ما مدى ضعف مزود استضافة الويب الخاص بك؟

المادة التي كتبها:
  • استضافة أدلة
  • تم التحديث: Sep 14 ، 2020

تعد محاولات القرصنة على مواقع الويب أكثر شيوعًا مما تعتقد. في حين أن الكثيرين منا لا يراهم ، فإن الهجمات الصامتة تحدث دائمًا في كل مكان على الشبكة. يستهدف جزء كبير من الهجمات حسابات استضافة الويب.

هناك فئتان عريضتان من نقاط الضعف في استضافة الويب. الأول عام ، في حين أن الثاني خاص بالخطة بشكل أكبر. على سبيل المثال ، من بين أنواع خطط استضافة الويب، عادةً ما تعتبر الاستضافة المشتركة الأكثر ضعفًا.

نقاط ضعف مضيف الويب

نقاط الضعف العامة لمضيف الويب

1. محاولات بناء الروبوتات

من المعروف أن الجهات الخبيثة تستهدف خوادم الويب بأكملها في محاولاتها للبناء إقناعا. في هذه المحاولات ، تشمل الأهداف الشائعة أطر عمل خادم الويب وتتضمن بشكل عام عمليات استغلال الثغرات المتاحة للجمهور.

غالبًا ما تتغلب هذه الجهود المتقدمة والمركزة على موفري استضافة الويب الأقل مرونة. لحسن الحظ ، بمجرد اكتشاف الثغرات الأمنية ، يتم تصحيحها بسرعة إلى حد ما من قبل معظم مضيفي الويب.

2. هجمات DDoS

احصائيات هجمات DDoS
مدة هجمات DDoS في الربع الأول من عام 1 والربع الأول والربع الرابع من عام 2020. في الربع الأول من عام 1 ، كانت هناك زيادة كبيرة في كمية وجودة هجمات DDoS. تضاعف عدد الهجمات مقارنة بالفترة المشمولة بالتقرير السابق ، وبنسبة 4٪ ضد الربع الأول من عام 2019. كما أصبحت الهجمات أطول مع ارتفاع واضح في كل من المتوسط ​​والأقصى (مصدر).

رفض الخدمة الموزعة (DDoS) ليس ثغرة أمنية ، ولكن كما يوحي الاسم ، هو شكل من أشكال الهجوم. تحاول الجهات الخبيثة إغراق الخادم (أو خدمة معينة) بكمية هائلة من البيانات.

يمكن أن تشل هذه الهجمات خدمات استضافة الويب التي لم يتم إعدادها لهذا الغرض. مع استهلاك المزيد من الموارد ، تُترك مواقع الويب على الخادم غير قادرة على الرد على الاستفسارات الحقيقية من الزوار.

اقرأ أكثر: خيارات احترافية لحماية موقع الويب الخاص بك من هجمات DDoS.

3. التهيئة الخاطئة لخادم الويب

غالبًا ما لا يكون لدى مالكي مواقع الويب الأساسية ، خاصة أولئك الذين يستخدمون الاستضافة المشتركة ، أي فكرة عما إذا كانت خوادمهم قد تم تكوينها بشكل صحيح أم لا. يمكن أن ينشأ عدد كبير من المشكلات من الخوادم سيئة التكوين.

على سبيل المثال ، تشغيل التطبيقات غير المصححة أو القديمة. على الرغم من وجود آليات لمعالجة الأخطاء للمشكلات الفنية التي تظهر أثناء التنفيذ ، يمكن أن تظل العيوب غير مرئية حتى يتم استغلالها.

التكوين غير الدقيق في الخادم ، يمكن أن يتسبب في عدم تحقق الخادم من حقوق الوصول بشكل صحيح. إن إخفاء الوظائف أو الروابط المقيدة إلى عنوان URL وحده غير كافٍ لأن المتسللين يمكنهم تخمين المعلمات المحتملة والمواقع النموذجية ومن ثم القيام بوصول القوة الغاشمة.

كمثال على ذلك ، يمكن للمهاجم استخدام شيء صغير وبسيط مثل JPEG غير المحمي للحصول على وصول المسؤول إلى الخادم. يقومون بتعديل معلمة بسيطة تشير إلى كائن في النظام ثم يتم إدخالهم فيه.

نقاط ضعف الاستضافة المشتركة

في بيئة الاستضافة المشتركة ، يمكن القول أن الجميع يجلسون في نفس القارب. على الرغم من أن كل خادم يحتمل أن يحتوي على مئات المستخدمين ، إلا أن هجومًا واحدًا يمكن أن يغرق السفينة بأكملها ، إذا جاز التعبير.

"جميع (مزودي خدمة استضافة الويب الخمسة) لديهم ثغرة أمنية خطيرة واحدة على الأقل تسمح باختراق حساب المستخدم ،" بولوس يبلو، وهو صائد حشرات معروف ومحترم تشكرونش، والتي شارك معها نتائجه قبل نشرها للجمهور.

كما أظهر Yibelo - لم يكن الهجوم من خلال أي هجوم معقد أو اختراق جدران الحماية. إنه ببساطة يمر عبر الباب الأمامي لمضيف الموقع ، ولا يتطلب سوى القليل من الجهد للمتسلل العادي.

4. البيئات غير المنعزلة

تشبه حسابات الاستضافة المشتركة مجموعات كبيرة من البيانات. على الرغم من تخصيص بعض الموارد لكل حساب ، إلا أنها بشكل عام تقع جميعها في بيئة واحدة. جميع الملفات والمحتوى والبيانات موجودة بالفعل في نفس المساحة ، مقسمة ببساطة حسب بنية الملف.

لهذا السبب ، ترتبط المواقع الموجودة على خطط الاستضافة المشتركة ارتباطًا جوهريًا. إذا تمكن أحد المتطفلين من الوصول إلى الدليل الرئيسي ، فقد تكون جميع المواقع في خطر. حتى إذا تم اختراق حساب واحد ، فإن الهجمات التي تستنزف الموارد سيكون لها تأثير كبير.

5. نقاط ضعف البرامج

على الرغم من وجود ثغرات أمنية في جميع أنواع حسابات الاستضافة ، إلا أن الخوادم المشتركة عادة ما تكون في خطر أكبر بكثير. نظرًا للعدد الكبير من الحسابات لكل خادم ، فقد يكون هناك عدد كبير من التطبيقات المختلفة في مكانها - وكلها تتطلب تحديثات منتظمة.

6. البرمجيات الخبيثة

بطريقة مماثلة لنقاط ضعف البرامج ، يمكن أن يكون للبرامج الضارة تأثير عميق على خادم الاستضافة المشترك. يمكن أن تجد هذه البرامج الضارة طريقها إلى حسابات الاستضافة المشتركة بعدة طرق.

هناك العديد من أنواع الفيروسات ، وأحصنة طروادة ، والديدان ، وبرامج التجسس ، وكل شيء ممكن. نظرًا لطبيعة الاستضافة المشتركة ، إذا كان جارك يمتلكها - فمن المحتمل أن تلتقطها أيضًا في النهاية.

التوصيات: مضيف الويب مع مسح مجاني للبرامج الضارة - A2 استضافة, Hostinger, Kinsta.

7. IP المشتركة

تشارك حسابات الاستضافة المشتركة أيضًا عناوين IP. من المعتاد أن يتم تحديد مواقع متعددة على حسابات الاستضافة المشتركة بواسطة عنوان IP واحد. هذا يفتح مجموعة كاملة من المشاكل المحتملة.

على سبيل المثال ، إذا كان أحد مواقع الويب يتصرف بشكل سيئ (مثل إرسال بريد عشوائي ، وما إلى ذلك) ، فمن الممكن أن يتم وضع جميع المواقع الأخرى التي تشارك عنوان IP في القائمة السوداء. ستكون إزالة عنوان IP من القائمة السوداء تحديًا كبيرًا.

اقرأ أكثر: نصائح لاختيار مزود استضافة ويب آمن.

نقاط الضعف في VPS / Cloud Hosting

تعني طبيعة VPS أو Cloud أنها أكثر أمانًا بشكل عام من خوادم استضافة مشتركة رخيصة.

ومع ذلك ، فإن إمكانية الوصول إلى خوادم مترابطة أكثر تقدمًا تعني أن يوم الدفع للمتسللين هو أيضًا أكثر ربحًا. على هذا النحو ، يمكن توقع طرق أكثر تقدمًا للتطفل.

8. تزوير الأمن عبر المواقع

المعروف أيضا باسم طلب تزوير عبر المواقع (CSRF)، هذا الخلل يُلاحظ عادةً أنه يؤثر على مواقع الويب بناءً على بنية تحتية سيئة الأمان. في بعض الأحيان ، يقوم المستخدمون بحفظ بيانات اعتمادهم على أنظمة أساسية معينة وقد يكون ذلك محفوفًا بالمخاطر إذا لم يكن موقع الويب المقابل به بنية تحتية قوية.

هذا شائع بشكل خاص في حسابات استضافة الويب التي يتم الوصول إليها بانتظام. في هذه السيناريوهات ، يكون الوصول متكررًا لذلك عادةً ما يتم حفظ بيانات الاعتماد. من خلال التزوير ، يتم تشجيع المستخدمين على القيام بعمل لم يخططوا له في المقام الأول.

تم تحديد هذه التقنيات في الآونة الأخيرة الضعف المحتمل في عمليات الاستحواذ على الحساب في العديد من منصات الاستضافة الشهيرة بما في ذلك Bluehost و Dreamhost و HostGator و FatCow و iPage.

اعتبر هذا ،

يمكن إظهار مثال على ذلك كسيناريو نموذجي للاحتيال المالي.

يمكن للمهاجمين استهداف الأشخاص المعرضين للخطر CSRF الذين يزورون عنوان URL صالحًا. يمكن لمقتطف رمز مقنع يتم تنفيذه تلقائيًا على الموقع توجيه مصرف الهدف لتحويل الأموال تلقائيًا.

يمكن دفن مقتطف الشفرة خلف صورة ربما باستخدام أكواد مثل ما يلي:

<img src = http: //example.com/app/transferFunds؟ amount = 1500 & destinationAccount = 4673243243 width = 0 height = 0 />

*ملاحظة: هذا مجرد مثال ولن يعمل الكود.

9. حقن SQL

بالنسبة لأي موقع ويب أو منصة عبر الإنترنت ، فإن العنصر الأكثر أهمية هو البيانات. يتم استخدامه للتوقعات والتحليل ولأغراض أخرى مختلفة. ثانيًا ، إذا وقعت معلومات مالية سرية مثل دبابيس بطاقة الائتمان في الأيدي الخطأ ، فقد يؤدي ذلك إلى حدوث مشكلات هائلة.

يجب أن تمر البيانات المرسلة من وإلى خادم قاعدة البيانات عبر بنية تحتية موثوقة. سيحاول المتسللون إرسال نصوص SQL إلى الخوادم حتى يتمكنوا من استخراج البيانات مثل معلومات العميل. هذا يعني أنك بحاجة إلى مسح جميع الاستعلامات قبل وصولها إلى الخادم.

في حالة عدم وجود نظام تصفية آمن ، يمكن أن تفقد بيانات العميل المهمة. وتجدر الإشارة إلى أن هذا التنفيذ سيزيد من الوقت المستغرق لاستخراج السجلات.

10. استغلال عيوب XSS

عادة ما يكون المتسللون على درجة عالية من الكفاءة في الكود ولا يمثل إعداد البرامج النصية للواجهة الأمامية مشكلة. يمكن استخدام جافا سكريبت أو لغات البرمجة الأخرى لحقن التعليمات البرمجية. الهجمات التي يتم تنفيذها بهذه الطريقة عادةً ما تهاجم بيانات اعتماد المستخدم.

البرامج النصية الضارة المستندة إلى XSS يمكن إما الوصول إلى المعلومات السرية أو إعادة توجيه الزوار إلى الروابط التي يستهدفها المتسلل. في بعض الحالات ، قد تستخدم الشركات أيضًا تقنيات مثل هذه لتنفيذ عمليات تجارية احتيالية.

11. التشفير غير الآمن

خوارزميات التشفير عادة ما تستخدم مولدات الأرقام العشوائية ولكن يتم تشغيل الخوادم في الغالب دون تفاعل كبير من المستخدم. قد يؤدي هذا إلى احتمال انخفاض مصادر التوزيع العشوائي. قد تكون النتيجة أرقامًا يمكن تخمينها بسهولة - وهي نقطة ضعف في التشفير.

12. الهروب من الآلة الافتراضية

يتم تشغيل العديد من الأجهزة الافتراضية فوق برامج Hypervisor في الخوادم الفعلية. من الممكن أن يستغل المهاجم أ ضعف المشرف عن بعد. على الرغم من ندرته ، قد يتمكن المهاجم في هذه المواقف من الوصول إلى أجهزة افتراضية أخرى أيضًا.

13. ضعف سلسلة التوريد

في حين أن توزيع الموارد هو ميزة رئيسية ل سحابة استضافة، يمكن أن تكون أيضًا نقطة ضعف. إذا كنت قد سمعت عبارة "أنت فقط بنفس قوة أضعف رابط لديك" ، فهذا ينطبق تمامًا على السحابة.

هجوم متطور ويستند بشكل أساسي إلى مزودي الخدمات السحابية. لا يقتصر هذا على السحابة ويمكن أن يحدث في أي مكان آخر. يمكن إضافة التنزيلات من خوادم التحديث المباشر بوظائف ضارة. لذا ، تخيل العديد من المستخدمين الذين قاموا بتنزيل هذا البرنامج. ستصاب أجهزتهم بهذا البرنامج الضار.

14. واجهات برمجة التطبيقات غير الآمنة

تُستخدم واجهات مستخدم التطبيق (APIs) للمساعدة في تبسيط عمليات الحوسبة السحابية. إذا لم يتم تأمينها بشكل صحيح ، فيمكنهم ترك قناة مفتوحة للقراصنة لاستغلال موارد السحابة.

مع انتشار المكونات القابلة لإعادة الاستخدام بشكل كبير ، قد يكون من الصعب توفير الحماية الكافية ضد استخدام واجهات برمجة التطبيقات غير الآمنة. لمحاولة التسلل ، يمكن للمتسلل ببساطة تجربة محاولات الوصول الأساسية مرارًا وتكرارًا - كل ما يحتاجونه هو العثور على باب واحد مفتوح.

معرفة المزيد: أفضل مقدمي خدمات استضافة VPS / أفضل مزودي خدمة الاستضافة السحابية


خاطرة النهائي

أنواع مختلفة من الهجمات الإلكترونية على مواقع الويب التي تم اكتشافها خلال النصف الأول من عام 2020.
أنواع مختلفة من الهجمات الإلكترونية على مواقع الويب التي تم اكتشافها خلال النصف الأول من عام 2020 (مصدر).

عندما يفكر الغالبية منا أمن الانترنت، فعادة ما يكون ذلك من زاوية التغلب على نقاط الضعف في مواقعنا الإلكترونية. لسوء الحظ ، كما ترى ، تقع على عاتق مزودي استضافة الويب مسؤولية الحماية من الهجمات الأخرى أيضًا.

على الرغم من أنه لا يوجد الكثير مما يمكنك فعله لإقناع مقدم الخدمة بحماية نفسه ، إلا أن هذا الوعي يمكن أن يساعدك جعل خيارات استضافة الويب أفضل. على سبيل المثال ، من خلال مراقبة التركيز الذي يضعه مضيف الويب على الأمان ، يمكنك الحصول على فكرة أفضل عن مدى أمان احتفاظهم بخوادمهم الخاصة.

يقوم بعض مضيفي الويب بتطبيق إجراءات حماية أمنية بدائية للغاية - حاول تجنبها إن أمكن. قد يذهب الآخرون إلى حد العمل مع الشخصيات البارزة الأمن السيبراني العلامات التجارية أو حتى تطوير أدوات وحلول أمنية قوية داخل الشركة.

يتجاوز سعر استضافة الويب الموارد المخصصة لك - لذا وازن بين خياراتك بحكمة.

عن جيري لو

مؤسس WebHostingSecretReveals.net (WHSR) - مراجعة استضافة موثوق بها ويستخدمها مستخدمو 100,000. خبرة تزيد عن 15 في مجال استضافة المواقع والتسويق التابع لها وكبار المسئولين الاقتصاديين. مساهم في ProBlogger.net ، Business.com ، SocialMediaToday.com ، وأكثر من ذلك.