۲۱ راهکار برای افزایش امنیت سایت های وردپرس

1,123
21 راهکار برای افزایش امنیت سایت های وردپرس
لینک کوتاه مطلب : http://birclick.com/asx6u

۲۱ راهکار برای افزایش امنیت سایت های وردپرس

افزایش امنیت سایت های وردپرس : همواره یکی از بزرگترین دغدغه های مدیران وب سایت های وردپرسی امنیت بخش مدیریت می باشد . وردپرس هم مانند کلیه سیستم های مدیریت محتوا روی امنیت خود سرمایه گذاری زیادی کرده است و هر چند وقت یکبار یک آپدیت امنیتی ارائه می کند . اما شاید ندانید که هکرها حتی از فهمیدن ورژن وردپرس یک سایت می توانند آن را هک کنند !

در این بخش از مجله اینترنتی بیر کلیک قصد داریم با ارائه ۲۱ راهکار برای افزایش امنیت سایت های وردپرس آنچه یک مدیر سایت وردپرسی برای حفاظت از پنل مدیریت خود نیاز دارد را بیان نماییم . شما میتوانید با رعایت کردن این نکات به راحتی مانع بخش عظیمی از دسترسی های غیر مجاز به وب سایت خود شده و امنیت آن را تا حد زیادی افزایش دهید . لطفا همراه ما باشید .

21 راهکار برای افزایش امنیت سایت های وردپرس
21 راهکار برای افزایش امنیت سایت های وردپرس

۱ – استفاده از میزبانی امن

مهمترین جایی که باید به آن توجه شود محلی است که سایت شما را میزبانی (هاست) میکند . امروزه سایت های بسیاری برای ارائه خدمات وجود دارن که هرکدام امنیت و امکانات خاص خودشان رو دارند . یک سرور خوب از اطلاعات محافظت کرده و امکانات متعددی رو در اختیار کاربران خودش قرار میده ، برخی از این امکانات رو در زیر باهم میبینیم :

ارائه پیشنهادات ویژه امنیتی در هنگام خرید سرویس ها
استفاده از نرم افزار های بروز بر روی سرور
ارائه خدمات پشتیبان گیری از سرور
پشتیبانی ۲۴ ساعته و پاسخ گویی به سوالات کاربران

در هنگام انتخاب ارائه دهندگان میزبانی وب ، به سادگی به سراغ ارزانترین آنها نروید . تحقیقات خود را انجام دهید و مطمئن شوید که از شرکتی که به خوبی تثبیت شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید .  این کار همیشه ارزش پرداخت کمی هزینه ی اضافه تر برای آرامش ذهن شما را دارد ، زیرا که می دانید سایت شما ایمن است . که از جمله آنها می توان به شرکت پارس پک اشاره نمود که از لحاظ امنیت و سرعت و پشتیبانی در این زمینه جز بهترین هاست .

۲ – استفاده از رمز عبور قوی

طبق بررسی های بعمل آمده حدود ۸% از وب سایت های هک شده ی وردپرس ، به علت داشتن کلمات عبور ضعیف بوده است .

اگر کلمه عبور وردپرس شما چیزی مانند ‘۱۲۳۴۵۶’ یا ‘abc123’ و … باشد ، باید آن را در اسرع وقت به چیز امن تری تغییر دهید . برای یک رمز عبور از چیزی استفاده کنید که به خاطر داشتن آن آسان ، اما شکستن آن بسیار سخت باشد .

یک رمز عبور خوب و مناسب شامل اعداد ، حروف و کاراکتر های مختلف است .  به عنوان مثال #AS6670/+@1007 یک رمز عبور قوی و مناسب است ، رمزی که شما انتخاب می کنید نباید قابل حدس زدن باشد و یا در دیکشنری موجود باشد و در کل از یک رمز کاملا بی معنی استفاده کنید تا هکر توسط حملات Brute Force قادر به یافتن رمز عبور شما نباشد.

همچنین در بخش انتخاب رمز عبور درصد قدرت رمز عبور نمایش داده می شود و به راحتی می توانید با استفاده از این قابلیت که وردپرس خودش تشخیص میده یک رمز عبور قوی انتخاب کنید .

۳ – بروز نگه داشتن وردپرس و افزونه ها

یکی از مهمترین نکات در امنیت سایت های وردپرس ، همواره بروز نگه داشتن هست . با این کار ایرادات کلی و جزئی سایت برطرف شده و بهترین عملکرد امنیتی را به شما تحویل میدهد.

همواره آخرین بروزرسانی ها را از سایت اصلی وردپرس دریافت کنید .

21 راهکار برای افزایش امنیت سایت های وردپرس
21 راهکار برای افزایش امنیت سایت های وردپرس

۴ – کنترل سطح دسترسی پوشه ها

اگر شما کمی در وردپرس حرفه ای باشید ، باید به این نکته توجه کنید که حتما سطح دسترسی پوشه ها و فایل ها رو در وردپرس تغییر بدهید تا هر کاربری امکان نوشتن و تغییر این فایل ها نداشته باشد .

در ابتدا توضیحی را در مورد اعدادی که در سطح دسترسی استفاده میشوند باهم میبینیم :

Execute(X) Write(W) Read(R) Number
No No No ۰
Yes No No ۱
No Yes No ۲
Yes Yes No ۳
No No Yes ۴
Yes No Yes ۵
No Yes Yes ۶
Yes Yes Yes ۷

بر این اساس سطح دسترسی ۰۰۰۰ پایین ترین و سطح دسترسی ۷۷۷۷ بالاترین سطح دسترسی هست که یه کاربر میتواند داشته باشد .

توجه داشته باشید که اگه در آپلود فایل توسط وردپرس مشکلی دارید ، به هیچ عنوان سطح دسترسی رو بر روی ۰۷۷۷ قرار ندهید ! این کار میتواند خطرات بسیاری را برای شما داشته باشد و کار را برای هکر گرامی راحت تر کند .

در سیستم های مدیریت محتوا مانند WordPress , Joomla و … , سطح دسترسی به فایل ها به صورت پیشفرض تعیین شده است که بهتر است شما با داده های زیر تغییر دهید .

سطح دسترسی پوشه ها = ۷۵۵

سطح دسترسی فایل ها = ۶۴۴

سطح دسترسی فایل Config بعد از نصب سیستم مدیریت محتوا = ۴۴۴

سطح دسترسی htaccess. فایل = ۶۴۴

منظور از سطح دسترسی , همان گزینه Permission واقع در فایل منیجر ( File Manager ) هاستینگ می باشد .

۵ – حفاظت از فایل  wp-config.php 

اگر در سرور خود دسترسی به فایل “ .htaccess “ دارید ، این کد رو در بالاترین قسمت این فایل قرار دهید تا هیچ کسی اجازه ی دسترسی به این فایل رو نداشته باشد.

<files wp-config.php>
order allow,deny
deny from all
</files>

۶ – جلوگیری از تلاش برای ورود به مدیریت سایت

هنگام ورود به مدیریت وردپرس وقتی رمز اشتباه وارد می کنیم پیغام رمز عبور برای شناسه x اشتباه است ظاهر می شود و برای دفعات بی نهایت می توان این عمل رو انجام داد , پس این اجازه را به کسی ندهید که با تلاش برای ورود موفق به پیدا کردن رمز عبور شود .

برای این منظور افزونه ای به نام Limit Login Attempts وجود دارد که با تنظیماتی که مدیر انجام می دهد با وارد کردن چند بار متوالی رمز اشتباه تلاش برای ورود به مدیریت برای مدت زمان معین قفل خواهد شد  ، البته اگر رمز قوی انتخاب کنید .

درست است که قابل حدس زدن نیست اما اسکریپت هایی وجود دارد که هکر ها برای ورود به سیستم از انها استفاده می کنند کار این اسکریپت ها تکرار کردن انواع رمز هاست ( انواع کاراکتر ها ) تا در نهایت رسیدن به رمز عبور , اما با این افزونه وردپرس دیگر نگران این کار هکرها نباشید.

۷ – استفاده از روش ورود امن SSL

اگر توجه کرده باشید اکثر سایت ها با آدرس //:http قابل دسترسی هست و اگر توجه کرده باشید سایت های بزرگی از //:https استفاده می کنند برای استفاده از این ویژگی با گواهی نامه ی SSL داشته باشید با داشتن این گواهی نامه می توانید به فایل wp-config.php موجود در فایل های وردپرس کد زیر را اضافه کنید

define(’FORCE_SSL_ADMIN’, true);

و همچنین افزونه ی Admin SSL را نصب و تنظیمات لازم را انجام دهید.

21 راهکار برای افزایش امنیت سایت های وردپرس
21 راهکار برای افزایش امنیت سایت های وردپرس

۸ – محدود کردن دسترسی ها از طریق ادرس آی پی IP

گاهی اوقات مجبور می شویم تا برخی از IP ها را برای ورود به سایت و مدیریت وردپرس محدود کنیم , برای محدود کردن دسترسی ها از طریق IP به سراغ فایلی به نام .htaccess موجود در پوشه ی wp-admin بروید و کد زیر را به این فایل اضافه کنید

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
#whitelist Amir’s IP address
allow from xx.xx.xx.xxx
#whitelist Atrisa’s IP address
allow from xx.xx.xx.xxx
#whitelist Saeid’s IP address
allow from xx.xx.xx.xxx
#whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
#whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>

به جای xx.xx.xx.xxx آدرس آپی های مورد نظر را وارد کنید می توانید به تعداد دلخواه IP های خاص رو بنویسید.

۹ – حذف پیغام خطا در صفحه ی ورود

اگر توجه کرده باشید زمان وارد کردن رمز عبور اشتباه وردپرس یک پیغام داخل کادر قرمز رنگ نمایش میدهد ( رمز وارد شده برای نام کاربری y اشتباه است ) یا ( شناسه معتبر نیست و … ) , فکر کنید یک هکر در پنل ورود به مدیریت مشغول وارد کردن رمز عبور با شناسه های متفاتوت و در هر بار پیغام مربوطه را مشاهده می کند پس برای جلوگیری از نمایش این پیغام که هکر نداند چه پیغامی است ( شناسه نا معتبر ) یا ( رمز اشتباه ) , کد زیر را به فایل Functions.php قالب وردپرس خودتون اضافه کنید تا دیگر این پیغام خطا نمایش داده نشود .

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

۱۰ – پیشوند جداول وردپرس را تغییر دهید

تعداد زیادی از سایت هایی که با وردپرس راه اندازی می شوند از پیشوند جداول پیشفرض وردپرس یعنی ‘wp_’ استفاده می کنند. به دلیل اینکه اکثر سایت ها از این پیشوند برای جداول سایت خود استفاده می کنند افرادی که سعی در نفوذ و هک سایت شما را دارند به راحتی نام جداول وردپرس شما را می دانند و امنیت سایت شما کاهش پیدا می کند. برای اینکه امنیت سایت وردپرسی خود را بالا ببرید بهترین کار تغییر پیشوند جداول می باشد.

۱۱ – اجازه ندهید کسی در مسیر وردپرس شما چیزی بنویسید

وارد وردپرس لینوکس خود شوید و برای دیدن لیست مسیرهای باز دستور زیر را در ترمینال وارد کنید :

find . -type d -perm -o=w

همچنین برای تعیین اجازه مدیر به فایل‌های امنیتی دو دستور زیر را وارد کنید:

find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;

۱۲ – مدیریت FTP

در هنگام اتصال حتما از “اتصال SFTP ” استفاده کنید . تفاوت این روش با FTP در نوع انتقال اطلاعات هست که در روش SFTP اطلاعات بصورت حفاظت شده و کد گذاری شده ارسال میشوند .

21 راهکار برای افزایش امنیت سایت های وردپرس
21 راهکار برای افزایش امنیت سایت های وردپرس

۱۳ – سعی کنید از تم های رایگان استفاده نکنید

بهتر است از تم های رایگان استفاده نکنید، به خصوص اگر که آنها توسط یک توسعه دهنده ی معتبر هم ساخته نشده باشند.

دلیل اصلی برای انجام ندادن این کار است که تم های رایگان اغلب می تواند شامل چیزهایی مانند رمز گذاری base64 باشند ، که ممکن است به شکل نا محسوسی برای وارد کردن لینک های اسپم در سایت شما، و یا کدهای مخرب دیگری که می تواند همه نوع مشکلی ایجاد کند، مورد استفاده قرار گیرد، همانطور که در این آزمایش نشان داده شده است، ۸ عدد از ۱۰ عدد سایتی که تم رایگان ارائه می دهند حاوی کد base64 هستند.

اگر شما واقعا نیاز به استفاده از یک تم رایگان دارید، فقط باید از آنهایی استفاده کنید که توسط شرکت های سازنده ی تم مورد اعتماد توسعه یافته باشند، و یا از آنهایی که در مخزن رسمی تم های WordPress.org در دسترس هستند، استفاده کنید.

توجه : همان منطق در مورد پلاگین ها هم صدق می کند. فقط از پلاگین هایی که در لیست WordPress.org ذکر شده اند، و یا توسط یک توسعه دهنده معتبر ساخته شده اند، استفاده کنید.

۱۴ – ویرایش فایل ها از طریق داشبورد را غیر فعال کنید

در یک نصب وردپرس به طور پیش فرض، شما می توانید به نمایش / ویرایشگر رفته و هر یک از فایل های تم خود را دقیقا در داخل داشبورد ویرایش کنید.

مشکل این است که اگر یک هکر موفق به دسترسی به پنل مدیریت شما شد، آنها نیز می تواند فایل های شما را به این ترتیب ویرایش کنند، و هر کدی را که می خواهند اجرا کنند.

پس ایده ی خوبی است که این روش ویرایش فایل ها را با اضافه کردن موارد زیر به فایل wp-config.php خود، غیر فعال کنید:

define( ‘DISALLOW_FILE_EDIT’, true );

۱۵ – نام کاربری Admin را تغییر دهید

نام کاربری Admin را تغییر دهید ، به این دلیل که درصورتی که هکر متوجه شود شما هنوز از نام کاربری Admin استفاده می کنید ، برای نفوذ به سایت شما تنها کافیست با حملات Brute Force رمز عبور را پیدا کند.

برای تغییر نام کاربری Admin می توانید از پلاگین WPVN – Username Changer استفاده کنید.

۱۶ – جلوگیری از کاربران برای جستجو در مسیرها

این بسیار مهم است که دستور زیر را در htaccess. وردپرس واقع در مسیر Root خود اضافه کنید:

Options -Indexes

با اضافه کردن این دستور کاربران خارج از مدیر نمی‌توانند به این فایل دسترسی داشته باشند و html و یا php از آخر آدرس وب شما حذف می‌شود.

21 راهکار برای افزایش امنیت سایت های وردپرس
21 راهکار برای افزایش امنیت سایت های وردپرس

۱۷ – نصب پلاگین امنیتی Secure WordPress

این پلاگین با انجام و تغییر برخی قسمت ها در وردپرس باعث افزایش امنیت وردپرس می شود ، به عنوان مثال حذف نام نسخه مورد استفاده وردپرس ، پیغام های ورود و … که اطلاعات مهمی به هکر می دهند از جمله تغییرات این افزونه است.

۱۸ – نصب پلاگین امنیتی WordPress Firewall

پلاگین امنیتی WordPress Firewall همانطور که از نامش پیداست برای ایجاد یک دیوار آتش و دفع حملات مختلف مانند حملات خطرناک SQL Injection و … می باشد و همچنین امکان مطلع کردن مدیر سایت با ایمیل در صورت حمله به سایت از جمله قابلیت های کاربردی این پلاگین است.

۱۹ – نصب پلاگین Captcha

احتمالا با کپچا و پرسش امنیتی آشنایی دارید ، با نصب پلاگین Captcha ، این پلاگین با اضافه کردن پرسش و پاسخ امنیتی به قسمت های مختلف وردپرس از جمله صفحه لاگین ، فرم نظرات و … شما را از دست اسپمرها و ربات راحت می کند.

 ۲۰ – مخفی کردن ورژن وردپرس

زمانی که نسخه سیستم مدیریت محتوای شما نمایش داده شود هکری که وارد سایت شما میشود بعد از تشخیص نسخه وردپرس شما میداند که کدام نسخه چه باگ هایی دارد و برای هک این نسخه که شما از آن استفاده میکنید چه راه های نفوذی وجود دارد. پس بهتر است نسخه سیستم مدیریت محتوای وردپرس سایت خود را مخفی کنید.

برای مخفی نمودن نسخه وردپرس سایت خود کد زیر را به فایل Functions.php تزریق کنید.

<?php

function wpbeginner_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpbeginner_remove_version’);

۲۱ – پشتیبان گیری را به هیچ عنوان فراموش نکنید!

بهترین راه برای حفظ امنیت سایت تهیه نسخه پشتیبان از سایت وردپرس شماست ، که اگر خدایی نکرده اطلاعات شما در اثر هر سهل انگاری پاک شد ، میتوانید با برگرداندن نسخه ی پشتیبانی که از قبل آماده کردین سریعا نسبت به بهبود سایت خود اقدام کنید .

چند نکته

۱ – پوشه ی installation را پس از نصب وردپرس بطور کامل پاک نمائید.

۲ – کلمه ی عبور خود را حدودا هر ۳ ماه عوض کنید.

۳ – از کلمات عبوری استفاده کنید که در سایت های دیگری از آنها استفاده نکرده باشید.

۴ – افزونه های غیر استفاده در سایت را پاک کنید.

۵ – استفاده از هاست های رایگان به هیچ عنوان توصیه نمیشود.

۲۱ راهکار برای افزایش امنیت سایت های وردپرس نوشته شده در تاریخ : توسط کاربر
به اشتراک بگذارید...

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سه × 1 =