امنیت در هاست , امنیت در وبلاگ ,امنیت در کنترل پنل
برای افزایش امنیت اکانت خود می توانید موارد زیر را در نظر داشته باشید:
۱. از نصب برنامه های غیر مطمئن و دارای سابقه امنیتی نامناسب بر روی سرویس هاستینگ پرهیز کنید.
۲. از نصب افزونه ها و پوسته های غیر مطمئن و با سابقه امنیتی نامناسب بر روی برنامه های نصب شده بر روی سرویس هاستینگ پرهیز کنید.
۳. از نصب برنامه های اضافی بر روی سرویس پرهیز کرده و در صورت نیاز به انجام اینکار در صورت امکان دسترسی به اسکریپت آزمایشی نصب شده بر روی سرویس را از طریق رمز گذاری بر روی شاخه محل نصب اسکریپت محدود کنید.
۴. برنامه های نصب شده بر روی سرویس هاستینگ و نیز افزونه های نصب شده بر روی آن برنامه ها را به صورت مرتب به آخرین ویرایش ارایه شده برنامه و افزونه ها بروز رسانی کنید. انجمن ناجی
۵. از رمزهای عبور قوی برای بخشهای مختلف سرویس هاستینگ (پنل کاربری خود در سایت خود ، وبلاگ خود ، کنترل پنل هاست، دیتابیس ها، کاربران بخش های مدیریت برنامه ها) استفاده کنید.
یک رمز عبور قوی عبارتی است که حداقل دارای ۸ کاراکتر بوده و ترکیبی (ترجیها تصادفی) از حروف بزرگ و کوچک انگلیسی، اعداد و علامتهای
!@#$%^&*()+=
باشد. (بهتر است که رمزهای عبور بخشهای مختلف را نیز به صورت دوره ای مرتبا تغییر دهید)
تجربه تیم مانیتورینگ نت افراز نشان داده است که بخش های مدیریت برنامه های مدیریت محتوای سایتهای مختلف (به خصوص برنامه های وردپرس، جوملا، وی.بالتین و مای.بی.بی) به صورت مداوم تحت حمله بروت فورس(استفاده از سعی و خطا در شکستن رمز عبور با وارد کردن متوالی رمزهای عبور آزمایشی) مدیریت شده توسط هکرها ( به خصوص هکرهای چینی، روسی،برزیلی و اوکراینی) برای نفوذ به برنامه و در نتیجه نفوذ به سرویس هاستینگ برای انجام فعالیت های غیرقانونی نظیر انتشار بدافزارها یا ارسال اسپم از طریق سرویس قربانی می باشد. بنابراین استفاده از رمزهای عبور ضعیف برای دسترسی به بخش مدیریت یک برنامه یک اشتباه بسیار بزرگ بوده و روزانه تعداد زیادی وب مستر قربانی این بی احتیاطی می گردند. به همین جهت استفاده از رمزهای عبور قوی برای بخش های مدیریت برنامه های نصب شده بر روی سرویس پیشنهاد می کنیم در صورت امکان دسترسی به شاخه های بخش مدیریت برنامه و اسکرپیتهای لاگین برنامه را از طریق رمز گذاری و یا محدود کردن آی.پی های مجاز به دسترسی به این شاخه ها/اسکریپتها محدود کنید.
۶. یکی از شیوه های شناسایی سایتهای با حفره های امنیتی در افزونه ها یا پوسته های نصب شده بر روی این سایتها، جستچو و شناسایی سایتهای حامل آن حفره امنیتی از طریق موتورهای جستجو مانند گوگل می باشد. به همین دلیل به منظور افزایش سطح امنیت سرویس پیشنهاد می گردد که دسترسی روباتهای موتورهای جستجو به شاخه ها و فایلهای حساس سرویس را از طریق تنظیمات فایل
robots.txt
محدود نمایید. به عنوان مثال محدود کردن دسترسی روباتهای موتورهای جستجو به شاخه
wp-content/plugins
یک اقدام امنیتی مناسب برای سایتهای وردپرسی می باشد. جهت کسب اطلاعات لازم جهت شاخه هایی که بهتر دسترسی روباتهای موتورهای جستجو به آنها محدود گردد پیشنهاد میکنیم با پشتیبانی برنامه موردپرس استفاده تماس حاصل فرمایید.
۷. به هیچ عنوان از اکانتهای وی.پی.ان رایگان و غیر مطمئن برای اتصال اف.تی.پی و یا ورود به دایرکت ادمین با پورت غیر امن 2222 استفاده نکنید(در هر صورت پیشنهاد می کنیم برای دسترسی به دایرکت ادمین همیشه از طریق
https
و پورت امین 2223 اقدام کنید.)
۸. از آپلود فایل به صورت نامنظم و پراکنده بر روی سرویس خودداری نمایید و فایلها را به صورت دسته بندی شده و در شاخه های منظم با ساختار سلسله مراتبی بر روی سرویس آپلود نمایید( فایلهاو تصاویر آپلودی بر روی سرویس در شاخه های مخصوص به خود آپلود شده و از آپلود فایلها در لابه لای فایلها و اسکریپتهای برنامه ی نصب شده بر روی سایت خودداری نمایید). از آپلود و نگهداری فایلهای اضافی که نیازی به دسترسی به آنها از طریق وب نمی باشد در شاخه
public_html
دامین ها خودداری نمایید. برای نگهداری این فایلها یک شاخه مخصوص برای این منظور خارج از شاخه های
public_html
ایجاد و فایلها را در آنها قرار دهید.
۹. فایلهای موجود بر روی سرویس هاستینگ خود را به صورت مرتب و روزانه بررسی کنید و در صوریتکه به فایل(های) مشکوکی بر روی اکانت خود برخورد کردید، در اسرع وقت اطلاع دهید تا فایل(های) مشکوک بررسی شوند.
منظم بودن و پراکنده نبودن فایلها بر روی سرویس (رعایت مورد شماره ۶) امکان شناسایی سریعتر تغییرات ایجاد شده غیر عادی در فایلهای سرویس را فراهم خواهد کرد و همچنین در صورت آلوده شده فایلهای سرویس، ریکاور کردن و پاکسازی اطلاعات به صورت دقیقتر و با سرعت بیشتر امکانپذیر خواهد شد. همچنین شما میتوانید با کلیک بر روی ستون
Date
در جدول لیست فایلها در بخش «مدیریت فایل» در دایرکت ادمین فایلها را بر اساس زمان آخرین تغییر آنها مرتب کنید و در صورت مشکوک بودن زمان آخرین تغییر یک فایل که اخیر تغییر یافته است محتوای فایل را جهت اطمینان از اینجکت شده کدهای آلوده به فایل بررسی کنید.
۱۰. سابقه هک شدن سرویس های هاستینگ از طریق نفوذ به سیستم شخصی کاربران و دسترسی به اطلاعات آنها و حتی هک کردن اکانتهای ایمیل کاربران(جی.میل، یاهو،..) به وفور مشاهده شده است بنابراین عدم رعایت مسایل امنیتی در مورد سیستم شخصی خود یا اکانتهای ایمیل خود بر روی سرویس دهنده های بزرگ و یا اتصال از یک سیستم غیر مطمئن به سرویس هاستینگ شما نیز می تواند امنیت سرویس هاستینگ شما را به شدت به مخاطره اندازد بنابراین رعایت مسایل امنیتی مربوط به موارد مورد اشاره نیز برای افزایش امنیت سرویس هاستینگ شما الزامی می باشد.