امنیت سایت های وردپرسی
یکی از مهم ترین موضوعات در بحث وب سایت ها امنیت آنها می باشد برای همین به این فکر افتادم که مقاله فوق رو با عنوانی به این شکل شروع کنم … “امنیت سایت های وردپرسی” در واقع این مقاله منظورم امن سازی نرم افزاری است چون در مقاله امنیت برای عموم راجب اینکه با چه روش های کلی باید امینت رو تامین کنیم گفتم و الان اومدم به سراغ وردپرس
خب بریم بدون درنگ شروع کنیم…
18 مورد برای امن سازی وب سایت های وردپرسی
- بروز رسانی : در واقع در دنیای وردپرس یک جامعه ای حکم فرماست به نام کدباز ها Open Source ها… دنیا این ها خیلی خاص و جذابه… جذاب؟ اره جذاب به این شکل که هر کسی از هر جای دنیا که دوست داره می تونه امکاناتی رو به این وردپرس اضافه کنه ، مشکلاتش رو رفع کنه ، باگ های امنیتیش رو بگیره … این شد که وردپرس ابزاری شد که همه برای ارتقا اون دارن تلاش میکنند و خیلی زود به زود نسخه های جدیدی از اون منتشر میشه ؛ با این انتشار مشکلات نسخه قبل رو هم میگن و افراد سود جو میتونن از این مشکلا استفاده کرده و خیلی راحت به شما ضربه بزنند اگر و تنها اگر شما وب سایت و وردپرستون رو بروز نگه نداشتین پس برای این که امنیت سایت های وردپرسی رو بالا ببرید اولین که باید بهش توجه کنید اینه که وردپرس رو بروز نگه دارید.فقط وردپرس کفایت میکنه؟ معلومه که نه ؛ شما نیاز هست که هم وردپرس هم ما باقی بخش ها مثل قالب ها ، افزونه ها و … را هم بروز رسانی کنید البته اگر شما نسخه اصلی هر کدوم از این ها رو تهیه کنید خودش به صورت خودکار بروز رسانی می شود.
2. پسورد وردپرس : پسورد سایت های وردپرسی بسیار مهم است که نکاتی را دربر بگیرد که در این جا به برخی از آنها اشاره خواهم کرد :
- حداقل 8 کاراکتر باشد
- حتما از کاراکتر حروف بزرگ در آن استفاده شود.
- از اعداد استفاده نمایید.
- از حروف کوچک استفاده نمایید.
- از علائم استفاده نمایید
- در صورت امکان می توان از فاصله نیز استفاده نمود.
- تلفیق موارد بالا به بالا رفتن امنیت سایت های وردپرسی کمک شایانی می کند.
برای اینکه مطمئن باشید آیا پسوردی که انتخاب کردید از لحاظ امنیت در چه محدوده ای قرار دارد می توانید از لینک زیر استفاده نمایید.
https://password.kaspersky.com/
کافی است شما پسورد خود را در این بخش وارد نمایید حتی زمانی که طول می کشد تا این پسورد حدس زده شود نیز به شما می گوید.
اگر نیز شما نیاز به داشتن پسورد قوی دارید و خود هیچ ایده ای در این زمینه ندارید می توانید از سایت زیر استفاده نمایید که نوع پسورد خود را که از چه تلفیق هایی باشد انتخاب کرده تعداد کاراکتر را نیز انتخاب می کنید و سپس میتوانید درخواست پسورد دهید.
https://passwordsgenerator.net/
3. در وردپرس به هیچ وجه از نام admin به عنوان نام کاربری استفاده نمایید زیرا افراد سودجو به واسطه روش هایی هی پسورد های متفاوت را برای این نام کاربری (که نام کاربری شناخته شده ای می باشد تست می زنند و می توانند پسورد شما را حدس بزنند.
اگر شما در حال حاضر از ادمین استفاده می نمایید می توانید به واسطه روش های زیر به بالا تر رفتن امنیت وب سایت های وردپرسی خود کمک هنگفتی را انجام دهید.
- پلاگین Easy Username Updater
- ساخت یک کاربر جدید به دسترسی ادمین و انتفال تمامی محتوا های ادمین به وی و سپس پاک نمودن ادمین.
4. حذف نام کاربری ادمین از URLBar : در وردپرس اگر بر روی نوشته ای کلیک کنید نام نویسنده را به شما نمایش می دهد که با کلیک بر روی نام نویسنده توضیحات وی ، نوشته هایی که منتشر کرده است و … نمایش داده می شود اما موضوع حائز احمیت در این قسمت می آید که اگر به لینک بالایی در URL bar توجه نماییم در واقع ما می توانیم نام کاربری آن نویسنده را مشاهده نماییم که بازدوباره همان آَش و همان کاسه… راحت میتوانند با روش های بالا پسورد را پیدا کنند برای این که این اتفاق نیوفته ما می آیم جلو گیری می کنیم از نمایش نام ادمین در قسمت بالایی صفحه… میگید چجوری؟ خیلی راحت – الان قصد دارم راه حلش رو بهتون نشون بدم.
در مرحله اول شما باید این پلاگین رو که رایگان هم هست نصب کنید
Edit Author Slug
بعد از اون وارد تنظیمات Edit Author Slug شده و یک نام مستعار برای خودتون انتخاب کنید به همین راحتی…
5. حملات متعدد به صفحه لاگین : حمله هایی وجود داره که انقدر نام کاربری و پسورد های متفاوتی را برای وب سایت شما تست می زنند تا بتونن اونارو حدس بزنند پس ما باید تعداد دفعات ورود کاربران رو محدود کنیم که نتونن تعداد زیادی لاگین را انجام بدهند. برای انجام این کار از روش های متعددی می توانید استفاده کنید.
- گذاشتن کپچا : شما می توانید به واسطه پلاگین هایی که از کد های امنیتی استفاده می کنند در قسمت ورود وب سایت شما استفاده نموده تا از ورود ربات ها جلوگیری کنید. پلاگین های زیر نمونه هایی از این دسته افزونه ها می باشند.
- Google Captcha
- realySimple Captcha
- پلاگین های امنیتی که تعداد دفعات ورود کاربر را محدود کرده و آنها را بلاک می سازند همانند :
- Wordfence
- All in one security Pack
6. بلعیدن پهنای باند : اگر پهنای باند شما زیادی مصرف گردد (بیش از حدی که هاست برای شما در نظر گرفته است) باعث می شود سایت شما موقتا از دسترس خارج گردد که برای انجام این کار روش های ساده ای وجود دارد بر فرض مثال refresh کردن بیش از حد صفحات شما ، کامنت های بسیار گذاشتن ، استفاده از منابع وب سایت شما و… که اگر پهنای باند تمام گردد سایت باز نمی شود و ارور به شما می هد برای جلو گیری از این کار شما به راحتی می توانید از افزونه Wordfence یا برای جلو گیری از ارسال کامنت های اسپم از Akismet استفاده نمایید.
7. تم رایگان کار دستتون نده! همان طور که می دانید بسیاری از تم های وردپرس پولی می باشند و شما می بایست برای تهیه نسخه پولی آن مبلغ دلاری آن را پرداخت نمایید اما افراد سود جو از همین قضیه استفاده می کنند و یک نسخه از آن را دریافت کرده و با دستکاری و خراب کردن آن ، قالب را به صورت رایگان باز نشر می دهند تا به محض اینکه شما از آن استفاده کردید بتوانند به شما ضربه بزنند.
اما گاهی اوقات پیش می آید که شما مجبور به استفاده از قالب های آماده می باشید که در این صورت تنها کافی است از سایت های معتبر و تایید شده استفاده نمایید تا بتوانید با خیالی آسوده از قالب ها استفاده نمایید.
8.بک آپ یادتون نره. شما برای این کار نیاز دارین دو بخش رو پوشش بدید
- هاستینگ : راجب معتبر بودن هاستینگ در زیر صحبت خواهیم نمود اما موردی که در این بخش حائز اهمیت می باشد تهیه بک آپ یا نسخه پشتیبان از وب سایت شماست در حین خرید هاست می بایست بسیار ویژه به این مورد توجه نمود که آیا این هاستینگ از وب سایت ما بک آپ تهیه می نماید؟ روزانه ؟ هفتگی ؟ ماهانه ؟ تمام این موارد را می بایست چک نمود.
- وردپرس : تنها نباید به بک آپ هاستینگ توجه نمود بلکه می بایست این نکته را مورد توجه قرار داد که باید حتما بک آپ اتوماتیک از سیستم تهیه نماییم. این کار رو افزونه های زیادی برای شما انجام می هند همچون
- WP DB Backup : این افزونه به طور اتوماتیک از دیتابیس وردپرس شما بک آپ تهیه کرده و به ایمیل شما و یا در هاست شما قرارمی دهد.
- VaultPress : گرفتن بک آپ از محتوای داخلی وب سایت و قرار دادن بر روی سرور به صورت اتوماتیک
- بک آپ دستی : اگر سایت شما از اهمیت بسیار بالایی برخوردار است شما می بایست به صورت هفتگی یا ماهانه از طریق خود هاست به صورت دستی فول بک آپ تهیه نموده و در سیستم خود قرار دهید.
9. از افزونه های امنیتی حتما درون وب سایت خود استفاده نمایید این افزونه ها علارقم نشان دادن مشکل های امنیتی وب سایت شما به شما این امکان را می دهد که از بسیاری از حملات صورت گرفته به سایت خود جلوگیری نمایید دو مورد از افزونه های امنیتی که از رتبه بالایی هم بین افزونه های امنیتی وردپرس برخوردار هستند به نام های زیر می باشند.
- Wordfence
- Wp All In One Security Pack
10. پیشوند جداول رو تغییر بدیم : در وردپرس زمانی که ما می خواهیم خود وردپرس را نصب نماییم از ما اطلاعات پایگاه داده می خواهد که درون آن پایگاه داده جداول مورد نیاز خود را ایجاد نماید به صورت پیش فرض تمامی این جداول با wp شروع می گردند در حالی که شما می توانید این مورد را تغییر دهید و یک درصد امنیت سایت خود را بهبود بخشید برای اینکار در زمان نصب وردپرس کافی است تنها در بخش اطلاعات دیتابیس پیشوند جدول را از Wp_ به محتوای مورد نظر خود تغییر دهید.
بر فرض مثال در حالت اولیه نام جداول دیتابیس به شکل wp_option می باشد که شما می توانید آنرا به assadyhbsaemoption تغییر دهید.
11. هاستینگ معتبر : یکی از مهم ترین موضوعاتی که در بخش امنیت وردپرس باید به آن توجه نمود بحث هاست وب سایت می باشد حتما توجه داشته باشید که هاستینگ معتبر می تواند یکی از دلایل تضمین دهنده امینت وردپرس و سایت شما باشد از این رو می بایست بگویم که در انتخاب هاست مورد نظر خود به موارد زیر توجه نمایید.
- چک نمودن مسائل امنیتی توسط هاست ها
- جلوگیری از ارسال اسپم توسط فایل های درون قالب (شناسایی فایل های مخرب)
- گرفتن بک آپ روزانه ، هفتگی ، ماهانه
- ارائه SSL بر روی هاست
12. امن نمودن دیتابیس :
دیتابیس یا پایگاه داده مهم ترین بخش از هر نرم افزار می باشد زیرا اطلاعات کلی و بسیار مهم وب سایت در آنجا قرار می گیرد.پس امنیت آنرا بسیار جدی بگیرید…
- در مرحله اول در صورت امکان می توانید پایگاه داده خود را از هاست وب سایت جدا نمایید ( این فرایند مربوط به خود هاستینگ می باشد.)
- حتما بر روی ورودی دیتابیس خود رمز بگذارید.
13. در هاست ها شما قابلیت این را دارید که بتوانید بر روی فولدر های متفاوت وب سایت خود رمز بگذارید یکی از این فولدر ها که برای شما در بخش امنیت حائز اهمیت می باشد فولدر wp-admin می باشد که می بایست بر روی آن رمز بگذارید.
14. WP-config این فایلی می باشد که اطلاعات وب سایت شما را اعم از نحوه اتصال به دیتابیس در خود جای می دهد از این رو هر کسی که به این فایل دسترسی داشته باشد می تواند به راحتی به پایگاه داده شما حمله ور شده خرابکاری نمایید از این رو شما می توانید محل ذخیره این فایل را تغییر دهید این کار از طریق هاست شما اتفاق می افتد.
15. تمام افرادی که با وردپرس کار می کنند می دانند که اگر در انتهای دامنه های سایت های وردپرسی عبارت wp-admin یا wp-login.php را قرار دهند می توانند به بخش پنل مدیریت وردپرس بروند از این رو شما می بایست این لینک را تغییر دهید که به واسطه افزونه wp login slug این کار به راحتی اتفاق می افتد با نصب این افزونه در بخش تنظیمات از شما می خواهد لینک دیگری را برای پنل مدیریت خود انتخاب نمایید تا از آن به بعد با آن وارد پنل مدیریت شوید.
16. SSL : SSL Certification یک گواهی امنیتی می باشد که لازمه هر سایتیست. یکی دیگر از موارد امنیت وردپرس وجود این گواهینامه امنیتی است که تضمینی بر کد شدن محتوای شما از سمت کاربر و ارسال آن به سرور ، سپس دیکد شدن آن و مجددا بالعکس می باشد. برای تهیه این گواهینامه هم از هاستینگ و هم از CDN ها می توانید استفاده نمایید.
17. 777 : یکی از اشتباهاتی که گاهی اوقات در هاست پیش می آید سطح دسترسی ها هستند . به این صورت که اگر سطح دسترسی پوشه های هاست شما 777 باشد یعنی تمامی فایل های آن قابلیت ادیت ، خواندن و … را دارند که سطح دسترسی امنی نمی باشد نهایتا شما سطح دسترسی پوشه های خود را بر روی 755 قرار دهید که تنها قابلیت Read Only برای آن گذاشته اید.
18. پاک نمودن فایل های اضافی در هاست : فایل های قالب ، فایل های افزونه ها و … که پس از آپلود آنها را اکسترکت کرده اید را حتما از روی هاست خود پاک نمایید زیرا اگر کاربری لینک آن را وارد نماید می تواند به آن فایل ها دسترسی داشته باشد.
این ها مجموعه ای از موارد امنیتی وردپرس می باشند که با رعایت نمودن آنها کمک شایانی به شما و امنیت وردپرس می نماید. اگر روش دیگری نیز شما می دانید که در این بخش ذکر نشده است می توانید با کامنت کردن آن به دیگران آموزش دهید. ممنون