Mënyra e vetme për të siguruar një server nga tmerret e internetit është të mos e lidhni kurrë atë me internetin. Në momentin që lidhni ndonjë server në një qendër të dhënash ose rrjet, ai menjëherë do të fillojë të sulmohet nga robotët që përpiqen ta aksesojnë atë dhe ta marrin përsipër. Është thjesht natyra e mënyrës se si janë gjërat në internet. Shumica e këtyre sulmeve janë të padëmshme nëse keni marrë masat e duhura. Por asnjë kompjuter nuk është 100% i sigurt.
Pra, këtu është një përmbledhje e këshillave bazë të sigurisë për të mbajtur serverin tuaj të dedikuar të sigurt ndaj internetit, përveç mbylljes së tij. Kjo bazohet në përvojën tonë dhe nuk duhet të përbëjë në asnjë mënyrë këshillë ligjore. Gjithmonë duhet të konsultoheni me një profesionist të IT. Derisa ta bëni këtë, këtu janë disa gjëra që mund të bëni ndërkohë.
(Shënim – shumë nga këto parime zbatohen gjithashtu edhe për serverët tanë VPS)
Keni një Firewall
Gjëja e parë që duhet të instaloni, nëse nuk është instaluar për ju nga hosti juaj, është një firewall. Kjo do të mbajë shumicën e robotëve dhe hakerëve jashtë serverit tuaj. Hostinkos operon një firewall masiv brenda qendrës së të dhënave që i mban serverin e vet të sigurt.
Menaxho qasjen
Jepni sa më pak njerëz të jetë e mundur akses në ndërfaqen mbështetëse/administratore të serverit tuaj (dhe aksesin e ngarkimit të skedarëve), dhe madje edhe atëherë, jepuni edhe më pak njerëzve akses root/shell. Por edhe përdoruesit bazë në një server mund të shkaktojnë dëm. Një llogari e-mail që është e pasigurt mund të shkatërrojë reputacionin e serverit tuaj ose resurseve nëse merret nga një SPAMMER. Seriozisht, mbani sa më shumë përdorues që të jetë e mundur larg serverit tuaj të ‘production/consumer-facing’.
Monitoro
Mos vetëm konfiguroni serverin tuaj dhe harroni atë. Monitoroni në mënyrë aktive. Shihni se kush po përpiqet të identifikohet. Shihni se çfarë resursesh po përdoren (dhe ndoshta abuzohen). Mbytni procesin që vëreni se po dëmton performancën. Shumë panele kontrolli hostimi do të kenë monitor të integruar, por shumë monitorime janë ad-hoc. Thjesht hyni çdo ditë dhe mbani një sy në gjërat që mund të vëreni. Nëse vëreni se faqet tuaja të internetit janë të ngadalta ose vëllimi i emailit dalës është rritur, do të kuptoni se diçka nuk është në rregull. Gjithashtu, përdorni një mjet si UptimeRobot për të monitoruar kohën e funksionimit të serverit tuaj.
Përdorni Autentifikimin me dy faktorë për gjithçka
TFA është e ardhmja. Epo, të paktën nuk është e re. Aty ku është i disponueshëm, duhet të aktivizoni vërtetimin me dy faktorë. Kjo e mban softuerin dhe serverin tuaj të sigurt duke kërkuar një formë të dytë vërtetimi, përveç një fjalëkalimi. Për të hyrë në serverin tuaj, për shembull, mund të keni emrin tuaj të zakonshëm të përdoruesit dhe fjalëkalimin. Pastaj mund të konfiguroni me Google Authenticator që gjeneron një kod unik. Dikush do të duhej të kishte fizikisht telefonin tuaj (dhe kodkalimin për të) për të marrë kodin. Thjesht nuk ka asnjë mënyrë për të hyrë në server pa të.
Përdorni fjalëkalime të gjeneruara, të vështira (por ruajini ato)
Mos përdorni një fjalëkalim duke përdorur fjalë, fraza dhe numra të lehtë për t’u gjetur (si ditëlindja ose përvjetori juaj). Ju duhet të gjeneroni fjalëkalime në mënyrë të rastësishme. Përdorni një gjenerues fjalëkalimesh dhe një menaxher fjalëkalimesh për t’i mbajtur nën kontroll ato. Asnjëherë mos i shkruani ato. Asnjëherë mos i ndani ato. Mos harroni kurrë fjalëkalimin kryesor.
Krjoni mbrojtje nga forca brutale (ang. Brute Force Protection)
Ka raste të shpeshta të incidenteve ku serveri përmbytet nga trafiku i një roboti që përpiqet të hyn me forcë në uebsajte të bazuara në WordPress. Kjo bën që serveri të ndalon dhe të mbingarkoj gjithçka. Në këtë rast do duhej të instalohet softuer për zbulimin dhe monitorimin e forcës brutale në WordPress që pengon dikë që përpiqet vazhdimisht të identifikohet. Ka mjete falas që e bëjnë këtë, por ka edhe shërbime me pagesë. Ju gjithashtu duhet të instaloni mbrojtjen e forcës brutale në nivelin e serverit, në mënyrë që të bllokoni njerëzit që përpiqen të hyjnë në administratorin e serverit tuaj. cPanel ka cPHULK, i cili do të bllokojë ata që përpiqen të identifikohen shumëherë (dhe do t’i bllokojë ata për një periudhë të caktuar kohe). Ju gjithashtu mund të bllokoni sipas shtetit dhe të krijoni lista të bardha (ang. whitelists). Plesk ka një thirrje të ngjashme programore fail2ban.
Monitoroni emailin për email spam (aktivizo TFA ose fjalëkalime të ndërlikuara)
Nëse po ekzekutoni një mail server, njerëzit do të përpiqen ta përdorin atë për të dërguar SPAM. Ju duhet të monitoroni postën dalëse në serverin tuaj dhe të mbani një sy në atë që po del. Ju gjithashtu duhet të kufizoni kujt i jepni akses në email dhe të siguroheni që të kërkoni që ata të kenë fjalëkalime të ndërlikuara. Të dy Plesk dhe cPanel kanë mjete të integruara për monitorimin e emailit që po dërgon serveri juaj (dhe do t’ju njoftojë automatikisht nëse diçka e pazakontë po ndodh).
Mbani të përditësuar softuerin që përdorni
Ky është rregulli i artë i ekzekutimit të softuerit në një server: ju duhet ta mbani atë të përditësuar. Kjo nuk do të thotë vetëm mbajtjen e WordPress të përditësuar; do të thotë të mbani çdo gjë të përditësuar. Kjo përfshin sistemin operativ, MySQL, PHP, Javascript, të gjitha. Softueri i vjetëruar është softuer i pasigurt. Ka skripta që do ta mbajnë automatikisht softuerin tuaj të përditësuar, por ju duhet ta monitoroni atë dhe t’i kushtoni vëmendje çdo alarmi sigurie.
Përdorni SFTP ose FTPS për transferimin e skedarëve
FTP – protokolli i transferimit të skedarëve – është thelbësisht i pasigurt. SFTP përdor një SSL për të siguruar lidhjen midis jush dhe serverit tuaj, dhe është shumë më i sigurt. Mos përdorni FTP dhe mos i jepni askujt emrat e përdoruesve/fjalëkalimet e FTP-së. Ekziston edhe FTPS (i cili përdor TLS) dhe po bëhet gjithnjë e më popullor.
Çaktivizo hotlinking
Do të ketë forca online që përpiqen të vjedhin gjerësinë e brezit tuaj. Duke qenë se është një burim i kufizuar për të cilin po paguani, nuk dëshironi që dikush ta bëjë këtë. Hotlinking është një abuzim i zakonshëm, ku një faqe tjetër interneti do të lidhet me një imazh që po hostoni dhe do ta vendosë në faqen e tij të internetit. Ju mund ta çaktivizoni këtë në cPanel/Plex.
Çaktivizo portat dhe shërbimet e panevojshme të rrjetit
Është një rregull tjetër i mirë që ju duhet të përdorni vazhdimisht softuer që ju nevojitet në të vërtetë. Nëse nuk e përdorni në mënyrë aktive, fikeni. Mbyllni portat TCP/IP që nuk po përdorni. Kjo kufizon aksesin për çdo gjë që përpiqet të lidhet me serverin tuaj (dhe e bën të lehtë zbulimin).
Merr një SSL, padyshim
Ky është minimumi që duhet të keni për çdo domen që jeni duke hostuar dhe duke e përdorur në mënyrë aktive. Një SSL nuk është pluhur magjik, thjesht të kesh një të tillë nuk e bën automatikisht të sigurt serverin tënd. Por i bën lidhjet me dhe nga serveri juaj të sigurta. Ju duhet të keni një.
Krijoni kopje rezervë (ang. backup)
Ju duhet të keni një strategji backup-i. Rregulloret rregullojnë tre: një kopje rezervë, një kopje rezervë e brendshme dhe një kopje rezervë jo me lidhje me internetin. Dhe përditësoni ato rregullisht. Nëse një sulmues ransomware merr përsipër dhe ju nuk keni një kopje rezervë, mund t’ju duhet të paguani shpërblimin (që është diçka që nuk duhet të bëni). Pra, krjoni backup-in tuaj. Dhe mbajini ato kopje rezervë të përditësuara. Automatizimi. Mbajtja e një backup-i offline është më e vështirë për t’u automatizuar, por bën që të ketë një herë në muaj.
Sigurisht, Hostinkos mund t’ju ndihmojë me të gjitha këto nëse keni një server të menaxhuar me ne. Kontaktoni me ekipin tonë sot për të audituar serverin dhe praktikat tuaja dhe ne do t’ju ndihmojmë ta mbani serverin tuaj të sigurt nga forcat e këqija online.
A keni ndonjë këshillë tjetër për të mbajtur të sigurt një server? Ju lutemi na tregoni në komente.