بایگانی

چگونه به سایت وردپرسی شما حمله می شود ؟

اینکه یک هکر چگونه به سایت وردپرسی شما حمله می کند ، شامل دو مرحله اصلی است.

در مرحله اول وی تلاش می کند تا در مورد وب سایت شما تا جای ممکن اطلاعات به دست آورد.

در مرحله بعد از این، اطلاعات به منظور حمله به سایت وردپرسی و در اختیار گرفتن کنترل سایت استفاده می کند.

حمله به سایت وردپرسی

جمع آوری اطلاعات:

در این مرحله ،هکر تلاش می کند تا کلیه نرم افزارهایی که شما برای راه اندازی وب سایت خود استفاده می کنید را شناسایی کرده و نسخه آن را تشخیص دهد.

همچنین نسخه وردپرس شما را شناسایی می کند.

چرا که بر روی اینترنت می توان به راحتی فهرستی از کلیه نرم افزارها به همراه شماره نسخه و حفره های امنیتی موجود در آن نسخه یافت.

حتی نرم افزارهایی که برای مدیریت پایگاه داده خود نصب می کنید مانند phpmyadmin می تواند مورد هدف واقع شود.

یا اگر برای پشتیبان گیری از سایت، تمامی فایل ها را در یک زیرشاخه کپی می کنید،

باید بدانید که این فایل ها روی وب قابل دسترس هستند و

میتوان با استفاده از  آنها اسکریپت های مخرب اجرا کرد.

همچنین هکرها تلاش می کنند تا کلیه افزونه ها و پوسته های نصب شده در وب سایت شما را شمارش

کرده و نسخه آن را تشخیص دهند.

تذکر: همواره سعی کنید تمامی نرم افزارهای نصب شده روی وب سایت خود را بروز نگه دارید و از نرم افزارهایی مانند Wordfence برای مخفی کردن نسخه برنامه های نصب شده استفاده کنید.

علاوه بر آن wordfence قابلیت مفید دیگری نیز در اختیار شما قرار میدهد که هر زمان نسخه وردپرس یا پوسته و افزونه های نصب شده شما نیاز به ارتقا داشت، از طریق ایمیل به شما اطلاع می دهد.

مرحله بهره برداری از اطلاعات و حمله به سایت وردپرسی :

این مرحله، نسبت به مرحله قبل آسان تر است،

چراکه اطلاعات زیادی در مورد نسخه های مختلف نرم افزارها و آسیب پذیری های آن وجود دارد.

بنابراین کار دشواری پیش روی هکرها نخواهد بود.

حمله به سایت وردپرسی می تواند از قسمتهای مختلف صورت گیرد از جمله:

صفحه ورود:

این صفحه یکی از شایع ترین هدف های حمله است. ربات هایی وجود دارند که در این صفحه شروع به حدس زدن رمز عبور می کنند.

به این حملات، بروت فورث ۱۵ گفته می شود.

کدهای PHP:

کدهای PHP مختلفی که در سایت شما قرار دارد از جمله خود وردپرس، پوسته ها، افزونه ها و هر برنامه ای که روی سایت شما نصب شده است می تواند آسیب پذیر باشد.

روش های این نوع از حمله به سایت وردپرسی که در مرتبه دوم از شیوع قرار دارد .

بسیار متنوع و گسترده است.

ارتقای سطح دسترسی:

در این روش، هکر در سایت شما به عنوان یک کاربر معمولی و با سطح دسترسی پایین ثبت نام می کند.

البته چنانچه امکان ثبت نام را فعال کرده باشید.

سپس تلاش می کند با سوء استفاده از باگ های نرم افزاری، به سطح دسترسی بالاتری مانند مدیر سایت، ارتقا پیدا کند.

برنامه های وب قدیمی یا محافظت نشده:

ممکن است شما نسبت به امنیت وردپرس خود محتاط بوده و تمام موارد امنیتی را رعایت کرده باشید.

در این صورت هکر به دنبال سایر نرم افزارهای نصب شده می گردد که ممکن است به روزرسانی نشده و آسیب پذیر باشند.

سرویس XMLRPC:

این سرویس می تواند به هکر امکان انجام حمله ی، حدس رمزعبور بدهد.

این سرویس در گذشته به حمله کنندگان اجازه می داد از طریق سایت شما به سایر سایت ها حمله کنند.

با این حال قابلیت های خیلی خوبی در اختیار می گذارد که باعث

میشود غیرفعال کردن آن کار درستی به نظر نیاید.

دسترسی از طریق فایل های موقتی:

شما ممکن است روی وب سایت خود اقدام به ویرایش یک سری از فایل ها مانند wp – config . php بکنید.

در بعضی از نرم افزارهای ویرایش متن مانند vim، این امر موجب ایجاد شدن فایل های موقتی می شود که به صورت عمومی در دسترس خواهند بود و شامل اطلاعات ورود به پایگاه داده شما هستند.

هکرها به دنبال این فایل ها می گردند و از آن سو استفاده می کنند.

فایل های config در مخازن کد منبع:

مخازن کد مانند گیت هاب و ساب ورژن،

فایل هایی می سازند که حاوی اطلاعات حساسی است. اگر اجازه دهید این فایل ها به صورت

عمومی در دسترس باشند بهترین گزینه برای نفوذگران خواهند بود.

میزبان های اشتراکی:

برخی از میزبانها برای کاهش هزینه ها، فایل های وب سایتهای مختلف را به صورت اشتراکی ذخیره می کنند.

چنانچه همراه سایت شما یک سایت مخرب قرار داشته باشد، سایت شما به راحتی مورد تهاجم واقع خواهد شد.

راه هایی که یک هکر می تواند به سایت شما نفوذ کند بسیار زیاد است.

بنابراین سعی کنید همواره از نسخه نرم افزارهای خود آگاه باشید و مطمئن باشید که آسیب پذیری خاصی در آن وجود نداشته باشد.

چگونه از خود در برابر حملات محافظت کنید؟

موارد زیر را همواره رعایت کنید تا سایت شما ایمن بماند:

برای تمام کاربران از رمزعبور قوی استفاده کنید.

میزبانی را برگزینید که دارای معروفیت و اطمینان کافی باشد و چنانچه جزو میزبانهای

اشتراکی است، در آن وب سایت های مختلف از یکدیگر ایزوله باشند.

وردپرس، افزونه ها و پوسته های خود را بروز نگه دارید. .

از یک سیستم محافظت در برابر نفوذ مانند Wordfence استفاده کنید.

کلیه برنامه های قدیمی و بروز نشده، همچنین نسخه های اضافی از پشتیبان ها را از روی وب سایت خود حذف کنید.

اطمینان حاصل کنید که هیچ گونه فایل موقتی با محتوای حساس روی سایت شما قرار ندارد.

اطمینان حاصل کنید که هیچ فایل حساسی را روی مخازن کد به صورت عمومی قرار نداده باشید.

منبع:کتاب امنیت تمام قوا در وردپرس – دیباگران تهران

چگونه در برابر حمله DDoS در وردپرس مقاومت کنیم؟

حمله DDoS به وردپرس یکی ازموارد متداول روش های هک درارتباط با امنیت وردپرس است که با آن روبرو هستیم.

اولین راه برای ایمن ماندن در مقابل آن، انتخاب میزبان (Host) قوی است که از فایروال های سخت افزاری و نرم افزاری به خوبی بهره ببرد.

اما گاهی به دلایل مختلفی چون عدم انتخاب میزبان مناسب برای سایت یا عدم در اختیار داشتن بودجه کافی برای خرید هاست از سرور با کیفیت و یا حتی با داشتن سرور قدرتمند،

اما شدت بالای حملات به حدی است که سرور توان مقابله با آن را ندارد،

این موارد می تواند منجر به قطع سرویس یا کندی سرعت سایت شود.

با این تفاسیر، حتی اگر یک مدیر سرور باتجربه هستید و از کانفیگ امنیتی خود اطمینان دارید،

همچنان پیشنهاد می شود که از استراتژی «پیشگیری بهتر از درمان» بهره ببرید.

چرا که امنیت هیچ گاه ۱۰۰٪ نیست و به قول معروف کار از محکم کاری عیب نمی کند!

سرویس هایی وجود دارند که می توانند یک لایه امنیتی بیشتر برای کل سایت باشند،

که معروف ترین آنها Cloudflare.com است.

کلودفلر ( CloudFlare )

در صورت استفاده از این سرویس، کل ترافیک سایت شما از CloudFlare عبور خواهد کرد.

این سرویس با بیش از ۷ میلیون کاربر، نه تنها توانایی مقابله با حمله DDoS تا ۶۰۰ گیگابیت بر ثانیه را دارد،

بلکه امکانات امنیتی دیگری از جمله WAF یا Web Application Firewall را برای تعریف قوانین سفارشی مثل

بستن رنج آی پی کشوری خاص، دفع حملات SQL Injection XSS و غیره را خصوصا برای وردپرس در اختیارتان قرار می دهد.

به علاوه ارائه SSL رایگان به منظور ایجاد ارتباطات امن و همچنین Argo Tunnel برای رمزنگاری و امنیت بیشتر ارتباطات و امکانات امنیتی دیگری که در اینجا توضیح همه آنها گنجانده نمی شود،

سرویس های جذاب دیگر مانند CDN نیز برای افزایش سرعت سایت وجود دارد و

جالب آنکه اغلب این سرویس ها رایگان بوده و برای کاربران ایرانی قابل استفاده می باشد.

حال که دیدید آن سوی ابرها چه خبر است، بگذارید کمی به درون آن رفته تا از نحوه عملکرد آن آگاه شویم.

درواقع مکانیزم کار کلود فلر به این شکل است که وقتی از آن استفاده می کنید،

بجای DNS های سایت خود،

باید دی ان اس کلود فلر را تنظیم نمایید و به این شکل اولا DNS و IP سرور خودتان مخفی می شود و

این یعنی از حمله DDoS در امان خواهید بود،

دوما كل ترافیک سایت شما بر بستر کلود فلر منتقل خواهد شد و این ویژگی های بسیاری دارد.

مقابله با حمله DDoS در وردپرس
مقابله با حمله DDoS در وردپرس

ویژگی مثبت دیگری که باعث شد در اینجا به معرفی این سرویس بپردازیم، سازگاری کامل آن با وردپرس است.

کلود فلر حتی افزونه ای برای وردپرس طراحی کرده

که تاکنون بیش از ۲۰۰ هزار دانلود در مخزن افزونه های وردپرس داشته و

به منظور انجام تنظیمات بهینه روی وردپرس می باشد.

منبع:کتاب امنیت تمام قوا در وردپرس – دیباگران تهران

مانیتورینگ، هوشمندترین ابزار امنیتی در وردپرس

مانیتورینگ ، هوشمندترین ابزار امنیتی است.

چرا که در سامانه های امنیتی پیاده سازی شده

به هر حال می توان حفرهای یافت که در مقابل انسان ناتوان باشد.

اما انسان در مقابل انسان یک سپر دفاعی کاملا هوشمندانه محسوب می شود.

مانیتورینگ یا نظارت، حوزه وسیعی است که نه تنها در دنیای مجازی،

بلکه در دنیای واقعی از گذشته های دور، برای برقراری امنیت از آن استفاده می شده است.

به عنوان مثال نقش نگهبان یا دوربین های مداربسته، همان مانیتورینگ است.

مانیتورینگ امنیتی در وردپرس

در واقع این گونه نیز می توان تعبیر کرد که با استقرار سیستم های امنیتی

و بررسی های اولیه ما امنیت را تامین می کنیم و

با استفاده از مانیتورینگ کاری می کنیم که امنیت همیشه در بالاترین حد خود برقرار باشد و

این دو دقیقا نقش مکمل را ایفا می کنند. .

وقتی که مدیر شبکه یا یک مدیر وب سایت تاکید بر ثبت Log (گزارش گیری) بر اساس زمان دقیق دارد،

یعنی به اهمیت بالای مانیتورینگ آگاهی دارد.

در حقیقت مانیتورینگ یعنی رصد کامل هر اتفاق و ثبت آنها بر محور زمان با این تفاسیر،

هنگام وجود رخدادهای غیرعادی، از وجود تحدید یا خطری در آینده مطلع می شویم.

یا اگر در آینده مشکل امنیتی رخ داد، با رجوع به گذشته و بررسی وقایع ثبت شده

می توانیم رد پای هکر را پیدا کرده و راه نفوذ را کشف کنیم تا دگرباره شاهد ورود نفوذگر از آن حفره امنیتی نباشیم.

به عنوان مدیر امنیت، در بحث مانیتورینگ، تمامی فعالیت کاربران را باید بررسی کنید و به محض تغییر در هر یک از موارد زیر لازم است در جریان قرار بگیرید:

  • تغییر تنظیمات سایت موفقیت یا عدم موفقیت کاربران در ورود به سایت
  • ایجاد و انتشار پست یا صفحه جدید در سایت
  • ایجاد کاربر جدید، یا حذف کاربر قدیمی
  • نصب و یا تغییر در افزونه ها
  • تغییرات قالب سایت
  • آپلود فایل

منبع: کتاب امنیت تمام قوا در وردپرس – دیباگران تهران

متداول ترین روش های حمله به وردپرس

داشتن دانش عمومی امنیت و اشراف بر شیوه های متداول حمله به وردپرس

ضمن افزایش آگاهی برای جلوگیری از نفوذ به سایت شما موثر است.

با توجه به اینکه سیستم مدیریت محتوای وردپرس با زبان برنامه نویسی PHP کدنویسی شده است،

بیشترین حمله به وردپرس ، روی سایر اسکریپت های مبنی بر پی اچ پی صورت می گیرد،

در ادامه با بیان ساده و روان به بررسی برخی از متداول ترین نوع حمله ها به وردپرس می پردازیم.

حمله به سایت وردپرسی

 1.حملات XSS

XSS یا Cross – Site Scripting معروف به تزریق کد بوده و یکی از رایج ترین نوع حمله به وردپرس است.

روش های حمله به وردپرس - حملات XSS

در این نوع حمله به وردپرس ، کوکی و سشن کاربران به سرقت می رود

و سپس نفوذگر قادر خواهد بود با نام کاربر لاگین کرده و به اطلاعات موردنظر دست یابد.

شاید آن کاربر ادمین باشد.

در حالت پیشرفته این نوع حمله به وردپرس ، هکر تسلط کاملی بر صفحه وب خواهد داشت.

در این روش نفوذ زمانی امکان پذیر خواهد بود که ضعف برنامه نویسی وجود داشته باشید.

از آنجایی که وردپرس از نظر کدنویسی به صورت حرفه ای اجرا شده

و برنامه نویسان خبرهای آن را نوشته اند،

معمولا این حمله به وردپرس ،به ندرت آسیبی در پی دارد، مگر اینکه از افزونه های نامطمئن استفاده کنید.

2.حملات Brute Force

به جرات می توان گفت متداول ترین نوع حمله به وردپرس ، حملات Brute Force است.

روش های حمله به وردپرس - حملات Brute Force

در صورتی این حملات رخ خواهد داد که نفوذگر آدرس ورود به پنل مدیریت را بداند و

در صورتی موفق خواهد شد که از نام کاربری پیش فرض مثل Admin و رمز عبور ساده مثلا با ترکیبی فقط از اعداد استفاده کنید،

و هیچ تردیدی به خود راه ندهید که اگر این گونه باشد هک سایت ۱۰۰٪ قابل انجام است.

گاهی این حملات به راحتی به بیش از هزار بار در ساعت می رسد.

ساده ترین راه انتخاب رمز عبور قوی همان طور که ذکر شد،

این است که حتما ترکیبی از کاراکترهای مختلف باشد،

علاوه بر آن از نام کاربری پیش فرض استفاده نکنید.

با رعایت این موارد، تا حد بسیار زیادی در مقابل این نوع حمله به وردپرس مقاوم می شوید.

اما به منظور داشتن امنیت بیشتر، لازم است که با قابلیت مسدودسازی را اضافه کنید

و یا به کلی آدرس صفحه ورود به پنل مدیریت را تغییر دهید که قطعا تغییر آدرس بهترین روش خواهد بود.

چراکه حتی مسدودسازی آی پی ها به دلیل استفاده هکر و یا ربات ها از آی پی مجازی

جهت دفع کامل حملات پاسخگو نخواهد بود.

ترجیحا از تمامی لایه های امنیتی استفاده کنید.

به هر حال همان گونه که هکر فردی هوشمند است، شما نیز باید مدیری هوشمند و حتی باهوش تر از نفوذگر باشید.

3.حملات DDoS

حملات Distributed Denial of Service نیازی به معرفی ندارد، چرا که از گذشته دور مطرح و متداول بوده است.

روش های حمله به وردپرس - حملات DDoS

زمانی هکر از این روش استفاده می کند که راه نفوذی نمی یابد و هدفش تحمیل هزینه و خسارت به سایت می باشد.

در نوع این حمله به وردپرس ،سرور سایت مورد هدف قرار می گیرد و آن قدر ترافیک و درخواست روانه آن می شود

تا سرور توان پاسخگویی به آن را نداشته و در نتیجه دچار اختلال شود.

به زبان عامیانه، هکر آنقدر حمله می کند تا سرور هنگ کرده و سایت به کاربران نمایش داده نشود

یا با سرعت خیلی کند بارگذاری شود.

به منظور مقابله با این حمله به وردپرس ، کانفیگ امنیتی سرور حائز اهمیت است.

البته از طریق وردپرس نیز راه حلی وجود دارد که در گزینه بعد، یعنی xmlrpc شرح داده می شود.

4.حملات XML – RPC

پروتکل XML – RPC به منظور فراخوانی دستورات از راه دور در بستر HTTP طراحی شده که می توان آن را مشابه API گرفتن دانست.

روش های حمله به وردپرس -XML - RPC

در واقع به کمک این پروتکل می توان با ایجاد اپلیکیشن هایی در ویندوز یا گوشی های موبایل، از راه دور به

مدیریت سایت پرداخت.

تمامی انواع حملات که تا به اینجا معرفی شد، روی انواع اسکریپت و سایت ها در اینترنت اثرگذار می باشد.

اما این نوع حمله به صورت ویژه روی وردپرس اثرگذار است.

به طوری که گاهی بر اثر حملات زیاد عملا سایت کند شده

و مجبور به غیرفعال سازی قابلیت XML – RPC وردپرس می باشید.

از طرفی غیرفعال سازی این پروتکل باعث اختلال در عملکرد برخی

افزونه های وابسته به این پروتکل خواهد شد.

وردپرس زمانی قابلیت -XML RPC را به صورت پیش فرض فعال نمود که این پروتکل به پایداری و امنیت مناسبی رسید.

اما با این وجود، هکرها همچنان با ارسال درخواست های فراوان،

از امکانات این پروتکل به منظور حملات DDoS و یا Brute force سو استفاده می نمایند.

چندین روش مختلف برای غیرفعال سازی این پروتکل در وردپرس وجود دارد که ساده ترین راه، استفاده از افزونه

Disable XML – RPC

و یا افزونه های امنیتی است.

همچنین با استفاده از فایل htaccess در هاست می توان این افزونه را غیرفعال کرد.

5.حملات SQL Injection

تزریق SQL یکی از رایج ترین نوع حملات به سایت ها است، که وردپرس نیز در صورت عدم به روزرسانی سریع و عدم استفاده از افزونه های مطمئن، از آن مصون نیست.

روش های حمله به وردپرس - SQL Injection

در این نوع حمله به وردپرس ، هکر پس از کشف حفره امنیتی،

کد دلخواهش را روی دیتابیس اجرا می کند که این مورد می تواند بسیار خطرناک باشد.

به عنوان مثال در صورت وجود حفره و امکان اجرای دستور روی پایگاه داده،

هکر می تواند رمز مدیر سیستم را تغییر دهد.

ضعف در برنامه نویسی و عدم مدیریت صحیح داده های ارسالی از سمت کاربران، دلیل اصلی بروز SQL Injection می باشد.

منبع:کتاب امنیت تمام قوا در وردپرس – دیباگران تهران

9 ترفند برای ارتقای امنیت سایت وردپرسی

پایبندی به نکات زیر در رابطه با حفظ و افزایش امنیت در وردپرس ،

می تواند امنیت داده هایتان را تا حد بسیار زیادی در مقابل حمله هکرها محافظت نماید.

1.همیشه به روز باشید:

به دلیل اهمیت زیاد به روزرسانی سریع و به موقع وردپرس،

در هنگام انتشار نسخه جدید، تاکید می شود.

هنگامی که نسخه ای جدید از وردپرس منتشر می شود،

تمامی ایرادات قبلی از جمله مشکلات امنیت در وردپرس

 codex.wordpress.org/Category:Versions

منتشر میشود و در نتیجه تمامی نفوذگران از آن آگاه می شوند.

اگر در به روزرسانی تعلل ورزید و هکری قصد نفوذ به سایت شما را داشته باشد،

به محض انتشار نسخه جدید چنانچه مشکل جدی در امنیت در وردپرس باشد،

شانس بیشتری برای نفوذ به سایت شما خواهد داشت.

به روزرسانی چندان دشوار نیست و

فقط با کلیک روی یک دکمه به صورت خودکار انجام می شود و

یا حتی می توانید افزونه هایی به منظور آپدیت خودکار نصب کنید

تا به هنگام انتشار نسخه جدید، به صورت خودکار آپدیت وردپرس به نسخه بالاتر را انجام دهند و

از این بابت خیال خود را راحت کنید.

همچنین به روزرسانی صرفا به روزرسانی وردپرس نیست و

تمامی افزونه ها با اولویت بعدی نیاز به به روز رسانی دارند،

چرا که گاهی افزونه ها نیز به دلیل مشکلات امنیتی نسخه جدید آنها ارائه می شود.

2.تغییر پیشوند جداول وردپرس:

جداول وردپرس در حالت پیش فرض، با پیشوند _wp شروع می شوند، البته اگر در هنگام نصب،

این پیش فرض را تغییر نداده باشید.

کلیه موارد این چنینی که به صورت پیش فرض برای همگان آشکار است می تواند یک ضعف امنیتی باشد.

چون بانک اطلاعاتی هر وب سایت مهم ترین جزء آن است

چرا که تمامی داده ها از جمله نام کاربری و رمز عبور کاربران در آن قرار دارد.

برای فرد نفوذگر دانستن نام یک جدول گامی بزرگ برای رسیدن به هدف است

چراکه با اجرای کدهای SQL روی جدول موردنظر از طریق حملات SQL injections می تواند تغییرات مدنظر را اعمال نماید.

البته این مورد زمانی اهمیت می یابد که امنیت سرور شما در مراقبت از پایگاه داده ضعیف باشد.

اما تا جایی که می توانیم باید کارمان را محکم کنیم

و تغییر پیشوند پیش فرض جداول وردپرس مانع از آن می شود که هکر نام جدول را حدس بزند.

افزایش امنیت دروردپرس

به عنوان مثال همه ما می دانیم اگر پیشوند جداول وردپرس تغییر نکرده باشد نام جدول تنظیمات wp _ options است.

اگر در هنگام نصب، پیشوند (Prefix) پیش فرض جداول را تغییر داده اید چه بهتر، اما اگر این گونه نیست

یادتان نرود هر چه سریع تر این کار را انجام دهید.

3.تغییر آدرس پنل مدیریت:

اگر کسی درب ورود به یک خانه را بلد نباشد، به چه میزان کار او دشوار خواهد شد؟

باید از دیوار بالا رود، البته اگر صاحب خانه باشد. این مورد یکی از پایه ای ترین توصیه ها برای ارتقاء امنیت وردپرس است

با این حال اکثر کاربران نسبت به آن بی توجه هستند.

به عنوان مثال چند سایت وردپرسی را پیدا کنید و به انتهای آدرس آنها wp – admin را اضافه نمایید.

خواهید دید که شاید از هر ده سایت، در ۹ مورد به راحتی پنل ورودی سایت بارگذاری می شود.

با تغییر آدرس ورود به سایت، از شدت یکی از متداول ترین حملات،

یعنی حملات حدس رمز Brute Force به میزان قابل توجهی کاسته می شود.

البته هکرهای حرفه ای تر با اسکن کردن می توانند آدرس جدید را بیابند،

که در اینجا نیز راهکاری وجود دارد و

ما آدرس را در صورتی نمایان خواهیم کرد که یک کوکی روی سیستم کاربر فعال باشد و عملا این نوع حملات به صفر می رسد.

در این خصوص در فصل بعدی به صورت کامل بحث می شود.

4.تغییر نام کاربری پیش فرض:

یکی از رایج ترین اشتباهات در وردپرس این است که هنگام

نصب وردپرس نام کاربری admin برای مدیر سایت انتخاب می شود.

حملاتی که بر اساس حدس رمز انجام می گیرد

به صورت پیش فرض نام کاربری admin را با رمزهای مختلف تست می کند.

در نتیجه چنانچه نام کاربری متفاوت و سختی داشته باشید سطح امنیت شما نیز بالاتر خواهد بود.

چرا که اگر رمز شما نیز کشف شود اما نام کاربری اشتباه باشد، هکر موفق به ورود نخواهد شد.

البته حتی با تغییر نام کاربری، هکر به راحتی خواهد توانست از طریق لینک نویسنده نام کاربری شما را بیابد.

5.تعیین سطوح دسترسی مناسب:

از جمله پایه ای ترین قوانین امنیت، در نوع دسترسی کاربران و ارائه سطح دسترسی مناسب به آنها جهت استفاده از فایل ها و پوشه ها است.

اغلب دسترسی ها در حالت پیش فرض روی ۷۷۷ است. این به معنای دسترسی آزاد به یک پوشه است.

دسترسی آزاد یعنی امکان سه عمل Write ، Read و Execute توسط کاربر وجود دارد.

این سطح دسترسی به خصوص برای برخی از فایل های حساس از جمله فایل تنظیمات یا wp – config . php می تواند بسیار خطرساز باشد.

از طرفی با اعمال سطح دسترسی نامناسب به برخی از پوشه ها این حالت به وجود می آید که سایت به خوبی کار نکند،

به عنوان مثال عدم دسترسی به پوشه تصاویر می تواند هم جلوی آپلود تصاویر را بگیرد و هم لود سایت را بامشکل روبرو کند.

ترجیحا دسترسی پوشه ها ۷۵۵ و فایل ها روی ۶۴۴ باشد.

6.پشتیبان گیری منظم:

معمولا زمانی به اهمیت داده ها پی می برید که داده هایی که چندین سال برای دستیابی به آن زحمت کشیده اید از بین برود!

مگر آنکه یک برنامه منظم برای پشتیبان گیری از داده ها برنامه ریزی کرده باشید.

معمولا اکثر مدیران وب، به پشتیبان گیری توسط شرکت هاستینگ اکتفا می کنند و خود برنامه ای برای این مهم ندارند.

گاهی اوقات

شرکت هاستینگ شما حرفه ای نبوده و به صورت هفتگی یا ماهانه بکاپ می گیرد که هیچ اعتمادی نیز نمی توان به آن داشت.

بنابراین گام اول انتخاب باکیفیت ترین و مطمئن ترین شرکت میزبانی تخصصی وردپرس و

گام بعدی اهمیت دادن فراوان به بحث پشتیبان گیری است، که برای پشتیبان گیری راهکارهای زیادی وجود دارد.

برای گرفتن پشتیبان هم می توان آن را به افزونه ها سپرد تا به صورت خودکار انجام شود

و هم به صورت دستی از هاست و هم به صورت تهیه هاست پشتیبانی و تنظیم برای انتقال خودکار بکاپ هاست در بازه های زمانی معین شده.

در کنار انتخاب شرکت هاستینگ مناسب که خود حداقل به صورت هفتگی از کلیه داده های شما بکاپ می گیرد،

حتما یکی از موارد ذکر شده را جهت امنیت بیشتر داده ها انجام دهید.

7.انتخاب میزبان (Host) قوی:

بدون شک می توان گفت بیشتر از ۵۰٪ حملاتی که در نهایت منجر به نفوذ می شوند، مربوط به ضعف امنیتی در سرور هستند و مقصر وردپرس شما نیست.

توصیه می شود جهت انتخاب شرکت هاستینگ مناسب حتما تحقیقات لازم را انجام دهید و از مدیران فعال مشورت های لازم را بگیرید.

8.افزونه های دینامیت دار:

کمی پیش تر شما را از اهمیت به روزرسانی وردپرس و افزونه ها آگاه کردیم،

به طوری که حتی زمانی که یک افزونه معتبر دارید عدم به روزرسانی می تواند خطرساز شود.

حال صحبت اینجاست دریافت افزونه از منابع غیر معتبر چه خطراتی را به دنبال خواهد داشت.

اینکه وب سایتهایی شما را با شعارهایی از قبیل دریافت رایگان افزونه های لایسنس دار

ترغیب به نصب افزونه نمایند، می تواند کدهای مخربی را به سیستم سایت تزریق نماید.

به جهت دوری از این مسائل پیشنهاد می شود

تمامی افزونه های خود را از مخزن رسمی افزونه های وردپرس که از طریق پنل مدیریتی وردپرس در دسترس است دانلود نمایید.

9.استفاده از آخرین ورژن PHP:

به منظور کارایی بهتر و امنیت بیشتر، همواره سعی داشته باشید، از آخرین ورژن پی اچ پی در هاست خود استفاده نمایید.

تغییر ورژن پی اچ پی در هاست امکان پذیر است؛

اما اگر که این قابلیت وجود ندارد، می توانید با شرکت هاستینگ خود تماس گرفته و راهنمایی لازم را از آنها بگیرید.

به انتخاب میزبان مناسب، بروزرسانی مرتب وردپرس و انتخاب رمز عبور پیچیده اهمیت ویژه ای دهید.

منبع: کتاب امنیت تمام قوا در وردپرس – دیباگران تهران

نکات عمومی و پایه ای برای ارتقای امنیت در وردپرس

در این مقاله به نکات ابتدایی و پایه برای ارتقای امنیت در وردپرس میپردازیم

1.نکاتی که برای امنیت بیشتر وردپرسباید رعایت کرد:

با ترکیب کاراکترها رمز عبوری شکست ناپذیر بسازید

یکی از رایج ترین دلایل هک شدن رمز عبور کاربران، سادگی آن است.

سادگی به این معنا که رمز عبور فقط شامل اعداد است این را در نظر بگیرید که وقتی تنها از اعداد استفاده می کنید،

به عنوان مثال، رمز ۱۲۳۴۵۶ را انتخاب می کند،

ترکیب این اعداد خارج از شمارش نیست و چنانچه عملیات حدس رمز بر اساس شمارش باشد

(یعنی شمارش از اولین عدد شش رقمی شروع شود تا بی نهایت)

دیر یا زود عدد انتخابی شما آشکار می شود.

اما فرض کنید که فقط چند کاراکتر اضافی مثل @#$& با حروف انگلیسی داخل کلمه عبور شما وجود داشته باشد،

آیا باز هم به راحتی حدس زده خواهد شد؟ مطابق با صحبتی که در مقدمه داشتیم،

در این حالت، آن قدر حدس رمز دشوار خواهد شد که هکر از آن صرف نظر خواهد نمود.

در نتیجه اگر عاشق امنیت بیشتر هستید، حتما از کاراکترهای عجیب استفاده کنید.

به کار گیری لایه دوم امنیتی

یک ورود دومرحله ای بهتر از یک رمز عبور هزار کاراکتری:

فرض را بر این بگیریم که رمزتان هر چند سخت ولی لو رفت،

در اینجا افرادی برنده هستند که

به یک لایه امنیتی اکتفا نکرده و راهکاری چون لایه دوم امنیتی را برای بدترین حالت پیش بینی کرده اند.

لایه دوم امینی به مراتب قوی تر از لایه اول طراحی می شود تا

اگر نفوذگر آنقدر قوی بود که توانست از مرحله اول امنیتی عبور کند،

در مرحله بعدی با مانعی روبرو شود که نامید شده و از پیشروی صرف نظر کند.

به عنوان مثال اگر لایه دوم به این شکل طراحی شده باشد که کد رمز تصادفی را به شماره شما پیامک کند،

آیا هکر به آن دسترسی خواهد داشت؟ طبیعتا خیر، مگر اینکه از دوستان نزدیک شما باشد.

پس چنانچه سایت این امکان را به شما می دهد، حتما از آن استفاده کنید.

ارتقای امنیت در وردپرس با انتخاب پسوردهای ناهمسان:

همیشه به یاد داشته باشید که یک هکر، صرفا دانش فنی ندارد،

بلکه یک مهندس اجتماعی نیز هست. این مهندس اجتماعی چنانچه قصد داشته باشد.

واقعا فردی را به دام بیاندازد،

همه جا به جستجوی رد پایی از آن فرد خواهد بود و در نهایت نیز موفق می شود.

یک هکر استراتژی دارد و به ضعیف ترین سایتی که در آن حضور دارید نفوذ خواهد کرد تا رمزعبور شما را به دست آورد و اگر مانند گذشته فکر می کردید امنیت ۱۰۰% است،

این بار هکر پیروز خواهد بود.

۲- مدیر هوشمند

غیرقابل پیش بینی باشید:

یک مدیر حرفه ای همواره باید یک لایه امنیتی بیشتر از حد معمول تعبیه کند و

حتی ساده ترین نکات را مورد توجه قرار دهد.

به عنوان مثال مسیرهای ورود به پنل مدیریتی سایت نباید به سادگی قابل حدس زدن باشد.

این مورد منجر به ارتقای بسیار زیاد در امنیت سایت می شود چرا که

در این صورت حتی اگر کاربرانتان به امنیت رمز عبور خود توجه چندانی نداشته باشند، باز هم سایت ایمن خواهد بود.

به این دلیل که هکر حتی قادر نخواهد بود صفحه ورود به سایت را پیدا کند،

به این شکل حتی با رمزعبور

ساده ای مانند ۱۲۳۴۵۶، کاربر شما ایمن خواهد بود.

انتخاب میزبان مناسب:

یکی ار موارد مهم برای ارتقای امنیت در وردپرس انتخاب هاست مناسب میباشد.

همان طور که در بالا اشاره کردیم،

در اغلب موارد امنیت سایت در وضعیت مطلوبی قرار دارد،

اما ضعف امنیتی سیستم کاربر است که باعث سرقت اطلاعات و در نتیجه هک شدن سایت می شود.

نمود این ضعف در انتخاب سرور نامناسب است.

اگر قوی ترین CMS را داشته باشید اما کانفیگ امنیتی قوی روی سرور سایتتان اعمال نشده باشد،

بدون شک راه برای نفوذگران به آسانی گشوده خواهد شد.

در نتیجه حتما در انتخاب شرکت هاستینگ از صاحبنظران مشاوره بگیرید و یا در اینترنت به تحقیق بپردازید،

چرا که گاهی میزبان نامناسب می تواند از اطلاعاتتان سو استفاده نیز بکند و

محدود کردن سطح دسترسی به منابع در وردپرس با هر سیستم مدیریت محتوای دیگری که امکان authorize یا تعیین سطح دسترسی وجود دارد،

همواره باید به این نکته توجه داشته باشید.

کاربران عادی که قادرند به عضویت سایت شما در آیند،

چه سطح دسترسی را خواهند داشت،

به عنوان مثال در تنظیمات وردپرس این امکان وجود دارد

که سطح دسترسی کاربری که تازه عضو می شود از کاربر عادی گرفته تا مدير تعیین شود!

چنانچه دقت لازم در دسترسی ها صورت نگیرد، امنیت شما با خطر جدی روبرو خواهد شد.

مانیتورینگ:

فرض کنید در تعیین سطوح دسترسی سهل انگاری رخ داده

و هکر شروع به سو استفاده از اطلاعات و داده های شما نموده است در حالی که شما از این موضوع اطلاعی ندارید.

یک مدیر حرفه ای امنیت،برای ارتقای امنیت در وردپرس همواره از ابزارهای موجود برای مانیتورینگ شبکه و یا سایت خود استفاده می کند تا

اگر احیانا به دلیل بی دقتی در جایی سهل انگاری رخ داده باشد با استفاده از مانیتورینگ و مشاهده گزارش های خودکار سیستمی سریعا به آن پی برده و درصدد رفع آن باشد.

مانیتورینگ یکی از قوی ترین روش های تضمین امنیت است.

استفاده از لایه های امنیتی مختلف:

 در قسمت امنیت کاربران اشاره کردیم که اگر سایت این امکان را فراهم آورده است که از لایه دوم امنیتی استفاده نمایید، حتما این کار را انجام دهید.

در اینجا نیز به عنوان مدیر سایت، باید لایه های امنیتی مختلفی را برای امنیت بیشتر کاربرانتان در نظر بگیرید.

به عنوان مثال در وردپرس پلاگین های بدون هزینه ای، مانند Google Authenticator وجود دارد که لایه دوم امنیتی را می توانید بر اساس ورود به جیمیل تنظیم نمایید. این یک نمونه لایه امنیتی است.

اما با اندکی خلاقیت می توانید از روش های متفاوت دیگری مانند قرار دادن سوال امنیتی، نیز استفاده کنید.

چگونه رمزهای طولانی را فراموش نکنیم

معمولا یکی از دلایلی که کاربران به دنبال رمزهای حرفه ای نیستند، ناتوانی در به خاطر سپاری یا ترس از فراموشی آن است.

در این خصوص قصد داریم دو روش بسیار ساده را معرفی کنیم تا به کمک آنها بتوانید هر گونه رمز سختی مشابه [email protected][email protected]*UGH

را به خاطر بسپارید.

از افزونه های مدیریت پسورد:

یکی از بهترین روش های ذخیره کلمه عبور و ورود خودکار به

سایت هایی که در آن حساب کاربری دارید، استفاده از افزونه های مدیریت پسورد در مرورگر است.

افزونه های مختلفی برای تولید رمزهای سخت و یا ذخیره آنها به وجود آمده است.

مهم ترین آنها افزونه LastPass است که ضمن به خاطر سپاری رمز های شما امکانات امنیتی فراوان دیگری در اختیار قرار می دهند. به عنوان مثال اینکه چه تعداد رمز یکسان دارید و چه چالش امنیتی برایتان به وجود خواهد آورد یا اینکه دسترسی به حساب کاربری شما فقط از رنج آی پی های یک کشور امکان پذیر باشد.

کافی است در قسمت نصب افزونه های مرورگر خود نام این افزونه را جستجو نمایید تا به سرعت پیدا شود و آن را نصب کنید.

سپس باید در آن عضو شوید تا امکان لاگین به حساب LastPass به عنوان اکانت مادر به وجود آید.

هم اکنون کافی است فقط نام کاربری و کلمه عبور حساب لست پس خود را به خاطر سپارید.

تمامی پسوردهای شما هنگام لاگین در سایت ها به صورت خودکار در این حساب کاربری ذخیره می شود 

فارسی بخوانید، انگلیسی بنویسید: 

بدون شک به منظور تولید پسورد خودکار و ذخیره کلمه عبور، استفاده از روش اول به دلیل استاندارد بودن و ماندگاری دائمی توصیه می شود.

اما روش مرسوم دیگری برای به خاطر سپاری رمزهای سخت وجود دارد.

در حالی که صفحه کلید شما روی زبان انگلیسی قرار دارد، یک واژه فارسی را تایپ کنید.

به عنوان مثال صفحه کلید انگلیسی است و می خواهم جمله “ما سال ۹۷ این کتاب را چاپ کردیم” را تایپ کنم، نتیجه به این شکل در خواهد آمد: lh shg 97 hdk ;jhf vh ]h\ ;vndl

که همان پسورد قوی مورد نظر ما است که آن را در هر سایتی وارد کنید با پیغام جذاب Strong Password روبرو خواهید شد!

مشاهده کردید که این رمز پیچیده به راحتی به خاطر سپرده می شود، چرا که کافی است شما جمله فارسی را در ذهن خود داشته باشید و از ظاهر کلمه عبور نیز مشخص است که به هیچ عنوان حدس زده نخواهد شد.

از انتخاب واژه های عبور پیچیده هراسی به خود راه ندهید، وگرنه بدون شک خیلی زودطعمه افراد نفوذگر خواهید شد

همچنین بهتر است بدانید که یک کلمه عبور استاندارد، شامل موارد زیر است:

حداقل یک کاراکتر با حروف بزرگ و یک کاراکتر با حروف کوچک انگلیسی

 حداقل یک عدد 

حداقل یک کاراکتر ویژه (مانند ! ؟ @ & # $) 

حداقل دارای طول ده کاراکتری باشد.

استفاده از پروتکل امن SSL

استفاده از کلودفار یکی دیگر از راهکارهای ارتقای امنیت در وردپرس است.

امنیت باید همه جانبه باشد، نه اینکه یک اسکرییت قدرتمند داشته باشید اما از سرقت داده ها در طول مسیر توسط شخص سوم بی اطلاع باشید!

 در گذشته، اغلب وب سایت ها، به جز سایت های مربوط به بانک ها و مراکز مهم، بر مبنای پروتکل http بودند، اما امروزه تاکید می شود که پروتکل SSL مبنای ارتباطات در هر وب سایتی باشد و تنها از ارتباطات https استفاده شود.

ترویج استفاده از پروتکل https به زمانی برمی گردد که گوگل همگان را به حرکت و تلاش برای داشتن ارتباطات امن تشویق کرد و برای سایت هایی که از پروتکل امن https استفاده می کردند امتیاز مثبتی در نظر گرفت.

پس از آن مرورگرها در نسخه های جدید خود، هر گاه به صفحاتی برخورد می کردند که نیاز بود کاربر فرمی را پر کند. در عین حال آدرس صفحه با https شروع نمی شد، هشداری مبنی بر اینکه این سایت از ارتباط امن استفاده نمی کند، نشان می دادند.

از طرف دیگر مرکز توسعه تجارت الکترونیکی به سایت هایی نماد اعتماد دو ستاره اعطا می کرد که حتما از پروتکل https یکساله استفاده کنند.

از طرف دیگر، برخلاف گذشته که گواهی های اس اس ال به صورت گران قیمت ارائه می شد، شرکت هایی اقدام به فروش گواهی های DV یک ساله با هزینه های بسیار مناسب کردند و به این شکل پروتکل SSL به ویژه در کشور ما به شکل گستردهای ترویج یافت.

ماهیت این پروتکل این است که اطلاعات را برای حرکت در طول مسیر، رمز گذاری می کند.

به زبان ساده تر، آنها را در یک صندوقچه محکم قرار می دهد که کلید این صندوقچه تنها در مبدا و مقصد وجود دارد.

حالا در طول مسیر چنانچه هکر یا شخص سومی توانست دادههای در حال ارسال را سرقت کند به هیچ عنوان قادر به رمزگشایی آن نخواهد بود

در حال حاضر ارائه دهندگان SSL رایگان و معتبر مانند سایت کلودفلر و Let’ s Encrypt وجود دارد.

منبع: کتاب امنیت تمام قوا در وردپرس / دیباگران تهران