dizaji_saeed
August 15th, 2016, 00:09
با سلام
شاید این یه تاپیکی تکراری باشه ، ولی یه مرور خیلی کوچیک خالی از لطف نیس. درضمن ، اینجا هم که تقریبن همه استادن و ما خاک پاتون.
هر کسی شاید با خواندن فقط عناوین این نکات ، ماجرارو تا آخر بره و نیاز به توضیح اضافی نباشه. ولی توضیحات کوچیکی هم ضمیمه عناوین میکنم تا دوستایی که توی این زمینه کنجکاون و همینطور فعالیت هم دارن ، یه بهره ای هم ببرن.
درضمن ، کپی هم آزده. انقد کپی کنین تا جونتون درآد.
برای اینکه حوصله دوستای عزیزم سر نره ، بحث رو به چندین جلسه تقسیم میکنم. فدای قلب مهربون همگی
و اما بحث اصلیمون:
از میزبانی امن استفاده کنید
همه ی ارائه دهندگان خدمات میزبانی وب همسان ایجاد نشده اند و در واقع، اکانتهای آسیب پذیر میزبانی در درصد زیادی از سایت های وردپرس که از آنها استفاده کرده اند، هک شده اند.
در هنگام انتخاب ارائه دهندگان میزبانی وب، به سادگی به سراغ ارزانترین آنها نروید. تحقیقات خود راانجام دهید و مطمئن شوید که از شرکتی که به خوبی تثبیت شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید.
این کار همیشه ارزش پرداخت کمی هزینه ی اضافه تر برای آرامش ذهن شما را دارد، زیرا که می دانید سایت شما ایمن است.
همه چیز را به روز رسانی کنید
هر نسخه جدید وردپرس شامل وصله ها و تعمیراتی است که آسیب پذیری های واقعی یا بالقوه را نشان می دهد.اگر شما وب سایت خود را با آخرین نسخه وردپرس به روز رسانی نکنید، می توانید وب سایت خود را در معرض حملات قرار دهید.
بسیاری از هکرها عمدا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “لطفا به روز رسانی کنید” چشم پوشی نکنید.
همین امر درباره ی تم ها و پلاگین ها هم صدق می کند. اطمینان حاصل کنید که به محض انتشار آخرین نسخه سایت خود را به روز رسانی کنید. اگر همه چیز را به روز رسانی شده نگه دارید، کمتر امکان دارد که سایت شما هک شود.
رمز عبورتان را تقویت کنید
با توجه به infographic، حدود ۸% از وب سایت های هک شده ی وردپرس، به علت داشتن کلمات عبور ضعیف بوده است.
اگر کلمه عبور وردپرس شما چیزی مانند ‘let me in’ یا ‘abc123’ یا ‘password’ باشد (این رمز عبور ها از آنچه شما فکر می کنید، شایع تر هستند!)، باید آن را در اسرع وقت به چیز امن تری تغییر دهید.
برای یک رمز عبور از چیزی استفاده کنید که به خاطر داشتن آن آسان باشد، اما شکستن آن بسیار سخت، به شما توصیه میکنم از یک دستور العمل رمز عبور خوب استفاده کنید.
اگر احساس تنبلی می کنید، می توانید یک مدیر رمز عبور، مانند LastPass که همه ی کلمات عبور شما را به خاطر داشته باشد، استفاده کنید. اگر از این روش استفاده می کنید، مطمئن شوید که رمز عبور اصلی شما خوب و قوی است.
هرگز ازکلمه ی “admin” به عنوان نام کاربری خود استفاده نکنید
اوایل سال جاری، موجی از حملاتbrute-force بر روی وب سایت های وردپرس در سراسر وب راه اندازی شده بود، که شامل تلاش های مکرر برای ورود با استفاده از نام کاربری ‘admin’ همراه با یک سری کلمات عبور مشترک، می شد.
اگر از کلمه ی “admin” به عنوان نام کاربری خود استفاده می کنید، و رمز عبور شما به اندازه کافی قوی نیست (#۳ را ببینید) پس سایت شما در برابر حمله های مخرب، بسیار آسیب پذیر است. به شدت توصیه می شود که نام کاربری خود را به چیزی که کمتر آشکار است تغییر دهید.
تا قبل از نسخه ی ۳٫۰، نصب خودکار وردپرس، کاربری ایجاد می کرد که نام کاربری آن “admin” بود. در نسخه ۳٫۰ این بخش به روز رسانی شد، بنابراین در حال حاضر می توانید نام کاربری خود را انتخاب کنید. بسیاری از کاربرها هنوز هم از “admin” به عنوان نام کاربری استفاده می کنند زیرا که به یک نوع استاندارد تبدیل شده، و به خاطر داشتن آن آسان است. برخی از وب سایت های میزبان از اسکریپت های auto-install که هنوز هم نام کاربری ‘admin’ را به طور پیش فرض تنظیم می کنند، استفاده می کنند.
برای رفع کردن این مشکل، به سادگی یک حساب کاربری مدیر جدید برای خودتان با استفاده از یک نام کاربری مختلف، ایجاد کنید، با نام کاربری جدید وارد شوید و و حساب “admin” اصلی را حذف کنید.
اگر پست هایی دارید که توسط حساب “admin” منتشر شده اند، بعد از حذف کردن، می توانید تمام پست های قبلی را به حساب کاربری جدید خود اختصاص دهید.
نام کاربری خود را ازURL بایگانی نویسنده پنهان کنید
راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.
وردپرس به طور پیش فرض نام کاربری شما را درURL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شماjoebloggs است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/joebloggs خواهد بود.
به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها، که در اینخا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.
شاید این یه تاپیکی تکراری باشه ، ولی یه مرور خیلی کوچیک خالی از لطف نیس. درضمن ، اینجا هم که تقریبن همه استادن و ما خاک پاتون.
هر کسی شاید با خواندن فقط عناوین این نکات ، ماجرارو تا آخر بره و نیاز به توضیح اضافی نباشه. ولی توضیحات کوچیکی هم ضمیمه عناوین میکنم تا دوستایی که توی این زمینه کنجکاون و همینطور فعالیت هم دارن ، یه بهره ای هم ببرن.
درضمن ، کپی هم آزده. انقد کپی کنین تا جونتون درآد.
برای اینکه حوصله دوستای عزیزم سر نره ، بحث رو به چندین جلسه تقسیم میکنم. فدای قلب مهربون همگی
و اما بحث اصلیمون:
از میزبانی امن استفاده کنید
همه ی ارائه دهندگان خدمات میزبانی وب همسان ایجاد نشده اند و در واقع، اکانتهای آسیب پذیر میزبانی در درصد زیادی از سایت های وردپرس که از آنها استفاده کرده اند، هک شده اند.
در هنگام انتخاب ارائه دهندگان میزبانی وب، به سادگی به سراغ ارزانترین آنها نروید. تحقیقات خود راانجام دهید و مطمئن شوید که از شرکتی که به خوبی تثبیت شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید.
این کار همیشه ارزش پرداخت کمی هزینه ی اضافه تر برای آرامش ذهن شما را دارد، زیرا که می دانید سایت شما ایمن است.
همه چیز را به روز رسانی کنید
هر نسخه جدید وردپرس شامل وصله ها و تعمیراتی است که آسیب پذیری های واقعی یا بالقوه را نشان می دهد.اگر شما وب سایت خود را با آخرین نسخه وردپرس به روز رسانی نکنید، می توانید وب سایت خود را در معرض حملات قرار دهید.
بسیاری از هکرها عمدا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “لطفا به روز رسانی کنید” چشم پوشی نکنید.
همین امر درباره ی تم ها و پلاگین ها هم صدق می کند. اطمینان حاصل کنید که به محض انتشار آخرین نسخه سایت خود را به روز رسانی کنید. اگر همه چیز را به روز رسانی شده نگه دارید، کمتر امکان دارد که سایت شما هک شود.
رمز عبورتان را تقویت کنید
با توجه به infographic، حدود ۸% از وب سایت های هک شده ی وردپرس، به علت داشتن کلمات عبور ضعیف بوده است.
اگر کلمه عبور وردپرس شما چیزی مانند ‘let me in’ یا ‘abc123’ یا ‘password’ باشد (این رمز عبور ها از آنچه شما فکر می کنید، شایع تر هستند!)، باید آن را در اسرع وقت به چیز امن تری تغییر دهید.
برای یک رمز عبور از چیزی استفاده کنید که به خاطر داشتن آن آسان باشد، اما شکستن آن بسیار سخت، به شما توصیه میکنم از یک دستور العمل رمز عبور خوب استفاده کنید.
اگر احساس تنبلی می کنید، می توانید یک مدیر رمز عبور، مانند LastPass که همه ی کلمات عبور شما را به خاطر داشته باشد، استفاده کنید. اگر از این روش استفاده می کنید، مطمئن شوید که رمز عبور اصلی شما خوب و قوی است.
هرگز ازکلمه ی “admin” به عنوان نام کاربری خود استفاده نکنید
اوایل سال جاری، موجی از حملاتbrute-force بر روی وب سایت های وردپرس در سراسر وب راه اندازی شده بود، که شامل تلاش های مکرر برای ورود با استفاده از نام کاربری ‘admin’ همراه با یک سری کلمات عبور مشترک، می شد.
اگر از کلمه ی “admin” به عنوان نام کاربری خود استفاده می کنید، و رمز عبور شما به اندازه کافی قوی نیست (#۳ را ببینید) پس سایت شما در برابر حمله های مخرب، بسیار آسیب پذیر است. به شدت توصیه می شود که نام کاربری خود را به چیزی که کمتر آشکار است تغییر دهید.
تا قبل از نسخه ی ۳٫۰، نصب خودکار وردپرس، کاربری ایجاد می کرد که نام کاربری آن “admin” بود. در نسخه ۳٫۰ این بخش به روز رسانی شد، بنابراین در حال حاضر می توانید نام کاربری خود را انتخاب کنید. بسیاری از کاربرها هنوز هم از “admin” به عنوان نام کاربری استفاده می کنند زیرا که به یک نوع استاندارد تبدیل شده، و به خاطر داشتن آن آسان است. برخی از وب سایت های میزبان از اسکریپت های auto-install که هنوز هم نام کاربری ‘admin’ را به طور پیش فرض تنظیم می کنند، استفاده می کنند.
برای رفع کردن این مشکل، به سادگی یک حساب کاربری مدیر جدید برای خودتان با استفاده از یک نام کاربری مختلف، ایجاد کنید، با نام کاربری جدید وارد شوید و و حساب “admin” اصلی را حذف کنید.
اگر پست هایی دارید که توسط حساب “admin” منتشر شده اند، بعد از حذف کردن، می توانید تمام پست های قبلی را به حساب کاربری جدید خود اختصاص دهید.
نام کاربری خود را ازURL بایگانی نویسنده پنهان کنید
راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.
وردپرس به طور پیش فرض نام کاربری شما را درURL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شماjoebloggs است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/joebloggs خواهد بود.
به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها، که در اینخا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.