میزبانی وب لینوکس، حداکثر امکانات… حداقل هزینه!

امنیت وب سایت خود را افزایش دهید

نویسنده: | بهمن ۲۶, ۱۳۹۴ | مطالب جدید, مقالات |

در ابتدایی ترین حالت ممکن امنیت وب سایت را باید از دو سو مورد بررسی قرار داد، اول مشکلات نفوذ، دوم امکانات سیستم برای انجام عملیات تخریبی بعدی. نفوذ عموماً ناشی از مشکلات نرم افزاری است که در زمان کدنویسی سایتها بوجود آمده و تا زمان کشف مشکل یا مورد سوء استفاده قرار گرفتن آن در سایت باقی می ماند. اما در صورت نفوذ امکانات و پیکربندی سرور است که میتواند تا حد زیادی از انجام حرکتهای بعدی نفوذ کننده جلوگیری نموده یا حرکت آن را کند نماید. توجه داشته باشید، وب سایت شما به نوعی ویترین تبلیغاتی شماست، بنابر این نفوذ کننده ها ممکن است با هدف تخریب تجارت یا چهره شما اقدام به تلاش برای نفوذ به سایت شما کنند. همچنین ممکن است بخواهند بدون اینکه شما متوجه شوید از فضای میزبانی شما برای اقدامات خرابکارانه بهره برداری کنند. این اقدام ممکن است کاربردی ساده یا ارسال ایمیلهای ناخواسته (Spam) باشد یا اقدام علیه امنیت ملی! لذا مهم است با دقت موشکافانه ای همواره امنیت وب سایت خود را زیر نظر داشته باشید یا کار را به افراد خبره بسپارید.

راهکارهایی برای جلوگیری از نفوذ و افزایش امنیت وب سایت

برای جلوگیری از نفوذ

  1. از یک سیستم مدیریت محتوای قابل اعتماد استفاده کنید
  2. سیستم مدیریت محتوا اگر متن باز است حتماً آن را از سایت اصلی بارگذاری کنید.
  3. قالبها (Template) هرچقدر هم خوب نوشته شده باشند احتمال دارد مشکل امنیتی داشته باشند. بنا بر این آنها را به صورت مداوم بروز کنید یا از سلامت آنها اطمینان حاصل کنید
  4. از دانلود قالبهای دستکاری شده از سایتهایی به جز تولید کننده اصلی خود داری کنید. این را به یاد داشته باشید کمتر کسی برای رصایت شما یک قالب غیر رایگان را رایگان در اختیار شما قرار میدهد.
  5. افزونه ها بسیار مهم هستند، نسخه های دستکاری شده آنها را نصب نکنید!
  6. به صورت مداوم سایت خود را بررسی و بروز کنید و با دقت جزئیات هرگونه اتفاق یا رفتار غیر منتظره ای را بررسی و علت یابی کنید.

راهکارهایی برای شناسایی نفوذ

عموماً نفوذکنندگان در ابتدا سعی میکنند رد پایی را از خود به جای نگذارند یا در دایرکتوریهای انتهایی سایت شما در سکوت کامل در حال نگهداری فایلهای تخریبی و بررسی های خود باشد بنا بر این قابل درک است در سایتهای بزرگ یا سیستمهای مدیریت محتوای پیچیده شناسایی این نوع عملیات اندکی مشکل خواهد بود.

لذا لازم است همواره شواهد را بررسی کنید، به برخی از این موارد (و نه محدود به آن) در زیر اشاره شده است:

  1. فایلهای log را به صورت مداوم بررسی کنید و هر رفتار مشکوک و متفاوت را شناسایی و رهگیری کنید
  2. آمار ارسال و دریافت ایمیلهای خود را داشته باشید. عموماً افراد و شرکتها ترافیک ایمیل معینی دارند و این حجم ارسال و دریافت ایمیل به صورت ناگهانی زیاد یا کم نمیشود.
  3. حجم فایلهای ذخیره شده در هاست خود را کنترل کنید، تغییرات ناگهانی همواره عجیبند!
  4. حجم بانک اطلاعات خود را کنترل کنید، بزرگ شدن ناگهانی بانک اطلاعات سایت شما ممکن است خبرهای بدی را به همراه داشته باشد.
  5. سعی کنید حساب ایمیل با فضای نامحدود نداشته باشید تا بتوانید حسابهایی را که بیش از حد در صندوق پست الکترونیکی آنها ایمیل جمع شده را شناسایی کنید.
  6. فایلهای تست برنامه نویسی یا فایلهای تنظیمات قدیمی خطرناک هستند، آنها را حذف کنید.
  7. فایلهای اضافه را از هاست خود حذف کنید.
  8. نسخه های پشتیبان سایت بسیار خطرناکند!!! چرا که حاوی فایلهای تنظیمات، رمز عبور بانک اطلاعاتی، محتویات ایمیلهای کاربران و بسیاری اطلاعات دیگر که برای نفوذگر حکم معدن طلا را دارد هستند. آنها را تحت هیچ شرایطی در دایرکتوری وب خود قرار ندهید. در این صورت ممکن است نفوذ کننده بتواند با دستیابی به آنها نه تنها به اطلاعات سرور شما دسترسی پیدا کند، بلکه اطلاعات شخصی شما را نیر مورد سوء استفاده قرار دهد.
  9. اگر برنامه نویس هستید و سایت شما حاوی اطلاعات حساسی است سعی کنید اسکریپت کنترل امنیت اختصاصی خود را نوشته و با استفاده از SHA1 سلامت تمام فایلهای موجود در سایت خود را کنترل و در صورت حذف، اضافه یا تغییر در سایت از آن تغییرات مطلع گردید.
  10. سهل انگاری نکنید!

راهکارهایی برای کنترل نفوذگر

با در نظر گرفتن همه تمهیدات، باز هم امکان نفوذ وجود دارد، برای کنترل نفوذگر و محدود نمودن او به امکاناتی که لزوماً فایده چندانی نداشته اما میتوانند سایت را تهدید کنند اقداماتی ساده ای نیز بر روی سرور باید انجام گیرد که بخشی از آن در زیر آمده است:

  1. بروز رسانی وب سرور و PHP
  2. نصب ماژولهای امنیتی مانند ModSecurity و Suhosin
  3. جلو گیری از اجرای توابع خطرناک مانند eval در محیط PHP
  4. غیر فعال کردن توابع غیر ضروری PHP که در اکثر سایتها کاربرد چندانی ندارند و ممکن است نفوذگر از آنها برای اقدامات تخریبی استفاده نماید.

هرچند کاربرانی که از خدمات میزبانی اشتراکی استفاده میکنند عموماً امکان اعمال تغییر در پیکربندیهای سرور را ندارند اما لازم است در زمان خرید اشتراک میزبانی خود به محدودیتهایی که سرورمیزبانی برای آنها ایجاد میکند توجه داشته باشید تا در هنگام استفاده از سیستمهای مدیریت محتوا یا برنامه نویسی سایت خود دچار سردرگمی نگردید.

ریما هاست به منظور تامین هرچه بیشتر امنیت وب سایت مشتریان خود، توابع زیر را غیر فعال نموده است:

crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, hell_exec, system,dl, ctrl_dir, phpini, tmp, safe_mode, systemroot, server_software, get_current_user, HTTP_HOST, ini_restore, popen, exec, shell_exec, suExec, passthru, pclose,proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, escapeshellcmd, escapeshellarg, posix_geteuid, posix_setsid, posix_setuid, posix_access, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, psix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_initgroups, posix_isatty, posix_kill, posix_mkfifo, posix_mknod, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsidposix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname, symlink, eval

اطلاعات بیشتر

Shares
Share This