☸️ ⛄️ 🥂 كيفية تأمين موقع الويب الخاص بك؟ 🛣️ 🐁 🤜

بحثًا عن الأساليب والأدوات الحديثة التي تسمح لنا على الأقل بدرجة معينة من اليقين بالادعاء بأن الموقع محمي من هجمات القراصنة المستقبلية (أن الجميع سيحصلون عليها ، فلا أحد لديه شك في كل شيء؟ وإذا لم يكن هناك أي ، ثم هذه مسألة وقت فقط) ، تم العثور على التوصيات التي سننظر فيها في هذه المقالة.

هذه قائمة صغيرة ولكنها مهمة من الإجراءات المحددة التي يجب على الجميع اتخاذها مع موارد الويب الخاصة بهم ، إذا لم تكن سمعة الشركة وأمن موارد الويب وبيانات العملاء عبارة عن كلمات فارغة بالنسبة لك.

هناك عدة طرق أساسية لحماية موقعك:

توفير الحماية ضد هجمات DDoS ؛
توصيل شهادة SSL ؛
استخدام استضافة موثوقة ؛
استخدام المكونات الإضافية / المكتبات / الأطر / نظام إدارة المحتوى (المشار إليها فيما يلي باسم "وحدات الجهات الخارجية") ؛
SQL- XSS-;
- ;
- ;
, ;
, -, .

وبطبيعة الحال ، كل عنصر له "ولكن" وعدد من العناصر الفرعية التي يجب الانتباه إليها. يمكن أيضًا تقسيمها إلى مجموعات فرعية استنادًا إلى الاعتبارات التالية: تتطلب بعض الإجراءات اتصالًا لمرة واحدة وتكوينًا وفحوصات صحية نادرة (إعداد استضافة وشهادة SSL) ، في حين أن البعض الآخر يتضمن فحوصات مستمرة وتحديثات وتتطلب اهتمامًا وثيقًا (كل شيء آخر).

استضافة موثوقة و SSL

لذلك ، بادئ ذي بدء ، تحتوي ترسانتنا على خادم موثوق به أو استضافة مشتركة ، ستبقى إدارتها خارج نطاق هذه المقالة. أما بالنسبة لربط شهادة SSL ، فهذا إجراء إلزامي وحتى التعليقات زائدة عن الحاجة هنا.

حماية ضد هجمات DDoS

إذا كان موفر الاستضافة الخاص بك يقدم خدمات للحماية من هجمات DDoS أو كنت تستخدم خدمات مكافحة DDoS ، فيمكن اعتبار هذا السؤال مغلقًا ، ولكن لماذا لا تقوي الحماية وتنظمها بنفسك ، وهي بلا شك مهمة تستغرق وقتًا طويلًا وتتضمن ضمناً في نفس الوقت باستخدام التقنيات التالية: إذا تم استخدام Apache كخادم ويب ، فأنت بحاجة إلى وضع وكيل للتخزين المؤقت أمامه - Nginx أو Lighttpd ، ومن الأفضل استخدام Nginx على الواجهة الأمامية ، ولكن مع العديد من الوظائف الإضافية (تحديد حجم المخازن المؤقتة والاتصالات في Nginx ، وتكوين المهلات و وما إلى ذلك ؛ استخدم وحدة testcookie-nginx ؛ استخدم تصفية عناوين URL وأعطي الرمز غير القياسي 444 ، الذي يسمح لك بإغلاق الاتصال وعدم إعادة أي شيء) ؛ في بعض الحالات ، استخدم القفل الجغرافي ؛أتمتة عملية تحليل سجلات الموقع ، مع إيلاء اهتمام خاص لكمية حركة المرور ، ووقت استجابة الخادم ، وعدد الأخطاء وعدد الطلبات في الثانية.

أمن الطرف الثالث

فيما يتعلق بالتوصية المتعلقة باستخدام وحدات الطرف الثالث الآمنة في تطبيقاتها ، من المحتمل أن يكون هذا الموضوع من أهم الموضوعات ، لأن معظم الهجمات الخبيثة تحدث من خلال وحدات الطرف الثالث. جوهر هذه الفقرة هو استخدام الأطر والمكتبات مع ميزات الأمان المضمنة التي ستساعد المطورين على تقليل مظهر الثغرات في عملية التنفيذ. أود أن أسلط الضوء على توصيات أكثر تفصيلاً بشأن هذا العنصر: استخدم وحدات خارجية من مصادر موثوقة يدعمها المجتمع ويتم تطويرها بنشاط ؛ تحديث قائمة جميع وحدات الجهات الخارجية ؛ استخدم فقط الوظائف المطلوبة داخل التطبيق الخاص بك.

حقن SQL وهجمات XSS

تتطلب التوصية المتعلقة بالحماية ضد حقن SQL وهجمات XSS شرحًا أكثر تفصيلاً ، لأن الغرض من المهاجمين هنا هو بيانات محددة من قاعدة البيانات (إدخال SQL) وبيانات المستخدم (هجوم XSS). من المفيد أيضًا أن نفهم أن المشكلات المتعلقة بحقن SQL تغطي قسمًا واسعًا حول توفير وصول آمن إلى جميع مستودعات البيانات ، بما في ذلك قواعد البيانات العلائقية وقواعد بيانات NoSQL ، وتشمل مشكلات أمان الاستعلام (تجنب الإدخال غير المشروع كجزء من SQL- الأوامر والحل الأفضل هو استخدام الاستعلامات ذات المعلمات التي يمكن تطبيقها على تركيبات SQL / OQL والإجراءات المخزنة) ، والتكوين (تحتاج إلى التأكد من تكوين أدوات أمان DBMS الحالية والنظام الأساسي الذي تم تثبيته عليه بشكل صحيح) ،المصادقة (يجب إجراؤها عبر قناة آمنة) والاتصالات (نظرًا لوجود عدة طرق للتفاعل مع قاعدة البيانات (من خلال خدمة أو واجهة برمجة تطبيقات) ، من الضروري ضمان أمان الاتصالات باستخدام التشفير والمصادقة).

بالنسبة إلى البرمجة النصية عبر المواقع (هجوم XSS) ، في هذه الحالة يمكن أن تكون عواقب الخطورة المعتدلة ناتجة عن XSS أو XSS المنعكس بناءً على نموذج كائن المستند (DOM) ، ويمكن أن تؤدي البرمجة النصية عبر المواقع مع تنفيذ التعليمات البرمجية في متصفح المستخدم إلى عواقب وخيمة لسرقة بيانات الاعتماد أو جلسات الاعتراض أو تثبيت برامج ضارة. إجراء الحماية الأساسي في هذه الحالة هو الفحص (إضافة مجموعات معينة من الأحرف قبل الأحرف أو الخطوط لمنع تفسيرها غير الصحيح) ، وترميز البيانات (تحويل أحرف معينة إلى مجموعات من الأحرف التي لا تشكل خطورة على المترجم) على جانب الخادم واستخدام مجموعة من رؤوس HTTP على وجه الخصوص ، Set-Cookie مع معلمات HttpOnly و Secure ،بالإضافة إلى حماية X-XSS بقيمة 1.

أحد إجراءات الأمان الشائعة المستخدمة لمنع إدخال SQL والبرمجة النصية عبر المواقع هو فحص جميع المدخلات لبناء الجملة وعلم الدلالة. يجب أن يُفهم المعيار النحوي على أنه المطابقة الكاملة لبيانات الإدخال مع نموذج العرض المتوقع ، ويشير المعيار الدلالي إلى أن بيانات الإدخال لا تتجاوز حدود وظيفة معينة.

تسجيل الدخول والرقابة

تم بالفعل ذكر التوصية المتعلقة بتسجيل جميع الأحداث ومراقبة الأحداث الأمنية عند النظر في طرق الحماية من هجمات DDoS ، ولكن في هذه الحالة يتعلق الجانب الأوسع من المشكلة بالكشف عن الهجمات ومكافحتها ، وكذلك التحقيق في الحوادث الأمنية التي حدثت بالفعل. وبالتالي ، بالإضافة إلى أدوات التسجيل القياسية التي يوفرها خادم الويب ، تحتاج إلى التأكد من تسجيل وقت الحدث ومعرف المستخدم ، بالإضافة إلى النشاط المحتمل المحتمل أن يكون خاصًا بموقعك على الويب. في حالة اكتشاف نشاط ضار ، يجب أن يقوم التطبيق الخاص بك بحظر جلسة المستخدم أو الحظر بواسطة عنوان IP ، بشكل عام ، واتخاذ الإجراءات وإبلاغ المسؤول عنها. هنا نتحدث عن أدوات مثل WAF أو IDS / IPS.

النسخ الاحتياطية

بالنسبة للنسخ الاحتياطي المنتظم للموقع وجميع البيانات ، هنا تحتاج إلى التفكير في مكان ونوع تخزين هذه البيانات. الطريقة الفعالة هي تشفير تخزين البيانات الهامة والنسخ الاحتياطية ، بالإضافة إلى تخزين ملفات النسخ الاحتياطي ليس على نظام الملفات ، ولكن في مكان مختلف ، لا يوجد شك في سلامتها ، والتي ستكون دائمًا في متناول اليد للنشر السريع.

12345 أو qwerty؟

لا تقتصر التوصية باستخدام كلمات مرور قوية ومعقدة على كلمات المرور فحسب ، ولكنها تتعلق بشكل عام بالمصادقة وإدارة جلسة المستخدم. هناك ثلاثة مستويات للمصادقة ، واستخدام كلمات المرور فقط يشير فقط إلى المستوى الأول - المستوى الأبسط (والثاني هو المصادقة متعددة العوامل ؛ والثالث هو المصادقة بناءً على التشفير). ومع ذلك ، حتى هنا يوجد عدد من المتطلبات لكلمات المرور نفسها ، وآلية استعادة كلمة المرور ، وكذلك للتخزين الآمن لكلمات المرور. تسمح لك إدارة الجلسة بمراقبة حالة مصادقة المستخدم للعمل مع موقع ويب دون إعادة المصادقة. الجلسات مطلوبة أيضًا لإنشاء وإكمال.

حماية لوحة المشرف

التوصية النهائية هي حماية لوحة الإدارة للموقع ، لأنها واحدة من نقاط الضعف في النظام العام بسبب الوظائف الواسعة المرتبطة بإضافة / تحرير المنشورات والصفحات ، والعمل مع الملفات وأكثر من ذلك بكثير. لذلك ، هناك شرط مهم هو ضمان التحكم في الوصول المناسب ، وكذلك الحد الأقصى من إخفاء موقع اللجنة الإدارية من المتسللين ، والذي يتحقق ببساطة عن طريق نقل العنوان إلى عنوان غير قياسي وتعظيم الحماية لنقطة الدخول هذه عن طريق حمايته من القوة الغاشمة ، والتصفية حسب عنوان IP ، إلخ. عند إنشاء نظام التحكم في الوصول ، يجب الالتزام بالمبادئ التالية: إرسال جميع الطلبات من خلال نظام التحكم في الوصول ؛ رفض الوصول افتراضيًا (أي رفض الطلب ، إذا لم يكن مصرحًا له تحديدًا) ؛ الحد الأدنى من الامتيازات لجميع المستخدمين ،البرامج أو العمليات ؛ رفض استخدام نموذج دور التحكم في الوصول ، مشفر في المدونة ؛ تسجيل جميع الأحداث المتعلقة بالتحكم في الوصول.

استنتاج

تتناول مقالة المراجعة هذه بعض التقنيات لتحسين أمان موقع الويب. تستحق كل توصية فردية مراجعة منفصلة ، ولكن حتى مع هذه المراجعة الموجزة ، يبقى شيء واحد واضحًا - يجب أن يكون نهج ضمان الأمن شاملاً ومنهجيًا ولا يجب التسامح معه. تحتاج إلى الاقتراب بعناية من التحكم في الوصول ، وتحديث وحدات الطرف الثالث المحدثة ، وتصفية بيانات الإدخال وأكثر من ذلك بكثير. هل لديك شيء لتضيفه؟ تأكد من المشاركة في التعليقات.

كإعلان

تقدم VDSina خوادم موثوقة مع الدفع اليومي أو لمرة واحدة ، كل خادم متصل بقناة إنترنت 500 ميغا بت وخالية من هجمات DDoS!

كيفية تأمين موقع الويب الخاص بك؟