امنیت سرورها در وب دیتا

شرکت نگاه با سالها تجربه در زمینه هاستینگ همیشه سرورهای خود در پوشش امنیتی کامل قرار داده است. نمونه هایی از این پوشش دهی را در زیر می توانید مشاهده کنید :
۱- تامین امنیت فیزیکی سرورها با توجه به جاگذاری سرور ها در بهترین دیتا سنتر های دنیا
۲- تامین امنیت با استفاده از بهره گیری از بهترین فایروال ها waf ها ، IPS و IDS های سخت افزاری
۳- نصب شل اسکنرهای قدرتمند برای جلوگیری از ورود هرگونه کد مخرب به سرور
۴- کنترل ۲۴ ساعته سرورها توسط بخش NOC شرکت با نیروهای دوره دیده متخصص
۵- سرویس های بک آپ چند گانه برای بازگردانی تمام اطلاعات مشتریان در صورت بروز هرگونه مشکل احتمالی
۶- محافظت از سایت ها در برابر حمله های DOS و DDOS
سرورهای میزبانی اشتراکی و سرورهای مجازی می‌توانند در خطر حملات هکرهایی باشند که همواره در پی نفوذ به سرورها هستند.به محض آن‌که سایت یا کد هکر آپلود شود همه مشتریانی که داده هایشان روی سرور به اشتراک گذاشته شده در خطر قطعی خواهند بود. این کدها یا خود به خود روی سرور فعال خواهند شد یا ادمین در حین انجام وظایف روزمره نگه داری سرور ناخواسته آن‌ها را فعال می‌کند. این مشکلات ممکن است در اثر آسیب پذیری‌های امنیتی در وب‌سایت یکی از مشتریان قانونی پدید آید و بدافزار آپلود شده می‌تواند برای هر خراب‌کاری‌ از دزدیدن اطلاعات کارت‌های اعتباری کاربران سایت یا ایجاد یک حمله DDoS به کار رود که به هکرها فرصت می‌دهد کل یک سرور هاستینگ را به دست بگیرند و از آن برای حمله به سرورهای دیگر استفاده کنند.یکی دیگر از روش‌های معمول سوء استفاده هکرها که بسیار به ضرر یک شرکت میزبانی و مشتریانش خواهد بود فرستادن اسپم از سرور است. اسپمر از منابع سرور هاست آن قدر برای فرستادن اسپم استفاده می‌کند که آی پی های آن وارد لیست‌‌های سیاه شرکت‌های امنیت ایمیل می‌شود و ایمیل‌هایی را که از آن سرور فرستاده شود پذیرفته نخواهند شد. در این صورت مشتریان دیگر نخواهند توانست حتی معمولی‌ترین ایمیل‌های روزمره خود را از حساب‌هایشان ارسال کنند و برای بسیاری از مشتریان هاست نداشتن امکان فرستادن ایمیل به معنای به خطر افتادن کسب و کارشان و بی استفاده ماندن سایت خواهد بود.




استفاده از نرم افزارهایی که روی سرور نصب می‌شوند جهت جلوگیری از بروز حملات رد سرویس توزیع شده (DDoS) است.
همه شرکت‌های میزبانی باید این قبیل نرم افزارها را روی سرورهایشان نصب کنند.محدود نمودن استفاده از دستورها و فایل‌های اجرایی در حساب‌های مشتریان‌ سرویس‌های هاست اشتراکی از موارد قابل توجه میباشد. ممکن است صاحبان حساب‌ها از این دستورها برای دسترسی به فایل‌های ذخیره شده روی سرور استفاده کنند. در اغلب موارد چنین رخنه هایی بدون نیت سوء و تصادفی رخ می‌دهد اما آسیب ایجاد شده می‌تواند غیر قابل جبران باشد.





علاوه بر این یک شرکت هاستینگ پیش از هر چیز باید مشتریان خود را بشناسد. ممکن است سیاست شرکت میزبان این باشد که هیچ حسابی را از کاربرانی که آدرس‌های IP آن‌ها به دلیل ضعف‌ها و سوء استفاده های امنیتی بدنام شده اند نپذیرد. اما کاملاً احتمال دارد که این حساب متعلق به کاربری باشد که برای خلاصی از وضعیت امنیتی پایین محیط پیرامونی خود به یک سرویس دهنده معتبر روی آورده باشد. بنابراین این سیاست نمی‌تواند همیشه انتخاب مناسبی باشد. در عوض نظارت دقیق بر حساب‌های تازه و حتا تعیین هویت صاحبان این حساب‌ها و برقراری تماس تلفنی با آن‌ها می‌تواند سیاست مناسب‌تری باشد. هکرها و خراب‌کاران به ثبت حساب در شرکت هاستینگی که این قدر دقیق به هویت صاحبان حساب‌هایش اهمیت بدهد و در این مورد حساس باشد علاقه ای نخواهند داشت.



امروزه همه شرکت‌های معتبر میزبانی وب معمولاً روزانه از کل داده های سرورهایشان روی یک سرور ریموت پشتیبان می‌گیرند. این کار ضروری است و به شرکت میزبان امکان می‌دهد در صورت آسیب رسیدن به کل شبکه یا یک وب‌سایت خاص در اثر رخنه امنیتی یا اشکال فنی داده های آسیب ندیده را بازیابی کند.
هم‌چنین شرکت میزبان باید امکانات امنیتی اضافه را به صورت عادی یا با پرداخت اضافه برای مشتریانش فراهم کند. وب‌سایت‌های تجارت الکترونیک باید بتوانند یک گواهی‌نامه SSL برای رمزگذاری داده های حساس خود تهیه کنند. این داده ها شامل اطلاعات بانکی و مجوزهای ورود به سایت کاربران می‌شود. استفاده از FTP امن که داده های در حال آپلود را رمزگذاری می‌کند هم‌زمان به نفع وب‌مستر و شرکت هاست است. استفاده از ارتباط امن بین سرور میزبان و رایانه مشتری مثلاً از طریق پوسته امن (SSH) نیز سودمند است.

وب‌مسترها و صاحبان شرکت‌های تجارت آنلاین باید از منبع هر کد یا نرم افزاری که روی حساب‌هایشان نصب می‌کنند مطلع باشند که آیا این کد یا نرم افزار توسط برنامه نویس یا طراح وب شرکت نوشته شده یا در دسترس همگان در اینترنت ، افزونه یا ماژول نوشته شده برای یک CMS کد باز است. در سرویس‌های هاست اشتراکی این موضوع بسیار اهمیت دارد.
در این زمینه آموزش چگونگی متوقف کردن اخلال‌گران به مشتریان توسط شرکت‌های میزبان در
استفاده از کدهای مناسب و بی‌ خطر
تست کردن کدها از طریق ارسال خبرنامه برای کاربران
پیوند به مطالب مفید و یا راه اندازی یک وبلاگ حاوی موارد امنیتی

در این زمینه بسیار موثر بوده و به کاربران کمک میکند تا سطوح امنیتی لازم را در سطوح کاربری رعایت کنند.
این در حالیست که کدهای خطرناک توسط اقدامات امنیتی سطح سرور شناخته شده و متوقف میشوند.

هم شرکت‌های میزبان و هم کاربران حساب‌های هاستینگ باید به شکل دوره ای همه رمز عبورهایی را که در هر سطحی به سرور و فایل‌ها دسترسی دارند تغییر داده و کارمندان نیز موظف به تغییر رمز عبور در فواصل زمانی معین میباشند. در صورت تغییر تجهیزات یا کارکنان همه رمز عبورهای قبلی باید عوض شود.دارندگان وب‌سایت‌ها باید در صورت مشاهده تهدید یا ایجاد تغییرات عمده که ممکن است موجب بروز تهدیدات امنیتی شود مانند به روز رسانی سیستم مدیریت محتوا (CMS) ، پلاگین ها، ماژول ها و کامپوننت های استفاده شده ،آپلود نرم افزار تازه ، رمز عبورهایشان را عوض کنند.در این راستا شرکت هاستینگ میتواند پیغام هشدار برای مشتریان ارسال کند تا نسبت به تغییر رمز عبور دسترسی به سرویس میزبانی و مدیریت وب‌سایت اقدام نمایند.
همه سایت‌های روی یک سرور یا شبکه باید به طور مرتب مانیتور شوند تا از عدم آپلود کدهای مخرب روی سایت اطمینان حاصل شود. ممکن است کل یک وب‌سایت قانونی باشد اما سهوا کد مخرب روی آن آپلود شده باشد. اگر وب‌سایتی آلوده شده و برای کاربران دیگر خطرساز باشد ، در این صورت این حساب باید معلق شده تا زمانی که دارنده سایت اقدامات لازم برای رفع تهدید را انجام دهد. سرویس دهنده می‌تواند با ابزارهای مختلفی که در دسترس است یک هشدار خودکار برای مشتری بفرستد و در مورد مشکل امنیتی ایجاد شده اطلاع دهد. این کار مسؤولیت مشتری برای انجام اقدامات امنیتی لازم برای رفع خطر را یادآوری می‌کند.
امنیت وبسایت و اطلاعات کاربر به دو بخش امنیت سرور و امنیت سیستم مدیریت محتوا تفکیک می گردد. امنیت اطلاعات مربوط به سرور ، توسط شرکت خدمات میزبانی وب و امنیت مرتبط با سیستم مدیریت محتوا بر عهده کاربر و تیم طراحی سایت می باشد که به منظور تامین امنیت این بخش توجه به آپدیت بودن سایت حائز اهمیت میباشد. در غیر این صورت مشکلات امنیتی احتمالی ناشی از عدم رعایت اصول امنیتی طراحی سایت و… بر عهده کاربر می باشد. در نتیجه توصیه میشود نسبت به رعایت نکات زیر اقدام گردد:
• به روز رسانی سیستم مدیریت محتوا (جوملا ، وردپرس ، پرستاشاپ ، Vbulletin، و…) به آخرین نسخه منتشرشده
• به روز رسانی پلاگین ها ، ماژول ها و کامپوننت های استفاده شده در وبسایت
• نصب و تنظیم پلاگین های امنیتی ارائه شده توسط سیستم مدیریت محتوا به منظور افزایش امنیت وب سایت
• قرار دادن کد Captcha در بخش ها و صفحاتی مانند (نظرسنجی، تماس با ما و…) که اطلاعاتی از کاربران گرفته می شود.
• تغییر نام کاربری و رمز عبور دیتابیس مورد استفاده توسط سیستم مدیریت محتوا در بازه های زمانی مشخص و ویرایش اطلاعات به دسترسی جدید در فایل تنظیماتی سیستم مدیریت محتوا ( فایل wp-config.php در وردپرس و فایل configuration.php در جوملا و…)
• تغییر رمز عبور مدیریت وبسایت و سایر اکانت های بخش مدیریت وبسایت به رمزهای با سطح امنیت بالا به صورت دوره ای
• بررسی ایمیل های دریافتی وب سایت و اطمینان از عدم دانلود و یا نگهداری محتویات مشکوک و…
• پرهیز از استفاده از هرگونه قالب های آماده ، کرک شده و… که ممکن است دارای مشکلات امنیتی و… باشند.
• پرهیز از نصب اسکریپت های نامعتبر و… که از مراجع ناشناخته و نامعتبر ارائه می گردند.
• بازبینی تمام اطلاعات اکانت هاست اشتراکی خود توسط ابزار Virus Scanner در کنترل پنل هاست و پاکسازی محتویات آسیب دیده و یا مشکوک
• و…

توجه داشته باشید بر اساس تنظیمات امنیتی سرور، در صورتی که سه مرتبه اطلاعات ورود ناصحیح در صفحه ورود به کنترل پنل هاست خود وارد نمایید، آی پی سیستم شما توسط نرم افزار امنیتی سرور بسته (Block) خواهد شد ، در نتیجه در هنگام ورود اطلاعات کاربری هاست خود بسیار دقت نمایید.
در صورت نیاز به هرگونه راهنمایی نیز می توانید از طریق بخش تیکت در پنل کاربری خود در WebData.ir با کارشناسان پشتیبانی در ارتباط باشید.