ممیزی وب سایت نادیده گرفته می شوند.
در حالی که برخی ممکن است بگویند که امنیت وب سایت یک نگرانی مرتبط با سئو نیست، زمانی که یک سایت هک شود و ترافیک جستجو به صفر برسد، به سئو مرتبط می شود.
سرصفحه‌های امنیتی باید دغدغه اصلی همه کسانی باشد که هر چیزی را در اینترنت منتشر می‌کنند.
خبر خوب این است که پیکربندی آنها نسبتاً ساده است و به حفظ امنیت وب سایت و بازدیدکنندگان آن کمک می کند.
در این ستون، هدرهای امنیتی چیست و چگونه کار می کنند و همچنین با 5 هدر امنیتی برتر، نحوه پیاده سازی آن ها، از کدام افزونه های وردپرس برای تنظیم هدرهای امنیتی و موارد دیگر می توانید استفاده کنید.
بیا شروع کنیم!
سرصفحه های امنیتی دستورالعمل هایی هستند که مرورگرها باید از آنها پیروی کنند و از طریق پاسخ هدر HTTP ارسال می شوند.
هدر HTTP پاسخی است توسط یک وب سرور به مرورگری که سعی در دسترسی به یک صفحه وب دارد.
پاسخ سرصفحه مواردی مانند زمانی که صفحه وب وجود ندارد (400 سرصفحه پاسخ) ارتباط برقرار می کند.
یا اینکه خوب است یک فونت را از Google دانلود کنید اما به هیچ داده دیگری خارج از دامنه وب سایت اعتماد نکنید.
در آن مثال، بخشی که به مرورگر می‌گوید خوب است فونت‌های Google را دانلود کنید اما به فایل‌هایی که در جای دیگری غیر از خود وب‌سایت منشأ آن هستند اعتماد نکنید، یک دستورالعمل امنیتی است.
یک دستورالعمل امنیتی مانند آن، مرورگر را از دانلود فایل های مخرب از وب سایت دیگر مسدود می کند.
سربرگ های امنیتی محدودیت ها و دستورالعمل هایی را معرفی می کنند که از رویدادهای امنیتی ناخواسته جلوگیری می کند.
نرم افزارهای ربات خودکار به طور مداوم وب سایت ها را برای نقاط ضعف امنیتی بررسی و آزمایش می کنند.
این آسیب‌پذیری‌ها را می‌توان توسط سیستم مدیریت محتوا، کتابخانه جاوا اسکریپت که برای افزودن قابلیت‌ها استفاده می‌شود، و برای ضعف‌های امنیتی معرفی‌شده توسط یک افزونه یا یک موضوع معرفی کرد.
گفته می شود وب سایت هایی که از هدرهای امنیتی استفاده می کنند در برابر تهدیدات امنیتی سخت تر می شوند.
در حالی که یک وب سایت می تواند بدون استفاده از هدرهای امنیتی با به روز نگه داشتن اجزای آن و استفاده از افزونه های امنیتی کار کند، انجام این کار بیهوده وب سایت و بازدیدکنندگان سایت را در معرض خطرات امنیتی قرار می دهد.
به عنوان مثال، پلاگین های امنیتی نمی توانند جلوی تزریق تبلیغاتی را بگیرند که درآمد تبلیغاتی را از صاحب سایت سلب می کنند.
شاید بهترین دلیل برای استفاده از هدرهای امنیتی این باشد که پیاده سازی آنها نسبتاً آسان است و اطمینان حاصل می شود که یک وب سایت به طور عادی کار می کند.
یک خط مشی امنیتی محتوا (CSP) به محافظت از وب سایت و بازدیدکنندگان سایت در برابر حملات Cross Site Scripting (XSS) و در برابر حملات تزریق داده کمک می کند.
اسکریپت بین سایتی (XSS)
اکسپلویت های Cross-Site Scripting (XSS) زمانی اتفاق می افتد که هکرها از یک حفره امنیتی برای آپلود اسکریپت های مخرب در یک وب سایت استفاده می کنند که سپس در مرورگر قربانی دانلود می شوند.
حملات XSS از نقایص موجود در یک سیستم مدیریت محتوا استفاده می کنند که به دلیل پاکسازی ناکافی فایل ورودی کاربر، امکان تزریق ورودی های غیرمنتظره را فراهم می کند.
به عنوان مثال، معمولاً یک فرم ایمیل باید به گونه ای کدگذاری شود که ورودی محدودی داشته باشد.
یک فرم کدگذاری شده ضعیف ممکن است اجازه ورود دیگری را بدهد که می تواند منجر به تزریق فایل های مخرب شود.
حمله XSS می تواند برای سرقت رمزهای عبور یا به عنوان بخشی از یک رویداد هک چند مرحله ای استفاده شود.
حملات تزریقی
پروژه Open Web Application Security Project (OWASP) حملات تزریقی را به عنوان یک خطر امنیتی جدی توصیف می کند:
"تزریق تلاش مهاجم برای ارسال داده ها به یک برنامه کاربردی به گونه ای است که معنای دستورات ارسال شده به مترجم را تغییر دهد.
به عنوان مثال، رایج‌ترین مثال تزریق SQL است که در آن مهاجم به جای فقط «101» «101 OR 1=1» را ارسال می‌کند. هنگامی که این داده در یک پرس و جوی SQL گنجانده می شود، معنای آن را تغییر می دهد تا به جای تنها یک رکورد، همه رکوردها را برگرداند.
… اغلب این مفسرها با دسترسی زیادی اجرا می شوند، بنابراین یک حمله موفقیت آمیز می تواند به راحتی منجر به نقض قابل توجه داده ها، یا حتی از دست دادن کنترل مرورگر، برنامه یا سرور شود. در مجموع، حملات تزریق درصد بزرگی از خطر جدی امنیتی برنامه‌ها را تشکیل می‌دهند.»
خط مشی امنیت محتوا به خودی خود صد در صد از یک سایت در برابر حملات محافظت نمی کند، اما به کاهش احتمال حمله اسکریپت بین سایت کمک می کند.
یک هدر CSP به مرورگر دستور می دهد که منابع را فقط از مجموعه ای از دامنه ها و فقط از آن دامنه ها دانلود کند.
هر مهاجمی که در حال دانلود اسکریپت های مخرب از سرور دیگری خارج از آن گروه مورد اعتماد باشد، مسدود خواهد شد.
ایجاد یک خط‌مشی امنیت محتوا می‌تواند به همان اندازه سخت‌گیرانه یا ملایم‌تر باشد که یک ناشر نیاز دارد.
هشدار : با این حال، راه‌اندازی یکی می‌تواند کمی مشکل باشد زیرا باید تمام اسکریپت‌ها و منابعی را که از خارج از دامنه شما دانلود می‌شوند فهرست کنید تا آنها را در لیست سفید قرار دهید.
سربرگ Strict-Transport-Security Header Strict-Transport-Security HTTP Strict Transport Security (HSTS) نیز نامیده می شود.
بسیاری از وب سایت ها فقط یک تغییر مسیر 301 از HTTP به HTTPS دارند.
اما این برای ایمن نگه داشتن وب سایت کافی نیست، زیرا وب سایت همچنان در برابر حمله مرد میانی آسیب پذیر است.
HSTS مانع از کاهش اتصال HTTPS به یک اتصال HTTP توسط مهاجم می شود که سپس به مهاجم اجازه می دهد از تغییر مسیرهای ناامن استفاده کند.
به عنوان مثال، اگر شخصی برای دسترسی به سایتی در example.com تایپ کند، بدون اینکه در واقع قسمت https را تایپ کند (یا به سادگی http را از روی عادت تایپ کند)، در این صورت فرصت برای حمله man-in-the-middle وجود دارد.
این نوع حمله می تواند ارتباط بازدیدکنندگان سایت با وب سایت را به خطر بیندازد و هرگونه اطلاعات حساسی که بین بازدید کننده و وب سایت رد و بدل می شود برای مهاجم قابل مشاهده می شود.
به عنوان مثال، یک مهاجم می تواند کوکی هایی را که حاوی اطلاعات حساسی مانند اعتبارنامه ورود هستند، رهگیری کند.
دولت ایالات متحده سه سناریو را فهرست می کند که در آن HTTPS می تواند به HTTP تنزل یابد و متعاقباً به مهاجم اجازه می دهد امنیت را به خطر بیاندازد.
این سه روشی است که می توان HTTPS را کاهش داد:
هدر HSTS با مجبور کردن مرورگر به عدم پذیرش اتصال HTTP از این اتفاق جلوگیری می کند.
هدر HTTP Strict Transport Security (HSTS) به مرورگر می گوید که کل وب سایت فقط باید توسط یک پروتکل امن HTTPS قابل دسترسی باشد.
نکته جانبی: نحوه از پیش بارگذاری HSTS در کروم
در یک یادداشت مرتبط، Google Chrome یک برنامه HSTS Preload دارد که ناشران می‌توانند سایت‌های خود را به‌منظور فهرست‌بندی کروم به‌عنوان فهرستی که فقط از طریق پروتکل HTTPS قابل دسترسی هستند، ارسال کنند.
بسیاری از مرورگرهای وب مبتنی بر کروم متعاقباً این وب‌سایت‌ها را با HTTPS و فقط از طریق HTTPS از قبل بارگذاری می‌کنند، و آن استاندارد را مستقیماً در مرورگر کدنویسی می‌کنند.
سایت های واجد شرایط باید از قبل هدر امنیتی HSTS را ارائه کنند.
این چهار شرط لازم برای واجد شرایط بودن برای بارگیری پیش‌بارگیری HSTS کروم است:
اطلاعات بیشتر را در hstspreload.org پیدا خواهید کرد.
این هدر امنیتی انواع خاصی از سوء استفاده ها را که می تواند اتفاق بیفتد، به عنوان مثال، از طریق محتوای مخرب تولید شده توسط کاربر، متوقف می کند.
اگر محتوا یک تصویر (.jpg)، یک فیلم (mp4.)، یا متن، HTML، جاوا اسکریپت، و دیگر انواع محتوای قابل دانلود از یک وب‌سایت باشد، مرورگرها می‌توانند «خروج» کنند.
«sniffing» به مرورگر اجازه می‌دهد تا عناصر صفحه وب را دانلود کرده و آنها را به‌درستی ارائه کند، به‌ویژه در شرایطی که ابرداده‌ای که مرورگر برای رندر عنصر نیاز دارد، وجود ندارد.
Sniffing به مرورگر اجازه می دهد تا بفهمد عنصر چیست (تصویر، متن و غیره) و سپس آن عنصر را رندر کند.
با این حال، هکرها سعی می‌کنند مرورگرها را فریب دهند تا فکر کنند یک فایل مضر جاوا اسکریپت در واقع یک تصویر است، به مرورگر اجازه می‌دهد فایل را دانلود کند و سپس آن فایل را اجرا کند، به ویژه با آنچه که به عنوان Drive-by Download Attack.
هدر X-Content-Type-Options می تواند با غیرفعال کردن توانایی مرورگرها از "خریدن" برای نوع محتوا، آن و سایر حملات مرتبط را متوقف کند.
هدر امنیتی X-Frame-Options به توقف حملات جک کلیک کمک می کند.
موزیلا Click-jacking را اینگونه توصیف می کند:
«… تمرین فریب دادن کاربر برای کلیک کردن روی پیوند، دکمه و غیره که غیر از آن چیزی است که کاربر فکر می‌کند.
این را می توان به عنوان مثال برای سرقت اطلاعات ورود به سیستم یا دریافت مجوز ناخواسته کاربر برای نصب یک بدافزار استفاده کرد.
برای مثال، هدر X-Frame-Options با جلوگیری از رندر شدن یک صفحه وب در داخل یک iframe کار می کند.
با این حال، بیش از حملات مبتنی بر iframe از آن جلوگیری می کند.
مایکروسافت Frame Sniffing را به این صورت تعریف می کند:
Framesniffing یک تکنیک حمله است که از عملکرد مرورگر برای سرقت اطلاعات از یک وب سایت استفاده می کند.
برنامه های کاربردی وب که به محتوای آنها اجازه می دهند در یک IFRAME بین دامنه ای میزبانی شود ممکن است در برابر این حمله آسیب پذیر باشند.
هدر X-Frame-Options را می توان برای کنترل قرار دادن یک صفحه در IFRAME استفاده کرد.
از آنجایی که تکنیک Framesniffing متکی بر توانایی قرار دادن سایت قربانی در IFRAME است، یک برنامه وب می تواند با ارسال یک هدر X-Frame-Options مناسب از خود محافظت کند.
پروژه Open Web Application Security Project (OWASP) توضیح مفیدی در مورد حملات جک کلیک ارائه می دهد:
"… مهاجمی را تصور کنید که وب سایتی می سازد که دکمه ای روی آن دارد که می گوید "برای یک آی پاد رایگان اینجا را کلیک کنید".
با این حال، در بالای آن صفحه وب، مهاجم یک iframe را با حساب ایمیل شما بارگذاری کرده است و دقیقاً دکمه «حذف همه پیام‌ها» را مستقیماً در بالای دکمه «آی‌پاد رایگان» ردیف کرده است.
قربانی سعی می‌کند روی دکمه «آی‌پاد رایگان» کلیک کند، اما در عوض روی دکمه نامرئی «حذف همه پیام‌ها» کلیک می‌کند.
در اصل، مهاجم کلیک کاربر را «ربایش» کرده است، از این رو نام آن «Clickjacking» است.
هدر X-Frame-Options برای محافظت از بازدیدکنندگان سایت و همچنین اعتبار سایت شما مهم است.
صفحه وب OWASP در مورد جک کردن کلیک در ادامه توضیح می دهد که چگونه Adobe Flash قربانی یک حمله جک کلیک شد که به هکرها اجازه می داد کنترل میکروفون ها و دوربین ها را در دست بگیرند و در نتیجه شهرت منفی فلش را به عنوان یک کابوس امنیتی تثبیت کرد.
شناخته شدن در رسانه های اجتماعی و اینترنت بزرگ به عنوان یک خطر امنیتی برای تجارت بد است.
هدر X-Frame-Options یک اقدام امنیتی مفید برای پیاده سازی است.
هدف از هدر Referrer-Policy این است که به یک ناشر وب سایت اجازه می دهد زمانی که بازدیدکننده سایت برای بازدید از وب سایت دیگری روی پیوندی کلیک می کند، کنترل کند چه اطلاعاتی ارسال می شود.
هنگامی که یک بازدیدکننده سایت روی پیوندی کلیک می کند و در سایت دیگری قرار می گیرد، مرورگر بازدیدکننده اطلاعاتی در مورد اینکه چه صفحه وب آن بازدید را ارسال کرده است، ارائه می دهد.
وقتی به گزارش‌های سرور خود نگاه می‌کنید، اطلاعات ارجاع‌دهنده ارسال می‌شود که نشان می‌دهد چه سایت‌هایی بازدیدکنندگان را ارسال کرده‌اند.
با این حال، برخی موقعیت‌ها وجود دارد که نشانی اینترنتی سایتی که یک بازدیدکننده را به بازدیدکننده دیگری ارجاع می‌دهد، می‌تواند حاوی اطلاعات حساسی باشد که ممکن است به شخص ثالث درز کند.
نحوه عملکرد Referrer-Policy با محدود کردن تعداد اطلاعات ارسال شده پس از کلیک بازدیدکنندگان سایت بر روی پیوند است.
یک ناشر وب سایت می تواند انتخاب کند که هیچ اطلاعاتی در مورد ارجاع دهنده ارسال نکند، آنها می توانند انتخاب کنند که فقط نام دامنه را ارسال کنند یا می توانند کل رشته URL را ارسال کنند.
هشت دستورالعمل وجود دارد که می توان با استفاده از هدر Referrer-Policy ارسال کرد:
یک تنظیم رایج خط‌مشی ارجاع‌دهنده Header "no-referrer-when-downgrade" است که به این معنی است که اطلاعات ارجاع‌دهنده به URLهای قابل اعتمادی که در HTTPS هستند ارسال می‌شود اما هیچ اطلاعات ارجاعی به وب‌سایت‌های HTTP غیرقابل اعتماد ارسال نمی‌شود.
توجه به این نکته مهم است که تنظیم خط مشی ارجاع کننده بر پیوندهای وابسته تأثیری نخواهد داشت.
اطلاعات ارجاع دهنده در URL صفحه فرود کدگذاری می شود، بنابراین اطلاعات ارجاع دهنده و درآمد توسط تاجری که ارجاع وابسته را دریافت می کند، ثبت می شود.
راه های متعددی برای تنظیم هدرهای امنیتی وجود دارد و یکی از راه های محبوب فایل htaccess.
مزیت استفاده از فایل htaccess این است که ناشر را از دانلود افزونه دیگر نجات می دهد.
پلاگین های کدگذاری ضعیف می توانند به یک خطر امنیتی تبدیل شوند، بنابراین به حداقل رساندن تعداد افزونه های نصب شده می تواند مفید باشد.
مهم : هر پیاده سازی هدر امنیتی با توجه به ویژگی های هر وب سایت، به خصوص Content-Security-Policy (CSP) متفاوت خواهد بود.
برخی از افزونه‌های محبوب وجود دارند که قبلاً روی میلیون‌ها وب‌سایت نصب شده‌اند که دارای گزینه تنظیم هدرهای امنیتی هستند.
اگر قبلاً این افزونه‌ها را نصب کرده‌اید، گزینه استفاده از یک افزونه به جای سر و صدا کردن با فایل htaccess. برای کسانی است که راحتی را ترجیح می‌دهند.
بیش از پنج میلیون وب سایت SSL واقعا ساده را نصب کرده اند.
ارتقاء به نسخه حرفه ای با قیمت مناسب، گزینه ای را برای تنظیم تا هشت هدر امنیتی به روش آسان فراهم می کند.
افزونه 100% رایگان Redirection وردپرس بیش از ده سال است که وجود دارد و در بیش از 2 میلیون وب سایت نصب شده است.
این افزونه به شما این امکان را می دهد تا علاوه بر پنج مورد برتر لیست شده در این مقاله، از میان بسیاری از سرفصل های امنیتی از پیش تعیین شده مختلف، انتخاب کنید.
Preset به این معنی است که شما می توانید از دستورالعمل های استاندارد انتخاب کنید.
با توجه به صفحه دانلود وردپرس Redirection:
هدر HTTP را اضافه کنید
هدرهای HTTP را می توان به تغییر مسیرها یا کل سایت شما اضافه کرد که به کاهش تأثیر تغییر مسیرها یا افزایش امنیت کمک می کند. شما همچنین می توانید هدرهای سفارشی خود را اضافه کنید."
علاوه بر این، افزونه Redirection به شما این امکان را می دهد که اگر چیزی در آنجا پیدا نکردید، سرفصل های امنیتی خود را سفارشی کنید.

افزونه Redirection نصب موفقیت آمیز پنج هدر امنیتی برتر را آسان می کند:
Cloudflare راهی برای تنظیم هدرهای امنیتی با استفاده از کارگران Cloudflare خود دارد.
Cloudflare همچنین یک صفحه پشتیبانی دیگر با دستورالعمل ها دارد:
“ضمیمه سرصفحه
برای پیوست کردن هدرها به پاسخ‌های Cloudflare Pages، یک فایل متنی ساده _headers در پوشه خروجی پروژه خود ایجاد کنید.
معمولاً پوشه‌ای است که حاوی فایل‌های HTML آماده و دارایی‌های تولید شده توسط بیلد، مانند فاویکون‌ها است.
فایل _headers نباید همیشه در دایرکتوری ریشه مخزن باشد. تغییرات هدرها در زمان ساخت به وب‌سایت شما به‌روزرسانی می‌شوند، بنابراین مطمئن شوید که هر بار که سرصفحه‌ها را به‌روزرسانی می‌کنید، فایل را متعهد کرده و فشار دهید تا یک ساخت جدید ایجاد شود.
قوانین هدر در بلوک های چند خطی تعریف می شوند.
اولین خط یک بلوک، نشانی وب یا الگوی URL است که در آن سرصفحه‌های قانون باید اعمال شوند. در خط بعدی، یک لیست تورفتگی از نام‌های هدر و مقادیر هدر باید نوشته شود…”
هدرهای امنیتی به راحتی قابل بررسی هستند.
SecurityHeaders.com یک سرویس بررسی هدر امنیتی رایگان ارائه می دهد.
نرم افزار حسابرسی وب Screaming Frog همچنین دارای گزینه ای برای بررسی هدرها است که در برگه امنیت موجود است.
هدرهای امنیتی چیزی است که بسیاری از ناشران یا کارشناسان سئو ممکن است در نظر نگیرند.
اما هدرهای امنیتی مهم هستند و باید در هر ممیزی سایت مورد توجه قرار گیرند، خواه این ممیزی در داخل انجام شود یا توسط ممیزی سئو سایت شخص ثالث.
امنیت وب سایت یک موضوع مرتبط با سئو است، زیرا شکست در کاهش مسائل امنیتی منفی می تواند هر موفقیت مرتبط با رتبه بندی را معکوس کند.
شهرت منفی می تواند به رتبه بندی و فروش آسیب برساند.
از دست دادن دید جستجو باعث ضررهای ویرانگر می شود.
پیاده‌سازی هدرهای امنیتی نسبتاً آسان است، باید هنگام انتشار هر وب‌سایتی در میان جعبه‌های برتر بررسی شود.
منابع بیشتر:
تصویر ویژه: تصاویر کسب و کار میمون/Shutterstock
خبرنامه روزانه ما را از لورن بیکر بنیانگذار SEJ در مورد آخرین اخبار در صنعت دریافت کنید!
راجر مونتی یک بازاریاب جستجو با بیش از 20 سال تجربه است. ارائه ممیزی سایت، مشاوره تلفنی و محتوا و … [بیو کامل را بخوانید]
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.

source
سئو سایت

About mohtavaclick

Check Also

7 عامل اصلی استرس برای بازاریابان دیجیتال و نحوه مقابله

کار در بازاریابی دیجیتال می تواند فوق العاده استرس زا باشد. شاید زمان آن رسیده …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

قالب وردپرس وردپرس متخصص وردپرس متخصص ووکامرس افزونه وردپرس کابین وردپرس