افزایش امنیت وب سایت های وردپرسی

افزایش امنیت وب سایت های وردپرسی

امید صادقی ادمین
مدت زمان مطالعه: 15 دقیقه 19 خرداد 01

در حالی که نرم افزار وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی را می توان برای حفظ امنیت سایت انجام داد.

یک سایت وردپرسی هک شده می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر و مزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می توانند بد افزار را بین کاربران شما توزیع کنند.

 

به روز نگه داشتن وردپرس

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و به روز می شود. به صورت پیش فرض، وردپرس به طور خودکار به روزرسانی های جزئی را نصب می کند. برای نسخه‌های اصلی، باید به ‌روزرسانی را به ‌صورت دستی انجام دهید.

wordpress همچنین دارای هزاران افزونه و قالب است که می توانید در وب سایت خود نصب کنید. این پلاگین ها و قالب ها توسط توسعه دهندگان نگهداری می شوند و به طور منظم به روز رسانی منتشر می کنند.

این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونه ها و قالب شما به روز هستند.

به روز نگه داشتن وردپرس

 

رمزهای عبور قوی و مجوزهای کاربر

نه فقط برای بخش مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند، میبایست از پسوردهای قوی و منحصر به فرد استفاده نمایید.

بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است. نیازی نیست رمزهای عبور را به خاطر بسپارید، می توانید از یک پسورد منیجر استفاده کنید. 

راه دیگر برای کاهش خطر این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید، مگر اینکه کاملاً مجبور باشید. اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را درک کرده‌اید.

 

نقش هاست وردپرس

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند. یک شرکت هاستینگ خوب اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می دهد. برخی از این اقدامات عبارتند از:

  • به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
  • ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند.
  • نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از یک آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.

برای امنیت و سرعت بیشتر وب سایت های وردپرسی استفاده از هاست وردپرس پیشنهاد می گردد.

برای کسب اطلاعات بیشتر در مورد حملات DDoS پیشنهاد می گردد مقاله نحوه جلوگیری از حملات DDoS را مطالعه فرمایید.

 

نصب افزونه های بک آپ گیری

بک آپ گیری اولین دفاع شما در برابر هرگونه حمله است. به یاد داشته باشید. بک آپ ‌گیری به شما این امکان را می‌دهد تا در صورت وقوع حمله، به سرعت سایت وردپرس خود را بازیابی کنید.

تعداد زیادی افزونه بک آپ گیری وردپرس رایگان و پولی وجود دارند که می توانید از آنها استفاده کنید. مهم ‌ترین چیزی که باید در مورد بک آپ گیری بدانید این است که باید به طور منظم نسخه‌های پشتیبان کامل سایت را در یک مکان دیگر به جز حساب میزبانی خود ذخیره کنید. توصیه می کنیم از یک سرویس ابری مانند Dropbox استفاده نمایید.

بر اساس تعداد دفعاتی که وب سایت خود را به روز می کنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان پس از ایجاد هر تغییر باشد.

خوشبختانه این کار را می توان به راحتی با استفاده از افزونه هایی مانند UpdraftPlus یا BlogVault انجام داد. این افزونه ها قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است.

 

بهترین افزونه امنیتی وردپرس

بعد از بک آپ گیری، کاری که باید انجام دهیم این است که یک سیستم مانیتورینگ را راه ‌اندازی کنیم تا هر چیزی که در وب‌سایت شما اتفاق می‌افتد را پیگیری کند. مانیتورینگ شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است.

خوشبختانه، همه این موارد می تواند توسط بهترین افزونه امنیتی رایگان وردپرس به نام  Sucuri Scanner، انجام شود. افزونه رایگان Sucuri Security را نصب و فعال کنید. 

پس از فعال سازی، باید به منوی Sucuri در مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. 

کار بعدی که باید انجام دهید این است که از منوی تنظیمات روی تب "Hardening" کلیک کنید. هر گزینه را بررسی نمایید و روی دکمه " Apply Hardening" کلیک کنید.

سپس هشدارها را با رفتن به Setting و سپس Alerts پیکربندی کنید.

 

فعال سازی WAF

ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس خود استفاده از WAF و یا web application firewall است.

فایروال وب سایت تمام ترافیک مخرب را حتی قبل از رسیدن به وب سایت شما مسدود می کند.

  • فایروال وب سایت سطح DNS: این فایروال ها ترافیک وب سایت شما را از طریق پروکسی سرورهای ابری خود هدایت می کنند. این به آنها اجازه می دهد که فقط ترافیک واقعی را به وب سرور شما ارسال کنند.
  • فایروال سطح اپلیکیشن: این افزونه های فایروال، ترافیک را زمانی که به سرور شما می رسد و قبل از لود اکثر اسکریپت های وردپرس بررسی می نماید. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

ما Sucuri را به عنوان بهترین waf برای وردپرس توصیه می کنیم. فایروال Sucuri دارای ضمانت پاکسازی بد افزار و حذف لیست سیاه نیز می باشد. در صورتیکه وب سایت شما با وجود Sucuri هک گردد، Sucuri تضمین می کند که وب سایت شما را تعمیر می می نماید.

این یک گارانتی بسیار قوی است زیرا تعمیر وب سایت های هک شده گران است. 

Sucuri تنها ارائه دهنده فایروال سطح DNS نیست. رقیب محبوب  Sucuri، کلود فلر است. 

 

سایت وردپرس خود را به SSL/HTTPS انتقال دهید. 

SSL یا Secure Sockets Layer پروتکلی است که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث ایمن کردن ارتباط  و غیر ممکن کردن حملات به محتوای اطلاعات طرفین می گردد. 

هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل را در کنار آدرس وب سایت خود در مرورگر خواهید دید.

برای اطلاعات بیشتر پیشنهاد می گردد مقاله آموزش فعال کردن اس اس ال در وردپرس را مطالعه فرمایید.

 

نام کاربری پیش فرض “admin” را تغییر دهید.

در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که نام‌ های کاربری نیمی از اعتبار ورود به سیستم را تشکیل می‌دهند، این امر انجام حملات brute-force را برای هکرها آسان ‌تر می‌کند.

خوشبختانه، وردپرس این موضوع را تغییر داده است و اکنون از شما می خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید.

با این حال، برخی از نصب‌کنندگان وردپرس با یک کلیک، هنوز نام کاربری پیش ‌فرض مدیر را “admin” تنظیم می‌کنند. اگر متوجه شدید که اینطور است، پس احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید.

از آنجایی که وردپرس به طور پیش ‌فرض به شما اجازه تغییر نام کاربری را نمی‌دهد، سه روش برای تغییر نام کاربری وجود دارد.

  • یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
  • از افزونه Username Changer استفاده کنید.
  • نام کاربری را از phpMyAdmin به روز کنید.

توجه نمایید ما در مورد نام کاربری به نام "admin" صحبت می کنیم و نه نقش مدیر.

 

غیرفعال کردن ویرایش فایل

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد قالب و فایل های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. این ویژگی می تواند یک خطر امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.

غیرفعال کردن ویرایش فایل

 

با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید.

Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

همچنین، می توانید این کار را با یک کلیک و با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا ذکر کردیم، انجام دهید.

 

محدود کردن تلاش برای ورود

به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند. این موضوع باعث می شود سایت وردپرس شما در برابر حملات Brute Force آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور را دارند.

به راحتی می توان با محدود کردن تلاش های ناموفق برای ورود به سیستم این اشکال امنیتی را برطرف کرد. اگر از waf که قبلاً ذکر شد، استفاده می کنید، به طور خودکار به آن رسیدگی می شود.

با این حال، اگر راه اندازی فایروال را انجام نداده اید، مراحل زیر را دنبال کنید.

 ابتدا باید افزونه Login LockDown را نصب و فعال کنید. پس از فعال‌سازی، برای راه‌اندازی افزونه، به Setting و سپس Login LockDown مراجعه کنید.

 محدود کردن تلاش برای ورود

 

احراز هویت دو عاملی را برای امنیت بیشتر اضافه کنید.

تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.

اکثر وب سایت های آنلاین برتر مانند گوگل به شما این امکان را می دهند که آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعال‌سازی، باید روی پیوند  “Two Factor Auth”در نوار کناری مدیریت وردپرس کلیک کنید.

در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator، Authy و LastPass Authenticator موجود است.

توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در فضای ابری نسخه پشتیبان تهیه کنید. این موضوع برای مواقعی که گوشی شما گم شود، ریست شود و یا گوشی جدیدی بخرید بسیار مفید است و حساب کاربری شما به راحتی بازیابی می شود.

 

تغییر پیشوند پایگاه داده وردپرس 

به طور پیش فرض، وردپرس از _wp به عنوان پیشوند تمام جداول در پایگاه داده وردپرس شما استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده نماید، حدس زدن نام جدول شما برای هکرها آسان تر می شود. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.

 

محافظت از رمز عبور مدیریت و صفحه ورود به وردپرس

به طور معمول، هکرها می توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این موضوع به آنها اجازه می دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا نمایند.

شما می توانید حفاظت بیشتر رمز عبور را در سمت سرور اضافه کنید، که به طور مؤثر این درخواست ها را مسدود می کند.

برای اطلاعات بیشتر در مورد حملات DDoS پیشنهاد می کنیم مقاله انواع حملات DDoS را مطالعه فرمایید.

 

غیر فعال کردن Directory Browsing

Directory Browsing توسط هکرها مورد استفاده قرار می گیرد تا بفهمند آیا فایل هایی با آسیب پذیری شناخته شده دارید یا خیر. 

 Directory Browsing همچنین می تواند توسط افراد دیگر برای بررسی فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود Directory Browsing را خاموش کنید.

شما باید با استفاده از FTP یا فایل منیجر cPanel به وب سایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری root وب سایت خود پیدا کنید. 

پس از آن باید خط زیر را در انتهای فایل htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید. 

 

سؤالات امنیتی را به صفحه ورود به وردپرس اضافه کنید.

افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس، دسترسی غیرمجاز را برای افراد دیگر سخت تر می کند.

با نصب افزونه WP Security Questions می توانید سؤالات امنیتی اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به Setting و سپس Security Questions page مراجعه کنید.


راهکار صباهاست


سرویس میزبانی وردپرس مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند. هاست وردپرس صباهاست برای وب سایت های وردپرسی بهینه شده است. در کنار بک آپ گیری منظم، هاست های وردپرس برای برقراری امنیت به بهترین شکل توسط متخصصان، ایمن سازی می شوند و در این صورت دیگر نیازی به نصب افزونه های امنیتی نیست.
همچنین هاست وردپرس صباهاست با داشتن ویژگی هایی همچون فایروال اختصاصی برای جلوگیری از حملات DDoS و پیاده سازی Waf اختصاصی و مانیتورینگ از پلاگین های مخرب روی سرور، آپ تایم بالا، به کارگیری منابع قوی و پیکربندی حرفه ای توسط کارشناسان خبره، امنیت و سرعت وب سایت وردپرسی شما را تأمین می کند.


جمع بندی

تمامی وب سایت ها ممکن است در معرض حمله هکرها قرار بگیرند. در این مقاله راهکارهای رایج برای افزایش امنیت وب سایت های وردپرسی با توضیحات کامل مورد بررسی قرار گرفت. در این مقاله افزونه sucuri که یکی از بهترین افزونه های امنیتی برای افزایش امنیت وب سایت های وردپرسی است معرفی گردید.

امیدواریم این مقاله برایتان مفید واقع شده باشد. اگر سوالی دارید که در این مقاله پاسخش را پیدا نکردید، در قسمت کامنت ها سوال خود را مطرح کنید، کارشناسان ما در کمتر از چند دقیقه به سوالات پاسخ خواهند داد.
این مقاله را با دوستان خود به اشتراک بگذارید.
موفق باشید.


 

برچسب ها :
دسته بندی ها :