hsts

گروه IETF پروتکلی با نام HSTS معرفی کرده که به عنوان پیشنهاد استاندارد پذیرفته شده است. یك پروتكل امنیت وب كه برای محافظت از كاربران در وب سایتهایی كه از رمزنگاری استفاده نمی‌كنند طراحی شده است، به عنوان پیش نویس استاندارد در این زمینه پذیرفته شد.
این پروتكل جدید كه توسط گروه IETF(Internet Engineering Task Force) طراحی شده است، HSTS نام دارد كه مخفف HTTP Strict Transport Security می‌باشد.
پروتكل HSTS برای مقابله با سرقت نشست (session Hijacking) طراحی شده است كه در آن هكرها با شنود پیغام‌های رد و بدل شده بین كاربر و وب سایت اقدام به سرقت كوكی ها كرده و به اطلاعات ورود به سیستم كاربر دست پیدا می كنند.
پذیرفته شدن این پیشنهاد به عنوان استاندارد بستگی به پیچیدگی های فنی داشته و همچنین لازم است بتواند فواید قابل توجهی را به دنیای اینترنت عرضه دارد.
این پروتكل در حال حاضر توسط وب سایت های PayPal، Blogspot و Etsy مورد استفاده قرار گرفته است. همچنین پروتكل مذكور در مرورگرهای كروم، فایرفاكس 4 و اپرای 12 مورد استفاده قرار گرفته است. با این وجود هنوز IE و اپل سفری به این پروتكل روی نیاورده اند.
جهت اسکن وبسایت خود از لینک زیر استفاده کنید
https://hstspreload.org
برای سایت وردپرسی خود میتوانید ابتدا گواهی ssl تهیه کنید سپس افزونه Really Simple SSL را نصب کنید.

ویژگی های نرم افزار
اسکن محتوای مخلوط، که نشان می دهد شما چه کاری باید انجام دهید اگر هنوز قفل سبز ندارید

گزینه ای برای فعال کردن امنیت HTTP Strict Transport Security

گزینه ای برای پیکربندی سایت خود برای لیست پیش بارگیری HSTS

فیشر محتوی مخلوط

بازخورد دقیق تر در صفحه تنظیمات.

بررسی انقضا گواهی: هنگامی که گواهینامه SSL شما به پایان می رسد، یک ایمیل دریافت کنید.

این پلاگین مسائل مربوط به وردپرس را با ssl مدیریت می کند، مانند زمانی که شما در حال پشت سر گذاشتن پروکسی / loadbalancer هستید.

تمام درخواست های ورودی به https هدایت می شوند. پیش فرض با یک تغییر مسیر داخلی وردپرس اینکار را انجام می دهد. اما شما همچنین می توانید تغییر مسیر .htaccess را فعال کنید.

آدرس سایت و آدرس سایت به https تغییر می کند.

محتوای ناامن شما با جایگزینی تمام نشانی های http: // با https: // ثابت می شود، به جز لینک های hyperlinks به دامنه های دیگر. به طور پویا، پس هیچ تغییری در پایگاه داده انجام نمی شود (به استثنای siteurl و homeurl).

session hijacking

Especially if protocol-relative URLs are used for CDN links, their domain is not in the browser’s HSTS preload list, and the first request is not made over HTTP, there is a high risk of man-in-the-middle attacks.
Of course if the web site/app is served over HTTP it is already exposed to those types of attacks, but in general CDNs constitute a high-value target, and therefore, are much more likely to be attacked than most of the individual sites that use them.

If a site sends the preload directive in an HSTS header, it is considered to be requesting inclusion in the preload list and may be submitted via the form on this site.

In order to be accepted to the HSTS preload list through this form, your site must satisfy the following set of requirements:

  1. Serve a valid certificate.
  2. Redirect from HTTP to HTTPS on the same host, if you are listening on port 80.
  3. Serve all subdomains over HTTPS.
    • In particular, you must support HTTPS for the www subdomain if a DNS record for that subdomain exists.
  4. Serve an HSTS header on the base domain for HTTPS requests:
    • The max-age must be at least 31536000 seconds (1 year).
    • The includeSubDomains directive must be specified.
    • The preload directive must be specified.
    • If you are serving an additional redirect from your HTTPS site, that redirect must still have the HSTS header (rather than the page it redirects to).
حمله فیشینگ

بعد از حمله phishing به سایت چه کنیم؟

حمله فیشینگ  phishing چیست ؟

ما زمانی دنبال این مقاله میگردیم که کار از کار گذشته سایتمون هک شده.

نگران نباشید با هم مشکل  حل میکنیم.

اولین کاری که باید انجام بدین اینه که لاگ هاستو چک کنین و یا از سریس دهنده هاستینگ بخواین لیست لاگ های اخیر براتون بفرسته اینجوری متوجه اینکه چه فایل هایی  دستکاری شده اند  و میتونید فایل های آلودرو از بین ببرید و با فایل سالم بک آپ جایگزین کنید.ولی باید کار اساسی تری انجام داد.

1)هکر ها در میان فایل های سیستم معمولا فایلی مشابه نامهای دیگر ایجاد میکنند و برای بازگشت به وبسایت راهی برای خود به جا میگزارند. پس بهتره بدون معطلی اول تمام پسوورد های هاست ، پنل سایت ، ایمیل ها  و ftp  تغییر بدین و کلمه عبور سخت انتخاب کنید.

2)کل محتویات هاستتون پاک کنید

3) بک آپ سایت خود را جایگزین آن کنید.

4) با استفاده از سایت های زیر سایت خود را اسکن کنید.

https://app.webinspector.com/
https://www.tinfoilsecurity.com
https://asafaweb.com
https://sitecheck.sucuri.net
….

5) از نظر امنیتی سایت خود را ایمن کنید

روش های زیادی وجود داره از جمله

  • برای صفحه لاگین دو مرحله پسورد قرار دهید.
  • همه قسمت ها سایت را آپدیت کنید ( پلاگین ، تم )
  • آی پی هایی که چند بار پسورد اشتباه وارد میکنند را بلاک کنید.
  • htaccess  را امن کنید.
  • ایمیل های هاست خود را چک کنید معمولا هکر ها ایمیل جدیدی ایجاد میکنند و به ایمیل شخصی خود فوروارد میکنند.
  • کار را یه متخصص امنیت بسپارید

6)اکنون سایت شما توسط گوگل و آنتی ویروس ها مسدود شده است برای رفع این مشکل

  • وارد اکانت وبمستر گوگل شوید اگر تا قبل از این عضو نشده بودید ابتدا باید سایت خود را با زدن دکنه property ابتدا اضافه کنید و مراحل varify  را انجام دهید سپس وارد شوید و از منو سمت چپ گزینه  security issuese را انتخاب کنید لیست لینک ها آلوده برایتان نمایش داده میشود بعد از اطمینان از اینکه لینک ها را حذف و یا اصلاح کردید ، گزینه  i fixed..  را کلیک کنید و در خواست بررسی مجدد برای گوگل بفرستید.
  • همچنین وارد منوی crawl / fetch as google  شده و درخواست دهید سایتتان fetch & render  شود.
  • در صورتی که وب سایت شما توسط آنتی ویروس ESET Nod32 بلاک شده است می بایست ایمیلی به آدرس ایمیل samples@eset.com ارسال نمایید و در عنوان نام دامنه خود را ذکر کنید. همچنین در بدنه ایمیل مشکل خود را به همراه نام دامنه خود مجددا توضیح داده و درخواست رفع بلاک نمایید. همچنین در ضمیمه ایمیل خطایی که در زمان رویت وب سایت توسط ESET Nod32 نمایش داده می شود را ضمیمه نمایید. ایمیل شما بررسی خواهد شد و در صورت نبود مشکل معمولا ظرف مدت دو روز در دیتابیس ESET Nod32 ثبت می گردد و در به روز رسانی بعدی لحاظ می گردد.
  • در صورتی که وب سایت شما توسط آنتی ویروس norton بلاک شده است وارد وبسایت  https://safeweb.norton.com/  شوید ثبت نام کنید در قسمت پروفایل خود در تب site dispute  وبسایت خود را اضافه و varify  کنید    در خواست مجدد برای بررسی دهید.

7) 2روز تا 2 هفته درخواست های شما بررسی میشود و سایت شما به حالت قبل باز میگردد

 

لطفا تجربیات خود را در قسمت دیدگاه بیان کنید.

هک

محققانی در سن‌دیگو یک ابزار تست جدید ابداع کرده‌اند که نشان می‌دهد هر ساله ده‌ها میلیون وب‌سایت در معرض هک هستند. تیم مهندسی ژاکوب در سن‌دیگو ادعا کرد که یک درصد از سایت‌ها در یک دوره ۱۸ ماهه به وسیله ابزار “tripwire” توسط آنها دچار شکست امنیتی شدند. این موضوع برای تمام وب‌سایت‌ها صرف نظر از مقیاس سایت صادق است.

به گزارش ایتنا از ایسنا، الکس اسنورن، نویسنده ارشد روزنامه می‌گوید: هیچ موردی از این قاعده مستثنی نیست – سایت‌های شرکتی یا مردمی – این موضوع رخ می‌دهد و تنها بحث زمان وقوع آن مطرح است. من به وجد آمده‌ام که سایت‌هایی که ما با آنها در تعامل هستیم موضوع را جدی گرفتند. هنوز هیچ یک از وب‌سایت‌ها تصمیم به فاش کردن نقض امنیتی برای مشتری‌های خود آن‌طور که محققان برملا کردند، نگرفته‌اند. واقعیت این است که این شرکت‌ها برای حضور به عنوان بخشی از این مطالعه اعلام آمادگی نکرده‌اند.

پروژه “tripwire” با استفاده از یک روبات برای هر وب‌سایت یک حساب کاربری می‌سازد که به یک آدرس ایمیل منحصربه‌فرد وصل می‌شود و همان رمز عبور برای ایمیل و حساب کاربری وب‌سایت مورداستفاده قرار می‌گیرد. سپس گروه منتظر می‌ماند تا اگر نفر سومی از آن رمز عبور برای دسترسی به ایمیل استفاده کند، به این معنی خواهد بود که اطلاعات حساب وب‌سایت به بیرون درز کرده است.

بر اساس آمار و گزارشی که در وب‌سایت پلیس فتا منتشر شده است، به‌منظور اطمینان از اینکه شکاف امنیتی پیامد مشکلات وب‌سایت هست (و نه حساب ایمیل)، گروه یک گروه کنترلی متشکل از ۱۰۰۰ حساب ایمیل توسط یک تامین‌کننده ساخت که به هیچ حساب وب‌سایت دیگری متصل نبود. آن‌ها پی بردند که هیچ‌یک از این حساب‌های ایمیل توسط گروه سومی قابل‌دسترسی نبودند.

محققان ادعا کردند در مجموع، ۱۹ مورد از ۲۳۰۰ ایمیل متصل به‌حساب وب‌سایت که شامل ۴۵ میلیون کاربر فعال بود هک شدند. گروه مهندسی ژاکوب توصیه کرد که کاربران از یک رمز عبور برای چندین حساب استفاده نکنند تا میزان اطلاعات متصل به وب‌سایت‌ها بهینه شود و از یک نرم‌افزار مدیریت پسورد استفاده کنند.

how-safe-is-your-site-frome-cyber-attack

بسیاری از ما با ایمیل های اسپم را تجربه کرده ایم، برخی از آنها دارای یک ویروس هستند که می توانند رایانه های ما را به خطر بیندازند و باعث می شوند ساعتها، اگر حتی روزها ، باعث ناراحتی و خرابکاری شوند. ما همیشه نمی دانیم که این اتفاق افتاده است، و گاهی اوقات سیستم های داخلی ما در خانه می توانند به گسترش تهدید مهاجمان اینترنتی کمک کنند.

در هفته های اخیر، سایت های وردپرس هدف خاصی از “حملات خشونت آمیز” بوده اند – جستجوی خودکار کاملی از ترکیب جادویی نام کاربری و رمز عبور که می تواند موجب فاجعه به دست خودمان شود.

در بهترین حالت، این تلاش مکرر برای ورود به سیستم می تواند عملکرد سایت شما را تحت تاثیر قرار دهد. در بدترین حالت، تلاش های موفق که منجر به نقض سایت شما می شود، ممکن است همه آنها را با یکدیگر کنار بگذارند یا یک محیط آلوده دیگر ایجاد کنند که به مشکل گسترده تر کمک می کند. این جزو مسئولیت ما است که بتوانیم از خودمان و دیگران از این خطر محافظت کنیم.

Many of us have had experience with spam emails, some of which carry a virus which can compromise our computers and cause hours, if not days, of inconvenience and frustration. We’re not always aware it’s happened, and sometimes our own systems at home can contribute to the expanding threat of cyber attackers.

In recent weeks, WordPress sites have been a particular target of “brute force attacks” – exhaustive automated searches for that magic combination of username and password that can spell disaster when it falls into the wrong hands.

At best, these repeated attempts to log in can affect the performance of your site. At worst, successful attempts which result in the violation of your site may bring it down all together, or create yet another infected environment which will contribute to the wider problem. We all have a responsibility to do what we can to protect ourselves, and others, from this risk.

هکرها نیمی از جواب را نمیدهند!

شگفت انگیز اما درست است: بسیاری از مدیران سایت وردپرس از “Admin” به عنوان نام کاربری خود استفاده می کنند! این خبر نیست – اما مطمئنا بدترین کار است. کریس جین، در مقاله ای عالی برای iThemes، معتقد است که تقریبا 99 درصد از تلاش ها برای استفاده از “admin” برای نام کاربری استفاده می شود. اگر این را با یک رمز عبور ضعیف مخلوط کنید، و شما می توانید در معرض مشکل باشید.

برای محافظت در برابر مشکلات، اینها اولین چیزهایی هستند که من انجام می دهم ،زمانی  که من یک نصب جدید وردپرس ایجاد می کنم:

یک کاربر جدید با مجوزهای سطح Administrator و یک رمز عبور قوی ایجاد کنید.
به عنوان کاربر به نام Administrator از سیستم خارج شوید و دوباره به عنوان کاربر جدید وارد شوید.
از ورود کاربر جدید، من کاربر اصلی را به نام Admin حذف می کنم.

استفاده از یک رمز عبور قوی نیز مهم است. حتما از ترکیبی از حروف و اعداد حروف، اعداد و یک علامت مانند @ استفاده کنید، و یا # … شما باید بتوانید چیزی را که میتوانید به  یادتان بسپارید با این وجود که پیچیده هم هست .

Don’t give the hackers half the answer!

Amazing but true: many WordPress site administrators are using “Admin” as their username! This is not news – but it is certainly bad practice. Chris Jean, in his excellent article for iThemes, reckons that almost 99% of attempts are using “admin” for the username. Mix this with a weak password, and you could be in trouble.

To safeguard against trouble, these are the very first things I do when I create a new installation of WordPress:

  1. Create a new user with Administrator-level permissions, and a strong password.
  2. Log out as the user named Admin, and log back in as the new user.
  3. From the new user login, I delete the original user named Admin.

Using a strong password is also important. Be sure to use a combination of upper and lower case letters, numbers, and a symbol like @, & or #…you should be able to come up with something memorable which is nevertheless complex.

افزایش امنیت وردپرس را جدی بگیرید ، تمام زحمات شما در ارتباط با سئو ممکن است با یک سهل انگاری دچار سقوط شود
Take seriously the increased security of WordPress, all your work in conjunction with SEO may fall with a negligence.