آموزش وردپرسامنیت وردپرسسئو سایتسئوی سایت وردپرسیهک و امنیت سایتهک وبسایت وردپرسیوردپرسووکامرس
موضوعات داغ

هک و امنیت واقدامات مهم در وبسایت های وردپرسی برای جلوگیری از هک

وردپرس امنیت پایینی ندارد ولی این بستگی به بیش از 70تا 80 اقدام دارد

سرفصل مطالب نوشته

 اگر میخواهی قربانی هک وبسایت وردپرسی خودت نشی و همه زحمات چندسالت در یک لحظه به فنا و نابودی کشیده بشه این مقاله رو بخوون  !

چرا امنیت وردپرس؟علت توجه به بحث امنیت در وردپرسمهمترین علتی که باعث مطرح شدن بحث جدی هک وبسایت های وردپرسی و غیر وردپرسی امنیت در بین وب مستران شد،افزایش زیاد حملات صورت گرفته به وب سایت ها بود.
امروزه با افزایش استفاده از اینترنت و تکنولوژی در کشور‌های دنیا و در زمینه‌های مختلف از جمله سازمان‌ها و نهاد‌های سیاسی، نظامی، اداری، بخش‌های خدمات رسانی و حتی زندگی مردم، حملات و جنگ‌های سایبری نیز افزایش چشم گیری داشته است.
 و عیب همه  ما آدما اینه که تا گرفتار بیماری نشیم بفکر علاج و پیشگیری و دارو و درمان نیستیم!!
هم اکنون در اولین ساعتی که وبسایت وردپرسی خودت رو ران میکنی باید نسبت به تنظیمات جدی و گسترده در این سیستم مدیریت محتوا اقدام کنید.
با این اقدامات میتونید خطر نفوذ و هک وبسایت وردپرسی رو به کمترین مقدار ممکن برسونید.
وگرنه مطمین باش مثل فردی عمل کردی که میره بیرون از خونش و درب خونش رو باز میزاره !!!
بله باز !!! درست خوندید و نوشتیم !! آیا هرگز عمدا میشه برید بیرون خانه خودتون و درب رو باز بزارید ؟؟ آیا این کار منطقی و عقلانیه!!؟؟
قطعا نه . پس خوب ادامه این مقاله مهم رو بخونید و نکات گفته شده که حاصل سالها تجربه مداوم ما و سایر همکاران و وبمستران در زمینه امنیت وبسایت وردپرسی است رو اجرایی کنید.
این نکات رو در وبسایتت پیاده سازی کن و اگر نمیتونید این کارها رو انجام بدید:
حتما با ما تماس بگیرید تا بصورت کاملا رایگان و دوستانه نسبت به ایمن کردن وبسایتتون اقدامات لازم رو عملی نماییم.

https://shop.canvapro.ir/

تماس با ما به چند طریق امکان پذیر هست :

۱-پایین صفحه سمت راست از گزینه پشتیبانی آنلاین 

۲-تلفن مستقیم بنده بعنوان مدیر وبسایت رو میتونید شماره گیری کنید .

۰۹۱۰۵۱۳۰۵۱۱

۰۹۹۱۱۶۸۹۷۲۴

۳- میتونید به ما ایمیل یزنید:

[email protected]

[email protected]

لطفا این مساله رو جدی بگیرید و دراولین قدم فکری اساسی در جهت افزایش امنیت و راه های مقابله با نفوذ نفوذگران در سایتتان باشید.

قطعا با گذشت زمان و وسیع تر شدن دامنه فعالیت سایت شما  در بستر اینترنت،احتمال انجام حملات سایبری علیه وب سایت شما بعنوان یک طعمه آماده و یک شکار عالی بطرز سرسام آوری افزایش می یابد.

حمله سایبری چیست؟:

حمله سایبری نیز فرایندی است که طرف مهاجم با دنبال کردن برنامه ای، طرف مقابل خود را هدف قرار داده و به فضای مجازی آن یورش می‌برد.

مهمترین حمله سایبری ایران:

این نوع جنگ اولین بار در سال ۲۰۰۸ و بعد از حمله کشورهای اسرائیل و امریکا به تاسیسات هسته‌ای ایران شروع شد که دردسر‌ها و تنش‌های سایبری زیادی در ادامه آن ایجاد گردید.

حمله سایبری به گونه است که کشور مهاجم بدون استفاده از تسلیحات نظامی و یا حمله به مرز‌های طرف مقابل به اهداف خود نسبت به کشور هدف، دست می‌یابد و هزینه کمی را متحمل می‌شود.

این تنش‌ها همیشه در مقیاس‌های بزرگ نبوده و گاهی حمله‌های جزئی، ولی غیر قابل شناسایی مانند عوض کردن اطلاعات بانک خونی ارتش یک کشور به مراتب هزینه‌های بسیار زیادی را برای کشور هدف، به بار می‌آورد به طوری که طبق آمارهای گذشته در دنیا :

** ۵۳ درصد از حملات سایبر منجر به خسارت ۵۰۰۰۰۰ دلاری یا بیشتر شده است.**

اقدامات امن سازی سایت های وردپرسی:

۱-انتخاب هاست یا سرور مناسب و امن:

سرورمناسب یعنی چه؟ چه خصوصیاتی باید در سرور باشده که بدرد کار ما بخورد؟
سرور یا هاست مناسب دقیقا هاستی است که حداقل  شامل موارد زیر باشد:

۱- بک آپ گیری منظم و واقعی داشته باشد.

بسیاری از سایت های فروشهاست ( ، )Hostدر تبلیغات اولیه خود جهت جذب مشتری بیشتراین شرط ها را اعلام می کنند:
که ما به صورت هفتگی نسخه پشتیبان از سایت شماتهیه میکنیم ولی در عمل این کار را انجام نمی دهند.
و زمانی که سایت شما با مشکلی روبه رو میشود و نیاز به نسخه پشتیبان دارید به بهانه های مختلف از ارائه خدمات طفره میروند و بنوعی کلاه برداری میکنند.
پس حتما سعیکنید از سایت هایی هاست بخرید که برندهای معتبرو جاافتاده ای  هستند.
یکی از مهمترین نمادها و نشانه ها برای تشخصی معتبربودن یک سایت داشتن نماد اعتماد الکترونیکی یا همانe namadاست.

۲-اقدامات مدیران هاست در زمان حملات سایبری:

قبل از خرید حتما تحقیق کنید که  آیا مدیران سرور در زمان حملات گسترده از نوع تکذیب سرور اقداماتی را برای مقابله انجام می دهند یا نه؟
آیا قبل از بروز مشکل بر روی سرور از آنتی دیداس های مناسب استفاده می کنند یا خیر. این موارد را می توانید با سوال کردن از مدیر سرور متوجه شوید.

۳- اجرا نشدن شل کدها   ( )Shellکه بر روی سرور یا هاست :

شل کدهادر واقع کدهای مخربی هستند که نفوذگران برای اجرای کامندهای خود بر روی سرور از آنها بهره میبرند.
ولی با بسته بودن دایرکتوری ها عملا جلوی نفوذ سد میشود .
در حالی که درصورت باز بودن،نفوذگر با دسترسی به یکی از سایت های روی سرور به راحتی به تمام سایت های دیگر روی سرور دسترسی خواهد داشت.
وبالطبع به کل سیستم و وبسایت های زیر مجموعه آن هاست یا سرور تسلط خواهد یافت.

۴- بسته بودن امکان سیملینک در سرور یا هاست اشتراکی یا خصوصی:

حملات Symlink یا سیملینک یکی از خطرناک ترین وبدترین  و مهم ترین حملات رایج در نفوذ وتسلط به سرورها, هاست ها میباشد.
سیملینک برای  Shortcut گرفتن از یک فایل به کار می رود و به کمک آن می توان ارجاعی از یک فایل یا دایرکتوری را در مسیر دیگری ایجاد کرد.(در ویندوز یا سرور)
در امنیت سرور، کاربران معمولا به فایل های گوناگون سیستمی دسترسی دارند  و این یک مساله عجیب و خطرساز برای وبسایت شما و یک راه عالی برای نفوذ هکرها و نفوذگران می باشد.
حملات Symlink یکی از راه هایی هست که نفوذگران برای دسترسی غیر مستقیم به فایل های وبسایت ها از آن استفاده می کنند.
در این روش حمله نفوذگران با هدف دست یافتن به اطلاعات مهم از سرور مورد نظرشان  با استفاده از یک آسیب پذیری درون سرورها تحت عنوان Symlink ، محتویات فایلی که مد نظر دارند را در درون یک فایل دیگر براحتی میتوانند مشاهده نمایند.
برای مثال هکر با سترسی داشتن سروری میخواهند سایت های روی سرور را مورد نفوذ قرار دهند، ساده ترین روش استفاده از Symlink است.
هکرها با استفاده از آن می توانند فایل کانفیگ سایتی رو بخوانند و با داشتن کانفیگ به دیتابیس نفوذ میکنند .
وبراحتی با پورت ۳۳۰۶ و با داشتن دسترسی از دیتابیس اقدام به ریست پسورد کاربران یا مدیران سایت میکنند.
و در یک لحظه تمامی وبسایت های روی سرور مذکور را صاحب میشوند و کل اطلاعات قربانیان را بسرقت میبرند.
همچنین در سرور هایی که به صورت اشتراکی استفاده میشوند ،اصولا نباید هر مشترک به اطلاعات مشترک دیگر دسترسی داشته باشد.
،اما با استفاده از حملات Symlink، هکرها می توانند فایلی را از مسیر خود به مسیر مورد نظر انتقال داده و یا فایلی جداگانه درست کنند.
هکر ها معمولا از طریق شل اسکریپت ها و یا از طریق خود سرور و اسیب پذیری های تخصصی که با روش آزمون و خطا بر روی سرور به آنها دست یافته اند  اقدام به انجام این نوع حملات مینمایند

. جلوگیری از حملات Symlink از اساسی ترین و مهمترین موارد مدیریت و امنیت سرور است.

 

روش های جلوگیری از حملات Symlink

برای جلوگیری از حمله سیملینک راه های متعددی وجود دارد که مهمترین انها عبارتند از:
۱-کم کردن سطح دسترسی فایل ها و پوشه ها در سرور. (تغییر سطح دسترسی / permission فایل /bin/ln به ۴۰۰ )
۲-نکته :در سیستم عامل لینوکس به کمک دستور chmod می توانید این کار را انجام دهید. Chmod ۴۰۰ /bin/ln
۳-اگر از هاست اشتراکی استفاده میکنید، permission فایل های تنظیمات وردپرس  / config خودتان را به ۴۰۰ تغییر دهید.
۴-فایل php.ini را پیدا کنید و تابع symlink و proc_open را در سرور خود ، غیر فعال نمایید.
۵-از اجرای اسکریپت های cgi ، پایتون ، پرل و .. در صورت استفاده نکردن خوداری نمایید.
۶- فعال کردن safe mode سرور نیز در صورت امکان میتواند یک راه سد نفوذگرباشد.
۷-همیشه از اخرین نسخه و به روز وب سرور استفاده نمایید.

-۲**-استفاده از هسته اصلی وبسایت وردپرس او آر جی جهت نصب  وردپرس:

در هنگام نصب وردپرس بدانید که فایل هسته وردپرس را نباید  از هر سایتی دانلود کنید و نصبش کنید! ، چون امکان آلوده بودنفایل های اینجور نسخه ها زیادبوده و خطر ساز خواهد شد.

هشدار*** دانلود هسته وردپرس از هر سایتی غیر از سایت وردپرس.ارگ=هک وبسایت وردپرسی شما

برای دانلود هسته وردپرس از سایت https://wordpress.org/downloadبه عنوان تنها مرجع اصلی سازنده وردپرس استفاده کنید.

 

-۳**-اکنون پس از دانلود آن همزمان با نصب وردپرس بر روی وبسایت شما باید حواستان به چند نکته امنیتی فوق مهم باشد:

۱-۳-  نکته امنیتی مهم در ساخت دیتابیس وردپرس رخ میدهد .

وردپرس بصورت پیش فرض کلمه ( _ (WPرا به عنوان پیشوند جداول در تمامی سیستم ها در دنیا پیشنهاد میدهد که این چندان مناسب بنظر نمیرسد و میتواند شروع یک حفره امنیتی در وب سایتتان گردد پس  این مورد را تغیر می دهیم.

 به عنوان نمونه کلمه ( _ wor) را بصورت پیشوند جداول قرار میدهیم.

.۲-۳-گزینه دوم در این صفحه و بخش فرآیند انتخاب نام کاربری وپسورد در مرحله بعدی نصب قراردارد.

که نام کاربری یا همان باصطلاح یوزرنیم ( )Usernameبسیار مهم است که کلمه خیلی ساده ای را انتخاب نکنیدو دقت داشته باشید در این بخش به هیچ وجه از عبارت هایی مثل اسم و فامیل مدیروبسایت ، نام سایت ، نام شهر خودتون یا عباراتی مانند modir ، Adminو عبارات مشابه  استفاده نفرمایید.

۳-۳- .درمرحله بعد وردپرس از ما پسورد ) (Passwordیا همان رمزیا کلمه عبور را درخواست میکند که انتخاب کنیم.

در اینجا هم خیلی دقت نمایید که حتما حتما رمز عبورانتخابی شما  باید شامل اعداد و حروف کوچک و بزرگ وکاراکترهای خاص مثل[email protected]# ویا ترکیبی از این موارد  باشد و به گونه ای تنظیم نمایید که اصلا قابل حدس زدن برای هیچ فردی نباشد.

انتخاب شماره تلفن همراه خودتان یا افراد فامیل ویا استفاده ازکدملی و نام و نام خانوادگی یا نام مستعاربطور قطع گزینه های نادرست وغلط جهت انتخاب رمز عبور سایت شما خواهند بود.

۴-۳-نکته بعدی در طی مراحل نصب باید دقت فرمایید که در هنگام ساخت دیتابیس در وردپرس اسم دیتابیس و نام کاربری دیتابیس شما نباید یکسان باشد.

همچنین نام کاربری ورمز دیتابیس با نام کاربری و رمز ورود به سایتتان اصلا نباید شبیه به هم یا یکسان باشند:

-علتش هم اینست که اگر بنا بر هر رخ داد یا علتی چنانچه هکر به سایتتان نفوذ نمود وخواست هک وبسایت وردپرسی شمارو رقم بزنه!! دیگر نتواند با همان اطلاعات لو رفته یوز و پس سایت به دیتابیس که مهمترین بخش سایت شماست نفوذ نماید.

 همچنین در انتخاب رمز کاربری دیتابیس نیز همانند موارد انتخاب رمز ورود به سایت در گزینه قبل اقدامات امنیتی را رعایت نمایید.

۵-۳- اکنون وارد بخش بعدی مراحل نصب وردپرس میشویم و اینجا وردپرس عزیز از شما می خواهد که یک ایمیل به عنوان ایمیل بخش مدیریت وردپرس انتخاب کنید .

وردپرس جهت ارسال گزارشات و بازیابی اطلاعات حساب کاربری و بکار بردن در کانون مدیریت وردپرس از آن استفاده خواهد کرد.

در این مورد نکته امنیتی توجه به این عمل است که نباید و نباید  به هیچ وجه من الوجوه !!! از ایمیل هایی گه با آنها  در انجمن ها و کارهای اینترنتی روتین  خود استفاده کردید در اینجا نیز همان ایمیل را استفاده کنید!

بهتر است یک ایمیل که در هیچ جا فاش نشده با یک رمز قوی با رعایت نکات گزینه ۳ در انتخاب رمز باید در گوگل یا هر سایت دیگری که همانند گوگل معتبر باشد بسازید و از این ایمیل در وردپرستان استفاده کنید.

در اینجا نیز قابل ذکر است که علت این کار اینست که هکر به انجمنی که در آن ثبت نام دارید نفوذ کند با استفاده از تکنیک های پیشرفته هک خواهد توانست با بکار بردن نام ایمیلتان وارد وبسایتتان نیز بشود. واینجاست که هک وبسایت وردپرسی شما حتمی خواهد بود.

خوب تا اینجا مراحل ساخت و نصب حساب کاربری وردپرس را تا حدودی ایمن نمودیم و ازین به بعد در مرحله اتمام نصب وارد وردپرس و پنل مدیریتی آن میشویم.

**۴-** در شروع استفاده از وبسایت وردپرسی تان باید همین ابتدای کار در اولین قدم ها با ایمن سازی های زیر نسبت به مراقبت از وبسایتتان همت گمارید:

۱-۴- در اولین قدم پس از ورود به بخش مدیریت وردپرس حتما نسبت به پاکسازی کلیه اطلاعات و فایلهای نصبی وردپرس که طی فرآیند نصب از آنها کمک گرفته ایم را نابود و پاکسازی میکنیم.

این اطلاعات همانند فایل های installer.phpیا install.phpیا installer.html ویا install-helper.php و همچنین سایر فایلهای بسته نصبی آسان یا نسخه نصبی دیتابیس یا فایل جانسون درون ریزی محتوای وبسایت و …براحتی میتونن هک وبسایت وردپرسی رو براتون به ارمغان بیارن و باید آنهارا در کل از سایتتان پاک نمایید.

محل قرارگیری این فایلها عموما در پوشه public_html و یاپوشه wp-admin هاست وبسایت میباشد و با ورود به هاست باید کامل پاک شوند.

۲-۴-دوفایل دیگر نیز در فولدر public_html هاست وردپرسی سایتتان مشاهده خواهید نمود .  license.txt و فایل  readme.html :

 از آنجا که این دو فایل در طی مراحل نصب راهنمایی ها و قوانین اجازه های بین المللی رایگان بودن نصب وردپرس را به ما نشان میدهند.

و اکنون که مراحل نصب تمام شده دیگر کاربردی ندارند و از طرفی میتوانند اطلاعات مهمی از سایتمان را برای نفوذگران فاش کنند لذا نسبت به پاکسازی این فایل ها نیز همین ابتدای کار اقدام نمایید.

با این اقدامات تاکنون تا حدودی تونسته ایم جلوی نفوذ هکر هارو به وبسایتمون بگیریم ولی هنوز مبحث هک وبسایت وردپرسی تموم نشده و در نوشته های بعدی پیگیر سایر نکات باشید.

 

0

User Rating: Be the first one !

نوشته های مشابه

یک دیدگاه

  1. دی نت به عنوان یکی از قدیمی‌ترین
    وارد کنندگان لوازم جانبی کامپیوتر و موبایل و شبکه، با
    سابقه ترین پخش کننده عمده لوازم جانبی
    کامپیوتر، لپ تاپ، موبایل و تجهیزات
    شبکه در ایران – تهران با راه اندازی فروشگاه های اینترنتی جهت
    فروش و توزیع و پخش مسقیم لوازم جانبی کامپیوتر – لپ تاپ و موبایل – تبلت
    و تجهیزات شبکه با بیش از یک دهه تجربه، با پایبندی به سه اصل کلیدی، پرداخت در محل، ۷ روز ضمانت
    بازگشت کالا و تضمین اصل‌بودن کالا، موفق شده تا همگام با فروشگاه‌های معتبر جهان، به بزرگ‌ترین فروشگاه اینترنتی ایران تبدیل شود.
    به محض ورود به دی نت با یک سایت پر از کالا رو به رو می‌شوید!
    هر آنچه که نیاز دارید و به ذهن شما خطور می‌کند در اینجا پیدا خواهید کرد

    فروشگاه اینترنتی دی نت؛ مرکز پخش عمده لوازم جانبی کامپیوتر – لپ تاپ و موبایل – تبلت تهران.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا

Adblock رو غیر فعال کنید

بخشی از درآمد سایت با تبلیغات تامین می شود لطفا با غیر فعال کردن ad blocker از ما حمایت کنید