preloader
راهنمای-امنیتی-وردپرس

راهنمای امنیتی وردپرس

فهرست مطالب

این که وب‌سایت از امنیت بالایی برخوردار باشد همیشه اولویت اصلی تمامی مدیران کسب و کار فضاهای مجازی و در اصل مدیران وب‌سایت همیشه دغدغه این را داشتند که امنیت سات‌هایشان امنیت لازم را داشته باشند.
در این قسمت از مقاله وردپرس، یک سری نکات امنیتی وردپرس را برای سایت‌های وردپرسی معرفی کنیم.

1. مدیر وردپرس را قفل کنید.

اگر پیدا کردن برخی از backdoor ها برای هکرها دشوارتر باشد، احتمال حمله کمتری وجود دارد. قفل کردن قسمت مدیریت وردپرس و ورود به سیستم راه خوبی برای تقویت امنیت است. ما دو روش عالی برای این کار به شما معرفی می‌کنیم،

1.تغییر URL ورود به سیستم پیش فرض wp admin

2.محدود کردن تلاش برای ورود به سیستم.

چگونه URL ورود به سیستم وردپرس خود را تغییر دهیم؟

به طور پیش فرض URL ورود به سایت وردپرس شما domain.com/wp admin است. یکی از مشکلات این مسئله این است که همه ربات‌ها، هکرها و اسکریپت‌های موجود در آنجا نیز این موضوع را می‌دانند. با تغییر URL می‌توانید خود را کمتر مورد هدف قرار داده و از خود در برابر حملات هکرها محافظت کنید. این یک راه حل ثابت نیست که همیشه جوابگو باشد، بلکه فقط یک ترفند کوچک است که قطعاً می‌تواند به محافظت از شما کمک کند.

برای تغییر URL ورود به وردپرس، توصیه می‌کنیم از افزونه WPS Hide login رایگان یا پلاگین Perfmatters برتر استفاده کنید. هر دو پلاگین یک قسمت ورودی ساده دارند. فقط به یاد داشته باشید که یک چیز منحصر به فرد را انتخاب کنید که قبلاً در لیست نباشد که یک ربات یا اسکریپت بخواهد آن را اسکن کند.

چگونه می توان تلاش‌های ورود را محدود کرد؟

در حالی که راه حل فوق برای تغییر URL ورود به سیستم مدیر شما می‌تواند یکی از راهکارهای امنیتی وردپرس باشد و به کاهش اکثر تلاش‌های ورود نامناسب کمک کند و برای ایجاد محدودیت نیز می‌تواند بسیار موثر باشد. افزونه Cerber Limit Login Attans رایگان راهی عالی برای راه اندازی آسان مدت قفل کردن، تلاش برای ورود به سیستم و لیست‌های سفید و لیست‌های سیاه IP است.

اگر به دنبال یک راه حل امنیتی ساده‌تر وردپرس هستید، یک گزینه عالی دیگر پلاگین Login Lockdown رایگان است. ورود به سیستم LockDown آدرس IP و  زمان هر تلاش ورود ناموفق را ثبت می‌کند.

اگر بیش از تعداد مشخصی تلاش در یک بازه زمانی کوتاه از همان محدوده IP شناسایی شود، عملکرد ورود برای همه درخواست‌های آن محدوده غیرفعال می‌شود.

نحوه افزودن احراز هویت پایه(HTTPحفاظت از htpasswd.)

راه دیگر برای قفل کردن مدیر شما افزودن تأیید اعتبار HTTP که یکی از راهکارهای امنیتی وردپرس است و می‌توان از آن برای سایت استفاده کرد. قبل از اینکه حتی به صفحه ورود وردپرس دسترسی پیدا کنید، به یک نام کاربری و رمز عبور احتیاج دارید. توجه داشته باشید این به طور کلی نباید در سایت‌های تجارت الکترونیک یا سایت‌هایی که عضویتی هستند استفاده شود. اما این روش می‌تواند یک روش بسیار موثر برای جلوگیری از ضربه ربات‌ها به سایت شما باشد.

Apache

اگر از هاست cPanel استفاده می‌کنید، برای برقراری امنیتی وردپرسی خود می‌توانید دایرکتوری‌های محافظت شده با رمز عبور را از صفحه کنترل آن‌ها فعال کنید. برای تنظیم دستی آن، ابتدا باید یک فایل  .htpasswd  ایجاد کنید. سپس پرونده را در فهرست زیر پوشه  wp admin خود بارگذاری کنید، مانند:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

سپس یک فایل .htaccess با کد زیر ایجاد کنید و آن را در دایرکتوری / wp admin / خود بارگذاری کنید. حتما مسیر دایرکتوری و نام کاربری را به روز کنید.

AuthName “Admins Only”AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswdAuthType basicrequire user yourusername

نکته مهم در انجام این کار، این است که باعث شکست(admin AJAX) در قسمت جلوی سایت شما خواهد شد. در این مورد شما به یک پلاگین سوم نیز نیاز دارید. بنابراین شما همچنین باید کد زیر را به پرونده .htaccess فوق اضافه کنید.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

اگر از Nginx استفاده می‌کنید، می‌توانید دسترسی را با احراز هویت اولیه HTTP محدود کنید.

قفل کردن مسیر URL

اگر از فایروال برنامه وب (WAF) مانند Cloudflare یا Sucuri استفاده می‌کنید، این ابزارها نیز، راه‌هایی برای قفل کردن مسیر URL دارند. اساساً می‌توانید یک قانون تنظیم کنید تا فقط آدرس IP شما بتواند به URL ورود مدیر وردپرس شما دسترسی پیدا کند. باز هم، این روش به طور کلی نباید در سایت‌های تجارت الکترونیک یا سایت‌های عضویتی استفاده شود.

  • Cloudflare دارای ویژگی URL قفل شده در حساب‌های Pro و بالاتر است. می‌توانید برای هر URL یا مسیری قانونی تنظیم کنید.
  • Sucuri دارای ویژگی مسیر URL در لیست سیاه است. سپس می‌توانید IP خود را در لیست سفید قرار دهید.

2. از احراز هویت دو عاملی استفاده کنید.

البته، تأیید اعتبار دو عاملی را نمی‌توان برای حفظ امنیتی وردپرس خود فراموش کرد. مهم نیست که گذرواژه شما چقدر ایمن باشد، همیشه خطر این که کسی بتواند این گذروازه را پیدا کند وجود دارد. احراز هویت دو عاملی شامل یک فرایند دو مرحله‌ای است که در آن برای ورود به سیستم نه تنها به رمز ورود خود در برقراری امنیتی وردپرسنیاز است بلکه به روش دوم نیز نیاز دارید.
این به طور کلی یک متن (پیام کوتاه)، تماس تلفنی یا رمز عبور یکبار مصرف مبتنی بر زمان است (TOTP). 

در بیشتر موارد، این روش 100٪ از هک شدن سایت وردپرسی شما جلوگیری می‌کند و بسیار موثر است. چرا؟ زیرا تقریبا غیرممکن است که یک هکر هم رمز شما و هم تلفن همراه شما را داشته باشد.

در مورد تأیید اعتبار دو عاملی، دو قسمت وجود دارد. اولین حساب و داشبوردی است که از طریق میزبان وب خود دارید. اگر کسی به این مورد دسترسی پیدا کند می‌تواند گذرواژه‌های شما را تغییر دهد، تمامی وب‌سایت‌های شما را حذف کند، سوابق DNS را تغییر دهد و کلی کارهای وحشتناک دیگر نیز انجام دهد.

قسمت دوم احراز هویت دو عاملی مربوط به نصب واقعی وردپرس شماست. برای این کار چند پلاگین پیشنهاد می‌کنیم:

بنابراین اطمینان حاصل کنید که از احراز هویت دو عامل بهره‌مند می‌شوید، این می‌تواند راهی آسان برای تقویت امنیت وردپرس شما باشد.

3. از HTTPS برای اتصالات رمزگذاری شده - گواهی SSL استفاده کنید.

یکی از راه‌هایی که نمیشه برای امنیتی وردپرس خوب نادیده گرفته می‌شود و برای تقویت امنیت وردپرس شما نقش حیاتی دارد، نصب گواهی SSL و اجرای سایت خود از طریق HTTPS است. HTTPS (Hyper Text Transfer Protocol Secure)  مکانیسمی است که به مرورگر یا برنامه وب شما اجازه می‌دهد تا به طور ایمن با یک وب‌سایت ارتباط برقرار کند.

اهمیت-SSL-در-راهکارهای-امنیتی-وردپرس

یک تصور غلط  این است که اگر سایت تجارت الکترونیک ندارید و کارت اعتباری قبول نمی‌کنید که به SSL نیازی ندارید.

بگذارید چند دلیل بیاوریم که چرا گواهینامه SSL از اهمیت خاصی برخوردار است:

1. امنیت:

البته، بزرگترین دلیل HTTPS امنیت بیشتر است و بله این امر به شدت مربوط به سایت‌های تجارت الکترونیک است. با این حال، اطلاعات ورود شما چقدر مهم است؟ برای کسانی که از وب‌سایت‌های چند نویسنده وردپرس استفاده می‌کنید، اگر از HTTP  استفاده می‌کنید، هر بار که شخصی وارد سیستم می‌شود، این اطلاعات با متن ساده به سرور منتقل می‌شود.

HTTPS برای حفظ ارتباط ایمن بین یک وب‌سایت و یک مرورگر کاملاً حیاتی است. به این ترتیب بهتر می‌توانید از دسترسی هکرها و یا افراد میانی به وب‌سایت خود جلوگیری کنید.

بنابراین خواه یک وبلاگ، سایت خبری، آژانس و غیره داشته باشید، همه آن‌ها می‌توانند از HTTPS بهره مند شوند زیرا این امر باعث می‌شود هیچ چیز در متن ساده منتقل نشود.

2. SEO:

گوگل رسما گفته است که HTTPS یک عامل رتبه بندی است. در حالی که این فقط یک عامل رتبه بندی کوچک است، اما احتمالاً اکثر شما از هر مزیتی که می‌توانید در SERP  بدست آورید برای غلبه بر رقبا استفاده می‌کنید.

3. اعتماد و اعتبار:

طبق نظرسنجی از GlobalSign، 28.9٪ از بازدید کنندگان به دنبال نوار آدرس سبز در مرورگر خود هستند. و 77٪ از آن‌ها نگران رهگیری یا سو استفاده آنلاین از داده‌های خود هستند. با دیدن آن قفل سبز، مشتریان فوراً با اطمینان از امنیت بیشتر اطلاعاتشان، آرامش بیشتری خواهند داشت.

4. هشدارهای کروم:

از 24 جولای 2018، نسخه‌های Chrome 68 و بالاتر همه سایت‌های غیر HTTPS را به عنوان “امن نیست” علامت گذاری کردند. صرف نظر از اینکه آن‌ها داده جمع می‌کنند یا نه. به همین دلیل HTTPS بیش از هر زمان دیگری مهم و برای حفظ امنیتی وردپرس قابل استفاده است.

این مورد به ویژه در صورتی مهم است که وب‌سایت شما بیشترین بازدید خود را از Chrome دریافت کند.

هشدار-گوگل-درباره-امن-نبودن-وب-سایت

4. پرونده wp config.php خود را ایمن کنید.

پرونده wp config.php شما مانند قلب و روح نصب وردپرس شماست. وقتی صحبت از امنیت وردپرس است، مهمترین پرونده در سایت شما wp confing.php است. این شامل اطلاعات ورود به سیستم پایگاه داده و کلیدهای امنیتی است که رمزگذاری اطلاعات، در کوکی‌ها را کنترل می‌کند. در زیر چند نکته برایتان معرفی کردیم که می‌توانید برای محافظت بهتر از این پرونده مهم انجام دهید.

1. انتقال wp config.php

به طور پیش فرض، پرونده wp config.php شما در دایرکتوری نصب وردپرس شما قرار دارد (POBLIC.HTML). اما می‌توانید این را به یک دایرکتوری غیر قابل دسترسی www منتقل کنید.

برای انتقال پرونده wp config.php به سادگی همه موارد موجود در آن را در یک پرونده متفاوت کپی کنید. سپس در پرونده wp config.php می‌توانید قطعه زیر را قرار دهید تا پرونده دیگر خود را به سادگی وارد کنید. توجه داشته باشید که ممکن است مسیر فهرست بر اساس میزبان وب و تنظیمات شما متفاوت باشد.

php?>

;include(‘/home/yourname/wp-config.php’)

2. کلیدهای امنیتی وردپرس را به روز کنید.

کلیدهای امنیتی وردپرس مجموعه‌ای از متغیرهای تصادفی است که رمزگذاری اطلاعات ذخیره شده در کوکی‌های کاربر را بهبود می‌بخشد. از زمان وردپرس 2.7، 4 کلید مختلف وجود دارد: AUTH_KEY، SECURE_AUTH_KEY، LOGGED_IN_KEY و NONCE_KEY. که می‌توانید از آن‌ها استفاده کنید.

هنگام نصب وردپرس، این موارد بصورت تصادفی برای شما ایجاد می‌شوند. با این حال، اگر این کارها را انجام داده‌اید (لیست بهترین پلاگین‌های انتقال WordPress را بررسی کنید.) 

وردپرس در واقع یک ابزار رایگان دارد که می‌توانید برای تولید کلیدهای تصادفی از آن استفاده کنید. می‌توانید کلیدهای فعلی خود را که در پرونده wp config.php ذخیره شده‌اند، به روز کنید.

5. XML RPC را غیرفعال کنید.

در سال‌های گذشته XML RPC به طور چشمگیری هدف بزرگ برای حملات هکرها شده بود. همانطور که Sucuri اشاره کرد، یکی از ویژگی‌های پنهان XML RPC این است که می توانید از روش system.multicall برای اجرای چندین روش در داخل یک درخواست استفاده کنید.

این روش بسیار مفید است زیرا به برنامه اجازه می‌دهد تا چندین دستور را در یک درخواست HTTP منتقل کند. اما آنچه نیز اتفاق می افتد این است که برای قصد سوicious  استفاده می‌شود.

چند افزونه وردپرس مانند Jetpack وجود دارد که به XML RPC تکیه می‌کنند، اما اکثر افراد در نیازی به این مورد ندارند و غیرفعال کردن دسترسی به آن می‌تواند مفید باشد.

6. نسخه وردپرس خود را مخفی کنید.

پنهان کردن نسخه وردپرس خود، می‌تواند نقطه امنی برای جلوگیری از هک شدن سایت وردپرسی شما باشد. هرچه افراد دیگر در مورد پیکربندی سایت وردپرس شما اطلاعات کمتری داشته باشند، بهتر است. اگر آن‌ها ببینند که نصب وردپرس شما به روز نشده است، این می‌تواند نشانه خوش آمدگویی به هکرهای محترم باشد.

باز هم، ما توصیه می کنیم به سادگی اطمینان حاصل کنید که نصب وردپرس شما همیشه به روز است تا نگران این موضوع نباشید.

نکته:
اگر ویرایش کد منبع به درستی انجام نشود، این موضوع می‌تواند سایت شما را خراب کند. اگر از انجام این کار مطمئن نیستید و اطلاعات کافی ندارید، لطفاً ابتدا با یک توسعه دهنده تماس بگیرید.

اگر از وردپرس 5.0 یا بالاتر استفاده می‌کنید، این روش دیگر قابل استفاده نیست زیرا شماره نسخه وردپرس شما دیگر در پرونده موجود نیست.

دیگر مقالات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اشتراک گذاری در linkedin
اشتراک گذاری در whatsapp
اشتراک گذاری در telegram
اشتراک گذاری در email
سایدبار
برای دیدن نوشته هایی که می خواهید، شروع به تایپ کنید.