راهنمای امنیت وردپرس
امنیت وردپرس یکی از مهمترین موضوعات برای هر صاحب وب سایتی محسوب میشود. گوگل هر هفته فهرست سیاه حدود ۲۰ هزار سایت بد افزار و ۵۰ هزار فیشینگ را ارائه میکند. اگر وب سایت و کسبوکارتان برای شما اهمیت دارد؛ باید به بهترین شیوههای امنیتی وردپرس آگاهی داشته باشید؛ در ادامه این مقاله ما تمام نکات امنیتی برتر وردپرس را برای حفظ سایت در مقابل هکرها و بدافزارها معرفی خواهیم کرد.
در حالی که نرمافزار هسته وردپرس بسیار امن است و صدها توسعه دهنده مرتبا آن را بررسی میکنند؛ اما برای افزایش ایمنی و کاهش درصد خطر، میتوان از راهکارهای سختگیرانهای نیز بهره گرفت.
در وبمسترسلام ما اعتقاد داریم که امنیت صرفا رفع خطر نیست. کاهش خطر هم به نوعی عضو امنیت محسوب میشود و شما به عنوان یک صاحب سایت، برای افزایش امنیت وردپرس خود میتوانید کارهای زیادی انجام دهید. ما به معرفی و بررسی برخی اقدامات عملی که میتوانید برای بهبود امنیت وردپرس خود انجام دهید خواهیم پرداخت.
گفتنی است که انجام دادن این عملکردها ساده است؛
کافی است طبق راهنمای امنیت وردپرس ما پیش بروید تا مرحله به مرحله نکات لازم اجرایی شود و امنیت شما بهبود یابد.
عناوین مطالبی که در این مقاله خواهید خواند :
- مبانی امنیت وردپرس
- چرا امنیت وردپرس مهم است؟
- استفاده از آخرین نسخه وردپرس
- رمزهای عبور و مجوزهای کاربر
- نقش میزبانی وب
- افزایش امنیت وردپرس بدون رمزنگاری
- ابزار بکاپ وردپرس را نصب کنید
- بهترین پلاگین امنیتی وردپرس
- برنامه فایروال وب را نصب کنید
- امنیت وردپرس برای کاربران DIY
- نام کاربری پیش فرض admin را تغییر دهید
- غیر فعال کردن ویرایش پروفایل
- غیر فعال کردن اجرای فایل پیاچپی
- محدود کردن تلاش های ورود
- تغییر پیشوند پایگاه داده وردپرس
- غیرفعال کردن فهرست بندی
- غیر فعال کردن XML-RPC در وردپرس
- به صورت خودکار کاربران غیر فعال را حذف کنید
- افزودن سوالات امنیتی به وردپرس
چرا امنیت وب سایت مهم است؟
در صورتی که سایت شما هک شود، خسارت جدی به درآمد، کسبوکار و شهرت شما وارد خواهد شد. هکرها میتوانند اطلاعات کاربر، رمزهای عبور و… را سرقت کنند و همچنین میتوانند نرم افزارهای مخرب را از این طریق به سایت شما نفوذ دهند. بدتر از همه برخی از هکرها درخواست پرداخت وجه جهت بازگرداندن سایت میکنند.
در مارس ۲۰۱۶ گوگل گزارش داد که بیش از ۵۰ میلیون کاربر که ممکن است از نرمافزارهای مخرب استفاده کنند و یا قصد آسیب زدن داشته باشند از سایتها بازدید میکنند. علاوه بر این همانطور که گفتیم گوگل به صورت هفتگی فهرست ۲۰ هزار سایت بدافزار و ۵۰ هزار فیشینگ را ارائه میکند.
به هر حال اگر سایت شما، به نوعی کسبوکار است باید برای امنیت سایتتان اهمیت بسیار بیشتری قائل شوید. همانطور که صاحبان فروشگاههای فیزیکی با قفل، درهای ضد سرقت و… از ساختمان محافظت میکنند، شما نیز میبایست از این روشها از سایت خود محاظت نمایید.
استفاده از آخرین نسخه وردپرس
وردپرس یک نرم افزار منبع باز است که که مرتبا بازبینی شده و بررسی میشود. به طور پیش فرض، وردپرس به صورت خودکار بروزرسانیهای جزئی را نصب میکند. اما برای نسخه های اصلی شما باید به صورت دستی برای بروزرسانی اقدام نمایید.
همچنین وردپرس دارای هزاران پلاگین و تمهایی است که شما میتوانید در سایتتان نصب کنید. این افزونهها و تمها توسط توسعه دهندگان شخص ثالت مرتبا بازبینی و چک میشوند و آنها نیز به صورت مرتب دچار بروزرسانی میشوند.
این بروزرسانی هی وردپرس برای امنیت و ثبات یک سایت وردپرسی بسیار حیاتی است. شما همیشه باید مطمعن باشید که هسته اصلی وبسایت و پلاگینهای وردپرسیتان به روز است.
رمز های عبور قوی و مجوزهای کاربران
شایع ترین روش برای هک وردپرس استفاده از رمزهای سرقت شده است.
در صورتی که از یک رمز عبور طولانی که قطعا قویتر هم است؛ استفاده کنید، میتوانید سرقت را برای هکرها بسیار دشوارتر نمایید. استفاده از رمزهای قوی صرفا برای پنل مدیریت وردپرس توصیه نمیشود بلکه برای تمام حسابهای مرتبط اعم از FTP، پایگاه داده و… توصیه میشود.
دلیل اصلی استفاده از رمزهای ضعیف که باعث سرقت هکرها میشود؛ این است که صاحبان سایت مبتدی برای سهولت در به ذهن سپردن رمز، از رمز های طولانی و حرفه ای استفاده نمیکنند. این احمقانهترین سناریو ممکن است! چرا که شما دارین تمام تلاش ها و زحمتهایتان را در معرض هجوم دزدها قرار میدهید در حالی که به راحتی میتوانید یک رمز عبور طولانی و قوی را در جایی ذخیره کنید تا حتی نیاز به حفظ کردن آن نداشته باشید.
یکی دیگر از راه های افزایش امنیت این است که هرگز از سیستم هایی که موقتا دردسترس دارید به پنل مدیریت سایتتان ورود نکنید و این کار را صرفا از سیستم شخصی خودتان که همیشه دردسترس است و متعلق به خود شما میباشد انجام دهید. پیشنهاد میکنیم برای سایر کسانی که در سایت شما فعالیت میکنند، حتما محدودیتهایی در دسترسی قرار دهید و آنها را با عنوان “مدیر کل” به سایت وارد نکنید.
نقش میزبانی وب وردپرس
سرویس میزبانی وب شما مهمترین نقش را در امنیت سایت شما ایفا میکند. برخی از ارائه دهندههای میزبانی وب اقداماتی اضافه برای افزایش ایمنی سرور خود در مقابل خطرات احتمالی انجام میدهند. به هر حال شما در میزبانی وب گاهی اوقات منابع سرور را با برخی دیگر از افراد به اشتراک میگذارید. این کار خطر آلودگی متقابل سایت شما را فراهم میکند! به نحوی که هکرها از سایت همسایه به راحتی وارد سایت شما خواهند شد.
افزایش امنیت وردپرس بدون رمزنگاری
ما این مسئله را درک میکنیم که بهبود ایمنی وردپرس احتمالا یک چیز بسیار وحشتناک برای مبتدیان است. به خصوص اگر آنها علم کافی در این زمینه نداشته باشند. اما بگذارید خیالتان را راحت کنیم! هیچ جای ترس و یا نگرانی وجود ندارد. هزاران راه کار و یا راه حل های آماده برای افزایش ایمنی سایت شما وجود دارد که هیچ گاه نیاز نخواهد شد که دست به کد نویسی بزنید! صرفا باید با افزایش مطالعه و یا مشاوره با توسعه دهندگان با تجربه سراغ پیاده سازی نکات امنیتی روی سایتتان بروید که اغلب هیچ کار خاصی ندارند و صرفا شما موظف به جابهجا کردن و یا کلیک کردن روی چند گزینه خواهید بود. کافی است بلد باشید موس را تکان بدهید و کلیک کنید تا بتوانید بسیاری از نکات و ترفندهای امنیتی را پیاده سازی کنید.
ابزار بکاپ وردپرس را نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هر حمله احتمالی وردپرس است. به یاد داشته باشید که هیچ چیز صددرصد امن نیست! اگر میتوانند سایتهای دولتی را هک کنند پس قطعا سایت شما را هم میتوانند هک کنند. پشتیبان گیری این امکان را به شما میهد که ب سرعت سایت وردپرسی خود را در صورت بروز هر اتفاق ناخوشایندی، باز سازی کنید. بسیاری از پلاگین های پشتیبان گیری وردپرس به صورت رایگان و یا پولی وجود دارند که با استفاده از آنها میتوانید از محتوای سایتتان پشتیبان گیری نمایید. مهم ترین نکته ای که در این خصوص باید به آن توجه داشته باشید؛ این است که شما میبایست به صورت مرتب پشتیبان گیری کنید. و حتما پشتیبان گیری را در یک حساب جدا از تمام حساب های مرتبط با سایتتان انجام دهید تا هکرها به هیچ وجه به آن دسترسی پیدا نکنند. پیشنهاد میکنیم پشتیبان گیری را در یک سرویس ابری مانند آمازون، دراپ باکس و… انجام دهید. بسته به این که سایت خود را چه مقدار مرتب کنید، تنظیمات ایدهآل در خصوص پشتیبان گیری ممکن است به یک بار در روز و یا… نیازمند باشند.
بهترین پلاگین امنیتی وردپرس
مرحله پس از پشتیبان گیری، ایجاد یک سیستم حساب رسی و نظارت است که هر چیزی که در سایت شما اتفاق میافتد را بررسی کند. این مسئله شامل نظارت بر تمام فایلها، تلاش های ناموفق ورود به سیستم، اسکن بد افزارها و… است. خوشبختانه همه این موارد میتواند از طریق پلاگین رایگان وردپرس یعنی sucuri scanner قابل انجام است. شما میبایست این پلاگین را نصب و فعال کنید؛ برای جزئیات بیشتر مراحل گام به گام راهنمای نحوه نصب این پلاگین را مطالعه کنید.
پس از فعال سازی شما میبایست در منوی sucuri در وردپرس خود وارد شوید.
اولین چیزی که از شما خواسته میشود این است که یک کلید API رایگان ایجاد کنید. این مسئله امکان بررسی ورورد های ناموفق، فایلها، هشدارهای ایمیل و… را فراهم میکند.
پس از فعال سازی این مرحله شما میبایست روی زبانه سخت افزاری از منو sucuri کلیک کنید. در این قسمت میتوانید بخش های کلیدی که هکرها اغلب برای پیدا کردن روزنه ورود سراغ آنها را میروند را به عبارتی قفل کنید و یا ایمنی آن را افزایش دهید.
گفتنی است که تنظیمات پیش فرض این افزونه به خودی خود خوب هستند و نیاز به تغییر ندارند. تنها چیزی که ما توصیه میکنیم این است که سراغ سفارشی کردن هشدار های ایمیل بروید. در قسمت سفارشی سازی اعلان هر گونه اخطار امنیتی را فعال کنید تا از هر گونه خطری که وی سایتتان را تهدید میکند، آگاه شوید.
به هر حال باید بدانید که این پلاگین امنیتی فوق العاده قدرتمند است و حداقل توانایی رفع نیازهای شما را تا حد بسیار قابل قبولی دارد.
برنامه فایروال وب را نصب کنید (WAF لایه هفت)
ساده ترین راه برای محافظت از سایت خود و افزایش اعتماد به نفس در مورد امنیت وردپرستان استفاده از برنامه فایروال تحت وب است. فایروال بلافاصله پس از اینکه بر وبسایت شما مسلط شود تمام ترافیک مخربی که به سمت سایتتان میآید را مسدود میکند.
ما Sucuri را به عنوان بهترین فایروال وب برای وردپرس استفاده میکنیم و همین طور استفاده از آن را برای شما هم توصیه میکنیم. در صورتی که تمایل دارید در مورد sucuri بیشتر بدانید، کافی است کمی در خصوص آن در اینترنت جستجو کنید تا ببینید چه قدرتی در حفظ و افزایش ایمنی سایت شما دارد.
بهترین ویژگی فایروال sucuri این است که تضمین کارشان را میدهند! کار آنها حافظت از سایت شما در مقابل هکرها است و درصورتی که موفق به محافظت نشوند تضمین میکنند که سایت را بازپس گرفته و کاملا ترمیم نموده و به شما تحویل دهند! البته دقیق نمیدانیم که این ویژگی در خصوص سایت های ایرانی صدق میکند یا خیر اما به هر حال ارائه چنین تضمینی نشانه قدرت و اعتماد به نفس بالای آن ها است.
شایان ذکر است که تضمین آنها بسیار هزینه بر نیز هست! کارشناسان امنیتی برای تعمیر سایت شما در هنگام هک شدن ساعتی ۲۰۰ دلار هزینه دریافت میکنند! این در حالی است که شما با پرداخت تنها ۱۹۹ دلار در سال میتوانید از پشتیبانی تمام وقت در صورت مواجه شدن با چنین مشکلاتی برخوردار شوید. (وب سایت Wphelper.ir نیز در ایران خدمات مشابهی با هزینه ای اندک ارائه می دهد .)
Sucuri تنها فایروال وب نیست! رقیب محبوب آن Cloudflare است. به هر حال ما در بین این دو فایروال همچنان استفاده از sucuri را به شما پیشهاد میکنیم اما اگر مایل هستید اطلاعات بیشتری در خصوص مزایا هر کدام و یا معایت آنها دریافت کنید یا اینکه این دو را با هم مقایسه کنید، کافی است کمی در اینترنت در خصوص آنها جستجو نمایید.
امنیت وردپرس برای کاربران DIY
اگر تمام مواردی را که تاکنون گفته ایم برای سایتتان عملیاتی کردهاید؛ پس قطعا وب سایت شما در وضعیت خوبی از نظر ایمنی قرار دارد. اما شما به این اکتفا نکنید و هر چقدر که میتوانید بیشتر و بیشتر امنیتتان را افزایش دهید.
پیشنهاد میکنیم که نام کاربری پیش فرض admin را تغییر دهید. وردپرس به صورت پیش فرض نام کاربری را برای ورود admin انتخاب میکند و از آنجایی که نام کاربری نیمی از آن چیزی است که برای ورود نیاز است؛ کار هکرها به راحتی جلو خواهد افتاد.
البته وردپرس در نسخه های آخر خود این مسئله را در نظر گرفته است و برای همین در حین نصب از کاربران یک نام کاربری سفارشی میخواهد. با این حال بازهم برخی از کاربران نام کاربری admin را انتخاب میکنند که زیاد کار عاقلانهای محسوب نمیشود.
شایان ذکر است که تغییر نام کاربری چند روش در وردپرس دارد:
- یک دسترسی جدید ایجاد کنید و دسترسی قبل را حذف نمایید.
- از پلاگین تغییر نام کاربری استفاده کنید.
- از طریق phpmyadmin نام کاربری خود را بروزرسانی کنید.
در صورتی که مشتاق هستید، مراحل گام به گام این سه روش را دریابید؛ کافی است کمی در اینترنت در خصوص آنها جستجو کنید.
غیر فعال کردن ویرایش پروفایل
وردپرس همواره همراه با یک ویرایشگر کد است که به کاربران برای ایجاد تغییرات در پوسته و… کمک میکند. اما باید توجه کنید که این ویژگی میتواند یک خطر امنیتی محسوب شود! برای همین ما پیشنهاد میکنیم که آن را غیر فعال کنید.
شما این کار را به راحتی با افزودن کد زیر در wp-config.php انجام دهید:
// Disallow file edit define( ‘DISALLOW_FILE_EDIT’, true ); |
گفتنی است که شما میتوانید این کار را از طریق یک کلیک با استفاده از ویژگی Hardening در پلاگین Sucuri نیز انجام دهید.
غیر فعال کردن اجرای فایل php در دایرکتوری های خاص وردپرس
راه دیگر برای تقویت ایمنی وردپرس شما این است که از اجرای فایل php در دایرکتوری هایی که نیاز نیست مانند uoloads و یا wp-content جلوگیری کنید.
شما این کار را به راحتی با بازکردن یک ویرایشگر متن مثل notepad میتوانید انجام دهید و کد زیر را وارد نمایید:
<Files *.php> deny from all </Files> |
سپس شما میبایست این فایل را به عنوان htaccess. ذخیره کنید و آن را با استفاده از یک سرویس دهنده FTP در سایت خود آپلود کنید.
شایان ذر است که این کار راهم میتوانید به راحتی از طریق یک کلیک در پلاگین sucuri با ویژگی hardening انجام دهید.
محدود کردن تلاش های ورود
به طور پیش فرض تعداد تلاش های وردپرس تقریبا نامحدود است! این مسئله سایت وردپرسی شما را آسیب پذیر میکند و اجازه میدهد که به دفعات بسیار زیاد بتوانند به سایتتان حمله کنند. در ساده ترین روش هکرها مکرر از رمزهای عبور مختلف با ترکیبات مختلف استفاده میکنند تا بالاخره وارد سایت شوند.
این راه نفوذ هکرها به راحتی با محدود کردن تلاش های ورود، بسته میشود. البته اگر از فایروال وب استفاده میکنید؛ همانطور که قبلا گفته شده است به طور پیش فرض از این عامل جلوگیری میشود.
تغییر پیشوند پایگاه داده وردپرس
به طور پیش فرض وردپرس از _WP به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده میکند. اگر سایت وردپرسی شما نیز از پیشوند دیتابیس پایگاه داده استفاده میکند؛ هکر ها به راحتی میتوانند آن را پیدا کنند و اولین مرحله برای شروع نفوذ را بسیار سریع و بدون هیچ زحمتی دریافت میکنند. به همین دلیل توصیه میکنیم که آن را تغییر دهید.
توجه کنید: اگر به درستی این کار را انجام ندهید، سایت شما حسابی بهم میریزد و حتی نابود میشود. اگر احساس میکنید مهارت های کافی برنامه نویسی را برای این کار دارید، اقدام به تغییر آن کنید وگرنه از یک برنامه نویس حرفهای درخواست انجام این کار را بکنید.
حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم
به طور معمول هکرها به راحتی میتوانند صفحه ورود به مدیریت را پیدا کنند و درخواست ورود بدهند و حتی درخواست بازیابی ایمیل را ارسال کنند. این کافی است تا آنها حملات DDos را اجرا کنند. شما میتوانید برای افزایش ایمنی مراحل ارتقا رمز عبور و یا افزایش تعداد آن را انجام دهید. توصیه میکنیم این کار را حتما با علم کامل، مرحله به مرحله و بدون هیچ اشتباهی انجام دهید تا در پایان کار خودتان برای ورود به سیستم با مشکل مواجه نشوید.
غیر فعال کردن فهرست بندی
مرورگر دایرکتوری میتواند توسط هکرها مورد استفاده قرار گیرد تا فایلهایی را که دارای آسیب پذیری های شناخته شده هستند، شناسایی کنند تا در نهایت از آن فایل ها برای دسترسی و نفوذ استفاده کنند.
مرورگر دایرکتوری همینطوری میتواند توسط افراد دیگری نیز مورد استفاده قرار بگیرد تا فایل ها را بررسی کنند، تصاویر را کپی کنند و ساختار دایرکتوری شما و سایر اطلاعات را پیدا کنند. به همین دلیل به شدت توصیه میکنیم که نمایه سازی و مرور صفحات را غیر فعال کنید.
شما باید با استفاده از FTP یا مدیر فایل cPanel به سایت خود متصل شوید. بعد فایل htaccess. را در دایرکتوری ریشه سایت خود قرار دهید. اگر شما فایل مورد نظر را پیدا نمیکنید در اینترنت در خصوص راهنمای htaccess. جستجو کنید.
سپس شما میبایست خط زیر را در پایان فایل اضافه کنید:
Options -Indexes
فراموش نکنید که فایل htaccess. را در سایت خود آپلود و ذخیره کنید.
غیر فعال کردن XML-RPC در وردپرس
XML-RPC به طور پیش فرض در وردپرس ۳.۵ فعال شده است زیر به افراد کمک میکند تا سایت وردپرسی خود را با برنامه های وب و تلفن همراه متصل کنند. با این حال به دلیل ماهیت قدرتمندی که دارد، میتواند حملاتی که به سمت سایت شما میشود را به شدت تقویت کند.
به عنوان مثال به طور معمول اگر یک هکر بخواهد ۵۰۰ کلمه عبور متفاوت را در سایت امتحان کند، باید ۵۰۰ بار اقدام به ورود مجدد را انجام دهد که توسط افزونه ورود به سیستم قفل شده است! اما با استفاده از XML-RPC یک هکر میتواند از تابع system.multicall برای تست هزاران کلمه عبور با ۲۰ یا ۵۰ درخواست اقدام کند. به همین دلیل است که توصیه میکنیم اگر از XML-RPC استفاده نمیکنید؛ حتما آن را غیر فعال سازید.
سه راه برای غیر فعال سازی XML-RPC در وردپرس وجود دارد. که میتوانید همه آنها را با کمی جستجو در اینترنت بیابید.
نکته: روش htaccess. بهترین است زیرا کمترین فایل فشرده را دارد.
به صورت خودکار کاربران غیر فعال را حذف کنید
گاهی اوقات کاربرانی که وارد سیستم شما شده اند میتوانند خطرات امنیتی را به دنبال داشته باشند. ممکن است کسی از طریق ضعف های سیستم تغییراتی برای آسیب رساندن به شما و سایتتان اعمال کند. دقیقا به همین دلیل است که بسیاری از سایت های بانکی و بانک های مجازی به صورت خودکار کاربران غیر فعال را از سیستم حذف میکنند. شما میتوانید از همین راهکارها در سایت وردپرسی خود استفاده کنید.
با نصب و فعال سازی پلاگین هایی مانند Idle User Logout و تنظیم مدت زمان مشخص که اگر در آن زمان کاربر فعالیتی نداشت آن را حذف کند، میتوانید خیالتان را از این بابت راحت کنید.
سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید
افزودن یک سوال امنیتی در صفحه ورود به وردپرس باعث میشود کار کسانی که قصد ورود غیر مجاز به سایت شما را دارند، سخت تر شود. شما میتوانید سوالات امنیتی را با نصب پلاگین WP Security Questions بیافزایید. پس از نصب این پلاگین میبایست از طریق صفحه آن در ورپرس برای تنظیم تنظیمات پیش فرضش اقدام نمایید.
باز پس گیری یک سایت وردپرس هک شده
بسیاری از کاربران وردپرس اهمیت پشتیبان گیری و امنیت سایتشان را تا زمانی که سایتشان هک نشده است، درک نمیکنند. باز پس گیری سایت هک شده واقعا بسیار دشوار و وقت گیر است؛ اولین توصیه ای که در این خصوص داریم، مراجعه به افراد حرفهای است.
هکرها پس از نصب با ایجاد آسیب های بسیار جزئی که خودشان آگاه هستند راه را برای هک کردن دوباره و دوباره و دوباره سایت شما هموار میکنند! این یعنی حتی اگر سایت تان را پس بگیرید بازهم به راحتی قابل هک شدن است! پس میبایست از یک حرفه ای برای جلوگیری از پیش آمد چنین مشکلاتی استفاده کنید.
پیشنهاد میکنیم در چنین شرایطی برای ترمیم و بازپس گیری سایتتان را به یک شرکت امنیتی مانند wphelper.ir واگذار کنید. تضمین میکنیم که با این کار خیالتان راحت خواهد شد چراکه از ترمیم و بهبود صددرصدی سایتتان اطمینان حاصل میکنید.
ما امیدواریم که این مقاله به شما کمک کند تا بهترین نکات و راه حل های امنیتی وردپرس را بیاموزید و همچنین از بهترین پلاگین های امنیتی برای افزایش ایمنی سایتتان استفاده نمایید.
در صورتی که سوالی دارید می توانید در بخش نظرات مطرح نمایید تا کارشناسان واحد پشتیبانی وبمسترسلام به سرعت به آن پاسخ دهند .
چقدر این مطلب مفید بود ؟
یک ستاره <<>> پنج ستاره
میانگین رتبه ۴.۹ / ۵. تعداد امتیازات ۶۱
تا کنون امتیازی ثبت نشده است . (اولین نفر باشید)