Skip to Content

آرشیو دسته بندی ها:وبلاگ

مراحل اتصال دامنه به هاست

مراحل اتصال دامنه به هاست

پس از تهیه دامین و هاست، باید ترتیبی اتخاذ کنید تا زمانی که یک کاربر نام دامنه شما را در مرورگر اینترنت خود وارد نمود، به سرور میزبان وب سایت شما هدایت شده و محتویات آن را مشاهده نماید. در غیر این صورت، کاربران مجبورند تا وب سایت شما را از طریق آدرس IP آن که یک مقدار عددی است (و به خاطر سپردن آن بسیار مشکل است) مشاهده نمایند. اتصال يك دامنه با هاست آن از طريق Name Server ها صورت مي پذيرد. وب سایتها با استفاده از نام سرور ها، امکان استفاده از Domain Name ها را به جای آی پی آدرس ها می دهند. درواقع DNS نشان دهنده یک تکنولوژی قدرتمند اینترنت برای تبدیل نام دامنه به آدرس IP است. وظیفه اصلی آن، یک رابط بین آدرس IP، نام سیستم کاربران وب سایت ها و حوزه های مربوطه می باشد.

مراحل اتصال دامنه به هاست

نحوه عملکرد سیستم DNS

برنامه کار DNS مانند این است که هر بار شما نام یک دامنه را در مرورگر خود وارد می نمائید به طور خودکار در سرور DNS تبدیل به آی پی آدرس دامنه می شود، به عنوان مثال شما نام دامنه “vcenter.ir” را در مرورگرتان وارد می نمائید و این در حالی است که این نام توسط سیستم DNS به IP آدرس  تبدیل می شود، در واقع با این کار از به خاطرسپردن اعداد پیچیده و همچنین ترکیبات گیج کننده برای کاربران جلوگیری می شود.

مراحل اتصال دامنه به هاست

انواع رکوردها و نحوه ویرایش و عملکرد آنها در DNS Zone

درواقع اغلب شركت هاي ارائه دهنده دامنه ، پس از ارائه دامین به كاربران خود، يك پنل مديريتي نيز در اختيار آنها قرار مي دهند كه امكانات اين پنل ها بسته به شركت ارائه دهنده اين خدمات متفاوت مي باشد. در اين كنترل پنل مديريتي، اغلب امكان ثبت Name Server ها و همچنين تغيير آنها به كاربران داده مي شود.با استفاده سرویس DNS علاوه بر امکان اعمال تنظیمات در هاستینگ و یا پنل های مدیریتی دامنه، امکان تغییر آی پی آدرس نیز وجود دارد و میتوان IP را به هاست دیگری متصل و مجموعه کاملی از رکوردهای دامنه مانند DNS ، A ، NS ، MX را به راحتی تغییر داد. در واقع هر یک از این رکوردها مسئولیت و ماموریت های خاصی دارند که در این جا شرح مختصری از هر یک را ارائه می دهیم:

رکورد A: کار نگاشت آدرس IP به نام Host را انجام می‌دهد. این ضروری‌ترین حوزه رکورد در اینترنت است.

رکورد CNAME: نام مستعار (آلیاس) یک دامنه یا زیردامنه است. کاربری که تلاش کند به این آلیاس دسترسی پیدا کند به طور خودکار به سروری هدایت خواهد شد که در رکورد A تعیین شده است. با این کار می‌توانید برای یک وب هاستینگ بیش از یک نام داشته باشید. وقتی آدرس IP خود را در رکورد A تغییر دهید رکوردهای CNAME آن دامنه به طور خودکار به IP جدید اشاره خواهند کرد.

تبادل‌گر ایمیل (رکورد MX): نگاشت ترافیک ایمیل به یک سرور ایمیل را انجام می‌دهد. این رکورد می‌تواند یک هاست دیگر با یک آدرس IP باشد. این رکورد باعث می‌شود ایمیل‌های شما به درستی تبادل شوند.

نام سرور (NS): شامل اطلاعات نام سرور آن حوزه می باشد. تنظیم این رکورد به سرورهای DNS دیگر که اطلاعات حاصل از جستچوی نام دامنه در سرورهای DNS را cash می‌کنند نشان می‌دهد که در این حالت سرور شما نقش SOA را برای این دامنه ایفا می‌کند.

شایان ذکر است این قابلیت در میزبانی معمولا توسط یک گزینه به نام DNS Zone Editor در اختیار کاربران قرار داده می شود.

مراحل اتصال دامنه به هاست

چگونگی ست نمودن Name Server های مربوط به هاست بر روی دامنه

حال به منظور اتصال دامنه به هاستینگ ، در قسمت Name Server در داخل پنل مديريتي دامنه، مي بايست مشخصات هاست خود را وارد نمائيد. به عنوان مثال در صورتي كه هاست (لینوکسی) خود را از تکین هاست تهيه نموده باشيد، مي توانيد Name Server های ns1.takinhost.com و ns4.takinhost.com را بر روي دامنه خود set نمائيد. همچنين جهت دريافت مشخصات مربوط به نام هاست شما مي توانيد با شركتي كه خدمات هاستينگ خود را دريافت نموده ايد تماس حاصل نمائيد. شايان ذكر است اين اطلاعات پس از تهيه هاست از طريق ايميل نیز براي كاربران ارسال مي گردد. همچنین زمانی که سپری می شود تا NS ها بر روی هاست set شوند بستگی به پسوند دامنه دارد. برای دامنه های ir. معمولا این زمان طولانی تر و ممکن است به طور میانگین تا 24 ساعت به طول انجامد. شایان ذکر است برای دیگر پسوندها مانند com ، .net. و … بین 3 الی 4 ساعت زمان می برد. حال در صورتی که تمامی مراحل را به درستی انجام داده باشید، می توانید با وارد نمودن نام دامنه تان یا همان آدرس سایتتان در مرورگر، سایت خود را مشاهده نمائید.

ادامه مطلب

انتخاب نام مناسب برای دامنه

انتخاب نام مناسب برای دامنه

انتخاب نام مناسب برای دامنه

انتخاب نام مناسب برای دامنه

5 روش بسیار تاثیر گذار در انتخاب نام دامنه وجود دارد که با استفاده از این نکات می توانید بهترین نام دامنه را برای خود انتخاب کنید. در انتخاب نام دامنه شما می بایست ابتدا سئوالات زیر را از خود بپرسید.

  1. آیا می خواهم دامنه ی من در مورد شرکت، سازمان، تجارت و یا شخص خودم باشد و سخن بگوید؟
  2. آیا به یک دامنه ی خاص نیاز دارم که خودش را از سایر دامنه ها متمایز نماید ؟
  3. آیا می خواهم که دامنه ی من بطور واضح و گویا موضوعی را توصیف و شرح دهد ؟
  4. آیا دامنه ی من می بایست معرف نوع فعالیت باشد ؟
  5. آیا دامنه ی من می بایست معرف کشور خاصی باشد ؟

موارد زیر را در نظر بگیرید:

  • جذاب باشد
  • گویا باشد
  • کوتاه باشد
  • ماندگار و قابل حفظ باشد
  • حدالامکان از – در آن استفاده نشود

شرایط و قوانین ثبت را در نظر بگیرید:

  • نام دامنه ی مورد نظر شما نباید محتوی Trademark و برند ثبت شده ی شرکت دیگری باشد.
  • ثبت تمامی پسوند ها برای عموم آزاد نیست و برخی شرایط و قوانین خاصی دارند.
  • برخی از پسوند ها شرایط خاصی برای نام های دامنه دارند.
  • هزینه ی ثبت و تمدید تمامی پسوند ها یکسان نمی باشد.

بر اساس موارد فوق شما می بایست نام ای انتخاب نمایید که بتواند بیشترین میزان فاکتور های فوق را پاس نماید.

 

ادامه مطلب

آشنایی با HTTP/2 و پشتیبانی از HTTP/2 در وب سرورها

آشنایی با HTTP/2 و پشتیبانی از HTTP/2 در وب سرورها

نسخه جدیدی از HTTP حالا وب را سریع‌تر خواهد کرد و این بزرگ‌ترین تغییر در این پروتکل ارتباطی از ۱۹۹۹ تا کنون است.

Hypertext Transfer Protocol  که بسیاری از ما با علامت مخصوص به آن یعنی http:// در آغاز هر آدرس آن را می‌شناسیم اتصالی بین مرورگر کاربر و سروری که وب‌سایت‌ را میزبانی می‌کند، برقرار می‌کند. این پروتکل توسط پدر اینترنت یعنی «سرتیم‌برنزلی» ابداع شده است.

نگارش جدید HTTP یعنی  HTTP/2 بعد از ۲۰ سال یک ارتقا اصلی و بنیادی پس از HTTP/1.1 می باشد. با HTTP/2 تاثیر Latency و ارتباط ها در وب سرورها کاهش می یابد در واقع HTTP/2 یک طراحی مجدد بر روی شماتیک کارکرد HTTP و نحوه جریان ارتباط های TCP می باشد. پیشرفت اصلی HTTP/1.1 استفاده از ارتباط های مداوم جهت پاسخگویی چند درخواست در یک ردیف بود. در HTTP/2 یک ارتباط مداوم مورد استفاده قرار می گیرد تا چندین درخواست همزمان را پاسخ دهی کرد. در این بین HTTP/2 چندین قابلیت مجزای دیگر را نیز معرفی کرده است که این امکان را فراهم نموده تا بازدهی HTTP را در شبکه بهبود بخشد.

HTTP/2 چیست؟

HTTP/2 نسخه آینده HTTP است و بر اساس Google SPDY تولید شده که طراحی آن بر اساس سرعت بیشتر در دیده شدن صفحات وب و تجربه وب‌گردی است. این یک استاندارد جدید است و جایگزین استاندارد HTTP1.1 می‌شود که هم اکنون بیشتر سایت‌های اینترنتی از آن استفاده می‌کنند.

 

تفاوت آن‌ها چیست؟

HTTP/2 یک پروتکل مدرن است که سرعت مرور وب را افزایش می‌دهد و از روش‌های جدیدی برای انتقال دیتا بین مرورگر و سرور روی اینترنت بهره می‌گیرد.

HTTP/2 قابلیت انطباق با نسخه قبلی یعنی HTTP1.1 را دارد و تقریبا از همان تکنولوژی‌های مشابه اما به شکل بهینه‌تر استفاده می‌کند و به سرورها اجازه می‌دهد که محتواهای بیشتری نسبت به محتواهای درخواست شده را به کاربر ارسال کنند. این باعث می‌شود که کامپیوتر کاربر –  تا هنگام کامل شدن صفحه – مرتبا درخواست به سرور نفرستد.

همچنین مرورگرها می‌توانند در یک زمان چندین درخواست از یک بخش از اطلاعات را به چندین وب‌سایت به طور همزمان ارسال کنند و این باعث افزایش سرعت کامل شدن یک یا چند صفحه درخواست شده می‌شود.

 

آیا من اختلافی را مشاهده خواهم کرد؟

بله. صفحات وب در مقایسه با HTTP1.1 با سرعت بیشتری لود یا کامل خواهند شد. البته افزایش سرعت اینترنت کاربر هم به معنی افزایش سرعت لود شدن صفحات است اما افزایش سرعت این پروتکل به صفحات وب و مرورگرها نسبت به سرعت کلی اینترنت کاربر برتری دارد و سایت‌های مدرن که انبوهی از عکس و متن و دیتا دارد به شکل ملموسی سریع‌تر در دسترس خواهند بود.

پروتکل جدید همچنین دیدن وب از طریق موبایل را هم دچار تحول خواهد کرد و باعث سرعت بالای وب ا زطریق موبایل می‌شود.

 

آیا من باید کاری انجام دهم؟

نه. از جهت کاربر نیاز به هیچ تغییری نیست. در آدرس همچنان http:// دیده می‌شود و خود مرورگرها به طور خودکار از نسخه ۱.۱ به نسخه ۲ سوییچ می‌کنند. گوگل کروم و برخی از دیگر سرویس‌های گوگل  در طی دو سال گذاشته از پروتکل SPDY استفاده می‌کردند که احتمالا متوجه آن نشدید.

 

یک ارتباط برای چندین درخواست

هر ارتباط TCP برای راه اندازی نیاز به طی نمودن یک مسیر دایره وار دارد. اگر شما از رمزنگاری استفاده می کنید، برقرار ارتباط TLS یک الی دو مسیر دایره وار مازاد نیز طی می کند. تمام این موارد قبل از تبادل اولین بایت پاسخ بین سرور و مرورگر انجام می شود. به جای ایجاد یک ارتباط جدید با استفاده از ارتباطی که از قبل ایجاد شده این عملیات بالا دستی می تواند تنها یک بار انجام شود و بین ارتباط های آتی به اشتراک گذارده شود. در ادامه ی کار این اشتراک گذاری باعث به حداقل رساندن زمان برقراری ارتباط ها می شود. HTTP/2 زمان انتظار برای آغاز یک ارتباط را بسیار کاهش داده و دیگر درخواست ها در صف برای انجام عملیات Handshake با سرور باقی نمی مانند. همچنین ارتباط ها تا زمان به پایان رسیدن ارتباط قبلی یا idle شدن آنها صبر نمی کنند. از انجاییکه یک ارتباط بین چندین درخواست تسهیم شده، درخواست ها می توانند به صورت آنی ارسال شده و دیگر برای تکمیل شدن دیگر درخواست ها منتظر نمانند.

 

فشرده سازی Header با HPACK

در واقع HTTP برای مدت طولانی می باشد که از فرشده سازی داده ها پشتیبانی می کند. اما Header ها به صورت فشرده نشده و در قالب متن با فراوانی و حشو زیاد ارسال می شوند. (درخواست های خیلی از header های طولانی با داده های کاملا یکسان ارسال می شوند!) HTTP/2 قابلیت جدیدی با نام HPACK را معرفی کرده است، این قابلیت یک طرح کلی برای هدرهای HTTP است که درخواست های متعدد و حشو را کاهش می دهد.

فشرده سازی به تسهیم نمودن درخواست ها کمک می کند، زیرا درخواست ها کوچکتر می باشند. این امر کاربران را قادر می سازد تا تعداد درخواست های زیادی را در اولین پکت های ارسالی خود به سرور ارسال نمایند، در حالیکه پنجره ی کنترل جریان TCP هنوز کوچک می باشد.

 

Server Push

درخواست ها با الگوی قابل پیش بینی دریافت می شوند. اگر کاربر درخواست یکی از منابع را نماید، سرور معمولا می تواند پیش بینی نماید که بعد از آن در صفحه چه منابع دیگری فراخوانی می شوند. در HTTP/1.1 کدنویسی بین خطوط استفاده می شد تا این منابع را در همان بایت های اولیه پاسخ دهد. کدنویسی بین خطوط اشکالاتی دارد – یکی از مهمترین آنها این است که کدنویسی موجود در بین خطوط قابل کش شدن نیستند و در نتیجه در صفحاتی که از کدنویسی یکسان استفاده کرده قابل استفاده نبوده و می بایست مجدد بارگذاری شوند.

در نسخه ی جدید  HTTP مفهوم جدیدی به نام “Push” معرفی شده است – سرور به درخواست هایی پاسخ ارسال می کند که هنوز ایجاد نشده اند. این عملیات با استفاده از پیش بینی عملکرد کاربر انجام می شود. این کار باعث می شود تا سرورها بتوانند مزایای عکس العمل مشابه کدنویسی بین خطوط را ارائه دهند اما به صورتیکه کاربران بتوانند این داده ها را کش کرده و در صفحات دیگر استفاده کنند.

چگونه از HTTP/2 استفاده کنیم؟

شاید شما همین الان هم از آن استفاده کرده باشید! از آنجاییکه تقریبا همه ی مرورگرهای امروزی از HTTP/2 در آخرین بروزرسانی خود استفاده می کنند و داده های آماری هم نشان می دهند که بیش از ۵۰% کاربران در حال استفاده از مرورگر هایی هستند که HTTP/2 را پشتیبانی می کنند.

در نظر داشته باشید که  HTTP/2 زمانی مورد استفاده قرار می گیرد که کاربر و سرور هر دو آنرا پشتیبانی کنند. در برخی از وب سرور ها تلاش شده تا HTTP/2 به صورت پیاده سازی شود که هرچه بیشتر شفاف باشد و شما نیازی به اعمال تغییرات خاصی جهت راه اندازی آن نداشته باشید. برخی از بهینه سازی های HTTP/1.1 (مانند Domain sharding، کدنویسی بین خطوط و غیره) دیگر در HTTP/2 پشتیبانی نمی شوند، بنابراین شما می بایست برنامه ریزی نمایید تا در آینده این بهینه سازی ها را از وب سایت خود حذف نمایید.

در مورد push چطور؟

از انجاییکه push یک قابلیت جدید در HTTP/2 می باشد، یک سری API های جدیدی هستند که شما می بایست آنها را فراخوانی کنید تا بتوانید از مزایای آنها استفاده نمایید. شما با استفاده از API ها URL ها و درخواست های انتخابی را در header های سفارشی لحاظ می کنید که حدس می زنید کاربران آنها را فراخوانی خواهند کرد. اگر push پشتیبانی شود دو اتفاق رخ می دهد:

  • یک PUSH_PROMISE به کاربر ارسال می شود تا کاربر بررسی کند آیا منابع مربوطه در کش موجود می باشد یا خیر
  • یک درخواست جدید به صف درخواست ها برای منابع push شده قرار می گیرد.

اگر ارتباط برقرار شده از push پشتیبانی نکند (کاربر آنرا غیرفعال نموده یا از HTTP/1.1 استفاده می کند) فراخوانی کاری انجام نداده و باز می گردد. این بدان معنا می باشد که شما بدون نگرانی از بروز مشکلی می توانید از این API استفاده کنید و حتی اگر کاربران از آن پشتیبانی نکنند مشکلی برای وب سایت و بارگذاری آن پیش نمی آید.

 

HTTPS چه خواهد شد؟

نسخه امن وب که برای بانک‌ها، فروشگاه‌ها، ایمیل و دیگر سرویس‌ها به کار می‌رود هم به طور کامل توسط HTTP/2  پشتیبانی می‌شود و هیچ تغییری در این زمینه ایجاد نخواهد شد.

HTTP/2  البته نیاز به نسخه بهبود یافته TLS1.2 ( لایه امنیتی انتقال) دارد که اولین بار در سال ۲۰۰۸ استاندارد شد و امنیت بیشتری را نسبت به نسخه‌های قبلی ارایه می‌دهد و امروزه توسط بسیاری از سرویس‌ها مورد استفاده قرار می‌گیرد.

 

پشتیبانی از HTTP/2 در وب سرورها

مایکروسافت ویندوز

وب سرور IIS: مایکروسافت اعلام نموده در IIS ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ از HTTP/2 پشتیبانی می شود. همچنین در حال حاضر HTTP/2 در IIS تنها بر روی TLS قابل استفاده می باشد.

لینوکس

وب سرور Apache:

نسخه ی ۲٫۴٫۱۲ وب سرور Apache با استفاده از ماژول mod_h2 از HTTP/2 پشتیبانی می کند. البته نصب چندین پچ نرم افزاری بر روی وب سرور برای پشتیبانی از ماژول مذکور مورد نیاز است. از نسخه ی ۲٫۴٫۱۷ به بعد این پچ ها به صورت توامان در آپاچی ارائه می شوند. این ماژول در حال حاضر به mod_http2 تغییر نام یافته است.

وب سرور Nginx:

نسخه ی ۱٫۹٫۵ وب سرور nginx از HTTP/2 به صورت کامل پشتیبانی می کند.

وب سرور LiteSpeed:

نسخه ی ۵٫۰ وب سرور LiteSpeed از HTTP/2 پشتیبانی می کند.

ادامه مطلب

۱۲ ابزار اسکن وب سایت در مقابل ویروس ها

۱۲ ابزار اسکن وب سایت در مقابل ویروس ها

پیش‌ترها وقتی صحبت از وب‌سایت‌ها و اپلیکیشن‌ها می‌شد، توجه بیشتر به کارایی، طراحی، سئو و مارکتینگ بود، اما حالا یکی از مسائل مهم پیش رو توجه به امنیت آن وب‌سایت یا نرم‌افزار است. اهمیت این موضوع فقط برای توسعه دهنده نیست، بلکه کاربری که از وب‌سایت یا نرم‌افزاری استفاده می‌کند هم به امنیت آن اهمیت می‌دهد. حفظ امنیت آنلاین و حریم شخصی یکی از دغدغه‌های اصلی اشخاصی است که به هر طریقی با دنیای دیجیتال در ارتباط هستند.

در این مطلب قصد داریم به معرفی ابزارهایی برای اسکن و بررسی امنیت وب‌سایت‌ ها بپردازیم. هرچند توسعه دهندگان و مدیران سیستم با رعایت نکات امنیتی می‌توانند امنیت وب‌سایت یا اپلیکیشن‌ را تا حد زیادی تامین کنند، ولی چک کردن وب‌سایت‌ها با ابزارهای زیر نیز می‌تواند کمک خوبی هم برای تولید کننده و هم استفاده کننده باشد.

در زیر نمودار Cenzic سهم عمده آسیب پذیری های که شناسایی شده اند را نشان میدهد.

۱۲ ابزار اسکن وب سایت در مقابل ویروس ها

سوالات زیادی در مورد اینکه چگونه امنیت یک وبسایت را اسکن کنیم و بسنجیم وجود دارد. در این مقاله، من برای شما ابزار های رایگانی را که میتوانید با آن ها وبسایت خود را اسکن نمایید، فهرست میکنم.

Scan My Server

ScanMyServer یکی از جامع ترین گزارش ها را از آسیب های تست امنیتی مانند SQL injection, Cross Site Scripting, PHP Code Injection, Source Disclosure, HTTP Header Injection, Blind SQL Injection و بقیه موارد میدهد. گزارش اسکن به همراه خلاصه آسیب پذیری ها به شکل ایمیل اطلاع رسانی میشود.

SUCURI

SUCURI مشهورترین وبسایت رایگان اسکن برای ویروس و امنیت میباشد. شم میتوانید یک تست سریع برای ویروس، بلک لیست وبسایت، اسپم های تزریق شده و نقص ها را انجام دهید. SUCURI وبسایت شما را از تهدید ها پاک سازی و محافظت می کند و با هر نوع پلت فرم وبسایتی شامل وردپرس، جوملا، magento، Drupal، phpPP و … کار میکند.

Qualys SSL Labs, Qualys FreeScan

SSL Labs یکی از بیشترین ابزار ها برای اسکن SSL وبسرور میباشد. این ابزار برای شما تحلیل عمیقی از آدرس https  شما شامل روز انقضا، امتیاز دهی، رمزنگاری، ورژن SSL/TLS، شبیه سازی دست دادن TCP، جزئیات پروتکل ها و موراد مشابه را فراهم میکند. اگر شما یک وبسایت امن https دارید، نباید بیشتر از این منتظر باشید وهمین الان یک تست انجام دهید.

Quttera

Quttera وبسایت را برای بدافزار ها و تهدیدات چک می کند. اگر مخواهید که فایل های وبسایت خود را از نظر فایل های مخرب، فایل های مشکوک، فایل های بسیار مشکوک، جستجوی امن گوگل و دامن لیست های بد افزار ها اسکن نمایید.

 

Detectify

Detectify یک وبسایت اسکنر SaaS-based میباشد. این وبسایت شامل ۱۰۰+ تست امنیتی شامل ۱۰ تست برتر OWASP ، بدافزار و موارد دیگر است. Detectify به شما ۲۱-روز استفاده رایگان میدهد و بعد از آن شما باید برای آن ثبت نام نمایید تا اسکن وبسایت های خود را انجام دهید.

Site Guarding

SiteGuarding به شما کمک میکند که دامین خود را در مقابل بد افزار، بلک لیست شدن وبسایت، اسپمهای تزریق شده و بسیاری موارد دیگر ساکن نمایید. این اسکنر با WordPress، joomla، Drupal، Magento، osCommerece، Bulletin و دیگر پلاتفرمها سازگار میباشد.

SiteGuaring همچنان به شما کمک میکند که بدافزار را از وبسایت خود پاک نمایید، پس اگر وبسایت شما با ویروس آلوده شده باشد، آن ها میتوانند کار آمد باشند.

Web Inspector

Web Inspector وبسایت شما را اسکن کرده و یک گزارش جامع از لیست سیاه، فیشینگ، بدافزار، کرم ها، بک دور ها، تروجان ها، فریم های مشکوک و ارتباطات مشکوک را ارائه میکند. پس تعلل نکنید و یک اسکن انجام دهید تا موارد مشکوک را شناسایی کنید.

Acuneticx

Acunetix وبسایت را کامل در برابر ۵۰۰ آسیب شامل DNS و ساختار شبکه از سرور Acunetix تحلیل و آنالیز میکند. آنها برای شما یک حساب ۱۴ روزه رایگان در نظر گرفته اند و و شما میتوانید ثبت نام کرده و دامین خود را ثبت کنید تا اسکن های امنیتی برای شما انجام شود.

Asafa Web

AsafaWeb یک نتیجه سریع از اسکن ردیابی ها، اشتباهات سفارشی،  ردیابی پشته ها، Hash Dos Patch، لاگ EMLAH، کوکی های HTTP Only، کوکی های امن، Clickjacking و موارد دیگر فراهم میکند.

Netsparker C‌loud

Netsparker Cloud یک اسکن کننده امنیت تحت وب سازمانی است که اسکن را برای بیشتر از ۲۵ تهدید امنیتی مهم و بحرانی انجام میدهد. Netsparker برای پروژه متن باز رایگان است و در غیر اینصورت شما میتوانید که برای نسخه آزمایشی آن اقدام کرده و اسکن را انجام دهید.

UpGuard Web Scan

UpGuardWebScan یک ابزار ارزیابی ریسک خارجی میباشد که از اطلاعات عمومی در دسترس برای نمره دادن به فاکتور های مانند SSL، حملات Clickjacking، کوکی ها، DNSSEC،  هدر ها و غیره میباشد. این مورد هنوز در نسخه آزمایشی میباشد ولی ارزش امتحان کردن را دارد.

Tinfoil Security

Tinfoil Security اول از همه وبسایت شما را در مقابل ۱۰ تهدید OWASP و سپس در برابر سوراخ های امنیتی دیگر می سنجد. شما پس از اقدامات لازم، گزارش عملیاتی و گزینه ای برای اسکن دئباره دریافت میکنید. انجام این کار تقریبا ۵ دقیقه طول میکشد، و همچنین شما میتوانید زمانی که وبسایت شما محافظت میشود نیز از این ابزار استفاده نمایید.

یکی از ملزومات امنیتی مانیتور کردن آن است، پس شما زمانی که هک شدید و یا سرویس از کار بی افتد متجه میشوید. این در حالی است که ابزار بالا به شما کمک میکنند که وبسایت خود را اسکن کرده و شاید به شما پیشنهاد کنند که دوست داشته باشید یک زمان بندی برای اسکن خودکار آن انجام دهید.

امیدوارم که لیست بالا به شما در اسکن و مقابله با تهدیدات وبسایتتان کمک کند.

ادامه مطلب

حملات بروت فورس چیست و چه راهکاری برای جلوگیریی این نوع حملات وجود دارد؟

حملات بروت فورس چیست و چه راهکاری برای جلوگیریی این نوع حملات وجود دارد؟

حملات Brute Force یکی از رایج ترین حملات برای بدست آوردن امکان ورود می باشد و با ارسال و تست تعداد بالایی نام کاربری و رمز عبور  بر روی صفحات لاگین وب سایت ها ، صفحه لاگین ایمیل و انواع صفحاتی که برای ورود به حساب کاربری هستند صورت می گیرد و هکر با این روش تمامی عبارت های ممکن را بررسی می کند تا امکان ورود را بدست بیاورد.

آشنایی با این نوع حملات برای تمامی مدیران وب سایت ها و افرادی که دارای رمز عبور و نام کاربری مهم در وبسایتی هستند لازم و ضروری است تا با شناخت این روش ها و نحوه مقابله با آنها وب سایت امن تری داشته باشند. بهمین دلیل در این مقاله به مفهوم Brute Force و راهکارهای جلوگیری از آن می پردازیم.

حمله  Brute Force چیست؟

Brute Force یک اصطلاح عمومی برای حملاتی است که هکر ها سعی در یافتن نام کاربری و رمز عبور سایت را دارند. این نوع حمله برای سیستم های مدیریت محتوا (مانند وردپرس و جوملا و …) و سرویس های رایج مانند FTP و SSH شابع است.

راه های بسیاری برای انجام یک حمله Brute Force وجود دارد که رایج ترین روش حملات مبتنی بر دیکشنری (dictionary-based) می‌باشد. در این روش هکر ها از یک لیست که شامل رمز عبور های رایج  یا رمزهایی که در طول سال های قبل با استفاده از آن ها به خیلی از سایت ها نفوذ نموده اند، استفاده کرده و هر رمز را برای نفوذ امتحان می کنند و اینکار را تازمانیکه ترکیب صحیح نام کاربری و رمز عبور سایت را کشف کنند ادامه می‌دهند. بطور کلی امتحان این ترکیب رمز و نام کاربری ها چند دقیقه بیشتر طول نخواهدکشید.

برای یک هکر، استفاده از صفحه Log IN میتواند یکی از بهترین وسیله ها برای سازمان دهی یک حمله باشد.( /wp-admin یا  /wp-login برای   وردپرس و یا administrator  برای جوملا) پس برای شناسایی آنها و حملات به وب سایت ها، بدون شک استفاده از روش هایی که به مانیتورینگ این صفحات و تلاش های غیر منطقی برای ورود نام کاربری و رمز عبور کمک می‌کنند، می‌تواند مفید باشد.

حفاظت در برابر حملات Brute Force 

حفاظت در برابر اینگونه حملات بسیار ساده است و با استفاده از رمز عبور های قوی برای کلیه کاربران سایت و کلیه رمزهای بخش مختلف امکانپذیر خواهد بود. با استفاده از رمز های قوی برای کلیه کاربران  حمله BruteForce موفقیت آمیز نخواهد بود.

برای تعیین رمز های قوی می توانید از نرم افزار مدیریت پسورد استفاده کنید و با استفاده از این نرم افزارها رمزهای پیچیده و قوی تولید کنید.

اینگونه حملات ممکن است عوارض جانبی ناخواسته مانند مشکل در دسترسی به سایت و استفاده بیش از حد منابع و بالارفتن لود سرور را داشته باشند. حملات Brute Force  بدلیل ارسال درخواست های زیاد در یک زمان به سرور باعث بالارفتن لود وب سرور و کندی بارگذاری سایت ها می‌شوند.

توجه داشته باشید حتی اگر بعنوان مثال کلیه کاربران رمز عبور قوی استفاده کنند اما در این بین یک حساب کاربری موقت یا تست دارای رمز ضعیفی باشد، همین  یک اکانت  نیز خطرناک خواهد بود. این رمز ممکن است توسط توسعه دهنده سایت یا مسئول بکآپ گیری و یا هر فرد دیگری تعیین شده باشد و ممکن است بصورت آزمایشی تعیین شده و قصد داشته باشد اکانت را حذف کند اما فراموش کرده، اما اثرات این فراموشی  خطرناک می باشد.

روش‌های عمومی بروت‌فورس
1-امتحان کردن دستی رمز عبور
در این روش هکر به‌صورت دستی نام کاربری و رمز عبور فرم ورود را توسط روش آزمون و خطا بررسی می‌کند. در این روش با توجه به تنظیمات امنیتی، سایت هکر می‌تواند تا میزان مجازی برای آزمودن رمز عبور مورد نظر اقدام کند. این روش ساده‌ترین راه برای کشف رمز عبور است که بیشتر به‌ ضعف امنیت رمز عبور انتخاب‌شده بستگی دارد.
۲-روش Dictionary
حمله Dictionary را می‌توان به‌عنوان یک حمله Brute Force هوشمند تعریف کرد. این حمله از رمز عبوری که یک کلمه است و بتوان آن را در یک دیکشنری پیدا کرد استفاده می‌کند. تنها محدودیت واقعی که حمله Brute Force همیشه با آن مواجه بوده، زمان لازم برای پایان جست‌وجو و همچنین قدرت محاسباتی است. این روش یکی از معروف‌ترین و پراستفاده‌ترین راه‌ها برای کشف رمز عبور ذخیره‌شده در جدول دیتابیس سرور است.
در یک حمله Brute Force عادی، ما هر ترکیب احتمالی از اعداد، حروف و سمبل‌ها را آزمایش می‌کنیم تا به کلمه عبور واقعی برسیم. در این روش، هکر با در اختیار داشتن میلیون‌ها کاراکتر پیشنهادی برای امتحان در فرم ورود به پنل مدیریت و با استفاده از ابزارهای بروت‌فورس، به حمله به هدف مورد نظر خود اقدام می‌کند که یک پروسه زمان‌بر و طولانی بوده و با قدرت سخت‌افزاری سیستم مخصوصا کارت گرافیک ارتباط کاملا مستقیم دارد. هر چقدرGPU قوی‌تر باشد، روند انجام کار سریع‌تر است. در واقع هکر مانند یک فرد مسلح به سمت هدف با سرعت بالا شلیک می‌کند تا هدف مورد نظر آسیب‌پذیر شود.
حمله دیکشنری فقط در صورتی موفقیت‌آمیز خواهد بود که رمز عبور یک کلمه حقیقی باشد، مثلا asreertebat. در نتیجه این نوع حمله با محدودیت‌هایی همراه است؛ چراکه اگر کاربر هوشمندی کرده و رمز عبور پیچیده و قوی انتخاب کرده باشد در این صورت کار هکر بسیار سخت و دشوار خواهد بود. این روش در برابر پسورد‌های قوی که ترکیبی از کلمات و شماره‌ها و سمبل‌ها هستند زیاد کارآمد نیست.
۳-Mask Attack
در‌صورتی‌که هکر رنج تعداد کاراکترهای رمز عبور را حدس بزند، این روش کارآمد‌ترین راه محسوب می‌شود؛ چراکه با توجه به طولانی و زمان‌بر بودن پروسه حمله بروت‌فورس، کاهش میزان احتمالات باعث سرعت‌بخشیدن به‌طرز چشم‌گیری به روند کار خواهد شد. همچنین در‌صورتی‌که هکر کاراکتر‌های مشخصی از رمز عبور را تشخیص دهد، در این روش برای كشف بقيه کاراکتر‌ها امتحان خواهد کرد. به عنوان مثال هکر یقین دارد که مقدار ابتدایی رمز asreertebat است، بنابرین توسط این روش به‌دنبال کاراکتر‌های بعد از asreertebat می‌گردد. براي مثال، از asreertebat1000 تا asreertebat10000000 و کلیه اعداد در این رنج را توسط ابزار بررسی می‌کند یا هر نوع رنج و کاراکتری که هکر احتمال آن را بدهد.
۴- Combination
هکر در این روش دو دیکشنری جداگانه را همزمان با یکدیگر مورد استفاده قرار می‌دهد و عبارات هر دیکشنری را با هم ترکیب و بررسی می‌کند و هر دو عبارت متناظر با یکدیگر ترکیب و مورد آزمایش قرار می‌گیرند. میزان ترکیب و رنج کاراکتر در این روش کاملا انعطاف‌پذیر بوده و هکر قدرت انتخاب زیادی را دارد.
۵- روش hybrid
این روش یکی از جدید‌ترین و کارآمد‌ترین روش‌های هک رمز عبور است که نه‌تنها عبارات حقیقی و تکی بلکه عبارات ترکیبی مانند اعداد، سمبل‌ها و کاراکتر‌های ویژه را نیز شامل می‌شود و از قدرت مانور بیشتری برخوردار است. در واقع بسیاری از کاربران تصور می‌کنند صرفا با اضافه کردن عدد پس از نام خود، رمز عبور ایمن است، در‌صورتی‌که هکر پس از ناموفق بودن در کشف رمز عبور توسط متد dictionary به روش hybrid یا دورگه روی می‌آورد که با اضافه کردن رنج اعداد مشخصی که توسط هکر انتخاب می‌شود و ترکیب علايم و سمبل‌های مشخص اقدام به بررسی صحت رمز عبور خواهد کرد.
روش‌های مقابله با حملات brute force
با توجه به اینکه حملات بروت‌فورس وسعت بسیاری داشته و در جاهای متعددی قابل استفاده هستند. ابتدا باید محدوده کار مشخص شود؛ مثلا قرار است از فرم ورود به مدیریت یک سایت جوملایی یا وردپرسی محافظت شود یا از پنل مدیریت هاست یا سرور یا…. اما در این قسمت راهکار‌های متفاوتی برای این نوع حمله ذکر خواهد شد:
۱- استفاده از کد captcha در کنار فرم ورود به پنل: در حالت عادی یک فرم ورود شامل دو کادر نام کاربری و رمز عبور است، اما با اضافه کردن کادر captcha که یک عبارت مشخص در داخل آن نوشته شده، کاربر باید آن را در کادر پایین‌تر وارد كند که به‌اصطلاح به آن عبارت امنیتی گفته می‌شود. همچنين می‌توان به جای عبارت امنیتی، از سوال امنیتی استفاده کرد که کاربر باید جواب آن را در کادر پایین‌تر بدهد.
تا زمانی که عبارت یا سوال امنیتی پاسخ داده نشود حتی با صحیح بودن نام کاربری یا رمز عبور، امکان ورود ممکن نیست که اين مساله یک سد امنیتی مهم در مقابل حملات brute force محسوب می‌شود، چون با توجه به اینکه حملات brute force توسط ربات و نرم افزار‌ها انجام می‌شوند، بنابراین با ایجاد کد کپچا ربات یا نرم‌افزار از هوش لازم برای پاسخگویی به کد کپچا برخوردار نیستند؛ چراکه سوالات از نوع انسانی مطرح می‌شود.
۲- بلاک کردن آی‌پی‌های مهاجم: یکی دیگر از اقدامات مهم و موثر برای پنل مدیریت سایت و سرور، بلاک کردن آی‌پی‌هایی است که بیش از سه بار رمز عبور را اشتباه وارد می‌کنند. بر اساس این اقدام، هر آی‌پی که بیش از حد مجاز اقدام به تست رمز عبور در فرم ورود را انجام دهد توسط ابزار‌ها یا پلاگین‌های اختصاصی تا مدت زمان مشخصی بلاک خواهد شد. همچنین در تنظیمات سرور‌ها نیز این امکان وجود دارد تا توسط فایروال سرور آی‌پی‌های مهاجم بلاک شوند.
۳- تغییر پورت‌های پیش‌فرض سرور: یکی دیگر از روش‌های محافظت در مقابل این‌گونه حملات، تغییر پورت پیش‌فرض برنامه‌ها توسط سرور است. به‌عنوان مثال پورت ssh را که به‌صورت پیش‌فرض ۲۲ است، به یک پورت بیکار دیگر تغییر داد؛ چون بر حملات بروت‌فورس به تعیین پورت نیاز بوده که همیشه پورت پیش‌فرض مدنظر است. همچنین پورت پیش‌فرض ورود به پنل مدیریت هاست نیز که مثلا در directadmin ۲۲۲۲ است نیز بهتر است تغییر یابد یا در cpanel که ۲۰۸۳ است نیز در صورت تغییر پورت، کار هکر بسیار سخت‌تر خواهد شد. به‌طور کلی تغییر پورت‌های پیش‌فرض در سرور یک سد امنیتی بسیار مناسب برای جلوگیری از حملات بر وت فورس به وجود خواهد آورد.
۴- ایمن‌سازی فرم ورود: یکی دیگر از راهکارهای ایمن‌سازی، اسکریپت فرم ورود است؛ چراکه از فرم ورود به پنل مدیریت سایت‌ها در صورت مشکلات امنیتی و رعایت‌نکردن اصول برنامه‌نویسی برای سایت خطرناک و امکان نفوذ را افزایش می‌دهد.
۵- انتخاب نام کاربری مناسب و تغییر مداوم آن: برای انجام حملات بروت فورس فهمیدن نام کاربری الزامی است؛ بنابرین انتخاب نام کاربری مناسب و تعویض مرتب آن می‌تواند سد امنیتی مناسبی در برابر حملات ایجاد کند.
۶- انتخاب رمز عبور مناسب: شاید بتوان گفت مهم‌ترین عامل در جلوگیری از حملات بروت‌فورس، انتخاب رمز عبور مناسب است که در شماره‌های گذشته هفته‌نامه به‌طور مفصل به آن اشاره شده است، اما به‌طور کلی انتخاب رمز عبور بین 15 تا 25 رقم، استفاده از جملات، استفاده نکردن از اسامی معروف، استفاده نکردن از علايم و رمزهای ساده و قابل حدس، ترکیب اعداد و علايم ویژه در رمز، از معيارهای مناسب برای انتخاب رمز عبور ایمن محسوب می‌شوند.
در پایان باید گفت حملات brute force قربانیان زیادی را تا به امروز گرفته که دلایل متعددی مانند ضعف امنیتی فرم‌های ورود، رمز عبور ناامن، پیش‌فرض بودن پورت‌ها، نام کاربری قابل حدس، استفاده نکردن از افزونه‌های امنیتی، فقدان تنظیمات بهینه فایروال سرور در آن دخیل بوده‌اند.

راهکار دربرابر حملات Brute Force 

 

۱-استفاده از رمز عبور قوی: این اولین خط دفاع و تنها راه برای جلوگیری از حمله موفقیت آمیز است.

۲-محدود نمودن دسترسی به لینک های احراز هویت: درصورتیکه شما از رمز های قوی استفاده کنید، باز هم هکرها لینک های احراز هویت سایت شما را مورد هدف قرار می دهند، آن ها تلاش می کنند اما موفق نمی شوند و اما این تلاش های نافرجام باعث بروز مشکلاتی مثل بالا رفتن لود سرور و کندی سرعت بارگذاری سایت شما خواهد شد.

جهت رفع و جلوگیری از چنین مشکلی توصیه می کنیم در فایل htaccess  دسترسی به صفحات لاگین را به آدرس ip  محدود کنید، در صورتیکه از ip  استاتیک استفاده می کنید، دسترسی را به ip استاتیک و درغیر اینصورت می توانید به محدوده رنج سرویس دهنده اینترنت خود، تعیین نمائید.

بعنوان مثال در صورتیکه از وردپرس استفاده می کنید، تغییرات برای فایل htaccess   بصورت زیر خواهد بود:

 

شما می توانید همین تغییر را برای هر URL احراز هویت مربوط به مدیریت محتوا یا سایت خود اعمال نمائید.

۳-استفاده از Captcha: کد تصویر امنیتی(captcha) قبل از ورود به سیستم یک راه قدرتمند برای کم کردن سرعت تلاش حملات Brute Force است و استفاده از آن را مخصوصا در زمانیکه امکان محدودیت ip   ذکر شده وجود ندارد، توصیه می کنیم. استفاده از تصویر امنیتی به خصوص در سایت های ثبت نام به منظور کاهش میزان اسپم و ربات ها مفید می باشد.

۴-تایید هویت دو مرحله‌ای(۲FA): تایید هویت دو مرحله‌ای لایه‌ی امنیتی مضاعفی را برای حساب‌های کاربری آنلاین شما به وجود می‌آورد و در کاهش میزان احتمال موفقیت این حمله بسیار موثر خواهد بود.

بیاد داشته باشید شما نمی توانید که این تلاش ها را متوقف کنید اما می توانید جلوی موفقیت آمیز بودن این حملات را بگیرید.

ادامه مطلب

نحوه امن کردن وردپرس

نحوه امن کردن وردپرس

متأسفانه تقریباً روزی نیست که خبری را در مورد هک شدن وب سایت های وردپرسی نشنویم، از آنجائیکه وردپرس در حال حاضر محبوب ترین سیستم مدیریت محتوای موجود می باشد انگیزه های بسیاری برای هک کردن آن وجود دارد.

نحوه امن کردن وردپرس

امنیت در وردپرس از اهمیت بسیار بالایی برخوردار است  و بطور جدی به آن پرداخته می‌شود اما درست مانند هر سیستم دیگری، در صورت عدم رعایت برخی نکات ایمنی ساده ممکن است با مشکلات امنیتی احتمالی برخورد کنیم. در این مطلب به بررسی برخی از معمول‌ترین آسیب پذیری‌ها و راهکارهای بالا بردن امنیت وردپرس می‌پردازیم.

این مقاله  راه حل نهایی برای تمامی دغدغه‌های امنیتی شما نیست. اگر نگرانی بخصوصی دارید، بهتر است با کسانی که به دانش آنها در زمینه‌ی امنیت کامپیوتر و وردپرس اطمینان دارید، نگرانی‌ها و سوالات خود را در میان بگذارید.

امنیت چیست؟

اساساً وقتی صحبت از امنیت می‌شود، منظورمان سیستم‌های کاملاً امن نیستند. یافتن چنین چیزی عملاً غیرممکن بنظر می‌رسد. یک سرور امن از حریم خصوصی، یکپارچگی و در دسترس بودن منابع تحت کنترل سرور محافظت و اطمینان حاصل می‌کند.

ویژگی‌های یک هاست قابل اطمینان عبارتند از:

  • مشتاقانه درمورد انتظارات و نگرانی‌های امنیتی شما وهمچنین ویژگی‌ها و پروسه‌های امنیتی که هاستینگ در اختیار شما خواهند گذاشت، با شما صحبت می‌کند.
  • آخرین و با ثبات‌ترین نسخه‌های نرم‌افزار سرور را در اختیارتان می‌گذارد.
  • روش‌های قابل اعتماد بازیابی اطلاعات و پشتیبان‌گیری (بک آپ) را برای شما فراهم می‌کند.

با مشخص کردن نرم‌افزار و اطلاعاتی که باید محافظت شوند، در مورد نوع امنیتی که برای سرور خود مد نظردارید تصمیم بگیرید. ادامه‌ی مطلب شما را در این زمینه راهنمایی خواهد کرد.

 

پوسته‌های امنیتی

در تصمیم گیری در مورد امنیت جنبه‌های مختلف  سیستم خود، چند نکته‌ی کلی را در نظر داشته باشید:

محدود کردن دسترسی

کاهش نقاط ورود احتمالی برای افرادی که  مقاصد سوء دارند.

مهار

سیستم باید به نحوی کانفیگ شود که میزان خسارتی که در صورت در خطر قرار گرفتن یک رویداد ممکن است به سیستم وارد شود را به حداقل برساند.

آماده‌ سازی و دانش

برداشتن بک آپ و اطلاع از وضعیت وردپرس در فواصل زمانی مشخص. داشتن برنامه‌ای برای بک آپ و بازیابی اطلاعات می‌تواند در صورت بروز هر گونه مشکلی، شما را هر چه سریعتر به حالت روزمره برگرداند.

منابع مورد اعتماد

از منابع غیر قابل اعتماد، پوسته (theme) و افزونه (plugin) نگیرید. خود را به مجموعه‌ی موجود در WordPress.org و یا کمپانی‌های قابل اعتماد محدود کنید. گرفتن پوسته و افزونه از خارج از وردپرس ممکن است منجر به پدید آمدن مشکلاتی شود.

 

آسیب پذیری‌های کامپیوتر شما

مطمئن شوید که کامپیوتر‌های مورد استفاده‌ی شما عاری از هر گونه جاسوس افزار، بدافزار و ویروس باشند.

همیشه سیستم‌عامل و نرم افزار‌های خود، بخصوص مرورگر اینترنتی، را به‌روز نگه دارید تا سیستم خود را از نقص‌های امنیتی مصون نگه دارید. اگر قصد بازدید از سایت‌های غیر قابل اطمینان و مشکوک را دارید، بهتر است از ابزاری مانند no-script استفاده و یا جاوا اسکریپت، فلش و جاوا را  در مرورگر خود غیر فعال کنید.

 

آسیب‌پذیری‌های وردپرس

مانند دیگر بسته‌های نرم افزاری مدرن، وردپرس بطور مرتب برای آمادگی در مقابل مشکلات امنیتی احتمالی آپیدت می‌شود. بحث بهبود امنیت نرم افزاری یکی از دغدغه‌های همیشگی است و برای دستیابی به آن همیشه از آخرین نسخه‌ی وردپرس استفاده کنید. نسخه‌های قدیمی وردپرس از نظر امنیتی آپدیت نمی‌شوند.

به‌روز رسانی وردپرس

آخرین نسخه‌ی وردپرس را همواره می‌توانید از وب‌سایت اصلی وردپرس به آدرس http://wordpress.org دریافت کنید. آپیدیت‌های رسمی هیچ‌گاه در وب‌سایت های دیگر قابل دسترسی نیستند. بنابراین هرگز وردپرس را از وب‌سایتی به غیر از  ‌ http://wordpress.org دانلود نکنید.

از نسخه‌ی ۳٫۷ به بعد، وردپرس گزینه‌ی آپدیت خودکار اضافه کرده است. با استفاده از این ویژگی می‌توانید براحتی به‌روز بمانید. به علاوه می‌توانید از طریق Dashboard وردپرس از آپدیت‌ها با خبر شوید.

در صورت پدید آمدن یک آسیب پذیری در وردپرس و عرضه شدن نسخه‌ای جدید از وردپرس برای برطرف کردن این مشکل، اطلاعات مورد نیاز برای نحوه‌ی استفاده از این آسیب پذیری بطور قطع در دامنه‌ی عمومی قرار دارد. بنابراین نسخه‌های قدیمی همیشه بیشتر در معرض حملات قرار دارند و به همین دلیل به ‌روز رسانی اهمیت زیادی پیدا می‌کند.

اگر شما بیش از یک نصب وردپرس را مدیریت می‌کنید، می‌توانید از Subversion برای تسهیل مدیریت استفاده کنید.

 

گزارش مشکلات امنیتی

اگر با نقصی امنیتی در وردپرس روبرو شدید، می‌توانید برای رفع هر چه سریعتر آن، مشکل را گزارش کنید. لطفا برای اطلاعات بیشتر در مورد نحوه‌ی گزارش ایرادات، Security FAQ را بخوانید.

اگر فکر می‌کنید با یک باگ مواجه شده‌اید، آنرا گزارش کنید. برای اطلاعات بیشتر Submitting Bugs را بخوانید. باگ‌ها یا به خودی خود آسیب پذیری‌های امنیتی هستند یا منجر به نقص‌های امنیتی می‌شوند.

آسیب پذیری‌های سرور

سرور اینترنتی وردپرس و نرم‌افزارهای روی آن ممکن است دارای نقاط ضعف باشند. به همین دلیل، اطمینان حاصل کنید که از نسخه‌های با ثبات و امن سرور و نرم‌افزار روی آن استفاده می‌کنید و یا از هاست قابل اطمینانی استفاده کنید که مطمئن هستید به این موارد رسیدگی می‌کند.

اگر شما در سروری مشترک ( سروری که وب‌سایت های دیگری را نیز در کنار وبسایت شما هاست می‌کند) قرار دارید و وبسایتی در سرور شما دچار مشکلات امنیتی شد، به احتمال بسیار بالا، وب‌سایت شما نیز در معرض خطر قرار دارد حتی اگر تمامی توصیه‌های این مطلب را انجام داده باشید. به همین خاطر بهتر است از سرور خود در مورد اقدامات پیشگیرانه‌ی امنیتی که انجام می‌دهند، اطلاعاتی کسب کنید.

آسیب پذیری‌های شبکه

شبکه در هر دو انتها، یعنی انتهای وردپرس و انتهای مشترک، باید قابل اطمینان باشد. برای این منظور باید قوانین فایروال مودم خود بروزرسانی کنید و حواستان باشد که از چه شبکه‌هایی کار می‌کنید. کافی‌ نتی که در آن پسوورد خود را از طریق اتصال اینترنتی، وایرلس و یا به هر شکل دیگر می‌فرستید، شبکه‌ای امن محسوب نمی‌شود.

هاست اینترنتی شما باید در مقابل حملات ایمن باشد. در غیر این صورت، نقص‌های امنیتی شبکه می‌توانند به دزدیده شدن پسوورد و دیگر اطلاعات حساس شما شوند.

پسوورد

بسیاری از نقص‌ها و آسیب‌پذیری‌های احتمالی با عادات امنیتی درست قابل پیشگیری هستند. یک پسوورد قوی نقش مهمی در این امر دارد.

پسوورد قوی پسووردی است که برای افراد دیگر غیر قابل حدس باشد و حملات جستجوی فراگیر موفق به یافتن آن نشوند. حملات جستجوی فراگیر، بر خلاف هک کردن که بدنبال نقص‌های امنیتی می‌گردد، بقدری یوزرنیم و پسوورد‌های مختلف را امتحان می‌کنند تا به نتیجه برسند. ابزار‌های خودکار تولید پسوورد وجود دارند که می‌توانند یک پسوورد امن به شما پیشنهاد کنند.

یکی از ویژگی‌های وردپرس، دارا بودن نشانگر میزان قوی بودن یک پسوورد است. زمانی که قصد تغییر پسوورد خود را داشته باشید، از طریق این نشانگر می‌توانید بدانید که پسوورد انتخابی شما تا چه حد قوی است.

نکاتی که در انتخاب پسوورد باید از آنها اجتناب کرد:

  • هرگونه استفاده‌ای از نام اصلی، یوزرنیم، نام شرکت و یا نام وبسایت
  • لغتی از لغتنامه‌ای به هر زبان
  • پسوورد کوتاه
  • یک پسوورد تماماً عددی یا تماماً حروفی (ترکیبی از این دو بهترین گزینه است)

یک پسوورد قوی نه تنها برای محافظت از محتوای بلاگ شما ضروری است، بلکه اگر هکری به اکانت مدیریت شما دست پیدا کند، می‌تواند اسکریپت‌هایی مخرب نصب کند که کل سرور را در معرض خطر قرار دهد. بنابراین با داشتن پسووردی مطمئن، می‌توانید از این خطرات دور بمانید.

علاوه بر داشتن پسووردی قوی، بهتر است احراز هویت دو مرحله‌ای (two-step authentication) را نیز به عنوان اقدام احتیاطی اضافه، فعال کنید.

FTP

برای اتصال به سرور، از رمز گزاری SFTP استفاده کنید. اگر نمی‌دانید که هاست اینترنتی شما این امکان را فراهم کرده یا نه، می‌توانید از آنها بپرسید.

استفاده از SFTP درست مانند استفاده از FTP است با این تفاوت که در SFTP تمامی اطلاعات و پسوورد شما در انتقال بین کامپیوتر . وبسایت شما، رمزگذاری می‌شوند. این بدین معنی است که پسوورد شما هیچگاه به همان شکل اصلی فرستاده نمی‌شود و در نتیجه هکرها نمی‌توانند از پسوورد شما استفاده کنند.

اجازه دسترسی فایل

وردپرس، به عنوان یکی از ویژگی‌های خود، به سرور اجازه‌ی رایت از فایل‌ها را می‌دهد. با این وجود، دادن دسترسی رایت برای فایل‌هایتان می‌تواند خطرساز باشد، بخصوص اگر در محیط هاستینگ مشترک فعالیت می‌کنید.

بهتر است که اجازه‌ی دسترسی به فایل‌های خود را تا حد امکان محدود کنید و فقط در مواقعی که نیاز دارید، این دسترسی را باز کنید. می‌توانید فولدر جدیدی با سطح دسترسی بیشتر برای مقاصدی مانند آپلود کردن فایل بسازید.

یکی از طرح‌های سطح دسترسی را در اینجا ببینید:

تمام فایل‌ها بایستی متعلق به اکانت کاربری شما و قابل رایت توسط شما باشند. هر فایلی که نیازمند اجازه‌ی رایت از وردپرس باشد، باید توسط سرور نیز قابل رایت باشد. این بدین معنی است که فایل‌ها باید بصورت گروهی متعلق به اکانت کاربری باشند که توسط سرور مورد استفاده قرار می‌گیرد.

/

دیرکتوری روت وردپرس: تمامی فایل‌ها بایستی فقط توسط اکانت کاربری قابل رایت باشند.

منطقه‌ی مدیریتی وردپرس: تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.

بخش عمده‌ی منطق اپلیکیشن وردپرس: تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.

محتوای عرضه شده توسط کاربر: قابل رایت توسط اکانت کاربری شما و پروسه‌ی سرور وب.

در /wp-content/ می‌توانید گزینه‌های زیر را بیابید:

فایل‌های پوسته: اگر تمایل به استفاده از ویرایشگر پوسته‌ی داخل وردپرس داشته باشید، تمامی فایل‌ها باید توسط پروسه‌ی سرور وب قابل رایت باشند. اما اگر نمی‌خواهید از این ادیتور استفاده کنید، می‌توانید سطح دسترسی به فایل‌ها رو طوری تنظیم کنید که فقط توسط اکانت کاربری شما قابل رایت باشند.

فایل‌های افزونه: تمامی فایل‌ها باید فقط قابل رایت با اکانت کاربری شما باشند.

دیرکتوری‌های دیگر که ممکن است با /wp-content/ موجود باشند، باید توسط پوسته و یا افزونه‌ای که به آنها نیاز دارند، ثبت شوند. سطح دسترسی ها در این موارد متغیر هستند.

تغییر دادن سطح دسترسی فایل:

اگر دسترسی شل(shell) به سرور دارید، می‌توانید سطح دسترسی فایل را توسط دستور زیر تغییر دهید:

برای دیرکتوری‌ها:

برای فایل‌ها:

 

به‌روز رسانی خودکار:

وقتی از وردپرس می‌خواهید که به‌روز رسانی خودکار انجام دهد، تمامی این عملیات به عنوان کاربر صاحب فایل انجام می‌گیرند نه به عناون کاربر سرور وب. تمامی فایل‌ها به ۰۶۴۴ و تمامی دیرکتوری‌ها به ۰۷۵۵ ست می‌شوند. فایل‌ها و دیرکتوری‌ها قابل رایت توسط کاربر و قابل مشاهده توسط تمامی افراد به علاوه‌ی سرور وب هستند.

امنیت پایگاه داده (دیتا بیس):

اگر بر روی یک سرور از چند بلاگ مختلف استفاده می‌کنید، بهتر است آنها را در دیتابیس‌های جداگانه که توسط کاربرهای متفاوت مدیریت می‌شوند نگهداری کنید. با انجام دادن نصب اولیه‌ی وردپرس، می‌توانید به این هدف دست پیدا کنید. در واقع این یک استراتژی مهار است: اگر فردی توانست با موفقیت یک نصب وردپرس را هک کند، این استراتژی باعث می‌شود که دسترسی و تغییر دادن بلاگ‌های دیگر شما برای اون سخت باشد.

اگر خود شما MySQL را مدیریت می‌کنید، اطمینان حاصل کنید که در مورد MySQL اطلاعات کافی دارید و ویژگی‌های غیرضروری آن (مانند پذیرش اتصالات TCP از راه دور) غیر فعال هستند.

محدود کردن اختیارات کاربر دیتابیس

برای انجام کارهای معمول در وردپرس، مانند گذاشتن مطالب در بلاگ، آپلود کردن فایل‌، گذاشتن کامنت، ایجاد کردن اکانت کاربری جدید و نصب افزونه‌های وردپرس، کاربر MySQL فقط به اختیارات خواندن و رایت کردن داده در MySQL مانند Select، Insert، Update و Delete نیاز دارد.

به همین دلیل، بهتر است اختیارات مدیریتی دیگر مانند Drop، Alter و Grant از کاربر گرفته شوند. با گرفتن این اختیارات، در واقع به استراتژی مهار و در نتیجه امنیت بیشتر کمک می‌کنید.

توجه کنید: بعضی از پوسته‌ها، افزونه‌ها و آپدیت‌های اصلی وردپرس ممکن است نیازمند انجام تغییراتی ساختاری مانند اضافه کردن جدول‌های جدید و یا تغییر طرح کلی باشند. در این موارد، قبل از نصب افزونه و یا اعمال آپدیت، بایستی بطور موقت این اختیارات را در اختیار کاربر دیتابیس بگذارید.

احتیاط: اعمال کردن آپدیت بدون داشتن این اختیارات ممکن است در زمان تغییر طرح، باعث ایجاد مشکلاتی شود. اگر بنا به دلایل امنیتی نیاز به انجام آپدیت دارید، حتماً یک بک آپ قابل اعتماد از دیتابیس‌ داشته باشید تا در مواقع نیاز بتوانید اطلاعات خود را از طریق آن براحتی برگردانید. در صورت ناموفق بودن آپگرید دیتابیس ، می‌توانید این مشکل را براحتی حل کنید. کافی‌ست دیتابیس را به یک نسخه‌ی قدیمی‌تر برگردانید، اختیارات مورد نیاز را در اختیار آن بگذارید و اجازه دهید تا خود وردپرس آپدیت را دوباره انجام دهد. بازگرداندن دیتابیس به یک نسخه‌ی قدیمی باعث می‌شود که بخش مدیریتی وردپرس متوجه وجود نسخه‌ی قدیمی بشود و سپس به شما اجازه دهد که دستورهای SQL مورد نیاز را بر روی آن انجام دهید. اکثر آپگرید‌های وردپرس تغییری در طرح انجام نمی‌دهند. فقط برخی از آپگریدهای اساسی (۳٫۷ تا ۳٫۸ به عنوان مثال) این تغییرات را اعمال می‌کنند و آپگرید‌های کوچک (۳٫۸ تا ۳٫۸٫۱) معمولاً این کار را انجام نمی‌دهند. اما در هر صورت، داشتن یک بک آپ مطمئن همیشه اقدام درستی‌ است.

ایمن کردن wp-admin

اضافه کردن پسورد از جانب سرور (مانند BasicAuth) به /wp-admin/ یک لایه‌ی محافظتی دوم در اطراف محیط مدیریتی بلاگ، صفحه‌ی لاگین و همچنین فایل‌های شما ایجاد می‌کند. این لایه باعث می‌شود که هکر بجای رفتن به سراغ فایل‌های ادمین شما، به این لایه‌ی دوم حمله کند. اکثر حملات به وردپرس از طریق نرم‌افزارهای خرابکار و بطور خودکار انجام می‌شوند.

اینکه فقط wp-admin/ را ایمن کنید ممکن است برخی قابلیت‌های وردپرس، مانند هندلر AJAX در wp-adin/admin-ajax.php را از کار بیاندازد.

معمول‌ترین حملات به بلاگ‌های وردپرس بطور معمول در دو گروه قرار می‌گیرند:

  1. فرستادن درخواست‌های HTTP که به طور بخصوص برای استفاده از آسیب پذیری‌های بخصوصی ساخته شده‌اند.
  2. تلاش برای دسترسی پیدا کردن به بلاگ شما با استفاده از روش حملات جستجوی فراگیر که قبلا به آن پرداختیم.

هدف نهایی اعمال این لایه‌ی دوم پسوورد، خواستن یک اتصال رمزگزای شده‌ی HTTPS SSL برای مدیریت است به این منظور که تمام ارتباطات و اطلاعات حساس رمزگزاری شوند.

ایمن سازی wp-includes

لایه‌ی دومی از امنیت را می‌توان زمانی اضافه کرد که قرار نیست هیچ کاربری به اسکریپت‌ها دسترسی داشته باشد. یک روش انجام این کار، بلاک کردن آن اسکریپت‌ها با استفاده از mod-rewrite در .htaccess است.

توجه: برای اطمینان از اینکه کد زیر توسط وردپرس بازنویسی نشده‌اند، آنرا خارج از تگ‌های #BEGIN WordPress و # END WordPress در فایل .htaccess قرار دهید. وردپرس می‌تواند هر چیزی را که بین این دو تگ باشد بازنویسی کند.

توجه کنید که این روش در Multisite جواب نمی‌دهد به این دلیل که RewriteRule^wp-includes/[^/]+\.php$-[F,L] از ایجاد کردن ایمج توسط ms-files.php جلوگیری می‌کند. حذف کردن این خط باعث می‌شود که کد مورد نظر کار کند اما از نظر امنیت در سطح پایین‌تری قرار دارد.

ایمن سازی wp-config.php

می‌توانید فایل wp-config.php را به دیرکتوری بالای نصب وردپرس انتقال دهید. این به این معنی‌ است که در مورد سایتی که در روت فضای وب شما نصب شده باشد، می‌توانید wp-config.php را خارج از فولدر web-root ذخیره کنید.

توجه: افراد بسیاری بر این باورند که انتقال wp-config.php فواید امنیتی بسیار کمی دارد و اگر بدرستی انجام نشود، حتی می‌تواند باعث ایجاد نقص‌های امنیتی جدی نیز شود.

wp-config.php را می‌توانید در در یک سطح دیرکتوری بالای نصب وردپرس (جایی که wp-includes قرار دارد) ذخیره کنید. به علاوه، اطمینان حاصل کنید که فقط شما (و سرور وب) می‌تواند این فایل را بخواند (این معمولاً دسترسی ۴۰۰ یا ۴۴۰ است).

اگر از سروری با .htaccess استفاده می‌کنید، می‌توانید این کد را در فایل مربوطه (در بالاترین قسمت) قرار دهید تا از دسترسی افرادی که آنرا جستجو می‌کنند، جلوگیری کنید.

 

ویرایش فایل را غیرفعال کنید

داشبورد وردپرس بطور پیش فرض به مدیران اجازه‌ی ویرایش فایل‌های PHP مانند فایل‌های افزونه و پوسته را می‌دهد. این معمولاً اولین ابزاری است که یک هکر، اگر موفق به لاگ این شود، از آن استفاده خواهد کرد زیرا اجازه‌ی اجرای کد را در اختیار او می‌گذارد.

با قرار دادن این خط در wp-config.php ، قابلیت‌های edit_themes، edit_plugins و edit_files را از تمام کاربران می‌گیرید:

البته در نظر داشته باشید که این کار مانع از این نمی‌شود که فرد مهاجم فایل‌های مخرب را در سایت شما آپلود کند اما می‌تواند جلوی برخی حملات را بگیرد.

افزونه‌ها

در درجه‌ی اول، همیشه تمامی افزونه‌های خود را آپدیت کنید. علاوه بر این، اگر از افزونه‌ی خاصی استفاده نمی‌کنید، آنرا حذف کنید.

 

فایروال

سرویس‌ها و افزونه‌های زیادی هستند که می‌توانند نقش فایروال را بر روی وب سایت شما ایفا کنند. روش کار برخی از آنان بدین صورت است که تغییراتی در فایل .htaccess شما اعمال می‌کند و دسترسی در سطح Apache را، قبل از اینکه توسط وردپرس پردازش شود، محدود می‌کند .  Better WP Security و All in One WP Security نمونه‌های خوبی از این افزونه‌ها هستند. بعضی از افزونه‌های فایروال مانند WordFence، در سطح وردپرس عمل می‌کنند و حملات را زمانی که وردپرس در حال لود شدن است اما هنوز کامل پردازش نشده، فیلتر می‌کنند.

در کنار افزونه‌ها، می‌توانید یک WAF (فایروال وب) بر روی سرور خود نصب کنید تا محتوی را قبل از پردازش شدن توسط وردپرس فیلتر کند. محبوب ترین WAF اوپن سورس، ModSecurity است.

به علاوه  فایروال می‌تواند بین کمپانی هاستینگ شما و اینترنت قرار گیرد و DNS رکوردهای شما را مجاب کند که از یک فایروال عبور کنند. با این کار، تمامی ترافیک قبل از رسیدن به سایت شما، از طریق فایروال فیلتر می‌شود. تعدادی کمپانی چنین سرویس‌هایی را ارائه می‌دهند مانند CloudFlare و Sucuri.

افزونه‌هایی که نیاز به اجازه‌ی رایت دارند

اگر افزونه‌ای اجازه‌ی رایت از فایل‌ها و دیرکتوری‌های وردپرس شما را خواست، حتماً کد آنرا بخوانید و از قابل اعتماد بودن آن اطمینان حاصل کنید.

افزونه‌های اجرای کد

همانطور که گفتیم، یکی از دلایل محکم سازی وردپرس، محدود کردن میزان خسارت در صورت موفق بودن حملات هکر‌هاست.افزونه‌هایی که اجازه‌‌ی اجرای PHP و یا کد‌های دیگر را از ورودی‌های دیتابیس می‌دهند، می‌توانند در صورت وقوع حملات موفق، میزان خسارت را چند برابر کنند.

یکی از راه‌های اجتناب از چنین افزونه‌هایی، استفاده از custom page templates است. بخشی از امنیتی که این روش وعده می‌دهد، تنها زمانی اتفاق می‌افتد که امکان ویرایش فایل در داخل وردپرس را غیرفعال کنید.

امنیت از طریق گمنامی

انتخاب این روش به عنوان استراتژی اصلی امنیتی، عاقلانه بنظر نمی‌رسد. با این وجود، در بخش‌هایی از وردپرس، گمنامی اطلاعات ممکن است به امنیت بیشتر کمک کند.

  1. نام اکانت مدیریتی را تغییر دهید: در یک نصب جدید وردپرس، یک اکانت جدید مدیریتی بسازید و اکانت پیش فرض ادمین را حذف کنید. اگر تصمیم به نصب جدید ندارید، می‌توانید اکانت مدیریتی را از طریق دستوری مشابه به UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’; در بخش MySQL command-line client تغییر نام دهید.
  2. پیشوند table را تغییر دهید: بسیاری از حملات تزریقی SQL مختص به وردپرس، با این تصور عمل می‌کنند که این پیشوند در حالت پیش‌فرض، یعنی wp_, قرار دارد. تغییر این پیشوند، تعدادی از حملات تزریقی SQL را بلاک می‌کند.

بک آپ اطلاعات

از اطلاعات و دیتابیس‌های MySQL بطور مرتب بک آپ بردارید.

رمزگزاری بک آپ، نگهداری سوابق مستقل از هش‌های MD5 برای هر فایل بک آپ، و قرار دادن بک آپ بر روی واسطه‌های read-only باعث بالا بردن اطمینان شما از امنیت اطلاعات می‌شود.

یک استراتژی بک آپ مطمئن، می‌تواند شامل نگهداری snapshot هایی با فواصل زمانی معین از تمامی نصب وردپرس شما (شامل فایل‌های هسته و دیتابیس) در یک مکان امن شود. تصور کنید سایتی در روز اول ماه بدست هکر‌ها بیفتد و کسی از این مساله تا روز ۱۲ ماه خبردار نشود. از طریق این استراتژی، دارنده‌ی سایت بک آپ‌هایی دارد که می‌تواند از طریق آنها سایت را به حالت قبل از هک برگرداند و حتی می‌تواند از طریق بک آپ‌هایی که بعد از هک گرفته شده‌اند، مشخص کند که دقیقاً چه بخش‌هایی از سایت هدف حمله بوده‌اند.

ثبت لاگینگ

ثبت ورود و خروج‌های سایت، یکی از بدردبخور ترین روش‌ها برای داشتن اطلاعاتی در مورد وب‌سایت هستند. از این طریق می‌توانید بفهمید که چه زمانی، چه کاری توسط چه کسی در وب سایت انجام شده است. متاسفانه از طریق این لاگ‌ها نمی‌توانید بفهمید چه نام کاربری‌ای وارد سیستم شده اما می‌توانید IP و زمان آنرا بفهمید. به علاوه، می‌توانید هر کدام از حملات زیر را از طریق لاگ‌ها ببینید: حملات تزریق کد (XXS)، گنجاندن فایل از راه دور (RFI)، گنجاندن فایل محلی (LFI) و حملات پیمایش دیرکتوری. به علاوه، خواهید توانست حملات جستجوی فراگیر را نیز مشاهده کنید.

اگر کمی به کار با لاگ‌ها وارد شوید، چیزهایی خواهید دید مانند اینکه چه زمانی ویرایشگر‌های پوسته و افزونه در حال استفاده هستند،چه زمانی کسی ویجت‌های شما را آپدیت می‌کند و یا صفحه و مطلبی  اضافه می‌کند.

از لحاظ امنیتی، دو راه‌حل اوپن سورس اساسی هستند که بهتر است بر روی سرور خود داشته باشید.

OSSEC می‌تواند در هر توزیعی از NIX و همچنین در ویندوز اجرا شود و اگر درست تنظیم و کانفیگ شود، بسیار قدرتمند است. باید آنرا به طوری تنظیم کنید که تمامی access_logs و error_logs را ثبت کند. به علاوه، فراموش نکنید که تنظیمات را طوری انجام دهید که نویز نیز فیلتر شود.

نظارت

گاهی اوقات، ممکن است علی رغم اقدامات پیشگیرانه، باز هم هک شوید. به همین دلیل است که تشخیص و نظارت بر نفوذ از اهمیت زیادی برخوردار است. با استفاده از این روش می‌توانید با عکس العملی سریع، بفهمید که چه اتفاقی افتاده و سایت را به حالت اول برگردانید.

نظارت بر لاگ‌ها

اگر بر روی یک سرور شخصی هستید و دسترسی روت دارید، می‌توانید براحتی طوری تنظیمات انجام دهید که بتوانید ببینید چه اتفاقاتی در حال رخ دادن هستند. OSSEC این کار را تسهیل می‌کند.

نظارت بر ویرایش فایل‌ها

یک حمله‌ همیشه اثراتی از خود (فایل‌های تازه، فایل‌های ویرایش شده و غیره) بر جا می‌گذارد. اگر از OSSEC استفاده می‌کنید، فایل‌های شما را نظارت می‌کند و تغییراتی که در آنها ایجاد می‌شوند را اطلاع می‌دهد.

نظارت بر سرور از خارج

اگر هکری قصد ایجاد اختلال در سایت شما و یا اضافه کردن بدافزار داشته باشد، می‌توانید از طریق یک سیستم نظارت بر بی‌نقصی بر پایه‌ی وب نیز از این تغییرات مطلع شوید. امروزه ابزار‌های بسیاری از این دست را می‌توانید از طریق گوگل کردن براحتی پیدا کنید.

 

اینها نکات مهم و ضروری توصیه شده از طرف تیم اصلی وردپرس بودند که در صورت رعایت شدن می توانند امنیت وردپرس دوست داشتنی ما را تا حد خوبی بالا ببرند . امیدواریم مورد توجه شما قرار گرفته باشد

ادامه مطلب

آشنایی با تکنولوژی IPS و IDS

آشنایی با تکنولوژی IPS و IDS

IDS چیست؟

IDS مخفف عبارت Intrusion Detection System به معنای سیستم کشف نفوذ می باشد، به منظور نظارت بر تمامی فعالیت های ورودی و خروجی شبکه و شناسایی هرگونه فعالیت مشکوک طراحی شده است. این فعالیت های مشکوک ممکن است، نشان دهنده ی یک حمله به سیستم یا شبکه توسط شخصی که در تلاش است تا سیستم امنیتی را در هم بشکند باشد. IDS یک سیستم مانیتورینگ غیرفعال (Passive) در نظر گرفته می شود، چرا که عملکرد اصلی یک IDS هشدار در مورد فعالیت های مشکوک در حال وقوع است و در متوقف کردن آن ها نقشی ایفا نمی کند. اساسا یک IDS ترافیک شبکه و داده های شما را مورد بررسی قرار می دهد و حملات، موارد سوء استفاده و سایر نقاط آسیپ پذیری را شناسایی می کند. ای دی اس ها می توانند، رویدادهای مشکوک را به چندین روش اطلاع رسانی کنند که شامل نمایش یک آلارم، درج در بخش رویدادها (Logs) یا حتی برقراری ارتباط (مثل تماس تلفنی) با مدیر سیستم می باشد. در برخی از موارد IDS ها درخواست پیکربندی مجدد سیستم به منظور کاهش نفوذهای مشکوک را مطرح می کنند. یکی از کاربردهای IDS تشخیص ترافیک نامتعارف در حال ورود به شبکه و گزارش آن به مدیر سیستم است. IDS به طور خاص به دنبال فعالیت های مشکوک و رویدادهایی می باشد که ممکن است از اثرات ویروس ها، کرم ها و هکرها باشند. این امر بوسیله جستجو در امضاهای نفوذ (گزارش های ذخیره شده از جزئیات ورود به سیستم) یا امضاهای حمله (Attack Signatures) که کرم ها و ویروس های گوناگونی را شناسایی می کنند، انجام می شود. اصلاح IDS گستره وسیعی از محصولات متنوع را در بر می گیرد. یک راه کار IDS می تواند در قالب یک نرم افزار متن باز (Open Source) رایگان و یا به صورت یک نرم افزار امنیتی گران قیمت برای فروش ارائه شود. علاوه بر این برخی از IDSها شامل برنامه های نرم افزاری و سخت افزاری می باشند که در نقاط مختلف از شبکه نصب شده و مورد استفاده قرار می گیرند.

آیا IDS همان فایروال است؟

 پاسخ این سوال خیر می باشد. به طور معمول IDS با فایروال اشتباه گرفته شده و یا به عنوان یک جانشین برای آن در نظر گرفته می شود. در حالی که هر یک بصورت مجزا به امنیت شبکه مربوط می باشند. فایروال نفوذها را به منظور جلوگیری از به وقوع پیوستن آن ها جستجو می کند و دسترسی بین شبکه ها را به منظور توقف نفوذها محدود می کند، اما در مورد حملات درون شبکه اطلاع رسانی نمی کند. IDS یک نفوذ مشکوک را شناسایی می کند و اگر نفوذ انجام شد به وسیله آلارم اطلاع رسانی می کند. همچنین IDS ها حملاتی که از درون یک سیستم آغاز می شوند را نیز مورد بررسی قرار می دهد. محافظت کننده های نفوذ به سیستم که مبتنی بر شبکه می باشند، می توانند پکت هایی را که توسط قوانین (rule) ساده فایروال نادیده گرفته می شوند را نیز شناسایی کنند. در حقیقت IDS جایگزینی برای یک فایروال یا یک آنتی ویروس قوی نیست. IDS می بایست به صورت ترکیبی با محصولات امنیتی مثل فایروال و آنتی ویروس در نظر گرفته شود تا بتوانند بصورت یک مجموعه امنیت شبکه را افزایش دهند. به طور عمده می توان تفاوت IDS و فایروال را در این دانست که IDS با جزئیات بیشتری نسبت به فایروال ترافیک شبکه را مورد بررسی قرار می دهد و بر خلاف فایروال که تنها ترافیک ورودی و خروجی را ارزیابی می کند، IDSها ترافیک های درون سیستم را نیز مورد بررسی قرار می دهند.

آشنایی با تکنولوژی IPS و IDS

IPS – یک راه کار امنیتی فعال

IPS مخفف عبارت Intrusion Prevention System به معنای سیستم ممانعت از نفوذ است، مرحله بالاتری از فناوری های امنیتی است که قابلیت فراهم سازی امنیت در تمام سطوح سیستم از هسته ی سیستم عامل گرفته تا پکت های شبکه (بسته های داده ارسالی یا دریافتی در شبکه) را دارا می باشد.IPS سیاست ها و قوانینی را برای ترافیک شبکه حین اعلام آلارم یک IDS هنگام رویارویی با ترافیک مشکوک تعریف می کند، اما این اجازه را نیز به مدیر سیستم می دهد که بتواند عملکرد لازم را تعیین کند. هنگامی که IDS یک حمله بالقوه را اطلاعی رسانی می کند، ای پی اس تلاش می کند تا آن را متوقف کند. IPS همچنین این ظرفیت را دارد که بتواند امضاهای نفوذ شناخته شده در سیستم را متوقف کند. با توجه به تفکر ترکیب IDS و فایروال به منظور محافظت می توان گفت که IPS نسل پیشرفته ی IDS می باشد. در حال حاضر دو نوع IPS وجود دارد. این دو مورد شامل سیستم های ممانعت از نفوذ میزبان محور (host-based intrusion prevention systems) و سیستم های ممانعت از نفوذ شبکه محور (network-based intrusion prevention systems) می شوند.

IDS و IPS، کدام یک؟

در حالی که بسیاری از صنایع امنیتی بر این باورند که IPS در آینده بصورت کامل جایگزین IDS خواهد شد، اما عده ای این تفکر را مثل جایگزینی پرتقال با سیب در نظر می گیرند. این عده بر این باورند که IPS و IDS دو راهکار متفاوت می باشند که یکی سیستم مانیتورینگ کشف نفوذ غیرفعال و دیگری سیستم مانیتورینگ ممانعت از نفوذ فعال می باشد. گروه اول بر این باورند که در حالی که امکان ورود ابزارهای فعال به صحنه است، چرا باید از تجهیزات غیرفعال استفاده کرد؟ همچنین در عمل نیز IPS نسل جوانِ IDS بالغ می باشد. اشکالات ذکر شده در مورد IDS می تواند تا حدود زیادی با آموزش و مدیریت مناسب برطرف شود. به علاوه پیاده سازی IDS به مراتب کم هزینه تر می باشد. بسیاری از افراد با توجه به ویژگی های افزوده شده به IPS و اعتقاد به این تفکر که IPS نسل بعدی IDS است، استفاده از IPSها را به IDS ترجیح می دهند.

آشنایی با تکنولوژی IPS و IDS

 

 

 

 

ادامه مطلب

درباره cURL

درباره cURL

cURL بسته ای است به صورت Extension که برروی PHP نصب می گردد و قابلیت اتصال از طریق URL توسط متدهای GET,POST,… را برقرار می کند.
نمونه زیر توسط CURL نوشته شده است که اقدام به اتصال به آدرس مورد نظر و ارسال FIELD ها به صورت POST را انجام می دهد.

درباره cURL ، مفهوم cURL

در واقع cURL یک ابزار خط فرمان جهت انتقال فایلها بر اساس URL است. چیزی که cURL را قدرتمند میکند تعداد پروتکل هایی است که این کتابخانه از آنها پشتیبانی میکند که شامل FTP, FTPS, HTTP, HTTPS, TFTP, SCP, SFTP, Telnet, DICT, FILE و LDAP است.cURL مخفف کلمه Client for URLs است.

Daniel Stenberg این کتابخانه را در سال 1997 شروع کرد و بوسیله آن انتقال فایل با پروتکل هایی مانند HTTP, FTP و غیره را بوسیله خط فرمان امکان ساخت.

cURL در PHP

درباره cURL

PHP در نسخه 4.0.2 کتابخانه cURL را به خود اضافه کرد، تا از طریق این کتابخانه بتواند اطلاعات را از طریق URL جا به جا کند. برای مثال با استفاده از cURL میتوانید اطلاعات یک وبسایت را بخوانید، به صورت خودکار لاگین کنید، در سایت های دیگر فایل آپلود کنید و خیلی کارهای دیگر.

اما بعضی از اینکارها را هم شاید بتوان با توابع خود PHP مانند file_get_contents انجام داد، اما ابتدا نیاز دارید که گزینه allow_url_fopen در فایل php.ini در سرور شما فعال باشد، و از آنجایی که بیشتر سرورها برای افزایش امنیت این گزینه را غیر فعال میکنند تنها را شما یادگیری و استفاده از cURL است.

مثال از cURL

cURL به صورت پیشفرض بر روی Apache نصب نیست و اگر میخواهید از این کتابخانه بر روی localhost سیستم استفاده کنید ابتدا باید آن را فعال کنید. برای نحوه فعال سازی میتوانید از این مطلب استفاده کنید.

در یک مثال ساده ابتدا ما یک صفحه یک سایت را گرفته و نمایش میدهیم، با استفاده از کد زیر:

  1. $ch = curl_init(“http://www.google.com”);
  2. curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
  3. $google = curl_exec($ch);
  4. echo $google;
  5. curl_close($ch);

در خط 1 ابتدا با استفاده از تابع curl_init یک دستگیره (Handle) از آدرس موردنظر میگیریم. سپس در خط 2 با استفاده از تابع curl_setopt مشخص میکنیم که ما میخواهیم اطلاعات بازگشت داده شوند به جای اینکه نمایش داده شوند.

تابع curl_setopt برای اعمال تنظیماتی (Set Option) بر روی سشن موردنظر است. در این مثال ما با استفاده از TRUE کردن مقدار CURLOPT_RETURNTRANSFER به cURL میگوییم که قصد نمایش اطلاعات را نداریم. میتوانید تمامی Optionها را در PHP Manual ببینید.

در خط 3 با استفاده از تابع curl_exec دستورات را اجرا میکنیم، و در خط 5 با تابع curl_close سشن موردنظر را میبندیم.

در خط 4 برای دیدن اینکه واقعا چه چیزی اتفاق افتاده است دستور echo را انجام داده ایم، حالا میتوانید آن چیزی که از سایت مورد نظر لازم دارید استخراج کنید.

اگر دستورات بالا را اجرا کنید خواهید دید که سایت مورد نظر نمایش داده میشود.

اما این یک مثال ساده بود، مثال بالا را میتوانید با تابع file_get_contents هم انجام دهید.

قدرت cURL در تابع curl_setopt است، با استفاده از این تابع چیزی که دقیقا میخواهید را میتوانید پیاده سازی کنید.

در یک مثال دیگر در نظر بگیرید صفحه ای از سایتی (page2.php) را که در صورتی برای شما باز خواهد شد که شما از یک صفحه خاص (page1.php) به آن متصل شده باشید.

در واقع page2.php چک میکند که مقدار HTTP_REFERER شما صفحه page1.php باشد. خوب اگر قرار باشد که ما صفحه page2.php را باز کنیم باید مقدار HTTP_REFERER را برابر page1.php قرار دهیم. که برای اینکار باز هم از تابع curl_setopt استفاده میکنیم.

  1. $ch = curl_init(“http://example.com/page2.php”);
  2. curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
  3. curl_setopt($ch, CURLOPT_REFERER, “http://exapmle.com/page1.php”);
  4. $page = curl_exec($ch);
  5. curl_close($ch);

با استفاده از cURL کارهای بسیار بیشتری هم میتوان انجام داد. امیدواریم این مطلب مقدمه ی خوبی برای آشنایی شما با cURL باشد.

ادامه مطلب

فواید استفاده از وردپرس در طراحی وب سایت

فواید استفاده از وردپرس در طراحی وب سایت

فواید استفاده از وردپرس در طراحی وب سایت

طراحی یک وب سایت کار بسیار طاقت فرسایی به نظر میرسد.
شاید به نظر شما شروع طراحی یک وب سایت نیاز به اطلاعات فنی و پول زیادی خواد داشت.
اما با وجود سیستم مدیریت محتوای WordPress ( وردپرس ) این کار بسیار اقتصادی و ساده خواهد بود.
در زیر 3 مزیت و فایده استفاده از ورد پرس در طراحی وب سایت را بیان میکنیم.

 

استفاده از وردپرس اقتصادی است و نیازی به هزینه ندارید

وردپرس سیستم مدیریت محتوایی است که رایگان عرضه میشود. وجود آپدیت های مداوم و ساده ، تمپلیت های رایگان و فراوان ، پلاگین ها و افزونه های مفید و رایگان ،قابلیت انتشار مطالب با استاندارهای SEO باعث شده است این سیستم براحتی کار شما را در تولید یک وب سایت راه بیندازد.

در وردپرس بروز رسانی وب سایت و محتوای آن به سادگی صورت میگیرد.میتوانید برای محتوایی که منتشر میکنید به راحتی عکس و تصاویر زیادی الصاق نمایید.
پس شما به راحتی از طریق قسمت مدیریت وردپرس مانند یک طراح وب محتوای جدید ایجاد میکنید.
افزونه های فوق العاده ای که در وردپرس وجود دارد شما را در تولید محتوایی که در دید موتورهای جستجو قرار گیرد کمک خواهد کرد.

 

وب سایت تولید شده توسط وردپرس باعث موفقیت برند تجاری شما خواهد شد

همه میدانند که تولید محتوای مناسب و مداوم متناسب به برند تجاری و زمینه شغلی شما در موفقیت برند تجاری شما تاثیر مهمی خواهد داشت. وردپرس به عنوان سیستم مدیریت محتوایی ساده برای انتشار مطالب همراه با تصاویر در نوک پیکان سیستم های مدیریت محتوا قرار دارد.

با امکانات و افزونه هایی که میتوانید در ورد پرس اضافه نمایید به راحتی میتوانید مطالب و تصاویر خود را در شبکه های اجتماعی به اشتراک بگذارید.
وردپرس با امکاناتی که در طراحی تمپلیت و چهره وب سایت دارد امکانات فوق العاده ای برای برندسازی و طراحی مناسب وب سایت متناسب با برند و مارک تجاری شما در اختیارتان قرار خواهد داد.

وردپرس ارتباط دو طرفه شما با مخاطبین را محیا میکند

افزونه ها و امکاناتی وجود دارد که شما میتوانید به راحتی با مخاطبین و مشتریانی که به وب سایت شما مراجعه میکنند ارتباط برقرار کنید و اطلاعات آنها را برای ارتباط بیشتر یا ارائه پیشنهاد های تجاری جمع آوری کنید.
زمانی که افراد به وب سایت شما مراجعه میکنند یعنی به کار یا محصول شما علاقمند هستند و شما میتوانید از این طریق با آنها مرتبط شوید و اطلاعات بیشتری در رابطه با محصول و خدمات خود به آنها بدهید .مجموعاً این ارتباط منجر به فروش بیشتری برای شما خواهد شد.

ارزان بودن قالب های وردپرس

عموماً طراحی سایت وردپرس هزینه ای بسیار کم نسبت به بسیاری موارد دیگر دارد چرا که سیستم مدیریت محتوا نیاز به برنامه نویسی ندارد و اصل هزینه حذف میگردد. هزینه ی اندک باقی‌مانده مربوط به طراحی قالب وردپرس خواهد بود.

برنامه نویسی سیستم اختصاصی در حد وردپرس (به فرض اینکه مقدور باشد)، دهها میلیون تومان هزینه خواهد داشت حال آنکه اگر سایت بر پایه ی وردپرس راه اندازی شود، این هزینه میتواند ۶۰۰ هزار تومان باشد که مربوط به طراحی قالب است و صد البته استفاده از قالبهای متعدد موجود (رایگان و غیر رایگان) حتی هزینه را از این هم کمتر میکند. برای مثال در سرویس طراحی سایت ارزان WEBRGB کل هزینه راه اندازی سایت با قالبهای حرفه‌ای خارجی، تنها ۱۵۰ هزار تومان خواهد بود!

 

بروزرسانی های متعدد و رایگان!

یکی دیگر از مزایای طراحی سایت با وردپرس این است که تیم توسعه‌دهنده این سیستم هر از چند گاهی یک بروزرسانی جدید منتشر میکند که به رایگان در اختیار کاربران قرار دارد.

این بروزرسانی ها برای بهبود سطح امنیت، بهینه سازی محیط کاربری، افزودن ویژگی‌های جدید و … انجام میگیرد و همین مورد باعث می‌شود که سایتهای وردپرسی همیشه پتانسیل بالایی برای پیشرو بودن داشته باشند… .

 

اگر آماده طراحی وب سایت با ورد پرس هستید و میخواهید همین امروز معرفی خود را در اینترنت با سیستم مدیریت محتوای وردپرس آغاز کنید ،لینوکس وب ارائه کننده خدمات هاست و دامنه در ایران پیش روی شماست. همین امروز سفارش دهید و ساعتی بعد کار با وردپرس را آغاز کنید.

ادامه مطلب

نگاه مختصری به ویژگی های هاست در موقعیت جغرافیایی ایران و خارج از کشور

نگاه مختصری به ویژگی های هاست در موقعیت جغرافیایی ایران و خارج از کشور

به دلیل سوالات متعدد مشتریان عزیز در مورد ویژگی های هاست در موقعیت جغرافیایی مختلف به ویژه ایران، آلمان، انگلیس و آمریکا بر آن شدیم تا این مورد را به صورت کامل توضیح داده تا کارفرمایان محترم بتوانند موقعیت هاست خود را با دید بهتری انتخاب نمایند. از نظر اصول و قواعد سئو و بهینه سازی وب سایت بهتر است هاست در همان موقعیتی باشد که مشتریان در آن قرار دارند به عنوان مثال در صورتی که اعم مشتریان شما در ایران هستند بهتر است از هاستینگ داخل کشور استفاده گردد که این به دلایل زیر می باشد:

  • در صورتی که کاربر مراجعه کننده به وب سایت و سرور هاستینگ در یک کشور باشند وب سایت با پینگ تایم پایین تر و سرعت بالاتری برای کاربر بارگذاری خواهد گردید که همان طور که می داند سرعت بالاتر وب سایت هم باعث رضایت بیشتر کاربران از وب سایت و هم باعث نتیجه بهتر سئو وب سایت خواهد بود.
  • موتورهای جستجو نظیر گوگل سایت هایی را که در همان موقعیت جستجو کننده میزبانی شده اند را در نتایج جستجو نسبت به سرورهای در موقعیت دورتر در مکان بهتری نمایش می دهند که این مورد نیز باعث تایید بر نزدیک بودن موقعیت سرور به بازدید کننده دارد.

اما معمولا مشکلی که سرورهای داخل ایران با مواجه هستند کیفیت آن می باشد که این مشکلات شامل موارد زیر هستند:

  • مشکلات در ارسال و دریافت ایمیل که این مشکل معمولا به دلیل آی پی بلاک شده سرور و یا عدم کنترل هاست بر اسپم ها می باشد.
  • سرورهای هاست داخلی معمولا قطعی بیشتری نسبت به سرورهای خارج ایران دارند که این مورد تاثیر بسیار منفی در کسب و کار وب سایت خواهد داشت.
  • در برخی زمان ها دیده شده سرورهای داخل ایران در نتایج جستجوی گوگل و سایر موتورهای جستجو به دلایل مختلف نظیر آی پی بلاک شده و عدم رعایت قوانین کپی رایت رنک پایین تری دارند و یا بطور کامل در نتایج جستجو نمایش داده نمی شوند.
  • کنترل بر روی ارسال اسپم در سرورهای داخلی معمولا پایین می باشد که این مورد ممکن است باعث بلاک شدن سرور و آی پی آن در موتورها شوند که این مورد نیز باعث تاثیر منفی بر روی وب سایت خواهد بود.

در بخش زیر ویژگی های سرورهای هاست خارج از ایران بررسی می گردد:

هاست آلمان: نزدیکترین موقعیت به ایران نسبت به سایر مکان ها را دارد و بنابراین سرعت هاستینگ های آن قابل قبول می باشد و این در کنار آن است که سرورهای آلمانی معمولا کیفیت قابل قبولی دارند. البته سرورهای آلمانی معمولا کنترل پانل اختصاصی خود را دارند که کیفیت بسیار پایینی دارد که بهتر است هاستینگ از سرورهایی تهیه گردد که کنترل پانل هایی نظیر cpanel و plesk را در خود دارند. سرویس دهندگان آلمان با تحریم کاری ندارند و می توانید با خیال راحت از این سرویس دهندگان بودن دغدغه تحریم هاست خریداری نمایید. مشکلی که سرویس دهندگان آلمانی معمولا دارند پشتیبانی کندتر نسبت به سایر سرویس دهندگان می باشد و معمولا پشتیبانی به صورت آنلاین ندارند که این کندی در پشتیبانی و همچنین عدم تسلط به زبان انگلیسی در پشتیبانی ممکن است در میزبانی وب مشکلاتی را ببار آورد.

هاست انگلیس: بعد از هاست آلمان نزدیکترین موقعیت به ایران را دارد و بنابراین سرعت هاست قابل قبولی دارد و در کنار آن هاست های انگلیسی کیفیت قابل قبولی دارند. پشتیبانی این سرورها بسیار سریعتر نسبت به سرویس دهندگان آلمانی بوده و تسلط به زبان انگلیسی باعث ارتباط بهتر با سرور خواهد بود. تگراهاست برای مشتریان خود معمولا از این نوع سرورها تهیه می نماید و سرورهای انگلیسی همچنین جزو قانون تحریم نیستند و بنابراین می توان با خیال راحت میزبانی وب سایت را به این سرورها سپرد.

هاست آمریکا: هاست آمریکا بهترین کیفیت را نسبت به سایر هاستینگ ها دارد اما موردی که باعث می شود تگراهاست به هیچ وجه این نوع سرورها را پیشنهاد ننمایید تحریم بودن این سرورها برای ایران می باشد که در صورتی که روشن گردد مالک وب سایت ایرانی می باشد ممکن است حساب هاست شما مسدود گردد. همچنین این سرورها دورترین موقعیت نسبت به سایر سرورها را دارد و بنابراین سرعت پایین تری نسبت به سایر سرورها دارد و به هیچ وج توصیه نمی گردد.

البته موردی که در مورد سرعت هاست باید توجه داشت آن است که سرعت وب هاست فقط به نزدیک بودن سرور به کاربر مربوط نیست بلکه سرعت اینترنت سرور هاستینگ و پردازنده و رم سرور و سایر ویژگی ها نیز در سرعت وب سایت موثر است و باید به آن توجه داشت.

ادامه مطلب