جلوگیری از ارسال اسپم توسط سایت‌های وردپرسی

- 2016 November-9
جلوگیری از ارسال اسپم سایت‌های وردپرسی

اگر شما هم سایتتان را با سیستم مدیریت محتوای وردپرس مدیریت می‌کنید به احتمال زیاد با اخطارهایی از سمت سرویس‌دهنده هاستیگ در خصوص ارسال ایمیل انبوه یا اسپم از طریق سایتتان مواجه شده‌اید.

وردپرس، پرکاربردترین سیستم مدیریت‌محتوای متن‌باز دنیاست. ویژگی‌های فوق‌العاده و انعطاف‌پذیری بسیار بالای آن باعث شده است که صفت پرکاربردترین را از آن خود کند. با وجود این این سیستم پرکاربرد و محبوب گاهی اوقات دردسرهایی را می‌تواند به همراه داشته باشد که وبمستر را ناچار به ترک سیستم وردپرس فعلی و پایه‌گذاری یک سیستم جدید می‌کند.

این ایرادات هرچند بزرگ، اما با رعایت موارد امنیتی جزئی قابل پیشگیری می‌باشند. در این مقاله سعی بر آن بوده است که با بهره‌گیری از برخی تجربیات، ارسال اسپم در سایت‌های وردپرسی را به حداقل برسانیم. در ادامه راهکارهایی در این خصوص ذکر می‌شود.


امن‌سازی اکانت‌های ایمیل و کلمات عبور


یکی از شایع‌ترین دلایلی که می‌تواند منجر به ارسال اسپم از طریق یک وبسایت شود ساده و قابل‌حدس بودن کلمات عبور اکانت‌های ایمیل ایجاد شده روی هاست است. ربات‌های اسپمر به سادگی با برخی آزمون‌ و خطاها می‌توانند کلمات عبور این اکانت‌ها را به دست آورده و شروع به ارسال تعداد بالای ایمیل و ایجاد اختلال در سرور میزبانی کنند. بنابراین همواره لازم است که در تعیین کلمات عبور اکانت‌های ایمیل از عبارات پیچیده و غیرقابل حدس شامل اعداد، حروف کوچک و بزرگ و کاراکترهای خاص مثل & استفاده شود. نکته دیگری که وجود دارد تغییر دوره‌ای کلمات عبور است.  بهتر است حداکثر هر 30 روز یکبار کلمات عبور اکانت‌های ایمیل، پنل هاستینگ و پنل مدیریت سیستم مدیریت محتوای وردپرس را تغییر دهید. بهتر است برای ایجاد پسورد از نرم‌افزارهایی مثل KeePass که به صورت تصادفی کلمات عبور پیچیده ایجاد می‌کنند استفاده کنید تا از احتمالات انسانی در تعیین کلمات عبور ساده جلوگیری شود.


بروزرسانی مداوم قالب‌، پلاگین‌ها و هسته وردپرس


همانطور که ذکر شد وردپرس یک سیستم مدیریت محتوای عمومی و متن‌باز است. بنابراین ساختار آن کاملاً مشخص است و این امر نفوذپذیری آن را افزایش می‌دهد. از همین رو توسعه‌دهندگان وردپرس دائماً در حال فعالیت بر روی این سیستم بوده و به محض پیدا کردن باگ در آن نسبت به رفع آن و انتشار نسخه جدید می‌کنند. بنابراین لازم است که همواره قالب، پلاگین‌ها و هسته وردپرس شما به آخرین نسخه بروزرسانی شود تا از نفوذهایی که از طریق باگ‌ها انجام می‌شود جلوگیری کنید.


استفاده از افزونه‌ها و قالب‌های معتبر


هرکسی که دانش برنامه‌نویسی php داشته و با سیستم مدیریت محتوای وردپرس آشنایی داشته باشد می‌تواند برای آن طراحی افزونه و قالب انجام دهد. نکته‌ای که بسیار حائز اهمیت است این است که همواره از منابع رسمی و معتبر نسبت به دانلود و نصب پلاگین‌ها و پوسته‌های وردپرس اقدام شود. تا جایی که ممکن است نیازهای خود را از طریق سایت مرجع وردپرس به نشانی wordpress.org دنبال کنید. اگر احتیاج به موردی داشتید که در سایت مرجع یافت نشد، حتماً از سایت‌هایی نسبت به تهیه قالب‌ها و پلاگین‌ها اقدام نمایید که دارای سابقه‌ای مشخص و اعتباری قابل قبول باشند.

استفاده از قالب‌ها و پلاگین‌های کرک‌شده یا نامعتبر امنیت سایت شما را به شدت کاهش می‌دهد و به دنبال آن مشکلاتی نظیر ارسال اسپم به وجود خواهد آمد.



استفاده از افزونه‌های ارسال ایمیل از طریق SMTP


در حالت پیشفرض وردپرس از تابع php mail و بدون احراز هویت برای ارسال ایمیل استفاده می‌کند. این مورد امنیت ارسال ایمیل را کاهش داده و راه را برای ارسال تعداد بالای ایمیل‌های اسپم فراهم می‌کند. افزونه‌های وردپرسی زیادی برای مدیریت ارسال ایمیل و احراز هویت (Authentication) وجود دارد که از معروف‌ترین و متداول‌ترین آن‌ها می‌توان به افزونه Postman SMTP Mailer/Email Log اشاره کرد. چگونگی نصب و کانفیگ این افزونه را می‌توانید در لینک زیر مشاهده بفرمایید.


پلاگین ارسال ایمیل وردپرس postman


استفاده از کپچا در فرم‌های تماس


یکی از شایع‌ترین دلایل ارسال اسپم در فایل‌های وردپرسی مجهز نبودن سایت به کد کپچا می‌باشد. همانطور که ذکر شد ارسال اسپم توسط ربات‌ها و بصورت خودکار انجام می‌شود و اگر بتوان محدودیتی برای دسترسی ربات‌ها به ارسال ایمیل ایجاد کرد می‌توان از ارسال ایمیل اسپم نیز جلوگیری کرد. یکی از راه‌های شناخت و ممانعت از ربات‌ها، استفاده از کد کپچا می‌باشد.

افزونه‌های زیادی در وردپرس برای ایجاد کد کپچا در فرم‌های تماس وجود دارند اما ما اینجا قصد معرفی افزونه‌ای را داریم که علاوه بر امکان فعالسازی کپچا در فرم‌ها، قابلیت‌های دیگری دارد که امنیت وردپرس را تا حد زیادی افزایش می‌دهد و نفوذ/هک و به طبع آن ارسال اسپم سایت‌های وردپرسی را به حداقل می‌رساند.


افزونه‌ای که قصد معرفی آن را داریم All in one wp Security نام دارد که از طریق لینک زیر در سایت مرجع وردپرس قابل دانلود است.


https://wordpress.org/plugins/all-in-one-wp-security-and-firewall


با نصب این افزونه و مرور بخش تنظیمات آن به قابلیت‌های بسیار کاربردی آن پی خواهید برد.

امکان فعالسازی کد کپچا در فرم‌های تماس، تغییر صفحه پیشفرض لاگین به پنل مدیریت وردپرس، فعالسازی فایروال به منظور جلوگیری از نفوذ و … از جمله قابلیت‌های کاربردی این افزونه می‌باشد.

حتماً و حتماً این افزونه را نصب کنید و به‌خصوص کد کپچا و فایروال را در آن فعال کرده و آدرس صفحه پیشفرض لاگین به پنل مدیریت وردپرس که بصورت wp-admin می‌باشد را تغییر دهید.


جلوگیری از ارسال اسپم در سایتی که هم‌اکنون در حال ارسال اسپم است


مواردی که عنوان شد عموما پیشگیری‌هایی در زمینه ارسال اسپم بود، اما اگر سایت شما هم‌اکنون با مشکل ارسال اسپم مواجه است، علاوه بر رعایت موارد بالا لازم است که اقدام‌ها دیگری از جمله شناسایی فایل‌های مخرب در میزبانی و حذف آن‌ها و یا حذف کدهای مخرب در فایل‌های وردپرس نمود.

یکی از راه‌های شناسایی فایل‌ها و کدهای مخرب استفاده از قابلیت اسکن در پلاگین All in one wp security می‌باشد. راه دیگر شناسایی کدها و فایل‌های مخرب به صورت دسترسی می‌باشد که گاهی اوقات لازم است این مورد انجام شود، چرا که ممکن است اسکنر افزونه مذکور نتواند تمامی فایل‌های مخرب را شناسایی کند.

در خصوص شناسایی کدها و فایل‌های مخرب وردپرس در مقاله زیر توضیحاتی عنوان شده است که می‌توانید مطالعه نمایید.


بدافزار شناخته شدن سایت توسط گوگل


استفاده از سرویس‌دهنده مناسب میزبانی


ممکن است با رعایت تمامی موارد ذکر شده در بالا هم ارسال اسپم در سایتتان ادامه داشته باشد. در چنین مواردی می‌توانید با اتومبیل‌تان تا حد ممکن از شهر خارج شده، به ارتفاعات رفته و در سکوت و به دور ازدحام شهر نفس عمیق بکشید (تکرار می‌کنم فقط نفس عمیق بکشید، استعمال دخانیات به هیچ وجه توصیه نمی‌شود چرا که برای سلامتی زیان‌آور است) (:D) 

یا راه دیگر این است که به آخرین احتمالی که به نظر ما می‌رسد توجه کنید. سرور میزبانی کننده سایت شما نقش بسیار موثری در تأمین امنیت وبسایت شما دارد. اگر سرور به درستی کانفیگ نشود و فاکتورهای امنیتی بر روی آن پیاده‌سازی نشده باشند، هرقدر هم وبسایت شما از لحاظ نرم‌افزاری امن باشد باز هم ممکن به سایتتان نفوذ انجام شده و عواقبی چون ارسال اسپم مشاهده شود.

بنابراین تهیه هاست مناسب برای میزبانی وبسایتتان از اهمیت فوق‌العاده بالایی برخوردار است. ما در وب رمز برای سایت‌های وردپرسی هاستی صرفاً و منحصرا برای این سیستم مدیریت محتوا تحت عنوان هاست وردپرس تهیه کرده‌ایم.

این نوع میزبانی مجهز به سیستم جلوگیری از نفوذ یا IPS می‌باشد که با کانفیگ آن بسیاری از حملات شناخته‌شده وردپرسی شناسایی و در نطفه خنثی می‌شوند. دیسک سرور از نوع SSD می‌باشد که سرعت لود وبسایت را تا چندین برابر افزایش می‌دهد. سرور مجهز به کلاودلینوکس بوده که در صورت مصرف بالای یکی از کاربران از منابع سرور با اعمال محدودیت‌هایی برای کاربر مذکور از بروز اختلال در سایر وبسایت‌ها جلوگیری کرده و عملاً داون‌تایم سرور را صفر می‌کند. سرور به طور مداوم توسط آنتی‌ویروس‌های معتبر اسکن شده و در صورت مشاهده موردی مشکوک جهت رفع مورد سریعاً به کاربرا اطلاع‌رسانی می‌شود. بکاپ‌ها نیز بر روی دو سرور لوکال و ریموت نگهداری می‌شوند که در صورت بروز مشکل احتمالی با بازگردانی آن‌ها امکان رفع مورد در سریعترین زمان ممکن وجود خواهد داشت.


توجه داشته باشید که امنیت یک امر نسبی است و تأمین صد درصدی آن ادعایی است که هیچ‌کس نمی‌تواند آن را داشته باشد. موارد ذکر شده نیز صرفاً حاصل تجربیات شخصی بوده و ممکن است راهکارهایی دیگری وجود داشته باشد که با پیاده‌سازی آن‌ها امنیت وبسایت بهبود یابد. امیدواریم که موارد ذکر شده پاسخگوی نیاز شما باشند و بتوانند مشکل ارسال اسپم شما را به کلی رفع نمایند.