يستغل الخادم المشترك وكيفية الحماية ضدهم

إذا كنت تدير خادمًا - سواء كان ذلك من خلال استضافة الويب أو تشغيل تطبيق أو التعامل مع شيء ما وراء الكواليس - يجب أن يكون الأمن دائمًا على رادارك.تعد الخوادم هدفًا شائعًا للهجمات الإلكترونية ، ولا يتطلب الأمر الكثير من الضعف الصغير لتحويل قضية رئيسية.

الأخبار السارة؟معظم المآثر شيوعا لها إصلاحات معروفة.في هذا المنشور ، سنقوم بتفكيك بعض هجمات الخادم الأكثر شيوعًا ونمر عبر طرق واضحة لحماية الإعداد الخاص بك.سواء كنت بدأت للتو أو تتطلع إلى تشديد الأمور ، يمكن أن تساعدك هذه النصائح على البقاء في المقدمة.

1. حقن SQL (SQLI)

يحدث حقن SQL عندما يقوم المهاجم بإدخال رمز ضار في حقول النموذج أو عناوين URL لمعالجة قاعدة البيانات الخاصة بك.يمكن أن يسمح هذا بالوصول غير المصرح به إلى البيانات أو حتى حذف الجداول بأكملها.

لمنع SQLI:

استخدم استعلامات معلمة أو عبارات معدّة
توضح هذه الطرق أجزاء الكود الخاصة بك هي الإرشادات والتي هي مدخلات المستخدم ، لذلك لا يمكن للمهاجمين التسلل في أوامر ضارة.تدعم معظم لغات البرمجة هذا - مثل استخدام؟نائبة في mysqli أو: قيمة في pdo.

التحقق من صحة وتطهير جميع مدخلات المستخدم
لا تفترض أبدًا أن المستخدمين (أو الروبوتات) سيقومون بإدخال بيانات نظيفة.تحقق دائمًا من أن ما يتم تقديمه يطابق ما تتوقعه - مثل السماح فقط للأرقام في حقل المعرف ، أو تجريد أحرف غير متوقعة من مربع نص.

الحد من أذونات مستخدم قاعدة البيانات
لا تمنح تطبيق الويب الخاص بك أكثر من الوصول مما يحتاجه.على سبيل المثال ، إذا كان تطبيقك يقرأ البيانات فقط ، فلا تمنحه إذنًا لحذف أو تحرير أي شيء.وبهذه الطريقة ، حتى لو دخل المهاجم ، فإنهم محدودون في الضرر الذي يمكنهم فعله.

إذا كنت تقوم بتشغيل CMS مثل WordPress ، في اتباع أفضل الممارسات أمان وورد وتصلب يمكن أن تساعدك على الحماية من نقاط الضعف في حقن SQL المشتركة.

2. البرمجة النصية عبر المواقع (XSS)

يتضمن XSS حقن JavaScript الضار في الصفحات التي ينظر إليها الآخرين.إذا تم تنفيذها ، فيمكنه سرقة ملفات تعريف الارتباط لتسجيل الدخول ، أو تسجيل ضغطات المفاتيح ، أو إعادة توجيه المستخدمين إلى مواقع ضارة.

للتخفيف من XSS:

تطهير والتحقق من صحة الإدخال قبل عرضه
تأكد من تنظيف أي من مستخدمي النص (مثل التعليقات أو استفسارات البحث) قبل عرضه على موقعك.هذا يعني إزالة أو تحويل أحرف خاصة مثل <و> بحيث لا يمكن معاملتها كرمز.

استخدم ترميز الإخراج
عند عرض المحتوى الديناميكي ، قم بتشفيره بحيث تعامله المتصفحات كنص وليس رمزًا.على سبيل المثال ، & lt ؛ script & gt ؛سوف تظهر كنص عادي بدلاً من محاولة الجري.

قم بتطبيق سياسة أمان المحتوى (CSP)
CSP هي مجموعة من القواعد التي تخبرها بالمتصفح أن يتبعها - على سبيل المثال ، فقط تحميل البرامج النصية من مصادر موثوقة.حتى لو كان الكود الضار ينزلق ، يمكن لـ CSP القوي منعه من الجري.

إذا كان الخادم الخاص بك يستخدم tespeed ، خادم ويب litespeed تتميز خيارات الأمان المدمجة التي يمكن أن تساعد في تقليل مخاطر هجمات XSS مع تحسين أداء الخادم العام.

3. تنفيذ الرمز البعيد (RCE)

RCE يمثل تهديدًا شديدًا حيث يدير المهاجمون أوامرهم الخاصة على الخادم الخاص بك.إذا نجحت ، يمكنهم التحكم في نظامك أو نشر البرامج الضارة.

لتقليل خطر RCE:

الحفاظ على جميع البرامج والإضافات محدثة
يتم إصدار تحديثات الأمان لإصلاح المشكلات المعروفة.يمنح تأخير هذه التحديثات المهاجمين نافذة لاستغلال نقاط الضعف التي لديها بالفعل إصلاحات عامة.

تجنب استخدام الوظائف التي تنفذ أوامر النظام
إذا كان الرمز الخاص بك يستخدم وظائف مثل exec () أو system () ، فاحرص على الحذر.فقط استخدمها إذا لزم الأمر تمامًا ولا يتم ذلك أبدًا مع مدخلات غير موثوق بها.

استخدم جدار حماية تطبيق الويب (WAF)
مرشحات WAF وشاشات حركة المرور الواردة.يمكنه اكتشاف أنماط مشبوهة - مثل محاولات تمرير التعليمات البرمجية من خلال حقول النماذج - وحظرها قبل أن تضغط على الخادم الخاص بك.

لمستخدمي CPANEL/WHM ، تمكين الحماية مثل ModSecurity في WHM يضيف طبقة إضافية من الدفاع مقابل مآثر تنفيذ الكود عن بُعد.

4

يتيح Directory Traversal للمهاجمين الوصول إلى الملفات المقيدة عن طريق معالجة مسارات الملفات ، وغالبًا ما تستخدم أنماطًا مثل ../ لتحريك الدلائل.

لحماية الخادم الخاص بك من اجتياز الدليل:

تطهير إدخال مسار الملف
لا تسمح أبدًا لإدخال المستخدم للتحكم مباشرة في مسارات الملف.تنظيف أي شيء يقدمه المستخدمون ، وتجريد شخصيات مثل ../ التي يمكن استخدامها للتنقل حول الدلائل.

استخدم القائمة البيضاء من الملفات أو الدلائل المسموح بها
بدلاً من محاولة منع الإدخال السيئ ، حدد قائمة بالملفات أو المجلدات التي يُسمح للمستخدمين بالوصول إليها.يجب رفض أي شيء آخر تلقائيًا.

تعيين أذونات الملف المناسبة
تأكد من أن الملفات الحساسة غير قابلة للقراءة من قبل الجمهور.على سبيل المثال ، لا ينبغي أن تحتوي ملفات التكوين على أذونات القراءة لأي شخص باستثناء مسؤول الخادم.

يمكن أن تتسبب أذونات الخاطئة في تكوين أخطاء مثل 403s وتتركك مكشوفة.ها هو دليل على إصلاح 403 ممنوع erroR عن طريق تكوين إعدادات التحكم في الوصول بشكل صحيح على الخادم الخاص بك.

5. هجمات القوة الغاشمة

تستخدم هجمات القوة الغاشمة الأتمتة لتجربة مختلف مجموعات اسم المستخدم/كلمة المرور حتى يعمل أحد.غالبًا ما تستهدف تسجيلات تسجيلات SSH أو FTP أو لوحة التحكم.

كيفية الحماية من هجمات القوة الغاشمة:

استخدم كلمات مرور قوية وفريدة من نوعها
تجنب استخدام بيانات الاعتماد الافتراضية أو كلمات مرور بسيطة مثل "admin123."استخدم كلمات مرور طويلة مع مزيج من الحروف والأرقام والرموز - ولا تعيد استخدامها عبر الخدمات.

الحد من محاولات تسجيل الدخول
قم بإعداد نظامك لمنع عناوين IP مؤقتًا بعد عدة محاولات تسجيل دخول فاشلة.هذا يبطئ البرامج النصية الآلية ويجعل هجمات القوة الغاشمة أقل فعالية.

تمكين المصادقة ثنائية العوامل (2FA)
حتى إذا حصل شخص ما على كلمة المرور الخاصة بك ، فلن يدخل دون خطوة التحقق الثانية - مثل رمز من تطبيق أو رسالة نصية.

استخدم مفاتيح SSH بدلاً من كلمات المرور
للوصول إلى الخادم ، قم بالتبديل من تسجيل الدخول المستند إلى كلمة المرور إلى مفاتيح SSH.إنها أصعب بكثير في التقسيم وتقديم طريقة أكثر أمانًا للمصادقة.

نقطة انطلاق جيدة تغيير منفذ SSH الخاص بكوالتي يمكن أن تجعل الهجمات الآلية أقل فعالية.أيضا ، باستخدام المصادقة القائمة على مفتاح SSH يوفر حماية أكثر قوة من كلمات المرور وحدها.

6. رفض الخدمة الموزع (DDOS)

هذه الهجمات تغمر الخادم الخاص بك بحركة المرور ، مما تسبب في إبطاء أو تعطل.تعتبر DDOs خطرة بشكل خاص لأنها تأتي من العديد من المصادر ومن المستحيل تقريبًا تتبع المصدر.

لتقليل تعرضك لهجمات DDOS:

استخدم شبكة توصيل المحتوى (CDN)
معظم الناس يستخدمون شبكات تسليم المحتوى لتسليم محتوى الموقع بشكل أكثر فعالية عبر مواقع متعددة.يمكن أن يجعل الأمر أكثر صعوبة على المهاجمين للتغلب على خادم الأصل وتصفية حركة المرور الضارة.

إعداد الحد من معدل
يقيد الحد من المعدل عدد المرات التي يمكن لأي شخص تقديمها طلبات في وقت قصير.إذا كان أحد المستخدمين أو IP يرسل الكثير ، فسيتم حظره مؤقتًا.

مراقبة حركة المرور للحصول على طفرات غير عادية
راقب أنماط حركة المرور الخاصة بك.يمكن أن تكون القفزة المفاجئة في الزيارات - خاصةً إلى نقطة نهاية واحدة - علامة على هجوم DDOs.

إخفاء IP الخاص بخادم الأصل الخاص بك
عندما يعرف المهاجمون IP الخاص بك الخادم الحقيقي ، يمكنهم استهدافه مباشرة.يمكن أن يساعد استخدام الخدمات التي تخفي أو وكيل IP الخاص بك في امتصاص الضربة.

تستطيع حماية عنوان IP الخاص بك الأصل باستخدام خدمات مثل CloudFlare ، والتي تجلب أيضًا فوائد أخرى لتحسين الأمن وأداء موقع الويب.

من أجل فهم أعمق لهجمات DDOs ، ومخاطرها ، واستراتيجيات التخفيف ، تشير إلى مقالتنا: ما هو هجوم DDOs؟المخاطر والوقاية والتخفيف.

7. البرامج القديمة وموافقات الضعف غير المشابهة

إن استخدام الإضافات القديمة أو لوحات التحكم أو إصدارات CMS يتركك مفتوحًا لملابس معروفة.

لتقليل خطر البرمجيات القديمة:

قم بإعداد جدول تحديث منتظم
لا تنتظر حتى تنكسر الأشياء.حافظ على نظام التشغيل ولوحة التحكم و CMS والمكونات الإضافية وبرامج الخادم في دورة تحديث منتظمة - حتى لو كان ذلك يعني استخدام الأدوات الآلية.

إزالة التطبيقات والخدمات غير المستخدمة
كل أداة أو مكون إضافي هو خطر محتمل.إذا كنت لا تستخدمه ، فقم بإلغاء تثبيته لتقليل سطح الهجوم.

اشترك في تحديث أو قوائم البريد الأمنية
عادة ما يعلن بائعي البرمجيات مشكلات الأمان عند اكتشافهم.يساعدك البقاء في الحلقة على التصحيح قبل استغلال المشكلات.

استخدم بيئات التدريج لاختبار التحديثات
اختبر التحديثات الرئيسية على استنساخ من بيئتك الحية أولاً ، حتى تتمكن من اكتشاف المشاكل دون المخاطرة بوقت التوقف.

البرامج النصية التي عفا عليها الزمن لا تخلق مخاطر أمان فقط - يمكنهم أيضًا إبطاء موقع الويب الخاص بك، التأثير على الأداء والموثوقية.

تزيد الصيانة المنتظمة من موثوقية الخادم والأمان والأداء العام.تعلم كيفية إنشاء روتين صيانة فعال في دليلنا: إنشاء خطة صيانة الخادم.

8. أذونات خاطئ

تعد إعدادات الملف أو الدليل المسموح بها بشكل مفرط ضعفًا هادئًا ولكنه خطيرة.يمكنهم السماح للمهاجمين بالوصول إلى البيانات الحساسة أو تعديلها.

كيفية منع هذا:

قم بتطبيق مبدأ الامتياز الأقل
امنح المستخدمين والخدمات فقط الوصول الذي يحتاجون إليه - لا أكثر.إذا احتاج شخص ما إلى عرض ملف فقط ، فلا تمنح الكتابة أو تنفيذ الوصول.

أذونات الملفات والأذواق بانتظام
تحقق بشكل دوري من الملفات التي يمكن الوصول إليها ومن يمكنها الوصول إليها.ابحث عن إعدادات واسعة للغاية مثل 777 أذونات تجعل الملفات قابلة للقراءة/قابلة للكتابة من قبل أي شخص.

تجنب استخدام الوصول إلى الجذر ما لم يكن ذلك ضروريًا
يمكن أن يكون تشغيل الأوامر أو الخدمات كجذر خطيرًا.إذا حدث خطأ ما ، فقد يؤثر ذلك على نظامك بالكامل.التزم بامتيازات مستوى المستخدم ما لم يكن هناك حاجة إلى الجذر تمامًا.

استخدم المجموعات لإدارة الوصول
بدلاً من تعيين أذونات المستخدم على حدة ، قم بتنظيم المستخدمين في مجموعات بناءً على أدوارهم.هذا يبقي الأشياء أنظف وأسهل في الإدارة بشكل آمن.

التحكم السليم في الوصول هو مفتاح تجنب الأخطاء مثل 403s.إعادة النظر في إعداداتك باستخدام هذا دليل على إصلاح 403 أخطاء محظورة لمنع التعرض غير المقصود.

تغليف

أمن الخادم لا يتعلق فقط جدران الحماية وكلمات المرور - إنه يتعلق ببناء العادات والأنظمة التي تقلل من المخاطر بمرور الوقت.

أن تكون على دراية بهذه المآثر الشائعة ومعالجتها مع حلول عملية ، فأنت لا تحمي البيانات فقط - فأنت تحافظ على موثوقة الخدمات والعملاء.

للحصول على نظرة عامة شاملة على تقنيات تصلب الخادم ، تحقق من مقالتنا: ما هو تصلب الخادم ولماذا يهم.