روزانه هزاران وبسایت در سطح جهان مورد حملهی هکرها قرار میگیرند. با آنکه وردپرس ذاتاً محیطی امن است اما امنیت هیچگاه بهصورت صد در صد وجود ندارد. رعایت اصول امنیتی تا حد زیادی میتواند به افزایش امنیت وردپرس کمک کند. اگر در این موارد سهلانگاری شود امکان دارد تمام زحمات شما به هدر رود.
در گذشته در مقالهی مهمترین تهدیدهای امنیتی وبسایت به بررسی اساسیترین تهدیدها و روشهای هک پرداختیم. اکنون در این مقاله از مقالات آموزش امنیت وردپرس، سعی میکنیم با ارائه راهکارهایی به افزایش امنیت در وردپرس بپردازیم.
نکات افزایش امنیت وردپرس:
۱- استفاده از هاست معتبر
هر چقدر هم شما روی امنیت وبسایت خود کار کنید ولی هاست ایمنی نداشته باشید، سایت شما از طریق هاست ضعیف مورد آسیب قرار میگیرد. (در مقالهی معرفی هاست به بررسی مفهوم آن پرداختهایم. اگر از هاست اظلاعاتی ندارید به این مقاله مراجعه نمایید.)
در واقع انتخاب یک هاست معتبر گام اول حفظ امنیت وبسایت شماست. سعی کنید از شرکتهایی هاست تهیه کنید که به صورت مداوم سرورها را اسکن میکنند، از firewallهای قوی استفاده میکنند و مدام از وبسایتها پشتیبان تهیه میکنند.
معمولاً قدم اول در حمله به یک وبسایت حدس زدن نام کاربری و رمز عبور آن است. پس برای همیشه کلماتی مثل: ادمین، root، شماره تماس و.. را در انتخاب نام کاربری کنار بگذارید. همچنین تمام کاربران باید از رمز عبور قوی استفاده نمایند. بهتر است رمز عبور کاربران بهصورت دورهای تغییر کند.
۳- تغییر آدرس صفحهی ورود به وردپرس
بهصورت پیش فرض آدرس ورود به پنل وردپرس wp-login.php است. برای افزایش امنیت وردپرس، بهتر است آدرس صفحهی ورود تغییر کند. برای تغییر دادن این آدرس میتوانید از افزونههایی مثل hc custom wp-admin url استفاده کنید.
۴- امنیت صفحهی ورود به وردپرس
برای ورود به پنل وردپرس میتوان از نام کاربری و یا ایمیل استفاده کرد. از آنجا که از ایمیل خود در جاهای مختلف استفاده میکنید، هکر میتواند از آدرس ایمیل شما به عنوان نام کاربری استفاده کند و با حدس رمز عبور وارد پنل وردپرس شود. برای جلوگیری از ورود با ایمیل، کد زیر را در فایل function.php قرار دهید:
همچنین بهتر است تعداد دفعات ورود به وردپرس را محدود کنید. این قابلیت در اکثر افزونههای امنیتی وجود دارد.
۵- استفاده از کپچا
در صفحه ورود به پنل وردپرس و فرمها از کپچا استفاده نمایید. اغلب موارد هکرها با ارسال دادههای اسپم سعی دارند منابع هاست را درگیر کنند تا سایت از دسترس خارج شود. کپچا با جلوگیری از ارسال دادههای اسپم، به افزایش امنیت وردپرس کمک میکند.
۶- استفاده از افزونه و قالبهای مطمئن
سعی کنید برای دانلود افزونههای وردپرسی از مخزن وردپرس یا وب سایت اصلی وردپرس به نشانی https://wordpress.org استفاده نمایید. برای دریافت قالب یا افزونه، به هر منبعی نباید اطمینان کرد. کدهای مخرب قرار داده شده در بعضی از قالب و افزونهها میتواند آسیبهای جدی به امنیت وب سایت شما وارد کند.
۷- بهروزرسانی مداوم
برای حفظ امنیت کامل وردپرس، سعی کنید وردپرس و تمام قالب و افزونههای سایتتان را مداوم و به موقع بهروزرسانی کنید. گاهی اوقات در اثر بهروز نبودن وردپرس، هکرها هستهی وردپرس را مورد هدف قرار میدهند، وردپرسی که جزو امنترین سیستمهای مدیریت محتوا است.
۸- مخفی کردن نام کاربری
زمانی که روی نام نویسندهی مطلبی کلیک کنید، صفحهی نویسنده باز میشود. در آدرس این صفحه، نام کاربری نویسنده نمایش داده میشود. نمایش نام کاربری، نفوذ به سایت را یک قدم آسانتر میکند زیرا هکر فقط باید رمز عبور را حدس بزند! بنابراین برای افزایش امنیت وردپرس، نام کاربری نمایش داده شده را تغییر دهید. برای انجام این کار کافی است وارد دیتابیس سایت خود شوید، در جدول wp-users در بخش Nicename، نام خود را تغییر دهید.
۹- تغییر پیشوند جداول پایگاه داده
در وردپرس پیشوند جداول بهصورت پیش فرض، wp است. برای افزایش امنیت پایگاه داده سایت خود هنگام نصب وردپرس، این پیشوند را تغییر دهید. همچنین بهصورت مداوم از پایگاه دادهی وب سایت خود پشتیبان تهیه کنید.
۱۰- غیر فعال کردن ویرایشگر قالب
در پیشخوان وردپرس در بخش نمایش، ویرایشگر قالب قرار داده شده تا بتوانید از این طریق، قالب سایت را ویرایش کنید. برای تامین امنیت وردپرس، بهتر است این بخش را غیرفعال کنید تا اگر شخصی موفق شد به پنل وردپرس وارد شود، نتواند قالب وبسایتتان را به هم بریزد. برای غیرفعال کردن ویرایشگر قالب، کد زیر را در فایل wp-config.php که در ریشهی هاست وجود دارد، قرار دهید:
1
define('DISALLOW_FILE_EDIT',true);
با رعایت این ۱۰ نکته تا حد زیادی به افزایش امنیت وردپرس کمک خواهید کرد. اگرچه انجام این نکات لازم است اما کافی نیست!
بهتر است از یک افزونه امنیتی قدرتمند هم در این زمینه استفاده کنید. توصیهی ما افزونهی ithemes security است که در مقالهی زیر میتوانید کار کردن با آن را گام به گام بیاموزید.
برای جلوگیری از اسپم در صورتی که از افزونه های کپچا استفاده کنیم باز هم نیازی به افزونه های آنتی اسپم مثل Akismet هست ؟ یا به بیان دیگر نصب یکی از این افزونه ها کافی هست ؟ یا هر دو افزونه را داشته باشیم ؟ تشکر.
اگر افزونه کپچا داشته باشید دیگه ربات ها براتون کامنت ارسال نمیکنن اما ممکنه به صورت دستی توسط کاربرا پیام های اسپم دریافت کنید. یعنی با نصب کپچا احتمال دریافت پیام اسپم به شدت کاهش پیدا میکنه اما صفر نمیشه
سلام. چطور میشه امنیت فولدر wp-admin را بالا برد؟ غیر از پسورد گذاشتن روی فولدر (htaccess) بعضی از سایتهای معروف وردپرس امکان دسترسی به این فولدر وجود ندارد مثلا من بعنوان یک کاربر عادی وارد این صفحه سایتهای معروف را بشوم، پیغام ۴۰۴ میدهد. صفحه خودتون نیز همینطور هست example.cpm/wp-admin
مطلب جالبی بود ممنون بابت زحمتی که کشیدید… عالی بود..
چند تا نقد ریز هم داشتم: 1) در مورد 7 که اشاره کردید (بروز رسانی مداوم)!!! نمیتونه دلیلی بر بالابردن امنیت باشه خیلی وقتا هست که نسخه ی جدید زودتر منتشر میشه، بعدش همه در قدم اول بروز رسانی میکنن در صورتی که این کار کاملا اشتباهه!چون ممکنه هنوز مورد بررسی دقیق قرار نگرفته باشه و یه آسیب پذیری یا ضعفی درش باشه که میتونه به ضرر صاحب سایت تموم بشه.
2) در مورد 5،استفاده از کپچا تا حدودی میتونه از حملات بروت فورس جلوگیری کنه،در حالی که میشه باتعویض user agent این محدودیت رو به راحتی دور زد!(با Cap Monster و یا با Sentry MBA)
3) در مورد 9،prefix جداول رو بخوایم تغییر بدیم،فرق زیادی نداره!چون به راحتی میشه توی اینجکت ها از بایپس هایی استفاده کرد که رمز رو توی هر تیبیلی باشه دو دستی تقدیمتون میکنه!(پس زیاد تاثیری نداره! ولی خب تغییرش خالی از لطف نیست)
میتونید از Sqlmap و ابزار های مشابه در توزیع های تست نفوذ لینوکسی استفاده کنید
در مورد نکتهی اولی که اشاره کردید باید بگم معمولاً زمانی یک افزونه آپدیت جدید ارائه میده که در نسخهی قبلی باگی پیدا شه و در ورژن جدید اون باگ اصلاح شده به همین دلیل هستش که وب سایتهایی مثل codex-wordpress توصیه کردن از افزونههای بروز استفاده کنید. اگر منظورتونم ناسازگاری نسخهی جدید با وبسایت هستش که تهیهی یک بکآپ مشکل رو حل میکنه. مورد ۵ و ۹ هم همونطور که فرمودید انجام دادنشون خالی از لطف نیست. به زودی در مورد مزایا و معایب استفاده از کپچا هم مقالهای منتشر میکنیم.
برای جلوگیری از اسپم در صورتی که از افزونه های کپچا استفاده کنیم باز هم نیازی به افزونه های آنتی اسپم مثل Akismet هست ؟ یا به بیان دیگر نصب یکی از این افزونه ها کافی هست ؟ یا هر دو افزونه را داشته باشیم ؟
تشکر.
اگر افزونه کپچا داشته باشید دیگه ربات ها براتون کامنت ارسال نمیکنن اما ممکنه به صورت دستی توسط کاربرا پیام های اسپم دریافت کنید.
یعنی با نصب کپچا احتمال دریافت پیام اسپم به شدت کاهش پیدا میکنه اما صفر نمیشه
سلام. چطور میشه امنیت فولدر wp-admin را بالا برد؟ غیر از پسورد گذاشتن روی فولدر (htaccess)
بعضی از سایتهای معروف وردپرس امکان دسترسی به این فولدر وجود ندارد
مثلا من بعنوان یک کاربر عادی وارد این صفحه سایتهای معروف را بشوم، پیغام ۴۰۴ میدهد. صفحه خودتون نیز همینطور هست
example.cpm/wp-admin
متشکرم
سلام احسان جان
میتونی از افزونههای امنیتی مثل IThemes Security استفاده کنی.
تشکر از پاسخگویی شما
موفق باشید
مطلب جالبی بود
ممنون بابت زحمتی که کشیدید…
عالی بود..
چند تا نقد ریز هم داشتم:
1) در مورد 7 که اشاره کردید (بروز رسانی مداوم)!!! نمیتونه دلیلی بر بالابردن امنیت باشه
خیلی وقتا هست که نسخه ی جدید زودتر منتشر میشه، بعدش همه در قدم اول بروز رسانی میکنن
در صورتی که این کار کاملا اشتباهه!چون ممکنه هنوز مورد بررسی دقیق قرار نگرفته باشه و یه آسیب پذیری یا ضعفی درش باشه که میتونه به ضرر صاحب سایت تموم بشه.
2) در مورد 5،استفاده از کپچا تا حدودی میتونه از حملات بروت فورس جلوگیری کنه،در حالی که میشه باتعویض user agent این محدودیت رو به راحتی دور زد!(با Cap Monster و یا با Sentry MBA)
3) در مورد 9،prefix جداول رو بخوایم تغییر بدیم،فرق زیادی نداره!چون به راحتی میشه توی اینجکت ها از بایپس هایی استفاده کرد که رمز رو توی هر تیبیلی باشه دو دستی تقدیمتون میکنه!(پس زیاد تاثیری نداره! ولی خب تغییرش خالی از لطف نیست)
میتونید از Sqlmap و ابزار های مشابه در توزیع های تست نفوذ لینوکسی استفاده کنید
در کل مقاله ی خوبی بود..با تشکر
سلام ممنون از اظهار نظرتون.
در مورد نکتهی اولی که اشاره کردید باید بگم معمولاً زمانی یک افزونه آپدیت جدید ارائه میده که در نسخهی قبلی باگی پیدا شه و در ورژن جدید اون باگ اصلاح شده به همین دلیل هستش که وب سایتهایی مثل codex-wordpress توصیه کردن از افزونههای بروز استفاده کنید. اگر منظورتونم ناسازگاری نسخهی جدید با وبسایت هستش که تهیهی یک بکآپ مشکل رو حل میکنه.
مورد ۵ و ۹ هم همونطور که فرمودید انجام دادنشون خالی از لطف نیست. به زودی در مورد مزایا و معایب استفاده از کپچا هم مقالهای منتشر میکنیم.