مردان وردپرس امنیت وردپرس امنیت وردپرس ، بررسی امنیت سایت توسط سایت های آنلاین

امنیت وردپرس ، بررسی امنیت سایت توسط سایت های آنلاین

http://wpmen.ir/

با سلام خدمت کاربران محترم سایت مردان وردپرس.در ۲ قسمت گذشته درباره روش های نفوذ به یک سایت وردپرسی پرداختیم در این قسمت از امنیت وردپرس به بررسی امنیت یک وبسایت به وسیله سایت ها می پردازیم.

در قسمت های امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۱ و  قسمت ۲ به بررسی روش های نفوذ به یک سایت وردپرسی مطرح شد که  بر اساس آمار wordfence بیشترین میزان حمله از طریق پلاگین ها (plugins) می باشد.حال اگر بخواهیم سایت وردپرسی خود را مورد بررسی و تحلیل قرار داده تا امنیت سایت را برقرار کنیم ، می توانیم از پلاگین ها و آموزش های زیادی کمک بگیریم.بررسی امنیت سایت دارای زوایای بسیاری می باشد.اول اینکه آیا پوسته و یا پلاگین که دریافت شده ایمن است؟ آیا کد مخربی در آن نوشته نشده است؟آیا شرکت یا فردی که سایت را برای ما ساخته کدی قرار نداده ؟ همه این سوالاتی که هنگامی که ترس از هک شدن سایت می آید ، در ذهن خطور می کند.همانطور که می دانید وردپرس برای افرادی که توانایی کد نویسی ندارند نیز مفید می باشد.اما برخی افراد از پلاگین ها و یا پوسته های پولی  که به صورت نال شده استفاده می کنند ، برخی از این  نال شده ها  که توسط سایت های ایرانی نیز رواج دارند (برای جذب مخاطب و یا اهداف ناپسند) .افرادی که توانایی کد نویسی بالایی دارند از کد های مخرب در یک پلاگین نال شده استفاده می کنند و به موقع اطلاعات را از سایت می دزدند.حال برای اینکه بتوانیم بدانیم پلاگین و یا پوسته ای که استفاده می کنیم ایمن است چند راه وجود دارد که یکی از آنها اینست که بدانیم اهداف هکر ها چیست تا بتوانیم در موارد زیر آنها را برطرف کنیم.

در این قمست درباره سایت های کمکی صحبت می کنیم.

یکی از سایت هایی که می توانیم از آن استفاده کنیم سایت hackertarget.com می باشد.این سایت با استفاده از ابزار های مختلف منبع باز(open source) سایت را مورد بررسی قرار می دهد.این سایت علاوه بر بررسی سایت های وردپرس، سایت های دیگر را نیز بررسی می کند.

امنیت وردپرس

برای بررسی سایت وردپرسی به آدرس hackertarget.com/wordpress-security-scan می رویم.این قسمت سایت را به صورت آنلاین با تست های آسیب پذیری نصب و راه اندازی بررسی می کند.این بررسی ها شامل نرم افزار(خود وردپرس) ، پلاگین ها و میزبانی وب و سرور می باشد.

در این صغحه ۲ گزینه مورد بررسی قرا می گیرد

  • بررسی غیر فعال (passive ) رایگان بر روی  کد های خام و ساده HTML.
  • بررسی فعال با استفاده از چارچوب  Nmap بر روی پلاگین ها ، پوسته ها و حتی اسکریپت های کاربران

حال برای اسکن کردن سایت خود را در قسمت زیر وارد نمایید و بعد گرینه free wordpress security check را بزنید.ما برای مثال یکی از سایت ها را مورد بررسی قرار دادیم.

در زیر یکی از هشدار های آن اینست که سایت با  چه نسخه ای وردپرس فعال می باشد و ما حتما باید وردپرس را به آخرین نسخه آپدیت کنیم.

در قسمت بعد از آن به بررسی وجود بد افزار (malware) در سایت از طریق گوگل  می پردازد که اگر سایت ایمن باشد PASSED را قرار می دهد که یعنی سایت از این مرحله عبور کرده است.

بدافزار ، برنامه‌های رایانه‌ای هستند؛ به علت آن‌که معمولا کاربر را آزار می‌دهند یا خسارتی بوجود می‌آورند، به این نام مشهورند. برخی از آنان فقط کاربر را می‌آزارند. مثلا وی را مجبور به انجام کاری تکراری می‌کنند. اما برخی دیگر سیستم رایانه‌ای و داده‌های آن را هدف قرار می‌دهند که ممکن است خساراتی به بار آورند. در عین حال ممکن است هدف آن سخت‌افزار سیستم کاربر باشد.

ویکی پدیا

در پنل بعدی اطلاعاتی مربوط به  سرور و کشوری که سرور در آن قرار دارد را می نویسد.

در زیر این پنل پلاگین هایی که به روز رسانی نشده اند را نمایش داده که آنها را باید به روز رسانی کرد.در زیر آن هشداری داده که اگر پلاگین ها آپدیت نشوند می توانند از طریق نیروی بی رحم (brute force) مورد تهاجم قرار گیرند.

حال در زیر همانند پلاگین ها پوسته را نیز بررسی می کند و اطلاعاتی راجع به سازنده پوسته و نام پوسته نیز در اختیار ما قرار می دهد.همچنین مانند قسمت بالا اگر پوسته ای آپدیت نشده باشد می تواند مورد هجوم نیروی بی رحم قرار گیرد.

در قسمت بعدی شناسه کاربران را بررسی می کند و اگر شناسه ای مانند admin ، user  و نام های کاربری متعارف باشد را هشدار داده تا این نام های کاربری که مورد هجوم هکر ها می باشد را تغییر دهید.در زیر سایتی که ما قرار دادیم شناسه کاربری که هکر ها از طریق آن بتوانند سایت را مورد هجوم قرار دهند  وجود ندارد.البته چون ما در این سایت عضویت نداریم و به صورت رایگان می باشد تنها ۲ نام کاربری اول را بررسی می کند که اگر سایت از نظر امنیتی برای ما مهم است می توانیم یک عضویت خریداری کنیم.

در قسمت زیر نیز درباره فهرست بندی دایرکتوری ها بررسی می شود.در این آزمون تلاش درباره  لیست کردن محتویات دایرکتوری از پلاگین گرفته تا آپلود ها بررسی می شود.آسیب پذیری نشت اطلاعات می تواند اطلاعات حساس در مورد پیکربندی سایت و یا مطالب خود را نشان دیگران داده و آنها را فاش کند.

ممکن است دایرکتوری های دیگر نیز فعال باشد که بهتر است فهرست بندی را برای پوشه های تنظیمات با استفاده از htaccess غیرفعال نمایید.

سایت های در معرض خطر، اغلب اوقات به جاوا اسکریپت مخرب در تلاش برای حمله به کاربران وردپرس مرتبط می شود.باید با اسکریپت ها آشنا بوده تا بتوانید جاوا اسکریپت های غیر ضروری را حذف نمایید.

بیش از جاوا اسکریپت ذکر شده نگاه کنید، شما باید با تمام اسکریپت ها آشنا باشد و بررسی آنهایی که شما مطمئن نیستید. در حذف علاوه بر این از جاوا اسکریپت غیر ضروری را تسریع خواهد کرد وب سایت خود را.

بعد از بروز رسانی پلاگین ها و پوسته .



البته سایت های دیگری نیز هستند مانند  wprecon ،  wpscans ،،،  scanwp   که می توانید سایت وردپرسی خود را در آن بررسی نمایید.

در قسمت بعدی به بررسی  پلاگین هایی که به ما کمک می کنند تا سایت را بررسی کنیم ، صحبت می کنیم.

تاریخ آخرین بروزرسانی : ۱۳ دی ۱۳۹۵
منبع :‌ مردان وردپرس
میلاد میلادی

باور هایت را که پرورش دهی به هرچیزی دست خواهی یافت.

Advertising MiSaCo.

نظرات خود را اینجا بنویسید

آدرس الکترونیکی شما نمایش داده نمی شود *

Time limit is exhausted. Please reload CAPTCHA.