امنیت

حمله گسترده به سایت های وردپرس

در هفته گذشته از دوتا IP در چین تلاش هایی بود برای حدس زدن پسورد وبلاگم. این IP ها بلاک شدن. اینجا هم میذارم که شما هم پیش دستی کنید و بلاکشون کنید.

بعد از این حملات به فکر افتادم یه جستجویی بکنم که آیا حمله مشابهی این روزها صورت گرفته یا نه. چون خیلی بعید به نظر می رسه که یک هکر از چین به صورت مشخص بخواد وبلاگ من رو هک کنه پس به این نتیجه رسیدم که احتمالا حمله ای کور و فقط بر اساس CMS ای است که استفاده می کنم.

اوایل امثال بود که سرویس دهنده ixwebhosting اعلام کرد سایت های وردپرسی که روی سرورهای این سرویس دهنده اند تحت حملات Brute Force (حدس زدن پسورد) قرار گرفته اند.
طبق اطلاعات اعلام شده این سرویس دهنده و بررسی هایی که آن زمان انجام شد مشخص گشت که هکرها با استفاده از سرورهایی که پیشتر هک کرده بودند و به کاربردن یک ربات، این حملات گسترده را علیه میلیون ها سایت تدارک دیده اند. در این حمله بیش از ۹۰ هزار سرور هک شده شرکت داشتند. به دلیل تعدد IP ها دفاع کمی سخت شد.
یکی از روش هایی که من در وبلاگم به کاربردم برای جلوگیری از بروت فورس، استفاده از پلاگین هایی نظیر better-wp-security برای محدود کردن تعداد دفعاتیست که هر IP می تونه پسورد اشتباه برای لاگین امتحان کنه. وقتی هکر ۱۰۰ هزار IP داشته باشه عملا این دفاع رو از کار میندازه. و نکته منفی هم اینجاست که وقتی سایت ها رو هک می کنه، ابزارش گسترده تر می شه و می تونه سرعت حملات رو بالاتر ببره.
در این حمله که گفتم، تعداد دفعات بروت فورس در شروع حملات ۳۰ تا ۴۰ هزار بار در روز بوده که پس از مدتی این تعداد به طور ناگهانی به ۱۰۰ هزارتا می رسه.

Thousands of WordPress Websites compromised to perform DDOS attack as WordPress Botnet

هم اکنون نیز یک حمله گسترده علیه وب سایت های وردپرسی در جریانه. مطابق اطلاعات جمع آوری شده از IP هایی که در این حملات شرکت کرده اند، هکر ها از تعداد بسیار زیادی سایت های وردپرسی هک شده استفاده می کنند.
آنالیز این اطلاعات نشون می ده که هکر می تونه طی ۲۶ ثانیه از ۵۶۹ سایت هک شده به هدف حمله کنه، سایت هایی نظیر:

حمله کننده از تعداد زیادی سرورهای پرقدرت استفاده می کنه برای به دست گرفتن سرورهای دیگه و گسترش ابزار هک.

این هک به صورت وسیعی در جریانه و محدود به کشور خاص و یا سرویس دهنده خاصی نیست. با توجه وسیع بودن دامنه حمله و محوده جغرافیایی HP های شرکت کننده در آن، جلوگیری از هک کمی سخته.

من برای راحتی کار شما، لیستی از این IP ها آماده کردم که بتونید تا پایان یافتن حمله جاری اونها رو بلاک کنید.

طبق آماری که به تازگی ارائه شده از مجموع ۴۲۱۰۶ وب سایت وردپرسی که در جمع یک میلیون وبسایت برتر آلکسا قراردارند، ۳۰۸۲۳ وب سایت معادل ۷۳.۲% از نسخه های قدیمی وردپرس استفاده می کنند که ضعف های امنیتی شناخته شده دارند و به راحتی توسط ابزار های رایگان قابل شناسایی اند.

لیستی از نسخه های پرکاربرد

لیستی از نسخه های پرکاربرد

حدود ۲ در صد از این سایت ها همچنان از نسخه های پایه ۲ استفاده می کنند.

اگر وبسایتی با استفاده از وردپرس دارید این موارد را رعایت کنید:

وردپرس را به آخرین نسخه به روز کنید
تمامی پلاگین ها و تم ها را به روز کنید
از نام کاربری غیر از admin استفاده کنید
پسورد خود را تغییر داده و از پسوردی با حداقل ۸ کاراکتر شامل حروف کوچک و بزرگ، اعداد و کاراکترهای خاص مثل^%$#&@* استفاده کنید
آدرس صفحه لاگین را تغییر دهید

منبع ، منبع و منبع

استاندارد
امنیت

ارتش الکترونیک سوریه و ضعف های وردپرس

هفته گذشته “ارتش الکترونیک سوریه” وابسته به حکومت اسد، دو شکار بزرگ داشت: وبسایت‌های Truecaller.com و tango.me سایت نرم‌افزار تانگو.

این گروه در اکانت توییتر خود اعلام کرد سایت تروکالر رو هک کرده و به دیتابیس هاش دسترسی داره. طبق ادعای این گروه، پسوردها به صورت متن ساده ذخیره شده بودند.

در مورد تانگو هم ادعا شده که اطلاعات تماس و ایمیل و شماره تلفن میلیون ها کاربر را به دست آورده و همچنین عکسی از فایل های لاگ این نرم‌افزار رو ارائه کرده.

و اما نکته تاسف برانگیز اینه که این دو سایت که سرمایه خوبی هم داشتند و می تونستند پشتیبانی بهتری از سایتشون داشته باشند از سیستم مدیریت wordpress استفاده می کردند که به‌روز نشده بود و هکرها با استفاده از ضعف ‌های امنیتی وردپرس (که برخی از اونها رو با یک جستجو می تونید پیدا کنید و نیازی به تلاش آنچنانی نداره) تونستند که به اطلاعات حیاتی کاربران دسترسی داشته باشند.

عکس‌های زیر که وسیله این گروه ارائه شده نشون می‌ده که غیر از هسته وردپرس، حداقل ۱۰ پلاگین هم آپدیت نشده‌اند. پلاگین آپدیت نشده در وردپرس یعنی در باز و خونه خالی برای دزدها.

sea-truecaller sea-tango

متاسفانه سهل انگاری این سایت ها باعث به خطر افتادن اطلاعات کاربران می‌شه که در کشورهایی مثل سوریه این نشت اطلاعات می‌تونه عواقب بدتری رو برای افراد به دنبال داشته باشه.

چند نکته در استفاده امن از وردپرس وجود داره که اولیش آپدیت به موقع است. استفاده از پلاگین های شناخته شده تر و با پشتیبانی بهتر. ترجیحا استفاده هرچه کمتر از پلاگین ها. پاک کردن پلاگین ها و پوسته هایی که استفاده نمی کنید. نصب نکردن پوسته های متفرقه و البته استفاده از پلاگین هایی که امنیت وردپرس رو بالا می برند مثلا پلاگین TAC که پوسته های نصب شده رو چک می کنه و در صورت وجود کدهای مشکوک، به شما اطلاع می ده.

خوشحال می شم اگر ایده هایی برای بالاتر بردن امنیت سایت هایی که از وردپرس استفاده می کنن در کامنت ها بگید تا در متن وارد بشه ویا لینک به مطالب خودتون بدید که دیگران استفاده کنند.

استاندارد
روزانه

راه اندازی وبلاگ

برای راه اندازی یک وبلاگ می‌شه از سرویس‌های مختلف استفاده کرد. از سرویس های رایگان داخلی، تا سرویس های رایگان شناخته شده‌تری مثل وردپرس یا بلاگر. و اگر تصمیم دارید کنترل بیشتری روی وبلاگ داشته باشید و یا آدرس وبلاگتون رو با فراغ بال انتخاب کنید میتونید با خرید هاست، دامنه و استفاده از یک سیستم مدیریت وبلاگ این کار رو انجام بدید.

انتخاب هر کدوم از روش های بالا به فاکتورهای مختلفی بستگی داره که من قصد ندارم توی این پست درموردشون حرف بزنم. این پست برای به اشتراک گذاشتن تجربه‌ایه که توی این چند روز به دست آوردم. تجربه راه اندازی همین وبلاگی که الان شاهدش هستید.

اول اینکه تصمیم گرفتن از سیستم مدیریت وبلاگی استفاده کنم که متن باز باشه، به روز باشه، با زبان فارسی مشکل نداشته باشه و البته رایگان هم باشه 🙂

نهایتا وردپرس نسخه فارسی رو انتخاب و نصب کردم. اکثر سرویس دهنده ها از شیوه نصب خودکار وردپرس برخوردارند که البته ممکنه نصب وردپرس انگلیسی باشه و نه فارسی.

بعد از اون چون از ترجمه های فارسی خوشم نمیاد و می خواستم که صفحه مدیریت وبلاگ به زبان انگلیسی باشه از افزونه Native Dashboard استفاده کردم. اینجوری یک تیر و دو نشون زدم. هم وبلاگ فارسی وراست به چپ شد و هم صفحه مدیریت وبلاگ به زبان اصلی.

قالب وبلاگ هم به سلیقه شخص شما بستگی داره و هم باید در مسیر هدفی که برای وبلاگ انتخاب کردید قراربگیره و البته کاربر پسند هم باشه. من یه پوسته با ظاهری ساده انتخاب کردم که توجه اصلی رو به متن معطوف کنه و باقی موارد در زبانه بالای صفحه قابل دسترس است. رنگ متن و پیش زمینه رو جوری انتخاب کردم که کمترین خستگی چشم رو در متن های طولانی ایجاد کنه و البته جالب هم باشه.

فونت فارسی یکی از موارد مهم در ظاهر وبلاگ و برداشتیه که بازدید کننده خواهد داشت. روش های مختلفی رو برای انتخاب فونت مناسب فارسی امتحان کردم. از آپلود فونت ها تا استفاده از پلاگین های مختلف و استفاده از فونت های آنلاین. در ابتدا ترجیح می دادم که ظاهر وبلاگ و فونت رو وابسته به آنلاین یا آفلاین بودن سایت دیگه ای نکنم ولی نهایتا با تجربه روش های مختلف و چک کردن نتیجه کار در براوزرهای مختلف به روشی رسید که در پاراگراف بعد توضیح می دم.

برای استفاده از “وب فونت” ها دو کار باید انجام داد. اول اینکه منبع فونت را در کد HTML صفحه وارد کنیم. برای مثال کدی به این شکل:

و سپس در استایل صفحه، مشخصات فونت یک المان خاص را با کد css مشابه کد زیر تغییر می دهیم:

برای انجام این دوکار می شد مستقیم فایل Header.php و stile.css در فایل های پوسته را ادیت کرد. ولی یک مشکل وجود داشت. اگر پوسته آپدیت بشه، که امکانش هست، این فایل ها تغییر کرده و باید دوباره تنظیمات انجام می شد. پلاگین های مختلفی رو چک کردم که به وصرت خودکار فونت های گوگل رو ست می کردند و یا می تونستند یک فونت رو آپلود کنند و امکان استفاده اش رو بدهند که هر کدوم محدودیت هایی داشتند. نهایتا به این جمع بندی رسیدم که با ترکیب یک ویجت و یک پلاگین به صورت نیمه خودکار این تنظیم را انجام بدم.

ابتدا با قراردادن یک ویجت برای HTML/TEXT در زبانه بالایی قالب، کد منبع فونت را وارد تمام صفحات کردم و سپس با استفاده از پلاگین My Custum CSS کدهای css مورد نظر خودم رو نوشتم. با اینکار حتی اگر پوسته را تغییر هم بدهم، تنظیمات فونت بدون تغییر خواهد بود.

در انتها لازمه یادآوری بکنم پلاگین های دیگری رو هم برای کمک به شناسایی بهتر سایت در موتورهای جستجو و یا بالا بردن امنیت وبلاگ و جایگزینی تقویم جلالی استفاده کردم که در پست های بعد احتمالا در موردشون خواهم نوشت.

پ ن: اگر ایده ای برای بهبود ظاهر و کارایی وبلاگ دارید، خوشحال می‌شم که بشنوم و بخونم

استاندارد