همانطور که میدانید سرور هاست های اشتراکی هرچقدر هم که امنیت خود را تامین کنند، از فایروالهای سخت افزاری و نرم افزاری بصورت چند لایه استفاده کنند و جلوی نفوذ هکرها و خرابکارها را بگیرند، بازهم اشتباهات یا سهل انگاری هایی توسط طراحان وب سایت و یا صاحبان هاست اشتراکی انجام میشود که باعث میگردد سایت یا هاست اشتراکی به راحتی هک شود.
هک سایت روی هاست های اشتراکی راه های فراوانی دارد که بسیاری از آنها به دلیل کوتاهی در برقراری امنیت و یا عدم آشنایی با روش های ساده جهت جلوگیری از نفوذ باعث هک میگردد. مثالی که برای این روش هک میتوانیم در نظیر بگیریم مصداق گذاشتن کلید زیر جاکفشی ! یا استفاده از قفل های قدیمی و غیر ایمن میباشد. قفل های فوق جلوی ورود افراد ناآشنا را خواهد گرفت، ولی سارقان حرفه ای بسیار راحت میتواننند قفل های اینچنینی را باز کنند.
هک سایت و هاست اشتراکی نیز دقیقا به همین شرایط و بصورت ساده توسط هکر های حرفه ای انجام میگرد. موارد امنیتی که شما بایستی روی هاست اشتراکی و سایت خود در نظر بگیرید، باعث میشود که کلا راه های ورود و حتی تست نیز برای نفوذگر بسته باشد و عملا نتواند کاری جهت خرابکاری انجام دهد.
امنیت وب سایت
راهکارهای جلوگیری از هک سایتها در هاست اشتراکی بسیار زیاد میباشد که در این مقاله به برخی از مهمترین آنها اشاره میکنیم:
- برقراری امنیت دیتابیس
یکی از متداولترین و اولین مواردی که باعث میشود سایتهای روی سرور های هاست اشتراکی هک گردند، دسترسی راحت به ریموت دیتابیس میباشد. شرکت های معتبر و حساس به اطلاعات کاربر معمولا به صورت پیش دسترسی ریموت به دیتابیس را غیرفعال میکنند تا دیتابیس های سرور از امنیت بیشتری برخوردار باشند. ولی در صورتی که روی هاست اشتراکی شما دسترسی به ریموت دیتابیس فعال میباشد، حتما محدودیت های بسیار زیادی برای دسترسی به آن ایجاد کنید. زیرا اولین و راحترین روش هک سایت دسترسی ریموت به دیتابیس میباشد. در صورتی که روی هاست اشتراکی این امکان فعال است، حتما با مدیر سرور خود برای مسدود سازی این مورد در ارتباط باشید.
- تغییر مسیر های پیش فرض
یکی دیگر از متداول ترین روش های هک، عدم تغییر مسیر های دسترسی مدیریتی میباشد. برای مثال تمامی سایتهای جوملا از آدرس /administrator برای دسترسی به بخش ادمین استفاده میکنند یا آدرس بخش ادمین whmcs نیز بصورت پیش فرض /admin میباشد. در این گونه موارد دسترسی هکر برای تست مشخصات ورود به ادمین بسیار راحتر میباشد، چرا که مسیرهای پیش فرض راه را برای تست های او کوتاه کرده است. تمامی مسیر های پیش فرض امنیتی و مدیریت را حتما تغییر دهید.
- محدود سازی بخش های مهم
بعد از تغییر نام پوشه ها و مسیر های مهم و حساس گام بعدی ایجاد محدودیت برای دسترسی به این فولدر ها میباشد. به فولدرهای مهم و ادمین حتما از طریق وب سرور پسورد اضافه کنید تا قبل از ورود به فولدر فوق user-pass تعریف شده در وب سرور درخواست گردد.
- محدود کردن به آی پی
بعد از محدود کردن پوشه های مهم نوبت به محدود سازی این مسیر ها به آی پی نیز بایستی انجام شود. برای این مورد به راحتی همانند اضافه کردن پسورد در سرور های لینوکسی میتوانید از .htaccess لیست ای پی های مجاز را تعریف و لیستی از آی پی های غیرمجاز را جهت Deny شدن اضافه کنید. - جلوگیری از تلاش برای ورود
در صورتی که سیستم هایی مدیریت محتوا نظیر whmcs و یا وردپرس استفاده میکنید حتما روی سیستم های مدیریت محتوای خود از ماژول هایی جهت محدود سازی تلاش مجدد برای ورود استفاده کنید. استفاده از این ماژول ها باعث میشود در صورت ورود اشتباه چندین باره، آی پی کاربر و یا خود نام کاربری وی بصورت موقت یا دائمی مسدود گردد. - ایجاد محدودیت برای دانلود
برای فایل های مهم مثلا نظیر wp-config.php وردپرس حتما محدودیت دانلود ایجاد کنید، این فایلها بصورت پیش فرض امکان دانلود ندارند و فقط اجرا میشوند. ولی روش هایی برای دور زدن آن نیز میتواند وجود داشته باشد. حتما اطمینان حاصل کنید که از دانلود فایل های داینامیک وری هاست شما جلوگیری خواهد شد.
- غیرفعال کردن نمایش خطا
از موارد بسیار مهم برقرار امنیت وب سایت، غیر فعال سازی نمایش خطا میباشد. یک هکر حرفه ای به Try هایی که روی هدف خود انجام میدهد، میتواند از طریق خطاهای موجود باگهای راحت تری کشف کند تا به سایت شما نفوذ کند. پس حتما نمایش خطا را کلا غیر فعال و یا محدود به سرور و آی پی کنید.
- اطمینان از وجود مودسکیوریتی
در صورتی که روی هاست شما مود سکیورتی نصب میباشد، از طریق کنترل پنل هاست خود بررسی کنید که آن را بصورت اشتباه غیرفعال نکرده باشید! همچنین برخی از سرویس دهندگان به دلیل ارور هایی که مود سکیورتی برای کاربر میگیرد آنرا غیرفعال میکند. چک کنید که مودسکیوریتی حتما فعال باشد.
- غیرفعال سازی اکانت های اف تی پی غیر ضروری
اگر برای کاربران مختلف اکانت های اف تی پی (ftp) ایجاد نموده اید حتما بصورت دوره ای آنها را بررسی کنید و اکانت های اضافی را حذف کنید تا دسترسی ها به هاست شما محدودتر گردد.
- بررسی پرمیشن فایل های مهم
فایلهای مهم روی هاست خود را حتما بررسی کنید که پرمیشن های بیشتری برای ویرایش نداشته باشند. به عنوان مثال برای فایل wp-config.php پرمیشن 444 نیز مناسب میباشد. در صورتی که مشکلی برایتان ایجاد نمیکند حداقل پرمیشن را تنظیم کنید و دسترسی اضافی به ویرایش فایلها را مسدود کنید.
درنظر داشته باشید که مقالات پیشن در مورد بروز نگه داشتن اسکریپت سایت، تغییر پسورد های دوره ای، عدم استفاده از نام کاربری های پیش فرض و …. نیز از موارد مهم میباشد که به دلیل توضیح کامل آن در مقالات پیشتر در این مقاله از توضیح مجدد آنها اجتناب شده است.