فرارسیدن ماه محرم، ماه سوگواری سالار شهیدان اباعبدالله الحسین (ع) تسلیت باد.
پیشنهاد خلایق

امنیت در وردپرس – ۳۲ کاری که می توانیم برای امنیت وردپرس انجام دهیم.

امنیت در وردپرس در ۳۲ مرحله – کارهایی که برای جلوگیری از حمله هکرها به سایت خود می توانید انجام دهید.

امنیت در وردپرس امری اساسی است. هر وب سایت وردپرسی باید بتواند خود را از خطراتی که تهدیدش می کنند در امان نگه دارد.

اگر مالک یا مدیر یک سایت هستید قبل از هر چیز باید بدانید دلیل علاقه یک هکر به سایت شما چیست و بعد یاد بگیرید چگونه از سایت خود در برابر هکرها محافظت کنید.

قبل از این که در بحث بالا بردن امنیت وردپرس عمیق شویم و مراحل جلوگیری از هک شدن وردپرس را توضیح دهیم باید یک نکته را بدانید و آن این است که چه دلیل و منطقی برای هک کردن یک سایت وجود دارد؟ هکرها از هک کردن سایت ما چه نفعی می برند که حاضرند نفرین و دشنام ما و حتی گاهی میله های سرد زندان را به جان بخرند؟

گاهی شاهد هک شدن سایت هایی هستیم که بسیار کوچکند ، در سطحی محدود کار می کنند و بیننده های کمی دارند.

سوال این جا است که هک کردن سایت به این کوچکی چه نفعی برای هکر دارد؟

یک هکر برای هک کردن سایت کوچکی مثل سایت ما می تواند دلایل زیادی داشته باشد.

البته بعضی از هک کردن ها دلایل خاصی دارند. مثلا یک سایت می تواند به دلیلی سیاسی هک شود ( مثلا هک کردن سایت طرفدار یک نماینده در ایام انتخابات ، برای مختل کردن فعالیت های سیاسی وی ).

این نوع هک کردن ها خیلی محلی و خاص هستند و نمی توانند دلیل اصلی باشند. بیشتر حملات هکری به دلایل غیر مستقیم صورت می گیرد.

امروزه هک کردن بخشی از یک عملیات مجرمانه است که با هدف کسب درامد نامشروع صورت می گیرد.

قاعده کار این است که بعد از هک کردن ، سایت مورد نظر تبدیل به واسطه ای برای توزیع یک نرم افزار مخرب می شود. درست مثل بعضی از حشرات که در بدن یک موجود میزبان ، تخم گذاری می کنند تا نوزادها بعد از تولد از بدن میزبان تغذیه کنند. با این تفاوت که در این جا هکرها سایت مورد نظر را قبلا به طور کامل از کار می اندازند.

جالب این جا است که در بسیاری از موارد حتی روح صاحب سایت هم از ماجرا خبر ندارد.

فریم ورک های نال شده زیادی هستند که در بازار سیاه آنلاین خرید و فروش می شوند و این باعث می شود که تروجان ها از طریق همین وب سایت های هک شده توزیع شوند و این گونه است که سایت شما می تواند به راحتی درگیر یک فعالیت مجرمانه گردد. و البته این تنها پیامد منفی هک شدن سایت شما نیست.

(تروجان ها برنامه های مخربی هستند که در ظاهر جذاب و مفیدند و شما را تشویق به نصب کردن خود می کنند. این برنامه ها مثل ویروس ها خطرناکند. هر چند مثل ویروس تکثیر پذیر نیستند اما می توانند حتی خطرناک تر هم باشند. )

سوء استفاده دیگری که هکرها می توانند از سایت هک شده شما نمایند این است که از آن به عنوان یک پروکسی برای ارسال اسپم استفاده می کنند.

یک وب سایت هک شده می تواند به سادگی باعث لکه دار شدن یک نام تجاری یا برند معروف شده و این خود علاوه بر شرمندگی مالک سایت می تواند مشکلات جدی بوجود آورد.

سایت های هک شده می توانند سرور خود را دچار مشکل کنند و در نتیجه باعث بسته شدن حساب کاربری شما در هاست و احتمالا از بین رفتن بیزینس شما شوند.

موضوع دیگر هزینه های بازیابی سایت هک شده است. هزینه های بازیافت سایت هک شده بسیار متفاوت است.

این هزینه ها در مواردی بسیار کم است ( مثل وقتی که مالک سایت نسخه پشتیبان سایت خود را داشته باشد ) و در مواردی بسیار زیاد است ( مثل وقتی که داده های شما حذف و گم شده باشند یا قابل ریکاوری نباشند).

اگر از آن هایی هستید که فکر می کنید سایتتان ارزش هک شدن را ندارد همین جا پیشنهاد می کنم در افکار خود تجدید نظر کنید.

در ادامه لیستی ارائه می دهیم که راه های حفاظت از وردپرس را در برابر هک شدن ، آموزش می دهد.

روش هک کردن سایت چگونه است و هکر چگونه سایت شما را پیدا می کند؟

روش هک کردن سایت منحصر به فرد نیست. در واقع نحوه هک کردن سایت به عوامل مختلفی بستگی دارد که ما در این جا نمی خواهیم به آن بپردازیم. شاید در مقاله ای دیگر درباره آن سخن برانیم. در اینجا هدف آموزش ایمن کردن وردپرس در برابر حملات هکرها است.

اولین سوالی که ممکن است بعد از هک شدن به ذهن مالک سایت برسد این است : چرا سایت من؟ چرا هکر لعنتی از بین این همه سایت که خیلی از آن ها از سایت من بهتر هستند سایت من را انتخاب کرده است؟

چرا هکر در بین اقیانوسی از سایت های گوناگون قطره کوچک شما را هدف قرار می دهد؟ جواب این است: به خاطر اشتباه وحشتناک شما مالک عزیز.

باید بدانید هکرها عمل هک را به صورت دستی انجام نمی دهند بلکه برای رسیدن به مقاصد پلید خود از یک ابزار اتوماتیک استفاده می کنند. این ابزارها، ربات ها یا برنامه هایی هستند که کارشان جستجو در نت و یافتن سایت های آسیب پذیر است.

این برنامه ها یا اسکریپت ها بر روی سرورهای کلود ( cloud ) اجرا می شوند. یعنی درست جایی که بتوانند به راحتی نصب شده ، خرابکاری کرده و بدون گذاشتن هیچ اثری محو شوند.

این اسکریپت ها می توانند از ابزاری استفاده کنند که می تواند در مدت یک ساعت صدها و هزاران سایت را در ساعت پیدا کند.

از طرف دیگر این اسکریپت ها قیمت پایینی دارند و به راحتی بر روی میزبان های کلود (cloud) اجرا می شوند و به همین دلیل سرمایه ارزشمندی برای هکر ها به حساب می آیند.

این اسکریپت ها عموما در فروم های متخلف خرید و فروش می شوند. این اسکریپت ها به محض این که سایت مورد نظر را یافتند از جنبه های مختلف آسیب پذیری آن را بررسی می کنند ( شاید از هزاران لحاظ ).

اگر سایت وردپرسی شما کاملا ایمن نشده باشد احتمال در امان ماندنش ناچیز است. موضوع دیگر این که در وردپرس و پلاگین های آن مدام آسیب پذیری هایی کشف می شود و همین مزید بر علت است که باید امنیت سایت خود را تضمین کنید.

امنیت در وردپرس با یک چک لیست ۳۲ مرحله ای

تا اینجا تهدیدات زیادی مطرح کردیم. اما اطمینان خاطر می دهیم که شما به دانش کافی در برابر این تهدیدات مسلح خواهید شد. یعنی  با دانستن و به کار بستن یک سری دستورات ساده می توانید سایت خود را به راحتی از گزند هکرها در امان نگه دارید.

این لیست دستورات شامل دو بخش می باشند:

بخش اول شامل اقداماتی است که همه افراد باید انجام دهند. کارهایی مثل قرار دادن پسورد قوی.

بخش دوم شامل اقدامات پیشرفته تری است که برای امنیت وردپرس انجام می شود. این بخش مختص کسانی است که باید بیشتر نگران امنیت سایتشان باشند. در واقع برای مدیرانی که می خواهند سایت خود را قفل و زنجیر زده و روی آن قفلی دیگر بزنند. قفلی بر قفل دیگر.

بخش یک : مواردی که همه باید برای امنیت سایت وردپرسی خود رعایت کنند.

بالا بردن امنیت وردپرس همیشه ورژن سایت خود را به روز نگه دارید.

بسیاری از مردم علاقه ای به آپدیت کردن وردپرس خود ندارند چون ممکن است آپدیت کردن ، بعضی از پلاگین های آن ها را از کار بیندازد. این دلیل برای آپدیت نکردن بسیار ناموجه است.

اگر قرار باشد بین یک سایت هک شده و یک پلاگین موقتا خراب ، یکی را انتخاب کنید کدام یک را برمی گزینید؟

پلاگین هایی که با آخرین نسخه های وردپرس ناسازگار هستند به زودی مشکلشان برطرف می شود. از طرف دیگر یک سایت هک شده مشکلی بسیار بزرگ تر است.

امنیت در وردپرس

همیشه نرم افزار هسته وردپرس را به روز نگه دارید ( امنیت در وردپرس ).

در نسخه های جدید ورپرس، مشکلات امنیتی جدید کشف و برطرف می شود. اگر نرم افزار اصلی وردپرسی شما آپدیت نباشد وبسایت وردپرسی شما نسبت به این مسائل آسیب پذیر خواهد بود.

اگر می خواهید به روز رسانی اصلی وردپرس را بدون افزونه فعال کنید می توانید این کار را از طریق فایل wp-config.php خود انجام دهید. خط زیر را به فایل اضافه کنید.

define('WP_AUTO_UPDATE_CORE', true);

با این حال دستور بالا آپدیت به نسخه توسعه دهنده وردپرس را نیز امکان پذیر می سازد که ممکن است مد نظر شما نباشند.

کد زیر را به فایل functions.php خود اضافه نمایید تا فقط نسخه های اصلی را داشته باشید.

add_filter( 'allow_dev_auto_core_updates', '__return_false' );

توجه : توصیه می کنیم فایل function.php خود را حتی الامکان مستقیما ویرایش نکنید. همیشه بهتر است یک پوسته فرزند ایجاد کنید. بعدا درباره چگونگی آپدیت پلاگین ها و تم ها بحث خواهیم کرد.

هسته وردپرس را دستکاری نکنید.

زمانی که فایل های هسته اصلی وردپرس را ویرایش می کنید دیگر نمی توانید وردپرس را به طور خودکار به آخرین نسخه بروزرسانی کنید چون با این کار ، تغییراتی را که در سایت خود انجام داده اید از دست خواهید داد.

اگر زمانی یک آسیب پذیری جدی در سایت شما یافت شود با مشکل جدی روبرو خواهید شد چون تمام پل های پشت سر سایت خود را خراب کرده اید.

مجبور هستید یاد بگیرید که چگونه نیاز خود به ایجاد تغییر در وردپرس را برطرف کنید.

بنابراین اگر نیاز به تغییر هسته وردپرس داریم باید چه کنیم؟

جواب این است. یک پلاگین بنویسید. این کار به شما توانایی انجام آن چه را لازم دارید می دهد بدون این که در هسته وردپرس اختلال ایجاد شود.

البته این منطق به پلاگین و تم ها هم قابل اعمال است. زمانی که هسته پلاگین و تم ها را دستکاری می کنید توانایی آپدیت آخرین نسخه را از دست می دهید و این راه را برای هک کردن سایت باز می کند.

برای دستیابی به قابلیت های مورد نظر بدون نیاز به تغییر هسته ، راه ها و ابزارهایی وجود دارد. اگر طراح سایتتان به شما چنین پیشنهادی داد حتما قبول کنید.

مطمئن شوید تمام پلاگین های شما به روز هستند.

آسیب پذیری ها در پلاگین های سوم شخص وردپرس نیز مکررا یافت می شوند درست مثل همانند فایل های هسته وردپرس.
تعداد زیادی از هک شدگی ها ناشی از پلاگین های مردم پسندی هستند که آسیب پذیرترند.

در این جا اسمی از این پلاگین ها نمی بریم. بیشترین نرم افزاری که مستعد این مشکلات است همین حالا در قید حیات است.
خیلی از مواقع به محض اینکه یک مشکل کشف شد، توسعه دهندگان افزونه به سرعت مشکل آن را برطرف کرده و به روز رسانی و منتشر می کنند. در آن لحظه، این وظیفه شما است که پلاگین را به آخرین نسخه بروز رسانی کنید در غیر اینصورت شما هنوز مستعد ابتلا به حمله هکری هستید.

امنیت در وردپرس

برای این که مطمئن شوید از آخرین ورژن استفاده می کنید همیشه پلاگین هایتان را به روز نگه دارید. (امنیت در وردپرس)

همیشه پلاگین های خود را به روز رسانی کنید. چه به صورت اتوماتیک وار چه به طور دستی. می توانید بروزرسانی های خودکار را در افزونه های مخزن اصلی وردپرس و با استفاده از کد زیر در فایل functions.php خود فعال کنید.

add_filter( 'auto_update_plugin', '__return_true' );

این دستور فقط به پلاگین هایی که در مخزن وردپرس موجود هستند قابل اعمال است. تمام به روزرسانی های پلاگین های تجاری مثل محصولات تم فارست باید از طریق مکانیسم به روزرسانی خود پلاگین انجام شوند.
پس به هیچ وجه از به روز رسانی پلاگین ها غفلت نکنید. لایسنس پلاگین ها را فعال کنید تا بتوانید آخرین به روز رسانی ها را دریافت کنید.

بالا بردن امنیت وردپرس – تمام پلاگین های غیرفعال یا استفاده نشده را حذف کنید

یکی از راه های افزایش امنیت وردپرس حذف پلاگین های اضافه است. هر چه تعداد پلاگین هایی که نصب می کنید افزایش یابد، به همان نسبت احتمال بروز خطر آسیب پذیری در یکی از آن پلاگین ها بیشتر می شود.

گاهی اوقات پلاگین ها را برای آزمایش قابلیت هایشان نصب می کنیم و بعد فراموش می کنیم آنها را از سایت خود حذف کنیم. کافی است یک آسیب پذیری در این پلاگین ها کشف شود تا سایت شما به یک سایت آسیب پذیر تبدیل شود ( مخصوصا اگر به توصیه های بالا توجه نکنید).
اگر چنین افزونه ای در وب سایت شما نصب شده باشد حتی با فرض این که مورد استفاده قرار نگیرد باز هم وب سایت شما را آسیب پذیر می کند.

امن ترین راه برای به حداقل رساندن خطرات این است که پلاگین هایی را که استفاده نمی کنید به طور کامل پاک کنید.
برای شناخت افزونه هایی که استفاده نمی شوند یک راه بسیار آسان وجود دارد:
این پلاگین ها در بخش پلاگین مدیریت وردپرس به عنوان غیر فعال مشخص می شوند. پس با خیال راحت آنها را پاک کنید. حتی پیشنهاد می کنم ، هر پلاگین فعالی که هنوز به معنای واقعی استفاده نشده است را حذف کنید.

بهتر است هنگام آزمایش پلاگین ها، آنها را در سایت فعال خود تست نکنید. به جای این کار، یک کپی آزمایشی از سایت خود ایجاد کرده و پلاگین ها را در آن تست کنید (کپی سایت را می توانید روی یک سرور آزمایشی محلی یا در جایی جدا از سرور حاضرتان ایجاد کنید )

افزایش امنیت وردپرس – اطمینان حاصل کنید که تمام قالبها به روز هستند.

همان منطق حاکم بر به روز رسانی اصلی وردپرس و افزونه ها در مورد تم ها هم صادق است.
حفاظت از وردپرس به این معنی است که تمام تم ها باید به آخرین نسخه های خود بروزرسانی شوند. در غیر این صورت، تمام مسائل امنیتی باقی مانده به عنوان یک روزنه برای رخنه در سایت شما باقی خواهد ماند.
احتمالا شما الان دارید در مورد همه تغییرات انجام شده در تم های خود فکر می کنید و اینکه آیا با اعمال آپدیت این تغییرات از بین خواهند رفت یا نه.
در واقع، تغییر در تم ها باید از طریق پوسته فرزند انجام شود، نه به طور مستقیم و به تم واقعی.
با این کار می توانید آخرین اصلاحات و به روز رسانی های امنیتی را بدون نقض تغییرات خود دریافت کنید.
اگر می خواهید خیال خود را راحت کنید ، توصیه می کنم که تم های استفاده نشده را نیز حذف کنید.
می توانید از قسمت نمایش >> پوسته ها درمنوی سمت راست وردپرس چک کنید کدام تم ها نیاز به آپدیت دارند. همچنین می توانید آپدیت های خودکار را برای پوسته های موجود در مخزن وردپرس فعال کنید.
این کار را با استفاده از کد زیر در فایل functions.php خود انجام دهید.

add_filter( 'auto_update_theme', '__return_true' );

این موضوع مربوط به قالبهای موجود در مخزن وردپرس است.
آپدیت تمام به روز رسانی تم های تجاری باید از طریق مکانیزم به روز رسانی خودشان انجام شود. لایسنس خود را فعال کنید تا مطمئن شوید همه به روز رسانی های امنیتی را دریافت می کنید.
توجه: اگر کار کردن با فایل wp-config.php و functions.php در توان شما نیست، می توانید تمام بروزرسانی های خودکار را با استفاده از افزونه وردپرس و بروز رسانی های خودکار پیشرفته فعال کنید. می توانید از به روز رسانی های خودکار پیشرفته برای ارتقای تنظیمات آپدیت های اتوماتیک استفاده کرده و تمام موارد بالا را فعال کنید.

مطلب مرتبط:  چگونه یک سایت هک شده را بازیابی کنیم؟

 تم ها، پلاگین ها و اسکریپت ها را فقط از منبع رسمی خودشان نصب کنید

گاهی اوقات مخصوصا زمانی که در مضیقه مالی هستیم، ممکن است وسوسه شویم که “به جای خرید یک تم یا افزونه خوب” آن را به طور رایگان – نسخه های نال شده – از سایت های مربوطه تهیه کنیم

از این سایت ها به تعداد نامعدود و نامحدود در کشور ایران وجود دارند.
چیزی که معمولا متوجه نمی شویم این است که بسیاری از این ابزارها که به صورت رایگان دانلود میشوند مخرب هستند. اغلب موارد یک راه در روی غیر قانونی در اسکریپت نصب شده است. این اجازه می دهد تا سایت هایی که از این تم یا افزونه ها استفاده می کنند از راه دور توسط هکرها به دلایل شرورانه کنترل شوند.

همان طور که پول خود را به یک کلاهبردار سرشناس نمی دهید به اسکریپت های رایگان وردپرس که توسط سارقان محتوا کرک شده اند، اعتماد نکنید.

اما سوال این جا است که سایت های مطمئن برای پیدا کردن تم های با کیفیت را از کجا پیدا کنیم؟

مخرن رسمی وردپرس شناخته شده ترین مکانی است که در آن پلاگین ها و تم های وردپرس یافت می شوند. پلاگین های تجاری و یا تم ها را می توان در بسیاری از سایت ها از جمله محبوبترین شان یعنی تم فارست تهیه کنید.

اگر امنیت وردپرس برای شما اهمیت دارد، از سایت های سارق محتوا دوری کنید.

برای وردپرس یک هاست ایمن انتخاب کنید.

یک سرویس هاست وردپرس خوب از سایت شما در برابر حملات هکری محافظت می کند.
سرویس هایی که از لحاظ امنیتی دارای یک تیم امنیتی اختصاصی هستند آخرین آسیب پذیری ها را هشدار می دهند و به طور پیش فرض ، قوانین مربوط به فایروال خود را برای مقابله با حملات هک در سایت شما اعمال می کنند تا حملات هکری روی سایت شما را کاهش دهند.
میزبان وردپرس از آن موضوعاتی است که جای بحث دارد و به همین دلیل مورد خاصی را پیشنهاد نمی کنم اما صفحه میزبانی وردپرس چندین پیشنهاد ارائه داده که در آن جا می توانید ببینید.

 مطمئن شوید که سایت شما آخرین نسخه PHP را اجرا می کند

صفحه آمار وردپرس جهانی شامل یک آمار هشدار دهنده است:
از بین نسخه های مختلف وردپرس تنها ۱.۷٪ آن ها از آخرین نسخه PHP  – در حال حاضر ۷ – استفاده می کنند، حدود ۱۹.۸٪ از نسخه ۵.۶ استفاده می کنند که هنوز هم پشتیبانی می شود. بقیه مردم (نزدیک به ۸۰٪) از نسخه هایی از وردپرس که دیگر پشتیبانی نمی شوند استفاده می کنند!

امنیت در وردپرس

آمار آخرین نسخه وردپرس نشان می دهد بیشتر نصب ها از نسخه PHP 5.4 استفاده می کنند که پشتیبانی نمی شود. (امنیت در وردپرس)

وقتی از نسخه های قدیمی استفاده می کنید عملا خود را از مزایا و قابلیت های نسخه های بروز محروم کرده اید. بدتر از ان این که سایت خود را از امنیت هر چه بیشتر محروم نموده اید.
دلیل این موضوع این است :

وردپرس در حین دریافت بروز رسانی های اصلی مواردی مثل مسائل امنیتی، پی اچ پی، موتور اصلی را هم می گیرد ، همچنین سهم مناسبی از به روز رسانی نسخه آخر را به دست می آورد.
امروزه ، به روز رسانی هسته وردپرس، تم ها و پلاگین ها عملیاتی نسبتا ساده است.

امنیت در وردپرس

بروز رسانی به اخرین ورژن PHP را فرموش نکنید. (امنیت در وردپرس)

از سوی دیگر، به روز رسانی نسخه پی اچ پی تا حد زیادی بستگی به سرویس میزبان شما دارد.
این سرویس میزبان خوب باید آخرین نسخه های PHP موجود را برای استفاده فراهم کند. این کار را با نصب وردپرس شما – از طریق چیزی که با PHP Version Switcher نامیده می شود – انجام می دهد.

نام کاربری ادمین را تغییر دهید.

تا وردپرس ورژن ۳.۰ ، نام کاربری پیش فرض ورود به سیستم “admin” بود. این موضوع زحمت هکرها را کم می کرد، زیرا نیازی به حدس زدن نام کاربری مدیر نداشتند. متاسفانه این اشکال هنوز هم در خیلی موارد برقرار است چون هنوز هم بسیاری از مردم برای نام کاربری بخش مدیریت از واژه پیشفرض “admin” استفاده می کنند.
یکی از سریعترین راه های محافظت از محیط ورود به وردپرس در برابر حملات خشونت آمیز ، تغییر نام کاربری پیش فرض “admin” است. به زبان خودمانی شما باید نامی انتخاب کنید که به عقل جن هم نرسد.
اگر نام کاربری شما در حال حاضر “admin” است، همین الان آن را تغییر دهید.
همچنین می توانید با استفاده از phpMyAdmin نام یوزر را عوض کنید ، یا یک اسکریپت SQL را در پایگاه داده خود انتخاب کرده ، نام کاربری admin را تغییر دهید.

UPDATE wp_users SET user_login = 'newcomplexusernameforadmin' WHERE user_login = 'admin'

همیشه از پسوردهای قوی استفاده کنید.

یکی از کارهایی که باعث می شود سکان سایت خود را دو دستی به هکرها واگذار کنید استفاده از پسوردهای ضعیف است. استفاده از نام و نام خانوادگی ، شماره شناسنامه ، شماره ملی ، شماره موبایل ، سال تولد یا ترکیبی از این ها خطر هک شدن را تا حد زیادی افزایش می دهد.
برای یک هکر باهوش و با حوصله ، حدس زدن یا بدست آوردن این گونه پسوردها کار سختی نیست.

بنابراین همیشه از یک رمز عبور قوی استفاده کنید.
وقتی می گوییم پسورد سخت ، منظور چنین چیزی است: ThizzI5alongstr * ngbuzzw00rd

آیا تمام گذرواژه های شما تا این حد پیچیده هستند؟ اگر این طوراست به خود امیدوار باشید.

امنیت در وردپرس – استفاده از پسوردهای تکراری ممنوع

هرگز از پسوردهای تکراری استفاده نکنید.
خیلی ها برای راحتی و به دلیل ترس از فراموشی برای موارد مختلف از یک پسورد استفاده می کنند. این کار هم اشتباه است.
هکرها به این نقطه ضعف مدیران به خوبی آشنا هستند. انتخاب پسورد تکراری بدان معنی است که هنگامی که یکی از اکانت های شما به خطر افتاد ، احتمالا باید فاتحه بقیه اکانت ها را هم بخوانید.
انواع مختلفی از نرم افزارهای مدیریت رمز وجود دارد که به شما امکان می دهد گذرواژه های مختلف ایجاد کرده و آنها را به صورت ایمن ذخیره کنید. این موضوع را قویا توصیه می کنیم.

هرگز رمز عبور های خود را به صورت متن معمولی ارسال نکنید.

این یک واقعیت شناخته شده است که انواع مختلف تروجان در اینترنت وجود دارد. اطلاعات حساس مانند کارت های اعتباری و گذرواژه ها هرگز نباید به صورت متن آماده و رمزنگاری نشده ارسال شوند.

تعداد زیادی چشم ( و آنالیز کننده ) وجود دارد که می تواند داده های شما را ببیند. اول مطمئن شوید که با استفاده از تکنیک های پیشگیرانه زیر، از کلمه عبور خود محافظت کرده اید و بعدا آن ها را ارسال کنید.

رمزهای عبور را از طریق ایمیل، چت، شبکه های اجتماعی یا سایر اشکال رمزگذاری نشده ارسال نکنید.
HTTPS را بر روی سایت وردپرسی ، به ویژه در قسمت Backend خود پیاده سازی نمایید . با این کار از ارسال کلمات عبور در قالب متن ساده جلوگیری خواهید کرد.
هنگام دسترسی به سایت خود از FTP ساده استفاده نکنید. از SSH یا FTPS استفاده کنید. پروتکل FTP در اینترنت در سال های دور نوشته شده است و استفاده از آن ایمن نیست. در آن گذرواژه ها و فایلها در قالب متن ساده ارسال می شوند و هرگز رمزگذاری نمی شوند. از سوی دیگر، FTPS یا (FTP امن)، انتقال داده ها از طریق FTP را رمزگذاری می کند. البته قبل از این که بتوانید این کار را انجام دهید، باید یک حساب FTPS را در سرور میزبان خود تنظیم کنید.
فراموش نکنید که ، کلمات عبور نباید بین کاربران به اشتراک گذاشته شود و یا به صورت متن ساده و بدون قفل در جایی که به راحتی قابل دسترس است ذخیره شوند.

 سایت خود را فقط از شبکه های قابل اعتماد به روز رسانی کنید.

هیچ کس از یک وای فای مجانی بدش نمی آید. همه ما با مواردی از این قبیل در هتل ها ، رستوران ها و دانشگاه ها مواجه می شویم.
اما فراموش نکنید که این شبکه ها برای امور حساسی مثل بروز رسانی سایت اصلا مناسب نیستند.

مشکل این جا است که جاسوسی از یک وای فای باز و همگانی بسیار ساده است. سایت خود را فقط از شبکه های مورد اعتماد به روز کنید. مثل شبکه های خانگی یا اداری.

 از یک ضد ویروس محلی استفاده کنید.

یک ویروس را در نظر بگیرید که روی یک دسکتاپ جا خوش کرده است. می دانیم تمام هم و غم یک ویروس آن است که خود را تا حد ممکن به نقاط دورتر منتشر کند. برای این ویروس چه راهی بهتر از این که خودش را از طریق سایت شما منتشر کند؟ فکرش را هم نمی کردید؟
این همان تاکتیکی است که توسط ویروس ها به طور گسترده ای مورد استفاده قرار می گیرد. ایستگاه های کاری آلوده زیادی وجود دارند که در هر لحظه توسط مدیران وردپرس استفاده می شوند.
یک ویروس بر روی دسکتاپ شما می تواند به سرعت منتشر شده و منجر به آلودگی سایت شما نیز شود. حتی می تواند از کلمات ، کارت اعتباری و سایر اطلاعات شخصی شما جاسوسی کند.
بنابراین اطمینان حاصل کنید که ایستگاه کاری محلی شما از یک آنتی ویروس خوب و به روزرسانی شده استفاده می کند تا مانع از آلوده شدن آن و گسترش آن به وب سایت شما شود.

کنسول جستجوی گوگل را فعال نمایید. (امنیت در وردپرس)

نمی توان گفت کنسول جستجوی گوگل تا ۱۰۰ درصد امنیت وردپرس شما را تامین می کند اما گاهی می تواند اقداماتی را که قبلا برای تقویت امنیت وردپرس خود انجام داده اید، تکمیل کند.
گوگل و سایر موتورهای جستجو علاقه مندند تا وب سایت شما را از نرم افزارهای مخرب پاک کنند. به همین دلیل، کنسول جستجوی گوگل به شما هشدار خواهد داد که وبسایت شما شروع به میزبانی انواع فایلهای مخرب کرده است.
این کنسول نمی تواند جلوی هک شدن سایت وردپرسی شما را بگیرد اما کمک می کند بدانید که بدافزار در سایت شما شناسایی شده است، بنابراین شما می توانید این مشکل را در اسرع وقت رفع کنید. پس چندان هم نوشدارو بعد از مرگ سهراب نیست.

امنیت در وردپرس

Google Search Console یک سرویس رایگان ارائه شده از سوی گوگل است که به شما کمک می کند تا حضور سایت خود را نظارت و نگهداری کنید. (امنیت در وردپرس)

وردپرس را با پلاگین امنیتی ، ایمن کنید.

خیلی از مراحل این چک لیست بدیهی نیستند. هر چند ممکن است نیاز به کمی تطبیق فنی با وب سایت وردپرسی شما داشته باشند.
یک راه ساده اما مطمئن برای حفاظت از وردپرس با کمترین هزینه و بدون تلاش از طرف شما ، آنتی ویروس است. پلاگین امنیتی می تواند هر گونه مسائل امنیتی وردپرس را که در حال حاضر بر وب سایت های شما تاثیر می گذارد شناسایی کرده و در مورد چگونگی رفع آنها را راهنمایی ارائه کند.
پلاگینهایی برای امنیت وردپرس وجود دارد. دو مورد از گزینه های محبوب تر عبارتند از Sucuri و Wordfence – نحوه عملکرد این دو بسیار متفاوت است.

اگر همه چیز را از دست دادید از بک آپ استفاده کنید.

در این مقاله لیستی از کارهایی را که برای امنیت وردپرس لازم است آوردیم. ممکن است شما خیلی از آن ها را جدی نگیرید یا به دلایل مختلف دیگر از آن ها صرف نظر کنید. اما در زمینه امنیت وردپرس یک کار هست که به هیچ وجه نباید از خیر آن بگذرید.
یکی از چیزهایی که هرگز نباید فراموش نکنید این است که یک برنامه پشتیبان گیری وردپرس داشته باشید. نه تنها در مورد حملات هکری ، بلکه در مورد اتفاقات ، ایرادهای فنی و سایر مشکلات.

داشتن یک نسخه پشتیبان تضمین می کند که می توانید سایت خود را دوباره به سرعت آپلود کرده و دوباره اجرا کنید.

اگر برنامه پشتیبان را راه اندازی کرده باشید خیالتان راحت است. اگر سایتتان هک شد ، اول منبع هک را کشف کرده ، از نسخه پشتیبان استفاده کرده و “مشکل پیش آمده ” را حل کنید و سایت را به حالت معمول برگردانید.

نکته مهم: هر چند وقت یک بار پشتیبان گیری وردپرس خود را تست کنید تا از عملکرد صحیح آن مطمئن شوید.

مطلب مرتبط:  استفاده از فایل wp-config.php به منظور افزایش امنیت سایت

امنیت در وردپرس

بخش دوم: امنیت وردپرس در سطحی بالاتر

 محدود کردن تلاش های ورود

درباره ربات ها صحبت کردیم. گفتیم این ربات ها سرمایه گزاری ارزان و مناسبی برای هکرها هستند. به همین دلیل شما باید مکانیزم هایی پیاده کنید که هر گونه تلاش برای دستیابی به پسوردهایتان را محدود کند.
افزونه ی محدودکننده ورود به وردپرس می تواند دقیقا همین کار را برای شما و سایتتان انجام دهد. به این صورت که اگر تعدادی تلاش برای ورود نادرست را شناسایی کند، برای مدتی از ورود کاربر جلوگیری کرده و به این ترتیب باعث می شود تلاش های شدید برای موفقیت بسیار سخت تر شود و امنیت وردپرس شما را بهبود ببخشد.

 تأیید هویت دو مرحله ای را فعال کنید.

یکی از راه های سریع و آسان برای تأمین امنیت وردپرس ، فعال کردن تایید هویت دو مرحله ای است که در انگلیسی با عنوان ۲FA شناخته می شود.
۲FA مکانیزمی ایجاد می کند که شخص برای ورود به وردپرس خود، علاوه بر پسورد معمولی ، به یک رمز امنیتی مبتنی بر زمان – که برای هر کاربر منحصر به فرد است – نیز وابسته است. این رمز معمولا پس از یک دوره زمانی ۶۰ ثانیه ای خاتمه می یابد.
این رمز امنیتی معمولا توسط یک برنامه مانند Google Authenticator تولید می شود.
از آنجا که برای هر کاربر یک رمز امنیتی منحصر به فرد منقضی شونده وجود دارد حتی اگر کسی اطلاعات ورود شما را بداند ، باز هم قادر به ورود به سیستم نخواهد بود؛ چون رمز امنیتی فعلی را ندارد.
این قابلیت تا حد زیادی امنیت ورود شما را افزایش می دهد و تا حد زیادی حملات هکری به جزئیات ورودی شما را کاهش می دهد.
تعدادی افزونه وجود دارد که می تواند به شما کمک کند که تأیید هویت دو مرحله ای وردپرس را بر روی آن نصب کنید.

از صحت مجوزهای فایل ها ، اطمینان حاصل کنید.

این مورد کمی فنی است.
در حالت کلی پی اچ پی و وردپرس از مجموعه ای از مجوز های مرتبط با فایل ها و پوشه ها استفاده می کنند. وارد جزئیات نمی شویم. کافی است بدانید انواع مختلفی مجوز وجود دارد:
فایل ها و دایرکتوری ها نوشتنی همگانی
فایل هایی که فقط توسط سرور وب قابل نوشتن هستند.
فایل های فقط قابل خواندن یا همان read only.
در حالت کلی ، سرور وب شما باید بتواند فایل ها را برای وردپرس بنویسد طوری که بتوانند به درستی کار کنند این در حالی است که اینترنت عمومی هرگز نیاز به دسترسی نوشتاری به فایل های شما ندارد.
برخی از توسعه دهندگان تازه کار و یا تنبل، برای راحتی خود ممکن است پیشنهاد کنند که مجوزها را تغییر دهید. به عنوان مثال، آنها ممکن است پیشنهاد ساخت فایلها یا پوشه های خاص را به صورت عمومی قابل نوشتن (۷۷۷) بدهند. این یک تهدید امنیتی جدی ایجاد می کند، زیرا به این معنی است که هر کسی می تواند هر چیزی را در آن پوشه بنویسد. اگر این کار را انجام دهید، مطمئن باشید مقدار زیادی آلودگی را در سایت وردپرسی خود پیدا خواهید کرد.
آنها احتمالا راه ها و ابزارهایی را برای بیرون آمدن از پوشه ها پیدا خواهند کرد تا بقیه سایت شما را به هم بریزند.
به عنوان یک قاعده کلی، فایل ها باید یک مجوز ۶۴۴ و پوشه ها باید مجوزهای ۷۵۵ داشته باشند. فایل wp-config.php باید دارای مجوز ۴۰۰ یا ۴۴۰ باشد.
اگر کسی چیزی غیر از این به شما گفت بسیار مراقب باشید.
اما چگونه می توان درستی مجوزهای فایل را بررسی کرد؟ برای اینکار کافیست به بخش مدیریت سایت خود در دایرکت ادمین یا سی پنل بروید و روبروی هر فایل سایتتان را نگاه کنید. عددی سه رقمی، نشان دهنده سطح دسترسی فایل یا پوشه مورد نظر است.

امنیت در وردپرس – پسوند پیش فرض جداول را تغییر دهید.

مشکل ما یکی از بازمانده های نسخه های قدیمی وردپرس است. پیش از این، نام جداول وردپرس در پایگاه داده مورد استفاده با پیشوند wp_ شروع می شد.
اگرچه اکنون خبری از این پیش فرض نیست ، اما بعضی افراد هنوز تمایل دارند از این پیش  فرض که چندان بی خطر هم نیست استفاده کنند. در حالی که نسخه های قدیمی تر  هنوز هم باید با آن سرپا بمانند.
برای امنیت بیشتر وردپرس باید پیشوند wp_ را به یک پیشوند مناسب تغییر داد.
تغییر نام جدول های WP_ موجود فقط باید توسط توسعه دهنده وردپرس مورد اعتماد شما انجام شود.

کلیدهای تایید هویت مخفی را راه اندازی کنید.

ممکن است با این کلید های امنیتی و تایید هویت وردپرس در فایل wp-config.php خود برخورد کرده باشید و از خود پرسیده باشید که چه هستند. یا شاید هرگز درباره آنها ندیده یا نشنیده باشید. آنها چیزی شبیه به این هستند:

امنیت در وردپرس

کلیدهای امنیتی تولید شده توسط وردپرس (امنیت در وردپرس)

اینها متغیرهای تصادفی هستند که برای سخت تر شدن حدس گذرواژه های وردپرس شما به کار می روند. استفاده از این کارکترها به این دلیل است که یک عنصر تصادفی به شیوه ذخیره گذر واژه ها در پایگاه داده شما اضافه شده و هک شدن سایت شما سخت تر می شود.
با این حال اغلب سایتهای میزبانی خودشان اینها را در محل خود ندارند و شما باید آنها را اجرا کنید.
روش کار نسبتا آسان است:
۱. با استفاده از مولد تصادفی وردپرس ، مجموعه ای از کلید ها را ایجاد کنید
۲. فایل wp-config.php خود را ویرایش کنید و در قسمت کلیدهای یکتای هویت باید مکانی را برای اضافه کردن کلید های منحصر به فرد تولید شده در مرحله ۱ پیدا کنید.
این کلیدها نباید در دسترس عموم باشند.

 اجرای پی اچ پی را غیرفعال کنید.

یکی از اولین چیزهایی که یک هکر انجام می دهد – اگر دسترسی خاصی به سایت شما داشته باشد – اجرای پی اچ پی از یک دایرکتوری است. اما اگر شما این را غیر فعال کردید، حتی اگر یک آسیب پذیری در وب سایت وردپرس شما وجود داشته باشد، این محافظت به طور جدی باعث می شود بقیه تلاش های هکرها برای گرفتن سایت شما عقیم بماند.

این کاملا یک گام امنیتی قوی وردپرس است اما ممکم است عملکرد برخی از تم ها و پلاگین هایی را که احتمالا به اجرای php نیاز دارند مختل کند.
شما باید این موضوع را حداقل در بیشتر دایرکتور ی های شامل WP- و آپلودها اجرا کنید.
این حفاظت باید از طریق فایل های htaccess. شما اجرا شود. کد زیر را به فایل htaccess. در دایرکتوری روت نصب وردپرس خود اضافه کنید:

<Files *.php>
Order Allow, Deny
Deny from all
</Files>

پایگاه های داده وردپرس خود را جدا کنید.

اگر چندین وبسایت را در یک سرور میزبانی کنید، ممکن است وسوسه شوید تمام سایتهای موجود را در یک پایگاه داده را ایجاد کنید.
این باعث ایجاد یک خطر امنیتی وردپرسی می شود. اگر یک وب سایت به خطر بیفتد ، تمام سایت های وردپرس دیگر در آن پایگاه داده میزبان نیز ، خطر ابتلا به هک شدن را دارند.
هنگام نصب وردپرس خود، اولین کاری که باید انجام دهید ایجاد یک پایگاه داده جدید است.
برای آن یک نام ، نام کاربری و رمز عبور پایگاه داده جدا بسازید که با تمام سایت ها یا ورودی های دیگر شما متفاوت است.
به این ترتیب، اگر یکی از سایت های شما هک شد، این هک شدگی به سایت های دیگر شما در یک اکانت میزبانی اشتراک عمومی گسترش نخواهد یافت.

سطح دسترسی کاربران به دیتابیس را محدود کنید.

به هنگام تنظیم یک سایت وردپرس برای اولین بار، ممکن است به خاطر کمبود اطلاعات، به خاطر اشتباه در تخصیص سطح دسترسی مناسب به کاربران، یک مشکل امنیتی ایجاد کنید.
به طور کلی، کاربر فقط به گزینه های زیر نیاز دارد:

برای اکثر عملیات روزمره وردپرس، کاربر تنها نیاز به سطح دسترسی خواندن و نوشتن در دیتابیس دارد. یعنی این گزینه ها کارش را راه می اندازد: SELECT، INSERT، UPDATE و DELETE.
بنابراین شما می توانید گزینه های اضافی مانند DROP، ALTER و GRANT را حذف کنید.

ویرایش فایل را غیرفعال کنید.

هنگامی که شما در مراحل اولیه ایجاد یک وب سایت قرار دارید، احتمالا باید تم ها و فایل های افزونه را نصب کنید. به طور پیش فرض، مدیران وردپرس حق ویرایش فایل های پی اچ پی دارند.

وقتی وبسایت شما توسعه یافت و زنده شد ، کم تر نیاز دارید که این فایلها را ویرایش کنید.

با این وجود، اجازه دادن به مدیران برای ویرایش فایلها یک مسئله امنیتی است. به این دلیل که اگر یک هکر موفق به ورود به سایت شما شود، آنها بلافاصله مجوزهای ویرایش را خواهند داشت و قادر خواهند بود فایل ها را با توجه به نیازهای دلخواه خود تغییر دهند.

شما می توانید (و باید) بتوانید پس از اینکه وبسایت شما از طریق کد زیر در فایل wp-config.php ویرایش فایل را برای مدیران وردپرس غیرفعال کنید.

define('DISALLOW_FILE_EDIT', true);

 از فایل wp-config.php خود محافظت کنید.

امنیت در وردپرس – اگر فایل های وردپرس را به صورت اعضای مختلف بدن انسان فرض کنیم ، فایل wp-config.php قلب این بدن خواهد بود.
نمی خواهیم در مورد جزئیات wp-config.php صحبت کنیم . همین قدر که بدانید نقش قلب سایت شما را ایفا می کند کافی است تا مواظب باشید کسی روی آن تمرکز نکند.
در مورد این که آیا این فایل باید از محل root خود جابجا شود یا نه اختلاف نظر وجود دارد اما اکثر کارشناسان معتقدند باید به هر طریقی شده محافظت شود.
اگر نمی توانید عدم اجرای PHP را داشته باشید، می توانید کد زیر را به فایل های htaccess. اضافه کنید:

<files wp-config.php>
order allow,deny
deny from all
</files>

XML-RPC را غیر فعال کنید. (اگر از آن استفاده نمی کنید)

وردپرس توانایی دسترسی به خود را از راه دور برای برنامه های شخص ثالث – از طریق آنچه به عنوان رابط برنامه نویسی برنامه (یا API) شناخته می شود – فراهم می کند.

این بدان معنا است که برنامه ها می توانند به سایت شما دسترسی داشته باشند.

همچنین برخیافزونه ها وجود دارند که از XML-RPC استفاده می کنند. به عنوان مثال، Jetpack از قابلیت XML-RPC استفاده می کند.

همین XML-RPC می تواند برای انجام حملات هک به وب سایت شما مورد استفاده قرار گیرد .

امروزه بسیاری از کاربران بر این باورند که XML-RPC همانند بقیه هسته وردپرس در امان است، اما یقین داشته باشید که XML-RPC چیزی است که اسکریپت های هکر در حال جستجوی آن هستند.

اگر ورود به سایت خود را فعال کرده باشید احتمالا تعداد زیادی بازدید از XML-RPC را پیدا خواهید کرد.

اگر مطمئن هستید که به کارکرد سایت لطمه نمی خورد یا هیچ یک از بخش های سایت از این فایل استفاده نمی کنند می توانید آن را با استفاده از افزونه وردپرس غیرفعال کنید.

گزارش دهنده خطای PHP را غیرفعال کنید.

برای کسی که دارد سایتی را راه اندازی می کند ، گزارش خطا نقشی حیاتی دارد. چون به ما می گوید که خطا از کجا ناشی شده و بنابراین می توانیم در اسرع وقت آن را برطرف کنیم.
اما در یک سایت زنده، گزارش خطا نقطه ضعف های سایت را در اختیار هکرهای فرصت طلب قرار می دهد. به عنوان مثال، گزارش خطای زیر را بررسی کنید:

امنیت در وردپرس

امنیت در وردپرس

خطای بالا ، یوزرنیم حساب کاربری را به باد داده است. برای کسی که دنبال حمله به یک اکانت است چه سرنخی بهتر از این؟
بدتر این که ، این فقط بخشی از اطلاعات لو رفته است. اگر طرف بداند دنبال چه نقطه ضعف هایی است سر نخ های خیلی بهتری هم بدست می آورد.
شما می توانید گزارش خطای PHP را با استفاده از کد زیر در فایل php.ini خود غیر فعال کنید. اگر چنین فایلی ندارید، یکی به همین نام بسازید و در روت سایت قرار دهید.

error_reporting = 4339
display_errors = Off
display_startup_errors = Off
log_errors = On
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = On
ignore_repeated_source = Off
html_errors = Off

این کد خطرات امنیتی وردپرسی ایجاد شده از طریق افشای اطلاعات حساس در مورد سایت شما را کاهش می دهد.

 یک فایروال نصب کنید

دو نوع اصلی فایروال – یا به طور دقیق تر استفاده از فایروال – وجود دارد.

در زمینه امنیت شبکه، فایروال ها برای جدا سازی انواع مختلف شبکه ها استفاده می شوند. برای جلوگیری از ورود و خروج به درون و بیرون سایت.

در مقام قیاس ، می توانیم فایروال را مثل یک نگهبان یا ناظم یک تالار عروسی فرض کنیم. این نگهبان سخت گیر فقط مهمانانی را که کارت دعوت دارند به درون تالار راه می دهد و مهمانان ناخوانده و طفیلی ها را با خشونت به بیرون تالار هدایت می کند.
در اینجا تالار ، سایتتان و مفت خور ها همان هکرها هستند. فایروال هم همان نگهبان سخت گیر جلوی در است.

در مورد حفاظت از وردپرس، می توانیم از یک فایروال کاربردی استفاده کنیم تا دست هکرها را از سایتمان کوتاه کنیم.

چند نوع فایروال WAF وجود دارد، اما یکی از قابل اطمینان ترین فایروال های رایگان و اپن سورس که معمولا با سرویس میزبانی وردپرس در دسترس هستند، فایروال ModSecurity است.

می توانید از سرویس میزبان خود بپرسید که ببیند اگر در سرویس میزبانی شما موجود است آن را فعال کنید. پس از فعال شدن، ارائه دهنده هاست یا توسعه دهنده وردپرس مورد اعتماد شما می تواند قوانین مربوط به ModSecurity را پیشنهاد یا اجرا کند.

از فایروال شبکه تحویل محتوا  ‌CDN استفاده کنید.

در خصوص سی دی ان در مقاله ای مجزا توضیح و نحوه فعالسازی آن را آموزش داده ایم.روی لینک زیر کلیک کنید تا وارد مقاله مذکور شوید.

فعال سازی CDN در وردپرس

به وسیله گزارش گیری امنیتی، امنیت وردپرس خود را تحت نظر بگیرید.

خیلی ساده: فایلهای لاگ وردپرس را مورد بررسی قرار دهید. از پلاگینهای گزارش دهی امنیت وردپرس استفاده کنید و همچنین عملکرد دیگر اعضای سایت و همچنین سیگنالهایی که به شما فرستاده میشود را تحت نظارت مستقیم و روزانه قرار دهید.

مواردی که ذکر کردیم ۳۲ راه برای افزایش امنیت وردپرس بود. اگه نمی توانید همه این موارد را اجرا کنید آن چه را که در توان دارید انجام دهید تا شانس این دزدان مجازی برای غارت و هک سایت شما کم تر شود.

امنیت در وردپرس در ۳۲ مرحله – کارهایی که برای جلوگیری از حمله هکرها به سایت خود می توانید انجام دهید.

امنیت در وردپرس , افزایش امنیت وردپرس , بالا بردن امنیت وردپرس , هک کردن سایت , روش هک کردن سایت

مطالب مرتبط