سلام و عرض ادب و احترام خدمت شما دوستان عزیز.
در ادامه سری اموزش های وردپرس رجیران در این اموزش قصد داریم در مورد نکات امنیتی وردپرس صحبت کنیم و کمی در این مورد نکاتی را که وجود دارد بررسی نمائیم.دوستان عزیز امنیت وردپرس اهمیت خیلی زیادی داره چرا که شما وقتی که یک وب سایت رو درست میکنید تمامی دار و ندار شما از دنیای اینترنت همون وب سایت هست و شما باید خیلی خوب از اون وب سایت مراقبت کنید
از طرف دیگر دوستان عزیز توجه کنید که سخن از وردپرس است . مجموعه ای شگفت انگیز از کدها و ویجت ها و پلاگین ها و جادویی از انعطاف و جلوه ای بی نظیر از محبوبیت در دنیای وب سایت ها و وب سایت داری.دوستان عزیز وقتی که از وردپرس صحبت میشود سخن از شانزده میلیون وب سایت است با میلیون ها سلیقه و هدف . در اینجا که به نوعی میتوان آن را تعمیرگاه وردپرس نامید , در این ساعت , سخن از قطعات یدکی وردپرس است . آیا شما نیز جنس خوب مصرف میکنید؟
دوستان عزیز آیا قطعات یدکی ماشین وردپرس شما نیز نیاز به بازبینی دارد؟ دوستان نکته ای که در این قسمت وجود دارد این است که افزونه های وردپرس هم همانطور که میبینید بر دو نوع است.اولین مورد افزونه های رایگان و دومین مورد افزونه های غیررایگان.دوستان عزیز در اینجا مورد مهم این است که نکات امنیتی در افزونه های پرمیومی که بابت آنان پول داده میشود , تا چه میزان , استانداردهای کنسرسیوم وب را رعایت کرده و تا چه میزانی به نکات امنیتی در آن بها داده شده است چرا که این مورد اهمیت بسیار زیادی دارد
دوستان عزیز آنچه مسلم است این است که هسته وردپرس , با توجه به متن باز بودن آن , یکی از ایمن ترین هسته های سایت ساز در بین سیستم های مدیریت محتوا است . اما این در حالتی است که کاربران وردپرس بر روی وب سایت وردپرسی خود افزونه هایی نصب نکرده باشند این البته غیر ممکن است , چرا که بخشی از کاربرد و قدرت این سیستم مدیریت محتوای قدرتمند وردپرس , وابسته به این افزونه ها و لوازم کمکی است دوستان در این حالت یک نفوذگر نیز این را به خوبی میداند و بسیار کم هستند نفوذگرانی که برای نفوذ به یک وبسایت وردپرسی , وقت خود را صرف اسکن هسته سایت نمایند حتی اگر هسته وب سایت های وردپرسی آپدیت و بروز باشند
دوستان نفوذگران معمولا برای نفوذ به یک وب سایت وردپرسی و یک سیسنم مدیریت محتوای وردپرس در ابتدا اقدام به اسکن بخش لاگین و ورود به وردپرس و سپس افزونه ها و در نهایت قالب وبسایت میکنند . اینها تماما بخش هایی هستند که افزونه ها بر آن سوار میشوند . ممکن است مدیر وب سایت , با هدف دیزاین بخش لاگین , از افزونه استفاده کرده باشد افزونه ای که در اسکنهای Acunetix مشخص میشود که بیشتر از امنیت فقط بر زیبایی تکیه کرده است و موجودیت وبسایت را به خطر انداخته است که هیچ سودی ندارد. دوستان مدیر دیگر بدون توجه به امنیت و کد نویسی صحیح در یک قالب , اقدام به نصب و سوار کردن امکاناتی بر روی آن کرده است که مجموعا باعث میشود که لبخند رضایتی بر لب نفوذگران بنشیند و امیدوار به سرقت از وبسایت مورد نظر شوند که بیشتر وب سایت های وردپرسی به این صورت هستند
دوستان عزیز گاهی اوقات , برنامه نویس به علت تنبلی یا اهمیت ندادن و سهل انگاری یا هر مورد دیگری که ممکن است پیش بیاید , از آزمودن درست و محکم متغیرها غافل میشود که این باعث میشود که مشکلاتی جبران ناپذیر برای شما به وجود اید.دوستان برنامه نویس , متغیرها را آزمایش نمیکند و متوجه نیز نیست که اسکنرهای نفوذگران این کار را به خوبی و با دقت انجام میدهند و کار ناتمام او را تمام میکنند.
دوستان معمولا مقداردهی متغیرها توسط نفوذگر برای دور زدن صفحات ورود و تعیین هویت انجام میشود . مفسر PHP به صورت پیش فرض , ثابت هایی مانند GET و POST و گاهی اوقات نیز پارامتر COOKIE را توسط درخواست های Http ارسال میکند . اگر متغیرهایی که توسط این نوع درخواستها مقداردهی میشوند به درستی ارزیابی نشوند , میتوانند زمینه خوبی را برای یک نفوذ بی نقص فراهم آوردند . اجرای آن بدین صورت است که نفوذگر , بدون دانستن رمز عبور ادمین میتواند صفحه تعیین هویت را فریب داده و خود را مدیر سایت معرفی کند و پس از انجام این کار دیگر شما باید با وب سایت وردپرسی خود خداحافظی کنید
دوستان عزیز حال در این جا سوالی که پیش می آید این است که آیا نفوذگر میتواند رمز عبور درست را از میان هزاران رمز دیگر که میتواند روی سیستم شما باشد حدس بزند ؟ این به واقع غیر ممکن به نظر میرسد . چرا ؟ زیرا طراح خوب , رمز عبور را توسط الگوریتم MD5 , هش کرده است و امتحان کردن رمزهای پیاپی نیز کمکی به نفوذگر نمیکند و حتی اسکنرهای قدرتمند Netsparker نیز که مخصوص اسکن web application ها هستند نیز دچار سردرگمی و ارسال اطلاعات اشتباه به نفوذگر میشوند.البته لازم به ذکر است که در این جا کمی در مورد هش سازی در رمز ها توضیحات کوتاهی برای شما دوستان عزیز بدهیم
هش سازی
با نام دیگر درهم سازی یک کنترل یا کلیدواژهی ۱۲۸ بیتی است. هش مانند اثر انگشت عمل میکند، با این تفاوت که امکان دارد یک کد یکسان برای دو فایل یا واژهی مختلف وجود داشته باشد که از این قابلیت برای مقایسه استفاده میشود؛ به این صورت که برای مقایسه دو فایل به جای مقایسه تمامی محتوای فایلها، کد هش آنها را با هم مقایسه میکنیم.اما کاربرد مهم و برجستهی هش در امنیت اطلاعات است که در قسمت بالا یکی از موراد استفاده از آن ها ذکر شد
خیلی ممنونم از همراهی شما در این آموزش وردپرس.در ادامه این آموزش ها هم با من همراه باشید