جلوگیری از هک سایت های وردپرسی در هاست اشتراکی
جلوگیری از دسترسی افراد غیرمجاز در هاست های اشتراکی
۱-به هیچ کس اجازه دسترسی به فایل wp-config.php را نمی دهند ولی صاحب وب سایت و سرور اجازه دسترسی به این فایل با پرمیژن ۴۰۰ ( فقط خواندن ) را دارند.
۲-Remote Mysql Connection را می بندند و اجازه اتصال به دیتابیس را فقط به IP سرور محدود می کنند.
جلوگیری از هک سایت های وردپرسی در هاست اشتراکی با پیدا کردن سرور های آسیب پذیر
اسکریپتهای قدرتمندی در این زمینه وجود دارد اما اگر دسترسی روت ندارید میتوانید از اسکریپت زیر استفاده کنید و چک کنید که آیا سایتهای روی سرور این آسیب پذیری را داراند یا خیر؟
$sites = array_map(“site”, bing(“ip:$ip.$i wordpress”));
$un=array_unique($sites);
echo “[+] Scanning -> “, $ip.$i, “”.”\n”;
echo “Found By Pro.AlaaCool : “.count($sites).” sites\n\n”;
foreach($un as $pok){
$host=findit($file,”DB_HOST’, ‘”,”‘);”);
$db=findit($file,”DB_NAME’, ‘”,”‘);”);
$us=findit($file,”DB_USER’, ‘”,”‘);”);
$pw=findit($file,”DB_PASSWORD’, ‘”,”‘);”);
$bda=”http://$pok”;}}
تغییر مسیر های پیش فرض در هاست اشتراکی
یکی دیگر از متداول ترین روش های هک، عدم تغییر مسیر های دسترسی مدیریتی میباشد.پس دسترسی هکر برای تست مشخصات ورود به ادمین بسیار راحتر می باشد، چرا که مسیرهای پیش فرض راه را برای تست های او کوتاه کرده است. تمامی مسیر های پیش فرض امنیتی و مدیریت را حتما تغییر دهید.
بررسی پرمیشن فایل های مهم در هاست اشتراکی
فایلهای مهم روی هاست خود را حتما بررسی کنید که پرمیشن های بیشتری برای ویرایش نداشته باشند. به عنوان مثال برای فایل wp-config.php پرمیشن ۴۴۴ نیز مناسب میباشد. در صورتی که مشکلی برایتان ایجاد نمی کند حداقل پرمیشن را تنظیم کنید و دسترسی اضافی به ویرایش فایلها را مسدود کنید.
غیرفعال سازی اکانت های اف تی پی غیر ضروری در هاست اشتراکی
اگر برای کاربران مختلف اکانت های اف تی پی (ftp) ایجاد نموده اید حتماً بصورت دوره ای آنها را بررسی کنید و اکانت های اضافی را حذف کنید تا دسترسی ها به هاست شما محدودتر گردد.
اطمینان از وجود مودسکیوریتی در هاست اشتراکی
در صورتی که روی هاست شما مود سکیورتی نصب می باشد، از طریق کنترل پنل هاست خود بررسی کنید که آن را بصورت اشتباه غیرفعال نکرده باشید و همچنین برخی از سرویس دهندگان به دلیل ارور هایی که مود سکیورتی برای کاربر می گیرد آنرا غیرفعال می کند. چک کنید که مودسکیوریتی حتما فعال باشد.
غیرفعال کردن نمایش خطا در هاست اشتراکی
از موارد بسیار مهم برقرار امنیت وب سایت، غیر فعال سازی نمایش خطا میباشد. یک هکر حرفه ای به Try هایی که روی هدف خود انجام میدهد، می تواند از طریق خطاهای موجود باگهای راحت تری کشف کند تا به سایت شما نفوذ کند. پس حتماً نمایش خطا را کلاً غیر فعال و یا محدود به سرور و آی پی کنید.
جلوگیری از تلاش برای ورود در هاست اشتراکی
در صورتی که سیستم هایی مدیریت محتوا نظیر whmcs و یا وردپرس استفاده می کنید حتماً روی سیستم های مدیریت محتوای خود از ماژول هایی جهت محدود سازی تلاش مجدد برای ورود استفاده کنید. استفاده از این ماژول ها باعث می شود در صورت ورود اشتباه چندین باره، آی پی کاربر و یا خود نام کاربری وی بصورت موقت یا دائمی مسدود گردد.
ایجاد محدودیت برای دانلود در هاست اشتراکی
برای فایل های مهم نظیر wp-config.php وردپرس حتماً محدودیت دانلود ایجاد کنید، این فایل ها بصورت پیش فرض امکان دانلود ندارند و فقط اجرا میشوند. ولی روش هایی برای دور زدن آن نیز می تواند وجود داشته باشد. حتماً اطمینان حاصل کنید که از دانلود فایل های داینامیک وری هاست شما جلوگیری خواهد شد.
محدود کردن به آی پی
بعد از محدود کردن پوشه های مهم نوبت به محدود سازی این مسیر ها به آی پی نیز بایستی انجام شود. برای این مورد به راحتی همانند اضافه کردن پسورد در سرور های لینوکسی میتوانید از .htaccess لیست آی پی های مجاز را تعریف و لیستی از آی پی های غیرمجاز را جهت Deny شدن اضافه کنید.
محدود سازی بخش های مهم در هاست اشتراکی
بعد از تغییر نام پوشه ها و مسیر های مهم و حساس گام بعدی ایجاد محدودیت برای دسترسی به این فولدر ها می باشد. به فولدرهای مهم و ادمین حتماً از طریق وب سرور پسورد اضافه کنید تا قبل از ورود به فولدر فوق user-pass تعریف شده در وب سرور درخواست گردد.
امنیت دیتابیس در هاست اشتراکی
یکی از متداولترین و اولین مواردی که باعث میشود سایتهای روی سرور های هاست اشتراکی هک گردند، دسترسی راحت به ریموت دیتابیس می باشد. شرکت های معتبر و حساس به اطلاعات کاربر معمولاً به صورت پیش دسترسی ریموت به دیتابیس را غیرفعال می کنند تا دیتابیس های سرور از امنیت بیشتری برخوردار باشند. ولی در صورتی که روی هاست اشتراکی شما دسترسی به ریموت دیتابیس فعال میباشد، حتماً محدودیت های بسیار زیادی برای دسترسی به آن ایجاد کنید. زیرا اولین و راحت ترین روش هک سایت دسترسی ریموت به دیتابیس می باشد.
محدود کردن سطح دسترسی هیچ سودی ندارد
در مورد خاص سطح دسترسی ۴۰۰ هم هیچ کمکی نمی کند زیرا با این سطح دسترسی فایل wp-config.php می تواند توسط وب سرور خوانده شود.
محدود کردن اتصال به دیتابیس چطور
تا حدودی محدود کردن اتصال به دیتابیس می تواند کمک کند ، دیگر هکر ها نمی توانند از کامپیوتر شخصی شان به دیتابیس سایت شما متصل شوند اما این مورد هم در هاست های اشتراکی قابل دور زدن می باشد کافی است هکر مورد نظر تنها یکی از سایت های روی سرور را هک کند ، حالا به راحتی با استفاده از اسکریپتی ساده بنام Adminer به دیتابیس متصل شود.
آسیب پذیری Arbitrary File Download
این آسیب پذیری به هکر ها این اجازه را می دهد که به وب سایت شما درخواست هایی را بفرستند و فایل ها را از روی سرور شما دانلود یا مشاهده کنند . این آسیب پذیری یکی از آسیب پذیری های شایع در تم ها و پلاگین های وردپرس می باشد.
درباره Mostafa Shoa
مدیر تیم پارس نویس، کارشناس مهندسی نرم افزار، مدرس دوره های برنامه نویسی و طراحی سایت در مدارس تیزهوشان، مشاور تبلیغات و بازاریابی استارتاپ ها و کسب و کارهای اینترنتی
نوشته های بیشتر از Mostafa Shoa
دیدگاهتان را بنویسید