كيفية حماية مخدم الويب من الاختراق

أنوع الإختراقات كثيرة ولكن يمكن أن نستعرض بعضاً منها كالتالي

1. هجمات الحرمان من الخدمة (ddos attack) : هذا الهجوم عبارة عن تكنيك يعمل على زيادة الضغط والحمل على الخادم بشكل كبير حتى يُصبح غير قادر على تلبية كل تلك الطلبات ويكون خارج الخدمة
2. حقن قاعدة البيانات sql inejction : عبارة عن إرسال جمل إستعﻻمية إلى الخادم بهدف سرقة معلومات, التعديل على بيانات, حذف بيانات, إضافة بيانات وعادةً يتم ذلك الهجوم عبر حقن الجمل في الform
3. حقن الإسكريبت cross site scripting : هذا التكنيك شبيه لحقن قاعدة البيانات لكنه يقوم بحقن إسكريبتات جافاسكريبت

طرق الحماية

1. بالنسبة لهجوم الحرمان من الخدمة يوجد عدة تكنيكات متبعة للحماية منه:
2. إستخدام خوادم خارجية لخدمة الملفات الثابتة CDN حتى ﻻ يكون الحمل على الخادم كبير
3. إجراء عملية الCapcha حتى ﻻ يستطيع احد إرسال طلبات للخادم قبل التأكد من أنه ليس روبوت ( ﻻ يقوم بهجوم ddos)

بالنسبة لحقن قاعدة البيانات يمكن الحماية منه بالشكل التالي

1. يجب بالطبع فلترة البيانات التي يدخلها المستخدم أولاً
2. تنفيذ الجمل الإستعﻻمية من النوع prepared وهي نوع من الجمل الاستعﻻمية التي ﻻ تأخذ القيمة من المُستخدم مباشرةً وإنما تقوم أولاً بتحويلها إلى نصوص/ أرقام لضمان أن تلك القيم لا يوجد بها جمل sql فمثلاً إن قام المُستخدم بإدخال في حقل الإسم

   *;select * from payments

   سيتم ترجمة ذلك في قاعدة البيانات بدون prepared statements على الشكل التالي 

   select * from users where name =*; select * from payments

   ويتم إذاً الإفصاح عن بيانات جدول الدفع ولكن باستخدام الprepared statement سيتم معاملة الجملة كلها على انها اسم المستخدم حيث تتحول لنص وليس إلى جملة استعﻻمية

بالنسبة لحقن الجافاسكريبت

1. يجب التأكد من أن القيم التي أدخلها المستخدم خالية من أي أكواد أو وسوم حيث يتم فلترتها 

هناك عدة هجمات لكن أكثر الهجمات خطورة هي التي تعطي المهاجم صلاحيات دخول لل server وعادة يقومون بهذه بتحليل ال server لرؤية ما تم تأمينه ويمكنهم انشاء هجوم bruteforce لايجاد كلمة السر ولكن هناك طرق للحماية وتقليل الأخطار ورفع مستوى الأمان منها

تحديث النظام الخاص بك

يقدم مطورو التوزيعات وأنظمة التشغيل تحديثات متكررة لحزم البرامج ، غالبًا لأسباب أمنية. يعد ضمان تحديث التوزيع أو نظام التشغيل نقطة أساسية لتأمين VPS الخاص بك.

تغيير منفذ استماع SSH الافتراضي

من أول الأشياء التي يجب القيام بها على الخادم تهيئة منفذ الاستماع لخدمة SSH. تم تعيينه على المنفذ 22 افتراضيًا ، وبالتالي فإن محاولات اختراق الخادم بواسطة الروبوتات ستستهدف هذا المنفذ. يعد تعديل هذا الإعداد باستخدام منفذ مختلف إجراءً بسيطًا لتقوية الخادم الخاص بك ضد الهجمات الآلية.

إنشاء مستخدم بحقوق مقيدة

بشكل عام ، يجب تنفيذ المهام التي لا تتطلب امتيازات root عبر مستخدم عادي.

تعطيل الوصول إلى الخادم عبر المستخدم root

يتم إنشاء المستخدم root افتراضيًا على أنظمة GNU / Linux. الوصول إلى root يعني الحصول على معظم الأذونات على نظام التشغيل. ليس من المستحسن بل من الخطير أن تترك الخادم الافتراضي الخاص بك متاحًا فقط عبر root، حيث يمكن لهذا الحساب أن يؤدي عمليات ضارة بشكل لا رجعة فيه.

تثبيت Fail2ban

Fail2ban هو إطار عمل برمجي لمنع التطفل مصمم لحظر عناوين IP غير المعروفة التي تحاول اختراق نظامك. يوصى باستخدام حزمة البرامج هذه للحماية من أي هجمات عنيفة على خدماتك.