۵ روش بهبود امنیت در وردپرس
وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که ۴۳٫۲ درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند. متأسفانه، محبوبیت آن انواع مجرمان سایبری را که از آسیبپذیریهای امنیتی این پلتفرم سوء استفاده میکنند، جذب میکند. در نتیجه، امنیت WordPress بیش از همیشه در معرض خطر است.
این بدان معنا نیست که وردپرس دارای یک سیستم امنیتی وحشتناک است – نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد. بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.
ما در مورد ۵ روش برای بهبود امنیت WordPress و محافظت از سایت شما در برابر حملات سایبری مختلف صحبت خواهیم کرد. این مقاله شامل بهترین شیوه ها و نکات خواهد بود – با یا بدون افزونه وردپرس. برخی از روش ها برای پلتفرم های دیگر غیر از وردپرس نیز قابل اجرا هستند.
بهترین روش های بهبود امنیت WordPress
در این بخش، به ۵ نکته کلی امنیت WordPress می پردازیم که به دانش فنی پیشرفته و سرمایه گذاری های پرخطر نیاز ندارند. حتی یک مبتدی نیز میتواند این کارهای ساده مانند بهروزرسانی نرمافزار وردپرس و حذف تمهای بلااستفاده را انجام دهد.
۱٫ نسخه وردپرس را به طور منظم آپدیت کنید
وردپرس بهروزرسانیهای نرمافزاری منظم را برای بهبود عملکرد و امنیت منتشر میکند. این به روز رسانی ها از سایت شما در برابر تهدیدات سایبری محافظت می کنند.
آپدیت نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است.
با این حال، نزدیک به ۵۰٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.
برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، قسمت مدیریت وردپرس خود را باز کنید و به Dashboard -> Updates در پانل منوی سمت چپ بروید.
اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.
به تاریخ های انتشار به روز رسانی آینده توجه داشته باشید تا مطمئن شوید که سایت شما نسخه قدیمی وردپرس را اجرا نمی کند.
همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را به روز کنید. تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.
برای خلاص شدن از شر مضامین و افزونه های قدیمی این مراحل را دنبال کنید:
- به پنل مدیریت وردپرس خود بروید و به Dashboard -> Updates بروید.
- به قسمت Plugins and Themes بروید و لیست تم ها و افزونه های آماده برای به روز رسانی را بررسی کنید. توجه داشته باشید که می توان آنها را به یکباره یا جداگانه به روز کرد.
- روی Update Plugins کلیک کنید:
۲٫ از اعتبارنامه ورود امن WP-Admin استفاده کنید
یکی از رایجترین اشتباهاتی که کاربران مرتکب میشوند استفاده از نامهای کاربری ساده و قابل حدس زدن است، مانند «admin»، «administrator» یا «test».
اینکار سایت شما را در معرض خطر حملات brute force قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایتهای وردپرسی که پسورد قوی ندارند، استفاده میکنند.
بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.
از طرف دیگر، این مراحل را برای ایجاد یک حساب کاربری جدید ادمینیستریتور وردپرس با نام کاربری جدید دنبال کنید:
۱٫ از داشبورد وردپرس خود به مسیر Users -> Add New بروید:
۲٫یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید. یک رمز عبور اضافه کنید و پس از اتمام کار، دکمه Add New User را فشار دهید.
اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید. همچنین توصیه می کنیم از بیش از ۱۲ کاراکتر استفاده کنید زیرا کرک کردن رمزهای عبور طولانی تر بسیار سخت تر است.
توصیه ی کارشناس: هر چه رمز عبور طولانی تر، ایمنی بیشتر.
با این حال، رمزهای عبور قوی لازم نیست طولانی و پیچیده باشند – به جای حروف شناخته شده از نمادها و اعداد خاص استفاده کنید. مثلا ۴۱@bAm@! به جای آلاباما! به یاد آوردن آسان و شکستن آن سخت تر است.
از طرف دیگر، به جای کلمات واقعی، مانند qpzmwoxn، از یک الگو در صفحه کلید استفاده کنید. علاوه بر این، این دو را با هم ترکیب کنید تا رمز عبور قویتری ایجاد کنید.
اگر برای ایجاد رمز عبور قوی به کمک نیاز دارید، از ابزارهای آنلاین مانند LastPass و ۱Password استفاده کنید. همچنین می توانید از خدمات مدیریت رمز عبور آنها برای ذخیره ایمن رمزهای عبور قوی استفاده کنید. به این ترتیب، شما مجبور نیستید آنها را حفظ کنید.
پس از ایجاد نام کاربری مدیریت وردپرس جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل انجام این کار وجود دارد:
۱٫با اطلاعات کاربری جدید وردپرس خود وارد شوید.
۲٫به Users -> All Users بروید:
۳٫اکانت مدیریت قدیمی را که می خواهید حذف کنید انتخاب کنید. منوی کشویی Bulk Actions را به Delete تغییر دهید و روی Apply کلیک کنید.
برای ایمن نگه داشتن سایت خود، همچنین مهم است که قبل از ورود به سیستم، شبکه را بررسی کنید. اگر ناآگاهانه به Hotspot Honeypot متصل هستید، شبکه ای که توسط هکرها اداره می شود، در معرض خطر لو رفتن اطلاعات لاگین به اپراتورها هستید.
حتی شبکههای عمومی مانند وایفای کتابخانه مدرسه ممکن است آنقدر که به نظر میرسد امن نباشند. هکرها می توانند اتصال شما را رهگیری کرده و داده های رمزگذاری نشده، از جمله اعتبار ورود به سیستم را به سرقت ببرند.
به همین دلیل، توصیه می کنیم هنگام اتصال به یک شبکه عمومی از VPN استفاده کنید. این یک لایه رمزگذاری برای اتصال فراهم می کند و رهگیری داده ها را سخت تر می کند و از فعالیت های آنلاین شما محافظت می کند.
۳٫ Safelist و Blocklist را برای صفحه ادمین تنظیم کنید
فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند.
برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.
با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد. URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند. هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد.
Sucuri دارای ویژگی مشابهی به نام لیست سیاه مسیر URL است.
ابتدا URL صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد. سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.
از طرف دیگر، با پیکربندی فایل htaccess. سایت خود، دسترسی به صفحه ورود خود را محدود کنید. برای دسترسی به فایل به دایرکتوری روت خود بروید.
مهم: قبل از ایجاد هر گونه تغییری، اکیداً به شما توصیه می کنیم از فایل htaccess. نسخه پشتیبان تهیه کنید. اگر مشکلی پیش بیاید، می توانید سایت خود را به راحتی بازیابی کنید.
افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 000.00.000.000 </Files>
این قانون باید بعد از دستورات # BEGIN WordPress و # END WordPress قرار گیرد، همانطور که در زیر نشان داده شده است.
این قانون حتی اگر IP ثابت نداشته باشید اعمال می شود، زیرا می توانید ورود به سیستم را به محدوده مشترک ISP خود محدود کنید.
همچنین می توانید از این قانون برای محدود کردن سایر URL های احراز هویت شده مانند /wp-admin استفاده کنید.
توصیه ی کارشناس: توجه داشته باشید که بلاک کردن فقط در برابر تهدیدات شناخته شده موثر است.
هکرها می توانند بدافزار را به طور خاص طراحی کنند تا از شناسایی توسط ابزارهایی که از یک سیستم لیست بلاک استفاده می کنند اجتناب کنند. در حالی که لیست ایمن امنیت قوی تری را ارائه می دهد، پیاده سازی آن نیز می تواند پیچیده تر باشد، به خصوص اگر می خواهید شخص ثالثی این کار را انجام دهد – آنها به اطلاعاتی در مورد همه برنامه هایی که استفاده می کنید نیاز دارند.
۴٫ از قالب های مورد اعتماد وردپرس استفاده کنید
تم های نال شده وردپرس نسخه های غیرمجاز تم های اصلی اصلی هستند. در بیشتر موارد، این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولاً مشکلات امنیتی زیادی دارند.
اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند.
علاوه بر این، این تم ها می توانند درهای پشتی برای سوء استفاده های دیگری باشند که می توانند سایت وردپرس شما را به خطر بیندازند.
از آنجایی که تم های نال شده به صورت غیرقانونی توزیع می شوند، کاربران آن ها هیچ گونه حمایتی از سوی توسعه دهندگان دریافت نمی کنند. این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.
برای جلوگیری از حملات امنیتی، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید.
از طرف دیگر، تم های شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید:
۵٫ گواهی SSL را نصب کنید
Secure Sockets Layer یا همان لایه سوکت های امن، یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.
علاوه بر این، گواهیهای SSL همچنین بهینهسازی سایت برای موتورهای جستجو (SEO) را تقویت میکند و به آن کمک میکند تا بازدیدکنندگان بیشتری جذب کند.
وبسایتهایی که گواهی SSL نصب کردهاند به جای HTTP از HTTPS استفاده میکنند، بنابراین شناسایی آنها آسان است.
اکثر شرکت های هاستینگ SSL را با برنامه های خود شامل می شوند.(در صورت تمایل به خرید هاست، به سایت شاپینگ سرور مراجعه کرده و پلن موردعلاقه ی خود را نصب کنید).
پس از نصب گواهی SSL در اکانت هاست خود، آن را در وب سایت وردپرس خود فعال کنید.
افزونه هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می توانند جنبه های فنی و فعال سازی SSL را با چند کلیک کنترل کنند.
نسخه پریمیوم Really Simple SSL میتواند هدرهای HTTP Strict Transport Security را فعال کند که استفاده از HTTPS را هنگام دسترسی به سایت اعمال میکند.
پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید.
برای انجام این کار، به Setting -> General بروید و قسمت Site Address (URL) را پیدا کنید تا URL آن را تغییر دهید.
جمع بندی
حملات سایبری ممکن است به اشکال مختلف، از تزریق بدافزار گرفته تا حملات DDoS انجام شوند. وب سایت های وردپرسی، به ویژه، به دلیل محبوبیت CMS، هدف رایجی برای هکرها هستند. بنابراین امنیت WordPress دائما در خطر است. در این مقاله به ۵ روش تامین امنیت WordPress پرداختیم. موفق باشید!