دليل لتقوية خادم الويب الخاص بك
نشرت: 2022-03-15نظرًا لوظيفتها ، تختلف خوادم الويب عن العديد من الأجهزة الأخرى في بيئة شبكة نموذجية - فهي لا تتعرض فقط للإنترنت حسب التصميم ، ولكنها تخدم على الأرجح حركة مرور الويب إلى الغرباء تمامًا. بالإضافة إلى ذلك ، في كثير من الحالات ، من المحتمل أن تخدم خوادم الويب تطبيقات ديناميكية مثل مواقع WordPress أو تعمل كوكلاء للتطبيقات الداخلية الأخرى. لذلك ، ليس من المستغرب أن تشكل خوادم الويب أهدافًا مثيرة للاهتمام للمهاجمين.
يشير تقوية النظام إلى عملية تحسين دفاعات النظام بحيث يصعب على المتسلل الضار اختراق هذا النظام والحصول على موطئ قدم داخل الشبكة.
ستعتمد عملية تقوية خادم الويب ، بالطبع ، على نوع خادم الويب الذي تستخدمه (مثل خادم Apache HTTP و Nginx و Microsoft IIS ...) ، ومع ذلك ، هناك عدد من المبادئ الأساسية وأفضل الممارسات لتحسين أمان خادم الويب الذي يجب أن تضعه في الاعتبار ، بغض النظر عن خادم الويب الذي تستخدمه.
هذه المقالة هي دليل تقوية خادم الويب. في ذلك ، سننظر في عدد من أفضل الممارسات التي لا تعتمد على التكنولوجيا والتي يمكنك من خلالها تحسين أمان خادم الويب الخاص بك. لتقوية ووردبريس ، ارجع إلى دليل الأمان والتشديد الخاص بـ WordPress.
1. تحديث خادم الويب الخاص بك
قد لا يبدو تحديث البرامج أمرًا كبيرًا ، ولكن يمكن القول إن تطبيق تصحيحات الأمان في الوقت المحدد هو أحد أهم الدفاعات التي يمكنك تنفيذها. بصرف النظر عن تحسينات الأداء والاستقرار ، غالبًا ما تحتوي تحديثات خادم الويب ونظام التشغيل على إصلاحات للثغرات الأمنية.
ظاهريًا ، قد يبدو تافهًا ، ومع ذلك ، سيخبرك أي متخصص في أمن المعلومات أن التصحيح أكثر تعقيدًا مما يبدو - ليس لأن تثبيت أحدث إصدار من معظم البرامج صعب بشكل خاص ، ولكن نظرًا لأن التصحيح يُنظر إليه دائمًا على أنه شيء يمكن يتم تأجيلها.
أفضل طريقة للتأكد من أن برنامج خادم الويب الخاص بك يتم تحديثه باستمرار هو العثور على نظام أو روتين مناسب لك أو لأي شخص مكلف بتحديث خادم الويب الخاص بك وبرنامج نظام التشغيل. في معظم الأحيان ، يتلخص الأمر في تذكير دوري (على سبيل المثال ، إعداد حدث تقويم متكرر) الذي ستخصص له وقتًا.
2. إزالة البرامج والوحدات النمطية غير الضرورية
بينما قد لا يبدو الأمر كذلك دائمًا ، إلا أن خوادم الويب عبارة عن أجزاء معقدة من البرامج. تأتي بعض خوادم الويب ، مثل خادم Apache HTTP ، مع سلسلة من "الوحدات النمطية" (على غرار المكونات الإضافية لـ WordPress) والتي يمكنك تمكينها أو تعطيلها اعتمادًا على حالة الاستخدام الخاصة بك. من المعروف أن المهاجمين الضارين يستفيدون من ميزات وحدة خادم الويب ونقاط الضعف في جمع المزيد من المعلومات حول خادم الويب الخاص بك. على الرغم من أن هذا قد لا يكون السبب الوحيد لهجوم ناجح ، فإن الهدف الكامل من تشديد خادم الويب هو اتباع نهج دفاعي متعمق وجعل من الصعب على الجهات الخبيثة اكتساب حتى أصغر موطئ قدم.
مثال عملي على ذلك هو الوحدات النمطية مثل mod_status لخادم Apache HTTP. تم تصميم هذه الوحدة للحصول على نظرة عامة حول نشاط الخادم وأدائه (المضيفون الحاليون ، وعدد الطلبات التي تتم معالجتها ، وعدد العمال العاطلين ، واستخدام وحدة المعالجة المركزية) عبر عنوان URL / حالة الخادم. قد توفر مثل هذه الميزة للمهاجم مؤشرًا جيدًا على مدى جودة أداء خادم الويب - وهي أداة مفيدة جدًا في حالة هجوم رفض الخدمة (DoS).
وبالمثل ، فإن البرامج الأخرى غير المستخدمة والتي تعمل على خادم الويب الخاص بك قد تشكل مخاطرة غير ضرورية. على سبيل المثال:
- هل تقوم بتشغيل خادم FTP ، مثل vsftpd لا تحتاجه؟
- هل هناك وكيل نقل بريد مثل Sendmail أو Postfix لم تعد بحاجة إليه؟ إذا كنت تستخدم خدمة جهة خارجية لتحسين إمكانية تسليم البريد الإلكتروني في WordPress ، فلن تحتاج إلى مثل هذه الخدمة.
هذه التطبيقات / الخدمات وغيرها الكثير على الخادم كلها مكونات لها المراوغات الأمنية الخاصة بها ، ونقاط الضعف ، ومتطلبات التصحيح.
باختصار - قم بتشغيل برامج أقل حيثما أمكن ذلك. إذا كنت لا تستخدم وحدة نمطية أو خدمة ، فيجب أن تفكر في تعطيلها أو إزالتها. بطبيعة الحال ، لا تقم فقط بتعطيل الوحدات النمطية أو التطبيقات دون اختبار شامل في بيئة تطوير أو مرحلة مرحلية (في بعض الأحيان قد لا يكون من الواضح تمامًا أن وحدة خادم الويب أو التطبيق قيد الاستخدام).
3. إحكام التحكم في الوصول
يعد التحكم في الوصول إلى خادم الويب الخاص بك أمرًا ضروريًا للحصول على المعلومات الصحيحة. بعد كل شيء ، تريد تقليل فرصة الوصول إلى خادم الويب الخاص بك في الأيدي الخطأ. فيما يلي عدد من أفضل الممارسات التي يجب اتباعها فيما يتعلق بالحفاظ على التحكم المناسب في الوصول.
- لا تستخدم المستخدم الجذر. إذا كنت بحاجة إلى أداء مهام إدارية ، فاستخدم sudo بدلاً من ذلك ؛
- استخدم كلمات مرور قوية للنظام (و WordPress) ؛
- استخدم مفاتيح SSH لصالح كلمة المرور عند استخدام SSH ؛
- النظر في تقييد وصول SSH / RDP من عناوين IP محددة ؛
- تمكين المصادقة الثنائية (2FA) على أي حسابات موفر سحابي ؛
- تأكد من أن كل شخص يصل إلى خادم الويب لديه مستخدم خاص به - لا تشارك حسابات المستخدمين بين المستخدمين ؛
- تقييد وصول shell / SSH / Remote Desktop بشكل صريح إلى الأشخاص الذين يحتاجون إليه.
4. إعداد مراقبة سلامة الملفات (FIM)
تساعد مراقبة سلامة الملفات (FIM) مسؤولي النظام على تحديد متى تتغير الملفات على خادم الويب. بينما تتغير بعض الملفات بشكل متكرر كجزء من عمليات خادم الويب العادية ، يجب ألا تتغير ملفات مثل تثبيت WordPress أبدًا إلا إذا قام المسؤول بإجراء تغييرات (على سبيل المثال تحديث ملف wp-config.php) أو تحديث WordPress نفسه.
في حين أن هناك العديد من الخيارات التي يمكنك اختيارها لاستخدامها عندما يتعلق الأمر بمراقبة سلامة الملفات ، يُنصح بالالتزام بشيء خاص بالتطبيق الذي تقوم بتشغيله ، وهو سهل الإعداد والتشغيل ، ولا يتطلب الكثير من الضبط. خلاف ذلك ، سوف تغرق في إشعارات لا معنى لها وقبل أن تعرف ذلك ، سوف يبدأ التعب في حالة تأهب ، ويمحو جهدك في التواجد. باختصار ، المزيد من التنبيهات والميزات لا تكون أفضل عندما يتعلق الأمر بـ FIM ، بدلاً من ذلك ابحث عن حل يوفر أكبر قيمة بأقل قدر من النفقات العامة.
5. استخدم تخفيف DDoS وخدمة WAF
بدلاً من تعريض خادم الويب الخاص بك مباشرة إلى الإنترنت ، يجب أن تفكر في استخدام خدمة مثل Cloudflare أو Fastly أو Akamai أو ما شابه ذلك من أجل حماية نفسك من مجموعة واسعة من الهجمات بما في ذلك هجمات رفض الخدمة الموزعة (DDoS). هجوم رفض الخدمة (DoS) هو نوع من الهجوم يهدف فيه المهاجم إلى إرباك موقع ويب بالطلبات ، ونتيجة لذلك ، يمنع خادم الويب الخاص بك من تقديم الطلبات إلى المستخدمين الشرعيين.
بالإضافة إلى التخفيف من رفض الخدمة ، تقدم هذه الخدمات السحابية عادةً أيضًا إمكانيات جدار حماية تطبيقات الويب (WAF) التي يمكنها إيقاف العديد من هجمات تطبيقات الويب الشائعة مثل حقن SQL الأساسي (SQLi) والموقع البسيط عبر المواقع البرمجة النصية (XSS). على الرغم من أن WAFs ليست حلاً لنقاط ضعف تطبيقات الويب ، إلا أنها توفر بعض الحماية ضد الاستغلال - خاصةً مع قواعد WAF التي تم تحسينها لمواقع WordPress على الويب.
ما هي الخطوات التالية؟
بينما تغطي هذه المقالة بعض تقنيات تقوية خوادم الويب الشائعة ، لا يوجد شيء في الأمان يعتبر رصاصة فضية. على هذا النحو ، لا توجد طريقة واحدة للدفاع عن نظام مضمونة ، خاصة في مواجهة خصم مصمم. ومن ثم ، لماذا تحتاج إلى تأمين كل مكون يتكون من موقع WordPress الخاص بك. لا يمكنك تأمين خادم الويب الخاص بك وتجاهل أمان WordPress أو جهاز الكمبيوتر الخاص بك.
ومع ذلك ، فإن التصحيح المستمر واتباع ممارسات الأمان الجيدة والنظافة يمكن أن يزيد بشكل كبير من الجهد الذي يحتاجه المهاجم لشن هجوم بنجاح - والذي يعني في معظم الأحيان إحباط المهاجم وإجباره على هدف أكثر ليونة.