أفضل 10 ممارسات لأمان استضافة الويب يجب اتباعها في عام 2020
نشرت: 2022-04-28التهديدات تتبع الاتجاهات وبفضل الانفجار الرقمي الذي انتشر في جميع أنحاء العالم ، أصبحت استضافة موقع على شبكة الإنترنت اليوم خطيرة بشكل متزايد.
وهذا أسوأ إذا أخذنا في الاعتبار أن معظم الأشخاص الذين يمتلكون مواقع الويب يحاولون تحقيق الدخل منها ، مما يعني أن هناك احتمالية للتأثير الكبير.
حتى عندما حذرت Google العام الماضي من زيادة التركيز على جاهزية الأجهزة المحمولة لمواقع الويب ، شهد عام 2018 أيضًا مضاعفة هجمات البرامج الضارة على الأجهزة المحمولة. في حين أن هذا قد يكون مرتبطًا بشكل فضفاض فقط ، يمكن رؤية الاتجاه العام لتهديدات الأمن السيبراني التي تتبع الحشد.
يمكن أن يمثل أمان استضافة الويب تحديًا ، خاصة بالنسبة لمواقع الويب الصغيرة ذات الموارد المحدودة. بعد كل شيء ، إذا تم اختراق حتى المؤسسات المالية ذات ميزانيات الأمن السيبراني التي تقدر بمليارات الدولارات ، فما هو الأمل الموجود لبقيتنا؟
ليس صحيحًا تمامًا.
إن التخلي عن التهديدات الإلكترونية وتجاهلها لمجرد أنك تعتقد أنك لا تملك الموارد اللازمة للتغلب عليها يعد خطأً. تقضي الهجمات الإلكترونية وقتًا وموارد أكبر بكثير لاختراق أهداف عالية القيمة لأن هناك احتمالية لتحقيق يوم دفع كبير.
ومع ذلك ، بالنسبة للمواقع الأصغر ، يجب أن يكون إبقاء الأمور في نصابها واتباع أفضل ممارسات أمان استضافة الويب القياسية كافية للتخفيف من معظم المشكلات. حسنًا ، ما لم تصادف أن تضايقك كثيرًا لسبب ما.
سأشارككم اليوم بعض أفضل ممارسات أمان استضافة الويب بالإضافة إلى تقديم نصائح عملية يمكنك تجربتها لتعزيز دفاعاتك.
لا تستطيع الوصول إلى موقعك؟ هل تم اختراقك؟ فقدت كلمة المرور الخاصة بك أو الحساب بأكمله؟ هل تم اختراق ملفاتك الأساسية؟ البرنامج النصي المجاني لاسترداد حالات الطوارئ سيحل كابوسك بنقرة واحدة.
أفضل 10 ممارسات لأمان استضافة الويب يجب اتباعها
1. التمسك بمزود استضافة ويب ذا سمعة طيبة
يلعب موفر استضافة الويب الخاص بك دورًا أكبر بكثير في أمان موقع الويب الخاص بك مما قد تعتقد. من المساحة المادية التي يجلس عليها موقع الويب الخاص بك على حركة المرور التي تدخل وتخرج من موقع الويب الخاص بك ، يلعب مزود استضافة الويب الخاص بك دورًا حميمًا للغاية فيما يتعلق بأمنك.
على سبيل المثال ، غالبًا ما يكون مضيف الويب هو الذي يعتني بالعناصر القياسية مثل مكافحة الفيروسات ومكافحة البرامج الضارة. يقدم بعض موفري خدمات استضافة الويب أيضًا أنظمة مكافحة البريد العشوائي والنسخ الاحتياطي والاسترداد الآلي ، وإذا كنت محظوظًا ، يمكنك الاستفادة من شبكة توزيع المحتوى (CDN).
نصيحة : اجعل الأمان عامل الاعتبار الأساسي عند اختيار مضيف الويب. إذا كنت تستضيف موقعًا لبعض الوقت الآن وقد نما لدرجة أنه يمكنك تبرير الانتقال إلى حساب استضافة VPS ، فإنني أوصيك بالقيام بذلك في أقرب وقت ممكن. تقدم استضافة VPS ميزات أمان أفضل بكثير من حسابات الاستضافة المشتركة القياسية.
2. استخدم CDN
كما ذكرت أعلاه ، يعمل بعض مضيفي الويب مع CDN ولكن إذا لم يفعلوا ذلك ، فيمكنك القيام بذلك بنفسك أيضًا. تساعد شبكات CDN في تقديم صفحات الويب الخاصة بك بسرعة أكبر للزوار من خلال استضافة ذاكرات التخزين المؤقت لموقعك على الخوادم حول العالم. عند طلب الوصول إلى موقعك ، ستعمل شبكة CDN أولاً على تقديم البيانات المخزنة مؤقتًا من الموقع الأقرب إلى المكان الذي طُلبت فيه.
ومع ذلك ، بصرف النظر عن ميزة السرعة ، تستفيد شبكات CDN أيضًا من شبكات الخوادم الضخمة لتقديم ما يسمى بموازنة التحميل. هذا يعني أنه باستخدام CDN ، فإنك تعمل جزئيًا على موارد الخادم الخاصة بهم ويمكنك إدارة عدد أكبر من الزوار.
يرتبط ذلك بأفضل جزء من استخدام CDN ، وهو منع هجمات رفض الخدمة الموزعة (DDoS). تحاول هجمات DDoS إرباك مواقع الويب وإغلاقها عن طريق إغراقها بالطلبات حتى يتم إيقاف تشغيل الخادم. ومع ذلك ، تم تصميم شبكات CDN لتعزيز الأمان من خلال تعويض ذلك من خلال شبكة الخادم الخاصة بهم.
نصيحة : حاول استخدام Cloudflare باعتباره CDN الخاص بك. هناك حسابات مجانية متاحة مع الميزات الأساسية ويمكنك توسيع نطاقها مع تغير احتياجاتك.
3. استخدم دائمًا شهادات SSL
تساعد شهادات طبقة مآخذ التوصيل الآمنة (SSL) على ضمان أن تكون أي معلومات يشاركونها على موقعك مشفرة وآمنة. اليوم ، أصبحت SSL مهمة جدًا لدرجة أن متصفحات الإنترنت الرئيسية ستحذر المستخدمين إذا كان الموقع لا يستخدم SSL.
هناك أنواع قليلة من شهادات SSL وتختلف أسعار كل منها. كن مطمئنًا أنه إذا كنت تدير موقعًا شخصيًا أو حتى موقعًا لشركة صغيرة ، فيمكنك بسهولة استخدام شهادة SSL مجانية. من السهل الحصول عليها وتثبيتها ؛ في الواقع ، يمكنك القيام بذلك ببضع نقرات إما في Plesk أو cPanel.
نصيحة : يمكنك الحصول على شهادة SSL مجانية من Let's Encrypt إما مباشرة منها ، ولكن من الأفضل أن يقدم مضيف الويب هذه الخدمة. قد يتيح مضيفو الويب اليوم التثبيت السهل لـ Let's Encrypt free SSL.
4. احتفظ دائمًا بالنسخ الاحتياطية
النسخ الاحتياطي التلقائي والاستعادة مع استضافة WPX
على الرغم من وجود مضيفي ويب يقدمون حولهم ميزات النسخ الاحتياطي والاستعادة ، إلا أن البعض لا يزال لا يفعل ذلك. بغض النظر عن هذا ، يجب عليك دائمًا عمل نسخ احتياطية خاصة بك والاحتفاظ بمجموعة من الملفات دون اتصال بالإنترنت ، فقط في حالة حدوث ذلك. قد يبدو هذا مملاً قليلاً بالنسبة لك ، لكن ليس لديك فكرة عن كيفية قيام مضيفك بإعداد نظام النسخ الاحتياطي الخاص به أو ما قد يحدث في حالة وقوع كارثة. يمكن أن يكون الاحتفاظ بنسخة احتياطية في وضع عدم الاتصال (لكل من ملفاتك وقاعدة البيانات!) منقذًا للحياة.
نصيحة : أتمتة عملية النسخ الاحتياطي في وضع عدم الاتصال أسهل مما تعتقد ، خاصة إذا كنت تستخدم WordPress. استخدم المكون الإضافي للنسخ الاحتياطي UpdraftPlus ويمكنك النسخ الاحتياطي عن بُعد بأي تردد إلى وجهة من اختيارك. قد ترغب أيضًا في التحقق من خدمات النسخ الاحتياطي هذه لـ WordPress
5. تقوية كلمات المرور
لقد سمعت عن ذلك ، وشاهدته يحدث في الأفلام وقد تكون مذنباً بفعله بنفسك ، لكن استخدام كلمات مرور سهلة التذكر يعد وصفة لكارثة. المتسللون اليوم متطورون بما يكفي لأن لديهم ملفات كاملة تسمى قواميس مليئة بكلمات المرور شائعة الاستخدام والتي سيختبرونها ضد دفاعات الموقع.
لوضع الأمور في نصابها الصحيح ، يمكن للروبوتات أن تفرض كلمة مرور مكونة من ستة أحرف في غضون أربع ساعات تقريبًا. تذكر أن كل هذا يتم تلقائيًا ، لذا أثناء نومك أنت والمهاجمين الإلكترونيين ، تتحرك الروبوتات في محاولة اقتحام مواقع الويب.
تلميحات : استخدم كلمة مرور أطول وأكثر تعقيدًا والتي يفضل أن تتكون من مزيج من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة.
6. تشفير الاتصال الخاص بك
نظرًا لأنك مالك موقع الويب الخاص بك ، فيجب أن يظل اتصالك بحساب استضافة الويب الخاص بك أكثر أمانًا من اتصال زوارك. أوصي بأن تقوم إما بنقل الملفات باستخدام بروتوكول نقل الملفات الآمن (SFTP) أو عبر اتصال شبكة خاصة ظاهرية (VPN).
ستساعد كلتا الطريقتين في منع أي شخص من محاولة اعتراض وسرقة البيانات التي ترسلها إلى خادم الويب الخاص بك. أنا شخصياً أوصي باستخدام VPN ، على الرغم من أن التكلفة عادة ما تكون أعلى من استخدام عميل SFTP. تعمل شبكات VPN من خلال تشفير كل ما يتم إرساله من جهاز الكمبيوتر الخاص بك بحيث تغطي جميع السيناريوهات!
نصيحة : إذا لم تكن VPN هي فنجان الشاي الذي تفضله ، فهناك عدد كبير من عملاء SFTP المتاحين للاستخدام. أوصي بـ FileZilla وهو قوي للغاية ومفتوح المصدر.
7. حافظ على الأشياء محدثة
إحدى الطرق التي يحاول بها المهاجمون الوصول إلى مواقع الويب هي استغلال نقاط الضعف المعروفة في البرامج. تحتوي جميع البرامج تقريبًا على أخطاء أو ثغرات من نوع ما ويتم تحديث العديد منها باستمرار لسد هذه الفجوات كما يجدها المطورون.
تأكد من تحديث جميع البرامج التي تستخدمها لموقعك على الويب قدر الإمكان. إذا كنت تستخدم WordPress ، فتأكد من أنه ليس فقط تثبيت WordPress الخاص بك محدثًا ولكن أيضًا كل مكون إضافي أو سمة قمت بتثبيتها.
نصيحة : يقدم بعض مضيفي الويب تحديثات بنقرة واحدة لمواقع WordPress والتي ستمكنك بسرعة من تحديث ليس فقط موقع واحد ، ولكن جميع مواقعك المستضافة ضمن حسابك.
8. الاستفادة من ملفات تكوين الخادم
نوع ملفات تكوين الخادم التي تحتاج إلى التعامل معها اعتمادًا على نظام استضافة الويب الذي تستخدمه. على سبيل المثال ، يستخدم Apache .htaccess بينما تستخدم Microsoft ملفات web.config. ملفات التكوين هذه قوية للغاية ويمكن استخدامها لتحسين أمان موقعك.
من خلال إضافة القواعد الصحيحة إلى ملفات تكوين الخادم ، يمكنك منع تصفح الدليل ، ومنع الآخرين من الارتباط السريع بالصور الموجودة على موقعك وحتى حماية ملفات معينة.
نصيحة : إذا لم تكن متأكدًا من خادم الويب الذي تستخدمه ، يمكنك التحقق من ذلك بسرعة كبيرة هنا.
9. انتبه إلى أذونات الملفات
تحتوي الملفات على العديد من الخصائص التي تحدد ما يمكن للمستخدمين القيام به لهم ومن يقوم بها. في الأساس ، هناك ثلاثة أدوار يمكن أن تتفاعل مع الملفات ؛ أصحاب والمجموعات والعامة. الأشياء التي يمكنهم فعلها بالملفات هي قراءتها أو كتابتها أو تنفيذها.
لتأمين موقعك حقًا ، تعرف على الملفات المهمة وتحقق من الأذونات التي تم تعيين كل منها بها. يمكن أن ينتهي إذن الملف المحدد بشكل غير صحيح بالسماح لأي شخص لديه حق الوصول إليه بإضافة تعليمات برمجية ضارة قد تضر بموقعك.
نصيحة : إذن الملف 666 يسمح لأي شخص بكتابة أي شيء إلى ملفك - كن حذرًا للغاية من استخدام هذا الإعداد!
10. استخدم المصادقة الثنائية
فيما يتعلق بالبند رقم 5 ، بغض النظر عن طول كلمة المرور أو تعقيدها ، لا يزال من المحتمل أن يتم اختراقها. إذا كان هذا حقًا رهابًا لك ، فإنني أوصيك بشدة بالبحث عن نظام مصادقة ثنائية (2FA).
يعني استخدام المصادقة الثنائية (2FA) أنه بصرف النظر عن كلمة المرور الخاصة بك ، يجب أن يتحقق النظام الذي تحاول الوصول إليه من هويتك من خلال وسائل أخرى. الطريقة الأسرع والأكثر شيوعًا للمصادقة 2FA هي المصادقة عبر رمز الهاتف المحمول.
بمجرد التحقق من كلمة المرور الخاصة بك ، سيرسل النظام رمزًا إلى جهازك المحمول ويعرض رمز المصادقة لك. يجب إدخال هذا الرمز في النظام قبل الحصول على حق الوصول. هذا يزيد من أمن نظامك بشكل كبير.
نصيحة : هناك العديد من أنظمة المصادقة الثنائية المتاحة في السوق. إذا كنت تستخدم WordPress ، فهناك عدد قليل منها مجاني يمكنك تجربته مثل Google Authenticator.
الخلاصة: تحدث بهدوء واحمل عصا كبيرة
على الرغم من أنني قدمت هنا 10 أمثلة لأفضل ممارسات أمان استضافة الويب ، إلا أن هناك الكثير وقد يشتمل بعضها على أكثر من عنصر واحد يمكنك القيام به أو الاهتمام بتحسينه. لهذا السبب ، قد يكون من الصعب على مالكي مواقع الويب تتبع كل شيء - خاصةً إذا لم يكن هذا هو عملك الأساسي.
أوصي بوضع قائمة مرجعية حيث تقوم بإدراج كل ما يجب مراقبته وفصله حسب التردد. على سبيل المثال ، ما هي العناصر التي تحتاج إلى فحصها يوميًا أو أسبوعيًا أو شهريًا. سيساعدك هذا على مواكبة السرعة.
تذكر أنه ليس عليك أن يكون لديك أمان مثالي لموقع الويب - سيكون ذلك مستحيلًا. ما عليك فعله حقًا هو جعل الأمور صعبة على أي مهاجم قدر الإمكان حتى يفقدوا الاهتمام بموقعك وينتقلون إلى عمليات الاختيار الأسهل.
كما قال تيدي روزفلت ، "تحدث بهدوء واحمل عصا كبيرة" دفاعاتك الأمنية هي عصاك الكبيرة ، إذا جاز التعبير.