باسلام به همه دوستان، حتماً همه میدونید که مدیران یک شرکت هاستینگ دارای دسترسی بالادستی نسبت به سایت شما هستند. بنابراین ورود به فضای ادمین از طریق اطلاعات مندرج کاربران مدیر در PHPMyAdmin و دسترسی به دیتابیس و اعمال تغییر در وردپرس و افزونه ها (حذف، اعمال تغییر در کدها و اطلاعات مندرج و …) برای عوامل پشتیبانی یک شرکت هاستینگ کار دشواری نیست! حالا سوال اینجاست، وقتی شما بخواهید یک سری اطلاعات محرمانه نظیر کدهای کیف پول ارزهای دیجیتال و … رو روی یک افزونه تنظیم کنید، چطوری میتونید اون افزونه و اطلاعات داخلش رو از دسترسی عوامل شرکت هاستینگ دور نگه دارید تا خدای نکرده با کدهای فرد دیگری جایگزین نشود بدون اینکه شما بفهمید؟
درود کمال گرامی،
بله این موضوع در هاست ها و سرور مجازی هست و طبیعتا همونجوری که فرمایش کردید دسترسی کامل یا ROOT از سمت هاستینگ وجود دارد چند راه نسبتا ساده برای حفظ امنیت اطلاعات شما وجود داره که در ادامه توضیح خواهم داد اما
باید عرض کنم بدلیل عدم وجود قانون حقوقی درست و حسابی در ایران ، باید خودتون امنیت دیتا رو نسبی برقرار کنید.
مورد دوم، انتخاب یک شرکت مناسب چیزی که شاید با تجربه و همکاری های مختلف بدست می آید مثلا شخص بنده با بیش از ۱۰ شرکت مختلف هاستینگ همکاری داشتم چه از طرف شرکتی در آن مشغول به کارم و چه برای RUN کردن پروژه های خودم.
قصد تخریب هیچ شرکتی رو ندارم و صرفا تجربه خودم رو عرض میکنم یه سری شرکت ها که میتونم با صراحت بگم بچه های زیر ۲2 سال مدیریت و پشتیبانی سرور انجام میدن نظیر میزبان ـ ف و طلاـ ه و سرورـ ایر
و امثالهم یه سری شرکت ها هم سرویس های UPTIME ندارن من سون هاست رو ۶ سال پیش به عنوان شرکت برای همکاری انتخاب کردم و هم اکنون تمام دیتاهای ما رو سرور های این شرکت هست شاخص ترین سرویسی هم که داریم سرور ابری اروپا پلن ۶ با لایسنس ها ماهانه 4 میلیون پرداخت میکنیم البته فقط برای این سرویس و هزینه سرویس های دیگه رو شرکت پرداخت میکنه
هیچ مشکلی هم نداشتیم اگرم مشکلی بود قطعا پیگیری و رفع شده با توجه به اینکه تو این مدت طولانی میزبانی دیتاهای ما رو به عهده داشتند هیچ مشکلی بابت لو رفتن و تغییر اطلاعات نداشتیم و میتونم بگم تا به این لحظه موارد امنیتی از جمله مواردی که شما اشاره کردید وجود نداشته.
بنده پیشنهاد نمیکنم شما سریع بیاین تو این شرکت سرویس بگیرید منظورمم این نیست که شرکت خوب یا بده، اینو باید خودتون یک همکاری داشته باشید و به نتیجه برسید.
اما جدا از این حرفا
اولین راه اینه که پوشه های مهمتون رو پنهان کنید یا HIDE
دومین راه قرار دادن یک پسورد مناسب برای پوشه های بسیار مهمتون هست
سومین راه encrypted کردن سورس یا کد های مهمتون هست.
چهارمین راه فعال کردن Two-Factor Authentication هاست می باشد که برای ورود غیر از پسورد ثابت یک پسورد متغیر هم باید وارد شود تا LOGIN کنید به کنترل پنل
انجام این موارد تا حدی میتونه امنیت دیتاهای شما رو تامین کنه البته به این منظور نیست که باز اطلاعات شما توسط هاستینگی که با اون همکاری دارید قابل دیدن یا بررسی نباشه هر طوری حساب کنید به خاطر اینکه تمام دیتا های شما روی دیسک سرور های اونها هست اگر قصد تخریب داشته باشند قابل انجام و کاریش هم نمیشه کرد.
مگر اینکه شما یک سرور اختصاصی یا dedicated توی یک رک تهیه کنید که کامل در اختیار خودتون هست و طبیعتا هم کسی نمیتونه دسترسی به اطلاعات شما بصورت ریموت داشته باشه مگر اینکه هارد رو از سرور جدا کنه و اطلاعات درونش رو decode کنه و بخونه./
باز متخصصین انجمن سون هاست بیشتر میتونن راهنماییتون کنن @Nima.asadi @aidin.hs @arash @arta
درود.
با تشکر از مهدی گنجی @mahdi_ganji عزیز در خصوص توضیحات و لطف ایشان نسبت به مجموعه ما.
اولین گام، انتخاب یک شرکت هاستینگ قابلاعتماد است که به اخلاق حرفهای پایبند باشد. شرکتهایی که دارای گواهینامهها و استانداردهای امنیتی معتبر هستند، معمولاً سیاستهای سختگیرانهای برای حفظ حریم خصوصی کاربران اعمال میکنند. از افزونههای نظارت بر تغییرات فایلها (مانند WP Activity Log) استفاده کنید. این ابزارها هرگونه تغییر در فایلها یا دیتابیس را گزارش میدهند. در نهایت به جای ذخیره اطلاعات حساس در هاست، از سرورهای ابری امن یا سرویسهای شخص ثالث معتبر استفاده کنید. به عنوان مثال، میتوانید از کیفپولهای رمزنگاری شده که امنیت بالایی دارند و نیاز به نصب در هاست شما ندارند، بهره ببرید.