بروزرسانی سایت برای بهبود سئو و افزایش ورودی گوگل
07/10/2024مقایسه کامل هاست وردپرس و هاست معمولی لینوکس: کدام انتخاب بهتری است؟
07/10/2024HSTS چیست و چگونه میتوان آن را فعال کرد؟
امنیت وبسایتها یکی از مهمترین جنبههایی است که باید به آن توجه شود. یکی از پروتکلهای مهم امنیتی که برای افزایش امنیت سایتها بهکار میرود، HSTS (HTTP Strict Transport Security) است. HSTS تضمین میکند که مرورگرها تنها از طریق HTTPS با سایتها ارتباط برقرار کنند و تمامی درخواستهای HTTP را به HTTPS هدایت میکند. در این مقاله، همه چیز درباره HSTS و نحوه فعالسازی آن برای افزایش امنیت سایت توضیح داده شده است و اینکه چگونه میتوانید این پروتکل را در سایت خود فعال کنید.
۱. HSTS چیست؟
HSTS یا HTTP Strict Transport Security یک مکانیزم امنیتی است که به مرورگرها میگوید تنها از طریق HTTPS با سایت شما ارتباط برقرار کنند. این پروتکل برای جلوگیری از حملاتی مانند Man-in-the-Middle (MiTM) و حملات داونگرید که در آنها هکرها سعی میکنند اتصال امن HTTPS را به HTTP تغییر دهند، طراحی شده است.
چگونه HSTS کار میکند؟
زمانی که HSTS روی یک سایت فعال میشود، مرورگر بهطور خودکار تمامی درخواستها به سایت را به HTTPS تغییر میدهد. حتی اگر کاربر یا هکر سعی کند به نسخه HTTP سایت دسترسی پیدا کند، مرورگر به دلیل فعال بودن HSTS، درخواست را به HTTPS هدایت میکند.
۲. چرا باید HSTS را فعال کنیم؟
فعالسازی HSTS به دلایل متعددی ضروری است که در زیر به مهمترین آنها اشاره میکنیم:
۲.۱. جلوگیری از حملات داونگرید
یکی از خطرات بزرگ برای وبسایتها، حملات داونگرید است که در آنها هکرها سعی میکنند کاربران را از نسخه امن HTTPS به نسخه ناامن HTTP هدایت کنند. HSTS مانع از این حملات میشود و مرورگرها را مجبور میکند همیشه از پروتکل امن HTTPS استفاده کنند.
۲.۲. افزایش اعتماد و امنیت کاربران
وقتی HSTS فعال باشد، کاربران همیشه به نسخه امن سایت دسترسی خواهند داشت. این کار اعتماد کاربران به سایت شما را افزایش میدهد و از افشای اطلاعات حساس آنها جلوگیری میکند.
۲.۳. بهبود سئو و رتبه سایت
گوگل به سایتهایی که از HTTPS و پروتکلهای امنیتی مانند HSTS استفاده میکنند، امتیاز مثبت میدهد. بنابراین، با فعالسازی HSTS میتوانید رتبه سایت خود را در نتایج جستجو بهبود بخشید.
۳. پیشنیازهای فعالسازی HSTS
قبل از فعالسازی HSTS، باید از چند نکته مطمئن شوید:
۳.۱. داشتن گواهینامه SSL
برای استفاده از HSTS، ابتدا باید گواهینامه SSL را روی سایت خود نصب کنید. بدون SSL، فعالسازی HSTS ممکن نیست. اگر هنوز گواهینامه SSL ندارید، میتوانید از راهنمای نصب SSL رایگان استفاده کنید و SSL را روی سرور خود فعال کنید.
۳.۲. اطمینان از کارکرد صحیح HTTPS
قبل از فعالسازی HSTS، باید مطمئن شوید که تمامی صفحات و منابع سایت شما بهدرستی از طریق HTTPS در دسترس هستند. میتوانید از ابزارهایی مانند Why No Padlock استفاده کنید تا مطمئن شوید هیچ محتوای ناامنی در سایت شما وجود ندارد.
۴. نحوه فعالسازی HSTS
برای فعالسازی HSTS، باید تغییرات کوچکی در تنظیمات سرور خود ایجاد کنید. این فرآیند بسته به نوع وبسرور شما متفاوت است. در ادامه به نحوه فعالسازی HSTS در سرورهای Apache و Nginx میپردازیم.
۴.۱. فعالسازی HSTS در سرور Apache
اگر از سرور Apache استفاده میکنید، میتوانید با اضافه کردن چند خط کد به فایل .htaccess
پروتکل HSTS را فعال کنید.
- ابتدا فایل
.htaccess
را در دایرکتوری اصلی سایت خود باز کنید. - سپس کد زیر را به فایل اضافه کنید:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
توضیح کد:
max-age=31536000
: مدت زمان فعالسازی HSTS را مشخص میکند (در اینجا یک سال).includeSubDomains
: این گزینه تضمین میکند که HSTS برای تمامی زیردامنهها نیز فعال باشد.preload
: این گزینه سایت شما را در لیست preload HSTS قرار میدهد (در بخش بعدی بیشتر در مورد preload توضیح میدهیم).
فایل را ذخیره کرده و سرور Apache را ریاستارت کنید:
sudo service apache2 restart
۴.۲. فعالسازی HSTS در سرور Nginx
اگر از Nginx استفاده میکنید، برای فعالسازی HSTS باید تغییراتی در فایل تنظیمات Nginx ایجاد کنید.
- ابتدا فایل تنظیمات سرور خود را باز کنید. معمولاً این فایل در مسیر
/etc/nginx/sites-available/
قرار دارد. - کد زیر را به بخش سرور اضافه کنید:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
3.فایل را ذخیره کرده و سرور Nginx را ریاستارت کنید:
sudo service nginx restart
۵. اضافه کردن سایت به لیست preload HSTS
HSTS preload list لیستی از سایتهایی است که مرورگرها بهصورت پیشفرض آنها را تنها از طریق HTTPS بارگذاری میکنند. این بدان معناست که اگر سایتی در این لیست قرار گیرد، حتی اگر کاربر برای اولین بار وارد سایت شود، مرورگر بهطور خودکار از HTTPS استفاده میکند.
برای اضافه کردن سایت خود به لیست preload، باید مراحل زیر را دنبال کنید:
- اطمینان حاصل کنید که HSTS با گزینههای
includeSubDomains
وpreload
فعال است. - به سایت hstspreload.org بروید و آدرس سایت خود را وارد کنید.
- درخواست خود را ارسال کنید و پس از تأیید، سایت شما به لیست preload اضافه خواهد شد.
۶. نکات مهم در فعالسازی HSTS
۶.۱. استفاده از HSTS با دقت
پس از فعالسازی HSTS، مرورگرها همیشه سایت شما را از طریق HTTPS بارگذاری میکنند و نمیتوانند به نسخه HTTP دسترسی پیدا کنند. بنابراین، قبل از فعالسازی HSTS، باید مطمئن شوید که سایت شما بهدرستی با HTTPS کار میکند.
۶.۲. مدت زمان max-age
مدت زمان max-age
تعیین میکند که مرورگر چقدر زمان باید HSTS را برای سایت شما فعال نگه دارد. اگر بهتازگی HSTS را فعال کردهاید، میتوانید ابتدا از مقدارهای کوتاهتر مانند max-age=86400
(یک روز) استفاده کنید و پس از اطمینان از کارکرد صحیح، مقدار را به یک سال افزایش دهید.
نتیجهگیری
فعالسازی HSTS یک گام مهم در افزایش امنیت سایتهای HTTPS است. با استفاده از این پروتکل، مرورگرها تنها از طریق HTTPS با سایت شما ارتباط برقرار میکنند و امنیت کاربران را تضمین میکنند. با رعایت نکات و مراحل ذکر شده در این مقاله، میتوانید بهراحتی HSTS را روی سرور خود فعال کرده و از مزایای آن بهرهمند شوید.در این مقاله، تلاش کردیم همه چیز درباره HSTS و نحوه فعالسازی آن برای افزایش امنیت سایت توضیح داده شود تا بطور موثری از آن بهره ببرید.