آموزش اسکریپت و وردپرس

بایگانی‌های امنیت وردپرس - فرساد گشت

امام حسین (ع) : بخشنده ترین مردم کسی است که در هنگام قدرت می بخشد.
شنبه ۳۰ شهریور ۱۳۹۸


افزونه All In One WP Security and Firewall

سلام خدمت همراهان خوب ایـکـس اسـکـریـپـت 🙂

در ادامه سری آموزش های افزایش امنیت وردپرس، در این قسمت به معرفی و بررسی افزونه ایی خواهیم پرداخت که در برقراری و حفظ امنیت سایت شما بسیار تاثیرگذار است.
با ما همراه باشید…

حفظ امنیت وردپرس با All In One WP Security and Firewall

 

آموزش های بسیاری در مورد افزونه های وردپرسی در حوزه ی امنیت وردپرس موجود است و بسیار هم کاربردی و قوی هستند. امروز نیز میخواهیم با یکی دیگر از آنها آشنا شویم.

 

افزونه All In One WP Security and Firewall وردپرس

 

این افزونه وردپرس بیش از ۶۰۰٫۰۰۰ نصب موفق و فعال در مخزن وردپرس به ثبت رسانده است و از آپدیت های منظمی برخوردار است.

میتوانید در انتهای این نوشته، بصورت رایگان این افزونه دانلود کنید

افزونه All In One WP Security and Firewall

این افزونه ی بسیار قدرتمند و پر طرفدار است. این افزونه در زمینه ی حفظ امنیت وردپرس یکی از بهترین هاست. به گونه ای که امنیت بخش های مختلفی از وردپرس را بر عهده میگیرد و مانع نفوذ عوامل مخرب می شود.

قسمت هایی که افزونه All In One WP Security and Firewall تحت پوشش امنیتی خود قرار میدهند عبارتند از:
  • حفظ امنیت پایگاه داده
  • حفظ امنیت فایل های موجود در وردپرس
  • حفظ امنیت htaccess. و wp-config.php
  • حفظ امنیت حساب های کاربری کاربران
  • حفظ امنیت بخش ورود به سایت
  • حفظ امنیت بخش عضویت در سایت
  • دارای تنظیمات فایروال
  • و…

 

آموزش کار با افزونه All In One WP Security and Firewall

 

پس از دانلود، نصب و فعالسازی افزونه All In One WP Security and Firewall، یک آیتم جدید تحت عنوان امنیت فراگیر وردپرس در منوی پیشخوان وردپرس شما ایجاد خواهد شد.

افزونه All In One WP Security and Firewall

بنابراین یکی از مهمترین ویژگی های این افزونه وردپرس این است که این پلاگین وردپرس از زبان فارسی پشتیبانی میکند.

پیشخوان امنیت در افزونه All In One WP Security and Firewall

 

در پیشخوان امنیت افزونه می توانید تمامی حوادث را به صورت نموداری مشاهده کنید.

تنظیمات در افزونه All In One WP Security and Firewall

 

شما در بخش تنظیمات می توانید بخش های مختلف را برای حفظ امنیت وردپرس تنظیم کنید. و اطلاعاتی را که خواسته وارد نمایید. این افزونه امکان import/export نیز دارد. یعنی می توانید اطلاعاتی را وارد و خارج کنید.

حساب های کاربری

 

در این قسمت می توانید حساب کاربری افرادی که عضو شده را مشاهده کرده و متوجه شوید که چه افرادی از دید افزونه به حفظ امنیت وردپرس آسیب وارد میکند.

 

ورود کاربران

 

در این بخش می توانید تنظیماتی نظیر اینکه فرد پس از چند بار وارد کردن پسورد اشتباه دیگر امکان ورود نداشته باشد با نظیر اینها را انجام دهید.

و سایر موارد که به علت فارسی و واضح بودن آن، از توضیح اضافی پرهیز می کنیم.

این افزونه امنیتی وردپرس میتواند تاثیر زیاد و مهمی در روند افزایش امنیت سایت شما داشته باشد.

موفق و پاینده باشید…

The post افزایش امنیت وردپرس با افزونه All In One WP Security and Firewall در سایت فراگشت برای شما عزیزان آماده شده است.

افزایش امنیت وردپرس با CAPTCHA

دسته بندی : مقالات آموزشی تاریخ : جمعه ۲۸ تیر ۱۳۹۸


افزایش امنیت وردپرس با CAPTCHA

 

سلام خدمت همراهان همیشگی گرامی ایـکـس اسـکـریـپـت 🙂

همه ی شما عزیزان در برخورد با سایت های مختلف با نام کپچا یا همان CAPCHA برخورد کرده اید.

با ما همراه باشید تا به بررسی دقیق کپچا بپردازیم.

 

کپچا چیست؟

 

نرم افزاری آنلاین برای تولید سوالات و آزمون هایی است که انسان براحتی قادر به پاسخ گویی به آنها است ولی کامپیوترها در حال حاضر قادر به تشخیص و پاسخ به آنها نیستند. مانند تصویر زیر:

 

CAPTCHA

 

در مورد captcha باید گفت که عبارت CAPTCHA مخفف جمله Completely Automated Public Turing Test To Tell Computers and Humans Apart بوده و به معنی آزمایش اتوماتیک عمومی برای تشخیص انسان از کامپیوتر می باشد.

در مورد کپچا باید گفت که نخستین بار Yahoo از آن در دنیای اینترنت استفاده کرد.

 

بالابردن امنیت وردپرس با کپچاCAPTCHA

 

از CAPTCHA میتوانیم در جهت افزایش امنیت وردپرس استفاده کنیم. در ادامه با ما همراه باشید…

 

پیشگیری از هک پسورد

 

قبل از همه گیر شدن سیستم کپچا، یکی از روش های رایج برای هک کردن اکانت کاربران و دسترسی به اطلاعات ، آزمون و خطای کلمات عبور مختلف بوده است.
در این روش هزاران کلمه از روی فرهنگ لغات برای یک نام کاربری مشخص امتحان میشد. امروزه با چند تلاش اشتباه در سیستم های ایمیل مانند یاهو یک کپچا به کاربر نشان داده میشود تا از این روش هک بخوبی جلوگیری شود.

 

نقش کپچا در بخش عضویت سایت

 

سایت های زیادی در دنیا خدمات رایگان ارائه میدهند که نیازمند عضویت و ساخت اکانت از طرف افراد هستند. مهمترین آنها سیستم های ایمیل یاهو و گوگل هستند. تا چند سال پیش و قبل از بکارگیری کپچا بزرگترین مشکل آنها ساخت تعداد زیادی اکانت توسط روبات های اینترنتی بود که میتوانستند در چند دقیقه صدها ایمیل بسازند. استفاده از سیستم کپچا این امکان را فراهم کرد که تنها انسان ها قادر به تکمیل فرم و ثبت نام نهایی باشند و امروزه به یک ضرورت در سیستم های رایگان تبدیل شده است.

 

جلوگیری از نظرات اسپم در سایت و وبلاگ

 

اکثر صاحبان وبلاگ یا سایت ها با نرم افزارهای اتوماتیک آنلاین که اقدام به انتشار نظرات اسپم میکنند آشنایی دارند که معمولا به هدف افزایش رنک و بهبود سئو سایت اسپمر بکار میرود. با استفاده از کپچا تنها انسان ها قادر به انتشار نظر در بخش وبلاگ سایت شما خواهند بود و به این ترتیب نیاز به عضویت در سایت یا وبلاگ شما برای جلوگیری از نظرات اسپم نیست.

 

CAPTCHA

 

کپچا برای نظرسنجی آنلاین

 

در نوامبر ۱۹۹۹ یک نظر سنجی آنلاین در سایت Slashdot.org برای تعیین بهترین دانشگاه در زمینه علوم کامپیوتر و برنامه نویسی برگزار شد. با توجه به نبودن سیستمی مشابه کپچا در آن زمان با تشخیص و ثبت IP نظردهندگان از تکراری بودن افراد جلوگیری میکردند.

با این وجود این سیستم قدرت کپچا را نداشته و دانشجویان دانشگاه Carneige Mellon برنامه ای برای ثبت نظر اتوماتیک ساخته و اجرا کردند، روز بعد این دانشگاه با اختلاف زیادی در رتبه اول ایستاد. بلافاصله دانشجویان دانشگاه MIT نیز برنامه مشابهی را راه اندازی کردند و این نظرسنجی در نهایت به جنگ روبات های اینترنتی تبدیل شد. در پایان رای گیری دانشگاه MIT با ۲۱۱۵۶ رای رتبه نخست را بدست آورد و Carneige Mellon با ۲۱۰۳۲ رای در رتبه دوم ایستاد، در حالیکه سایر دانشگاه ها هرکدام کمتر از ۱۰۰۰ رای داشتند. امروزه، برگزاری نظرسنجی عمومی در اینترنت بدون استفاده از کپچا کاری بیهوده و اشتباه است.

 

همانطور که مشاهده کردید نمیتوان تاثیر کپچا در افزایش امنیت سایت را نادیده گرفت و باید به بهترین شکل با آن آشنا شد و از آن به بهترین شکل استفاده کرد.

 

موفق و پاینده باشید…

The post افزایش امنیت وردپرس با CAPTCHA در سایت فراگشت برای شما عزیزان آماده شده است.

بالا بردن امنیت وردپرس

دسته بندی : مقالات آموزشی تاریخ : یکشنبه ۱۶ تیر ۱۳۹۸


بالا بردن امنیت وردپرس

ساخت یک وبسایت با سیستم مدیریت محتوای وردپرس جدای از تمام مزیت‌هایی که دارد، خطرات خاص خود را نیز داراست . وبسایت‌های ساخته شده با وردپرس نیز می‌توانند در مقابل حملات آنلاین و رخنه‌ها قابل نفوذ و آسیب پذیر باشند. اما این مسئله نباید باعث شود ما وردپرس را یک سیستم ضعیف و به درد نخور ببینیم؛ زیرا هر سیستم دیگری هم که باشد باید در مقابل خطرات و حملات آن را تجهیز کرد. پس مسئله اینجاست که چطور برای بالا بردن امنیت وردپرس برنامه ریزی کنیم؟ چطور از این حملات جلوگیری کرده و احتمال رخ دادن حملات را به صفر برسانیم؟ برای پاسخ به این سوالات در ادامه برخی از استراتژی‌هایی که برای حفظ امنیت وردپرس کارآمد هستند را در سایت ایـکـس اسـکـریـپـت بررسی کردیم که از شما نیز می‌خواهیم آن‌ها را با دقت مطالعه کنید.

 

بالا بردن امنیت وردپرس

 

وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوای موجود است که بیش از نیمی از وبسایت‌های فعال در فضای اینترنت و خیلی از وبسایت‌های معروف با این CMS ساخته شده‌اند. اما با اینکه این سیستم در بروز رسانی‌های متعدد خود بسیاری از مشکلات امنیتی را رفع می‌کند با این حال هنوز هم امنیت این وبسایت‌ها در خطر است. خوشبختانه برای به حداقل رساندن این رخنه‌ها راهکارهایی وجود دارد که میزان نگرانی ما را به حداقل می‌رساند. در ادامه به آن‌ها اشاره می‌کنیم.

 

۱- ورود دو مرحله‌ای

 

ورود دو مرحله‌ای به این معناست که کاربر حتی بعد از وارد کردن پسورد در فیلد مورد نظر برای ورود باید یک مرحله دیگر هم طی کند و فقط دانستن پسورد کافی نیست. زمانی که این قابلیت را برای ورود به پنل وردپرس انتخاب می‌کنید یک کد از طریق ایمیل یا SMS برای کاربر ارسال خواهد شد که با وارد کردن و تایید آن می‌تواند به داشبورد وبسایت دسترسی داشته باشد. این راهکار شاید ساده به نظر برسد اما تاثیر بسزایی در بالا بردن امنیت وردپرس دارد. 

 

بالا بردن امنیت وردپرس

ورود دو مرحله ای به وردپرس

۲- گواهی‌نامه SSL

 

گواهی‌نامه SSL که در واقع مخفف عبارت Secure Socket Layer است یک پروتکل امنیتی است. با استفاده از این پروتکل می‌توانید در حین انتقال داده بین وبسایت خود و کاربران، ارتباطی ایمن برقرار کنید. این پروتکل قادر است تمامی اطلاعات در حال جابجایی را رمزگذاری کند که این امر احتمال فاش شدن اطلاعات را به صفر می‌رساند. برای مثال اگر وبسایت شما یک درگاه پرداخت آنلاین داشته باشد، وجود این پروتکل باعث می‌شود تا اطلاعات کارت‌های کاربران و رمزهای آن‌ها در امان بمانند. برای استفاده از این گواهی‌نامه باید آن را از سرویس‌ دهنده‌های معتبر تهیه کرده و بر روی وبسایت خود نصب کنید تا در حفظ امنیت وردپرس به شما کمک کند.

 

بالا بردن امنیت وردپرس

استفاده از گواهینامه SSL

پیشنهاد ویژه

 

برای اینکه بتوانید گواهینامه SSL خود را راحت‌تر در وبسایت وردپرسی تایید کنید و ثبت نمایید می‌توانید از افزونه Really Simple SSL کمک بگیرید.

 

۳- لینک ورودی را تغییر دهید

 

بالا بردن امنیت وردپرس

تغییر آدرس ورود به پیشخوان

یکی از نقاط ضعف وردپرس که امنیت آن را در معرض خطر قرار می‌دهد، صفحه لاگین یا ورود آن است. بعد از ساخت وبسایت خود توسط این CMS یک صفحه ورود در اختیار شما قرار می‌گیرد که می‌توانید به داشبورد خود دسترسی داشته باشید. متاسفانه لینک این صفحه برای تمامی وبسایت‌ها یکی است با این تفاوت که دامین وبسایت مورد نظر متفاوت است و در انتها یک wp-admin اضافه شده و با آن به پیشخوان وردپرس منتقل می‌شویم. این امر باعث می‌شود که صفحه ورود شما قابل حدس و نفوذ باشد و افراد سودجو بتوانند به راحتی به آن دسترسی داشته باشند. به همین خاطر توصیه می‌کنیم لینک صفحه لاگین را برای بالا بردن امنیت وردپرس تغییر دهید.

 

پیشنهاد ویژه

 

برای حفظ امنیت در ورود به سایت حتما باید آدرس ورود به پیشخوان را تغییر دهید. برای این منظور بهتر است از افزونه‌ای مانند Rename wp-login.php استفاده کنید.

 

۴- تهیه بک‌آپ بصورت مستمر

 

بالا بردن امنیت وردپرس

تهیه نسخه پشتیبان

 

بک آپ گرفتن از اطلاعات یک راه ایمن برای حفط اطلاعات است که ما همیشه و تقریبا در اکثر مطالب به شما پیشنهاد می‌کنیم. چه یک وبسایت وردپرسی داشته باشید یا حتی اطلاعات موجود بر روی سیستم شخصی خود، بک آپ گرفتن منظم از اطلاعات باعث می‌شود احتمال از دست رفتن اطلاعات کاهش پیدا کند. فراموش نکنید که شما نمی‌توانید زمان دقیق یک حمله به وبسایت خود را حدس بزنید یا برای آن برنامه ریزی کنید. همین موضوع یک دلیل محکم برای این است که از اطلاعات موجود در دیتابیس خود، تنظیمات، محتوا، قالب‌ها و پلاگین‌ها در بازه‌ی زمانی مشخص بک آپ بگیرید. برای ذخیره این اطلاعات می‌توانید به سراغ فضاهای ابری مثل GoogleDrive و DropBox بروید. (زیرا سیستم شخصی شما هم ممکن است مورد حمله قرار بگیرد.)

پیشنهاد ویژه

 

برای اینکه به یک‌باره غافل‌گیر نشوید حتما از یک افزونه بک‌آپ و بازگردانی استفاده نمایید. پیشنهاد ما به شما افزونه UpdraftPlus است.

 

۵- تعداد لاگین‌ها را محدود کنید

 

یکی دیگر از استراتژی‌ها برای حفظ امنیت وردپرس این است که تعداد لاگین‌های غیرمجاز توسط یک کاربر را محدود کنید. به این معنی که یک کاربر بیش از چندبار اشتباه وارد کردن اطلاعات برای ورود، بلاک می‌شود. برای این کار پلاگین‌های بسیاری برای وردپرس طراحی و ساخته شده‌اند. این امر به حفظ امنیت وردپرس و عدم ورود هکرها به وبسایت شما جلوگیری می‌کند و راه ساده‌ای برای جلوگیری از رخنه است. در واقع نام این اتفاق حملات Brute force نام دارد که باید اطلاعات خود را در این زمینه تقویت کنید.

 

پیشنهاد ویژه

 

جهت جلوگیری از حملات Brute force لازم است مطالب بیشتری را بدانید و عملیاتی را برای بهبود وضعیت آن انجام دهید.

 

۶- از پروتکل انتقال ایمن استفاده کنید

 

اینکه از چه راهی فایل‌ها و اطلاعات را در وبسایت وردپرسی خود آپلود می‌کنید مسئله مهمی است. همچنین اینکه راه ایمن را انتخاب کنید مسئله مهم‌تری است. انتقال فایل‌ها عموما با استفاده از پروتکل FTP که مخفف عبارت  File Transfer Protocol است، مورد استفاده قرار می‌گیرد. اما برای اینکه این انتقال داده ایمن‌تر باشد بهتر است که از پروتکل SFTP استفاده کنید. S موجود در واقع به کلمه SECURE باز می‌گردد که منظور پروتکل ایمن برای آپلود اطلاعات است. برای استفاده از این پروتکل از سرویس هاستینگ خود درخواست کنید تا این امکان را برای شما فراهم کند.

 

۷- از پسوردهای ساده استفاده نکنید

 

بالا بردن امنیت وردپرس

انتخاب پسورد ایمن

 

معمولی‌ترین اقدامی که برای بالا بردن امنیت وردپرس می‌توانید پیش بگیرید این است که پسورد وبسایت خود را ساده انتخاب نکنید. پسورد در واقع مقدماتی‌ترین لایه حفاظتی از تمامی فعالیت‌های آنلاین محسوب می‌شود. البته اینکه بتوانید پسورد مناسبی انتخاب کنید کار آسانی نیست.  احتمال اینکه پسوردهایی با ساختار ساده، زودتر فاش شوند بسیار بالاست. انتخاب پسوردهای پیچیده، امکان رمزگشایی آن را توسط هکرها کاهش می‌دهد.

 

پیشنهاد ویژه

 

شاید فکر کنید انتخاب پسورد قوی کار ساده‌ایست اما این‌چنین نیست. به همین دلیل پیشنهاد می‌کنیم اگر می‌خواهید پسورد قوی و غیرقابل نفوذی را انتخاب کنید.

 

۸- مانیتورینگ

 

اینکه پسورد قوی انتخاب کنید، از پروتکل‌های ایمن استفاده کنید و … این تمام ماجرا نیست. شما باید نظارت کامل و همیشگی بر وبسایت خود داشته باشید. همچنین باید انتقال‌ها و بارگذاری‌هایی که در وبسایت انجام می‌شوند را ردیابی کنید. این قضیه کمک می‌کند تا فعالیت‌های مشکوک و دسترسی‌های غیر قانونی را تشخیص دهید و برای بلاک کردن آن‌ها اقدام کنید. برای این نظارت و ردیابی خوشبختانه پلاگین‌هایی موجود است که کار را ساده‌تر می‌کند. این افزونه‌ها می‌توانند تمامی فعالیت‌ها را به صورت گزارش به شما تحویل دهند و در صورت مشاهده یک فعالیت مشکوک از طریق ایمیل به شما اخطار دهند.

 

پیشنهاد ویژه

 

اگر بخواهیم یک افزونه قدرتمند برای محافظت از سایت به شما معرفی کنیم، پیشنهاد ما iTheme Security است. این افزونه قابلیت حفاظت و مانیتورینگ سایت را برعهده می‌گیرد و به شما در بخش‌های مختلف امنیتی کمک می‌کند.

 

حفظ امنیت وردپرس

 

مسئله امنیت را همیشه جدی بگیرید و هرگز از آن غافل نشوید زیرا تمام زحمات شما ممکن است یه شبه به باد رود و این بسیار ناراحت کننده بوده و شما را دچار ضرر و زیان می‌کند. برای بالا بردن امنیت وردپرس راهکارهای اصولی متعددی وجود دارد که ما در این مقاله ۸ مورد را برایتان مطرح کردیم. در واقع این ۸ مورد جزء موثرترین و مهم‌ترین گزینه‌هاییست که اگر رعایت شوند، با هیچ گونه مشکلی مواجه نخواهید شد.
شما هم اگر پیشنهاد ویژه و تازه‌ای دارید حتما به دوستان خود در بخش دیدگاه‌های همین مقاله، منتقل کنید.

The post بالا بردن امنیت وردپرس در سایت فراگشت برای شما عزیزان آماده شده است.


خطر جدی در وردپرس

 

همان طور که در اکثر مقالاتمان به آن اشاره کردیم، وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا در جهان است. کاربرانی که از این سیستم مدیریت محتوا استفاده می‌کنند، بی‌شمارند و هر روز هم به تعداد آن‌ها افزوده می‌شود. این سیستم قابلیت‌ها و امکانات بسیاری را در اختیار کاربران قرار داده است که شما را از هرگونه برنامه اضافی بی‌نیاز می‌کند. اما جدای از این موارد، یکی از موضوعاتی که ممکن است بیشتر مورد بحث قرار بگیرد، امنیت وردپرس است. همان طور که می‌دانید امنیت در دنیای امروزی حرف اول را می‌زند و شما به عنوان یک وبمستر موظف هستید تا امنیت کاربران و مخاطبین خود و همچنین اطلاعاتی که در دیتابیس‌های شما موجود است را حفظ کنید. در این مطلب از ایـکـس اسـکـریـپـت ۳ خطر جدی در وردپرس را با هم بررسی می‌کنیم تا بتوانید جلوی تهدید امنیت وردپرس را بگیرید.

 

خطر جدی در وردپرس

 

امنیت چیست؟ امنیت به مجموعه اقداماتی گفته می‌شود که جهت جلوگیری از سرقت اطلاعات (مهم‌ترین دیتای موجود در دنیای امروز) انجام می‌شود. سیستم مدیریت محتوای وردپرس، استراتژی‌های امنیتی بسیاری را برای جلوگیری از رخنه بدافزارها و هکرها در نظر گرفته است که این موارد همیشه در حال بروز رسانی هستند و باعث جلوگیری از تهدید امنیت وردپرس را می‌گیرند. اما باید قبول کنید که این سیستم نمی‌تواند تمام موارد امنیتی و تهدید کننده را پوشش دهد. این سیستم، پلاگین‌های بسیاری مانند افزونه iThemes security را جهت تامین امنیت وردپرس به صورت رایگان و پرمیوم در اختیار کاربران خود قرار داده است. که یکی از دلایل محبوبیت این سیستم طیف وسیع و گسترده پلاگین‌ها و قالب‌هاست. اما این ۳ مورد خطر جدی در وردپرس که اکثر اوقات به آن توجهی نمی‌شود و بیشترین مشکل را به همراه دارند، کدامند؟

 

۱- ضعف در امنیت Url

 

وردپرس توسط زبان برنامه نویسی معروف PHP طراحی و پیاده سازی شده است. همچنین با استفاده از ارسال Command یا همان دستوراتی که به URL شهرت دارند پایگاه داده‌ شما (MySQL) را از لحاظ رفتاری کنترل می‌کنند. اگر این مفاهیم کمی گیج کننده به نظر می‌رسند، اصلا نگران نباشید! شما برای حفظ امنیت وردپرس نیازی به داشتن دانش کدنویسی نخواهید داشت.

 

خطر جدی در وردپرس

مشاهده مشکلات امنیتی در آدرس‌ها

 

چیزی که شما باید بدانید این است که این قبیل سایت‌ها به یک نوع خاص از حمله که توسط هکرها صورت می‌گیرد، حساس و آسیب پذیر هستند. هکرها و افراد سودجو می‌توانند با ارسال پارامترهای مخرب(URL) به پایگاه داده شما، اطلاعات حساس و حائز اهمیت را فاش کنند، که به حملاتی به نام SQL Injection شهرت دارند. زمانی که این افراد یکبار به این اطلاعات دسترسی پیدا کنند می‌توانند کل محتوای وبسایت شما را با آنچه که می‌خواهند عوض کنند و ساختار کلی وبسایت را از بین ببرند. راهکاری که می‌توانید از این حمله، جلوگیری کنید چیست؟ شما باید ساختار فایل htaccess. را تغییر دهید.
اما htaccess. چیست؟ فایل htaccess ، یک فایل پیکربندی سرور آپاچی است که قادر است دسترسی به سایت و نحوه عملکرد آن را تحت کنترل داشته باشد. این فایل عموما بدون نام است و فقط با همین پسوند ذخیره می‌شوند که این امر باعث شده این فایل مخفی باشد و در صورت آپلود شدن آن از طریق FTP در دسترس قرار نگیرد. البته زمانی شما به این فایل دسترسی دارید که از وب سرور آپاچی استفاده کنید.

 

۲- قالب‌های رایگانی که حاوی کدهای مخرب هستند

 

یکی از بزرگترین مزیت‌های سیستم مدیریت محتوای وردپرس این است که این سیستم کاملا رایگان در اختیار شما قرار می‌گیرد که می‌توانید از پلاگین‌ها و قالب‌های رایگان آن نیز بهره‌مند شوید. متاسفانه همین موضوع باعث ایجاد فرصتی برای افراد شده تا قالب‌هایی را به صورت رایگان و حاوی لینک‌ها و کدهای مخرب در اختیار کاربران قرار دهند. به این صورت که با نصب این قالب‌ها بلافاصله آسیب‌های مخرب آن گریبان گیر وبسایت شما می‌شود. بدون شک بیشتر افراد به دلیل رایگان بودن یک برنامه(قالب/پلاگین) برای دانلود آن وسوسه می‌شوند، خود شما هم در همین موقعیت بوده‌اید.

 

خطر جدی در وردپرس

مشکلات امنیتی در قالب‌های رایگان

اما برای اینکه خطر جدی در وردپرس را کم کنید، فقط و فقط از وبسایت‌های معتبر از جمله وبسایت رسمی وردپرس مواردی که به دنبالش هستید را دانلود کنید. این کار خطرات جانبی را به حداقل می‌رساند. البته اگر که به دانلود قالب‌های رایگان مشتاقید حتما قبل از نصب فایل قالب را اسکن کنید تا اگر حاوی بدافزار و فایل‌های مخرب بود آن را بر روی وردپرس نصب نکنید.

 

۳- صفحه و پروسه ورود در وردپرس

 

خطر جدی در وردپرس

مشکل در ورود به سایت وردپرسی

اگر همین حالا موارد تهدید امنیت وردپرس را در گوگل سرچ کنید، یکی از موارد مشابه‌ای که در اکثر نتایج شاهد آن خواهید بود صفحه ورود ناامن وردپرس است. این مورد یکی از ساده‌ترین راه‌ها جهت رخنه در وبسایت‌های وردپرسی است که اکثرا افراد سودجو از همین راه استفاده می‌کنند. همان طور که می‌دانید تمامی صفحات login مشابه به هم هستند و آدرس یکسانی دارند با این تفاوت که اطلاعاتی که در فیلد نام کاربری و پسورد قرار می‌گیرد متفاوت است. این حمله که به حملات brute force شهرت دارد بدین صورت است که هکرها نام کاربردی و پسوردهای بی‌شماری را جایگزین می‌کنند تا اینکه بالاخره یکی از آن‌ها درست از آب درآید. البته نه به این معنی که خودشان به صورت دستی هزاران پسورد را امتحان کنند، بلکه این فرآیند توسط برنامه‌ی مخربی که نوشته‌اند، انجام می‌شود. برای جلوگیری از این کار کافی است به نصب یکی از پلاگین‌های طراحی شده توسط خود وردپرس اقدام کنید. برای مثال Limit Login Attempts یکی از همین موارد است. همچنین شما می‌توانید با هماهنگی با وبسایت یا شرکتی که هاست خود را از آن‌ها خریداری کرده‌اید ورودهای متعددی که از یک IP صورت می‌گیرند را بلاک کنید.(کاری که مشابه عملکرد پلاگین معرفی شده است)

 

تهدید امنیت وردپرس

 

مطمئنا وقتی سایتی را راه‌اندازی می‌کنید، دوست دارید پایدار باقی مانده و به فعالیت خود ادامه دهد. ولی اگر بیخیال باشید مطمئنا با خطر جدی در وردپرس مواجه می‌شوید. امنیت مسئله بسیار مهمی است که نباید از آن غافل شد. در این مقاله ۳ تهدید امنیت وردپرس را بررسی کردیم و به راه‌حل آن پرداختیم. شما می‌توانید با مطالعه و عمل به آن‌ها تا حد زیادی به محافظت از وبسایت خود کمک کنید و با این تفاسیر فضایی ایمن و بی‌خطر را تجربه کنید.

The post ۳ خطر جدی که امنیت وردپرس را تهدید می‌کنند، کدامند؟ در سایت فراگشت برای شما عزیزان آماده شده است.


امنیت وردپرس (قسمت 2)

 

در این مقاله می خوانیم:

  • چه کسی به وردپرس من حمله می کند؟
  • چرا به وردپرس من حمله می کنند؟
  • چگونه به وردپرس من حمله می کنند؟
  • چگونه از وردپرس خود محافظت کنیم؟

 

با مقاله امنیت وردپرس (قسمت ۲) همراه ایکس اسکریپت باشید.

 

هدف از این مقاله کمک به شما برای درک بهتر مفاهیم پایه امنیت وردپرس است. ما امیدواریم که بتوانیم دانش تجربی مان را در مورد اینکه چه کسی به سایت وردپرسی شما حمله می کند و چرا و چگونه این کار را انجام می دهد، در اختیارتان بگذاریم. همچنین امیدواریم که لغتنامه ای از کلمات مربوط به امنیت را به شما یاد دهیم تا بتوانید بصورت موثر‌تر با دیگر مدیران سایت و یا متخصصین امنیت ارتباط برقرار کنید.

 

وردپرس محبوبترین سیستم انتشار محتوا در جهان است. تقریبا در ۲۴٪ از وبسایت های کل دنیا کار می کند .وردپرس همچنین متن باز است.این بدین معنی است که کدهایی که وردپرس را ساخته است برای همه قابل مشاهده است.از آنجایی که بسیاری از وبسایت های جهان از این سیستم قدرت میگیرند، طبیعی است که تبدیل به یک هدف مهم برای هکرها شده باشد.

 

بگذارید این طور فکر کنیم که : اگر شما یک هکر باشید و بخواهید هرچند وبسایت که ممکن باشد را هک کنید.در اینصورت می توانید در تک تک نرم افزارهای وبسایت ها به دنبال حفره های امنیتی بگردید و یا اینکه یک حفره امنیتی در یک نرم افزار محبوب را پیدا کنید، در اینصورت می توانید وبسایت های زیادی را آلوده سازید. اگر هکری بتواند یک حفره امنیتی در وردپرس و یا پوسته و افزونه ها محبوب آن پیدا کند، او این امکان را پیدا می کند که به تعداد زیادی از وبسایت های دنیا بصورت خود کار حمله کند.

 

به همین دلیل پیدا کردن حفره های روز صفر یا همان ‘zero day’ در وردپرس برای هکرها بسیار مهم است و همیشه به دنبال آن هستند، زیرا به آنها توانایی هک وبسایت های زیادی را می دهد. آسیب پذیری های روز صفر به آسیب پذیری هایی گفته می شود که شرکت سازنده نرم افزار از آن خبر ندارد و چنین مشکلی را نمی داند. این بهترین نوع حفره امنیتی به حساب می آید چون که حتی کسی که به روزترین نسخه ی نرم افزار را استفاده می کند نیز این حفره امنیتی را در سیستمش حتما خواهد داشت.

 

چه کسی به سایت وردپرسی من حمله می کند؟

 

معمولا سه نوع موجودیت حمله کننده به وبسایت شما وجود دارد:

 

  • انسان ها: این یک شخص است که پشت سیستم کامپیوتری ش نشسته و درحال کاوش و حمله به وبسایت شماست.
  • یک بات: این یک نرم افزار یا اسکریپت است که طراحی شده است تا بصورت خود کار به وبسایت شما حمله کند، درواقع عملیات حمله به طور خود کار برروی وبسایت های دیگری نیز در حال انجام است.
  • یک بات نت (Botnet) : این درواقع مجموعه از ماشین هایی است که بصورت مشترک از یک سرور دستور گرفته و مدیریت می شوند و کارشان حمله به وبسایت های مختلف است.

 

امنیت وردپرس (قسمت 2)

 

انسان ها

 

معمولا این بسیار کم پیش می آید که یک شخص به تنهایی و بصورت دستی به سایت شما حمله کند. ما همگی دوست داریم که فکر کنیم خاص هستیم و وبسایت ما به قدرکافی برای افراد جذاب است تا وقت و توجه کافی را از طرف هکرها به خود جذب کند. اما واقعیت این است که درصد بسیار کمی از وبسایت ها به تنهایی هدف حمله قرار می گیرند و حتی تعداد بسیار کمتری توسط انسان های زنده مورد حمله قرار می گیرند.

 

با این حال، اگر شما توسط یک شخص مورد هدف قرار بگیرید، سطح پیچیدگی حمله بسیار بیشتر از زمانی است که توسط ربات ها مورد حمله قرار بگیرید. یک انسان حمله کننده قادر به کنترل سرعت کار خود است که به او اجازه می دهد با احتیاط اطلاعات مورد نیاز را در مورد وبسایت شما جمع آوری کند، بدون اینکه در تله سیستم های تشخیص نفوذ بیفتد. بعد از آن می توانند چند حمله به وبسایت شما بزنند بدون اینکه شما یا سیستم محافظت کننده از وبسایت تان هشداری دریافت کنید. آنها می توانند نتیجه هر حمله را ببینیند و بر اساس این نتایج در مورد روش حمله بعدی، راحت تر تصمیم بگیرند.

 

بیشتر حمله هایی که یک انسان به عنوان حمله کننده در آن ایفای نقش می کنند، مربوط به هدف های بسیار مهمی از جمله سایت های حکومتی و یا سایت هایی که حاوی اطلاعات بسیار حساس هستند و یا آنهایی که از لحاظ مالی سودآوری خوبی دارند، می باشد.

 

بات ها و بات‌نت ها

 

بات ها نرم افزارهایی هستند که توسط هکرها نوشته می شوند تا تعداد بسیار زیادی از وبسایت ها را هدف قرار دهند و به دنبال سیستم های محبوبی همچون وردپرس با آسیب پذیری موردنظر باشند. درواقع نوشتن چنین نرم افزاری آسان است که نسخه نرم افزارهای وردپرس را چک کند و در صورت پیدا کردن سیستمی با نسخه آسیب پذیر، آن را اکسپلویت (Exploit) کند.

 

بات ها می توانند به صورت تکی برروی یک ماشین باشندو یا اینکه برروی مجموعه ای از ماشین ها و روی هرکدام از آنها نسخه های مختلفی از برنامه باشد که بصورت موازی سعی در هک کردن هدف ها هستند و به آنها Botnet می گویند.

 

حجم بزرگی از حمله ها برروی وردپرس ها با استفاده از ربات ها صورت می پذیرد. خبر خوب این است که این حمله ها به پیچیدگی حمله های انسانی نیست،البته تهاجمی تر از آنها هستند.این باعث می شود آسان تر کشف شوند. خبر بد اینکه اگر آسیب پذیری روز صفر در وردپرس و یا پوسته و افزونه های محبوب آن کشف شود، از طریق این مکانیزم حمله، تعداد بسیار زیادی از سایت ها در بازه زمانی بسیار کم هک خواهند شد.

 

نکته مهم: بیشتر حملات توسط بات ها و برروی ماشین ها بصورت خود کار صورت می پذیرد. به این دلیل که آنها سریع هستند و برای حمله به تعداد سایت های بالا، بهتر عمل می کنند.در نتیجه این نکته بسیار مهم است که تمامی حفره های امنیتی شناخته شده در وردپرس خود را ببندید.

 

چرا به سایت وردپرسی من حمله می کنند؟

 

هدف حمله کننده این است که کنترل سایت وردپرسی شما را با سطح دسترسی ادمین در اختیار بگیرد.این به معنی آن است که آنها می توانند کل فایل ها و اطلاعات شما را در پایگاه داده سایت تان بخوانند. همچنین می توانند فایل ها و اطلاعات داخل پایگاه داده را تغییر دهند و کل محتوای سایت و ظاهر آن را نیز به شکل دلخواه خود در بیاورند. دلایلی که آنها برای این کارشان دارند به شرح زیر است:

 

  • برای ارسال اسپم: برای اینکه بتوانند از سایت شما ایمیل اسپم ارسال کنند. هکرها معمولا اسکریپتی روی سایت شما اجرا می کنند که توده عظیمی از ایمیل ها را ارسال کنند.
  • انتشار محتوای مخرب به دور از فیلترها: هکرها ممکن است از سایت شما برای انتشار محتوای غیراخلاقی و یا فروش مواد مخدر و یا هر محتوای اسپم دیگری استفاده کنند.از آنجاییکه دامین شما هنوز مورد گزارش قرار نگرفته، آنها می توانند به راحتی از فیلترینگ در امان باشند.
  • برای دزدیدن اطلاعات سایت: دسترسی به اطلاعات شما از جمله نام و مشخصات مشتریان و ایمیل آنها می تواند برای هکرها بسیار مفید باشد. آنها از لیست ایمیل ها برای فرستادن ایمیل های اسپم استفاده می کنند و درواقع هدف های جدیدی برای ایمیل های مخرب پیدا کرده اند. همچنین اطلاعات شخصی افراد که در نزد شما هنگام ثبت نام وارد شده است می تواند به آنها در حمله های بعدی کمک کند.
  • spamvertize : برای ریدایرکت کردن ترافیک سایت شما به سمت سایت مخرب خودشان. وقتی که آنها آدرس سایت خودشان را در ایمیل ها وارد می کنند، از آنجاییکه این سایت های اسپم برای فیلترهای اسپم آشنا هستند، آنها را وارد پوشه اسپم می کنند.اما وقتی اسم سایت شما در ایمیل وارد شود، در اینصورت ایمیل وارد صندوق دریافت می شود و افراد بعد از کلیک کردن روی لینک برای ورود به صفحه شما، به سمت وبسایت آنها ریدایرکت خواهند شد.به این کار ‘spamveriing’ می گویند.
  • حمله به سایت های دیگر: وقتی که اطلاعات حساب سایت شما در اختیار هکرها افتاد. آنها می توانند اسکریپتی برروی سرور شما اجرا کنند تا به این وسیله به سایت های دیگر حمله کنند. سایت شما ممکن است عضوی از مجموعه بزرگ بات هایی باشد که مشغول حمله به هدف های گوناگون در وب می باشند که به این مجموعه بزرگ همانطور که قبلا هم گفته شد، بات‌نت می‌گوییم.

 

نکته مهم: وقتی که سایت شما به سرقت رفت و درواقع هک شد. به احتمال زیاد از سایت شما برای انجام کارهای مخرب استفاده خواهد شد. این باعث می شود که سایت شما مورد گزارش های منفی قرار بگیرد و از طرف موتورهای جستجو مجازات گردد و رنک سایت تان به شدت کاهش یافته و صفحات جدیدی ایندکس نشود. همچنین ممکن است مرورگرها نیز سایت شما را بلاک کنند. بنابراین اینکه هک شدن سایت را زود تشخیص دهید، بسیار مهم است و مانع از احتمال وقوع چنین  مشکلاتی برایتان خواهد شد.

 

چگونه به سایت وردپرسی من حمله می کنند؟

 

دو مرحله عمومی در حمله به سایت های مورد هدف وجود دارد.مرحله اول شناسایی یا همان (reconnaissance) است که در آن شخص یا بات، اطلاعاتی را در مورد سایت شما جمع آوری می کنند.مرحله دوم بهره برداری یا همان (Exploitation) است، که از اطلاعات جمع آوری شده برای نفوذ به سایت شما استفاده می شود.

 

شناسایی – Reconnaissance

 

در طول بازه زمانی جمع آوری اطلاعات، حمله کننده سعی دارد تا اطلاعات مفیدی در مورد سایت شما پیدا کند که بر اساس این اطلاعات می تواند بفهمد که کدام آسیب پذیری ها ممکن است در سایت شما موجود باشد. دو مورد مهمی که می خواهند حتما در مورد سایت شما بدانند این است که از چه نرم افزاری در سایت تان استفاده می کند و اینکه کدام نسخه از این نرم افزار را استفاده می کنید.

 

دلیل اهمیت این اطلاعات این است که، پایگاه داده های بزرگی در وب وجود دارد که لیستی از آسیب پذیری ها به همراه نسخه های آسیب پذیر نرم افزارها در آن موجود است. به طور مثال اگر هکرها بدانند که شما از وردپرس استفاده می کنید و نسخه ی آن ۴.۲.۲ است، نتیجه خواهند گرفت که سایت شما یک آسیب پذیری خطرناک XSS دارد که آنها می توانند از آن بهره برداری کنند. اگر آنان بدانند که شما از نسخه جدیدتری استفاده می کنید، دیگر نیازی نیست که وقت شان را برای چک کردن این اکسپلویت هدر بدهند. همچنین این عدم چک کردن می تواند جلوی کشف شدنشان را بگیرد.

 

هکرها می خواهند هر چه قدر که ممکن است به جمع آوری اطلاعات از سایت شما بپردازند.اما دانستن اینکه چه نرم افزاری استفاده می کنید و هر کدام از این نرم افزارها چه نسخه ای دارند، برایشان بسیار با ارزش است. به همین دلیل یکی از کارهایی که هکرها قبل از حمله به سایت شما می کنند مرحله Enumeration هستش. درواقع آنها سعی می کنند لیستی از پوسته ها و افزونه هایی که از آنها استفاده می کنید به همراه نسخه هرکدام از آنها را جمع آوری کنند. بعد از این آنها به پایگاه داده اسیب پذیری ها مراجعه می کنند و بررسی می کنند که آیا نرم افزارهایی که استفاده می کنید آسیب پذیر هستند و آیا ارزش چک کردن اکسپلویت ها وجود دارد یا نه.

 

ممکن است شما از چند وردپرس در سایت خود استفاده کنید و یا در ساب دایرکتوری هایتان فایل های پشتیبان داشته باشید که از طریق وب به آنها دسترسی وجود داشته باشد.تمام این ها برای هکرها مزیت حساب می شود و آنها می توانند از این مزیت ها استفاده کنند تا به سایت شما نفوذ کنند. داشتن فایل های پشتیبان در پوشه هایی که مخصوص فایل های پشتیبان نیست، یک ریسک امنیتی بزرگ است. می دانید که فایل های پشتیبان حاوی چه اطلاعات مهمی هستند، وقتی کسی بتواند این فایل را دانلود کند، تقریبا راه زیادی به هک کردن سایت شما نمانده است.

 

سایت های وردپرسی معمولا از نرم افزارهایی کاربردی دیگری مانند phpmyadmin که برای مدیریت پایگاه داده است نیز استفاده می کنند.نرم افزارهای دیگری نیز ممکن است بنا به نیاز نصب کرده و یا استفاده کرده باشید.این نرم افزارها نیز هدف خوبی هستند و اگر آنها را مدام به روز نگه ندارید و اصلاحیه های امنیتی لازم روی آنها نصب نشده باشد در اینصورت می توانند عامل ورود به سایت شما باشند. برای همین مهاجم سعی خواهد کرد تا تمام نرم افزارهایی که برروی سایت تان استفاده می کنید را به همراه نسخه آنها شناسایی کند.

 

نکته مهم: آگاهی از اینکه سایت شما از چه نرم افزارهایی و با چه نسخه ای استفاده می کند، بنا به دلایلی که در بالا گفتیم برای هکرها بسیار مهم و باارزش است. سرویس هایی مانند نرم افزار وردفنس وجود دارند که به شما کمک می کنند تا نسخه ی نرم افزار شما از دید هکرها پنهان بماند. اما این مساله ضامن امنیت وردپرس شما نیست و شما باید همیشه از اینکه به روزترین نسخه نرم افزار را استفاده می کنید مطمئن باشید.

 

بهره برداری یا همان اکسپلویت کردن

 

اکسپلویت کردن یعنی عمل هک کردن وبسایت شما است. همانطور که گفتیم پایگاه داده های بزرگی وجود دارد که لیست نرم افزارها و نسخه های آنان به همراه آسیب پذیری ها بصورت آنلاین موجود است. در این پایگاه داده ها در کنار هر آسیب پذیری، جزئیات فنی در مورد اکسپلویت کردن این آسیب پذیری نیز وجود دارد. شاید این مساله نشان دهد که اکسپلویت کردن بخش آسان کار است ( اگر دانش کافی در این مورد داشته باشیم ) و بیشتر سختی کار در فاز شناسایی و پیدا کردن نرم افزار آسیب پذیر است.

 

چندین محور اصلی برای حمله به سایت های وردپرسی وجود دارد که معمولا مورد استفاده قرار می گیرند:

 

  • صفحه ورود به سایت: یکی از معمول ترین شکل های حمله به سایت های وردپرسی از اینجاست. جایی که اکثر حملات بروت فورس (brute force) که مربوط به حدس زدن رمز است در آن اتفاق می افتد. مهاجمین از بات های خود کار برای اینکار استفاده می کنند. به این شکل که تعداد زیادی رمزعبور برای ورود امتحان می کنند و از آنجاییکه این کار با بات‌ها انجام می شود، بسیار سریع است.
  • کد PHP روی سایت : این دومین شکل حمله معمول برای ورود به سایت های وردپرسی است. حمله کننده ها تلاش می کنند تا آسیب پذیری های موجود در کدهای PHP وردپرس را اکسپلویت کنند. این کدها شامل کدهای هسته وردپرس، پوسته ها و افزونه ها و یا دیگر اپلیکیشن هایی است که از آنها استفاده می کنید. اینکه کدهای PHP چگونه اکسپلویت می شوند بحث مفصلی است که در آینده به آن خواهیم پرداخت.
  • بالا بردن سطح دسترسی : شکل دیگری از حمله که بین هکرها محبوب است به این شکل است که آنها تلاش می کنند از طریق یک کاربر معمولی که سطح دسترسی پایینی دارد، به سایت شما نفوذ کنند. اگر شما نام نویسی را در سایت تان باز گذاشته باشید، آنها می توانند به سادگی در سایت شما نام نویسی کرده و حساب کاربری داشته باشند. بالا بردن سطح دسترسی به این شکل است که مهاجم از یک مشکل نرم افزاری استفاده می کند تا سطح دسترسی خود را از یک کاربر عادی به سطحی بالاتر مانند ادمین، تغییر دهد.
  • وب اپلیکیشن های قدیمی : ممکن است شما وظیفه خود را در به روز رسانی نرم افزارهای وردپرسی به خوبی انجام داده باشید و حمله کنندگان نتوانند آسیب پذیری مهمی در سایت شما پیدا کنند. در اینصورت آنان به دنبال نرم افزارهای قدیمی و یا وب اپلیکیشن هایی که دیگر آنها را به روز نمی کنید خواهند گشت. اگر آنها بتوانند به این وب اپلیکیشن ها دسترسی پیدا کنند، می توانند فایل های وردپرسی شما را تغییر دهند، حتی اگر وردپرس شما به خودی خود امن باشد.
  • دسترسی از طریق فایل های موقت: وقتی که فایل های سایت را با استفاده از نرم افزارهایی مانند vim ویرایش می کنید.ممکن است فایل های موقتی ساخته شود که دارای اطلاعات حساسی است.برای مثال وقتی که فایل wp-config.php را ویرایش می کنید، ممکن است فایل موقتی ساخته شود که اطلاعات ورود به پایگاه داده شما در آن موجود است. مهاجمین به دنبال چنین فایل هایی هستند به این امید که بتوانند اطلاعات حساسی همچون نام کاربری و رمزعبور را از آنان کشف کنند.
  • فایل های کانفیگ مخازن سورس کد: ابزارهای مخازن کنترل سورس کد از جمه گیت و یا ساب‌ورژن، پوشه و فایل هایی را تولید می کنند که حاوی اطلاعات حساسی هستند. اگر این فایل ها و پوشه ها را بصورت پابلیک رها کنید، هکرها می توانند از اطلاعات این فایل‌ها و پوشه‌ها برای گرفتن دسترسی و یا عملیات شناسایی استفاده کنند. موارد دیگری هم وجود دارد که صاحبان وبسایت سورس کدهای نرم افزار خود را به صورت عمومی در مخازن نگهداری می کردند که درواقع این برای هکر حکم طلای ناب را دارد و این اطلاعات در مرحله شناسایی و اکسپلویت کمک فراوانی به او خواهد کرد.
  • حمله از طریق هاست اشتراکی: اکثر هاستینگ های ارزان قیمت، سایت ها را در فضای مشترکی میزبانی می کنند. امنیت در این محیط ها متفاوت است و دربین هاستینگ های معتبر معمولا خوب است.با این حال، ممکن است که شما در یک فضای اشتراکی حضور داشته باشید که افراد دیگری که در آن فضا مشترک هستند، به فایل های شما مجوز read پیدا کنند. در اینصورت آنها می توانند فایل های سایت شما را بخوانند و مثلا با خواندن فایل wp-config.php به پایگاه داده شما دسترسی پیدا کنند.این دسترسی ممکن است تبدیل به write شود و آنها روی سایت شما فایلهای مخربی را اجرا کرده و دسترسی به کل سایت شما پیدا کنند.
  • حمله از طریق وب سرور و سیستم عامل: ممکن است مجوزهای فایل ها و کدهای PHP شما امن باشد، ولی وب سرور شما دارای آسیب پذیری ای باشد که بتوان آن را اکسپلویت کرد، مانند آسیب پذیری Heartbleed. همچنین ممکن است سیستم عاملی که سایت شما را میزبانی می کند دارای آسیب پذیری باشد، مانند آسیب پذیری shellshock. در فضاهای میزبانی اشتراکی، این وظیفه شرکت ارائه کننده است که این آسیب پذیری‌ها را patch کند. شما معمولا دسترسی کافی برای patch کردن آن را ندارید. اما اگر شما از سرویس میزبانی شخصی یا خصوصی استفاده می کنید، در این صورت این وظیفه شماست تا تمام کدهای PHP و وب اپلیکیشن ها را مدیریت کنید و همینطور باید سیستم عامل و تمام سرویس ها را به روز و امن نگهداری کنید.

 

نکته مهم: تعداد راه هایی که هکرها می توانند از سایت شما دسترسی بگیرند ممکن است برایتان زیاد به نظر برسد. نگذارید که اینطور باشد. برای داشتن سایتی امن، باید مطمئن شوید که تمامی نسخه های نرم افزارهای مورد استفاده در سایت و سرویس ها را می دانید. بعد از این بررسی کنید که آسیب پذیری های شناخته شده برروی سایت شما وجود نداشته باشند، برای اینکار باید همه چیز را به خوبی مدیریت کرده و به روز نگه دارید.

 

چگونه از وردپرس خود محافظت کنیم

 

در این مقاله مفاهیم ساده و پایه ای از امنیت وردپرس مطرح شد و گفته شد که چه کسانی به سایت وردپرسی شما حمله می کنند، هدف آنها از حمله چیست و چگونه این حمله صورت می پذیرد.

 

تا اینجای کار واضح است که بهترین راه برای محافظت از خود در برابر حملات این است که سایت وردپرسی خود را به روز نگه دارید و از آسیب پذیری های شناخته شده وردپرس آگاه باشید. در این شرایط وقتی که آسیب پذیری جدیدی منتشر می شود، فورا خبر دار می شوید و اقدام به رفع آسیب پذیری و یا به روزرسانی وردپرس خود می کنید. همینطور وقتی آسیب پذیری های روز صفر منتشر می شوند، می توانید با شرکت سازنده محصول در ارتباط باشید و از تاریخ دقیق انتشار وصله اصلاحیه آگاه گردید.

 

نرم افزارهای تشخیص نفوذ مانند فردفنس نیز به شما کمک می کنند در مقابل حملات عمومی امن بمانید. همچنین وردفنس هک شدن سایت شما را تشخیص می دهد و به شما اطلاع می دهد و همانطور که می دانید آگاهی سریع از این مهم، می تواند باعث شود تا سایت تان دچار مشکلاتی که قبلا در مورد بلاک شدن گفتیم، نشود. همچنین این افزونه از حملات معمول PHP نیز محافظت می کند، بدین ترتیب حتی اگر افزونه ی آسیب پذیری داشته باشید و هنوز فرصت به بروزرسانی آن را نکرده باشید، وردفنس جلوی اکسپلویت شدن این آسیب پذیری را می گیرد.

 

اینجا چند تا از اصول کلیدی که برای امن نگه داشتن سایت تان باید به آن توجه کنید را می‌خوانید:

 

  • از رمزعبور قوی برای تمام حساب های کاربری استفاده کنید.
  • از شرکت های هاستینگ معتبری خرید کنید، جایی که فضای میزبانی اشتراکی ایزوله ای را به شما ارائه می دهند.
  • هسته وردپرس، پوسته ها و افزونه ها را به روز نگه دارید.
  • از سیستم های تشخیص نفوذ مانند وردفنس به عنوان یک لایه امنیتی استفاده کنید.
  • تمام سیستم های نرم افزاری و وب اپلیکیشن های قدیمی و همینطور فایل های پشتیبان قدیمی را از روی سایت خود حذف کنید.
  • مطمئن شوید که فایل های موقت با داده های حساس در گوشه و کنار فضای میزبانی تان وجود ندارند.
  • مطمئن شوید که فایل های مربوط به مخازن کد از جمله گیت، به طور عمومی در دسترس همگی نیستند.

 

امیدواریم که این مقاله برای امن کردن سایت وردپرسی شما مفید واقع شده باشد. اگر دوست دارید تا در مورد امنیت وردپرس بیشتر بدانید، به مقالات بعدی در همین زمینه مراجعه کنید.

The post محافظت از وردپرس در مقابل تهدیدات و مشکلات امنیتی – امنیت وردپرس (قسمت ۲) در سایت فراگشت برای شما عزیزان آماده شده است.


امنیت وردپرس (قسمت 1)

 

در این مقاله خواهیم خواند :

  • ورود به وردپرس
  • امنیت رمزعبور
  • ایجاد نوشته ها و برگه ها به شیوه امن
  • اسپم دیدگاه
  • جستجو و نصب قالب ها
  • جستجو و نصب افزونه ها
  • از کدها و ابزارک های خطرناک دور بمانیم
  • ساخت کاربر جدید به شیوه امن
  • استفاده از FTP بصورت امن
  • نتیجه گیری

 

اگر به تازگی وارد مباحث مدیریت وردپرس و امنیت وردپرس شده اید، بنابراین مقاله مناسبی را برای خواندن انتخاب کرده اید. در این مقاله راجع به موارد پایه ای امنیت وردپرس و مدیریت امن وردپرس صحبت خواهیم کرد. مباحث ساده ای همچون به روزرسانی مداوم افزونه ها، انتخاب رمزعبورهای قوی برای کاربرانتان و دیگر مباحث مختلف در این زمینه، پایه و اساس امنیت وردپرس هستند.اگر این مطالب برای شما بسیار ساده به نظر می رسند، پیشنهاد می کنم تیترها را مرور کرده و سپس به سراغ مطالب بعدی ما در همین زمینه مراجعه کنید.

 

ورود به وردپرس

 

ورود به وردپرس تقریبا اولین کاری است که قبل از هرگونه کار مدیریتی انجام می دهیم. ورود به بخش مدیریت وبسایت ممکن است یک کار ساده و غیرمرتبط به نظر بیاید، ولی در واقعیت اینطور نیست. اقدامات امنیتی مشخصی وجود دارد که باید در هنگام ورود به وردپرس رعایت کنید تا از امنیت وردپرس تان حفاظت کنید.

 

امنیت وردپرس : قربانی فیشینگ نشوید

 

امنیت وردپرس از لحظه ای که می خواهید وارد وبسایت شوید تا کارهای مدیریتی را انجام دهید، شروع می شود. نام دامنه ای که وارد آن می شوید را چک کنید. یکی از تاکتیک های معمول هکرها این هست که یک ایمیل حاوی یک لینک را برای شما می فرستند و از شما می خواهند تا برای استفاده از یک سرویس وارد آن شوید. صفحه ورود این سرویس احتمالا بسیار شبیه به صفحه ورود وردپرس شماست ولی با یک تفاوت که این وبسایت مخرب است و برای این تهیه شده است تا شما را گول بزند.در این شرایط نه بر اساس ظاهر، بلکه براساس نام دامین در مورد وبسایت قضاوت کنید.

 

زمانی که شما نام کاربری و رمزعبور خود را وارد صفحه ی جعلی می کنید، آنها این اطلاعات را ذخیره می کنند و از آن برای ورود به وبسایت شما استفاده می کنند.این تکنینک “فیشینگ” نامیده می شود.

 

راه حلی که برای اجتناب از افتادن در تله فیشینگ وجود دارد، این است که قبل از وارد کردن اطلاعات ورود، نام دامنه را در مرورگر خود چک کرده و اطمینان حاصل کنید که در حال ورود به وبسایت خودتان هستید.

 

امنیت وردپرس (قسمت 1)

 

امنیت وردپرس : تا حد امکان فقط از HTTPS استفاده کنید

 

استفاده از یک ارتباط امن، بخش مهمی از امنیت وردپرس را تشکیل می دهد. قبل از ورود به وبسایت، قسمت آدرس مرورگرتان را چک کنید تا مطمئن شوید که از پروتکل HTTPS  استفاده می کنید، به اینصورت که قبل از نام دامنه باید https:// باشد و در اکثر مرورگرها با رنگ سبز نشان داده می شود. معمولا یک آیکن قفل هم وجود دارد که برای نشان دادن امن بودن ارتباط به کار می رود. ورود به وردپرس از بستر HTTPS ما را از این مهم آگاه می سازد که اطلاعاتمان رمزنگاری شده است و در صورتی که یک نفر در شبکه مشغول شنود باشد، نمی تواند به نام کاربری و رمزعبور ما بصورت نوشتار واضح و غیررمز دسترسی پیدا کند.

 

بسیاری از وبسایت های ورپرسی از HTTPS استفاده نمی کنند و اگر احتمالا شما هم یکی از آنها هستید، با مدیر وبسایت خود تماس بگیرید و از او بخواهید که به HTTPS ارتقا پیدا کنید. اینکار معمولا نیازمند دریافت گواهینامه HTTPS از مراجع صادر کننده گواهینامه های دیجیتالی است. هزینه گواهینامه ها از بازه ی رایگان تا ۱۰۰۰ دلار است و بستگی به این دارد که چه نوع گواهینامه ای و از چه کسی دریافت می کنید.

امنیت رمزعبور

امنیت وردپرس : رمزعبور قوی انتخاب کنید

 

دلایل مختلفی برای انتخاب یک رمزعبور قوی وجود دارد. اولین دلیل جلوگیری از حدس زدن رمزعبورتان توسط هکرها از طریق حمله ی brute-force  است. دلیل دوم این است که اگر به نحوی وبسایت شما هک شد، کرک کردن یا همان شکستن رمزعبورتان آسان نباشد. در مقاله دیگری در آینده، به طور مفصل در مورد رمزعبورها و نحوه کرک شدن آنها به طور کامل توضیح خواهیم داد.

 

معمولا شما باید یک رمزعبور با حداقل طول ۱۲ کاراکتر و متشکل از حرف ها، عددها و سمبل ها داشته باشید و ترجیحا حروف انگلیسی نیز کمتر استفاده کنید. قدرت رمزعبور یکی از مهمترین عوامل در امنیت وردپرس به شمار می رود.

امنیت وردپرس : رمزعبور  را به شیوه ای امن ذخیره کنید

 

یکی از مشکلات انتخاب رمزعبورهای قوی این است که به سختی به یاد سپرده می شوند. در این قسمت روش های مختلفی برای ذخیره رمزعبورهایتان پیشنهاد خواهیم داد و در مورد مزایا و معایب هرکدام از آنها خواهیم گفت. یکی از این روشها که برای شما مناسب است را انتخاب کنید و به یاد داشته باشید که هیچکدام عالی نیستند:

 

 

  • از سرویس های password wallet که به فارسی می توان کیف رمزعبور نامید مانند ۱password استفاده کنید.این سرویس به شما اجازه می دهد رمزعبورهای خود را بصورت رمز شده ذخیره کرده و برای حفاظت از آن یک رمزعبور اصلی استفاده کنید. این سرویس نیز ممکن است مورد نفوذ قرار بگیرد و تمام رمزعبورهای شما یکجا به سرقت برود. مزیت استفاده از این روش این است که شما دیگر نیاز به حفظ کردن رمزهای عبورتان ندارید.
  • رمزعبورهایتان را در جایی یادداشت کنید. این کار آسان ولی بسیار پر ریسک است. اگر شخصی مثلا بتواند وارد محل کار شما شود، رمزهای عبورتان را قطعا سرقت خواهد کرد.
  • رمزعبورها را حفظ کنید. این روش بسیار امن است چون فعلا نمی توان مغز شما را هک کرد اما امکان فراموشی رمزعبورها وجود دارد و در صورت بروز، برای بازنشانی مراحل مشخصی را باید طی نمایید.
  • از فرمول خودساخته برای رمزعبور استفاده کنید. برای مثال : بعضی از حروف دامین خود را انتخاب کنید و به اول و آخر رمزعبوری که همیشه در یاد دارید اضافه کنید و در نهایت شما یک رمزعبور خاص برای هر وبسایت خواهید داشت و می توانید به راحتی آن را به یاد داشته باشید. این روش بسیار امن است، البته در صورتی که فرمول مورد استفاده برای تولید رمزعبور، خروجی با رمزعبور قوی داشته باشد.

 

روش های ذخیره سازی رمزعبورهایتان را خواندید. یکی از آنها که برای شما مناسب است را انتخاب کنید و استفاده کنید. به یاد داشته باشید که رمزعبور قوی برای وبسایت وردپرسی تان انتخاب کنید، مخصوصا برای سطح دسترسی ادمین.

ایجاد برگه ها و نوشته ها بصورت امن

 

انتشار برگه و نوشته ی جدید شاید کار خیلی روتین و بدیهی ای به نظر بیاد و ریسک امنیتی مهمی تو این فرآینده دیده نشود، اما چند نکته مهم وجود دارد که برای جلوگیری از سرقت اطلاعات باید از آنها آگاه بود.

امنیت وردپرس : کدهای غیرقابل اطمینان را embed نکنید

 

جاسازی کردن کدهای جاوا اسکریپت و یا دیگر کدها در نوشته ها و یا برگه ها که به آن embed کردن می گوییم، ممکن است باعث شود تا نویسنده کد به اطلاعات حساس شما دست یابد. اطلاعاتی همچون کوکی های بازدید کننده های وبسایت که البته خود شما هم به عنوان ادمین بخشی از این جامعه هستید. دزدیده شدن کوکی های شما می تواند دسترسی شما را تقدیم هکر کند.

 

قبل از آنکه هر کدی را به راحتی وارد نوشته یا برگه هایتان بکنید تا مثلا یک ویدیو نشان دهید و یا از یک ابزارک جاوا اسکریپتی بهره ببرید، اول مطمئن شوید که منبع قابل اعتماد است. آیا به شرکتی که این کد را به شما ارائه می دهد اطمینان دارید؟ مثلا اگر ویدیو پخش می کنید و از یوتیوب، آپارات استفاده می کنید، خیالتان راحت خواهد بود.اما اگر از سایت های غیرمعروف و مشکوک قرار است برای اینکار استفاده کنید، احتمالا بخاطر امنیت، باید در تصمیمتان تجدید نظر کنید. بررسی کد قبل از embed کردن آن در سایتتان بخش جدایی ناپذیری از امنیت وردپرس است.

امنیت وردپرس : آگاهی از شرایط نویسندگی بصورت مهمان

 

وقتی که وبسایت شما شروع به جذب بازدید کننده از موتورهای جستجو می کند، شاید به فردی پیشنهاد دهید تا به عنوان مهمان در وبسایتتان بنویسد و مقاله منتشر نماید.اگر چنین فردی را به عنوان نویسنده مهمان انتخاب کردید، پیشنهاد می کنیم که برای نوشتن مقاله ها از ابزارهای دیگری مانند Google docs استفاده کنند.در این شرایط شما هم می توانید به راحتی محتوا را کپی و سپس محتوا را با نام نویسنده و به اعتبار و نام ایشان منتشر کنید.

 

اگر شما اجازه نگارش و تغییر نوشته و برگه ها را به نویسنده مهمان بدهید، در واقع سطح بالاتری از مجوزها را به او می دهید. در اینصورت باید نوشته های تولید شده توسط ایشان را با کلیک کردن برروی تب “متن” ملاحظه کنید تا مطمئن شوید هیچ کدی توسط آنان Embed نشده و یا لینکهایی به سمت وبسایت هایی که به آنها علاقه ای ندارید، وجود ندارد.

 

یادتان نرود که نوشته های منتشر شده توسط هر فردی بجز شما را برای کدهای غیرامن آنالیز کنید تا از عدم وجود لینک های اسپم و یا embed کدهای مخرب مطمئن شوید.

اسپم دیدگاه و بدافزارها

امنیت وردپرس : فیلترینگ اتوماتیک اسپم

 

شاید تعجب کنید که ما موضوع مقابله با اسپم ها را در امنیت وردپرس مطرح می کنیم. بعد از راه اندازی اولیه وبسایت وردپرسی، متوجه دیدگاه های اسپم در زباله دان خواهید شد که حاوی لینک هایی هستند که شما را به سمت وبسایت هایی پر از مزخرف هدایت می کنند. برای فیلتر کردن دیدگاه های اسپم ما به شما دو افزونه وردپرسی خوب را پیشنهاد می کنیم :

 

  • Akismet – این افزونه بصورت عادی برروی وردپرس شما نصب است و برای فیلتر کردن دیدگاه های اسپم عالی کار می کند.
  • Wordfence – وردفنس که یک افزونه امنیتی کامل است دارای چند ویژگی برای فیلتر کردن دیدگاه های اسپم دارد و می تواند آنها را شناسایی و وارد پوشه اسپم کند.

 

بعد از اینکه فیلتر اتوماتیک اسپم را راه اندازی کردید، متاسفانه متوجه این مساله خواهید شد که هنوز هم دیدگاه های اسپم از فیلترها عبور می کنند و نیاز دارید که بصورت دستی آنها را فیلتر کنید.

امنیت وردپرس :‌ توسعه خط مشی فیلترینگ دستی اسپم

 

ما پیشنهاد می کنیم این مسیرها را دنبال کنید :

 

  • هیچ دیدگاه حاوی کدهای embed شده و جاوا اسکریپتی را منتشر نکنید.
    معمولا این مساله توسط وردپرس فیلتر شده و حل می شود، ولی آسیب پذیری هایی گاها رخ می دهد که اجازه می دهد کدها از این فیلتر عبور کنند.اگر کد را دیدید فقط کافیست آن را به عنوان اسپم نشانه کنید.مگر اینکه وبسایت مربوط به توسعه نرم افزار داشته باشید و اجازه دهید تا افرادی که دیدگاه ارسال می کنند کدهای نمونه خود را وارد نمایند.
  • به دیدگاه هایی که بدون لینک هستند، بیشتر از آنهایی که با لینک هستند اعتماد کنید. در حالت عادی، اسپمرها همیشه لینک وبسایت خود را در دیدگاه ها درج می کنند. افراد واقعی نیز همین کار را انجام می دهند، ولی معمولا وقتی دیدگاهی را بدون لینک می بینید به این معنی است که کسی که آن را گذاشته است علاقه زیادی به تبلیغ خود ندارد و اسپمرهای بسیار اندکی ممکن است چنین خصلتی داشته باشند.
  • دیدگاه هایی که زبان آن را متوجه نمی شوید قبول نکنید.بدلایل مختلفی ممکن است دیدگاه هایی با زبان های مختلف از فیلترهای شما عبور کنند.از آنجایی که نمی دانید این دیدگاه ها چه می گویند، آن ها پاک کنید.زیرا ممکن است این دیدگاه ها در مورد مسائل سیاسی و یا صحبت هایی در مورد مسائل بزرگسالان باشد.
  • دیدگاه هایی با تعداد لینک طولانی را با دقت بررسی کنید.معمولا این دسته از دیدگاه ها اسپم هستند.احتمال بسیار اندکی وجود دارد که شخصی دیدگاهی با لینک های بسیار بگذارد و این معمولا عادت اسپمرهاست.

امنیت وردپرس : بخش تنظیمات دیدگاه خود را چک کنید

 

داخل وردپرس به بخش “تنظیمات > گفت‌وگوها” بروید و در آنجا تنظیماتی که بخش دیدگاه های شما را کنترل می کنند را خواهید یافت.برایتان چند توصیه در مورد این بخش دارم:

 

  • از نویسنده دیدگاه بخواهید تا نام و ایمیلش را وارد کند.
  • احتمالا علاقه خواهید داشت از گذاشتن دیدگاه در نوشته هایتان آگاه باشید مگر اینکه ترافیک دیدگاه هایتان بسیار زیاد باشد و یا اینکه روزانه به وبسایت لاگین کنید.
  • دیدگاه هایی که بیشتر از یکی دوتا لینک دارند را در صف بررسی نگه دارید تا آن را ملاحظه کنید، اسپمرها معمولا تعداد لینک های بیشتری در دیدگاهایشان دارند.

 

تنظیمات دیدگاه ها را با دقت بررسی کنید و سیاست هایی را که با شیوه ی مدیریت شما هماهنگ است را برگزینید. بدین گونه می توانید اسپم ها را محدودتر نمایید.

جستجو و نصب قالب ها

 

قالب به وبسایت وردپرسی شما ظاهری زیبا و روح می بخشد.برای نصب قالب از منو نمایش > پوسته ها استفاده کنید.

امنیت وردپرس: قالب های نال شده نصب نکنید

پوسته های نال شده تاثیر بسیاری در امنیت وردپرس دارند.زمانی که برای وبسایت وردپرسی خود پوسته ای را انتخاب می کنید، به طور کلی بیخیال وبسایت هایی که پوسته های نال شده ارائه می کنند، شوید. معمولا این منابع غیرقابل اعتماد هستند و تعداد اینگونه وبسایت ها در وب بسیار است.پوسته های نال شده مطمئنا شامل کدهای مخربی هستند و امنیت وبسایت شما را تهدید خواهند کرد. پوسته ها را فقط از منابع قابل اطمینان نصب کنید.

 

محبوبترین منبع برای پوسته های وردپرس، سایت اصلی وردپرس و مخزن پوسته آن است که از  wordpress.org می توانید آن را بیابید. پوسته هایی که بصورت مشارکتی توسعه داده شده اند، پوسته های متن باز و عموما قابل اعتمادی را می توانید در آن بیابید.

 

پوسته های غیر رایگان را می توانید از منابع مهمی در وب فارسی و همچنین از وبسایت خودمان نیز تهیه کنید. وقتی که از پوسته ای استفاده می کنید که منبع آن را نمی شناسید، کافیست دامین آن را گوگل کنید تا ببینید که چه گزارشاتی در مورد قابل اعتماد بودن و یا نبودن آن سایت وجود دارد.

 

امنیت وردپرس: پوسته ی خود را بطور منظم بروزرسانی کنید

 

گهگاه ممکن است یک آسیب پذیری امنیتی در پوسته ای که شما برروی وبسایت وردپرسی خود نصب کرده اید کشف شود که به هکر اجازه دسترسی می دهد. توسعه دهندگان قابل اطمینان، راه حل های این آسیب پذیری ها را به شکل به روزرسانی نسخه جدیدی از پوسته ارائه می دهند. حتما مطمئن شوید که پوسته ای که نصب کردید، آخرین نسخه ی ارائه شده از طرف طراح آن است.در این صورت خیالتان تا حدودی از مشکلات پوسته راحت خواهد بود.

 

نکته : معمولا بسیاری از توسعه دهندگان تغییراتی را در پوسته های وردپرسی می دهند و آنها را شخصی سازی می کنند.مانند وبسایت های فارسی وردپرسی که اکثرا قالب ها را فارسی می کنند تا کاربران به راحتی از آن استفاده کنند.قبل از به روزرسانی این پوسته ها با توسعه دهنده ای که پوسته را شخصی سازی کرده است مشورت نمایید تا مطمئن شوید با به روزرسانی این پوسته، شخصی سازی های انجام شده از بین نخواهند رفت و شما به مشکل برنخواهید خورد.یکی از گزینه هایی که می تواند شخصی سازی هایتان را برایتان نگه دارد استفاده از child themes است.

 

جستجو و نصب افزونه ها

 

همانطور که همه ما می دونیم افزونه های وردپرس خیلی به دردبخور هستند و یکی از قدرتمندترین ویژگی های وردپرس به حساب می آیند.ده ها هزار افزونه متن باز در مخزن افزونه وبسایت wordpress.org وجود دارد که می توانیم به راحتی هرکدام از این افزونه ها را از با رفتن به بخش افزونه ها، جستجوی افزونه مورد نظر و انتخاب آن و در نهایت با یک کلیک نصب کنیم.

 

دقیقا به مانند پوسته ها، از نصب کردن افزونه های نال شده که توسط منابع غیرقابل اعتماد توزیع می شوند و دارای کدهای مخرب هستند، باید به شدت دوری کنیم. افزونه هایی که توسط منابع رسمی تولید شده و انتشار پیدا می کنند عموما برای نصب امن هستند.تیم وردپرس به دقت افزونه ها را مورد بررسی قرار می دهد تا کد مخربی در آنها وجود نداشته باشد.همچنین افزونه های این مخزن دارای مشارکت کننده های بسیاری هستند که آسیب پذیری های گوناگونی را در افزونه ها کشف کرده و به توسعه دهندگان اطلاع می دهند.

 

امنیت وردپرس: آسیب پذیری افزونه ها و حل و فصل آنها

 

آگاهی از آسیب پذیری های افزونه ها یکی از حیاتی ترین بخش های امنیت وردپرس را تشکیل می دهد. زیرا که معمولترین راه برای هک کردن وبسایت های وردپرسی استفاده از این آسیب پذیری ها بوده است.

 

از آنجایی که افزونه ها یکی از قدرتمندترین ویژگی های وردپرسی هستند، می توانند یکی از مهمترین چالش های امنیتی وبسایت های وردپرسی نیز باشند. افزونه ها به طور چشمگیری حجم کد PHP بیشتری نسبت به پوسته ها دارند و این کدها بسیار پیچیده تر هستند.این مساله فرصت حضور آسیب پذیری های بیشتری را در کدها مهیا می کند.

 

باید به این نکته توجه داشته باشیم که وردپرس ذاتا پلتفرم غیر امنی نیست.فقط اینکه این سیستم مدیریت محتوا بسیار محبوب است و تعداد زیادی افزونه آماده برای آن وجود دارد.وردپرس بیش از ۴۰۰۰۰ هزار افزونه آماده با بیش از ۱ میلیارد دانلود دارد که باعث می شود هدف جذابی برای هکرها به نظر بیاید.به همین دلیل قبل از انتخاب و نصب افزونه، بهتر است از چند مورد آگاه باشید که در اینجا ما توصیه های کوچکی در این باره به شما ارائه خواهیم کرد:

 

  • افزونه ها را فقط از وبسایت های معتبر نصب کنید.مخزن رسمی افزونه ها بهترین مکان برای پیدا کردن آنهاست.
  • فقط افزونه ها مورد نیاز را نصب کنید.هرچه قدر تعداد کمتری افزونه روی وبسایت شما باشد، میزان کد وبسایت تان قاعدتا کمتر است و درواقع بستر حمله کمتری برای هکر وجود دارد.
  • افزونه ها را “غیرفعال” رها نکنید.آنها را حتما پاک کنید.افزونه های غیرفعال همچنان مستعد ایجاد راهی برای دسترسی برای هکرها هستند به این دلیل که کد بصورت عمومی ممکن است در دسترس باشد.
  • فقط از افزونه هایی که به خوبی توسعه داده شده اند استفاده کنید.اگر افزونه ای در طی یکسال و یا بیشتر به روزرسانی نشده است، احتمالا به خوبی توسعه داده نشده است.منظورم این است که مثلا اگر یک نفر مشکل امنیتی در افزونه را به توسعه دهنده گزارش داده باشد، احتمالا آنها این مشکل را رفع نمی کنند.
  • وقتی که نسخه ی جدیدی از افزونه ارائه گردید، ابتدا جزئیات تغییرات به وجود آمده را بخوانید و بعد سریعا آن را به روزرسانی کنید.مخصوصا اگر این بروزرسانی شامل حل مشکلات امنیتی باشد.

 

بروز و امن نگه داشتن افزونه های وردپرسی، یکی از اثربخش ترین راه های اطمینان از این موضوع است که وبسایت تان تا حد زیادی امن است.

 

از کدها و ابزارک های خطرناک دور بمانیم

 

در بخش های بالایی که در مورد نوشته ها و برگه ها صحبت کردیم، گفتیم که نباید از کدهای غیرقابل اعتماد استفاده کنیم. وردپرس قابلیت بسیار مفیدی به نام ابزارک ها دارد که به ما اجازه می دهد تا ویژگی هایی را در نوار کناری یا پانوشت،نمایش دهیم و از آنها استفاده کنیم.

 

برای دسترسی به این بخش از منو  نمایش > ابزارک ها را انتخاب کنید.

 

ابزارک ها ویژگی های کاربردی و مفیدی را در اختیار ما می گذارند.بعضی از سایت ها و سرویس ها کد جاوا اسکریپتی را به ما ارائه می دهند که با جاگذاری یا همان embed کردن آن می توانیم از سرویس های آنان به عنوان ابزارک در وبسایت استفاده کنیم. معمولا یک ابزارک متن انتخاب کرده و کد را داخل آن قرار می دهیم.

 

وقتی که نیاز به embed کردن کد برای استفاده از ابزارک خاصی را دارید، در انتخاب منبع کد با احتیاط و دقت عمل کنید.همانطور که قبلا گفتیم، ممکن است embed کردن یک کد از طرف شما، دسترسی مستقیم به اطلاعاتتان را به صاحب کد تقدیم کند.اطلاعاتی همچون کوکی های بازدید کننده ها و ادمین ها.

 

اگر کدی که در ابزارک از آن استفاده می کنید از وبسایت شما بارگذاری می شود، در اینصورت می توانید این کد را تغییر دهید.اگر کد از سمت وبسایت دیگری بارگذاری می شود، آنها می توانند کد را هر زمانی که مایل بودند تغییر دهند.

 

برای مثال، فرض کنید اسم وبسایت شما example.com است.اگر کدی که شما به عنوان ابزارک از آن استفاده می کنید از http://example.com/mycode.js بارگذاری می شود، در اینصورت شما دسترسی کامل به کد دارید.تنها راهی که فایل mycode.js می تواند تغییر کند این است که شما تغییرش دهید.

 

اما اگر example.com متعلق به فرد دیگری است و شما کدتان را از روی وبسایت ایشان بارگذاری می کنید. در اینصورت آنها به راحتی می توانند محتویات فایل mycode.js را تغییر دهند. به شکلی که کوکی های شما را بدزدند و یک مشکل جدی در امنیت شما بوجود آورند.

 

بعضی از کدهای جاوا اسکریپتی که از وبسایت های دیگر بارگذاری می شوند قابل اطمینان هستند. گوگل آنالیتیکز و یا گوگل ادسنس از جمله مثال های کدهای جاوا اسکریپتی هستند که از دیگر وبسایت ها برروی وبسایتمان بارگذاری می شوند. بنابراین اگر نیاز دارید تا از کدی به عنوان ابزارک استفاده کنید که از وبسایت دیگری بارگذاری می شود، حتما مطمئن شوید که این وبسایت قابل اعتماد است.

 

ساخت کاربر جدید به شیوه امن

 

برای ایجاد کاربر جدید در وردپرس، به بخش کاربران > افزودن بروید.

 

در کنار افزودن دستی کاربران، راه حل دیگری برای ساخت حساب کاربری در وردپرس وجود دارد.متاسفانه بسیاری از صاحبان وبسایت های وردپرسی این مساله را نمی دانند.اگر به بخش تنظیمات > همگانی بروید.در آنجا خواهید که می توانید ویژگی “هرکسی می تواند نام نویسی کند” را فعال کنید. بدین شکل شما به کاربران اجازه خواهید داد تا حساب کاربری با سطح دسترسی مشترک بسازند.قسمت پایین راه مشاهده کنید تا بدانید این نقش کاربری به چه چیزهایی دسترسی دارد.

 

وقتی که ویژگی “هرکسی می تواند نام نویسی کند” فعال می شود، لیست کاربران شما طولانی‌تر خواهد شد و حساب های اسپم نیز ساخته خواهند شد.این ویژگی بصورت پیشفرض غیرفعال است. این گزینه را تا زمانی که به آن نیاز ندارید فعال نکنید.

 

امنیت وردپرس: رمزعبورهای کاربران جدید

 

امنیت وردپرس در گرو امنیت حساب های کاربری تمام کاربران است. زمانی که یک کاربر جدید می سازیم، وردپرس بصورت اتوماتیک یک رمزعبور به این حساب اختصاص می دهد. شما می توانید بصورت دستی نیز رمزعبور را خودتان انتخاب کنید.

 

پیشنهاد ما این است که به وردپرس اجازه دهید تا برایتان رمزعبور انتخاب کند. نسخه ی فعلی وردپرس یک ترتیب تصادفی از حروف کوچک و بزرگ و عددها و سمبل ها را به طول تقریبا ۱۶ کاراکتر تولید می کند.این رمزعبور جز دسته رمزعبورهای بسیار قوی محسوب می شود و شکستن آن اصلا آسان نیست.

 

وقتی که وردپرس به صورت اتوماتیک رمزعبوری را به حساب کاربر اختصاص می دهد، بعد از تکمیل ساخت حساب، ایمیلی حاوی یک لینک به ایمیل کاربر جدید فرستاده می شود.این ایمیل حاوی لینک بازنشانی رمزعبور است که کاربر را به صفحه ای از وردپرس هدایت می کند و به او این اختیار را می دهد که یا رمزعبور بسیار قوی وردپرس را انتخاب کند و یا اینکه خودش رمزعبورش را بسازد.

 

این متد از ساخت حساب کاربری امن است و باعث می شود تا حساب های کاربری وبسایتتان با رمزعبورهای قوی ساخته شوند.ما اصلا به شما پیشنهاد نمی کنیم که رمزعبورهای کاربران را بصورت دستی و بر اساس کلمات بسازید، زیرا در اینصورت یک مشت حساب کاربری با رمزعبورهایی که به راحتی حدس زده یا شکسته می شوند ساخته اید.

 

امنیت وردپرس: سطح دسترسی کاربر وردپرس

 

وردپرس از مفهموم “نقش” برای تعیین سطح دسترسی کاربران در سایت استفاده می کند. این به نظر درست و کافی میاد، چون میزان سطح دسترسی شما در واقع نقشی که در سازمان بازی می کنید را نمایش می دهد.

 

وقتی که نقش های کاربران را به آنان می دهید ممکن است وسوسه شوید که سطح دسترسی بالایی را فقط “محض احتیاط” به آنها بدهید.لطفا اینکار را انجام ندهید. در مباحث امنیت اطلاعات یکی از تمرین های خوب این است که پایین ترین سطح دسترسی که کاربر برای انجام وظایفش نیاز دارد را بیابید.اگر آنان نیاز به دسترسی بیشتری دارند، اجازه بدهید تا از شما دسترسی بالاتری را بخواهند.در اینصورت مطمئن خواهید شد که همه افراد دسترسی ای بالاتر از چیزی که نیاز دارند را نخواهند داشت.

 

اصل کمترین مجوز و یا بهتر بگیم Principle of least privilege یکی از تئوری های امنیت اطلاعات است.بنا به این اصل، مجوزهایی که نیازی به آن ها نیست نباید ارائه شوند و در صورت انجام چنین کاری امنیت به خطر می افتد.

 

دراین قسمت توضیح مختصری در مورد نقش های کاربری در وردپرس می گوییم و مجوزهای هر نقش را شرح می دهیم:

 

  • Super Admin – کاربر با این دسترسی می تواند هر کاری در وردپرس انجام دهد.این بالاترین سطح دسترسی است. در شبکه ای از سایت ها در وردپرس که به آن multi-site و یا وردپرس شبکه هم می گوییم، این سطح دسترسی می تواند تمام سایت های زیرشاخه را کنترل کند.شما باید یک یا حداکثر دو Super Admin در سایت داشته باشید.
  • مدیرکل – در سایت های وردپرسی غیرشبکه که بطور معمول نصب می شود و اکثر سایت های وردپرسی به این شکل هستند، مدیرکل همان super admin است. این نقش تمام مجوزها را دارد.در وردپرس شبکه، مدیرکل تمام مجوزها را برای یک سایت دارد در حالی که super admin به پنل مدیریت شبکه دسترسی دارد. نقش مدیرکل نیز مانند super admin باید به یک یا حداکثر دو حساب داده شود و البته درصورتی که کاملا نیاز باشد.
  • ویرایشگر – این نقش می تواند نوشته و برگه را منتشر کرده و همچنین نوشته ها و برگه هایی که توسط دیگر نویسنده ها منتشر شده است را مدیریت کند.آنها قابلیت ساخت و ذخیره نوشته ها و برگه ها و انتشار آنها را به طور کامل دارند.
  • نویسنده – نویسنده می تواند نوشته ها و برگه های خودش را منتشر کند ولی نمی تواند نوشته ها و یا برگه های دیگران را مدیریت کند.
  • مشارکت کننده – با این دسترسی، کاربر می تواند نوشته و برگه هایی را تولید و بصورت پیشنویس ذخیره کند ولی مجوز انتشار آنها را ندارد.این نقش برای نویسندگان مهمان مناسب است.شما می توانید به نویسندگان مهمان سایت تان دسترسی مشارکت کننده بدهید تا آنها نوشته هایشان را بنویسند و پیشنویس شان را ذخیره کنند، بعد از بررسی این نوشته ها با دسترسی بالاتر، می توانید آنها را منتشر کنید.
  • مشترک – این نقش پایین سطح دسترسی را در وردپرس دارد.وقتی که شما ویژگی “هرکسی می تواند نام نویسی کند” را در قسمت تنظیمات > همگانی فعال کردید، هر کاربری که ثبت نام کند بصورت پیشفرض با این سطح دسترسی خواهد بود.مشارکت کننده می تواند پروفایل کاربری خود را مدیریت کند و در صورتی که دیدگاه ها را فعال کرده باشید اقدام به افزودن دیدگاه با نام کاربری خود بکند.

 

امنیت وردپرس (قسمت 1)

 

برای داشتن وبسایتی امن تر، اصل کمترین مجوز را اجرا کنید.کاربران شما همیشه می توانند برای دسترسی بالاتر از شما درخواست کنند و حل کردن این مشکل بسیار راحت تر از این مساله است که کاربر مخرب و یا حساب دزدیده شده ای با دسترسی بالا داشته باشیم.

 

استفاده از FTP بصورت امن

 

FTP مخفف File Transfer Protocol و بطور ساده راهی برای ارسال فایل ها از سمت و یا به سمت سرور برروی اینترنت است. FTP به یک استاندارد مشترک بین صاحبان وبسایت ها برای مدیریت و ارسال فایلهایشان تبدیل شده است.

 

یک وبسایت عمدتا از فایل تشکیل شده است و از آنجاییکه FTP یک راه عالی برای مدیریت فایلها است، بهترین راه برای مدیریت وبسایت های وردپرسی نیز به شمار می رود.

 

امنیت وردپرس: sFTP, FTPS و FTP ساده قدیمی

 

امنیت وردپرس شما تنها وابسته به امنیت خود وردپرس نیست، بلکه به روش های دسترسی به وردپرس نیز وابسته است.FTP برای انتقال فایلها از سمت و به سمت وبسایت استفاده می شود و قاعدتا باید امن باشد.

 

FTP اصالتا یک پروتکل plain-text است. به این معنی که نام کاربری و رمزعبور شما را در قالب رشته ی رمز نشده در طول شبکه انتقال می دهد.در این شرایط کسی که به شبکه شما گوش می دهد می تواند به راحتی نام کاربری و رمزعبور شما را دریافت کرده و به آسانی دسترسی کافی را داشته باشد.

 

اگر هکری به حساب FTP شما دسترسی داشته باشد، کارهای خیلی خطرناک تری نسبت به یک حساب کاربری وردپرسی می تواند انجام دهد.درواقع هکر به تمامی وبسایت شما دسترسی دارد، تمام فایل ها و فولدرها و حتی دایرکتوری های قبل تر از نرم افزار وردپرس. به همین دلیل مهم است که از اطلاعات FTP خود به شدت محافظت کنید.

 

sFTP یکسری بهبودهایی نسبت به FTP دارد به این دلیل که اطلاعات نام کاربری و رمزعبور شما را در طول شبکه بصورت رمزشده انتقال می دهد.این پروتکل از پروتکل رمزنگاری سرویس SSH برای رمز کردن نام کاربری و رمزعبور استفاده می کند.

 

پروتکل جایگزین دیگری به نام FTPS نیز وجود دارد که آن نیز امن است. این یکی کمی متفاوت تر از sFTP عمل می کند و از TLS برای رمزنگاری استفاده می کند و با سرور FTP بجای SSH استفاده می کند. هر دو این پروتکل ها یعنی sFTP و FTPS امن هستند.

 

امنیت وردپرس: امن کردن فایلهای ارسال شده با FTP

 

بخشی از کار روزانه تان با FTP احتمالا دانلود کپی بعضی یا کل فایل های وبسایت تان است.این فایل ها حاوی اطلاعات بسیار مهمی و گاها نام کاربری ها و رمزعبورها هستند.مثلا فایل wp-config.php حاوی نام کاربری و رمزعبور دیتابیس شماست.

 

به همین دلیل، این مساله مهم است که رفتارتان با این فایلها همانقدر امن و جدی باشد که با فایل های اصلی وردپرس تان رفتار می کنید.این فایل ها ممکن است فایل های زیپ پشتیبان وبسایت تان باشد و یا فایل هایی که به تنهایی دانلود شده اند.اگر این فایلها را در سیستم شخصی و لپتاپ ذخیره می کنید، مطمئن شوید که لپتاپتان را گم نخواهید کرد. شما باید هارد سیستم تان را رمزنگاری کنید و یا حداقل به آن بخش از فایل ها با رمزعبور دسترسی پیدا کنید.

 

فایل های وبسایت تان را برروی فلش دیسک ها و یا هاردهای اکسترنال و کلا هر سخت افزار قابل حمل غیرامنی نگه ندارید.

 

نتیجه گیری

 

در این مقاله مباحث ابتدایی و پایه ای از امنیت وردپرس را مطرح کردیم تا به عنوان مدیر و یا نویسنده وبسایت، از آنها آگاه باشید. شما را با اتفاقاتی که ممکن است برای مدیران بیفتد، اصل پایین ترین مجوز، نقش کاربران و سطح دسترسی ها آشنا کردیم. در مورد دیدگاه ها اسپم و کدهای مخرب و ذخیره سازی امن تر فایل های پشتیبان نیز بحث کردیم.

 

موارد گفته شده تنها بخش آغازینی از مباحث تامین امنیت وبسایت های وردپرسی هستند.با رعایت نکات گفته شده در این مقاله می توانید تا حدودی خیال خود را از برخی آسیب های احتمالی که ممکن است به وبسایت شما زده شود، راحت کنید.

 

برای کسب آگاهی بیشتر در مورد بحث امنیت وردپرس، پیشنهاد می کنم بخش های بعدی این سری از مقالات را مطالعه نمایید.لطفا در صورت وجود هرگونه پیشنهاد در مورد محتوای آموزش ها ما را از آن مطلع سازید.

 

The post با امنیت وردپرس آشنا شویم – امنیت وردپرس (قسمت ۱) در سایت فراگشت برای شما عزیزان آماده شده است.


رمز گذاشتن روی فولدر wp-admin

 

شاید با خواندن عنوان این مقاله با خود گفته باشید که مگر برای دسترسی به پنل مدیریت نباید رمز عبور وارد کرد؟!  بله برای ورود به پنل مدیریت باید پسورد خود را وارد کنید. اما با یک راهکار خیلی ساده می توانید دسترسی به پنل مدیریت را سخت تر کنید تا حتی اگر هکر رمز شما را به دست آورد باز هم نتواند به پنل مدیریت شما دسترسی داشته باشد. در اصل می‌توان گفت شما پنل مدیریت خود را دو قفله میکنید!

 

انجام دادن این کار ساده به شدت امنیت سایت شما را افزایش می دهد. در این مقاله به شما یاد خواهیم داد که چگونه روی فولدر wp-admin رمز بگذارید تا به راحتی هکرها به این فولدر دسترسی پیدا نکنند.

 

آموزش رمز گذاشتن روی فولدر wp-admin  با استفاده از سی پنل

 

 اگر شما از سی پنل استفاده میکنید و دسترسی به هاست هم دارید، به راحتی می توانید این رمز دوم را برای پنل مدیریت خود از طریق پنل سی پنل قرار دهید.

رمز گذاشتن روی فولدر wp-admin

 

 پس از وارد شدن به سی پنل در بخش Security گزینه Password Protect Directories را خواهید دید. روی این گزینه کلیک کنید.

 

 

 پس از کلیک روی Password Protect Directories از شما خواسته می‌شود که لوکیشن فولدر مورد نظر خود را مشخص کنید. از این طریق فولدر wp-admin  را پیدا و انتخاب کنید. حال صفحه ای مشابه تصویر زیر را خواهید دید.

 

رمز گذاشتن روی فولدر wp-admin

 

تیک گزینه Password protect this directory را بزنید و یک یوزرنیم و پسورد برای دسترسی به این فولدر تعیین کنید. حال اگر به مسیر پنل مدیریت خود مراجعه کنید خواهید دید که یک باکس یوزرنیم و پسورد به شما نمایش داده میشود و شما باید این یوزر نیم و پسورد را هم برای دسترسی به پنل مدیریت وارد کنید.

 به همین راحتی توانستید دسترسی به پنل مدیریت خود را قفل کنید و با این کار امنیت سایت وردپرسی خود را افزایش دهید.

 

آموزش رمز گذاشتن روی فولدر wp-admin  بدون استفاده از پنل هاست

 

 ابتدا باید فایلی با نام .htpasswds  بسازید.

 

home/user/.htpasswds/public_html/wp-admin/passwd/

حال یک فایل با نام .htaccess  بسازید و آن را در فولدر wp-admin  قرار دهید و سپس کدهای زیر را داخل آن قرار دهید.

 

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere

 

در این کد باید شما یوزرنیم و همچنین لوکیشن که جلوی عبارت AuthUserFile قرار گرفته است را تغییر دهید و طبق هاست خود آنها را تنظیم کنید.  اگر زیاد با این روش آشنا نیستید به شدت توصیه می‌کنیم که از طریق خود سی پنل این کار را انجام دهید تا مشکلی برای سایت شما پیش نیاید.

 

حل مشکل خطای ۴۰۴ و ریدایرکت های زیاد پس از اعمال تغییرات

 

این مشکلات بستگی به تنظیمات سرور شما نیز دارد. برای حل این مشکل ابتدا فایل.htaccess اصلی سایت وردپرسی خود را باز کنید و کد زیر را قبل از جایی که قوانین وردپرس قرار داده شده است قرار دهید.

 

ErrorDocument 401 default

چگونه مشکل ایجکس ادمین را حل کنیم؟

 

وقتی برای فولدر ادمین وردپرس رمز می‌گذارید، ممکن است عملکرد ایجکس را در Front-End  سایت مختل کند. اگر چنین مشکلی را در سایت خود دیدید به این صورت این مشکل را حل کنید:

 

فایل .htaccess را که در فولدر در wp-admin  ساخته اید را باز کنید. منظورمان فایل .htaccess که در مسیر اصلی وردپرس قرار دارد نیست و منظورمان فایل .htaccess داخل فولدر wp-admin  است.

 

در این فایل کد های زیر را قرار دهید خواهید دید که مشکل شما حل خواهد شد.

 

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

 

امیدواریم این مقاله نیز برای شما مفید بوده باشد و با آموزش هایی که می دهیم امنیت سایت وردپرسی شما را افزایش داده باشیم 🙂

چنانچه سوال یا نظری دارید خوشحال خواهیم شد که در قسمت نظرات همین مقاله با ما در میان بگذارید.

The post چگونه با استفاده از پسورد، فولدر پنل مدیریت وردپرس را محافظت کنیم؟ در سایت فراگشت برای شما عزیزان آماده شده است.


غیر فعال کردن Directory Browsing

 

 بعضی از هاست ها اگر فایل صفحه مورد نظر را پیدا نکنند، لیست فولدر ها و سایر فایل های روی هاست را نمایش میدهند. یعنی تمام فایلها و فولدرهای شما به راحتی برای کاربرانی که حق دیدن این فایلها را ندارند نمایش داده می شود. این کار به شدت به امنیت سایت شما آسیب می زند و راه نفوذ را برای هکر ها فراهم می کند چرا که این اطلاعات به شدت مهم هستند و از این طریق می توانند آسیب پذیری سایت شما را در قالب، وردپرس، پلاگین ها پیدا کنند.

 

در این مقاله به شما خواهیم گفت که چگونه این امکان را غیرفعال کنیم تا هکر ها و افراد نفوذگر توانایی مشاهده فولدر ها و فایل های سایت را نداشته باشند.

 

غیر فعال کردن Directory Browsing

 

در این مقاله به صورت اختصاصی می خواهیم به غیرفعال کردن Directory Browsing بپردازیم تا هکرها نتوانند با استفاده از این امکان فایلها و فولدرهای ما را ببینند و داخل آنها نفوذ کنند و ساختار سایت ما را به دست بیاورند. حتی گاهی اوقات شما فایل های فروشی در هاست خود دارید و کاربر زمانی می‌تواند به این فایلها دسترسی داشته باشد که آن را خریداری کند. اما اگر این امکان در سایت شما باز باشد، کاربر به راحتی می تواند بدون خرید، هر فایلی که بخواهد را از سایت شما دانلود کند. یا حتی فایل های شما مانند تصاویر و سایر فایل ها و اطلاعات را از سایت شما بردارند. فکر می کنم تا کنون به اهمیت این  آموزش پی برده اید.

آموزش غیر فعال کردن Directory Browsing از طریق htaccess

 

این کار به سادگی توسط فایل htaccess قابل انجام است. ابتدا به هاست خود بروید و در مسیر اصلی سایت خود این فایل را پیدا کنید و آن را برای ویرایش باز کنید.

 

اگر این فایل را ندیدید، از بخش تنظیمات هاست، تیک نمایش فایل های مخفی را بزنید تا این فایل را مشاهده کنید. اگر این فایل باز هم وجود نداشت (که احتمال آن کم است) خودتان یک فایل با این نام بسازید.

 

.htaccess

 

شما می توانید از طریق ویرایشگر خود هاست آن را ویرایش کنید یا اینکه آن را دانلود کنید از طریق نوت پد آن را باز کنید و کد مربوطه را که به شما خواهیم گفت، داخل آن قرار دهید و سپس دوباره آن را در مسیر اصلی سایت خود آپلود کنید.

 

از هر کدام روش که انتخاب کنید می توانید این کار را انجام دهید و تفاوتی ندارد. حال که فایل را برای ویرایش آماده کردید کد زیر را داخل آن قرار دهید

 

Options -Indexes

 

حال این فایل را ذخیره کنید و اگر قبلا دانلود کرده اید آن را آپلود کنید. حال خواهید دید که دیگر فایل ها و فولدر های شما با تایپ کردن مسیر آن ها در مرورگر قابل نمایش نیست و کاربرانی که بخواهند به فایل ها و فولدر های شما به این صورت دسترسی داشته باشند با خطای ۴۰۴ برخورد می کنند.

 

آموزش غیر فعال کردن Directory Browsing از طریق سی پنل

 

این کار توسط خود سی پنل نیز قابل انجام است. پس از وارد شدن به سی پنل خود در بخش Advanced و سپس Indexes انجام دهید.

در این بخش شما لیست فولدر های سایت خود را می توانید مشاهده کنید. با کلیک روی هر فولدر، می توانید تنظیمات Directory Browsing آن فولدر را مشخص کنید.

 

غیر فعال کردن Directory Browsing

 

اگر روی گزینه No Indexing قرار دهید، دیگر فولدر ها و فایل های آن مسیر در مرورگر نمایش داده نخواهد شد و به این صورت فایل ها و فولدر های سایت شما امن تر خواهد شد.

 

امیدواریم این مجموعه مقالات افزایش امنیت وردپرس به شما کمک کرده باشد و توانسته باشید امنیت سایت شما را تا حد بسیار زیادی بالا ببریم. توصیه می کنم دیگر مقالات ایکس اسکریپت را در رابطه با افزایش امنیت وردپرس را مطالع کنید.

 

امیدواریم این مقاله نیز برای شما مفید بوده باشد. چنانچه سوال یا نظری دارید می توانید در قسمت نظرات همین مطلب با ما و سایر کاربران در میان بگذارید 🙂

The post چگونه Directory Browsing را در وردپرس غیر فعال کنیم در سایت فراگشت برای شما عزیزان آماده شده است.


با ادامه ی مبحث امنیت وردپرس در خدمت شما هستم،دراین ساعت یکی دیگه از مسائل مهم رو که مسئله که مربوط به بخش های بسیار مهم ویرایشگر وردپرس میشه یا همان بالا بردن امنیت سایت وردپرسی با استفاده از چند عدد را قراره با هم مرور کنیم.همونطور که می بینید ویرایشگر قالب شما از داخل پنل وردپرسی کاملا قابل دسترسی و تغییر هستش و میتونید هر زمان که موردی بود تغییرش بدید. این خوبه که برای اینکار حتما نباید وارد هاست و فایل ها بشید و به راحتی کار خودتون رو از همین پنل وردپرس انجام میدین! اما همونطور که برای شما خیلی خوبه برای عوامل مخرب هم به سادگی خوردن یک لیوان آب خنک هستش!

فکر کنم با این توضیحات من متوجه شدید که قراره امروز چه کاری رو انجام بدیم. بله درسته میخوایم کاری کنیم که در هر حالتی ویرایشگر ما قابلیت ویرایش نداشته باشه.پس اگه دوست دارید این موضوع رو هم یاد بگیرید چند لحظه ی کوتاه فرصت بگذارید و با ما همراه باشید…

 

بالا بردن امنیت سایت وردپرسی با استفاده از چند عدد:

 

مسئله ای که بسیار حائز اهمیته استفاده از فایل های مجاز و درست هستش. شماره ی ۷۷۷ که احتمالا تا به حال به اون برخورد کردید در وردپرس به معنای سطح دسترسی و یا مجوز دسترسی شما به تمامی فایل ها و پوشه هاست که هر کس میتونه به همه این مناطق دسترسی کامل داشته باشه!
حال برای رعایت امنیت باید طبق قانون و مقرراتی که در وردپرس وضع شده عمل کرد:

 

تمامی دایرکتوری ها باید دارای مجوز ۷۵۵ یا ۷۵۰ باشند.
تمامی فایل ها باید دارای مجوز ۶۴۴ یا ۶۴۰ باشند.
wp-config باید دارای مجوز ۶۰۰ باشد.

 

این حالات، حالات مطلوبی از نظر امنیتی به حساب میاد که نحوه ی استفاده از اون رو حتما در قالب پستی که فردا روی سایت قرار میدم آموزش خواهم داد.فعلا تا همین حد بدونین تا ذهنتون آماده باشه کافیه.

 

غیر فعال کردن گزارش خطای پی اچ پی

 

اگه افزونه یا قالبی باعث ایجاد خطا میشه، این پیغام به احتمال زیاد از مسیر سرور پشتیبانی میشه! این اطلاعات برای یک فرد خرابکار بسیار مفیده، بنابراین بهتره که سریع تر ارورهای موجود در سایت رو برطرف کنید. میتونید این ارورها رو در وردپرس با افزودن کد زیر در فایل wp-config.php غیر فعال کنید :

 

error_reporting(0);
@ini_set(‘display_errors’, ۰);

 

اگر کد بالا به هر دلیلی برای شما کار نکرد حتما در این مورد و وجود ارورها با شرکت پشتیبانی سرور صحبت کنید.

 

امیدوارم از این مقاله بهره کافی را ببرید و با آن بتوانید امنیت سایت وردپرسیاتان را افزایش دهید.

The post بالا بردن امنیت سایت وردپرسی با استفاده از چند عدد در سایت فراگشت برای شما عزیزان آماده شده است.

محدود کردن دسترسی به پوشه خاص در وب سرور OpenLiteSpeed

دسته بندی : مقالات آموزشی تاریخ : دوشنبه ۲۷ خرداد ۱۳۹۸


محدود کردن دسترسی به پوشه خاص

 

در وب سرور آپاچی می‌تونیم با استفاده از Allow from all یا Deny from all دسترسی کاربر به پوشه‌های مختلف را محدود کنیم یا باز نگه داریم. اجازه بدید یک مثال عملی بزنیم. در ادامه با ایکس اسکریپت همراه شوید.

 

افزونه EDD رو که می‌شناسید! توی این افزونه یک سری فایل آپلود می‌کنیم که در پوشه uploads/edd قرار میگیره و کاربر نباید دسترسی مستقیم به این فایل‌ها داشته باشه. چون اگر دسترسی مستقیم به فایل‌های شما داشته باشند لینک‌ها و فایل‌های با ارزشی که می‌فروشید در دسترس عموم قرار خواهد گرفت.

 

اگر از وب سرور آپاچی استفاده کنید خب موقع نصب EDD بصورت خودکار با تغییر فایل htaccess دسترسی کاربر به پوشه wp-content/uploads/edd مسدود خواهد شد. اون هم با استفاده از یک کد بسیار ساده deny from all! پس نیاز به انجام کار خاصی نیست.

 

اما وقتی وب‌سرور شما به لایت اسپید تغییر کرد خب باز هم مشکلی نیست. 😀 چون لایت اسپید با دستورات htacess apache سازگاری کامل داره.

 

اما مسئله اینجاست که اگر از openlitespeed استفاده می‌کنید. (استفاده می‌کنیم، چون رایگان هست و هزینه‌های لایت اسپید توی ایران سر به فلک می‌کشه!) دیگه این خبرا نیست! دستورات deny from all اصلا توسط وب سرور شما تشخیص داده نخواهد شد. برای حل این مشکل چه کنیم؟!

 

محدود کردن دسترسی به پوشه در وب سرور OpenLiteSpeed

 

برای مسدود کردن دسترسی به پوشه آپلود EDD توی وب سرور OpenLiteSpeed کافیست از فایل vhost conf تغییرات رو اعمال کنیم. ابتدا باید دنبال این فایل توی سرور خودتون بگردید.

 

مثلا اگر دایرکت ادمین استفاده می‌کنید. باید با دسترسی مدیر کل وارد شوید. سپس وارد بخش Server Manager و در نهایت Custom HTTPD Configurations بشید.

محدود کردن دسترسی به پوشه خاص

Custom HTTPD Configurations

 

حالا دامنه سایت خودتون رو انتخاب کنید و جلوی نام دامنه روی openlitespeed.conf کلیک کنید.

 

از بالای صفحه سمت راست روی گزینه Customize کلیک کنید و تب آخر یعنی The very last entry. رو انتخاب کنید.

محدود کردن دسترسی به پوشه خاص

The very last entry.

 

این کد رو به این قسمت اضافه کنید و در نهایت روی ذخیره کلیک کنید. اگر ارور دریافت کردید زیاد نگران نباشید! تغییرات در ۹۸ درصد مواقع ذخیره خواهند شد.

 

context /wp-content/uploads/edd 
  type                    NULL
  location                /home/username/domains/reza.com/public_html/wp-content/uploads/edd
  accessControl 
     deny 0.0.0.0/0
  

 

به جای reza.com ادرس دامنه خودتون رو وارد کنید. به جای username هم نام کاربری هاست رو وارد کنید. اصلا اگر مسیر home/ صحیح نیست تنظیم کنید و در نهایت روی ذخیره کلیک کنید.

 

حالا ادرس مستقیم یکی از فایل‌های پوشه EDD را مشاهده بفرمایید. باید با خطای ۴۰۳ یا عدم سطح دسترسی مواجه شوید.

 

امیدوارم این مطلب به شما کمک کافی را کرده باشد. در صورت هرگونه مشکل یا انتقاد نظرات خود را با ما درمیان بگذارید. 🙂

The post محدود کردن دسترسی به پوشه خاص در وب سرور OpenLiteSpeed در سایت فراگشت برای شما عزیزان آماده شده است.



دسته بندی

نوشته‌های تازه

مطالب محبوب
بک لینک ها