سلام به همه کاربران محترم سایت همیار وردپرس!
موضوع اسپم و هرزنامه در اکثر وبلاگ ها به چشم میخوره که میتونم بگم یکی از بزرگترین مشکلاتی هستش که باید با اون مقابله کرد!در این مقاله سعی دارم نحوه ی مقابله با این اسپم ها رو برای شما توضیح بدم چون چند روز پیش خودمون هم توی سایت با چنین مشکلاتی برخورد کردیم و با جستجوی زیاد به این نتایج مفید رسیدیم .متاسفانه باید بگم که منابع خیلی کمی واسه مقابله با این هرزنامه ها بصورت اصولی وجود داره! من امیدوارم بتونم توضیحات خوبی رو برای شما در این مقاله بیارم.
اول از همه ، افزونه ی Stop Spammer Registerations رو نصب و فعال سازی کنید. پس از فعال سازی به بخش تنظیمات مراجعه کنید و گزینه ی Stop Spammer رو تیک بزنید.تصویری از این صفحه ی افزونه رو براتون گذاشتم، میتونید تنظیماتش رو مشاهده کنید:
این افزونه یکی از قدرتمندترین افزونه هایی هستش که به شدت در امر مبارزه با اسپم های مشکوک بر روی وبسایت نظارت میکنه.قبل از اینکه این تنظیمات رو ذخیره کنید، بر روی گزینه ی ‘Test IP’ جهت چک کردن کلیک کنید تا آی پی شما رو پاک کنه و در لیست سفید وارد کنه تا دچار مشکل نشید! سپس باقی تنظیمات رو طبق تصویر زیر انجام بدید :
پلاگین Stop Spammer Registrations وبسایت شما رو تحت نظارت و به اصطلاح مانیتورینگ خود قرار میده و از تکنولوژی های آنتی اسپم استفاده میکنه.با استفاده از پایگاه داده ی انجمنی اسپم هاریال آدرس های آی پی کاربران رو در وبسایت شما شناسایی میکنه.این یک پایگاه داده ی بسیار بزرگ و قدرتمند هستش که به صورت فعال با جمع آوری داده ها از هزاران وبسایت در سراسر جهان کار میکنه.این سریع ترین راه برای دسترسی به آی پی هرزنامه ها و یا آدرس های ایمیل مشکوک می باشد!در واقع از Honypot API ، Botscout API ،Wordpress API استفاده می کند.
کلید WordPress API دقیقاً شبیه به کلیدی است که در افزونه ی Akisment استفاده می کنید.چه از این افزونه استفاده کنید چه نکنید امکان استفاده از WordPress API را در این افزونه خواهید داشت!
اگر احساس می کنید که این افزونه بیش از حد سفت و سخت عمل می کند میتونید گزینه رو به صورت انتخابی دربیارید و فقط بهش فرمان بدید که با چه نوع ایمیل هایی این برخورد رو داشته باشه تا برای تمامی کاربران شما ایجاد محدودیت نکنه!
البته گاهی اوقات این افزونه برای ورود شما به وبسایت خودتون قفلی ایجاد کنه!وقتی با این مورد برخورد کردید با دسترسی FTP وارد wp-admin شوید و نام افزونه رو از Stop-spammer-registrations.php به stop-spammer-registrations.locked.access تغییر دهید تا وردپرس به صورت اتوماتیک این پلاگین رو برای شما غیر فعال کنه!
وردپرس ابزاری عالی برای ساخت جوامع آنلاین هستش که به افرادی که این هرزنامه ها رو ایجاد می کنند اجازه نمیده که اختلالی در ساختار وبسایت شما ایجاد کنند.حال برای مقابله با این موارد به غیر از افزونه ای که معرفی شد ۵ راه رو مورد بررسی قرار میدیم ؛
۱- مانیتورینگ تمام وبسایت
این مورد به صورت کاملاً دستی توسط خود شما قابل اجراست،وبسایت شما قادر به تشخیص نرم افزارها و موارد مخرب خواهد بود و اخطار می دهد به سایت که هر سه ساعت یک بار چه اتفاقاتی رخ می دهد در نتیجه با این کار تمامی موارد مخرب شامل کدهای جاوا اسکریپت مخرب،نکات مخرب،تاییدیه های مشکوک،تزریق لینک اسپم و … را پاک کی نماید.
در واقع وبسایت شما توسط سرویس های عمومی و معروف شبیه به گوگل،نورتون،ای وی جی،phidhtonk،اپرا و چنین مواردی محافظت خواهد شد.حال مزیت این امر چیست؟
در واقع این موضوع شهرت وبسایت شما را دست نخورده باقی میگذارد و کاربران شما مواردی را شبیه به “warning something in not here” مشاهده نخواهند کرد.
۲- اسکن سرور جانبی
در واقع میشه گفت مانیتورینگ از وبسایت فقط پیش نمایشی از وبسایت رو تحت نظر داره اما در برخورد با یک هکر هوشمند که با بدافزار شروع به آلوده سازی می کند توجهی نمی کند.آنها می تونن به راحتی مواردی رو به عنوان بنر تبلیغاتی در پست های قدیمی تر ما نشون بدند که حتی شما راجع به اونها اطلاعی هم ندارید.اما با این کار آنها به راحتی به Backdoor دسترسی پیدا می کنند و می تونند لینک های وابسته به اونها رو مورد سرقت قرار بدند.با اسکنرهای رایگان نمیشه از این دسته هک ها جلوگیری کرد. هر چند برای توجه به مشتریان از روشی به نام سرور اسکن جانبی استفاده می شود.این اسکنرها سرورهای شما رو اسکن می کنن و مطمئناً هیچ راه فراری برای فایل های مشکوک باقی نمیذارن و البته اطلاعات حوادث و اتفاقات را به شما می دهد. البته گاهی شما مجبور به نصب برخی نرم افزارهای پر کاربردی برای اسکن بر روی سرور خود هستید و همه ی شما باید یک فایل پی اچ پی ساده را روی سرور خودتون حتماً آپلود نمایید!
۳- پلاگین Audit log
این افزونه به وسیله ی گروهی که طرفدار وردپرس هستند ایجاد شده است که یک نوع افزونه ی خاص مرتبط به کاربران می باشد.این افزونه دقیقاً شبیه به جواهری برای افراد مبتدی و حرفه ای می باشد!! تمامی اتفاقات و تغییرات و پست های اضافه شده و… را مورد بررسی قرار می دهد.
معمولاً هکرها سعی می کنند برای دسترسی به backdoor و دسترسی به فایل ها و اسامی فایل در وردپرس تغییر قیافه دهند.بنابراین این میتونه تنظیمات یک فایل در پوشه ی wp-includes به wp-user.old.php یا هر چیز دیگری که کاربر به طور متوسط دچار فایل های مشکوک نشود را ایجاد کند.امنیت پلاگین وردپرسی می تواند باعث یکپارچگی و دست نخوردن فایل های واقع در هسته ی اصلی وردپرس شود!
بنابراین اگر به فایل مشکوک برخورد کند به شما هشدار می دهد.معمولاً هکرها تلاش می کنند که فایل ها و موارد مخرب رو به صورت پنهان در فایل wp-config.php ایجاد کنند و این پلاگین حتماً این فایل را چک و مورد بررسی قرار می دهد!
“مقاومت در کلیک کردن ”
اگر شما یک کاربر تازه وارد هستیدریال میتونید در وبلاگ های مختلف ویروس های امنیتی رو ببینید.باید سعی کنید که همه ی این موارد رو برای سایت بعدی خود و دفعات بعدی به خاطر داشته باشید.یک امنیت خوب توانایی شما رو به وسیله ی مقاوم سازی در نصب وردپرس شما بهبود می بخشه!و شما با یک کلیک قادر به محافظت از دایرکتوری خود هستید.معمولاً هکرها با فایل های مخرب را در فولدرهای آپلود شده ی شما مخفی می کنند و این نکته رو بگم که فولدر های آپلود شده ای که به وسیله ی سال ها و ماه ها سازماندهی شده مکان بسیار خوبی برای مخفی سازی توسط هکرها می باشد.متاسفانه بیشتر گروه ها هرگز فولدر فایل های آپلود شده ی خود رو بررسی نمی کنند.
حال، هیچ راهی برای تغییر پیشوند پیش فرض دیتابیس با یک کلیک وجود نداره اما حتماً در آینده نزدیکی چنینی چیزی به وجود میاد و ساخته میشه!
۴- هشدارها
مهمترین بخش مربوط به مانیتورینگ هشدارها می باشد! امنیت به شما این امکان رو میده که برای ایمیل ها،توییتر،IM،اس ام اس ها و RSS هشدارهایی را دریافت نمایید.این امر بسیار عالی است زیرا در صورت وجود هر جمله ای شما زودتر از همه مطلع خواهید شد.
به دور از تروجان ها و نظارت بر لیست های سیاه، آنها نیز نظارت مستقیم بر روی تغییرات DNS، تغییر دامنه و … دارند. اخیراً بسیاری از دامنه ها توسط وب مسترها دزدیده میشه و این خود نیاز به یک نوع مانیتورینگ قوی دارد!
۵- سرویس پاک کننده ی تخریب ها
اگر چه تمامی موارد بالا دلایل و راه خوبی برای توجیه هزینه ها می باشد، پیشنهاد میشه که برای پاکسازی موارد مخرب بدون محدودیت از لیست های سیاه استفاده شود. ما هنوز از این بخش استفاده نکردیم اما شما می تونید تصور کنید که داشتن یک تجربه ی امنیتی برای وبسایتتون چقدر میتونه خوب باشه؟!!
موفق و سربلند باشید