• از VPN برای اتصال به اینترنت استفاده کنید
• نرم افزارهای غیرامن را برروی سیستم و موبایلتان نصب نکنید
• از یک ویروس اسکنر معتبر استفاده کنید.
• آیا باید از نرم‌افزار مدیریت رمزعبور استفاده کنید؟
• روش جایگزین برای مدیریت رمزعبورها
• مواظب حملات فیشینگ باشید
• مهندسی اجتماعی
• نتیجه گیری

خب باز هم همراه شما هستیم در بخش امنیت وردپرس ، همه ی هکرها به دنبال به تله انداختن workstation ها یا همان سیستمهای کامپیوتری و دستگاه‌های موبایل هستند. معمولا به این دستگاهها که سرویس گیرنده محض در شبکه هستند endpoint می گویند. علت اینکه این دستگاهها هدف جذابی برای هکرها به حساب می‌آیند این است که برای ورود به تمامی سایت‌هایی که عضو آنها هستید مثل gmail و یا سرویسهایی که از آنها استفاده می کنید مانند dropbox از کیبرد آنها استفاده می‌کنید.

اگر هکری بتواند به سیستم و یا موبایل شما و یا حتی یکی از اپلیکیشن‌های نصب شده در آنها دسترسی پیدا کند، از این طریق می تواند به حساب‌های کاربری شما در سایتها و سرویسهای مورد استفاد‌‌ه‌تان دسترسی پیدا کند. این مورد شامل دسترسی به سایت وردپرس‌تان، حساب کاربری در سایت هاستینگ‌، اطلاعات ورود به سی پنل و ایمیل‌هایتان می باشد. بنابراین مطمئن باشید که حفاظت از سیستم شخصی و کاری و موبایلتان برای حفاظت از سایت‌هایتان بسیار بسیار مهم است.

در ادامه چند نکته برای حفاظت از سیستم‌های کامپیوتری و موبایلهایتان معرفی خواهیم کرد:

همیشه از VPN برای اتصال به اینترنت استفاده کنید
اینکار را به این خاطر انجام می دهید که مطمئن شوید حتی اگر کسی در شبکه خانه، محل کار و یا شبکه‌ی عمومی در حال مانیتور کردن شماست، نمی تواند اطلاعات شما را بخاطر رمزنگاری انجام شده، بخواند. VPN‌ها معمولا قیمت ارزانی دارند و قیمتشان بین ۲ تا ۲۰ هزار تومان در ماه است. البته این را در نظر داشه باشید که زمانی که از VPN استفاده می کنید، اطلاعات بین سیستم شما تا سرور VPN رمزگذاری می شود. پس از طی این مسیر اگر از پروتکل ‌هایی مانند HTTP استفاده کرده باشید، اطلاعاتتان بصورت plain text است. بنابراین همیشه سعی کنید که برای انتقال اطلاعات حساس، از سایت‌هایی استفاده کنید که از پروتکل HTTPS استفاده می کنند.

پیشنهاد می کنم با گوشی‌های خود، به شبکه های عمومی WiFi وصل نشوید. اگر قرار است با موبایلتان به شبکه های عمومی WiFi و یا هات اسپات‌های غیرقابل اطمینان وصل شوید، پیشنهاد میکنیم تا از VPN روی گوشی موبایلتان استفاده کنید. برای اکثر سیستم عامل‌های موبایل مانند اندروید، ویندوز و IOS می توانید قابلیت استفاده از VPN وجود دارد و در صورت انتقال اطلاعات حساس بدون VPN در این شبکه‌ها، ریسک بزرگی را قبول می کنید.

هیچگاه نرم‌افزارهای غیرقابل اطمینان برروی سیستم و یا موبایلتان نصب نکنید
ممکن است که برای انجام کاری نیاز داشته باشید تا یک نرم افزار کاربردی که مشهور نیست را از یک سایت نامعتبر که آن را برای دانلود گذاشته است، گرفته و نصب کنید. به این مساله دوباره فکر کنید. اگر در نصب نرم‌افزار احتیاط به خرج ندهید، ممکن است چندبرابر هزینه و زمانی که آن نرم افزار کاربردی برایتان حفظ کرده بود را متضرر شوید.

برای اینکه احتمال نصب نرم‌افزارهای مخرب را کاهش دهید به نکات زیر توجه کنید:

• نرم‌افزارها و اپلیکیشن‌های خود را از منابع امنی مانند اپ استور اپل و یا گوگل پلی دریافت کنید.
• سعی کنید از منابعی که امکان امتیازدهی کاربران به نرم‌افزار را دارند، استفاده کنید و مطمئن باشید که نرم‌افزار با امتیاز بالا را نصب می‌کنید.
• یک سرچ ساده در گوگل بزنید.نام نرم‌افزار را به همراه واژه‌های کلیدی malware و یا scum جستجو کنید. سریعا نتایجی در سایت‌های امنیتی و یا فروم‌ها در رابطه با این موضوع خواهید یافت.

از یک ویروس اسکنر معتبر استفاده کنید
اسکنرهای ویروس نه تنها سیستم شما را برای پیدا کردن فایل‌های آلوده اسکن می کنند، بلکه قبل از ایجاد آلودگی در سیستمتان جلوی آن را میگیرند. اگر شما اشتباها یک نرم‌افزار آلوده برروی سیستم خود نصب کنید، یک ویروس اسکنر خوب به شما هشدار لازم را در این مورد میدهد، قبل از اینکه نرم‌افزار را اجرا و سیستم خود را آلوده سازید.

ما به شما اسکنرهای محبوبی همچون نورتون، کسپراسکای و مکافی را پیشنهاد میکنیم. همچنین شرکت ترند میکرو یک ویروس اسکنر آنلاین به اسم House Call را ارائه میدهد.

آیا باید از نرم‌افزار مدیریت رمزعبور استفاده کنید؟
این موضوع واقعا بحث برانگیز است. سایت LastPass که خدمات مدیریت رمزعبور را ارائه می داد در ژوئن سال ۲۰۱۵ هک شد و این مساله اصلا برای سیستم‌های مدیریت رمزعبور خوب نبود. اگر نمیخواهید از سرویس LastPass استفاده کنید، می توانید سرویس ۱Password را برای مدیریت رمزهای عبورتان استفاده کنید.

سمت مثبت قضیه این است که سرویس‌های مدیریت رمزعبور به شما اجازه می‌دهند تا رمزهای عبور بسیار بلند و پیچیده ای بسازید، بدون اینکه نیاز به حفظ کردن آن داشته باشید. این مساله باعث می‌شود رمزعبورهای شما در مقابل حملات کرکینگ و بروت فورس مقاوم بوده و به سختی هک شوند که مزیت بسیار مهمی به حساب می‌آید.

این سرویس‌ها همچنین به پیچیده ساختن رمزهای عبور کمک می کنند و ما میتوانیم با خیال راحت یک رمز پیچیده برای هر سایت بسازیم، بدون اینکه نیاز به حفظ کردن آن داشته باشیم. خوبی این مساله این است که در صورتی که یکی از سایت‌‌هایی که عضوش هستید هک شد، حساب شما در سایت‌های دیگر بخاطر یکسان بودن رمزهای عبور هک نخواهد شد. همینطور شما دیگر لازم نیست که رمزهای معتبر خود را برای ثبت نام در سایت‌هایی که به آنان اطمینان کامل ندارید، استفاده کنید.

به علاوه، سرویس های مدیریت رمزعبور مانند ۱Password به شما اجازه ساخت ‘vault’ را می دهند که می تواند آن را بین دوستان و یا همکارانتان به اشتراک بگذارید. به این ترتیب دیگر نیاز نیست که رمزعبورها را بصورت غیررمزنگاری شده و از طریق ایمیل، اسکایپ و یا حتی پشت تلفن ارسال کنید.

پاسخ دادن به این سوال که آیا باید از سرویس‌های مدیریت رمزعبور استفاده کرد یا نه اصلا کار راحتی نیست. این پاسخ بستگی به شرایط خود شما دارد. اگر می خواهید این بخش از امنیت را یکجا به یک سرویس دهنده بسپارید و همچنین از مزیتهای دیگر آن استفاده کنید، باید به سراغ همین سرویسها بروید. اگر اینکه فکر میکنید روش سنتی برای شما ایمن تر است و راه و روش خاصی برای پیچیده نگه داشتن رمزهای عبور خود دارید، روش خود را انتخاب نمایید.

روش جایگزین برای مدیریت رمزعبورها
این سوال نیز پاسخ ساده ای ندارد. یکی از روش‌های مدیریت رمزهای عبورتان این است که آنها را بر اساس فرمول بسازید. یک مثال برای درک بهتر مساله می تواند این باشد :

• دو کلمه را با ساختار نوشتاری غیرمتعارف انتخاب کنید. مثلا b4nana و c4k3 برای banana و cake
• از یک فرمول ساخت رمزعبور برای هر سایت استفاده کنید.
• دو کلمه انتخاب شده را باهم ترکیب نماید. مثلا b4nanac4k3
• حرف اول اسم سایت را انتخاب کنید و دو حرف بعد آن را به اول رمز فعلی اضافه کنید. مثلا g که برای سایت gmail است با دوتا شیفت به جلو می شود i و
• رمزعبور با این شرایط به این شکل خواهد شد: ib4nanac4k3
• حالا حرف دوم اسم سایت را برداشته و آن را دو حرف به عقب شیفت بدهید و به انتهای رمز اضافه کنید. پس در اینصورت m برای سایت gmail با دو شیفت
• به عقب می شود k و رمزعبور نهایی ما می شود: ib4nanac4k3k

با استفاده از این روش می توانید رمزعبورهایی به میزان پیچیدگی دلخواه خود تولید کرده و برای هر سایت که در آن عضو هستید رمزعبور منحصر به فردی را داشته باشید. ممکن است بخواهید از سمبل‌ها در رمزعبور استفاده کنید و یا می توانید از حرف سوم یا چهارم اسم سایت به جای حرف اول و دوم استفاده کنید. همچنین سعی کنید از ترکیب حروف کوچک و بزرگ در کلمات اصلیتان استفاده کنید که پیچیدگی رمزعبور بالاتر رود.

هرچه رمزعبور پیچیده‌تر باشد، کرکرها برای شکستن آن رمز زمان و منابع بیشتری نیاز دارند. رمزهایی که حاوی سمبل‌ها و عددها و بیش از یک کلمه ای می باشند جز رمزعبورهای پیچیده محسوب می‌شوند، مخصوصا اگر این کلمات به طور غیرمتعارف نوشته شوند و بجای حروف از سمبل و عدد در آنها استفاده شود. اینکار پیش بینی رمزعبور را به شدت سخت می کند.

مواظب حملات فیشینگ باشید
حمله فیشینگ نوعی کلاهبرداری است که در آن هکر اقدام به ارسال ایمیلی حاوی صفحه یک سایت به افراد زیادی می‌کند. او شما را به ثبت نام در این سایت تحریک می کند و بدین طریق می تواند اطلاعات ورود شما به سرقت ببرد.در واقع این صفحه‌ی ورود به هیچ سایتی نیست، بلکه ساخته شده است تا نام کاربری و رمز را بعد از دریافت به ایمیل هکر فرستاده یا در فایلی ذخیره نماید. این یک روش معمول و قدیمی است که بیشتر افراد از آن آگاه هستند. این نوع حملات را به سادگی می توان از طریق نام دامنه و لینکی که به شما فرستاده شده است، شناسایی کرد.مثلا بجای اسم ariawp.com از دامین ariawp.com.tr استفاده می شود و یا هرنوع دامین شبیه به دامین اصلی در این حمله می تواند مورد استفاده قرار گیرد.

یک نوع تهدید خطرناکتری به نام “spear phishing” وجود دارد که در آن هدفها بصورت انفرادی انتخاب میشوند و هکر در مورد شما به عنوان قربانی، شروع به جمع آوری اطلاعات می کند. مثلا تحقیق می کند که در چه زمینه ای درس می خوانید، دوستانتان کیستند و به چه زمینه‌هایی علاقه دارید. همچنین کشف می‌کنند که روی چه پروژه هایی کار میکنید و در چه زمینه‌هایی تخصص دارید. سپس یک ایمیل کاملا هدفمند برای شما میفرستند که حاوی attachment است. هدف این است که شما این فایل پیوست شده را دانلود کرده و اجرا کنید.

در سال ۲۰۱۴، سازمان دادگستری آمریکا، تعداد زیادی از مسئولین ارتشی چین را متهم به هدف قراردادن شرکت‌های آمریکایی کرد. بیشترین تاکتیک مورد استفاده برای گرفتن دسترسی به شبکه این شرکتها spear phishing بود.

در مجموعه حمله‌های مهم و بزرگ، هکرها از آسیب‌پذیری‌های روز صفر در فایلهای پیوست استفاده می کنند تا بوسیله آن بتوانند “remote access trojan” یا همان RAT را برروی سیستم‌های قربانی نصب کنند. آنتی‌ویروس‌های عادی ممکن است که حمله را بخاطر سطح بالای پیچیدگی فایل‌ها و روزصفر بودن آسیب‌پذیری تشخیص ندهند. RATها به هکرها اجازه دسترسی کامل به سیستم کاری قربانی را می‌دهند، این دسترسی میتواند شامل دسترسی به وبکم و کیبرد و ماوس و کارت شبکه و آنالیز اطلاعات ورودی و خروجی باشد.

احتمال اینکه بیشتر افراد دنیا مورد هدف این نوع حمله‌ها قرار بگیرند بسیار کم است، اما اگر شغل شما در حوزه امنیت می باشد و یا روزنامه نگاری در حوزه سیاسی می باشید و یا تحقیقاتی در زمینه‌های به شدت رقابتی انجام میدهید، ممکن است مورد هدف این نوع از حملات قرار بگیرید.

چند نکته برای جلوگیری از حملات spear phishing که به دردتان میخورد:

• دو کلمه را با ساختار نوشتاری غیرمتعارف انتخاب کنید.مثلا b4nana و c4k3 برای banana و cake
• از یک فرمول ساخت رمزعبور برای هر سایت استفاده کنید.
• دو کلمه انتخاب شده را باهم ترکیب نماید.مثلا b4nanac4k3
• حرف اول اسم سایت را انتخاب کنید و دو حرف بعد آن را به اول رمز فعلی اضافه کنید.مثلا g که برای سایت gmail است با دوتا شیفت به جلو می شود i و
• رمزعبور با این شرایط به این شکل خواهد شد: ib4nanac4k3
• حالا حرف دوم اسم سایت را برداشته و آن را دو حرف به عقب شیفت بدهید و به انتهای رمز اضافه کنید. پس در اینصورت m برای سایت gmail با دو شیفت به عقب می شود k و رمزعبور نهایی ما می شود: ib4nanac4k3k

مهندسی اجتماعی
متاسفانه مهندسی اجتماعی یکی از معمولترین و موثرترین روشها برای جمع‌آوری اطلاعات است. این روش متشکل از متدهای غیرتکنیکال برای جمع‌آوری اطلاعات از افراد یا سازمان‌‌ها می‌باشد. معمولا هکرها به شما زنگ می‌زنند و پشت تلفن شما را طوری فریب میدهند که اطلاعات حساسی را در اختیار آنها بگذارید. آنها این اطلاعات را برای نفوذ به سیستم‌ها و دستگاه‌های سازمانتان و یا از آنها برای برنامه‌ریزی برای یک حمله پیچیده‌تر استفاده میکنند.

ممکن است این افراد خودشان را از بخش IT سازمان و یا از طرف یک شرکت دیگری که از نظر شما قابل اعتماد است، معرفی کند. قبل از تماس با شما، آنها تا میتوانند اطلاعات لازم را برای جلب اعتماد شما در مورد هویتشان ، جمع آوری میکنند. ” بله آقای اصغرزاده، ما می دونیم که شما به تازگی سیستم کامپیوتری خودتون رو آپدیت کردید.درواقع این ما بودیم که نرم افزارهای جدید را روی سیستمهای لنوو شما در طبقه پنجم نصب کردیم.” آنها ممکن است در مورد این بروزرسانی‌ها و اینکه شما کجا کار میکنید اطلاعاتی داشته باشند که شاید حتی این اطلاعات را از شبکه‌های مجازی دریافته باشند.

برای اینکه از اینگونه حملات در امان باشید به موارد زیر توجه کنید:

• اطلاعاتی را که در شبکه‌های مجازی بصورت عمومی به اشتراک می‌گذارید را محدود کنید. این عمل باعث محدودیت دسترسی مهندسین اجتماعی به اطلاعات میگردد.
• یک روش استاندارد برای ارائه اطلاعات محرمانه و حساس داشته باشید و چگونگی ارائه اطلاعات را بسنجید.
• اگر فردی با شما تماس گرفت و شما به این تماس شک داشتید، شماره تلفن او را بگیرید و بگویید که بعد از مدتی با شما تماس خواهم گرفت. سعی کنید بجای شماره تماس مستقیم، شماره تلفن منشی و یا بخش اطلاعات سازمان آنها را بگیرید. برای شناسایی شماره تلفن آنها، این شماره را با مسئولین و واحد ارتباطات و اطلاعات خود در میان بگذارید و یا شماره تلفن را در گوگل جستجو کنید.
• بعضی وقت‌ها نه گفتن به انسان‌های واقعی که پشت تلفن هستند و اطلاعات کافی در مورد شما و سازمان شما دارند، سخت است. اما به این فکر کنید که افشای اطلاعات به فردی غلط و خطرناک میتواند چه عواقبی بدی داشته باشد. به افراد اعتماد کنید، اما ابتدا از نیت آنها مطمئن شوید.

نتیجه گیری
محافظت از سیستم‌های کامپیوتری و دستگاه‌های شبکه یک امر حیاتی برای امن نگه داشتن سایت و اطلاعات شما محسوب می‌شود. اگر هکری بتواند به یکی از سیستمهای نهایی یا همان endpoint های شبکه شما دسترسی داشته باشد، میتواند به تمام سرویسهایی که کاربران شما استفاده میکنند نیز دسترسی داشته باشد. از همین رو بهتر است برای محافظت از تک تک سیستم‌های کلاینتی خود باید و باید زمان و دانش کافی صرف کنید.

The post امن کردن محیط کار وردپرس – امنیت وردپرس (قسمت ۴) appeared first on وبیسا.

ویژگی ها و ظرفیت‌های محدود شده در هرکدام از پلن‌های هاست وردپرس، رابطه مستقیمی با عملکرد، دسترسی پذیری و امنیت سایت وردپرسی شما دارد.

هاست وردپرس: محدودیت های CPU
اولین چیزی که باید در پلن‌های هاست‌ وردپرسی به آن توجه کنید این است که محدودیت‌های CPU چگونه است. در محیط‌های هاست اشتراکی شما بخشی از قدرت پردازشی وب سرور خود را می خرید، بنابراین دانستن این مساله که این مقدار دقیقا چقدر است، مهم می باشد. پلن‌های هاست اشتراکی وردپرس معمولا بیشترین میزان استفاده از CPU و مدت زمانی که می توانید از آن بیشترین مقدار بطور متناوب استفاده کنید را به شما می گویند. طبیعی است که هرچه این دو رقم بیشتر باشند، بهتر است. مشخص است که میزان ترافیک شما هر چه بیشتر باشد، این مساله برای شما مهم تر خواهد شد.

هاست وردپرس: وجود SSH/sFTP
برای مدیریت سایت وردپرسی‌تان نیاز به آپلود کردن و یا تغییر فایل ها روی هاست وردپرس خود خواهید داشت. استفاده از یک ارتباط امن برای اینکار بسیار مهم است، که به این منظور می توانید از SSH و یا sFTP استفاده کنید. بنابراین از اینکه هاست مورد انتخاب شما چنین قابلیتی را به شما می دهد، مطمئن شوید. استفاده از پروتکل قدیمی FTP باعث به وجود آمدن مشکلات امنیتی و بروز ریسک‌های خطرناکی می شود. دلیل این مساله ارسال اطلاعات شما بصورت نوشتار ساده یا همان plain text است، در حالی که در SSH و یا sFTP، اطلاعات شما رمز خواهد شد.

هاست وردپرس: TLS
TLS و پدرش SSL تکنولوژی های رمزنگاری هستند که ارتباط بین وب سرور سایت وردپرسی شما و مرورگر بازدید کننده را رمز می‌کند. شما به راحتی می توانید صفحه اینترنتی که از TLS استفاده می کند را تشخیص دهید، زیرا آدرس آن همیشه با https شروع می شود. حداقل باید مطمئن شوید صفحه ی ورود سایت وردپرس‌تان که مثلا http://example.com/wp-login.php است و یا هر صفحه ای که اطلاعات حیاتی بین کاربر و سایت در آن انتقال می یابد با https شروع شود. بیشتر پلان‌های هاست، هزینه اضافی بابت این ویژگی دریافت می کنند و یا درغیر این صورت باید خودتان گواهینامه را بخرید.البته ابتدا هزینه ی که باید برای اینکار صرف کنید را محاسبه کنید.

هاست وردپرس: IP اختصاصی
بیشتر هاست های اشتراکی یک آدرس IP را بین سایت های مختلف روی سرور به اشتراک می گذارند.از آنجاییکه اینکار سرعت سایت شما را پایین نمیاورد و همچنین روی سئو سایتتون تاثیری نخواهد گذاشت، پس به طور کلی مشکلی با این مساله وجود ندارد. اما بخاطر داشته باشید که همیشه شانس وجود یک همسایه مخرب هست.حالا این همسایه مخرب که IP مشترکی با شما دارد، ممکن است باعث تا ورود IP مشترکتان به لیست سیاه شرکت های مبارزه با اسپم شود. علاوه بر این کارهای دیگری نیز وجود دارد که با داشتن آدرس IP اختصاصی می توان به راحتی انجام داد. ما پیشنهاد می کنیم تا قابلیت بهره مند شدن از IP اختصاصی را از هاستینگ مورد نظر بپرسید و قبل از تهیه آن نیز، قیمت را بررسی فرمایید.

هاست وردپرس: ایزوله کردن سرویس‌ها
برای اینکه قیمت های هاست پایین بماند، شرکت های هاستینگ، تعداد زیادی از سایت ها را برروی سرور مشترک میزبانی می کنند. قیمت های مناسب یک مزیت برای سایت‌های وردپرسی به حساب می‌آید و باعث کاهش هزینه‌ها می شود. تا زمانی که این سرویس هاستینگ سرعت و ظرفیت خوبی برای راضی نگه داشتن بازدید کننده هایتان ارائه دهد و شرایط خوبی را برای امن نگه داشتن سایت شما به وجود آورد، از داشتن چنین سرویسی لذت خواهید برد. یکی از مهمترین چیزها این است که از تمامی سایت‌های دیگر برروی سرور ایزوله یا همان jailed باشید. اگر سایت شما از دیگر سایت‌‌های روی سرور کاملا ایزوله نباشد، این ریسک وجود دارد تا هکری که از سایت‌‌های دیگر روی سرور دسترسی گرفته، سایت شما را نیز هک کند.

در طی بررسی های صورت گرفته برای این مقاله، اکثر هاستینگ‌های خارجی مدعی ارائه سطوح مختلفی از ایزوله کردن سرویس‌ها هستند. با این حال تعدادی از آنها هیچگونه اطلاعاتی مبنی بر اینکه این کار را از چه روشی انجام می دهند، در اختیار ما نمی‌گذارند. با اینکه ممکن است آنها در این مورد راست بگویند، اما اینکه ما جزئیات کافی برای اطمینان از این موضوع را بدانیم حق ماست. پیشنهاد می کنیم که بیخیال هاستینگ‌هایی شوید که نمی توانند و یا نمی خواهند روش ایزوله کردن حساب‌ها روی وب سرورشان را با شما به اشتراک بگذارند.

هاست وردپرس: ModSecurity
این نرم افزار یک وب اپلیکیشن فایروال متن باز است که می تواند جلوی حمله‌های شناخته شده‌ای را بگیرد و با افزونه‌های امنیتی وردپرس نیز هماهنگ است. بیشتر هاستینگ‌ها این فایروال را برروی سرور خود کانفیگ کرده و بهره مندی از قابلیت‌های آن را به شکل‌های مختلف ارائه می‌دهند. ما پیشنهاد می کنیم که هاستینگ‌هایی که این ویژگی را دارند انتخاب کنید، مخصوصا اگر اجازه داشته باشید آن را بصورت دلخواه شخصی سازی کنید.

هاست وردپرس: دیگر نرم افزارهای امنیتی
بسیاری از هاستیگ‌های وردپرسی نرم افزارهای امنیتی دیگری را نیز می توانند برای شما ارائه دهند. آنها همچنین می توانند شما را در رابطه با نرم افزارهای امنیتی محدود کنند. ما پیشنهاد می کنیم که حتما اجازه نصب و کانفیگ افزونه های امنیتی وردپرس همچون All in one wp security و Wordfence را داشته باشید.

هاست وردپرس: پشتیبانی
موقعی که سایت‌تان هک شد، واکنش سریع شدیدا مهم است. به طور کلی هرچه فرآیند ریکاوری سریع تر باشد، تاثیر هک شدن روی شما و کاربرانتان کمتر است. در بسیاری از مواقع نیاز دارید تا از شرکت هاستینگ برای این فرآیند کمک بگیرید. بخاطر این موضوع، حتما مهم است که بدانید تیم پشتیبانی چقدر سریع به درخواست‌‌های شما پاسخ می دهند، شما اجازه دارید چگونه با آنها در ارتباط باشید و اینکه این تیم چقدر آماده است. ما پیشنهاد می کنیم پلانی را انتخاب کنید که پشتیبانی ۲۴/۷ داشته و بتوانید برای مواقع ضروری بصورت تلفنی با آنها در تماس باشید.

هاست وردپرس: دسترسی به Log فایل ها و History و پشتیبان گیری منظم
در موقعیت هک شدن، فایل‌های پشتیبان یکی از مهمترین ابزارها هستند. برگرداندن سایت‌تان به حالت ‌ “قبل از هک” می تواند کمک زیادی در مقوله پاک کردن کدها و فایلهای آلوده به شما بکند. ما پیشنهاد می‌کنیم هاستی را انتخاب کنید که از اطلاعات به طور روزانه backup تهیه می کند و این فایلها را حداقل ۳۰ روز نگهداری می‌کند. این مساله از آنجایی مهم است که ممکن است سایت شما هک شده باشد و شما از آن خبر نداشته باشید، بنابراین اگر فایلهای backup قدیمی‌تر را داشته باشید، خیلی مفید خواهند بود.

فایلهای log سرور منبع غنی اطلاعاتی برای این است که بفهمید نفوذ به سایت‌تان از چه آسیب پذیری صورت گرفته و به طور کلی چه تاثیری روی سایت‌تان گذاشته است. ما پیشنهاد میکنیم پلنی را انتخاب کنید که حداقل به شما دسترسی به فایلهای log برای ۲۴ ساعت گذاشته را می دهد. به طور ایده آل شما باید به log های قدیمی‌تر از این و حتی ۳۰ روز گذشته دسترسی داشته باشید.

نتیجه گیری
امیدواریم که این مقاله درک خوبی در مورد آنچه که باید در سرویس‌های هاستینگ به دنبالش بگردید را به شما داده باشد و همینطور اینکه بدانید سرویس مورد نظرتان چرا باید این ویژگی‌ها را داشته باشد.

The post انتخاب هاست مناسب برای وردپرس – امنیت وردپرس (قسمت ۳) appeared first on وبیسا.

• چه کسی به وردپرس من حمله می کند؟
• چرا به وردپرس من حمله می کنند؟
• چگونه به وردپرس من حمله می کنند؟
• چگونه از وردپرس خود محافظت کنیم؟

هدف از این مقاله کمک به شما برای درک بهتر مفاهیم پایه امنیت وردپرس است. ما امیدواریم که بتوانیم دانش تجربی مان را در مورد اینکه چه کسی به سایت وردپرسی شما حمله می کند و چرا و چگونه این کار را انجام می دهد، در اختیارتان بگذاریم. همچنین امیدواریم که لغتنامه ای از کلمات مربوط به امنیت را به شما یاد دهیم تا بتوانید بصورت موثر‌تر با دیگر مدیران سایت و یا متخصصین امنیت ارتباط برقرار کنید.

وردپرس محبوبترین سیستم انتشار محتوا در جهان است. تقریبا در ۲۴٪ از وبسایت های کل دنیا کار می کند .وردپرس همچنین متن باز است.این بدین معنی است که کدهایی که وردپرس را ساخته است برای همه قابل مشاهده است.از آنجایی که بسیاری از وبسایت های جهان از این سیستم قدرت میگیرند، طبیعی است که تبدیل به یک هدف مهم برای هکرها شده باشد.

بگذارید این طور فکر کنیم که : اگر شما یک هکر باشید و بخواهید هرچند وبسایت که ممکن باشد را هک کنید.در اینصورت می توانید در تک تک نرم افزارهای وبسایت ها به دنبال حفره های امنیتی بگردید و یا اینکه یک حفره امنیتی در یک نرم افزار محبوب را پیدا کنید، در اینصورت می توانید وبسایت های زیادی را آلوده سازید. اگر هکری بتواند یک حفره امنیتی در وردپرس و یا پوسته و افزونه ها محبوب آن پیدا کند، او این امکان را پیدا می کند که به تعداد زیادی از وبسایت های دنیا بصورت خود کار حمله کند.

به همین دلیل پیدا کردن حفره های روز صفر یا همان ‘zero day’ در وردپرس برای هکرها بسیار مهم است و همیشه به دنبال آن هستند، زیرا به آنها توانایی هک وبسایت های زیادی را می دهد. آسیب پذیری های روز صفر به آسیب پذیری هایی گفته می شود که شرکت سازنده نرم افزار از آن خبر ندارد و چنین مشکلی را نمی داند. این بهترین نوع حفره امنیتی به حساب می آید چون که حتی کسی که به روزترین نسخه ی نرم افزار را استفاده می کند نیز این حفره امنیتی را در سیستمش حتما خواهد داشت.

چه کسی به سایت وردپرسی من حمله می کند؟
معمولا سه نوع موجودیت حمله کننده به وبسایت شما وجود دارد:

• انسان ها: این یک شخص است که پشت سیستم کامپیوتری ش نشسته و درحال کاوش و حمله به وبسایت شماست.
• یک بات: این یک نرم افزار یا اسکریپت است که طراحی شده است تا بصورت خود کار به وبسایت شما حمله کند، درواقع عملیات حمله به طور خود کار برروی وبسایت های دیگری نیز در حال انجام است.
• یک بات نت (Botnet) : این درواقع مجموعه از ماشین هایی است که بصورت مشترک از یک سرور دستور گرفته و مدیریت می شوند و کارشان حمله به وبسایت های مختلف است.

انسان ها
معمولا این بسیار کم پیش می آید که یک شخص به تنهایی و بصورت دستی به سایت شما حمله کند. ما همگی دوست داریم که فکر کنیم خاص هستیم و وبسایت ما به قدرکافی برای افراد جذاب است تا وقت و توجه کافی را از طرف هکرها به خود جذب کند. اما واقعیت این است که درصد بسیار کمی از وبسایت ها به تنهایی هدف حمله قرار می گیرند و حتی تعداد بسیار کمتری توسط انسان های زنده مورد حمله قرار می گیرند.

با این حال، اگر شما توسط یک شخص مورد هدف قرار بگیرید، سطح پیچیدگی حمله بسیار بیشتر از زمانی است که توسط ربات ها مورد حمله قرار بگیرید. یک انسان حمله کننده قادر به کنترل سرعت کار خود است که به او اجازه می دهد با احتیاط اطلاعات مورد نیاز را در مورد وبسایت شما جمع آوری کند، بدون اینکه در تله سیستم های تشخیص نفوذ بیفتد. بعد از آن می توانند چند حمله به وبسایت شما بزنند بدون اینکه شما یا سیستم محافظت کننده از وبسایت تان هشداری دریافت کنید. آنها می توانند نتیجه هر حمله را ببینیند و بر اساس این نتایج در مورد روش حمله بعدی، راحت تر تصمیم بگیرند.

بیشتر حمله هایی که یک انسان به عنوان حمله کننده در آن ایفای نقش می کنند، مربوط به هدف های بسیار مهمی از جمله سایت های حکومتی و یا سایت هایی که حاوی اطلاعات بسیار حساس هستند و یا آنهایی که از لحاظ مالی سودآوری خوبی دارند، می باشد.

بات ها و بات‌نت ها
بات ها نرم افزارهایی هستند که توسط هکرها نوشته می شوند تا تعداد بسیار زیادی از وبسایت ها را هدف قرار دهند و به دنبال سیستم های محبوبی همچون وردپرس با آسیب پذیری موردنظر باشند. درواقع نوشتن چنین نرم افزاری آسان است که نسخه نرم افزارهای وردپرس را چک کند و در صورت پیدا کردن سیستمی با نسخه آسیب پذیر، آن را اکسپلویت (Exploit) کند.

بات ها می توانند به صورت تکی برروی یک ماشین باشندو یا اینکه برروی مجموعه ای از ماشین ها و روی هرکدام از آنها نسخه های مختلفی از برنامه باشد که بصورت موازی سعی در هک کردن هدف ها هستند و به آنها Botnet می گویند.

حجم بزرگی از حمله ها برروی وردپرس ها با استفاده از ربات ها صورت می پذیرد. خبر خوب این است که این حمله ها به پیچیدگی حمله های انسانی نیست،البته تهاجمی تر از آنها هستند.این باعث می شود آسان تر کشف شوند. خبر بد اینکه اگر آسیب پذیری روز صفر در وردپرس و یا پوسته و افزونه های محبوب آن کشف شود، از طریق این مکانیزم حمله، تعداد بسیار زیادی از سایت ها در بازه زمانی بسیار کم هک خواهند شد.

نکته مهم: بیشتر حملات توسط بات ها و برروی ماشین ها بصورت خود کار صورت می پذیرد. به این دلیل که آنها سریع هستند و برای حمله به تعداد سایت های بالا، بهتر عمل می کنند.در نتیجه این نکته بسیار مهم است که تمامی حفره های امنیتی شناخته شده در وردپرس خود را ببندید.

چرا به سایت وردپرسی من حمله می کنند؟
هدف حمله کننده این است که کنترل سایت وردپرسی شما را با سطح دسترسی ادمین در اختیار بگیرد.این به معنی آن است که آنها می توانند کل فایل ها و اطلاعات شما را در پایگاه داده سایت تان بخوانند. همچنین می توانند فایل ها و اطلاعات داخل پایگاه داده را تغییر دهند و کل محتوای سایت و ظاهر آن را نیز به شکل دلخواه خود در بیاورند. دلایلی که آنها برای این کارشان دارند به شرح زیر است:

برای ارسال اسپم: برای اینکه بتوانند از سایت شما ایمیل اسپم ارسال کنند. هکرها معمولا اسکریپتی روی سایت شما اجرا می کنند که توده عظیمی از ایمیل ها را ارسال کنند.
انتشار محتوای مخرب به دور از فیلترها: هکرها ممکن است از سایت شما برای انتشار محتوای غیراخلاقی و یا فروش مواد مخدر و یا هر محتوای اسپم دیگری استفاده کنند.از آنجاییکه دامین شما هنوز مورد گزارش قرار نگرفته، آنها می توانند به راحتی از فیلترینگ در امان باشند.
برای دزدیدن اطلاعات سایت: دسترسی به اطلاعات شما از جمله نام و مشخصات مشتریان و ایمیل آنها می تواند برای هکرها بسیار مفید باشد. آنها از لیست ایمیل ها برای فرستادن ایمیل های اسپم استفاده می کنند و درواقع هدف های جدیدی برای ایمیل های مخرب پیدا کرده اند. همچنین اطلاعات شخصی افراد که در نزد شما هنگام ثبت نام وارد شده است می تواند به آنها در حمله های بعدی کمک کند.
spamvertize : برای ریدایرکت کردن ترافیک سایت شما به سمت سایت مخرب خودشان. وقتی که آنها آدرس سایت خودشان را در ایمیل ها وارد می کنند، از آنجاییکه این سایت های اسپم برای فیلترهای اسپم آشنا هستند، آنها را وارد پوشه اسپم می کنند.اما وقتی اسم سایت شما در ایمیل وارد شود، در اینصورت ایمیل وارد صندوق دریافت می شود و افراد بعد از کلیک کردن روی لینک برای ورود به صفحه شما، به سمت وبسایت آنها ریدایرکت خواهند شد.به این کار ‘spamveriing’ می گویند.
حمله به سایت های دیگر: وقتی که اطلاعات حساب سایت شما در اختیار هکرها افتاد. آنها می توانند اسکریپتی برروی سرور شما اجرا کنند تا به این وسیله به سایت های دیگر حمله کنند. سایت شما ممکن است عضوی از مجموعه بزرگ بات هایی باشد که مشغول حمله به هدف های گوناگون در وب می باشند که به این مجموعه بزرگ همانطور که قبلا هم گفته شد، بات‌نت می‌گوییم.
نکته مهم: وقتی که سایت شما به سرقت رفت و درواقع هک شد. به احتمال زیاد از سایت شما برای انجام کارهای مخرب استفاده خواهد شد. این باعث می شود که سایت شما مورد گزارش های منفی قرار بگیرد و از طرف موتورهای جستجو مجازات گردد و رنک سایت تان به شدت کاهش یافته و صفحات جدیدی ایندکس نشود. همچنین ممکن است مرورگرها نیز سایت شما را بلاک کنند. بنابراین اینکه هک شدن سایت را زود تشخیص دهید، بسیار مهم است و مانع از احتمال وقوع چنین مشکلاتی برایتان خواهد شد.

چگونه به سایت وردپرسی من حمله می کنند؟
دو مرحله عمومی در حمله به سایت های مورد هدف وجود دارد.مرحله اول شناسایی یا همان (reconnaissance) است که در آن شخص یا بات، اطلاعاتی را در مورد سایت شما جمع آوری می کنند.مرحله دوم بهره برداری یا همان (Exploitation) است، که از اطلاعات جمع آوری شده برای نفوذ به سایت شما استفاده می شود.

شناسایی – Reconnaissance
در طول بازه زمانی جمع آوری اطلاعات، حمله کننده سعی دارد تا اطلاعات مفیدی در مورد سایت شما پیدا کند که بر اساس این اطلاعات می تواند بفهمد که کدام آسیب پذیری ها ممکن است در سایت شما موجود باشد. دو مورد مهمی که می خواهند حتما در مورد سایت شما بدانند این است که از چه نرم افزاری در سایت تان استفاده می کند و اینکه کدام نسخه از این نرم افزار را استفاده می کنید.

دلیل اهمیت این اطلاعات این است که، پایگاه داده های بزرگی در وب وجود دارد که لیستی از آسیب پذیری ها به همراه نسخه های آسیب پذیر نرم افزارها در آن موجود است. به طور مثال اگر هکرها بدانند که شما از وردپرس استفاده می کنید و نسخه ی آن ۴.۲.۲ است، نتیجه خواهند گرفت که سایت شما یک آسیب پذیری خطرناک XSS دارد که آنها می توانند از آن بهره برداری کنند. اگر آنان بدانند که شما از نسخه جدیدتری استفاده می کنید، دیگر نیازی نیست که وقت شان را برای چک کردن این اکسپلویت هدر بدهند. همچنین این عدم چک کردن می تواند جلوی کشف شدنشان را بگیرد.

هکرها می خواهند هر چه قدر که ممکن است به جمع آوری اطلاعات از سایت شما بپردازند.اما دانستن اینکه چه نرم افزاری استفاده می کنید و هر کدام از این نرم افزارها چه نسخه ای دارند، برایشان بسیار با ارزش است. به همین دلیل یکی از کارهایی که هکرها قبل از حمله به سایت شما می کنند مرحله Enumeration هستش. درواقع آنها سعی می کنند لیستی از پوسته ها و افزونه هایی که از آنها استفاده می کنید به همراه نسخه هرکدام از آنها را جمع آوری کنند. بعد از این آنها به پایگاه داده اسیب پذیری ها مراجعه می کنند و بررسی می کنند که آیا نرم افزارهایی که استفاده می کنید آسیب پذیر هستند و آیا ارزش چک کردن اکسپلویت ها وجود دارد یا نه.

ممکن است شما از چند وردپرس در سایت خود استفاده کنید و یا در ساب دایرکتوری هایتان فایل های پشتیبان داشته باشید که از طریق وب به آنها دسترسی وجود داشته باشد.تمام این ها برای هکرها مزیت حساب می شود و آنها می توانند از این مزیت ها استفاده کنند تا به سایت شما نفوذ کنند. داشتن فایل های پشتیبان در پوشه هایی که مخصوص فایل های پشتیبان نیست، یک ریسک امنیتی بزرگ است. می دانید که فایل های پشتیبان حاوی چه اطلاعات مهمی هستند، وقتی کسی بتواند این فایل را دانلود کند، تقریبا راه زیادی به هک کردن سایت شما نمانده است.

سایت های وردپرسی معمولا از نرم افزارهایی کاربردی دیگری مانند phpmyadmin که برای مدیریت پایگاه داده است نیز استفاده می کنند.نرم افزارهای دیگری نیز ممکن است بنا به نیاز نصب کرده و یا استفاده کرده باشید.این نرم افزارها نیز هدف خوبی هستند و اگر آنها را مدام به روز نگه ندارید و اصلاحیه های امنیتی لازم روی آنها نصب نشده باشد در اینصورت می توانند عامل ورود به سایت شما باشند. برای همین مهاجم سعی خواهد کرد تا تمام نرم افزارهایی که برروی سایت تان استفاده می کنید را به همراه نسخه آنها شناسایی کند.

نکته مهم: آگاهی از اینکه سایت شما از چه نرم افزارهایی و با چه نسخه ای استفاده می کند، بنا به دلایلی که در بالا گفتیم برای هکرها بسیار مهم و باارزش است. سرویس هایی مانند نرم افزار وردفنس وجود دارند که به شما کمک می کنند تا نسخه ی نرم افزار شما از دید هکرها پنهان بماند. اما این مساله ضامن امنیت وردپرس شما نیست و شما باید همیشه از اینکه به روزترین نسخه نرم افزار را استفاده می کنید مطمئن باشید.

اکسپلویت کردن یعنی عمل هک کردن وبسایت شما است. همانطور که گفتیم پایگاه داده های بزرگی وجود دارد که لیست نرم افزارها و نسخه های آنان به همراه آسیب پذیری ها بصورت آنلاین موجود است. در این پایگاه داده ها در کنار هر آسیب پذیری، جزئیات فنی در مورد اکسپلویت کردن این آسیب پذیری نیز وجود دارد. شاید این مساله نشان دهد که اکسپلویت کردن بخش آسان کار است ( اگر دانش کافی در این مورد داشته باشیم ) و بیشتر سختی کار در فاز شناسایی و پیدا کردن نرم افزار آسیب پذیر است.

چندین محور اصلی برای حمله به سایت های وردپرسی وجود دارد که معمولا مورد استفاده قرار می گیرند:

• صفحه ورود به سایت: یکی از معمول ترین شکل های حمله به سایت های وردپرسی از اینجاست. جایی که اکثر حملات بروت فورس (brute force) که مربوط به حدس زدن رمز است در آن اتفاق می افتد. مهاجمین از بات های خود کار برای اینکار استفاده می کنند. به این شکل که تعداد زیادی رمزعبور برای ورود امتحان می کنند و از آنجاییکه این کار با بات‌ها انجام می شود، بسیار سریع است.
• کد PHP روی سایت : این دومین شکل حمله معمول برای ورود به سایت های وردپرسی است. حمله کننده ها تلاش می کنند تا آسیب پذیری های موجود در کدهای PHP وردپرس را اکسپلویت کنند. این کدها شامل کدهای هسته وردپرس، پوسته ها و افزونه ها و یا دیگر اپلیکیشن هایی است که از آنها استفاده می کنید. اینکه کدهای PHP چگونه اکسپلویت می شوند بحث مفصلی است که در آینده به آن خواهیم پرداخت.
• بالا بردن سطح دسترسی : شکل دیگری از حمله که بین هکرها محبوب است به این شکل است که آنها تلاش می کنند از طریق یک کاربر معمولی که سطح دسترسی پایینی دارد، به سایت شما نفوذ کنند. اگر شما نام نویسی را در سایت تان باز گذاشته باشید، آنها می توانند به سادگی در سایت شما نام نویسی کرده و حساب کاربری داشته باشند. بالا بردن سطح دسترسی به این شکل است که مهاجم از یک مشکل نرم افزاری استفاده می کند تا سطح دسترسی خود را از یک کاربر عادی به سطحی بالاتر مانند ادمین، تغییر دهد.
• وب اپلیکیشن های قدیمی : ممکن است شما وظیفه خود را در به روز رسانی نرم افزارهای وردپرسی به خوبی انجام داده باشید و حمله کنندگان نتوانند آسیب پذیری مهمی در سایت شما پیدا کنند. در اینصورت آنان به دنبال نرم افزارهای قدیمی و یا وب اپلیکیشن هایی که دیگر آنها را به روز نمی کنید خواهند گشت. اگر آنها بتوانند به این وب اپلیکیشن ها دسترسی پیدا کنند، می توانند فایل های وردپرسی شما را تغییر دهند، حتی اگر وردپرس شما به خودی خود امن باشد.
• دسترسی از طریق فایل های موقت: وقتی که فایل های سایت را با استفاده از نرم افزارهایی مانند vim ویرایش می کنید.ممکن است فایل های موقتی ساخته شود که دارای اطلاعات حساسی است.برای مثال وقتی که فایل wp-config.php را ویرایش می کنید، ممکن است فایل موقتی ساخته شود که اطلاعات ورود به پایگاه داده شما در آن موجود است. مهاجمین به دنبال چنین فایل هایی هستند به این امید که بتوانند اطلاعات حساسی همچون نام کاربری و رمزعبور را از آنان کشف کنند.
• فایل های کانفیگ مخازن سورس کد: ابزارهای مخازن کنترل سورس کد از جمه گیت و یا ساب‌ورژن، پوشه و فایل هایی را تولید می کنند که حاوی اطلاعات حساسی هستند. اگر این فایل ها و پوشه ها را بصورت پابلیک رها کنید، هکرها می توانند از اطلاعات این فایل‌ها و پوشه‌ها برای گرفتن دسترسی و یا عملیات شناسایی استفاده کنند. موارد دیگری هم وجود دارد که صاحبان وبسایت سورس کدهای نرم افزار خود را به صورت عمومی در مخازن نگهداری می کردند که درواقع این برای هکر حکم طلای ناب را دارد و این اطلاعات در مرحله شناسایی و اکسپلویت کمک فراوانی به او خواهد کرد.
• حمله از طریق هاست اشتراکی: اکثر هاستینگ های ارزان قیمت، سایت ها را در فضای مشترکی میزبانی می کنند. امنیت در این محیط ها متفاوت است و دربین هاستینگ های معتبر معمولا خوب است.با این حال، ممکن است که شما در یک فضای اشتراکی حضور داشته باشید که افراد دیگری که در آن فضا مشترک هستند، به فایل های شما مجوز read پیدا کنند. در اینصورت آنها می توانند فایل های سایت شما را بخوانند و مثلا با خواندن فایل wp-config.php به پایگاه داده شما دسترسی پیدا کنند.این دسترسی ممکن است تبدیل به write شود و آنها روی سایت شما فایلهای مخربی را اجرا کرده و دسترسی به کل سایت شما پیدا کنند.
• حمله از طریق وب سرور و سیستم عامل: ممکن است مجوزهای فایل ها و کدهای PHP شما امن باشد، ولی وب سرور شما دارای آسیب پذیری ای باشد که بتوان آن را اکسپلویت کرد، مانند آسیب پذیری Heartbleed. همچنین ممکن است سیستم عاملی که سایت شما را میزبانی می کند دارای آسیب پذیری باشد، مانند آسیب پذیری shellshock. در فضاهای میزبانی اشتراکی، این وظیفه شرکت ارائه کننده است که این آسیب پذیری‌ها را patch کند. شما معمولا دسترسی کافی برای patch کردن آن را ندارید. اما اگر شما از سرویس میزبانی شخصی یا خصوصی استفاده می کنید، در این صورت این وظیفه شماست تا تمام کدهای PHP و وب اپلیکیشن ها را مدیریت کنید و همینطور باید سیستم عامل و تمام سرویس ها را به روز و امن نگهداری کنید.

نکته مهم: تعداد راه هایی که هکرها می توانند از سایت شما دسترسی بگیرند ممکن است برایتان زیاد به نظر برسد. نگذارید که اینطور باشد. برای داشتن سایتی امن، باید مطمئن شوید که تمامی نسخه های نرم افزارهای مورد استفاده در سایت و سرویس ها را می دانید. بعد از این بررسی کنید که آسیب پذیری های شناخته شده برروی سایت شما وجود نداشته باشند، برای اینکار باید همه چیز را به خوبی مدیریت کرده و به روز نگه دارید.

چگونه از وردپرس خود محافظت کنیم
در این مقاله مفاهیم ساده و پایه ای از امنیت وردپرس مطرح شد و گفته شد که چه کسانی به سایت وردپرسی شما حمله می کنند، هدف آنها از حمله چیست و چگونه این حمله صورت می پذیرد.

تا اینجای کار واضح است که بهترین راه برای محافظت از خود در برابر حملات این است که سایت وردپرسی خود را به روز نگه دارید و از آسیب پذیری های شناخته شده وردپرس آگاه باشید. در این شرایط وقتی که آسیب پذیری جدیدی منتشر می شود، فورا خبر دار می شوید و اقدام به رفع آسیب پذیری و یا به روزرسانی وردپرس خود می کنید. همینطور وقتی آسیب پذیری های روز صفر منتشر می شوند، می توانید با شرکت سازنده محصول در ارتباط باشید و از تاریخ دقیق انتشار وصله اصلاحیه آگاه گردید.

نرم افزارهای تشخیص نفوذ مانند فردفنس نیز به شما کمک می کنند در مقابل حملات عمومی امن بمانید. همچنین وردفنس هک شدن سایت شما را تشخیص می دهد و به شما اطلاع می دهد و همانطور که می دانید آگاهی سریع از این مهم، می تواند باعث شود تا سایت تان دچار مشکلاتی که قبلا در مورد بلاک شدن گفتیم، نشود. همچنین این افزونه از حملات معمول PHP نیز محافظت می کند، بدین ترتیب حتی اگر افزونه ی آسیب پذیری داشته باشید و هنوز فرصت به بروزرسانی آن را نکرده باشید، وردفنس جلوی اکسپلویت شدن این آسیب پذیری را می گیرد.

اینجا چند تا از اصول کلیدی که برای امن نگه داشتن سایت تان باید به آن توجه کنید را می‌خوانید:

• از رمزعبور قوی برای تمام حساب های کاربری استفاده کنید.
• از شرکت های هاستینگ معتبری خرید کنید، جایی که فضای میزبانی اشتراکی ایزوله ای را به شما ارائه می دهند.
• هسته وردپرس، پوسته ها و افزونه ها را به روز نگه دارید.
• از سیستم های تشخیص نفوذ مانند وردفنس به عنوان یک لایه امنیتی استفاده کنید.
• تمام سیستم های نرم افزاری و وب اپلیکیشن های قدیمی و همینطور فایل های پشتیبان قدیمی را از روی سایت خود حذف کنید.
• مطمئن شوید که فایل های موقت با داده های حساس در گوشه و کنار فضای میزبانی تان وجود ندارند.
• مطمئن شوید که فایل های مربوط به مخازن کد از جمله گیت، به طور عمومی در دسترس همگی نیستند.

امیدواریم که این مقاله برای امن کردن سایت وردپرسی شما مفید واقع شده باشد. اگر دوست دارید تا در مورد امنیت وردپرس بیشتر بدانید، به مقالات بعدی در همین زمینه مراجعه کنید.

The post محافظت از وردپرس در مقابل تهدیدات و مشکلات امنیتی – امنیت وردپرس (قسمت ۲) appeared first on وبیسا.

• ورود به وردپرس
• امنیت رمزعبور
• ایجاد نوشته ها و برگه ها به شیوه امن
• اسپم دیدگاه
• جستجو و نصب قالب ها
• جستجو و نصب افزونه ها
• از کدها و ابزارک های خطرناک دور بمانیم
• ساخت کاربر جدید به شیوه امن
• استفاده از FTP بصورت امن
• نتیجه گیری

اگر به تازگی وارد مباحث مدیریت وردپرس و امنیت وردپرس شده اید، بنابراین مقاله مناسبی را برای خواندن انتخاب کرده اید. در این مقاله راجع به موارد پایه ای امنیت وردپرس و مدیریت امن وردپرس صحبت خواهیم کرد. مباحث ساده ای همچون به روزرسانی مداوم افزونه ها، انتخاب رمزعبورهای قوی برای کاربرانتان و دیگر مباحث مختلف در این زمینه، پایه و اساس امنیت وردپرس هستند.اگر این مطالب برای شما بسیار ساده به نظر می رسند، پیشنهاد می کنم تیترها را مرور کرده و سپس به سراغ مطالب بعدی ما در همین زمینه مراجعه کنید.

ورود به وردپرس
ورود به وردپرس تقریبا اولین کاری است که قبل از هرگونه کار مدیریتی انجام می دهیم. ورود به بخش مدیریت وبسایت ممکن است یک کار ساده و غیرمرتبط به نظر بیاید، ولی در واقعیت اینطور نیست. اقدامات امنیتی مشخصی وجود دارد که باید در هنگام ورود به وردپرس رعایت کنید تا از امنیت وردپرس تان حفاظت کنید.

امنیت وردپرس : قربانی فیشینگ نشوید
امنیت وردپرس از لحظه ای که می خواهید وارد وبسایت شوید تا کارهای مدیریتی را انجام دهید، شروع می شود. نام دامنه ای که وارد آن می شوید را چک کنید. یکی از تاکتیک های معمول هکرها این هست که یک ایمیل حاوی یک لینک را برای شما می فرستند و از شما می خواهند تا برای استفاده از یک سرویس وارد آن شوید. صفحه ورود این سرویس احتمالا بسیار شبیه به صفحه ورود وردپرس شماست ولی با یک تفاوت که این وبسایت مخرب است و برای این تهیه شده است تا شما را گول بزند.در این شرایط نه بر اساس ظاهر، بلکه براساس نام دامین در مورد وبسایت قضاوت کنید.

زمانی که شما نام کاربری و رمزعبور خود را وارد صفحه ی جعلی می کنید، آنها این اطلاعات را ذخیره می کنند و از آن برای ورود به وبسایت شما استفاده می کنند.این تکنینک “فیشینگ” نامیده می شود.

راه حلی که برای اجتناب از افتادن در تله فیشینگ وجود دارد، این است که قبل از وارد کردن اطلاعات ورود، نام دامنه را در مرورگر خود چک کرده و اطمینان حاصل کنید که در حال ورود به وبسایت خودتان هستید.

امنیت وردپرس : تا حد امکان فقط از HTTPS استفاده کنید
استفاده از یک ارتباط امن، بخش مهمی از امنیت وردپرس را تشکیل می دهد. قبل از ورود به وبسایت، قسمت آدرس مرورگرتان را چک کنید تا مطمئن شوید که از پروتکل HTTPS استفاده می کنید، به اینصورت که قبل از نام دامنه باید https:// باشد و در اکثر مرورگرها با رنگ سبز نشان داده می شود. معمولا یک آیکن قفل هم وجود دارد که برای نشان دادن امن بودن ارتباط به کار می رود. ورود به وردپرس از بستر HTTPS ما را از این مهم آگاه می سازد که اطلاعاتمان رمزنگاری شده است و در صورتی که یک نفر در شبکه مشغول شنود باشد، نمی تواند به نام کاربری و رمزعبور ما بصورت نوشتار واضح و غیررمز دسترسی پیدا کند.

بسیاری از وبسایت های ورپرسی از HTTPS استفاده نمی کنند و اگر احتمالا شما هم یکی از آنها هستید، با مدیر وبسایت خود تماس بگیرید و از او بخواهید که به HTTPS ارتقا پیدا کنید. اینکار معمولا نیازمند دریافت گواهینامه HTTPS از مراجع صادر کننده گواهینامه های دیجیتالی است. هزینه گواهینامه ها از بازه ی رایگان تا ۱۰۰۰ دلار است و بستگی به این دارد که چه نوع گواهینامه ای و از چه کسی دریافت می کنید.

امنیت رمزعبور
امنیت وردپرس : رمزعبور قوی انتخاب کنید
دلایل مختلفی برای انتخاب یک رمزعبور قوی وجود دارد. اولین دلیل جلوگیری از حدس زدن رمزعبورتان توسط هکرها از طریق حمله ی brute-force است. دلیل دوم این است که اگر به نحوی وبسایت شما هک شد، کرک کردن یا همان شکستن رمزعبورتان آسان نباشد. در مقاله دیگری در آینده، به طور مفصل در مورد رمزعبورها و نحوه کرک شدن آنها به طور کامل توضیح خواهیم داد.

معمولا شما باید یک رمزعبور با حداقل طول ۱۲ کاراکتر و متشکل از حرف ها، عددها و سمبل ها داشته باشید و ترجیحا حروف انگلیسی نیز کمتر استفاده کنید. قدرت رمزعبور یکی از مهمترین عوامل در امنیت وردپرس به شمار می رود.

امنیت وردپرس : رمزعبور را به شیوه ای امن ذخیره کنید
یکی از مشکلات انتخاب رمزعبورهای قوی این است که به سختی به یاد سپرده می شوند. در این قسمت روش های مختلفی برای ذخیره رمزعبورهایتان پیشنهاد خواهیم داد و در مورد مزایا و معایب هرکدام از آنها خواهیم گفت. یکی از این روشها که برای شما مناسب است را انتخاب کنید و به یاد داشته باشید که هیچکدام عالی نیستند:

از سرویس های password wallet که به فارسی می توان کیف رمزعبور نامید مانند ۱password استفاده کنید.این سرویس به شما اجازه می دهد رمزعبورهای خود را بصورت رمز شده ذخیره کرده و برای حفاظت از آن یک رمزعبور اصلی استفاده کنید. این سرویس نیز ممکن است مورد نفوذ قرار بگیرد و تمام رمزعبورهای شما یکجا به سرقت برود. مزیت استفاده از این روش این است که شما دیگر نیاز به حفظ کردن رمزهای عبورتان ندارید.
رمزعبورهایتان را در جایی یادداشت کنید. این کار آسان ولی بسیار پر ریسک است. اگر شخصی مثلا بتواند وارد محل کار شما شود، رمزهای عبورتان را قطعا سرقت خواهد کرد.
رمزعبورها را حفظ کنید. این روش بسیار امن است چون فعلا نمی توان مغز شما را هک کرد اما امکان فراموشی رمزعبورها وجود دارد و در صورت بروز، برای بازنشانی مراحل مشخصی را باید طی نمایید.
از فرمول خودساخته برای رمزعبور استفاده کنید. برای مثال : بعضی از حروف دامین خود را انتخاب کنید و به اول و آخر رمزعبوری که همیشه در یاد دارید اضافه کنید و در نهایت شما یک رمزعبور خاص برای هر وبسایت خواهید داشت و می توانید به راحتی آن را به یاد داشته باشید. این روش بسیار امن است، البته در صورتی که فرمول مورد استفاده برای تولید رمزعبور، خروجی با رمزعبور قوی داشته باشد.
روش های ذخیره سازی رمزعبورهایتان را خواندید. یکی از آنها که برای شما مناسب است را انتخاب کنید و استفاده کنید. به یاد داشته باشید که رمزعبور قوی برای وبسایت وردپرسی تان انتخاب کنید، مخصوصا برای سطح دسترسی ادمین.

ایجاد برگه ها و نوشته ها بصورت امن
انتشار برگه و نوشته ی جدید شاید کار خیلی روتین و بدیهی ای به نظر بیاد و ریسک امنیتی مهمی تو این فرآینده دیده نشود، اما چند نکته مهم وجود دارد که برای جلوگیری از سرقت اطلاعات باید از آنها آگاه بود.

امنیت وردپرس : کدهای غیرقابل اطمینان را embed نکنید
جاسازی کردن کدهای جاوا اسکریپت و یا دیگر کدها در نوشته ها و یا برگه ها که به آن embed کردن می گوییم، ممکن است باعث شود تا نویسنده کد به اطلاعات حساس شما دست یابد. اطلاعاتی همچون کوکی های بازدید کننده های وبسایت که البته خود شما هم به عنوان ادمین بخشی از این جامعه هستید. دزدیده شدن کوکی های شما می تواند دسترسی شما را تقدیم هکر کند.

قبل از آنکه هر کدی را به راحتی وارد نوشته یا برگه هایتان بکنید تا مثلا یک ویدیو نشان دهید و یا از یک ابزارک جاوا اسکریپتی بهره ببرید، اول مطمئن شوید که منبع قابل اعتماد است. آیا به شرکتی که این کد را به شما ارائه می دهد اطمینان دارید؟ مثلا اگر ویدیو پخش می کنید و از یوتیوب، آپارات استفاده می کنید، خیالتان راحت خواهد بود.اما اگر از سایت های غیرمعروف و مشکوک قرار است برای اینکار استفاده کنید، احتمالا بخاطر امنیت، باید در تصمیمتان تجدید نظر کنید. بررسی کد قبل از embed کردن آن در سایتتان بخش جدایی ناپذیری از امنیت وردپرس است.

امنیت وردپرس : آگاهی از شرایط نویسندگی بصورت مهمان
وقتی که وبسایت شما شروع به جذب بازدید کننده از موتورهای جستجو می کند، شاید به فردی پیشنهاد دهید تا به عنوان مهمان در وبسایتتان بنویسد و مقاله منتشر نماید.اگر چنین فردی را به عنوان نویسنده مهمان انتخاب کردید، پیشنهاد می کنیم که برای نوشتن مقاله ها از ابزارهای دیگری مانند Google docs استفاده کنند.در این شرایط شما هم می توانید به راحتی محتوا را کپی و سپس محتوا را با نام نویسنده و به اعتبار و نام ایشان منتشر کنید.

اگر شما اجازه نگارش و تغییر نوشته و برگه ها را به نویسنده مهمان بدهید، در واقع سطح بالاتری از مجوزها را به او می دهید. در اینصورت باید نوشته های تولید شده توسط ایشان را با کلیک کردن برروی تب “متن” ملاحظه کنید تا مطمئن شوید هیچ کدی توسط آنان Embed نشده و یا لینکهایی به سمت وبسایت هایی که به آنها علاقه ای ندارید، وجود ندارد.

یادتان نرود که نوشته های منتشر شده توسط هر فردی بجز شما را برای کدهای غیرامن آنالیز کنید تا از عدم وجود لینک های اسپم و یا embed کدهای مخرب مطمئن شوید.

اسپم دیدگاه و بدافزارها
امنیت وردپرس : فیلترینگ اتوماتیک اسپم
شاید تعجب کنید که ما موضوع مقابله با اسپم ها را در امنیت وردپرس مطرح می کنیم. بعد از راه اندازی اولیه وبسایت وردپرسی، متوجه دیدگاه های اسپم در زباله دان خواهید شد که حاوی لینک هایی هستند که شما را به سمت وبسایت هایی پر از مزخرف هدایت می کنند. برای فیلتر کردن دیدگاه های اسپم ما به شما دو افزونه وردپرسی خوب را پیشنهاد می کنیم :

• Akismet – این افزونه بصورت عادی برروی وردپرس شما نصب است و برای فیلتر کردن دیدگاه های اسپم عالی کار می کند.
• Wordfence – وردفنس که یک افزونه امنیتی کامل است دارای چند ویژگی برای فیلتر کردن دیدگاه های اسپم دارد و می تواند آنها را شناسایی و وارد پوشه اسپم کند.

بعد از اینکه فیلتر اتوماتیک اسپم را راه اندازی کردید، متاسفانه متوجه این مساله خواهید شد که هنوز هم دیدگاه های اسپم از فیلترها عبور می کنند و نیاز دارید که بصورت دستی آنها را فیلتر کنید.

امنیت وردپرس :‌ توسعه خط مشی فیلترینگ دستی اسپم

ما پیشنهاد می کنیم این مسیرها را دنبال کنید :

هیچ دیدگاه حاوی کدهای embed شده و جاوا اسکریپتی را منتشر نکنید.
معمولا این مساله توسط وردپرس فیلتر شده و حل می شود، ولی آسیب پذیری هایی گاها رخ می دهد که اجازه می دهد کدها از این فیلتر عبور کنند.اگر کد را دیدید فقط کافیست آن را به عنوان اسپم نشانه کنید.مگر اینکه وبسایت مربوط به توسعه نرم افزار داشته باشید و اجازه دهید تا افرادی که دیدگاه ارسال می کنند کدهای نمونه خود را وارد نمایند.
به دیدگاه هایی که بدون لینک هستند، بیشتر از آنهایی که با لینک هستند اعتماد کنید. در حالت عادی، اسپمرها همیشه لینک وبسایت خود را در دیدگاه ها درج می کنند. افراد واقعی نیز همین کار را انجام می دهند، ولی معمولا وقتی دیدگاهی را بدون لینک می بینید به این معنی است که کسی که آن را گذاشته است علاقه زیادی به تبلیغ خود ندارد و اسپمرهای بسیار اندکی ممکن است چنین خصلتی داشته باشند.
دیدگاه هایی که زبان آن را متوجه نمی شوید قبول نکنید.بدلایل مختلفی ممکن است دیدگاه هایی با زبان های مختلف از فیلترهای شما عبور کنند.از آنجایی که نمی دانید این دیدگاه ها چه می گویند، آن ها پاک کنید.زیرا ممکن است این دیدگاه ها در مورد مسائل سیاسی و یا صحبت هایی در مورد مسائل بزرگسالان باشد.
دیدگاه هایی با تعداد لینک طولانی را با دقت بررسی کنید.معمولا این دسته از دیدگاه ها اسپم هستند.احتمال بسیار اندکی وجود دارد که شخصی دیدگاهی با لینک های بسیار بگذارد و این معمولا عادت اسپمرهاست.

امنیت وردپرس : بخش تنظیمات دیدگاه خود را چک کنید
داخل وردپرس به بخش “تنظیمات > گفت‌وگوها” بروید و در آنجا تنظیماتی که بخش دیدگاه های شما را کنترل می کنند را خواهید یافت.برایتان چند توصیه در مورد این بخش دارم:

از نویسنده دیدگاه بخواهید تا نام و ایمیلش را وارد کند.
احتمالا علاقه خواهید داشت از گذاشتن دیدگاه در نوشته هایتان آگاه باشید مگر اینکه ترافیک دیدگاه هایتان بسیار زیاد باشد و یا اینکه روزانه به وبسایت لاگین کنید.
دیدگاه هایی که بیشتر از یکی دوتا لینک دارند را در صف بررسی نگه دارید تا آن را ملاحظه کنید، اسپمرها معمولا تعداد لینک های بیشتری در دیدگاهایشان دارند.
تنظیمات دیدگاه ها را با دقت بررسی کنید و سیاست هایی را که با شیوه ی مدیریت شما هماهنگ است را برگزینید. بدین گونه می توانید اسپم ها را محدودتر نمایید.

جستجو و نصب قالب ها
قالب به وبسایت وردپرسی شما ظاهری زیبا و روح می بخشد.برای نصب قالب از منو نمایش > پوسته ها استفاده کنید.

امنیت وردپرس: قالب های نال شده نصب نکنید
پوسته های نال شده تاثیر بسیاری در امنیت وردپرس دارند.زمانی که برای وبسایت وردپرسی خود پوسته ای را انتخاب می کنید، به طور کلی بیخیال وبسایت هایی که پوسته های نال شده ارائه می کنند، شوید. معمولا این منابع غیرقابل اعتماد هستند و تعداد اینگونه وبسایت ها در وب بسیار است.پوسته های نال شده مطمئنا شامل کدهای مخربی هستند و امنیت وبسایت شما را تهدید خواهند کرد. پوسته ها را فقط از منابع قابل اطمینان نصب کنید.

محبوبترین منبع برای پوسته های وردپرس، سایت اصلی وردپرس و مخزن پوسته آن است که از wordpress.org می توانید آن را بیابید. پوسته هایی که بصورت مشارکتی توسعه داده شده اند، پوسته های متن باز و عموما قابل اعتمادی را می توانید در آن بیابید.

پوسته های غیر رایگان را می توانید از منابع مهمی در وب فارسی و همچنین از وبسایت خودمان نیز تهیه کنید. وقتی که از پوسته ای استفاده می کنید که منبع آن را نمی شناسید، کافیست دامین آن را گوگل کنید تا ببینید که چه گزارشاتی در مورد قابل اعتماد بودن و یا نبودن آن سایت وجود دارد.

امنیت وردپرس: پوسته ی خود را بطور منظم بروزرسانی کنید
گهگاه ممکن است یک آسیب پذیری امنیتی در پوسته ای که شما برروی وبسایت وردپرسی خود نصب کرده اید کشف شود که به هکر اجازه دسترسی می دهد. توسعه دهندگان قابل اطمینان، راه حل های این آسیب پذیری ها را به شکل به روزرسانی نسخه جدیدی از پوسته ارائه می دهند. حتما مطمئن شوید که پوسته ای که نصب کردید، آخرین نسخه ی ارائه شده از طرف طراح آن است.در این صورت خیالتان تا حدودی از مشکلات پوسته راحت خواهد بود.

نکته : معمولا بسیاری از توسعه دهندگان تغییراتی را در پوسته های وردپرسی می دهند و آنها را شخصی سازی می کنند.مانند وبسایت های فارسی وردپرسی که اکثرا قالب ها را فارسی می کنند تا کاربران به راحتی از آن استفاده کنند.قبل از به روزرسانی این پوسته ها با توسعه دهنده ای که پوسته را شخصی سازی کرده است مشورت نمایید تا مطمئن شوید با به روزرسانی این پوسته، شخصی سازی های انجام شده از بین نخواهند رفت و شما به مشکل برنخواهید خورد.یکی از گزینه هایی که می تواند شخصی سازی هایتان را برایتان نگه دارد استفاده از child themes است.

جستجو و نصب افزونه ها
همانطور که همه ما می دونیم افزونه های وردپرس خیلی به دردبخور هستند و یکی از قدرتمندترین ویژگی های وردپرس به حساب می آیند.ده ها هزار افزونه متن باز در مخزن افزونه وبسایت wordpress.org وجود دارد که می توانیم به راحتی هرکدام از این افزونه ها را از با رفتن به بخش افزونه ها، جستجوی افزونه مورد نظر و انتخاب آن و در نهایت با یک کلیک نصب کنیم.

دقیقا به مانند پوسته ها، از نصب کردن افزونه های نال شده که توسط منابع غیرقابل اعتماد توزیع می شوند و دارای کدهای مخرب هستند، باید به شدت دوری کنیم. افزونه هایی که توسط منابع رسمی تولید شده و انتشار پیدا می کنند عموما برای نصب امن هستند.تیم وردپرس به دقت افزونه ها را مورد بررسی قرار می دهد تا کد مخربی در آنها وجود نداشته باشد.همچنین افزونه های این مخزن دارای مشارکت کننده های بسیاری هستند که آسیب پذیری های گوناگونی را در افزونه ها کشف کرده و به توسعه دهندگان اطلاع می دهند.

امنیت وردپرس: آسیب پذیری افزونه ها و حل و فصل آنها
آگاهی از آسیب پذیری های افزونه ها یکی از حیاتی ترین بخش های امنیت وردپرس را تشکیل می دهد. زیرا که معمولترین راه برای هک کردن وبسایت های وردپرسی استفاده از این آسیب پذیری ها بوده است.

از آنجایی که افزونه ها یکی از قدرتمندترین ویژگی های وردپرسی هستند، می توانند یکی از مهمترین چالش های امنیتی وبسایت های وردپرسی نیز باشند. افزونه ها به طور چشمگیری حجم کد PHP بیشتری نسبت به پوسته ها دارند و این کدها بسیار پیچیده تر هستند.این مساله فرصت حضور آسیب پذیری های بیشتری را در کدها مهیا می کند.

باید به این نکته توجه داشته باشیم که وردپرس ذاتا پلتفرم غیر امنی نیست.فقط اینکه این سیستم مدیریت محتوا بسیار محبوب است و تعداد زیادی افزونه آماده برای آن وجود دارد.وردپرس بیش از ۴۰۰۰۰ هزار افزونه آماده با بیش از ۱ میلیارد دانلود دارد که باعث می شود هدف جذابی برای هکرها به نظر بیاید.به همین دلیل قبل از انتخاب و نصب افزونه، بهتر است از چند مورد آگاه باشید که در اینجا ما توصیه های کوچکی در این باره به شما ارائه خواهیم کرد:

افزونه ها را فقط از وبسایت های معتبر نصب کنید.مخزن رسمی افزونه ها بهترین مکان برای پیدا کردن آنهاست.
فقط افزونه ها مورد نیاز را نصب کنید.هرچه قدر تعداد کمتری افزونه روی وبسایت شما باشد، میزان کد وبسایت تان قاعدتا کمتر است و درواقع بستر حمله کمتری برای هکر وجود دارد.
افزونه ها را “غیرفعال” رها نکنید.آنها را حتما پاک کنید.افزونه های غیرفعال همچنان مستعد ایجاد راهی برای دسترسی برای هکرها هستند به این دلیل که کد بصورت عمومی ممکن است در دسترس باشد.
فقط از افزونه هایی که به خوبی توسعه داده شده اند استفاده کنید.اگر افزونه ای در طی یکسال و یا بیشتر به روزرسانی نشده است، احتمالا به خوبی توسعه داده نشده است.منظورم این است که مثلا اگر یک نفر مشکل امنیتی در افزونه را به توسعه دهنده گزارش داده باشد، احتمالا آنها این مشکل را رفع نمی کنند.
وقتی که نسخه ی جدیدی از افزونه ارائه گردید، ابتدا جزئیات تغییرات به وجود آمده را بخوانید و بعد سریعا آن را به روزرسانی کنید.مخصوصا اگر این بروزرسانی شامل حل مشکلات امنیتی باشد.
بروز و امن نگه داشتن افزونه های وردپرسی، یکی از اثربخش ترین راه های اطمینان از این موضوع است که وبسایت تان تا حد زیادی امن است.

از کدها و ابزارک های خطرناک دور بمانیم
در بخش های بالایی که در مورد نوشته ها و برگه ها صحبت کردیم، گفتیم که نباید از کدهای غیرقابل اعتماد استفاده کنیم. وردپرس قابلیت بسیار مفیدی به نام ابزارک ها دارد که به ما اجازه می دهد تا ویژگی هایی را در نوار کناری یا پانوشت،نمایش دهیم و از آنها استفاده کنیم.

برای دسترسی به این بخش از منو نمایش > ابزارک ها را انتخاب کنید.

ابزارک ها ویژگی های کاربردی و مفیدی را در اختیار ما می گذارند.بعضی از سایت ها و سرویس ها کد جاوا اسکریپتی را به ما ارائه می دهند که با جاگذاری یا همان embed کردن آن می توانیم از سرویس های آنان به عنوان ابزارک در وبسایت استفاده کنیم. معمولا یک ابزارک متن انتخاب کرده و کد را داخل آن قرار می دهیم.

وقتی که نیاز به embed کردن کد برای استفاده از ابزارک خاصی را دارید، در انتخاب منبع کد با احتیاط و دقت عمل کنید.همانطور که قبلا گفتیم، ممکن است embed کردن یک کد از طرف شما، دسترسی مستقیم به اطلاعاتتان را به صاحب کد تقدیم کند.اطلاعاتی همچون کوکی های بازدید کننده ها و ادمین ها.

اگر کدی که در ابزارک از آن استفاده می کنید از وبسایت شما بارگذاری می شود، در اینصورت می توانید این کد را تغییر دهید.اگر کد از سمت وبسایت دیگری بارگذاری می شود، آنها می توانند کد را هر زمانی که مایل بودند تغییر دهند.

برای مثال، فرض کنید اسم وبسایت شما example.com است.اگر کدی که شما به عنوان ابزارک از آن استفاده می کنید از http://example.com/mycode.js بارگذاری می شود، در اینصورت شما دسترسی کامل به کد دارید.تنها راهی که فایل mycode.js می تواند تغییر کند این است که شما تغییرش دهید.

اما اگر example.com متعلق به فرد دیگری است و شما کدتان را از روی وبسایت ایشان بارگذاری می کنید. در اینصورت آنها به راحتی می توانند محتویات فایل mycode.js را تغییر دهند. به شکلی که کوکی های شما را بدزدند و یک مشکل جدی در امنیت شما بوجود آورند.

بعضی از کدهای جاوا اسکریپتی که از وبسایت های دیگر بارگذاری می شوند قابل اطمینان هستند. گوگل آنالیتیکز و یا گوگل ادسنس از جمله مثال های کدهای جاوا اسکریپتی هستند که از دیگر وبسایت ها برروی وبسایتمان بارگذاری می شوند. بنابراین اگر نیاز دارید تا از کدی به عنوان ابزارک استفاده کنید که از وبسایت دیگری بارگذاری می شود، حتما مطمئن شوید که این وبسایت قابل اعتماد است.

ساخت کاربر جدید به شیوه امن
برای ایجاد کاربر جدید در وردپرس، به بخش کاربران > افزودن بروید.

در کنار افزودن دستی کاربران، راه حل دیگری برای ساخت حساب کاربری در وردپرس وجود دارد.متاسفانه بسیاری از صاحبان وبسایت های وردپرسی این مساله را نمی دانند.اگر به بخش تنظیمات > همگانی بروید.در آنجا خواهید که می توانید ویژگی “هرکسی می تواند نام نویسی کند” را فعال کنید. بدین شکل شما به کاربران اجازه خواهید داد تا حساب کاربری با سطح دسترسی مشترک بسازند.قسمت پایین راه مشاهده کنید تا بدانید این نقش کاربری به چه چیزهایی دسترسی دارد.

وقتی که ویژگی “هرکسی می تواند نام نویسی کند” فعال می شود، لیست کاربران شما طولانی‌تر خواهد شد و حساب های اسپم نیز ساخته خواهند شد.این ویژگی بصورت پیشفرض غیرفعال است. این گزینه را تا زمانی که به آن نیاز ندارید فعال نکنید.

امنیت وردپرس: رمزعبورهای کاربران جدید
امنیت وردپرس در گرو امنیت حساب های کاربری تمام کاربران است. زمانی که یک کاربر جدید می سازیم، وردپرس بصورت اتوماتیک یک رمزعبور به این حساب اختصاص می دهد. شما می توانید بصورت دستی نیز رمزعبور را خودتان انتخاب کنید.

پیشنهاد ما این است که به وردپرس اجازه دهید تا برایتان رمزعبور انتخاب کند. نسخه ی فعلی وردپرس یک ترتیب تصادفی از حروف کوچک و بزرگ و عددها و سمبل ها را به طول تقریبا ۱۶ کاراکتر تولید می کند.این رمزعبور جز دسته رمزعبورهای بسیار قوی محسوب می شود و شکستن آن اصلا آسان نیست.

وقتی که وردپرس به صورت اتوماتیک رمزعبوری را به حساب کاربر اختصاص می دهد، بعد از تکمیل ساخت حساب، ایمیلی حاوی یک لینک به ایمیل کاربر جدید فرستاده می شود.این ایمیل حاوی لینک بازنشانی رمزعبور است که کاربر را به صفحه ای از وردپرس هدایت می کند و به او این اختیار را می دهد که یا رمزعبور بسیار قوی وردپرس را انتخاب کند و یا اینکه خودش رمزعبورش را بسازد.

این متد از ساخت حساب کاربری امن است و باعث می شود تا حساب های کاربری وبسایتتان با رمزعبورهای قوی ساخته شوند.ما اصلا به شما پیشنهاد نمی کنیم که رمزعبورهای کاربران را بصورت دستی و بر اساس کلمات بسازید، زیرا در اینصورت یک مشت حساب کاربری با رمزعبورهایی که به راحتی حدس زده یا شکسته می شوند ساخته اید.

امنیت وردپرس: سطح دسترسی کاربر وردپرس
وردپرس از مفهموم “نقش” برای تعیین سطح دسترسی کاربران در سایت استفاده می کند. این به نظر درست و کافی میاد، چون میزان سطح دسترسی شما در واقع نقشی که در سازمان بازی می کنید را نمایش می دهد.

وقتی که نقش های کاربران را به آنان می دهید ممکن است وسوسه شوید که سطح دسترسی بالایی را فقط “محض احتیاط” به آنها بدهید.لطفا اینکار را انجام ندهید. در مباحث امنیت اطلاعات یکی از تمرین های خوب این است که پایین ترین سطح دسترسی که کاربر برای انجام وظایفش نیاز دارد را بیابید.اگر آنان نیاز به دسترسی بیشتری دارند، اجازه بدهید تا از شما دسترسی بالاتری را بخواهند.در اینصورت مطمئن خواهید شد که همه افراد دسترسی ای بالاتر از چیزی که نیاز دارند را نخواهند داشت.

اصل کمترین مجوز و یا بهتر بگیم Principle of least privilege یکی از تئوری های امنیت اطلاعات است.بنا به این اصل، مجوزهایی که نیازی به آن ها نیست نباید ارائه شوند و در صورت انجام چنین کاری امنیت به خطر می افتد.

دراین قسمت توضیح مختصری در مورد نقش های کاربری در وردپرس می گوییم و مجوزهای هر نقش را شرح می دهیم:

• Super Admin – کاربر با این دسترسی می تواند هر کاری در وردپرس انجام دهد.این بالاترین سطح دسترسی است. در شبکه ای از سایت ها در وردپرس که به آن multi-site و یا وردپرس شبکه هم می گوییم، این سطح دسترسی می تواند تمام سایت های زیرشاخه را کنترل کند.شما باید یک یا حداکثر دو Super Admin در سایت داشته باشید.
• مدیرکل – در سایت های وردپرسی غیرشبکه که بطور معمول نصب می شود و اکثر سایت های وردپرسی به این شکل هستند، مدیرکل همان super admin است. این نقش تمام مجوزها را دارد.در وردپرس شبکه، مدیرکل تمام مجوزها را برای یک سایت دارد در حالی که super admin به پنل مدیریت شبکه دسترسی دارد. نقش مدیرکل نیز مانند super admin باید به یک یا حداکثر دو حساب داده شود و البته درصورتی که کاملا نیاز باشد.
• ویرایشگر – این نقش می تواند نوشته و برگه را منتشر کرده و همچنین نوشته ها و برگه هایی که توسط دیگر نویسنده ها منتشر شده است را مدیریت کند.آنها قابلیت ساخت و ذخیره نوشته ها و برگه ها و انتشار آنها را به طور کامل دارند.
• نویسنده – نویسنده می تواند نوشته ها و برگه های خودش را منتشر کند ولی نمی تواند نوشته ها و یا برگه های دیگران را مدیریت کند.
• مشارکت کننده – با این دسترسی، کاربر می تواند نوشته و برگه هایی را تولید و بصورت پیشنویس ذخیره کند ولی مجوز انتشار آنها را ندارد.این نقش برای نویسندگان مهمان مناسب است.شما می توانید به نویسندگان مهمان سایت تان دسترسی مشارکت کننده بدهید تا آنها نوشته هایشان را بنویسند و پیشنویس شان را ذخیره کنند، بعد از بررسی این نوشته ها با دسترسی بالاتر، می توانید آنها را منتشر کنید.
• مشترک – این نقش پایین سطح دسترسی را در وردپرس دارد.وقتی که شما ویژگی “هرکسی می تواند نام نویسی کند” را در قسمت تنظیمات > همگانی فعال کردید، هر کاربری که ثبت نام کند بصورت پیشفرض با این سطح دسترسی خواهد بود.مشارکت کننده می تواند پروفایل کاربری خود را مدیریت کند و در صورتی که دیدگاه ها را فعال کرده باشید اقدام به افزودن دیدگاه با نام کاربری خود بکند.

برای داشتن وبسایتی امن تر، اصل کمترین مجوز را اجرا کنید.کاربران شما همیشه می توانند برای دسترسی بالاتر از شما درخواست کنند و حل کردن این مشکل بسیار راحت تر از این مساله است که کاربر مخرب و یا حساب دزدیده شده ای با دسترسی بالا داشته باشیم.

استفاده از FTP بصورت امن
FTP مخفف File Transfer Protocol و بطور ساده راهی برای ارسال فایل ها از سمت و یا به سمت سرور برروی اینترنت است. FTP به یک استاندارد مشترک بین صاحبان وبسایت ها برای مدیریت و ارسال فایلهایشان تبدیل شده است.

یک وبسایت عمدتا از فایل تشکیل شده است و از آنجاییکه FTP یک راه عالی برای مدیریت فایلها است، بهترین راه برای مدیریت وبسایت های وردپرسی نیز به شمار می رود.

امنیت وردپرس: sFTP, FTPS و FTP ساده قدیمی
امنیت وردپرس شما تنها وابسته به امنیت خود وردپرس نیست، بلکه به روش های دسترسی به وردپرس نیز وابسته است.FTP برای انتقال فایلها از سمت و به سمت وبسایت استفاده می شود و قاعدتا باید امن باشد.

FTP اصالتا یک پروتکل plain-text است. به این معنی که نام کاربری و رمزعبور شما را در قالب رشته ی رمز نشده در طول شبکه انتقال می دهد.در این شرایط کسی که به شبکه شما گوش می دهد می تواند به راحتی نام کاربری و رمزعبور شما را دریافت کرده و به آسانی دسترسی کافی را داشته باشد.

اگر هکری به حساب FTP شما دسترسی داشته باشد، کارهای خیلی خطرناک تری نسبت به یک حساب کاربری وردپرسی می تواند انجام دهد.درواقع هکر به تمامی وبسایت شما دسترسی دارد، تمام فایل ها و فولدرها و حتی دایرکتوری های قبل تر از نرم افزار وردپرس. به همین دلیل مهم است که از اطلاعات FTP خود به شدت محافظت کنید.

sFTP یکسری بهبودهایی نسبت به FTP دارد به این دلیل که اطلاعات نام کاربری و رمزعبور شما را در طول شبکه بصورت رمزشده انتقال می دهد.این پروتکل از پروتکل رمزنگاری سرویس SSH برای رمز کردن نام کاربری و رمزعبور استفاده می کند.

پروتکل جایگزین دیگری به نام FTPS نیز وجود دارد که آن نیز امن است. این یکی کمی متفاوت تر از sFTP عمل می کند و از TLS برای رمزنگاری استفاده می کند و با سرور FTP بجای SSH استفاده می کند. هر دو این پروتکل ها یعنی sFTP و FTPS امن هستند.

امنیت وردپرس: امن کردن فایلهای ارسال شده با FTP
بخشی از کار روزانه تان با FTP احتمالا دانلود کپی بعضی یا کل فایل های وبسایت تان است.این فایل ها حاوی اطلاعات بسیار مهمی و گاها نام کاربری ها و رمزعبورها هستند.مثلا فایل wp-config.php حاوی نام کاربری و رمزعبور دیتابیس شماست.

به همین دلیل، این مساله مهم است که رفتارتان با این فایلها همانقدر امن و جدی باشد که با فایل های اصلی وردپرس تان رفتار می کنید.این فایل ها ممکن است فایل های زیپ پشتیبان وبسایت تان باشد و یا فایل هایی که به تنهایی دانلود شده اند.اگر این فایلها را در سیستم شخصی و لپتاپ ذخیره می کنید، مطمئن شوید که لپتاپتان را گم نخواهید کرد. شما باید هارد سیستم تان را رمزنگاری کنید و یا حداقل به آن بخش از فایل ها با رمزعبور دسترسی پیدا کنید.

فایل های وبسایت تان را برروی فلش دیسک ها و یا هاردهای اکسترنال و کلا هر سخت افزار قابل حمل غیرامنی نگه ندارید.

نتیجه گیری
در این مقاله مباحث ابتدایی و پایه ای از امنیت وردپرس را مطرح کردیم تا به عنوان مدیر و یا نویسنده وبسایت، از آنها آگاه باشید. شما را با اتفاقاتی که ممکن است برای مدیران بیفتد، اصل پایین ترین مجوز، نقش کاربران و سطح دسترسی ها آشنا کردیم. در مورد دیدگاه ها اسپم و کدهای مخرب و ذخیره سازی امن تر فایل های پشتیبان نیز بحث کردیم.

موارد گفته شده تنها بخش آغازینی از مباحث تامین امنیت وبسایت های وردپرسی هستند.با رعایت نکات گفته شده در این مقاله می توانید تا حدودی خیال خود را از برخی آسیب های احتمالی که ممکن است به وبسایت شما زده شود، راحت کنید.

برای کسب آگاهی بیشتر در مورد بحث امنیت وردپرس، پیشنهاد می کنم بخش های بعدی این سری از مقالات را مطالعه نمایید.لطفا در صورت وجود هرگونه پیشنهاد در مورد محتوای آموزش ها ما را از آن مطلع سازید.

The post با امنیت وردپرس آشنا شویم – امنیت وردپرس (قسمت ۱) appeared first on وبیسا.

خطا ۴۰۳ Forbidden چیست؟
این خطا زمانی نمایش داده می شود که کاربر سایت شما دسترسی کافی به صفحه مشخصی را ندارد. این خطا به معنای عدم سطح دسترسی می باشد. خطا ۴۰۳ Forbidden معمولا به شکل زیر نمایش داده می شود:

۴۰۳ Forbidden – You don’t have permission to access ‘/’ on this server. Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request

البته درست است که این خطا فقط به یک دلیل نمایش داده می شود ، اما از روش های مختلفی حل می شود و میتواند دلیل های مختلفی داشته باشد.

رفع خطا ۴۰۳ Forbidden در وردپرس
برای حل خطای ۴۰۳ Forbidden باید روش های زیر را مرحله به مرحله اجرا کنید. در ۹۰ درصد مواقع با این روش ها مشکل شما حل خواهد شد.

۱. افزونه های وردپرس را غیر فعال کنید.
گاهی اوقات این مشکل میتواند از اختلال یک پلاگین در سرور شما باشد. برای این منظور باید تمامی افزونه های خود را غیرفعال کنید.

بعد از اینکه همه افزونه های وردپرسی خود را غیرفعال کردید سپس یکی یکی آن ها را فعال کنید. تا بتوانید افزونه معیوب را پیدا کنید.

۲. فایل .htaccess را مجدد بازسازی کنید.
شما باید فایل htaccess سایتتان را مجدد بازسازی کنید. در برخی موارد مشکل خطا ۴۰۳ Forbidden از این فایل است. برای این کار ابتدا یک فایل پشتیبان از آن تهیه کنید. وارد مسیر نصب وردپرس در فایل منیجر هاست خود بشوید و این فایل را حذف کنید. بعد از این کار در پنل مدیریت وردپرس وارد بخش تنظیمات » پیوند های یکتا شوید و بدون هیچ تغییری بر روی دکمه ذخیره تغییرات کلیک کنید تا فایل .htaccess شما دوباره ایجاد شود.

۳. سطح دسترسی فایل ها را تنظیم کنید.
وارد فایل منیجر هاست خود شوید و یا با استفاده از یک نرم افزار FTP به فایل های سایتتان دسترسی پیدا کنید. سپس سطح دسترسی فایل ها را با راست کلیک و کلیک روی File Permissions تغییر دهید. برای پوشه ها ۷۵۵ و برای فایل ها سطح دسترسی ۶۴۴ را تنظیم کنید.

با این سه مرحله باید خطای ۴۰۳ سایت شما حل شود. اگر از روش های بالا حل نشد با هاستینگ خود تماس بگیرید.

The post رفع خطای ۴۰۳ Forbidden در وردپرس appeared first on وبیسا.

مهارت های لازم برای وبمستر شدن
به جای اینکه وب‌سایت‌تان را به توسعه دهندگان یا شرکت‌های مربوطه بسپارید، می‌توانید خودتان، وبمستر خودتان باشید. اما مهارت های لازم برای وبمستر شدن چیست و چگونه می‌توان مهارت های لازم برای وبمستر شدن را کسب کرد؟ در این مقاله، با ما همراه باشید.

وبمستر کیست؟

به طور کلی، وبمستر، یک متخصص است که به ایجاد، نگهداری و ارتقاء وب‌سایت، کمک می‌کند. بیایید نگاهی بیشتر به “وظایف وبمستر” داشته باشیم.

تعمیر و نگهداری هاست و سرور
وبمستر در قدم اول، به خرید یک نام دامنه برای وب‌سایت اقدام می‌کند. مسئولیت بعدی وی، انتخاب یک سرور جهت میزبانی است. سرور، یک ابر کامپیوتری است که تمام اطلاعات یک وب‌سایت، آنجا ذخیره می‌شود؛ پس، انتخاب امن‌ترین و سریع‌ترین سرور، یکی از حساس‌ترین وظایف وبمستر است. قدم بعدی که وبمستر برای یک وب‌سایت برمی‌دارد، راهکارهایی است تا وب‌سایت، همیشه و در همه حال، به درستی در حال اجرا باشد و در موقعیت‌های اضطراری که ممکن است از طرف سرور بوجود بیاید، خللی در اجرایش ایجاد نشود. در واقع، وبمستران، همیشه باید با مسئول سرور در ارتباط باشند.

نقش وبمستران حرفه‌ای در نگهداری وب‌سایت
بخش قابل توجهی از زمانِ وبمستران حرفه‌ای، در جهت حفظ و نگهداری وب‌سایت، سپری می‌شود که شامل به‌روزرسانی محتوا، اطمینان حاصل کردن از اجرای وب‌سایت در مرورگرهای مختلف، تعمیر لینک‌ها و تصاویر آسیب‌دیده، افزودن تصاویر، محتوا، رویدادهای جدید و به‌روزرسانی محصولات است. یک وبمستر، این اختیار را دارد تا هر اقدامی که نیاز است، در ساختار سرور ایجاد شود را اجرا نماید. این مرحله نیز نقش مهمی در کسب مهارت های لازم برای وبمستر شدن دارد.

عیب‌یابی
یکی دیگر از وظایف حیاتی هر وبمستر، عیب‌یابی است. برای حفظ یکپارچگی وب‌سایت، وبمستران، به طور مداوم، وب‌سایت را برای بررسی عملکرد، سهولت استفاده و مدت‌ زمان بارگذاری، تست می‌کنند.

آن‌ها اطمینان حاصل می‌کنند که محتوای وب‌سایت، به راحتی برای مخاطبان هدف، قابل درک باشد. اگر شکایتی از طرف کاربران ارسال شد، آن‌ها مسئول پیگیری و ارزیابی آن هستند و می‌بایست راه‌حل‌های مربوطه را اجرا نمایند.

برنامه‌نویسی
بخش قابل توجهی از وظایف وبمستران را برنامه‌نویسی و توسعه وب‌سایت شامل می‌شود. برنامه‌نویسی شامل مواردی چون: کدنویسی سایت؛ اجرای ویژگی‌های جدید از طریق Javascript، CSS و HTML، ایجاد انیمیشن، ویدئو، صدا، تهیه لوگو، تهیه نسخه پشتیبان به صورت دوره‌ای و اعمال تمهیدات لازم جهت مقابله با هکرها و اسپمرها است.

ازاریابی و سئو (بهینه‌سازی موتورهای جستجو)
یکی دیگر از وظایف کلیدی وبمستر حرفه‌ای، بررسی ترافیک وب‌سایت است. آن‌ها منابع مناسبی را برای ترویج کسب و کار خود (به طور موثر) پیدا خواهند کرد. جنبه‌های مختلف بهینه‌سازی وب‌سایت را اجرا می‌کنند تا در رتبه‌بندی موتورهای جستجو، در جایگاه بالایی قرار داشته باشند.

وبمستر به خوبی می‌داند که چگونه بازدیدکنندگان وب‌سایت را افزایش دهد و آن‌ها را به مشتری تبدیل نماید. علاوه بر این، وبمستر، از اهمیت بک‌لینک نیز، آگاه است و از طریق بسترهای تبلیغاتی، به جمع‌آوری بک‌لینک می‌پردازد.

طراحی وب
وبمستران، همچنین می‌توانند طراح وب نیز باشند. آن‌ها قادر خواهند بود تا یک ظاهر بصری جذاب برای وب‌سایت طراحی کنند که مناسب کاربران بالقوه نیز باشد. آن‌ها فقط روی طراحی وب‌سایت تمرکز نمی کنند، بلکه کاربردی‌ بودن ظاهر وب‌سایت نیز، در اولویت‌شان قرار دارد.

وظایف وبمستران
اگر بخواهیم بدانیم مهارت های لازم برای وبمستر شدن چیست باید بگوییم به طور کلی، نیاز است که وبمستر حرفه‌ای، هوشمند باشد و طیف گسترده‌ای از خدمات وب‌سایت را به صورت شخصی در درازمدت، انجام دهد.

The post مهارت های لازم برای وبمستر شدن appeared first on وبیسا.