1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 5٫00 out of 5)
Loading...

بسیاری از سایتهای موجود در اینترنت با سیستم مدیریت محتوی وردپرس WordPress راه اندازی شده اند. که یک سیستم مدیریت محتوی رایگان با امکانات بینظیر است و به دلیل همین محبوبیت هکرهای زیادی هم به دنبال پیدا کردن سایتهای ضعیف و خرابکاری در آنها هستند.امنیت وردپرس یک نکته بسیار مهم برای مدیر سایت است که اگر به آن فکر نکنید دیر یا زود سایت شما هم شناسایی و هک میشود.

امنیت وردپرس خود را از فراکارانت بخواهید شما میتوانید با شماره ۰۲۱۲۳۰۸۷ از ما برایگان مشاوره بگیرید

اگر سایت محبوب و پر بازدیدی دارید پس بیشتر و زودتر در خطر هک شدن قرار میگیرید.هک شدن سایت شما هم میتواند ضرر های سنگین مادی برای شما داشته باشد.مانند : به سرقت رفتن اطلاعات هویتی و بانکی کاربران شما و هم ضررمعنوی مانند : عدم اعتماد کاربران به شما , ار دست دادن تعداد زیادی مخاطب و … در این مقاله راه کارهای اصلی برای امنیت وردپرس توضیح داده شده که رعایت تمامی نکات این مقاله الزامی است !!!

امنیت وردپرسامنیت وردپرس و مقابله با هک

ابتدا توجه شما را به آمار زیر جلب میکنم :

۴۱% سایتهای هک شده به علت وجود مشکلات امنیتی در میزبانی وب بوده است.

۲۹% سایتهای هک شده به علت وجود باگ و مشکلات در کد نویسی قالب سایت بوده است.

۲۲% سایتهای هک شده به علت وجود باگ و مشکلات کد نویسی در پلاگین های نصب شده بوده است.

۸% سایتهای هک شده به علت استفاده مدیر و کاربران از کلمه عبور نامناسب و ضعیف بوده است.

۱- میزبانی وب :

همانطور که مشاهده میکنید نزدیک به نیمی از هک های سایت وردپرس به علت ضعیف بودن سرویس میزبانی وب است.پس مهم ترین نکته قبل از راه اندازی سایت توجه کردن به کیفیت سرویس میزبانی و انتخاب یک هاست مناسب است. سرویس دهنده شما باید از نظر سخت افزاری و نرم افزاری آپدیت باشد و کارشناسان امنیتی داشته باشد که تمامی راه های نفوذ را به موقع مسدود کنند.

اولین گام در تامین امنیت وردپرس از سرویس دهنده میزبانی وب شروع میشود.

۲- سطح دسترسی مناسب:

گام بعدی در افزایش امنیت وردپرس اختصاص دادن سطح دسترسی مناسب به فایل ها و پوشه ها است. سطح دسترسی مناسب باعث میشود که هکرها نتوانند به فایلهای حساس شما دسترسی داشته باشند و عملا کلیه در ها به روی آنها بسته میشود. سطح دسترسی های مناسب در وردپرس به شکل زیر است :

  • دسترسی پوشه ها روی ۷۵۵ یا ۷۵۰ باشد
  • دسترسی فایلها روی ۶۴۴ یا ۶۴۰ باشد
  • دسترسی فایل wp-config.php روی ۶۰۰ تنظیم شود (مقدار ۴۴۴ هم توصیه شده است)
  • دسترسی فایل .htaccess روی ۶۰۰ تنظیم شود (مقدار ۴۴۴ هم توصیه شده است)

     هرگز برای هیچ سایتی از دسترسی ۷۷۷ برای فایلها و پوشه ها استفاده نکنید.

۳- قالب ها و پلاگین ها :

بخش مهم بعدی در امنیت وردپرس استفاده از قالب ها و پلاگین های استاندارد است. بسیاری از سایتها وجود دارند که افزونه های پولی را به صورت قفل شکسته و رایگان برای دانلود قرار میدهند که هرگز نباید این نوع افزونه ها و قالب ها را روی سایت خود اجرا کنید . چون اکثر آنها دارای اشکالات شدید امنیتی هستند.

بیشتر افرادی که این فایل ها نال Null میکنند (یعنی قفل آن را بر میدارند و آن را بصورت رایگان تبدیل میکنند) در کدهای آن برای خود یک درپشتی Backdoor قرار میدهند. که وقتی شما آن فایل را روی سایت خود نصب و فعال میکنید به راحتی میتوانند از طریق همین کدهای مخرب وارد سایت شما بشوند و به اطلاعات شما دسترسی پیدا کنند.

     هرگز قالب و افزونه قفل شکسته روی سایت خود نصب نکنید چون اکثر آنها مشکلات امنیتی دارند و دارای کدهای مخربی هستند که در آینده هکرها میتوانند از طریق همین کدها وارد سایت شما شوند.

۴ – نام کاربری و کلمه عبور

مرحله مهم بعدی در افزایش امنیت وردپرس انتخاب کردن نام کاربری و کلمه عبور سخت و غیر قابل هک است. برای مثال تعداد بسیار زیادی از سایتها از نام کاربری admin برای مدیریت سایت استفاده میکنند که این کار یک اشتباه بسیار بزرگ است. در هنگام نصب وردپرس یک نام کاربری متفاوت و طولانی استفاده کنید و برای کلمه عبور هم حتما ترکیبی از حروف بزرگ و کوچک , اعداد و کاراکترهای ویژه مانند : @#$%^&* استفاده کنید.

برای امنتیت بیشتر میتوانید از قابلیت ورود ۲ مرحله ای استفاده کنید با این کار جلوی حملات بروت فروس Brute force را هم میگیرید . برای استفاده از قابلیت ورود ۲ مرحله ای میتوانید از افزونه های Duo Two-Factor Authentication , Google Authenticator استفاده کنید. با فعال کردن این افزونه ها بعد از ورود نام کاربری و کلمه عبور یک sms به شماره ای که خودتان مشخص کرده اید ارسال میشود و با وارد کردن کد امنیتی از پیامک دریافتی میتوانید وارد قسمت مدیریت سایت شوید.

حملات بروت فروس نوع خاصی از حملات هک است که در آن بعد از تشخیص نام کاربری مدیر سایت سعی میکنند رمز عبور را با روش صحیح و خطا توسط نزم افزارهای خاصی بدست بیاورند که با فعال کردن قابلیت ورود ۲ مرحله ای حتی اگر شخصی رمز عبور شما را هم داشته باشد باز هم نمیتواند وارد قسمت مدیریت سایت بشود.

افزونه موثر بعدی در این ضمینه  Login LockDown است که با کمک آن شما میتوانند مشخص کنید اگر یک کاربر برای مثال بیش از ۵ بار رمز ورود را اشتباه وارد کرد دیگر نتواند تا ۱ ساعت یا ۱ روز وارد سایت شود.

 

استفاده از پلاگین های بالا نقش مهمی در افزایش امنیت وردپرس خواهد داشت.

۵ – آپدیت بودن هسته وردپرس و افزونه ها

دقت کنید وقتی زمان زیادی از به بازار آمدن یک افزونه یا یک نسخه از وردپرس میگذرد, هکرها فرصت دارند تا تمامی کدهای آن را بررسی کنند و راه های نفوذ به سایت را پیدا کنند. پس برای افزایش امنیت وردپرس باید همیشه نسخه وردپرس و تمامی افزونه های خود را به روز رسانی کنید. وقتی شما همیشه آپدیت باشید در واقع مسیرهای نفوذ برای هکرها بسته میماند و تا وقتی که آنها بتوانند روشهای جدید هک را پیدا کنند , آپدیت بعدی از راه میرسد و مجددا راه های نفوذ آنها بسته میشود.

همانطور که در شکل زیر میبینید با کلیک روی Update Now ( در نسخه فارسی دکمه بروز رسانی ) در کمتر از ۱ دقیقه نسخه وردپرس شما بروز رسانی میشود و همچ مشکلی هم برای سایت شما پیش نخواهد آمد.

آپدیت وردپرس

اگر نسخه جدیدی از یک افزونه موجود باشد در قسمت مدیریت وردپرس و در نوار کنار زیر قسمت افزونه ها یک عدد به شما نمایش داده میشود که اگر مثلا عدد ۲ باشد یعنی برای دو افزونه که نصب کرده اید آپدیت جدیدی وجود دارد (شکل زیر)

افزونه وردپرس

که با رفتن به صفحه افزونه ها و کلیک روی متن هم اکنون بروزرسانی کنید. در چند ثانیه افزونه شما آپدیت میشود.(شکل زیر)

بروزرسانی افزونه

نکته مهم : اگر از افزونه ای استفاده نمیکنید حتما آن را از روی سایت خود حذف کنید. تنها غیر فعال کردن آن کافی نیست.

با اضافه کردن کدهای زیر به انتهای فایل wp-config.php میتوانید به وردپرس اجازه دهید تا هسته اصلی یا قالب ها و افزونه ها بصورت خودکار و بدون پرسش از شما آپدیت کند.

کد زیر برای آپدیت خودکار هسته وردپرس :

# Enable all core updates, including minor and major:

define( 'WP_AUTO_UPDATE_CORE', true );

کد زیر برای آپدیت خودکار قالب ها :

add_filter( 'auto_update_theme', '__return_true' );

و کد زیر برای آپدیت خودکار افزونه ها :

add_filter( 'auto_update_plugin', '__return_true' );

 

۶ – قطع دسترسی به ویرایشگر :

اگر شما هم از قسمت ویرایشگر در پنل مدیریت وردپرس استفاده میکنید باید بدانید بخش ویرایشگر برای تمامی نویسندگان سایت هم در دسترس است و اگر شخصی بتواند به قسمت کاربری یکی از نویسندگان سایت شما نفوذ کند میتواند با استفاده از ویرایشگر فایلهای شما را دستکاری کرده و کل سایت شما را از کار بیاندازد.

کد زیر قسمت ویرایشگر را حذف میکند که باید در انتهای فایل wp-config اضافه شود :

define( 'DISALLOW_FILE_EDIT', true );

۷ – غیر فعال کردن گزارش خطا Error reporting :

یک بخش دیگر برای افزایش امنیت وردپرس غیر فعال کردن قابلیت گزارش خطا است. به طور پیش فرض اگر افزونه یا قالبی در سایت شما درست کار نکند پیغام خطایی برای شما نمایش داده میشود و علت و مسیر خطای اتفاق افتاده را نمایش میدهد.که این قابلیت به شما کمک فراوانی برای عیب یابی و رفع سریع مشکلات سایت میکند. اما هکر ها میتوانند با مشاهده همین پیام های خطا به مسیر فایلها و بانکهای اطلاعاتی سایت شما دسترسی پیدا کنند و راحت تر میتوانند به سایت شما نفوذ کنند.

برای غیر فعال کردن این قابلیت کد زیر را به انتهای فایل wp-config اضافه کنید :

error_reporting(0);

@ini_set(‘display_errors’, ۰);

 

۸ – تنظیمات فایل .htaccess

این فایل که در امنیت وردپرس نقش بسیار مهمی ایفا میکند و قرار دادن تنظیمات درست در آن میتواند تا حد بسیار زیادی مسیر هکرها را مسدود کند.

برای اینکه فایل wp-config که اصلی ترین فایل شماست و تمام اطلاعات سایت شما در آن قرار دارد را از دید هکرها مخفی کنید کد زیر را به فایل .htaccess اضافه کنید :

<files wp-config.php>

order allow,deny

deny from all

</files>

همچنین کد زیر به هکر ها اجازه دیدن پوشه های روی هاست شما را نمیدهد :

Options All –Indexes

میتواند یک فایل .htaccess در پوشه wp-admin  قرار دهید و کد زیر را به آن اضافه کنید . با کمک این فایل فقط شما با آی پی خودتان میتوانید وارد قسمت مدیریت سایت شوید و هیچ شخصی نمیتواند وارد پنل شود.

<Files wp-login.php>

order deny,allow

Deny from all

# allow access from my IP address

allow from 192.168.5.1

</Files>

بجای آی پی بالا باید آی پی سیستم خود را وارد کنید و برای بدست آوردن ای پی خودتان به سایت cmyip.com مراجعه کنید.

دقت کنید فقط آی پی که در این کد قرار میدهید میتواند وارد پنل مدیریت شود و هیچ کامپیوتر دیگری دسترسی به این قسمت نخواهد داشت . حتی خود شما اگر میخواهید از محل دیگری به پنل مدیریت دسترسی پیدا کنید.

۹ – مخفی کردن نام نویسنده :

وقتی شما مطلبی در سایت منتشر میکنید در انتهای مقاله نام شما به عنوان نویسنده مطلب درج میشود و هکر ها به راحتی میتوانند از همین طریق به نام کاربری مدیر سایت پی ببرند.

برای مثال در انتهای مقالات شما نوشته شده :

منتشر شده توسط admin در ۵:۳۵

و همین نکته بسیار کوچک به هکرها نشان میدهد که نام کاربری شما admin است. برای اینکه بتوانید نمایش نام کاربری نویسنده سایت را مخفی کنید باید کد زیر را در فایل functions.php اضافه کنید.

add_action(‘template_redirect’, ‘bwp_template_redirect’);

function bwp_template_redirect()

{

if (is_author())

{

wp_redirect( home_url() ); exit;

}

}

 

نکته بسیار مهم : اگر تخصص کافی ندارید به هیچ عنوان فایلهای سیستمی مانند : wp-config.php , functions.php , .htaccess را ویرایش نکنید چون باعث از کار افتادن کلی سایت شما خواهد شد. و حتما یک نسخه بک آپ از این فایلها در دسترس داشته باشید که اگر بعد از انجام تغییرات سایت شما از کار افتاد بتوانید به راحتی سایت خود را به شکل اول باز گردانید.

برای راحتی کار شما در انتها یک افزونه معروف و بسیار کاربردی به نام i theme security معرفی میکنم که میتواند امنیت وردپرس شما را تامین کند برای دانلود این افزونه قدرتمند اینجا کلیک کنید یا در قسمت مدیریت وردپرس به قسمت افزودن پلاگین بروید و نام آن را جست و جو کنید

افزونه ithemes

همانطور که در تصویر زیر میبینید بعد از نصب و فعال سازی آن در قسمت مدیریت افزونه دسترسی های فایلها روی میزبانی شما نمایش داده شده و دسترسی مناسب با رنگ سبز و دسترسی های نامناسب به رنگ زرد یا قرمز نمایش داده میشوند. که باید سریعا دسترسی ها را به مقدار پیشنهاد شده تغییر دهید.

دسترسی مناسب پوشه ها

برخی از قابلیت های این افزونه :

  1. پیشنهاد دسترسی های مناسب برای فایل ها و پوشه ها
  2. تغییر نام مدیر سایت از admin به نام دیگر
  3. تغییر صفحه ورود به قسمت مدیریت سایت از xxxx.com/wp-login/ به هر صفحه دلخواه شما برای مثال xxxx.com/panel
  4. عدم دسترسی بازدیدکنندگان به پوشه های سایت و عدم اجرای دستورات از طریق پوشه uploads
  5. قفل کردن کاربر بعد از چندبار ورود اشتباه اطلاعات ورود به سایت
  6. مسدود کردن یک آی پی خاص
  7. ارسال ایمیل به مدیر سایت بعد از بوجود آمدن تغییراتی در فایلهای سایت و تغییر حجم آنها

و ده ها امکان امنیتی دیگر به شما کمک میکند با کمترین دانش فنی نکات آموزش داده شده در این مقاله را روی سایت خود اجرا کنید و با افزایش امنیت وردپرس خود جلوی هر نوع نفوذ و خرابکاری را بگیرید.

فراموش نکنید که همیشه و در بازه های زمانی منظم از سایت خود نسخه پشتیبان تهیه کنید و آن را در جای امنی ذخیره کنید.تا اگر مشکلی برای سایت پیش آمد بتوانید در کمترین زمان ممکن سایت خود را مجدد فعال کنید.

سرورهای میزبانی وب فراکارانت با جدیدترین فایروالهای سخت افزاری و نرم افزاری روز دنیا کنترل میشوند و اطمینان داشته باشید که سایتهای شما به صورت کاملا امن میزبانی میشوند و در صورت بروز مشکل هم کارشناسان تیم پشتیبانی ما بصورت ۲۴ ساعته میتوانند به کمک شما آمده و مشکل را حل کنند.