جستجو در تالارهای گفتگو

امنیت وب سایت یکی از مهمترین دغدغه های تمامی مالکان وب سایت ها است و این یکی از مهمترین و حیاتی ترین مساله در یک وبسایت به شمار می آید. یکی از بدترین مواردی هم که پیش می آید این است که شما نمی توانید با اقدامات ساده، در زمان حمله به سایت، این اقدامات را مشاهده کنید؛ برای مثال ویروس Malware/ به راحتی می تواند تمامی اطلاعات و ساختار های شما را که در طول ماه ها و یا سال ها، به سختی جمع آوری و دسته بندی کرده اید را به راحتی نابود کند. وردپرس به دلیل مخاطبان بسیار زیادی که دارد، به عنوان پادشاه CMS ها شناخته شده است و طبق آماری که گرفته شده است، 25 درصد سایت هایی که در سراسر جهان آنلاین هستند، از CMS وردپرس استفاده می کنند. خبر بد اینکه به دلیل محبوب بودن و پر مخاطب بودن، حملات به این سایت ها هم به نسبت زیاد است که یکی از مشکلات و نگرانی های مردم شده است. افراد زیادی را شما می توانید ببینید که میگویند؛ وردپرس به دلیل رایگان بودن و استفاده از فایل های open-source دارای امنیت پایینی است و اصطلاحا به درد نمی خورد ولی این حرف کاملا اشتباه است. با وجود اینکه وردپرس یک پلتفرم رایگان است، با این وجود تیم های امنیتی قوی ای برای جلوگیری از حفره های امنیتی و بالابردن امنیت سایت شما در حال فعالیت هستند؛ شما می توانید حرف ما را باور نکنید ولی نمی توانید از سایت های افراد معروف و فروشگاه های بزرگی که در سراسر جهان بر روی همین پلتفرم ساخته شده اند را نادیده بگیرید. زمانی که می خواهیم به موارد امنیتی وردپرس بپردازیم، با شایعاتی مبنی بر این که این پلتفرم ساده و دارای کد منبع باز است که باعث حملات امنیتی به سایت شما می شود می شویم ولی باید گفت که با چند کار ساده می توان ضریب امنیت تا در حد چشم گیری بالا برد. این نکته را به یاد داشته باشید که فایل وردپرس خودتان را حتما از سایت اصلی وردپرس با آدرس wordpress.org دانلود کنید و قالب های خود را از خود وردپرس و یا منابعی مانند سایت پرشین هویز که امنیت قالب را تضمین می کنند تهیه کنید. برخی از مواردی که باعث هک وبسایت شما می شود بارگزاری نسخه دانلود شده وردپرس از جایی غیر از سایت رسمی وردپرس است. موارد دیگری که معمولا بیشتر افراد با آنها مورد حمله قرار می گیرند عبارت انداز: استفاده از نام کاربری و رمز عبور پیش فرض، استفاده از هاست های ناامن، قالب های رایگان و یا دریافت قالب از جاهای نا امن، بارگذاری دستی پلاگین بدون چک کردن آن، تایید پیغام های مشکوک و یا ویروس هایی که بر روی سیستم شما وجود دارند. ما در این مقاله به شما کمک می کنیم تا با انجام دادن راه هایی ساده بتوانید امنیت سایت وردپرسی خود را افزایش دهید 1- وردپرس، قالب وردپرس و پلاگین های خود را به روز رسانی کنید یکی از راه های ایمن نگه داشتن سایت شما، به روز رسانی سایت خود متناسب با آخرین استاندارد های ارایه شده است. در هر نسخه از وردپرس، مسایل امنیتی بررسی می شوند و با به روز رسانی آن تمام موارد شناسایی شده را حذف می کنند. پس به روز نگه داشتن سایت یکی از مهمترین موارد برای جلوگیری از هک شدن سایت شما است. اگر شما هم از وردپرس استفاده می کنید، کادر مستطیلی شکل کوچکی را می بینید که در آن نوشته شده است “به‌روز رسانی”؛ در اولین زمان ممکن این کار را انجام دهید تا خود را از مورد حمله قرار گرفتن حفظ کنید. شما باید قالب و پلاگین هایی که بر روی وبسایتتان نصب کرده اید را نیز به روز رسانی کنید، ولی متاسفانه برخی از تم ها یا پلاگین ها خود را با نسخه جدید همخوان نکرده اند و شما امکان آپدیت آنرا ندارید، در اینجا به شما پیشنهاد می شود تا این قالب یا پلاگین را در اسرع وقت جایگزین کنید تا تمامی زحمات شما بخاطر صرف هزینه ای ناچیز از بین نرود. 2- یک پروفایل جدید ایجاد کنید یک پروفایل جدید ایجاد کنید و با این کار امنیت سایت خود را بالا ببرید؛ از آنجایی که برخی افراد به دلیل عدم آگاهی و یا فراموشی، از رمز عبور پیش فرض استفاده می کنند و هکر ها هم اولین چیزی که بر روی سایت شما امتحان می کنند همان رمز پیش فرض “admin” است. شما به راحتی می توانید با رفتن به قسمت “کاربران” و “اضافه کردن کاربر جدید” یک کاربر اضافه کنید و سطح دسترسی مورد نظر را بدهید؛ در اینجا برای برخی از افراد این سوال پیش می آید که چرا باید یک اکانت دیگر بسازم، زمانی که من مدیر سایت یا همان admin هستم؟ این باعث می شود خود را در معرض حمله قرار دهند. 3- از رمز های قوی و درهم استفاده کنید هکر ها وب سایت هایی با کلمات کلیدی آسون و قابل حدس را در اولویت خود قرار می دهند و اگر شما از رمز عبوری استفاده کرده باشید که ترکیبی از اعداد، حروف و عبارات باشد؛ امکان حدس زدن سایت شما بسیار دشوارتر خواهد بود. برای تولد رمز عبور های سخت می توانید از حروف بزرگ و کوچک، اعداد و علائم استفاده کنید ولی این نکته را به خاطر داشته باشید؛ از نام شرکت و یا اسامی قابل حدس مانند P@ssw0rd استفاده نکنید. استفاده از پلاگین Force Strong Passwords می تواند به شما در تولید رمزعبور های قدرتمند کمک کند. 4- انتخاب یک هاست قوی هاست ها خدمات خود را بسته به میزان خدمتی که ارایه می دهند معمولا قیمت گذاری می کنند و متاسفانه بیشتر صاحبان کسب و کار به دنبال هزینه های کم برای سایت خود هستند و توجهی به مواردی که هاست دارد به دلیل هزینه کم، به آنها ارایه نمی کند ندارند و همین امر احتمال حمله به سایت را افزایش می دهد. انتخاب هاست بیشتر بصورت تجربی است ولی یکی از برترین هاست ها برای سایت های وردپرس، سایت wordpress.com است که خدمات خوبی را ارایه می دهد؛ از طرفی در ایران نیز هاستینگ لینوکس های عالی ای و جود دارند که شما می توانید با بررسی موارد مورد نیازتان، خرید خود را انجام دهید. 5- فعال سازی پلاگین های امنیتی گروه های امنیتی وردپرس در بروز رسانی هایی که انجام می دهند بیشتر راه های نفوذ امنیتی را مسدود می کنند ولی به دلیل فاصله زمانی زیاد آپدیت های وردپرس نیاز است تا از افزونه های امنیتی برای بالابردن سطح امنیت سایت استفاده کرد. پلاگین های بسیار زیادی برای وردپرس در حوزه امنیت تولید شده است و شما می توانید از قسمت پلاگین سایت رسمی وردپرس به آنها دسترسی داشته باشید. برخی از معروف ترین ایم پلاگین ها All In One WP Security & Firewall iThemes Security می باشند؛ همچنین افزونه Wordfence یکی از معروف ترین افزونه های وردپرسی جهت افزایش امنیت سایت وردپرسی است. 6- تعداد دفعات ورود را محدود کنید برخی از هکر ها بعد از رسیدن به صفحه ورود شما، شروع به تست کردن انواع رمز های عبور می شوند و بسیاری از هکر ها برای صرفه جویی در وقت از ربات ها استفاده می کنند تا تعداد نام کاربری و رمز عبور بیشتری را در زمانی محدود استفاده میکند تا به رمز شما دسترسی پیدا کنند. از آنجایی که هر شخصی با آدرس ip خاصی به سایت شما مراجعه می کند، شما می توانید با استفاده از پلاگین هایی برای محدود کردن تعداد دفعات ورود، از این حملات جلوگیری کنید و آن آدرس هارا در لیست سیاه خود قرار دهید و یا مسدودشان کنید. این پلاگین ها را به وفور می توانید پیدا کنید که معروف ترین آنها عبارت انداز: Login Lockdown, Limit Login Attempts. پلاگین Login LockDown تعداد دفعات وارد کردن اشتباه اطلاعات و همچنین آدری IP شخصی که این کار را کرده است به صورت موقت در بازه زمانی محدودی نگهداری می کند تا اگر ربات باشد نتواند دوباره کار خود را انجام دهد. این یکی از روش های جلوگیری از لو رفتن نام کاربری و رمز عبور شما توسط داده های تصادفی است. 7- ایجاد اعتبار سنجی دو سطحی این کار برای بالابردن امنیت سایت به نظر ما ضروری است. در این روش شما علاوه بر کادر نام کاربری و رمز عبور، از کادری برای وارد کردن اعداد و یا حروف استفاده می کنید که احتمالا این موارد را در قسمت کامنت های سایت های دیگر دیده باشید که با نام کپچا معروف هستند؛ شما می توانید بجای استفاده از کپچا از تایید گرفتن توسط شبکه های اجتماعی، ایمیل و یا کدی که به شماره تلفن همراه مخاطب ارسال می کنید، هویت ایشان را تایید کنید. برای تایید اعتبار دوسطحی یا 2AF ، از پلاگین های بسیار زیادی می توانید استفاده کنید که برخی از این موارد عبار انداز: iThemes Security, Google Authenticator for WordPress, Duo Two-Factor Authentication. 8- نسخه وردپرس خود را مخفی کنید یکی از اولین کار هایی که هکر ها بر روی سایت شما انجام می دهند، شناسایی CMS و ورژن آن است و زمانی که شما این اطلاعات را از سایت خود پاک نکنید، عملا به راحتی این اطلاعات را در اختیار آنها قرار داده اید. در قسمت هد سایت با استفاده از تگ Generator می توانید بهراحتی نسخه وردپرس خود را مخفی نمایید. 9- آدرس URL صفحه ورود خود را تغییر دهید یکی دیگر از مواردی که سایت ها اغلب به آنها توجه نمی کنند آدرس URL صفحه ورود است. بسیاری از هکر ها با زدن عبارت wp-admin یا اضافه کردن عبارت wp-login.php وارد صفحه ورود می شوند و شروع به وارد کردن رمز های احتمالی می کنند. پلاگین iThemes Security به شما کمک می کند تا به راحتی آدرس URL صفحه ورود خودتان را تغییر دهید و همچنین خدماتی برای افزایش امنیت سایت شما در تایید اعتبار دو سطحی، امنیت رمزعبور، کپچای گوگل و غیره را ارایه می دهد. 10- از وبسایت خود نسخه پشتیبان تهیه کنید در دنیای اینترنت به دلیل تغییرات زیادی که در آن رخ می دهد، هیچ چیز به صورت صد در صدی نیست و احتمال هک شدن همیشه وجود دارد، به همین دلیل تهیه نسخه پشتیبات به صورت منظم از تمامی اطلاعات درست است راهکاری برای جلوگیری از هک به شمار نمی آید ولی در صورت هک شدن، شما در کمترین زمان ممکن می توانید اطلاعات خود را بازیابی کنید تا آسیب بیشتری را متحمل نشوید. VaultPress یکی از پلاگین های محبوب پولی در سراسر جهان می باشد و اگر شما می خواهید از پلاگین های رایگان استفاده کنید می توانید از پلاگین WordPress Backup to Dropbox نیز استفاده کنید. 11- تاحد امکان از پلاگین های کمتری استفاده کنید پلاگین ها به دلیل بارگذاری توابع مورد نیاز شما به صورت کاملا ساده، دارای طرفداران بسیار زیادی هستند ولی استفاده زیاد از پلاگین ها می تواند برای سایت شما کشنده هم باشد! پس برای نصب آن اول خوب تحقیق کنید، امنیت آن را بررسی کنید و ببینید آیا نسخه به روز رسانی ای ارایه کرده است یا خیر که در آینده با این پلاگین به مشکل بر نخورید؛ بعلاوه شما باید یک پلاگین حرفه ای برای کار مورد نظر انتخاب کنید و این اصلا درست نیست که چند پلاگین را برای یک کار مشابه نصب کنید. برای مثال پلاگین Jetpack می تواند خدماتی نظیر نمایش ترافیک سایت شما، سرعت، امنیت، فرم های تماس، گالری، تصاویر و … را در اختیار شما قرار می دهد؛ همینطور، پلاگین WP Ultimate Social می تواند بهترین راه حل برای مشکلات شما با شبکه های اجتماعی باشد. 12- از فایل wp-config.php حفاظت کنید شما باید از فایل wp-config.php بخوبی محافظت کنید چرا که این فایل تمامی اطلاعات محرمانه شما در باره سایت شما را در بر دارد و منظور ما از حفظ امنیت آن، حفاظت از هسته اصلی وردپرس است تا هکر ها به راحتی نتوانند به آن دسترسی داشته باشند و در صورت دسترسی، به سختی متوجه آن شوند. برای حفاظت از wp-config.php می توانید این فایل را به صفحه اصلی یا root سایت انتقال دهید. اگر سرور شما دارای فایل .htaccess است شما می توانید با وارد کردن این کد در بالای این صفحه، از wp-config.php خود محافظت کنید. 13- از SFTP امن استفاده کنید FTP با همان File Transfer Protocol همان پروتکل انتقال اطلاعات است که برای انتقال اطلاعات با سرعت بالا استفاده می کنیم، ولی بهتر است از نسخه امن آن که همان SFTP است استفاده کنیم. پروتکل FTP یکی از محبوب ترین پروتکل ها برای ریموت سرور و انتقالاطلاعات است ولی مشکل بزرگی که دارد این است که فاقد موارد امنیتی است و اگر می خواهید اتصال و انتقال اطلاعات امنی داشته باشید بهتر است از پروتکل SFTP استفاده کنید. این پروتکل داده های شما را رمزنگاری کرده و در هیچ زمان از نمی توان رمز عبور و طلاعات انتقالی را تشخیص داد. بسیاری از شرکت های امروزه برای انتقال اطلاعات خود از SFTP استفاده می کنند ولی به هرحال این گزینه ای است که شما می توانید انتخاب کنید. 14- مدیریت و تغییر پرونده ها زمانی که شما از هاست های ارزان استفاده می کنید، آن هاست ها فضارا به صورت مشترک میان شما و سایت های دیگر به اشتراک می گذارند؛ به همی دلیل اگر شما هم از چنین سرورهایی استفاده می کنید، به هیچ عنوان دسترسی نوشتاری را در وب سرور ندهید. از مهمترین مواردی که فقط شما باید دسترسی نوشتاری را در آن داشته باشید (/) یا صفحه ریشه، (/wp-admin/) قسمت مدیریت وردپرس، (/wp-includes/) و بخش (/wp-content/) است. علاوه بر اینها به شما پیشنهاد می کنیم تا مجوز دایرکتوری خود را به 775 و فایل های خود را به 644 تغییر دهید تا در یک سطح هوشمند و عالی از اطلاعات شما محافظت کند. 15- دستگاه خود را ایمن نگه دارید آخرین نکته مهم که بسیاری آن را دست کم میگیرند، امنیت سیستمی است که دارید با آن به سایت مورد نظر متصل می شوید. انواع مختلفی از ربات ها، ویروس ها و تروجان ها هستند که بر روی سیستم ها از طرق مختلف انتقال پیدا می کنند و هدف آنها سایت ها هستند و به سیستم شخصی شما آسیبی نمی رسانند. شما برای جلوگیری از فعالیت این بدافزار ها همیشه باید از یک آنتی ویروس استفاده کنید و تقریبا هر روز اطلاعات ورودی و خروجی را با آن چک کنید تا سیستم شما آلوده نشده باشد. حرف آخر امنیت وبسایت بسیار با اهمیت است و یک هکر می تواند بعد از نفوذ به سایت شما، تمامی اطلاعات و سرمایه گذاری های شما را که با صرف زمان و هزینه تهیه کرده اید را نابودکند؛ به همین دلیل باید شما از امنیت سایت خود مطمئن شوید و همیشه سلامت سایت خودتان را بررسی کنید. پس برخی از اقدامات احتیاطی برای بالابردن سطح امنیت سایت از طرف مالک سایت ضروری است. اگر چه موارد بسیار دیگری وجود دارد که برای بالابردن امنیت سایت ضروری هستند، اگر شما موضوع و یا دیدگاه خاصی دارید که کمک می کند تا امنیت سایت افزایش یابد از آن استقبال می کنیم.

مفهوم هک شدن وب سایت یکی از خطراتی که همواره اطلاعات وب سایت ها را تهدید می کند هک شدن آن هاست. هک کردن در دنیای کامپیوتر، به معنای پیدا کردن نقاط ضعف و حفره های امنیتی یک سیستم و استفاده از آن برای نفوذ به آن سیستم است. ممکن است شما نیز به عنوان یک مدیر سایت بیندیشید که اطلاعات وب سایت معمولی شما ارزش دزدیدن و هک شدن ندارد، اما باید توجه داشته باشید که تمامی وب سایت ها همواره در معرض حملات هکرها قرار دارند و بر خلاف تصور عموم هدف اکثر حفره های امنیتی انجام شده سرقت اطلاعات و یا از دسترس خارج نمودن وب سایت نیست بلکه سوء استفاده از وب سرور در جهت منافع هکرها می باشد. به عنوان مثال ممکن است هکرها سعی داشته باشند با استفاده از وب سرور شما یک سیستم Email Relay راه اندازی کرده و اقدام به ارسال ایمیل های انبوه تبلیغاتی نموده و یا از آن به عنوان یک منبع فایل سرور برای بارگذاری فایل های آلوده و غیر قانونی خود روی سرور استفاده کنند. چنین هک هایی معمولا به صورت اتوماتیک و توسط اسکریپت های از پیش آماده شده انجام می شوند. اسکریپت های مذکور تمامی اینترنت را برای یافتن سایت هایی با حفره های امنیتی تعریف شده جستجو کرده تا هدف نهایی خود را پیدا کنند. معرفی برخی از شیوه های هکرها : حمله از طریق IP (Internet Protocol) یکی از ساده ‌ترین شیوه های هک کردن، حمله از طریق آی پی است. این روش حمله در دو مرحله جستجو و نفوذ و سپس انجام عملیات انجام می‌گیرد. پس از كشف شماره‌ سریال ‌های IP آدرس، هكر خود را در بین سرویس دهنده و كاربر قرار می ‌دهد و با ارسال بسته ‌های تقلبی، اطلاعات را به سرقت می ‌برد. برای مقابله با این شیوه هک شدن می توانید آی پی خود را پنهان نمایید. حمله از طریق TCP (Transmission Control Protocol) هكر در این روش كاربر را از سرویس دهنده جدا کرده و خود را به جای كاربر به سرویس دهنده معرفی می‌كند به طوری كه سرویس دهنده هكر را به عنوان یك كاربر معتبر بشناسد. از این پس تبادل اطلاعات میان سرویس دهنده و هكر انجام می‌شود. نفوذ به كامپیوتر از طریق Applet Applet یک نرم‌افزار کاربردی کوچک است که در پس زمینه برنامه دیگری اجرا می ‌شود. به‌ عنوان مثال فایل های فلش که در صفحات وب قرار گرفته و توسط مرورگر اجرا می شوند، نوعی از اپلت ها هستند. این Appletها که اغلب از طریق برنامه Java نوشته شده اند، توسط مرور‌گرها به حافظه بار‌گذاری می ‌شوند. یکی از متداول ‌ترین و مخرب ‌ترین نوع حملات هكرها تولید Appletهای مخرب و قرار دادن آن ها بر روی وب سایت هاست. حمله از طریق FireWall در این روش هكر پورت ‌های باز در فایروال را مورد بررسی قرار داده و سعی می ‌كند راه‌ های ارتباطی را باز نماید. دانستن این كه كدام پورت فایروال شما باز است، از اطلاعات بی‌ نهایت سودمند است. برای مقابله با این حمله بهترین عمل این است كه تمام پورت‌ های باز و بدون استفاده را ببندید. حمله به گذر واژه ها این نوع حمله یكی از پر‌طرفدارترین و كارآمد‌ترین نوع حمله‌ ها در میان هکرها می‌ باشد. مشاهده شده است که در اغلب سازمان ‌ها كلمات عبور بسیار ضعیف از بسته های اطلاعاتی بسیار مهم حفاظت می کنند و متأسفانه با وجود سیستم‌ های امنیتی، این كلمات عبور ضعیف به راحتی كشف شده و هكر به این اطلاعات دسترسی پیدا می‌كند. برای مقابله با این حملات می باید كلمات عبوری انتخاب كنید كه در فرهنگ لغات نباشند. كلمه‌ هایی كه از یك سری عدد و حروف درهم ریخته بزرگ و کوچک و نشانه ها تشكیل می ‌شوند درصد احتمال بسیار كمی برای كشف شدن دارند. روشی که هکرها برای حمله به گذر واژه ها از آن بهره می گیرند Brute Force نام دارد. حمله جستجوی فراگیر (Brute Force Attack) حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌گردد. در این روش هکر با استفاده از نرم افزار های مخصوص سعی می کند تمام عبارت های ممکن را برای رسیدن به پسورد موردنظر بررسی کند. شنود داده‌ ها شنود داده ها از طریق Snifferها صورت می گیرد. Snifferها ابزارهایی هستند که هکرها از آنها در سطح لایه ارتباطی استفاده می‌کند. این برنامه ترافیک جاری بر روی شبکه‌ محلی را جمع آوری و شنود کرده و بخش ‌های مفید آن را در اختیار هکر قرار می‌دهد. از آنجایی که یک sniffer فقط به شنود داده ها و پاییدن ترافیک بسته های IP می ‌پردازد و هیچ‌ گونه تغییری در ماهیت اطلاعات ایجاد نمی‌کند، لذا عملیات انجام شده از دیدگاه ماشین ‌های شبکه مخفی می‌ ماند و به سادگی قابل کشف نیست. حمله به امنیت شبکه از طریق snifferها یکی از خطرناک ‌ترین حملات غیر فعال محسوب می‌شود و به سادگی قابل کشف نیست. sniffer امکان دزدیدن داده های جاری بر روی یک شبکه‌ی محلی را به طور آنی دارد و آن ها را در اختیار هکر قرار می‌ دهد. جعل كردن یك وب در این روش یك نسخه از وب سایت (معمولا وب سایت های بسیار مهم و حیاتی نظیر بانک ها، ثبت اسناد و ...) كپی برداری می‌ شود. وب سایت كپی شده دارای تمام ظواهر وب اصلی است، اما در پس زمینه كلمات عبور و رمزهای وارد شده توسط بازدیدكنندگان این سایت جعلی، برای هكر ارسال می‌ شوند و تمام اعمال زیر نظر وی انجام می‌ گیرند. برای آن كه یكی از قربانیان حملات در سایت‌ های وب نباشید و هكر نتواند از طریق وب به شناسایی شبكه شما اقدام كند، سعی كنید كه میزان حساسیت و سطح امنیت مورد نیاز شبكه را مورد بررسی قرار دهید. موارد احتیاط: به طور دوره ای پسورد ایمیل ها،کنترل پنل، ftp و ... خود را تغییر دهید. پسورد ها را حداقل شامل حروف بزرگ، حروف کوچک، اعدا و کاراکتر های خاص نظیر @،# و... انتخاب نمایید. ماژول ها و افزونه های مورد استفاده سایت را (مخصوصا هنگام استفاده از سیستم های مدیریت محتوا نظیر جوملا و وردپرس و...) همواره به آخرین نسخه آپدیت نمایید. کامپیوتر خود را مجهز به آنتی ویروس و آنتی spywareهای آپدیت شده نمایید. به هیچ وجه صفحات مشکوک اینترنتی را باز نکنید. به ایمیل های ناشناس پاسخ ندهید . اطلاعات (رمزها) سایت خود را تنها به افراد قابل اطمینان ارئه نمایید.