0

سبد خرید شما خالی است.

طراحی سایت در اصفهان, سئو سایت اصفهان, ساخت سایت اصفهان, طراحی سایت حرفه ای اصفهان, بهینه سازی سایت , بازاریابی و دیجیتال مارکتینگ 09133886881 احمدپور

آموزش امنیت وردپرس

نویسنده پشتیبانی وب یار
امتیاز مطلب
تعداد بازدید 1986
تاریخ بروزرسانی 21 جولای 2020

آموزش امنیت وردپرس

امنیت در وردپرس از اهمیت بسیار بالایی برخوردار است  و بطور جدی به آن پرداخته می‌شود اما درست مانند هر سیستم دیگری، در صورت عدم رعایت برخی نکات ایمنی ساده ممکن است با مشکلات امنیتی احتمالی برخورد کنیم. در این مطلب آموزش امنیت وردپرس به بررسی برخی از معمول‌ترین آسیب پذیری‌ها و راهکارهای بالا بردن امنیت سایت وردپرس می‌پردازیم.

مقاله ی امنیت سایت راه حل نهایی برای تمامی دغدغه‌های امنیتی شما نیست. اگر نگرانی بخصوصی دارید، بهتر است با کسانی که به دانش آنها در زمینه‌ی امنیت کامپیوتر و وردپرس اطمینان دارید، نگرانی‌ها و سوالات خود را در میان بگذارید. تیم وب یار با خدمات و پشتیبانی سایت به صورت 24 ساعته ، امنیت خاطر را برای تمامی مشتریان خود به ارمغان می آورد.

 

امنیت سایت وردپرس

آموزش امنیت وردپرس

 

امنیت سایت چیست؟

اساساً وقتی صحبت از امنیت می‌شود، منظورمان سیستم‌های کاملاً امن نیستند. یافتن چنین چیزی عملاً غیر ممکن بنظر می‌رسد. یک سرور امن از حریم خصوصی، یکپارچگی و در دسترس بودن منابع تحت کنترل سرور محافظت و اطمینان حاصل می‌کند.

ویژگی‌های یک هاست قابل اطمینان عبارتند از:

  • مشتاقانه درمورد انتظارات و نگرانی‌های امنیتی شما وهمچنین ویژگی‌ها و پروسه‌های امنیتی که هاستینگ در اختیار شما خواهند گذاشت، با شما صحبت می‌کند.
  • آخرین و با ثبات‌ترین نسخه‌های نرم‌افزار سرور را در اختیارتان می‌گذارد.
  • روش‌های قابل اعتماد بازیابی اطلاعات و پشتیبان‌گیری (بک آپ) را برای شما فراهم می‌کند.

با مشخص کردن نرم‌افزار و اطلاعاتی که باید محافظت شوند، در مورد نوع امنیتی که برای سرور خود مد نظردارید تصمیم بگیرید. ادامه‌ی آموزش امنیت وردپرس ، شما را در این زمینه راهنمایی خواهد کرد.

پوسته‌های امنیتی

در تصمیم گیری در مورد امنیت جنبه‌های مختلف  سیستم خود، چند نکته‌ی کلی را در نظر داشته باشید:

محدود کردن دسترسی

کاهش نقاط ورود احتمالی برای افرادی که  مقاصد سوء دارند.

مهار

سیستم باید به نحوی کانفیگ شود که میزان خسارتی که در صورت در خطر قرار گرفتن یک رویداد ممکن است به سیستم وارد شود را به حداقل برساند.

آماده‌ سازی و دانش

برداشتن بک آپ و اطلاع از وضعیت وردپرس در فواصل زمانی مشخص. داشتن برنامه‌ای برای بک آپ و بازیابی اطلاعات می‌تواند در صورت بروز هر گونه مشکلی، شما را هر چه سریعتر به حالت روزمره برگرداند.

منابع مورد اعتماد

یکی از مواردی که در آموزش امنیت وردپرس وجود دارد این است که از منابع غیر قابل اعتماد، پوسته (theme) و افزونه (plugin) نگیرید. خود را به مجموعه‌ی موجود در WordPress.org و یا کمپانی‌های قابل اعتماد محدود کنید. گرفتن پوسته و افزونه از خارج از وردپرس ممکن است منجر به پدید آمدن مشکلاتی شود.

آسیب پذیری‌های کامپیوتر شما

مطمئن شوید که کامپیوتر‌های مورد استفاده‌ی شما عاری از هر گونه جاسوس افزار، بدافزار و ویروس باشند.

همیشه سیستم‌عامل و نرم افزار‌های خود، بخصوص مرورگر اینترنتی، را به‌روز نگه دارید تا سیستم خود را از نقص‌های امنیتی مصون نگه دارید. اگر قصد بازدید از سایت‌های غیر قابل اطمینان و مشکوک را دارید، بهتر است از ابزاری مانند no-script استفاده و یا جاوا اسکریپت، فلش و جاوا را  در مرورگر خود غیر فعال کنید.

 

مراحل امنیت سایت

آموزش امنیت وردپرس

 

آسیب‌پذیری‌های وردپرس

مانند دیگر بسته‌های نرم افزاری مدرن، وردپرس بطور مرتب برای آمادگی در مقابل مشکلات امنیتی احتمالی آپیدت می‌شود. بحث بهبود امنیت نرم افزاری یکی از دغدغه‌های همیشگی است و برای دستیابی به آن همیشه از آخرین نسخه‌ی وردپرس استفاده کنید. نسخه‌های قدیمی وردپرس از نظر امنیتی آپدیت نمی‌شوند.

به‌روز رسانی وردپرس

آخرین نسخه‌ی وردپرس را همواره می‌توانید از وب‌سایت اصلی وردپرس به آدرس wordpress.org دریافت کنید. آپیدیت‌های رسمی هیچ‌گاه در وب‌سایت های دیگر قابل دسترسی نیستند. بنابراین هرگز وردپرس را از وب‌سایتی به غیر از  ‌ http://wordpress.org دانلود نکنید.

از نسخه‌ی ۳٫۷ به بعد، وردپرس گزینه‌ی آپدیت خودکار اضافه کرده است. با استفاده از این ویژگی می‌توانید براحتی به‌روز بمانید. به علاوه می‌توانید از طریق Dashboard وردپرس از آپدیت‌ها با خبر شوید.

در صورت پدید آمدن یک آسیب پذیری در وردپرس و عرضه شدن نسخه‌ای جدید از وردپرس برای برطرف کردن این مشکل، اطلاعات مورد نیاز برای نحوه‌ی استفاده از این آسیب پذیری بطور قطع در دامنه‌ی عمومی قرار دارد. بنابراین نسخه‌های قدیمی همیشه بیشتر در معرض حملات قرار دارند و به همین دلیل به ‌روز رسانی اهمیت زیادی پیدا می‌کند.

اگر شما بیش از یک نصب وردپرس را مدیریت می‌کنید، می‌توانید از Subversion برای تسهیل مدیریت استفاده کنید.

 

گزارش مشکلات امنیتی

اگر با نقصی امنیتی در وردپرس روبرو شدید، می‌توانید برای رفع هر چه سریعتر آن، مشکل را گزارش کنید. لطفا برای اطلاعات بیشتر در مورد نحوه‌ی گزارش ایرادات، Security FAQ را بخوانید.

اگر فکر می‌کنید با یک باگ مواجه شده‌اید، آنرا گزارش کنید. برای اطلاعات بیشتر Submitting Bugs را بخوانید. باگ‌ها یا به خودی خود آسیب پذیری‌های امنیتی هستند یا منجر به نقص‌های امنیتی می‌شوند.

آسیب پذیری‌های سرور

سرور اینترنتی وردپرس و نرم‌افزارهای روی آن ممکن است دارای نقاط ضعف باشند. به همین دلیل، اطمینان حاصل کنید که از نسخه‌های با ثبات و امن سرور و نرم‌افزار روی آن استفاده می‌کنید و یا از هاست قابل اطمینانی استفاده کنید که مطمئن هستید به این موارد رسیدگی می‌کند.

اگر شما در سروری مشترک ( سروری که وب‌سایت های دیگری را نیز در کنار وبسایت شما هاست می‌کند) قرار دارید و وبسایتی در سرور شما دچار مشکلات امنیتی شد، به احتمال بسیار بالا، وب‌سایت شما نیز در معرض خطر قرار دارد حتی اگر تمامی توصیه‌های این مطلب را انجام داده باشید. به همین خاطر بهتر است از سرور خود در مورد اقدامات پیشگیرانه‌ی امنیتی که انجام می‌دهند، اطلاعاتی کسب کنید.

آسیب پذیری‌های شبکه

شبکه در هر دو انتها، یعنی انتهای وردپرس و انتهای مشترک، باید قابل اطمینان باشد. برای این منظور باید قوانین فایروال مودم خود بروزرسانی کنید و حواستان باشد که از چه شبکه‌هایی کار می‌کنید. کافی‌ نتی که در آن پسوورد خود را از طریق اتصال اینترنتی، وایرلس و یا به هر شکل دیگر می‌فرستید، شبکه‌ای امن محسوب نمی‌شود.

هاست اینترنتی شما باید در مقابل حملات ایمن باشد. در غیر این صورت، نقص‌های امنیتی شبکه می‌توانند به دزدیده شدن پسوورد و دیگر اطلاعات حساس شما شوند.

پسوورد

بسیاری از نقص‌ها و آسیب‌پذیری‌های احتمالی با عادات امنیتی درست قابل پیشگیری هستند. یک پسوورد قوی نقش مهمی در این امر دارد.

پسوورد قوی پسووردی است که برای افراد دیگر غیر قابل حدس باشد و حملات جستجوی فراگیر موفق به یافتن آن نشوند. حملات جستجوی فراگیر، بر خلاف هک کردن که بدنبال نقص‌های امنیتی می‌گردد، بقدری یوزرنیم و پسوورد‌های مختلف را امتحان می‌کنند تا به نتیجه برسند. ابزار‌های خودکار تولید پسوورد وجود دارند که می‌توانند یک پسوورد امن به شما پیشنهاد کنند.

یکی از ویژگی‌های وردپرس، دارا بودن نشانگر میزان قوی بودن یک پسوورد است. زمانی که قصد تغییر پسوورد خود را داشته باشید، از طریق این نشانگر می‌توانید بدانید که پسوورد انتخابی شما تا چه حد قوی است.

نکاتی که در انتخاب پسوورد باید از آنها اجتناب کرد:

  • هرگونه استفاده‌ای از نام اصلی، یوزرنیم، نام شرکت و یا نام وبسایت
  • لغتی از لغتنامه‌ای به هر زبان
  • پسوورد کوتاه
  • یک پسوورد تماماً عددی یا تماماً حروفی (ترکیبی از این دو بهترین گزینه است)

یک پسوورد قوی نه تنها برای محافظت از محتوای بلاگ شما ضروری است، بلکه اگر هکری به اکانت مدیریت شما دست پیدا کند، می‌تواند اسکریپت‌هایی مخرب نصب کند که کل سرور را در معرض خطر قرار دهد. بنابراین با داشتن پسووردی مطمئن، می‌توانید از این خطرات دور بمانید.

علاوه بر داشتن پسووردی قوی، بهتر است احراز هویت دو مرحله‌ای (two-step authentication) را نیز به عنوان اقدام احتیاطی اضافه، فعال کنید.

 

Site security

آموزش امنیت وردپرس

 

FTP

برای اتصال به سرور، از رمز گزاری SFTP استفاده کنید. اگر نمی‌دانید که هاست اینترنتی شما این امکان را فراهم کرده یا نه، می‌توانید از آنها بپرسید.

استفاده از SFTP درست مانند استفاده از FTP است با این تفاوت که در SFTP تمامی اطلاعات و پسوورد شما در انتقال بین کامپیوتر . وبسایت شما، رمزگذاری می‌شوند. این بدین معنی است که پسوورد شما هیچگاه به همان شکل اصلی فرستاده نمی‌شود و در نتیجه هکرها نمی‌توانند از پسوورد شما استفاده کنند.

اجازه دسترسی فایل

یکی از مواردی که در آموزش امنیت وردپرس و امنیت سایت وجود دارد این است که وردپرس، به عنوان یکی از ویژگی‌های خود، به سرور اجازه‌ی رایت از فایل‌ها را می‌دهد. با این وجود، دادن دسترسی رایت برای فایل‌هایتان می‌تواند خطرساز باشد، بخصوص اگر در محیط هاستینگ مشترک فعالیت می‌کنید.

بهتر است که اجازه‌ی دسترسی به فایل‌های خود را تا حد امکان محدود کنید و فقط در مواقعی که نیاز دارید، این دسترسی را باز کنید. می‌توانید فولدر جدیدی با سطح دسترسی بیشتر برای مقاصدی مانند آپلود کردن فایل بسازید.

یکی از طرح‌های سطح دسترسی را در اینجا ببینید:

تمام فایل‌ها بایستی متعلق به اکانت کاربری شما و قابل رایت توسط شما باشند. هر فایلی که نیازمند اجازه‌ی رایت از وردپرس باشد، باید توسط سرور نیز قابل رایت باشد. این بدین معنی است که فایل‌ها باید بصورت گروهی متعلق به اکانت کاربری باشند که توسط سرور مورد استفاده قرار می‌گیرد.

/دیرکتوری روت وردپرس: تمامی فایل‌ها بایستی فقط توسط اکانت کاربری قابل رایت باشند.

منطقه‌ی مدیریتی وردپرس: تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.

بخش عمده‌ی منطق اپلیکیشن وردپرس: تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.

محتوای عرضه شده توسط کاربر: قابل رایت توسط اکانت کاربری شما و پروسه‌ی سرور وب.

در /wp-content/ می‌توانید گزینه‌های زیر را بیابید:

فایل‌های پوسته: اگر تمایل به استفاده از ویرایشگر پوسته‌ی داخل وردپرس داشته باشید، تمامی فایل‌ها باید توسط پروسه‌ی سرور وب قابل رایت باشند. اما اگر نمی‌خواهید از این ادیتور استفاده کنید، می‌توانید سطح دسترسی به فایل‌ها رو طوری تنظیم کنید که فقط توسط اکانت کاربری شما قابل رایت باشند.

فایل‌های افزونه: تمامی فایل‌ها باید فقط قابل رایت با اکانت کاربری شما باشند.

دیرکتوری‌های دیگر که ممکن است با /wp-content/ موجود باشند، باید توسط پوسته و یا افزونه‌ای که به آنها نیاز دارند، ثبت شوند. سطح دسترسی ها در این موارد متغیر هستند.

تغییر دادن سطح دسترسی فایل

اگر دسترسی شل(shell) به سرور دارید، می‌توانید سطح دسترسی فایل را توسط دستور زیر تغییر دهید:

برای دیرکتوری‌ها:

برای فایل‌ها:

به‌روز رسانی خودکار

وقتی از وردپرس می‌خواهید که به‌روز رسانی خودکار انجام دهد، تمامی این عملیات به عنوان کاربر صاحب فایل انجام می‌گیرند نه به عناون کاربر سرور وب. تمامی فایل‌ها به ۰۶۴۴ و تمامی دیرکتوری‌ها به ۰۷۵۵ ست می‌شوند. فایل‌ها و دیرکتوری‌ها قابل رایت توسط کاربر و قابل مشاهده توسط تمامی افراد به علاوه‌ی سرور وب هستند.

امنیت پایگاه داده (دیتا بیس)

اگر بر روی یک سرور از چند بلاگ مختلف استفاده می‌کنید، بهتر است آنها را در دیتابیس‌های جداگانه که توسط کاربرهای متفاوت مدیریت می‌شوند نگهداری کنید. با انجام دادن نصب اولیه‌ی وردپرس، می‌توانید به این هدف دست پیدا کنید. در واقع این یک استراتژی مهار است: اگر فردی توانست با موفقیت یک نصب وردپرس را هک کند، این استراتژی باعث می‌شود که دسترسی و تغییر دادن بلاگ‌های دیگر شما برای اون سخت باشد.

اگر خود شما MySQL را مدیریت می‌کنید، اطمینان حاصل کنید که در مورد MySQL اطلاعات کافی دارید و ویژگی‌های غیرضروری آن (مانند پذیرش اتصالات TCP از راه دور) غیر فعال هستند.

محدود کردن اختیارات کاربر دیتابیس

برای انجام کارهای معمول در وردپرس، مانند گذاشتن مطالب در بلاگ، آپلود کردن فایل‌، گذاشتن کامنت، ایجاد کردن اکانت کاربری جدید و نصب افزونه‌های وردپرس، کاربر MySQL فقط به اختیارات خواندن و رایت کردن داده در MySQL مانند Select، Insert، Update و Delete نیاز دارد.

به همین دلیل، بهتر است اختیارات مدیریتی دیگر مانند Drop، Alter و Grant از کاربر گرفته شوند. با گرفتن این اختیارات، در واقع به استراتژی مهار و در نتیجه امنیت بیشتر کمک می‌کنید.

توجه کنید: بعضی از پوسته‌ها، افزونه‌ها و آپدیت‌های اصلی وردپرس ممکن است نیازمند انجام تغییراتی ساختاری مانند اضافه کردن جدول‌های جدید و یا تغییر طرح کلی باشند. در این موارد، قبل از نصب افزونه و یا اعمال آپدیت، بایستی بطور موقت این اختیارات را در اختیار کاربر دیتابیس بگذارید.

احتیاط: اعمال کردن آپدیت بدون داشتن این اختیارات ممکن است در زمان تغییر طرح، باعث ایجاد مشکلاتی شود. اگر بنا به دلایل امنیتی نیاز به انجام آپدیت دارید، حتماً یک بک آپ قابل اعتماد از دیتابیس‌ داشته باشید تا در مواقع نیاز بتوانید اطلاعات خود را از طریق آن براحتی برگردانید. در صورت ناموفق بودن آپگرید دیتابیس ، می‌توانید این مشکل را براحتی حل کنید. کافی‌ست دیتابیس را به یک نسخه‌ی قدیمی‌تر برگردانید، اختیارات مورد نیاز را در اختیار آن بگذارید و اجازه دهید تا خود وردپرس آپدیت را دوباره انجام دهد. بازگرداندن دیتابیس به یک نسخه‌ی قدیمی باعث می‌شود که بخش مدیریتی وردپرس متوجه وجود نسخه‌ی قدیمی بشود و سپس به شما اجازه دهد که دستورهای SQL مورد نیاز را بر روی آن انجام دهید. اکثر آپگرید‌های وردپرس تغییری در طرح انجام نمی‌دهند. فقط برخی از آپگریدهای اساسی (۳٫۷ تا ۳٫۸ به عنوان مثال) این تغییرات را اعمال می‌کنند و آپگرید‌های کوچک (۳٫۸ تا ۳٫۸٫۱) معمولاً این کار را انجام نمی‌دهند. اما در هر صورت، داشتن یک بک آپ مطمئن همیشه اقدام درستی‌ است.

ایمن کردن wp-admin

یکی دیگر از موارد آموزش امنیت وردپرس و امنیت سایت ، اضافه کردن پسورد از جانب سرور (مانند BasicAuth) به /wp-admin/ یک لایه‌ی محافظتی دوم در اطراف محیط مدیریتی بلاگ، صفحه‌ی لاگین و همچنین فایل‌های شما ایجاد می‌کند. این لایه باعث می‌شود که هکر بجای رفتن به سراغ فایل‌های ادمین شما، به این لایه‌ی دوم حمله کند. اکثر حملات به وردپرس از طریق نرم‌افزارهای خرابکار و بطور خودکار انجام می‌شوند.

اینکه فقط wp-admin/ را ایمن کنید ممکن است برخی قابلیت‌های وردپرس، مانند هندلر AJAX در wp-adin/admin-ajax.php را از کار بیاندازد.

معمول‌ترین حملات به بلاگ‌های وردپرس بطور معمول در دو گروه قرار می‌گیرند:

  1. فرستادن درخواست‌های HTTP که به طور بخصوص برای استفاده از آسیب پذیری‌های بخصوصی ساخته شده‌اند.
  2. تلاش برای دسترسی پیدا کردن به بلاگ شما با استفاده از روش حملات جستجوی فراگیر که قبلا به آن پرداختیم.

هدف نهایی اعمال این لایه‌ی دوم پسوورد، خواستن یک اتصال رمزگزای شده‌ی HTTPS SSL برای مدیریت است به این منظور که تمام ارتباطات و اطلاعات حساس رمزگزاری شوند.

ایمن سازی wp-includes

لایه‌ی دومی از امنیت را می‌توان زمانی اضافه کرد که قرار نیست هیچ کاربری به اسکریپت‌ها دسترسی داشته باشد. یک روش انجام این کار، بلاک کردن آن اسکریپت‌ها با استفاده از mod-rewrite در .htaccess است.

توجه: برای اطمینان از اینکه کد زیر توسط وردپرس بازنویسی نشده‌اند، آنرا خارج از تگ‌های #BEGIN WordPress و # END WordPress در فایل .htaccess قرار دهید. وردپرس می‌تواند هر چیزی را که بین این دو تگ باشد بازنویسی کند.

توجه کنید که این روش در Multisite جواب نمی‌دهد به این دلیل که RewriteRule^wp-includes/[^/]+.php$-[F,L] از ایجاد کردن ایمج توسط ms-files.php جلوگیری می‌کند. حذف کردن این خط باعث می‌شود که کد مورد نظر کار کند اما از نظر امنیت در سطح پایین‌تری قرار دارد.

آموزش امنیت وردپرس

ایمن سازی wp-config.php

یکی دیگر از موارد آموزش امنیت وردپرس و امنیت سایت ، انتقال فایل wp-config.php به دیرکتوری بالای نصب وردپرس می باشد. این به این معنی‌ است که در مورد سایتی که در روت فضای وب شما نصب شده باشد، می‌توانید wp-config.php را خارج از فولدر web-root ذخیره کنید.

توجه: افراد بسیاری بر این باورند که انتقال wp-config.php فواید امنیتی بسیار کمی دارد و اگر بدرستی انجام نشود، حتی می‌تواند باعث ایجاد نقص‌های امنیتی جدی نیز شود.

wp-config.php را می‌توانید در در یک سطح دیرکتوری بالای نصب وردپرس (جایی که wp-includes قرار دارد) ذخیره کنید. به علاوه، اطمینان حاصل کنید که فقط شما (و سرور وب) می‌تواند این فایل را بخواند (این معمولاً دسترسی ۴۰۰ یا ۴۴۰ است).

اگر از سروری با .htaccess استفاده می‌کنید، می‌توانید این کد را در فایل مربوطه (در بالاترین قسمت) قرار دهید تا از دسترسی افرادی که آنرا جستجو می‌کنند، جلوگیری کنید.

غیرفعالسازی ویرایش فایل

داشبورد وردپرس بطور پیش فرض به مدیران اجازه‌ی ویرایش فایل‌های PHP مانند فایل‌های افزونه و پوسته را می‌دهد. این معمولاً اولین ابزاری است که یک هکر، اگر موفق به لاگ این شود، از آن استفاده خواهد کرد زیرا اجازه‌ی اجرای کد را در اختیار او می‌گذارد.

با قرار دادن این خط در wp-config.php ، قابلیت‌های edit_themes، edit_plugins و edit_files را از تمام کاربران می‌گیرید:

البته در نظر داشته باشید که این کار مانع از این نمی‌شود که فرد مهاجم فایل‌های مخرب را در سایت شما آپلود کند اما می‌تواند جلوی برخی حملات را بگیرد.

افزونه‌ها

در آموزش امنیت وردپرس و امنیت سایت ، این مورد را در خاطر داشته باشید که در درجه‌ی اول، همیشه تمامی افزونه‌های خود را آپدیت کنید. علاوه بر این، اگر از افزونه‌ی خاصی استفاده نمی‌کنید، آنرا حذف کنید.

فایروال

سرویس‌ها و افزونه‌های زیادی هستند که می‌توانند نقش فایروال را بر روی وب سایت شما ایفا کنند. روش کار برخی از آنان بدین صورت است که تغییراتی در فایل .htaccess شما اعمال می‌کند و دسترسی در سطح Apache را، قبل از اینکه توسط وردپرس پردازش شود، محدود می‌کند .  Better WP Security و All in One WP Security نمونه‌های خوبی از این افزونه‌ها هستند. بعضی از افزونه‌های فایروال مانند WordFence، در سطح وردپرس عمل می‌کنند و حملات را زمانی که وردپرس در حال لود شدن است اما هنوز کامل پردازش نشده، فیلتر می‌کنند.

در کنار افزونه‌ها، می‌توانید یک WAF (فایروال وب) بر روی سرور خود نصب کنید تا محتوی را قبل از پردازش شدن توسط وردپرس فیلتر کند. محبوب ترین WAF اوپن سورس، ModSecurity است.

به علاوه  فایروال می‌تواند بین کمپانی هاستینگ شما و اینترنت قرار گیرد و DNS رکوردهای شما را مجاب کند که از یک فایروال عبور کنند. با این کار، تمامی ترافیک قبل از رسیدن به سایت شما، از طریق فایروال فیلتر می‌شود. تعدادی کمپانی چنین سرویس‌هایی را ارائه می‌دهند مانند CloudFlare و Sucuri.

افزونه‌هایی که نیاز به اجازه‌ی رایت دارند

اگر افزونه‌ای اجازه‌ی رایت از فایل‌ها و دیرکتوری‌های وردپرس شما را خواست، حتماً کد آنرا بخوانید و از قابل اعتماد بودن آن اطمینان حاصل کنید.

افزونه‌های اجرای کد

همانطور که گفتیم، یکی از دلایل محکم سازی وردپرس، محدود کردن میزان خسارت در صورت موفق بودن حملات هکر‌هاست.افزونه‌هایی که اجازه‌‌ی اجرای PHP و یا کد‌های دیگر را از ورودی‌های دیتابیس می‌دهند، می‌توانند در صورت وقوع حملات موفق، میزان خسارت را چند برابر کنند.

یکی از راه‌های اجتناب از چنین افزونه‌هایی، استفاده از custom page templates است. بخشی از امنیتی که این روش وعده می‌دهد، تنها زمانی اتفاق می‌افتد که امکان ویرایش فایل در داخل وردپرس را غیرفعال کنید.

امنیت از طریق گمنامی

انتخاب این روش به عنوان استراتژی اصلی امنیتی، عاقلانه بنظر نمی‌رسد. با این وجود، در بخش‌هایی از وردپرس، گمنامی اطلاعات ممکن است به امنیت بیشتر کمک کند.

  1. نام اکانت مدیریتی را تغییر دهید: در یک نصب جدید وردپرس، یک اکانت جدید مدیریتی بسازید و اکانت پیش فرض ادمین را حذف کنید. اگر تصمیم به نصب جدید ندارید، می‌توانید اکانت مدیریتی را از طریق دستوری مشابه به UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’; در بخش MySQL command-line client تغییر نام دهید.
  2. پیشوند table را تغییر دهید: بسیاری از حملات تزریقی SQL مختص به وردپرس، با این تصور عمل می‌کنند که این پیشوند در حالت پیش‌فرض، یعنی wp_, قرار دارد. تغییر این پیشوند، تعدادی از حملات تزریقی SQL را بلاک می‌کند.

بک آپ اطلاعات

در ادامه ی آموزش امنیت وردپرس یا امنیت سایت ، از اطلاعات و دیتابیس‌های MySQL بطور مرتب بک آپ بردارید.

رمزگزاری بک آپ، نگهداری سوابق مستقل از هش‌های MD5 برای هر فایل بک آپ، و قرار دادن بک آپ بر روی واسطه‌های read-only باعث بالا بردن اطمینان شما از امنیت اطلاعات می‌شود.

یک استراتژی بک آپ مطمئن، می‌تواند شامل نگهداری snapshot هایی با فواصل زمانی معین از تمامی نصب وردپرس شما (شامل فایل‌های هسته و دیتابیس) در یک مکان امن شود. تصور کنید سایتی در روز اول ماه بدست هکر‌ها بیفتد و کسی از این مساله تا روز ۱۲ ماه خبردار نشود. از طریق این استراتژی، دارنده‌ی سایت بک آپ‌هایی دارد که می‌تواند از طریق آنها سایت را به حالت قبل از هک برگرداند و حتی می‌تواند از طریق بک آپ‌هایی که بعد از هک گرفته شده‌اند، مشخص کند که دقیقاً چه بخش‌هایی از سایت هدف حمله بوده‌اند.

 

بک آپ اطلاعات سایت وردپرس

آموزش امنیت وردپرس

 

ثبت لاگینگ

در ادامه ی آموزش امنیت وردپرس یا امنیت سایت ، ثبت ورود و خروج‌های سایت، یکی از بدردبخور ترین روش‌ها برای داشتن اطلاعاتی در مورد وب‌سایت هستند. از این طریق می‌توانید بفهمید که چه زمانی، چه کاری توسط چه کسی در وب سایت انجام شده است. متاسفانه از طریق این لاگ‌ها نمی‌توانید بفهمید چه نام کاربری‌ای وارد سیستم شده اما می‌توانید IP و زمان آنرا بفهمید. به علاوه، می‌توانید هر کدام از حملات زیر را از طریق لاگ‌ها ببینید: حملات تزریق کد (XXS)، گنجاندن فایل از راه دور (RFI)، گنجاندن فایل محلی (LFI) و حملات پیمایش دیرکتوری. به علاوه، خواهید توانست حملات جستجوی فراگیر را نیز مشاهده کنید.

اگر کمی به کار با لاگ‌ها وارد شوید، چیزهایی خواهید دید مانند اینکه چه زمانی ویرایشگر‌های پوسته و افزونه در حال استفاده هستند،چه زمانی کسی ویجت‌های شما را آپدیت می‌کند و یا صفحه و مطلبی  اضافه می‌کند.

از لحاظ امنیتی، دو راه‌حل اوپن سورس اساسی هستند که بهتر است بر روی سرور خود داشته باشید.

OSSEC می‌تواند در هر توزیعی از NIX و همچنین در ویندوز اجرا شود و اگر درست تنظیم و کانفیگ شود، بسیار قدرتمند است. باید آنرا به طوری تنظیم کنید که تمامی access_logs و error_logs را ثبت کند. به علاوه، فراموش نکنید که تنظیمات را طوری انجام دهید که نویز نیز فیلتر شود.

نظارت

گاهی اوقات، ممکن است علی رغم اقدامات پیشگیرانه، باز هم هک شوید. به همین دلیل است که تشخیص و نظارت بر نفوذ از اهمیت زیادی برخوردار است. با استفاده از این روش می‌توانید با عکس العملی سریع، بفهمید که چه اتفاقی افتاده و سایت را به حالت اول برگردانید.

نظارت بر لاگ‌ها

اگر بر روی یک سرور شخصی هستید و دسترسی روت دارید، می‌توانید براحتی طوری تنظیمات انجام دهید که بتوانید ببینید چه اتفاقاتی در حال رخ دادن هستند. OSSEC این کار را تسهیل می‌کند.

نظارت بر ویرایش فایل‌ها

یک حمله‌ همیشه اثراتی از خود (فایل‌های تازه، فایل‌های ویرایش شده و غیره) بر جا می‌گذارد. اگر از OSSEC استفاده می‌کنید، فایل‌های شما را نظارت می‌کند و تغییراتی که در آنها ایجاد می‌شوند را اطلاع می‌دهد.

نظارت بر سرور از خارج

اگر هکری قصد ایجاد اختلال در سایت شما و یا اضافه کردن بدافزار داشته باشد، می‌توانید از طریق یک سیستم نظارت بر بی‌نقصی بر پایه‌ی وب نیز از این تغییرات مطلع شوید. امروزه ابزار‌های بسیاری از این دست را می‌توانید از طریق جستجو در گوگل به احتی پیدا کنید.

 

این موارد آموزش امنیت وردپرس و امنیت سایت ، جزئی از مواردی بود که می بایست در طراحی سایت ها صورت پذیرند. در صورت هر گونه سوال در مقاله ی آموزش امنیت وردپرس می توانید سوالات خود را از طریق فرم نظرات بیان نمایید.

شما میتوانید برای سئو و بهینه سازی وب سایت خود با ما تماس بگیرید و از کد تخفیف:Y-1399-(%7) استفاده کنید.

مطالب مرتبط
HTML YouTube Video
مطالعه :

در این مقاله قصد داریم به آموزش HTML YouTube Video  بپردازیم. پس با ما همراه باشید. شاید شما نیز هنگام آپلود کردن ویدیو در سایت‌ تان به مشکلاتی از قبیل افت سرعت سایت، نخواندن فرمت و…برخورده اید. از عمده دلایلی که افراد به سراغ آپلود فیلم در سایت خود نمی روند، می توان به درگیری با فرمت ویدئو اشاره کرد، چرا که ممکن است همه مرورگرها فرمت فیلم‌تان را نتوانند باز کنند و شما مجبور به تغییر فرمت متناسب با مرورگرتان شوید، که این خود شاید کاری سخت و یا وقت‌گیر باشد. در این بخش راهی ساده با استفاده از سوشیال مدیای یوتیوب در اختیار شما قرار می دهیم. آپلود ویدئو به کمک YouTube یوتیوب سال هاست که با خدمات ارزشمند خود به یاری کاربران و انواع نیازهای آنان پرداخته است. شما برای استفاده از امکانات پخش فیلم یوتیوب در سایت خود کافیست در آن عضو شده و ویدئوی خود را آپلود کنید. شناسه و یا IDیی رایگان (به طور مثال : tgbNymZ7vqY) یوتیوب به شما می دهد. نحوه استفاده از این شناسه را در بخش بعد به شما آموزش می دهیم. پخش ویدئوی YouTube در HTML با استفاده از تگ <iframe>  و تعیین src attribute می توان به راحتی فیلم یوتیوب را در کد HTML خود اجرا کنید. iframe width=”420″ height=”315″> src=”https://www.youtube.com/embed/tgbNymZ7vqY” </iframe>   توجه شود که درون تگ […]

9 ویژگی مهم CSS در طراحی وب
مطالعه :

در این مقاله قصد داریم  تا با 9 ویژگی مهم CSS در طراحی وب آشنا شویم. 9 ویژگی مهم CSS در طراحی وب در طی یادگیری css به طور کامل با تمامی ویژگی های Css آشنا شدیم و یادگرفتیم که هر کدام از این ویژگی ها چه کاربردی دارند و چگونه باید از انها استفاده کنیم،در این مقاله نیز میخواهیم به صورت کاملا خلاصه با 9 ویژگی کاربردی css آشنا شویم .     1) font-face     یکی از ویژگی های  CSS3 که درسال های اخیر باعث تحولاتی در بخش طراحی وب شده  font-faceاست. این ویژگی به ما  این امکان را میدهد  که هر فونتی که می خواهیم ، به راحتی با فرمت های مختلف و تنظیمات دلخواه در هر بخش از کدCSS  استفاده کنیم. از این ویژگی برای انتخاب ازبین چندین هزار فونت رایگان ، برای صفحه وب خود استفاده کنید. @font-face { font-family: Blackout; src: url(“assests/blackout.ttf”) format(“truetype”); } 2)  media از کوئری های media برای ساخت صفحات واکنش گرا یا طراحی وبسایت بر اساس شرایط دستگاه مورد استفاده قرار میگیرند. با استفاده از کوئری media  و ویژگی min-width  ما می توانیم عناصر صفحه ی وب را به شکل بهتری و با توجه به شرایط موجود به نمایش کاربر در بیاورید. @media screen and (max-width: 960px) { } 3)   clearfix استفاده از clearfix   برای مواقعی که overflow: hidden کار نمیکند, جایگزین […]

Google analytics
مطالعه :

Google analytics در این مطلب میخواهیم در مورد google analytics با شما صحبت کنیم. ابتدا تاریخچه google analytics سپس در مورد چگونگی ثبت نام در آن و مکانیزم کارکرد آن را بررسی می کنیم.     تاریخچه: در  مارس 2005 گوگل شرکت urchin را تحت مالکیت خود در آورد. کاربران اینترنت برای اولین بار در 11 نوامبر 2005  این سرویس گوگل را شناختند،سرویسی که تا قبل از آن که توسط گوگل خریداری شود به نام urchin  و با قیمت 500 دلار در بازار عرضه می شد. اما گوگل هنگام رو نمایی از این سرویس اعلام کرد که این سرویس به صورت رایگان عرضه خواهد شد که این گفته باعث ایجاد مشکلات بسیاری در سرور های گوگل شد چرا که ارائه ی رایگان این سرویس خدمت بزرگی برای صاحبان وبسایت و کسب و کار ها بود . استقبال از این سرویس گوگل تا حدی زیاد بود که گوگل مجبور شد به مدت 10 ماه ثبت نام های این سرویس را ببندد. در زمان بسته شدن ثبت نام گوگل ماشین جدیدی به این سرویس اضافه کرد تا عملکرد google analytics  بهبود پیدا کند.همان ط.ر که پیشبینی می شد باز شدن این سرویس پس از 10 ماه باعث حجوم کاربران بسیاری شد و این سرویس در عرض چند ماه همه گیر و محبوب شد. ثبت نام در google analytics : عکس زیر تمامی […]

3 لیست مهم در HTML5
مطالعه :

در این مقاله میخواهیم 3 لیست مهم در HTML5 را به شما بگوییم. 3 لیست مهم در HTML5 لیست ها کاربردهای فراوانی در متون مختلف داشته و حتما تا به حال نمونه هایی از آن ها را در کتاب ها ، مجلات ، روزنامه ها و.. دیده اید. اما کاربرد لیست ها محدود به مطالب چاپی نمی شود و امروزه در انواع صفحات وب ، شبکه های اجتماعی و یا پیام رسان ها نیز دیده می شوند. با کمک لیست ها می توانید موضوعات مرتبط به هم را در یک دسته قرار داده و آن ها را گروه بندی کنید. HTML نیز به منظور ایجاد انواع لیست ها در صفحات وب تگ هایی مشخص کرده است. در HTML5  سه نوع لیست با کاربردهای متفاوت وجود دارد که شامل موارد زیر است : Unordered Lists Ordered Lists Description Lists در ادامه به کاربرد و نحوه ی نوشتن هر لیست می پردازیم :     Unordered Lists در این لیست ها ترتیب آیتم ها اهمیت نداشته و تنها عناصر مرتبط به هم در یک لیست قرار می گیرند. به عنوان مثال به لیست زیر توجه کنید : انواع نوشیدنی های گرم قهوه چای نسکافه همان طور که مشاهده می کنید در این لیست ترتیب اهمیت نداشته و فرقی نمی کند چه آیتمی اول و یا اخر باشد. برای نوشتن چنین لیست هایی […]

فروشگاه اینترنتی حرفه ای
مطالعه :

طراحی سایت فروشگاهی اینترنتی امروزه در دنیای تجارت همه ی افراد برای گسترش کسب و کار خود در فکر طراحی سایت فروشگاهی هستند. افراد با استفاده از یک سایت فروشگاهی بازدیدکنندگان را قادر می­ سازند تا در تمام ساعات شبانه روز محصولات و خدمات مورد نیاز خود را سفارش دهند. در یک فروشگاه اینترنتی علاوه بر فروش کالاهای فیزیکی، خدمات و کالاهای غیر فیزیکی نیز به فروش می­ رود و خریداران تنها با یک کلیک می­ توانند محصولات و خدمات مورد نیازشان را بررسی کنند و سپس اقدام به خرید نمایند. در ادامه همراه طراحی سایت وب یار باشید تا با مزایا، امکانات و  مراحل طراحی سایت فروشگاهی و طراحی فروشگاه اینترنتی آشنا شوید.   مزایای طراحی سایت فروشگاهی عدم نیاز به حضور در فروشگاه: فروشگاه­ هایی که به­ صورت آنلاین فعالیت می­ کنند محدودیت زمان فعالیت ندارند. در واقع مزیت فروشگاه­ اینترنتی در این است که این فروشگاه­ ها به­ صورت شبانه ­روزی فعالیت می­ کنند و افراد در هر ساعت از شبانه­ روز که بخواهند می­ توانند از این فروشگاه ها محصول مورد نظر خود را خریداری نمایند. کاهش هزینه­ ها: به­ طور کلی راه ­اندازی فروشگاه اینترنتی ارزان­ تر از راه ­اندازی یک فروشگاه فیزیکی می­ باشد. اگرچه طراحی سایت فروشگاهی مستلزم دانش، تخصص فنی و سرمایه­ گذاری مستمر است. افزایش فروش: شما ممکن است برخی از […]

پشتیبانی سایت و بروزرسانی سایت
مطالعه :

پس چنانچه وقت کافی‌ برای بروز رسانی سایت خود را ندارید. یا اطلاعاتتان‌ در مورد سئو و ترفند‌های بروز رسانی سایت کافی نیست. می توانید بروز رسانی مطلب و پشتیبانی سایت خود را به تیم طراحی سایت و سئو سایت وب یار بسپارید .
تیم طراحی سایت وب یار با نیروهای آموزش دیده و حرفه ای در زمینه ی سئو و ترفند‌های بروز رسانی سایت، با صبر و حوصله ی فراوان پاسخگوی مشکلات شما خواهند بود و خدمات پشتیبانی سایت و بروزرسانی سایت را با بالاترین کیفیت ارائه می نماید.

دیدگاه ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *