یکی از بخش های وبلاگ که تنوع بسیار زیادی در آن دیده می شود و طرفداران فراوانی هم دارد، قالب یا تم (Template or Theme) آن است
که در حقیقت نمای ظاهری سایت و وبلاگ را می سازد.

بسیاری از صاحبان سایت ها و وبلاگ ها در اولین قدم، به دنبال ظاهری زیبا، موجه و مورد پسند ذائقه خود و مخاطب شان هستند و گاها از قالب های آماده استفاده کرده یا اینکه به طراحی و سفارش قالب اختصاصی می پردازند.

در نگاه اول شاید قالب فقط تشکیل شده از چند خط کد و تعدادی عکس باشد که از نقطه نظر امنیتی اهمیت چندانی ندارد.
اما در واقع، می تواند تبدیل به یکی از بزرگترین نقاط ضعف امنیتی وبلاگ گردد.
زیرا برای نمایش وبلاگ، لازم است تمامی کدهای درون تمپلیت اجرا شده و مرتبا با دیتابیس در ارتباط باشند. لذا به راحتی می توان با قرار دادن برخی کدهای مخرب درون قالب و عرضه رایگان آن، سایت ها و وبلاگ های فراوانی را آلوده کرد.

در بحث انتخاب قالب، صاحبان وبلاگ و وب سایت معمولا دو رویه را دنبال می کنند. گروهی با پرداخت هزینه به طراحی قالب و تمپلیت اختصاصی روی می آورند و گروه دیگری هم از تمپلیت های آماده رایگان و غیر رایگان استفاده می کنند.
در این میان هر دو گروه در معرض خطرات امنیتی مرتبط با قالب قرار دارند، اما میزان ریسک و آسیب پذیری گروه اول بسیار کمتر است.
زیرا احتمال اینکه فردی با دریافت هزینه، تمپلیت اختصاصی برای شما طراحی کند که حاوی کدهای مخرب باشد، بسیار کمتر از این است که افرادی تمپلیت های آماده رایگانی حاوی کد مخرب در اختیارتان بگذارند.

پس بهتر است که تا حد امکان از قالب های اختصاصی استفاده کرده و آنها را به شرکت یا افراد معتبر و مطمئن سفارش دهیم.
اما باز هم نباید ۱۰۰ درصد به این قالب اعتماد کنیم و لازم است کدهای آن را قبل از استفاده کنترل کنیم.
در مورد قالب های رایگان هم که کاملا ضروری است قبل از هر کاری تمامی کدها و فایل های آن را کنترل کرده و مراقب دستورات مخرب باشیم.

توجه داشته باشید که آسیب پذیری قالب، تنها از کدهای اولیه قالب نیست و می تواند در اثر اضافه کردن برخی بخش ها به آن، ایجاد شود. مانند کدهای HTML یا جاوا اسکریپتی که برای باکس چت، شمارنده یا دیگر افزونه ها به قالب افزوده می شوند.

مثلا یک شمارنده بازدیدکنندگان شاید بخش مفیدی برای پیگیری میزان استقبال از وبلاگ شما باشد، اما به طور همزمان ممکن است مشغول جمع آوری اطلاعات در خصوص عادات آنلاین کاربران شما برای شرکت های تبلیغاتی باشد.

همچنین یک قالب رایگان می تواند حاوی کدهایی برای تبلیغات Pop-up بوده یا لینک هایی به سایت های خطرناک در پوشش نام های اعتماد برانگیز درون خود داشته باشد. یا اینکه حتی قالبی که به صورت فایل زیپ دانلود می شود، می تواند هیچ خطری برای وبلاگ شما نداشته و حاوی کد مخربی برای آن نباشد، اما بدافزار یا تروجان خاصی را بر روی کامپیوتر شما نصب کند.



نویسنده : افشین عیدی (sabo3eur (http://sabo3eur.blogfa.com/))
وبسایت : فارس پروژه (http://projectfa.ir)

برای مقابله با چنین خطراتی چه باید کرد؟
۱- قبل از استفاده از تمپلیت یا افزونه ها، کمی وقت برای بررسی کدهای آن بگذارید و به دنبال هر چیز ناشناخته یا مشکوکی باشید که در جای خود قرار ندارد. برای مثال اگر می خواهید یک ویجت آب و هوا در ستون کناری وبلاگ تان بگذارید، اما در کد این ویجت لینکی به یک سایت نامرتبط قرار دارد، این موضوع را به عنوان آژیر خطر در نظر گرفته و به دنبال ویجت دیگری باشید. به هیچ وجه دلیلی ندارد که یک ویجت آب و هوا درون خود دارای لینکی همانند زیر باشد:

<a href="http://completelyfreemoney.com">Make Money Online!</a>
بسیاری از کدهای مخرب یا تبلیغاتی درون یک تمپلیت به صورت رمزنگاری شده نگهداری می شوند تا به راحتی قابل شناسایی نباشند.
همیشه به دنبال سرنخ هایی همچون عبارات رمزنگاری شده و دستوراتی مانند base64 باشید.

۲- قبل از ذخیره کدهای تمپلیت جدید، ابتدا پیش نمایش آن را مشاهده کنید. طراحان تمپلیت های مخرب اغلب ممکن است از پنجره های تبلیغاتی خودکار و یا انواع دیگری از تبلیغات درون کدهای خود استفاده کرده باشند که با دیدن پیش نمایش، می توانید به راحتی آنها را یافته و از خیر استفاده از چنین قالبی بگذرید.

۳- قبل از هرگونه تغییر در کدهای تمپلیت وبلاگ و یا اضافه کردن ویجت و افزونه خاصی به آن، ابتدا از تمپلیت سالم فعلی، نسخه پشتیبانی تهیه کنید. با این کار، در صورت بروز هرگونه مشکل و یا مشاهده کد مخرب، بازگشت به حالت امن سابق، به سادگی امکان پذیر خواهد بود.

۴- پلاگین و تمپلیت مورد نیازتان را همیشه از سایت های معتبر و قابل اطمینان دانلود کنید. هیچ گاه به نتایج جستجوی موتورهای جستجو برای انتخاب تم اعتماد نکنید و تا از سایتی مطمئن نشده اید، از محتوای آن استفاده نکنید. البته بهترین حالت سفارش قالب اختصاصی به طراح و برنامه نویس شناخته شده و مورد اطمینان تان است.

برای مثال در این مقاله (http://wpmu.org/why-you-should-never-search-for-free-wordpress-themes-in-google-or-anywhere-else/) می توانید بررسی نتایج جستجوی صفحه اول گوگل برای عبارت Free Wordpress Themes و میزان آلودگی آنها را ببینید.

۵- از پلاگین های امنیتی ویژه کنترل قالب استفاده کنید. برای مثال در وردپرس پلاگین Theme Authenticity Checker (http://wordpress.org/plugins/tac/)، قالب یا تمپلیت مورد نظر را پس از آپلود بر روی سرور (و قبل از استفاده به عنوان تم اصلی سایت)، کنترل کرده و به دنبال موارد مشکوک و لینک های مشکل دار درون آن می گردد و در صورت مشاهده، آنها را با محل قرارگیری شان در کد تمپلیت برای تان مشخص می کند.

همچنین پلاگین Exploit Scanner (http://wordpress.org/plugins/exploit-scanner/) تمامی فایل ها و دیتابیس وبلاگ را برای یافتن نشانه هایی از کدهای مخرب و برنامه های نفوذگر و بدافزار، اسکن کرده و موارد مشکوک را به شما گزارش می دهد.

۶- قالب های نصب شده روی وبلاگ را مرتبا کنترل کرده و آپدیت های عرضه شده برای آنها را به موقع نصب کنید. همچنین قالب های غیر ضروری که نیازی به آنها ندارید را حتما غیر فعال کرده و در صورت امکان، آنها را از روی هاست وبلاگ خود پاک کنید.

۷- هنگام دانلود قالب دلخواه، مراقب باشید که آدرس سایت ارائه کننده قالب با محل دانلود فایل فشرده تمپلیت یکسان باشد. برای این کار تنها کافی است قبل از دانلود نگاهی به لینک دانلود بیاندازید و آدرس سایت آن را با سایت عرضه کننده قالب تطبیق دهید. زیرا برخی اوقات سایت های مخرب، تمپلیت های مشهور و زیبا را دستکاری کرده و روی سرورهای خود قرار می دهند. آنگاه از یک سایت معتبر عرضه تمپلیت به عنوان طعمه برای به دام انداختن شما استفاده می کنند.

۸- مراقب پیام ها و موافقت نامه های عرضه شده هنگام دانلود تمپلیت های رایگان و غیر رایگان باشید. زیرا گاهی طی یک جمله گنگ، شما موافقت می کنید که سازنده تمپلیت این حق را دارد که هرگونه لینکی را به هر شکلی درون تم شما به نمایش بگذارد! همین موضوع می تواند دلیلی برای شک کردن به آن قالب باشد.

۹- همیشه از قالب هایی که مرتبا آپدیت می شوند استفاده کنید. زیرا در این گونه موارد معمولا طراح آن تم، آنقدر نگران محصول خود است که دائما آن را کنترل کرده و با رفع نقاط ضعف امنیتی و کارکردی، آن را بهبود می بخشد.



اگر بخواهیم این آموزش را به صورت خلاصه بیان کنیم، باید بگوییم که برای امنیت وبلاگ تان از نظر قالب یا همان پوسته، بهتر است که از سایت اصلی عرضه کننده سرویس قالب ها، قالب مورد نظر خود را انتخاب کنید (مانند وردپرس فارسی (http://wp-persian.com/)) و علاوه بر آن کارآیی و امنیت وبلاگ تان را بر کارهایی مانند اضافه کردن ساعت، وضعیت آب و هوا و... ارجح بدانید زیرا با اضافه کردن هر یک از این ابزارها نه تنها امنیت وبلاگ خود را به خطر می اندازید، بلکه وبلاگ تان را به عنوان یک وبلاگ غیرحرفه ای و آماتور به بازدیدکنندگان معرفی می کنید!


نویسنده : افشین عیدی (sabo3eur (http://sabo3eur.blogfa.com/))
وبسایت : فارس پروژه