تحصين السيرفر: جدار الحماية، Fail2Ban واصطياد الفيروسات
سيرفر الويب هو هدف دائم على الإنترنت. خلال أول 5 دقائق من تشغيل السيرفر، ستتعرض لآلاف المحاولات الآلية (Bots) لاختراقك. Plesk يوفر ترسانة دفاعية عسكرية يجب عليك تفعيلها بشكل صحيح.
جدار حماية Plesk المدمج (The Firewall)
بخلاف UFW أو Iptables المعقد في سطر الأوامر، Plesk يوفر واجهة رسومية لجدار الحماية (من `Tools & Settings` > `Firewall`). قاعدة جدار الحماية الذهبية هي: "امنع كل شيء (Deny All)، واسمح فقط بما تحتاجه (Allow Specific)". تأكد من إغلاق المنافذ غير المستخدمة. للمحترفين: لمنع محاولات تخمين كلمة مرور الـ SSH (منفذ 22)، لا تجعله مسموحاً للعالم (Allow from all)، بل قم بتعديل القاعدة لتسمح فقط بعنوان הـ IP الخاص بشركتك أو منزلك. إذا كان הـ IP الخاص بك متغيراً، اتركه مفتوحاً واعتمد على Fail2Ban للتعامل مع المهاجمين.
هندسة Fail2Ban: محطم رؤوس المخترقين
أداة Fail2Ban هي من أهم الميزات في Plesk. تعمل هذه الأداة كمراقب لكاميرات المراقبة (Log files). تقوم بقراءة سجلات الأخطاء لـ SSH، Apache، و Postfix كل ثانية.
إذا رصدت أن الـ IP (1.1.1.1) حاول الدخول للميل بكلمة سر خاطئة 5 مرات متتالية خلال 10 دقائق، تقوم Fail2Ban فوراً بإنشاء قاعدة في Iptables تحظر هذا الـ IP من السيرفر بالكامل لمدة معينة (مثل 24 ساعة).
أسرار الخبراء (Jail Settings): في واجهة Fail2Ban بـ Plesk، قم بالدخول إلى (Jails). ستجد الـ Jails (أقسام السجن) الخاصة بـ SSH و Plesk-login مفعلة افتراضياً، ولكن الـ Jails الخاصة بـ WordPress غالباً مغلقة. قم بتفعيل
plesk-wordpressلحظر الـ Bots التي تحاول تخمين كلمات مرور لوحة تحكم الووردبريس (wp-admin). هذا سيخفف الحمل (Load) عن السيرفر بنسبة كبيرة!
مكافحة الملفات الخبيثة مع ImunifyAV
ماذا لو نجح الهاكر في رفع ملف ضار (Web Shell أو Phishing page) عبر ثغرة في موقع أحد عملائك؟ إضافة ImunifyAV (التي تأتي بنسخة مجانية مع Plesk) تقوم بعمل فحص دوري (Malware Scan) لكافة ملفات السيرفر. نصيحة التشغيل الاحترافي: الفحص يستهلك معالج السيرفر (CPU) بشراهة. إياك أن تجدوله ليعمل في أوقات الذروة نهاراً. قم بالدخول لإعدادات ImunifyAV وجدوله ليعمل الساعة 3 فجراً بتوقيت السيرفر.
تأمين الـ ModSecurity (Web Application Firewall - WAF)
تفعيل الـ ModSecurity في `Tools & Settings > Web Application Firewall` يمثل الدرع الأمامي. يقرأ كل طلب (HTTP Request) قبل أن يصل لموقعك، ويحلله باحثاً عن أكواد خبيثة (SQL Injection أو XSS). يستخدم Plesk قواعد مجانية من OWASP (الصارمة جداً وتسبب أخطاء False Positives كثيرة) وقواعد Comodo. للمواقع التجارية، يُنصح بتفعيل قواعد Comodo كونها متوازنة بين الأمان وعدم كسر وظائف الموقع الشرعية.
[توسعة المحترفين] التحصين المعماري المتقدم (Advanced IDS & Kernel Hardening)
بعد تفعيل Fail2Ban و Firewall، السيرفر ما زال عرضة لهجمات من نوع آخر: الهجمات التي تستغل ثغرات نظام التشغيل نفسه (Zero-day Exploits). سنرفع مستوى الحماية إلى مستوى "الأنظمة البنكية".
حماية النواة عبر تعديلات Sysctl (Kernel Hardening)
نواة لينكس مليئة بالميزات الشبكية التي نادراً ما تستخدم ولكنها تشكل ثغرات، مثل الـ (Source Routing) و الـ (ICMP Redirects).
لتأمين النواة بقوة، يجب تحرير ملف /etc/sysctl.conf وإضافة قواعد الأمان العسكرية لمنع هجمات انتحال הـ IP (IP Spoofing) وإيقاف الـ Ping من الهاكرز المزعجين (Smurf Attacks):
# منع إعادة توجيه الـ ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
# حماية ضد هجمات Syn Flood
net.ipv4.tcp_syncookies = 1
# منع הـ Ping (اختياري ولكن يُنصح به لجعلك غير مرئي لبرامج المسح)
net.ipv4.icmp_echo_ignore_all = 1
ثم نفذ sysctl -p لتطبيق القواعد فوراً.
تكوين Fail2Ban لحماية الـ WordPress XML-RPC
ملف xmlrpc.php في الووردبريس هو الثغرة المفضلة للهواة لعمل هجمات DDoS أو Brute Force، لأنه يسمح بإرسال مئات محاولات تسجيل الدخول في طلب (HTTP Request) واحد فقط!
لإيقافه عبر Fail2Ban، قم بإنشاء فلتر مخصص في مسار /etc/fail2ban/filter.d/wordpress-xmlrpc.conf:
[Definition]
failregex = ^ .*POST .*xmlrpc\.php.*
ignoreregex =
ثم قم بتفعيله في الـ jail.local لحظر أي IP يطلب هذا الملف أكثر من 3 مرات. هذا الإجراء سينظف السيرفر من الـ Bots المزعجة ويجعل استهلاك المعالج يقل بشكل واضح جداً.
الكشف عن التسلل (Rootkit Detection) باستخدام RKHunter
ماذا لو تم اختراق السيرفر بالفعل وتم تثبيت برامج تجسس مخفية (Rootkits) تخفي نفسها عن أوامر ps و ls؟ Plesk لا يمتلك أداة لاكتشافها مدمجة.
يجب عليك كمدير سيرفر تنصيب Rootkit Hunter.
apt install rkhunter
# تحديث قاعدة البيانات
rkhunter --update
# بدء الفحص الشامل
rkhunter --check --sk
هذه الأداة ستقوم بفحص ملفات النظام الأساسية (`/bin/login`, `/bin/ls`) وتتأكد أن الهاكر لم يقم باستبدالها بنسخ ملغمة، وسترسل لك تقريراً إذا وجدت أي نشاط مشبوه، مما يمنحك راحة البال التامة.
💬 التعليقات
0 تعليقات