امنیت در وردپرس ۲/۵

مسلما امنیت در همه جا مسئله ای بسیار مهم هست. با توجه به گسترش روز افزون وب سایت هایی که از امنیت کامل برخوردار نباشند با خظرهای مختلفی مواجه می شوند.

بحث من در این مطلب امنیت در سایت ها و وبلاگ هایی که با وردپرس ساخته شده اند هست ( البته اینجا منظور وبلاگ های وردپرس.کام نیست. چراکه این سرویس همواره از آخرین تکنولوژی های امنیتی استفاده می کنه و کاربران این سرویس می تونن بدون هیچگونه نگرانی به کار خود ادامه دهند ).

چند وقت پیش باگ امنیتی ای در وردپرس های فکر کنم نسخه ۲/۱ به پایین شناسایی شد که سر و صدای بسیاری ایجاد کرد. بوسیله این باگ اسپمرها قادر به این بودند که لینک هایی رو در سایت شما قرار بدهند به صورت پنهان.

با توجه به گستره زیاد کاربران


مسلما امنیت در همه جا مسئله ای بسیار مهم هست. با توجه به گسترش روز افزون وب سایت هایی که از امنیت کامل برخوردار نباشند با خظرهای مختلفی مواجه می شوند.

بحث من در این مطلب امنیت در سایت ها و وبلاگ هایی که با وردپرس ساخته شده اند هست ( البته اینجا منظور وبلاگ های وردپرس.کام نیست. چراکه این سرویس همواره از آخرین تکنولوژی های امنیتی استفاده می کنه و کاربران این سرویس می تونن بدون هیچگونه نگرانی به کار خود ادامه دهند ).

چند وقت پیش باگ امنیتی ای در وردپرس های فکر کنم نسخه ۲/۱ به پایین شناسایی شد که سر و صدای بسیاری ایجاد کرد. بوسیله این باگ اسپمرها قادر به این بودند که لینک هایی رو در سایت شما قرار بدهند به صورت پنهان.

با توجه به گستره زیاد کاربران وردپرس با توجه به اینکه این مشکل در نسخه های قدیمی بود ولی با این حال سرو صدای زیادی کرد و حتی سایت تکنوراتی عنوان کرد که وردپرس های نسخه های ۲/۱ به پایین رو اصلا وارد موتور جستجوی خودش نمی کنه چراکه بسیاری از این سایت ها مملو از لینک های اسپم هستند.

خب ! حالا از کجا بفمیم هک شدیم یا نه. نحوه انجام کار بسیار ساده است. با استفاده از مرورگر فایرفاکس از منوی Tools گزینه Page Info رو انتخاب و قسمت لینک هاش رو مورد بررسی قرار بدید. اگه لینک های زیاد و مشکوکی دیدید شک نکنید که هک شدید.

حالا راهکار چیست؟
۱- ارتقا به نسخه های جدید وردپرس
۲- تغییر رمز عبور
۳- بررسی و جستجوی مطالب و پوسته و پاکسازی لینک هایی که اضافه شده اند

خب ظاهرا از اصل قضیه که مربوط به وردپرس ۲/۵ می شد دور شدیم. هدف از حرف های بالا این بود که ظاهرا این مشکل نه به این حد ولی تا حدودی در نسخه های جدید تر وردپرس هم وجود داشته. بنابراین من پیشنهاد می دم از نسخه ۲/۳/۳ یا ۲/۵/۱ استفاده کنید ( ترجیحا ۲/۵/۱ ). فعلا من چیزی مبنی بر مشکل دار بودن این ۲ نسخه ندیدم.

اما وردپرس ۲/۵ .همانطور که احتمالا می دونید نسخه ۲/۵/۱ یکی دو روز پیش منتشر شد. من خودم با توجه به برنامه وردپرس از انتشار این نسخه در این زمان تعجب کردم چراکه تقریبا تنها نیمی از کارهای نسخه ۲/۵/۱ انجام شده بود که این نسخه منتشر شد.

اما خب ظاهرا دلیلشون شناسایی یک حفره امنیتی نسبتا مهم در نسخه ۲/۵ بوده که باعث شده هرچه سریعتر نسخه ۲/۵/۱ منتشر بشه. البته علاوه بر رفع این باگ امنیتی در ۲/۵ حدود ۷۰ مشکل دیگه هم برطرف شده ( اطلاعات بیشتر ).

اونایی که نسخه ۲/۵ رو نصب و استفاده می کنن ۲ راه دارن. یکی اینکه به نسخه ۲/۵/۱ ارتقا بدن و یکی اینکه مشکل امنیتی ۲/۵ رو حل کنن. برای حل مشکل ۲/۵ کافیه پکیج ۲/۵/۱ رو دانلود کرده و فایل های زیر رو جایگزین فایل های کنونی نسخه ۲/۵ بکنید :

wp-includes/pluggable.php - wp-admin/includes/media.php - wp-admin/media.php

اما برسیم به بحث اصلی که این مطلب رو برای اون نوشتم. در وردپرس ۲/۵ اقدامات بسیار خوبی برای بالابردن امنیت در نظر گرفته شده. یکی از این امکانات امنیت در کوکی های هست. در این نسخه کلا مکانیزم کوکی های وردپرس عوض شده و قابلیتی نیز درست شده که شما بتونید کدی را مشخص کنید که کوکی ها براساس اون کد رمزبندی بشن تا سیستم های خودکار به هیچ وجه نتونن براساس یک سیستم خودکار ( روبوت ) اقدام به انجام کارهایی بکنن.

اونایی که برای اولین بار وردپرس ۲/۵ رو نصب کردند در فایل wp-config.php خود چیزی مانند زیر را خواهند دید :

// Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
// so make it long and complicated. You can visit https://www.grc.com/passwords.htm
// to get a phrase generated for you, or just make something up.
define(’SECRET_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase

در خط آخر شما قادر هستید کلید رمزی را قرار بدید. بصورت پیش فرض مقداری برای این گزینه وجود نداره ولی خب توصیه می شه این مقدار رو اضافه کنید. نحوه اضافه کردن کار سختی نیست. کافیست به این آدرس برید و کد مربوطه را در این فایل قرار بدید و نسخه جدید این فایل رو جایگزین کنید.

اونایی که برای اولین بار وردپرس رو نصب کردند در این آدرس باید کد ساخته شده رو بگیرند و در اون قسمت مخصوص قرار بدهند.

اونایی هم که از نسخه های پایینتر به ۲/۵ ارتقا دادند باید کلا اون خط رو کپی کرده و قبل از بسته شدن تگ پی اچ پی به فایل مورد نظر اضافه کنند.

بعد از انجام این کار با توجه به تغییر کردن مکانیزم کوکی های وردپرس شما و دیگر کاربران سایت شما مجبورند که دوباره وارد سایت بشن.

با هر بار رفتن به آدرس مذکور یک کد به شکل تصادفی به شما نمایش داده می شه. پیشنهاد می شه برای هرکدام از وردپرس های خود کدهای متفاوتی رو اعمال کنید.

امنیت را جدی بگیرید…

منابع : boren.nu - ma.tt