توسط : وردپرس از رایج ترین سیستم های مدیریت است که چون بیشتر افراد بااین محیط آشنا هستند و پلتفرم مورد استفاده بیشتر کاربران است آمار هک شدن آن نیز به الطبع بیشتر شده است؛ بنابراین با اجرای نکات امنیتی و اقدامات پیشگیرانه سایت خود را از آسیب پذیری های جدی محافظت کنید. در این بین چندین افزونه امنیتی مانند افزونه ithemes security وجود دارد که اکثر حفره های امنیتی را پوشش می دهد. در این مطلب شما را با دستورالعمل های اجرای امنیت وردپرس از (Open Web Application Security Protocol) OWASP آشنا می کنیم.
پلن امنیت وردپرس
این یک شایعه است که می گوید وردپرس از رایج ترین سیستم های مدیریت محتوای هک شده است. توجه کنید که امنیت وردپرس پایین نیست. این مائیم که در هنگام راه اندازی سایت نکات امنیتی را در نظر نمی گیریم. یک برنامه امنیتی دقیق به همراه بروزرسانی های منظم می تواند از حملات هکر ها جلوگیری کند.
کلیدهای امنیتی WordPress را پیکربندی کنید
یک خطای پیکربندی می تواند فاجعه به بار آورد. فایل WP-CONFIG.PHP پیکر بندی سایت و پارامترهای اتصال به دیتا بیس را نگهداری می کند که به یک مهاجم امکان می دهد کنترل سایت را در دست بگیرد. بنابراین اولین قدم این است؛ دسترسی به این فایل را محدود کنید و کلمه عبور را به صورت دوره ای تغییر دهید.
- برای محدود کرن دسترسی به فایل WP-CONFIG در هاست وردپرسی خود وارد شده و سطح دسترسی فایل مربوطه را بر روی 644 قرار دهید تا در حین اینکه کاربران از آن استفاده می کنند، قادر به تغییر نباشند. در تصویر زیر می توانید مجوزهای دسترسی به پوشه های مختلف تغییر دهید.
- برای اجبار به تغییر دوره ای رمز عبور از افزونه های مرتبط استفاده کنید.
- علاوه بر این برای پوشه WP-ADMIN خود که در هاست شما قرار دارد، رمز و نام کاربری تعیین کنید.
از لاگین وردپرس حفاظت کنید
- صفحه لاگین وردپرس را پنهان کنید: از افزونه Itheme security برای تغییر url ورود به پیشخوان استفاده کنید. از این به بعد دیگر آدرس wp-admin و wp-login.php در دسترس کاربران نخواهد بود. چندین افزونه برای این منظور وجود دارد که با روش های مختلفی اینکار را انجام می دهند. برخی در هسته وردپرس این تغییر را انجام داده برخی دیگر تغییراتی در فایل .htaccess
RewriteRule ^banana$ http://example.com/wp-login.php [NC,L]
به عنوان مثال بعد از درج کد بالا، نام banana.php جایگزین نام wp-login.php می شود.
- ازتنظیمات قفل ورود استفاده کنید: به عنوان مثال پس از 5 تلاش ناموفق کاربر برای ورود به پیشخوان یا پنل مدیریت، حساب کاربری وی را مسدود کنید. اینکار برای متوقف کردن ربات و هکر ها بسیار کاربردی است. افزونه login lockdown اینکار را برای شما انجام می دهد.
- از ایمیل بجای نام کاربری استفاده کنید: حفظ کردن نام کاربری برای اعضای سایت دشوارتر از ایمیل آنهاست. بنابراین امکان ورود با ایمیل را به جای یک نام کاربری ساده برای آنها قرار دهید.
فعال کردن تأیید هویت دو عاملی در صفحه ورود (2FA)
فعال کردن احراز هویت دو عاملی وردپرس بسیار مهم است. اگر رمز عبور شما توسط حملات فیشینگ و یا سایر روش ها به سرقت برود دیگر هیچ مانعی برای ورود به حساب کاربری شما وجود ندارد. و این عواقب بدی چون سرقت موجودی و حساب کاربری شما را بدنبال دارد.
یکی از روش های تائید هویت دوعاملی استفاده از افزونه digits به عنوان پلاگینی برای ثبت نام با شماره موبایل در وردپرس است. به این ترتیب با استفاده از درگاه های معتبر پیامکی ثبت نام و ورود با شماره موبایل انجام می شود و از ورود کاربران اسپم جلوگیری می شود.
لطفا از نام کاربری Admin استفاده نکنید
بهترین روش محافظت از سایت وردپرسی انتخاب نام کاربری و رمز عبور قوی توسط کاربران سایت است. طول رمز عبور، استفاده از علایم و اعداد و ترکیب حروف بزرگ و کوچک بسیار مهم است. کاراکتر مناسب و 14 تا ایده ال است. اعتبار پسوردهای وردپرس خود را به طور مرتب بازبینی و در خواست تغییر آنها را ارسال کنید. برای این منظور از password generator استفاده کنید.
لطفا بیخیال admin شوید.
پیام خطای عمومی نمایش دهید
در هنگام ورود نام کاربری و گذرواژه نادرست، خطاهای احتمالی قالب و افزونه تنها باید پیام های عمومی مثل “اطلاعات ورودی نادرست است” نمایش دهید. این تنظیمات می تواند در فایل wp-config.php و به منظور غیر فعال کردن نمایش خطاهای وردپرس انجام شود.
define(‘WP_DEBUG’, false);
غیرفعال کردن API REST در وردپرس
Wp rest API بازیابی داده ها را با استفاده از درخواست GET آسان می کند و معمولا برای طراحی اپلیکیشن برای سایت های وردپرسی کاربرد دارد. در صورتیکه نیازی به آن ندارید بهتر است غیر فعال شده و از حملات DDOS جلوگیری شود. برای اینکار کد زیر را در فایل FUNCTION.PHP قرار دهید.
add_filter (‘json_enabled’, ‘__return_false’);
add_filter (‘json_jsonp_enabled’, ‘__return_false’);
وردپرس خود را آپدیت نگه دارید
در نسخه های بروزشده هسته وردپرس و افزونه ها مشکلات احتمالی رفع و بهبودهایی از نظر سرعت و افزایش امنیت وردپرس حاصل می شود. بهتر است در اسرع وقت آپدیت های موجود در پیشخوان را انجام دهید. برای مشاهده لیست برای مشاهده لیست آپدیت ها از پیشخوان بروزرسانی ها را کلیک کنید.
نقش های کاربری مختلف تعریف کنید
بسیاری از کاربران تازه کار وردپرس نمی دانند که نقش ها چه اهمیتی دارند و به همه کاربران تازه وارد نقش مدیریت را اختصاص می دهند. به طور پیش فرض وردپرس 6 نقش کاربری دارد که مدیریت بالاترین سطح آن است. این نقش، به کاربر امکان می دهد به همه تنظیمات قالب و افزونه های نصب شده دسترسی داشته باشند.
از SSL در سایت وردپرس خود استفاده کنید
از سال 2019 گواهینامه SSL برای گوگل اهمیت ویژه ای پیدا کرد. به طوری که مرورگر گوگل گروم شروع به علامت گذاری وب سایت های غیر HTTPS به عنوان یک سایت غیر ایمن کرد. احتمالا موتور جستجوی گوگل نیز به سایت های HTTPS اهمیت بیشتری در رتبه بندی بدهد.
در تصویر زیر گواهینامه ssl را فعال شده را بر روی مرورگر مشاهده می کنید.
دیتابیس خود را ایمن کنید
شرکت های کوچک و متوسط بیشتر از شرکت های بزرگ درگیر حملات سایبری هستند، زیرا آسیب پذیر تر هستند. خصوصا مشاغل الکترونیکی که داده های حساس تری دارند. حمله کنندگان از طریق دسترسی به پایگاه داده کار خود را انجام می دهند. بنابراین برای کاهش سطح حمله یا نقاط ورودی برای مهاجمین چند قدم زیر را بردارید:
پیشوند جداول دیتابیس را تغییر دهید: یک روش ساده تغییر پیشوند جدول دیتابیس در هنگام نصب وردپرس است که با WP_ شروع می شود.
تهیه نسخه پشتیبان از پایگاه داده: تهیه نسخه بک آپ از دیتابیس یعنی شما درهر زمان می توانید سایت خود را در قبال حملات هکرها و عدم دسترسی به پیشخوان بازیابی کنید. اگر نمی خواهید به صورت دستی اینکار را انجام دهید، افزونه های متنوعی برای این منظور وجود دارد.
افزونه های امنیتی وردپرس شما را نجات می دهند
افزونه wordfence یکی از بهترین پلاگین های ضد فیشینگ و افزایش امنیت وردپرس است که با ارائه یک فایروال و اسکنر آنتی ویروس قدرتمند قادر است به صورت زنده از سایت وردپرسی شما محافظت کند.
از هاست ایمن استفاده کنید
هاست ایمن یکی از مهمترین نیاز برای یک سایت است که مهمترین نقش را در امنیت برعهده دارد. برخی از ویژگی هایی که یک میزبان باید ارائه کنند در زیر لیست شده است:
- پارامترهای امنیت مرکز داده
- سیستم امنیت سمت سرور از قبیل فایروال و نرم افزار آنتی مالویر
- افزودنی های SSL
- بک آپ خودکار
- مدیریت بروز رسانی ها
در این مطلب در مورد آموزش امنیت وردپرس و چک لیست های آن صحبت شد. انتخاب نام کاربری و رمز عبور قوی، احراز هویت دوعاملی، محافظت از فایل های WP-config.php ،htaccess و تغییر نام پیشوند جداول پایگاه داده، مجوزهای دسترسی پوشه ها و فایل ها، انتخاب هاست ایمن و استفاده از افزونه های امنیتی مهمترین نکاتی بودند که مفصلا به آنها پرداخته شد. هر چند نمی توان صد در صد گفت راه نفوذ هکر ها بسته می شود اما می توان گفت با این اقدامات راه نفوذ به سایت بسیار دشوار خواهد بود و استاندارد های امنیتی رعایت می شوند بنابراین سایت شما امتیاز یک سایت ایمن را دریافت می کند.
تابحال مشکل امنیتی برای وب سایت وردپرسی شما رخ داده است؟ تجربه خود را با ما در میان بگذارید.
