بایگانی

پروتکل امن (SSL)

پروتکل امنیتی (SSL) یکی از پروتکل‌های استاندارد جهت انتقال داده‌ها بین سرویس دهنده (Server) و سرویس گیرنده (Client) به صورت رمزنگاری شده است. لایهٔ سوکت‌های امن (Secure Sockets Layer) یا اس‌اس‌ال (SSL) پروتکلی است که توسط شرکت Netscape برای ردّ و بدل کردن سندهای خصوصی از طریق اینترنت توسعه یافته‌است به عبارت دیگر SSL یک پروتکل استاندارد و رایج امنیتی برپایه رمزگذاری است که در آن داده‌های رد و بدل شده بین سرویس دهنده (Server) و سرویس گیرنده (Client) توسط کلیدهای خاصی خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف, فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.

SSL پروتکلی است که پایین تر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار می گیرد. مزیت استفاده از این پروتکل, بهره گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکل های غیرامن لایه کاربردی نظیر HTTP, LDAP, IMAP و… می باشد که براساس آن الگوریتم های رمزنگاری بر روی داده های خام (plain text) که قرار است از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند, اعمال می شود و محرمانه ماندن داده ها را در طول کانال انتقال تضمین می کند.

به لایه امن مخفف های زیر را تخصیص داده اند :

  • Https (پروتکل امن)
  • Hypertext transfer protocol over secure layer (پروتکل انتقال ابر داده از طریق لایه امنیتی)
  • s-HTTP
  • Secure HTTP

بسیاری از سرویس دهندگانی که اطلاعات و داده‌های حساس مانند اطلاعات کارت‌های بانکی (مثلاً در شبکه بانکی کشور), کارت‌های شناسایی, رمزهای عبور مهم و … را بین خود و سرویس گیرنده رد و بدل می‌کنند, از پروتکل‌های امنیتی مانند SSL استفاده می‌کنند. وبسایت‌هایی که از پروتکل امن SSL جهت رمزگذاری داده‌ها استفاده می‌کنند, معمولاً از طریق پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با سرویس گیرنده‌ها ارتباط برقرار می‌کنند. به صورت مثال آدرس “https://worldbus.ir” همان طور که می بینید به صورت رمز نگاری شده و همراه با قفل سبز مشخص شده است.

برای داشتن ارتباطات امن مبتنی بر SSL عموما به دو نوع گواهی دیجیتال SSL یکی برای سرویس دهنده و دیگری برای سرویس گیرنده و یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز می باشد. وظیفه CA این است که هویت طرفین ارتباط, نشانی ها, حساب های بانکی و تاریخ انقضای گواهینامه را بداند و براساس آن ها هویت ها را تعیین نماید. در اجرای SSL یک مذاکره دست تکانی دو طرفه یا اصطلاحا HandShaking صورت می گیرد که وظیفه تایید هویت سرویس دهنده, تایید هویت سرویس گیرنده و در نهایت ارتباطات رمز شده را بر عهده دارد.

thawte, COMODO, RapidSSL از معتبرترین شرکت های ارائه دهنده سرویس های بستنرهای امن اطلاعات (SSL) در دنیا هستند که پرشین هویز هم کنون قادر به ارئه سرویس از این سه کمپانی معتبر می باشد. جهت اطلاع بیشتر و سفارش می توانید بر روی لینک “صدور گواهینامه امن SSL” کلیک بفرمایید, ضمنا خاطر نشان می شود که این شرکت ها امنیت داده های شما را بیمه می کنند و به شما تضمین صحت و اصالت پیام را با حداکثر امنیت را می دهند.

راه کارهای افزایش امنیت در ویندوز

در محیط های متصل به شبکه و تغییر پذیر امروز, فرآیند جلوگیری از دسترسی های غیر مجاز و یا امکان نفوذ احتمالی کامپیوترهای غیرمجاز و نا امن خارجی به شبکه ی درونی سازمان ها و شرکت ها, چالشی همیشگی بوده و هست. امروز قصد داریم به شما کاربران گرامی ورلدباس نحوه تامین امنیت برای سرورهای ویندوزی را آموزش دهیم. موارد بررسی شده جزء موارد امنیتی پایه به سمت پیشرفته یک سرور می باشد که تقریبا هر سروری باید آن را رعایت کند.

  1. بر روی سرورهای ویندوزی حتما آنتی ویروس نصب کنید و آن را بروز نگه دارید.
    سرورهای بدون آنتی ویروس به ویژه سرورهای ویندوزی همیشه در معرض خطر آلودگی به ویروس ها هستند, همان طور که می دانید می توانند از طریق برنامه ها یا از طریق وب به سرورها یا کامپیوترهای شخصی وارد شده و سیستم را الوده کنند و اقدام به جاسوسی و یا تخریب اطلاعات کنند بنابر این اولین مرحله تامین امنیت نصب آنتی ویروس است. برنامه های آنتی ویروس برای سیستم عامل ویندوز مورد پیشنهاد به شرح زیر است :
    آنتی ویروس های رایگان : ۳۶۰ Total Security Essential, ClamWin Antivirus, Avast Free Antivirus, AVG AntiVirus Free, BitDefender Free Edition, ZoneAlarm Free Antivirus
    آنتی ویروس های غیر رایگان و حرفه ای تر : BullGuard Antivirus, AVG Antivirus, Avast Pro Antivirus, Ashampoo Anti-Virus, Dr.Web Anti-virus, ESET NOD32 Antivirus, Kaspersky Anti-Virus
  2. فایروال پیشفرض ویندوز سرور را فعال نگه داشته و تنظیم کنید یا از فایروال های حرفه ای استفاده کنید.
    همانطور که می دانید فایروال با تمرکز بر روی شبکه و اتصال اینترنت , تسهیلات لازم در جهت عدم دستیابی کاربران غیرمجاز به شبکه و یا کامپیوتر شما را ارائه می نماید. فایروال ها این اطمینان را ایجاد می نمایند که صرفا پورت های ضروری برای کاربران و یا سایر برنامه های موجود در خارج از شبکه در دسترس و قابل استفاده می باشد. پیشنهاد می گردد حداکمکان فایروال خود ویندوز سرور را فعال نگه داشته و برای موارد و پورت های خاص تنظیم کنید و سایر پورت های اضافه را مسدود کنید. پیشنهاد میشود از فایروال های پیشرفته که رایگان یا فایروال های غیر رایگان و حرفه نیز استفاده کنید.
    فایروال های مورد پیشنهاد رایگان : ۳۶۰ Total Security, Comodo Firewall
    فایروال های غیر رایگان : ESET Endpoint Security, Kaspersky Endpoint Security,
  3. پورت های پیشفرض ورودی جهت دسترسی به سرور را تغییر دهید.
    همانطور که می دانید سرورهای ویندوزی از طریق Remote Desktop با پورت پیشفرض ۳۳۸۹ قابل کنترل و دسترسی مدیر سرور قرار می گیرد. در صورتی که این پورت تغییر نکنند تلاش های توسط بات های سرگردان اینترنتی جهت نفوذ و ورود به سرور شما که اصطلاحا Brute Force گفته میشود انجام میشود و یا حتی اشخاصی که بتوانند رمز ورود به سرور شما را حدس بزنند بنابر این شما می توانید با تغییر این پورت ها به راحتی از تمامی این حملات و خطرها در امان باشید. برای آموزش تغییر پورت بر روی کلمه “آموزش تغییر پورت ریموت سرور ویندوز” کلیک کنید تا مستقیم به صحفه آموزشی مربوطه ارجاع داده شوید..
    توجه داشته باشید, قبل از هر چیز اگر فایرول سرور شما فعال است, ابتدا باید پورت جدیدی که می خواهید تنظیم کنید در فایل Allow یا اجازه فعالیت دهید سپس اقدام به تعویض کنید, در غیر این صورت دسترسی شما توسط فایروال مسدود میشود.
  4. از احراز هویت دو مرحله ای برای ریموت به ویندوز سرور استفاده کنید.
    در این مرحله امنیت به صورت حرفه ای و پیشرفته برای ورود به ریموت سرور ویندوز اعمال می شود, شما می توانید با راه اندازی احراز هویت دو مرحله در ویندوز سرور از دسترسی غیر مجاز هکر به هر نحوی جلوگیری کنید, در این قسمت اگر هکر مشخصات ورود که شامل نام کاربری و رمز عبور شما را نیز داشته باشد, مرحله احراز هویت دوم جلوی هکر یا سوء استفاده کننده را می گیرد. یکی از این نرم افزارهای که امکان احراز هویت دو مرحله ای را برای شما فراهم کرده است Duo Authentication است که می توانید مراحل نصب آموزش این نرم افزار را از “Duo Authentication for Windows Logon and RD” مطالعه بفرمایید.
  5. از ایپی ثابت یا استاتیک برای دسترسی به کانسول یا ریموت به سرور استفاده کنید.
    اگر اینترنت خانگی یا شرکتی شما دارای ایپی ادرس ثابت یا استاتیک است می توانید تمامی دسترسی های ورود به کانسول و مدیریتی سرور را بر روی ایپی ثابت خود قرار دهید. در این صورت هیچکس به جز خود شما نمی تواند به سرور ریموت کند. از لحاظ دسترسی این بالاترین نوع امنیت در سرورها محسوب می شود. برای اینکار می بایست ایپی خود را در فایروال تنظیم کنیم و سایر ایپی ها را از دسترسی مسدود کنید, برای اموزش بر روی “Restrict RDP Access by IP Address” کلیک کرده و مراحل را دنبال بفرمایید.

با خاطر داشته باشید, استفاده از برنامه های لیسانس دار و بروز نگه داشتن سیستم عامل و برنامه ها در امنیت شما بسیار موثر است و همچنین اطلاعات ورود به سرورها را به هیچ عنوان در دسترس سایر اشخاص قرار ندهید و سعی کنید در صورت بروز مشکل از افراد مطمئن خبره یا کارشناسان بخش پشتیبانی شرکت ها استفاده کنید.

پرشین هویز و قابلیت آنتی دی داس DDoS protection

متاسفانه امروزه حملات DDoS دی داس (distributed denial-of-service) بخشی از زندگی روزمره مدیران IT شده است.
هزاران و شاید میلیون ها درخواست غیر واقعی یا fake (مانند سیل) در حملات DDoS به سمت سرور مشتری ارسال می شود تا با کمبود منابع مواجه شود و از دسترس خارج شود.
در این نوع حملات تعداد زیادی کامپیوتر آلوده که به بوت نت معروف هستند دست به دست هم چندین گیگابایت ترافیک آلوده را تولید می کنند که بطور انبوه حتی قادر به ایجاد مشکل برای یک ابر سرور است!

پرشین هویز به جمع سرویس دهندگان ارائه دهنده خدمات آنتی دی داس (DDoS protection) پیوست.

پرشین هویز می تواند از برنامه تحت وب (web applications), وب سایت, سرور مجازی یا سرور اختصاصی شما در مقابل حملات دی داس (DDoS) محافظت کند.
فایروال ها و سیستم های ما به طور ویژه ای تنظیم شده اند تا حملات مخرب DDoS را از ترافیک سالم تشخیص داده, بطور خودکار وارد عمل شده و از شما محافظت کند. این خدمات بطور رایگان در کلیه سرویس های هاست لینوکس, نمایندگی هاست لینوکس, سرور مجازی ویندوز, سرور مجازی لینوکس و سرور اختصاصی به کلیه مشتریان (سرویس های قدیم و جدید) ارائه می شود.

فایروال های پرشین هویز چگونه عمل می کنند؟

پس از شناسایی ترافیک مخرب حملات دی داس (DDoS), فایروال های گران قیمت و ویژه پرشین هویز در سه لایه وارد عمل می شوند تا از سرویس شما محافظت کنند:

  1. تشخیص خودکار الگوهای حمله
    در تشخیص یک حمله دی داس (DDoS) از میان ترافیک عظیم شبکه از میان میلیون ها packet, در پرشین هویز این قابلیت وجود دارد که packet های مسموم از درخواست های سالم به طور دقیق جداسازی و تفکیک شوند. این قابلیت امتیاز ویژه ای است که می تواند در مقابل انواع مختلف حملات دی داس هوشمندانه مقاومت کند. بنابراین فایروال های پرشین هویز تنها متکی به دستورات از پیش تعریف شده نیست!
  2. جداسازی ترافیک
    این فیلتر قابلیت جداسازی ترافیک آلوده (حملات دی داس) از ترافیک سالم را به ما می دهد. این امکان ویژه ای است که برای مقابله با حملات DNS reflection, NTP reflection و حملات UDP روی پورت ۸۰ کاربرد
  3. احزار هویت پویا و چالش برانگیز!
    در مرحله آخر حمله دی داس در سه دسته SYN floods, DNS floods و packet های خراب تقسیم بندی و فیلتر می شود. همچنین ما قابلیت تشخیص حملات یونیک و جدا سازی آنها را داریم.

تمام این مراحل توسط برترین تکنولوژی بروز سیسکو بصورت مرحله به مرحله انجام می شود تا میزان اشتباه دز تشخیص خودکار حملات دی داس به صفر برسد. برای جلوگیری از حملات دی داس ما قابلیت آنالیز دقیق ترافیک, جداسازی و تفکیک آن را بطور دقیق داریم.

شرایط استفاده از خدمات ضد حملات دی داس (DDoS) چیست؟

محافظت در مقابل حملات دی داس (DDoS) در پرشین هویز هیچ هزینه ای برای مشتریان ندارد و می تواند از سرویس های هاست لینوکس, نمایندگی هاست لینوکس, سرور مجازی ویندوز, سرور مجازی لینوکس و سرور اختصاصی در مقابل حملات دی داس (DDoS) محافظت کند.

اهمیت تهیه Backup از اطلاعات

حقیقتا با ورود به دنیای عصر اطلاعات, نگهداری و حفاظت از داده های یک سازمان, شرکت و یا هر پایگاه از اهمیت خاصی برخوردار است, اطلاعاتی که شاید با اسیب آن یک شرکت یا سازمان و یا حتی یک کشور را نابود و یا مورد تحدید قرار دهد. بک آپ گیری یکی از راه های مطمئن جهت حفاظت از اطلاعات می باشد.

اصولا داده های روی سرور یا سیستم های اطلاعاتی ممکن است از طریق چهار روش مورد تحدید جدی قرار می گیرد که به همین جهت بک آپ گیری از داده ها را در اولویت قرار می دهد و حیاط فعالیت یک شرکت یا سازمان را تضمین می کند.

  1. هکرها و نفوذگران: طبیعتا هر سرویسی که در شبکه های مختلف در حال فعالیت باشد مورد تحدید و حملات هکران قرار دارد, حال اگر این شبکه اینترنت باشد این نوع تحدید بسیار بیشتر است, برخی از کارشناسان معتقد هستند با نصب ابزارهای امنیتی می توانند این مورد را حذف کنند, اما این تصور کاملا اشتباه است, ابزارهای امنیتی فقط امنیت سرور را افزایش می دهد و مبحث امنیت یک موضوع نسبی است و قابل تضمین نیست. بنابر خط مقدم برای حفاظت اطلاعات در برابر هکران بعد از افزایش موارد امنیتی سرور قطعا بک آپ است. هکرها می توانند با دسترسی های غیر مجاز اقدام به پاک کردن کلیه داده ها از جمله فایل ها و پایگاه داده ها کنند.
  2. اشتباه های سیستماتیک و خطاهای انسانی: با پیشرفت تکولوژی ارائه خدمات میزبانی وب توسط پرتال های کاملا اتوماتیک صورت می پذیرد که سرعت و دقت کار را در آن بالا می برد و ضریب اشتباهات را به کمترین مقدار می برد (در حد صفر) اما با همه این مزایا امکان اشتباه در این سیستم ها نیز وجود دارد و ممکن است منجر به پاک شدن برخی از داده ها به اشتباه شود, همچنین خطاهای انسانی که اگر واقع بینانه به موضوع نگاه کنیم هر انسانی ممکن است دچار خطا شود و به اشتباه بخشی یا کل داده ها را پاک کند, بنابر این برای حفاظت از اطلاعات در برابر این مورد نیز بک آپ گیری تنها راه حل خواهد بود تا در صورت بروز مشکل داده ها از این طریق قابل برگشت باشد.
  3. بروز رسانی ناموفق نرم افزاری: قطعا بروز نگهداشتن نرم افزارهای روی سرور و سیستم عامل بسیار حیاتی و مهم است و شکاف های امنیتی و اشتباهات نرم افزاری را از بین خواهد برد, ممکن است در هنگام بروز رسانی سیستم عامل یا نرم افزارها, بسته های بروز رسانی با شکست موجه شده و موجب تخریب بخشی یا کل داده های روی سرور شود و کل سرور را مختل کند. برای حفاظت از اطلاعات در این روش نیز باید قبل از بروز رسانی از کل داده ها بک آپ گرفته شود تا در صورت وجود مشکل قابل بازگشت باشد.
  4. بدافزارها و ویروس ها:  یکی از عوامل مهم در تخریب اطلاعات کاربران قطعا ویروس ها و عوامل بد افزار موجود در سطح اینترنت است که علاوه بر تحدید جدی برای کامپیوترهای کاربران, جدیدا این مورد در قالب های وب سایت ها, کد نویسی ها و در کل موارد وب نیز دیده شده است. برخی از ویروس ها می توانند اطلاعات کاربران را حذف و یا تغییر دهند به همین جهت برای حفاظت از اطلاعات در برابر این مورد میبایست از اطلاعات بک آپ گیری کرد.

دو نکته اساسی در بک آپ گیری:

  • همیشه یک نسخه از اطلاعات بک آپ گیری شده را خارج از سرور یا جای امن دیگر ذخیره کنید تا در صورت از دسترس خارج شدن سرور اصلی یا سیستم شما, داده های شما در مکان امنی در دسترس باشد.
  • همیشه از دادهای خود Full Backup یا بک آپ گیری کامل به عمل آورید و به حجم بک آپ دقت کنید که در سالم بودن آن تاثیر دارد.

شرکت ورلدباس, مطابق با تعهدات خود از کلیه دادهای مشترکین (تنها میزبانی وب) به صورت منظم هفتگی و ماهیانه بر روی سرور و ریموت سرور (خارج از سرور) اقدام به بک آپ گیری میکند اما سرورهای مجازی یا اختصاصی شرکت به هیچ عنوان بک اپ گیری نمیشود به این دلیل که حجم داده ها بسیار زیاد بوده و امکان بک آپ گیری از آن وجود ندارد اما شرکت بر روی یک سرور ویژه که مختص بک آپ گیری است, این خدمات را به کلیه مشترکین عرضه می کند که جهت خرید بر روی “میزبانی فضای پشتیبان” کلیک فرمایید.

9 راه کار برای افزایش امنیت وردپرس

وردپرس (WordPress) یکی از ساده ترین, سریعترین و محبوب ترین سیستم عای مدیریت محتوی (CMS) است که با توجه به قابلیت های بسیاری که برای توسعه دارد, یکی از اولین انتخاب های هر وب مستر برای راه اندازی سایت یا وبلاگ در هر زمینه فعالیتی است.
امروزه خیلی از سایت های بزرگ نظیر همین سایت (PersianWhois) از اسکریپت وردپرس برای انتشار مطالب خود در قالب گوناگون استفاده می کنند.

وردپرس همانطور که برای وب مسترها و کاربران مقبول و عمومیت دارد؛ به همان اندازه برای هکرها نیز جذاب است! آنها بی رحمانه از کوچکترین نقاط ضعف و حفره های امنیتی وردپرس برای اهداف خود استفاده خواهند کرد.
اگر کاربر قدیمی WordPress باشید, شاید برای شما هم پیش آمده باشد؛ هنگام مراجعه به وب سایت خود با پیام غیر منتظره “شما هک شده اید …” روبرو شده باشید و یا شاید سایت خود را با همان قالب و محتوی برای فروش در مارکت های سیاه اینترنتی دیده باشید!!

در این مقاله سعی دارم به ۹ راه حل اصولی بپردازم که ضریب امنیت شما را تا حدود زیادی بالا خواهد برد و حداقل کار هکر را سخت خواهد کرد!
توجه داشته باشید انجام این موارد در کنار بروز نگه داشتن WordPress و پلاگین ها و استفاده از سرور هاستینگ امن به شما کمک خواهد کرد. (سرویس های هاستینگ پرشین هویز مخصوص وردپرس و سئو طراحی و بهینه سازی شده است.)

توجه: این مقاله برای کاربران با سطح اطلاعات متوسط به بالا تهیه شده و پیشنهاد می کنم اگر از نحوه کار اطلاع ندارید سایت خود را دستکاری نکنید! ممکن است این مراحل شما را دچار مشکل کند و بهتر است برای انجام آن از تیم امنیتی شرکت کمک بگیرید.

۱- نام کاربری “admin”

اولین کاری که باید انجام دهید تغییر نام کاربری admin است. نام کاربری (Username) به اندازه رمز عبور (Password) اهمیت دارد و نباید براحتی قابل حدس زدن باشد.
به این نکته توجه داشته باشید؛ اگر Username و Password را مانند کلیدهای ورود به منزل در نظر بگیریم, با استفاده از نام کاربری مانند admin یکی از کلیدها را در اختیار هکر قرار داده اید!

۲- Authentication Keys و Salts

داخل فایل پیکربندی وردپرس (wp-config.php) مقادیری با نام Authentication Keys و Salts قرار دارد. تصویه می شود این مقادیر را بصورت دوره ای (برای مثال ماهی یکبار) تغییر دهید.
اینکار از لو رفتن Session های شما و سوء استفاده از آنها جلوگیری می کند.
لطفاً توجه داشته باشید این مقادیر به دلخواه شما نیست و از سلسه مراتب خاص کدگذاری تبعیت می کند. بنابراین لازم است آنها را از سایت رسمی WordPress که هر ثانیه بروز میشود کپی و در فایل کانفیگ خود بروز کنید.
لینک مربوطه: https://api.wordpress.org/secret-key/1.1/salt

۳- رمز عبور (Password) قوی و دوراه ای

از این مرحله به سادگی نگذرید! یکی از مهمترین بخش های تامین امنیت وردپرس رمز عبور پیچیده و دوره ای است.
پسورد ترکیبی قوی را انتخاب کنید و ان را بصورت دوره ای (مثلاً هفته ای یکبار) تغییر دهید.
مثال برای یک پسورد خوب: p3Rs!AnwH0)oO1iIs

۴- کاربران غیرفعال یا قدیمی

ممکن است به دلایل مختلف (مانند طراحی سایت, درج مطالب, همکاران قدیمی, دوستان, تیم پشتیبانی و …) نام کاربری و رمز عبوری غیر از admin برای فرد/گروهی ساخته باشید و پس از پایان کار آنرا حذف نکرده باشید!
چند دقیقه وقت بگذارید و این مورد را بررسی کنید.

۵- قالب ها و پلاگین های بلا استفاده

همانطور که می دانید چندین هزار پلاگین و قالب مختلف برای وردپرس وجود دارد. صرف نظر از نوع آن, ممکن است برخی از پلاگین ها یا قالب ها را فقط برای انجام کاری خاص نیاز داشته باشیم. مانند: Importer plugin
هر پلاگین و یا قالبی که از آن استفاده نمی شود باید شناسایی و حذف شود.
پیشنهاد می کنم در انجام این مرحله دقت لازم را داشته باشید, حذف برخی از پلاگین ها به اشتباه می تواند سایت شما را دچار مشکل کند.

۶- بروز رسانی

بروز رسانی (Update), بروز رسانی (Update), بروز رسانی (Update)! سه بار نوشتم که تاکید کرده باشم! نیمی از حملات موفق هکرها ناشی از وجود حفره های امنیتی است که بروز رسانی نشده است.
هسته اصلی وردپرس, پلاگین ها و قالب ها همگی بطور منظم به بروز رسانی نیاز دارد. WordPress یکی از پسندیده ترن و راحت ترین سیستم های مدیریت محتوی موجود است که اینکار را بدون داشتن دانشی خاص و با چند کلیک برای شما انجام می دهد.
کافی است هر هفته تنها چند دقیقه برای بررسی و انجام اینکار وقت بگذارید.

۷- دسترسی ویرایش فایل در WordPress

شاید دیده باشید وقتی با نام کاربری administrator به محیط مدیریتی وردپرس خود وارد می شوید, امکان ویرایش مستقیم برخی قسمت ها از جمله قالب برای شما وجود دارد.
این قابلیت علاوه بر سهولت می تواند امکان دسترسی خطرناکی را جهت سوء استفاده به هکرها بدهد.
امکان ویرایش فایل (File Editing) را در اسرع وقت غیر فعال (Disable) کنید.

۸- هاستینگ ایزوله

صرف نظر از بحث امنیت سرور هاستینگ؛ توصیه می کنم از یک فضای هاست برای چند منظور استفاده نکنید. بارها دیده شده برای صرفه جویی در هزینه و راحتی کار در یک اکانت هاستینگ چند اسکریپت مختلف مانند وردپرس, جوملا, ویبولتن و … نصب و استفاده می شود.
اینکار خطر آسیب پذیری و هک شدن از طریق ضعف امنیتی در دیگر اسکریپت ها را برای شما دارد.
توصیه می کنم حتی برای Subdomain ها نظیر انچمن های گفتگو (Forum) نیر هاست جداگانه ای تهیه کنید.

۹- پلاگین امنیتی

پلاگین های مختلفی وجود دارد که جلوی یکسری حملات شناخته شده را میگیرد و در تامین امنیت وردپرس شما نقش بسزایی دارد.
از جمله پلاگین “Shield” که یکی از بهترین و بروزترین پلاگین های امنیتی موجود با امتیاز “۵ ستاره” و قابل اطمینان است. حتماً این پلاگین را نصب و برای امنیت بیشتر تنظیم کنید.
این پلاگین کارهای بسیاری برای شما انجام می دهد که در یک مقاله جداگانه آنرا بررسی خداهم کرد.

در صورتی که سوال یا مشکلی داشتید در کامنت مطرح کنید, در اسرع وقت پاسخ خواهم داد.

چگونه یک اسپمر نباشیم!

در این مقاله سعی در توضیح و تشریح روش های پیشگیرانه ای داریم که هنگام ارسال ایمیل گروهی و ارسال ایمیل تبلیغاتی ناخواسته تبدیل به اسپمر نشوید!
توجه داشته باشید ارسال ایمیل انبوه تبلیغاتی به تنهایی باعث اسپم شدن آدرس, ایمیل و IP شما نمی شود.

ایمیل یک ابزار مهم, در دسترس و کم هزینه و مطرح در دنیای امروزی برای تبلیغات و معرفی محصولات و خدمات است و اسپم شدن یک ایمیل یا آدرس دردسر بزرگی است. و وقتی اسپم شدید در جنگ بین سرویس دهنده ها و کاربران کار بسیار سخت تر خواهد بود تا ایمیل شما دوباره به inbox برگردد.
این موارد صرف نظر از محدودیت های شرکت های ارائه دهنده خدمات میزبانی, هاستینگ, سرور مجازی و سرور اختصاصی است که برخی محدودیت هایی برای ارسال ایمیل در نظر گرفته اند.
مثلاً در همین “پرشین هویز” برای سرویس های میزبانی هاستینگ و نمایندگی میزبانی هاستینگ محدودیت ارسال ایمیل در هر ساعت ۱۲۰ ایمیل در نظر گرفته شده و از این مقدار نباید تجاوز کند؛ ولی برای سرویس های سرور مجازی, سرور نیمه اختصاصی و سرور اختصاصی هیچ محدودیت ارسال ایمیلی وجود ندارد.

بطور کلی علاوه بر در نظر گرفتن محدودیت های سرویس دهنده؛ پیشنهاد می کنیم موارد زیر را رعایت کنید تا به عنوان اسپمر توسط سرویس دهنده های ایمیل شناخته نشوید:

  • حتی الامکان از سرور مجازی یا سرور اختصاصی استفاده کنید. مزیت این نوع سرویس ها علاوه بر عدم محدودیت در ارسال ایمیل انبوه, در اختیار داشتن IP اختصاصی, امکان دسترسی ریشه (root/admin) است؛ بنابراین می توان بر حسب نیاز برنامه ها و ابزارهای مختلفی را برای اینکار روی سرویس نصب و تنظیم کرد.
    نکته مهم: حتما IP سرویسی که تهیه می کنید را در سایت هایی مانند http://multirbl.valli.org/lookup چک کنید که از قبل اسپم و در لیست سیاه ثبت نشده باشد.
  • فقط از روش SMTP برای ارسال ایمیل استفاده کنید. ارسال ایمیل های انبوه با روش PHP Mail به هیچ وجه توصیه نمی شود.
  • قابلیت های Email Authentication که شامل DKIM و SPF را می شود برای دامنه ای که می خواهید با آدرس آن اقدام به ارسال ایمیل انبوه کنید فعال کنید.
    برای فعال سازی DKIM و SPF در تمام کنترل پنل های هاستینگ گزینه لازم پیش بینی شده است.
  • در صورتی که ایمیل های ارسالی بصورت انبوه و برای اهداف تبلیغاتی و تجاری ارسال می شود حتماً گزینه Unsubscribe یا لغو اشتراک را در انتهای متن ایمیل پیش بینی کنید.
  • به هیچ وجه در متن ایمیل ارسالی از کدهای جاوا و جلوه های ویژه استفاده نکنید؛ سعی کنید متن ایمیل ها ساده و قابل درک باشد.

آلودگی CryptoPHP

امروز یک ایمیل غیر مستقیم از دفتر امنیت اطلاعات فدرال (BSI) در خصوص یک آلودگی مخرب به نام “CryptoPHP” به دستم رسید که به دلیل اهمیت آن در تامین امنیت سیستم های مدیریت محتوی تصمیم گرفتم در وبلاگ به اشتراک بگذارم.

CryptoPHP یک backdoor مبتنی بر PHP است که نفوذگر (هکر) می تواند بوسیله آن سیستم های مدیریت محتوی نظیر جوملا, وردپرس یا دروپال را در معرض خطر امنیتی قرار دهد.
اطلاعات فنی CryptoPHP از لینک های زیر قابل دسترس است:

http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/
http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/

یکی از روش‌های خطرناکی که همواره مورد سوءاستفاده هکرها قرار می‌گیرد, تهدیدی موسوم به Back Door یا در پشتی است.

کدهای این backdoor شامل یک لیست از دامنه هایی است که به هکر اجازه دسترسی به یکسری بد افزار های (malicious software) مورد نیاز برای خرابکاری را می دهد.
تحلیل گران توانسته اند برخی از این دامنه ها را به سرورهایی که اعمال خرابکارانه را لاگ و تحلیل می کنند ارسال نمایند.
منشاء IP این درخواست ها سیستم های مدیریت محتوی که به CryptoPHP آلوده شده اند را نشان می دهد.

استفاده از فایروال و بستن پورت های غیر ضروری و همچنین استفاده و تنظیم سیستم های تشخیصی مانند آنتی ویروس های بروز و یا نرم افزار هایی نظیر CXS برای لینوکس امکان نفوذ و سوء استفاده CryptoPHP را به شدت کاهش می دهد.
همچنین توصیه می شود نسبت به بروز رسانی وب سرور و PHP سرور اقدام گردد.