اگر شما هم سایتتان را با سیستم مدیریت محتوای وردپرس مدیریت میکنید به احتمال زیاد با اخطارهایی از سمت سرویسدهنده هاستینگ در خصوص ارسال ایمیل انبوه یا اسپم از طریق سایتتان مواجه شدهاید.
وردپرس، پرکاربردترین سیستم مدیریتمحتوای متنباز دنیاست. ویژگیهای فوقالعاده و انعطافپذیری بسیار بالای آن باعث شده است که صفت پرکاربردترین را از آن خود کند. با وجود این این سیستم پرکاربرد و محبوب گاهی اوقات دردسرهایی را میتواند به همراه داشته باشد که وبمستر را ناچار به ترک سیستم وردپرس فعلی و پایهگذاری یک سیستم جدید میکند.
این ایرادات هرچند بزرگ، اما با رعایت موارد امنیتی جزئی قابل پیشگیری میباشند. در این مقاله سعی بر آن بوده است که با بهرهگیری از برخی تجربیات، ارسال اسپم در سایتهای وردپرسی را به حداقل برسانیم. در ادامه راهکارهایی در این خصوص ذکر میشود.
امنسازی اکانتهای ایمیل و کلمات عبور
یکی از شایعترین دلایلی که میتواند منجر به ارسال اسپم از طریق یک وبسایت شود ساده و قابلحدس بودن کلمات عبور اکانتهای ایمیل ایجاد شده روی هاست است. رباتهای اسپمر به سادگی با برخی آزمون و خطاها میتوانند کلمات عبور این اکانتها را به دست آورده و شروع به ارسال تعداد بالای ایمیل و ایجاد اختلال در سرور میزبانی کنند. بنابراین همواره لازم است که در تعیین کلمات عبور اکانتهای ایمیل از عبارات پیچیده و غیرقابل حدس شامل اعداد، حروف کوچک و بزرگ و کاراکترهای خاص مثل & استفاده شود. نکته دیگری که وجود دارد تغییر دورهای کلمات عبور است. بهتر است حداکثر هر 30 روز یکبار کلمات عبور اکانتهای ایمیل، پنل هاستینگ و پنل مدیریت سیستم مدیریت محتوای وردپرس را تغییر دهید. بهتر است برای ایجاد پسورد از نرمافزارهایی مثل KeePass که به صورت تصادفی کلمات عبور پیچیده ایجاد میکنند استفاده کنید تا از احتمالات انسانی در تعیین کلمات عبور ساده جلوگیری شود.
پيشنهاد سیتی سایت: مقدمهای بر امنیت سرور مجازی و اختصاصی لینوکس
بروزرسانی مداوم قالب، پلاگینها و هسته وردپرس
همانطور که ذکر شد وردپرس یک سیستم مدیریت محتوای عمومی و متنباز است. بنابراین ساختار آن کاملاً مشخص است و این امر نفوذپذیری آن را افزایش میدهد. از همین رو توسعهدهندگان وردپرس دائماً در حال فعالیت بر روی این سیستم بوده و به محض پیدا کردن باگ در آن نسبت به رفع آن و انتشار نسخه جدید میکنند. بنابراین لازم است که همواره قالب، پلاگینها و هسته وردپرس شما به آخرین نسخه بروزرسانی شود تا از نفوذهایی که از طریق باگها انجام میشود جلوگیری کنید.
استفاده از افزونهها و قالبهای معتبر
هرکسی که دانش برنامهنویسی php داشته و با سیستم مدیریت محتوای وردپرس آشنایی داشته باشد میتواند برای آن طراحی افزونه و قالب انجام دهد. نکتهای که بسیار حائز اهمیت است این است که همواره از منابع رسمی و معتبر نسبت به دانلود و نصب پلاگینها و پوستههای وردپرس اقدام شود. تا جایی که ممکن است نیازهای خود را از طریق سایت مرجع وردپرس به نشانی wordpress.org دنبال کنید. اگر احتیاج به موردی داشتید که در سایت مرجع یافت نشد، حتماً از سایتهایی نسبت به تهیه قالبها و پلاگینها اقدام نمایید که دارای سابقهای مشخص و اعتباری قابل قبول باشند.
استفاده از قالبها و پلاگینهای کرکشده یا نامعتبر امنیت سایت شما را به شدت کاهش میدهد و به دنبال آن مشکلاتی نظیر ارسال اسپم به وجود خواهد آمد. شاید بهتر باشد برای اطمینان از عملکرد صحیح تم و افزونه ها از سایت ساز و فروشگاه ساز سیتی سایت استفاده کنید.
استفاده از افزونههای ارسال ایمیل از طریق SMTP
در حالت پیشفرض وردپرس از تابع php mail و بدون احراز هویت برای ارسال ایمیل استفاده میکند. این مورد امنیت هاست ایمیل را کاهش داده و راه را برای ارسال تعداد بالای ایمیلهای اسپم فراهم میکند. افزونههای وردپرسی زیادی برای مدیریت ارسال ایمیل و احراز هویت (Authentication) وجود دارد که از معروفترین و متداولترین آنها میتوان به افزونه Postman SMTP Mailer/Email Log اشاره کرد. چگونگی نصب و کانفیگ این افزونه را میتوانید در لینک زیر مشاهده بفرمایید.
پلاگین ارسال ایمیل وردپرس postman
استفاده از کپچا در فرمهای تماس
یکی از شایعترین دلایل ارسال اسپم در فایلهای وردپرسی مجهز نبودن سایت به کد کپچا میباشد. همانطور که ذکر شد ارسال اسپم توسط رباتها و بصورت خودکار انجام میشود و اگر بتوان محدودیتی برای دسترسی رباتها به ارسال ایمیل ایجاد کرد میتوان از ارسال ایمیل اسپم نیز جلوگیری کرد. یکی از راههای شناخت و ممانعت از رباتها، استفاده از کد کپچا میباشد.
افزونههای زیادی در وردپرس برای ایجاد کد کپچا در فرمهای تماس وجود دارند اما ما اینجا قصد معرفی افزونهای را داریم که علاوه بر امکان فعالسازی کپچا در فرمها، قابلیتهای دیگری دارد که امنیت هاست وردپرس را تا حد زیادی افزایش میدهد و نفوذ/هک و به طبع آن ارسال اسپم سایتهای وردپرسی را به حداقل میرساند.
افزونهای که قصد معرفی آن را داریم All in one wp Security نام دارد که از طریق لینک زیر در سایت مرجع وردپرس قابل دانلود است.
با نصب این افزونه و مرور بخش تنظیمات آن به قابلیتهای بسیار کاربردی آن پی خواهید برد.
امکان فعالسازی کد کپچا در فرمهای تماس، تغییر صفحه پیشفرض لاگین به پنل مدیریت وردپرس، فعالسازی فایروال به منظور جلوگیری از نفوذ و … از جمله قابلیتهای کاربردی این افزونه میباشد.
حتماً و حتماً این افزونه را نصب کنید و بهخصوص کد کپچا و فایروال را در آن فعال کرده و آدرس صفحه پیشفرض لاگین به پنل مدیریت وردپرس که بصورت wp-admin میباشد را تغییر دهید.
جلوگیری از ارسال اسپم در سایتی که هماکنون در حال ارسال اسپم است
مواردی که عنوان شد عموما پیشگیریهایی در زمینه ارسال اسپم بود، اما اگر سایت شما هماکنون با مشکل ارسال اسپم مواجه است، علاوه بر رعایت موارد بالا لازم است که اقدامها دیگری از جمله شناسایی فایلهای مخرب در میزبانی و حذف آنها و یا حذف کدهای مخرب در فایلهای وردپرس نمود.
یکی از راههای شناسایی فایلها و کدهای مخرب استفاده از قابلیت اسکن در پلاگین All in one wp security میباشد. راه دیگر شناسایی کدها و فایلهای مخرب به صورت دسترسی میباشد که گاهی اوقات لازم است این مورد انجام شود، چرا که ممکن است اسکنر افزونه مذکور نتواند تمامی فایلهای مخرب را شناسایی کند.
در خصوص شناسایی کدها و فایلهای مخرب وردپرس در مقاله زیر توضیحاتی عنوان شده است که میتوانید مطالعه نمایید.
بدافزار شناخته شدن سایت توسط گوگل
استفاده از سرویسدهنده مناسب میزبانی
ممکن است با رعایت تمامی موارد ذکر شده در بالا هم ارسال اسپم در سایتتان ادامه داشته باشد. در چنین مواردی میتوانید با اتومبیلتان تا حد ممکن از شهر خارج شده، به ارتفاعات رفته و در سکوت و به دور ازدحام شهر نفس عمیق بکشید (تکرار میکنم فقط نفس عمیق بکشید، استعمال دخانیات به هیچ وجه توصیه نمیشود چرا که برای سلامتی زیانآور است) (:D)
یا راه دیگر این است که به آخرین احتمالی که به نظر ما میرسد توجه کنید. سرور میزبانی کننده سایت شما نقش بسیار موثری در تأمین امنیت وبسایت شما دارد. اگر سرور به درستی کانفیگ نشود و فاکتورهای امنیتی بر روی آن پیادهسازی نشده باشند، هرقدر هم وبسایت شما از لحاظ نرمافزاری امن باشد باز هم ممکن به سایتتان نفوذ انجام شده و عواقبی چون ارسال اسپم مشاهده شود.
بنابراین تهیه هاست مناسب برای میزبانی وبسایتتان از اهمیت فوقالعاده بالایی برخوردار است. ما در سیتی سایت برای سایتهای وردپرسی هاستی صرفاً و منحصرا برای این سیستم مدیریت محتوا تحت عنوان هاست وردپرسی تهیه کردهایم.
این نوع میزبانی مجهز به سیستم جلوگیری از نفوذ یا IPS میباشد که با کانفیگ آن بسیاری از حملات شناختهشده وردپرسی شناسایی و در نطفه خنثی میشوند. دیسک سرور از نوع SSD , NVMe میباشد که سرعت لود وبسایت را تا چندین برابر افزایش میدهد. سرور مجهز به کرنل کلودلینوکس بوده که در صورت مصرف بالای یکی از کاربران از منابع سرور با اعمال محدودیتهایی برای کاربر مذکور از بروز اختلال در سایر وبسایتها جلوگیری کرده و عملاً داونتایم سرور را صفر میکند. سرور به طور مداوم توسط آنتیویروسهای معتبر اسکن شده و در صورت مشاهده موردی مشکوک جهت رفع مورد سریعاً به کاربرا اطلاعرسانی میشود. بکاپها نیز بر روی دو سرور لوکال و ریموت نگهداری میشوند که در صورت بروز مشکل احتمالی با بازگردانی آنها امکان رفع مورد در سریعترین زمان ممکن وجود خواهد داشت.
توجه داشته باشید که امنیت یک امر نسبی است و تأمین صد درصدی آن ادعایی است که هیچکس نمیتواند آن را داشته باشد. موارد ذکر شده نیز صرفاً حاصل تجربیات شخصی بوده و ممکن است راهکارهایی دیگری وجود داشته باشد که با پیادهسازی آنها امنیت وبسایت بهبود یابد. امیدواریم که موارد ذکر شده پاسخگوی نیاز شما باشند و بتوانند مشکل ارسال اسپم شما را به کلی رفع نمایند.
