Privacy Protection به معنای حفاظت از حریم خصوصی می باشد. با فعال کردن این امکان مشخصات شما دیگر در هویز (Whois) دامنه شما نمایش داده نمی شود. این سرویس در سرویس دهنده های دیگر مانند Directi هزینه فعالسازی دارد اما در سرویس دهنده ما که Resello می باشد بعد از سالها این امکان به تازگی قرار داده شده و کاملا رایگان است.

این امکان مناسب افرادی است که برای امنیت بیشتر اطلاعات خود تمایلی به نمایش مشخصات صاحب امتیاز دامنه در whois ندارند. پس از فعال کردن امکان Privacy Protection دامنه مشخصات شما مانند زیر می شود :

در محیط های متصل به شبکه و تغییر پذیر امروز, فرآیند جلوگیری از دسترسی های غیر مجاز و یا امکان نفوذ احتمالی کامپیوترهای غیرمجاز و نا امن خارجی به شبکه ی درونی سازمان ها و شرکت ها, چالشی همیشگی بوده و هست. امروز قصد داریم به شما کاربران گرامی ورلدباس نحوه تامین امنیت برای سرورهای ویندوزی را آموزش دهیم. موارد بررسی شده جزء موارد امنیتی پایه به سمت پیشرفته یک سرور می باشد که تقریبا هر سروری باید آن را رعایت کند.

1. بر روی سرورهای ویندوزی حتما آنتی ویروس نصب کنید و آن را بروز نگه دارید.
   سرورهای بدون آنتی ویروس به ویژه سرورهای ویندوزی همیشه در معرض خطر آلودگی به ویروس ها هستند, همان طور که می دانید می توانند از طریق برنامه ها یا از طریق وب به سرورها یا کامپیوترهای شخصی وارد شده و سیستم را الوده کنند و اقدام به جاسوسی و یا تخریب اطلاعات کنند بنابر این اولین مرحله تامین امنیت نصب آنتی ویروس است. برنامه های آنتی ویروس برای سیستم عامل ویندوز مورد پیشنهاد به شرح زیر است :
   آنتی ویروس های رایگان : ۳۶۰ Total Security Essential, ClamWin Antivirus, Avast Free Antivirus, AVG AntiVirus Free, BitDefender Free Edition, ZoneAlarm Free Antivirus
   آنتی ویروس های غیر رایگان و حرفه ای تر : BullGuard Antivirus, AVG Antivirus, Avast Pro Antivirus, Ashampoo Anti-Virus, Dr.Web Anti-virus, ESET NOD32 Antivirus, Kaspersky Anti-Virus
2. فایروال پیشفرض ویندوز سرور را فعال نگه داشته و تنظیم کنید یا از فایروال های حرفه ای استفاده کنید.
   همانطور که می دانید فایروال با تمرکز بر روی شبکه و اتصال اینترنت , تسهیلات لازم در جهت عدم دستیابی کاربران غیرمجاز به شبکه و یا کامپیوتر شما را ارائه می نماید. فایروال ها این اطمینان را ایجاد می نمایند که صرفا پورت های ضروری برای کاربران و یا سایر برنامه های موجود در خارج از شبکه در دسترس و قابل استفاده می باشد. پیشنهاد می گردد حداکمکان فایروال خود ویندوز سرور را فعال نگه داشته و برای موارد و پورت های خاص تنظیم کنید و سایر پورت های اضافه را مسدود کنید. پیشنهاد میشود از فایروال های پیشرفته که رایگان یا فایروال های غیر رایگان و حرفه نیز استفاده کنید.
   فایروال های مورد پیشنهاد رایگان : ۳۶۰ Total Security, Comodo Firewall
   فایروال های غیر رایگان : ESET Endpoint Security, Kaspersky Endpoint Security,
3. پورت های پیشفرض ورودی جهت دسترسی به سرور را تغییر دهید.
   همانطور که می دانید سرورهای ویندوزی از طریق Remote Desktop با پورت پیشفرض ۳۳۸۹ قابل کنترل و دسترسی مدیر سرور قرار می گیرد. در صورتی که این پورت تغییر نکنند تلاش های توسط بات های سرگردان اینترنتی جهت نفوذ و ورود به سرور شما که اصطلاحا Brute Force گفته میشود انجام میشود و یا حتی اشخاصی که بتوانند رمز ورود به سرور شما را حدس بزنند بنابر این شما می توانید با تغییر این پورت ها به راحتی از تمامی این حملات و خطرها در امان باشید. برای آموزش تغییر پورت بر روی کلمه “آموزش تغییر پورت ریموت سرور ویندوز” کلیک کنید تا مستقیم به صحفه آموزشی مربوطه ارجاع داده شوید..
   توجه داشته باشید, قبل از هر چیز اگر فایرول سرور شما فعال است, ابتدا باید پورت جدیدی که می خواهید تنظیم کنید در فایل Allow یا اجازه فعالیت دهید سپس اقدام به تعویض کنید, در غیر این صورت دسترسی شما توسط فایروال مسدود میشود.
4. از احراز هویت دو مرحله ای برای ریموت به ویندوز سرور استفاده کنید.
   در این مرحله امنیت به صورت حرفه ای و پیشرفته برای ورود به ریموت سرور ویندوز اعمال می شود, شما می توانید با راه اندازی احراز هویت دو مرحله در ویندوز سرور از دسترسی غیر مجاز هکر به هر نحوی جلوگیری کنید, در این قسمت اگر هکر مشخصات ورود که شامل نام کاربری و رمز عبور شما را نیز داشته باشد, مرحله احراز هویت دوم جلوی هکر یا سوء استفاده کننده را می گیرد. یکی از این نرم افزارهای که امکان احراز هویت دو مرحله ای را برای شما فراهم کرده است Duo Authentication است که می توانید مراحل نصب آموزش این نرم افزار را از “Duo Authentication for Windows Logon and RD” مطالعه بفرمایید.
5. از ایپی ثابت یا استاتیک برای دسترسی به کانسول یا ریموت به سرور استفاده کنید.
   اگر اینترنت خانگی یا شرکتی شما دارای ایپی ادرس ثابت یا استاتیک است می توانید تمامی دسترسی های ورود به کانسول و مدیریتی سرور را بر روی ایپی ثابت خود قرار دهید. در این صورت هیچکس به جز خود شما نمی تواند به سرور ریموت کند. از لحاظ دسترسی این بالاترین نوع امنیت در سرورها محسوب می شود. برای اینکار می بایست ایپی خود را در فایروال تنظیم کنیم و سایر ایپی ها را از دسترسی مسدود کنید, برای اموزش بر روی “Restrict RDP Access by IP Address” کلیک کرده و مراحل را دنبال بفرمایید.

با خاطر داشته باشید, استفاده از برنامه های لیسانس دار و بروز نگه داشتن سیستم عامل و برنامه ها در امنیت شما بسیار موثر است و همچنین اطلاعات ورود به سرورها را به هیچ عنوان در دسترس سایر اشخاص قرار ندهید و سعی کنید در صورت بروز مشکل از افراد مطمئن خبره یا کارشناسان بخش پشتیبانی شرکت ها استفاده کنید.

وردپرس (WordPress) یکی از ساده ترین, سریعترین و محبوب ترین سیستم عای مدیریت محتوی (CMS) است که با توجه به قابلیت های بسیاری که برای توسعه دارد, یکی از اولین انتخاب های هر وب مستر برای راه اندازی سایت یا وبلاگ در هر زمینه فعالیتی است.
امروزه خیلی از سایت های بزرگ نظیر همین سایت (PersianWhois) از اسکریپت وردپرس برای انتشار مطالب خود در قالب گوناگون استفاده می کنند.

وردپرس همانطور که برای وب مسترها و کاربران مقبول و عمومیت دارد؛ به همان اندازه برای هکرها نیز جذاب است! آنها بی رحمانه از کوچکترین نقاط ضعف و حفره های امنیتی وردپرس برای اهداف خود استفاده خواهند کرد.
اگر کاربر قدیمی WordPress باشید, شاید برای شما هم پیش آمده باشد؛ هنگام مراجعه به وب سایت خود با پیام غیر منتظره “شما هک شده اید …” روبرو شده باشید و یا شاید سایت خود را با همان قالب و محتوی برای فروش در مارکت های سیاه اینترنتی دیده باشید!!

در این مقاله سعی دارم به ۹ راه حل اصولی بپردازم که ضریب امنیت شما را تا حدود زیادی بالا خواهد برد و حداقل کار هکر را سخت خواهد کرد!
توجه داشته باشید انجام این موارد در کنار بروز نگه داشتن WordPress و پلاگین ها و استفاده از سرور هاستینگ امن به شما کمک خواهد کرد. (سرویس های هاستینگ پرشین هویز مخصوص وردپرس و سئو طراحی و بهینه سازی شده است.)

توجه: این مقاله برای کاربران با سطح اطلاعات متوسط به بالا تهیه شده و پیشنهاد می کنم اگر از نحوه کار اطلاع ندارید سایت خود را دستکاری نکنید! ممکن است این مراحل شما را دچار مشکل کند و بهتر است برای انجام آن از تیم امنیتی شرکت کمک بگیرید.

۱- نام کاربری “admin”

اولین کاری که باید انجام دهید تغییر نام کاربری admin است. نام کاربری (Username) به اندازه رمز عبور (Password) اهمیت دارد و نباید براحتی قابل حدس زدن باشد.
به این نکته توجه داشته باشید؛ اگر Username و Password را مانند کلیدهای ورود به منزل در نظر بگیریم, با استفاده از نام کاربری مانند admin یکی از کلیدها را در اختیار هکر قرار داده اید!

۲- Authentication Keys و Salts

داخل فایل پیکربندی وردپرس (wp-config.php) مقادیری با نام Authentication Keys و Salts قرار دارد. تصویه می شود این مقادیر را بصورت دوره ای (برای مثال ماهی یکبار) تغییر دهید.
اینکار از لو رفتن Session های شما و سوء استفاده از آنها جلوگیری می کند.
لطفاً توجه داشته باشید این مقادیر به دلخواه شما نیست و از سلسه مراتب خاص کدگذاری تبعیت می کند. بنابراین لازم است آنها را از سایت رسمی WordPress که هر ثانیه بروز میشود کپی و در فایل کانفیگ خود بروز کنید.
لینک مربوطه: https://api.wordpress.org/secret-key/1.1/salt

۳- رمز عبور (Password) قوی و دوراه ای

از این مرحله به سادگی نگذرید! یکی از مهمترین بخش های تامین امنیت وردپرس رمز عبور پیچیده و دوره ای است.
پسورد ترکیبی قوی را انتخاب کنید و ان را بصورت دوره ای (مثلاً هفته ای یکبار) تغییر دهید.
مثال برای یک پسورد خوب: p3Rs!AnwH0)oO1iIs

۴- کاربران غیرفعال یا قدیمی

ممکن است به دلایل مختلف (مانند طراحی سایت, درج مطالب, همکاران قدیمی, دوستان, تیم پشتیبانی و …) نام کاربری و رمز عبوری غیر از admin برای فرد/گروهی ساخته باشید و پس از پایان کار آنرا حذف نکرده باشید!
چند دقیقه وقت بگذارید و این مورد را بررسی کنید.

۵- قالب ها و پلاگین های بلا استفاده

همانطور که می دانید چندین هزار پلاگین و قالب مختلف برای وردپرس وجود دارد. صرف نظر از نوع آن, ممکن است برخی از پلاگین ها یا قالب ها را فقط برای انجام کاری خاص نیاز داشته باشیم. مانند: Importer plugin
هر پلاگین و یا قالبی که از آن استفاده نمی شود باید شناسایی و حذف شود.
پیشنهاد می کنم در انجام این مرحله دقت لازم را داشته باشید, حذف برخی از پلاگین ها به اشتباه می تواند سایت شما را دچار مشکل کند.

۶- بروز رسانی

بروز رسانی (Update), بروز رسانی (Update), بروز رسانی (Update)! سه بار نوشتم که تاکید کرده باشم! نیمی از حملات موفق هکرها ناشی از وجود حفره های امنیتی است که بروز رسانی نشده است.
هسته اصلی وردپرس, پلاگین ها و قالب ها همگی بطور منظم به بروز رسانی نیاز دارد. WordPress یکی از پسندیده ترن و راحت ترین سیستم های مدیریت محتوی موجود است که اینکار را بدون داشتن دانشی خاص و با چند کلیک برای شما انجام می دهد.
کافی است هر هفته تنها چند دقیقه برای بررسی و انجام اینکار وقت بگذارید.

۷- دسترسی ویرایش فایل در WordPress

شاید دیده باشید وقتی با نام کاربری administrator به محیط مدیریتی وردپرس خود وارد می شوید, امکان ویرایش مستقیم برخی قسمت ها از جمله قالب برای شما وجود دارد.
این قابلیت علاوه بر سهولت می تواند امکان دسترسی خطرناکی را جهت سوء استفاده به هکرها بدهد.
امکان ویرایش فایل (File Editing) را در اسرع وقت غیر فعال (Disable) کنید.

۸- هاستینگ ایزوله

صرف نظر از بحث امنیت سرور هاستینگ؛ توصیه می کنم از یک فضای هاست برای چند منظور استفاده نکنید. بارها دیده شده برای صرفه جویی در هزینه و راحتی کار در یک اکانت هاستینگ چند اسکریپت مختلف مانند وردپرس, جوملا, ویبولتن و … نصب و استفاده می شود.
اینکار خطر آسیب پذیری و هک شدن از طریق ضعف امنیتی در دیگر اسکریپت ها را برای شما دارد.
توصیه می کنم حتی برای Subdomain ها نظیر انچمن های گفتگو (Forum) نیر هاست جداگانه ای تهیه کنید.

۹- پلاگین امنیتی

پلاگین های مختلفی وجود دارد که جلوی یکسری حملات شناخته شده را میگیرد و در تامین امنیت وردپرس شما نقش بسزایی دارد.
از جمله پلاگین “Shield” که یکی از بهترین و بروزترین پلاگین های امنیتی موجود با امتیاز “۵ ستاره” و قابل اطمینان است. حتماً این پلاگین را نصب و برای امنیت بیشتر تنظیم کنید.
این پلاگین کارهای بسیاری برای شما انجام می دهد که در یک مقاله جداگانه آنرا بررسی خداهم کرد.

در صورتی که سوال یا مشکلی داشتید در کامنت مطرح کنید, در اسرع وقت پاسخ خواهم داد.

ممکن است هنگام تلاش برای دسترسی/ورود به phpmyadmin با خطایی مشابه زیر مواجه شوید:

Access Denied
unable to establish a php session. phpmyadmin

معمولاً این خطا زمانی رخ می دهد که سرور نتواند session موقت برای گذر از مرحله چک امنیتی را ایجاد کند و این موضوع عمدتاً مربوط به مشکل در شاخه tmp بر روی هاستینگ شماست.
داخل شاخه اصلی هاستینگ شما (معمولاً قبل از public_html) باید شاخه ای با نام tmp وجود داشته باشد و سطح دسترسی (Permission) آن روی ۷۵۵ تنظیم شده باشد.

اگر از وجود فولدر و تنظیمات فوق اطمینان دارید و هنوز مشکل پابرجاست با پشتیبانی ارتباط برقرار کنید. احتمالاً مشکل دیگری در تنظیمات سرور وجود دارد.

شاید تا بحال برای شما پیش آمده باشد که بخواهید یک بانک اطلاعاتی mysql را تعمیر کنید, اما به دلیل عدم وجود یا دسترسی کنترل پنل دچار سر در گمی شده باشید.
در صورتی که به سرویس خود دسترسی root دارید به سادگی می توانید با استفاده از mysqlcheck دیتابیس مورد نظر خود را تعمیر نمائید.
کافی است به سرور خود از طریق ssh وارد شده و دستور زیر را اجرا کنید:

mysqlcheck -p –repair –auto-repair database_name

بجای database_name بایستی نام بانک اطلاعاتی مورد نظر خود را قرار دهید.

– ممکن است پس از اجرای دستور فوق رمز mysql از شما پرسیده شود؛ در صورتی که آنرا به یاد ندارید می توانید آنرا تغییر داده و یا از مسیر زیر آنرا مشاهده فرمائید:

cat /root/.my.cnf

PHP سرورهای هاست اشتراکی, نمایندگی و هاست ویژه پربازدید لینوکس (cPanel/WHM) به نسخه ۵.۶.۱۵ بروز رسانی شد.
در نسخه ارتقا یافته کلیه توابع Zend Engine, XCache, ionCube PHP Loader, Zend Guard Loader, Suhosin, XCache Cacher نیز پشتیبانی می شود.

با توجه به اینکه در سرورهای ما از بستر CloudLinux و وب سرور Litespeed و Remote Mysql Server بصورت ترکیبی فرا ابری (چند سرور ابری بجای یک سرور معمولی) استفاده شده است؛ نسخه جدید PHP (5.6.15) در افزایش سرعت و بازدهی بسیار موثر می باشد.

به مانند گذشته مشتریان محترم می توانند از قابلیت Multi PHP در cPanel استفاده کرده و در صورت عدم سازگاری با PHP 5.6.15, از نسخه مورد نیاز خود استفاده و آنرا به دلخواه تغییر داده و ماژول ها و توابع را سفارشی کنند.

روش تغییر نسخه PHP:

۱- لطفاً ابتدا به cPanel سرویس هاستینگ خود وارد شوید.
۲- روی گزینه Select PHP Version کلیک کنید.
۳- نسخه PHP سازگار با سایت خود را از قسمت PHP Version انتخاب کنید و در صورتی که نیاز به Extension یا تابع خاصی دارید آنرا از لیست انتخاب کنید.
۴- روی گزینه Set as current برای اعمال تغییرات کلیک کنید.

[note animation=”” align=”left” title=”PHP Version”]PHP 5.6.15 (cli) (built: Nov 9 2015 22:15:51)
Copyright (c) 1997-2015 The PHP Group
Zend Engine v2.6.0, Copyright (c) 1998-2015 Zend Technologies
with XCache v3.2.0, Copyright (c) 2005-2014, by mOo
with the ionCube PHP Loader v4.7.5, Copyright (c) 2002-2014, by ionCube Ltd., and
with Zend Guard Loader v3.3, Copyright (c) 1998-2014, by Zend Technologies
with Suhosin v0.9.36, Copyright (c) 2007-2014, by SektionEins GmbH
with XCache Cacher v3.2.0, Copyright (c) 2005-2014, by mOo
[/note]