با سلام
اینکه ما در میهن هاستینگ بسیار از امنیت وردپرس حرف میزنیم بخاطر این هست که بسیاری از سایتهای ایرانی از این سیستم مدیریت محتوا استفاده میکنند.
یکی از مهمترین و پایهایترین اقدامات امنیتی در هر سیستم access control (کنترل دسترسی) میباشد، ابزاری که مشخص میکند هر کاربر چگونه و به چه بخشهایی دسترسی و در هر بخش توانایی انجام چه کارهایی را داشتهباشد.
کنترل دسترسی بدون نظارت و اجرا مانند قانونی است که مراجع اجرا و کنترل قانون به اجرای آن اهمیت ندهند، این قانون پس از مدتی فراموش خواهدشد و معنای خود را از دست خواهد داد.
known as roles and capabilities یک ابزار قدرتمند در وردپرس برای مدیریت کنترل دسترسی میباشد، به کمک این ابزار میتوان تعیین کرد، هر کاربر اجازه دارد چه کارهایی را در چه بخشهایی انجام دهد؛ اما متاسفانه این ابزار فاقد تواناییهای خوب نظارت (مانیتورینگ) است.
هدف از نظارت این است که به مدیر(ان) سایت دید لازم در باره آنچه در هر لحظه در سایت رخ میدهد، دادهشود. نظارت کردن یک گستره بزرگ است، ما اینجا قصد داریم در پاسخ به سوال مطرح شده و تنها در ارتباط با لاگین صحبت کنیم.
امکان Last Logins در پلاگین SUCURI:
متاسفانه سایتساز وردپرس ابزاری برای مانیتور لاگینها ندارد، بنابراین باید از پلاگینهای کمکی آن استفاده کرد. اگر میخواهید بدانید چه کسی به سایت شما لاگین کردهاست (چه زمانی و از کجا؟)، از پلاگین SUCURI استفاده نمایید، یکی از قابلیتهای مفید آن نمایش Last login (آخرین لاگین)ها به وبسایت میباشد. این پلاگین به مدیر سایت جدولی مانند تصویر زیر ارائه میدهد، جدول حاوی اطلاعات کاربرانی است که بهسایت لاگین کردهاند همراه با IP (در تصویر زیر IPها مخفی شدهاند) و زمان ورودشان.
اهمیت نظارت (مانیتور) کنترل دسترسی:
توضیح کامل در خصوص اهمیت مانیتورینگ لاگینها در این مقاله نمیگنجد، اما برای بیان آن همین کافی است که روزانه ما حوادث بسیاری از مسائل امنیتی وردپرسها را بررسی میکنیم که مدیران آنها هیچ ایدهای از اینکه چه کاربرانی که به سایت لاگین کردهاند، ندارند. این در حالی است که در خیلی از نمونهها نظارت پایه میتواند مدیر سایت را متوجه اتفاقات مشکوک نمایید و در نتیجه مانع بروز مشکلات بزرگتر شود، به عنوان مثال میتوان از موراد مشکوک زیر نام برد:
- مدیر سایت در تهران قرار دارد، در حالی که برای کاربر او لاگین از چین ثبت شدهاست!
- مدیر از سایت خارج شده، در حالی که مانیتور لاگینها به اون نشان میدهد در تمام آن زمان همچنان کاربر او لاگین بودهاست!
- مانیتورینگ اتصال کاربری را به سایت نماش میدهد که توسط مدیر سایت ایجاد نشدهاست و یا آن سایت اصلا امکان عضویت ندارد!