امنیت نداشتن سرویس‌های هاستینگ وب می‌تواند فاجعه بار باشد و خطر آسیب دیدن وقتی از امنیت چندان هم سر نیاورید می‌تواند کابوس شب شما باشد. هکرها هموراه دنبال راه‌هایی برای نفوذ به سرورها هستند و این راه‌ها روز به روز هوشمندانه تر می‌شود. برای رفع این خطرات باید شرکت‌های میزبانی وب تدابیر متعددی بیندیشند و معمولاً هم آن‌ها تلاش‌شان را می‌کنند اما بخشی از کار نیز از طریق احتیاط‌ هایی به سرانجام می‌رسد که خود وب‌ماسترها در پیش می‌گیرند تا ناخواسته داده ها و سایت خود را در دست‌رس هکرها قرار ندهند.

سرورهای میزبانی اشتراکی و سرورهای مجازی می‌توانند در خطر حملات هکرهایی باشند که کارشان آپلود کردن بدافزار یا سایت‌های و کدهای خراب‌کار روی سرورها است. به محض آن‌که سایت یا کد خراب‌کار آپلود شود همه مشتریانی که داده هایشان روی سرور به اشتراک گذاشته شده در خطر قطعی خواهند بود. این کدها یا خود به خود روی سرور فعال خواهند شد یا ادمین در حین انجام وظایف روزمره نگه داری سرور ناخواسته آن‌ها را فعال می‌کند.

این مشکلات ممکن است در اثر آسیب پذیری‌های امنیتی در وب‌سایت یکی از مشتریان قانونی پدید آید و بدافزار آپلود شده می‌تواند برای هر خراب‌کاری‌ یی از دزدیدن اطلاعات کارت‌های اعتباری کاربران سایت یا ایجاد یک حمله DDoS به کار رود که به هکرها فرصت می‌دهد کل یک سرور هاستینگ را به دست بگیرند و از آن برای حمله به سرورهای دیگر استفاده کنند.

یکی دیگر از روش‌های معمول سوء استفاده هکرها که بسیار به ضرر یک شرکت میزبانی و مشتریانش خواهد بود فرستادن اسپم از سرور است. اسپمر از منابع سرور هاست آن قدر برای فرستادن اسپم استفاده می‌کند که IPهای آن وارد لیست‌‌های سیاه شرکت‌های امنیت ایمیل می‌شود و ایمیل‌هایی را که از آن سرور فرستاده شود پذیرفته نخواهند شد. در این صورت مشتریان دیگر نخواهند توانست حتا معمولی‌ترین ایمیل‌های روزمره خود را از حساب‌هایشان ارسال کنند و برای بسیاری از مشتریان هاست نداشتن امکان فرستادن ایمیل به معنای به خطر افتادن کسب و کارشان و بی استفاده ماندن سایت خواهد بود.

امنیت رمز عبور

هم شرکت‌های میزبان و هم کاربران حساب‌های هاستینگ باید به شکل دوره ای همه رمز عبورهایی را که در هر سطحی به سرور و فایل‌ها دست‌رس دارند تغییر دهند. شرکت‌های هاستینگ باید کارکنان‌شان را وادار کنند که در فاصله های زمانی معین رمز عبورهایشان را تغییر دهند و در صورت تغییر تجهیزات یا کارکنان همه رمز عبورهای قبلی باید عوض شود.

دارندگان وب‌سایت‌ها باید در صورت مشاهده هر تهدیدی روی سایت‌هایشان یاایجاد تغییرات عمده که ممکن است موجب بروز تهدیدات امنیتی شود مانند به روز رسانی سیستم مدیریت محتوا (CMS) یا آپلود نرم افزار تازه رمز عبورهایشان را عوض کنند. اگر شرکت هاستینگ جلوی یک تهدید علیه سایت‌های مشتریان را گرفته و یک پیغام هشدار برای آنان می‌فرستد باید حتماً در این پیام به آن‌ها سفارش کند هر رمز عبور دست‌رس به سرویس میزبانی و مدیریت وب‌سایت خود را که ممکن است در خطر افتاده باشد تغییر دهند.

دیگر اقدامات احتیاطی که کاربر باید انجام دهد
در حالت کلی اگرچه مسؤولیت ایجاد بالاترین سطح امنیت ممکن از طرف مشتریان بر عهده شرکت‌های هاستینگ است٬ خود مشتریان نیز باید اقداماتی پیشگیرانه انجام دهند تا اطمینان پیدا کنند که ناخواسته از حساب‌های خود سوء استفاده نمی‌کنند. این مطلب به ویژه در سرویس‌های هاست اشتراکی صادق است. وب‌ماسترها و صاحبان شرکت‌های تجارت آنلاین باید از منبع هر کد یا نرم افزاری که روی حساب‌هایشان نصب می‌کنند اطلاع داشته باشند. باید معلوم باشد که آیا این کد یا نرم افزار را برنامه نویس یا طراح وبی که خود استخدام کرده اند نوشته است٬ یا یک ابزار در دست‌رس همگانی در اینترنت یا یک افزونه یا ماژول نوشته شده برای یک CMS کد باز است.

کمک شرکت‌های میزبان به مشتریان در استفاده از کدهای مناسب و بی‌ خطر و تست کردن کدها و آموزش چگونگی متوقف کردن اخلال‌گران بسیار مفید است؛ اگرچه بیش‌تر کدهای خطرناک را اقدامات امنیتی سطح سرور می‌شناسند و متوقف می‌کنند. این آموزش‌ها می‌تواند از طریق ارسال خبرنامه هایی برای کاربران یا پیوند به مطالب مفید یا راه اندازی یک وبلاگ حاوی مطالب لازم در این زمینه باشد تا به کاربران کمک شود بالاترین سطح امنیت را همواره برای خود حفظ کنند. این خبرنامه ها می‌توانند برای تشویق کاربران به تغییر دوره ای رمز عبور یا هشدار به آن‌ها درباره بدافزارها و تهدیدات شناخته شده و تلاش‌های هکرها باشد.

آن‌چه که شرکت هاستینگ برای پیش‌گیری از رخنه های امنیتی انجام می‌دهد

یک شرکت هاستینگ پیش از هر جیز باید مشتریان خود را بشناسد. ممکن است سیاست شرکت میزبان این باشد که هیچ حسابی را از کاربرانی که آدرس‌های IP آن‌ها به دلیل ضعف‌ها و سوء استفاده های امنیتی بدنام شده اند نپذیرد. اما کاملاً احتمال دارد که این حساب متعلق به کاربری باشد که برای خلاصی از وضعیت امنیتی پایین محیط پیرامونی خود به یک سرویس دهنده معتبر روی آورده باشد. بنابراین این سیاست نمی‌تواند همیشه انتخاب مناسبی باشد. در عوض نظارت دقیق بر حساب‌های تازه و حتا تعیین هویت صاحبان این حساب‌ها و برقراری تماس تلفنی با آن‌ها می‌تواند سایست مناسب‌تری باشد. هکرها و خراب‌کاران به ثبت حساب در شرکت هاستینگی که این قدر دقیق به هویت صاحبان حساب‌هایش اهمیت بدهد و در این مورد حساس باشد علاقه ای نخواهند داشت.

مسأله دوم سرویس‌های مجانی است که در قبال مثلاً آگهی واگذار می‌شود. هیچ شرکت هاستینگ مسؤولیت پذیری نباید روی سروری که بسته های هاست پولی خود را می‌فروشد اقدام به ارایه این قبیل هاست‌های رایگان کند. احتمال آن‌که حساب‌های هاستینگ رایگان را افراد بی مسؤولیت و هکرها ثبت کنند و از آن‌ها برای میزبانی سایت‌های خود و دانلود برنامه های خرابکارانه استفاده کنند خیلی زیاد است. این برنامه ها و سایت‌ها برای امنیت کل سرور خطرناک است و کم‌ترین اتفاقی که ممکن است بیفتد مشکل سازی برای کاربران قانونی یی است که برای هاست‌های خود پول داده اند. شرکت هاستینگی که می‌خواهد این گونه هاست‌های رایگان در اختیار مشتریانش بگذارد باید این کار را تنها برای مشتریان شناخته شده اش و روی سروری جداگانه انجام دهد.

یک فایروال مطمئن ضروری است. کار فایروال جلوگیری از بروز تهدیدات خارجی روی سرور و سایت‌های هاست شده روی آن است. همچنین فایروال باید امکان مسدود کردن آدرس‌های IPیی را که به ایجاد تهدیدات امنیتی شناخته می‌شوند مثلاً سرورهای پراکسی ناامن فراهم کند.

نرم افزارهای خاصی نیز در بازار یافته می‌شوند که روی سرور نصب می‌شوند و کارشان جلوگیری از بروز حملات رد سرویس توزیع شده (DDoS) است. همه شرکت‌های میزبانی باید این قبیل نرم افزارها را روی سرورهایشان نصب کنند.

فراهم کنندگان سرویس‌های هاست اشتراکی باید استفاده از دستورها و فایل‌های اجرایی را نیز در حساب‌های مشتریان‌شان محدود کنند. ممکن است صاحبان حساب‌ها از این دستورها برای دست‌رس به فایل‌های ذخیره شده روی سرور استفاده کنند. در اغلب موارد چنین رخنه هایی بدون نیت سوء و تصادفی رخ می‌دهد اما آسیب ایجاد شده می‌تواند غیر قابل جبران باشد.

همه سایت‌های روی یک سرور یا شبکه باید مرتباً مونیتور شوند تا از عدم آپلود کدهای خراب‌کار روی سایت اطمینان حاصل شود. ممکن است کل یک وب‌سایت قانونی باشد اما نادانسته کد خراب‌کار روی آن آپلود شده باشد. اگر وب‌سایتی آلوده شده باشد و برای کاربران دیگر خطرساز باشد؛ در این صورت این حساب باید معلق شود  تا زمانی که دارنده سایت اقدامات لازم برای رفع تهدید را انجام دهد. سرویس دهنده می‌تواند با ابزارهای مختلفی که در دست‌رس است یک هشدار خودکار برای مشتری بفرستد و به آن‌ها در مورد مشکل امنیتی ایجاد شده اطلاع دهد. این کار مسؤولیت مشتری برای انجام اقدامات امنیتی لازم برای رفع خطر را یادآوری می‌کند.

امروزه همه شرکت‌های معتبر میزبانی وب معمولاً روزانه از کل داده های سرورهایشان روی یک سرور ریموت پشتیبان می‌گیرند. این کار ضروری است و به شرکت میزبان امکان می‌دهد در صورت آسیب رسیدن به کل شبکه یا یک وب‌سایت خاص در اثر رخنه امنیتی یا اشکال فنی داده های آسیب ندیده را بازیابی کند.

هم‌چنین شرکت میزبان باید امکانات امنیتی اضافه را به صورت عادی یا با پرداخت اضافه برای مشتریانش فراهم کند. وب‌سایت‌های تجارت الکترونیک باید بتوانند یک گواهی‌نامه SSL برای رمزگذاری داده های حساس خود تهیه کنند. این داده ها شامل اطلاعات بانکی و مجوزهای ورود به سایت کاربران می‌شود. استفاده از FTP امن که داده های در حال آپلود را رمزگذاری می‌کند هم‌زمان به نفع وب‌ماستر و شرکت هاست است. استفاده از ارتباط امن بین سرور میزبان و رایانه مشتری مثلاً از طریق پوسته امن (SSH) نیز سودمند است.