حفظ امنیت وردپرس با متد های 2023
حفظ امنیت وردپرس با متد های 2023
یک سایت وردپرسی هک شده میتواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها میتوانند اطلاعات کاربر، رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی میتوانند بدافزار را بین کاربران شما توزیع کنند. بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وبسایت خود، به هکرها باید باج دهید! فاجعه است.
در مارس 2016، گوگل گزارش داد که بیش از 50 میلیون کاربر در مورد وبسایتی که در حال بازدید آن بودند، هشدار داده شده است که ممکن است بدافزارهایی دریافت کنند یا اطلاعات آنها سرقت شود. علاوه بر این، Google حدود 20000 وبسایت را برای بدافزار و حدود 50000 وبسایت را برای فیشینگ در هر هفته در لیست سیاه قرار میدهد.
اگر وبسایت شما تجاری است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید. مانند اینکه مالکان کسبوکار مسئولیت محافظت از ساختمان شرکت یا فروشگاه خود را دارند، به عنوان مالک کسبوکار آنلاین، مسئولیت محافظت از وبسایت بر عهده شماست.
نقش میزبانی وب
سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس ایفا میکند. یک ارائه دهنده میزبانی مشترک خوب اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام میدهد. آنها به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
همه شرکتهای هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند.
آنها نرم افزار سرور، نسخههای php و سخت افزار خود را به روز نگه میدارند تا از سوء استفاده هکرها در برابر آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
همچنین آماده به کارگیری برنامههای بازیابی فاجعه و حوادث هستند که به آنها امکان میدهد در صورت بروز حادثه بزرگ از دادههای شما محافظت کنند.
در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک میگذارید. این خطر آلودگی بین سایتی را باز میکند که در آن هکر میتواند از یک سایت همسایه برای حمله به وبسایت شما استفاده کند.
استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر امنتری را برای وبسایت شما فراهم میکند. شرکتهای میزبان وردپرس مدیریت شده، پشتیبانگیری خودکار، بروزرسانی خودکار وردپرس و تنظیمات امنیتی پیشرفتهتر را برای محافظت از وبسایت شما ارائه میدهند.
تهیه بکاپ (نسخه پشتیبان) از وردپرس
پشتیبانگیری اولین دفاع شما در برابر هرگونه حمله به وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وبسایتهای دولتی را میتوان هک کرد، پس سایت شما نیز میتواند هک شود. پشتیبانگیری به شما این امکان را میدهد تا در صورت وقوع اتفاق بدی، به سرعت سایت وردپرس خود را بازیابی کنید.
تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد که میتوانید از آنها استفاده کنید. مهمترین چیزی که باید در مورد پشتیبانگیری بدانید این است که باید به طور منظم نسخههای پشتیبان کامل سایت را در یک مکان مطمئن دیگر (نه حساب میزبانی سایت) ذخیره کنید.
توصیه می کنیم آن را در یک سرویس ابری مانند Dropbox ذخیره کنید.
براساس تعداد دفعاتی که وبسایت خود را بروز میکنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان در زمان واقعی باشد. خوشبختانه این کار را میتوان به راحتی با استفاده از افزونههایی مانند Duplicator یا UpdraftPlus انجام داد. هر دو قابل اعتماد بوده و از همه مهمتر استفاده از آنها آسان است.
بهترین افزونههای امنیتی وردپرس
پس از پشتیبانگیری، کاری که باید انجام دهیم این است که یک سیستم ممیزی و نظارت را راهاندازی کنیم که تمام اتفاقات وبسایت را ردیابی کند. این امر شامل نظارت بر یکپارچگی فایل، تلاشهای ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است. خوشبختانه، همه این موارد قابل انجام هستند. باید افزونه رایگان Sucuri Security را نصب و فعال کنید. این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام تبها و تنظیمات را انجام دهید تا تمام کارهایی که انجام میدهد مانند اسکن بدافزار، گزارشهای متعدد، ردیابی تلاش برای ورود ناموفق و غیره را به شما نشان دهد.
فعالسازی فایروال در وب
سادهترین راه برای حفظ امنیت وردپرس استفاده از فایروال Sucuri برنامه وب (WAF) است. فایروال وبسایت تمام ترافیک مخرب را حتی قبل از رسیدن به وبسایت شما مسدود میکند. فایروال وبسایت سطح DNS – از طریق سرورهای پروکسی ابری آنها ترافیک وبسایت شما را هدایت میکنند. این امر به آنها اجازه میدهد فقط ترافیک واقعی را به سرور وب شما ارسال کنند. فایروال سطح برنامه – این افزونههای فایروال ترافیک را زمانی که به سرور شما میرسد، اما قبل از بارگیری بیشتر اسکریپتهای وردپرس بررسی میکنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست
استفاده از گواهینامه SSL
SSL پروتکلی است که انتقال دادهها را بین وبسایت و مرورگر کاربران رمزگذاری میکند. این رمزگذاری باعث میشود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد. هنگامی که گواهینامه SSL را فعال کردید، وبسایت به جای HTTP از HTTPS استفاده میکند، همچنین علامت قفل را در کنار آدرس وبسایت در مرورگر خواهید دید.
تغییر نام کاربری پیشفرض admin
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان میدهد تم و فایلهای افزونه خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید. این ویژگی میتواند یک خطر امنیتی باشد، به همین دلیل توصیه میکنیم آن را غیرفعال کنید. با افزودن کد زیر در فایل
wp-config.php به راحتی میتوانید این کار را انجام دهید:
غیرفعال کردن امکان ویرایش فایل ها
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان میدهد تم و فایلهای افزونه خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید. این ویژگی میتواند یک خطر امنیتی باشد، به همین دلیل توصیه میکنیم آن را غیرفعال کنید. با افزودن کد زیر در فایل
wp-config.php به راحتی میتوانید این کار را انجام دهید:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
غیرفعال کردن اجرای فایل PHP
یکی دیگر از راههای حفظ امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوریهایی است که به آن نیازی نیست، مانند
/wp-content/uploads/. شما میتوانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و وارد کردن این کد انجام دهید:
<files>
deny from all
</files>
در مرحله بعد، باید این فایل را به صورت htaccess ذخیره کنید و در پوشه /wp-content/uploads/ سایت خود آپلود کنید.
ایجاد محدودیت در تلاش مکرر برای ورود کاربر
به طور پیش فرض، وردپرس به کاربران این امکان را دارد که هر چند بار که میخواهند نام کاربری و رمز عبور را بزنند تا وارد سیستم شوند. این باعث میشود سایت وردپرسی شما در برابر حملات بی رحمانه آسیبپذیر شود. هکرها سعی میکنند رمزهای عبور را با تلاش برای ورود با ترکیبهای مختلف بشکنند. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده میکنید، به طور خودکار به آن رسیدگی میشود.
افزودن احراز هویت دو عاملی
تکنیک احراز هویت دو مرحلهای از کاربران میخواهد که با استفاده از روش احراز هویت دو عاملی وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است و در مرحله دوم باید با استفاده از یک دستگاه یا برنامه جداگانه احراز هویت شوید. اکثر وبسایتهای برتر آنلاین مانند Google، Facebook، Twitter به شما اجازه میدهند این امکا را برای حسابهای خود فعال کنید. همچنین میتوانید همین عملکرد را به سایت وردپرسی خود اضافه کنید.
تغییر پیشوند نام جداول پایگاه داده
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده استفاده میکند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش فرض استفاده میکند، حدس زدن نام جدول برای هکرها آسانتر میشود. به همین دلیل است که توصیه میکنیم پیشوند پایگاه داده تغییر دهید.
پسورد محافظت شده در wp-admin
به طور معمول، هکرها میتوانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی تهدید کنند. این موضوع به آنها اجازه میدهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را امتحان کنند. شما میتوانید حفاظت رمز عبور را در سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود میکند.
غیرفعال کردن ایندکس دایرکتورها
هکرها میتوانند از جستجویی دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیریهای شناخته شده دارید یا نه. سایر افراد میتوانند از بررسی دایرکتوری برای جستجوی فایلهای شما، کپی کردن تصاویر و یافتن آنها استفاده کنند. ساختار دایرکتوری خود و سایر اطلاعات را مشخص کنید. به همین دلیل است که به شدت توصیه میشود فهرستسازی و بررسی دایرکتوری را غیرفعال کنید. باید با استفاده از FTP یا مدیریت فایل cPanel به وبسایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری روت وبسایت پیدا کنید. پس از آن، باید خط زیر را در انتهای فایل htaccess. اضافه کنید:
Options -Indexes
غیرفعال کردن XML-RPC در وردپرس
XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده زیرا به اتصال سایت وردپرس با وب و برنامههای تلفن همراه کمک میکند. به دلیل ماهیت قدرتمند خود، XML-RPC میتواند به طور قابل توجهی حملات brute-force را تقویت کند. برای مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وبسایت امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهند که توسط افزونه قفل ورود مسدود میشود. اما با XML-RPC، یک هکر میتواند از عملکرد system.multicall برای آزمایش هزاران رمز عبور استفاده کند. مثلا 20 یا 50 درخواست. به همین دلیل است که اگر از XML-RPC استفاده نمیکنید، توصیه میکنیم آن را غیرفعال کنید.
خروج اتوماتیک کاربران
کاربرانی که وارد سیستم شدهاند گاهی اوقات از صفحه خارج میشوند اما دکمه خروج از سایت را نمیزنند و این یک خطر امنیتی است. شخصی میتواند اطلاعات را ربوده، رمز عبور را تغییر دهد یا در حساب کاربری تغییراتی ایجاد کند. به همین دلیل است که بسیاری از سایتهای بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج میکنند. شما میتوانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید. برای این منظور میتوان از افزونه Inactive Logout استفاه کنید.
ایجاد سوال امنیتی در هنگام ورود به وردپرس
افزودن یک سوال امنیتی به صفحه ورود سیستم وردپرس دسترسی غیرمجاز را برای کسی سختتر میکند. با نصب افزونه WP Security Questions میتوانید سوالات امنیتی اضافه کنید. پس از فعالسازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.
اسکن وردپرس در مقابل بدافزارها
اگر یک افزونه امنیتی وردپرس نصب کردهاید، به طور معمول بدافزار و نشانههای نقض امنیتی را بررسی میکنند. با این حال، اگر افت ناگهانی در ترافیک وبسایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را انجام دهید. میتوانید از افزونه امنیتی وردپرس خود استفاده کنید.
اجرای این اسکنهای آنلاین کاملاً ساده است، شما فقط URLهای وبسایت خود را وارد میکنید و خزندههای آنها از طریق وبسایت شما میروند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.
اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط میتوانند وبسایت شما را اسکن کنند. آنها نمیتوانند بدافزار را حذف کنند یا یک سایت وردپرسی هک شده را پاکسازی نمایند.
دیدگاهتان را بنویسید