امنیت وبسایت در ۷ لایه: راهنمای جامع دفاع در عمق (۱۴۰۵)
۱۵ خرداد ۱۴۰۵ - ۵ ژوئن ۲۰۲۶
هر ۳۹ ثانیه یک وبسایت در جهان هک میشود. آیا سایت شما بعدی است؟ خبر خوب این است که با پیادهسازی یک استراتژی دفاع در عمق (Defense in Depth)، میتوانید ۹۹٪ حملات را قبل از رسیدن به سایت خنثی کنید. در این مقاله از مجموعه راهنمای جامع طراحی وبسایت ضدشکننده، ۷ لایه امنیتی را گامبهگام معرفی میکنم. این همان معماری است که در خانه ربات و وب برای پروژههایی مثل کلینیک دکتر رضوانی پیاده کردیم و تا امروز حتی یک نفوذ موفق ثبت نشده است. اگر میخواهید مثل یک قلعه از سایت خود محافظت کنید، این راهنما را با دقت مطالعه کنید.
۱. لایه اول: Web Application Firewall (WAF)
اولین دیوار دفاعی یک فایروال برنامه وب است. WAF ترافیک ورودی را قبل از رسیدن به سرور اصلی بررسی میکند و درخواستهای مخرب (SQLi، XSS، CSRF) را فیلتر میکند. میتوانید از سرویسهای ابری مثل Cloudflare یا ArvanCloud استفاده کنید که به صورت رایگان WAF پایه ارائه میدهند. تنظیم قانونها (Rules) را جدی بگیرید؛ مثلاً اگر سایت شما فرم ورود ندارد، تمام درخواستها به `wp-admin` را بلاک کنید.
۲. لایه دوم: اعتبارسنجی و پاکسازی ورودیها (Input Validation)
هر دادهای که از کاربر دریافت میکنید (GET، POST، COOKIE) باید قبل از پردازش، اعتبارسنجی شود. فرض کنید همه کاربران هکر هستند. از توابع `filter_var` و `htmlspecialchars` استفاده کنید:
$name = filter_var($_POST['name'], FILTER_SANITIZE_STRING);
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL);
if (!$email) { die("ایمیل نامعتبر"); }
۳. لایه سوم: Prepared Statements (ضد SQL Injection)
SQL Injection هنوز هم رایجترین حمله به وبسایتهای PHP است. برای جلوگیری قطعی، هرگز دادههای کاربر را مستقیماً در کوئری قرار ندهید. همیشه از Prepared Statements با PDO استفاده کنید:
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");
$stmt->execute([$email]);
$user = $stmt->fetch();
۴. لایه چهارم: CSRF Token (محافظت از فرمها)
حملات Cross-Site Request Forgery میتوانند کاربران شما را فریب دهند تا ناخواسته عملیاتی (مثل انتقال پول) انجام دهند. برای هر فرم یک توکن یکتا ایجاد و اعتبارسنجی کنید:
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
// در HTML
<input type="hidden" name="csrf_token" value="<?= $_SESSION['csrf_token'] ?>">
۵. لایه پنجم: Content Security Policy (CSP)
CSP یک هدر HTTP است که به مرورگر میگوید چه منابعی (اسکریپت، CSS، تصاویر) مجاز به بارگذاری هستند. با تنظیم CSP، حتی اگر هکر بتواند کدی تزریق کند، مرورگر اجرایش نمیکند:
header("Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com");
۶. لایه ششم: Rate Limiting (جلوگیری از Brute-Force)
اگر مهاجم بتواند بینهایت تلاش کند، بالاخره رمز عبور را میشکند. با محدود کردن تعداد درخواستها در یک بازه زمانی (مثلاً ۵ تلاش در ۱۵ دقیقه)، این حمله را بیاثر کنید. میتوانید از Redis یا فایلهای لاگ ساده استفاده کنید.
۷. لایه هفتم: مانیتورینگ و هشدار
حتی با ۶ لایه قبلی، باید مراقب باشید. هر خطای ۴۰۳ یا ۵۰۰ را لاگ کرده و به خودتان ایمیل یا پیام تلگرام بزنید. همچنین فایلهای سایت را بهطور منظم برای تغییرات غیرمجاز بررسی کنید. برای پروژه دکتر رضوانی یک داشبورد مانیتورینگ در پنل ادمین ساختیم که هر رفتار مشکوک را لحظهای گزارش میدهد. برای اطلاعات بیشتر، اینجا را بخوانید.
۸. سوالات متداول (FAQ)
آیا WAF رایگان کافی است؟
برای شروع بله، Cloudflare Plan رایگان WAF پایه دارد. اما برای کسبوکارهای جدی، WAF حرفهای با قوانین سفارشی پیشنهاد میشود.
آیا این ۷ لایه برای سایتهای کوچک هم ضروری است؟
بله، اندازه سایت مهم نیست. هکرها معمولاً سایتهای کوچک را هدف میگیرند چون امنیت کمتری دارند.
آیا شهبازیون این ۷ لایه را پیادهسازی میکند؟
بله، تمام پروژههای خانه ربات و وب با این ۷ لایه تحویل داده میشوند. مشاوره رایگان بگیرید.
💬 نظرات کاربران
هنوز نظری ثبت نشده است. اولین نفری باشید که نظر میدهید!