اگر با وردپرس کار می کنید یا از آن استفاده می کنید، همیشه باید به امنیت سایت وردپرس خود فکر کنید. وردپرس نسبت به سایر سیستم عامل ها کم و بیش ایمن نیست، اما تعداد کاربران و افزونه های شخص ثالث، آن را به یک هدف مشترک برای مهاجمان تبدیل کرده است. نگران نباشید، برخی اقدامات اساسی وجود دارد که می توانید برای امنیت سایت خود انجام دهید (حتی اگر خیلی فنی نیستید)!
1.از کلمه “Admin” به عنوان نام کاربری استفاده نکنید.
بیشتر “هک ها” و حملات وردپرس کاری پیچیده تر از تلاش برای ورود به منطقه ادمین شما با حدس زدن رمز ورودتان نیست. اگر لازم نباشد نام کاربری ادمین را حدس بزنند انجام این کار برای آن ها بسیار آسان تر است! اجتناب از استفاده از کلمات معمول (مانند admin) برای نام های کاربری شما می تواند حملات brute-force را بسیار کمتر کند.
اگر با یک سایت قدیمی کار می کنید که قبلاً یک کاربر «ادمین» دارد، ممکن است زمان حذف آن حساب و انتقال هرگونه محتوا یا دسترسی به نام کاربری ایمن تر باشد!
2.استفاده از پسوورد پیچیده
داشتن رمز عبور بهتر می تواند حدس زدن را دشوارتر کند. یک نکته آسان برای یادآوری رمز عبور : پیچیده، طولانی و منحصر به فرد بودن پسوورد است.
اما گذرواژه های طولانی تر و منحصر به فرد را به سختی می توان به خاطر سپرد، درست است؟ این جایی است که ابزارهایی مانند 1Password و LastPass وارد بازی می شوند، زیرا هر یک از آن ها تولید کننده رمز هستند. شما طول مورد نیاز را تایپ می کنید و آن ها یک رمز عبور برای شما ایجاد می کنند. شما لینک را ذخیره می کنید، رمز عبور را ذخیره می کنید و به کار خود ادامه می دهید. بسته به میزان امن بودن رمز عبور، منطقی است که یک گذرواژه طولانی تنظیم کنید (20 حرف خوب است) و در مورد مواردی مانند درج کاراکترهای کمتر معمول مانند # یا * را انتخاب کنید. این کار به امنیت وردپرس شما کمک می کند.
3.اضافه کردن احراز هویت دو عاملی
حتی اگر از «ادمین» استفاده نمی کنید و رمز عبور قوی و تصادفی دارید، حملات هک می توانند همچنان یک مشکل باشند. نگران نباشید، احراز هویت دو عاملی می تواند به امنیت از سایت وردپرس شما کمک کند.
اصل این است که، به جای اینکه فقط اطلاعات ورود به سیستم را وارد کنید، باید با وارد کردن کد یکبار مصرف از دستگاه دیگری که متعلق به خودتان هست (معمولاً از طریق برنامه روی تلفن خود)، تأیید کنید که خودتان هستید. جعلی بودن برای مهاجمین بسیار دشوارتر است!
دو افزونه معروف برای دستیابی به تأیید اعتبار در وردپرس Google Authenticator و Rublon Plugin (که رویکردی کمی متفاوت دارد). فقط اطمینان حاصل کنید که کدهای پشتیبان خود را گم نکنید، در غیر این صورت ممکن است خود را قفل کنید.
4.از اصول کم برخوردار استفاده کنید
تیم WordPress.org یک مقاله عالی در مورد وردپرس Codex در مورد نقش ها و توانایی ها تهیه کرده است. ما شما را به خواندن و آشنایی با آن تشویق می کنیم زیرا در مراحل زیر اعمال می شود.
مفهوم Least Privileged ساده است. فقط به:
- کسانی که به آن نیاز دارند،
- هنگامی که آن ها به آن نیاز دارند و
- فقط برای زمانی که آن ها به آن نیاز دارند رمز عبور را بدهید
اگر کسی برای تغییر پیکربندی به دسترسی موقت ادمین نیاز دارد، این دسترسی را به او بدهید، اما پس از اتمام کار آن را بردارید. خبر خوب این است که غیر از به کار بردن بهترین روش ها، در اینجا نیازی به کار زیادی نیست.
بر خلاف تصور عمومی، لازم نیست هر کاربری که به نمونه وردپرس شما دسترسی پیدا می کند، به عنوان ادمین طبقه بندی شود. افراد را به نقش های مناسب اختصاص دهید و خطر امنیتی خود را تا حد زیادی کاهش می دهید.
5.wp-config.php و .htaccess را مخفی کنید
wp-config.php و .htaccessfile شما برای امنیت وردپرس بسیار مهم هستند. آن ها اغلب حاوی اطلاعات سیستم شما هستند و اطلاعات مربوط به ساختار و پیکربندی سایت تان را افشا می کنند. اطمینان از عدم دسترسی مهاجمان به آن ها امری حیاتی است.
پنهان کردن این پرونده ها به راحتی قابل انجام است، اما اشتباه انجام دادن آن ممکن است سایت شما را از دسترس خارج کند. یک نسخه پشتیبان تهیه کنید و با احتیاط ادامه دهید. برای ویرایش .htaccess خود کافیست به قسمت “Tools> File Editor” بروید.
برای امنیت بهتر وردپرس، باید این مورد را برای محافظت از wp-config.php به پرونده .htaccess خود اضافه کنید:
<Files wp-config.php> order allow,deny deny from all </Files>
این از دسترسی به پرونده جلوگیری می کند. کد مشابهی برای خود پرونده .htaccess نیز قابل استفاده است:
<Files .htaccess> order allow,deny deny from all </Files>
6.برای احراز هویت از کلیدهای امنیتی وردپرس استفاده کنید
کلیدهای تأیید اعتبار و “salts” اساساً مجموعه ای از متغیرهای تصادفی و منحصر به فرد وب سایت شما هستند که امنیت (رمزگذاری) اطلاعات موجود در کوکی ها را بهبود می بخشند.
پرونده wp-config.php شما دارای یک منطقه اختصاصی است که می توانید متغیرهای خود را در آن تهیه کنید (به سادگی مجموعه جدیدی از کلیدها را از اینجا تهیه کرده و در آن جای گذاری کنید).
7.ویرایش فایل را غیرفعال کنید
اگر یک هکر وارد شود، ساده ترین راه برای تغییر پرونده شما این است که به “Appearance> Editor” در وردپرس مراجعه کنید. برای بهبود امنیت وردپرس خود، می توانید ویرایش این فایل ها را از طریق آن ویرایشگر غیرفعال کنید. مجدداً می توانید این کار را از داخل فایل wp-config.php با افزودن این خط کد انجام دهید:
define(‘DISALLOW_FILE_EDIT’, true);
همچنان می توانید قالب های خود را از طریق برنامه (S)FTP مورد علاقه خود ویرایش کنید. فقط نمی توانید از طریق خود وردپرس این کار را انجام دهید.
8.ورود خود را پنهان کرده و تلاش برای ورود به سیستم را محدود کنید
حملات Brute-force معمولاً فرم ورود شما را هدف قرار می دهند. بنابراین تغییر مکان زندگی می تواند ورود مهاجمان را دشوارتر کند. افزونه All in One WP Security & Firewall این گزینه را دارد که به سادگی URL پیش فرض (از / wp-admin /) را به چیزی امن تر تغییر دهد.
در کنار آن، می توانید تعداد تلاش برای ورود به سیستم از طریق یک آدرس IP خاص را نیز محدود کنید. چندین افزونه وردپرس وجود دارد که به شما کمک می کند فرم ورود خود را از آدرس های IP محافظت کنید که باعث می شود تعداد زیادی نتوانند وارد سیستم شما شوند.
9.با XML-RPC انتخابی باشید
XML-RPC یک رابط برنامه کاربردی (API) است که برای مدتی است در دسترس است. این مورد توسط تعدادی از افزونه ها و موضوعات مورد استفاده قرار می گیرد، بنابراین ما با کمبود دانش فنی احتیاط می کنیم تا مراقب نحوه اجرای این نکته خاص برای سخت افزار باشیم.
عملکردی است که غیرفعال کردن آن می تواند هزینه داشته باشد. به همین دلیل است که ما توصیه نمی کنیم برای همه موارد غیر فعال شود، اما در انتخاب چگونگی و مواردی که اجازه دسترسی به آن را دارند انتخاب بیشتری داشته باشید. در وردپرس، اگر از Jetpack استفاده می کنید باید در اینجا بیشتر مراقب باشید.
تعدادی افزونه وجود دارد که به شما کمک می کند تا در نحوه پیاده سازی و غیرفعال کردن XML-RPC بسیار پیشگام باشید.
10.میزبانی و امنیت وردپرس
حتی اگر در مورد امنیت وب سایت خود دقیق باشید، اگر توسط شرکتی میزبانی شود که به همین دقت نباشد، ممکن است شما اصلاً کاری نکرده باشید.
اگر یک مهاجم بتواند به میزبانی وب سایت شما دسترسی پیدا کند، می تواند کنترل کامل همه چیز را در دست بگیرد. این بدان معنی است که واقعاً مهم است که میزبانی را درست انتخاب کنید. گزینه های ارزان قیمت میزبانی معمولاً با امنیت یا پشتیبان گیری خوبی همراه نیستند، یا ممکن است برای پاکسازی یک سایت هک شده پشتیبانی نداشته باشند.
میزبانی مشترک (که معمولاً در بسته های ارزان قیمت معمول است) معمولاً خطرناک است، زیرا ممکن است مهاجمان بتوانند از طریق سایت دیگری که در معرض خطر است در همان سیستم به سایت شما دسترسی پیدا کنند. به همین دلیل است که ما همیشه به کاربران جدی توصیه می کنیم کمی بیشتر در هاست هزینه کنند و از شرکتی با شهرت عالی برای میزبانی تخصصی وردپرس مانند شرکت هاستینگ ممتاز سرور استفاده کنند.
11.به روز باشید
به روز بودن اظهارنظر ساده ای است، اما ما می فهمیم که این مسئله چقدر می تواند برای صاحبان وب سایت در روز سخت باشد. وب سایت های ما موجودات پیچیده ای هستند. آن ها در هر زمان اتفاقات مختلفی دارند. و بعضی اوقات اعمال تغییرات سریع به سختی انجام می شود. به همین دلیل غیر منتظره است که وب سایت ها کد تمام شده خود را به روز نمی کنند. هم در افزونه ها و هم در نرم افزار اصلی. متأسفانه، این باعث می شود آن ها به ویژه در معرض سواستفاده های آسیب پذیر قرار بگیرند.
بسیار مهم است که به روزرسانی قالب ها، نرم افزار، پلاگین ها و سایر مولفه ها بخشی از یک برنامه معمول است. در غیر این صورت، در را به روی مهاجمان باز می گذارید.
12.لایه های امنیتی بیشتری را در جای خود قرار دهید
بهترین راه حل های امنیتی مانع از این می شود که مهاجمان هرجایی به وب سایت شما دسترسی پیدا کنند. به همین دلیل ما توصیه می کنیم که اکثر سایت ها نوعی افزونه فایروال وردپرس را اجرا کنند. این افزونه ها به دنبال مهاجمان شناخته شده و الگوهای معمول حمله هستند و قبل از اینکه فرصتی برای به خطر انداختن سایت شما داشته باشند، آن ها را متوقف می کنند.
همچنین لازم به ذکر است که بسیاری از سیستم های تحویل محتوا اکنون دارای قابلیت firewall هستند. ترکیب بهینه سازی عملکرد با محافظت. به ویژه Cloudflare در جلوگیری از “ترافیک بد” کار بزرگی انجام می دهد و حتی دارای قوانین و اسکن هایی است که به طور خاص برای حفظ امنیت از سایت های وردپرس تهیه شده است.
13.بهترین پلاگین ها و قالب های امنیتی
بیشتر کاربران وردپرس تمایل دارند که تم ها و افزونه ها را به دلخواه در سایت های خود اعمال کنند. ما توصیه می کنیم مراقب تست موضوعات یا افزونه های مختلف باشید، به خصوص اگر از سرور آزمایشی استفاده نمی کنید. اکثر افزونه ها و بسیاری از قالب ها رایگان هستند، مگر اینکه توسعه دهنده یک مدل تجاری خوب برای همراهی با این محصولات رایگان داشته باشد، ممکن است امنیت در بالاترین اولویت در هنگام توسعه نبوده باشد. به عبارت دیگر، اگر یک توسعه دهنده فقط به دلیل سرگرم کننده بودن یک افزونه نگهداری می کند، به احتمال زیاد برای انجام بررسی های امنیتی مناسب وقت صرف نکرده است.
نحوه انتخاب پلاگین مناسب
ابتدا اجازه دهید در اینجا به اصول انتخاب پلاگین بپردازیم. همانطور که در بالا توضیح داده شد، پلاگین ها و تم های رایگان می توانند یک آسیب پذیری احتمالی داشته باشند.
هنگام افزودن یک افزونه (یا تم برای آن موضوع)، همیشه امتیاز آن پلاگین را در WordPress.org بررسی کنید. بخاطر داشته باشید که یک رتبه بندی 5 ستاره چیزی به شما نمی گوید، بنابراین همیشه تعداد امتیازات را بررسی کنید. بسته به نوع، یک افزونه باید بتواند چندین بررسی داشته باشد. اگر افراد بیشتری فکر می کنند که یک افزونه عالی است و برای ارزیابی آن وقت می گذارند، ممکن است در استفاده از آن نیز احساس امنیت بیشتری داشته باشید.
سازگاری افزونه
یک چیز دیگر وجود دارد که باید بررسی کنید. اگر افزونه ای به مدت دو سال به روز نشده است، وردپرس این موضوع را به شما می گوید. اکنون، این لزوماً به معنای پلاگین بد نیست. همچنین می تواند به این معنی باشد که نیازی به، به روزرسانی آن نبوده است، فقط به این دلیل که افزونه هنوز هم کار می کند. رتبه بندی به شما کمک می کند در مورد این موضوع تصمیم بگیرید. و نگاهی به سازگاری با نسخه فعلی وردپرس که در صفحه پلاگین wordpress.org نیز نشان داده شده است، بیاندازید. با گفتن این موارد، Sucuri اکیداً توصیه می کند از افزونه هایی که مدت طولانی است به روز نشده استفاده نکنید. شما باید حرف آن ها را قبول کنید.
بر اساس رتبه بندی و سازگاری، می توانید افزونه های خود را متفکرانه انتخاب کنید و در عین حال مراقب امنیت وردپرس خود باشید.
14.گزارش ها و نظارت را فراموش نکنید
تاکنون، نحوه ایمن سازی سایت وردپرس را مشاهده کرده ایم. با این حال، از آنجا که امنیت وردپرس مطلق نیست (سایت ها همیشه با تغییر عملکرد و کاربران در حال پیشرفت هستند)، امنیت وردپرس جنبه دیگری دارد: ورود به سیستم و نظارت.
گزارش های حسابرسی یا گزارش فعالیت ها، ثبت وقایع و تغییراتی است که در وب سایت شما اتفاق افتاده است. در گزارش های حسابرسی می توانید اطلاعاتی درباره افرادی که به سایت شما وارد شده اند، افزونه ای را نصب یا به روز کرده، محتوا را تغییر داده، تنظیمات سایت را تغییر داده و موارد دیگر را پیدا کنید.
حملات نقطه ای قبل از وقوع
با نگه داشتن یک گزارش ممیزی در سایت وردپرس خود، از مسئولیت پذیری کاربر اطمینان می یابید، عیب یابی مشکلات فنی را آسان می کنید و حملات را قبل از اینکه اتفاق بیافتند، به شما امکان می دهد برای جلوگیری از آن ها اقدامات را آماده کنید.
گزارش های حسابرسی همچنین مورد استفاده قرار می گیرند تا دریابید چه اتفاقی در مورد هک موفق رخ داده است. برای نگهداری یک گزارش ممیزی در سایت وردپرس خود، باید افزونه ای مانند WP Security Audit Log را نصب کنید.
چندین مورد دیگر وجود دارد که باید آن ها را تحت نظر داشته باشید. به عنوان مثال، اگر از Sucuri استفاده می کنید، گزارش ترافیک هفتگی با جزئیات موارد مسدود شده و مجاز دریافت می کنید. شما می توانید چیزهای زیادی از آن و همچنین از تجزیه و تحلیل وب سایت و الگوهای ترافیک خود یاد بگیرید.
خاتمه افکار درباره امنیت وردپرس
اگر در این مقاله به اینجا رسیده اید، دیگر هیچ بهانه ای برای بهبود امنیت وردپرس برای وب سایت خود نخواهید داشت. دقیقاً مانند افزودن پست ها و صفحات، بررسی امنیت وردپرس شما باید یک روال برای هر صاحب سایت وردپرس داشته باشد.
همچنین بخاطر داشته باشید که این لیست کاملی از کارهایی نیست که می توانید برای امنیت وب سایت خود انجام دهید. ما می دانیم که برای مثال، باید یک نسخه پشتیبان تهیه کنید تا امنیت سایت شما را حفظ کند. با این حال، اطمینان داریم که این مقاله در مورد امنیت وردپرس لیست عملی از کارهایی را که می توانید انجام دهید و باید انجام دهید تا حداقل از لایه اول وب سایت خود محافظت کنید، به شما ارائه می دهد. بخاطر بسپارید، امنیت وردپرس مطلق نیست و ما سخت تر می توانیم این کار را برای هکرها انجام دهیم!
منبع: yoast blog
دیدگاهی بنویسید