Photo cPanel Security Settings

أهم إعدادات الأمان في cPanel

إذاً، لنتحدث عن أهم إعدادات الأمان في cPanel. بصراحة، أمان موقعك يبدأ من هنا. cPanel هي لوحة التحكم الأساسية التي تدير بها خادمك ومواقعك، وإذا لم تكن مؤمنة بشكل جيد، فأنت تفتح الأبواب لكل أنواع المشاكل. الفكرة ببساطة هي أن هذه الإعدادات ليست مجرد إضافات جميلة، بل هي ضرورية لحماية بياناتك وبيانات زوارك. والخبر الجيد هو أن معظم هذه الإعدادات سهلة التطبيق ولا تتطلب خبرة تقنية عميقة. لنجعل الأمور واضحة ومباشرة:

سياسات كلمات المرور القوية والمصادقة متعددة العوامل

هذه النقطة هي حجر الزاوية لأي استراتيجية أمان رقمي. كثيرون يستهينون بقوة كلمة المرور، لكنها خط الدفاع الأول. والأهم من ذلك، إضافة طبقة ثانية من الحماية تجعل الاختراق أصعب بكثير.

قوة كلمات المرور: خط الدفاع الأول

تخيل أن كلمة مرورك هي باب منزلك. كلما كان الباب أقوى (كلمة مرور أطول وأكثر تعقيدًا)، كان اختراقه أصعب. في WHM، يمكنك تحديد مدى قوة كلمات المرور المطلوبة للمستخدمين.

  • تحديد درجة القوة: في WHM، توجه إلى Security Center ثم Password Strength Configuration. هنا، ستجد خيارًا لتعيين الحد الأدنى لدرجة قوة كلمة المرور. النطاق الموصى به هو بين 50 و 80. لتبسيط الأمر، 50 تعني كلمة مرور قوية إلى حد ما تتضمن أحرفًا كبيرة وصغيرة وأرقامًا ورموزًا. 80 تعني كلمة مرور قوية جدًا وطويلة. الأفضل أن تختار رقمًا في هذا النطاق، بحيث تكون الكلمات صعبة التخمين ولكن يمكن تذكرها أو حفظها في مدير كلمات مرور.
  • فرض التغيير الدوري: قد ترغب في فرض تغيير كلمات المرور كل فترة (مثل 90 يومًا). هذا يقلل من فرصة استغلال كلمات المرور المسربة أو التي تم تخمينها بمرور الوقت.

المصادقة الثنائية (2FA): طبقة حماية إضافية لا غنى عنها

إذا تمكن شخص ما من معرفة كلمة مرورك، فإن المصادقة الثنائية تمنعه من الوصول إلى حسابك، لأنها تتطلب “شيئًا تملكه” بالإضافة إلى “شيء تعرفه”.

  • تفعيل 2FA للوحة WHM و cPanel: هذا أمر حيوي ومهم جدًا. في WHM، انتقل إلى Security Center ثم Two-Factor Authentication. قم بتمكين 2FA لجميع حسابات المسؤول (الخاصة بك أو بأي شخص آخر لديه صلاحية الوصول لـ WHM)، وكذلك لمستخدمي cPanel. عندما يتم تفعيلها، سيطلب النظام من المستخدمين إدخال رمز إضافي يتم إنشاؤه بواسطة تطبيق على هواتفهم (مثل Google Authenticator أو Authy) بعد إدخال كلمة المرور.
  • تدريب المستخدمين: إذا كان لديك مستخدمو cPanel آخرون، فمن المهم تدريبهم على كيفية إعداد واستخدام 2FA. هذا ليس مجرد إجراء روتيني؛ إنه يوفر طبقة أمان إضافية لجميع بياناتهم وملفاتهم.

حماية ضد الهجمات العنيفة والوصول المشبوه

تخيل محتالاً يحاول فتح باب منزلك بكل المفاتيح الممكنة. هذا هو بالضبط ما تفعله هجمات القوة الغاشمة (Brute-Force). لحسن الحظ، cPanel لديها أدوات لمنع ذلك.

cPHulk Brute Force Protection: درعك ضد التخمين

هذه الأداة تراقب محاولات تسجيل الدخول الفاشلة وتمنع عناوين IP التي تحاول تخمين كلمات المرور.

  • تنشيط cPHulk: في WHM، اذهب إلى Security Center ومن ثم cPHulk Brute Force Protection. قم بتفعيله. بعد التفعيل، ستبدأ cPHulk في مراقبة محاولات تسجيل الدخول. يمكنك تحديد عدد المحاولات الفاشلة المسموح بها قبل حظر عنوان IP.
  • القائمة البيضاء (Whitelist) لعنوان IP الخاص بك: هذا جزء مهم جدًا! إذا قمت بتفعيل cPHulk، فمن المحتمل أن يتم حظرك أنت نفسك عن طريق الخطأ إذا أخطأت في كلمة المرور عدة مرات. لتجنب ذلك، قم بإضافة عنوان IP الخاص بك إلى القائمة البيضاء (Whitelist). بهذه الطريقة، حتى لو أخطأت، لن يتم حظرك. يمكنك العثور على عنوان IP الخاص بك بسهولة عن طريق البحث في جوجل (“what is my ip”).
  • تعديل الإعدادات المتقدمة: يمكنك تعديل عدد المحاولات المسموح بها ووقت الحظر في الإعدادات المتقدمة لـ cPHulk. على سبيل المثال، قد ترغب في تقليل عدد المحاولات الفاشلة للسماح بها على مدار ساعة، وزيادة مدة الحظر لـعنوان IP الذي يقوم بتخمينات متتالية على كلمة المرور.

التحكم في الوصول عن طريق IP (Host Access Control): تحديد من يمكنه الدخول

هذه الميزة تسمح لك بتحديد من يمكنه الوصول إلى لوحتي WHM و cPanel بناءً على عنوان IP الخاص به.

  • تقييد الوصول لـ WHM و cPanel: في WHM، ابحث عن Host Access Control. هنا، يمكنك تحديد عناوين IP أو نطاقات IP المسموح لها بالوصول إلى خدمات معينة مثل cpanel (port 2083) و whm (port 2087)، أو حتى ssh (port 22).
  • قم بتقييد الوصول لـ WHM و cPanel: أفضل ممارسة هي السماح فقط لعناوين IP الموثوقة بالوصول إلى WHM و cPanel. إذا كنت تعمل من مكتب أو مكان بثابت، يمكنك إضافة عنوان IP الخاص بك. إذا كنت تتنقل كثيرًا، فقد تحتاج إلى حلول VPN أو استخدام 2FA بشكل صارم، أو أن تكون حذرًا بشأن عدم تسجيل الدخول من شبكات غير موثوقة.
  • أمان إضافي: لتكون في الجانب الآمن، إذا كنت لا تستخدم بروتوكول معين (مثل SSH إذا كنت تدير الخادم عبر لوحة التحكم فقط)، فاحظر وصوله بالكامل.

أمان الاتصال والتشفير

هل ما زلت تستخدم HTTP؟ هذا مثل إرسال بطاقة بريدية مكشوفة للجميع لقراءتها. التشفير عبر HTTPS ضروري لحماية البيانات المتبادلة.

فرض SSL/TLS (AutoSSL و HTTPS): تشفير كل شيء

تشفير البيانات هو أحد أهم جوانب الأمان على الإنترنت. SSL/TLS يضمن أن المعلومات التي يتم تبادلها بين المتصفح والخادم آمنة ومشفرة.

  • تفعيل AutoSSL لجميع النطاقات: cPanel يأتي مع AutoSSL الذي يوفر شهادات SSL مجانية تلقائيًا لجميع نطاقاتك. في WHM، اذهب إلى Manage AutoSSL. تأكد من أن AutoSSL مفعل لجميع النطاقات لديك. هذا يوفر تشفيرًا أساسيًا ويبني الثقة مع زوار موقعك.
  • فرض إعادة توجيه (HTTPS redirection): حتى بعد تفعيل SSL، قد لا يزال المستخدمون يصلون إلى موقعك عبر HTTP. يجب عليك فرض إعادة توجيه HTTPS لجميع الخدمات. في WHM، اذهب إلى Tweak Settings ثم ابحث عن خيار Require SSL أو Force HTTPS Redirect. قم بتفعيل هذا الخيار لـ cPanel و Webmail وخدمات أخرى. هذا يضمن أن جميع الاتصالات تتم عبر رابط آمن.
  • تحديث البروتوكولات: تأكد من أن الخادم يستخدم أحدث بروتوكولات TLS (مثل TLS 1.2 أو TLS 1.3) وتجنب البروتوكولات القديمة والضعيفة مثل SSLv3 و TLS 1.0/1.1، التي يمكن تعطيلها في إعدادات الخادم.

أمان SSH: بوابة الخادم الأكثر حساسية

SSH هو طريقة آمنة للوصول إلى سطر أوامر الخادم الخاص بك. ولكنه أيضًا نقطة دخول قوية، لذا يجب تأمينها جيدًا.

  • تعطيل تسجيل الدخول المباشر كـ “root”: هذا من أهم الخطوات. وصول الـ “root” يمنح المهاجم تحكمًا كاملاً في الخادم. يجب تعطيل تسجيل الدخول المباشر لـ “root” عبر SSH. بدلاً من ذلك، قم بتسجيل الدخول كمستخدم عادي ثم استخدم أمر sudo su - للتحويل إلى مستخدم root. يمكنك تعديل هذا في ملف /etc/ssh/sshd_config عن طريق تعيين PermitRootLogin no.
  • استخدام مفاتيح SSH بدلًا من كلمات المرور: مفاتيح SSH هي طريقة أكثر أمانًا للمصادقة من كلمات المرور. تتكون من مفتاحين: عام (تضعه على الخادم) وخاص (تحفظه على جهازك). لا يمكن لأي شخص تسجيل الدخول بدون المفتاح الخاص. يمكنك إنشاء وإدارة مفاتيح SSH من داخل cPanel (تحت SSH Access). بعد إعداد المفاتيح، يمكنك تعطيل المصادقة بكلمات المرور لـ SSH عن طريق تعيين PasswordAuthentication no في ملف sshd_config.
  • تغيير منفذ SSH الافتراضي: يتم استخدام المنفذ 22 بشكل افتراضي لـ SSH. هذا المنفذ هدف شائع للمسح من قبل المخترقين. قم بتغيير المنفذ إلى رقم آخر غير مستخدم (مثل 2222، أو أي رقم آخر أعلى من 1024). هذا لا يجعل نظامك آمنًا بالكامل، ولكنه يقلل من عدد الهجمات الآلية التي تستهدف المنفذ الافتراضي. يمكنك تعديل هذا في ملف sshd_config عن طريق تعيين Port XXXX.
  • تقييد SSH لعناوين IP الموثوقة: تمامًا كما فعلنا مع WHM و cPanel، يمكنك تقييد من يمكنه الوصول إلى SSH بناءً على عنوان IP. هذا يضيف طبقة إضافية من الأمان. استخدم Host Access Control في WHM أو قم بتحرير sshd_config لإضافة AllowUsers أو AllowGroups مع مستخدمين محددين.

حماية تطبيقات الويب والملفات

المواقع والتطبيقات هي المكونات الرئيسية التي يتفاعل معها الزوار، ولذا يجب أن تكون محمية بشكل محكم.

جدار حماية تطبيقات الويب (WAF) و ModSecurity: فلترة التهديدات

الهاكرز لا يهاجمون الخوادم فقط، بل يستهدفون أيضًا تطبيقات الويب (مثل ووردبريس أو جملة) عبر المتصفح.

  • تفعيل ModSecurity: ModSecurity هو جدار حماية لتطبيقات الويب (WAF) يقوم بفلترة الطلبات الضارة قبل أن تصل إلى تطبيق الويب الخاص بك. في WHM، اذهب إلى Security Center ثم ModSecurity Configuration. قم بتفعيله وتثبيت مجموعات قواعد التشغيل (مثل OWASP ModSecurity Core Rule Set) التي توفر حماية ضد مجموعة واسعة من الثغرات الشائعة (مثل SQL Injection و Cross-Site Scripting).
  • Proactive Defense (إذا كنت تستخدم Imunify360): إذا كنت تستخدم حل أمان مثل Imunify360 (وهو موصى به جدًا)، فتأكد من تفعيل Proactive Defense. هذه الميزة تراقب سلوك التطبيقات في الوقت الفعلي وتمنع الهجمات صفرية اليوم (Zero-day attacks)، وهي تهديدات جديدة لم يتم اكتشافها بعد أو ليس لها حلول متاحة.

خصوصية الدليل وأذونات الملفات: تنظيم من يمكنه فعل ماذا

إعداد الأذونات بشكل صحيح يمنع المهاجمين من قراءة أو تعديل ملفات لا ينبغي لهم الوصول إليها.

  • تأمين مجلد public_html: هذا المجلد هو قلب موقعك، حيث توجد جميع ملفات الويب العامة. تأكد من أن الوصول إليه مقتصر على ما هو ضروري فقط. يمكنك استخدام Directory Privacy في cPanel لحماية بعض المجلدات بكلمة مرور.
  • تعيين أذونات الملفات الصحيحة: هذا أمر بالغ الأهمية. الأذونات الخاطئة يمكن أن تعرض موقعك للخطر.
  • الملفات: يجب أن تكون أذونات الملفات (644 في معظم الحالات). هذا يعني أن المالك يمكنه القراءة والكتابة، بينما يمكن للمجموعة والجمهور القراءة فقط.
  • المجلدات (الدلائل): يجب أن تكون أذونات المجلدات (755 في معظم الحالات). هذا يعني أن المالك يمكنه القراءة والكتابة والتنفيذ، بينما يمكن للمجموعة والجمهور القراءة والتنفيذ فقط.
  • ملف wp-config.php (للووردبريس): هذا الملف حساس بشكل خاص لأنه يحتوي على معلومات قاعدة البيانات. يجب أن تكون أذوناته 440 أو 400 لمنعه من أن يكون قابلاً للقراءة حتى من قبل المجموعة والجمهور.
  • التحقق الدوري: قم بالتحقق من أذونات الملفات بشكل دوري (خاصة بعد تثبيت إضافات أو قوالب جديدة) للتأكد من عدم تغييرها بطريقة غير آمنة عن طريق الخطأ.

الصيانة الوقائية والتحديثات المستمرة

الأمان ليس شيئًا تفعله مرة واحدة وتنساه. إنه عملية مستمرة تتطلب يقظة وصيانة.

النسخ الاحتياطي التلقائي واكتشاف الفيروسات: شبكة الأمان الخاصة بك

ماذا تفعل إذا فشلت كل تدابير الأمان الأخرى؟ النسخ الاحتياطي الجيد واكتشاف الفيروسات هي خطوط الدفاع الأخيرة.

  • النسخ الاحتياطي اليومي الكامل: لا تضع كل بيضك في سلة واحدة. يجب أن يكون لديك نسخ احتياطية منتظمة وموثوقة. في WHM، اذهب إلى Backup ثم Backup Configuration.
  • تكوين النسخ الاحتياطي اليومي: قم بإعداد نسخ احتياطية كاملة يوميًا.
  • التخزين عن بعد (Remote Storage): الأهم من ذلك، قم بتخزين النسخ الاحتياطية في مكان بعيد عن الخادم الرئيسي (مثل AWS S3، Google Drive، أو خادم FTP آمن آخر). إذا تعرض الخادم الخاص بك للاختراق أو الكارثة، فستكون بياناتك في أمان في مكان آخر.
  • الاختبار الدوري: لا تفترض أن النسخ الاحتياطية تعمل. قم باختبار استعادتها بانتظام (على خادم تجريبي) للتأكد من أنها قابلة للاستخدام في حالة الطوارئ.
  • فحص الفيروسات (ClamAV): يمكن أن تتسلل البرامج الضارة والتروجانات إلى ملفاتك.
  • تفعيل ClamAV: في WHM، اذهب إلى Plugins ثم Configure ClamAV Scanner. قم بتفعيله.
  • الجدولة اليومية: قم بجدولة فحص يومي لجميع حسابات المستخدمين. سيبحث ClamAV عن التهديدات المعروفة ويبلغك بأي مشاكل.

إدارة التحديثات وتعطيل الخدمات غير المستخدمة: تقليل نقاط الضعف

البرامج القديمة والخدمات غير الضرورية هي ثغرات أمنية محتملة تنتظر من يكتشفها.

  • تحديثات cPanel و WHM والبرامج الأساسية: حافظ على تحديث كل شيء!
  • تحديث cPanel و WHM: cPanel يصدر تحديثات أمنية بانتظام. تأكد من أن ميزة التحديث التلقائي مفعلة وأنك تعمل على أحدث إصدار مستقر.
  • تحديث Apache، PHP، MySQL: هذه هي المكونات الأساسية لخادم الويب الخاص بك. يجب تحديثها بانتولاج بانتولاج وانتظام للاستفادة من الإصلاحات الأمنية وتحسينات الأداء. يمكنك إدارة إصدارات PHP من WHM باستخدام MultiPHP Manager.
  • تحديث تطبيقات الويب: إذا كنت تستخدم ووردبريس أو أي نظام إدارة محتوى (CMS)، فتأكد دائمًا من تحديثه وجميع الإضافات والقوالب الخاصة به إلى أحدث الإصدارات. هذه واحدة من أكثر الطرق شيوعًا التي يتم اختراق المواقع بها.
  • تعطيل الخدمات غير المستخدمة: كل خدمة تعمل على خادمك هي نقطة دخول محتملة للمهاجمين.
  • FTP المجهول (Anonymous FTP): إذا كنت لا تستخدم هذه الميزة، فقم بتعطيلها. في WHM، اذهب إلى Service Configuration ثم FTP Server Configuration.
  • بروتوكولات SSL/TLS القديمة الضعيفة: كما ذكرنا سابقًا، قم بتعطيل SSLv3 و TLS 1.0/1.1 وكل البروتوكولات القديمة الأخرى.
  • الخوادم الخلفية (Daemons) والخدمات غير المستخدمة: راجع الخدمات التي تعمل على خادمك (يمكنك العثور عليها في Service Manager في WHM) وقم بتعطيل أي خدمة لا تحتاجها. على سبيل المثال، إذا لم تكن تستضيف خوادم بريد إلكتروني، فقد تتمكن من تعطيل بعض خدمات البريد. كلما قل عدد الخدمات التي تعمل، قل عدد “الأبواب” التي يمكن للمهاجمين محاولة فتحها.

باتباع هذه الخطوات والإعدادات، ستعزز بشكل كبير أمان خادم cPanel ومواقعك. تذكر، الأمان هو سباق مستمر، والبقاء على اطلاع بأحدث الممارسات هو مفتاح حماية أصولك الرقمية.

هذا القيد تم نشره في غير مصنف. ضعا شارة مرجعية للـ وصلة دائميه.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.