آرشیو دسته بندی ها:وبلاگ

توسط

در

۱۲ ابزار اسکن وب سایت در مقابل ویروس ها

پیش‌ترها وقتی صحبت از وب‌سایت‌ها و اپلیکیشن‌ها می‌شد، توجه بیشتر به کارایی، طراحی، سئو و مارکتینگ بود، اما حالا یکی از مسائل مهم پیش رو توجه به امنیت آن وب‌سایت یا نرم‌افزار است. اهمیت این موضوع فقط برای توسعه دهنده نیست، بلکه کاربری که از وب‌سایت یا نرم‌افزاری استفاده می‌کند هم به امنیت آن اهمیت می‌دهد. حفظ امنیت آنلاین و حریم شخصی یکی از دغدغه‌های اصلی اشخاصی است که به هر طریقی با دنیای دیجیتال در ارتباط هستند.

در این مطلب قصد داریم به معرفی ابزارهایی برای اسکن و بررسی امنیت وب‌سایت‌ ها بپردازیم. هرچند توسعه دهندگان و مدیران سیستم با رعایت نکات امنیتی می‌توانند امنیت وب‌سایت یا اپلیکیشن‌ را تا حد زیادی تامین کنند، ولی چک کردن وب‌سایت‌ها با ابزارهای زیر نیز می‌تواند کمک خوبی هم برای تولید کننده و هم استفاده کننده باشد.

در زیر نمودار Cenzic سهم عمده آسیب پذیری های که شناسایی شده اند را نشان میدهد.

سوالات زیادی در مورد اینکه چگونه امنیت یک وبسایت را اسکن کنیم و بسنجیم وجود دارد. در این مقاله، من برای شما ابزار های رایگانی را که میتوانید با آن ها وبسایت خود را اسکن نمایید، فهرست میکنم.

Scan My Server

ScanMyServer یکی از جامع ترین گزارش ها را از آسیب های تست امنیتی مانند SQL injection, Cross Site Scripting, PHP Code Injection, Source Disclosure, HTTP Header Injection, Blind SQL Injection و بقیه موارد میدهد. گزارش اسکن به همراه خلاصه آسیب پذیری ها به شکل ایمیل اطلاع رسانی میشود.

SUCURI

SUCURI مشهورترین وبسایت رایگان اسکن برای ویروس و امنیت میباشد. شم میتوانید یک تست سریع برای ویروس، بلک لیست وبسایت، اسپم های تزریق شده و نقص ها را انجام دهید. SUCURI وبسایت شما را از تهدید ها پاک سازی و محافظت می کند و با هر نوع پلت فرم وبسایتی شامل وردپرس، جوملا، magento، Drupal، phpPP و … کار میکند.

Qualys SSL Labs, Qualys FreeScan

SSL Labs یکی از بیشترین ابزار ها برای اسکن SSL وبسرور میباشد. این ابزار برای شما تحلیل عمیقی از آدرس https شما شامل روز انقضا، امتیاز دهی، رمزنگاری، ورژن SSL/TLS، شبیه سازی دست دادن TCP، جزئیات پروتکل ها و موراد مشابه را فراهم میکند. اگر شما یک وبسایت امن https دارید، نباید بیشتر از این منتظر باشید وهمین الان یک تست انجام دهید.

Quttera

Quttera وبسایت را برای بدافزار ها و تهدیدات چک می کند. اگر مخواهید که فایل های وبسایت خود را از نظر فایل های مخرب، فایل های مشکوک، فایل های بسیار مشکوک، جستجوی امن گوگل و دامن لیست های بد افزار ها اسکن نمایید.

Detectify

Detectify یک وبسایت اسکنر SaaS-based میباشد. این وبسایت شامل ۱۰۰+ تست امنیتی شامل ۱۰ تست برتر OWASP ، بدافزار و موارد دیگر است. Detectify به شما ۲۱-روز استفاده رایگان میدهد و بعد از آن شما باید برای آن ثبت نام نمایید تا اسکن وبسایت های خود را انجام دهید.

Site Guarding

SiteGuarding به شما کمک میکند که دامین خود را در مقابل بد افزار، بلک لیست شدن وبسایت، اسپمهای تزریق شده و بسیاری موارد دیگر ساکن نمایید. این اسکنر با WordPress، joomla، Drupal، Magento، osCommerece، Bulletin و دیگر پلاتفرمها سازگار میباشد.

SiteGuaring همچنان به شما کمک میکند که بدافزار را از وبسایت خود پاک نمایید، پس اگر وبسایت شما با ویروس آلوده شده باشد، آن ها میتوانند کار آمد باشند.

Web Inspector

Web Inspector وبسایت شما را اسکن کرده و یک گزارش جامع از لیست سیاه، فیشینگ، بدافزار، کرم ها، بک دور ها، تروجان ها، فریم های مشکوک و ارتباطات مشکوک را ارائه میکند. پس تعلل نکنید و یک اسکن انجام دهید تا موارد مشکوک را شناسایی کنید.

Acuneticx

Acunetix وبسایت را کامل در برابر ۵۰۰ آسیب شامل DNS و ساختار شبکه از سرور Acunetix تحلیل و آنالیز میکند. آنها برای شما یک حساب ۱۴ روزه رایگان در نظر گرفته اند و و شما میتوانید ثبت نام کرده و دامین خود را ثبت کنید تا اسکن های امنیتی برای شما انجام شود.

Asafa Web

AsafaWeb یک نتیجه سریع از اسکن ردیابی ها، اشتباهات سفارشی، ردیابی پشته ها، Hash Dos Patch، لاگ EMLAH، کوکی های HTTP Only، کوکی های امن، Clickjacking و موارد دیگر فراهم میکند.

Netsparker C‌loud

Netsparker Cloud یک اسکن کننده امنیت تحت وب سازمانی است که اسکن را برای بیشتر از ۲۵ تهدید امنیتی مهم و بحرانی انجام میدهد. Netsparker برای پروژه متن باز رایگان است و در غیر اینصورت شما میتوانید که برای نسخه آزمایشی آن اقدام کرده و اسکن را انجام دهید.

UpGuard Web Scan

UpGuardWebScan یک ابزار ارزیابی ریسک خارجی میباشد که از اطلاعات عمومی در دسترس برای نمره دادن به فاکتور های مانند SSL، حملات Clickjacking، کوکی ها، DNSSEC، هدر ها و غیره میباشد. این مورد هنوز در نسخه آزمایشی میباشد ولی ارزش امتحان کردن را دارد.

Tinfoil Security

Tinfoil Security اول از همه وبسایت شما را در مقابل ۱۰ تهدید OWASP و سپس در برابر سوراخ های امنیتی دیگر می سنجد. شما پس از اقدامات لازم، گزارش عملیاتی و گزینه ای برای اسکن دئباره دریافت میکنید. انجام این کار تقریبا ۵ دقیقه طول میکشد، و همچنین شما میتوانید زمانی که وبسایت شما محافظت میشود نیز از این ابزار استفاده نمایید.

یکی از ملزومات امنیتی مانیتور کردن آن است، پس شما زمانی که هک شدید و یا سرویس از کار بی افتد متجه میشوید. این در حالی است که ابزار بالا به شما کمک میکنند که وبسایت خود را اسکن کرده و شاید به شما پیشنهاد کنند که دوست داشته باشید یک زمان بندی برای اسکن خودکار آن انجام دهید.

امیدوارم که لیست بالا به شما در اسکن و مقابله با تهدیدات وبسایتتان کمک کند.

ادامه مطلب

توسط

admin

در

وبلاگ

حملات بروت فورس چیست و چه راهکاری برای جلوگیری از این نوع حملات وجود دارد؟

حملات Brute Force یکی از رایج ترین حملات برای بدست آوردن امکان ورود می باشد و با ارسال و تست تعداد بالایی نام کاربری و رمز عبور بر روی صفحات لاگین وب سایت ها ، صفحه لاگین ایمیل و انواع صفحاتی که برای ورود به حساب کاربری هستند صورت می گیرد و هکر با این روش تمامی عبارت های ممکن را بررسی می کند تا امکان ورود را بدست بیاورد.

آشنایی با این نوع حملات برای تمامی مدیران وب سایت ها و افرادی که دارای رمز عبور و نام کاربری مهم در وبسایتی هستند لازم و ضروری است تا با شناخت این روش ها و نحوه مقابله با آنها وب سایت امن تری داشته باشند. بهمین دلیل در این مقاله به مفهوم Brute Force و راهکارهای جلوگیری از آن می پردازیم.

حمله Brute Force چیست؟

Brute Force یک اصطلاح عمومی برای حملاتی است که هکر ها سعی در یافتن نام کاربری و رمز عبور سایت را دارند. این نوع حمله برای سیستم های مدیریت محتوا (مانند وردپرس و جوملا و …) و سرویس های رایج مانند FTP و SSH شابع است.

راه های بسیاری برای انجام یک حمله Brute Force وجود دارد که رایج ترین روش حملات مبتنی بر دیکشنری (dictionary-based) می‌باشد. در این روش هکر ها از یک لیست که شامل رمز عبور های رایج یا رمزهایی که در طول سال های قبل با استفاده از آن ها به خیلی از سایت ها نفوذ نموده اند، استفاده کرده و هر رمز را برای نفوذ امتحان می کنند و اینکار را تازمانیکه ترکیب صحیح نام کاربری و رمز عبور سایت را کشف کنند ادامه می‌دهند. بطور کلی امتحان این ترکیب رمز و نام کاربری ها چند دقیقه بیشتر طول نخواهدکشید.

برای یک هکر، استفاده از صفحه Log IN میتواند یکی از بهترین وسیله ها برای سازمان دهی یک حمله باشد.( /wp-admin یا /wp-login برای وردپرس و یا administrator برای جوملا) پس برای شناسایی آنها و حملات به وب سایت ها، بدون شک استفاده از روش هایی که به مانیتورینگ این صفحات و تلاش های غیر منطقی برای ورود نام کاربری و رمز عبور کمک می‌کنند، می‌تواند مفید باشد.

حفاظت در برابر حملات Brute Force

حفاظت در برابر اینگونه حملات بسیار ساده است و با استفاده از رمز عبور های قوی برای کلیه کاربران سایت و کلیه رمزهای بخش مختلف امکانپذیر خواهد بود. با استفاده از رمز های قوی برای کلیه کاربران حمله BruteForce موفقیت آمیز نخواهد بود.

برای تعیین رمز های قوی می توانید از نرم افزار مدیریت پسورد استفاده کنید و با استفاده از این نرم افزارها رمزهای پیچیده و قوی تولید کنید.

اینگونه حملات ممکن است عوارض جانبی ناخواسته مانند مشکل در دسترسی به سایت و استفاده بیش از حد منابع و بالارفتن لود سرور را داشته باشند. حملات Brute Force بدلیل ارسال درخواست های زیاد در یک زمان به سرور باعث بالارفتن لود وب سرور و کندی بارگذاری سایت ها می‌شوند.

توجه داشته باشید حتی اگر بعنوان مثال کلیه کاربران رمز عبور قوی استفاده کنند اما در این بین یک حساب کاربری موقت یا تست دارای رمز ضعیفی باشد، همین یک اکانت نیز خطرناک خواهد بود. این رمز ممکن است توسط توسعه دهنده سایت یا مسئول بکآپ گیری و یا هر فرد دیگری تعیین شده باشد و ممکن است بصورت آزمایشی تعیین شده و قصد داشته باشد اکانت را حذف کند اما فراموش کرده، اما اثرات این فراموشی خطرناک می باشد.

روش‌های عمومی بروت‌فورس

1-امتحان کردن دستی رمز عبور

در این روش هکر به‌صورت دستی نام کاربری و رمز عبور فرم ورود را توسط روش آزمون و خطا بررسی می‌کند. در این روش با توجه به تنظیمات امنیتی، سایت هکر می‌تواند تا میزان مجازی برای آزمودن رمز عبور مورد نظر اقدام کند. این روش ساده‌ترین راه برای کشف رمز عبور است که بیشتر به‌ ضعف امنیت رمز عبور انتخاب‌شده بستگی دارد.

۲-روش Dictionary

حمله Dictionary را می‌توان به‌عنوان یک حمله Brute Force هوشمند تعریف کرد. این حمله از رمز عبوری که یک کلمه است و بتوان آن را در یک دیکشنری پیدا کرد استفاده می‌کند. تنها محدودیت واقعی که حمله Brute Force همیشه با آن مواجه بوده، زمان لازم برای پایان جست‌وجو و همچنین قدرت محاسباتی است. این روش یکی از معروف‌ترین و پراستفاده‌ترین راه‌ها برای کشف رمز عبور ذخیره‌شده در جدول دیتابیس سرور است.

در یک حمله Brute Force عادی، ما هر ترکیب احتمالی از اعداد، حروف و سمبل‌ها را آزمایش می‌کنیم تا به کلمه عبور واقعی برسیم. در این روش، هکر با در اختیار داشتن میلیون‌ها کاراکتر پیشنهادی برای امتحان در فرم ورود به پنل مدیریت و با استفاده از ابزارهای بروت‌فورس، به حمله به هدف مورد نظر خود اقدام می‌کند که یک پروسه زمان‌بر و طولانی بوده و با قدرت سخت‌افزاری سیستم مخصوصا کارت گرافیک ارتباط کاملا مستقیم دارد. هر چقدرGPU قوی‌تر باشد، روند انجام کار سریع‌تر است. در واقع هکر مانند یک فرد مسلح به سمت هدف با سرعت بالا شلیک می‌کند تا هدف مورد نظر آسیب‌پذیر شود.

حمله دیکشنری فقط در صورتی موفقیت‌آمیز خواهد بود که رمز عبور یک کلمه حقیقی باشد، مثلا asreertebat. در نتیجه این نوع حمله با محدودیت‌هایی همراه است؛ چراکه اگر کاربر هوشمندی کرده و رمز عبور پیچیده و قوی انتخاب کرده باشد در این صورت کار هکر بسیار سخت و دشوار خواهد بود. این روش در برابر پسورد‌های قوی که ترکیبی از کلمات و شماره‌ها و سمبل‌ها هستند زیاد کارآمد نیست.

۳-Mask Attack

در‌صورتی‌که هکر رنج تعداد کاراکترهای رمز عبور را حدس بزند، این روش کارآمد‌ترین راه محسوب می‌شود؛ چراکه با توجه به طولانی و زمان‌بر بودن پروسه حمله بروت‌فورس، کاهش میزان احتمالات باعث سرعت‌بخشیدن به‌طرز چشم‌گیری به روند کار خواهد شد. همچنین در‌صورتی‌که هکر کاراکتر‌های مشخصی از رمز عبور را تشخیص دهد، در این روش برای كشف بقيه کاراکتر‌ها امتحان خواهد کرد. به عنوان مثال هکر یقین دارد که مقدار ابتدایی رمز asreertebat است، بنابرین توسط این روش به‌دنبال کاراکتر‌های بعد از asreertebat می‌گردد. براي مثال، از asreertebat1000 تا asreertebat10000000 و کلیه اعداد در این رنج را توسط ابزار بررسی می‌کند یا هر نوع رنج و کاراکتری که هکر احتمال آن را بدهد.

۴- Combination

هکر در این روش دو دیکشنری جداگانه را همزمان با یکدیگر مورد استفاده قرار می‌دهد و عبارات هر دیکشنری را با هم ترکیب و بررسی می‌کند و هر دو عبارت متناظر با یکدیگر ترکیب و مورد آزمایش قرار می‌گیرند. میزان ترکیب و رنج کاراکتر در این روش کاملا انعطاف‌پذیر بوده و هکر قدرت انتخاب زیادی را دارد.

۵- روش hybrid

این روش یکی از جدید‌ترین و کارآمد‌ترین روش‌های هک رمز عبور است که نه‌تنها عبارات حقیقی و تکی بلکه عبارات ترکیبی مانند اعداد، سمبل‌ها و کاراکتر‌های ویژه را نیز شامل می‌شود و از قدرت مانور بیشتری برخوردار است. در واقع بسیاری از کاربران تصور می‌کنند صرفا با اضافه کردن عدد پس از نام خود، رمز عبور ایمن است، در‌صورتی‌که هکر پس از ناموفق بودن در کشف رمز عبور توسط متد dictionary به روش hybrid یا دورگه روی می‌آورد که با اضافه کردن رنج اعداد مشخصی که توسط هکر انتخاب می‌شود و ترکیب علايم و سمبل‌های مشخص اقدام به بررسی صحت رمز عبور خواهد کرد.

روش‌های مقابله با حملات brute force

با توجه به اینکه حملات بروت‌فورس وسعت بسیاری داشته و در جاهای متعددی قابل استفاده هستند. ابتدا باید محدوده کار مشخص شود؛ مثلا قرار است از فرم ورود به مدیریت یک سایت جوملایی یا وردپرسی محافظت شود یا از پنل مدیریت هاست یا سرور یا…. اما در این قسمت راهکار‌های متفاوتی برای این نوع حمله ذکر خواهد شد:

۱- استفاده از کد captcha در کنار فرم ورود به پنل: در حالت عادی یک فرم ورود شامل دو کادر نام کاربری و رمز عبور است، اما با اضافه کردن کادر captcha که یک عبارت مشخص در داخل آن نوشته شده، کاربر باید آن را در کادر پایین‌تر وارد كند که به‌اصطلاح به آن عبارت امنیتی گفته می‌شود. همچنين می‌توان به جای عبارت امنیتی، از سوال امنیتی استفاده کرد که کاربر باید جواب آن را در کادر پایین‌تر بدهد.

تا زمانی که عبارت یا سوال امنیتی پاسخ داده نشود حتی با صحیح بودن نام کاربری یا رمز عبور، امکان ورود ممکن نیست که اين مساله یک سد امنیتی مهم در مقابل حملات brute force محسوب می‌شود، چون با توجه به اینکه حملات brute force توسط ربات و نرم افزار‌ها انجام می‌شوند، بنابراین با ایجاد کد کپچا ربات یا نرم‌افزار از هوش لازم برای پاسخگویی به کد کپچا برخوردار نیستند؛ چراکه سوالات از نوع انسانی مطرح می‌شود.

۲- بلاک کردن آی‌پی‌های مهاجم: یکی دیگر از اقدامات مهم و موثر برای پنل مدیریت سایت و سرور، بلاک کردن آی‌پی‌هایی است که بیش از سه بار رمز عبور را اشتباه وارد می‌کنند. بر اساس این اقدام، هر آی‌پی که بیش از حد مجاز اقدام به تست رمز عبور در فرم ورود را انجام دهد توسط ابزار‌ها یا پلاگین‌های اختصاصی تا مدت زمان مشخصی بلاک خواهد شد. همچنین در تنظیمات سرور‌ها نیز این امکان وجود دارد تا توسط فایروال سرور آی‌پی‌های مهاجم بلاک شوند.

۳- تغییر پورت‌های پیش‌فرض سرور: یکی دیگر از روش‌های محافظت در مقابل این‌گونه حملات، تغییر پورت پیش‌فرض برنامه‌ها توسط سرور است. به‌عنوان مثال پورت ssh را که به‌صورت پیش‌فرض ۲۲ است، به یک پورت بیکار دیگر تغییر داد؛ چون بر حملات بروت‌فورس به تعیین پورت نیاز بوده که همیشه پورت پیش‌فرض مدنظر است. همچنین پورت پیش‌فرض ورود به پنل مدیریت هاست نیز که مثلا در directadmin ۲۲۲۲ است نیز بهتر است تغییر یابد یا در cpanel که ۲۰۸۳ است نیز در صورت تغییر پورت، کار هکر بسیار سخت‌تر خواهد شد. به‌طور کلی تغییر پورت‌های پیش‌فرض در سرور یک سد امنیتی بسیار مناسب برای جلوگیری از حملات بروت فورس به وجود خواهد آورد.

۴- ایمن‌سازی فرم ورود: یکی دیگر از راهکارهای ایمن‌سازی، اسکریپت فرم ورود است؛ چراکه از فرم ورود به پنل مدیریت سایت‌ها در صورت مشکلات امنیتی و رعایت‌نکردن اصول برنامه‌نویسی برای سایت خطرناک و امکان نفوذ را افزایش می‌دهد.

۵- انتخاب نام کاربری مناسب و تغییر مداوم آن: برای انجام حملات بروت فورس فهمیدن نام کاربری الزامی است؛ بنابرین انتخاب نام کاربری مناسب و تعویض مرتب آن می‌تواند سد امنیتی مناسبی در برابر حملات ایجاد کند.

۶- انتخاب رمز عبور مناسب: شاید بتوان گفت مهم‌ترین عامل در جلوگیری از حملات بروت‌فورس، انتخاب رمز عبور مناسب است که در شماره‌های گذشته هفته‌نامه به‌طور مفصل به آن اشاره شده است، اما به‌طور کلی انتخاب رمز عبور بین 15 تا 25 رقم، استفاده از جملات، استفاده نکردن از اسامی معروف، استفاده نکردن از علايم و رمزهای ساده و قابل حدس، ترکیب اعداد و علايم ویژه در رمز، از معيارهای مناسب برای انتخاب رمز عبور ایمن محسوب می‌شوند.

در پایان باید گفت حملات brute force قربانیان زیادی را تا به امروز گرفته که دلایل متعددی مانند ضعف امنیتی فرم‌های ورود، رمز عبور ناامن، پیش‌فرض بودن پورت‌ها، نام کاربری قابل حدس، استفاده نکردن از افزونه‌های امنیتی، فقدان تنظیمات بهینه فایروال سرور در آن دخیل بوده‌اند.

راهکار دربرابر حملات Brute Force

۱-استفاده از رمز عبور قوی: این اولین خط دفاع و تنها راه برای جلوگیری از حمله موفقیت آمیز است.

۲-محدود نمودن دسترسی به لینک های احراز هویت: درصورتیکه شما از رمز های قوی استفاده کنید، باز هم هکرها لینک های احراز هویت سایت شما را مورد هدف قرار می دهند، آن ها تلاش می کنند اما موفق نمی شوند و اما این تلاش های نافرجام باعث بروز مشکلاتی مثل بالا رفتن لود سرور و کندی سرعت بارگذاری سایت شما خواهد شد.

جهت رفع و جلوگیری از چنین مشکلی توصیه می کنیم در فایل htaccess دسترسی به صفحات لاگین را به آدرس ip محدود کنید، در صورتیکه از ip استاتیک استفاده می کنید، دسترسی را به ip استاتیک و درغیر اینصورت می توانید به محدوده رنج سرویس دهنده اینترنت خود، تعیین نمائید.

بعنوان مثال در صورتیکه از وردپرس استفاده می کنید، تغییرات برای فایل htaccess بصورت زیر خواهد بود:

order deny,allow

allow from MYIP

allow from MYIP2

deny from all

</Files>

شما می توانید همین تغییر را برای هر URL احراز هویت مربوط به مدیریت محتوا یا سایت خود اعمال نمائید.

۳-استفاده از Captcha: کد تصویر امنیتی(captcha) قبل از ورود به سیستم یک راه قدرتمند برای کم کردن سرعت تلاش حملات Brute Force است و استفاده از آن را مخصوصا در زمانیکه امکان محدودیت ip ذکر شده وجود ندارد، توصیه می کنیم. استفاده از تصویر امنیتی به خصوص در سایت های ثبت نام به منظور کاهش میزان اسپم و ربات ها مفید می باشد.

۴-تایید هویت دو مرحله‌ای(۲FA): تایید هویت دو مرحله‌ای لایه‌ی امنیتی مضاعفی را برای حساب‌های کاربری آنلاین شما به وجود می‌آورد و در کاهش میزان احتمال موفقیت این حمله بسیار موثر خواهد بود.

بیاد داشته باشید شما نمی توانید که این تلاش ها را متوقف کنید اما می توانید جلوی موفقیت آمیز بودن این حملات را بگیرید.

ادامه مطلب

توسط

admin

در

وبلاگ

نحوه امن کردن وردپرس

متأسفانه تقریباً روزی نیست که خبری را در مورد هک شدن وب سایت های وردپرسی نشنویم، از آنجائیکه وردپرس در حال حاضر محبوب ترین سیستم مدیریت محتوای موجود می باشد انگیزه های بسیاری برای هک کردن آن وجود دارد.

امنیت در وردپرس از اهمیت بسیار بالایی برخوردار است و بطور جدی به آن پرداخته می‌شود اما درست مانند هر سیستم دیگری، در صورت عدم رعایت برخی نکات ایمنی ساده ممکن است با مشکلات امنیتی احتمالی برخورد کنیم. در این مطلب به بررسی برخی از معمول‌ترین آسیب پذیری‌ها و راهکارهای بالا بردن امنیت وردپرس می‌پردازیم.

این مقاله راه حل نهایی برای تمامی دغدغه‌های امنیتی شما نیست. اگر نگرانی بخصوصی دارید، بهتر است با کسانی که به دانش آنها در زمینه‌ی امنیت کامپیوتر و وردپرس اطمینان دارید، نگرانی‌ها و سوالات خود را در میان بگذارید.

امنیت چیست؟

اساساً وقتی صحبت از امنیت می‌شود، منظورمان سیستم‌های کاملاً امن نیستند. یافتن چنین چیزی عملاً غیرممکن بنظر می‌رسد. یک سرور امن از حریم خصوصی، یکپارچگی و در دسترس بودن منابع تحت کنترل سرور محافظت و اطمینان حاصل می‌کند.

ویژگی‌های یک هاست قابل اطمینان عبارتند از:

مشتاقانه درمورد انتظارات و نگرانی‌های امنیتی شما وهمچنین ویژگی‌ها و پروسه‌های امنیتی که هاستینگ در اختیار شما خواهند گذاشت، با شما صحبت می‌کند.
آخرین و با ثبات‌ترین نسخه‌های نرم‌افزار سرور را در اختیارتان می‌گذارد.
روش‌های قابل اعتماد بازیابی اطلاعات و پشتیبان‌گیری (بک آپ) را برای شما فراهم می‌کند.

با مشخص کردن نرم‌افزار و اطلاعاتی که باید محافظت شوند، در مورد نوع امنیتی که برای سرور خود مد نظردارید تصمیم بگیرید. ادامه‌ی مطلب شما را در این زمینه راهنمایی خواهد کرد.

پوسته‌های امنیتی

در تصمیم گیری در مورد امنیت جنبه‌های مختلف سیستم خود، چند نکته‌ی کلی را در نظر داشته باشید:

محدود کردن دسترسی

کاهش نقاط ورود احتمالی برای افرادی که مقاصد سوء دارند.

مهار

سیستم باید به نحوی کانفیگ شود که میزان خسارتی که در صورت در خطر قرار گرفتن یک رویداد ممکن است به سیستم وارد شود را به حداقل برساند.

آماده‌ سازی و دانش

برداشتن بک آپ و اطلاع از وضعیت وردپرس در فواصل زمانی مشخص. داشتن برنامه‌ای برای بک آپ و بازیابی اطلاعات می‌تواند در صورت بروز هر گونه مشکلی، شما را هر چه سریعتر به حالت روزمره برگرداند.

منابع مورد اعتماد

از منابع غیر قابل اعتماد، پوسته (theme) و افزونه (plugin) نگیرید. خود را به مجموعه‌ی موجود در WordPress.org و یا کمپانی‌های قابل اعتماد محدود کنید. گرفتن پوسته و افزونه از خارج از وردپرس ممکن است منجر به پدید آمدن مشکلاتی شود.

آسیب پذیری‌های کامپیوتر شما

مطمئن شوید که کامپیوتر‌های مورد استفاده‌ی شما عاری از هر گونه جاسوس افزار، بدافزار و ویروس باشند.

همیشه سیستم‌عامل و نرم افزار‌های خود، بخصوص مرورگر اینترنتی، را به‌روز نگه دارید تا سیستم خود را از نقص‌های امنیتی مصون نگه دارید. اگر قصد بازدید از سایت‌های غیر قابل اطمینان و مشکوک را دارید، بهتر است از ابزاری مانند no-script استفاده و یا جاوا اسکریپت، فلش و جاوا را در مرورگر خود غیر فعال کنید.

آسیب‌پذیری‌های وردپرس

مانند دیگر بسته‌های نرم افزاری مدرن، وردپرس بطور مرتب برای آمادگی در مقابل مشکلات امنیتی احتمالی آپیدت می‌شود. بحث بهبود امنیت نرم افزاری یکی از دغدغه‌های همیشگی است و برای دستیابی به آن همیشه از آخرین نسخه‌ی وردپرس استفاده کنید. نسخه‌های قدیمی وردپرس از نظر امنیتی آپدیت نمی‌شوند.

به‌روز رسانی وردپرس

آخرین نسخه‌ی وردپرس را همواره می‌توانید از وب‌سایت اصلی وردپرس به آدرس http://wordpress.org دریافت کنید. آپیدیت‌های رسمی هیچ‌گاه در وب‌سایت های دیگر قابل دسترسی نیستند. بنابراین هرگز وردپرس را از وب‌سایتی به غیر از ‌ http://wordpress.org دانلود نکنید.

از نسخه‌ی ۳٫۷ به بعد، وردپرس گزینه‌ی آپدیت خودکار اضافه کرده است. با استفاده از این ویژگی می‌توانید براحتی به‌روز بمانید. به علاوه می‌توانید از طریق Dashboard وردپرس از آپدیت‌ها با خبر شوید.

در صورت پدید آمدن یک آسیب پذیری در وردپرس و عرضه شدن نسخه‌ای جدید از وردپرس برای برطرف کردن این مشکل، اطلاعات مورد نیاز برای نحوه‌ی استفاده از این آسیب پذیری بطور قطع در دامنه‌ی عمومی قرار دارد. بنابراین نسخه‌های قدیمی همیشه بیشتر در معرض حملات قرار دارند و به همین دلیل به ‌روز رسانی اهمیت زیادی پیدا می‌کند.

اگر شما بیش از یک نصب وردپرس را مدیریت می‌کنید، می‌توانید از Subversion برای تسهیل مدیریت استفاده کنید.

گزارش مشکلات امنیتی

اگر با نقصی امنیتی در وردپرس روبرو شدید، می‌توانید برای رفع هر چه سریعتر آن، مشکل را گزارش کنید. لطفا برای اطلاعات بیشتر در مورد نحوه‌ی گزارش ایرادات، Security FAQ را بخوانید.

اگر فکر می‌کنید با یک باگ مواجه شده‌اید، آنرا گزارش کنید. برای اطلاعات بیشتر Submitting Bugs را بخوانید. باگ‌ها یا به خودی خود آسیب پذیری‌های امنیتی هستند یا منجر به نقص‌های امنیتی می‌شوند.

آسیب پذیری‌های سرور

سرور اینترنتی وردپرس و نرم‌افزارهای روی آن ممکن است دارای نقاط ضعف باشند. به همین دلیل، اطمینان حاصل کنید که از نسخه‌های با ثبات و امن سرور و نرم‌افزار روی آن استفاده می‌کنید و یا از هاست قابل اطمینانی استفاده کنید که مطمئن هستید به این موارد رسیدگی می‌کند.

اگر شما در سروری مشترک ( سروری که وب‌سایت های دیگری را نیز در کنار وبسایت شما هاست می‌کند) قرار دارید و وبسایتی در سرور شما دچار مشکلات امنیتی شد، به احتمال بسیار بالا، وب‌سایت شما نیز در معرض خطر قرار دارد حتی اگر تمامی توصیه‌های این مطلب را انجام داده باشید. به همین خاطر بهتر است از سرور خود در مورد اقدامات پیشگیرانه‌ی امنیتی که انجام می‌دهند، اطلاعاتی کسب کنید.

آسیب پذیری‌های شبکه

شبکه در هر دو انتها، یعنی انتهای وردپرس و انتهای مشترک، باید قابل اطمینان باشد. برای این منظور باید قوانین فایروال مودم خود بروزرسانی کنید و حواستان باشد که از چه شبکه‌هایی کار می‌کنید. کافی‌ نتی که در آن پسوورد خود را از طریق اتصال اینترنتی، وایرلس و یا به هر شکل دیگر می‌فرستید، شبکه‌ای امن محسوب نمی‌شود.

هاست اینترنتی شما باید در مقابل حملات ایمن باشد. در غیر این صورت، نقص‌های امنیتی شبکه می‌توانند به دزدیده شدن پسوورد و دیگر اطلاعات حساس شما شوند.

پسوورد

بسیاری از نقص‌ها و آسیب‌پذیری‌های احتمالی با عادات امنیتی درست قابل پیشگیری هستند. یک پسوورد قوی نقش مهمی در این امر دارد.

پسوورد قوی پسووردی است که برای افراد دیگر غیر قابل حدس باشد و حملات جستجوی فراگیر موفق به یافتن آن نشوند. حملات جستجوی فراگیر، بر خلاف هک کردن که بدنبال نقص‌های امنیتی می‌گردد، بقدری یوزرنیم و پسوورد‌های مختلف را امتحان می‌کنند تا به نتیجه برسند. ابزار‌های خودکار تولید پسوورد وجود دارند که می‌توانند یک پسوورد امن به شما پیشنهاد کنند.

یکی از ویژگی‌های وردپرس، دارا بودن نشانگر میزان قوی بودن یک پسوورد است. زمانی که قصد تغییر پسوورد خود را داشته باشید، از طریق این نشانگر می‌توانید بدانید که پسوورد انتخابی شما تا چه حد قوی است.

نکاتی که در انتخاب پسوورد باید از آنها اجتناب کرد:

هرگونه استفاده‌ای از نام اصلی، یوزرنیم، نام شرکت و یا نام وبسایت
لغتی از لغتنامه‌ای به هر زبان
پسوورد کوتاه
یک پسوورد تماماً عددی یا تماماً حروفی (ترکیبی از این دو بهترین گزینه است)

یک پسوورد قوی نه تنها برای محافظت از محتوای بلاگ شما ضروری است، بلکه اگر هکری به اکانت مدیریت شما دست پیدا کند، می‌تواند اسکریپت‌هایی مخرب نصب کند که کل سرور را در معرض خطر قرار دهد. بنابراین با داشتن پسووردی مطمئن، می‌توانید از این خطرات دور بمانید.

علاوه بر داشتن پسووردی قوی، بهتر است احراز هویت دو مرحله‌ای (two-step authentication) را نیز به عنوان اقدام احتیاطی اضافه، فعال کنید.

FTP

برای اتصال به سرور، از رمز گزاری SFTP استفاده کنید. اگر نمی‌دانید که هاست اینترنتی شما این امکان را فراهم کرده یا نه، می‌توانید از آنها بپرسید.

استفاده از SFTP درست مانند استفاده از FTP است با این تفاوت که در SFTP تمامی اطلاعات و پسوورد شما در انتقال بین کامپیوتر . وبسایت شما، رمزگذاری می‌شوند. این بدین معنی است که پسوورد شما هیچگاه به همان شکل اصلی فرستاده نمی‌شود و در نتیجه هکرها نمی‌توانند از پسوورد شما استفاده کنند.

اجازه دسترسی فایل

وردپرس، به عنوان یکی از ویژگی‌های خود، به سرور اجازه‌ی رایت از فایل‌ها را می‌دهد. با این وجود، دادن دسترسی رایت برای فایل‌هایتان می‌تواند خطرساز باشد، بخصوص اگر در محیط هاستینگ مشترک فعالیت می‌کنید.

بهتر است که اجازه‌ی دسترسی به فایل‌های خود را تا حد امکان محدود کنید و فقط در مواقعی که نیاز دارید، این دسترسی را باز کنید. می‌توانید فولدر جدیدی با سطح دسترسی بیشتر برای مقاصدی مانند آپلود کردن فایل بسازید.

یکی از طرح‌های سطح دسترسی را در اینجا ببینید:

تمام فایل‌ها بایستی متعلق به اکانت کاربری شما و قابل رایت توسط شما باشند. هر فایلی که نیازمند اجازه‌ی رایت از وردپرس باشد، باید توسط سرور نیز قابل رایت باشد. این بدین معنی است که فایل‌ها باید بصورت گروهی متعلق به اکانت کاربری باشند که توسط سرور مورد استفاده قرار می‌گیرد.

دیرکتوری روت وردپرس: تمامی فایل‌ها بایستی فقط توسط اکانت کاربری قابل رایت باشند.

/wp–admin/

منطقه‌ی مدیریتی وردپرس: تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.

/wp–includes/

بخش عمده‌ی منطق اپلیکیشن وردپرس: تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.

/wp–content/

محتوای عرضه شده توسط کاربر: قابل رایت توسط اکانت کاربری شما و پروسه‌ی سرور وب.

در /wp-content/ می‌توانید گزینه‌های زیر را بیابید:

/wp–content/themes/

فایل‌های پوسته: اگر تمایل به استفاده از ویرایشگر پوسته‌ی داخل وردپرس داشته باشید، تمامی فایل‌ها باید توسط پروسه‌ی سرور وب قابل رایت باشند. اما اگر نمی‌خواهید از این ادیتور استفاده کنید، می‌توانید سطح دسترسی به فایل‌ها رو طوری تنظیم کنید که فقط توسط اکانت کاربری شما قابل رایت باشند.

/wp–content/plugins/

فایل‌های افزونه: تمامی فایل‌ها باید فقط قابل رایت با اکانت کاربری شما باشند.

دیرکتوری‌های دیگر که ممکن است با /wp-content/ موجود باشند، باید توسط پوسته و یا افزونه‌ای که به آنها نیاز دارند، ثبت شوند. سطح دسترسی ها در این موارد متغیر هستند.

تغییر دادن سطح دسترسی فایل:

اگر دسترسی شل(shell) به سرور دارید، می‌توانید سطح دسترسی فایل را توسط دستور زیر تغییر دهید:

برای دیرکتوری‌ها:

find /path/to/your/wordpress/install/ –type d –exec chmod 755 {} \;

برای فایل‌ها:

find /path/to/your/wordpress/install/ –type f –exec chmod 644 {} \;

به‌روز رسانی خودکار:

وقتی از وردپرس می‌خواهید که به‌روز رسانی خودکار انجام دهد، تمامی این عملیات به عنوان کاربر صاحب فایل انجام می‌گیرند نه به عناون کاربر سرور وب. تمامی فایل‌ها به ۰۶۴۴ و تمامی دیرکتوری‌ها به ۰۷۵۵ ست می‌شوند. فایل‌ها و دیرکتوری‌ها قابل رایت توسط کاربر و قابل مشاهده توسط تمامی افراد به علاوه‌ی سرور وب هستند.

امنیت پایگاه داده (دیتا بیس):

اگر بر روی یک سرور از چند بلاگ مختلف استفاده می‌کنید، بهتر است آنها را در دیتابیس‌های جداگانه که توسط کاربرهای متفاوت مدیریت می‌شوند نگهداری کنید. با انجام دادن نصب اولیه‌ی وردپرس، می‌توانید به این هدف دست پیدا کنید. در واقع این یک استراتژی مهار است: اگر فردی توانست با موفقیت یک نصب وردپرس را هک کند، این استراتژی باعث می‌شود که دسترسی و تغییر دادن بلاگ‌های دیگر شما برای اون سخت باشد.

اگر خود شما MySQL را مدیریت می‌کنید، اطمینان حاصل کنید که در مورد MySQL اطلاعات کافی دارید و ویژگی‌های غیرضروری آن (مانند پذیرش اتصالات TCP از راه دور) غیر فعال هستند.

محدود کردن اختیارات کاربر دیتابیس

برای انجام کارهای معمول در وردپرس، مانند گذاشتن مطالب در بلاگ، آپلود کردن فایل‌، گذاشتن کامنت، ایجاد کردن اکانت کاربری جدید و نصب افزونه‌های وردپرس، کاربر MySQL فقط به اختیارات خواندن و رایت کردن داده در MySQL مانند Select، Insert، Update و Delete نیاز دارد.

به همین دلیل، بهتر است اختیارات مدیریتی دیگر مانند Drop، Alter و Grant از کاربر گرفته شوند. با گرفتن این اختیارات، در واقع به استراتژی مهار و در نتیجه امنیت بیشتر کمک می‌کنید.

توجه کنید: بعضی از پوسته‌ها، افزونه‌ها و آپدیت‌های اصلی وردپرس ممکن است نیازمند انجام تغییراتی ساختاری مانند اضافه کردن جدول‌های جدید و یا تغییر طرح کلی باشند. در این موارد، قبل از نصب افزونه و یا اعمال آپدیت، بایستی بطور موقت این اختیارات را در اختیار کاربر دیتابیس بگذارید.

احتیاط: اعمال کردن آپدیت بدون داشتن این اختیارات ممکن است در زمان تغییر طرح، باعث ایجاد مشکلاتی شود. اگر بنا به دلایل امنیتی نیاز به انجام آپدیت دارید، حتماً یک بک آپ قابل اعتماد از دیتابیس‌ داشته باشید تا در مواقع نیاز بتوانید اطلاعات خود را از طریق آن براحتی برگردانید. در صورت ناموفق بودن آپگرید دیتابیس ، می‌توانید این مشکل را براحتی حل کنید. کافی‌ست دیتابیس را به یک نسخه‌ی قدیمی‌تر برگردانید، اختیارات مورد نیاز را در اختیار آن بگذارید و اجازه دهید تا خود وردپرس آپدیت را دوباره انجام دهد. بازگرداندن دیتابیس به یک نسخه‌ی قدیمی باعث می‌شود که بخش مدیریتی وردپرس متوجه وجود نسخه‌ی قدیمی بشود و سپس به شما اجازه دهد که دستورهای SQL مورد نیاز را بر روی آن انجام دهید. اکثر آپگرید‌های وردپرس تغییری در طرح انجام نمی‌دهند. فقط برخی از آپگریدهای اساسی (۳٫۷ تا ۳٫۸ به عنوان مثال) این تغییرات را اعمال می‌کنند و آپگرید‌های کوچک (۳٫۸ تا ۳٫۸٫۱) معمولاً این کار را انجام نمی‌دهند. اما در هر صورت، داشتن یک بک آپ مطمئن همیشه اقدام درستی‌ است.

ایمن کردن wp-admin

اضافه کردن پسورد از جانب سرور (مانند BasicAuth) به /wp-admin/ یک لایه‌ی محافظتی دوم در اطراف محیط مدیریتی بلاگ، صفحه‌ی لاگین و همچنین فایل‌های شما ایجاد می‌کند. این لایه باعث می‌شود که هکر بجای رفتن به سراغ فایل‌های ادمین شما، به این لایه‌ی دوم حمله کند. اکثر حملات به وردپرس از طریق نرم‌افزارهای خرابکار و بطور خودکار انجام می‌شوند.

اینکه فقط wp-admin/ را ایمن کنید ممکن است برخی قابلیت‌های وردپرس، مانند هندلر AJAX در wp-adin/admin-ajax.php را از کار بیاندازد.

معمول‌ترین حملات به بلاگ‌های وردپرس بطور معمول در دو گروه قرار می‌گیرند:

فرستادن درخواست‌های HTTP که به طور بخصوص برای استفاده از آسیب پذیری‌های بخصوصی ساخته شده‌اند.
تلاش برای دسترسی پیدا کردن به بلاگ شما با استفاده از روش حملات جستجوی فراگیر که قبلا به آن پرداختیم.

هدف نهایی اعمال این لایه‌ی دوم پسوورد، خواستن یک اتصال رمزگزای شده‌ی HTTPS SSL برای مدیریت است به این منظور که تمام ارتباطات و اطلاعات حساس رمزگزاری شوند.

ایمن سازی wp-includes

لایه‌ی دومی از امنیت را می‌توان زمانی اضافه کرد که قرار نیست هیچ کاربری به اسکریپت‌ها دسترسی داشته باشد. یک روش انجام این کار، بلاک کردن آن اسکریپت‌ها با استفاده از mod-rewrite در .htaccess است.

توجه: برای اطمینان از اینکه کد زیر توسط وردپرس بازنویسی نشده‌اند، آنرا خارج از تگ‌های #BEGIN WordPress و # END WordPress در فایل .htaccess قرار دهید. وردپرس می‌تواند هر چیزی را که بین این دو تگ باشد بازنویسی کند.

# Block the include-only files.

RewriteEngine On

RewriteBase /

RewriteRule ^wp–admin/includes/ – [F,L]

RewriteRule !^wp–includes/ – [S=3]

RewriteRule ^wp–includes/[^/]+\.php$ – [F,L]

RewriteRule ^wp–includes/js/tinymce/langs/.+\.php – [F,L]

RewriteRule ^wp–includes/theme–compat/ – [F,L]

# BEGIN WordPress

توجه کنید که این روش در Multisite جواب نمی‌دهد به این دلیل که RewriteRule^wp-includes/[^/]+\.php$-[F,L] از ایجاد کردن ایمج توسط ms-files.php جلوگیری می‌کند. حذف کردن این خط باعث می‌شود که کد مورد نظر کار کند اما از نظر امنیت در سطح پایین‌تری قرار دارد.

ایمن سازی wp-config.php

می‌توانید فایل wp-config.php را به دیرکتوری بالای نصب وردپرس انتقال دهید. این به این معنی‌ است که در مورد سایتی که در روت فضای وب شما نصب شده باشد، می‌توانید wp-config.php را خارج از فولدر web-root ذخیره کنید.

توجه: افراد بسیاری بر این باورند که انتقال wp-config.php فواید امنیتی بسیار کمی دارد و اگر بدرستی انجام نشود، حتی می‌تواند باعث ایجاد نقص‌های امنیتی جدی نیز شود.

wp-config.php را می‌توانید در در یک سطح دیرکتوری بالای نصب وردپرس (جایی که wp-includes قرار دارد) ذخیره کنید. به علاوه، اطمینان حاصل کنید که فقط شما (و سرور وب) می‌تواند این فایل را بخواند (این معمولاً دسترسی ۴۰۰ یا ۴۴۰ است).

اگر از سروری با .htaccess استفاده می‌کنید، می‌توانید این کد را در فایل مربوطه (در بالاترین قسمت) قرار دهید تا از دسترسی افرادی که آنرا جستجو می‌کنند، جلوگیری کنید.

order allow,deny

deny from all

ویرایش فایل را غیرفعال کنید

داشبورد وردپرس بطور پیش فرض به مدیران اجازه‌ی ویرایش فایل‌های PHP مانند فایل‌های افزونه و پوسته را می‌دهد. این معمولاً اولین ابزاری است که یک هکر، اگر موفق به لاگ این شود، از آن استفاده خواهد کرد زیرا اجازه‌ی اجرای کد را در اختیار او می‌گذارد.

با قرار دادن این خط در wp-config.php ، قابلیت‌های edit_themes، edit_plugins و edit_files را از تمام کاربران می‌گیرید:

define(‘DISALLOW_FILE_EDIT’, true);

البته در نظر داشته باشید که این کار مانع از این نمی‌شود که فرد مهاجم فایل‌های مخرب را در سایت شما آپلود کند اما می‌تواند جلوی برخی حملات را بگیرد.

افزونه‌ها

در درجه‌ی اول، همیشه تمامی افزونه‌های خود را آپدیت کنید. علاوه بر این، اگر از افزونه‌ی خاصی استفاده نمی‌کنید، آنرا حذف کنید.

فایروال

سرویس‌ها و افزونه‌های زیادی هستند که می‌توانند نقش فایروال را بر روی وب سایت شما ایفا کنند. روش کار برخی از آنان بدین صورت است که تغییراتی در فایل .htaccess شما اعمال می‌کند و دسترسی در سطح Apache را، قبل از اینکه توسط وردپرس پردازش شود، محدود می‌کند . Better WP Security و All in One WP Security نمونه‌های خوبی از این افزونه‌ها هستند. بعضی از افزونه‌های فایروال مانند WordFence، در سطح وردپرس عمل می‌کنند و حملات را زمانی که وردپرس در حال لود شدن است اما هنوز کامل پردازش نشده، فیلتر می‌کنند.

در کنار افزونه‌ها، می‌توانید یک WAF (فایروال وب) بر روی سرور خود نصب کنید تا محتوی را قبل از پردازش شدن توسط وردپرس فیلتر کند. محبوب ترین WAF اوپن سورس، ModSecurity است.

به علاوه فایروال می‌تواند بین کمپانی هاستینگ شما و اینترنت قرار گیرد و DNS رکوردهای شما را مجاب کند که از یک فایروال عبور کنند. با این کار، تمامی ترافیک قبل از رسیدن به سایت شما، از طریق فایروال فیلتر می‌شود. تعدادی کمپانی چنین سرویس‌هایی را ارائه می‌دهند مانند CloudFlare و Sucuri.

افزونه‌هایی که نیاز به اجازه‌ی رایت دارند

اگر افزونه‌ای اجازه‌ی رایت از فایل‌ها و دیرکتوری‌های وردپرس شما را خواست، حتماً کد آنرا بخوانید و از قابل اعتماد بودن آن اطمینان حاصل کنید.

افزونه‌های اجرای کد

همانطور که گفتیم، یکی از دلایل محکم سازی وردپرس، محدود کردن میزان خسارت در صورت موفق بودن حملات هکر‌هاست.افزونه‌هایی که اجازه‌‌ی اجرای PHP و یا کد‌های دیگر را از ورودی‌های دیتابیس می‌دهند، می‌توانند در صورت وقوع حملات موفق، میزان خسارت را چند برابر کنند.

یکی از راه‌های اجتناب از چنین افزونه‌هایی، استفاده از custom page templates است. بخشی از امنیتی که این روش وعده می‌دهد، تنها زمانی اتفاق می‌افتد که امکان ویرایش فایل در داخل وردپرس را غیرفعال کنید.

امنیت از طریق گمنامی

انتخاب این روش به عنوان استراتژی اصلی امنیتی، عاقلانه بنظر نمی‌رسد. با این وجود، در بخش‌هایی از وردپرس، گمنامی اطلاعات ممکن است به امنیت بیشتر کمک کند.

نام اکانت مدیریتی را تغییر دهید: در یک نصب جدید وردپرس، یک اکانت جدید مدیریتی بسازید و اکانت پیش فرض ادمین را حذف کنید. اگر تصمیم به نصب جدید ندارید، می‌توانید اکانت مدیریتی را از طریق دستوری مشابه به UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’; در بخش MySQL command-line client تغییر نام دهید.
پیشوند table را تغییر دهید: بسیاری از حملات تزریقی SQL مختص به وردپرس، با این تصور عمل می‌کنند که این پیشوند در حالت پیش‌فرض، یعنی wp_, قرار دارد. تغییر این پیشوند، تعدادی از حملات تزریقی SQL را بلاک می‌کند.

بک آپ اطلاعات

از اطلاعات و دیتابیس‌های MySQL بطور مرتب بک آپ بردارید.

رمزگزاری بک آپ، نگهداری سوابق مستقل از هش‌های MD5 برای هر فایل بک آپ، و قرار دادن بک آپ بر روی واسطه‌های read-only باعث بالا بردن اطمینان شما از امنیت اطلاعات می‌شود.

یک استراتژی بک آپ مطمئن، می‌تواند شامل نگهداری snapshot هایی با فواصل زمانی معین از تمامی نصب وردپرس شما (شامل فایل‌های هسته و دیتابیس) در یک مکان امن شود. تصور کنید سایتی در روز اول ماه بدست هکر‌ها بیفتد و کسی از این مساله تا روز ۱۲ ماه خبردار نشود. از طریق این استراتژی، دارنده‌ی سایت بک آپ‌هایی دارد که می‌تواند از طریق آنها سایت را به حالت قبل از هک برگرداند و حتی می‌تواند از طریق بک آپ‌هایی که بعد از هک گرفته شده‌اند، مشخص کند که دقیقاً چه بخش‌هایی از سایت هدف حمله بوده‌اند.

ثبت لاگینگ

ثبت ورود و خروج‌های سایت، یکی از بدردبخور ترین روش‌ها برای داشتن اطلاعاتی در مورد وب‌سایت هستند. از این طریق می‌توانید بفهمید که چه زمانی، چه کاری توسط چه کسی در وب سایت انجام شده است. متاسفانه از طریق این لاگ‌ها نمی‌توانید بفهمید چه نام کاربری‌ای وارد سیستم شده اما می‌توانید IP و زمان آنرا بفهمید. به علاوه، می‌توانید هر کدام از حملات زیر را از طریق لاگ‌ها ببینید: حملات تزریق کد (XXS)، گنجاندن فایل از راه دور (RFI)، گنجاندن فایل محلی (LFI) و حملات پیمایش دیرکتوری. به علاوه، خواهید توانست حملات جستجوی فراگیر را نیز مشاهده کنید.

اگر کمی به کار با لاگ‌ها وارد شوید، چیزهایی خواهید دید مانند اینکه چه زمانی ویرایشگر‌های پوسته و افزونه در حال استفاده هستند،چه زمانی کسی ویجت‌های شما را آپدیت می‌کند و یا صفحه و مطلبی اضافه می‌کند.

از لحاظ امنیتی، دو راه‌حل اوپن سورس اساسی هستند که بهتر است بر روی سرور خود داشته باشید.

OSSEC می‌تواند در هر توزیعی از NIX و همچنین در ویندوز اجرا شود و اگر درست تنظیم و کانفیگ شود، بسیار قدرتمند است. باید آنرا به طوری تنظیم کنید که تمامی access_logs و error_logs را ثبت کند. به علاوه، فراموش نکنید که تنظیمات را طوری انجام دهید که نویز نیز فیلتر شود.

نظارت

گاهی اوقات، ممکن است علی رغم اقدامات پیشگیرانه، باز هم هک شوید. به همین دلیل است که تشخیص و نظارت بر نفوذ از اهمیت زیادی برخوردار است. با استفاده از این روش می‌توانید با عکس العملی سریع، بفهمید که چه اتفاقی افتاده و سایت را به حالت اول برگردانید.

نظارت بر لاگ‌ها

اگر بر روی یک سرور شخصی هستید و دسترسی روت دارید، می‌توانید براحتی طوری تنظیمات انجام دهید که بتوانید ببینید چه اتفاقاتی در حال رخ دادن هستند. OSSEC این کار را تسهیل می‌کند.

نظارت بر ویرایش فایل‌ها

یک حمله‌ همیشه اثراتی از خود (فایل‌های تازه، فایل‌های ویرایش شده و غیره) بر جا می‌گذارد. اگر از OSSEC استفاده می‌کنید، فایل‌های شما را نظارت می‌کند و تغییراتی که در آنها ایجاد می‌شوند را اطلاع می‌دهد.

نظارت بر سرور از خارج

اگر هکری قصد ایجاد اختلال در سایت شما و یا اضافه کردن بدافزار داشته باشد، می‌توانید از طریق یک سیستم نظارت بر بی‌نقصی بر پایه‌ی وب نیز از این تغییرات مطلع شوید. امروزه ابزار‌های بسیاری از این دست را می‌توانید از طریق گوگل کردن براحتی پیدا کنید.

اینها نکات مهم و ضروری توصیه شده از طرف تیم اصلی وردپرس بودند که در صورت رعایت شدن می توانند امنیت وردپرس دوست داشتنی ما را تا حد خوبی بالا ببرند . امیدواریم مورد توجه شما قرار گرفته باشد

ادامه مطلب

توسط

admin

در

وبلاگ

آشنایی با تکنولوژی IPS و IDS

IDS چیست؟

IDS مخفف عبارت Intrusion Detection System به معنای سیستم کشف نفوذ می باشد، به منظور نظارت بر تمامی فعالیت های ورودی و خروجی شبکه و شناسایی هرگونه فعالیت مشکوک طراحی شده است. این فعالیت های مشکوک ممکن است، نشان دهنده ی یک حمله به سیستم یا شبکه توسط شخصی که در تلاش است تا سیستم امنیتی را در هم بشکند باشد. IDS یک سیستم مانیتورینگ غیرفعال (Passive) در نظر گرفته می شود، چرا که عملکرد اصلی یک IDS هشدار در مورد فعالیت های مشکوک در حال وقوع است و در متوقف کردن آن ها نقشی ایفا نمی کند. اساسا یک IDS ترافیک شبکه و داده های شما را مورد بررسی قرار می دهد و حملات، موارد سوء استفاده و سایر نقاط آسیپ پذیری را شناسایی می کند. ای دی اس ها می توانند، رویدادهای مشکوک را به چندین روش اطلاع رسانی کنند که شامل نمایش یک آلارم، درج در بخش رویدادها (Logs) یا حتی برقراری ارتباط (مثل تماس تلفنی) با مدیر سیستم می باشد. در برخی از موارد IDS ها درخواست پیکربندی مجدد سیستم به منظور کاهش نفوذهای مشکوک را مطرح می کنند. یکی از کاربردهای IDS تشخیص ترافیک نامتعارف در حال ورود به شبکه و گزارش آن به مدیر سیستم است. IDS به طور خاص به دنبال فعالیت های مشکوک و رویدادهایی می باشد که ممکن است از اثرات ویروس ها، کرم ها و هکرها باشند. این امر بوسیله جستجو در امضاهای نفوذ (گزارش های ذخیره شده از جزئیات ورود به سیستم) یا امضاهای حمله (Attack Signatures) که کرم ها و ویروس های گوناگونی را شناسایی می کنند، انجام می شود. اصلاح IDS گستره وسیعی از محصولات متنوع را در بر می گیرد. یک راه کار IDS می تواند در قالب یک نرم افزار متن باز (Open Source) رایگان و یا به صورت یک نرم افزار امنیتی گران قیمت برای فروش ارائه شود. علاوه بر این برخی از IDSها شامل برنامه های نرم افزاری و سخت افزاری می باشند که در نقاط مختلف از شبکه نصب شده و مورد استفاده قرار می گیرند.

آیا IDS همان فایروال است؟

پاسخ این سوال خیر می باشد. به طور معمول IDS با فایروال اشتباه گرفته شده و یا به عنوان یک جانشین برای آن در نظر گرفته می شود. در حالی که هر یک بصورت مجزا به امنیت شبکه مربوط می باشند. فایروال نفوذها را به منظور جلوگیری از به وقوع پیوستن آن ها جستجو می کند و دسترسی بین شبکه ها را به منظور توقف نفوذها محدود می کند، اما در مورد حملات درون شبکه اطلاع رسانی نمی کند. IDS یک نفوذ مشکوک را شناسایی می کند و اگر نفوذ انجام شد به وسیله آلارم اطلاع رسانی می کند. همچنین IDS ها حملاتی که از درون یک سیستم آغاز می شوند را نیز مورد بررسی قرار می دهد. محافظت کننده های نفوذ به سیستم که مبتنی بر شبکه می باشند، می توانند پکت هایی را که توسط قوانین (rule) ساده فایروال نادیده گرفته می شوند را نیز شناسایی کنند. در حقیقت IDS جایگزینی برای یک فایروال یا یک آنتی ویروس قوی نیست. IDS می بایست به صورت ترکیبی با محصولات امنیتی مثل فایروال و آنتی ویروس در نظر گرفته شود تا بتوانند بصورت یک مجموعه امنیت شبکه را افزایش دهند. به طور عمده می توان تفاوت IDS و فایروال را در این دانست که IDS با جزئیات بیشتری نسبت به فایروال ترافیک شبکه را مورد بررسی قرار می دهد و بر خلاف فایروال که تنها ترافیک ورودی و خروجی را ارزیابی می کند، IDSها ترافیک های درون سیستم را نیز مورد بررسی قرار می دهند.

IPS – یک راه کار امنیتی فعال

IPS مخفف عبارت Intrusion Prevention System به معنای سیستم ممانعت از نفوذ است، مرحله بالاتری از فناوری های امنیتی است که قابلیت فراهم سازی امنیت در تمام سطوح سیستم از هسته ی سیستم عامل گرفته تا پکت های شبکه (بسته های داده ارسالی یا دریافتی در شبکه) را دارا می باشد.IPS سیاست ها و قوانینی را برای ترافیک شبکه حین اعلام آلارم یک IDS هنگام رویارویی با ترافیک مشکوک تعریف می کند، اما این اجازه را نیز به مدیر سیستم می دهد که بتواند عملکرد لازم را تعیین کند. هنگامی که IDS یک حمله بالقوه را اطلاعی رسانی می کند، ای پی اس تلاش می کند تا آن را متوقف کند. IPS همچنین این ظرفیت را دارد که بتواند امضاهای نفوذ شناخته شده در سیستم را متوقف کند. با توجه به تفکر ترکیب IDS و فایروال به منظور محافظت می توان گفت که IPS نسل پیشرفته ی IDS می باشد. در حال حاضر دو نوع IPS وجود دارد. این دو مورد شامل سیستم های ممانعت از نفوذ میزبان محور (host-based intrusion prevention systems) و سیستم های ممانعت از نفوذ شبکه محور (network-based intrusion prevention systems) می شوند.

IDS و IPS، کدام یک؟

در حالی که بسیاری از صنایع امنیتی بر این باورند که IPS در آینده بصورت کامل جایگزین IDS خواهد شد، اما عده ای این تفکر را مثل جایگزینی پرتقال با سیب در نظر می گیرند. این عده بر این باورند که IPS و IDS دو راهکار متفاوت می باشند که یکی سیستم مانیتورینگ کشف نفوذ غیرفعال و دیگری سیستم مانیتورینگ ممانعت از نفوذ فعال می باشد. گروه اول بر این باورند که در حالی که امکان ورود ابزارهای فعال به صحنه است، چرا باید از تجهیزات غیرفعال استفاده کرد؟ همچنین در عمل نیز IPS نسل جوانِ IDS بالغ می باشد. اشکالات ذکر شده در مورد IDS می تواند تا حدود زیادی با آموزش و مدیریت مناسب برطرف شود. به علاوه پیاده سازی IDS به مراتب کم هزینه تر می باشد. بسیاری از افراد با توجه به ویژگی های افزوده شده به IPS و اعتقاد به این تفکر که IPS نسل بعدی IDS است، استفاده از IPSها را به IDS ترجیح می دهند.

ادامه مطلب

توسط

admin

در

وبلاگ

درباره cURL

cURL بسته ای است به صورت Extension که برروی PHP نصب می گردد و قابلیت اتصال از طریق URL توسط متدهای GET,POST,… را برقرار می کند.
نمونه زیر توسط CURL نوشته شده است که اقدام به اتصال به آدرس مورد نظر و ارسال FIELD ها به صورت POST را انجام می دهد.

درباره cURL ، مفهوم cURL

در واقع cURL یک ابزار خط فرمان جهت انتقال فایلها بر اساس URL است. چیزی که cURL را قدرتمند میکند تعداد پروتکل هایی است که این کتابخانه از آنها پشتیبانی میکند که شامل FTP, FTPS, HTTP, HTTPS, TFTP, SCP, SFTP, Telnet, DICT, FILE و LDAP است.cURL مخفف کلمه Client for URLs است.

Daniel Stenberg این کتابخانه را در سال 1997 شروع کرد و بوسیله آن انتقال فایل با پروتکل هایی مانند HTTP, FTP و غیره را بوسیله خط فرمان امکان ساخت.

cURL در PHP

PHP در نسخه 4.0.2 کتابخانه cURL را به خود اضافه کرد، تا از طریق این کتابخانه بتواند اطلاعات را از طریق URL جا به جا کند. برای مثال با استفاده از cURL میتوانید اطلاعات یک وبسایت را بخوانید، به صورت خودکار لاگین کنید، در سایت های دیگر فایل آپلود کنید و خیلی کارهای دیگر.

اما بعضی از اینکارها را هم شاید بتوان با توابع خود PHP مانند file_get_contents انجام داد، اما ابتدا نیاز دارید که گزینه allow_url_fopen در فایل php.ini در سرور شما فعال باشد، و از آنجایی که بیشتر سرورها برای افزایش امنیت این گزینه را غیر فعال میکنند تنها را شما یادگیری و استفاده از cURL است.

مثال از cURL

cURL به صورت پیشفرض بر روی Apache نصب نیست و اگر میخواهید از این کتابخانه بر روی localhost سیستم استفاده کنید ابتدا باید آن را فعال کنید. برای نحوه فعال سازی میتوانید از این مطلب استفاده کنید.

در یک مثال ساده ابتدا ما یک صفحه یک سایت را گرفته و نمایش میدهیم، با استفاده از کد زیر:

$ch = curl_init(“http://www.google.com”);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
$google = curl_exec($ch);
echo $google;
curl_close($ch);

در خط 1 ابتدا با استفاده از تابع curl_init یک دستگیره (Handle) از آدرس موردنظر میگیریم. سپس در خط 2 با استفاده از تابع curl_setopt مشخص میکنیم که ما میخواهیم اطلاعات بازگشت داده شوند به جای اینکه نمایش داده شوند.

تابع curl_setopt برای اعمال تنظیماتی (Set Option) بر روی سشن موردنظر است. در این مثال ما با استفاده از TRUE کردن مقدار CURLOPT_RETURNTRANSFER به cURL میگوییم که قصد نمایش اطلاعات را نداریم. میتوانید تمامی Optionها را در PHP Manual ببینید.

در خط 3 با استفاده از تابع curl_exec دستورات را اجرا میکنیم، و در خط 5 با تابع curl_close سشن موردنظر را میبندیم.

در خط 4 برای دیدن اینکه واقعا چه چیزی اتفاق افتاده است دستور echo را انجام داده ایم، حالا میتوانید آن چیزی که از سایت مورد نظر لازم دارید استخراج کنید.

اگر دستورات بالا را اجرا کنید خواهید دید که سایت مورد نظر نمایش داده میشود.

اما این یک مثال ساده بود، مثال بالا را میتوانید با تابع file_get_contents هم انجام دهید.

قدرت cURL در تابع curl_setopt است، با استفاده از این تابع چیزی که دقیقا میخواهید را میتوانید پیاده سازی کنید.

در یک مثال دیگر در نظر بگیرید صفحه ای از سایتی (page2.php) را که در صورتی برای شما باز خواهد شد که شما از یک صفحه خاص (page1.php) به آن متصل شده باشید.

در واقع page2.php چک میکند که مقدار HTTP_REFERER شما صفحه page1.php باشد. خوب اگر قرار باشد که ما صفحه page2.php را باز کنیم باید مقدار HTTP_REFERER را برابر page1.php قرار دهیم. که برای اینکار باز هم از تابع curl_setopt استفاده میکنیم.

$ch = curl_init(“http://example.com/page2.php”);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_REFERER, “http://exapmle.com/page1.php”);
$page = curl_exec($ch);
curl_close($ch);

با استفاده از cURL کارهای بسیار بیشتری هم میتوان انجام داد. امیدواریم این مطلب مقدمه ی خوبی برای آشنایی شما با cURL باشد.

ادامه مطلب

توسط

admin

در

وبلاگ

فواید استفاده از وردپرس در طراحی وب سایت

طراحی یک وب سایت کار بسیار طاقت فرسایی به نظر میرسد.
شاید به نظر شما شروع طراحی یک وب سایت نیاز به اطلاعات فنی و پول زیادی خواد داشت.
اما با وجود سیستم مدیریت محتوای WordPress ( وردپرس ) این کار بسیار اقتصادی و ساده خواهد بود.
در زیر 3 مزیت و فایده استفاده از ورد پرس در طراحی وب سایت را بیان میکنیم.

استفاده از وردپرس اقتصادی است و نیازی به هزینه ندارید

وردپرس سیستم مدیریت محتوایی است که رایگان عرضه میشود. وجود آپدیت های مداوم و ساده ، تمپلیت های رایگان و فراوان ، پلاگین ها و افزونه های مفید و رایگان ،قابلیت انتشار مطالب با استاندارهای SEO باعث شده است این سیستم براحتی کار شما را در تولید یک وب سایت راه بیندازد.

در وردپرس بروز رسانی وب سایت و محتوای آن به سادگی صورت میگیرد.میتوانید برای محتوایی که منتشر میکنید به راحتی عکس و تصاویر زیادی الصاق نمایید.
پس شما به راحتی از طریق قسمت مدیریت وردپرس مانند یک طراح وب محتوای جدید ایجاد میکنید.
افزونه های فوق العاده ای که در وردپرس وجود دارد شما را در تولید محتوایی که در دید موتورهای جستجو قرار گیرد کمک خواهد کرد.

وب سایت تولید شده توسط وردپرس باعث موفقیت برند تجاری شما خواهد شد

همه میدانند که تولید محتوای مناسب و مداوم متناسب به برند تجاری و زمینه شغلی شما در موفقیت برند تجاری شما تاثیر مهمی خواهد داشت. وردپرس به عنوان سیستم مدیریت محتوایی ساده برای انتشار مطالب همراه با تصاویر در نوک پیکان سیستم های مدیریت محتوا قرار دارد.

با امکانات و افزونه هایی که میتوانید در ورد پرس اضافه نمایید به راحتی میتوانید مطالب و تصاویر خود را در شبکه های اجتماعی به اشتراک بگذارید.
وردپرس با امکاناتی که در طراحی تمپلیت و چهره وب سایت دارد امکانات فوق العاده ای برای برندسازی و طراحی مناسب وب سایت متناسب با برند و مارک تجاری شما در اختیارتان قرار خواهد داد.

وردپرس ارتباط دو طرفه شما با مخاطبین را محیا میکند

افزونه ها و امکاناتی وجود دارد که شما میتوانید به راحتی با مخاطبین و مشتریانی که به وب سایت شما مراجعه میکنند ارتباط برقرار کنید و اطلاعات آنها را برای ارتباط بیشتر یا ارائه پیشنهاد های تجاری جمع آوری کنید.
زمانی که افراد به وب سایت شما مراجعه میکنند یعنی به کار یا محصول شما علاقمند هستند و شما میتوانید از این طریق با آنها مرتبط شوید و اطلاعات بیشتری در رابطه با محصول و خدمات خود به آنها بدهید .مجموعاً این ارتباط منجر به فروش بیشتری برای شما خواهد شد.

ارزان بودن قالب های وردپرس

عموماً طراحی سایت وردپرس هزینه ای بسیار کم نسبت به بسیاری موارد دیگر دارد چرا که سیستم مدیریت محتوا نیاز به برنامه نویسی ندارد و اصل هزینه حذف میگردد. هزینه ی اندک باقی‌مانده مربوط به طراحی قالب وردپرس خواهد بود.

برنامه نویسی سیستم اختصاصی در حد وردپرس (به فرض اینکه مقدور باشد)، دهها میلیون تومان هزینه خواهد داشت حال آنکه اگر سایت بر پایه ی وردپرس راه اندازی شود، این هزینه میتواند ۶۰۰ هزار تومان باشد که مربوط به طراحی قالب است و صد البته استفاده از قالبهای متعدد موجود (رایگان و غیر رایگان) حتی هزینه را از این هم کمتر میکند. برای مثال در سرویس طراحی سایت ارزان WEBRGB کل هزینه راه اندازی سایت با قالبهای حرفه‌ای خارجی، تنها ۱۵۰ هزار تومان خواهد بود!

بروزرسانی های متعدد و رایگان!

یکی دیگر از مزایای طراحی سایت با وردپرس این است که تیم توسعه‌دهنده این سیستم هر از چند گاهی یک بروزرسانی جدید منتشر میکند که به رایگان در اختیار کاربران قرار دارد.

این بروزرسانی ها برای بهبود سطح امنیت، بهینه سازی محیط کاربری، افزودن ویژگی‌های جدید و … انجام میگیرد و همین مورد باعث می‌شود که سایتهای وردپرسی همیشه پتانسیل بالایی برای پیشرو بودن داشته باشند… .

اگر آماده طراحی وب سایت با ورد پرس هستید و میخواهید همین امروز معرفی خود را در اینترنت با سیستم مدیریت محتوای وردپرس آغاز کنید ،لینوکس وب ارائه کننده خدمات هاست و دامنه در ایران پیش روی شماست. همین امروز سفارش دهید و ساعتی بعد کار با وردپرس را آغاز کنید.

ادامه مطلب

توسط

admin

در

وبلاگ

نگاهی گذرا به ویژگی های هاست در موقعیت جغرافیایی ایران و خارج از کشور

به دلیل سوالات متعدد مشتریان عزیز در مورد ویژگی های هاست در موقعیت جغرافیایی مختلف به ویژه ایران، آلمان، انگلیس و آمریکا بر آن شدیم تا این مورد را به صورت کامل توضیح داده تا کارفرمایان محترم بتوانند موقعیت هاست خود را با دید بهتری انتخاب نمایند. از نظر اصول و قواعد سئو و بهینه سازی وب سایت بهتر است هاست در همان موقعیتی باشد که مشتریان در آن قرار دارند به عنوان مثال در صورتی که اعم مشتریان شما در ایران هستند بهتر است از هاستینگ داخل کشور استفاده گردد که این به دلایل زیر می باشد:

در صورتی که کاربر مراجعه کننده به وب سایت و سرور هاستینگ در یک کشور باشند وب سایت با پینگ تایم پایین تر و سرعت بالاتری برای کاربر بارگذاری خواهد گردید که همان طور که می داند سرعت بالاتر وب سایت هم باعث رضایت بیشتر کاربران از وب سایت و هم باعث نتیجه بهتر سئو وب سایت خواهد بود.
موتورهای جستجو نظیر گوگل سایت هایی را که در همان موقعیت جستجو کننده میزبانی شده اند را در نتایج جستجو نسبت به سرورهای در موقعیت دورتر در مکان بهتری نمایش می دهند که این مورد نیز باعث تایید بر نزدیک بودن موقعیت سرور به بازدید کننده دارد.

اما معمولا مشکلی که سرورهای داخل ایران با مواجه هستند کیفیت آن می باشد که این مشکلات شامل موارد زیر هستند:

مشکلات در ارسال و دریافت ایمیل که این مشکل معمولا به دلیل آی پی بلاک شده سرور و یا عدم کنترل هاست بر اسپم ها می باشد.
سرورهای هاست داخلی معمولا قطعی بیشتری نسبت به سرورهای خارج ایران دارند که این مورد تاثیر بسیار منفی در کسب و کار وب سایت خواهد داشت.
در برخی زمان ها دیده شده سرورهای داخل ایران در نتایج جستجوی گوگل و سایر موتورهای جستجو به دلایل مختلف نظیر آی پی بلاک شده و عدم رعایت قوانین کپی رایت رنک پایین تری دارند و یا بطور کامل در نتایج جستجو نمایش داده نمی شوند.
کنترل بر روی ارسال اسپم در سرورهای داخلی معمولا پایین می باشد که این مورد ممکن است باعث بلاک شدن سرور و آی پی آن در موتورها شوند که این مورد نیز باعث تاثیر منفی بر روی وب سایت خواهد بود.

در بخش زیر ویژگی های سرورهای هاست خارج از ایران بررسی می گردد:

هاست آلمان: نزدیکترین موقعیت به ایران نسبت به سایر مکان ها را دارد و بنابراین سرعت هاستینگ های آن قابل قبول می باشد و این در کنار آن است که سرورهای آلمانی معمولا کیفیت قابل قبولی دارند. البته سرورهای آلمانی معمولا کنترل پانل اختصاصی خود را دارند که کیفیت بسیار پایینی دارد که بهتر است هاستینگ از سرورهایی تهیه گردد که کنترل پانل هایی نظیر cpanel و plesk را در خود دارند. سرویس دهندگان آلمان با تحریم کاری ندارند و می توانید با خیال راحت از این سرویس دهندگان بودن دغدغه تحریم هاست خریداری نمایید. مشکلی که سرویس دهندگان آلمانی معمولا دارند پشتیبانی کندتر نسبت به سایر سرویس دهندگان می باشد و معمولا پشتیبانی به صورت آنلاین ندارند که این کندی در پشتیبانی و همچنین عدم تسلط به زبان انگلیسی در پشتیبانی ممکن است در میزبانی وب مشکلاتی را ببار آورد.

هاست انگلیس: بعد از هاست آلمان نزدیکترین موقعیت به ایران را دارد و بنابراین سرعت هاست قابل قبولی دارد و در کنار آن هاست های انگلیسی کیفیت قابل قبولی دارند. پشتیبانی این سرورها بسیار سریعتر نسبت به سرویس دهندگان آلمانی بوده و تسلط به زبان انگلیسی باعث ارتباط بهتر با سرور خواهد بود. تگراهاست برای مشتریان خود معمولا از این نوع سرورها تهیه می نماید و سرورهای انگلیسی همچنین جزو قانون تحریم نیستند و بنابراین می توان با خیال راحت میزبانی وب سایت را به این سرورها سپرد.

هاست آمریکا: هاست آمریکا بهترین کیفیت را نسبت به سایر هاستینگ ها دارد اما موردی که باعث می شود تگراهاست به هیچ وجه این نوع سرورها را پیشنهاد ننمایید تحریم بودن این سرورها برای ایران می باشد که در صورتی که روشن گردد مالک وب سایت ایرانی می باشد ممکن است حساب هاست شما مسدود گردد. همچنین این سرورها دورترین موقعیت نسبت به سایر سرورها را دارد و بنابراین سرعت پایین تری نسبت به سایر سرورها دارد و به هیچ وج توصیه نمی گردد.

البته موردی که در مورد سرعت هاست باید توجه داشت آن است که سرعت وب هاست فقط به نزدیک بودن سرور به کاربر مربوط نیست بلکه سرعت اینترنت سرور هاستینگ و پردازنده و رم سرور و سایر ویژگی ها نیز در سرعت وب سایت موثر است و باید به آن توجه داشت.

ادامه مطلب

توسط

admin

در

وبلاگ

تفاوت انواع کلیدهای RSA در SSL

در ابتدا اگر به طور خلاصه و ساده بخواهیم عنوان کنیم 2048 بیت RSA روش رمزنگاری نامتقارن است این روش برای تصدیق اعتبار و اطمینان از اینکه تنها گیرنده مشخص شده امکان رمزگشایی از اطلاعات دریافتی را دارد ابداع شده. در این روش برای رمزنگاری Asymmetric Encryption از 2 کلید عمومی و خصوصی استفاده می شود. اغلب طول کلید ها برای کلید رمزنگاری عمومی/خصوصی 2048 بیتی است.
رمزنگاری نامتقارن یا RSA دارای کلیدهایی با سایز های بزرگ است و هر چه این عدد بزرگتر باشد بهتر است مثلا 2048 و 4096 و به دلیل بزرگ بودن اعداد و پیچیدگی بیشتر کندتر عمل می کند باز به همین دلیل است که تنها در مرحله اولیه از آن استفاده می شود و ایجاد کلید خصوصی از این عدد کار کند و مشکلی است. هنگامی که اتصال برقرار شد، ارتباط سریعی برقرار می شود که رمزنگاری متقارن نسبتا سریع می باشد و از کلیدهای کوچکتری با سایز 128 و 256 استفاده می کند. به طور کلی، SSL از چندین الگوریتم رمز گذاری در مراحل مختلف استفاده می نماید.

کلید RSA :

RSA الگوریتمی است که به وسیله کامپیوتر های مدرن برای رمزگذاری و رمزگشایی پیام ها استفاده می شود. این یک الگوریتم رمزنگاری نامتقارن است. نامتقارن بدان معنی است که دو کلید مختلف وجود دارد. به RSA رمزنگاری کلید عمومی نیز گفته می شود، زیرا یکی از کلیدها را می توان به هر شخصی داد و کلید دیگر باید خصوصی نگه داشته شود. کلید RSA با تعداد 2048 بیت به منظور تایید هویت یا امضا استفاده می شود و تضمین می کند که تنها یک دریافت کنندۀ در نظر گرفته شده، می تواند به اطلاعات ارسالی یا رمزگذاری شده دسترسی داشته باشد. این کلید تشکیل شده است از دو قطعه، یکی کلید عمومی و دیگری کلید خصوصی، که در واقع این دو کلید به یکدیگر وابسته هستند.

2048 بیت درباره کلید جفت شده RSA است :

کلیدهای RSA شامل یک عدد صحیح بزرگ و یک کلید 2048 بیتی است، این کلید عدد صحیحی بزرگتر از 2 به توان 2047 و کوچکتر از 2 به توان 2048 می باشد.

256 بیت درباره SSL است :

در SSL، کلید سرور تنها به منظور انتقال یک کلید 256 بیتی تصادفی استفاده می شود. به طور کلی مشتری کلید 256 بیتی تصادفی را تولید می کند و آن را با کلید عمومی RSA سروری که در گواهی سروری و یک کلید 2048 بیتی است، رمزگذاری می کند و نتیجه را به سرور ارسال می نماید. سرور از کلید خصوصی RSA به منظور معکوس عمل کردن عملیات استفاده می کند. بنابراین کلید 256 بیتی انتخاب شده توسط مشتری بدست می آید. پس از آن، مشتری و سرور از کلید 256 بیتی به منظور انجام رمزنگاری متقارن و بررسی های نهایی استفاده می کند و دیگر از کلید RSA برای برقراری اتصال استفاده نخواهد شد.

بهترین سایز کلید RSA چیست؟

OpenSSL بصورت پیشفرض از کلید 2048 بیتی استفاده می کند.
سیستم عامل ویندوز از شما می خواهد که دقیقا انتخاب کنید سایز مورد نظر شما چیست؟
اگر می خواهید یک گواهینامه امنیتی با آدرس سبز رنگ EV داشته باشید می بایست حتما سایز کلید حداقل 2048 باشد.

به چه دلیل لازم است در خصوص کلید های 4096 اطلاعات بیشتری داشته باشید؟

اکثر توسعه دهندگان آنلاین مثل GitHub, Stripe, nmp و Mozilla از کلید های 2048 بیتی برای گواهینامه های امنیتی EV خود در زمان نگارش این مقاله استفاده می کنند.
GnuPG اعتقاد دارد که کلید های 4096 بیتی غیر ضروری هستند.
اما SSL Labs برای اعطای امتیاز 100% به شما، از شما می خواهد که کلید 4096 بیتی داشته باشید.

حتما در جریان هستید که با داشتن یک کلید 4096 بیتی:

قدرت کدگذاری شما افزایش می یابد.
ارتباط اولیه (Handshake) گواهینامه امنیتی شما به ازای هر ارتباط کندتر خواهد بود.
میزان مصرف CPU در زمان Handshake بیشتر خواهد بود.

اما ممکن است از تاثیرات دقیق هر یک از موارد فوق بی اطلاع باشید، هم اکنون با شما این موارد را بررسی می کنیم.

محاسبه قدرت کدگذاری
بر خلاف الگوریتم های متقارن، الگوریتم غیر متقارن RSA (متاسفانه) با افزایش یک بیت اضافه امنیت شما را دو برابر نمی کند.
کلیدهای RSA توسط موسسه ملی استاندارد و تکنولوژی محاسبه شده اند به این صورت که یک کلید 2048 بیتی RSA معدل با یک کلید 112 بیتی متقارن همتراز می باشد.
به این صورت که امکان هک کردن یک کلید با شرایط فوق به میزان 2 به توان 112 از نظر تئوری امکان پذیر است.
تصویر زیر یک نمونه محاسباتی قدرت کدگذاری کلید ها را به شما نشان می دهد:

مقایسه میزان مصرف CPU

یک کلید بزرگتر به معنای زمان بیشتر از نظر ارتباط اولیه با وب سایت شما از نظر کاربران می باشد. در سیستم عامل های Mac و Linux با دستور ساده openssl speed rsa می توانید محاسبات زیر را بررسی کنید:

sign verify sign/s verify/s
rsa 512 bits 0.000210s 0.000014s 4772.1 69667.5
rsa 1024 bits 0.000727s 0.000035s 1375.3 28508.9
rsa 2048 bits 0.003778s 0.000092s 264.7 10899.5
rsa 4096 bits 0.022637s 0.000305s 44.2 3275.4

مشاهده این آمار کاملا گویای این است که میزان مصرف CPU در مقایسه یک کلید 2048 بیتی با یک کلید 4096 بیتی کاملا محسوس است.
به یاد داشته باشید که این ارتباط اولیه خیلی کوتاه است، بعد از به توافق رسیدن مرورگر و سرور در خصوص ارتباط کلید، از یک الگوریتم متقارن مثل AES بهره خواهند برد.

مقایسه ارتباط اولیه مرورگرها:
شما می توانید یک مقایسه عملی را با تعریف دو کلید 2048 و 4096 بیتی بر روی یک سرور انجام دهید و نتایج را همانطور که ما در مرورگر Chrome بررسی کرده ایم مشاهده کنید:

ما 5 تست با هر دو سایز کلید انجام دادیم و هر بار مرورگر را باز و بسته کردیم تا کلید حذف شود ونتیجه اینکه:

میانگین زمان Handshake برای کلید 2048 بیتی 50 میلی ثانیه
میانگین زمان Handshake برای کلید 4096 بیتی 76 میلی ثانیه

میزان زمان اضافه شده در کلید 4096 بیتی قطعا محسوس است با این حال این ارتباط کماکان سریع است.

گوگل انتظار دارد که صفحات شما در کمتر از 100 میلی ثانیه محاسبه شوند، آمازون معتقد است هر 100 میلی ثانیه اضافه تر باعث کاهش فروش خواهد شد! اگر سایت شما بر مبنای HTTPS باشد هیچ یک از محتوای شما نمایش داده نخواهند شد مگر اینکه این Handshake انجام شده باشد.
اما اینکه 25 میلی ثانیه – 25 هزارم یک ثانیه برای شما تاثیر گذار است یا خیر کاملا به وب سایت شما بستگی دارد. بسیاری از وب سایت ها – همچنین وب سایت زاگریو – بهینه سازی های بسیاری را قبل از در نظر گرفتن این میزان زمان نیاز دارد به همین دلیل این موضوع باعث مشکل برای ما نمی شود.
این تست را ما بعدا بر روی یک موبایل ضعیف تر از نظر پردازشی انجام خواهیم داد.

نگرانی در خصوص سازگاری کلیدهای 4096 بیتی
باید نظر داشته باشید که سرویس هایی مثل Amazon CloudFront فقط از کلید های 2048 بیتی پشتیبانی می کنند. همچنین Cisco IOS XE در نسخه های قدیمی تر از 2.4 و Cisco IOS قبل از 15.1(1)T از کلید های 4096 بیتی پشتیبانی نمی کنند.

خلاصه:
به نظر ما – میزبانی زاگریو – همانطور که در ابتدا توضیح داده شد انتخاب شما قطعا باید حداقل یک کلید 2048 بیتی باشد. گسترش دهندگان OpenSSL, Microsoft و تمامی مرورگر ها اکیدا توصیه می کنند که حداقل از کلید 2048 بیتی استفاده کنید.
آیا می خواهید کماکان از یک کلید 4096 بیتی استفاده کنید؟ این آمار را در نظر داشته باشید:

یک کلید 4096 بیتی به نسبت یک کلید 2048 بیتی قدرت امنیت شما را تا حد منطقی ای افزایش می دهد.
میزان مصرف CPU شما در زمان ارتباط اولیه توسط یک کلید 4096 بیتی به شدت افزایش پیدا خواهد کرد.
مرورگر ها در اثر تبادل یک کلید با سایز بیشتر کمی بیشتر زمان خواهند برد و سایت شما کمی کندتر خواهد شد.

ادامه مطلب

توسط

admin

در

وبلاگ

WHMCS 7 چیست و قابلیت های آن

WHMCS چیست ؟ – whmcs یا WHMCompleteSolution مخفف کلمه web hosting management complete solution به معنای “راه حلی برای مدیریت کامل میزبانی وب ” می باشد

در واقع یک سیستم حسابداری بسیار پیشرفته و دقیق به همراه ماژول های مورد نیاز جهت راه اندازی یک هاستینگ قدرتمند می باشد از جمله امکانات این سیستم در اختیارکاربران و مدیران قرار می دهد می توان به قابلیت عضویت و مدیریت کاربران, سیستم پشتیبانی و تیکتینگ, سیستم حسابداری پیشرفته, امکان پرداخت آنلاین, امکان متصل شدن به کنترل پنل های مختلف وب سایت مانند سی پنل, دایرکت ادمین, قابلیت ثبت و تمدید دامنه, پشتیبانی از چندین زبان دنیا, سیستم گزارش گیری پیشرفته و … اشاره کرد.

قابلیت های Whmcs7 ؟؟؟

1- آپدیت خودکار / WHMCS Auto Updater

در WHMCS 7.0 بروز رسانی ها فقط با یک کلیک میتوانید به جدیدترین نسخه ارتقا دهید ، این بخش شاید مهمترین امکان این ورژن باشه که بسیار کاربردی و مفید خواهد بود. همراه با به روز رسانی های جدید، راه های آسان تر برای سفارشی کردن سرور WHOIS، کشورها و … در راه است که می تواند خیال راحت از طریق به روز رسانی خودکار داشت.

دقت داشته باشید هنگامی که می خواهید بروزرسانی خودکار انجام دهید باید قبل از بروز رسانی حتما فایل های زبان و قالب های خود بکاپ داشته باشید که بتوانید در اخر به حالت قبل برگردانید در غیر اینصورت فایل های زبان و قالب شما به نسخه پیش فرض سیستم بروزرسانی خواهد شد.

2- Spotlight TLDs

با Spotlight TLDs که اولین بار در این سیستم اضافه شده است میتوانید 8 دامنه ای که بیشترین ثبت شده در بین کاربران خواهد بود را به نمایش دهید. با این کار کاربران شما بیشتر تمایل به ثبت پسوند های پرطرفدار خواهند شد.

3 – PayPal Integration Optimisations

کاهش تعداد مراحل مورد نیاز توسط کاربران برای تکمیل پرداخت، در فرم ورود پی پال همراه با جزئیات خرید برشمرد که در تجربه پی پال پرداخت برای به حداقل رساندن عدم اطمینان خریدار و افزایش اعتماد به نفس نمایش داده شود.

4- آسان تر شدن پیکربندی محصولات / Simple Product Configuration

برای کانفیگ محصولات به روشی ساده تر از قبل خواهد بود که از کنترل پنل های cPanel ، DirectAdmin و Plesk پشتیبانی میکند که از جمله ویژگی های جدید این امکان اضافه شدن امکان کشیدن و رها کردن (dropdown) بسته ها می باشد.

5- راه اندازی و نصب سریع بصورت ویزارد / Quick Start Setup Wizard

اگر شما از کاربران جدید استفاده کننده از whmcs هستید این امکان مخصوص شماست. با این امکان یک سیر در کل سیستم انجام خواهید داد و هر قسمت از سیستم نیاز به کانفیگ دارد به شما نمایش داده خواهد شد و میتوانید تغییرات و کانفیگ های خود را انجام دهید. سیستم راهنمای شماست!

6- سازگاری با نسخه PHP 7.0

در این ورژن سیستم کاملا با نسخه 7 php سازگار خواهد بود و میتوانید در هاست خود از نسخه 7 پی اچ پی استفاده کنید نسخه ای که جدیدترین نسخه php بوده و از امنیت بسیار بالایی برخوردار است. البته قابل ذکر است که همچنان نسخه php ورژن 5.6 هم با این اسکریپت سازگار خواهد بود اما سایر نسخه های همچون 5.5 و 5.4 و 5.3 و غیره توصیه نمیشوند! این نسخه ها علاوه بر ناسازگاری احتمالی از امنیت کمتری برخوردار بوده و حتی توسط php پشتیبانی هم نخواهند شد. پشتیبانی نشدن این نسخه ها نشانه ای از امنیت پاییین خواهد بود چرا که در صورت شناسایی باگ در این نسخه ها نسخه پچ امنیتی ارائه نخواهد شد.

ادامه مطلب

توسط

admin

در

وبلاگ

مفهوم MongoDB و ویژگی های آن

مانگودی‌بی یک پایگاه داده‌های سند-گرای متن‌باز، کارا، مقیاس‌پذیر، بدون نیاز به طرح‌بندی اولیه نوشته شده در زبان برنامه‌نویسی سی++ است.

هدف مانگودی‌بی پرکردن فاصلهٔ ذخیره‌بندی‌های کلید/مقداری—که سریع و مقیاس پذیر هستند— و سامانه‌های سنتی مدیریت پایگاه داده رابطه‌ای—که درخواست‌های غنی و عملکرد عمیقی دارند— بوده‌است. مانگودی‌بی برای رفع مشکلاتی طراحی شده که با پایگاه داده‌های رابطه‌ای به سادگی رفع نمی‌شوند؛ برای مثال اگر پایگاه داده کارسازهای زیادی را دربرگیرد.

مانگودی‌بی به جای این که مانند پایگاه های داده‌های رابطه‌ای کلاسیک داده‌ها را در جداول ذخیره کند، داده‌های ساختاریافته را در اسنادی با قالبی شبیه به جی‌سون (مانگودی‌بی این قالب را بی‌سون(BSON) می‌نامد) ذخیره‌سازی می کند، و بدین ترتیب یکپارچه‌سازی داده‌ها را در برخی اقسام برنامه‌های کاربردی آسان‌تر و سریع‌تر می کند.

توسعه مانگودی‌بی در 10gen در سال ٢٠٠٧، هنگامی که شرکت در حال ایجاد یک بستر به عنوان سرویس مشابه با ویندوز آژور یا گوگل اپ انجین بود، آغاز شد. در سال ٢٠٠٩ مانگودی‌بی عنوان یک محصول مستقل و متن باز با مجوز آجی‌پی‌ال ارائه شد.

در ماه مارس ٢٠١٠، با شروع از نسخه ١.۴، مانگودی‌بی قابل استفاده در خط تولید شناخته شد.

ویژگی های پایگاه داده MongoDB

در زیر خلاصه ای از برخی از ویژگی های اصلی آمده است:

پرس و جوهای تک کاره: مانگودی‌بی از جستجو بر اساس فیلد، پرس و جوهای بازه‌ای، و جستجوهای با عبارت منظم پشتیبانی می کند.
فهرست بندی: هر فیلدی در مانگودی‌بی قابل فهرست بندی است. فهرست های ثانویه نیز موجود هستند.
انعکاس: مانگودی‌بی از انعکاس تابع-متبوع (master-slave) پشتیبانی می کند. هر متبوعی قادر به انجام نوشتن ها و خواندن ها است. یک تابع داده ها را از متبوع رونوشت می کند و تنها برای خواندن ها و یا پشتیبانی به کار می رود. تابع ها توانایی انتخاب متبوع جدید در صورت از کار افتادن متوبع فعلی را دارند.
توازن بار: مانگودی‌بی با استفاده از بخش بندی (sharding) قابل مقیاس پذیری به صورت افقی است. شخص توسعه دهنده کلید بخش بندی را انتخاب می کند که مشخص می کند داده در یک مجموعه چگونه توزیع خواهد شد. داده بر مبنای کلید بخش بندی به بازه های مختلف تکه تکه می شود و در بخش های مختلف توزیع می شود. (هر بخش یک متبوع با یک یا چند تابع است).
ذخیره‌سازی فایل: از مانگودی‌بی می توان به عنوان یک سیستم فایل استفاده کرد و از مزایای توازن بار و انعکاس داده در چندین ماشین برای ذخیره فایل های استفاده کرد.
تجمیع: برای پردازش دسته ای داده های و عملیات تجمیع می توان از نگاشت‌کاهش استفاده کرد.
اجرای جاواسکریپت سمت سرور
مجموعه‌های دربسته

موارد استفاده و استقرار

با توجه به مقاله «موارد استفاده» در وب سایت مانگودی‌بی، مانگودی‌بی برای موارد زیر مناسب است:

بایگانی و ثبت رخداد ها
سامانه های مدیریت محتوا و سندها
تجارت الکترونیکی
بازی سازی
مساله های حجم بالا
موبایل
نگهداری داده در یک وب سایت
پروژه های که از روش های توسعه چابک استفاده می کنند
آمار و تحلیل های بلادرنگ

ادامه مطلب

«←3 4 5 6 7 → »

گروه فنی و مهندسی وس سنتر

گروه فنی و مهندسی وس سنتر با هدف ارائه خدمات انفورماتیکی شامل طراحی ، پیاده سازی و پشتیبانی طرحهای شبکه و دیتاسنتر فعالیت خود را آغاز کرد.
گروه فنی و مهندسی وی سنتر از ابتدای راه مبنای فعالیت خود را بر روی راهکارهای جامع دیتاسنتر بنا نهاد و اکنون از یک تیم با تجربه در کلیه حوزه های دیتاسنتر بهره می برد.