0

هیچ محصولی در سبد خرید نیست.

طراحی سایت در اصفهان, سئو سایت اصفهان, ساخت سایت اصفهان, طراحی سایت حرفه ای اصفهان, بهینه سازی سایت , بازاریابی و دیجیتال مارکتینگ 09133886881 احمدپور

امنیتی در وردپرس را چگونه انجام دهید؟

نویسنده پشتیبانی وب یار
امتیاز مطلب
4.7/5 - (3 امتیاز)
تعداد بازدید 2291
تاریخ بروزرسانی ۹ خرداد ۱۴۰۱

امنیت سایت وردپرس از اهمیت بسیار بالایی برخوردار است . که بطور جدی به آن پرداخته می‌شود. اما درست مانند هرسیستم دیگری، درصورت عدم رعایت برخی نکات ایمنی ساده ممکن است با مشکلات امنیتی احتمالی برخورد کنیم. در این مطلب آموزش امنیت وردپرس به بررسی برخی از معمول‌ترین آسیب پذیری‌ها و راهکارهای بالا بردن امنیت سایت وردپرس می‌پردازیم.

مقاله امنیت سایت راه حل نهایی برای تمامی دغدغه‌های امنیتی شما نیست. اگر نگرانی بخصوصی دارید، بهتر است با کسانی که به دانش آنها در زمینه‌ی امنیت کامپیوتر و وردپرس اطمینان دارید، نگرانی‌ها و سوالات خود را در میان بگذارید. تیم وب یار با خدمات و پشتیبانی سایت به صورت 24 ساعته ، امنیت خاطر را برای تمامی مشتریان خود به ارمغان می آورد.

وردپرس

وردپرس به علت دسترسی آسان و راحت به پنل مدیریت و متن باز (Open Source) بودنش در جهان محبوب می باشد. موضوع حائز اهمیتی که در این سیستم موجود می باشد، تیم قدرتمندی است که با دقت فراروان به بررسی باگ‌ های امنیتی می‌پردازند تا مشکلات را در هر نسخه از وردپرس رفع کنند. اما هکرها همیشه منتظر هستند تا راهی را پیدا کرده و دست به کار بشوند. حال این شکاف می‌تواند در هسته وردپرس در قالب یا افزونه‌ای که استفاده می‌کنید وجود داشته باشد و یا هر آن چه به وردپرس ربط داده می شود.

امنیت سایت چیست؟

اساساً وقتی صحبت از امنیت می‌شود، منظورمان سیستم‌های کاملاً امن نیستند. یافتن چنین چیزی عملاً غیر ممکن بنظر می‌رسد. یک سرور امن از حریم خصوصی، یکپارچگی و در دسترس بودن منابع تحت کنترل سرور محافظت و اطمینان حاصل می‌کند.

ویژگی‌های یک هاست قابل اطمینان عبارتند از:

  • مشتاقانه درمورد انتظارات و نگرانی‌های امنیتی شما وهمچنین ویژگی‌ها و پروسه‌های امنیتی که هاستینگ در اختیار شما خواهند گذاشت، با شما صحبت می‌کند.
  • آخرین و با ثبات‌ترین نسخه‌های نرم‌افزار سرور را در اختیارتان می‌گذارد.
  • روش‌های قابل اعتماد بازیابی اطلاعات و پشتیبان‌گیری (بک آپ) را برای شما فراهم می‌کند.

با مشخص کردن نرم‌افزار و اطلاعاتی که باید محافظت شوند، درمورد نوع امنیتی که برای سرور خود مدنظردارید تصمیم بگیرید. ادامه‌ی آموزش امنیت وردپرس ، شما را در این زمینه راهنمایی خواهد کرد.

پوسته‌های امنیتی

در تصمیم گیری در مورد امنیت جنبه‌های مختلف  سیستم خود، چند نکته‌ی کلی را در نظر داشته باشید:

محدود کردن دسترسی

کاهش نقاط ورود احتمالی برای افرادی که  مقاصد سوء دارند.

مهار

سیستم باید به نحوی کانفیگ شود که میزان خسارتی که در صورت در خطر قرار گرفتن یک رویداد ممکن است به سیستم وارد شود را به حداقل برساند.

آماده‌ سازی و دانش

برداشتن بک آپ و اطلاع از وضعیت وردپرس در فواصل زمانی مشخص. داشتن برنامه‌ای برای بک آپ و بازیابی اطلاعات می‌تواند در صورت بروز هر گونه مشکلی، شما را هر چه سریعتر به حالت روزمره برگرداند.

منابع مورد اعتماد

یکی از مواردی که در آموزش امنیت وردپرس وجود دارد این است که از منابع غیر قابل اعتماد، پوسته (theme) و افزونه (plugin) نگیرید. خود را به مجموعه‌ی موجود در WordPress.org و یا کمپانی‌های قابل اعتماد محدود کنید. گرفتن پوسته و افزونه از خارج از وردپرس ممکن است منجر به پدید آمدن مشکلاتی شود.

آسیب پذیری‌های کامپیوتر شما

مطمئن شوید که کامپیوتر‌های مورد استفاده‌ی شما عاری از هر گونه جاسوس افزار، بدافزار و ویروس باشند.

همیشه سیستم‌عامل و نرم افزار‌های خود، بخصوص مرورگر اینترنتی، را به‌روز نگه دارید تا سیستم خود را از نقص‌های امنیتی مصون نگه دارید؛ اگر قصد بازدید از سایت‌های غیر قابل اطمینان و مشکوک را دارید، بهتر است از ابزاری مانند no-script استفاده و یا جاوا اسکریپت، فلش و جاوا را  در مرورگر خود غیر فعال کنید.

مراحل امنیت سایت

آسیب‌پذیری‌های وردپرس

مانند دیگر بسته‌های نرم افزاری مدرن، وردپرس بطور مرتب برای آمادگی در مقابل مشکلات امنیتی احتمالی آپیدت می‌شود. بحث بهبود امنیت نرم‌افزاری یکی از دغدغه‌های همیشگی است و برای دستیابی به آن همیشه ازآخرین نسخه‌ی وردپرس استفاده کنید. نسخه‌های قدیمی وردپرس از نظر امنیتی آپدیت نمی‌شوند.

به‌روز رسانی وردپرس

آخرین نسخه‌ی وردپرس را همواره می‌توانید از وب‌سایت اصلی وردپرس به آدرس wordpress.org دریافت کنید. آپیدیت‌های رسمی هیچ‌گاه در وب‌سایت های دیگر قابل دسترسی نیستند. بنابراین هرگز وردپرس را از وب‌سایتی به غیر از  ‌ http://wordpress.org دانلود نکنید.

از نسخه‌ی ۳٫۷ به بعد، وردپرس گزینه‌ی آپدیت خودکار اضافه کرده است. با استفاده از این ویژگی می‌توانید براحتی به‌روز بمانید. به علاوه می‌توانید از طریق Dashboard وردپرس از آپدیت‌ها با خبر شوید.

در صورت پدید آمدن یک آسیب پذیری در وردپرس و عرضه شدن نسخه‌ای جدید از وردپرس برای برطرف کردن این مشکل، اطلاعات مورد نیاز برای نحوه‌ی استفاده از این آسیب پذیری بطور قطع در دامنه‌ی عمومی قرار دارد؛ بنابراین نسخه‌های قدیمی همیشه بیشتر در معرض حملات قرار دارند و به همین دلیل به ‌روز رسانی اهمیت زیادی پیدا می‌کند.

اگر شما بیش از یک نصب وردپرس را مدیریت می‌کنید، می‌توانید از Subversion برای تسهیل مدیریت استفاده کنید.

گزارش مشکلات امنیتی

اگر با نقصی امنیتی در وردپرس روبرو شدید، می‌توانید برای رفع هر چه سریعتر آن، مشکل را گزارش کنید. لطفا برای اطلاعات بیشتر در مورد نحوه‌ی گزارش ایرادات، Security FAQ را بخوانید.

اگر فکر می‌کنید با یک باگ مواجه شده‌اید، آنرا گزارش کنید. برای اطلاعات بیشتر Submitting Bugs را بخوانید. باگ‌ها یا به خودی خود آسیب پذیری‌های امنیتی هستند یا منجر به نقص‌های امنیتی می‌شوند.

آسیب پذیری‌های سرور

سرور اینترنتی وردپرس و نرم‌افزارهای روی آن ممکن است دارای نقاط ضعف باشند. به همین دلیل، اطمینان حاصل کنید که از نسخه‌های با ثبات و امن سرور و نرم‌افزار روی آن استفاده می‌کنید و یا از هاست قابل اطمینانی استفاده کنید که مطمئن هستید به این موارد رسیدگی می‌کند.

اگر شما در سروری مشترک ( سروری که وب‌سایت های دیگری را نیز در کنار وبسایت شما هاست می‌کند) قرار دارید و وبسایتی در سرور شما دچار مشکلات امنیتی شد، به احتمال بسیار بالا، وب‌سایت شما نیز در معرض خطر قرار دارد حتی اگر تمامی توصیه‌های این مطلب را انجام داده باشید. به همین خاطر بهتر است از سرور خود در مورد اقدامات پیشگیرانه‌ی امنیتی که انجام می‌دهند، اطلاعاتی کسب کنید.

آسیب پذیری‌های شبکه

شبکه در هر دو انتها، یعنی انتهای وردپرس و انتهای مشترک، باید قابل اطمینان باشد. برای این منظور باید قوانین فایروال مودم خود بروزرسانی کنید و حواستان باشد که از چه شبکه‌هایی کار می‌کنید. کافی‌ نتی که در آن پسوورد خود را از طریق اتصال اینترنتی، وایرلس و یا به هر شکل دیگر می‌فرستید، شبکه‌ای امن محسوب نمی‌شود.

هاست اینترنتی شما باید در مقابل حملات ایمن باشد. در غیر این صورت، نقص‌های امنیتی شبکه می‌توانند به دزدیده شدن پسوورد و دیگر اطلاعات حساس شما شوند.

پسوورد

بسیاری از نقص‌ها و آسیب‌پذیری‌های احتمالی با عادات امنیتی درست قابل پیشگیری هستند. یک پسوورد قوی نقش مهمی در این امر دارد.

پسوورد قوی پسووردی است که برای افراد دیگر غیر قابل حدس باشد و حملات جستجوی فراگیر موفق به یافتن آن نشوند. حملات جستجوی فراگیر، بر خلاف هک کردن که بدنبال نقص‌های امنیتی می‌گردد، بقدری یوزرنیم و پسوورد‌های مختلف را امتحان می‌کنند تا به نتیجه برسند. ابزار‌های خودکار تولید پسوورد وجود دارند که می‌توانند یک پسوورد امن به شما پیشنهاد کنند.

یکی از ویژگی‌های وردپرس، دارا بودن نشانگر میزان قوی بودن یک پسوورد است. زمانی که قصد تغییر پسوورد خود را داشته باشید، از طریق این نشانگر می‌توانید بدانید که پسوورد انتخابی شما تا چه حد قوی است.

نکاتی که در انتخاب پسوورد باید از آنها اجتناب کرد:

  • هرگونه استفاده‌ای از نام اصلی، یوزرنیم، نام شرکت و یا نام وبسایت
  • لغتی از لغتنامه‌ای به هر زبان
  • پسوورد کوتاه
  • یک پسوورد تماماً عددی یا تماماً حروفی (ترکیبی از این دو بهترین گزینه است)

یک پسوورد قوی نه تنها برای محافظت از محتوای بلاگ شما ضروری است، بلکه اگر هکری به اکانت مدیریت شما دست پیدا کند، می‌تواند اسکریپت‌هایی مخرب نصب کند که کل سرور را در معرض خطر قرار دهد. بنابراین با داشتن پسووردی مطمئن، می‌توانید از این خطرات دور بمانید.

علاوه بر داشتن پسووردی قوی، بهتر است احراز هویت دو مرحله‌ای (two-step authentication) را نیز به عنوان اقدام احتیاطی اضافه، فعال کنید.

Site security

آموزش امنیت وردپرس

FTP

برای اتصال به سرور، از رمز گزاری SFTP استفاده کنید. اگر نمی‌دانید که هاست اینترنتی شما این امکان را فراهم کرده یا نه، می‌توانید از آنها بپرسید.

استفاده از SFTP درست مانند استفاده از FTP است با این تفاوت که در SFTP تمامی اطلاعات و پسوورد شما در انتقال بین کامپیوتر . وبسایت شما، رمزگذاری می‌شوند. این بدین معنی است که پسوورد شما هیچگاه به همان شکل اصلی فرستاده نمی‌شود و در نتیجه هکرها نمی‌توانند از پسوورد شما استفاده کنند.

اجازه دسترسی فایل

یکی از مواردی که در آموزش امنیت وردپرس و امنیت سایت وجود دارد این است که وردپرس، به عنوان یکی از ویژگی‌های خود، به سرور اجازه‌ی رایت از فایل‌ها را می‌دهد. با این وجود، دادن دسترسی رایت برای فایل‌هایتان می‌تواند خطرساز باشد، بخصوص اگر در محیط هاستینگ مشترک فعالیت می‌کنید.

بهتر است که اجازه‌ی دسترسی به فایل‌های خود را تا حد امکان محدود کنید و فقط در مواقعی که نیاز دارید، این دسترسی را باز کنید. می‌توانید فولدر جدیدی با سطح دسترسی بیشتر برای مقاصدی مانند آپلود کردن فایل بسازید.

یکی از طرح‌های سطح دسترسی را در اینجا ببینید:

تمام فایل‌ها بایستی متعلق به اکانت کاربری شما و قابل رایت توسط شما باشند. هر فایلی که نیازمند اجازه‌ی رایت از وردپرس باشد، باید توسط سرور نیز قابل رایت باشد. این بدین معنی است که فایل‌ها باید بصورت گروهی متعلق به اکانت کاربری باشندکه توسط سرور مورد استفاده قرارمی‌گیرد.

/دیرکتوری روت وردپرس:

تمامی فایل‌ها بایستی فقط توسط اکانت کاربری قابل رایت باشند.
/wp-admin/
منطقه‌ی مدیریتی وردپرس:

تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.
/wp-includes/
بخش عمده‌ی منطق اپلیکیشن وردپرس:

تمامی فایل‌ها فقط توسط اکانت کاربری شما قابل رایت باشند.
</wp-content/
محتوای عرضه شده توسط کاربر:

قابل رایت توسط اکانت کاربری شما و پروسه‌ی سرور وب.

در /wp-content/ می‌توانید گزینه‌های زیر را بیابید:
/wp-content/themes/
فایل‌های پوسته:

اگر تمایل به استفاده ازویرایشگر پوسته‌ی داخل وردپرس داشته باشید، تمامی فایل‌ها باید توسط پروسه‌ی سرور وب قابل رایت باشند. اما اگر نمی‌خواهید از این ادیتور استفاده کنید، می‌توانید سطح دسترسی به فایل‌ها رو طوری تنظیم کنید که فقط توسط اکانت کاربری شما قابل رایت باشند.
/wp-content/plugins/
فایل‌های افزونه: تمامی فایل‌ها باید فقط قابل رایت با اکانت کاربری شما باشند.

دیرکتوری‌های دیگر که ممکن است با /wp-content/ موجود باشند، باید توسط پوسته و یا افزونه‌ای که به آنها نیاز دارند، ثبت شوند. سطح دسترسی ها در این موارد متغیر هستند.

تغییر دادن سطح دسترسی فایل

اگر دسترسی شل(shell) به سرور دارید، می‌توانید سطح دسترسی فایل را توسط دستور زیر تغییر دهید:

برای دیرکتوری‌ها:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} ;
برای فایل‌ها:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} ;

به‌روز رسانی خودکار

وقتی ازوردپرس می‌خواهید که به‌روزرسانی خودکار انجام‌دهد، تمامی این عملیات به‌عنوان کاربر صاحب فایل انجام می‌گیرند نه به عناون کاربر سروروب. تمامی فایل‌ها به ۰۶۴۴ و تمامی دیرکتوری‌ها به ۰۷۵۵ ست می‌شوند. فایل‌ها و دیرکتوری‌ها قابل رایت توسط کاربر و قابل مشاهده توسط تمامی افراد به علاوه‌ی سرور وب هستند.

امنیت پایگاه داده (دیتا بیس)

اگر بر روی یک سرور از چند بلاگ مختلف استفاده می‌کنید، بهتر است آنها را در دیتابیس‌های جداگانه که توسط کاربرهای متفاوت مدیریت می‌شوند نگهداری کنید. با انجام دادن نصب اولیه‌ی وردپرس، می‌توانید به این هدف دست پیدا کنید. در واقع این یک استراتژی مهار است: اگر فردی توانست با موفقیت یک نصب وردپرس را هک کند، این استراتژی باعث می‌شود که دسترسی و تغییر دادن بلاگ‌های دیگر شما برای اون سخت باشد.

اگر خود شما MySQL را مدیریت می‌کنید، اطمینان حاصل کنید که در مورد MySQL اطلاعات کافی دارید و ویژگی‌های غیرضروری آن (مانند پذیرش اتصالات TCP از راه دور) غیر فعال هستند.

محدود کردن اختیارات کاربر دیتابیس

برای انجام کارهای معمول در وردپرس، مانند گذاشتن مطالب در بلاگ، آپلود کردن فایل‌، گذاشتن کامنت، ایجاد کردن اکانت کاربری جدید و نصب افزونه‌های وردپرس، کاربر MySQL فقط به اختیارات خواندن و رایت کردن داده در MySQL مانند Select، Insert، Update و Delete نیاز دارد.

به همین دلیل، بهتر است اختیارات مدیریتی دیگر مانند Drop، Alter و Grant از کاربر گرفته شوند. با گرفتن این اختیارات، در واقع به استراتژی مهار و در نتیجه امنیت بیشتر کمک می‌کنید.

توجه کنید: بعضی از پوسته‌ها، افزونه‌ها و آپدیت‌های اصلی وردپرس ممکن است نیازمند انجام تغییراتی ساختاری مانند اضافه کردن جدول‌های جدید و یا تغییر طرح کلی باشند. در این موارد، قبل از نصب افزونه و یا اعمال آپدیت، بایستی بطور موقت این اختیارات را در اختیار کاربر دیتابیس بگذارید.

احتیاط:

اعمال کردن آپدیت بدون داشتن این اختیارات ممکن است در زمان تغییر طرح، باعث ایجاد مشکلاتی شود. اگر بنا به دلایل امنیتی نیاز به انجام آپدیت دارید، حتماً یک بک آپ قابل اعتماد از دیتابیس‌ داشته باشید. تا در مواقع نیاز بتوانید اطلاعات خود را از طریق آن براحتی برگردانید. در صورت ناموفق بودن آپگرید دیتابیس ، می‌توانید این مشکل را براحتی حل کنید. کافی‌ست دیتابیس را به یک نسخه‌ی قدیمی‌تر برگردانید، اختیارات مورد نیاز را در اختیار آن بگذارید و اجازه دهید تا خود وردپرس آپدیت را دوباره انجام دهد.

بازگرداندن دیتابیس به یک نسخه‌ی قدیمی باعث می‌شود که بخش مدیریتی وردپرس متوجه وجود نسخه‌ی قدیمی بشود و سپس به شما اجازه دهد که دستورهای SQL مورد نیاز را بر روی آن انجام دهید. اکثر آپگرید‌های وردپرس تغییری در طرح انجام نمی‌دهند. فقط برخی از آپگریدهای اساسی (۳٫۷ تا ۳٫۸ به عنوان مثال) این تغییرات را اعمال می‌کنند و آپگرید‌های کوچک (۳٫۸ تا ۳٫۸٫۱) معمولاً این کار را انجام نمی‌دهند. اما در هر صورت، داشتن یک بک آپ مطمئن همیشه اقدام درستی‌ است.

ایمن کردن wp-admin

یکی دیگر از موارد آموزش امنیت وردپرس و امنیت سایت ، اضافه کردن پسورد از جانب سرور (مانند BasicAuth) به /wp-admin/ یک لایه‌ی محافظتی دوم در اطراف محیط مدیریتی بلاگ، صفحه‌ی لاگین و همچنین فایل‌های شما ایجاد می‌کند. این لایه باعث می‌شود که هکر بجای رفتن به سراغ فایل‌های ادمین شما، به این لایه‌ی دوم حمله کند. اکثر حملات به وردپرس از طریق نرم‌افزارهای خرابکار و بطور خودکار انجام می‌شوند.

اینکه فقط wp-admin/ را ایمن کنید ممکن است برخی قابلیت‌های وردپرس، مانند هندلر AJAX در wp-adin/admin-ajax.php را از کار بیاندازد.

معمول‌ترین حملات به بلاگ‌های وردپرس بطور معمول در دو گروه قرار می‌گیرند:

  1. فرستادن درخواست‌های HTTP که به طور بخصوص برای استفاده از آسیب پذیری‌های بخصوصی ساخته شده‌اند.
  2. تلاش برای دسترسی پیدا کردن به بلاگ شما با استفاده از روش حملات جستجوی فراگیر که قبلا به آن پرداختیم.

هدف نهایی اعمال این لایه‌ی دوم پسوورد، خواستن یک اتصال رمزگزای شده‌ی HTTPS SSL برای مدیریت است به این منظور که تمام ارتباطات و اطلاعات حساس رمزگزاری شوند.

ایمن سازی wp-includes

لایه‌ی دومی از امنیت را می‌توان زمانی اضافه کرد که قرار نیست هیچ کاربری به اسکریپت‌ها دسترسی داشته باشد. یک روش انجام این کار، بلاک کردن آن اسکریپت‌ها با استفاده از mod-rewrite در .htaccess است.

توجه: برای اطمینان از اینکه کد زیر توسط وردپرس بازنویسی نشده‌اند، آنرا خارج از تگ‌های #BEGIN WordPress و # END WordPress در فایل .htaccess قرار دهید. وردپرس می‌تواند هر چیزی را که بین این دو تگ باشد بازنویسی کند.


# Block the include-only files. />
RewriteEngine On
RewriteBase / />
RewriteRule ^wp-admin/includes/ – [F,L] />
RewriteRule !^wp-includes/ – [S=3] />
RewriteRule ^wp-includes/[^/]+.php$ – [F,L] />
RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L] />
RewriteRule ^wp-includes/theme-compat/ – [F,L] />
<p># BEGIN WordPress

توجه کنید که این روش در Multisite جواب نمی‌دهد به این دلیل که RewriteRule^wp-includes/[^/]+.php$-[F,L] از ایجاد کردن ایمج توسط ms-files.php جلوگیری می‌کند. حذف کردن این خط باعث می‌شود که کد مورد نظر کارکند اما از نظر امنیت در سطح پایین‌تری قرار دارد.

آموزش امنیت وردپرس

ایمن سازی wp-config.php

یکی دیگر از موارد آموزش امنیت وردپرس و امنیت سایت ، انتقال فایل wp-config.php به دیرکتوری بالای نصب وردپرس می باشد. این به این معنی‌ است که در مورد سایتی که در روت فضای وب شما نصب شده باشد، می‌توانید wp-config.php را خارج از فولدر web-root ذخیره کنید.

توجه: افراد بسیاری بر این باورند که انتقال wp-config.php فواید امنیتی بسیار کمی دارد و اگر بدرستی انجام نشود، حتی می‌تواند باعث ایجاد نقص‌های امنیتی جدی نیز شود.

wp-config.php را می‌توانید در در یک سطح دیرکتوری بالای نصب وردپرس (جایی که wp-includes قرار دارد) ذخیره کنید. به علاوه، اطمینان حاصل کنید که فقط شما (و سرور وب) می‌تواند این فایل را بخواند (این معمولاً دسترسی ۴۰۰ یا ۴۴۰ است).

اگر از سروری با .htaccess استفاده می‌کنید، می‌توانید این کد را در فایل مربوطه (در بالاترین قسمت) قرار دهید تا از دسترسی افرادی که آنرا جستجو می‌کنند، جلوگیری کنید.

داشبورد وردپرس بطور پیش فرض به مدیران اجازه‌ی ویرایش فایل‌های PHP مانند فایل‌های افزونه و پوسته را می‌دهد. این معمولاً اولین ابزاری است که یک هکر، اگر موفق به لاگ این شود، از آن استفاده خواهد کرد زیرا اجازه‌ی اجرای کد را در اختیار او می‌گذارد.

با قرار دادن این خط در wp-config.php ، قابلیت‌های edit_themes، edit_plugins و edit_files را از تمام کاربران می‌گیرید:

البته در نظر داشته باشید که این کار مانع از این نمی‌شود که فرد مهاجم فایل‌های مخرب را در سایت شما آپلود کند اما می‌تواند جلوی برخی حملات را بگیرد.

افزونه‌ها

در آموزش امنیت وردپرس و امنیت سایت ، این مورد را در خاطر داشته باشید که در درجه‌ی اول، همیشه تمامی افزونه‌های خود را آپدیت کنید. علاوه بر این، اگر از افزونه‌ی خاصی استفاده نمی‌کنید، آنرا حذف کنید.

فایروال

سرویس‌ها و افزونه‌های زیادی هستند که می‌توانند نقش فایروال را بر روی وب سایت شما ایفا کنند. روش کار برخی از آنان بدین صورت است که تغییراتی در فایل .htaccess شما اعمال می‌کند و دسترسی در سطح Apache را، قبل از اینکه توسط وردپرس پردازش شود، محدود می‌کند .  Better WP Security و All in One WP Security نمونه‌های خوبی از این افزونه‌ها هستند. بعضی از افزونه‌های فایروال مانند WordFence، در سطح وردپرس عمل می‌کنند و حملات را زمانی که وردپرس در حال لود شدن است اما هنوز کامل پردازش نشده، فیلتر می‌کنند.

در کنار افزونه‌ها، می‌توانید یک WAF (فایروال وب) بر روی سرور خود نصب کنید تا محتوی را قبل از پردازش شدن توسط وردپرس فیلتر کند. محبوب ترین WAF اوپن سورس، ModSecurity است.

به علاوه  فایروال می‌تواند بین کمپانی هاستینگ شما و اینترنت قرار گیرد و DNS رکوردهای شما را مجاب کند که از یک فایروال عبور کنند. با این کار، تمامی ترافیک قبل از رسیدن به سایت شما، از طریق فایروال فیلتر می‌شود. تعدادی کمپانی چنین سرویس‌هایی را ارائه می‌دهند مانند CloudFlare و Sucuri.

افزونه‌هایی که نیاز به اجازه‌ی رایت دارند

اگر افزونه‌ای اجازه‌ی رایت از فایل‌ها و دیرکتوری‌های وردپرس شما را خواست، حتماً کد آنرا بخوانید و از قابل اعتماد بودن آن اطمینان حاصل کنید.

افزونه‌های اجرای کد

همانطور که گفتیم، یکی از دلایل محکم سازی وردپرس، محدود کردن میزان خسارت در صورت موفق بودن حملات هکر‌هاست.افزونه‌هایی که اجازه‌‌ی اجرای PHP و یا کد‌های دیگر را از ورودی‌های دیتابیس می‌دهند، می‌توانند در صورت وقوع حملات موفق، میزان خسارت را چند برابر کنند.

یکی از راه‌های اجتناب از چنین افزونه‌هایی، استفاده از custom page templates است. بخشی از امنیتی که این روش وعده می‌دهد، تنها زمانی اتفاق می‌افتد که امکان ویرایش فایل درداخل وردپرس راغیرفعال کنید.

امنیت از طریق گمنامی

انتخاب این روش به عنوان استراتژی اصلی امنیتی، عاقلانه بنظر نمی‌رسد. با این وجود، در بخش‌هایی از وردپرس، گمنامی اطلاعات ممکن است به امنیت بیشتر کمک کند.

  1. نام اکانت مدیریتی را تغییر دهید:
    در یک نصب جدید وردپرس، یک اکانت جدید مدیریتی بسازید و اکانت پیش فرض ادمین را حذف کنید. اگر تصمیم به نصب جدید ندارید، می‌توانید اکانت مدیریتی را از طریق دستوری مشابه به UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’; در بخش MySQL command-line client تغییر نام دهید.
  2. پیشوند table را تغییر دهید:
    بسیاری از حملات تزریقی SQL مختص به وردپرس، با این تصور عمل می‌کنند که این پیشوند در حالت پیش‌فرض، یعنی wp_, قرار دارد. تغییر این پیشوند، تعدادی از حملات تزریقی SQL را بلاک می‌کند.

بک آپ اطلاعات

در ادامه ی آموزش امنیت وردپرس یا امنیت سایت ، از اطلاعات و دیتابیس‌های MySQL بطور مرتب بک آپ بردارید.

رمزگزاری بک آپ، نگهداری سوابق مستقل از هش‌های MD5 برای هر فایل بک آپ، و قرار دادن بک آپ بر روی واسطه‌های read-only باعث بالا بردن اطمینان شما از امنیت اطلاعات می‌شود.

یک استراتژی بک آپ مطمئن، می‌تواند شامل نگهداری snapshot هایی با فواصل زمانی معین از تمامی نصب وردپرس شما (شامل فایل‌های هسته و دیتابیس) در یک مکان امن شود. تصور کنید سایتی در روز اول ماه بدست هکر‌ها بیفتد و کسی از این مساله تا روز۱۲ماه خبردار نشود. از طریق این استراتژی، دارنده‌ی سایت بک آپ‌هایی دارد که می‌تواند از طریق آنها سایت را به حالت قبل از هک برگرداند و حتی می‌تواند از طریق بک آپ‌هایی که بعد از هک گرفته شده‌اند، مشخص کند که دقیقاً چه بخش‌هایی از سایت هدف حمله بوده‌اند.

بک آپ اطلاعات سایت وردپرس

ثبت لاگینگ

در ادامه ی آموزش امنیت وردپرس یا امنیت سایت ، ثبت ورود و خروج‌های سایت، یکی از بدردبخور ترین روش‌ها برای داشتن اطلاعاتی در مورد وب‌سایت هستند. از این طریق می‌توانید بفهمید که چه زمانی، چه کاری توسط چه کسی در وب سایت انجام شده است. متاسفانه از طریق این لاگ‌ها نمی‌توانید بفهمید چه نام کاربری‌ای وارد سیستم شده اما می‌توانید IP و زمان آنرا بفهمید. به علاوه، می‌توانید هر کدام از حملات زیر را از طریق لاگ‌ها ببینید: حملات تزریق کد (XXS)، گنجاندن فایل از راه دور (RFI)، گنجاندن فایل محلی (LFI) و حملات پیمایش دیرکتوری. به علاوه، خواهید توانست حملات جستجوی فراگیر را نیز مشاهده کنید.

اگر کمی به کار با لاگ‌ها وارد شوید، چیزهایی خواهید دید مانند اینکه چه زمانی ویرایشگر‌های پوسته و افزونه در حال استفاده هستند،چه زمانی کسی ویجت‌های شما را آپدیت می‌کند و یا صفحه و مطلبی  اضافه می‌کند.

از لحاظ امنیتی، دو راه‌حل اوپن سورس اساسی هستند که بهتر است بر روی سرور خود داشته باشید.

OSSEC می‌تواند در هر توزیعی ازNIX و همچنین در ویندوز اجراشود و اگردرست تنظیم و کانفیگ شود، بسیار قدرتمند است. باید آنرا به طوری تنظیم کنید که تمامی access_logs و error_logs را ثبت کند. به علاوه، فراموش نکنید که تنظیمات را طوری انجام دهید که نویز نیز فیلتر شود.

نظارت

گاهی اوقات، ممکن است علی رغم اقدامات پیشگیرانه، باز هم هک شوید. به همین دلیل است که تشخیص و نظارت بر نفوذ از اهمیت زیادی برخوردار است. با استفاده ازاین روش می‌توانید با عکس‌العملی سریع، بفهمید که چه اتفاقی افتاده و سایت را به حالت اول برگردانید.

نظارت بر لاگ‌ها

اگر بر روی یک سرور شخصی هستید و دسترسی روت دارید، می‌توانید براحتی طوری تنظیمات انجام دهید که بتوانید ببینید چه اتفاقاتی در حال رخ دادن هستند. OSSEC این کار را تسهیل می‌کند.

نظارت بر ویرایش فایل‌ها

یک حمله‌ همیشه اثراتی از خود (فایل‌های تازه، فایل‌های ویرایش شده و غیره) بر جا می‌گذارد. اگر از OSSEC استفاده می‌کنید، فایل‌های شما را نظارت می‌کند و تغییراتی که در آنها ایجاد می‌شوند را اطلاع می‌دهد.

نظارت بر سرور از خارج

اگر هکری قصد ایجاد اختلال در سایت شما و یا اضافه کردن بدافزار داشته باشد، می‌توانید از طریق یک سیستم نظارت بر بی‌نقصی بر پایه‌ی وب نیز از این تغییرات مطلع شوید. امروزه ابزار‌های بسیاری از این دست را می‌توانید از طریق جستجو در گوگل به احتی پیدا کنید.

این موارد آموزش امنیت وردپرس و امنیت سایت ، جزئی از مواردی بود که می‌بایست در طراحی سایت‌ها صورت پذیرند. در صورت هر گونه سوال در مقاله‌ی آموزش امنیت وردپرس می‌توانید سوالات خود را از طریق فرم نظرات بیان نمایید.

لازم نیست دیگران بدانند وب سایت شما با وردپرس ایجاد شده و این که این وب سایت دارای چه نسخه‌ای می باشد. این اطلاعات فقط برای آگاهی خود شما است و اگر شخصی بخواهد مشکلی به وجود آورد حتما با دانستن این موارد می‌تواند آسیب جدی به هسته wordpress، افزونه‌ها و قالب وردپرس شما وارد کند.

تهدید امنیتی در وردپرس

جمع‌بندی

حملات سایبری هر روزه در حال رشدند و همه اینترنت را در برگرفته‌اند. فرقی نمی کند یک وب سایت کوچک یا بزرگ دارید؛ اگر کسی در کمین سایت شما باشد، می‌تواند سایتتان را از پای درآورد.

شما می‌توانید با اقدامات ساده‌ای که نام بردیم خیلی از مسئله ها را حل کنید و تهدید امنیتی در وردپرس را به حداقل برسانید.

شاید برای شما کاربران عزیز این سوال پیش آید که آیا با همین ۵ روش می‌توان امنیت وب سایت وردپرسی را تضمین کنیم؟

در پاسخ به این سوال می توان گفت که این ۵ روش موارد بنیادی موجود در wordpress هستند که پرداختن به آن‌ها اهمیت زیادی دارد؛ اما روش‌های دیگری برای قوی‌تر کردن امنیت وب سایت را به هیچ وجه نباید نادیده بگیریم و هر لحظه باید بررسی کرد.

4.7/5 - (3 امتیاز)
مطالب مرتبط
با گوشی موبایل چگونه وب سایت بسازیم؟
مطالعه :

روزبه‌روز به تعداد افرادی که با استفاده از دستگاه موبایل خود وب را مرور می‌کنند افزوده می‌شود، از این رو ساخت و طراحی کردن سایت‌هایی که برای مرورگرهای موبایل هستند نسبت به گذشته از اهمیت چندانی برخودار شده‌است. در این مقاله قصد داریم به شما عزیزان نحوه ساخت وب‌سایت با گوشی را آموزش بدهیم. ساخت وب سایت با اپلیکیشن با پیشرفت روزافزون تکنولوژی، اپلیکیشن‌های گوشی هوشمند نیز از این قافله عقب نمانده و یک قدم فراتر برداشته‌اند. آن‌ها این امکان را به افراد می‌دهند تا بتوانند از طریق گوشی و تبلت خود به ساخت و ویرایش یک وب‌سایت بپردازند. اگر شما به دنبال تبلیغات و ایجاد یک کسب‌وکار هستید، ساخت و داشتن یک وب‌سایت ضروری است. این امکانی است اپلیکیشن‌ها در اختیار کاربران گذاشته‌اند تا با استفاده از آن‌ها بتوانند به راحتی وب‌سایت مورد نظر خود را بسازند. برخی از این اپلیکشین‌ها عبارت‌اند از: ۱.اپلیکیشن Milkshake اگر در ساخت وب‌سایت عجله دارید، به شما استفاده از اپلیکیشن Milkshake را پیشنهاد می‌کنیم. این اپلیکشین یک وب‌سایت ساز فوری است که این امکان را به شما می‌دهد تا در چند دقیقه بتوانید یک وب‌سایت برای خودتان بسازید. برای ساخت وب‌‌سایت با گوشی با استفاده از این اپلیکیشن لازم است ابتدا یک طرح را انتخاب کنید، سپس اطلاعات خود را وارد نموده و در آخر لینک‌ها را پیوست نمایید. این اپلیکشین به دلیل […]

building-a-free-foreign-site
مطالعه :

ساخت سایت رایگان خارجی یکی از دغدغه‌های مهم افراد برای پیشبرد اهداف کاری است. در واقع ایجاد سایت توسط شرکت‌های معتبر، هزینه‌های زیادی در بر دارد، به همین دلیل است که افراد تلاش می‌کنند از طریق یادگیری نحوه ایجاد سایت به صورت رایگان و یا کمک گرقفتن از شرکت‌هایی که اقدام به ساخت سایت رایگان می‌کنند، این هزینه‌ها را برای خود به میزان قابل توجهی کاهش دهند. اما برای انجام این کار چه باید کرد؟ به طور کلی در فضای اینترنت آموزش‌های مختلفی برای این منظور ارائه شده است که مشاهده آن‌ها می‌تواند تا حد زیادی به شما برای این منظور کمک کند، اما راهنمایی گرفتن از شرکت‌های فعال طراحی سایت در این امر نیز یک مسئله ضروری است. در وهله اول لازم است که شما نوع سایتی را که می‌خواهید ایجاد کنید، انتخاب کنید. پس از آن یک قالب را به صورت سفارشی تعیین کنید و کار را آغاز کنید. برای ساخت سایت رایگان به چه چیزهایی نیاز است؟ ابتدا باید به دنبال یک سازنده سایت باشید، در واقع چنین شرکت‌هایی این امکان را به شما می‌دهند که پس از ساخت سایت، در فضای اینترنت جایگاه مناسبی برای خود به دست آورید. البته در هنگام تلاش برای کمک گرفتن از یک شرکت معتبر و باتجربه در این زمینه، حتما به چند نکته از جمله داشتن نمونه کار معتبر، داشتن […]

مزیت ساخت سایت در اصفهان برای کسب و کار‌ها
مطالعه :

طراحی وب‌سایت به ساخت، راه‌اندازی و دیزاین صفحات وب گفته می‌شود که در ادامه با مزیت ساخت سایت در اصفهان آشنا می شویم. وب‌سایت‌ها با استفاده از زبان کد‌نویسی طراحی می‌شوند. اما امروزه با پیشرفت فناوری، توانایی‌ها و ویژگی‌های برنامه‌های ساخت وب‌سایت‌ها افزایش یافته و کار را برای برنامه‌نویسان و طراحان وب آسان‌تر کرده است. با توسعه فناوری و استفاده روز افزون مردم از تکنولوژی‌های پیشرفته و همینطور تاثیر شیوع کرونا، باعث شد تا مردم نیاز‌های خود را به صورت آنلاین و حضوری برطرف کنند. همینطور اکثر شرکت‌ها و حتی فروشگاه‌ها کلیه خدمات خود را به صورت اینترنتی در اختیار کاربران و مشتریان خود قرار می‌دهند. از این رو وب‌سایت‌ها اهمیت بسیار زیادی دارند. وب‌سایت‌ها انواع مختلفی از جمله وب‌سایت‌های فروشگاهی، شرکتی، خدماتی و… دارند. طراحی یک وب‌سایت حرفه‌ای می‌تواند شما را در جذب مشتری در اصفهان و شهر‌های دیگر کمک کند، مشتریانی که هم می‌توانند توریست باشند و هم از افراد خود اصفهان. طراحی یک وب‌سایت به خدماتی بستگی دارد که افراد می‌توانند به مشتریان خود ارائه دهند. افراد با طراحی یک وب‌سایت می‌تواند محصولات و یا خدمات خود را به همه مردم ایران و یا حتی جهان معرفی کنند. این خدمات می‌تواند خدمات فروشگاهی و راهبردی باشند. از این رو انتخاب شرکتی که بهترین و به روزترین خدمات ساخته وب‌سایت در اصفهان برای طراحی انواع وب‌سایت‌های تجاری را […]

معرفی شبکه های اجتماعی محبوب
مطالعه :

دنیای امروزه دنیای ارتباطات می باشد واهمیت رسانه ها بیشتر از همیشه احساس می شود. شبکه های اجتماعی با هدف ارتباط گرفتن افراد به وجود آمد و امروزه برای تبلیغات کسب و کارها بسیار مهم تلقی می شود. درعصر ارتباطات اغلب کسب وکارها برای پیشرفت زمینه ی شغلی خود به سمت تبلیغات در شبکه های اجتماعی روی آورده اند.شبکه های اجتماعی محبوب در اطلاع رسانی برای خبرهای روزانه نقش بسیار مهمی را ایفا می کنند. با وب یار همراه باشید تا با بهترین شبکه های اجتماعی در ایران آشنا شویم. در جامعه ی امروزی شبکه های اجتماعی جزئی از زندگی مردم شده که برای تبلیغات ،اطلاع رسانی ها و آموزش و…از این شبکه ها بهره می برند.باتوجه به همگانی شدن شبکه های اجتماعی بین مردم لازم است که در مورد هر کدام از این شبکه ها اطلاعاتی کسب کنیم تا از جوامع امروز عقب نمانیم. تاریخچه مختصری در مورد شبکه های اجتماعی : ریشه شکل گرفتن مفهوم شبکه های اجتماعی در سال 1960در دانشگاه ایلی نویز در آمریکا بود.و بعد از روی کار آمدن مفهوم شبکه های اجتماعی در سال 1997سایتی تشکیل شد که اجازه ایجاد پروفایل به افرادمختلف را داد هدف این سایت جمع کردن لیستی از دوستان در کنار هم بود و بعد از آن هم شبکه های اجتماعی مختلفی با اهداف متنوع روی کار آمد. در سال […]

طراحی قالب وردپرس
مطالعه :

طراحی قالب وردپرس امروزه طرفداران زیادی پیدا کرده است. وردپرس یک سیستم مدیریت محتوای قوی است که می توان با آن قالب های زیبایی طراحی کرد. در مطلب امروز وب یار می خواهیم با نحوه طراحی قالب وردپرس آشنا شویم. بیشتر سایت های دنیای وب امروزی با این سیستم مدیریت طراحی می شودو بازار کار خوبی دارد به ویژه اگر این قالب مختص کسب وکار شما باشد و با توجه به نیاز ها و سلایق شما طراحی شده باشد در این صورت است که علاوه برتکراری نبودن پاسخگوی نیازهای مجموعه شما می باشد. بررسی انواع قالب سایت قالب سایت چیست؟ ابتدا بهتر است کمی به تاریخچه آن بپردازیم. در آغاز قرن جاری و در زمانی که اینترنت هنوز در ابتدای راه خود بود، صفحات سایت‌ها به شکل ساده‌ای طراحی می‌شدند که از چند متن ساده، چند باکس رنگارنگ و شاید یک یا دو تصویر تشکیل شده بودند. تنها افرادی که دارای صفحات وب بودند، کسانی بودند که تخصص فنی در اچ‌تی‌ام‌‌ال برای ساختن یک صفحه سایت را داشتند یا می‌توانستند هزینه انجام این کار را به افرادی که این کار را می‌کردند، پرداخت کنند. اما از آن زمان تاکنون تغییرات زیادی صورت گرفته است و اکنون پلتفرم‌های آنلاین زیادی وجود دارند که به افرادی که تجربه طراحی یا برنامه‌نویسی نسبتا کمی دارند، توانایی اجرای یک وب‌سایت کاملاً کارآمد را می‌دهند. […]

ساخت نرم افزار بدون کد نویسی
مطالعه :

ساخت نرم افزار بدون کد نویسی و با استفاده از کدنویسی انجام می‌شود. در این مقاله از وب یار قصد داریم تا به چگونگی ساخت نرم افزار تحت ویندوز بدون کد نویسی و مزایای آن نسبت به روش‌های قدیمی بپردازیم. با پیشرفت تکنولوژی بستر استفاده از موبایل‌ها و کامپیوترها گسترده‌تر شده است، زیرا روز به روز به تعداد کاربران آن‌ها افزوده میشود. اگر شما نیز ایده‌ای برای تولید نرم افزار و سرویس‌دهی در این بستر را دارید، بهتر است هر چه سریعتر دست به کار شوید و از این فضا که پتانسیل بالایی دارد برای کسب درآمد استفاده کنید. ساخت نرم افزار بدون کد نویسی چگونه ممکن است؟ این روزها دیگر نیاز نیست تا پروسه‌ی طولانی آموزش برنامه نویسی را طی کنید تا بتوانید به ساخت نرم افزارها بپردازید. در گذشته اگر قصد ساخت برنامه‌ای را داشتید باید ساعت‌ها زمان صرف می‌کردید تا با استفاده از کدها دستور العمل‌هایی را برای برنامه تعریف کنید تا عملکرد درستی داشته باشد. همچنین پس از تعریف آن دستور العمل‌ها باید مراحل آزمون و خطا را طی می‌کردید تا به اصطلاح برنامه‌ای که ساخته‌ای را باگ گیری (اشکال‌گیری) کنید. اما دیگر ساخت نرم افزار بدون کد نویسی یک رویا نیست! متخصصان نرم افزارهای زیادی را به عنوان ابزارهای کمکی طراحی کرده‌اند تا کاربران بتوانند بدون نوشتن حتی یک خط کد، نرم افزار ایده‌آل خود […]

دیدگاه ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.