در واقع HSTS مخفف عبارت HTTP Strict Transport Security است که یک قانون برای سرورها تعیین میکند و بر اساس آنها تنها کاربران مجبور به استفاده از https خواهند بود. با این فرایند هر سایت http حتی اگر ریدایرکت شده باشد، در دسترس کاربران نخواهد بود. بنابراین آن را میتوانیم یکی از موارد امنیتی برای کاربرانی بدانیم که در فضای آنلاین فعالند.
HSTS، نام یکی از تنظیماتی است که درون سایتهای وردپرسی وجود دارد. این کلمه مخفف عبارت HTTP Strict Transport Security بوده و برای افرادی مناسب است که میخواهند از HTTPS در سایت خود استفاده کنند. در واقع وجود این گزینه در این سایتها به نوعی یک ایمنی را در برابر مشکلات احتمالی سایت ایجاد میکند. در این مطلب از آکادمی سئو پورفیض به سراغ معرفی HTST رفتهایم تا با دلایل و اهمیت وجود آن در سایتهای مختلف آشنا شویم:
HSTS چیست؟
میخواهیم با یک مثال ساده معنی HSTS را برای شما شرح دهیم. خود را درون یک فروشگاه بزرگ فرض کنید. اکنون نیاز به اینترنت دارید و میخواهید به شبکهای که در اختیار مشتریان قرار داده شده، استفاده کنید. در این مواقع اغلب افراد از پسوورد وای فای مطلع هستند و در نتیجه یک هکر میتواند از مسیرهای متفاوتی بهراحتی اطلاعات مربوط به کاربران متصل به آن شبکه را به دست آورند. این همان هک کردن است که توسط افراد حرفهای در این زمینه انجام خواهد شد.
یکی از دلایلی که کار را در این شرایط برای هکرها راحت میکند، استفاده از http به جای https در سایتهاست. از اینرو برخی از مدیران سایت با استفاده از ریدایرکت، آدرس سایت خود را تغییر میدهند، با فرض اینکه دیگر سایتشان ایمن شده است. اما این تغییر باز هم میتواند، فرصتی برای هکرها باشد تا اطلاعات را سرقت کنند. اینجاست که نقش HSTSها مشخص میشود.
در واقع HSTS مخفف عبارت HTTP Strict Transport Security است که یک قانون برای سرورها تعیین میکند و بر اساس آنها تنها کاربران مجبور به استفاده از https خواهند بود. با این فرایند هر سایت http حتی اگر ریدایرکت شده باشد، در دسترس کاربران نخواهد بود. بنابراین آن را میتوانیم یکی از موارد امنیتی برای کاربرانی بدانیم که در فضای آنلاین فعالند.
HSTS چگونه عمل میکند؟
جای دوری نمیرویم، فرض کنید که سایت آکادمی سئو پورفیض با آدرس poorfeyz.com را در مرورگر خود وارد کنید. در این شرایط دو حالت ممکن است اتفاق بیفتد تا شما را به صفحات سایت هدایت کند:
مرورگر شما فرض میکند که قصد استفاده از http را دارید، بنابراین درخواست شما را به سرور ارسال میکند. به دنبال این فرایند با تغییر مسیری که مدیر سایت با ریدایرکت انجام داده، شمابه صورت خودکار به صفحه سایت با دامنه https منتقل خواهید شد. این فرایند در مواقعی اتفاق میافتد که تغییرات مربوطه روی سایت ایجاد شده باشد. اگر این تغییرات وجود نداشته باشد و امکان انتقال شما وجود نداشته باشد، مرورگر احتمالا به شما یک صفحه را نشان میدهد تا این فرایند را دور بزنید و دوباره وارد صفحه http شوید. اینجاست که اطلاعات شما ممکن است در معرض هکرها قرار گیرد.
حالت دوم زمانی است که سایت مورد نظر شما دارای HSTS باشد. با این کار شما هیچگاه نمیتوانید به صفحاتی دسترسی پیدا کنید که با Http شروع شدهاند. مانند همان فرایندی که ما در سایت خود قرار دادهایم.
استفاده از HSTS برای افزایش سرعت سایت
به جز موارد امنیتی که در مورد این هدر عنوان شده، میتوانیم اثرات دیگری مانند افزایش سرعت سایت و بهبود سئو را نیز پس از استفاده از آن در نظر بگیریم. افزایش سرعت سایت میتواند منجر به رضایت کاربران شما شود. بنابراین مخاطب زمان بیشتری را در سایت شما باقی خواهد ماند تا آنچه را که میخواهد به دست آورد. این ویژگی بانس ریت یا نرخ پرش را کاهش داده و در نهایت باعث میشود تا امتیاز شما در میان سایتهای رقیب توسط گوگل بالاتر رود. افزایش سرعت سایت باعث بهبود سئو خواهد شد.
روش فعال کردن HSTS در آپاچی و لایت اسپید
فعالسازی این هدر در وب سرورهای مختلف میتواند متفاوت باشد. اما برای نصب، قبل از هر چیز باید گواهینامه ssl ایمن را دریافت کنید. سپس میتوانید از مسیری که برای فعالسازی HSTS عنوان شده و برای ۹۹ درصد از سایتها مناسب است، استفاده کرده و این هدر را به سایت خودتان اضافه کنید. کافی است برای اینکار مراحل زیر را انجام دهید:
وارد سی پنل خود شوید.
FileManager را پیدا کنید و آن را باز کنید.
پوشهای با نام public_html در این صفحه وجود دارد که با کلیک کردن آن را باز کنید.
برای ویرایش htaccess باید کد زیر را ثبت کنید:
<IfModule mod_headers.c>
Header set Strict-Transport-Security “max-age=31536000;preload” env=HTTPS
</IfModule>
دوباره فایل مورد نظرتان را ذخیره کنید.
با این کار سایت شما قبل از ارسال درخواست به وب سرور به https منتقل میشود.
برای افرادی که میخواهند تمام سایت دامینهایشان به https منتقل شود، باید از کد زیر به جای بالایی استفاده کنند:
<IfModule mod_headers.c>
Header set Strict-Transport-Security “max-age=31536000;includeSubDomains;preload” env=HTTPS
</IfModule>
فعال کردن HSTS در سرور nginx
اگر از وب سرور انجین ایکس استفاده کنید، مطمئنا مراحل بالا برای نصب HSTS مناسب نخواهد بود. البته کمتر کسی در ایران از این سرور استفاده میکند، اما در هر صورت این آموزش میتواند در این شرایط به شما کمک کند. برای این کار باید مراحل زیر را پیدا کنید:
وارد وب سرور خود شوید و فایلی را با نام conf پیدا کنید.
کد زیر را در بخشی که با نام Virtual Server مشخص شده اضافه کنید:
add_header Strict-Transport-Security
“max-age=63072000;”;
وب سرور خود را Restart کنید.
اکنون HSTS روی سایت شما نصب شده است.
یک نکته مهم در مورد HSTS
نکته مهمی که در این شرایط وجود دارد، استفاده درست از هدر STS است. این هدر مخصوص دامنههای خاصی است. اگر شما آن را برای دامنه خود با شروع www دریافت کنید، تنها این گزینه را در برمیگیرد. پیشنهاد اکثر سئوکاران استفاده از آن برای دامنههایی است که بدون www هستند. به عنوان مثال برای دامنه poorfeyz.com یه جای www.poorfeyz.com …
فعال بودن hsts را بررسی کنید…
اکنون وقت آن رسیده که از فعال بودن HSTS روی سایت خود مطمئن شوید. این کار تنها از یک روش امکانپذیر است و آن هم ورود به سایت https://gf.dev/hsts-test است. سپس باید از طریق همین صفحه، آدرس سایتتان را وارد کنید و در نهایت نیز روی گزینهای با نام تست کلیک کنید. سایتی که وارد آن شدهاید، یک وضعیت کامل از HSTS روی سایت شما در اختیارتان قرار خواهد داد. همچنین اعلام میکند که این گزینه در سایت شما فعال است یا خیر…
سخن پایانی
این مطلب یک راهنمای کامل در مورد HSTS بوده و دلایل وجود آن در یک سایت را نشان داده است. همان طور که دیدید، نصب آن روی سرورهای مختلف بسیار آسان است. در دنیایی که هکرها با سو استفاده از فضای آنلاین، به دنبال کسب اطلاعات برای اخاذی یا سوءاستفاده هستند، وجود موارد امنیتی درون یک سایت بسیار مهم و ضروری است. البته گزینه بهتر، سپردن سایتتان به دست سئوکاران با تجربه و حرفهای است که در نهایت با ترفندهای مختلف بتوانند از اطلاعات شما و کاربرانتان محافظت کنند.
از دیگر فرایندهایی که باعث افزایش ایمنی سایت میشود، میتوانیم به افزونههایی اشاره کنیم که عموما در سایتهای وردپرسی قابل دانلود و نصب شدن است. به نظر شما چه روشهای دیگری برای افزایش ایمنی سایتهای مختلف وجود دارد؟ آیا میتوان تنها با استفاده از HSTS، این ایمنی را افزایش داد؟
سوالات متداول در مورد HSTS
HSTS چیست؟
در واقع HSTS مخفف عبارت HTTP Strict Transport Security است که یک قانون برای سرورها تعیین میکند و بر اساس آنها تنها کاربران مجبور به استفاده از https خواهند بود. با این فرایند هر سایت http حتی اگر ریدایرکت شده باشد، در دسترس کاربران نخواهد بود. بنابراین آن را میتوانیم یکی از موارد امنیتی برای کاربرانی بدانیم که در فضای آنلاین فعالند.
آیا HSTS باعث افزایش سرعت سایت می شود؟
بله، میتوانیم اثرات دیگری مانند افزایش سرعت سایت و بهبود سئو را نیز پس از استفاده از آن در نظر بگیریم. افزایش سرعت سایت میتواند منجر به رضایت کاربران شما شود. بنابراین مخاطب زمان بیشتری را در سایت شما باقی خواهد ماند تا آنچه را که میخواهد به دست آورد.