در این راهنما طی ۲ مرحله نکات عمومی مربوط به سیستم های مدیریت محتوا و نکات عمومی امنیت در وب مواردی را جهت افزایش امنیت و جلوگیری از هک شدن وب سایت ها خدمت شما اعلام می کنیم.
با توجه به اینکه مرحله “نکات عمومی امنیت در وب” شامل نکته های اولیه ( ولی بسیار مهم ) است و احتمالا اکثر کاربران عزیز با این موارد آشنا هستند در انتهای راهنما قرار داده شده است و ابتدا به بررسی نکات عمومی مربوط به سیستم های مدیریت محتوا مانند وردپرس جوملا و … در افزایش امنیت وب سایت می پردازیم.
نکته مهم : قبل از انجام هرگونه تغییر در وب سایت خود مانند به روز رسانی سیستم مدیریت محتوا ( وردپرس و .. ) یا افزونه ها و قالب ها و تغییرات دیگر حتما از طریق سی پنل فول بک آپ تهیه و دانلود کنید تا در صورت بروز مشکل قابل بازیابی باشد.
نکات عمومی مربوط به سیستم های مدیریت محتوا یا CMS :
۱ – همیشه سیستم مدیریت محتوای سایت خود را به روز کنید ( مهمترین و کلیدی ترین مورد )
بدون شک مهمترین و کلیدی ترین نکته برای افزایش امنیت وب سایت شما هنگام استفاده از CMS ها یا سیستم های مدیریت محتوا مانند وردپرس ، جوملا و … به روز رسانی همیشگی و سریع آن هاست.
بدون مبالغه خدمت شما اعلام می کنیم : در صورت عدم به روز رسانی به آخرین نسخه در سریعترین زمان پس از انتشار نسخه های جدید، شما وب سایت خود را جهت نفوذ هکرها آماده کرده اید و به عبارتی درب ورود به وب سایت ، محیط کسب و کار یا خانه مجازی خود را برای افراد خرابکار یا هکر ها باز گذاشته اید !
چرا این موضوع و به روز رسانی سریع سیستم های مدیریت محتوا اینقدر مهم است ؟
سیستم های مدیریت محتوا مانند وردپرس و … به صورت متن باز منتشر می شوند و تمامی افراد در تمام دنیا به کدهای این سیستم ها دسترسی کامل دارند. با توجه به این موضوع و این نکته که حفره های امنیتی و فنی جزو جدانشدنی از دنیای برنامه نویسی است و برنامه نویسان محترم این سیستم ها هم انسان و جائز الخطا هستند طبیعتا ! حفره های امنیتی همیشه وجود خواهند داشت. مخصوصا در سیستم های رایگان و متن باز. البته این سیستم ها همیشه قبل از انتشار بوسیله افرادی تست و مواری که مشاهده شود رفع خواهد شد چه از نظر فنی و چه از نظر امنیتی. ولی برخی موارد از دید این افراد پنهان خواهد ماند و به وسیله چشم های افراد بسیار حرفه ای و مسلط به کدنویسی کشف می شود. پس از کشف این حفره های امنیتی و عمومی شدن آن به سرعت تیم توسعه دهنده و پشتیبان بسته به روز رسانی را منتشر می کند و کاربران جهت رفع این حفره ها می بایست بسته های به روز رسانی را نصب کنند. در غیر این صورت افراد خرابکار به راحتی می توانند از طریق این حفره ها کنترل وب سایت های آسب پذیر را در دست خود بگیرند.
جهت مشاهده حفره های امنیتی که برای سیستم مدیریت محتوای وردپرس طی سال اخیر ( ۲۰۱۷ ) منتشر شده است به لینک زیر مراجعه کنید :
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/year-2017/Wordpress-Wordpress.html
همان طور که مشاهده می کنید ۴۰ حفره امنیتی طی سال جاری ( ۲۰۱۷ ) برای وردپرس منتشر شده است. و ۲۴۰ حفره امنیتی از سال ۲۰۰۴ تا کنون.
در سال ۲۰۱۷ به صورت میانگین هر ماه حدود ۴ حفره امنیتی برای وردپرس منتشر شده است.
موارد فوق فقط مربوط به هسته وردپرس هست و حفره های امنیتی قالب ها افزونه ها و … جدا هستند.
لینک کلی حفره های امنیتی و آسیب پذیری های وردپرس :
https://wpvulndb.com/wordpresses
لینک کلی حفره های امنیتی و آسیب پذیری های افزونه های وردپرس :
https://wpvulndb.com/plugins
با توجه به موارد فوق و مشاهده انتشار ماهانه و حتی روزانه ! چندین حفره و آسیب پذیری برای وردپرس، اکنون شما نیز حتما با ما هم نظر هستید که عدم به روز رسانی سیستم های مدیریت محتوا، وب سایت شما را در خطر مستقیم نفوذ و هک قرار خواهد داد بدون شک ، دیر یا زود.
پس همشه وب سایت خود را به آخرین نسخه به روز رسانی کنید.
۲ – قالب ها و افزونه ها را فقط از منابع معتبر و رسمی دانلود و نصب کنید
یکی از مهمترین دلایل استفاده از سیستم های مدیریت محتوا یا CMS امکان گسترش و سفارشی سازی آن ها به وسیله قالب ها و افزونه هاست. این افزونه ها و قالب ها همان طور که می توانند بسیار کارآمد و مفید باشند همان طور هم می توانند بسیار خطرناک باشند !
همیشه افزونه ها و قالب های سیستم مدیریت محتوای خود را برای مثال وردپرس از منبع معتبر و رسمی آن دانلود و نصب کنید مانند : https://wordpress.org/themes/ و https://wordpress.org/plugins/ و موارد مشابه برای سیستم های دیگر. به هیچ عنوان از سایت های اسکریپت ، سایت های نال و کرک و … افزونه و قالب ها را دانلود و نصب نکنید که معمولا شامل بدافزار خواهند بود.
دانلود و نصب افزونه و قالب از منابع رسمی هم همیشه امن نیست ! به هر حال این افزونه ها و قالب ها به وسیله افراد متفرقه برنامه نویسی شده و در اختیار کاربران به صورت رایگان یا تجاری قرار گرفته است. سعی کنید با بررسی تعداد دانلود و استفاده کاربران دیگر و همچنین بررسی نظرات آن ها اطمینان یابید که افزونه یا قالب مدنظر و برنامه نویس آن از اعتبار مناسبی برخوردار باشد.
توجه (مهم ) : با توجه به روش نسبتا ساده طراحی قالب و افزونه برای وردپرس در حال حاضر چه در ایران و چه جهان ، برنامه نویس های آماتور و غیر حرفه ای که متاسفانه اهمیتی به نکات امنیتی برنامه نویسی خود ندارند جهت کسب درآمد شروع به طراحی قالب های وردپرس یا حتی تغییر قالب های دیگر و فروش به نام خود ! کرده و اکثرا با قیمت های اندک و برخی حتی با قیمت زیاد ! در فروشگاه ها و سایت های خود یا فروشگاه های مخصوص قالب ها به فروش می رسانند. به هیچ عنوان تصور نکنید خرید یک قالب یا افزونه از یک برنامه نویس ناشناس ایرانی یا حتی جهانی بدون مشکل امنیتی خواهد بود ! پس همیشه از محصولات افراد شناخته شده و مطمئن خرید کنید. سپس همیشه به روز رسانی های قالب یا افزونه را از شخص / شرکت توسعه دهنده آن دریافت و نصب کنید.
۳ – قالب ها و افزونه ها را در اسرع وقت به روز کنید
این مورد از نظر اهمیت فرق چندانی با مورد اول و به روز رسانی خود سیستم مدیریت محتوا ندارد و به همان اندازه مهم است.
همان طور که در مورد اول خدمت شما اعلام شد و مشاهده کردید خود سیستم های مدیریت محتوا مانند وردپرس و … با تیم گسترده و جهانی پشتیبانی و برنامه نویسی ممکن هست دارای حفره های امنیتی خطرناک و متعددی باشند ( ۴۰ حفره در یکسال ) پس طبیعتا قالب ها و افزونه هایی که برای این سیستم های مدیریت محتوا به وسیله افراد متفرقه و معمولا آماتور یا در مواردی حرفه ای تر ( پلاگین های تجاری ) برنامه نویسی می شود اگر بیشتر از خود هسته دارای حفره های امنیتی نباشد بدون شک کمتر هم نخواهد بود ! و لازم هست شما در اسرع وقت پس از منتشر شدن نسخه جدید برای قالب یا افزونه سریعا آن را به روز کنید. در غیر این صورت وب سایت شما آماده نفوذ افراد خرابکار خواهد بود بدون تردید ، دیر یا زود !
برای مثال لینک زیر را جهت مشاهده حفره های امنیتی افزونه Sniplets Plugin مشاهده کنید :
https://www.cvedetails.com/product/13450/Wordpress-Sniplets-Plugin.html?vendor_id=2337
پس همیشه افزونه ها و قالب های وب سایت خود را در اسرع وقت به آخرین نسخه به روز کنید.
۴ – برای پوشه مدیریت سیستم مدیریت محتوای خود پسورد قرار دهید ( از طریق cPanel بخش Password Protected )
با انجام مورد فوق حتی در زمانی که افراد خرابکار یا هکر پسورد ورود به مدیریت محتوای شما را به هر طریقی در اختیار داشته باشند امکان ورود به سیستم را نخواهند داشت.
۵ – تنظیمات فایل Config سیستم مدیریت محتوا
اکثر سیستم های مدیریت محتوا دارای یک فایل تنظیمات هستند که اطلاعات حساس مانند رمز عبور دیتابیس در آن قرار دارد. از طریق کد HTACCESS در هاست های لینوکس دسترسی به این فایل خارج از هاست را ممنوع کنید برای مثال برای سیستم مدیریت محتوای وردپرس :
همچنین سطح دسترسی یا Permition فایل تنظیمات را بر روی ۶۴۰ تنظیم کنید.
۶ – از پسورد های ترکیبی و پیچیده استفاده کنید
برای تمام بخش هایی که پسورد لازم دارد مانند پسورد مدیریت و غیره از پسورد هایی با حداقل ۸ کاراکتر شامل حروف بزرگ و کوچک ، اعداد و کاراکتر استفاده کنید مانند پسورد زیر :
Ha@4m4678!Z
=================================================
نکات عمومی امنیت در وب :
۱-iز کلمات عبور ساده استفاده نکنید به عنوان مثال تاریخ تولد یا موارد شبیه که قابل حدس باشد و به هیچ عنوان از کلمات عبور یکسان در وب سایت ها یا ایمیل های مختلف استفاده نکنید.
۲-کلمات عبور را حداقل ۶ کاراکتری انتخاب کنید و هر چه تعداد کاراکتر ها بیشتر باشد امکان حدس و شکستن آن کمتر است
۳-کلمات عبور را به صورت ترکیبی از اعداد , حروف و علامت ها به صورت کوچک و بزرگ انتخاب کنید به عنوان مثال wD&GRWs~DM%G کلمه عبور مناسبی می باشد.
۴-کلمات عبور را در فایل های غیر قابل دسترس و محود شده نگهداری کنید و به هیچ عنوان در دسترس عموم نباشد.
۵-همیشه برای ورود به سایت های خود از کامپیوتر شخصی خود استفاده کنبد و به هیچ عنوان توسط کامپیوتر های عمومی مانند کافی نت , هتل , …. یا کامپیوتر های افراد دیگر به وب سایت خود وارد نشوید و کلمه عبور خود را استفاده نکنید چون به راحتی امکان شنود و جاسوسی کلمه عبور شما با نرم افزار های KeLogger هست همچنین در موارد ضروری به هیچ عنوان گزینه به یاد سپردن یا ذخیره کلمه عبور را علامت نزنید و پس از اتمام کار History و Cookie های مرورگر را حذف نمایید (باز هم امکان شنود و جاسوسی اطلاعات شما هست ولی انجام این کار تا حدودی جلوگیری می کند )
۶-به طور مرتب هر ماه کلمه عبور خود را تغییر دهید و با کلمه عبور قدرتمند دیگری جایگزین کنید.
۷-به هیچ کس اعتماد نکنید ! اولین افرادی که مایل به هک کردن و نفوذ به سایت شما هستند دوستان , همکلاسی ها , فامیل و برادر و خواهر شما هستند این نکته را همیشه به یاد داشته باشید و به هیچ کس اعتماد نکنید !
۸-در صورتی که کلمه عبور خود را برای رفع مشکلاتی به مدیر فنی سایت یا مدیریت هاست یا غیره اعلام کردید پس از اتمام کار حتماً کلمه عبور را تغییر دهید.
۹-همیشه سعی کنید برای مدیریت وب سایت های خود از سیستم عامل جداگانه با اعمال موارد امنیتی کامل استفاده کنید به عنوان مثال :
الف : همیشه سیستم عامل را به روز نگه دارید ب : از آنتی ویروس ها و ضد نرم افزار های جاسوسی یا Anti Spyware ها با آخرین به روز رسانی ها استفاده کنید (آنتی ویروس پیشنهای NOD32 یا Kaspersky به آخرین به رو رسانی ها و بانک اطلاعاتی ویروس ها ) پ : حتماً از دیوار های آتش یا فایروال های قدرتمند و به روز شده استفاده کنید نرم افزار پیشنهادی : ZoneAlarm ت : برای ورود به سیستم عامل کلمه عبور قرار دهید ث : به هیچ عنوان نرم افزار های ناشناس و رایگان شناخته نشده همچنین کرک ها و Keygen های نرم افزار ها را بر روی سیستم عامل نصب نکنید.
۱۰-حتی الامکان ااز فایل های ناشناس موجود در CD ها و بسته های نرم افزاری استفاده نکنید چون ممکن است به بدافزار های جاسوسی آلوده باشند.
۱۱-از سیستم های ارتباط آنلاین در صورت امکان استفاده نکنید , در صورت استفاده نیز به هیچ عنوان از افراد ناشناس یا حتی دوستان و غیره فایلی توسط این نرم افزار ها دریافت نکنید حتی تصاویر چون ممکن است آلوده به بدافزار های جاسوسی باشد.
۱۲-در وب سایت ها و وبلاگ ها به هیچ عنوان رو تبلیغات مشکوک کلیک نکنید تبلیغاتی شبیه : “سیستم شما دچار آلودگی شده است برای رفع آلودگی اینجا کلیک کنید” یا “شما برنده ۲۰۰ دلار جایزه به عنوان ۹۹۹۹۹۹۹۹ کاربر بازدید کننده شدید ” و از این قبیل آگهی ها ….
۱۳-از باز کردن ایمیل های ناشناس خود داری فرمایید به خصوص اگر حاوی فایل پیوست یا تصویر باشد به هیچ عنوان فایل پیوست شده و تصاویر را دانلود و اجرا نکنید.
۱۴-همیشه آدرس پست الکترونیک خود در وب سایت هایتان را جدا از آدر س های پست الکترونیک عمومی خود یا ID هایی که برای چت یا غیره استفاده می کنید وارد کنید.
۱۵- در اکثر سیستم های وب سایت گزینه ای با عنوان فراموشی کلمه عبور وجود دارد که کلمه عبور شما را به ایمیل شخصی شما ارسال می کند در صورت استفاده از این گزینه حتماً بعد از ورود به سایت کلمه عبور خود را تغییر دهید و نامه الکترونیک حاوی کلمه عبور را حذف کنید.
۱۶- به هیچ عنوان از آدرس ایمیلی که در وب سایت هایتان به عنوان آدرس ایمیل مدیریت استفاده کرده اید برای ثبت نام در وب سایت های دیگر استفاده نکنید.
۱۷-به هیچ عنوان از پروکسی ها یا ف ی ا ت ر شکن های عمومی برای ورود به سایت خود استفاده نکنید.
۱۸-حدالامکان از افزودن مدیران بیشتر به وب سایت خودداری کنید و در صورت لزوم حتماً افراد قابل اطمینان را انتخاب کنید و این نکات امنیتی را به تمام مدیران گوشزد کنید.
۱۹-به هیچ عنوان به مدیران وب سایت سطح دسترسی کامل که مجاز به ویرایش اطلاعات شما باشد ندهید و همیشه سطح دسترسی لازم و حداقل سطح دسترسی های مورد نیاز را به مدیران سایت بدهید.
۲۰-از شرکت های معتبر و حرفه ای هاست و دامنه تهیه کنید شما باید بدانید که مدیریت هاستینگ شما به تمام فایل ها و بانک اطلاعاتی سایت شما دسترسی دارد و اگر از هاستینگ های معتبر و حرفه ای هاست تهیه نکنید امکان سوء استفاده از وب سایت شما و هک کردن آن به راحتی وجود دارد.