امنیت وب‌سایت‌ها: از SSL تا محافظت در برابر حملات رایج

امنیت وب‌سایت این روزها مثل قفل در خونه‌ست؛ اگه نباشه، هر کسی می‌تونه بیاد داخل و هر کاری دلش خواست بکنه! حالا فکر کن این خونه، سایت توئه که ممکنه اطلاعات مشتری‌ها، داده‌های حساس یا حتی اعتبار برندت توش ذخیره شده باشه. یه لحظه غفلت می‌تونه به هک شدن، از دست رفتن اطلاعات یا حتی نابودی کسب‌وکارت منجر بشه. تو این مقاله قراره یه سفر کامل به دنیای امنیت وب‌سایت بریم. از مفاهیم پایه مثل SSL و HTTPS گرفته تا تکنیک‌های پیشرفته برای محافظت در برابر حملات سایبری و نکات تخصصی برای امنیت سایت‌های وردپرسی. هدفمون اینه که نه‌تنها یاد بگیری چطور سایتت رو مثل یه قلعه نفوذناپذیر کنی، بلکه با ابزارها و روش‌های تست امنیت، همیشه یه قدم از هکرها جلوتر باشی. 

امنیت سایت چیست؟

امنیت وب‌سایت به مجموعه اقدامات و فناوری‌هایی گفته می‌شه که از سایتت در برابر تهدیدات سایبری مثل هک، بدافزار، سرقت اطلاعات، یا حملات تخریبی محافظت می‌کنه. این تهدیدات می‌تونن از یه هکر آماتور که فقط دنبال سرگرمیه شروع بشن تا گروه‌های سازمان‌یافته‌ای که برای باج‌گیری، جاسوسی صنعتی، یا حتی ضربه زدن به رقبا، سایتت رو هدف قرار می‌دن.

برای اینکه سایتت امن بمونه، باید یه سیستم چندلایه درست کنی:

• زیرساخت سرور: سرور باید فایروال قوی، سیستم‌عامل به‌روز و تنظیمات امنیتی مناسب داشته باشه.
• کدهای سایت: کدهای تمیز و امن بنویس و از فریم‌ورک‌های معتبر استفاده کن.
• کاربران: آموزش بده که از رمزهای قوی استفاده کنن و روی لینک‌های مشکوک کلیک نکنن.
• نظارت مداوم: با ابزارهایی مثل VirusTotal یا Sucuri، سایتت رو مرتب اسکن کن.

امنیت سایت یه پروسه مداومه، نه یه کار یه‌بارمصرف. هکرها همیشه دنبال راه‌های جدید برای نفوذن، پس تو هم باید همیشه آماده باشی.

چرا امنیت وب‌سایت این‌قدر مهمه؟

شاید فکر کنی: «سایت من که چیز خاصی نداره، کی می‌خواد هکش کنه؟» اما حقیقت اینه که هکرها به کوچیک یا بزرگ بودن سایت کاری ندارن. طبق گزارش Sucuri در سال 2024، هر روز بیش از 30,000 وب‌سایت هک می‌شن! حالا بیایم یه نگاه دقیق‌تر به دلایل اهمیت امنیت سایت بندازیم:

• حفظ اطلاعات کاربران: اگه سایتت اطلاعات حساسی مثل ایمیل، رمز عبور، یا اطلاعات بانکی مشتری‌ها رو ذخیره می‌کنه، یه نشت داده می‌تونه فاجعه‌بار باشه. مثلاً در سال 2023، هک شدن سایت یک فروشگاه آنلاین باعث لو رفتن اطلاعات 2 میلیون کاربر شد و شرکت مجبور شد میلیون‌ها دلار غرامت بده.
• اعتبار برند: یه سایت هک‌شده اعتماد مشتری‌ها رو نابود می‌کنه. کی دوست داره از سایتی خرید کنه که تو گوگل به‌عنوان «ناامن» علامت‌گذاری شده؟
• سئو و رتبه‌بندی گوگل: گوگل از سال 2018 سایت‌های بدون HTTPS رو «ناامن» نشون می‌ده. اگه سایتت مشکل امنیتی داشته باشه، ممکنه تو نتایج جستجو سقوط کنی یا حتی تو لیست سیاه گوگل قرار بگیری.
• هزینه‌های جبران خسارت: پاک‌سازی بدافزار، بازیابی اطلاعات، یا حتی دعواهای حقوقی بعد از هک، می‌تونه هزینه‌های سنگینی رو بهت تحمیل کنه. یه مطالعه از IBM در سال 2024 نشون داد که میانگین هزینه یه نقض داده برای شرکت‌ها حدود 4.5 میلیون دلاره!
• تداوم کسب‌وکار: اگه سایتت داون بشه یا داده‌هات از بین برن، ممکنه مشتری‌ها رو برای همیشه از دست بدی.

پس چه سایتت یه وبلاگ ساده باشه، چه یه فروشگاه آنلاین بزرگ، امنیتش باید اولویتت باشه.

قدم اول: SSL و امنیت سایت HTTPS

یکی از اولین و مهم‌ترین قدم‌ها برای امن کردن سایت، استفاده از گواهینامه SSL (Secure Sockets Layer) و فعال کردن پروتکل HTTPSه. حتماً دیدی که کنار آدرس بعضی سایت‌ها تو مرورگر یه قفل سبز یا کلمه «امن» نمایش داده می‌شه. این یعنی اون سایت از HTTPS استفاده می‌کنه و ارتباطش با کاربر رمزنگاری شده.

SSL چیه و چرا مهمه؟

SSL یه فناوری رمزنگاریه که داده‌های ردوبدل‌شده بین سرور سایت و مرورگر کاربر رو امن می‌کنه. مثلاً وقتی مشتری تو سایتت اطلاعات کارت بانکیش رو وارد می‌کنه، SSL مطمئن می‌شه که این اطلاعات به‌صورت رمزنگاری‌شده منتقل بشن و هکرها نتونن بهش دسترسی پیدا کنن.

بدون SSL، داده‌ها به‌صورت متنی ساده (Plain Text) منتقل می‌شن و هرکسی که به شبکه دسترسی داشته باشه (مثل هکرها تو شبکه‌های Wi-Fi عمومی) می‌تونه این اطلاعات رو بدزده. طبق گزارش Verizon در سال 2024، 60٪ از نقض‌های داده‌ای به دلیل عدم استفاده از رمزنگاری مناسب اتفاق افتادن.

چطور SSL رو فعال کنیم؟

1. خرید گواهینامه SSL: می‌تونی از شرکت‌های معتبر مثل Let’s Encrypt (رایگان)، DigiCert، Comodo یا Sectigo گواهینامه بخری. Let’s Encrypt برای سایت‌های کوچک و متوسط گزینه عالیه چون رایگانه و به‌راحتی نصب می‌شه.
2. نصب روی سرور: اکثر شرکت‌های هاستینگ (مثل Hostinger یا Bluehost) ابزارهای ساده‌ای برای نصب SSL دارن. اگه خودت می‌خوای نصب کنی، باید فایل‌های گواهینامه رو تو سرور آپلود کنی و تنظیمات سرور (مثل Apache یا Nginx) رو به‌روز کنی.
3. تنظیم ریدایرکت: مطمئن شو که همه درخواست‌های HTTP به HTTPS ریدایرکت بشن. مثلاً تو فایل .htaccess برای Apache می‌تونی این کد رو اضافه کنی:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
        

4. بررسی امنیت اتصال سایت: با ابزارهایی مثل SSL Labs یا VirusTotal می‌تونی مطمئن شی که SSLت درست کار می‌کنه و هیچ نقص امنیتی نداره.

انواع گواهینامه SSL

• DV (Domain Validated): ساده و ارزون، فقط مالکیت دامنه رو تأیید می‌کنه. برای وبلاگ‌ها و سایت‌های شخصی کافیه.
• OV (Organization Validated): هویت شرکت رو هم بررسی می‌کنه و برای کسب‌وکارهای رسمی مناسبه.
• EV (Extended Validation): بالاترین سطح تأیید، که قفل سبز و نام شرکت رو تو مرورگر نشون می‌ده. برای فروشگاه‌های بزرگ و سایت‌های مالی مناسبه.

نکته مهم: گوگل از سال 2018، سایت‌های بدون HTTPS رو به‌عنوان «ناامن» علامت‌گذاری می‌کنه. علاوه بر این، HTTPS یه فاکتور مهم تو الگوریتم‌های سئوی گوگلِ. پس اگه می‌خوای رتبه سایتت تو نتایج جستجو بالا بره، SSL رو جدی بگیر.

انواع حملات رایج به وب‌سایت‌ها و راه‌های محافظت

حالا که پایه‌های امنیت سایت رو با SSL محکم کردیم، وقتشه بریم سراغ تهدیدات واقعی. هکرها از روش‌های مختلفی برای نفوذ به سایت‌ها استفاده می‌کنن. اینجا چندتا از رایج‌ترین حملات رو با جزئیات بررسی می‌کنیم و راه‌های دفاع در برابرشون رو توضیح می‌دیم.

1. حملات DDoS (Distributed Denial of Service)

حملات DDoS مثل اینه که یه عالمه آدم همزمان در خونه‌تو بزنن و نذارن تو در رو باز کنی! تو این حمله، هکرها با فرستادن حجم عظیمی از ترافیک به سایتت، سرورت رو از کار می‌ندازن. نتیجه؟ سایتت داون می‌شه و کاربرات نمی‌تونن بهش دسترسی پیدا کنن.

مثال واقعی: تو سال 2023، یه شرکت بازی‌سازی معروف به نام Riot Games هدف حمله DDoS قرار گرفت و سرورهای آنلاینش برای چند ساعت از دسترس خارج شد. این باعث نارضایتی شدید کاربرا شد و اعتبار شرکت رو خدشه‌دار کرد.

راه‌حل:

• استفاده از CDN: سرویس‌هایی مثل Cloudflare یا Akamai ترافیک مخرب رو فیلتر می‌کنن و فقط درخواست‌های معتبر رو به سرورت می‌رسونن.
• فایروال پیشرفته: فایروال‌های وب اپلیکیشن (WAF) می‌تونن الگوهای ترافیک غیرعادی رو شناسایی و بلاک کنن.
• همکاری با هاستینگ امن: هاستینگ‌هایی مثل SiteGround یا WP Engine محافظت DDoS داخلی دارن.
• مانیتورینگ ترافیک: از ابزارهایی مثل Nagios یا Zabbix برای نظارت بر ترافیک سرور استفاده کن تا هرگونه فعالیت مشکوک رو سریع تشخیص بدی.

2. تزریق SQL (SQL Injection)

این حمله وقتی اتفاق می‌افته که هکر کدهای مخرب رو از طریق فرم‌های سایت (مثل فرم ورود یا جستجو) به دیتابیس تزریق می‌کنه. مثلاً اگه فرم جستجوی سایتت ورودی‌ها رو درست فیلتر نکنه، هکر می‌تونه با وارد کردن یه کد SQL، به کل دیتابیست دسترسی پیدا کنه و اطلاعات حساسی مثل رمزهای کاربران رو بدزده.

مثال واقعی: تو سال 2022، یه نقص SQL Injection تو یه سایت تجارت الکترونیک باعث شد اطلاعات 1.5 میلیون کاربر لو بره. هکرها از یه فرم جستجوی ساده سوءاستفاده کردن!

راه‌حل:

• استفاده از Prepared Statements: تو PHP، از PDO یا MySQLi با Prepared Statements استفاده کن تا ورودی‌ها به‌صورت خودکار پاک‌سازی بشن. مثال:

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);
        

• فیلتر کردن ورودی‌ها: از توابعی مثل filter_var() یا کتابخانه‌های اعتبارسنجی استفاده کن.
• به‌روزرسانی CMS: اگه از وردپرس یا جوملا استفاده می‌کنی، همیشه آخرین نسخه رو نصب کن.
• استفاده از WAF: فایروال وب اپلیکیشن می‌تونه درخواست‌های مشکوک رو بلاک کنه.

3. حملات XSS (Cross-Site Scriptin=

تو این حمله، هکر کد جاوااسکریپت مخرب رو تو سایتت اجرا می‌کنه. مثلاً می‌تونه تو بخش نظرات سایت یه اسکریپت بذاره که کوکی‌های کاربراتو بدزده یا یه صفحه جعلی نشون بده.

مثال واقعی: تو سال 2024، یه نقص XSS تو یه افزونه وردپرسی باعث شد هکرها بتونن کد مخرب رو تو سایت‌های وردپرسی اجرا کنن و اطلاعات ورود کاربرا رو بدزدن.

راه‌حل:

• پاک‌سازی ورودی‌ها: از توابعی مثل htmlspecialchars() تو PHP برای جلوگیری از اجرای کدهای مخرب استفاده کن.
• هدرهای امنیتی: هدر Content Security Policy (CSP) رو فعال کن تا فقط اسکریپت‌های مجاز اجرا بشن.
• به‌روزرسانی کتابخانه‌ها: کتابخانه‌های جاوااسکریپت مثل jQuery رو همیشه به‌روز نگه دار.
• اسکن XSS: از ابزارهایی مثل OWASP ZAP برای پیدا کردن نقاط ضعف XSS استفاده کن.

4. بدافزارها و ویروس‌ها

بدافزارها می‌تونن از طریق افزونه‌های ناامن، فایل‌های آپلودشده، یا حتی نقص‌های سرور به سایتت نفوذ کنن. این بدافزارها می‌تونن سایتت رو به یه منبع پخش ویروس تبدیل کنن یا اطلاعات کاربراتو بدزدن.

مثال واقعی: تو سال 2023، یه بدافزار به نام Magecart تو سایت‌های تجارت الکترونیک نفوذ کرد و اطلاعات کارت‌های بانکی کاربرا رو موقع پرداخت دزدید.

راه‌حل:

• اسکن منظم: با ابزارهایی مثل VirusTotal، Sucuri SiteCheck یا Quttera سایتت رو اسکن کن.
• محدود کردن آپلودها: فقط اجازه آپلود فایل‌های امن (مثل PNG یا PDF) رو بده و فایل‌ها رو قبل از ذخیره اسکن کن.
• بکاپ‌گیری منظم: همیشه یه نسخه پشتیبان از سایت و دیتابیست داشته باش و تو یه فضای امن (مثل Google Drive یا سرور جدا) ذخیره کن.
• فایروال وب اپلیکیشن: WAF می‌تونه بدافزارهای شناخته‌شده رو بلاک کنه.

5. حملات Brute Force

تو این حمله، هکرها با امتحان کردن تعداد زیادی ترکیب رمز عبور، سعی می‌کنن به پنل مدیریت سایتت دسترسی پیدا کنن. این حمله مخصوصاً برای سایت‌های وردپرسی خیلی رایجه.

راه‌حل:

• رمزهای قوی: از رمزهای پیچیده با حداقل 12 کاراکتر (ترکیب حروف، اعداد و نمادها) استفاده کن.
• احراز هویت دو مرحله‌ای (2FA): افزونه‌هایی مثل Google Authenticator یا Authy نصب کن.
• محدود کردن تلاش‌های ورود: افزونه‌هایی مثل Limit Login Attempts Reloaded تعداد تلاش‌های ورود ناموفق رو محدود می‌کنن.
• تغییر URL ورود: آدرس پیش‌فرض wp-admin رو به یه چیز دیگه تغییر بده تا هکرها به‌راحتی پیداش نکنن.

امنیت سایت وردپرس: نکات کلیدی

وردپرس به‌خاطر محبوبیتش (بیش از 40٪ از وب‌سایت‌های دنیا از وردپرس استفاده می‌کنن) هدف اصلی هکرهاست. اگه سایتت وردپرسیه، باید حسابی حواستو جمع کنی. اینجا یه راهنمای جامع برای امنیت سایت وردپرس داریم:

1. به‌روزرسانی منظم

وردپرس، قالب‌ها و افزونه‌ها رو همیشه به آخرین نسخه آپدیت کن. طبق گزارش Wordfence در سال 2024، 60٪ از هک‌های وردپرسی به‌خاطر افزونه‌های قدیمی بودن.

• افزونه‌های غیرضروری یا غیرمعتبر رو حذف کن. هر افزونه‌ای که نصب می‌کنی، باید از مخزن رسمی وردپرس یا توسعه‌دهنده‌های معتبر باشه.

2. استفاده از افزونه‌های امنیتی

افزونه‌های امنیتی مثل یه نگهبان 24 ساعته برای سایتت عمل می‌کنن. چندتا از بهترین‌هاش:

• Wordfence: فایروال، اسکن بدافزار، و محافظت در برابر حملات Brute Force.
• iThemes Security: امکانات مثل 2FA، تغییر URL ورود، و محدود کردن دسترسی به wp-admin.
• Sucuri Security: اسکن بدافزار، فایروال، و محافظت در برابر DDoS.

3. رمزهای قوی و احراز هویت دو مرحله‌ای

برای همه کاربران پنل مدیریت، رمزهای پیچیده بذار. می‌تونی از ابزارهایی مثل LastPass برای تولید رمزهای امن استفاده کنی.

2FA رو با افزونه‌هایی مثل Google Authenticator یا Two Factor فعال کن. این باعث می‌شه حتی اگه رمزت لو بره، هکر بدون کد دوم نتونه وارد بشه.

4. محدود کردن دسترسی به wp-admin

با فایل .htaccess می‌تونی دسترسی به پوشه wp-admin رو فقط به IPهای خاص محدود کنی. مثال:

    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.1

        

افزونه‌هایی مثل WPS Hide Login می‌تونن URL ورود رو تغییر بدن.

5. تست امنیت سایت وردپرس

از ابزارهایی مثل WPScan برای اسکن افزونه‌ها، قالب‌ها و مشکلات امنیتی استفاده کن.

سایت‌های بررسی امنیت مثل Sucuri SiteCheck یا Quttera هم برای اسکن سریع عالی‌ان.

ابزارها و نرم‌افزارهای تست امنیت سایت

برای اینکه مطمئن شی سایتت امنه، باید مرتب تستش کنی. خوشبختانه کلی ابزار و نرم‌افزار تست امنیت سایت وجود داره که کارتو راحت می‌کنن. چندتاشون رو معرفی می‌کنیم:

• VirusTotal: یه ابزار آنلاینه که URL سایتت رو اسکن می‌کنه و نشون می‌ده آیا بدافزار یا ویروس داره یا نه. برای بررسی لینک‌های مشکوک قبل از کلیک کردن هم خیلی کاربردیه.
• Sucuri SiteCheck: یه ابزار رایگان که سایتت رو برای بدافزار، بکلاسیک‌لیست شدن، و مشکلات امنیتی اسکن می‌کنه. گزارش‌های دقیق و پیشنهادهایی برای رفع مشکلات ارائه می‌ده.
• Qualys SSL Labs: برای بررسی پیکربندی SSL/TLS و پیدا کردن نقاط ضعف تو تنظیمات HTTPS.
• OWASP ZAP: یه ابزار متن‌باز برای تست نفوذ که می‌تونه نقاط ضعف XSS، SQL Injection و غیره رو پیدا کنه.
• WPScan: مخصوص وردپرس، برای اسکن افزونه‌ها، قالب‌ها و مشکلات امنیتی.
• Burp Suite: یه ابزار حرفه‌ای برای تست نفوذ که برای توسعه‌دهنده‌ها و متخصص‌های امنیت مناسبه.

تست امنیت سایت آنلاین

علاوه بر ابزارهای بالا، سایت‌های بررسی امنیت مثل Detectify، ImmuniWeb یا Pentest-Tools.com هم می‌تونن بهت کمک کنن تا نقاط ضعف سایتت رو پیدا کنی. فقط یادت باشه از منابع معتبر استفاده کنی تا اطلاعاتت به خطر نیافته.

امنیت در PHP: کدنویسی امن

اگه سایتت با PHP نوشته شده، باید به امنیت کدنویسی هم توجه کنی. PHP یه زبان قدرتمنده، ولی اگه درست استفاده نشه، می‌تونه پر از حفره‌های امنیتی باشه. چندتا نکته کلیدی:

فیلتر کردن ورودی‌ها

همیشه ورودی‌های کاربر (مثل فرم‌ها) رو با توابعی مثل filter_var() یا htmlspecialchars() پاک‌سازی کن.

$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
        

جلوگیری از تزریق کد

برای کوئری‌های دیتابیس، از PDO یا MySQLi با Prepared Statements استفاده کن.

$stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->execute([$username, $email]);
        

مدیریت خطاها

تو محیط پروداکشن، نمایش خطاهای PHP رو غیرفعال کن تا اطلاعات حساس (مثل مسیر فایل‌ها) لو نره.

display_errors = Off
log_errors = On
        

هدرهای امنیتی

هدرهایی مثل X-XSS-Protection، X-Frame-Options و Strict-Transport-Security رو فعال کن.

header("X-XSS-Protection: 1; mode=block");
header("X-Frame-Options: DENY");
header("Strict-Transport-Security: max-age=31536000; includeSubDomains");
        

طراحی سایت با امنیت بالا

برای طراحی یه سایت امن از همون اول پروژه، باید به چند نکته کلیدی توجه کنی:

انتخاب هاست امن

هاستی انتخاب کن که فایروال قوی، اسکن بدافزار، و بکاپ منظم داشته باشه. هاستینگ‌هایی مثل SiteGround، WP Engine یا Kinsta گزینه‌های خوبی‌ان.

کدنویسی تمیز

از فریم‌ورک‌های امن مثل Laravel یا Symfony استفاده کن.

کدهات رو با ابزارهایی مثل PHPStan یا SonarQube تست کن.

محدودیت دسترسی

فایل‌های حساس (مثل wp-config.php یا .env) رو از دسترسی عمومی خارج کن.

    Order Allow,Deny
    Deny from all

        

آموزش به مشتری

اگه برای مشتری سایت طراحی می‌کنی، بهش یاد بده چطور رمزهای قوی بذاره، افزونه‌ها رو به‌روز کنه، و از لینک‌های مشکوک دوری کنه.

چگونه امنیت سایت را بالا ببریم؟

حالا که کلی نکته یاد گرفتیم، یه چک‌لیست جامع برای افزایش امنیت سایت:

• نصب SSL و HTTPS: برای رمزنگاری داده‌ها و جلب اعتماد کاربرا.
• به‌روزرسانی منظم: نرم‌افزارها، CMS، و افزونه‌ها رو همیشه آپدیت کن.
• رمزهای قوی و 2FA: برای همه حساب‌های مدیریت، رمز پیچیده و احراز هویت دو مرحله‌ای بذار.
• اسکن منظم: با ابزارهایی مثل VirusTotal یا Sucuri، سایتت رو مرتب چک کن.
• فایروال و CDN: از Cloudflare یا Sucuri برای محافظت در برابر حملات استفاده کن.
• بکاپ‌گیری منظم: بکاپ‌ها رو تو فضای ابری یا سرور جدا ذخیره کن.
• آموزش تیم: به تیم یا مشتری‌ها نکات امنیتی رو آموزش بده.

خدمات امنیت سایت

اگه وقت یا تخصص کافی برای مدیریت امنیت سایتت نداری، می‌تونی از خدمات حرفه‌ای استفاده کنی. شرکت‌های زیادی خدمات زیر رو ارائه می‌دن:

• اسکن و پاک‌سازی بدافزار
• تنظیم فایروال و محافظت در برابر DDoS
• بهینه‌سازی SSL و HTTPS
• مشاوره تخصصی امنیت

قبل از همکاری، حتماً بررسی اعتبار سایت ایرانی یا نمونه‌کارهای شرکت رو چک کن. شرکت‌هایی مثل Sucuri، SiteLock یا Cloudflare گزینه‌های معتبری‌ان.

جمع‌بندی

امنیت وب‌سایت یه موضوع حیاتیه که نمی‌تونی نادیده بگیریش. با رعایت نکات این مقاله، از نصب SSL و HTTPS گرفته تا استفاده از افزونه‌های امنیتی و ابزارهای تست مثل VirusTotal، می‌تونی سایتت رو در برابر تهدیدات محافظت کنی. یادت نره که امنیت یه پروسه مداومه؛ باید همیشه به‌روز باشی، سایتت رو اسکن کنی، و از ابزارهای مناسب استفاده کنی.

حالا نوبت توئه! از کجا قراره شروع کنی؟ SSL رو فعال می‌کنی؟ یه اسکن کامل با VirusTotal انجام می‌دی؟ یا می‌ری سراغ نصب یه افزونه امنیتی برای وردپرس؟