نحوه پیاده سازی SSL و رمزنگاری در دروپال

پیاده سازی SSL و رمزنگاری در دروپال شامل نصب گواهی SSL بر روی سرور، پیکربندی فایل های تنظیمات دروپال و استفاده از ماژول های امنیتی برای اجبار HTTPS و رمزنگاری داده ها است. این فرآیند امنیت وب سایت شما را به طور چشمگیری افزایش داده، اعتماد کاربران را جلب کرده و رتبه سئو را بهبود می بخشد.

امنیت وب سایت ها، به ویژه برای سیستم های مدیریت محتوای قدرتمندی نظیر دروپال که میزبان بخش قابل توجهی از وب سایت های سازمانی، دولتی و تجاری هستند، از اهمیت حیاتی برخوردار است. با گسترش تهدیدات سایبری و الزامات قانونی مربوط به حفاظت از حریم خصوصی کاربران، تأمین ارتباطات امن و رمزنگاری داده ها دیگر یک مزیت محسوب نمی شود، بلکه به یک ضرورت غیرقابل انکار بدل گشته است. پیاده سازی پروتکل SSL/TLS و به کارگیری مکانیزم های رمزنگاری داده ها، دو رکن اساسی در ساختار دفاعی هر وب سایت دروپالی محسوب می شوند که نه تنها اطلاعات حساس کاربران و تعاملات آن ها را از دسترس مهاجمین دور نگه می دارند، بلکه به بهبود جایگاه سایت در موتورهای جستجو و افزایش اعتماد بازدیدکنندگان نیز کمک شایانی می کنند.

این راهنمای جامع با هدف ارائه یک مسیر فنی و کاربردی برای مدیران وب سایت ها و توسعه دهندگان دروپال تدوین شده است. در ادامه، به بررسی عمیق مفاهیم پروتکل های امنیتی، انواع گواهی های SSL، مراحل گام به گام نصب و پیکربندی آن ها بر روی سرور و دروپال، راه کارهای مؤثر برای اجبار استفاده از HTTPS و رفع مشکلات رایج، و در نهایت، به تشریح اهمیت و نحوه پیاده سازی رمزنگاری داده ها در سطوح مختلف دروپال خواهیم پرداخت. امید است این محتوا، ابزار لازم برای ارتقای امنیت وب سایت های دروپالی را در اختیار متخصصان و علاقه مندان قرار دهد.

درک مبانی SSL/TLS و اهمیت آن در دروپال

پروتکل های امنیتی لایه انتقال (TLS) که اغلب با نام قدیمی تر خود، یعنی Secure Sockets Layer یا SSL، شناخته می شوند، سنگ بنای ارتباطات امن در بستر اینترنت هستند. وظیفه اصلی این پروتکل ها، رمزنگاری داده هایی است که بین مرورگر کاربر و سرور وب سایت مبادله می شوند. این رمزنگاری از استراق سمع، دستکاری، و جعل هویت اطلاعات در حین انتقال جلوگیری می کند، که به ویژه برای وب س ایت هایی با محتوای حساس یا تراکنش های مالی، حیاتی است.

SSL/TLS چیست؟

SSL/TLS یک پروتکل رمزنگاری است که یک کانال ارتباطی امن بین دو نقطه (معمولاً مرورگر و سرور) ایجاد می کند. این پروتکل با استفاده از ترکیبی از رمزنگاری نامتقارن (برای تبادل کلیدها) و رمزنگاری متقارن (برای تبادل داده ها)، به سه هدف اصلی دست می یابد:

• رمزنگاری: تضمین می کند که داده های مبادله شده تنها توسط فرستنده و گیرنده قابل خواندن باشند.
• یکپارچگی داده: اطمینان می دهد که داده ها در طول انتقال دستکاری نشده اند.
• احراز هویت: هویت سرور (و در برخی موارد کاربر) را تأیید می کند تا از اتصال به سرویس دهنده های جعلی جلوگیری شود.

فرایند برقراری این ارتباط امن، موسوم به Handshake، شامل تبادل کلیدهای رمزنگاری و تأیید گواهی دیجیتال سرور توسط مرورگر است. اگر گواهی معتبر باشد و زنجیره اعتماد آن (Chain of Trust) تا یک مرجع گواهی (CA) قابل اعتماد ادامه یابد، ارتباط HTTPS برقرار می شود.

تفاوت SSL و TLS

با وجود اینکه اصطلاح SSL هنوز به طور گسترده استفاده می شود، در واقعیت، تقریباً تمام ارتباطات امن امروزی از پروتکل TLS (Transport Layer Security) بهره می برند. TLS نسخه بهبود یافته و امن تر SSL است که مشکلات امنیتی نسخه های قدیمی تر SSL را برطرف کرده است. بنابراین، هر زمان که از SSL صحبت می شود، منظور معمولاً TLS در نسخه های جاری آن (مانند TLS 1.2 یا TLS 1.3) است.

چرا SSL برای سایت دروپالی شما حیاتی است؟

پیاده سازی SSL/TLS برای وب سایت دروپالی شما مزایای متعددی فراتر از صرفاً رمزنگاری داده ها دارد:

• افزایش اعتماد کاربران: نمایش نماد قفل سبز رنگ و آدرس با پیشوند HTTPS در نوار آدرس مرورگر، به کاربران اطمینان می دهد که اطلاعات آن ها در امان است. این اعتماد، به ویژه برای سایت های تجارت الکترونیک یا سایت هایی که اطلاعات شخصی جمع آوری می کنند، بسیار مهم است.
• بهبود سئو (SEO): گوگل از سال 2014 رسماً اعلام کرده است که HTTPS یک فاکتور رتبه بندی است. سایت های دارای SSL در نتایج جستجو نسبت به رقبای فاقد آن، از اولویت بالاتری برخوردارند. بنابراین، فعال سازی HTTPS در دروپال به بهبود سئو و دیده شدن سایت شما کمک می کند.
• حفاظت از داده ها: اطلاعات حساسی مانند نام کاربری، رمز عبور، جزئیات کارت بانکی و سایر اطلاعات شخصی که از طریق فرم ها یا سیستم های ورود به سایت ارسال می شوند، در طول مسیر رمزنگاری شده و از دسترسی غیرمجاز محافظت می شوند.
• پیشگیری از حملات: SSL/TLS مانع از حملات رایج مانند Man-in-the-Middle (MiTM) می شود که در آن مهاجم تلاش می کند بین کاربر و سرور قرار گرفته و اطلاعات را استراق سمع یا دستکاری کند.
• انطباق با استانداردها: بسیاری از قوانین و مقررات حفظ حریم خصوصی داده ها، مانند GDPR (مقررات عمومی حفاظت از داده ها) در اروپا و HIPAA در ایالات متحده، سازمان ها را ملزم به رمزنگاری اطلاعات حساس می کنند. پیاده سازی SSL/TLS گامی مهم در جهت انطباق با این استانداردهاست.

انواع گواهی های SSL و انتخاب مناسب برای دروپال

گواهی های SSL در انواع مختلفی عرضه می شوند که هر کدام سطح اعتبار و کاربرد متفاوتی دارند. انتخاب گواهی مناسب بستگی به نیازهای امنیتی، نوع وب سایت و بودجه شما دارد:

1. Domain Validation (DV): این ساده ترین و ارزان ترین نوع گواهی است که تنها مالکیت دامنه را تأیید می کند. فرایند صدور آن بسیار سریع است و معمولاً تنها از طریق ایمیل یا رکوردهای DNS انجام می شود. برای وبلاگ ها و سایت های شخصی مناسب است.
2. Organization Validation (OV): این گواهی علاوه بر تأیید مالکیت دامنه، هویت سازمان درخواست کننده را نیز تأیید می کند. فرایند صدور آن کمی طولانی تر است و نیاز به بررسی مدارک شرکت دارد. برای کسب وکارهای کوچک و متوسط توصیه می شود.
3. Extended Validation (EV): بالاترین سطح اعتبار را فراهم می کند. فرایند تأیید هویت در این گواهی بسیار دقیق و زمان بر است. در گذشته، نوار آدرس سبز رنگ (Green Address Bar) را در مرورگرها نمایش می داد که نشان دهنده بالاترین سطح اعتماد بود. برای بانک ها، سایت های مالی و شرکت های بزرگ مناسب است.

علاوه بر سطوح اعتبار، گواهی ها از نظر پوشش دامنه نیز متفاوت هستند:

• گواهی تک دامنه (Single-Domain): فقط یک دامنه (مثلاً yourdomain.com) را پوشش می دهد.
• گواهی Wildcard: یک دامنه اصلی و تمام زیردامنه های آن (مثلاً *.yourdomain.com) را پوشش می دهد. این گواهی برای سایت های دروپالی که از زیردامنه های زیادی استفاده می کنند (مانند Multisite Drupal) بسیار کاربردی است.
• گواهی Multi-Domain (SAN/UCC): چندین دامنه کاملاً متفاوت (مثلاً domain1.com, domain2.net, sub.domain3.org) را با یک گواهی واحد پوشش می دهد.

گواهی های SSL رایگان دروپال: Let’s Encrypt

Let’s Encrypt یک مرجع گواهی رایگان، خودکار و متن باز است که گواهی های DV SSL را ارائه می دهد. این گواهی ها به دلیل رایگان بودن و فرایند نصب خودکار از طریق پروتکل ACME (Automated Certificate Management Environment)، به سرعت در میان مدیران وب سایت ها محبوب شده اند.

مزایا:

• کاملاً رایگان و بدون هزینه.
• فرایند صدور و تمدید خودکار.
• پشتیبانی گسترده توسط اکثر هاستینگ ها و کنترل پنل ها.

محدودیت ها:

• تنها گواهی Domain Validation (DV) ارائه می دهد و سطح اعتبار سازمانی (OV/EV) را پوشش نمی دهد.
• مدت اعتبار کوتاه مدت (90 روز) که البته به دلیل تمدید خودکار، معمولاً مشکلی ایجاد نمی کند.

برای بسیاری از وب سایت های دروپالی، به ویژه سایت های کوچک و متوسط، نصب SSL رایگان برای دروپال از طریق Let’s Encrypt گزینه ای عالی و کاملاً کافی است.

پیاده سازی و نصب گواهی SSL بر روی سرور هاستینگ (پیش از پیکربندی دروپال)

پیش از هرگونه پیکربندی در دروپال، گواهی SSL باید ابتدا بر روی وب سرور شما (مانند Apache یا Nginx) نصب و فعال شود. این مرحله، تضمین می کند که سرور قادر به برقراری ارتباطات رمزنگاری شده است.

پیش نیازهای سرور

• دسترسی به کنترل پنل هاست: (cPanel، DirectAdmin، Plesk) برای کاربران هاست اشتراکی یا مدیریت سرور.
• دسترسی SSH: برای کاربران سرور مجازی (VPS) یا سرور اختصاصی که نیاز به نصب و پیکربندی دستی دارند.
• آماده سازی دامنه: دامنه شما باید به درستی به سرور اشاره کند و رکوردهای DNS آن به روز باشند.

مراحل کلی نصب گواهی SSL

فرایند نصب SSL معمولاً شامل سه مرحله اصلی است:

1. تولید CSR (Certificate Signing Request): CSR یک فایل متنی شامل اطلاعاتی درباره وب سایت و کلید عمومی شما است. این فایل به مرجع صدور گواهی (CA) ارسال می شود تا گواهی SSL شما را صادر کند.
2. خرید یا دریافت گواهی: پس از ارسال CSR، مرجع صدور گواهی، فایل گواهی (CRT) و گاهی اوقات فایل زنجیره گواهی (CA Bundle) را برای شما ارسال می کند. در مورد Let’s Encrypt، این فرایند می تواند کاملاً خودکار باشد.
3. نصب گواهی بر روی سرور: فایل های دریافتی (CRT و CA Bundle) باید روی سرور شما نصب شوند.

تولید CSR (Certificate Signing Request)

تولید CSR معمولاً از طریق کنترل پنل هاستینگ شما (مانند DirectAdmin) یا به صورت دستی از طریق SSH انجام می شود. در ادامه، نحوه تولید CSR در DirectAdmin را با جزئیات بیشتر بررسی می کنیم:

برای DirectAdmin:

1. وارد کنترل پنل DirectAdmin خود شوید.
2. در بخش Advanced Features یا SSL Certificates، روی گزینه SSL Certificates کلیک کنید.
3. در صفحه جدید، گزینه Create a Certificate Request را انتخاب کنید.
4. فرم مربوطه را با دقت پر کنید. اطلاعاتی نظیر:
   • Common Name: نام دامنه اصلی شما (مثلاً yourdomain.com). برای گواهی Wildcard از *.yourdomain.com استفاده کنید.
   • Country: کد دو حرفی کشور (مثلاً IR برای ایران).
   • State/Province: نام استان.
   • City: نام شهر.
   • Company: نام سازمان یا شرکت شما.
   • Company Division (اختیاری): بخش مربوطه در شرکت.
   • E-mail: آدرس ایمیل معتبر.
   • Key Size (bits): معمولاً 2048 بیت (پیشنهاد می شود).
5. پس از تکمیل، روی دکمه Save یا Create کلیک کنید.
6. CSR تولید شده در یک کادر متنی نمایش داده می شود. این کد را کپی کرده و برای مرجع صدور گواهی ارسال کنید.

نصب گواهی (CRT و CA Bundle) بر روی سرور

پس از دریافت فایل های گواهی (معمولاً با پسوند .crt) و CA Bundle (معمولاً با پسوند .ca-bundle یا .pem)، باید آن ها را روی سرور خود نصب کنید.

برای cPanel:

1. وارد cPanel خود شوید.
2. در بخش Security، روی گزینه SSL/TLS کلیک کنید.
3. در بخش Install and Manage SSL for your site (HTTPS), روی Manage SSL Sites کلیک کنید.
4. در صفحه نصب SSL، دامنه مورد نظر را انتخاب کنید.
5. فایل .crt گواهی خود را در بخش Certificate (CRT) و محتوای فایل CA Bundle را در بخش Certificate Authority Bundle (CABUNDLE) (یا CA Root Certificate) جایگذاری کنید.
6. سیستم به طور خودکار Private Key شما را شناسایی می کند.
7. روی دکمه Install Certificate کلیک کنید.

برای DirectAdmin:

1. وارد کنترل پنل DirectAdmin خود شوید.
2. در بخش Advanced Features یا SSL Certificates، روی گزینه SSL Certificates کلیک کنید.
3. گزینه Paste a pre-generated certificate and key را انتخاب کنید.
4. در کادر متنی بزرگ، محتوای فایل .crt گواهی خود را جایگذاری کنید. Private Key شما باید به طور خودکار پر شود (اگر از DirectAdmin برای تولید CSR استفاده کرده اید).
5. سپس، گزینه Click Here to paste a CA Root Certificate را پیدا کرده و محتوای فایل CA Bundle را در کادر مربوطه جایگذاری کنید.
6. اطمینان حاصل کنید که تیک گزینه Use a CA Cert فعال است.
7. روی دکمه Save کلیک کنید.

نصب دستی بر روی وب سرورهای Apache و Nginx (برای کاربران VPS/Dedicated Server):

برای Apache:

1. فایل های گواهی (your_domain.crt) و CA Bundle (your_domain.ca-bundle) و Private Key (your_domain.key) را در مسیر امنی در سرور خود قرار دهید (مثلاً /etc/ssl/).
2. فایل پیکربندی SSL را در Apache ویرایش کنید. این فایل معمولاً ssl.conf یا در فایل VirtualHost دامنه شما قرار دارد (مثلاً /etc/httpd/conf.d/ssl.conf یا /etc/apache2/sites-available/your_domain.conf).
3. اطمینان حاصل کنید که ماژول mod_ssl فعال است.
4. خطوط زیر را در بلوک اضافه یا ویرایش کنید:

   
   <VirtualHost *:443>
       ServerName yourdomain.com
       DocumentRoot /var/www/html/your_drupal_site
   
       SSLEngine on
       SSLCertificateFile /etc/ssl/certs/your_domain.crt
       SSLCertificateKeyFile /etc/ssl/private/your_domain.key
       SSLCertificateChainFile /etc/ssl/certs/your_domain.ca-bundle
   </VirtualHost>
       

5. تغییرات را ذخیره کرده و سرویس Apache را ریستارت کنید: sudo systemctl restart apache2 (برای اوبونتو/دبیان) یا sudo systemctl restart httpd (برای CentOS/RHEL).

برای Nginx:

1. فایل های گواهی (your_domain.crt)، Private Key (your_domain.key) و CA Bundle (your_domain.ca-bundle) را در مسیر امنی در سرور خود قرار دهید. برای Nginx، بهتر است فایل .crt و .ca-bundle را با هم ادغام کنید تا یک فایل کامل گواهی داشته باشید:

   
   cat your_domain.crt your_domain.ca-bundle > your_domain_chained.crt
       

2. فایل پیکربندی Nginx برای دامنه خود را ویرایش کنید (معمولاً در /etc/nginx/sites-available/your_domain.conf).
3. بلوک server مربوط به پورت 443 (HTTPS) را اضافه یا ویرایش کنید:

   
   server {
       listen 443 ssl;
       server_name yourdomain.com;
       root /var/www/html/your_drupal_site;
   
       ssl_certificate /etc/nginx/ssl/your_domain_chained.crt;
       ssl_certificate_key /etc/nginx/ssl/your_domain.key;
   
       # سایر تنظیمات Nginx شما
   }
       

4. تغییرات را ذخیره کرده و پیکربندی Nginx را تست کنید: sudo nginx -t.
5. در صورت موفقیت آمیز بودن تست، سرویس Nginx را ریستارت کنید: sudo systemctl restart nginx.

اجبار (ریدایرکت) HTTP به HTTPS در سطح سرور

پس از نصب SSL، بسیار مهم است که تمام ترافیک HTTP را به HTTPS ریدایرکت کنید تا اطمینان حاصل شود که کاربران همیشه از اتصال امن استفاده می کنند و مشکلات محتوای ترکیبی (Mixed Content) به حداقل برسد.

چرا این ریدایرکت مهم است؟

این ریدایرکت (معمولاً از نوع 301) به موتورهای جستجو اعلام می کند که نسخه HTTPS سایت، نسخه اصلی است و از جریمه شدن به دلیل محتوای تکراری جلوگیری می کند. همچنین، تجربه کاربری را بهبود بخشیده و از نمایش هشدارهای امنیتی در مرورگرها جلوگیری می کند.

برای Apache: استفاده از فایل .htaccess

در فایل .htaccess که در ریشه اصلی وب سایت دروپالی شما قرار دارد، کد زیر را اضافه کنید. این کد تمام درخواست های HTTP را به HTTPS ریدایرکت می کند:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

برای Nginx: تنظیمات در فایل nginx.conf

در فایل پیکربندی Nginx برای دامنه خود، یک بلوک server جدید برای پورت 80 (HTTP) ایجاد کنید تا تمام ترافیک را به HTTPS ریدایرکت کند:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;
    # ... سایر تنظیمات SSL و سایت دروپال ...
}

پس از اعمال تغییرات، حتماً Nginx را تست و ریستارت کنید.

پیکربندی دروپال برای استفاده کامل از HTTPS

پس از فعال سازی SSL در سطح سرور، گام بعدی پیکربندی دروپال است تا از این اتصال امن به نحو احسن استفاده کند. این پیکربندی شامل تغییرات در فایل های اصلی و استفاده از ماژول های کمکی دروپال است.

تنظیمات پایه دروپال: ویرایش فایل settings.php

فایل settings.php در مسیر sites/default/settings.php قلب تنظیمات دروپال است. برخی از تنظیمات کلیدی در این فایل برای اطمینان از عملکرد صحیح HTTPS ضروری هستند:

• $settings['trusted_host_patterns']: این تنظیم برای جلوگیری از حملات Host Header Injection حیاتی است. مطمئن شوید که دامنه شما (با یا بدون www) و حتی آی پی سرور در این لیست قرار دارد.

  
  $settings['trusted_host_patterns'] = [
    '^yourdomain.com$',
    '^www.yourdomain.com$',
  ];
      

• $settings['reverse_proxy']: اگر وب سایت شما پشت یک Reverse Proxy، Load Balancer یا CDN (مانند Cloudflare) قرار دارد، باید این تنظیم را فعال کنید تا دروپال آدرس IP واقعی کاربر را دریافت کند.

  
  $settings['reverse_proxy'] = TRUE;
  $settings['reverse_proxy_addresses'] = ['آدرس_آی_پی_فایروال_یا_CDN_شما'];
      

• $settings['https'] = TRUE;: در برخی موارد و برای اجبار HTTPS از طریق کد، می توانید این تنظیم را فعال کنید. هرچند، ریدایرکت در سطح سرور (Apache/Nginx) روش بهینه تری است.

  
  $settings['https'] = TRUE;
      

ماژول های دروپال برای اجبار و مدیریت HTTPS

در حالی که ریدایرکت سرور برای اجبار HTTPS توصیه می شود، ماژول های دروپالی نیز می توانند لایه های امنیتی بیشتری را اضافه کنند یا مدیریت HTTPS را در سطح اپلیکیشن تسهیل نمایند.

ماژول Force HTTPS

ماژول Force HTTPS (برای Drupal 7 و 8/9/10) به شما امکان می دهد تا تمام یا بخش های خاصی از وب سایت خود را به HTTPS اجبار کنید. این ماژول می تواند یک لایه اطمینان اضافی فراهم کند، به ویژه اگر کنترل کاملی بر تنظیمات وب سرور خود ندارید.

نحوه نصب و پیکربندی گام به گام:

1. نصب:

   
   composer require drupal/force_https
   drush en force_https
       

   (یا از طریق رابط کاربری دروپال، ماژول را دانلود و نصب کنید.)

2. پیکربندی:
   • پس از فعال سازی، به مسیر Configuration > System > Force HTTPS بروید.
   • می توانید گزینه های مختلفی را برای اجبار HTTPS انتخاب کنید:
     • Force HTTPS for all pages: تمام صفحات را به HTTPS ریدایرکت می کند (پیشنهاد می شود).
     • Force HTTPS for specific paths: فقط مسیرهای مشخصی را (مثلاً user/* برای صفحات ورود) به HTTPS اجبار می کند.
     • Force HTTPS for administration pages: فقط صفحات مدیریتی را به HTTPS منتقل می کند.
   • تغییرات را ذخیره کنید.

ماژول Secure Login

این ماژول، امنیت صفحات ورود و ثبت نام را با اطمینان از اینکه این صفحات همیشه از HTTPS استفاده می کنند، افزایش می دهد، حتی اگر کل سایت به HTTPS ریدایرکت نشده باشد. این امر به جلوگیری از افشای اطلاعات ورود کاربران در شبکه های ناامن کمک می کند.

پیاده سازی HSTS (HTTP Strict Transport Security) در دروپال

HSTS یک مکانیزم امنیتی است که به مرورگرها دستور می دهد برای مدت زمان مشخصی، همیشه از HTTPS برای اتصال به یک دامنه استفاده کنند، حتی اگر کاربر به صورت دستی HTTP را وارد کند. این امر حملات MiTM را دشوارتر کرده و امنیت را به شدت افزایش می دهد.

HSTS چیست و چرا باید استفاده کرد؟

HSTS با افزودن یک هدر HTTP خاص (Strict-Transport-Security) به پاسخ های سرور، به مرورگر می گوید که این دامنه فقط از طریق HTTPS قابل دسترسی است. برای مثال، اگر کاربر یک بار از طریق HTTPS به سایت شما متصل شود و شما هدر HSTS را تنظیم کرده باشید، حتی اگر دفعه بعد به صورت تصادفی http://yourdomain.com را تایپ کند، مرورگر به طور خودکار آن را به https://yourdomain.com تغییر می دهد.

این پروتکل در برابر حملاتی که تلاش می کنند کاربران را مجبور به استفاده از نسخه ناامن HTTP کنند (مانند SSL Stripping)، بسیار مؤثر است.

روش های فعال سازی HSTS:

HSTS معمولاً در سطح وب سرور فعال می شود، اما ماژول های دروپالی نیز می توانند در این زمینه کمک کننده باشند.

• تنظیمات مستقیم وب سرور:

  برای Apache: در فایل پیکربندی ssl.conf یا VirtualHost HTTPS خود، هدر زیر را اضافه کنید:

  
  Header always set Strict-Transport-Security max-age=31536000; includeSubDomains; preload
      

  پس از افزودن، ماژول mod_headers باید فعال باشد و Apache را ریستارت کنید.

  برای Nginx: در بلوک server مربوط به پورت 443 (HTTPS) خود، خط زیر را اضافه کنید:

  
  add_header Strict-Transport-Security max-age=31536000; includeSubDomains; preload;
      

  پس از افزودن، Nginx را تست و ریستارت کنید.

• از طریق ماژول Drupal HSTS (اگر وجود دارد و پایدار است): برخی ماژول ها مانند HSTS (یا Security Kit که شامل HSTS نیز می شود) می توانند این هدر را از طریق دروپال مدیریت کنند.

  
  composer require drupal/hsts
  drush en hsts
      

  پس از فعال سازی، به مسیر Configuration > System > HSTS رفته و تنظیمات را اعمال کنید.

رفع مشکلات Mixed Content (محتوای ترکیبی)

Mixed Content زمانی رخ می دهد که یک صفحه HTTPS، منابعی (مانند تصاویر، فایل های CSS، فایل های جاوا اسکریپت) را از طریق HTTP بارگذاری کند. این مشکل باعث نمایش هشدارهای امنیتی در مرورگر شده و می تواند تجربه کاربری را مختل کند.

علت بروز Mixed Content:

این خطا معمولاً به دلایل زیر رخ می دهد:

• آدرس دهی مطلق (Absolute URLs) برای منابع (مثلاً http://yourdomain.com/image.jpg به جای /image.jpg یا //yourdomain.com/image.jpg).
• وجود URL های هاردکد شده در دیتابیس یا فایل های قالب و ماژول ها.
• استفاده از CDN یا سرویس های خارجی که هنوز HTTPS را به درستی پیاده سازی نکرده اند.

روش های عیب یابی و رفع:

1. بررسی سورس کد و Developer Tools مرورگر:

   با فشردن کلید F12 در مرورگر (Developer Tools)، به تب Console یا Security بروید. مرورگر خطاهای Mixed Content را در آنجا نمایش می دهد و منبع مشکل ساز را مشخص می کند.

2. بروزرسانی مسیرهای مطلق به نسبی یا پروتکل-نسبی:
   • به جای http://yourdomain.com/path/to/resource.jpg از /path/to/resource.jpg (مسیر نسبی) استفاده کنید.
   • یا از //yourdomain.com/path/to/resource.jpg (پروتکل-نسبی) استفاده کنید که مرورگر را وادار می کند از همان پروتکلی که صفحه اصلی بارگذاری شده است (HTTP یا HTTPS) استفاده کند.
3. استفاده از ماژول هایی مانند Asset URL Rewriter یا CDN module:
   • برخی ماژول ها به طور خودکار URL های منابع را بازنویسی می کنند تا از HTTPS استفاده کنند.
   • اگر از CDN استفاده می کنید، مطمئن شوید که CDN شما نیز HTTPS را پشتیبانی می کند و تنظیمات آن برای بازنویسی URL ها صحیح است.
4. بررسی و تصحیح URL های هاردکد شده در دیتابیس:

   اگر محتوای شما شامل لینک ها یا تصاویر هاردکد شده با HTTP در دیتابیس است، باید آن ها را اصلاح کنید. این کار را می توان با اجرای کوئری های SQL (با احتیاط فراوان و پس از پشتیبان گیری) انجام داد. مثلاً:

   
   UPDATE `drupal_table` SET `field_name` = REPLACE(`field_name`, 'http://yourdomain.com', 'https://yourdomain.com');
       

   قبل از اجرای این کوئری ها، حتماً از دیتابیس خود پشتیبان گیری کامل تهیه کنید.

رمزنگاری داده ها در دروپال

در حالی که SSL/TLS امنیت داده ها را در حین انتقال تضمین می کند، رمزنگاری دروپال فراتر از آن رفته و از داده های شما در حالت در استراحت (Data at Rest) محافظت می کند؛ یعنی اطلاعاتی که در پایگاه داده یا سیستم فایل سرور ذخیره شده اند. این لایه امنیتی اضافی، به ویژه برای اطلاعات بسیار حساس، حیاتی است.

چرا رمزنگاری داده ها در دروپال فراتر از SSL مهم است؟

با وجود SSL، اگر پایگاه داده یا فایل های سرور شما به خطر بیفتند، اطلاعات موجود در آن ها همچنان می توانند به صورت متن ساده (Plaintext) در دسترس مهاجم قرار گیرند. رمزنگاری داده ها در دروپال تضمین می کند که حتی در صورت دسترسی غیرمجاز به پایگاه داده، اطلاعات حساس غیرقابل خواندن باقی بمانند.

ملاحظات حریم خصوصی و قوانین: بسیاری از قوانین حفظ حریم خصوصی (مانند GDPR) علاوه بر رمزنگاری داده ها در حال انتقال، بر لزوم رمزنگاری داده ها در حال استراحت نیز تأکید دارند. این امر برای حفاظت از داده ها در دروپال و جلوگیری از جریمه های سنگین نقض داده ها، ضروری است.

مفاهیم پایه رمزنگاری

درک دو نوع اصلی رمزنگاری برای پیاده سازی صحیح آن در دروپال مهم است:

• رمزنگاری متقارن (Symmetric Encryption): در این روش، از یک کلید واحد برای رمزنگاری و رمزگشایی داده ها استفاده می شود. سرعت آن بالاست و برای رمزنگاری حجم زیادی از داده ها مناسب است. مثال: AES.
• رمزنگاری نامتقارن (Asymmetric Encryption): از یک جفت کلید عمومی (Public Key) و خصوصی (Private Key) استفاده می شود. داده ها با کلید عمومی رمزنگاری و تنها با کلید خصوصی متناظر با آن قابل رمزگشایی هستند. این روش برای تبادل کلیدها و احراز هویت استفاده می شود و کندتر از رمزنگاری متقارن است. مثال: RSA.

ماژول های کلیدی دروپال برای رمزنگاری

دروپال مجموعه ای از ماژول ها را برای مدیریت و پیاده سازی رمزنگاری پایگاه داده در دروپال و داده های دیگر ارائه می دهد:

ماژول Encrypt

ماژول Encrypt یکی از مهمترین ماژول ها برای رمزنگاری داده ها در دروپال است. این ماژول امکان رمزنگاری فیلدهای خاصی از محتوا را فراهم می کند و به شما اجازه می دهد از الگوریتم ها و روش های مختلف رمزنگاری استفاده کنید.

نحوه نصب و پیکربندی:

1. نصب:

   
   composer require drupal/encrypt
   drush en encrypt
       

   (یا از طریق رابط کاربری دروپال، ماژول را دانلود و نصب کنید.)

2. پیکربندی:
   • پس از فعال سازی، به مسیر Configuration > System > Encrypt بروید.
   • ابتدا باید یک «رمزگشا» (Encrypter) اضافه کنید. این می تواند یک الگوریتم رمزنگاری (مانند AES) و یک حالت عملیاتی باشد.
   • سپس، یک «Profile» یا «پروفایل» رمزنگاری ایجاد کنید که از رمزگشا و تنظیمات مربوط به آن استفاده می کند.
   • برای رمزنگاری فیلدهای خاص: به تنظیمات Content Type خود بروید (مثلاً Structure > Content types > Your Content Type > Manage fields). برای فیلدی که می خواهید رمزنگاری کنید، نوع نمایش (widget) آن را به Encrypted تغییر دهید و پروفایل رمزنگاری ایجاد شده را انتخاب کنید.

ماژول Key

ماژول Key برای مدیریت کلیدهای رمزنگاری در دروپال به صورت ایمن طراحی شده است. این ماژول به شما امکان می دهد کلیدهای رمزنگاری را در مکان های مختلف (مانند فایل های پیکربندی، دیتابیس یا سرویس های خارجی) ذخیره کنید و دسترسی به آن ها را مدیریت نمایید. این امر برای امنیت کلیدها حیاتی است، زیرا اگر کلید لو برود، اطلاعات رمزنگاری شده نیز در معرض خطر قرار می گیرند.

نحوه نصب و استفاده:

1. نصب:

   
   composer require drupal/key
   drush en key
       

2. پیکربندی:
   • به مسیر Configuration > System > Key بروید.
   • یک Key type (نوع کلید) جدید (مانند Encryption Key) و سپس یک Key provider (ارائه دهنده کلید) جدید (مانند File برای ذخیره سازی در یک فایل امن، یا Database برای ذخیره سازی رمزنگاری شده در دیتابیس) ایجاد کنید.
   • در نهایت، یک Key (کلید) جدید ایجاد کرده و مقادیر آن را وارد کنید. این کلید توسط ماژول Encrypt برای عملیات رمزنگاری استفاده خواهد شد.

ماژول Field Encrypt

ماژول Field Encrypt مکملی برای ماژول Encrypt است و به طور خاص برای رمزنگاری فیلدهای (CCK fields) دروپال طراحی شده است. این ماژول کار با فیلدهای رمزنگاری شده را آسان تر می کند.

توصیه های پیشرفته برای رمزنگاری

برای حداکثر امنیت و انطباق با استانداردهای بالا، توصیه های پیشرفته زیر را در نظر بگیرید:

• استفاده از سیستم های مدیریت کلید (KMS) خارجی: برای محیط های با امنیت بسیار بالا، ذخیره کلیدهای رمزنگاری در سرویس های مدیریت کلید خارجی (مانند AWS KMS، Azure Key Vault یا HashiCorp Vault) توصیه می شود. این سرویس ها امنیت و مدیریت چرخه عمر کلیدها را به صورت حرفه ای ارائه می دهند. ماژول های دروپالی برای اتصال به این KMSها وجود دارد.
• رمزنگاری دیتابیس در سطح سرور: برخی از سیستم های مدیریت پایگاه داده (مانند MySQL 8.0+) و سرویس های هاستینگ پیشرفته، قابلیت رمزنگاری دیتابیس در سطح فایل سیستم را ارائه می دهند (Transparent Data Encryption – TDE). اگر هاستینگ شما این قابلیت را پشتیبانی می کند، فعال سازی آن می تواند لایه امنیتی قوی تری برای کل پایگاه داده فراهم کند.

چک لیست امنیت جامع دروپال و نکات تکمیلی

تأمین امنیت دروپال یک فرایند مستمر است که نیازمند توجه به ابعاد مختلف می باشد. علاوه بر پیاده سازی SSL و رمزنگاری، رعایت یک چک لیست امنیتی جامع می تواند به محافظت از سایت شما در برابر تهدیدات کمک کند. در ادامه، یک چک لیست گسترش یافته از بهترین شیوه های امنیتی برای وب سایت های دروپالی ارائه شده است:

چک لیست امنیتی

1. فعال سازی و نگهداری SSL/TLS و HSTS:
   • اطمینان از نصب صحیح گواهی SSL و تمدید به موقع آن.
   • اجبار کامل ترافیک به HTTPS از طریق ریدایرکت سرور و پیکربندی دروپال.
   • پیاده سازی HSTS برای جلوگیری از حملات SSL Stripping.
2. بروزرسانی منظم:
   • هسته دروپال: همواره از آخرین نسخه پایدار دروپال استفاده کنید. بروزرسانی های امنیتی هسته حیاتی هستند.
   • ماژول ها و قالب ها: تمام ماژول ها و قالب های نصب شده را به طور منظم بروزرسانی کنید. اغلب آسیب پذیری ها در ماژول های شخص ثالث یافت می شوند.
   • سرور و نرم افزارهای پایه: سیستم عامل سرور (مانند لینوکس)، PHP، وب سرور (Apache/Nginx)، و پایگاه داده (MySQL/MariaDB) را همواره به روز نگه دارید.
3. استفاده از ماژول های امنیتی کلیدی:
   • Security Kit (SecKit): این ماژول مجموعه ای از ابزارهای امنیتی را ارائه می دهد، از جمله محافظت در برابر حملات XSS، CSRF، Clickjacking و اجبار HTTPS.
   • Paranoia: دسترسی به فایل های مهم مانند CHANGELOG.txt را محدود می کند و از افشای اطلاعات حساس جلوگیری می کند.
   • Password Policy: برای کاربران، سیاست های رمز عبور قوی (حداقل طول، ترکیب حروف و اعداد) را اجبار می کند.
4. پیاده سازی احراز هویت دو مرحله ای (Two-Factor Authentication – TFA):
   • برای تمام کاربران ادمین و نقش های حساس، TFA را فعال کنید. این کار حتی در صورت لو رفتن رمز عبور، از دسترسی غیرمجاز جلوگیری می کند.
   • ماژول هایی مانند Two-Factor Authentication یا Google Authenticator (برای دروپال) این قابلیت را فراهم می کنند.
5. تنظیم دسترسی های صحیح فایل ها و پوشه ها:
   • پوشه ها باید دارای دسترسی 755 (rwxr-xr-x) باشند: مالک می تواند بخواند، بنویسد و اجرا کند؛ گروه و دیگران فقط می توانند بخوانند و اجرا کنند.
   • فایل ها باید دارای دسترسی 644 (rw-r–r–) باشند: مالک می تواند بخواند و بنویسد؛ گروه و دیگران فقط می توانند بخوانند.
   • فایل settings.php باید دارای دسترسی 444 یا 400 باشد تا از خوانده شدن آن توسط دیگران جلوگیری شود.
6. غیرفعال کردن یا محدود کردن دسترسی به فایل های مهم:
   • فایل هایی مانند CHANGELOG.txt, INSTALL.txt, UPDATE.txt و README.txt اطلاعاتی درباره نسخه دروپال شما فراهم می کنند که می تواند توسط مهاجمین مورد سوءاستفاده قرار گیرد. این فایل ها را حذف کنید یا دسترسی به آن ها را از طریق وب سرور محدود کنید.
   • پوشه vendor در ریشه سایت نباید به صورت عمومی قابل دسترسی باشد.
7. استفاده از Web Application Firewall (WAF):

   سرویس هایی مانند Cloudflare یا Sucuri WAF می توانند به عنوان یک لایه دفاعی اضافی عمل کرده و درخواست های مخرب را قبل از رسیدن به سرور دروپال شما شناسایی و مسدود کنند.

8. پشتیبان گیری منظم و ایمن:

   به طور منظم از پایگاه داده و فایل های دروپال خود پشتیبان گیری کنید. این پشتیبان ها را در مکان های امن و جداگانه (خارج از سرور اصلی) ذخیره کنید تا در صورت بروز مشکل بتوانید سایت را بازیابی کنید.

9. محدود کردن لاگین ها و استفاده از کپچا:

   برای جلوگیری از حملات Brute-force، تلاش های ناموفق ورود را محدود کنید. از ماژول هایی مانند Captcha یا ReCAPTCHA برای فرم های ورود و ثبت نام استفاده کنید تا از ورود ربات ها جلوگیری شود.

10. تغییر مسیر پیش فرض ادمین دروپال:

    مسیر پیش فرض ورود به بخش مدیریت دروپال (/user/login یا /admin) را تغییر دهید. ماژول هایی مانند Rename Admin Paths می توانند در این زمینه کمک کنند تا نقطه ورود مهاجمین کمتر قابل حدس باشد.

امنیت یک فرایند مستمر است که نیازمند نظارت مداوم و بروزرسانی های منظم است. عدم توجه به یک جنبه امنیتی می تواند تمام تلاش های شما را بی اثر کند.

مانیتورینگ و بررسی های امنیتی

پس از پیاده سازی اقدامات امنیتی، مانیتورینگ منظم برای شناسایی زودهنگام تهدیدات و حملات بسیار مهم است:

• اهمیت لاگ ها و سیستم گزارش دهی دروپال:

  دروپال دارای سیستم لاگ برداری قوی است. لاگ های سیستم (در Reports > Recent log messages) را به طور منظم بررسی کنید تا فعالیت های مشکوک یا خطاهای امنیتی را شناسایی کنید. ماژول هایی مانند Syslog می توانند لاگ ها را به یک سرور لاگ متمرکز ارسال کنند.

• ابزارهای اسکن امنیتی و تست نفوذ:

  از ابزارهای اسکن امنیتی وب سایت (مانند OWASP ZAP، Acunetix یا Nessus) برای یافتن آسیب پذیری ها استفاده کنید. تست نفوذ دوره ای توسط متخصصان امنیت نیز می تواند نقاط ضعف پنهان را آشکار کند.

سوالات متداول

آیا پیاده سازی SSL بر سرعت سایت دروپالی من تاثیر منفی می گذارد؟

در گذشته، رمزنگاری و رمزگشایی SSL می توانست تأثیر جزئی بر سرعت سایت داشته باشد. اما با پیشرفت سخت افزار سرور، بهبود الگوریتم های رمزنگاری، و بهینه سازی مرورگرها (مانند استفاده از HTTP/2 که فقط با HTTPS کار می کند)، تأثیر SSL بر سرعت سایت دروپالی تقریباً ناچیز یا حتی مثبت است. فعال سازی HSTS و استفاده از CDN نیز می توانند سرعت را بهبود بخشند.

چگونه می توانم مطمئن شوم که SSL به درستی نصب شده است؟

ابتدا، بررسی کنید که آدرس سایت شما با https:// شروع می شود و نماد قفل در نوار آدرس مرورگر نمایش داده می شود. سپس می توانید از ابزارهای آنلاین مانند SSL Labs Server Test استفاده کنید تا نصب SSL، زنجیره گواهی، و پیکربندی های امنیتی سرور خود را به طور کامل بررسی کرده و از عدم وجود مشکلات اطمینان حاصل کنید.

آیا SSL رایگان (Let’s Encrypt) برای یک سایت تجاری دروپالی کافی است؟

برای بسیاری از سایت های تجاری دروپالی، از جمله فروشگاه های آنلاین کوچک و متوسط، گواهی Let’s Encrypt کاملاً کافی و امن است. این گواهی همان سطح رمزنگاری گواهی های پولی DV را ارائه می دهد. تنها در صورتی که نیاز به تأیید هویت سازمانی (مانند EV یا OV) یا ضمانت مالی بسیار بالا از سوی مرجع صدور گواهی دارید، ممکن است به گواهی های پولی نیاز پیدا کنید.

چه اطلاعاتی در دروپال باید حتماً رمزنگاری شوند؟

هر گونه اطلاعاتی که محرمانه، شخصی یا حساس محسوب می شود، باید رمزنگاری شود. این شامل: اطلاعات تماس (شماره تلفن، آدرس منزل)، شماره کارت اعتباری (البته معمولاً پرداخت ها به درگاه های بانکی منتقل می شوند)، اطلاعات سلامت، شماره ملی یا کد پستی، و هر داده ای که افشای آن می تواند به کاربر آسیب برساند، می شود. اطلاعات ورود به سایت (نام کاربری و رمز عبور) نیز باید هم در حین انتقال (با SSL) و هم در دیتابیس (با رمزنگاری) محافظت شوند.

خطای Your connection is not private در کروم بعد از نصب SSL به چه معناست و چگونه رفع می شود؟

این خطا نشان دهنده مشکلی در گواهی SSL یا پیکربندی آن است. دلایل رایج عبارتند از:

1. گواهی منقضی شده یا نامعتبر: تاریخ اعتبار گواهی را بررسی کنید.
2. عدم تطابق نام دامنه: گواهی برای دامنه اشتباهی صادر شده یا زیردامنه ها پوشش داده نشده اند.
3. زنجیره گواهی ناقص (Incomplete Chain): فایل CA Bundle به درستی نصب نشده است.
4. مشکل در Private Key: کلید خصوصی با گواهی مطابقت ندارد.

برای رفع، از ابزارهای بررسی SSL استفاده کنید تا مشکل دقیق را شناسایی و برطرف نمایید.

چگونه خطای Mixed Content را پس از فعال سازی SSL در دروپال برطرف کنم؟

برای رفع خطای Mixed Content، ابتدا با استفاده از Developer Tools مرورگر، منابعی که با HTTP بارگذاری می شوند را شناسایی کنید. سپس، تمام URL های مطلق http:// را به https:// یا // (پروتکل-نسبی) تغییر دهید. این تغییرات ممکن است در محتوای سایت، فایل های قالب، ماژول ها یا حتی در پایگاه داده نیاز باشد. استفاده از ماژول هایی مانند Asset URL Rewriter یا اجرای کوئری های جایگزینی در دیتابیس نیز می تواند کمک کننده باشد. اطمینان حاصل کنید که CDN و سرویس های خارجی نیز از HTTPS پشتیبانی می کنند.

نتیجه گیری

پیاده سازی SSL و رمزنگاری در دروپال نه تنها یک گام اساسی در جهت تأمین امنیت وب سایت شما محسوب می شود، بلکه یک سرمایه گذاری حیاتی برای جلب اعتماد کاربران و بهبود عملکرد در موتورهای جستجو است. در این راهنما، از درک مبانی پروتکل SSL/TLS و انواع گواهی ها گرفته تا مراحل فنی نصب بر روی سرور، پیکربندی دقیق دروپال، فعال سازی HSTS و رفع مشکلات محتوای ترکیبی، و در نهایت، اهمیت و روش های رمزنگاری داده ها در حال استراحت، به تفصیل مورد بررسی قرار گرفت. هر یک از این گام ها، لایه ای از حفاظت را به ساختار امنیتی سایت دروپالی شما اضافه می کنند.

به یاد داشته باشید که امنیت وب سایت یک فرایند مداوم است و نه یک اقدام یک باره. با بروزرسانی منظم دروپال، ماژول ها و قالب ها، اعمال بهترین شیوه های امنیتی، مانیتورینگ دقیق و استفاده از ابزارهای مناسب، می توانید از وب سایت خود در برابر تهدیدات سایبری محافظت کرده و تجربه ای امن و قابل اعتماد برای کاربران خود فراهم آورید. پیاده سازی صحیح نحوه پیاده سازی SSL و رمزنگاری در دروپال، پایه و اساس یک وب سایت دروپالی امن و موفق است.