![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۵/۳/۱، ۰۷:۰۱ عصر
چگونه میتوان حقیقت اینکه سایت شما بر روی WordPress اجرا میشود را پنهان کرد؟
زمانی که شما دارای یک سایت هستید، امنیت همیشه حرف اول را میزند. اما، گاها به نظر میرسد که تمامی این دلهرهها کمی بیش از اندازه هستند. تمامی داستانهای ترسناکی که در مورد سایتهای بزرگی مثل eBay، Targert، Adobe، Steam و دیگران که از دزدی اطلاعاتی رنج میبردهاند، میتواند باعث ایجاد ترس اقتصادی شود.
در اینجا شاید فکر کنید، تا زمانی که چنین سایتهای بزرگی هستند، هکرها به دنبال سایتهای کوچکی مثل سایت شما نمیروند؟
متاسفانه اطلاعات بدست آمده، برعکس این حدس را به ما میگویند. سایتهای کوچک به همان اندازه سایتهای بزرگتر، قربانی هکرها هستند، که بنا به گزارشها، تقریبا نیمی از این سایتها که مبلغی بالغ بر میانگین 8700$ را شامل میشوند، مورد هک قرار میگیرند و این فقط آمار مکانهایی است که گزارشهای هک شدن خود را منتشر کردهاند. خیلی از دیگر سایتها به علت از دست ندادن مشتریها و اینکه قول حفاظت از اطلاعات شخصی را به آنها دادهاند، از انتشار گزارشهای هک، جلوگیری میکنند.
اگر به گزارشها نگاهی بیاندازید خواهید دید که روزانه دهها هزار وبسایت مورد حمله قرار میگیرند و بیشتر آنها حتی هیچگاه متوجه این عمل نمیشوند و نمیدانند که مثلا وبسایت آنها در حال پخش کدهای مخرب است.
به عنوان یک کاربر WordPress، شما در حال استفاده از یکی از امنترین سیستمهای مدیریت منابع موجود هستید. اما هیچ CMSـی بطور 100% شکستناپذیر نیست، و هکرها به همان سرعتی که سازندگان در حال اختراع امنیتهای جدید هستند، در حال تغییر متودهای خود هستند.
احتمالا تاکنون شنیدهاید، که مخفی کردن WordPress بهترین راه برای حفاظت از سایت در مقابل هکرها و باتهاست. هرچند در این مورد، در میان برنامهنویسها و متخصصان امنیت، بحث و جدال وجود دارد.
در این مقاله از کنار دلایل مختلفی که هر دو گروه بیان میکنند گذر میکنیم و انتخاب این که پنهان کردن CMS برای وبسایت شما خوب است یا نه را بر عهده خودتان میگذاریم. سپس در مورد “پنهان کردن حقیقت اجرای وبسایت” بر روی WordPress صحبت خواهیم کرد.
مگر WordPress به اندازه کافی امن نیست؟
از وردپرس همیشه به عنوان یک سیستم مدیریت منابع (CMS) بسیار امن یاد میشود. مشکلات امنیتی همیشه در مرکز توجه سازندگان هسته wp قرار داشته، و نرمافزار آن بصورت پیاپی برای مقابله با هر گونه ضعفها بروز میشود.
امنیت WordPress یکی از دلایل محبوبیت آن است. هم اکنون WordPress یکی از محبوبترین “سیستم مدیریت منابع” در اینترنت است، که میلیونها وبسایت از سراسر دنیا از آن استفاده میکنند. حتی سایتهایی نظیر CNN، eBay، و Mashable از WordPress برای بخش بلاگهای خود استفاده میکنند.
اما در کل، اینکه شما از وردپرس استفاده میکنید، دلیلی بر آن نیست که سایت شما در مقابل هکرها مصون است. در حقیقت محبوبیت این CMS، دلیلی است بر بالاتر رفتن شانس آن برای هک شدن!
هکرها میداند میلیونها کاربری که از وب سایت وردپرسی استفاده میکنند، از میزان کافی امنیت برای سایتهای خود استفاده نمیکنند. خیلی از آنها از پسووردهای ساده، ورژنهای قدیمی WordPress که ضعفهای آنها شناخته شده، و یا پلاگینهای تاریخ گذشته و ناامن استفاده میکنند. بدین وسیله هکرها هدفهای زیادی را در اختیار داشته و با شناسایی آنها سعی در نفوذ دارند.
رایجترین راههایی که هکرها برای نفوذ انتخاب میکنند، استفاده از ورود اجباری که اصطلاحا Brute Force گفته میشود، یا با استفاده از درخواستهای مکرر HTTP است.
هکرهای Brute-Force، از نرمافزارهایی استفاده میکنند که پیاپی سعی در حدس زدن رمز عبور شما را دارد، تا جایی که شانس بیاورند و وارد سایت شوند. معمولا اقدامهای متقابل سادهای مثل استفاده از CAPTCHA و تاییدیههای دو مرحلهای در ورود (Login)، به راحتی میتواند عمل Brute Force را سرکوب کند.
راه دیگری که هکرها استفاده میکنند، فرستادن درخواستهای مخصوص HTTP به سرورهای شماست. این روش سعی در پیدا کردن نقطههای ضعف سرور را دارد که معمولا در ورژنهای قدیمی برنامهها، پلاگینها و پوستهها یافت میشود. هر محتوایی که در شاخه wp-content شما قرار دارد، چه فعال چه غیرفعال، میتوانند ضعفی در سرورهای شما را برای هکر معرفی کند که از آن طریق هکر ورود خود به سرور را تضمین میکند.
چرا WordPress را مخفی کنیم؟
اینجا به دلایل این کار اشاره خواهیم کرد؛ اما اول بگذارید در مورد اصطلاحات این کار صحبت کنیم. مردم وقتی در مورد مخفی کردن صحبت میکنند، حرفهای مختلفی میزنند.
معنی “مخفی کردن WordPress” این است که شما نام و حقیقت اینکه سایت شما برروی وردپرس اجرا میشود را از دید هکرها و باتهایی که سعی در شناخت CMS شما را دارند، محو میکنید. اما مخفی کردن به این معنی نیز میتواند باشد که شما، شماره نسخه استفاده شده از WordPress، نام فایل ها و فولدرها و … را تغییر دهید تا برای باتها قابل شناسایی نباشد.
اما این همه تلاش برای مخفی کردن ارزشش را دارد؟ بستگی دارد که از چه کسی بپرسید.
واقعیت این است که شما هیچگاه به طور کامل نمیتوانید حقیقت اینکه سایت شما برروی WordPress اجرا میشود را محو کنید. یک شخص حرفهای که در این کار علم کاملی دارد و وردپرس را به خوبی میشناید، میتواند از راههای مختلف CMS شما را تشخیص دهد. حتی اگر شما سعی در مخفی کردن نسخه استفاده شده از وردپرس را داشته باشید، اگر هکر مورد نظر آشنایی کامل با تمامی ورژنها و تفاوتهای آنها، داشته باشد میتواند تشخیص این امر را به راحتی انجام دهد.
حرفهای ها در این باره میگویند، اگر بدانید که که راههای برای تشخیص CMS وجود دارد، پس مخفی کردن آنها کار بیهودهای است. راس اندرسون، متخصص امنیت در این باره میگوید: “امنیت یک سیستم باید تکیه بر کلید آن باشد، نه مخفی کردن مدل طراحی شده آن.”
پس، آیا با این تفاسیر، مخفی کردن WordPress کار بیهودهای است؟
شاید بله، شاید نه. مطمئنا این کار جلوی یک معتاد به هک، که مخصوصا سایت شما را هدف قرار داده است را نخواهد گرفت.
اما این کار جلوی هکرهایی که از باتها برای شناسایی استفاده میکنند را خواهد گرفت. فقط با تغییر یک سری پیوندهای یکتا (Permalinks) شما خواهید توانست از سایت خود در برابر Brute-Force، SQL-Injection و درخواستهای PHP، محافظت کنید.
دیگر واحدهای امنیتی سیستم مدیریت محتوای وردپرس
مخفی کردن یک سری پیوندیکتا و فایلها در WordPress راه حل خوبی برای بالا بردن میزان امنیت است اما این تمام کاری نیست که میتوانید انجام دهید و البته تمام کاری نیست که باید انجام بگیرد.
کارهای خیلی سادهای با کمک از روشهای امنیت WordPress، برای بالا بردن سطح امنیت وجود دارند:
آموزشهای زیادی برای مخفی کردن شماره نسخه استفاده شده از این سیستم مدیریت محتوا وجود دارند، اما اینجا ما یک سری از آنها را غلطگیری و بازگو خواهیم کرد.
در این حالت پیشنهاد ما به شما استفاده از یک پلاگین پرمیوم (پولی) به نام Hide My WP است. این پلاگین به خوبی کارهای امنیتی را انجام میدهد و بدون دستکاری در فایلهای شما، حقیقت استفاده از WordPress را در پیوندهای یکتا (Permalinks) سایت را مخفی میکند.
Hide My WP قابلیتهای زیادی دارد که امنیت شما را افزایش خواهند داد:
زمانی که شما دارای یک سایت هستید، امنیت همیشه حرف اول را میزند. اما، گاها به نظر میرسد که تمامی این دلهرهها کمی بیش از اندازه هستند. تمامی داستانهای ترسناکی که در مورد سایتهای بزرگی مثل eBay، Targert، Adobe، Steam و دیگران که از دزدی اطلاعاتی رنج میبردهاند، میتواند باعث ایجاد ترس اقتصادی شود.
در اینجا شاید فکر کنید، تا زمانی که چنین سایتهای بزرگی هستند، هکرها به دنبال سایتهای کوچکی مثل سایت شما نمیروند؟
متاسفانه اطلاعات بدست آمده، برعکس این حدس را به ما میگویند. سایتهای کوچک به همان اندازه سایتهای بزرگتر، قربانی هکرها هستند، که بنا به گزارشها، تقریبا نیمی از این سایتها که مبلغی بالغ بر میانگین 8700$ را شامل میشوند، مورد هک قرار میگیرند و این فقط آمار مکانهایی است که گزارشهای هک شدن خود را منتشر کردهاند. خیلی از دیگر سایتها به علت از دست ندادن مشتریها و اینکه قول حفاظت از اطلاعات شخصی را به آنها دادهاند، از انتشار گزارشهای هک، جلوگیری میکنند.
اگر به گزارشها نگاهی بیاندازید خواهید دید که روزانه دهها هزار وبسایت مورد حمله قرار میگیرند و بیشتر آنها حتی هیچگاه متوجه این عمل نمیشوند و نمیدانند که مثلا وبسایت آنها در حال پخش کدهای مخرب است.
به عنوان یک کاربر WordPress، شما در حال استفاده از یکی از امنترین سیستمهای مدیریت منابع موجود هستید. اما هیچ CMSـی بطور 100% شکستناپذیر نیست، و هکرها به همان سرعتی که سازندگان در حال اختراع امنیتهای جدید هستند، در حال تغییر متودهای خود هستند.
احتمالا تاکنون شنیدهاید، که مخفی کردن WordPress بهترین راه برای حفاظت از سایت در مقابل هکرها و باتهاست. هرچند در این مورد، در میان برنامهنویسها و متخصصان امنیت، بحث و جدال وجود دارد.
در این مقاله از کنار دلایل مختلفی که هر دو گروه بیان میکنند گذر میکنیم و انتخاب این که پنهان کردن CMS برای وبسایت شما خوب است یا نه را بر عهده خودتان میگذاریم. سپس در مورد “پنهان کردن حقیقت اجرای وبسایت” بر روی WordPress صحبت خواهیم کرد.
مگر WordPress به اندازه کافی امن نیست؟
از وردپرس همیشه به عنوان یک سیستم مدیریت منابع (CMS) بسیار امن یاد میشود. مشکلات امنیتی همیشه در مرکز توجه سازندگان هسته wp قرار داشته، و نرمافزار آن بصورت پیاپی برای مقابله با هر گونه ضعفها بروز میشود.
امنیت WordPress یکی از دلایل محبوبیت آن است. هم اکنون WordPress یکی از محبوبترین “سیستم مدیریت منابع” در اینترنت است، که میلیونها وبسایت از سراسر دنیا از آن استفاده میکنند. حتی سایتهایی نظیر CNN، eBay، و Mashable از WordPress برای بخش بلاگهای خود استفاده میکنند.
اما در کل، اینکه شما از وردپرس استفاده میکنید، دلیلی بر آن نیست که سایت شما در مقابل هکرها مصون است. در حقیقت محبوبیت این CMS، دلیلی است بر بالاتر رفتن شانس آن برای هک شدن!
هکرها میداند میلیونها کاربری که از وب سایت وردپرسی استفاده میکنند، از میزان کافی امنیت برای سایتهای خود استفاده نمیکنند. خیلی از آنها از پسووردهای ساده، ورژنهای قدیمی WordPress که ضعفهای آنها شناخته شده، و یا پلاگینهای تاریخ گذشته و ناامن استفاده میکنند. بدین وسیله هکرها هدفهای زیادی را در اختیار داشته و با شناسایی آنها سعی در نفوذ دارند.
رایجترین راههایی که هکرها برای نفوذ انتخاب میکنند، استفاده از ورود اجباری که اصطلاحا Brute Force گفته میشود، یا با استفاده از درخواستهای مکرر HTTP است.
هکرهای Brute-Force، از نرمافزارهایی استفاده میکنند که پیاپی سعی در حدس زدن رمز عبور شما را دارد، تا جایی که شانس بیاورند و وارد سایت شوند. معمولا اقدامهای متقابل سادهای مثل استفاده از CAPTCHA و تاییدیههای دو مرحلهای در ورود (Login)، به راحتی میتواند عمل Brute Force را سرکوب کند.
راه دیگری که هکرها استفاده میکنند، فرستادن درخواستهای مخصوص HTTP به سرورهای شماست. این روش سعی در پیدا کردن نقطههای ضعف سرور را دارد که معمولا در ورژنهای قدیمی برنامهها، پلاگینها و پوستهها یافت میشود. هر محتوایی که در شاخه wp-content شما قرار دارد، چه فعال چه غیرفعال، میتوانند ضعفی در سرورهای شما را برای هکر معرفی کند که از آن طریق هکر ورود خود به سرور را تضمین میکند.
چرا WordPress را مخفی کنیم؟
اینجا به دلایل این کار اشاره خواهیم کرد؛ اما اول بگذارید در مورد اصطلاحات این کار صحبت کنیم. مردم وقتی در مورد مخفی کردن صحبت میکنند، حرفهای مختلفی میزنند.
معنی “مخفی کردن WordPress” این است که شما نام و حقیقت اینکه سایت شما برروی وردپرس اجرا میشود را از دید هکرها و باتهایی که سعی در شناخت CMS شما را دارند، محو میکنید. اما مخفی کردن به این معنی نیز میتواند باشد که شما، شماره نسخه استفاده شده از WordPress، نام فایل ها و فولدرها و … را تغییر دهید تا برای باتها قابل شناسایی نباشد.
اما این همه تلاش برای مخفی کردن ارزشش را دارد؟ بستگی دارد که از چه کسی بپرسید.
واقعیت این است که شما هیچگاه به طور کامل نمیتوانید حقیقت اینکه سایت شما برروی WordPress اجرا میشود را محو کنید. یک شخص حرفهای که در این کار علم کاملی دارد و وردپرس را به خوبی میشناید، میتواند از راههای مختلف CMS شما را تشخیص دهد. حتی اگر شما سعی در مخفی کردن نسخه استفاده شده از وردپرس را داشته باشید، اگر هکر مورد نظر آشنایی کامل با تمامی ورژنها و تفاوتهای آنها، داشته باشد میتواند تشخیص این امر را به راحتی انجام دهد.
حرفهای ها در این باره میگویند، اگر بدانید که که راههای برای تشخیص CMS وجود دارد، پس مخفی کردن آنها کار بیهودهای است. راس اندرسون، متخصص امنیت در این باره میگوید: “امنیت یک سیستم باید تکیه بر کلید آن باشد، نه مخفی کردن مدل طراحی شده آن.”
پس، آیا با این تفاسیر، مخفی کردن WordPress کار بیهودهای است؟
شاید بله، شاید نه. مطمئنا این کار جلوی یک معتاد به هک، که مخصوصا سایت شما را هدف قرار داده است را نخواهد گرفت.
اما این کار جلوی هکرهایی که از باتها برای شناسایی استفاده میکنند را خواهد گرفت. فقط با تغییر یک سری پیوندهای یکتا (Permalinks) شما خواهید توانست از سایت خود در برابر Brute-Force، SQL-Injection و درخواستهای PHP، محافظت کنید.
دیگر واحدهای امنیتی سیستم مدیریت محتوای وردپرس
مخفی کردن یک سری پیوندیکتا و فایلها در WordPress راه حل خوبی برای بالا بردن میزان امنیت است اما این تمام کاری نیست که میتوانید انجام دهید و البته تمام کاری نیست که باید انجام بگیرد.
کارهای خیلی سادهای با کمک از روشهای امنیت WordPress، برای بالا بردن سطح امنیت وجود دارند:
- همیشه از رمزعبورهای قدرتمند استفاده کنید
- همیشه هسته WordPress خود را با آخرین نسخهها بروز نگاه دارید
- پوستهها و پلاگینهای خود را همیشه بروز کنید و نسخههایی که دیگر استفاده نمیکنید را پاک کنید. از آنهایی که دیگر بروز نمیشوند استفاده نکنید.
- برای مقابله با Brute-Force، از ورودهایی با استفاده از CAPTCHA و تاییدههای 2 مرحلهای استفاده کنید.
- از پلاگینهای امنیتی همه کاره مثل iThemes Security یا Bullet Proof Security استفاده کنید.
آموزشهای زیادی برای مخفی کردن شماره نسخه استفاده شده از این سیستم مدیریت محتوا وجود دارند، اما اینجا ما یک سری از آنها را غلطگیری و بازگو خواهیم کرد.
- اگر امنیت هدف اصلی شماست، پس شما باید در هر صورت آخرین نسخه را نصب کنید
- شماره نسخه wp در بسیاری از مکانهای مختلف و فایلها ثبت شدهاند، و مخفی کردن آنها کاری زمان بر و پردردسر خواهد بود و ارزش کار را هم نخواهد داشت، زیرا…
- حتی اگر موفق شوید تمامی ردپاها در مورد شماره نسخه را محو کنید، هنوز هم راههای زیادی وجود دارند تا کسی بتواند نسخه شما را حدس بزند.
- محو کردن شماره نسخه، گاها حتی شما را از باتها هم در امان نگاه نمیدارد. باتها مستقیما بدنبال ضعفها خواهند گشت، پس اگر هسته WordPress خود را بروز نگاه دارید، باتها نخواهند توانست به آن نفوذ کنند. از طرف دیگر اگر یک بات متوجه مخفی شدن نسخه شما شود، احتمال خواهد داد که شما از یک ورژن قدیمی استفاده میکنید که سعی در مخفی کردن شماره نسخه را دارید.
در این حالت پیشنهاد ما به شما استفاده از یک پلاگین پرمیوم (پولی) به نام Hide My WP است. این پلاگین به خوبی کارهای امنیتی را انجام میدهد و بدون دستکاری در فایلهای شما، حقیقت استفاده از WordPress را در پیوندهای یکتا (Permalinks) سایت را مخفی میکند.
Hide My WP قابلیتهای زیادی دارد که امنیت شما را افزایش خواهند داد:
- پیوندهای یکتا و فایلها (مثل admin-wp) را برای باتها مخفی میکند
- اطلاعات متا مثل ورژن استفاده شده را از Header ها و Feed ها حذف میکند
- دسترسی به فایلهای PHP را کنترل میکند
- حالت پیشفرض مکانی پوشهها و زیرشاخهها مثل wp-content را تغییر میدهد
- حالت جستار URLها را برای جلوگیری از تزریق SQL تغییر میدهد
- فایلهایی نظیر readme.html و lincense.txt را، که به هکرها اطلاعاتی در مورد WordPress نصب شده را میدهند، را مخفی میکند
- قابلیت غیرفعال کردن بخشهای انتخابی از آرشیوها، پستها، صفحهها، طبقهبندیها و تگ
- خبر دهی در مورد ریسکهای احتمالی با استفاده از سیستم تشخیص ورود غیرمجاز (Intrusion Detected System)
