همانطور که می دانید آپاچی هنوز هم یکی از نرم افزارهای وب سرور پیشرو در جهان است و حدود ۴۵٫۸ درصد سهم بازار را به خود اختصاص داده است. بیش از ۸۰ میلیون سایت در سرتاسر جهان وجود دارد که از این وب سرور استفاده می کنند. عدد قابل تاملی است. اینطور نیست؟ آپاچی یکی از وب سرورهای متن بازی است که از سال ۱۹۹۵ در اختیار افراد قرار دارد. این نرم افزار توانسته است اعتماد کاربران و وبمستران را به خود جلب کند. برندهای بزرگی هستند که از وب سرور آپاچی برای راه اندازی سایت های خود استفاده نموده اند. با اینحال این موضوع بدین معنا نیست که وب سرور آپاچی ۱۰۰ درصد امن است و هیچ اسیب پذیری برای آن وجود ندارد. اگر می خواهید امنیت وب سرور آپاچی خود را دو چندان کنید و آن را از اسیب پذیری های موجود محافظت نمایید در این مقاله همراه وب ایده باشید.
چک لیست نهایی برای بهبود امنیت آپاچی:
افرادی که می خواهند امنیت سایت وردپرسی خود را بیشتر کنند باید به فکر امن کردن آپاچی هم باشند. در ادامه سعی می کنیم بهترین گزینه های امنیتی برای این وب سرور را با هم مرور کنیم. این چک لیست و دنبال کردن توصیه های آن به شما کمک می کند یک گام به امنیت سایت وردپرسی نزدیک تر شوید.
آپاچی خود را به روز نمایید:
آیا می دانید وردپرس و هر چیزی که بر روی آن نصب می شود باید به طور منظم آپدیت شود؟ این موضوع در مورد وب سرور هم صدق می کند. اگر احساس می کنید نسخه آپاچی سایت تان درست نیست می توانید از دستور httpd -v برای بررسی این موضوع استفاده کنید. اگر نسخه شما قدیمی بود و با نسخه فعلی همخوانی نداشت، می توانید آن را به کمک دستور زیر به روزرسانی نمایید:
1 2 | # yum update httpd # apt-get install [add Apache version here]c |
لاگ آپاچی را فعال کنید:
اگر از هاست مدیریت شده وردپرس استفاده می کنید، شرکت ارائه دهنده هاست اسیب پذیری های سرور، وردپرس و سایر نشانه های هشداردهنده را مانیتور می کند. در غیر اینصورت خودتان باید ترافیک سرور را مورد بررسی قرار دهید. در آپاچی شما می توانید با به روز کردن ماژول mod_log_config به این لاگ دسترسی داشته باشید. اساسا این لاگ به شما می گوید کاربر زمانی که به سرور دسترسی دارد چه کاری انجام می دهد.
گواهینامه SSL را فعال کنید:
از آنجایی که وب سرور شما همه درخواست های سرور و مرورگر را برای سایت مدیریت می کند، باید آن را با گواهینامه SSL امن سازید. خوشبختانه شما می توانید این گواهینامه را به صورت رایگان هم دریافت کنید. این گواهینامه بیشتر از قبل برای شما اهمیت دارد پس اگر از لحاظ فنی دانش مدیریت آن را ندارید از شرکت ارائه دهنده هاست تان بخواهید اینکار را برایتان انجام دهد.
فایروال را هم اضافه کنید:
علاوه بر رمزگذاری داده ها به کمک SSL، وب سرور شما باید با فایروال هم محافظت شود. برای اپاچی این موضوع به معنای فعال کردن قابلیت ModSecurity است. برای نصب این گزینه بر روی سرور، می توانید دستور زیر را اجرا کنید.
1 2 | # yum install mod_security # /etc/init.d/httpd restart |
زمانی که فایروال پیکربندی شد می تواند از فعالیت های بدخواهانه و رسیدن آن به سرور جلوگیری کند. مثلا می تواند جلوی حملاتی همچون SQL injection را بگیرد.
بیشتر بخوانید:چگونه ModSecurity را بر روی آپاچی تنظیم و پیکربندی کنیم؟
mod_evasive را بر روی سرور خود نصب کنید:
mod_evasive ماژولی است که وب سرور شما را از حملات بروت فورس و حملات ddos محافظت می کند. پس مطمئن شوید این گزینه را هم فعال کرده اید. این قابلیت تلاش های شکست خورده برای لاگین را بلاک می کند و آی پی های بدخواهانه را مانیتور می نماید.
محدودیت HTTP را هم تنظیم نمایید:
حملات DDoS را می توان به سادگی مسدود کرد به شرط اینکه بدانید باید به دنبال چه نوع فعالیت هایی باشید. از آنجایی که این حملات با ایجاد مکرر درخواست های بزرگ در سرور انجام می شوند هدف شما باید تنظیم محدودیتی باشد که از بروز چنین حملاتی پیشگیری می نماید. برخی از محدودیت هایی که باید مدنظر داشته باشید عبارت است از :
- KeepAlive=on
- KeepAliveTimeout
- LimitRequestBody
- LimitRequestFields
- LimitRequestFieldSize
- LimitRequestLine
- LimitXMLRequestBody
- MaxClients
- MaxKeepAliveRequests
- MaxRequestWorkers
- RequestReadTimeout
- TimeOut
ماژول هایی که مورد استفاده قرار نمی دهید را پاک کنید:
اگر ماژول های تاریخ گذشته، بدون محافظت و غیر قابل استفاده در وب سرور آپاچی باقی بماند، راه برای نفوذ هکرها باز خواهد بود. اولین کاری که شما باید انجام دهید این است که ببینید چه ماژول هایی بر روی وب سرورتان فعال است. می توانید برای اینکار از دستور LoadModule استفاده کنید. بعد از اینکه فهرست ماژول های غیر ضروری را پیدا کردید به سادگی علامت # را قبل از هر ماژول اضافه کنید تا بتوانید آن ها را غیر فعال سازید. حالا سرور خود را ریستارت نمایید.
گروه ها و کاربران پیش فرض را تغییر دهید:
تنظیمات و گروه های کاربری پیش فرضی که بر روی هر نرم افزاری باقی می مانند می توانند مشکلات امنیتی متعددی برای صاحبان آن ها ایجاد کنند. دلیل این امر بسیار ساده است. اگر از گروه یا نام کاربری پیش فرض استفاده کنید به هکرها اجازه می دهید از این نام های شناخته شده به راحتی بهره ببرند. به جای اینکه از نام های پیش فرض استفاده کنید کاربران دیگری برای اجرای فرآیندهای آپاچی ایجاد نمایید. استفاده از دستورات # groupadd و # useradd به شما کمک می کند کاربر و گروه جدید به سرور خود اضافه کنید.
فقط به خاطر داشته باشید که httpd.conf خود را با گروه ها و کاربران جدید به روز نمایید.
دسترسی به دایرکتوری ها را مسدود سازید:
این گزینه نیز یکی از تنظیمات پیش فرضی است که باید تغییر کند. در چنین شرایطی هر فردی می تواند به دایرکتوری های شما دسترسی پیدا کند و هر چیزی که دوست دارد را کاوش نماید. برای جلوگیری از این موضوع از دستور زیر کمک بگیرید:
1 2 3 | <Directory "/"> Require all denied </Directory> |
اگر می خواهید به کاربران خاصی دسترسی به دایرکتوری را آزاد کنید می توانید از دستور زیر کمک بگیرید
1 2 3 | <Directory "/usr/users/*/public_html"> Require all granted </Directory> |
اگر می خواهید دسترسی به فولدر خاصی را در داخل دایرکتوری آزاد کنید از دستور زیر کمک بگیرید:
1 2 3 | <Directory "/usr/local/httpd"> Require all granted </Directory> |
دایرکتوری را منتشر نکنید:
شما باید این تنظیم پیش فرض را هم به کمک دستور زیر غیر فعال سازید:
1 2 3 | <Directory /var/www/html> Options -Indexes </Directory> |
جزییات سرور را پنهان سازید:
از آنجایی که آپاچی یک وب سرور متن باز است، جزییات نسخه های مورد استفاده و سایر موارد باید غیر فعال شود. هکرها معمولا از این اطلاعات حساس برای شناسایی اطلاعات سرور استفاده می کنند. پس به آن ها اجازه ندهید به چنین اطلاعاتی دسترسی داشته باشند. دو مورد زیر را باید غیر فعال کنید:
- ServerSignature – که نسخه آپاچی شماست
- ServerTokens – که نشان دهنده نسخه سیستم عامل به همراه اطلاعات حساس دیگر است
این اطلاعات را می توان با بررسی صفحات خطا بر روی سایت مشاهده کرد. پس باید از دیده شدن چنین اطلاعاتی جلوگیری کنید. برای اینکار کافیست از دستور زیر استفاده کنید.
1 2 | ServerSignature Off ServerTokens Prod |
هدر ETag را پنهان کنید:
هدر ETag در آپاچی متاسفانه در برگیرنده جزییات حساسی در مورد سرور است. هر چیزی که چنین اطلاعاتی را با دنیای بیرون به اشتراک می گذارد باید پنهان شود. اگر سایت تجارت الکترونیک دارید باید این گزینه را پنهان سازید.برای اینکار کد زیر را به httpd.conf خود اضافه کنید:
1 | FileETag None |
Override در .htaccess را غیر فعال کنید:
همانطور که می دانید .htaccess یک فایل مهم برای هر سایت وردپرسی است. به همین خاطر باید مطمئن شوید که هیچ کس نمی تواند دستورات آن را باطل یا به عبارت دیگر override کند.
برای غیر فعال کردن override، کد زیر را ر روت به httpd.conf اضافه کنید:
1 2 3 4 | <Directory /> Options -Indexes AllowOverride None </Directory> |
SSI و CGI را غیر فعال سازید:
فایل هایی که SSI در آن ها فعال شده است اگر بدون بررسی رها شوند، به هکرها اجازه ایجاد مشکلات امنیتی را می دهند. همین امر در مورد اسکریپت های CGI نیز صدق می کند. برای اینکه جلوی چنین مشکلاتی را در وب سرور خود بگیریم باید آن ها را غیر فعال سازیم یا به کمک دستوراتی دسترسی به آن ها را محدود نماییم. در ادامه مقادیری که می توانید استفاده کنید را مشاهده می نمایید:
- Options All
- Options IncludesNOEXEC
- Options -Includes
- Options -ExecCGI
- Options -Includes -ExecCGI
- Options MultiViews
از وب سرور آپاچی خود محافظت کنید:
زمانی که می خواهید امنیت سایت وردپرسی خود را دو چندان کنید توجه ویژه ای به وب سرور آپاچی داشته باشید.مشکلاتی همچون پیکربندی نادرست سرور و استفاده از تنظیمات پیش فرض می تواند سایت شما را با مشکل مواجه کند.
