* اگر به سایت Youtube دسترسی ندارید این مطلب به درد تان نخواهد خورد.
امروز در حال فید خوانی با سایت Wibe7.tv آشنا شدم ، این سایت جستجو میان ویدیو های یوتیوب را بسیار آسان و لذت بخش می کند. به این صورت که فقط عکس های بند انگشتی از ویدیو ها را کنار هم و بدون هیچ نوشته ای قرار می دهد و می توانید به راحتی از میان آنها ویدیو مورد علاقه تان را انتخاب کنید. همین.
1- مخاطبان من بعد از چند ثانیه هدف اصلی پست من را می فهمند؟
اکثر کاربران اینترنت در همان ثانیه های اول تصمیم می گیرند که مطلب را بخوانند یا صفحه را ببندند. اگر می خواهید آن چه می نویسید خوانده شود و به شما توجه شود باید جوری بنویسید که منظورتان در کمترین زمان ممکن و به بهترین نحو ممکن برای مخاطب تفهیم شود.
2- آیا من چیز جدید یا مبتکرانه ای ارایه می کنم؟
پست های خودتان را مرور کنید و با صداقت به این سوال پاسخ دهید. آیا مطالب شما چیز جدیدی برای مخاطبانتان دارد؟ چیزی که با دیدن آن با خودشان بگویند «دمش گرم!»؟ آیا ابتکاری از خودتان در پست ها خصوصآ آنها که ترجمه می کنید به خرج می دهید؟ چیزی مثل بومی سازی پست؟ اگر پاسختان منفی است باید قبول کنید که کم طرفدار بودن وبلاگتان بی انصافی در حق شما نیست چون وقت هر نفر میلیون ها برابر کمتر از آنی است که بخواهد خط به خط هر وبلاگی را بخواند. پس اگر می خواهید خوانده شوید باید چیزی بنویسید که در میان این همه نوشته اولویت خوانده شدن را داشته باشد.
3- مطلب من واقعآ چقدر به کار مخاطبم خواهد آمد؟
این موضوع تقریبآ شبیه سوال بالایی است اما از این نظر تفاوت دارد که تنها جلب کردن توجه مخاطب کافی نیست بلکه شما در هر پست باید نیاز های خاصی از مخاطب را برطرف کنید. اگر فقط جلب توجه کنید می شوید مثل وبلاگ های زرد ، سعی می کنند با تیتر و نوشته های جذاب مخاطب را به سایت خودشان جلب کنند اما وقتی طرف وارد صفحه می شود چیز به درد بخوری پیدا نمی کند و اگر فقط نیاز های مخاطب را برطرف کنید می شوید مثل وبلاگ هایی که انتگرال را از ابتدا تا انتها در یک پست و یک پاراگراف پنجاه خطی توضیح میدهند.
4- چرا بقیه باید به من اهمیت بدهند؟
خواننده های وبلاگ شما از روی کیفیت وبلاگ شما و آن چه خودتان راجع به خودتان می گویید قضاوت خود را انجام می دهند. این یعنی شما برای محبوب شدن باید اعتماد مخاطب را جلب کنید. چطور؟ پست های جم و جور ولی در عین حال به درد بخور بنویسید. در موقعیت های مختلف به آنها ثابت کنید که راجع به چیزی که حرف می زنید خودتان اطلاعات و تجربه دارید.
5- آیا حواسم هست که «انسان ها» وبلاگ من را می خوانند؟
نوشته های خودتان را بررسی کنید و ببینید آیا موفق شده اید با مخاطبتان رابطه برقرار کنید؟ چطوری می توانید رابطه بهتری با آنها برقرار کنید؟ فراموش نکنید که اینترنت سکوی سخنرانی شما نیست بلکه یک سالن کنفرانس است! خیلی از خواننده ها دوست دارند بیشتر راجع به زندگی و تفکر شخصی نویسنده بدانند. وقتی کمی راجع به خودتان توضیح دهید خواننده ها را هم ترغیب می کنید که همین کار را بکنند و جو زنده ای در وبلاگتان به وجود خواهد آمد.
6- آیا مطلب من به اندازه کافی قابل اسکن هست؟
قبلآ راجع به این موضوع در زنگوله بحث کرده ایم ، همه کاربران اینترنت اکثر مطالب را فقط با یک نگاه سطحی می خوانند ، پس باید مطلب را جوری آرایش کنید که زیاد شلوغ جلوه نکند و نکات مهم آن کاملآ واضح باشد. می توانید از لیست استفاده کنید و در آخر پست خلاصه بنویسید و به مطالب مرتبط لینک بدهید. مطلب کامل مربوط به این موضوع را در اینجا بخوانید.
7- آیا من به اندازه کافی اطلاعات در مورد آن چه نوشته ام به مخاطب ارایه می کنم؟
اینکه بحث های متعددی را باز کنید و هر کدام را نیمه کاره رها کنید حس بسیار بدی به مخاطب شما می دهد ، مخاطب فکر می کند شما اطلاعات کافی ندارید یا اینکه دارید خساست می ورزید. پس وقتی بحث پیرامون موضوعی را شروع می کنید در چهارچوبی که از اصل موضوع دور نشوید اطلاعات کافی در اختیار کاربران بگذارید.
8- آیا من انتظار خوانندگان اصلی ام را برآورده می کنم؟
در طی گذشت زمان خوانندگان وبلاگ شما نسبت به نوع شخصیت و کیفیت مطالب و وبلاگ شما انتظارات خاصی نسبت به شما و وبلاگ تان پیدا می کنند. مثلآ انتظار دارند حداقل هر هفته یک مطلب منتشر کنید. اگر از روتین همیشه گی تان خیلی دور شوید کاربران آرام آرام شما را از یاد می برند بدون اینکه حتی یک نفر سراغتان را بگیرد زحمت چند ساله تان یک ماهه به باد می رود. پس همیشه انتظارات مخاطبان تان را برآورده کنید ، به نظرات جواب دهید و از خواننده ها سوال بپرسید و آنها را در بحث شرکت دهید.
+ از ادیسون درس وبلاگ نویسی بگیرید!
+ آیا شما راه درست وبلاگ نویسی را پیش گرفته اید؟
+ آیا شما افراد مبتدی را از وبلاگ تان فراری می دهید؟
[منبع: Copyblogger]
هر چند Activate کردن نرم افزار در کشور ما معنی خاصی ندارد و یک سرچ در گوگل کار ما رو از سوپر ماریو تا اتوکد 2008 راه می اندازه ولی در هر صورت اگر همین الان یک ویندوز اکتیو شده دارید چه قانونی چه غیر قانونی فکر می کنم از ترفند زیر خوشتان بیاید. خصوصآ اگر لپ تاپی دارید که ویندوز اصل دارد توصیه می کنم حتمآ سریال نامبر اصلی تان را حفظ کنید.
ترفند زیر به شما آموزش می دهد چگونه بدون درد سر بعد از نصب مجدد ویندوز XP خیلی ساده با همان سریال قبلی تان آن را فعال کنید.
فرض کنیم ویندوز XP شما طبق معمول بعد از شش ماه کند و بی مصرف شده است و می خواهید آن را مجددآ نصب کنید.
اول به آدرس C:\Windows\System32 بروید و فایل wpa.dbl را در یک کول دیسک یا هر نوع حافظه خارجی دیگه کپی کنید. من اگه جای شما بودم خیلی ساده ایمیل اش می کردم به خودم.
حالا ویندوز تان را مجددآ نصب کنید و هر طور که می خواهید کامپیوترتان را تر تمیز کنید. سپس کامپیوتر را ریستارت کنید و وقتی در حال بوت شدن است دکمه f8 را بزنید و وارد Safe Mode بشوید.
حالا دوباره به آدرس C:\Windows\System32 بروید ، یک فایل wpa.dbl تازه آنجا هست. آن را تغییر نام بدهید به wpa.dbl-backup و آن wpa.dbl قدیمی را پیست کنید در system32
حالا ویندوز را ریستارت کنید و از نسخه فعال شده لذت ببرید.
* همانطور که می دونید من همیشه سعی می کنم تا جای ممکن ساده توضیح بدهم ، اگر درست متوجه نشدید دوباره می گم ، ترفند بالا آموزش اکتیو کردن یک ویندوز غیر اکتیو نیست بلکه فقط باعث می شود اگر در حال حاظر یک ویندوز اکتیو دارید (چه قانونی چه غیرقانونی) همان سریال را حفظ کنید و دوباره دنبال سریال نامبر نگردید.
* فایل wpa.dbl از اثر انگشت سخت افزاری (Hardware Fingerprint) استفاده می کند به همین دلیل شما نمی توانید مثلآ wpa.dbl لپ تاپ تان را روی کامپیوتر دیگرتان کپی کنید.
[از Online Tech Tips یاد گرفتم]
دیروز در پست قبل چهارده ترفند مهم امنیتی وردپرس را با یکدیگر یاد گرفتیم. امروز نوبت ترفند پانزدهم است که قولش را داده بودم.
Brute Force چیه دیگه؟
Brute Force یکی از انواع حملات هکر ها برای بدست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم افزار های مخصوص سعی می کند تمام عبارت های ممکن را چک کند. مثلا فرض کنید رمز شما ali باشد. کامپیوتر شروع می کند رمز های ممکن را یکی یکی تست می کند. مثلآ اول شروع می کند تمام حروف را چک می کند بعد رمز های دو حرفی مثل aa,bb,cr,dd,gh,kl و بعد از چک کردن تمام احتمال های ممکن دو حرفی می رود سراغ حروف سه حرفی و همین طور ادامه می دهد تا به رمز شما می رسد. اگر تا به حال نمی دانستید از این به بعد می دانید که چرا همیشه توصیه می کنند رمز ها را ترکیبی از عدد و حروف بزرگ و کوچک انتخاب کنید.
این روش آن قدر که برای پیدا کردن رمز های آفلاین موثر است برای پیدا کردن رمز های آنلاین مثل سایت ها موثر نیست چون سرعت آن خیلی کاهش پیدا می کند. اما روش هایی مثل Dictionary Attack (تست کلمات هدف دار ، مثل اسم اشخاص ، مکان های مختلف و…) وجود دارند که شانس پیدا کردن رمز را بسیار زیاد می کنند.
چگونه این حملات را دفع کنیم؟
خیلی ساده ، کافیست تعداد دفعاتی که هر کس می تواند رمزی اشتباه وارد کند را محدود کنیم و این دقیقآ کاری است که افزونه Login Lockdown انجام می دهد. مثلآ می گوییم اگر کسی بیش از سه بار رمز اشتباه وارد کرد دسترسی اش به سایت را به مدت سه ساعت مسدود کن.
من این افزونه را برای راحتی بیشتر شما فارسی سازی و به یک دلیل خیلی مهم کمی ویرایش کردم.
ابتدا نسخه فارسی و ویرایش شده افزونه Login Lockdown را از اینجا دریافت کنید و پوشه loginlockdown-fa را در پوشه plugins وردپرس بارگذاری کنید. (نام پوشه را عوض نکنید) سپس از قسمت افزونه ها آن را فعال کنید و از قسمت تنظیمات وارد بخش Login Lockdown شوید.
تنظیمات همان طور که می بینید بسیار ساده و گویا است:
نکته مهم: نسخه اصلی این افزونه در صفحه ورود به وردپرس نوشته ای نمایش می دهد که مشخص می کند شما از این افزونه استفاده می کنید. این امنیت را به شدت کاهش می دهد. مثل این است که یک ماشین مدل بالا بخرید و نقشه فنی و تمام جزییات سیستم امنیتی آن را رویش بچسبانید.
من در حین فارسی سازی افزونه را ویرایش کردم تا آن متن را نمایش ندهد و وردپرس شما عادی جلوه کند.
وقتی نفوذگر متوجه نشود که شما از Login Lockdown استفاده می کنید احتمالآ چند رمز معمول مثل 123456 و یا admin را امتحان خواهد کرد. شما می توانید این افزونه را بسیار حساس تنظیم کنید که مثلآ بعد از دو بار امتحان اشتباه IP را مسدود کند. به این ترتیب می توانید رنج آی پی نفوذگر را بفهمید و آن رنج را به طور موقتی کاملآ مسدود کنید. آن وقت نفوذگر باید دنبال ISP های دیگر یا پروکسی یا vpn و غیره باشد که کارش بسیار سخت و آزار دهنده خواهد شد.
امیدوارم از این ترفند های امنیتی لذت برده باشید.
اینکه چرا موضوع امنیت مهم است را همه ما به خوبی می دانیم و نیازی نیست که من چند پاراگراف مقدمه که هر کس می داند بنویسم. پس طبق معمول چیزی خواهم گفت که احتمالآ نمی دانید. هم جالب تر است و هم از آن مقدمه های خشک و خالی که «امنیت خیلی مهم است» و «امنیت خیلی خیلی مهم است» تاثیرش بیشتر است.
پس نگاهی به نمودار تعداد آسیب پذیری های امنیتی وردپرس در طی سال های اخیر بیاندازید:
این به معنی افت کیفیت وردپرس نیست بلکه هیچ نرم افزاری از دست نفوذگر ها در امان نیست و هر روز آسیب پذیری های زیادی کشف یا رفع می شوند. فکر می کنم حالا این مطلب را با دقت و انگیزه بیشتری بخوانید.
در این مطلب نکات و ترفند های امنیتی برای وردپرس (روی فضای شخصی) را معرفی می کنم و نحوه اعمال آنها را شرح می دهم. توصیه می کنم قبل از شروع یک نسخه پشتیبان کامل از بانک اطلاعاتی تان تهیه کنید تا با خیال راحت کار کنید (اگر نمی دانید چطور شماره 14 را ببینید).
۱- از نام کاربری پیش فرض استفاده نکنید: نام کاربری پیش فرض وردپرس admin است ، عوض کردن آن در خیلی از مواقع کار هکر را سخت تر و گاهی اوقات باعث ایمن شدن وردپرس شما در مقابل بعضی از آسیب پذیری ها می شود. برای تغییر آن از کنترل پنل سایت تان وارد phpmyadmin شوید (؟) و طبق عکس زیر نام کاربری را تغییر دهید.
۲- طبق معمول! یک رمز قوی انتخاب کنید: نیازی به توضیح نیست ، رمزی انتخاب کنید که شامل ترکیب حروف کوچک و بزرگ و عدد و علامت ها باشد.
می توانید از این سایت برای انتخاب رمز استفاده کنید. (چطوری رمز را عوض کنم؟)
۳- اجازه مرور هیچ پوشه ای را ندهید: در اکثر سرور ها به طور پیش فرض اجازه مرور پوشه ها به کاربران داده می شود. یعنی هر کس می تواند با تایپ آدرس فولدر پلاگین های شما نام آنها را ببیند و این یک ضعف بزرگ به حساب می آید چون ممکنه ضعف امنیتی موجود در پلاگین مورد استفاده شما همه چیز را به هم بریزد. راحت ترین راه این است که یک فایل خالی با اسم index.php در پوشه های مورد نظر قرار دهید و بهترین راه این است که خط زیر را به فایل htaccess. کنار wp-config.php اضافه کنید: Options All -Indexes
۴- نسخه وردپرس را نمایش ندهید: وردپرس نسخه خودش را به صورت metadata در صفحات اضافه می کند و این باعث کاهش امنیت می شود. چون نفوذگر بهتر می تواند حفره مورد نظرش را انتخاب یا پیدا کند. جلوگیری از این کار باعث می شود از دست نفوذگر هایی که با سرچ کردن در گوگل دنبال سایت هایی که از نسخه ای خاص استفاده می کنند هستند در امان می بمانید.
برای این کار خط زیر را به فایل functions.php پوسته تان اضافه کنید (اگر این فایل موجود نیست خودتان بسازیدش):
remove_action('wp_head', 'wp_generator');
۵- دسترسی به پوشه wp-content را محدود کنید: همانطور که می دانید این پوشه شامل تمام عکس ها شیوه نامه ها اسکریپت ها و پلاگین ها است. وردپرس درخواست هایش برای دسترسی به فایل های php را به صورت http ارسال نمی کند پس تنها درخواست هایی که از مرورگر می شود برای فایل های عکس یا اسکریپت یا استایل است. پس ما دسترسی به تمام فایل های غیر از اینها را محدود می کنیم.
(اگر فایلی برای دانلود (مثل mp3 و…) در این پوشه قرار داده باشید بعد از این کار دیگر قابل دانلود نیست)
برای این کار خطوط زیر را به فایل htaccess. داخل پوشه wp-content اضافه کنید:
Order Allow,Deny Deny from all <files ?\.(jpg|gif|png|js|css)$? ~> Allow from all </files>
۶- به روز باشید: مشترک وبلاگ رسمی وردپرس شوید تا از آمدن نسخه های جدید یا وجود باگ های امنیتی سریعآ با خبر شوید. اگر می بینید نسخه جدید حفره های امنیتی را اصلاح می کند آنها را سریعآ نصب کنید. اگر نسخه جدید هیچ حفره امنیتی را رفع نمی کند بهتر است چند روز صبر کنید تا نسخه جدید امتحان کوچکی پس دهد.
۷- از پروتوکول رمز نگاری شده استفاده کنید: اگر سایت تان این قابلیت را داشته باشد می توانید به جای http از https استفاده کنید که ایمنی بیشتری دارد. احتمالآ برای فعال کردن این قابلیت باید با مدیر سرور تان صحبت کنید. این کار خصوصآ اگر از اینترنت وایرلس (بدون سیم) استفاده می کنید یا به شبکه ها محلی وصل هستید (مثل برخی از محیط های کاری) امنیت را بسیار بالا می برد.
با اضافه کردن خط زیر به فایل wp-config.php وردپرس را مجبور می کنید که همیشه از https استفاده کند ، البته از قبل باید این قابلیت را روی سایت تان فعال کرده باشید:
define('FORCE_SSL_ADMIN', true);
۸- دسترسی به بانک اطلاعاتی را محدود کنید: از کنترل پنل سایت وارد MySQL Databases شوید و روی نام کاربری بانک اطلاعاتی وردپرس کلیک کنید و دسترسی کاربر را به شکل زیر محدود کنید:
این کار هر چند باعث افزایش آن چنانی امنیت نمی شود اما ممکن است بعضی از حفره های امنیتی کشف نشده را رفع کند. کسی نمی داند!
۹- wp-config را خوب تنظیم کنید: با ابزار Wordpress secret key generator عبارت های تصادفی مناسب بسازید و به قسمت های مشخص شده در wp-config اضافه کنید. این کار به رمزنگاری تصادفی کوکی ها کمک می کند.
می توانید پیش وند بانک اطلاعاتی را هم از wp به چیز دیگری تغییر دهید. من به mt تغییر دادم! بعضی وقت ها بعضی از هکر های احمق با دیدن mt فکر می کنند شما از Movable Type استفاده می کنید و کمی گیج می شوند. من اسم بانک اطلاعاتی را هم mt گذاشته ام.
۱۰- از wp-admin محافظت کنید: یک ترفند بسیار موثر این است که دسترسی به این پوشه را فقط به آدرس IP خودتان محدود کنید. البته این موقعی به درد بخور است که شما IP اختصاصی داشته باشید و همیشه از یک اینترنت استفاده کنید.
IP اختصاصی؟ دلت خوشه ها…
متاسفانه ISP های ایران آی پی اختصاصی یا نمی دهند یا قیمت های آنها خیلی بالاست ، اگر IP اختصاصی ندارید می توانید ip range تان را قابل قبول کنید یا اینکه یک اکانت VPN با IP اختصاصی تهیه کنید.
برای اعمال این محدودیت خطوط زیر را به فایل htaccess. موجود در پوشه wp-admin اضافه کنید:
(اگر این فایل وجود ندارد خودتان یک فایل خالی با اسم htaccess. بسازید)
Order Deny,Allow Allow from ww.xx.yy.zz Deny from all
که باید به جای ww.xx.yy.zz آدرس IP خودتان را قرار دهید. برای اطلاعات بیشتر این صفحه را ببینید.
می توانید برای امنیت بیشتر خود پوشه wp-admin را هم رمز گذاری کنید که این کار را به شدت توصیه می کنم. برای این کار از کنترل پنل سایت وارد قسمت Password Protected Directories شوید و پوشه را رمزگذاری کنید. یعنی از این به بعد باید دو بار رمز وارد کنید ، یک بار رمز پوشه سپس رمز پیش خوان وردپرس.
11- مواظب سطوح دسترسی (Permission) باشید: سطوح دسترسی را به درستی تنظیم کنید و هیچ گاه دسترسی هیچ فایل یا فولدری را به 777 تغییر ندهید. برای آگاهی از سطوح دسترسی درست می توانید از پلاگین WP Security Scan کمک بگیرید اما بهتر است بعد از هر بار استفاده آن را غیر فعال کنید. برای تغییر سطح دسترسی ها می توانید از نرم افزار های FTP مثل Filezilla کمک بگیرید.
12- تا جای ممکن از پلاگین های معتبر و ضروری استفاده کنید: در درجه اول سعی کنید فقط پلاگین های مورد نیازتان را فعال کنید و مثلآ اگر یک پلاگین خاص نیاز دارید سعی کنید معتبر ترین پلاگینی که آن کار را برایتان انجام می دهد انتخاب کنید. پلاگین ها ساخته افراد مختلف هستند و هر کدام دارای ضعف های امنیتی مختلف ، اگر باگی در آنها کشف شود ممکن است به خاطر اطلاع رسانی ضعیف سازنده آن سایت شما هک شود و این ابدآ تقصیر وردپرس نیست.
همچنین سعی کنید هر چند وقت یک بار برای آخرین نسخه پلاگین های مورد استفاده تان جستجوی کوچکی انجام دهید تا همیشه از آخرین نسخه استفاده کنید.
13- از ایندکس شدن فایل های مهم جلوگیری کنید: بعضی از هکر ها از موتور های جستجو خصوصآ گوگل برای پیدا کردن طعمه های خود استفاده می کنند. اگر مانع ایندکس شدن فایل های اصلی وردپرس شوید از این روش در امان خواهید بود. برای این کار خط زیر را در فایل robots.txt قرار دهید و آن را داخل پوشه public_html بگذارید. (خط را تایپ نکنید ، کپی پیست کنید (چون علامت خط فاصله باید بعد از wp قرار بگیرد))
Disallow: /wp-
۱۴- زود زود نسخه پشتیبان تهیه کنید: با وجود تمام نکات امنیتی ذکر شده باز هم هرگز نمی توان اطمینان داشت که سایتی نفوذ ناپذیر است. پس یک کار ساده انجام دهید: زود زود نسخه های پشتیبان کامل تهیه کنید تا اگر هم کسی سایت تان را هک کرد آن را سریعآ به حالت اول برگردانید. نسخه های پشتیبان وردپرس حجم بسیار کمی دارند.
برای این کار می توانید از phpMyAdmin بانک اطلاعاتی را به طور یک جا استخراج کنید:
یا از پلاگین های مخصوص این کار مثل WP DB Manager استفاده کنید.
15- ؟؟ این شماره را فردا در یک پست جدا توضیح خواهم داد.
توجه کنید که حتی انجام تمام مراحل بالا شما را «غیرقابل هک» نمی کند. وقتی اینها را روی سایت تان اعمال می کنید حفاظی ایجاد می کنید که کار نفوذگر را سخت می کند. لااقل خیالتان راحت است که در خانه را باز نگذاشته اید!
نکته ای هست که جا افتاده باشد؟ آیا شما از راه های دیگری استفاده می کنید؟ اگر بله ، لطفآ آنها رادر قسمت نظرات با من و دیگران به اشتراک بگذارید.
پ.ن: هر سوال یا مشکلی داشتید در قسمت نظرات ذکر کنید ، در اولین فرصت پاسخ خواهم داد.
پ.ن: کم کاری زنگوله در روز های اخیر را به بزرگی خودتان ببخشید. زندگی آفلاین امانم نمی دهد.
[به یاری ProBlogDesign]
|
|
