امنیت وردپرس و مقابله با هک شدن

بسیاری از سایت‌های موجود در اینترنت با سیستم مدیریت محتوا وردپرس Wordpress راه اندازی شده اند. این سیستم رایگان بوده و امکانات بی‌نظیری دارد. امروزه حدود 35 درصد از کل سایت‌های دنیا با وردپرس راه‌اندازی شده اند. به همین جهت هکرهای زیادی در این مسیر به دنبال پیدا کردن سایت‌های ضعیف و سو استفاده از آن‌ها هستند. پس در این‌جا بحث امنیت وردپرس یک موضوع بسیار مهم برای مدیر سایت به شمار رفته و باید برای آن تدابیر مهمی بیندیشد.

ازسویی اگر سایت محبوب و پر بازدیدی دارید پس بیشتر و زودتر در خطر هک شدن قرار می‌گیرید. هک شدن سایت هم ضرر سنگین مادی مانند به سرقت رفتن اطلاعات هویتی و بانکی کاربران و هم ضرر معنوی مانند از دست دادن اعتماد کاربران و در نتیجه از دست دادن آن‌ها و … را به همراه دارد.

در این مقاله راه کارهای اصلی امنیت وردپرس توضیح داده شده که رعایت تمامی نکات این مقاله الزامی است !!!

 

امنیت وردپرس

امنیت وردپرس و مقابله با هک

به آمار زیر توجه نمایید…

۴۱% سایت‌های هک شده به علت وجود مشکلات امنیتی در میزبانی وب بوده است.

۲۹% سایت‌های هک شده به علت وجود باگ و مشکلات در کد نویسی قالب سایت بوده است.

۲۲% سایت‌های هک شده به علت وجود باگ و مشکلات کد نویسی در پلاگین‌های نصب شده بوده است.

۸% سایت‌های هک شده به علت استفاده مدیر و کاربران از کلمه عبور نامناسب و ضعیف بوده است.

۱- میزبانی وب :

همانطور که مشاهده می‌کنید نزدیک به نیمی از هک‌های سایت وردپرس به علت ضعیف بودن سرویس میزبانی وب است. پس مهم‌ترین نکته قبل از راه اندازی سایت توجه کردن به کیفیت سرویس میزبانی وب و انتخاب یک هاست مناسب است.

سرویس دهنده شما باید از نظر سخت افزاری و نرم افزاری همواره در حال به روزرسانی بوده و از کارشناسان امنیتی متخصص استفاده نماید. بنابراین اولین گام در تامین امنیت وردپرس از سرویس دهنده میزبانی وب شروع میشود.

۲- سطح دسترسی مناسب:

گام بعدی در افزایش امنیت وردپرس اختصاص دادن سطح دسترسی مناسب به فایل‌ها و پوشه‌ها است. سطح دسترسی مناسب موجب می‌شود هکرها نتوانند به فایلهای حساس  دسترسی داشته باشند و عملا کلیه درها به روی آنها بسته خواهد شد. سطح دسترسی مناسب در وردپرس به شکل زیر است:

  • دسترسی پوشه‌ها روی ۷۵۵ یا ۷۵۰ باشد.
  • دسترسی فایل‌ها روی ۶۴۴ یا ۶۴۰ باشد.
  • دسترسی فایل wp-config.php روی ۶۰۰ تنظیم شود (مقدار ۴۴۴ هم توصیه شده است)
  • دسترسی فایل htaccess. روی ۶۰۰ تنظیم شود (مقدار ۴۴۴ هم توصیه شده است)

     هرگز برای هیچ سایتی از دسترسی ۷۷۷ برای فایلها و پوشه ها استفاده نکنید.

۳- قالب‌ها و پلاگین‌ها :

بخش مهم بعدی در امنیت وردپرس استفاده از قالب‌ها و پلاگین‌های استاندارد است. بسیاری از سایت‌ها افزونه های پولی را به صورت قفل شکسته و رایگان برای دانلود قرار می‌دهند. هرگز نباید این نوع افزونه‌ها و قالب‌ها را روی سایت خود اجرا کنید. زیرا اکثرا دارای مشکلات شدید امنیتی هستند.

بیشتر افرادی که این فایل‌ها را نال (Null) می‌کنند (یعنی قفل آن را برداشته  و بصورت رایگان ارائه می‌کنند) به منظور سو استفاده، در کدهای آن برای خود یک درپشتی (Backdoor ) ایجاد می‌کنند. بنابراین وقتی شما آن فایل را روی سایت خود نصب و فعال کنید به راحتی می‌توانند از طریق همین کدهای مخرب وارد سایت شده و به اطلاعات شما دسترسی پیدا کنند.

     هرگز قالب و افزونه قفل شکسته روی سایت خود نصب نکنید چون اکثر آنها مشکلات امنیتی دارند و دارای کدهای مخربی هستند که در آینده هکرها می‌توانند از طریق همین کدها وارد سایت شما شوند.

۴ – نام کاربری و کلمه عبور

مرحله مهم بعدی در افزایش امنیت وردپرس انتخاب کردن نام کاربری و کلمه عبور سخت و غیر قابل هک است. برای مثال تعداد بسیار زیادی از سایت‌ها از نام کاربری admin برای مدیریت سایت استفاده می‌کنند که یک اشتباه بسیار بزرگ است.

در هنگام نصب وردپرس از یک نام کاربری متفاوت و طولانی استفاده کنید و برای کلمه عبور هم حتما ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای ویژه مانند: @#$%^&* استفاده نمایید.

برای امنیت بیشتر می‌توانید از قابلیت ورود ۲ مرحله ای نیز استفاده کنید. با این کار جلوی حملات Brute force نیز گرفته می‌شود.. برای استفاده از قابلیت ورود ۲ مرحله‌ای می‌توانید از افزونه‌های Duo Two-Factor Authentication، Google Authenticator استفاده کنید. با فعال کردن این افزونه‌ها بعد از ورود نام کاربری و کلمه عبور یک پیام به شماره یا اکانتی که خودتان مشخص کرده‌اید ارسال شده و با وارد کردن کد امنیتی از پیام دریافتی می‌توانید وارد قسمت مدیریت سایت شوید.

حملات بروت فروس نوع خاصی از حملات هک است که در آن بعد از تشخیص نام کاربری مدیر سایت سعی می‌کنند رمز عبور را با روش صحیح و خطا توسط نرم افزارهای خاصی بدست بیاورند. با فعال کردن قابلیت ورود ۲ مرحله‌ای حتی اگر شخصی رمز عبور شما را هم داشته باشد باز هم نمی‌تواند وارد قسمت مدیریت سایت بشود.

افزونه موثر بعدی در این زمینه Login LockDown است که با کمک آن شما می‌توانید مشخص کنید اگر یک کاربر برای مثال بیش از ۵ بار رمز ورود را اشتباه وارد کرد دیگر نتواند تا ۱ ساعت یا ۱ روز وارد سایت شود.

۵ – به روز رسانی هسته وردپرس و افزونه‌ها

دقت کنید هنگامی که زمان زیادی از به بازار آمدن یک افزونه یا یک نسخه از وردپرس میگذرد، هکرها فرصت پیدا می‌کنند تا تمامی کدهای آن را بررسی کرده و راه‌های نفوذ به سایت را پیدا کنند. پس برای افزایش امنیت وردپرس باید همیشه نسخه وردپرس و تمامی افزونه‌های خود را به روز رسانی کنید.

وقتی همواره به روزرسانی کنید، در واقع مسیرهای نفوذ برای هکرها بسته می‌ماند و تا وقتی که آنها بتوانند روشهای جدید هک را پیدا کنند، آپدیت بعدی از راه رسیده و مجددا راه‌های نفوذ به روی آن‌ها بسته می‌شود.

همانطور که در شکل زیر مشاده می‌کنید با کلیک روی Update Now (در نسخه فارسی دکمه بروز رسانی ) در کمتر از ۱ دقیقه نسخه وردپرس شما بروز رسانی شده و هیچ مشکلی هم برای سایت شما پیش نخواهد آمد.

 

وردپرس 1

اگر نسخه جدیدی از یک افزونه موجود باشد در قسمت مدیریت وردپرس و در نوار کنار زیر قسمت افزونه‌ها یک عدد به شما نمایش داده می‌شود. برای مثال عدد ۲ نشان می‌دهد برای دو افزونه‌ای که نصب کرده اید آپدیت جدیدی وجود دارد…

افزونه وردپرس

 

در نتیجه با رفتن به صفحه افزونه‌ها و کلیک روی متن “هم اکنون بروزرسانی کنید” ، در چند ثانیه افزونه شما آپدیت می‌گردد.

بروزرسانی افزونه

 

اگر از افزونه ای استفاده نمی‌کنید حتما آن را از روی سایت خود حذف کنید. تنها غیر فعال کردن آن کافی نیست.

با اضافه کردن کدهای زیر به انتهای فایل wp-config.php می‌توانید به وردپرس اجازه دهید تا هسته اصلی یا قالب‌ها و افزونه‌ها را بصورت خودکار و بدون پرسش از شما آپدیت کند.

 

کد زیر برای آپدیت خودکار هسته وردپرس :

# Enable all core updates, including minor and major:

define( 'WP_AUTO_UPDATE_CORE', true );

کد زیر برای آپدیت خودکار قالب ها :

add_filter( 'auto_update_theme', '__return_true' );

و کد زیر برای آپدیت خودکار افزونه ها :

add_filter( 'auto_update_plugin', '__return_true' );

۶ – قطع دسترسی به ویرایشگر :

اگر شما هم از قسمت ویرایشگر در پنل مدیریت وردپرس استفاده می‌کنید باید بدانید بخش ویرایشگر برای تمامی نویسندگان سایت هم در دسترس است و اگر شخصی بتواند به قسمت کاربری یکی از نویسندگان سایت نفوذ کند می‌تواند با استفاده از ویرایشگر، فایل‌های شما را دستکاری کرده و کل سایت را از کار بیاندازد.

کد زیر قسمت ویرایشگر را حذف می‌کند که باید در انتهای فایل wp-config اضافه شود :

define( 'DISALLOW_FILE_EDIT', true );

۷ – غیر فعال کردن گزارش خطا Error reporting :

یک بخش دیگر برای افزایش امنیت وردپرس غیر فعال کردن قابلیت گزارش خطا است. به طور پیش فرض اگر افزونه یا قالبی در سایت شما درست کار نکند پیغام خطایی برای شما نمایش داده شده و علت و مسیر خطای اتفاق افتاده را نشان می‌دهد.

این قابلیت کمک فراوانی به عیب یابی و رفع سریع مشکلات سایت می‌کند. اما هکرها می‌توانند با مشاهده همین پیام‌های خطا به مسیر فایل‌ها و بانک‌های اطلاعاتی سایت دسترسی پیدا کرده و راحت‌تر به سایت شما نفوذ پیدا کنند.

برای غیر فعال کردن این قابلیت کد زیر را به انتهای فایل wp-config اضافه کنید :

error_reporting(0);

@ini_set(‘display_errors’, ۰);

 

۸ – تنظیمات فایل .htaccess

این فایل در امنیت وردپرس نقش بسیار مهمی ایفا می‌کند. قرار دادن تنظیمات درست در آن می‌تواند تا حد بسیار زیادی مسیر هکرها را مسدود کند.

برای اینکه فایل wp-config که اصلی ترین فایل شماست و تمام اطلاعات سایت در آن قرار دارد را از دید هکرها مخفی کنید، کد زیر را به فایل .htaccess اضافه کنید:

<files wp-config.php>

order allow,deny

deny from all

</files>

همچنین کد زیر به هکر ها اجازه دیدن پوشه های روی هاست شما را نمیدهد:

Options All –Indexes

می‌توانید یک فایل .htaccess در پوشه wp-admin  قرار داده و کد زیر را به آن اضافه کنید. با کمک این فایل فقط با آی پی خودتان می‌توانید وارد قسمت مدیریت سایت شوید و هیچ شخصی  اجازه ورود به پنل را ندارد.

<Files wp-login.php>

order deny,allow

Deny from all

# allow access from my IP address

allow from 192.168.5.1

</Files>

بجای آی پی بالا باید آی پی سیستم خود را وارد کنید و برای بدست آوردن آی پی خودتان به سایت cmyip.com مراجعه کنید.

۹ – مخفی کردن نام نویسنده :

وقتی مطلبی در سایت منتشر می‌شود، در انتهای مقاله نام شما به عنوان نویسنده مطلب درج می‌شود. هکر ها به راحتی می‌توانند از همین طریق به نام کاربری مدیر سایت پی ببرند.

برای مثال در انتهای مقالات شما نوشته شده :

منتشر شده توسط admin در ۵:۳۵

و همین نکته بسیار کوچک به هکرها نشان می‌دهد که نام کاربری شما admin است. برای اینکه بتوانید نمایش نام کاربری نویسنده سایت را مخفی کنید باید کد زیر را در فایل functions.php اضافه کنید.

add_action(‘template_redirect’, ‘bwp_template_redirect’);

function bwp_template_redirect()

{

if (is_author())

{

wp_redirect( home_url() ); exit;

}

}

نکات مهم در امنیت وردپرس

  •  اگر تخصص کافی ندارید به هیچ عنوان فایلهای سیستمی مانند : wp-config.php , functions.php , .htaccess را ویرایش نکنید چون باعث از کار افتادن کلی سایت خواهد شد. توصیه اکید می‌شود یک نسخه بک آپ از این فایلها در دسترس داشته باشید تا  اگر بعد از انجام تغییرات، سایت از کار افتاد بتوانید به راحتی سایت خود را به شکل اول باز گردانید.
  •  جهت آسودگی خاطر بیشتر شما، در انتها یک افزونه معروف و بسیار کاربردی به نام i theme security معرفی میکنم که امنیت وردپرس شما را تامین خواهد کرد. برای دانلود این افزونه قدرتمند اینجا کلیک کنید یا در قسمت مدیریت وردپرس به قسمت افزودن پلاگین رفته و نام آن را جست و جو کنید

افزونه ithemes

همانطور که در تصویر زیر میبینید بعد از نصب و فعال سازی در قسمت مدیریت افزونه ،دسترسی‌های فایلها روی میزبانی شما نمایش داده شده و دسترسی مناسب با رنگ سبز و دسترسی های نامناسب به رنگ زرد یا قرمز نمایش داده می‌شوند. سریعا دسترسی‌ها را به مقدار پیشنهاد شده تغییر دهید.

دسترسی مناسب پوشه ها

برخی از قابلیت های این افزونه :

  1. پیشنهاد دسترسی‌های مناسب برای فایل‌ها و پوشه‌ها
  2. تغییر نام مدیر سایت از admin به نام دیگر
  3. تغییر صفحه ورود به قسمت مدیریت سایت از xxxx.com/wp-login/ به هر صفحه دلخواه برای مثال xxxx.com/panel
  4. عدم دسترسی بازدیدکنندگان به پوشه‌های سایت و عدم اجرای دستورات از طریق پوشه uploads
  5. قفل کردن کاربر بعد از چندبار ورود اشتباه اطلاعات ورود به سایت
  6. مسدود کردن یک آی پی خاص
  7. ارسال ایمیل به مدیر سایت بعد از بوجود آمدن تغییراتی در فایل‌های سایت و تغییر حجم آن‌ها

و ده‌ها امکان امنیتی دیگر  که به شما کمک می‌کند با کمترین دانش فنی نکات آموزش داده شده در این مقاله را روی سایت خود اجرا کنید و با افزایش امنیت وردپرس خود جلوی هر نوع نفوذ و خرابکاری را بگیرید.

فراموش نکنید که همیشه و در بازه های زمانی منظم از سایت خود نسخه پشتیبان تهیه کنید و آن را در جای امنی ذخیره کنید.تا اگر مشکلی برای سایت پیش آمد بتوانید در کمترین زمان ممکن سایت خود را مجدد فعال کنید.

امنیت سایت خود را با فراکارانت تامین کنید

سرورهای میزبانی وب فراکارانت با جدیدترین فایروالهای سخت افزاری و نرم افزاری روز دنیا کنترل می‌شوند. اطمینان داشته باشید که سایت شما به صورت کاملا امن میزبانی شده و در صورت بروز مشکل هم کارشناسان تیم پشتیبانی ما بصورت ۲۴ ساعته به کمک شما آمده و مشکل را حل کنند.

هم‌چنین متخصصان و کارشناسان مجموعه فراکارانت آماده خدمت‌رسانی جهت تامین امنیت سایت وردپرسی شما هستند. برای کسب اطلاعات بیشتر و مشاوره با ما تماس بگیرید.

 

صفر تا صد راه اندازی سایت و طراحی وب سایت

سوالاتی که باید از شرکت طراحی وب سایت بپرسید

7 نکته پیشرفته طراحی سایت

جهت آشنایی بیشتر با خدمات و محصولات فراکارانت مشاهده صفحات زیر توصیه شده است…
مقایسه پلان های هاست  
مقایسه پلان های طراحی سایت   
مقایسه پلان های پشتیبانی 
مقایسه پلان های بسته خدمات امنیت SSL 
نمونه کارهای طراحی سایت        

 

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

روابط عمومی 5 مرداد 1401


whatsapp

برای طراحی سایت نیاز به کمک دارید؟

closewhatsapp
onewhatsapp

سلام خوش آمدید!
برای ارائه خدمات بهتر در زمینه طراحی سایت و سئو مشاوران ما در واتس اپ در خدمت شما هستند.

فهرست