اشتراک خبرنامه تبلیغات
پوسته وردپرسThemes افزونه وردپرسPlugins اسکریپتScripts مرکز آموزشLearning گرافیکGraphic ساخت وبیساMade by us

امن کردن محیط کار وردپرس – امنیت وردپرس (قسمت ۴)

در این مقاله می خوانیم:

  • از VPN برای اتصال به اینترنت استفاده کنید
  • نرم افزارهای غیرامن را برروی سیستم و موبایلتان نصب نکنید
  • از یک ویروس اسکنر معتبر استفاده کنید.
  • آیا باید از نرم‌افزار مدیریت رمزعبور استفاده کنید؟
  • روش جایگزین برای مدیریت رمزعبورها
  • مواظب حملات فیشینگ باشید
  • مهندسی اجتماعی
  • نتیجه گیری

خب باز هم همراه شما هستیم در بخش امنیت وردپرس ، همه ی هکرها به دنبال به تله انداختن workstation ها یا همان سیستمهای کامپیوتری و دستگاه‌های موبایل هستند. معمولا به این دستگاهها که سرویس گیرنده محض در شبکه هستند endpoint می گویند. علت اینکه این دستگاهها هدف جذابی برای هکرها به حساب می‌آیند این است که برای ورود به تمامی سایت‌هایی که عضو آنها هستید مثل gmail و یا سرویسهایی که از آنها استفاده می کنید مانند dropbox از کیبرد آنها استفاده می‌کنید.

اگر هکری بتواند به سیستم و یا موبایل شما و یا حتی یکی از اپلیکیشن‌های نصب شده در آنها دسترسی پیدا کند، از این طریق می تواند به حساب‌های کاربری شما در سایتها و سرویسهای مورد استفاد‌‌ه‌تان دسترسی پیدا کند. این مورد شامل دسترسی به سایت وردپرس‌تان، حساب کاربری در سایت هاستینگ‌، اطلاعات ورود به سی پنل و ایمیل‌هایتان می باشد. بنابراین مطمئن باشید که حفاظت از سیستم شخصی و کاری و موبایلتان برای حفاظت از سایت‌هایتان بسیار بسیار مهم است.

در ادامه چند نکته برای حفاظت از سیستم‌های کامپیوتری و موبایلهایتان معرفی خواهیم کرد:

همیشه از VPN برای اتصال به اینترنت استفاده کنید
اینکار را به این خاطر انجام می دهید که مطمئن شوید حتی اگر کسی در شبکه خانه، محل کار و یا شبکه‌ی عمومی در حال مانیتور کردن شماست، نمی تواند اطلاعات شما را بخاطر رمزنگاری انجام شده، بخواند. VPN‌ها معمولا قیمت ارزانی دارند و قیمتشان بین ۲ تا ۲۰ هزار تومان در ماه است. البته این را در نظر داشه باشید که زمانی که از VPN استفاده می کنید، اطلاعات بین سیستم شما تا سرور VPN رمزگذاری می شود. پس از طی این مسیر اگر از پروتکل ‌هایی مانند HTTP استفاده کرده باشید، اطلاعاتتان بصورت plain text است. بنابراین همیشه سعی کنید که برای انتقال اطلاعات حساس، از سایت‌هایی استفاده کنید که از پروتکل HTTPS استفاده می کنند.

پیشنهاد می کنم با گوشی‌های خود، به شبکه های عمومی WiFi وصل نشوید. اگر قرار است با موبایلتان به شبکه های عمومی WiFi و یا هات اسپات‌های غیرقابل اطمینان وصل شوید، پیشنهاد میکنیم تا از VPN روی گوشی موبایلتان استفاده کنید. برای اکثر سیستم عامل‌های موبایل مانند اندروید، ویندوز و IOS می توانید قابلیت استفاده از VPN وجود دارد و در صورت انتقال اطلاعات حساس بدون VPN در این شبکه‌ها، ریسک بزرگی را قبول می کنید.

هیچگاه نرم‌افزارهای غیرقابل اطمینان برروی سیستم و یا موبایلتان نصب نکنید
ممکن است که برای انجام کاری نیاز داشته باشید تا یک نرم افزار کاربردی که مشهور نیست را از یک سایت نامعتبر که آن را برای دانلود گذاشته است، گرفته و نصب کنید. به این مساله دوباره فکر کنید. اگر در نصب نرم‌افزار احتیاط به خرج ندهید، ممکن است چندبرابر هزینه و زمانی که آن نرم افزار کاربردی برایتان حفظ کرده بود را متضرر شوید.

برای اینکه احتمال نصب نرم‌افزارهای مخرب را کاهش دهید به نکات زیر توجه کنید:

  • نرم‌افزارها و اپلیکیشن‌های خود را از منابع امنی مانند اپ استور اپل و یا گوگل پلی دریافت کنید.
  • سعی کنید از منابعی که امکان امتیازدهی کاربران به نرم‌افزار را دارند، استفاده کنید و مطمئن باشید که نرم‌افزار با امتیاز بالا را نصب می‌کنید.
  • یک سرچ ساده در گوگل بزنید.نام نرم‌افزار را به همراه واژه‌های کلیدی malware و یا scum جستجو کنید. سریعا نتایجی در سایت‌های امنیتی و یا فروم‌ها در رابطه با این موضوع خواهید یافت.

از یک ویروس اسکنر معتبر استفاده کنید
اسکنرهای ویروس نه تنها سیستم شما را برای پیدا کردن فایل‌های آلوده اسکن می کنند، بلکه قبل از ایجاد آلودگی در سیستمتان جلوی آن را میگیرند. اگر شما اشتباها یک نرم‌افزار آلوده برروی سیستم خود نصب کنید، یک ویروس اسکنر خوب به شما هشدار لازم را در این مورد میدهد، قبل از اینکه نرم‌افزار را اجرا و سیستم خود را آلوده سازید.

ما به شما اسکنرهای محبوبی همچون نورتون، کسپراسکای و مکافی را پیشنهاد میکنیم. همچنین شرکت ترند میکرو یک ویروس اسکنر آنلاین به اسم House Call را ارائه میدهد.

آیا باید از نرم‌افزار مدیریت رمزعبور استفاده کنید؟
این موضوع واقعا بحث برانگیز است. سایت LastPass که خدمات مدیریت رمزعبور را ارائه می داد در ژوئن سال ۲۰۱۵ هک شد و این مساله اصلا برای سیستم‌های مدیریت رمزعبور خوب نبود. اگر نمیخواهید از سرویس LastPass استفاده کنید، می توانید سرویس ۱Password را برای مدیریت رمزهای عبورتان استفاده کنید.

سمت مثبت قضیه این است که سرویس‌های مدیریت رمزعبور به شما اجازه می‌دهند تا رمزهای عبور بسیار بلند و پیچیده ای بسازید، بدون اینکه نیاز به حفظ کردن آن داشته باشید. این مساله باعث می‌شود رمزعبورهای شما در مقابل حملات کرکینگ و بروت فورس مقاوم بوده و به سختی هک شوند که مزیت بسیار مهمی به حساب می‌آید.

این سرویس‌ها همچنین به پیچیده ساختن رمزهای عبور کمک می کنند و ما میتوانیم با خیال راحت یک رمز پیچیده برای هر سایت بسازیم، بدون اینکه نیاز به حفظ کردن آن داشته باشیم. خوبی این مساله این است که در صورتی که یکی از سایت‌‌هایی که عضوش هستید هک شد، حساب شما در سایت‌های دیگر بخاطر یکسان بودن رمزهای عبور هک نخواهد شد. همینطور شما دیگر لازم نیست که رمزهای معتبر خود را برای ثبت نام در سایت‌هایی که به آنان اطمینان کامل ندارید، استفاده کنید.

به علاوه، سرویس های مدیریت رمزعبور مانند ۱Password به شما اجازه ساخت ‘vault’ را می دهند که می تواند آن را بین دوستان و یا همکارانتان به اشتراک بگذارید. به این ترتیب دیگر نیاز نیست که رمزعبورها را بصورت غیررمزنگاری شده و از طریق ایمیل، اسکایپ و یا حتی پشت تلفن ارسال کنید.

پاسخ دادن به این سوال که آیا باید از سرویس‌های مدیریت رمزعبور استفاده کرد یا نه اصلا کار راحتی نیست. این پاسخ بستگی به شرایط خود شما دارد. اگر می خواهید این بخش از امنیت را یکجا به یک سرویس دهنده بسپارید و همچنین از مزیتهای دیگر آن استفاده کنید، باید به سراغ همین سرویسها بروید. اگر اینکه فکر میکنید روش سنتی برای شما ایمن تر است و راه و روش خاصی برای پیچیده نگه داشتن رمزهای عبور خود دارید، روش خود را انتخاب نمایید.

روش جایگزین برای مدیریت رمزعبورها
این سوال نیز پاسخ ساده ای ندارد. یکی از روش‌های مدیریت رمزهای عبورتان این است که آنها را بر اساس فرمول بسازید. یک مثال برای درک بهتر مساله می تواند این باشد :

  • دو کلمه را با ساختار نوشتاری غیرمتعارف انتخاب کنید. مثلا b4nana و c4k3 برای banana و cake
  • از یک فرمول ساخت رمزعبور برای هر سایت استفاده کنید.
  • دو کلمه انتخاب شده را باهم ترکیب نماید. مثلا b4nanac4k3
  • حرف اول اسم سایت را انتخاب کنید و دو حرف بعد آن را به اول رمز فعلی اضافه کنید. مثلا g که برای سایت gmail است با دوتا شیفت به جلو می شود i و
  • رمزعبور با این شرایط به این شکل خواهد شد: ib4nanac4k3
  • حالا حرف دوم اسم سایت را برداشته و آن را دو حرف به عقب شیفت بدهید و به انتهای رمز اضافه کنید. پس در اینصورت m برای سایت gmail با دو شیفت
  • به عقب می شود k و رمزعبور نهایی ما می شود: ib4nanac4k3k

با استفاده از این روش می توانید رمزعبورهایی به میزان پیچیدگی دلخواه خود تولید کرده و برای هر سایت که در آن عضو هستید رمزعبور منحصر به فردی را داشته باشید. ممکن است بخواهید از سمبل‌ها در رمزعبور استفاده کنید و یا می توانید از حرف سوم یا چهارم اسم سایت به جای حرف اول و دوم استفاده کنید. همچنین سعی کنید از ترکیب حروف کوچک و بزرگ در کلمات اصلیتان استفاده کنید که پیچیدگی رمزعبور بالاتر رود.

هرچه رمزعبور پیچیده‌تر باشد، کرکرها برای شکستن آن رمز زمان و منابع بیشتری نیاز دارند. رمزهایی که حاوی سمبل‌ها و عددها و بیش از یک کلمه ای می باشند جز رمزعبورهای پیچیده محسوب می‌شوند، مخصوصا اگر این کلمات به طور غیرمتعارف نوشته شوند و بجای حروف از سمبل و عدد در آنها استفاده شود. اینکار پیش بینی رمزعبور را به شدت سخت می کند.

مواظب حملات فیشینگ باشید
حمله فیشینگ نوعی کلاهبرداری است که در آن هکر اقدام به ارسال ایمیلی حاوی صفحه یک سایت به افراد زیادی می‌کند. او شما را به ثبت نام در این سایت تحریک می کند و بدین طریق می تواند اطلاعات ورود شما به سرقت ببرد.در واقع این صفحه‌ی ورود به هیچ سایتی نیست، بلکه ساخته شده است تا نام کاربری و رمز را بعد از دریافت به ایمیل هکر فرستاده یا در فایلی ذخیره نماید. این یک روش معمول و قدیمی است که بیشتر افراد از آن آگاه هستند. این نوع حملات را به سادگی می توان از طریق نام دامنه و لینکی که به شما فرستاده شده است، شناسایی کرد.مثلا بجای اسم ariawp.com از دامین ariawp.com.tr استفاده می شود و یا هرنوع دامین شبیه به دامین اصلی در این حمله می تواند مورد استفاده قرار گیرد.

یک نوع تهدید خطرناکتری به نام “spear phishing” وجود دارد که در آن هدفها بصورت انفرادی انتخاب میشوند و هکر در مورد شما به عنوان قربانی، شروع به جمع آوری اطلاعات می کند. مثلا تحقیق می کند که در چه زمینه ای درس می خوانید، دوستانتان کیستند و به چه زمینه‌هایی علاقه دارید. همچنین کشف می‌کنند که روی چه پروژه هایی کار میکنید و در چه زمینه‌هایی تخصص دارید. سپس یک ایمیل کاملا هدفمند برای شما میفرستند که حاوی attachment است. هدف این است که شما این فایل پیوست شده را دانلود کرده و اجرا کنید.

در سال ۲۰۱۴، سازمان دادگستری آمریکا، تعداد زیادی از مسئولین ارتشی چین را متهم به هدف قراردادن شرکت‌های آمریکایی کرد. بیشترین تاکتیک مورد استفاده برای گرفتن دسترسی به شبکه این شرکتها spear phishing بود.

در مجموعه حمله‌های مهم و بزرگ، هکرها از آسیب‌پذیری‌های روز صفر در فایلهای پیوست استفاده می کنند تا بوسیله آن بتوانند “remote access trojan” یا همان RAT را برروی سیستم‌های قربانی نصب کنند. آنتی‌ویروس‌های عادی ممکن است که حمله را بخاطر سطح بالای پیچیدگی فایل‌ها و روزصفر بودن آسیب‌پذیری تشخیص ندهند. RATها به هکرها اجازه دسترسی کامل به سیستم کاری قربانی را می‌دهند، این دسترسی میتواند شامل دسترسی به وبکم و کیبرد و ماوس و کارت شبکه و آنالیز اطلاعات ورودی و خروجی باشد.

احتمال اینکه بیشتر افراد دنیا مورد هدف این نوع حمله‌ها قرار بگیرند بسیار کم است، اما اگر شغل شما در حوزه امنیت می باشد و یا روزنامه نگاری در حوزه سیاسی می باشید و یا تحقیقاتی در زمینه‌های به شدت رقابتی انجام میدهید، ممکن است مورد هدف این نوع از حملات قرار بگیرید.

چند نکته برای جلوگیری از حملات spear phishing که به دردتان میخورد:

  • دو کلمه را با ساختار نوشتاری غیرمتعارف انتخاب کنید.مثلا b4nana و c4k3 برای banana و cake
  • از یک فرمول ساخت رمزعبور برای هر سایت استفاده کنید.
  • دو کلمه انتخاب شده را باهم ترکیب نماید.مثلا b4nanac4k3
  • حرف اول اسم سایت را انتخاب کنید و دو حرف بعد آن را به اول رمز فعلی اضافه کنید.مثلا g که برای سایت gmail است با دوتا شیفت به جلو می شود i و
  • رمزعبور با این شرایط به این شکل خواهد شد: ib4nanac4k3
  • حالا حرف دوم اسم سایت را برداشته و آن را دو حرف به عقب شیفت بدهید و به انتهای رمز اضافه کنید. پس در اینصورت m برای سایت gmail با دو شیفت به عقب می شود k و رمزعبور نهایی ما می شود: ib4nanac4k3k

مهندسی اجتماعی
متاسفانه مهندسی اجتماعی یکی از معمولترین و موثرترین روشها برای جمع‌آوری اطلاعات است. این روش متشکل از متدهای غیرتکنیکال برای جمع‌آوری اطلاعات از افراد یا سازمان‌‌ها می‌باشد. معمولا هکرها به شما زنگ می‌زنند و پشت تلفن شما را طوری فریب میدهند که اطلاعات حساسی را در اختیار آنها بگذارید. آنها این اطلاعات را برای نفوذ به سیستم‌ها و دستگاه‌های سازمانتان و یا از آنها برای برنامه‌ریزی برای یک حمله پیچیده‌تر استفاده میکنند.

ممکن است این افراد خودشان را از بخش IT سازمان و یا از طرف یک شرکت دیگری که از نظر شما قابل اعتماد است، معرفی کند. قبل از تماس با شما، آنها تا میتوانند اطلاعات لازم را برای جلب اعتماد شما در مورد هویتشان ، جمع آوری میکنند. ” بله آقای اصغرزاده، ما می دونیم که شما به تازگی سیستم کامپیوتری خودتون رو آپدیت کردید.درواقع این ما بودیم که نرم افزارهای جدید را روی سیستمهای لنوو شما در طبقه پنجم نصب کردیم.” آنها ممکن است در مورد این بروزرسانی‌ها و اینکه شما کجا کار میکنید اطلاعاتی داشته باشند که شاید حتی این اطلاعات را از شبکه‌های مجازی دریافته باشند.

برای اینکه از اینگونه حملات در امان باشید به موارد زیر توجه کنید:

  • اطلاعاتی را که در شبکه‌های مجازی بصورت عمومی به اشتراک می‌گذارید را محدود کنید. این عمل باعث محدودیت دسترسی مهندسین اجتماعی به اطلاعات میگردد.
  • یک روش استاندارد برای ارائه اطلاعات محرمانه و حساس داشته باشید و چگونگی ارائه اطلاعات را بسنجید.
  • اگر فردی با شما تماس گرفت و شما به این تماس شک داشتید، شماره تلفن او را بگیرید و بگویید که بعد از مدتی با شما تماس خواهم گرفت. سعی کنید بجای شماره تماس مستقیم، شماره تلفن منشی و یا بخش اطلاعات سازمان آنها را بگیرید. برای شناسایی شماره تلفن آنها، این شماره را با مسئولین و واحد ارتباطات و اطلاعات خود در میان بگذارید و یا شماره تلفن را در گوگل جستجو کنید.
  • بعضی وقت‌ها نه گفتن به انسان‌های واقعی که پشت تلفن هستند و اطلاعات کافی در مورد شما و سازمان شما دارند، سخت است. اما به این فکر کنید که افشای اطلاعات به فردی غلط و خطرناک میتواند چه عواقبی بدی داشته باشد. به افراد اعتماد کنید، اما ابتدا از نیت آنها مطمئن شوید.

نتیجه گیری
محافظت از سیستم‌های کامپیوتری و دستگاه‌های شبکه یک امر حیاتی برای امن نگه داشتن سایت و اطلاعات شما محسوب می‌شود. اگر هکری بتواند به یکی از سیستمهای نهایی یا همان endpoint های شبکه شما دسترسی داشته باشد، میتواند به تمام سرویسهایی که کاربران شما استفاده میکنند نیز دسترسی داشته باشد. از همین رو بهتر است برای محافظت از تک تک سیستم‌های کلاینتی خود باید و باید زمان و دانش کافی صرف کنید.

مطالب مرتبط با امن کردن محیط کار وردپرس – امنیت وردپرس (قسمت ۴)