امروز با قسمت اول امنیت در وردپرس در خدمت شما هستیم.
تصمیم گرفتیم مقاله کاملی پیرامون امنیت در وردپرس منتشر کنیم تا راهنمای کاملی برای دوست داران وردپرس قابل دسترس باشد.
اولین و مهمترین موضوع قبل ازهرگونه تنظیمات امنیتی، موضوع بکاپ است، همیشه همیشه همیشه باید از اطلاعات خود بصورت مداوم بک آپ گیری کنیم، گاهی تنها گزینه نجات بخش بکاپ است پس اگر به بکاپ گیری منظم توجه نمیکنید دیر یا زود باید منتظر خبرهای بدی باشید.
اگر هاست اشتراکی دارید از سرویس دهنده خود بپرسید بک آپ گیری به چه صورت و در چه بازه هایی انجام میشود. سعی کنید بصورت مداوم از طریق کنترل پنل شخصا بک آپ گیری کنید، شاید سوالی که برای شما مطرح شود این باشد که فضای هاست من محدود است و نمیتوانم بک آپ های زیادی نگهداری کنم! بله اگر فضای هاست شما محدود است نگهداری اطلاعات بروی هاست سخت میشود، گزینه جایگزین دانلود کردن بک آپ بروی سیستم شخصی است و یا راهکار بهتر استفاده از یک فضای پشتیبان که بک آپ ها را در آن نگهداری کنید. اگر در انتقال بک آپ ها به فضای پشتیبان مشکل دارید از پشتیبان هاست خود بخواهید تا این کار را برای شما انجام دهد. اگر هیچ کدام از موارد بالا امکان پذیر نبود سعی کنید حتما از دیتابیس سایت بک آپ بگیرید، معمولا دیتابیس ها کم حجم هستند و مشکلی در بکاپ گیری و دانلود ندارند.
یکی از دغدغه های همیشگی کاربران این است که چگونه میشود از اسپم شدن ایمیل های ارسالی از سرور و سایت جلوگیری کرد. بسیار مهم است ایمیل های ارسالی به کاربران به پوشه spam منتقل نشود، اما آیا راهی وجود دارد که جلوگیری از اسپم شدن ایمیل ها را تضمین کند؟
How to prevent cPanel mails to go into spam folder
باید بدانیم که سرویس دهنده های ایمیل مثل Gamil از مجموعه گسترده ای از قوانین و روال ها برای تشخیص ارسال اسپم استفاده میکنند، مانند اعتبار و پیشینه IP، محتوا و ساختار پیام، SMTP سازگار با RFC، بازخورد کاربر ایمیل و … است.
واقعا هیچ راه تضمین کننده ای برای این مشکل وجود ندارد اما روش هایی را با هم بررسی میکنیم که با انجام آنها احتمال اسپم شدن ایمیل های ارسالی به کمترین میزان برسد.
۱- تنظیم PTR Record
برای IP سرور حتما باید یک PTR تعریف کنیم، بهتر است PTR Record با hostname سرور مشابه باشد، برای تنظیم PTR رکورد باید از طریق دیتاسنتر یا مالک IP اقدام نمایید. برای اطمینان از تنظیم بودن PTR بروی IP سرور از سایت زیر کمک بگیرید:
بسیاری از سرویس دهندگان ایمیل PTR رکورد را به عنوان شاخصی از یک سرور پست الکترونیکی تحت تأیید در نظر می گیرند.
۲- تنظیم SPF و DKIM
سرویس دهنده های ایمیل معمولا از مشخصات غیرواقعی در قسمت From ایمیل استفاده میکنند، سرورهای ایمیل با استفاده از سوابق DNS به نام SPF (چارچوب خط مشی فرستنده) و DKIM (دامنه شناسایی شده توسط DomainKeys) با این امر مبارزه می کنند.
برای فعال سازی SPF و DKIM از طریق Cpanel به بخش Email و قسمت Authentication مراجعه کنید. این تنظیمات امنیتی پایه را فعال می کند، اما بسیاری از کاربران نیاز به تنظیمات اضافی مانند افزودن سرور های ایمیل شرکت، ایجاد hard fail و غیره دارند. ما این کار را با استفاده از ویرایشگر پیشرفته DNS انجام می دهیم.
همیشه لیست ارسال پستی باید از SMTP استفاده کند تا authentication باعث اعتبار ارسال شود، هرگز به sendmail یا توابع نامه php / perl اعتماد نکنید.
در سرورهای اشتراکی تمام ایمیلهای سرور شما از یک IP ارسال میشوند، آدرس دامنه وب سایتها متفاوت است ولی تمام ایمیلها از یک آدرس IP ارسال میشوند.
روش های دیگری نیز میتواند این مشکل را کاهش دهد:
فعال سازی SpamAssassin در WHM برای اعمال روش های کنترل اسپم سختگیرانه را بر روی ایمیلهای خروجی cPanel به طور پیش فرض تنها ایمیل های دریافتی را به عنوان هرزنامه اسکن می کند، با فعال کردن SpamAssassin، اگر یک پست حاوی هر گونه احتمال جاسوسی توسط جیمیل، هاتمیل و غیره باشد، پست الکترونیکی ارسال نخواهد شد.
استفاده از WAF : فایروال وب برنامه های در حال اجرا را از آلودگی وب سایت و آپلود بدافزار جلوگیری میکند. بنابراین اسکریپت های هرزنامه هرگز از طریق وب سایت های آسیب پذیر به سرور نمی رسند.
تنظیم رکورد DMARC : یک هشدار اولیه از هرزنامه احتمالی در سرور می دهد و ما را قادر می سازد تا اقدامات اصلاحی قبل از اینکه IP در لیست سیاه قرار گیرد را انجام دهیم.
محتوای ارسالی/فایل html تشکیل دهندهی ایمیل، استفاده از عنوان نامناسب ایمیل و امثال آن نیز تاثیر فراوانی در این موضوع دارند.(همانطور که در قانون CAN-SPAM آمده است ، خلاف قانون است که شخصی را با عنوان موضوع خود گمراه کنید تا وی را وادار به مشاهده پیام کند)
شما از کلمات Spam Trigger اسنفاده میکنید، مانند، حیرت آور(Amazing)- چک یا حواله(Check or money order) – اینجا کلیک کنید(Click here) و …
طبق قانون CAN-SPAM ACT گمراه کردن افراد با قرار دادن اطلاعات غیرواقعی در فیلد های “از” (from)، “به”(to) ، “پاسخ به شما”(reply-to) خلاف است ماننداستفاده از موارد زیر، ایمیل از سمت رئیس جمهور – ارسال ایمیل از سمت دولت یا در پاسخ به کمک به ریشه کن کردن کرونا و ….
لینکها و پیوست هایی که در این ایمیلها وجود دارند توجه کنید، اگر محتوای ایمیل خطرناک تشخیص داده شود ایمیل spam می شود، مانند وجود Phishing در ایمیل یا پیشنهاد درخواست پول، ترساندن یا تهدید کردن کاربر
هنگامی که یک حمله DDoS رخ می دهد، نگرانی بوجود می آید. داشتن یک برنامه کاهش DDoS و پاسخ منظم و به موقع، تجارت آنلاین شما را نجات خواهد داد. مراحل زیر را برای توسعه یک برنامه کاهش DDoS برای سازمان خود دنبال کنید.
DNS قلب و روح اینترنت است. DNS مانند یک دفترچه تلفن غول پیکر برای سیستم شما میباشدکه برای پیدا و ترجمه کردن نام Host به آدرسهای IP به منظور ارتباط با سایر سیستم ها مانند وب سایت ها استفاده می شود.
امروز ما به شما نشان خواهیم داد که چگونه از حملات معمول DNS با استفاده از بهترین شیوه های عمومی محافظت کنید.
چگونه هکرها به زیرساخت DNS حمله می کنند؟
سرویس DNS یکی از محبوب ترین سرویس های اینترنتی است و در عین حال SysAdmins، DevOps و مدیران شبکه اغلب فراموش می کنند که این سرویس را امن تر کنند. تنظیمات سرور DNS که امنیت بالایی ندارند، گاهی به مشکلات واقعا جدی می انجامد، زیرا مهاجمان می توانند از این سرویس برای انجام کارهایی مانند انتقال DNS Zone ها ، تغییر تنظیمات DNS برای گزارش دادن آدرس های مختلف IP به افراد کلاهبردار، هدایت ترافیک وب و ایمیل یا راه اندازی حملات DNS amplifying خطرناک و انواع دیگر حملات استفاده کنند.
این حملات میتواند ترافیک کاربران را به سرور دیگری هدایت کند و به عنوان مثال ایمیل ها به سرور دیگری منتقل شوند. (به دلیل تغییر در آدرس MX)
بنابراین امن کردن سرویس DNS میتواند بسیار مهم باشد.
چگونه می توانم از حملات DNS جلوگیری کنم؟
بیایید با هشت نکته کلیدی برای مقاوم شدن سرویس DNS آشنا شویم:
فایروال ها ابزار مهمی هستند که می توانند به منظور حفاظت از سرورها و زیرساخت ها پیکربندی شوند. در اکوسیستم لینوکس، ابزار iptables به عنوان فایروال به طور گسترده ای استفاده می شود که با چارچوب فیلترینگ بسته netfilter هسته (kernel) سیستم عامل در ارتباط است.
در این مقاله ما در مورد چگونگی استفاده از iptables و تعامل آن با netfilter و چگونگی ارتباط اجزای مختلف فیلترینگ و سیستم mangling در کنار یکدیگر صحبت خواهیم کرد.
Netfilter Hooks
۵ قلاب یاhook برای netfilter تعریف شده است که برنامه میتواند با آن ها کار کند. هر پکتی که وارد فرایند پردازش میشود با یکی از hook ها در kernel قلاب (hook) میشود. بسته به نوع هر پکت input, output و یا forward قلابی به آن اختصاص داده میشود.
در ادامه قلاب هاییکه در پشته پروتکلی شبکه تعریف می شوند به اختصار بیان شده است:
در ادامه بخش اول افزایش امنیت سرور های لینوکسی به موارد دیگری در این زمینه آشنا خواهیم شد.
سرویس ها و پکیج های غیرضروری را نصب نکنید. تنها ماژول هایی را نصب کنید که به آن ها نیاز دارید.
اتصال SSH از طریق root را محدود نمایید، راهکار مناسب استفاده از ورود دو مرحله ای ۲-Factor می باشد. حتما root login را در سرویس ssh به حالت disable قرار دهید. میتوانید از SSH-Key Logins استفاده کنید. امن سازی ssh
از پورت های پیش فرض استفاده نکنید. برای سرویس هایی مانند ssh پورت پیش فرض ۲۲ را به پورت دیگری تغییر دهید.
فایروال سرور را تنظیم نمایید. پورت ها و دسترسی های اضافی را بلاک کنید. تنها پورت های مورد نظر را باز کنید. تنظیمات فایروال csf
دسترسی ها و پرمیژن ها را بدرستی تنظیم کنید و از دادن دسترسی هایی بیشتر از نیاز واقعی به فایل ها و مسیر ها بپرهیزید.
از هر سیستمی و هر جایی به سرور خود متصل نشوید! رمزها را بروی مرورگر یا نرم افزارها ذخیره نکنید.
از نرم افزارهای مدیریت و ذخیره پسورد مانند keepass استفاده کنید.
در صورتی که سرور شما بصورت نصب و راه اندازی شده به شما تحویل داده شد تمام پسورد های مربوط به سرور مانند root و SQL را تغییر دهید.
این روزها همه نگران امنیت سرور هستند اما واقعا با وجود تمام مشکلات، اراده ای برای استفاده از راهکارهای مناسب و یادگیری آن مشاهده نمیشود. در این مقاله سعی داریم نکات کلیدی که گاها بسیار ساده هستند اما در اغلب اوقات به آن ها توجه نمیشود را بررسی کنیم.
+ اتصال، ارتباط و انتقال رمزنگاری شده و امن
این موضوع از اهمیت بالایی برخوردار است اما همچنان نادیده گرفته میشود. هنوز هم اکثر مدیران سرور به علت راحتی کار از اتصال ها و ارتباطات غیر امن استفاده میکنند.
پیشنهادها:
– استفاده از ssh، scp، rsync و SFTP برای انتقال اطلاعات. یا با استفاده از ابزارهای sshfs و fuse می توانید فایل سیستم را در مکان مورد نظر map کنید.
– استفاده از VPN برای ایجا کانال رمزنگاری شده برای ارتباط ها
– استفاده از SSL برای وب سرور جهت ارتباط امن بین سرور و کلاینت
– تا جای ممکن است FTP، Telnet و RSH استفاده نکنید. با توجه به اینکه اطلاعات در این حالت clear Text هستند امکان sniff کردن اطلاعات وجود دارد.
– بسته ها، پکیچ ها و نرم افزارهای اضافی و بلااستفاده را نصب نکنید.
– سعی کنید سرویس های مختلف را بروی سرورها مجزا با آدرس های متفاوت ایجاد کنید. برای این کار میتوانید از مجازی سازی کمک بگیرید.
– kernel و تمام نرمافزارهای سرور را بروز نگه دارید.
– از اکستنشن های امنیتی سیستم عامل استفاده کنید. Selinux توانایی زیادی در کنترل امنیت سرور دارد اما از جایی که پیکربندی و تنظیمات آن دشوار است اغلب این ویژگی را غیرفعال میکنند! برای استفاده از این ابزارها باید مهارت لازم را داشته باشید.
استفاده از Selinux پیشنهاد میشود. کنترل دسترسی ها و مجوزها در سطوح مختلف را پیاده سازی میکند.
حملات CSRF یا XSRF، در این حمله کاربر در صفحه مدیریت سایت خود لاگین است یا مهاجم از طریق یک لینک کاربر را مجبور به ورود به مدیریت سایت میکند بدون آنکه کاربر متوجه این موضوع باشد و درنهایت به صفحه مورد نظر دسترسی خواهد یافت. این حمله از طریق کشف آدرس هایی که محتوایی را تایید و ارسال میکنند اتفاق می افتد (مانند صفحات لاگین). کدهای اجرایی میتواند از قالب یک URL source در یک تصویر ذخیره شود بصورتی که کاربر از رخداد و اجرای URL آگاهی پیدا نکند. عموما تزریق از طریق image tag در HTML یا JavaScript انجام می شود در صورتی که در سایت بصورت غیر امن (http) متصل باشیم و یا کوکی ها روی مرورگر ذخیره شده باشند این حمله با احتمال موفقیت بالاتری اجرا خواهد شد.
سرویس PayPal یک مرتبه با آسبی پذیری CSRF روبرو شده است. نمونه دیگر این مشکل در Google رخ داد، در حالی که مهاجم میتوانست اطلاعات اکانت Google کاربر را کشف کند و به اکانت قربانی دسترسی یابد.
عموما صفحات ثبت نام عمومی که با ارسال و دریافت اطلاعات طراحی شده اند بیشتر هدف این حمله قرار میگیرند و از متدهایی مانند GET یا POST میتواند استفاده کند.
راهکار رایج برای مقابله این مشکل ایجاد یک رشته کد (توکن) بصورت تصادفی که هم برای کوکی استفاده میشود و هم در آدرس ایجاد شده بصورت پنهان وجود خواهد خواهد داشت. در هنگام ارسال فرم بررسی می شود آیا CSRFToken در فرم همان CSRFToken ذخیره شده در کوکی است یا خیر و در صورت یکسان بودن اجازه اجرا و ارسال اطلاعات و یا لاگین را خواهد داد.