آموزش جامع 17 روش تأمین کامل و افزایش امنیت وردپرس
کد تخفیف در جریان tabestan97 %15 تا آخر تابستان 97

امروزه وردپرس بعنوان یکی از اسکریپت های مدیریت محتوای پرکاربرد مطرح شده است. تعداد سایت هایی که با وردپرس ساخته شده اند رو به افزایش است. از آنجا که وردپرس به صورت متن باز و رایگان در دسترس همگان قرار دارد، هر فردی با هر تخصصی می تواند از آن استفاده کند. هکران نیز می توانند این اسکریپت را آنالیز کرده و توسط مشکلات امنیتی آن به سایتتان نفوذ کنند.

بنابراین باید امنیت سایتمان را افزایش دهیم و تمامی راه های احتمالی نفوذ را مسدود کنیم. توسعه دهندگان وردپرس همواره در تلاشند تا باگ های آن را در هر نسخه جدید رفع کنند. البته گاهی اوقات تغییراتی که بعنوان تغییرات امنیتی در وردپرس داده می شود لزوما به دلیل وجود باگ نیست. پدید آمدن روش های هک جدیدتر ایجاب می کند تا تغییراتی در وردپرس داده شود تا بتوان این روش های جدید هک را خنثی کرد.

WordPress Security

در مارس 2016 ، گوگل گزارش کرده است که بیش از 50 میلیون وب سایت به کدهای مخرب آلوده شده اند. اکثر این وب سایت ها در ابتدا پاک بوده اما در ادامه با نفوذ هکران به اینگونه کدها آلوده شده اند. کدهای مخرب عموما برای سوء استفاده از سایت شما مورد استفاده قرار می گیرند.

در این مستند از مارکت دِومی قصد داریم مهم ترین راه های افزایش امنیت وردپرس را به شما آموزش دهیم، پس با ما همراه باشید.

 


1 . همیشه وردپرس و قالب و افزونه ها را بروز رسانی کنید

مهم ترین نکته در استفاده از وردپرس این است که همیشه آن را بروز کنید. ضروری ترین آپدیت های وردپرس، به صورت خودکار روی سایتتان اعمال خواهند شد ولی همیشه باید از آخرین نسخه وردپرس استفاده کنید.

در هر نسخه جدید، علاوه بر تغییراتی جهت بهبود کارایی وردپرس، مشکلات کدنویسی و امنیتی زیادی نیز رفع می شوند.

در رابطه با افزونه ها نیز همین مورد صدق می کند. افزونه ها به دلیل اینکه مستقیما می توانند به دیتابیس شما متصل شوند، توانایی انجام خرابکاری ها و ارائه راه های نفوذ را دارند! یکی از خطرناک ترین موارد، استفاده از افزونه های نال شده است. این افزونه ها توسط افراد متفرقه در سطح اینترنت منتشر می شوند، به همین دلیل نمی توان از امنیت اینگونه افزونه ها اطمینان حاصل کرد.

شدیدا توصیه می شود از افزونه های موجود در مخزن وردپرس استفاده کنید. البته بی شک افزونه های رایگان داخل مخزن وردپرس، سطح امکانات پایین تری نسبت به افزونه های پرمیوم و غیررایگان دارند اما اگر قصد دارید از افزونه های پرمیوم استفاده کنید، بهترین کار خرید آنها از طراح اصلی افزونه است.

 


2 . استفاده از رمزعبور و نام کاربری غیر تکراری

دومین مورد مهم در تأمین امنیت هر وب سایتی، استفاده از رمزعبور قدرتمند و طولانی تر برای اکانت های مدیریت است. یکی از راه های نفوذ به وب سایت ها، امتحان کردن تعداد زیادی پسورد در مدت زمان اندک توسط هکران است! در این روش، هکران توسط نام کاربری رایج برای مدیریت مانند admin و administrator و نام دامنه سایت به همراه یک لیست میلیونی از پسوردها، در زمان کوتاهی بیش از هزاران بار تلاش برای ورود می کنند.

بنابراین استفاده از رمزعبور طولانی و پیچیده و البته نام کاربری اختصاصی می تواند به شما در این زمینه کمک بزرگی بکند.

یکی دیگر از موارد در این بخش این است که به هیچ عنوان از رمزعبورهایی که در دیگر وب سایت ها استفاده می کنید، برای اکانت مدیریت سایتتان استفاده نکنید. در سال 2017 بیش از 5 میلیون کاربر، با لو رفتن رمزعبور فیسبوک آنها، وب سایت هایشان نیز هک شده است. این یعنی کاربران رمزعبوری که برای حساب کاربری فیسبوک خودشان استفاده کرده بودند، از همان رمزعبور برای اکانت مدیریت سایتشان نیز استفاده کرده اند. با این حساب سعی کنید برای هر ایمیل و اکانت خود، یک رمزعبور جداگانه ای استفاده کنید.

از نام کاربری پیش فرض وردپرس برای اکانت مدیریت، یعنی admin استفاده نکنید. اگر از این نام کاربری استفاده می کنید، فورا آن را تغییر دهید.

 


3 . از هاستینگ معتبر و قدرتمند استفاده کنید

یکی دیگر از مهم ترین مسائل امنیتی در هر وب سایتی، هاستینگ سایت است. هاست و سروری که از آن استفاده می کنید و کانفیگ آن بطور مستقیم روی امنیت سایت شما تأثیر گذار است. فایروال قوی، کانفیگ های امنیتی مناسب، آپ تایم و کیفیت سرور مواردی هستند که در هر هاستینگی یافت نمی شود. یکی از دلایل بالا بودن قیمت هاست در هاستینگ های معتبر نیز به همین دلیل است.

به هیچ عنوان فریب ارزان بودن هاست را نخورید!

کمی هزینه بیشتر می تواند شما را از این لحاظ خاطر جمع کند. علاوه بر امنیت، در هاستینگ های معتبر می توانید کیفیت بهتر و سرعت بالاتری را در وب سایت خود تجربه کنید. در هاستینگ های معتبر، بک آپ های دوره ای می تواند در شرایط حساس به شما اطمینان بیشتر ببخشد.

 


4 . از یک افزونه امنیتی مطمئن استفاده کنید

در ادامه راه هایی به شما خواهیم گفت که بتوانید امنیت وردپرس را افزایش دهید اما همیشه استفاده از یک افزونه امنیتی می تواند شما را از اقدامات زیادی نجات دهد. یکی از مزیت استفاده از افزونه امنیتی این است که به مرور زمان اقدامات امنیتی و کدها و روش های تأمین امنیت باید تغییر کنند، افزونه ها و توسعه دهندگان بطور رایگان این کار را برای شما انجام می دهند. از این بهتر؟ 🙂

بهترین افزونه امنیتی پرمیوم و غیر رایگان وردپرس ؟

  • iTheme Security Pro (با امکانات فوق العاده کامل . صرفا برای وب سایت های شرکتی و وب سایت های بزرگ که بیشتر در معرض خطر نفوذ هستند.)

بهترین افزونه امنیتی رایگان؟

  • Wordfence (توصیه برای تمامی وب سایت ها. موجود در مخزن وردپرس و کاملا رایگان. بروز رسانی های مداوم)

اگر مایل به پرداخت نیستید، حتما از Wordfence استفاده کنید.

هشدار:

از افزونه های امنیتی نال شده به هیچ عنوان استفاده نفرمایید!

 


5 . از فایروال استفاده کنید

علاوه بر فایروال سرور، می توانیم از فایروال اپلیکیشن نیز استفاده کنیم. web application firewall یا به اختصار WAF یکی از امکاناتی است که به راحتی می تواند ترافیک های غیرمعمول و مخرب را که صرفا جهت داون کردن سرور استفاده می شوند (دیداس – DDos) را خنثی کند. این امکان همچنین می تواند تلاش های آزمایش رمزعبورهای متعدد در زمان کوتاه را نیز متوقف نماید.

سایت های در این زمینه زیادند. یکی از نمونه های موفق آن CloudFlare است. با توجه به صلاح دید خودتان می توانید از آن استفاده کنید.

 


6 . امکان ویرایش کدهای افزونه ها و قالب ها را در پیشخون غیرفعال کنید

امکان ویرایش افزونه ها و قالب ها در پیشخوان می تواند به افزایش سرعت ویرایش و تغییرات در سایت کمک بزرگی کند اما زمانی که اکانت مدیریت هک شد، به خطرناک ترین و زیان بار ترین ابزار در سایت تبدیل خواهد شد! این ویژگی به راحتی به هکران اجازه خواهد داد کدها را دستکاری کنند.

بنابراین می توانید با قرار دادن کد زیر در فایل wp-config.php وردپرس، این ویژگی را بطور کامل غیرفعال کنید و از آن به بعد تمامی تغییرات مورد نیاز را از طریق فایل منیجر هاست انجام دهید:

define( 'DISALLOW_FILE_EDIT', true );

 


7 . جلوگیری از اجرای فایل PHP در برخی پوشه های حساس

در وردپرس، پوشه ای به نام uploads در wp-content وجود دارد که محل ذخیره سازی تمامی فایل های آپلود شده توسط کاربران در وردپرس است. مشکلات امنیتی افزونه ها و قالب ها می تواند این امکان را به هکران بدهد که فایل های PHP در این مسیر آپلود کنند (از طریق ویژگی آپلودکننده داخلی وردپرس یا کدهای مخرب که دسترسی به این پوشه را فراهم می کنند) و توسط ابزارهای خاصی آنها را اجرا کنند.

فایل های PHP این امکان را دارند که تغییراتی در دیتابیس اعمال کنند، و حتی اطلاعات حساس مانند رمزعبورها را در اختیار هکران قرار دهند.

ما می توانیم توسط چند خط کد در یک فایل ساده، این امکان را مسدود کنیم. برای مثال در پوشه uploads که نیازی به فایل PHP نیست، می توانیم این پسوند را از دسترس خارج کنیم. برای اینکار در پوشه uploads وردپرس، یک فایل جدید به نام .htaccess ایجاد کرده و کدهای زیر را داخل آن قرار دهید:

<Files *.php>
deny from all
</Files>

از این فایل جدید می توانید در پوشه های دیگری که نیازی به اجرای فایل PHP نیست یا پوشه ای برای آپلود فایل هاست استفاده کنید.

 


8 . محدود کردن تعداد دفعات مجاز تلاش برای ورود به اکانت

بطور پیش فرض، کاربران در هنگام ورود به حساب کاربری هر تعداد که بخواهند می تواند رمزعبور و نام کاربری وارد کنند! با محدود کردن این تعداد توسط افزونه های امنیتی مانند Wordfence می توانید امکان آزمایش نام کاربری و رمزعبورهای زیاد در یک زمان را بگیرید!

 


9 . غیرفعال کردن امکان مشاهده دایرکتوری پوشه ها

بطور خودکار، زمانی که آدرس یک پوشه از سایتتان را در مرورگر اجرا می کنید، در صورتی که فایل index.php یا index.html در آن وجود نداشته باشد، یک لیست از تمامی فایل ها موجود در آن پوشه نمایش داده خواهد شد. مانند تصویر زیر:

directory-index-wp

مخفی کردن فایل های موجود در پوشه ها یکی از نکاتی است که به افزایش امنیت کمک می کند. برای اینکار، فایل .htaccess واقع در پوشه روت وردپرس (آن مسیری که فایل wp-config.php قرار دارد) را باز کنید و کد زیر را در آخرین خط از این فایل قرار داده و ذخیره کنید:

Options -Indexes

 


10 . استفاده از افزونه های کپچا – پرسش امنیتی

افزونه های پرسش امنیتی یا Captcha به ما کمک می کنند تا تلاش های ربات ها و ابزارهای هک برای دسترسی به فرم های ورود یا ارسال دیدگاه محدود شود. بدین ترتیب هکران و ربات ها نمی توانند بصورت انبوه، عملیات ها را انجام دهند.

استفاده از کپچا در فرم عضویت و ورود و فرم ارسال دیدگاه پیشنهاد می شود.

یکی از بهترین این افزونه ها، reCaptcha ساخته ی گوگل می باشد.

 


11 تا 17 . اقدامات امنیتی دیگر

چند مستند دیگر پیش از این در مارکت دومی منتشر کرده ایم که برای افزایش امنیت وردپرس به شما کمک خواهند کرد. دعوت می کنیم آنها را نیز مطالعه فرمایید:

 

شما هم اگر راه های دیگری می دانید، با ما و دیگران در دیدگاه به اشتراک بگذارید.

هنوز دیدگاهی ارسال نشده! نظر شما چیست؟

دیدگاه شما درباره این صفحه چیست؟