HSTS چیست و تنظیمات آن چگونه است؟

HSTS، نام یکی از تنظیماتی است که درون سایت‌های وردپرسی وجود دارد. این کلمه مخفف عبارت HTTP Strict Transport Security بوده و برای افرادی مناسب است که می‌خواهند از HTTPS در سایت خود استفاده کنند. در واقع وجود این گزینه در این سایت‌ها به نوعی یک ایمنی را در برابر مشکلات احتمالی سایت ایجاد می‌کند. در این مطلب از آکادمی سئو پورفیض به سراغ معرفی HTST رفته‌ایم تا با دلایل و اهمیت وجود آن در سایت‌های مختلف آشنا شویم:

HSTS چیست؟

می‌خواهیم با یک مثال ساده معنی HSTS را برای شما شرح دهیم. خود را درون یک فروشگاه بزرگ فرض کنید. اکنون نیاز به اینترنت دارید و می‌خواهید به شبکه‌ای که در اختیار مشتریان قرار داده شده، استفاده کنید. در این مواقع اغلب افراد از پسوورد وای فای مطلع هستند و در نتیجه یک هکر می‌تواند از مسیرهای متفاوتی به‌راحتی اطلاعات مربوط به کاربران متصل به آن شبکه را به دست آورند. این همان هک کردن است که توسط افراد حرفه‌ای در این زمینه انجام خواهد شد.

یکی از دلایلی که کار را در این شرایط برای هکرها راحت می‌کند، استفاده از http به جای https در سایت‌هاست. از این‌رو برخی از مدیران سایت با استفاده از ریدایرکت، آدرس سایت خود را تغییر می‌دهند، با فرض اینکه دیگر سایتشان ایمن شده است. اما این تغییر باز هم می‌تواند، فرصتی برای هکرها باشد تا اطلاعات را سرقت کنند. اینجاست که نقش HSTSها مشخص می‌شود.

در واقع HSTS مخفف عبارت HTTP Strict Transport Security است که یک قانون برای سرورها تعیین می‌کند و بر اساس آنها تنها کاربران مجبور به استفاده از https خواهند بود. با این فرایند هر سایت http حتی اگر ریدایرکت شده باشد، در دسترس کاربران نخواهد بود. بنابراین آن را می‌توانیم یکی از موارد امنیتی برای کاربرانی بدانیم که در فضای آنلاین فعالند.

HSTS چگونه عمل می‌کند؟

جای دوری نمی‌رویم، فرض کنید که سایت آکادمی سئو پورفیض با آدرس poorfeyz.com را در مرورگر خود وارد کنید. در این شرایط دو حالت ممکن است اتفاق بیفتد تا شما را به صفحات سایت هدایت کند:

• مرورگر شما فرض می‌کند که قصد استفاده از http را دارید، بنابراین درخواست شما را به سرور ارسال می‌کند. به دنبال این فرایند با تغییر مسیری که مدیر سایت با ریدایرکت انجام داده، شمابه صورت خودکار به صفحه سایت با دامنه https منتقل خواهید شد. این فرایند در مواقعی اتفاق می‌افتد که تغییرات مربوطه روی سایت ایجاد شده باشد. اگر این تغییرات وجود نداشته باشد و امکان انتقال شما وجود نداشته باشد، مرورگر احتمالا به شما یک صفحه را نشان می‌دهد تا این فرایند را دور بزنید و دوباره وارد صفحه http شوید. اینجاست که اطلاعات شما ممکن است در معرض هکرها قرار گیرد.
• حالت دوم زمانی است که سایت مورد نظر شما دارای HSTS باشد. با این کار شما هیچ‌گاه نمی‌توانید به صفحاتی دسترسی پیدا کنید که با Http شروع شده‌اند. مانند همان فرایندی که ما در سایت خود قرار داده‌ایم.

استفاده از HSTS برای افزایش سرعت سایت

به جز موارد امنیتی که در مورد این هدر عنوان شده، می‌توانیم اثرات دیگری مانند افزایش سرعت سایت و بهبود سئو را نیز پس از استفاده از آن در نظر بگیریم. افزایش سرعت سایت می‌تواند منجر به رضایت کاربران شما شود. بنابراین مخاطب زمان بیشتری را در سایت شما باقی خواهد ماند تا آنچه را که می‌خواهد به دست آورد. این ویژگی بانس ریت یا نرخ پرش را کاهش داده و در نهایت باعث می‌شود تا امتیاز شما در میان سایت‌های رقیب توسط گوگل بالاتر رود. افزایش سرعت سایت باعث بهبود سئو خواهد شد.

روش فعال کردن HSTS در آپاچی و لایت اسپید

فعال‌سازی این هدر در وب سرورهای مختلف می‌تواند متفاوت باشد. اما برای نصب، قبل از هر چیز باید گواهینامه ssl ایمن را دریافت کنید. سپس می‌توانید از مسیری که برای فعال‌سازی HSTS عنوان شده و برای ۹۹ درصد از سایت‌ها مناسب است، استفاده کرده و این هدر را به سایت خودتان اضافه کنید. کافی است برای اینکار مراحل زیر را انجام دهید:

1. وارد سی پنل خود شوید.
2. FileManager را پیدا کنید و آن را باز کنید.
3. پوشه‌ای با نام public_html در این صفحه وجود دارد که با کلیک کردن آن را باز کنید.
4. برای ویرایش htaccess باید کد زیر را ثبت کنید:

<IfModule mod_headers.c>

Header set Strict-Transport-Security “max-age=31536000;preload” env=HTTPS

</IfModule>

5. دوباره فایل مورد نظرتان را ذخیره کنید.
6. با این کار سایت شما قبل از ارسال درخواست به وب سرور به https منتقل می‌شود.
7. برای افرادی که می‌خواهند تمام سایت دامین‌هایشان به https منتقل شود، باید از کد زیر به جای بالایی استفاده کنند:

<IfModule mod_headers.c>

Header set Strict-Transport-Security “max-age=31536000;includeSubDomains;preload” env=HTTPS

</IfModule>

فعال کردن HSTS در سرور nginx

اگر از وب سرور انجین ایکس استفاده کنید، مطمئنا مراحل بالا برای نصب HSTS مناسب نخواهد بود. البته کمتر کسی در ایران از این سرور استفاده می‌کند، اما در هر صورت این آموزش می‌تواند در این شرایط به شما کمک کند. برای این کار باید مراحل زیر را پیدا کنید:

1. وارد وب سرور خود شوید و فایلی را با نام conf پیدا کنید.
2. کد زیر را در بخشی که با نام Virtual Server مشخص شده اضافه کنید:

add_header Strict-Transport-Security

“max-age=63072000;”;

3. وب سرور خود را Restart کنید.
4. اکنون HSTS روی سایت شما نصب شده است.

یک نکته مهم در مورد HSTS

نکته مهمی که در این شرایط وجود دارد، استفاده درست از هدر STS است. این هدر مخصوص دامنه‌های خاصی است. اگر شما آن را برای دامنه خود با شروع www دریافت کنید، تنها این گزینه را در برمی‌گیرد. پیشنهاد اکثر سئوکاران استفاده از آن برای دامنه‌هایی است که بدون www هستند. به عنوان مثال برای دامنه poorfeyz.com یه جای www.poorfeyz.com …

فعال بودن hsts را بررسی کنید…

اکنون وقت آن رسیده که از فعال بودن HSTS روی سایت خود مطمئن شوید. این کار تنها از یک روش امکان‌پذیر است و آن هم ورود به سایت https://gf.dev/hsts-test است. سپس باید از طریق همین صفحه، آدرس سایتتان را وارد کنید و در نهایت نیز روی گزینه‌ای با نام تست کلیک کنید. سایتی که وارد آن شده‌اید، یک وضعیت کامل از HSTS روی سایت شما در اختیارتان قرار خواهد داد. همچنین اعلام می‌کند که این گزینه در سایت شما فعال است یا خیر…

سخن پایانی

این مطلب یک راهنمای کامل در مورد HSTS بوده و دلایل وجود آن در یک سایت را نشان داده است. همان طور که دیدید، نصب آن روی سرورهای مختلف بسیار آسان است. در دنیایی که هکرها با سو استفاده از فضای آنلاین، به دنبال کسب اطلاعات برای اخاذی یا سوءاستفاده هستند، وجود موارد امنیتی درون یک سایت بسیار مهم و ضروری است. البته گزینه بهتر، سپردن سایتتان به دست سئوکاران با تجربه و حرفه‌ای است که در نهایت با ترفندهای مختلف بتوانند از اطلاعات شما و کاربرانتان محافظت کنند.

از دیگر فرایندهایی که باعث افزایش ایمنی سایت می‌شود، می‌توانیم به افزونه‌هایی اشاره کنیم که عموما در سایت‌های وردپرسی قابل دانلود و نصب شدن است. به نظر شما چه روش‌های دیگری برای افزایش ایمنی سایت‌های مختلف وجود دارد؟ آیا می‌توان تنها با استفاده از HSTS، این ایمنی را افزایش داد؟

سوالات متداول در مورد HSTS