افزایش امنیت وردپرس از مواردی است که همیشه صاحبان سایت به آن فکر می کنند. با وجود اینکه در اکثر آپدیت های وردپرس ، مشکلات امنیتی نیز بر طرف می شود اما هنوز کارهای زیادی هست که برای افزایش امنیت وردپرس می توان انجام داد.
این تکنیک ها حتی توسط کسانی که کمتر با علوم کامپیوتر آشنایی دارند نیز قابل اجراست. در این مطلب می خواهیم تکنیک هایی را برای افزایش امنیت وردپرس آموزش دهیم که به کمک آنها سایت شما در بالاترین درجه امنیت قرار گیرد.
تکنیک هایی که برای افزایش امنیت وردپرس بررسی خواهند شد:
- از کلمه admin به عنوان نام کاربری استفاده نکنید.
- از رمزهای غیر قابل حدس استفاده کنید
- از احراز هویت دو مرحله ای استفاده کنید
- به کاربران سطوح دسترسی مناسب بدهید
- فایل های wp-config و htaccess. را مخفی کنید
- از کلیدهای امنیتی وردپرس استفاده کنید
- ویرایش فایل را غیر فعال کنید
- تعداد دفعات ورود ناموفق را محدود کنید
- برای XML-RPC وسواس به خرج دهید
- ارتباط هاست و امنیت وردپرس
- همیشه به روز باشید
- بهترین قالب ها و افزونه های امنیتی وردپرس
در خود سایت وردپرس لیستی برای افزایش امنیت وجود دارد که خوب است نگاهی به آن بیاندازید. البته بعضی موارد که در آن لیست آمده در این مطلب هم تکرار خواهند شد.
1- از کلمه admin به عنوان نام کاربری استفاده نکنید
به این مورد فکر کنید. این شاید ساده ترین تکنیکی باشد که شما به عنوان یک مدیر سایت برای افزایش امنیت وردپرس می توانید انجام دهید. این تکنیک هیچ هزینه ای برای شما نخواهد داشت و واقعا راحت است. در بیشتر حملاتی که امروزه به سایت ها انجام می شود ابتدا صفحات wp-admin و wp-login را هدف قرار می دهند و سپس تلاش می کنند توسط نام کاربری admin و ترکیبی از رمزهای مختلف به سایت نفوذ کنند. به این روش حمله جستجوی فراگیر می گویند. طبیعتا اگر نام کاربری admin را با یک نام دیگر جایگزین کنید تا حد زیادی احتمال هک شدن سایتتان را کاهش داده اید.
بله ، البته همچنان راه هایی وجود دارد که یک هکر می تواند ID و نام کاربری اعضای سایت شما را پیدا کند. حتی در موارد معدودی می تواند یک کاربر جدید ایجاد کند ، کسی منکر این نیست. به خاطر داشته باشید تکنیک های افزایش امنیت به حذف کامل تهدیدها منجر نمی شوند بلکه در جهت کاهش آنها تلاش می کنند.
هر روز تعداد زیادی حمله جستجوی فراگیر توسط روبات ها به طور خودکار انجام می شود و حذف کردن نام کاربری admin از میان کاربران سایت ، کمک زیادی به افزایش امنیت وردپرس خواهد کرد. حداقل شما کار را برای هکر کمی سخت کرده اید تا به راحتی نتواند نام کاربری را حدس بزند. البته توجه داشته باشید منظور ما از کلمه admin فقط نام کاربری است ، نه نقشی که برای هر کاربر انتخاب می کنید.
به راحتی یک کاربر جدید ایجاد کنید و به او سطح دسترسی مدیرکل بدهید. برای این کار می توانید از قسمت “کاربران » افزودن ” استفاده کنید. سپس کاربری که نام آن admin است را پاک کنید. نگران صفحات و مطالبی که این کاربر تا کنون ایجاد کرده نباشید. وردپرس از شما خواهد پرسید: “با مطالب ایجاد شده توسط این کاربر چه باید کرد؟” و به شما این دو گزینه را پیشنهاد می دهد. یا اینکه تمام مطالب آن کاربر پاک شوند و یا همه آنها به کاربر دیگری که وجود دارد (مثل کاربری که به تازگی ایجاد کردید) نسبت داده شوند.
2- از رمزهای غیر قابل حدس استفاده کنید
نکته ساده ولی در عین حال مهمی که باید به یاد داشته باشید، عبارتست از پیچیدگی، طولانی بودن، خاص و منحصر بفرد بودن.
اینجاست که ابزارهایی نظیر 1password و LastPass وارد بازی می شوند و به شما برای افزایش امنیت وردپرس کمک می کنند ، زیرا هر یک از این موارد فوق، دارای تولید کننده رمزعبور هستند. هنگامی که شما طول رمز عبور مد نظرتان را تایپ می کنید، آن ها رمز عبور را تولید می کنند. نهایتا شما لینک و کلمه عبور را ذخیره می کنید و فعالیت خود را در ادامه روز انجام دهید. من معمولا با توجه به امنیت مد نظرم برای کلمه عبور، طول کلمه عبور را تنظیم می کنم ( معمولا طول یک کلمه عبور 20 کارکتر است ) و سپس در مورد استفاده از کارکترهایی که کمتر مورد استفاده قرار می گیرند ، مانند # یا * تصمیم گیری می کنم.
رمز “123456” نمی تواند کلمه عبور مناسبی باشد. استفاده از کلمه عبور “sitekhoob” مانند نوشتن کد امنیتی روی کارت بانکی است . یا مثلا استفاده از کلمه عبور “letmein” که به معنای اجازه ورود است ، انتخاب شایسته ای نیست. حتی کلمه عبور “starwars” یا همان جنگ ستاره ها، در سال 2015 جزء پر مصرف ترین رمزهای عبور بوده است. این را به خاطر بسپارید که شما هیچگاه به همان قدری که خودتان تصور می کنید، منحصر بفرد نیستید!!
3- از احراز هویت 2 مرحله ای استفاده نمایید
باید گفت شما حتی در شرایطی که از کلمه عبور “admin” ( به معنای مدیر سایت ) استفاده نمی کنید و از یک رمز عبور بسیار قوی که به طور تصادفی تولید می شود، استفاده نمایید باز هم حملاتی از قبیل حمله Brute Force (پیدا کردن رمز به شیوه آزمون و خطا) یک تهدید جدی برای شما به حساب می آید. به منظور مقابله با این چنین تهدیدهایی و افزایش امنیت وردپرس ، یکی از راه های کلیدی برای کاهش خطرات این حمله ها، استفاده از سیستم احراز هویت 2 مرحله ای است .
البته من اعتراف می کنم که استفاده از تایید اعتبار دو مرحله ای ، کار دشواری است و با سختی هایی همراه است. اما در حال حاضر این تنها راه حل طلایی پیش روی شماست . همانطوری که از اسم تایید هویت 2 مرحله ای برای امنیت سایت های وردپرسی مشخص است، این کلمه به معنای دو مرحله احراز هویت است. امروزه ، این مورد به عنوان استاندارد شناخته شده ای برای افزایش و بهبود امنیت ، در دسترس شماست. با این اوصاف شما در حال حاضر برای مواردی از قبیل جی میل، پی پال و سایر کارهای اینترنتی خود ( کمترین کارهایی که می توان در اینترنت انجام داد) از این نوع احراز هویت استفاده می کنید ، پس چرا آن را به جعبه ابزار امنیت سایت وردپرسی خود، اضافه نکنید؟!
آقای Mike Epstein مقاله ای با عنوان احراز هویت 2 مرحله ای منتشر کرده که ممکن است برای شما جذاب باشد و مایل باشید آن را مطالعه کنید.
همچنین برای این منظور، یک پلاگین نیز در دسترس است : افزونه تایید اعتبار گوگل (Google Authenticator) . یک افزونه دیگه از روش متفاوتی به همین هدف می رسد پلاگین Rublon است .
4- از اصول کمترین سطح دسترسی پیروی کنید
تیم wordpress.org ، مقاله بسیار خوبی را در زمینه نقش ها و سطوح دسترسی ، در سایت wordpress codex قرار داده اند. ما به شما پیشنهاد می کنیم حتما این مقاله را مطالعه فرمایید و با آن آشنا شوید ، چراکه با این قسمت بسیار مرتبط است. مفهوم کمترین سطح دسترسی ، ساده است. سطوح دسترسی را به این صورت بدهید:
- افرادی که به آن نیاز دارند ،
- زمانی که افراد به آن نیاز دارند و
- تنها برای مدتی که آن ها نیاز دارند
اگر فردی به منظور تغییر در پیکربندی ، در زمان بسیار کوتاه و به طور موقت به دسترسی مدیر سایت نیاز داشته باشد، آن را تامین کنید، اما پس از اتمام کار حتما آن را حذف کنید. این از مهم ترین موارد در جهت افزایش امنیت وردپرس است. خبر خوش برای شما این است که نباید کار زیادی انجام دهید، تنها بایستی بهترین شیوه ها را به کار گیرید. برخلاف باورهای عمومی ، هر دسترسی فردی به سایت وردپرسی شما ، نباید تحت نقش مدیریت طبقه بندی شود. بدین منظور بهتر است به افراد، نقش ها و وظایف مناسب اختصاص دهید و در این صورت به احتمال زیاد خطرات امنیتی سایت خود را کاهش خواهید داد.
5 – فایل های wp-config.php و htaccess. را مخفی کنید
اگر شما مالک سایت وردپرسی هستید که اطلاع کمی از تکنولوژی دارید نگران نباشید، زیرا کار دشواری نیست . این واقعا کار بسیار ساده است ، مخصوصا زمانی که از افزونه Yoast SEO استفاده می کنید می توانید به قسمت سئو » ابزارها » ویرایشگر پرونده مراجعه کنید و فایل های امنیتی خود را به راحتی ویرایش کنید. به منظور امنیت بهتر سایت وردپرسی خود، لازم است این کد را به فایل htaccess. خود اضافه کنید تا از فایل wp-config.php محافظت نمایید :
<Files wp-config.php>
order allow,deny
deny from all
</Files>
این باعث می شود دسترسی به فایل محدود شود. از کد مشابهی نیز برای امنیت فایل های htaccess. استفاده می شود :
<Files .htaccess>order allow,denydeny from all</Files>
شما هم می توانید این کار را انجام دهید زیرا بسیار ساده است و در افزایش امنیت وردپرس بسیار مؤثر است.
6- برای احراز هویت، از کلید های امنیتی وردپرس استفاده کنید
برای محافظت از کوکی ها و کلمه های عبور در حین انتقال بین مرورگر و سرور وب ، از کلیدهای احراز هویت و رمزنگاری به همراه هم استفاده می شود تا باعث افزایش امنیت وردپرس شود. اساسا این کلیدهای احراز هویت ، مجموعه ای از متغیرهای تصادفی هستند که برای بهبود امنیت ( رمزنگاری) اطلاعات در کوکی ها مورد استفاده واقع می شوند. شما می توانید به راحتی با دریافت مجموعه جدیدی از این کلیدها و جایگزین کردن آن ها در فایل wp-config.php ، کلیدهای قدیمی را تغییر دهید. این کلیدها با رفرش کردن آدرس مذکور ، تغییر می کنند بنابراین شما هر بار می توانید کلیدهای تازه ای دریافت کنید. پلاگین Sucuri نیز می تواند در زمینه این کلیدها کمک شایان توجهی به شما داشته باشد.
7- ویرایش فایل را غیرفعال نمایید
اگر یک هکر وارد سایت شما بشود ، ساده ترین راه برای تغییر فایل های سایتتان ، این است که به قسمت نمایش » ویرایشگر برود. به منظور بالا بردن امنیت سایت وردپرسی خود ، می توانید ویرایش این فایل ها را از طریق این ویرایشگر غیرفعال سازید. سپس مجددا فایل wp-config.php را باز کرده و این خط کد را به آن اضافه کنید :
define('DISALLOW_FILE_EDIT', true);
پس از افزودن این کد شما همچنان قادرید فایل های قالب سایت خود را از طریق یک برنامه FTP ویرایش کنید و فقط امکان ویرایش مستقیم از پنل مدیریت وردپرس حذف می شود.
8- تعداد دفعات ورود ناموفق را محدود کنید
حملاتی از قبیل حمله Brute FORCE (پیدا کردن رمز ورود با روش آزمون و خطا) ، فرم ورود به سایت شما را مورد هدف قرار می دهند. مخصوصا برای امنیت سایت های وردپرسی ، پلاگین All in One WP Security & Firewall ، گزینه ای دارد که از طریق آن به راحتی می توان آدرس پیش فرض برای ورود به سایت (/wp-admin) را تغییر داد . علاوه بر این، شما می توانید تعداد تلاش هایی که از طریق یک آدرس IP خاص برای ورود به سایتتان صورت می گیرد را محدود نمایید. در حال حاضر چندین پلاگین وردپرسی وجود دارند که به شما کمک می کنند تا صفحه ورود سایت خود را از تلاش های بسیار یک آدرس IP خاص محفوظ بدارید. ما تمامی این موارد را امتحان و بررسی نکرده ایم، مشتاقیم که تجربه های شما را از استفاده از این موارد بشنویم .
9- برای XML-RPC وسواس به خرج دهید
XML-RPC یک رابطه برنامه کاربردی (API) است که برای مدتی کنار گذاشته شده بود. این رابط، توسط تعدادی از پلاگین ها و تم ها استفاده می شد، بنابراین ما به دلیل افزایش امنیت وردپرس در مورد نحوه پیاده سازی این مورد خاص ، هوشیارانه تر عمل می کنیم. با وجود این که این رابط بسیار کاربردی می باشد اما غیرفعال ساختن آن ، شما را متحمل هزینه می کند. به همین دلیل است که ما غیرفعال ساختن آن را برای همه چیز، پیشنهاد نمی کنیم، اما باید این نکته را متذکر می شویم که در مورد مواردی که اجازه دسترسی آن ها به شما داده شده است و نحوه دسترسی به آن ها ، انتخاب دقیق تری داشته باشید. اگر در وردپرس ، از Jetpahck استفاده می کنید، اینجا باید بیشتر مراقب باشید. تعداد بیشماری از پلاگین ها به شما کمک می کنند که بتوانید با انتخاب روش دقیق تر به صورت پیش فرض XML–RPC را پیاده سازی کرده و یا غیرفعال کنید.
10- ارتباط هاست و امنیت وردپرس
طی بررسی هایی که در سال های گذشته در مورد وب سایت ها انجام گرفته ، بسیاری از صاحبان وب سایت ها اظهار داشته اند که شرکت هاستینگ آن ها اطلاعات جامعی در مورد امنیت نداشتند و نمی توانند امنیت مدنظر آن ها را به وجود آورند. شرکت های میزبان وب سایت با دید کاملا متفاوتی به وب سایت شما می نگرند. هیچ قانون ساده ای برای تصمیم گیری در مورد شرکت میزبان سایت وردپرسی شما وجود ندارد. اما باید گفت انتخاب شرکت میزبان زمانی اهمیت خود را نشان می دهد که قصد داشته باشید امنیت سایت خود را بهینه سازی کنید.
تمامی مقالاتی که در مورد میزبان یا شرکت های میزبان نوشته شده است با این نکته آغاز شده اند که صرفا ارزانترین هاست، بهترین هاست نیست. اکثر قریب به اتفاق پلن های هاستینگ ارزانتر ، قادر نیستند زمانی که وب سایت شما هک شد به شما کمک کنند. این پلن ها معمولا امنیت ضعیفی را برای وب سایت ها فراهم می آورند ، به عنوان مثال می توانند برای وب سایت شما یک فایروال نصب کنند ( بعدا در قسمت فایروال تحت وب Sucuri در این مورد بیشتر خواهیم گفت ). هاست های اشتراکی ، به عنوان مثال به شما اطلاع می دهند که سرور میزبان شما توسط چندین وب سایت دیگر نیز مورد استفاده قرار می گیرد. این گونه میزبان ها مسائل امنیتی خاص خودشان را دارند که ممکن است روی امنیت سایت شما نیز تاثیرگذار باشد. به نظر می رسد امنیت وردپرس یکی از اصلی ترین مواردی است که در بخش هاست وردپرس مطرح است چرا که اکثر شرکت های هاستینگ به عنوان مزیت از آن یاد می کنند. آن ها با یک قیمت معقول و مناسب ، امکاناتی از قبیل پشتیبان گیری ، فایروال اضافی ، اسکن بدافزارها و محافظت در برابر حملات DDOS و همچنین به روز رسانی های خودکار وردپرس را برای سایت شما فراهم می آورند.
مواظب اکانت هاست خود باشید
یکی از بزرگترین چالش هایی که صاحبان وبسایت ها با میزبان ها دارند، در مورد پیکربندی اکانت هاست ها می باشد. این امکان برای صاحبان وب سایت ها فراهم شده که تا بیشترین حد ممکن به نصب و پیکربندی وب سایت بپردازند ، این عامل باعث می شود محیط هاست دقیقا مانند یک سوپ آشپزخانه شود. این مورد چالش برانگیز است زیرا در بسیاری از موارد ، یک وب سایت از طریق وب سایت همسایه (که آلوده است) آلوده می شود. در واقع مهاجم به سرور نفوذ می کند و سپس به سمت وبسایت های همسایه ای که در آن سرور قرار دارند، حرکت می کند. همان طور که در مطلب ” 5 سؤالی که باید در مورد امنیت هاست بپرسید ” هم گفتیم یکی از مواردی که قبل از خرید هاست باید از آن مطمئن شوید این است که اکانت های آن شرکت هاستینگ کاملا از هم جدا هستند و وب سایت شما از طریق وب سایت های دیگر در معرض آلودگی قرار نمی گیرد.
11- همیشه به روز باشید
این مورد ، از مهم ترین کارها در جهت افزایش امنیت وردپرس است. به روز بودن در حرف بسیار ساده است اما ما متوجه شدیم که این امر برای صاحبان وب سایت ها چه اندازه سخت و دشوار است. وب سایت های ما ، موجودات پیچیده ای هستند ، در هر زمان ، ما 150 اتفاق متفاوت داریم و گاهی ایجاد سریع تغییرات ، بسیار دشوار می شود. یک مطالعه اخیر نشان می دهد که هسته 56% از سایت های وردپرسی ، به روز نیستند و تاریخ مصرفشان گذشته است. آپدیت ها باید فراتر از هسته وردپرس باشند. در همان مطالعه نشان داده شده است که درصد بالایی از وب سایت هایی که هک شده اند از پلاگین های قدیمی و آسیب پذیر استفاده کرده اند. این مطلب با محیط هایی که واقعا پیچیده هستند ترکیب می شود و در چنین شرایطی ، وابستگی ها به صورتی است که امکان پشتیبان گیری میسر نمی شود. دقیقا ما هم به همین دلیل از فایروال Sucuri استفاده می کنیم. این فایروال عملا مرزهای وب سایت ما را ایمن تر می کند و زمان مورد نیاز ما برای انجام به روزرسانی ها را در یک قالب زمانی معقول فراهم می آورد.
12- بهترین قالب ها و پلاگین های امنیتی وردپرس
اکثر کاربران وردپرس تمایل دارند تم ها و پلاگین های بسیاری را امتحان کنند. این کار فقط زمانی توجیه منطقی دارد که شما بخواهید متوجه شوید کدام قالب و افزونه بهتر است و آن را روی یک سرور آزمایشی انجام دهید. اگر یک برنامه نویس ، افزونه ای را تولید و نگهداری کند تنها به این دلیل که برایش سرگرم کننده است ، احتمالا زمان مناسب برای چک کردن مسائل امنیتی آن را نخواهد داشت. بسیاری از تولید کنندگان قالب ها و افزونه ها با شرکتی مثل Sucuri توافق می کنند تا هر پلاگینی که تولید و یا به روز می کنند ، توسط آنها از نظر امنیتی بررسی شود و همین باعث افزایش امنیت وردپرس می شود. اگر شما در حال ایجاد یک تم یا پلاگین رایگان هستید، ممکن است منابع لازم برای افزودن بررسی های قابل اطمینان مانند آن را نداشته باشید.
چگونه بهترین پلاگین را انتخاب کنیم ؟
اگر شما مایلید بهترین و درست ترین پلاگین امنیتی وردپرس را برای افزایش امنیت وردپرس وب سایت خود انتخاب کنید، پیشنهاد می کنیم مقاله ای که در مورد بهترین افزونه های امنیتی وردپرس در سایت خوب منتشر شده است را مطالعه بفرمایید.
من مباحث خود را در این قسمت ، روی مبانی انتخاب پلاگین متمرکز می کنم. همانطور که پیش تر گفته شد، پلاگین ها و تم های رایگان به عنوان آسیب پذیری های احتمالی به حساب می آیند. زمانی که قصد دارید یک پلاگین به سایت خود اضافه کنید ( یا این که برای یک موضوع ، تمی را برگزینید ) ، همواره به قسمت امتیازات آن پلاگین توجه داشته باشید. سایت wordpress.org امتیازها را نشان می دهد ، اما یک رتبه بندی 5 ستاره ، همه چیز را به شما نمی گوید. پس همواره به تعداد رأی ها و رتبه بندی ها دقت کنید.
یک پلاگین در هر زمینه خاصی هم که باشد باید بتواند چندین نظر دریافت کند. اگر اکثر مردم بر این باورند که یک پلاگین بسیار جذاب است و زمانی را برای رتبه دهی به آن درنظر می گیرند، می توانید شما هم از آن استفاده کنید. یک مورد دیگر را نیز باید بررسی کنید . اگر یک پلاگین به مدت 2 سال است که به روز رسانی نشده، وردپرس به شما اطلاع می دهد. این به معنای بد بودن آن پلاگین نیست، ممکن است بدین معنا باشد که دلیل و نیازی برای به روز رسانی آن نبوده، زیرا این پلاگین باز هم می تواند کار کند و به خوبی اجرا می شود. رتبه بندی پلاگین این مورد را به خوبی برای شما مشخص می سازد، همچنین باید سازگاری پلاگین را با نسخه فعلی وردپرس نیز بررسی کنید ، فهرست این پلاگین ها در صفحه پلاگین های وردپرس به آدرس wordpress.org/plugins آورده شده است. با این توضیحات، Sucuri به شدت توصیه می کند که از پلاگین هایی که به مدت طولانی به روزرسانی نشده اند، اجتناب کنید. شما باید حرف آنها را قبول کنید. بر اساس این رتبه بندی ها و سازگاری ، می توانید پلاگین مد نظر خودتان را بهتر انتخاب کنید و این انتخاب تصادفی نباشد و همچنین شانس بیشتری برای برخورداری از انواع موارد امنیتی اضافه شده به پلاگین ها، خواهید داشت.
صحبت پایانی
اگر این مقاله را تا انتها مطالعه کرده باشید، دیگر هیچ بهانه ای برای عدم ارتقا و افزایش امنیت وردپرس وب سایت خود نخواهید داشت. همه صاحبان وب سایت ها باید مانند افزودن پست و صفحه به سایت ، بررسی موارد امنیتی سایت را نیز به صورت منظم انجام دهند. این مقاله لیست کاملی از تمام کارهایی که برای امن تر کردن وب سایت ها استفاده می شود، نیست. به عنوان مثال ایجاد پشتیبان گیری های منظم نیز در دسته کارهای امنیتی قرار می گیرد و وردپرس برای انجام این کار، پلاگین های زیادی دارد. اما پشتیبان گیری بخشی از امنیت وردپرس نیست ، فکر می کنم در واقع این کار بخشی از کارهای عمومی برای داشتن وب سایت است ، و از وظایف بخش اجرایی و یا بخش تعمیر و نگهداری می باشد.
من معتقدم این مقاله در مورد امنیت وردپرس به شما فهرست عملی خوبی از اقداماتی که می توانید در جهت امن تر کردن اولین لایه دفاعی وب سایت خود ، انجام دهید ارائه می کند. باید این نکته را به یاد داشته باشید که امنیت وردپرس مطلق نیست ، و این به عهده خود ماست که شرایط را برای ورود هکرها سخت تر کنیم !
از همراهی شما تا پایان این مقاله بی نهایت سپاسگزاریم . منتظر شنیدن نظرات شما درباره این مقاله هستیم.
منبع: yoast.com
2 دیدگاه. دیدگاه جدید بگذارید
خیلی خوب بود ممنون
خواهش می کنم 🙂