امنیت

افزایش امنیت سایت و هاست

جلوگیری از حملات به سایت و ارسال ایمیل اسپم

یکی از اولین قدم ها برای راه اندازی یک سایت توجه به موارد امنیتی جهت جلوگیری از هک شدن و حملات به سایت می باشد، ضعف امنیتی در اسکریپت، توجه نکردن به موارد جزئی مانند قرار دادن کدکپچا در فرمهای مختلف موجود در سایت، استفاده از اسکریپت های نال شده و … می توانند از عوامل حمله سایت و هک شدن سایت می باشند.
تقریبا تمامی دیتاسنترهای مشهور جهان با مشکل حمله و هک شدن سرویس های کاربران خود مواجه هستند و سعی می کنند از طریق ارائه آموزش های مختلف سطح دانش کاربران خود را جهت رفع مشکلات امنیتی هاست و اسکریپت بالا ببرند.
در ادامه راه کارهایی را برای جلوگیری از هک شدن و حملات به سایت ارائه می کنیم.

 

1 _ استفاده از افزونه CAPTCHA
اگر از سیستم مدیریت محتوای وردپرس استفاده می کنید پیشنهاد می شود از افزونه Google Captcha جهت قرار دادن کد امنیتی در فرم لاگین، فرم دیدگاه ها و فرم تماس با ما و … در سایت استفاده کنید. این افزونه از api گوگل برای دریافت کدهای امنیتی استفاده می کند. افزونه فوق هم اکنون در مخزن وردپرس بصورت رایگان در دسترس است، آموزش های مربوط به کار با این افزونه در سایت های پشتیبانی وردپرس موجود است.
افزونه ذکر شده صرفا یک پیشنهاد است و می توانید از افزونه های دیگری نیز که در مخزن وردپرس ارائه شده است استفاده کنید، برای مثال افزونه Really Simple CAPTCHA نیز یکی از افزونه های پرطرفدار در بین کاربران وردپرس می باشد.
کاربرانی که از جوملا برای راه اندازی سایت استفاده می کنند می توانند پلاگین ReCaptcha را در اسکریپت خود فعال نمایند.
نکته: در صورتیکه با نحوه نصب و انجام تنظیمات افزونه CAPTCHA آشنایی ندارید می توانید با همکاران ما در بخش طراحی و برنامه نویسی ( میهن وب هاست دیزاین ) از طریق سایت mihanwebdesign.com در ارتباط باشید.
توجه: قبل از هر گونه تغییر در اسکریپت خود از هاست خود بکاپ تهیه کنید

 

2 _ غیرفعال کردن ارسال ایمیل از طریق کرون جاب
ارسال ایمیل اسپم به دلیل اجرای دستورات کرون جاب یکی از مشکلاتی است که کاربران همواره با آن درگیر بوده اند و در اکثر موارد اطلاعی از این مورد ندارند، این مورد زمانی مشکل ساز می شود که ارسال ایمیل از هاست با مشکل ارسال شده است و کاربر نیز عنوان می کند تعداد ایمیل زیادی از هاست ارسال نشده است، اما بعد از بررسی هاست توسط پشتیبان مشخص می شود در بخش کرون جاب هاست دستوری تعریف شده است و برای مثال هر دقیقه ارسال می شود، بعد از هر بار اجرا شدن کرون نیز یک ایمیل اطلاع رسانی ارسال می گردد، بعد از مدتی نیز تعداد ارسال بالا رفته و باعث بلاک شدن سرویس ایمیل کاربر و اسپم شدن آیپی ارسال ایمیل در سرویس دهنده های مختلف می شود. یک روش ساده برای رفع این مشکل وجود دارد، کافیست در انتهای دستور کرون خود کد >/dev/null 2>&1 را وارد نمائید تا بعد از اجرای کرون جاب در هاست ایمیلی از هاست ارسال نگردد.

 

3 _ غیرفعال کردن XMLRPC در وردپرس
XMLRPC یک پروتکل فراخوانی دستورها از راه دور است که با اکس‌ام‌ال و با استفاده از مکانیسم انتقالی اچ‌تی‌تی‌پی اطلاعات را منتقل می‌کند. ( ویکی پدیا )
XMLRPC به دلایل مشکلات امنیتی که ممکن است برای سایت و هاست ایجاد کند هم اکنون دیگر کاربردی ندارد و به جای آن از نسخه بهبود یافته آن سعنی SOAP استفاده می شود. در حال حاضر فایل XMLRPC در بسته نصبی وردپرس وجود دارد و کاربران می توانند با حذف و یا تغییر نام این فایل مشکل امنیتی مربوط به آن را رفع نمائید.
اگر تمایل به حذف و یا تغییر نام این فایل ندارید می توانید دستور زیر را در فایل .htaccess قرار دهید تا امکان دسترسی به این فایل از راه دور وجود نداشته باشد:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

 

4 _ همه چیز را بروزرسانی کنید
هر نسخه جدید وردپرس که ارائه می شود شامل مواردی می باشد که آسیب پذیری های موجود در نسخه قبلی وردپرس را رفع می کند، در صورتیکه وردپرس خود را آپدیت نکرده اید ، سایت شما در معرض حمله هکرها قرار دارد و هر لحظه ممکن است سایت شما هک شود. بسیاری از هکرها عمدتا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “ لطفا به روز رسانی کنید ” چشم پوشی نکنید.
این بروزرسانی در مورد پلاگین ها و پوسته ها نیز صادق است و همواره باید به جدیدترین نسخه آپدیت شوند.

 

5 _ از پسوردهای پیچیده استفاده کنید
پیشنهاد می شود همواره از پسوردهایی شامل اعداد ، حروف و کارکترهای مجاز استفاده کنید ، در صورتی که نگران فراموش کردن پسوردهای خود هستید میتوانید از نرم افزار keepass جهت نگهداری پسورد استفاده کنید.
جهت ایجاد پسوردهای پیچیده می توانید از سایت passwordsgenerator.net استفاده کنید.

 

6 _ سعی کنید از پوسته های و افزونه های رایگان استفاده نکنید
از پوسته ها و افزونه های رایگان که توسط سایت های نامعتبر منتشر می شوند استفاده نکنید و سعی کنید حتی المکان نسخه اصلی پوسته ها و افزونه ها را خریداری و استفاده کنید ، در بیشتر قالب ها و افزونه های رایگان کدهای مخربی وجود دارد که هکرها براحتی می توانند با استفاده آنها به سایت شما نفوذ کنند. همچنین در صورتی که امکان خرید نسخه اصلی پوسته و پلاگین را ندارید می توانید از سایت های معتبر پوسته ها و افزونه های رایگان را دریافت کنید. مخزن وردپرس نیز منبع امنی برای دریافت افزونه های موردنیاز شما می باشد.
توصیه می شود افزونه ها و پوسته هایی که از آنها استفاده نمی کنید را حذف نمایید.

 

7 _ استفاده از افزونه های فایروال و امنیتی
استفاده از افزونه های امنیتی و فایروال می تواند بسیاری از مواردی که قبلا به آنها اشاره شد را رفع نماید پنل مدیریت سایت شما را در مقابل حملات و نفوذ مقاوم کند.
از افزونه های امنیتی وردپرس می تواند به Wordfence – iThemes Security را نام برد.
همچنین اگر از جوملا استفاده می کنید پیشنهاد می شود افزونه rsfirewall را نصب و فعال نمائید.
توجه: قبل از هر گونه تغییر در اسکریپت خود از هاست خود بکاپ تهیه کنید

یک دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا