افزایش امنیت وردپرس

امنیت وردپرس، آموزش وردپرس

افزایش امنیت وردپرس از اهمیت بالایی برخوردار است اما بهرحال به مانند هر سیستم دیگری، مسایل امنیتی وجود دارد که در صورتیکه در خصوص آنها فکری نشود، می تواند مساله ساز شود.

جدول محتوا

افزایش امنیت وردپرس به چه معناست؟

اساسا امنیت به این معنا نیست که سیستم عاری از هر گونه مساله امنیتی باشد. چنین چیزی غیرممکن است و حفظ آن نیز همینطور. در واقع امنیت به معنای کاهش ریسک است و نه از بین بردن ریسک. امنیت یعنی به کارگیری تمام ابزارهای مناسب در دسترس که به شما اجازه بهبود وضعیت و کاهش خطرات امنیتی را می دهد.

میزبان وبسایت

اغلب اوقات وقتیکه صحبت از افزایش امنیت وردپرس می شود، اولین چیزی که به ذهن خطور می‌کند محیط میزبانی وبسایت است. امروزه انتخاب های زیادی در دسترس شماست. در حالیکه میزبان ها حدی از امنیت را تضمین می کنند اهمیت دارد که درک کنیم که حد این مسئولیت کجاست و از کجا مسئولیت های شما آغاز می شود.

یک سرور ایمن از حریم خصوصی شما، یکپارچگی و در دسترس بودن منابع تحت کنترل مدیر حفاظت می کند.

نکات مثبت یک میزبان وب ایمن شامل این موارد می شود:

  • در خصوص نگرانی های امنیتی کاملا آماده صحبت باشد و توضیح دهد که در پلن های میزبانی خود چه ویژگی ها و فرآیندهایی را پشتیبانی می کنند.
  • پایدارترین نسخه از تمام نرم افزارهای سرور را ارایه کند.
  • روش های قابل اتکا را برای پشتیبان گیری و بازیابی اطلاعات فراهم سازد.

بررسی کنید و ببینید که چه تنظیمات امنیتی را بر روی سرور نیاز دارید.

اغلب اوقات میزبان های وب پاسخگوی کیفیت زیرساختی هستند که وبسایت بر روی آن بستر کار می کند، و پاسخگوی برنامه ای که بر روی این بستر مورد استفاده قرار می گیرد نیستند.

برای درک اینکه کجا و چرا این مساله اهمیت فوق العاده ای پیدا می کند بایستی ببینید که نفوذ و رخنه در وبسایت ها چگونه رخ می دهد. به ندرت این رخنه ها به دلیل ضعف زیرساخت رخ می دهند و اغلب اوقات به دلیل نواقص در خود برنامه است.

رخنه های کامپیوتر شخصی شما

مطمئن شوید که از نرم افزارهای ضداسپم و ضدویروس بر روی کامپیوتر شخصی خود استفاده می کنید. اگر بر روی کامپیوتر شخصی خود امنیت خوبی نداشته باشید خیلی میزان امنیت وردپرس یا وب سرور فرقی به حال شما نمی کند.

برای افزایش امنیتی وردپرس همیشه سیستم عامل، مرورگر و نرم افزار روی آن را به روز نگاه دارید، به‌روزرسانی از شما در برابر آسیب پذیری‌های امنیتی محافظت می کند. اگر وبسایت های نامطمئن را مرور می کنید، توصیه ما این است که از ابزارهایی مانند no-script (یا غیرفعال‌سازی جاوا اسکریپت) در مرورگر خود استفاده کنید.

رخنه های وردپرس

به مانند تمام بسته های نرم افزاری مدرن، وردپرس به صورت منظم به‌روزرسانی می شود تا مسایل امنیتی جدیدی که به وجود آمده و تهدیدی برای وبسایت محسوب می شوند را رفع کند. بهبود امنیت نرم افزار همیشه یک نگرانی است و به همین منظور برای افزایش امنیت همیشه بایستی وردپرس خود را با آخرین نسخه آن به‌روز نگاه دارید. نسخه های قدیمی‌تر از وردپرس محافظتی در مقابل رخنه های امنیتی برای شما ایجاد نمی کنند.

رخنه های وب سرور

وب سرور که وردپرس بر روی آن اجرا می شود و نرم افزارهای مخصوصی دارد، ممکن است که دچار آسیب‌پذیری شود. از این رو به جهت افزایش امنیت وردپرس مطمئن شوید که همیشه از ایمن ترین، پایدارترین و آخرین نسخه از وب سرور و نرم افزار روی آن استفاده می کنید یا اینکه مطمئن شوید که از خدمات میزبانی مطمئن استفاده می کنید که مسایل را برای شما مدیریت می کند.

اگر از سرور اشتراکی استفاده می کنید و یک وبسایت بر روی همان سرور به خطر بیافتد، وبسایت شما به صورت بالقوه نیز دچار خطر رخنه قرار می گیرد حتی اگر که همه مسایل ایمنی و امنیتی را رعایت کرده باشید.

رخنه های شبکه

سمت سرور وردپرس و سمت شبکه مشتری بایستی از ایمنی خوبی به جهت افزایش امنیت وردپرس برخوردار باشد. این به معنای به روز رسانی قوانین فایروال بر روی روتر خانگی و مراقب بودن در خصوص شبکه هایی است که از آنها برای ارتباط اینترنتی خود استفاده می کنید، می باشد. مثلا یک کافی‌نت که کلمات عبور را بر روی بستری رمزنگاری نشده انتقال می دهد، شبکه ای مطمئن و ایمن محسوب نمی شود.

کلمات عبور

جلوی بسیاری از آسیب پذیری‌های بالقوه را می توان با عادات خوب امنیتی گرفت. یک کلمه عبور قدرتمند در واقع تلاشی مثبت در جهت افزایش امنیت وردپرس محسوب می شود.

هدف انتخاب کلمه عبور قدرتمند این است که کار حدس زدن آن و درجه موفقیت حملات بروت‌فورس راسخت کند. بسیاری از رمزسازهای خودکار و رایگان وجود دارند که می توانید از آنها برای تولید و ایجاد کلمات عبور ایمن استفاده کنید.

وردپرس نیز برای افزایش امنیت وردپرس از قدرت‌سنج کلمه عبور خود هنگام تغییر کلمه عبور در وردپرس استفاده می کند. استفاده از این قابلیت هنگام تغییر کلمه عبور ما را مطمئن می سازد که کلمه عبورمان از حداکثر قدرت برخوردار است.

مواردی که بایستی هنگام انتخاب کلمه عبور به آنها دقت داشته باشیم:

  • از نام حقیقی خود، نام کاربری، نام شرکت یا نام وبسایت خود به عنوان بخشی از کلمه عبور استفاده نکنید.
  • از دیکشنری استفاده نکنید.
  • کلمه عبور کوتاه برنگزینید.
  • از انتخاب کلمات عبور تنها عددی یا تنها الفبا بپرهیزید.

برای افزایش امنیت وردپرس، کلمه عبور قدرتمند نه تنها ضرورت دارد بلکه از محتوای وبسایت شما در مقابل خطرات محافظت می کند.

مجوزهای دسترسی به فایل

یکی از ویژگی های خوب وردپرس نوشتنی کردن فایل های مختلف توسط وب سرور است. اما اجازه دسترسی برای نوشتن در فایل ها به صورت بالقوه خطرناک است، مخصوصا در محیط‌های هاست اشتراکی. بهترین شرایط برای افزایش امنیت وردپرس این است که تا حد امکان اجازه های دسترسی به فایل را سلب کنید و مواقعی که نیاز به نوشتن در فایل دیده می شود اقدام به برداشتن برخی از محدودیات کنید.

مالکیت تمام فایل ها بایستی متعلق به نام کاربری شما باشد و بایستی توسط شما نوشتنی باشد. هر فایلی که نیاز به دسترسی نوشتن از طریق وردپرس دارد بایستی توسط وب سرور نوشتنی شود.

افزایش امنیت وردپرس

پوشه ریشه وردپرس: اگر می خواهید که وردپرس به صورت خودکار قوانین بازنویسی را برای شما تولید کند، بایستی تمام فایل ها تنها توسط حساب کاربری شما نوشتنی باشد به جز فایل htaccess.

ناحیه مدیریتی وردپرس wp-admin: تمام فایل ها بایستی تنها توسط حساب کاربری شما نوشتنی باشد.

فایل های برنامه وردپرس wp-includes: تمام فایل ها بایستی تنها توسط حساب کاربری شما نوشتنی باشد.

محتوای کاربر wp-content: بایستی توسط حساب کاربری شما و وب سرور نوشتنی باشد.

فایل های قالب wp-content/themes: اگر از ویرایشگر پیش فرض قالب استفاده می کنید تمام فایل های بایستی توسط فرآیند وب سرور نوشتنی باشد. اگر نمی خواهید از ویرایشگر پیش فرض قالب استفاده کنید، نوشتنی تمام فایل ها تنها توسط حساب کاربری شما بایستی باشند.

فایل های پلاگین wp-content/plugins: تمام فایل ها بایستی توسط حساب کابری شما نوشتنی باشند.

امنیت پایگاه داده

اگر چندین وبلاگ را بر روی یک سرور راه انداخته اید، برای افزایش امنیت وردپرس بایستی آنها را در پایگاه داده های جداگانه توسط کاربران متفاوت نگهداری کنید. با این روش، اگر یک مهاجم با موفقیت توانست وارد وردپرس شما شود، کار تغییر و رخنه در دیگر بلاگ ها برای او سخت خواهد شد.

اگر مدیر MySQL هستید، از پیکربندی صحیح MySQL مطمئن شوید و ویژگی های غیرضروری (مانند قبول اتصال از راه دور TCP) را غیرفعال کنید.

محدودسازی دسترسی کاربر پایگاه داده

برای عملیات معمولی وردپرس مانند ارسال مطالب وبلاگ، آپلود فایل های چندرسانه ای، ارسال دیدگاه، ساخت کاربران جدید در وردپرس و نصب پلاگین های وردپرس، کاربر پایگاه داده MySQL تنها نیاز به خواندن و نوشتن داده ها در پایگاه داده MySQL دارد؛ SELECT, INSERT, UPDATE و DELETE.

از این رو به منظور افزایش امنیت وردپرس هر دسترسی مدیریتی و ساختاری در پایگاه داده مانند DROP یا ALTER و GRANT بایستی لغو شود.

به خاطر داشته باشید که برخی از پلاگین‌ها، قالب و به‌روزرسانی های بزرگ وردپرس ممکن است که نیازمند تغییرات ساختاری در پایگاه داده باشند مانند افزودن جداول جدید یا تغییرات. در چنین مواردی پیش از نصب افزونه یا به‌روزرسانی نرم افزار، بایستی به صورت موقت اجازه دسترسی های لازم به کاربر پایگاه داده را بدهید.

ایمن سازی wp-admin

یکی دیگر از روش های افزایش امنیت وردپرس، افزودن کلمه عبور در سمت سرور به مسیر wp-admin است تا با اینکار لایه دوم محافظتی در حدود ناحیه مدیریتی وبلاگ شما، صفحه لاگین و فایل های شما افزوده شود. اینکار مهاجم یا ربات را مجبور می کند تا بجای حمله به فایل های مدیریتی به لایه دوم حفاظتی حمله کند.

البته بایستی دقت داشته باشید که با ایمن سازی پوشه wp-admin خیلی ساده ممکن است عملکرد وردپرس را دچار اختلال کنید، مانند هندلر AJAX در مسیر wp-admin/admin-ajax.php.

معمول ترین حملات علیه وبلاگ وردپرس معمولا در دو دسته می‌گنجد:

  1. ارسال درخواست های HTTP به سرور با پیلودهای ویژه برای آسیب‌پذیری‌های به خصوص. این آسیب‌پذیری‌ها شامل پلاگین و نرم‌افزارهای قدیمی/به‌روزرسانی نشده می شود.
  2. تلاش برای دسترسی به وبلاگ با استفاده از روش حدس کلمه عبور بروتفورس.

ایمن سازی wp-includes

برای افزایش امنیت وردپرس، لایه دوم حفاظتی را می توان به جایی که اسکریپت ها قرار دارند نیز اضافه کرد که معمولا مورد دسترسی کاربران قرار نمی گیرد. یک راه برای انجام آن این است که آن اسکریپت ها را با استفاده از mod_rewrite در فایل htaccess مسدود کنیم. توجه داشته باشید که کد زیر توسط وردپرس بازنویسی نشود، برای اینکار آن را خارج از تگ های BEGIN WordPress # و END WordPress # در فایل htaccess قرار دهید. وردپرس توانایی بازنویسی هر کد داخل این تگ ها را دارد.

<IfModule mod_rewrite.c>
RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

به خاطر داشته باشید که این ویژگی در حالت چندسایتی وردپرس کار نمی کند.

ایمن سازی wp-config.php

می توانید فایل wp-config.php را در پوشه ای دیگر نگهداری کنید. این بدان معناست که برای افزایش امنیت وردپرس خود می توانید wp-config.php را خارج از پوشه ریشه وبسایت ذخیره کنید.

به خاطر داشته باشید که فایل wp-config.php را می توانید یک سطح پوشه بالاتر از محل نصب وردپرس (جایی که wp-includes قرار دارد) نگهداری کنید. همچنین مطمئن شوید که تنها شما (و وب سرور) توانایی خواندن این فایل را دارد (دسترسی 440 و 400 بدهید).

اگر از htaccess استفاده می کنید می توانید کد زیر را در (ابتدای) فایل برای عدم اجازه دسترسی به هر شخصی که آن را مرور می کند قرار دهید:

<files wp-config.php>
order allow,deny deny from all
</files>

غیرفعال سازی ویرایش فایل

به صورت پیش فرض پیشخوان وردپرس به مدیران اجازه ویرایش فایل PHP را می دهد، مانند فایل های قالب و پلاگین. این حالت اغلب به عنوان اولین ابزار یک مهاجم برای اجرای کد تلقی می شود، البته در صورتیکه توانایی لاگین به وردپرس را داشته باشد. به جهت افزایش امنیت وردپرس می توانید از قابلیتی برای غیرفعال سازی ویرایش از طریق داشبورد استفاده کنید. خط زیر را در فایل wp-config.php قرار دهید تا قابلیت های edit_themes، edit_plugins و edit_files را از تمام کاربران سلب کنید:

define('DISALLOW_FILE_EDIT', true);

البته این کد باعث نمی شود که مهاجم قادر به آپلود فایل های مخرب در فضای وبسایت شما نشود بلکه می تواند جلوی حملات را بگیرد.

پلاگین‌ها

برای افزایش امنیت وردپرس، مطمئن شوید که همیشه پلاگین‌های‌تان به روز باشند. همچنین اگر از پلاگین به خصوصی استفاده نمی کنید، آنها را از روی سیستم خود حذف کنید.

دیواره آتشین (فایروال)

راه دیگر برای افزایش امنیت وردپرس استفاده از فایروال در وردپرس است. پلاگین و خدمات بسیاری هستند که می توانند به عنوان یک فایروال برای وبسایت شما عمل کنند. برای این منظور می توانید از افزونه امنیتی وردپرس WP Cerber Security که امکانات بسیاری دارد استفاده کنید.

جدا از استفاده از پلاگین های امنیتی وردپرس، همچنین می توانید WAF (فایروال وب) را روی وب سرور خود برای فیلتر محتوا پیش از پردازش توسط وردپرس نصب کنید. محبوب‌ترین WAF متن باز ModSecurity است.

همچنین می توانید برای افزایش امنیت وردپرس از میانجی هایی بین ترافیک اینترنت و سرور میزبان خود استفاده کنید. این خدمات به عنوان واسطه عمل می کند. اینکار با تغییر رکوردهای DNS صورت می پذیرد. این روش باعث می شود که تمام ترافیک شما توسط فایروال پیش از دستیابی به وبسایت فیلتر شود. شرکت هایی مانند کلودفلیر اینکار را برای شما انجام می دهند.

ثبت گزارش

وقتیکه صحبت از درک اتفاقات جاری در وبسایت می شود، گزارش یا لاگ بهترین دوست شما خواهد بود. ثبت گزارش در وردپرس به شما اجازه می دهد که درک کنید که چه شخصی چه کاری را در چه زمانی انجام داده است؛ به طور کلی استفاده از روش ثبت گزارش باعث افزایش امنیت وردپرس می شود.

برای درک و استفاده راحت از گزارشات می توانید از افزونه هایی مانند Sucuri Auditing tool یا Audit trail و با افزونه امنیتی وردپرس WP Cerber Security استفاده کنید.

نظارت و بررسی

گاهی اوقات پیشگیری کافی نیست و هنوز هم امکان هک شدن وبسایت شما وجود دارد. در این شرایط می توانید به تشخیص/نظارت فکر کنید. با استفاده از روش های نظارتی می توانید واکنش سریعتر داشته و کشف کنید که چه اتفاقی رخ داده و وبسایت را بازیابی کنید. استفاده از افزونه امنیتی وردپرس WP Cerber Security برای بررسی اتفاقات در جریان در وبسایت یکی از روش های نظارت و بررسی وبسایت وردپرس شماست.

0 / 5. 0

دیدگاهتان را بنویسید