12 تکنیک کاربردی افزایش امنیت وردپرس

افزایش امنیت وردپرس از مواردی است که همیشه صاحبان سایت به آن فکر می کنند. با وجود اینکه در اکثر آپدیت های وردپرس ، مشکلات امنیتی نیز بر طرف می شود اما هنوز کارهای زیادی هست که برای افزایش امنیت وردپرس می توان انجام داد.

این تکنیک ها حتی توسط کسانی که کمتر با علوم کامپیوتر آشنایی دارند نیز قابل اجراست. در این مطلب می خواهیم تکنیک هایی را برای افزایش امنیت وردپرس آموزش دهیم که به کمک آنها سایت شما در بالاترین درجه امنیت قرار گیرد.

تکنیک هایی که برای افزایش امنیت وردپرس بررسی خواهند شد:

1. از کلمه admin به عنوان نام کاربری استفاده نکنید.
2. از رمزهای غیر قابل حدس استفاده کنید
3. از احراز هویت دو مرحله ای استفاده کنید
4. به کاربران سطوح دسترسی مناسب بدهید
5. فایل های wp-config و htaccess. را مخفی کنید
6. از کلیدهای امنیتی وردپرس استفاده کنید
7. ویرایش فایل را غیر فعال کنید
8. تعداد دفعات ورود ناموفق را محدود کنید
9. برای XML-RPC وسواس به خرج دهید
10. ارتباط هاست و امنیت وردپرس
11. همیشه به روز باشید
12. بهترین قالب ها و افزونه های امنیتی وردپرس

در خود سایت وردپرس لیستی برای افزایش امنیت وجود دارد که خوب است نگاهی به آن بیاندازید. البته بعضی موارد که در آن لیست آمده در این مطلب هم تکرار خواهند شد.

1- از کلمه admin به عنوان نام کاربری استفاده نکنید

به این مورد فکر کنید. این شاید ساده ترین تکنیکی باشد که شما به عنوان یک مدیر سایت برای افزایش امنیت وردپرس می توانید انجام دهید. این تکنیک هیچ هزینه ای برای شما نخواهد داشت و واقعا راحت است. در بیشتر حملاتی که امروزه به سایت ها انجام می شود ابتدا صفحات wp-admin  و wp-login را هدف قرار می دهند و سپس تلاش می کنند توسط نام کاربری admin و ترکیبی از رمزهای مختلف به سایت نفوذ کنند. به این روش حمله جستجوی فراگیر می گویند. طبیعتا اگر نام کاربری admin را با یک نام دیگر جایگزین کنید تا حد زیادی احتمال هک شدن سایتتان را کاهش داده اید.

بله ، البته همچنان راه هایی وجود دارد که یک هکر می تواند ID و نام کاربری اعضای سایت شما را پیدا کند. حتی در موارد معدودی می تواند یک کاربر جدید ایجاد کند ، کسی منکر این نیست. به خاطر داشته باشید تکنیک های افزایش امنیت به حذف کامل تهدیدها منجر نمی شوند بلکه در جهت کاهش آنها تلاش می کنند.

هر روز تعداد زیادی حمله جستجوی فراگیر توسط روبات ها به طور خودکار انجام می شود و حذف کردن نام کاربری admin از میان کاربران سایت ، کمک زیادی به افزایش امنیت وردپرس خواهد کرد. حداقل شما کار را برای هکر کمی سخت کرده اید تا به راحتی نتواند نام کاربری را حدس بزند. البته توجه داشته باشید منظور ما از کلمه admin فقط نام کاربری است ، نه نقشی که برای هر کاربر انتخاب می کنید.

به راحتی یک کاربر جدید ایجاد کنید و به او سطح دسترسی مدیرکل بدهید. برای این کار می توانید از قسمت “کاربران » افزودن ” استفاده کنید. سپس کاربری که نام آن admin است را پاک کنید. نگران صفحات و مطالبی که این کاربر تا کنون ایجاد کرده نباشید. وردپرس از شما خواهد پرسید: “با مطالب ایجاد شده توسط این کاربر چه باید کرد؟” و به شما این دو گزینه را پیشنهاد می دهد. یا اینکه تمام مطالب آن کاربر پاک شوند و یا همه آنها به کاربر دیگری که وجود دارد (مثل کاربری که به تازگی ایجاد کردید) نسبت داده شوند.

2- از رمزهای غیر قابل حدس استفاده کنید

نکته ساده ولی در عین حال مهمی که باید به یاد داشته باشید، عبارتست از پیچیدگی، طولانی بودن، خاص و منحصر بفرد بودن.

اینجاست که ابزارهایی نظیر 1password و LastPass  وارد بازی می شوند و به شما برای افزایش امنیت وردپرس کمک می کنند ، زیرا هر یک از این موارد فوق، دارای تولید کننده رمزعبور هستند. هنگامی که شما طول رمز عبور مد نظرتان را تایپ می کنید، آن ها رمز عبور را تولید می کنند. نهایتا شما لینک و کلمه عبور را ذخیره می کنید و فعالیت خود را در ادامه روز انجام دهید. من معمولا با توجه به امنیت مد نظرم برای کلمه عبور، طول کلمه عبور را تنظیم می کنم ( معمولا طول یک کلمه عبور 20 کارکتر است ) و سپس در مورد استفاده از کارکترهایی که کمتر مورد استفاده قرار می گیرند ، مانند # یا * تصمیم گیری می کنم.

رمز “123456” نمی تواند کلمه عبور مناسبی باشد. استفاده از کلمه عبور “sitekhoob”  مانند نوشتن کد امنیتی روی کارت بانکی است . یا مثلا استفاده از کلمه عبور “letmein” که به معنای اجازه ورود است ، انتخاب شایسته ای نیست. حتی کلمه عبور “starwars” یا همان جنگ ستاره ها، در سال 2015 جزء پر مصرف ترین رمزهای عبور بوده است. این را به خاطر بسپارید که شما هیچگاه به همان قدری که خودتان تصور می کنید، منحصر بفرد نیستید!!

3- از احراز هویت 2 مرحله ای استفاده نمایید

باید گفت شما حتی در شرایطی که از کلمه عبور “admin” ( به معنای مدیر سایت ) استفاده نمی کنید و از یک رمز عبور بسیار قوی که به طور تصادفی تولید می شود، استفاده نمایید باز هم حملاتی از قبیل حمله Brute Force (پیدا کردن رمز به شیوه آزمون و خطا) یک تهدید جدی برای شما به حساب می آید. به منظور مقابله با این چنین تهدیدهایی و افزایش امنیت وردپرس ، یکی از راه های کلیدی برای کاهش خطرات این حمله ها، استفاده از سیستم احراز هویت 2 مرحله ای است .

البته من اعتراف می کنم که استفاده از تایید اعتبار دو مرحله ای ، کار دشواری است و با سختی هایی همراه است. اما در حال حاضر این تنها راه حل طلایی پیش روی شماست .  همانطوری که از اسم تایید هویت 2 مرحله ای برای امنیت سایت های وردپرسی مشخص است، این کلمه  به معنای دو مرحله احراز هویت است. امروزه ، این مورد به عنوان استاندارد شناخته شده ای برای افزایش و بهبود امنیت ، در دسترس شماست. با این اوصاف شما در حال حاضر برای مواردی از قبیل جی میل، پی پال  و سایر کارهای اینترنتی خود ( کمترین کارهایی که می توان در اینترنت انجام داد) از این نوع احراز هویت استفاده می کنید ، پس چرا آن را به جعبه ابزار امنیت سایت وردپرسی خود، اضافه نکنید؟!

آقای Mike Epstein مقاله ای با عنوان احراز هویت 2 مرحله ای منتشر کرده که ممکن است برای شما جذاب باشد و مایل باشید آن را مطالعه کنید.

همچنین برای این منظور، یک پلاگین نیز در دسترس است : افزونه تایید اعتبار گوگل (Google Authenticator) . یک افزونه دیگه از روش متفاوتی به همین هدف می رسد پلاگین Rublon است .

4- از اصول کمترین سطح دسترسی پیروی کنید

تیم wordpress.org ، مقاله بسیار خوبی را در زمینه نقش ها و سطوح دسترسی ، در سایت wordpress codex قرار داده اند. ما به شما پیشنهاد می کنیم حتما این مقاله را مطالعه فرمایید و با آن آشنا شوید ، چراکه با این قسمت بسیار مرتبط است. مفهوم کمترین سطح دسترسی ، ساده است. سطوح دسترسی را به این صورت بدهید:

• افرادی که به آن نیاز دارند ،
• زمانی که افراد به آن نیاز دارند و
• تنها برای مدتی که آن ها نیاز دارند

اگر فردی به منظور تغییر در پیکربندی ، در زمان بسیار کوتاه و به طور موقت به دسترسی مدیر سایت نیاز داشته باشد، آن را تامین کنید، اما پس از اتمام کار حتما آن را حذف کنید. این از مهم ترین موارد در جهت افزایش امنیت وردپرس است. خبر خوش برای شما این است که نباید کار زیادی انجام دهید، تنها بایستی بهترین شیوه ها را به کار گیرید.  برخلاف باورهای عمومی ، هر دسترسی فردی به سایت وردپرسی شما ، نباید تحت نقش مدیریت طبقه بندی شود. بدین منظور بهتر است به افراد، نقش ها و وظایف مناسب اختصاص دهید و در این صورت به احتمال زیاد خطرات امنیتی سایت خود را کاهش خواهید داد.

5 – فایل های wp-config.php و htaccess. را مخفی کنید

اگر شما مالک سایت وردپرسی هستید که اطلاع کمی از تکنولوژی دارید نگران نباشید، زیرا کار دشواری نیست . این واقعا کار بسیار ساده است ، مخصوصا زمانی که از افزونه Yoast SEO استفاده می کنید می توانید به قسمت سئو » ابزارها » ویرایشگر پرونده مراجعه کنید و فایل های امنیتی خود را به راحتی ویرایش کنید.  به منظور امنیت بهتر سایت وردپرسی خود، لازم است این کد را به  فایل htaccess. خود اضافه کنید تا از فایل wp-config.php محافظت نمایید :

<Files wp-config.php>

order allow,deny

deny from all

</Files>

این باعث می شود دسترسی به فایل محدود شود. از کد مشابهی نیز برای امنیت فایل های htaccess. استفاده می شود :

<Files .htaccess>order allow,denydeny from all</Files>

شما هم می توانید این کار را انجام دهید زیرا بسیار ساده است و در افزایش امنیت وردپرس بسیار مؤثر است.

6- برای احراز هویت، از کلید های امنیتی وردپرس استفاده کنید

برای محافظت از کوکی ها و کلمه های عبور در حین انتقال بین مرورگر و سرور وب ، از کلیدهای احراز هویت و رمزنگاری به همراه هم استفاده می شود تا باعث افزایش امنیت وردپرس شود. اساسا این کلیدهای احراز هویت ، مجموعه ای از متغیرهای تصادفی هستند که برای بهبود امنیت ( رمزنگاری) اطلاعات در کوکی ها مورد استفاده واقع می شوند.  شما می توانید به راحتی با دریافت مجموعه جدیدی از این کلیدها و جایگزین کردن آن ها در فایل wp-config.php ، کلیدهای قدیمی را تغییر دهید. این کلیدها با رفرش کردن آدرس مذکور ، تغییر می کنند بنابراین شما هر بار می توانید کلیدهای تازه ای دریافت کنید. پلاگین Sucuri نیز می تواند در زمینه این کلیدها کمک شایان توجهی به شما داشته باشد.

7- ویرایش فایل را غیرفعال نمایید

اگر یک هکر وارد سایت شما بشود ، ساده ترین راه برای تغییر فایل های سایتتان ، این است که به قسمت نمایش » ویرایشگر برود. به منظور بالا بردن امنیت سایت وردپرسی خود ، می توانید ویرایش این فایل ها را از طریق این ویرایشگر غیرفعال سازید. سپس مجددا فایل wp-config.php را باز کرده و این خط کد را به آن اضافه کنید :

define('DISALLOW_FILE_EDIT', true);

پس از افزودن این کد شما همچنان قادرید فایل های قالب سایت خود را از طریق یک برنامه FTP ویرایش کنید و فقط امکان ویرایش مستقیم از پنل مدیریت وردپرس حذف می شود.

8- تعداد دفعات ورود ناموفق را محدود کنید

حملاتی از قبیل حمله Brute FORCE (پیدا کردن رمز ورود با روش آزمون و خطا) ، فرم ورود به سایت شما را مورد هدف قرار می دهند. مخصوصا برای امنیت سایت های وردپرسی ، پلاگین All in One WP Security & Firewall ، گزینه ای دارد که از طریق آن به راحتی می توان آدرس پیش فرض برای ورود به سایت (/wp-admin) را تغییر داد . علاوه بر این، شما می توانید تعداد تلاش هایی که از طریق یک آدرس IP خاص برای ورود به سایتتان صورت می گیرد را محدود نمایید.  در حال حاضر چندین پلاگین وردپرسی وجود دارند که به شما کمک می کنند تا صفحه ورود سایت  خود را از تلاش های بسیار یک آدرس IP خاص محفوظ بدارید. ما تمامی این موارد را امتحان و بررسی نکرده ایم، مشتاقیم که تجربه های شما را از استفاده از این موارد بشنویم .

9- برای XML-RPC وسواس به خرج دهید

XML-RPC یک رابطه برنامه کاربردی (API) است که برای مدتی کنار گذاشته شده بود. این رابط، توسط تعدادی از پلاگین ها و تم ها استفاده می شد، بنابراین ما به دلیل افزایش امنیت وردپرس در مورد نحوه پیاده سازی این مورد خاص ، هوشیارانه تر عمل می کنیم. با وجود این که این رابط بسیار کاربردی می باشد اما غیرفعال ساختن آن ، شما را متحمل هزینه می کند. به همین دلیل است که ما غیرفعال ساختن آن را برای همه چیز، پیشنهاد نمی کنیم، اما باید این نکته را متذکر می شویم که در مورد مواردی که اجازه دسترسی آن ها به شما داده شده است و نحوه دسترسی به آن ها ، انتخاب دقیق تری داشته باشید. اگر در وردپرس ، از Jetpahck استفاده می کنید، اینجا باید بیشتر مراقب باشید. تعداد بیشماری از پلاگین ها به شما کمک می کنند که بتوانید با انتخاب روش دقیق تر به صورت پیش فرض XML–RPC را پیاده سازی کرده و یا غیرفعال کنید.

10- ارتباط هاست و امنیت وردپرس

طی بررسی هایی که در سال های گذشته در مورد وب سایت ها انجام گرفته ، بسیاری از صاحبان وب سایت ها اظهار داشته اند که شرکت هاستینگ آن ها اطلاعات جامعی در مورد امنیت نداشتند و نمی توانند امنیت مدنظر آن ها را به وجود آورند. شرکت های میزبان وب سایت با دید کاملا متفاوتی به وب سایت شما می نگرند. هیچ قانون ساده ای برای تصمیم گیری در مورد شرکت میزبان سایت وردپرسی شما وجود ندارد. اما باید گفت انتخاب شرکت میزبان زمانی اهمیت خود را نشان می دهد که قصد داشته باشید امنیت سایت خود را بهینه سازی کنید.

تمامی مقالاتی که در مورد میزبان یا شرکت های میزبان نوشته شده است با این نکته آغاز شده اند که صرفا ارزانترین هاست، بهترین هاست نیست. اکثر قریب به اتفاق پلن های هاستینگ ارزانتر ، قادر نیستند زمانی که وب سایت شما هک شد به شما کمک کنند. این پلن ها معمولا امنیت ضعیفی را برای وب سایت ها فراهم می آورند ، به عنوان مثال می توانند برای وب سایت شما یک فایروال نصب کنند ( بعدا در قسمت فایروال تحت وب Sucuri در این مورد بیشتر خواهیم گفت ). هاست های اشتراکی ، به عنوان مثال به شما اطلاع می دهند که سرور میزبان شما توسط چندین وب سایت دیگر نیز مورد استفاده قرار می گیرد. این گونه میزبان ها مسائل امنیتی خاص خودشان را دارند که ممکن است روی امنیت سایت شما نیز تاثیرگذار باشد. به نظر می رسد امنیت وردپرس یکی از اصلی ترین مواردی است که در بخش هاست وردپرس مطرح است چرا که اکثر شرکت های هاستینگ به عنوان مزیت از آن یاد می کنند. آن ها با یک قیمت معقول و مناسب ، امکاناتی از قبیل پشتیبان گیری ، فایروال اضافی ، اسکن بدافزارها و محافظت در برابر حملات DDOS  و همچنین به روز رسانی های خودکار وردپرس را برای سایت شما فراهم می آورند.

مواظب اکانت هاست خود باشید

یکی از بزرگترین چالش هایی که صاحبان وبسایت ها با میزبان ها دارند، در مورد پیکربندی اکانت هاست ها می باشد. این امکان برای صاحبان وب سایت ها فراهم شده که تا بیشترین حد ممکن به نصب و پیکربندی وب سایت بپردازند ، این عامل باعث می شود محیط هاست دقیقا مانند یک سوپ آشپزخانه شود. این مورد چالش برانگیز است زیرا در بسیاری از موارد ، یک وب سایت از طریق وب سایت همسایه (که آلوده است) آلوده می شود. در واقع مهاجم به سرور نفوذ می کند و سپس به سمت وبسایت های همسایه ای که در آن سرور قرار دارند، حرکت می کند. همان طور که در مطلب ” 5 سؤالی که باید در مورد امنیت هاست بپرسید ” هم گفتیم یکی از مواردی که قبل از خرید هاست باید از آن مطمئن شوید این است که اکانت های آن شرکت هاستینگ کاملا از هم جدا هستند و وب سایت شما از طریق وب سایت های دیگر در معرض آلودگی قرار نمی گیرد.

11- همیشه به روز باشید

این مورد ، از مهم ترین کارها در جهت افزایش امنیت وردپرس است. به روز بودن در حرف بسیار ساده است اما ما متوجه شدیم که این امر برای صاحبان وب سایت ها چه اندازه سخت و دشوار است. وب سایت های ما ، موجودات پیچیده ای هستند ، در هر زمان ، ما 150 اتفاق متفاوت داریم و گاهی ایجاد سریع تغییرات ، بسیار دشوار می شود.  یک مطالعه اخیر نشان می دهد که هسته 56% از سایت های وردپرسی ، به روز نیستند و تاریخ مصرفشان گذشته است. آپدیت ها باید فراتر از هسته وردپرس باشند. در همان مطالعه نشان داده شده است که درصد بالایی از وب سایت هایی که هک شده اند از پلاگین های قدیمی و آسیب پذیر استفاده کرده اند. این مطلب با محیط هایی که واقعا پیچیده هستند ترکیب می شود و در چنین شرایطی ، وابستگی ها به صورتی است که امکان پشتیبان گیری میسر نمی شود. دقیقا ما هم به همین دلیل از فایروال Sucuri استفاده می کنیم. این فایروال عملا مرزهای وب سایت ما را ایمن تر می کند و زمان مورد نیاز ما برای انجام به روزرسانی ها را در یک قالب زمانی معقول فراهم می آورد.

12- بهترین قالب ها و پلاگین های امنیتی وردپرس

اکثر کاربران وردپرس تمایل دارند تم ها و پلاگین های بسیاری را امتحان کنند. این کار فقط زمانی توجیه منطقی دارد که شما بخواهید متوجه شوید کدام قالب و افزونه بهتر است و آن را روی یک سرور آزمایشی انجام دهید. اگر یک برنامه نویس ، افزونه ای را تولید و نگهداری کند تنها به این دلیل که برایش سرگرم کننده است ، احتمالا زمان مناسب برای چک کردن مسائل امنیتی آن را نخواهد داشت. بسیاری از تولید کنندگان قالب ها و افزونه ها با شرکتی مثل Sucuri توافق می کنند تا هر پلاگینی که تولید و یا به روز می کنند ، توسط آنها از نظر امنیتی بررسی شود و همین باعث افزایش امنیت وردپرس می شود. اگر شما در حال ایجاد یک تم یا پلاگین رایگان هستید، ممکن است منابع لازم برای افزودن بررسی های قابل اطمینان مانند آن را نداشته باشید.

چگونه بهترین پلاگین را انتخاب کنیم ؟

اگر شما مایلید بهترین و درست ترین پلاگین امنیتی وردپرس را برای افزایش امنیت وردپرس وب سایت خود انتخاب کنید، پیشنهاد می کنیم مقاله ای که در مورد بهترین افزونه های امنیتی وردپرس در سایت خوب منتشر شده است را مطالعه بفرمایید.

من مباحث خود را در این قسمت ، روی مبانی انتخاب پلاگین متمرکز می کنم. همانطور که پیش تر گفته شد، پلاگین ها و تم های رایگان به عنوان آسیب پذیری های احتمالی به حساب می آیند. زمانی که قصد دارید یک پلاگین به سایت خود اضافه کنید ( یا این که برای یک موضوع ، تمی را برگزینید ) ، همواره به قسمت امتیازات آن پلاگین توجه داشته باشید. سایت wordpress.org امتیازها را نشان می دهد ، اما یک رتبه بندی 5 ستاره ، همه چیز را به شما نمی گوید. پس همواره به تعداد رأی ها و رتبه بندی ها دقت کنید. 

یک پلاگین در هر زمینه خاصی هم که باشد باید بتواند چندین نظر دریافت کند. اگر اکثر مردم بر این باورند که یک پلاگین بسیار جذاب است و زمانی را برای رتبه دهی به آن درنظر می گیرند، می توانید شما هم از آن استفاده کنید. یک مورد دیگر را نیز باید بررسی کنید . اگر یک پلاگین به مدت 2 سال است که به روز رسانی نشده، وردپرس به شما اطلاع می دهد. این به معنای بد بودن آن پلاگین نیست، ممکن است بدین معنا باشد که دلیل و نیازی برای به روز رسانی آن نبوده، زیرا این پلاگین باز هم می تواند کار کند و به خوبی اجرا می شود. رتبه بندی پلاگین این مورد را به خوبی برای شما مشخص می سازد، همچنین باید سازگاری پلاگین را با نسخه فعلی وردپرس نیز بررسی کنید ، فهرست این پلاگین ها در صفحه پلاگین های وردپرس به آدرس wordpress.org/plugins آورده شده است. با این توضیحات، Sucuri به شدت توصیه می کند که از پلاگین هایی که به مدت طولانی به روزرسانی نشده اند، اجتناب کنید. شما باید حرف آنها را قبول کنید. بر اساس این رتبه بندی ها و سازگاری ، می توانید پلاگین مد نظر خودتان را بهتر انتخاب کنید و این انتخاب تصادفی نباشد و همچنین شانس بیشتری برای برخورداری از انواع موارد امنیتی اضافه شده به پلاگین ها، خواهید داشت.

منبع: yoast.com

قبل از اینکه خیلی دیر شود شما هم از HTTPS استفاده کنید

گوگل ، موزیلا و دیگر مراجع اینترنت به مالکان وبسایت ها فشار می آورند تا با HTTPS سازگاری یابند. به زودی ، گوگل کروم با نمایش هشداری به معنی “ایمن نیست” شروع به علامت گذاری سایت های غیر HTTPS می کند.

در واقع استفاده از HTTPS یکی از فاکتورهای مهم در طراحی سایت حرفه ای به حساب می آید. نسخه 68 کروم اخیرا به صورت بتا ارائه شده است. زیاد طول نمی کشد که هر کسی بتواند مرورگر خود را به کروم 68 ارتقاء دهد و هشدارهای “ایمن نیست” را در وبسایت های بدون SSL مشاهده کند.

دلایل انتقال به HTTPS

این یک حقیقت است که وبسایت های دارای HTTPS رتبه ی بالاتری در نتایج جستجوی گوگل به دست می آورند. بازاریابان دخیل در بهینه سازی موتور های جستجو باید این نکته را بدانند. وبسایت هایی که ایمن نیستند ، هیچ جایی در صدر و بالای SERPها (صفحات نتایج موتورهای جستجو) ندارند. این روشی است که گوگل برای تشویق کاربران به انجام اقدامات خوب امنیتی پیش گرفته است ، اما گوگل در این روش فقط به افرادی که اقدامات خوب انجام داده اند پاداش نمی دهد ، بلکه آن دسته افرادی که اقدامات امنیتی لازم را اتخاذ نکرده اند را نیز مجازات می کند.

یکی از همکارانم سال قبل مقاله ای با عنوان” گوگل سایت های بدون HTTPS را در لیست سیاه قرار می دهد” نوشت. اگر سایتی حاوی فرم های پرداخت با کارت اعتباری یا محل های ورود رمز عبود باشد ، اما مجوز SSL نداشته باشد ، اطلاعات بازدید کنندگان را به خطر می اندازد. عاقلانه است که پیش از اینکه کاربر اطلاعات شخصی اش را در چنین سایت های وارد کند به او هشدار داده شود. اگر وبسایت شما هر کدام از این موارد ذکر شده را دارا می باشد ، پس پرهیز از دریافت یک هشدار امنیتی از طرف موتورهای جستجو یک انگیزه ی دیگر برای شروع استفاده ی هر چه سریع تر از HTTPS است.

اگر تصمیم گرفته اید فعلا صبر کنید ، این ممکن است به کسب و کار شما صدمه بزند

وقتی کاربران در مرورگر کروم خود هشداری را مشاهده می کنند ، اما مرورگرهای فایرفاکس و دیگر مرورگرها چنین هشداری نمی دهند ، ممکن است سریعا از آن وبسایت خارج شوند. این حرف به خصوص برای وبسایت های فروشگاهی صدق می کند چون آنها ممکن است بیشترین خسارت را از این لحاظ ببینند. کاربران مسلما دوست ندارند از وبسایتی که در ابتدا هشدار نا ایمن بودن آن را مشاهده کرده اند چیزی بخرند.

SSL فقط از محتوای پویایی همچون فروشگاه اینترنتی ، اطلاعات ورود کاربر و داده های حساس محافظت نمی کند. برخی افراد ممکن است ادعا کنند که وبسایتشان استاتیک و ساده است (یعنی هیچ فرم ورود یا اطلاعات حساس کاربری ندارد) پس شاید دلیلی وجود ندارد که وبسایتشان را HTTPS کنند. این حرف کاملا نادرست است. نه تنها مرورگرها و موتورهای جستجو سایت هایی را تایید می کنند که از HTTPS استفاده می کنند ، بلکه SSL از دستکاری شدن صفحات در هنگام انجام تراکنش یا تغییر و تحول ها، نیز جلوگیری می کند. در دنیای امنیت ، این وضعیت را با عنوان “حمله ی همه جانبه” می شناسند.

من پیشبینی می کنم که به زودی بازدید کنندگان بدون توجه به اینکه از چه مرورگری استفاده می کنند، هشدارهای ایمن نبودن را در سایت های HTTP مشاهده خواهند کرد.

این هم آمارهایی که گوگل منتشر کرده است:

• بیش از 68% از ترافیک کروم ، چه در اندروید و چه در ویندوزها در حال حاضر محافظت شده است.
• بیش از 78% از ترافیک کروم هم در ویندوزها و هم در مک ها محافظت شده است.
• 81 مورد از 100 سایت برتر اینترنت به صورت پیشفرض از HTTPS استفاده می کنند.

هشدارهای محتوای ترکیبی – غیر ایمن

این نکته نیز مهم است که  SSL را به صورت صحیح و بدون محتوای ترکیبی که امنیت را به خطر می اندازند پیاده سازی کنیم. محتوای ترکیبی زمانی اتفاق می افتند که منابع یک صفحه (مثلا تصاویر آن) کد نویسی نشده اند و HTTPS را به خطر انداخته اند. چنین کاری ممکن است باعث لو رفتن اطلاعات شود.

برطرف کردن محتوای ترکیبی ممکن است فرآیند مشکلی باشد و گاهی به همین دلیل وبسایت های دارای SSL معتبر هم با مشکلات و ارورهایی مواجه هستند. اگر کمی جستجو کنید مقاله هایی وجود دارند که توضیح می دهند چگونه می توانید “هشدارهای محتوای ترکیبی” را از بین ببرید.

اگر هنوز هم در تشخیص اینکه کدام محتوا باعث به وجود آمدن هشدارهای محتوای ترکیبی می شوند با مشکل مواجه هستید، می توانید از این ابزار استفاده کنید: https://www.whynopadlock.com

SSL رایگان Let’s Encrypt و فایروال Sucuri

شرکت Sucuri (از شرکت های معتبر در زمینه امنیت وردپرس) مدتی است که با Lets Encrypt همکاری می کند و همه ی کاربرانی که از فایروال تحت وب این شرکت برای وبسایتشان استفاده می کنند می توانند از سیستم SSL رایگان Lets Encrypt نیز بهره ببرند.

اگر هاست شما از HTTPS پشتیبانی نمی کند، فایروال Sucuri یک پشتیبانی یک طرفه (سمت کلاینت) فراهم می کند. این کار آنها را قادر می سازد تا اتصال و ارتباط بین کاربر و سرورهایشان را رمزگذاری کنند. مجوز HTTPS هیچ مشکلی بین Sucuri و سرور هاست اصلی ایجاد نمی کند. این یک کانفیگ و وضعیت ایده آل نیست ، اما به عنوان اولین گام به سمت بهبود وضعیت ایمنیتی اطلاعات (در صورتی که هاست شما از HTTPS پشتیبانی نکند) بد نیست.

نتیجه

هیچ دلیل خوبی برای استفاده نکردن وبسایت شما از HTTPS وجود ندارد. هنوز هم شایعاتی مبنی بر اینکه HTTPS برای پردازش های سرور و سرعت های شبکه مالیات می اندازد وجود دارند. به هر حال ، امروزه این مشکل بزرگی نیست. هر نوع مشکل عملکردی در این رابطه تا به امروز مدت هاست که برطرف شده است. همچنین دیگر مجبور نیستید برای یک مجوز SSL هزینه بپردازید. Lets Encrypt به طور رایگان این مجوز را برای شما فراهم می کند.

منبع: sucuri.net

کنترل نقاط دسترسی به وبسایت

متأسفانه ، اکثر مالکان وبسایت ها می دانند هک شدن سایت چه حسی دارد ، آن ترس و عجله برای یافتن کسی که بتواند کمک کند و نگرانی های ناشی از آن را به خوبی می شناسند. شاید خودتان بتوانید دوباره سایت خود را سر پا کنید یا از یک شرکت برای سالم سازی سایتتان کمک بگیرید ، در هر حال نهایتا نکته ی مهم این است که سایت شما ایمن باشد.

پرهیز از دوباره آلوده شدن وبسایت

روش های زیادی وجود دارند که از طریق آنها می توان دوباره یک سایت را پس از سالم سازی ، آلوده کرد. مسئولیت شما این است که به درستی از دستورالعمل های حفاظتی سایت پیروی کنید تا سایت سالم بماند. یکی از مهم ترین گام ها برای پرهیز از دوباره آلوده شدن سایت ، این است که حتما تمام رمزهای عبور خود را پس از سالم سازی سایت به روز رسانی کنید.

این امر بسیار مهم است چون ممکن است هکرها در حمله ی قبلی اطلاعات قدیمی شما را ربوده باشند. حتی اگر هم سایت شما عاری از بد افزار باشد ، باز هم هکرها می توانند از اطلاعات ورود قدیمی شما (اگر تغییرشان نداده باشید) برای حمله ی مجدد و قوی تر به شما استفاده کنند. به این صورت فرآیند دوباره آلوده سازی انجام می شود. پس از دوباره آلوده شدن ، مجبورید یک بار دیگر سایت خود را پاکسازی کنید و ضررهای تاثیرات یک هک (از جمله ترس و ضرر مالی کسب و کار) را دوباره متحمل شوید.

چه چیزی بدتر از یک سایت آلوده است؟ سایتی که دوباره آلوده شده!!!

وقتی از مشتریانمان می خواهم رمزهای عبور سایتشان را تغییر دهند ، مطمئن نیستم که اهمیت این کار را به درستی درک کنند. تغییر تنها یک رمز عبور برای یک نقطه دسترسی مشکل را حل نمی کند. مثل این است که یکی از درب های خانه را قفل کنید و بقیه درب و پنجره ها را باز بگذارید.

دانستن اینکه نقاط دسترسی کجا هستند و چه کسی به آنها دسترسی دارد بسیار مهم است.

ایمن سازی نقاط دسترسی آسیب پذیر

لطفا توجه کنید که از تمام نقاط دسترسی برای پاکسازی سایت استفاده می شود. اگر از یک شرکت بخواهید سایت شما را تحت پلتفرم های امنیتی پاکسازی کنند، به اطلاعات ورود نیاز دارند تا بتوانند پاکسازی را انجام دهند.

1- کنترل پنل

اکثر شرکت های هاستینگ برای مدیریت آسان وبسایت ، cPanel را پیشنهاد می دهند که دارای رابط کاربری تحت وب است. معمولا ، با تایپ کردن domain.com/cpanel یا domain.com:2083 در مرورگر وارد cPanel خود می شوید. می توانید از cPanel برای مدیریت همه چیز (از ایمیل گرفته تا بکاپ های وبسایت) استفاده کنید.

در cPanel چندین سطح دسترسی برای کاربران وجود دارد و مهم است بدانید چه کسی چه سطح دسترسی ای به cPanel دارد.

در هنگام تغییر رمزهای عبور ، باید همه ی رمزهای عبور اکانت کاربران را تغییر دهید، فقط تغییر دادن رمز اکانت ادمین کافی نیست.

اگر هاست شما هم cPanel ارائه می دهد با آن خوب اشنا شوید و فقط به افرادی دسترسی دهید که نیاز دارید به آن دسترسی داشته باشند.

2- FTP / SFTP

پروتکل انتقال فایل (FTP) و پروتکل امن انتقال فایل (SFTP) اجازه ی انتقال فایل ها را داده و برای شخصی که روی یک کامپیوتر مجزا کار می کند ، ازطریق یک نرم افزار FTP مانند FileZilla یا Cyberduck دسترسی ایجاد می کنند. به منظور برقراری اتصال ، اطلاعات زیر مورد استفاده قرار می گیرند:

• سرور هاست
• نام کاربری
• رمز عبور
• پورت
• دایرکتوری

بسته به میزان دسترسی ای که نیاز دارید به یک شخص بدهید ، می توانید اکانت های FTP متفاوتی ایجاد کنید. می توانید در بخش FTP Accounts ، حساب های کاربری FTP را در هاست یا cPanel ایجاد کنید.

بعد از اینکه سایت پاکسازی شد ، باید هر کاربر را ارزیابی کنید و هر کدام از رمزهای عبور آنها را شخصا تغییر دهید.

3- دیتابیس

اگر سایت داینامیکی دارید که بدون دخالت کاربر باید به روز رسانی شود ، پس دیتابیس از جمله ارکان های مهم آن است. (سایت های وردپرسی از این دسته سایت ها هستند). دیتابیس ، اطلاعات را بسته به محتوایی که به روز رسانی شده است ذخیره می کند و این کار را بر اساس ترافیک سایت انجام می دهد.

اگر یک سیستم مدیریت دیتابیس همچون MySQL یا Oracle دارید ، پس حتما باید پس از پاکسازی شدن سایت ، رمزهای عبور آنها را نیز تغییر دهید.

4- هاست

هاست سروری فراهم می کند تا وبسایت شما بتواند در سطح اینترنت قابل دسترس باشد. این سرور حاوی تمام فایل های مرتبط با سایت شما است و معمولا روش ساده ای برای آپلود فایل ها و ایجاد تغییر در آنها دارد. همانطور که قبلا گفته شد، بسیاری از هاست ها یک اکانت cPanel مجزا دارند.

اگر یک پرتال ورودی مستقیم به سمت هاست دارید ، پس بهتر است به خاطر داشته باشید پس از پاکسازی سایت ، رمز عبور و تمامی سطوح حساب های کاربری مرتبط با آن را تغییر دهید.

5- سیستم مدیریت محتوا

ایجاد سایت با کمک یک سیستم مدیریت محتوا (CMS) مانند WordPress ، Joomla ، Drupal یا Magento کار بسیار آسانی است.

آسانی ایجاد یک وبسایت باعث می شود سختی برقراری امنیت سایت به چشم نیاید و در نتیجه ترس لازمه برای مقابله با خطرات امنیتی در شما ایجاد نشود.

وقتی یک وبسایت هک می شود ، هکرها گاهی درب های پشتی (backdoor) در وبسایت به جا می گذارند که به آنها اجازه می دهند به CMS شما دسترسی داشته باشند. پس از اینکه آن درب پشتی پاک شد ، این احتمال وجود دارد که هکرها هنوز هم نام کاربری و رمزهای عبور اکانت شما را داشته باشند.

علاوه بر تمام حساب های کاربری دیگری که ممکن است به خطر افتاده باشند ، فرض کنید CMS شما نیز تحت کنترل هکرها در آمده باشد و دیگر نتوانید از سایت خود محافظت کنید.

نکات نهایی

اگر در یافتن انوع اکانت ها که در بالا ذکر شدند مشکل دارید ، این مشکل را با پشتیبان هاست خود مطرح کنید. آنها معمولا مقالات علمی دقیقی در مورد نحوه ی به دست آوردن اطلاعات حساب کاربری دارند. طراح سایت شما نیز می تواند در این مورد به شما کمک کند.

تغییر دادن رمزهای عبور هر چند ماه یک بار و اطمینان حاصل کردن از اینکه رمزهای عبور شما برای ایمن سازی سایت به اندازه ی کافی قوی و پیچیده هستند بسیار حائز اهمیت است (حتی اگر مدت زیادی است که سایت شما هک نشده است).

افزونه هایی مثل sucuri و wordfence یک پلتفرم امنیت وبسایت کامل ارائه می دهند که شامل سه عملکرد اصلی است: تشخیص ، حفاظت و عکس العمل. اگر می خواهید خیالتان راحت باشد و نگران امنیت وبسایت خود نباشید ، پیشنهاد می کنم یکی از آنها را استفاده کنید.

منبع: sucuri.net

اهمیت به روز رسانی های منظم در امنیت سایت

دائما می بینیم که وقتی به روز رسانی های امنیتی مهم جدی تلقی نمی شوند ، وبسایت ها بارها و بارها آلوده به ویروس می شوند. اکثر به روز رسانی های نرم افزارها به خاطر به وجود آمدن یک شکاف امنیتی ایجاد می شوند و هدف آنها برطرف کردن آن شکاف امنیتی است. به روز رسانی به آخرین ورژن نرم افزار کمک می کند وبسایت شما از آسیب پذیری هایی که می توانند به سایت شما آسیب بزنند در امان بماند.

اگر این آسیب پذیری ها با کمک به آپدیت ها جلوگیری نشوند ، آنگاه وبسایت شما از جانب چندین نوع بد افزار دائما در خطر خواهد بود. به روز رسانی ها برای سخت تر کردن کار ما نیستند ، اگرچه اکثرا چنین دیدگاهی نسبت به آنها داریم. مجهز بودن به آخرین به آپدیت ها ، ما را از میزان زیادی استرس و اتلاف وقت در آینده (زمانی که هکرها تصمیم می گیرند از آسیب پذیری سایت ما سودجویی کنند) نجات می دهند.

سایت های کوچک هدف مناسبی برای حملات

آسیب پذیری های نرم افزاری و کنترل دسترسی ها باعث می شوند سایت های کوچک در دیدگاه هکرها تبدیل به اهدافی بزرگ شوند.

آخرین گزارشات دریافتی ما در مورد وبسایت های هک شده نشان می دهند که نرم افزارهای تاریخ گذشته تاثیر به سزایی در افزایش احتمال هک شدن سایت داشته اند. اگرچه از پاییز سال 2016 تعداد سایت های تاریخ گذشته ی هک شده کاهش یافته است ، اما هنوز هم آمار بالایی از این قبیل را شاهد هستیم.

چه مواردی باید به روز رسانی شوند؟

در زیر چند نمونه از مواردی که باید به روز رسانی شوند را مشاهده می کنید:

• سیستم های مدیریت محتوا
• افزونه ها
• قالب ها
• الحاقات
• سرور

حالا اجازه دهید در مورد هر کدام از این موارد جداگانه صحبت کنیم.

1- سیستم های مدیریت محتوا

این مورد شامل WordPress ، Magento ، Joomla ، Drupal و هر گونه پلتفرم دیگری که برای ساختن سایتتان از آن استفاده می کنید می شود.

گزارشات سایت های هک شده ی ما نشان می دهند فایروالی مثل Sucuri بیشترین مراجعات را از سمت سیستم مدیریت محتوای وردپرس دارد.(83% از وبسایت های پاکسازی شده در سال 2017 با استفاده از وردپرس پیاده سازی شده اند). البته این الزاما بدان معنان نیست که وردپرس در زمینه امنیت از سایر CMS ها قوی تر یا ضعیف تر است.

CMS انتخابی ، شما را از هرگونه به روز رسانی مهم و حیاتی آگاه می سازد. لطفا این هشدارها را نادیده نگیرید.

2- افزونه ها

هر افزونه ای که به سایت خود اضافه می کنید باید ابتدا بررسی و آزمایش شود. همه ی افزونه ها برای سایت ها بی ضرر یا عاری از بد افزار نیستند. برخی افزونه ها با اهداف شوم و بد افزاری ایجاد می شوند، برخی دیگر با این هدف ایجاد نمی شوند ولی مورد سوء استفاده قرار می گیرند. به خاطر عدم مدیریت صحیح یا بی احتیاطی ، افزونه ها می توانند به آسانی به بد افزار تبدیل شوند.

در زیر نکاتی را مشاهده می کنید که در هنگام افزودن افزونه به سایت خود باید آنها را رعایت کنید:

• افزونه ها را فقط از یک سایت که مورد اعتماد شماست دانلود کنید.
• بررسی کنید به روز رسانی جدیدی برای افزونه وجود دارد یا خیر و چه مدت پیش مشکلات امنیتی توسط تولید کننده برطرف شده است.
• اگر یک افزونه رایگان نیست ، به جای آنکه به دنبال نسخه ی رایگان آن بگردید ، آن را مستقیما از تولید کننده خریداری کنید.
• نظرات دیگران را مطالعه کنید تا ببینید آیا نکات منفی در مورد امنیت افزونه ی مورد نظر بیان شده است یا خیر.

گاهی هر چه از افزونه استفاده نکنید بهتر است. آیا واقعا به این افزونه نیاز دارید؟ به نکات منفی و نقطه ضعف های افزونه در مقایسه با نکات مثبت و قوت آن خوب فکر کنید. در اکثر موارد استفاده از افزونه های بیشتر، به معنی خطر بیشتر است.

3- تم ها

علاوه بر افزونه ها ، تم ها نیز باید به روز رسانی و “آزمایش” شوند. یک هکر از هر رخنه ای که پیدا کند استفاده خواهد کرد.

همانند افزونه ها ، نکاتی هم در مورد تم ها وجود دارد که باید در هنگام افزودن قالب به سایت خود، آنها را رعایت کنید:

• آیا قالب مورد نظر برای سایت شما ضروری است؟
• آیا می توانید به منبعی که تم را در آن یافته اید اعتماد کنید؟
• آیا تولید کننده تم ، آسیب پذیری های آن را یافته و برطرف می کند؟

تم ها می توانند بستر بسیار مناسبی برای بد افزار ها باشند چون برای مورد استفاده قرار گرفتن به عنوان سئوی سیاه ، بد افزار کار گذاشتن و درب پشتی بسیار مناسبند.

اگر یک تم رایگان پیدا کردید که در 6 ماه اخیر به روز رسانی نشده است ، ممکن است نصب آن آنقدرها که فکر می کنید به صرفه نباشد. به پولی که ممکن است به خاطر رفع آسیب پذیری آن تم در سایت شما صرف شود فکر کنید.

4- الحاقات

روش دیگر برای سالم نگه داشتن سایت ، اطمینان حاصل کردن از این است که کامپیوتر شما عاری از بد افزار باشد. اطمینان حاصل کردن از اینکه مرورگر شما و الحاقاتش (پلاگین ها) به روز هستند بسیار حائز اهمیت است. در این موارد بسیار کمیاب ، عامل اصلی حمله ، کامپیوتر خود شماست. برای جلوگیری از این مورد ، کافی است مرورگرها و الحاقات آنها را از یک منبع مورد اعتماد نصب کنید و حتما بلافاصله پس از انتشار به روز رسانی برای آنها، سریعا آنها را به روز رسانی کنید.

5- سرور

همانند دیگر نرم افزارهایی که در این مقاله راجع به آنها صحبت کردیم ، سرور نیز به خودی خود کلید ایمن نگاه داشتن یک سایت است. سرورهای تحت وب مانند NGINX ، Apache ، IIS و غیره ممکن است برای شما آشنا نباشند ، مگر اینکه یک برنامه نویس باشید یا با تنظیمات سایت بسیار آشنا باشید. در هر حال چه آشنا باشید چه نه ، سایت شما دارای سروری برای اتصال به اینترنت است و سرور شما می تواند در برابر هک شدن آسیب پذیر باشد. به روز رسانی سرور یکی از بایدهایی است که نباید فراموش شود. در این رابطه پیشنهاد میکنم مطلبی را که در مورد سؤال های امنیتی پیش از خرید هاست منتشر کرده ام را مطالعه کنید.

نکته ی حرفه ای:

قابلیت به روز رسانی خودکار برای اکثر CMSها و افزونه ها موجود است ، اما شاید بهترین گزینه برای به روز رسانی نباشد. گاهی به روز رسانی ها می توانند باعث ایجاد اختلال در عملکرد سایت شوند.

من توصیه می کنیم یک بکاپ کامل از سایت بگیرید و برای به روز رسانی از کمک برنامه نویس خود استفاده کنید.

نتیجه

برای ایجاد یک محیط وب گردی امن برای همه ، ایفای نقش هر فرد (هر چند کوچک باشد) بسیار حائز اهمیت است. حتما به روز رسانی ها را انجام دهید و نسبت به خطراتی که خدمات و کسب و کار شما را تهدید می کنند آگاهی داشته باشید.

منبع: blog.sucuri.net