أمان ArticleCMS: كيف تحافظ على أمان موقع الويب الخاص بك

يتزايد عدد المواقع على الويب ، وكذلك النسبة المئوية للمواقع التي يتم اختراقها كل عام. قد يكون روبوتًا يحاول استغلال ثغرة أمنية معروفة أو هجومًا مباشرًا وموجهًا على مؤسستك. في كلتا الحالتين ، يجب أن تتبنى عقلية أنه سيتم اختراقك . التفكير بهذه الطريقة سيشجع السلوك الاستباقي والممارسات الأفضل.

إذا كنت تشك في أن شخصًا ما قد يرغب في اختراق موقع الويب الخاص بك ، فقم بإلقاء نظرة على سجلات الويب الخاصة بك في وقت ما. من المحتمل أن تجد دليلًا على محاولة شخص ما أو بعض الروبوتات اختراق خادم الويب الخاص بك. إذا كانت مؤسستك رفيعة المستوى ، فقد تجد أن ذلك يحدث كل يوم. من الضروري معرفة كيفية حدوث الاختراقات مسبقًا ، والتأثير المحتمل وكيفية تخفيف الضرر. دعونا نلقي نظرة على كيفية حدوثها.

الثغرات البرمجية

كانت إحدى أكثر عمليات الاستغلال سيئة السمعة التي تعرضت لها الويب هي الثغرة الأمنية في OpenSSL المعروفة باسم Heartbleed. OpenSSL هي طبقة البرنامج التي تعالج التشفير على الخادم لمعاملات البيانات الآمنة. لم يهتم Heartbleed بنظام إدارة المحتوى (CMS) الذي استخدمته لأن OpenSSL يعمل بمستوى أقل بالتنسيق مع برنامج خادم الويب. لقد كان خطأ بسيطًا قدمه مبرمج مؤهل للغاية ، وكان نوع الخطأ الذي يمكن لأي شخص أن يرتكبه.

ما جعل هذا الخطأ الجدير بالملاحظة هو أن أكثر من ثلثي جميع مواقع الويب الآمنة قد تأثرت. على الرغم من وجود أكثر من 100 مساهم في OpenSSL وأكثر من 21000 مساهمة برمجية مميزة ، لم يتم اكتشاف هذه الثغرة الأمنية وتصحيحها لما يقرب من ثلاث سنوات.

استفاد آخر ثغرات بارزة ، Specter و Meltdown ، من نقاط الضعف الكامنة في معظم معالجات الكمبيوتر الحديثة. إنها تسمح لمستخدمي أجهزة الكمبيوتر المشتركة (مثل خوادم الويب) بإلقاء نظرة خاطفة على الجدار الافتراضي الذي يفصل بيئتهم عن المواقع الأخرى التي تعمل على نفس الجهاز.

نظرًا لأن معظم مواقع الويب تعتمد على عشرات التطبيقات المتميزة وملايين الأسطر من التعليمات البرمجية وآلاف المطورين الفرديين (بدون احتساب رمز موقع الويب الخاص بك) ، يمكننا افتراض وجود ثغرات أمنية في كل نظام تشغيل وخادم ويب و CMS و موقع الكتروني.

التكوين غير السليم

السبب الأكثر شيوعًا للاختراق هو التكوين الأولي السيئ. العديد من مديري مواقع الويب ليسوا من ذوي الخبرة ، وهناك الكثير الذي يجب معرفته. تكوين المستخدمين في كل من نظام التشغيل ونظام إدارة المحتوى ، وإدارة أذونات هؤلاء المستخدمين ، وإدارة قواعد جدار الحماية ، وتكوين خادم الويب - تطول القائمة. لكن كل هذه العوامل حاسمة للأمن.

تغطي العديد من المقالات والأدلة الإرشادية الحد الأدنى فقط لإبقاء الأمور بسيطة للمستخدمين الجدد. قد يكون هذا جيدًا بالنسبة للأفراد أو الأعمال التجارية ، لكنه غير مقبول لشركة كبيرة مملوكة للقطاع العام. في هذا المستوى ، لا تعتبر الاختراقات مجرد إزعاج ؛ يمكن أن يكون لها تأثير خطير على الأعمال التجارية.

عدم وجود صيانة

عند اكتشاف الثغرات الأمنية في التعليمات البرمجية ، يتم إنشاء التصحيحات وإعطاء المستخدمين الوقت لترقية أنظمتهم قبل الإعلان عن الثغرة الأمنية للجمهور. للأسف ، لا يتم تصحيح العديد من مواقع الويب بانتظام. بالعودة إلى مثال Heartbleed الخاص بنا ، بعد مرور أكثر من ثلاث سنوات على إصدار التصحيح ، لا يزال هناك أكثر من 200000 خادم ويب يقوم بتشغيل الإصدار القديم الضعيف من OpenSSL.

أنظمة إدارة المحتوى الحديثة لها طبقات فوق طبقات من التطبيقات. سيكون لتثبيت WordPress النموذجي نظام تشغيل Linux وبرنامج خادم الويب و PHP و MySQL وأي عدد من المكونات الإضافية. يجب مراقبة كل هذه الأشياء وصيانتها باستمرار. إنها حقيقة أن العديد من مقدمي الخدمات لا يستطيعون مواكبة ذلك.

البشر كونهم بشر

قد تبدو نقاط الضعف في التعليمات البرمجية ونقص الصيانة مخيفة ولكنها قد تكون باهتة مقارنة بالمخاطر التي تحدث عن طريق السماح للبشر باستخدام نظام إدارة المحتوى الخاص بك. نحن البشر هم دائمًا الحلقة الأضعف والعامل الرئيسي في الهجوم المستهدف.

يريد الجميع أن يكونوا متعاونين وأن يبدو أذكياء ، مما يجعلنا بطبيعتنا عرضة للهندسة الاجتماعية. يجب أن تتسبب بعض الطلبات في رنين أجراس الإنذار ، مثل:

• "مرحبًا ، هذا بوب من قسم تكنولوجيا المعلومات. نحن نلتقط بعض الزيارات الشاذة القادمة من جهازك ..."
• "سأرسل بعض أدوات التشخيص بطريقتك و ..."
• "أنت أحد المستخدمين المتميزين لدينا ، لذا هل يمكنك مساعدتي من خلال ..."

لسوء الحظ ، غالبًا ما تعمل هذه التقنيات على الأشخاص المعرضين للخطر.

من الأخطاء الشائعة الأخرى ممارسات كلمة المرور السيئة. ألق نظرة سريعة على قائمة كلمات المرور الشائعة هذه. هل يبدو أي شيء مألوفا؟ هل يبدو أي منها مثل جذر كلمة المرور الخاصة بك أم تستخدم أسلوبًا مشابهًا؟

إذا كان الأمر كذلك ، فإن الحل الخاص بك ليس فريدًا أو ذكيًا ويجب عليك تغيير كلمات المرور الخاصة بك الآن! سيبدأ هجوم القوة الغاشمة بقائمة مثل هذه ، مع إدخال اختلافات وربما العثور على كلمة المرور الخاصة بك في دقائق.

جنبا إلى جنب مع الفقراء كلمه السر الاختيار هو إعادة استخدام نفس الموقع عبر مواقع متعددة. إذا تم اختراق كلمة مرورك في أحد المواقع ، وكنت قد استخدمت كلمة المرور هذه في أماكن أخرى ، فأنت في مشكلة.

كيف تحافظ على موقعك آمنًا

أي شخص يقول "لا يمكن اختراقنا" هو مصير مغر ، ولكن يمكنك تقليل المخاطر بشكل كبير. فيما يلي بعض الإجراءات الوقائية الأساسية التي يمكنك وضعها لحماية المواقع من العناصر السيئة.

عادات أمنية جيدة

هناك بعض الأشياء البسيطة التي يمكن للمستخدمين القيام بها لتقليل مخاطر اختراق بيانات الاعتماد الخاصة بهم بشكل كبير:

• استخدم كلمات مرور "العبارة". وفقًا للمعهد الوطني للمعايير والتقنيات ، عبارات المرور أكثر أمانًا ولا تنسى. متطلبات كلمة المرور ذات الأحرف والأرقام الخاصة ليست فعالة.
• استخدم مدير كلمات المرور. سيساعدك مدير كلمات المرور على ضمان استخدام كلمات مرور فريدة على كل موقع. يمكنك أيضًا إنشاء وتنفيذ إرشادات كلمة المرور الخاصة بك.
• تعليم فن الهندسة الاجتماعية. امنح المستخدمين المعرفة للتعرف عليها أثناء حدوثها ، والثقة لإغلاقها قبل أن تنجح.

صيانة دورية

احرص دائمًا على تحديث البرامج باستخدام تصحيحات الأمان والإصدارات الجديدة. إذا لم تكن مسؤولاً عن صيانة خادم الويب الخاص بك ، فاضغط على جميع مزودي الخدمة للحصول على تفاصيل حول عملياتهم التي تضمن تشغيل مجموعة التكنولوجيا الخاصة بك لأحدث التصحيحات الهامة.

يتضمن ذلك أنظمة التشغيل وخدمات الويب من جانب الخادم موزعي وأنظمة إدارة المحتوى وقواعد البيانات وجميع المكونات الإضافية.

تمتد ممارسات الصيانة الجيدة إلى الأجهزة خارج نطاق الويب الخاص بك الخوادم مثل المفاتيح والجدران النارية. يجب الحفاظ على هذه الأجهزة بنفس اليقظة والاهتمام الذي توليه لخادم الويب الخاص بك.

تذكر ، في أي وقت يتم اكتشاف استغلال جديد ، ستجد نفسك في سباق مع الأشرار. عليك أن تضع البقع في مكانها قبل أن يجدوك. هناك العديد من الإجراءات التي يجب اتخاذها والعناصر التي يجب مراقبتها ، لذا فإن صيانة خوادم الويب مهمة بدوام كامل.

احتفظ بقائمة المستخدمين المصرح لهم محدثة وقم دائمًا بقص المستخدمين الذين غادروا مؤسستك. قم بتنسيق خطة للتعامل مع الإنهاءات لأن العمال الساخطين يمكنهم إحداث الكثير من الضرر في وقت قصير.

القضاء على ناقلات الهجوم

تقدم كل طبقة تضيف رمزًا وتعقيدًا إلى موقع الويب الخاص بك أيضًا نقاط ضعف محتملة ، لذا حافظ على كومة التكنولوجيا الخاصة بك بسيطة قدر الإمكان. قم بإزالة جميع التطبيقات والخدمات غير الضرورية. قم بتشغيل الخدمات المطلوبة فقط لكي يعمل موقع الويب الخاص بك ونظام إدارة المحتوى.

اسمح فقط بحركة المرور الواردة إلى خادم الويب الخاص بك على المنافذ المطلوبة لموقع الويب الخاص بك أو CMS أو الخدمات الضرورية الأخرى. لا فائدة من فضح الخدمات التي لا تستخدمها.

تقييد الوصول إلى CMS الخاص بك للمستخدمين على شبكتك أو VPN. يمكن أن يؤثر هذا على مسؤولي المحتوى الخاص بك ، لذا ضع في اعتبارك هذه المقايضة بعناية.

حافظ على تناوب النسخ الاحتياطية

بالإشارة إلى نقطة سابقة ، فإن العقلية الأكثر أمانًا هي افتراض أنك ستتعرض للاختراق. إنه يؤكد على قيمة الاحتفاظ بنسخ احتياطية جيدة. قد تتضمن خطة النسخ الاحتياطي الشاملة الاحتفاظ بست نسخ احتياطية يومية دورية وأربع نسخ احتياطية كل أسبوع وستة أشهر وسنوية.

نظرًا لأن الاختراقات لا يتم اكتشافها دائمًا على الفور ، فأنت لا تعرف أبدًا إلى أي مدى قد تحتاج إلى العودة. نسخ احتياطي يومي واحد محفوف بالمخاطر.

لاحظ أيضًا أن مجرد تعيين خطة النسخ الاحتياطي لا يكفي. يجب عليك التحقق بانتظام من تشغيل جميع النسخ الاحتياطية وأنه يمكنك الاسترداد من أي من هذه النسخ الاحتياطية في الوقت المناسب. تخيل اكتشافك أن النسخ الاحتياطية لم تكن تعمل إلا بعد أن تم اختراقك ... إنه ليس سيناريو يريد الناس أن يجدوا أنفسهم فيه.

إذن ماذا عن SAM؟

هناك بعض الخصائص الفريدة لـ SAM التي تجعل اختراق المواقع التي تم إنشاؤها باستخدام هذه الأداة أكثر صعوبة من المواقع التي تم إنشاؤها باستخدام أنظمة إدارة المحتوى الأخرى.

SAM هو تطبيق واحد يجب تحديثه لأنه لا يحتوي على مكونات إضافية ولا يتطلب سوى الخدمات الأساسية التي تعد مكونات أساسية لنظام التشغيل Windows Server. إذا كنت تعتمد على التحديثات التلقائية من Microsoft ، فسيتم دائمًا تصحيح الخادم الخاص بك.

والأهم من ذلك ، أن SAM هو مولد موقع ثابت. تقوم معظم أنظمة إدارة المحتوى بإنشاء صفحات عند الطلب عندما يطلبها المستخدم ، ولكن منشئ الموقع الثابت يعمل عن طريق إنشاء الصفحات ونشرها في نظام الملفات كلما حدث تغيير في المحتوى.

لا يُطلب نظام إدارة المحتوى (CMS) للمستخدمين لعرض موقع الويب المباشر ، ويمكن إخفاء SAM داخل شبكتك. بمعنى آخر ، لا يوجد نظام CMS مرئي للعامة للاختراق! لا يدرك معظم عملائنا أبدًا هذا التمييز ، ولكنها جودة تميز حقًا SAM عن الآخرين.

المراجع والموارد

• تقرير اتجاه اختراق موقع الويب
• NoHacked: عام قيد المراجعة
• أمان موقع الويب: كيف يتم اختراق مواقع الويب؟
• كيف يخترقون موقع الويب الخاص بك: نظرة عامة على الأساليب الشائعة
• نوفمبر 2017 Web Server Survey
• علة Heartbleed
• الانهيار والسبكتر
• إرشادات الهوية الرقمية NIST
• أسوأ كلمات المرور لعام 2016