امروزه افراد بسیاری از پلتفرم وردپرس برای ایجاد سایت خود استفاده میکنند از این رو افزایش امنیت سایت وردپرسی نیز از مهمترین دغدغههای افراد به حساب میآید. سیستم مدیریت محتوای وردپرس از قویترین و کاربردیترین پلتفرمهایی است که ساخت سایت را برای افراد در هر سطح فنی آسان میکند. از آنجایی که سیستم مدیریت محتوای وردپرس، پلتفرمی متن باز بوده و دسترسی به هسته آن برای همه آزاد است، امکان هک شدن سایت وردپرسی وجود دارد.
البته راههای بسیاری برای ایمن کردن سایت وردپرسی وجود دارد و مهمترین آنها پیش از بررسی امنیت پلتفرم سایت خود، خرید هاست وردپرس ایمن است. در ادامه به بررسی مواردی که موجب کاهش امنیت سایت وردپرسی شده و همچنین راهکارهای افزایش امنیت سایت وردپرسی خواهیم پرداخت.
در ابتدا، پیش از آغاز آموزش بالا بردن امنیت سایت وردپرسی، مشکلاتی را که باعث کاهش امنیت سایت وردپرسی میشوند بررسی میکنیم.
فهرست مطالب
- 1- حملات بروت فورس (Brute Force) برای لاگین به وردپرس
- ۲- حمله تزریق کد (Cross-site Scripting) (XSS)
- 3- حمله تزریق به دیتابیس (Database Injection)
- ۴- حملات Backdoors
- ۵- حملات دیداس (DDoS)
- ۶- فیشینگ (Phishing)
- ۷- هات لینکینگ (Hotlinking)
- 1- مراحل لاگین به سایت و اکانت را ایمن کنید.
- ۲- هاست وردپرس ایمن تهیه کنید.
- 3 – نسخه وردپرس خود را بروزرسانی کنید.
- ۴- نسخه PHP را به جدیدترین نسخهی آن بروزرسانی کنید.
- ۵- از نصب پلاگینهای غیر ضروری خودداری کنید.
- ۶- پوسته یا تم وردپرس را از سایت معتبر و ایمن خریداری کنید.
- ۷- گواهینامه SSL نصب کنید.
- ۸- فایروال نصب کنید.
- ۹- از سایت خود نسخه بکاپ تهیه کنید.
- ۱۰- بصورت منظم، سایت وردپرسی خود را اسکن کنید.
- ۱۱- جلوگیری از ورود کاراکترهای خاص به فرمهای وبسایت
- ۱۲- دسترسی کاربران را به پنل سایت وردپرسی خود محدود کنید.
- ۱۳- از مانیتورینگ اختصاصی سایت وردپرسی استفاده کنید.
- ۱۴- از فعالیت کاربران وردپرس خود گزارش تهیه کنید.
- ۱۵- آدرس پیشفرض لاگین به وردپرس را تغییر دهید.
- ۱۶- امکان ویرایش فایل را از طریق داشبورد وردپرس غیرفعال کنید.
- ۱۷- پیشوند فایل دیتابیس خود را تغییر دهید.
- ۱۸- فایل xmlrpc.php را غیرفعال کنید.
- ۱۹- اکانت ادمین پیشفرض وردپرس را حذف کنید.
- ۲۱- ایمنسازی فایلهای wp-config، htaccess و robot.txt
۷ مورد از مهمترین مشکلات امنیتی سایت وردپرسی
1- حملات بروت فورس (Brute Force) برای لاگین به وردپرس
حملات بروت فورس (Brute Force) این یکی از سادهترین حملاتی است که نسبت به سایت وردپرسی انجام میشود. در حملات بروت فورس، هکرها نام کاربری و پسوردهای بسیاری را برای لاگین به وردپرس با سرعت بسیار بالایی تست میکنند تا به اطلاعات لاگین صحیح دست یابد. البته این حملات میتوانند هر اطلاعاتی را که با پسورد ایمن شده باشد مورد تهدید قرار دهد.
۲- حمله تزریق کد (Cross-site Scripting) (XSS)
حملات تزریق کد یا Cross-site Scripting زمانی رخ میدهد که هکرها اقدام به تزریق کدهای مخرب در فایلهای بک اند سایت مقصد کنند. این حمله باعث بروز اختلال در عملکرد سایت میشود. این کدهای مخرب میتوانند به راحتی از طریق فرمهای تماس موجود در سایت به فایلهای سایت تزریق شوند.
3- حمله تزریق به دیتابیس (Database Injection)
حمله database injection که به نام SQL injection نیز مشهور است زمانی رخ میدهد که هکر یک سری زنجیره از کدهای مخرب را از طریق فیلدهایی مثل فرم تماس به یک وبسایت وارد کند. در نتیجهی این عملیات، وبسایت کدها را در دیتابیسهای خود ذخیره میکند. این حمله نیز همانند حمله XSS، موجب به خطر انداختن عملکرد سایت و اطلاعات موجود در دیتابیس میشود.
۴- حملات Backdoors
حملات بک دور (Backdoors) از طریق یک فایل شامل کدهای مخرب صورت میگیرد و به هکرها این امکان را میدهد تا صفحه لاگین استاندارد وردپرس را دور بزنند و هر زمان که بخواهند میتوانند به محتوای سایت وردپرسی دسترسی داشته باشند. همانطور که از نام این حمله مشخص است، هکر از دری دیگر اقدام به ورود به سایت مورد نظر میکند.
۵- حملات دیداس (DDoS)
حملات دیداس (DDoS)، از دسترسی کاربران به وبسایت خودشان جلوگیری میکند. این نوع حملات در اکثر اوقات با اورلود کردن یک سرور با افزایش ترافیک ناگهانی باعث از دسترس خارج شدن سایت میشوند. در این شرایط، کاربران سایت وردپرسی نه به سایت خود و نه به داشبورد وردپرس دسترسی نخواهند داشت.
۶- فیشینگ (Phishing)
زمانی که یک هکر با اقدامات خرابکارانه، خود را به عنوان شرکت یا سرویسدهندهای قانونی معرفی میکند، در واقع عمل فیشینگ را انجام داده است. هکر در یک عملیات فیشینگ، شخص مورد هدف را تشویق به ارائه اطلاعات شخصی، دانلود بدافزار یا بازدید از یک سایت خطرناک میکند.
اگر هکرها به اکانت وردپرس شما دسترسی بیایند، میتوانند به نام شما از مشتریانتان اخاذی کنند.
۷- هات لینکینگ (Hotlinking)
عملیات هات لینکینگ زمانی رخ میدهد که وب سایتی دیگر، از پهنای باند شما برای دانلود محتوا از وبسایت خود استفاده کند. در واقع لینک دانلود محتوا مثلا تصاویر یا ویدیوی شخصی دیگر، بدون اجازه از شما در سایت وردپرسی شما قرار میگیرد تا کاربران سایت مقابل، فایلهای مورد نظر خود را با استفاده از پهنای باند شما دانلود کنند. از این رو، ترافیک سایت شما بالا رفته و ممکن است با افزایش لود ناگهانی مواجه شوید. این مشکل معمولا از طریق پلاگینها، نسخههای قدیمی وردپرس، صفحه لاگین و تمها پیش میآید.
اکنون که با مهمترین تهدیدات سایتهای وردپرسی آشنا شدیم، به بررسی راههای بالا بردن امنیت سایت وردپرسی میپردازیم. در نظر داشته باشید با خرید هاست وردپرس ایمن، مشکلات مرتبط با زیرساخت سایت وردپرسی شما برطرف شده و تنها نیاز است موارد امنیتی مورد نیاز مرتبط با پلتفرم سایت خود را انجام دهید. در واقع، ما میتوانیم با رفع مشکلات امنیتی سایت خود، به چند برابر شدن امنیت آن کمک کنیم.
۲۱ ترفند افزایش امنیت سایت وردپرسی
1- مراحل لاگین به سایت و اکانت را ایمن کنید.
افزایش سطح امنیت مراحل لاگین به سایت یکی از روشهای افزایش امنیت سایت وردپرسی بوده که شامل چند مورد زیر میشود:
● از رمز عبور قوی استفاده کنید.
استفاده از رمز عبور آسان و قابل حدس باعث میشود که هکرها به راحتی بتوانند طی فرآیندی رمز شما را بیابند و به اطلاعات شما دسترسی پیدا کنند. از آنجایی که بسیاری از افراد هنوز پسوردهای آسان از
جمله ۱۲۳۴۵۶ را انتخاب میکنند، مطمئن شوید که تمام کاربران سایت وردپرسی شما از پسوردهای پیچیده و غیرقابل حدس استفاده کرده و امنیت اطلاعاتتان را به خطر نمیاندازند.
● احراز هویت دو مرحله ای را فعال کنید.
فعال کردن احراز هویت دو مرحلهای از کاربران میخواهد تا از طریق ۲ دستگاه مجزا هویت خود را تایید کنند. از این رو، شخص ثالث به دلیل دسترسی نداشتن به آن دستگاه دیگر کاربر، قادر به سرقت اطلاعات ورود کاربر نخواهد بود. به عنوان مثال، به هنگام ورود اطلاعات لاگین کاربر، پیامکی مبنی بر رمز عبور موقت برای وی ارسال میشود که تنها با آن رمز موقت قادر به ورود به سایت خواهد بود. هکر به دلیل عدم دریافت رمز عبور موقت، نمیتواند از اطلاعات ورود کاربر استفاده و به سایت شما نفوذ کند.
● از نام کاربری «admin» برای کاربرانتان استفاده نکنید.
کلمه «admin» اولین نام کاربری است که توسط هکرها برای اعمال حملات بروت فورس بر روی صفحه لاگین وبسایتها امتحان میکنند. سعی کنید از نام «admin» برای ایجاد کاربر بر روی سایت وردپرسی خود استفاده نکنید و نامهای متفاوت و حتی غیر قابل حدس بکار ببرید.
● دفعات امکان تست لاگین را محدود کنید.
تعداد دفعاتی که هر کاربر میتواند نام کاربری و رمز عبور اشتباه را برای لاگین به سیستم خود وارد کند به نهایت ۳ مرتبه محدود کنید. این روشی بسیار کاربردی و مهم برای بالا بردن امنیت سایت وردپرسی شماست. با انجام این کار، پس از پایان فرصت ورود نام کاربری یا رمز عبور اشتباه، آیپی شخص مقابل مسدود شده و یا از آن پس دیگر امکان ورود و تست اطلاعات اشتباه را ندارد. از این رو، هکر فرصت نفوذ به سایت را از دست خواهد داد. در واقع این مورد همان حملات بروت فورس است که هکرها از طریق حمله به صفحه لاگین و تست اطلاعات ورود، اقدام به نفوذ به سایت شما میکنند. سرورهای میزبانی وب وردپرس افیکس هاست با بکار بردن قویترین سیستمهای مانیتورینگ و به صورت ۲۴ ساعته مراقب حملات بروت فورس بوده و تمام این حملات را از سایت شما دفع میکند.
● برای صفحات ورود خود، کپچا قرار دهید.
کپچا (reCAPTCHA) یک سرویس محبوب گوگل برای افزایش امنیت سایت وردپرسی است. حتما تاکنون شما نیز برای ورود به وبسایتهای دیگر، یک سری پازل تصویری یا حروفی را حل کردهاید. این تاییدیههای امنیتی با استفاده از کپچا باعث میشود تا رباتها، اجازه ورود به وبسایتها بخصوص بخش ادمین سایت وردپرسی با حدس نام کاربری و رمز عبور نداشته باشند.
● خروج اتوماتیک از داشبورد و ناحیه کاربری را فعال کنید.
از آنجایی که اکثر کاربران، پس از پایان کار خود در وبسایت، خروج از حساب کاربریشان را فراموش میکنند، پیشنهاد میشود با استفاده از کدنویسی یا نصب پلاگین Inactive Logout قابلیت خروج اتوماتیک را برای
سایت وردپرسی خود فعال کنید. با این کار، هیچ شخص دیگری امکان ورود به حساب کاربری ایجاد شده بر روی سایت شما و انجام فعالیتهای خرابکارانه نخواهد داشت.
۲- هاست وردپرس ایمن تهیه کنید.
هاست وردپرس چیست؟ هاست وردپرس، یک سرویس میزبانی وب است که تنظیمات اختصاصی برای میزبانی سایت وردپرسی بر روی آن انجام شده است و یکی از مهمترین راهکارهای افزایش امنیت و سرعت سایت وردپرسی میباشد. با میزبانی سایت وردپرس بر روی هاست وردپرسی، امنیت و سرعت سایت شما افزایش یافته و سرعت لود وب سایت تا بالاترین حد ممکن سمت سرور بهینه خواهد بود. در واقع هاست پرسرعت وردپرس، به دلیل بهرهمندی از سیستم کشینگ بسیار قدرتمند، وبسرور لایت اسپید، سختافزار بروز و همچنین منابع نرمافزاری اختصاصی مثل رم و CPU بسیار بالا، سایت وردپرسی شما را بهینه کرده و از این طریق، به سئو سایت نیز کمک بسیاری میکند.
سیستم هوشمند مانیتورینگ اختصاصی وردپرس و همچنین فایروال نصب شده بر روی سرورهای میزبانی وب وردپرس افیکس هاست کاملا با سایت وردپرسی سازگار بوده و با پیشبینی مشکلات و حملات احتمالی سایت وردپرسی، امنیت سایت را حفظ میکند.
3 – نسخه وردپرس خود را بروزرسانی کنید.
نسخههای منسوخ شدهی وردپرس، از اهداف اصلی و معمول هکرها و دلیل کاهش امنیت سایت وردپرسی هستند. این مورد را حتما در دستور کار خود قرار دهید تا به صورت منظم و دورهای، بروزرسانیهای وردپرس را از طریق داشبورد وردپرس خود انجام دهید. با بروزرسانی مکرر وردپرس خود، حفرههای امنیتی موجود در نسخههای قدیمی وردپرس برطرف شده و امنیت سایت وردپرسی افزایش خواهد یافت.
با انتشار نسخه جدید وردپرس، اعلامیهی آن را در داشبورد وردپرس خود دریافت خواهید کرد. به منظور بروزرسانی نسخه قدیمی وردپرس خود، در ابتدا از سایت خود یک نسخه بکاپ (فایل پشتیبان) تهیه کنید و از این موضوع نیز اطمینان حاصل کنید که پلاگینهای فعلی شما با جدیدترین نسخه وردپرس سازگار باشند. پس از بروزرسانی وردپرس، تمامی پلاگینها را نیز بروزرسانی کنید.
۴- نسخه PHP را به جدیدترین نسخهی آن بروزرسانی کنید.
بروزرسانی به جدیدترین نسخه پیاچپی، یکی از مهمترین قدمها و روشهای افزایش امنیت سایت وردپرسی است. زمانی که فایل دانلود بروزرسانی در دسترس قرار میگیرد، پیام آن را در داشبورد وردپرس خود دریافت خواهید کرد. از این رو، با مراجعه به پنل مدیریتی هاست وردپرس خود، نسخه PHP را بروزرسانی کنید. اگر دسترسی کافی برای بروزرسانی پیاچپی خود ندارید، درخواست بروزرسانی خود را برای پشتیبانی هاستتان ارسال نمایید.
۵- از نصب پلاگینهای غیر ضروری خودداری کنید.
نصب پلاگین بر روی وردپرس، یکی از اقداماتیست که میتواند امنیت سایت وردپرسی شما را به خطر بیاندازد. تا کنون پلاگینهای زیادی برای انجام هر عملیاتی بر روی وردپرس ارائه شده است اما بهتر است هر کدام از موارد مورد نیاز خود را با استفاده از کدنویسی توسط توسعهدهندهی وردپرس انجام دهید.
البته پلاگینهای معروف و کاربردی زیادی به منظور افزایش امنیت وردپرس ایجاد شدهاند که میتوان با نصب آنها بر روی امنیت سایت وردپرسی خود نظارت کرد. پلاگینهایی از جمله:
- Wordfence Security
- Sucuri Security
- Defender
- All In One WP Security and Firewall
- Jetpack
- MalCare Security
مواردی بسیار کاربردی هستند. البته به این نکته نیز توجه داشته باشید که در صورت نیاز به دانلود و نصب پلاگین بر روی سایت وردپرسی خود، حتما آنها را از مخزن وردپرس دانلود کنید. افزونههای معتبر و سازگار
با وردپرس خود را میتوانید از طریق داشبورد وردپرس>افزونهها مشاهده و دانلود کنید و یا از طریق سایت رسمی وردپرس افزونهی مد نظر خود را دانلود نمایید.
اما با خرید هاست وردپرس ایران افیکس هاست نیازی به نگرانی بابت امنیت سایت وردپرسی و البته اقدام به نصب افزونه افزایش امنیت سایت وجود ندارد. با اجرای سیستم مانیتورینگ قوی و فایروالهای هوشمند و قدرتمند بر روی سرورهای میزبانی وردپرس افیکس هاست، پیش از بروز مشکل، مورد شناسایی و برطرف خواهد شد.
۶- پوسته یا تم وردپرس را از سایت معتبر و ایمن خریداری کنید.
از نصب هر گونه پوسته یا تم وردپرسی که از سازندهی آن مطمئن نیستید بر روی وردپرس خود خودداری کنید. تنها زیبایی، ملاک انتخاب پوسته نیست. برای جلوگیری از بروز مشکلات امنیتی حاصل از نصب پوستهی ناامن، پوستهای را انتخاب کنید که طبق استانداردهای وردپرس ساخته شده باشد. با خرید تم یا پوستهی سایت خود از سایتهای نا آشنا و نا معتبر، امنیت سایت وردپرسی خود را به خطر خواهید انداخت، چرا که ممکن است کدهای مخرب، از پیش در آن پوستهها قرار داده شده و شما با نصب آن بر روی وردپرس خود، دسترسیهای لازم را به هکرها بدهید.
۷- گواهینامه SSL نصب کنید.
گواهینامه اساسال یک تکنولوژی پیشرفته برای ایمن کردن ارتباطات بین وبسایت وردپرسی شما و مرورگرهای کاربران است و این اطمینان را به کاربر میدهد که به راحتی میتواند از سایت شما بازدید و خرید کنند.
گواهی اساسال، یک پروتکل ایمن را برای وب سایت وردپرسی فراهم کرده که از دسترسی شخص ثالث به اطلاعات در حال تبادل بین سایت شما و مرورگر کاربر جلوگیری میکند. گواهی SSL با رمزنگاری اطلاعات و محتوای در حال تبادل، آنها را غیر قابل خواندن و دسترسی کرده و امنیت اطلاعات را چند برابر میکند.
چطور متوجه شویم که سایت وردپرسی دارای گواهی SSL است؟
برای بررسی گواهینامه اساسال سایت وردپرسی و البته وبسایتها با سایر CMSها، به آدرس اینترنتی (URL) آن توجه کنید. در ابتدای آدرس سایت در قسمت سرچبار مرورگر خود، در صورتی که عبارت «https» را مشاهده کنید، سایت مورد نظر دارای گواهی SSL میباشد. در واقع حرف «s» در «https» نماد کلمهی «secure» به معنای ایمن است و پروتکل انتقال اطلاعات سایت را به پروتکلی ایمن تبدیل میکند.
نصب گواهی اساسال یکی از مهمترین روشهای بالا بردن امنیت سایت است. در صورتی که سایت شما از پروتکل امن https بهره نمیبرد، هماکنون لازم است با خرید گواهینامه SSL امنیت سایت خود را افزایش دهید.
۸- فایروال نصب کنید.
نصب فایروال یا دیوار آتش از جمله اقداماتی است که سایت وردپرسی شما را از حملات خرابکارانه از جمله حملات دیداس و هک شدن محفوظ نگه میدارد. فایروال بین شبکهی هاست وردپرس سایت شما و شبکههای دیگر قرار میگیرد و به صورت خودکار از ورود ترافیک غیر ایمن به هاست و سایت شما از خارج جلوگیری میکند.
البته با خرید هاست وردپرس خود از افیکس هاست، نگران نصب فایروال و بروز خطر از سمت هکرها و فعالیتهای خرابکارانه نباشید. بر روی تمام سرورهای افیکس هاست بخصوص سرورهای میزبانی وردپرس، قویترین و سازگارترین فایروالها با سایت وردپرسی نصب شده و امکان بروز مشکل بر روی سرورها وجود ندارد.
۹- از سایت خود نسخه بکاپ تهیه کنید.
با وجود نصب فایروال و انجام سایر اقدامات امنیتی برای افزایش امنیت سایت وردپرسی خود، همیشه مراقب حفظ و نگهداری محتوا و اطلاعات سایت خود باشید. مهمترین و سادهترین اقدامی که برای افزایش امنیت سایت خود میتوانید انجام دهید، تهیه نسخههای بکاپ به صورت مرتب از سایت وردپرسی خود است. با نگه داشتن نسخه بکاپ از سایت خود، در صورت بروز هرگونه مشکل و یا حتی از دست رفتن اطلاعات، میتوانید وضعیت سایت خود را به حالت قبل باز گردانید.
سرویس میزبانی وردپرس افیکس هاست، به صورت منظم روزانه، هفتگی و ماهانه از سایت وردپرسی شما نسخه بکاپ تهیه و نگهداری میکند.
علاوهبر نسخههای بکاپی که میتوانید از افیکس هاست درخواست کنید، میتوانید نسخههایی را خودتان به صورت منظم و لوکال بر روی سیستم خود نگهداری کنید.
۱۰- بصورت منظم، سایت وردپرسی خود را اسکن کنید.
اسکن منظم از فایلهای سایت، باعث میشود در صورت مشاهده هرگونه موارد مشکوک را شناسایی کرده و پیش از بروز مشکل، آن را از بین برده و محتوای سایت شما را از خطر در امان نگه میدارد.
برخی از سرویسدهندگان هاست وردپرس از جمله افیکس هاست، این امکان را به صورت خودکار بر روی سرورهای خود فراهم کرده تا به صورت دورهای، سرورها را اسکن کرده و با تشخیص خطرات حتی احتمالی، آنها را دفع میکند.
نکاتی کلیدی برای توسعه دهندگان سایت وردپرسی به منظور افزایش امنیت سایت وردپرسی
۱۱- جلوگیری از ورود کاراکترهای خاص به فرمهای وبسایت
اگر از فرمهایی از جمله فرم تماس، فرم خرید، فرم نظرات کاربران در صفحات وبلاگ و سایر فرمهای دریافت اطلاعات در سایت خود بکار بردهاید، لازم است یک سری کاراکترها را برای ورود از طریق این فرمها به سایت محدود کنید.
فرمهای ورود اطلاعات، بهترین فرصت برای حملات XSS یا تزریق کدهای مخرب به دیتابیس هستند. در واقع هکرها میتوانند کدهای مخرب خود را از طریق فرمهای موجود در سایت، به محتوا و در نتیجه دیتابیس سایت شما تزریق کرده و عملکرد سایت شما را مختل کنند.
برای جلوگیری از بروز چنین مشکلی، از ورود کاراکترهای مشکوک و حتی خاص به فرمهای سایت، پیش از رسیدن به دیتابیس خود جلوگیری کرده و به بالا بردن امنیت سایت وردپرسی خود کمک کنید.
۱۲- دسترسی کاربران را به پنل سایت وردپرسی خود محدود کنید.
اگر تعداد کاربران متعددی را برای سایت وردپرسی خود تعیین کردهاید، بهتر است نقش هر کدام از اعضا را مشخص کرده و تنها دسترسی در حد نیاز و مرتبط با میزان فعالیت آنها را در اختیارشان قرار دهید. همچنین در صورت حذف شدن فردی از تیم، دسترسی وی را نیز از وردپرس خود حذف نمایید. وردپرس ۶ نقش از «مدیر کل» گرفته تا «نویسنده» را برای اختصاص دادن به کاربران تعیین نموده تا با محدود کردن دسترسیها و جلوگیری از تعیین دسترسی «مدیر کل» به تمام افراد و محدود کردن آنها، از امکان قرار گرفتن در معرض خطر و حملات بروت فورس (Brute Force) جلوگیری کرد.
۱۳- از مانیتورینگ اختصاصی سایت وردپرسی استفاده کنید.
با نصب مانیتورینگ مخصوص وردپرس، هرگونه فعالیت یا اقدامات مشکوک در سایت به شما گزارش داده میشود. پیشنهاد میشود تا حد ممکن از نصب پلاگینهای متعدد بر روی وردپرس خود خودداری کنید، چرا که مانیتورینگهای اختصاصی وردپرس از پیش بر روی هاست وردپرس افیکس هاست نصب شدهاند و پیش از وقوع هر اتفاقی، اقدامات مشکوک را تشخیص داده و آنها را دفع میکنند.
۱۴- از فعالیت کاربران وردپرس خود گزارش تهیه کنید.
با تهیهی لاگ یا همان گزارش از فعالیتهای کاربران وردپرس خود، میتوان پیش از وقوع هر اتفاقی، از آن باخبر شده و از آن جلوگیری کنید. با داشتن لاگ از فعالیت کاربران، در صورتی که شخصی اقدام به تغییر رمز عبور، نصب یا غیرفعال کردن پلاگین، تغییر تم یا اقدامات دیگر کرد، شما متوجه آن خواهید شد.
همچنین داشتن لاگ یا گزارش فعالیتهای کاربران بعد از هک شدن یا بروز هر مشکلی کمک میکند تا علت موضوع را متوجه شوید. با انجام این مورد، از کاهش امنیت سایت وردپرسی خود پیشگیری خواهید کرد.
۱۵- آدرس پیشفرض لاگین به وردپرس را تغییر دهید.
آدرس (URL) ورود به داشبورد وردپرس، آدرسی مشخص است که تمام افرادی که با پلتفرم وردپرس کار میکنند با آن آشنایی دارند. این آدرس میتواند wp-admin/ یا wp-login یا مواردی مشابه باشد. بهتر است برای جلوگیری از حدس آدرس ورود به داشبورد خود توسط هکرها، آدرس لاگین را تغییر دهید.
۱۶- امکان ویرایش فایل را از طریق داشبورد وردپرس غیرفعال کنید.
به صورت پیشفرض این امکان برای افراد ادمین در وردپرس فراهم است تا بتوانند کدهای نوشته شده در فایلها را به صورت مستقیم از طریق ویرایشگر کد، تغییر دهند. این مورد به هکرها کمک میکند تا در صورت دسترسی به وردپرس شما، بتوانند به سورس کدهای سایت وردپرسی شما نیز دسترسی داشته باشند.
با اضافه کردن کد زیر به انتهای فایل wp-config.php میتوانید دسترسی به فایلهای کدهای سایت خود را از طریق وردپرس غیرفعال کنید:
// Disallow file edits
define( ‘DISALLOW_FILE_EDIT’, true );
۱۷- پیشوند فایل دیتابیس خود را تغییر دهید.
فایلهای دیتابیس وردپرس به صورت پیشفرض، با پیشوند «_wp» آغاز میشوند. هکرها با استفاده از این پیشوند میتوانند فایل دیتابیس شما را ردیابی و عملیات تزریق کدها مخرب SQL را انجام دهند.
برای جلوگیری از این مساله بهتر است پیشوند فایل دیتابیس خود را به موارد مثل «_wpdb» یا «_wptable» تغییر دهید. انتخاب نام دیتابیس به هنگام نصب CMS وردپرس، امری بسیار ساده است. البته اگر در حال حاضر نیز سایت شما فعال است میتوانید نام فایل دیتابیس خود را تغییر دهید. البته پیش از اعمال هرگونه تغییر، یک نسخه بکاپ یا فایل پشتیبان از سایت خود ذخیره نمایید، چرا که با تغییر نام دیتابیس و یا تغییر فایل دیگری به اشتباه، ممکن است سایت شما با اختلال مواجه شود. پیشنهاد میشود از توسعه دهندهی سایت وردپرسی خود و یا شخص متخصصی بخواهید عمل تغییر نام فایل دیتابیس را انجام دهد.
۱۸- فایل xmlrpc.php را غیرفعال کنید.
XML-RPC یک پروتکل ارتباطی است که این امکان را به سیستم مدیریت محتوای وردپرس میدهد تا با سایر وبسایتها و اپلیکیشنها فعال در وب ارتباط برقرار کند. البته در سالهای اخیر و پس از ایجاد پروتکل REST API، از این پروتکل به مراتب کمتر نسبت به قبل در وردپرس استفاده شده است اما برخی از هکرها از همین فایل برای اعمال حملههای خطرناک خود به سایتهای وردپرسی استفاده میکنند.
دلیل خطرناک بودن حملات از طریق این فایل این است که تکنولوژی XML-RPC به هکرها این امکان را میدهد تا درخواستهای خود را در قالب صدها کامند یا دستور در این فایل ثبت کنند و این امر، لاگین از طریق حملات بروت فورس را سادهتر میکند.
۱۹- اکانت ادمین پیشفرض وردپرس را حذف کنید.
در ابتدا به منظور افزایش امنیت وردپرس خود، نام کاربری «admin» را به نامی دیگر تغییر دهید. به منظور چند برابر کردن امنیت، بهتر است به صورت کلی، این اکانت پیشفرض ایجاد شده بر روی وردپرس را حذف نموده و اکانتی جدید با همان سطح دسترسی بر روی وردپرس خود ایجاد نمایید.
۲۰- نسخه فعلی وردپرس خود را مخفی کنید.
این امر بسیار ضروری است که نسخه سیستم مدیریت محتوای وردپرس خود را به صورت منظم بروز کنید. در واقع با انتشار نسخه بروز وردپرس، اعلامیهی آن را در داشبورد وردپرس خود مشاهده خواهید کرد و نیاز است که پس از مشاهدهی این اعلامیه، شما نیز سایت وردپرسی خود را بروز نمایید. در صورتی که این امر را فراموش میکنید و این بروزرسانی چند روزی به تعویق میافتد، پنهان کردن نسخه وردپرس از آگاه شدن هکرها نسبت به آسیبپذیر بودن سایت وردپرسی شما جلوگیری میکند.
به منظور پنهان کردن نسخه وردپرس میتوانید از روشهای زیر اقدام نمایید. البته این امر را به دولوپر خود بسپارید تا اعمال کدها به صورت دقیق و صحیح انجام شود.
– ویرایش Generator Meta Tag
۱. به مسیر تم وردپرس خود روید. تم وردپرس معمولا در مسیر wp-content/themes قرار دارد.
۲. کد زیر را در انتهای فایل functions.php تم وردپرس فعال سایت خود قرار دهید:
remove_action(‘wp_head’, ‘wp_generator’)
– با استفاده از تابع حذف نسخه وردپرس
۱. به مسیر تم وردپرس خود روید. تم وردپرس معمولا در مسیر wp-content/themes قرار دارد.
۲. کد زیر را در انتهای فایل functions.php تم وردپرس فعال سایت خود قرار دهید:
function remove_version_info() {
return ”;
}
add_filter(‘the_generator’, ‘remove_version_info’);
۲۱- ایمنسازی فایلهای wp-config، htaccess و robot.txt
تعیین و تغییر سطح دسترسی فایلهای wp-config، htaccess و robot.txt از مواردی هستند که به منظور افزایش امنیت سایت وردپرسی باید به آن توجه داشت. با کاهش سطح دسترسی این فایلها و پنهان کردن آنها از دید هکرها، امکان بروز مشکل و احتمال هک شدن را بسیار پایین میآورد. همچنین کاهش سطح دسترسی فایلهای php سایت وردپرسی را در دستور کار خود قرار دهید، چرا که بسیاری از هکرها به دنبال دسترسی به فایلهای پیاچپی و اقدام به آسیب رساندن به سایت از طریق این فایلها هستند.
موارد ذکر شده در نکتهی شمارهی ۲۱ از جمله مواردیست که به هنگام ایجاد سایت خود باید به آنها نیز توجه داشته باشید. البته این نکات بسیار گسترده هستند که در مقالات بعدی به آنها خواهیم پرداخت. پیش از ساخت سایت وردپرسی و شروع فعالیتهای آنلاین خود، لازم است به حفظ و افزایش امنیت سایت، محتوا و دیتای وبسایت خود فکر کنید. با در نظر گرفتن موارد امنیتی که ممکن است برای سایتهای وردپرسی پیش آید، میتوانید آینده را پیشبینی کنید و از بروز مشکل برای اطلاعات خود جلوگیری نمایید.
به عنوان مثال، با آشنایی با انواع حملات، نقاط ضعف مورد هدف آنها و نحوه آسیبرسانی آنها به سایت، میتوان روش صحیح جلوگیری از آسیب دیدن یا هک شدن و در نتیجه افزایش امنیت سایت وردپرسی خود را انتخاب و اعمال کرد. در نظر داشته باشید، مهمترین اقدام شما برای افزایش امنیت سایت، انتخاب و خرید هاست وردپرس ایران است تا پلتفرمی ایمن برای میزبانی سایت خود داشته باشید. با خرید میزبانی وردپرس بر روی سرورهای ایمن میتوان با اطمینان خاطر به فعالیتهای آنلاین خود بر روی سایت وردپرسی ادامه داد.