حفظ امنیت وردپرس با متد های 2023

20 بهمن 1401
ارسال شده توسط
امنیت وردپرس
حفظ امنیت وردپرس با متد های 2023
تعداد بازدیدها: 7

حفظ امنیت وردپرس با متد های 2023

آنچه در این مقاله می‌خوانید نمایش

  یک سایت وردپرسی هک شده می‌تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می‌توانند اطلاعات کاربر، رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می‌توانند بدافزار را بین کاربران شما توزیع کنند. بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وبسایت خود، به هکرها باید باج دهید! فاجعه است.

 

در مارس 2016، گوگل گزارش داد که بیش از 50 میلیون کاربر در مورد وبسایتی که در حال بازدید آن بودند، هشدار داده شده است که ممکن است بدافزارهایی دریافت کنند یا اطلاعات آن‌ها سرقت شود. علاوه بر این، Google حدود 20000 وبسایت را برای بدافزار و حدود 50000 وبسایت را برای فیشینگ در هر هفته در لیست سیاه قرار می‌دهد. 

  اگر وبسایت شما تجاری است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید. مانند اینکه مالکان کسب‌وکار مسئولیت محافظت از ساختمان شرکت یا فروشگاه خود را دارند، به عنوان مالک کسب‌وکار آنلاین، مسئولیت محافظت از وب‌سایت بر عهده شماست.

نقش میزبانی وب

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس ایفا می‌کند. یک ارائه دهنده میزبانی مشترک خوب اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می‌دهد. آنها به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
همه شرکت‌های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند.
آنها نرم افزار سرور، نسخه‌های php و سخت افزار خود را به روز نگه می‌دارند تا از سوء استفاده هکرها در برابر آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.

همچنین آماده به کارگیری برنامه‌های بازیابی فاجعه و حوادث هستند که به آنها امکان می‌دهد در صورت بروز حادثه بزرگ از داده‌های شما محافظت کنند.
در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می‌گذارید. این خطر آلودگی بین سایتی را باز می‌کند که در آن هکر می‌تواند از یک سایت همسایه برای حمله به وبسایت شما استفاده کند.

استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر امن‌تری را برای وبسایت شما فراهم می‌کند. شرکت‌های میزبان وردپرس مدیریت شده، پشتیبان‌گیری خودکار، بروزرسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته‌تر را برای محافظت از وبسایت شما ارائه می‌دهند.

تهیه بکاپ (نسخه پشتیبان) از وردپرس

پشتیبان‌گیری اولین دفاع شما در برابر هرگونه حمله به وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وبسایت‌های دولتی را می‌توان هک کرد، پس سایت شما نیز می‌تواند هک شود. پشتیبان‌گیری به شما این امکان را می‌دهد تا در صورت وقوع اتفاق بدی، به سرعت سایت وردپرس خود را بازیابی کنید.

تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد که می‌توانید از آنها استفاده کنید. مهم‌ترین چیزی که باید در مورد پشتیبان‌گیری بدانید این است که باید به طور منظم نسخه‌های پشتیبان کامل سایت را در یک مکان مطمئن دیگر (نه حساب میزبانی سایت) ذخیره کنید.
توصیه می کنیم آن را در یک سرویس ابری مانند Dropbox ذخیره کنید.

براساس تعداد دفعاتی که وبسایت خود را بروز می‌کنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان در زمان واقعی باشد. خوشبختانه این کار را می‌توان به راحتی با استفاده از افزونه‌هایی مانند Duplicator یا UpdraftPlus انجام داد. هر دو قابل اعتماد بوده و از همه مهمتر استفاده از آنها آسان است.

بهترین افزونه‌های امنیتی وردپرس

پس از پشتیبان‌گیری، کاری که باید انجام دهیم این است که یک سیستم ممیزی و نظارت را راه‌اندازی کنیم که تمام اتفاقات وب‌سایت را ردیابی کند. این امر شامل نظارت بر یکپارچگی فایل، تلاش‌های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است. خوشبختانه، همه این موارد قابل انجام هستند. باید افزونه رایگان Sucuri Security را نصب و فعال کنید. این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام تب‌ها و تنظیمات را انجام دهید تا تمام کارهایی که انجام می‌دهد مانند اسکن بدافزار، گزارش‌های متعدد، ردیابی تلاش برای ورود ناموفق و غیره را به شما نشان دهد.

حفظ امنیت وردپرس با متد های 2023

فعال‌سازی فایروال در وب

ساده‌ترین راه برای حفظ امنیت وردپرس استفاده از فایروال Sucuri برنامه وب (WAF) است. فایروال وبسایت تمام ترافیک مخرب را حتی قبل از رسیدن به وبسایت شما مسدود می‌کند. فایروال وبسایت سطح DNS – از طریق سرورهای پروکسی ابری آنها ترافیک وبسایت شما را هدایت می‌کنند. این امر به آن‌ها اجازه می‌دهد فقط ترافیک واقعی را به سرور وب شما ارسال کنند. فایروال سطح برنامه – این افزونه‌های فایروال ترافیک را زمانی که به سرور شما می‌رسد، اما قبل از بارگیری بیشتر اسکریپت‌های وردپرس بررسی می‌کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست

استفاده از گواهینامه SSL

SSL پروتکلی است که انتقال داده‌ها را بین وبسایت و مرورگر کاربران رمزگذاری می‌کند. این رمزگذاری باعث می‌شود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد. هنگامی که گواهینامه SSL را فعال کردید، وبسایت به جای HTTP از HTTPS استفاده می‌کند، همچنین علامت قفل را در کنار آدرس وبسایت در مرورگر خواهید دید.

گواهینامه ssl چیست؟

تغییر نام کاربری پیش‌فرض admin

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می‌دهد تم و فایل‌های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید.  این ویژگی می‌تواند یک خطر امنیتی باشد، به همین دلیل توصیه می‌کنیم آن را غیرفعال کنید. با افزودن کد زیر در فایل
wp-config.php به راحتی می‌توانید این کار را انجام دهید:

غیرفعال کردن امکان ویرایش فایل ها

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می‌دهد تم و فایل‌های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید.  این ویژگی می‌تواند یک خطر امنیتی باشد، به همین دلیل توصیه می‌کنیم آن را غیرفعال کنید. با افزودن کد زیر در فایل
wp-config.php به راحتی می‌توانید این کار را انجام دهید:

				
					
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

غیرفعال کردن اجرای فایل PHP

یکی دیگر از راه‌های حفظ امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن نیازی نیست، مانند
/wp-content/uploads/. شما می‌توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و وارد کردن این کد انجام دهید:

				
					<files>
deny from all
</files>

در مرحله بعد، باید این فایل را به صورت htaccess ذخیره کنید و در پوشه /wp-content/uploads/ سایت خود آپلود کنید.

ایجاد محدودیت در تلاش مکرر برای ورود کاربر

به طور پیش فرض، وردپرس به کاربران این امکان را دارد که هر چند بار که می‌خواهند نام کاربری و رمز عبور را بزنند تا وارد سیستم شوند. این باعث می‌شود سایت وردپرسی شما در برابر حملات بی رحمانه آسیب‌پذیر شود. هکرها سعی می‌کنند رمزهای عبور را با تلاش برای ورود با ترکیب‌های مختلف بشکنند. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می‌کنید، به طور خودکار به آن رسیدگی می‌شود.

افزودن احراز هویت دو عاملی

تکنیک احراز هویت دو مرحله‌ای از کاربران می‌خواهد که با استفاده از روش احراز هویت دو عاملی وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است و در مرحله دوم باید با استفاده از یک دستگاه یا برنامه جداگانه احراز هویت شوید. اکثر وب‌سایت‌های برتر آنلاین مانند Google، Facebook، Twitter به شما اجازه می‌دهند این امکا را برای حساب‌های خود فعال کنید. همچنین می‌توانید همین عملکرد را به سایت وردپرسی خود اضافه کنید. 

حفظ امنیت وردپرس با متد های 2023

تغییر پیشوند نام جداول پایگاه داده

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده استفاده می‌کند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش فرض استفاده می‌کند، حدس زدن نام جدول برای هکرها آسان‌تر می‌شود. به همین دلیل است که توصیه می‌کنیم پیشوند پایگاه داده تغییر دهید.

پسورد محافظت شده در wp-admin

به طور معمول، هکرها می‌توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی تهدید کنند. این موضوع به آنها اجازه می‌دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را امتحان کنند. شما می‌توانید حفاظت رمز عبور را در سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می‌کند.

غیرفعال کردن ایندکس دایرکتورها

هکرها می‌توانند از جستجویی دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیری‌های شناخته شده دارید یا نه. سایر افراد می‌توانند از بررسی دایرکتوری برای جستجوی فایل‌های شما، کپی کردن تصاویر و یافتن آنها استفاده کنند. ساختار دایرکتوری خود و سایر اطلاعات را مشخص کنید. به همین دلیل است که به شدت توصیه می‌شود فهرست‌سازی و بررسی دایرکتوری را غیرفعال کنید. باید با استفاده از FTP یا مدیریت فایل cPanel به وب‌سایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری روت وبسایت پیدا کنید. پس از آن، باید خط زیر را در انتهای فایل htaccess. اضافه کنید:

Options -Indexes

غیرفعال کردن XML-RPC در وردپرس

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده زیرا به اتصال سایت وردپرس با وب و برنامه‌های تلفن همراه کمک می‌کند. به دلیل ماهیت قدرتمند خود، XML-RPC می‌تواند به طور قابل توجهی حملات brute-force را تقویت کند. برای مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وبسایت امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهند که توسط افزونه قفل ورود مسدود می‌شود. اما با XML-RPC، یک هکر می‌تواند از عملکرد system.multicall برای آزمایش هزاران رمز عبور استفاده کند. مثلا 20 یا 50 درخواست. به همین دلیل است که اگر از XML-RPC استفاده نمی‌کنید، توصیه می‌کنیم آن را غیرفعال کنید.

خروج اتوماتیک کاربران

کاربرانی که وارد سیستم شده‌اند گاهی اوقات از صفحه خارج می‌شوند اما دکمه خروج از سایت را نمی‌زنند و این یک خطر امنیتی است. شخصی می‌تواند اطلاعات را ربوده، رمز عبور را تغییر دهد یا در حساب کاربری تغییراتی ایجاد کند. به همین دلیل است که بسیاری از سایت‌های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می‌کنند. شما می‌توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید. برای این منظور می‌توان از افزونه  Inactive Logout استفاه کنید.

ایجاد سوال امنیتی در هنگام ورود به وردپرس

افزودن یک سوال امنیتی به صفحه ورود سیستم وردپرس دسترسی غیرمجاز را برای کسی سخت‌تر می‌کند. با نصب افزونه WP Security Questions می‌توانید سوالات امنیتی اضافه کنید. پس از فعال‌سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.

اسکن وردپرس در مقابل بدافزارها

اگر یک افزونه امنیتی وردپرس نصب کرده‌اید، به طور معمول بدافزار و نشانه‌های نقض امنیتی را بررسی می‌کنند. با این حال، اگر افت ناگهانی در ترافیک وبسایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را انجام دهید. می‌توانید از افزونه امنیتی وردپرس خود استفاده کنید.

اجرای این اسکن‌های آنلاین کاملاً ساده است، شما فقط URLهای وبسایت خود را وارد می‌کنید و خزنده‌های آنها از طریق وبسایت شما می‌روند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.
اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می‌توانند وبسایت شما را اسکن کنند. آنها نمی‌توانند بدافزار را حذف کنند یا یک سایت وردپرسی هک شده را پاک‌سازی نمایند.

نویسنده : تیم تحریریه آموزش ایساتیس
منبع : تیم تحقیقات آموزش ایساتیس
دانلود فایل آموزش
حجم : 0 کیلوبایت - 0 مگابایت
فایل PDF و پادکست این مقاله، یک هفته پس از انتشار این مقاله بارگذاری می‌شود
دانلود فایل PDF
برچسب ها:

دیدگاهتان را بنویسید