مطالب وردپرس

5 1 1 1 1 1 1 1 1 1 1 امتیاز 5.00 (1 رای)

20 ترفند ساده برای ایمن کردن وردپرس شما

20 ترفند ساده برای ایمن کردن وردپرس شما

بیشتر ایراداتی که صاحبان وب سایت به امنیت وردپرس دارند را بررسی کرده ایم.نظر بر این است که اسکریپت متن باز با هر نوع حمله ایی آسیب می بیند.اما اساسا این جمله درست نیست، گاهی اوقات آسیب از راه دیگری وارد میشود.یا، بسیار خُب، بگذارید اینطور بگویم که تا حدی درست است، اما از این پس نباید از وردپرس خرده بگیرید. چرا؟ چون اصولا تقصیر شماست که سایت شما هک شده است. مسئولیت هایی وجود دارد که باید به عنوان صاحب وب سایت به آن توجه کنید.بنابراین پرسش اصلی همیشه این بوده که *شما * چکاری انجام می دهید تا سایت خود را از هک شدن نجات دهید؟ امروز، قصد دارم به چند ترفند ساده بپردازم که می تواند به ایمن کردن وب سایت وردپرس شما کمک کند .

بخش (a) : امنیت صفحه ورود و جلوگیری از حملات غیرهوشمندانه

 همه اشخاص، URL صفحه استاندارد ورود به وردپرس را می شناسند، که زیربنای وبسایت از آنجا قابل دسترس است و این دلیل چرایی  است که مردم سعی می کنند از راه غیرهوشمندانه وارد شوند. فقط در انتهای نام دامنه خود/wp-login.php  یا / wp-admin /  را وارد کنید

1. قفل گذاری صفحه وب و ممنوع کردن کاربران

ویژگی قفل گذاری، برای تلاش های ناموفق در ورود به سیستم می تواند مشکل بزرگی را حل کند، به عنوان مثال اجازه تلاش های مستمر غیرهوشمندانه را نمی دهد. زمانی که فردی بخواهد مکرراً با گذرواژه های اشتباه سایت را هک کند، سایت قفل می شود و شما از این فعالیت غیرمجاز مطلع می شوید.

متوجه شدم که پلاگین امنیتی iThemes یکی از بهترین پلاگین های موجود است و برای مدت زمانی از آن استفاده می کردم. پلاگین iThemes برای این موضوع بسیار مفید است.شما می توانید تعداد معین تلاش های ورود ناموفق را مشخص کنید، که پس از آن پلاگین آدرس IP  مهاجم را ممنوع می کند.

ithemes security

(همچنین می توانید از پلاگین Login LockDown استفاده کنید زیرا این پلاگین  فقط برای کمک به حل این مشکل شما ساخته شده).

2. از احراز هویت دو مرحله ایی استفاده کنید

قرار دادن احراز هویت 2 مرحله ایی (2FA)  در صفحه ورود به سیستم یکی دیگر از اقدامات امنیتی خوب است. کاربر در این حالت جزییات ورود به سیستم را با دو مولفه مختلف ایجاد می کند که صاحب وب سایت تصمیم می گیرد آن دو مولفه چه چیزی باشند. مولفه می تواند یک گذرواژه معمولی با درک سوال مخفی، کد مخفی، مجموعه ای از کاراکترها و غیره باشد.

ترجیح می دهم در هنگام قراردادن 2FA در سایت های خودم از کد مخفی استفاده کنم. پلاگین احرازهویت گوگل فقط با چند کلیک به من کمک می کند.

Google Authenticator

3. استفاده ایمیل برای ورود به سیستم

به طور پیشفرض از نام کاربری برای ورود به سیستم استفاده می شود. استفاده از یک شناسه ایمیل به جای بکاربردن نام کاربری امن تر است که دلایل آن کاملا واضح است. پیش بینی کردن نام کاربری آسان است، در حالی که شناسه ایمیل اینطور نیست. همچنین همه حساب های کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می شوند، که برای ورود به سیستم یک شناسه معتبری است.
پلاگین WP Email Login  برای این منظور خارج از قاعده کار می کند. این پلاگین درست بعد از فعال شدن شروع به کار می کند و هیچ نیازی به تنظیمات ندارد.

برای آزمایش پلاگین فقط از وب سایت خود خارج شوید و سپس دوباره وارد شوید، اما این بار از آدرس ایمیل حساب کاربری خود استفاده کنید.

4. نام URL خود را تغییر دهید

تغییر URL  ورود به سیستم، کار آسانی است. به طور پیش فرض، صفحه ورود به سیستم وردپرس به راحتی می تواند از طریق wp-login.php  یا wp-admin  به URL اصلی سایت اضافه شود.
هنگامی که هکرها URL مستقیم صفحه ورود شما را می فهمند، می توانند بصورت غیرهوشمندانه برای ورود به آن تلاش کنند. هکرها سعی می کنند با GWDb  وارد سیستم شوند (Guess Work Database، یعنی پایگاه داده ای از نام های کاربری و گذرواژه های حدس زده شده، مثلا نام کاربری: admin و گذرواژه: p @ ssword ... با میلیون ها ترکیبی از این قبیل).

بنابراین اگر در این مرحله در حال پیگیری این موضوع هستید، ما تلاش های کاربر در ورود به سیستم را محدود و نام کاربری شناسه های ایمیل را تعویض کرده ایم. حالا می توانیم URL ورود را جایگزین کنیم و از 99٪ حملات غیرهوشمندانه مستقیم خلاص شویم.

این ترفند کوچک، دسترسی هویت غیر مجاز به صفحه ورود را محدود می کند. فقط کسانی که URL درست دارند می توانند وارد شوند. باز هم پلاگین iThemes Security  می تواند به تغییر آدرس های ورود به سیستم شما کمک کند. مثل این:

  • تغییر wp-login.php به چیزی منحصر به فرد؛ به عنوان مثال، my_new_login
  • تغییر / wp-admin / به چیزی منحصر به فرد؛ به عنوان مثال، my_new_admin
  • تغییر/wp-login.php?action=register به چیزی منحصر به فرد؛ به عنوان مثال، my_new_registeration

5. گذرواژه خود را تنظیم کنید

گذرواژه های وب سایت را عوض کنید و جای آنها را مرتبا تغییر دهید. قدرت آنها را با اضافه کردن حروف بزرگ وکوچک، اعداد، و کاراکتر های خاص بهبود دهید. این گذرواژه ساز یک منبع مفید است.

passwordsgenerator

بخش  (b): داشبورد مدیریت خود را ایمن کنید

بهترین بخش وب سایت برای هکر، داشبورد مدیریت است که در واقع بیشترین محافظت را نسبت به همه بخش ها دارد. بنابراین، حمله به قویترین بخش یک چالش واقعی است و اگر انجام شد، برای هکر یک پیروزی است و به آن آسیب زیادی وارد می کند.

کاری که میتوانید انجام دهید در اینجا ارائه شده:

6. از دایرکتوری wp-admin محافظت کنید

دایرکتوری wp-admin قلب همه وب سایت های وردپرس است. بنابراین، اگر این بخش از سایت شما خراب شود، کل سایت می تواند آسیب ببیند.

یک راه ممکن برای جلوگیری از آسیب دیدگی، محافظت از گذرواژه دایرکتوری wp-admin است. با چنین اقدام امنیتی، صاحب وب سایت می تواند با ثبت دو گذرواژه به داشبورد دسترسی پیدا کند. یک گذرواژه از صفحه ورود به سیستم، و دیگری از صفحه مدیر وردپرس محافظت می کند. اگر کاربران وب سایت مجبور شوند تا به بخش های خاصی از wp-admin دسترسی داشته باشند، می توانید آن بخش ها را باز کنید در حالیکه بقیه بخش ها قفل هستند.

می توانید پلاگین AskApache Password Protect را برای ایمن کردن محدوده مدیریت استفاده کنید. این پلاگین به طور خودکار یک فایل  htpasswd درست می کند، همچنین گذرواژه را رمز دار و مجوزهای فایل صحیح در ارتقای امنیت را تنظیم می کند.

7. برای رمزگذاری داده ها از SSL استفاده کنید

اجرای گواهی SSL  (لایه سوکت امن) یک حرکت هوشمند برای ایمن کردن پنل مدیریت است. SSL انتقال داده های امن بین مرورگرهای کاربر و سرور را تضمین می کند، و نفوذ در اتصال یا جعل اطلاعات شما را برای هکرها دشوار می سازد.

دریافت گواهی SSL برای وب سایت وردپرس شما مشکل نیست. می توانید گواهی را از برخی شرکت های اختصاصی خریداری کنید و یا از شرکت میزبانی وب خود بخواهید که برای شما چنین گواهی را انتخاب کند (اغلب اوقات بسته های میزبان وب اختیاری است).

از گواهی SSL  رایگان متن باز Let's Encrypt در اکثر سایت های خود استفاده می کنم. همه شرکت های میزبانی وب خوب مانند  SiteGround  گواهی  Let’s Encrypt  را با بسته های میزبان وب خود ارائه می دهند.

گواهی SSL همچنین بر رتبه بندی وب سایت شما در گوگل تاثیر می گذارد. رتبه سایت های گوگل با SSL ، بالاتر از آنهایی است که بدونSSL  هستند که به معنای بیشتر بودن این سایت ها است. حالا چه کسی این را نمی خواهد؟

8. حساب های کاربری را با دقت اضافه کنید

اگر یک وبلاگ وردپرس یا ترجیحا یک وبلاگ چند-نویسنده ایی را اداره می کنید پس باید با این چند نفری که به پنل مدیریت شما دسترسی دارند سروکار داشته باشید. این وضعیت می تواند وب سایت شما را به تهدیدات امنیتی آسیب پذیرتر کند.

اگر می خواهید از ایمن بودن تمام گذرواژه های کاربران اطمینان حاصل کنید، می توانید از یک پلاگین مانند Force Strong Passwords  برای آنها استفاده کنید. این فقط یک اقدام احتیاطی است .

Force Strong Passwords

9. نام کاربری مدیر را تغییر دهید

در طول نصب وردپرس، هرگز "admin" را برای حساب مدیر اصلی خود به عنوان نام کاربری استفاده نکنید. حدس چنین نام کاربری برای هکرها آسان است. همه­ی آن چیزی که باید هکرها بدانند تا بتوانند کل سایت شما را دستکاری کنند فقط گذرواژه است.

نمیتوانم به شما بگویم که در بررسی تمام ورودی های وب سایت خودم چقدر نام کاربری «admin» پیدا کردم. پلاگین امنیتی iThemes می تواند چنین اقداماتی را با هوشمندی متوقف کند و هر آدرسIP  که تلاش می کند با آن نام کاربری وارد سیستم شود را بلادرنگ ممنوع کند.

10. فایل های خود را نظارت کنید

اگر امنیت بیشتری می خواهید، می توانید از طریق پلاگین هایی مانند Wordfence یا باز هم iThemes Security  تغییرات فایل های وب سایت را نظارت کنید.

wordfence

بخش (c): دیتابیس یا پایگاه داده را امن کنید

تمام داده ها و اطلاعات سایت شما در پایگاه داده یا دیتابیس ذخیره می شوند. مراقبت از آنها بسیار مهم است. بعضی کارهایی که می توانید انجام دهید تا امنیت پایگاه داده را بیشتر کنید در اینجا ارائه می شود .

11.پیشوند جدول پایگاه داده وردپرس را تغییر دهید

اگر تا به حال وردپرس راه اندازی کرده اید پس با پیشوند جدول  wp- آشنا هستید که برای پایگاه داده وردپرس استفاده می شود. توصیه می کنم آن را به چیزی منحصر بفرد تغییر دهید.

استفاده از پیشوند پیش فرض، پایگاه داده سایت شما را در برابر حملات تزریقی SQL مستعد می کند. از چنین حمله ایی می توان با تغییر WP به اصطلاحات دیگر جلوگیری کرد، برای مثال می توانید آن را اینگونه  mywp-، wpnew، و غیره ایجاد کنید.

اگر وب سایت وردپرس خود را با پیشوند پیش فرض راه اندازی کرده اید، پس می توانید از چند پلاگین برای تغییر آن استفاده کنید. پلاگین هایی مانند WP-DBManager یا iThemes Security می توانند فقط با یک کلیک به شما کمک کنند. (پیش از اینکه در پایگاه داده کاری انجام دهید اطمینان حاصل کنید که از سایت خود بکاپ گرفته اید)

wp dbmanager

12. به طور منظم از سایت خود بکاپ بگیرید

مهم نیست که وب سایت شما چقدر امن است، همیشه فرصتی برای بهبود وجود دارد. اما در پایان روز، نسخه بکاپ را خارج از سایت ذخیره کنید یعنی جاهایی که شاید بهترین مکان امن هستند.

اگر بکاپ داشته باشید، می توانید وبسایت وردپرس خود را هر وقت که خواستید به حالت فعالیت بازگردانید. بعضی پلاگین ها می توانند در این رابطه به شما کمک کنند. 

اگر به دنبال یک راه حل عالی هستید، پس VaultPress  از شرکت  Automatticکه فوق العاده است را توصیه می کنم. من این افزونه را نصب کرده ام که هر 30 دقیقه بکاپ می گیرد و هر اتفاق بدی که برای سایت رخ داده را به راحتی می توانم با یک کلیک به حالت اول بازگردانم. مهمتر از همه، سایتم را از وجود بدافزار بررسی می کند و هرچیز مشکوکی پیدا کرد آن را اعلام می کند.

13. برای پایگاه داده خود گذرواژه قوی انتخاب کنید

گذرواژه قوی از کاربر اصلی پایگاه داده، باید گذرواژه ایی باشد که وردپرس برای دسترسی به پایگاه داده از آن استفاده می کند.

مانند همیشه از حروف بزرگ، کوچک، اعداد، و کاراکترهای خاص برای گذرواژه استفاده کنید. یک بار دیگر گذرواژه ساز را به عنوان یک منبع مفید توصیه می کنم.

قسمت (d): راه اندازی میزبان وب خود را ایمن کنید

تقریبا تمام شرکت های میزبان وب ادعا می کنند که یک محیط بهینه سازی شده برای وردپرس ارائه می دهند، اما هنوز هم می توانیم گام بعدی را پیش ببریم:

14. از فایل wp-config.php محافظت کنید

فایل wp-config.php اطلاعات مهم در مورد راه اندازی وردپرس شما را نگهداری می کند و این در واقع مهم ترین فایل در دایرکتوری ریشه سایت شما است. محافظت از آن به معنای محافظت از هسته وبلاگ وردپرس شما می باشد.

اگر فایل wp-config.php برای هکرها غیرقابل دسترس باشد، از بین بردن امنیت سایت شما برایشان کار دشواری است.

خبر خوب این است که انجام این کار واقعا آسان است. فقط فایل wp-config.php خود را وارد کنید و آن را به سطحی بالاتر از دایرکتوری ریشه خود حرکت دهید.

حالا سوال این است، اگر فایل در جای دیگر ذخیره شود سرور چگونه به آن دسترسی پیدا می کند؟ در معماری وردپرس فعلی، تنظیمات فایل پیکربندی در بالاترین لیست اولویت، تنظیم شده است. بنابراین، حتی اگر یک بار بالای دایرکتوری ریشه ذخیره شده باشد، وردپرس بازهم می تواند آن را بفهمد .

15. ویرایش پرونده را نادیده بگیرید

اگر کاربری دسترسی مدیریتی به داشبورد وردپرس شما داشته باشد، پس می تواند هر فایلی که بخشی از نصب وردپرس شما است را ویرایش کند که این شامل تمام پلاگین ها و تِم ها (theme) می شود.

با این حال، اگر ویرایشگر فایل را نادیده بگیرید، حتی اگر هکری دسترسی مدیر به داشبورد وردپرس شما را به دست آورد، باز هم قادر به تغییر هیچ فایلی نیست.

فایل زیر را به فایل wp-config.php اضافه کنید (در انتها)

 define('DISALLOW_FILE_EDIT', true)

16.به درستی به سرور وصل شوید

هنگامی که سایت خود را تنظیم می کنید، فقط از طریق SFTP یا SSH به سرور وصل شوید. SFTP همیشه نسبت بهFTP  سنتی ترجیح داده می شود، زیرا ویژگی های امنیتی آن با FTP نمی باشد.

اتصال به سرور که بر این منوال است می تواند انتقال امن همه فایل ها را تضمین کند. بسیاری از سرویس دهندگان میزبان وب، این سرویس را به عنوان بخشی از بسته خود ارائه می دهند، اگر این طور نبود می توانید آن را به صورت دستی انجام دهید (گوگل فقط برای آموزش است، ولی در خارج از گوگل زیاد وجود دارد).

17.مجوزهای دایرکتوری را به دقت تنظیم کنید

مجوزهای دایرکتوری اشتباه، می توانند مخرب باشند به ویژه اگر شما از محیط میزبان وبی که به اشتراک گذاشته شده است استفاده می کنید.

در چنین موردی، تغییر فایل ها و مجوزهای دایرکتوری حرکت خوبی برای ایمن کردن وب سایت در سطح میزبان وب است. تنظیم مجوزهای دایرکتوری به "755" و فایل ها به "644" می تواند از کل فایل های سیستمی، دایرکتوری، زیردایرکتوری و فایل های شخصی محافظت کند.

این تغییر می تواند یا به صورت دستی از طریق مدیر فایل داخل کنترل پنل میزبان وب شما و یا از طریق ترمینال (متصل به SSH) انجام شود که باید از دستور "chmod" استفاده کنید.

برای کسب اطلاعات بیشتر درباره قاعده مجوز وردپرس یا نصب پلاگین امنیتی iThemes  مطالعه کنید تا بتوانید تنظیمات مجوز کنونی خود را چک کنید .

18.لیست دایرکتوری را با .htaccess غیرفعال کنید

اگر دایرکتوری جدیدی برای بخشی از وب سایت خود ایجاد کرده اید و فایل index.html  را در آن قرار نداده اید، ممکن است از فهمیدن اینکه بازدیدکنندگان شما می توانند به همه محتویات موجود در فهرست دایرکتوری، دسترسی داشته باشند  شوکه شوید.

به عنوان مثال، اگر یک دایرکتوری به نام "data" ایجاد کنید، می توانید با تایپ http://www.example.com/data/  همه محتویات آن دایرکتوری را در مرورگر خود ببینید. نه گذرواژه و نه چیز دیگری لازم نیست.

می توانید با اضافه کردن کد زیر در  فایلhtaccess  خود از آن جلوگیری کنید:

بخش (e): تِم ها و پلاگین های وردپرس خود را ایمن کنید

تِم ها و پلاگین ها اجزای ضروری هر وب سایت وردپرسی هستند. متأسفانه، تِم ها و پلاگین ها می توانند تهدیدات جدی امنیتی نیز بوجود آورند. اجازه دهید تا بفهمیم چگونه می توانیم تِم ها و پلاگین های وردپرس را به روش صحیح ایمن نگه داریم:

19. به طور منظم به روز رسانی کنید

هر محصول نرم افزار خوبی که توسط توسعه دهندگان خود پشتیبانی می شود می تواند به روز رسانی شود اما وردپرس بیشتر اوقات می تواند به روز رسانی شود. این به روز رسانی ها برای حل اشکالات هستند و گاهی اوقات برنامه امنیتی حیاتی دارند.

به روز رسانی نکردن تِم ها و پلاگین ها می تواند به معنی مشکل جدی باشد. بیشتر هکرها به این واقعیت اعتقاد دارند که مردم خود را به زحمت نمی اندازند تا پلاگین ها و تِم های خود را به روزرسانی کنند. اغلب اوقات هکرها از اشکالاتی بهره می برند که در حال حاضر وجود دارد.

بنابراین اگر از محصولات وردپرس استفاده می کنید، مانند پلاگین ها، تِم ها، و هر چیز دیگری، پس آنها را به طور مرتب به روز رسانی کنید.

20. شماره نسخه وردپرس خود را پاک کنید

شماره نسخه کنونی وردپرس شما به راحتی می تواند فهمیده شود. در واقع، در بخش قابل نمایش و مشاهده ی منبع سایت قرار می گیرد.

در منبع سایت، شماره نسخه وردپرس شما وجود دارد که اگر هکرها بفهمند آسان تر می توانند حمله ایی بی نقص انجام دهند.

می توانید شماره نسخه خود را تقریبا با هر پلاگین امنیتی که در بالا ذکر شد پنهان کنید.

حرف پایانی

اگر یک مبتدی هستید، پس انجام این کارها کمی برای شما سخت است. هر چیزی که در این مقاله ذکر شد گامی در مسیر درست است. هر چه بیشتر به امنیت سایت وردپرسی خود توجه کنید، هکر سخت تر می تواند در آن نفوذ کند.

خوش حال می شوم که نظرات یا سوالات خود را در مورد امنیت وردپرس را از طریق نظرات با ما در میان بگذارید !

این مطلب را به اشتراک بگذارید در :

نظرات (2)

  1. MohsenAria

عالی بود محمد جان!

  پیوست ها
اجازه مشاهده پیوست را ندارید
 
  1. محمد دالوند    MohsenAria

ممنون محسن جان

  پیوست ها
اجازه مشاهده پیوست را ندارید
 
هیچ نظری ارسال نشده است .

نظر خود را اضافه کنید.

ارسال نظر به عنوان مهمان ثبت نام or ورود برای رفتن به حساب کاربری شما .
پیوست ها (0 / 3)
Share Your Location