آموزش رایگان متخصص امنیت وردپرس
در این مقاله توضیح خواهیم داد که چگونه یک متخصص امنیت وردپرس شوید و امنیت وردپرس خود را تامین کنید.
آیا وردپرس امن است؟
اولین پرسشی که شما به عنوان یک متخصص امنیت وردپرس با آن مواجه میشوید این است که آیا به شکل کلی وردپرس امن است؟ با ارفاق میتوان گفت بله. به هر صورت معمولا استفاده از وردپرس تاریخ گذشته و آپدیت نشده، افزونه های نال، مدیریت ضعیف سیستم مدیریت محتوا، مدیریت نادرست گواهینامههای مورد استفاده روی سایت و فقدان دانش کافی در زمینه وب و امنیت باعث میشود که وردپرس مورد توجه هکرها قرار گیرد.
متخصص امنیت وردپرس
آموزش زیر آماده شده تا با دنبال کردن این موارد متخصص امنیت وردپرس شوید و امنیت وردپرس خود یا وردپرس دیگری که مسئولیت امنیت آن بر عهده شما سپرده شده است را تامین کنید.
طبق گزارش وبسایت internetlivestats، روزانه به صورت میانگین بیش از 100,000 وبسایت هک می شود. به همین دلیل بایستی به امنیت وبسایت خود اهمیت ویژه دهید.
1. هاست مناسب وردپرس
وقتیکه صحبت از امنیت وردپرس می شود، بایستی به عنوان متخصص امنیت وردپرس بدانید که تنها استفاده از بهترین افزونه امنیتی و پیکربندی صحیح آن کافی نیست. موارد امنیتی در سطح سرور وجود دارد که هاست وبسایت شما پاسخگوی آن است که از دسترس شما خارج است.
خیلی مهم است که از یک هاست معتبر برای راه اندازی وبسایت کسب و کار خود استفاده کنید. در سطح سرور، شرکت هاست می بایست محیط کاملا امنی برای سرور ایجاد کند تا قادر به مقابله با خطرات امنیتی پیچیده هم از نظر فیزیکی و هم مجازی باشد.
به همین منظور سروری که وردپرس شما روی آن میزبانی می شود می بایست همواره جدیدترین نسخه سیستم عامل و نرم افزار امنیتی و … را بر روی خود داشته باشد تا امکان تست صحیح و کامل فضای هاست را برای بررسی وجود آسیب پذیری و بدافزار داشته باشد. همچنین باعث شود از فضایی استفاده کنید که از بهروزترین نرم افزارها استفاده میکند.
2. استفاده از آخرین نسخه PHP
در مقام یک متخصص امنیت وردپرس بایستی از به روز بودن نسخه PHP مورد استفاده روی سایت مطمئن شوید. PHP ستون فقرات وردپرس شماست و استفاده از آخرین نسخه بر روی سرور و فعال کردن آن روی وبسایت از طریق پنل هاست اهمیت بالایی دارد. هر نسخه جدید PHP پس از انتشار معمولا تا دو سال بعد پشتیبانی می شود؛ یعنی برای آن نسخه به روزرسانی های جدید ارایه میشود. پس از گذشت این مدت پشتیبانی دیگر هیچ بسط یا آپدیت امنیتی ارایه نخواهد شد.
در حال حاضر نسخه 7.3 منسوخ شده و دیگر به روزرسانی برای آن ارایه نمی شود.
طبق آمار وردپرس، در حال حاضر بیش از 30 درصد از کاربران وردپرس از نسخه های منسوخ یعنی 7.3 و پایین تر روی وبسایت خود استفاده میکنند.
اگر از نسخه PHP که بر روی وردپرس خود استفاده می کنید اطلاعی ندارید میتوانید در بخش سلامت سایت خود روی پیشخوان مدیریت و اطلاعات وردپرس، جزییات نسخه PHP مورد استفاده روی وردپرس را بررسی کنید.
3. استفاده از کلمه عبور و نام کاربری قدرتمند
یکی از بهترین روش های ایمن کردن وردپرس و بالا بردن امنیت وردپرس به صورت ساده استفاده از کلمه عبور و نام کاربری قدرتمند است. به لیست بیشترین کلمات عبور دزدیده شده دقت کنید:
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwerty
- iloveyou
یکی از محبوب ترین کلمات عبور 123456 است.
حتما از کلمات عبور پیچیده استفاده کنید و از نام کاربری پیش فرض وردپرس نیز استفاده نکنید. برای وبسایت های مختلف از کلمات عبور مختلف استفاده کنید. میتوانید از ابزارهایی مانند KeePass برای ذخیره سازی کلمات عبور استفاده کنید.
4. همیشه وردپرس، افزونه و پوسته مورد استفاده را به روز نگاه دارید
یکی از موارد بسیار مهم دیگر برای حفظ امنیت وردپرس، به روز نگهداشتن هسته، افزونه و پوسته مورد استفاده روی وردپرس است. به روزرسانی یک محصول مانند افزونه یا پوسته به دلایل بسیاری ارایه میشود که رفع باگ یا بهبود امنیت محصول نیز میتواند از دلایل ارایه به روزرسانی جدید باشد. یک متخصص امنیت وردپرس نبایستی هیچگاه به روزرسانی وردپرس، افزونه و پوسته را به تاخیر بیاندازد.
متاسفانه میلیون ها کسب و کار از نسخه های قدیمی و تاریخ گذشته وردپرس، افزونه یا پوسته بر روی وبسایت خود استفاده میکنند و همچنان معتقدند که کسب و کار آنها در مسیر موفقیت گام برمیدارد. در این دست وبسایت ها، گهگاهی افزونه X کار نمی کند یا وبسایت در برخی مواقع کرش میکند.
5. تغییر صفحه ورود وردپرس
یکی از روش های محبوب برای افزایش امنیت وردپرس تغییر صفحه ورود وردپرس است. با انجام اینکار امکان یافتن صفحه ورود برای هکرها سخت تر میشود. با وجود افزونه های زیاد روی مخزن وردپرس اینکار به سادگی صورت میگیرد.
به صورت پیش فرض نشانی صفحه ورود وردپرس domain.com/wp-admin است. برای تغییر نشانی صفحه ورود بایستی از افزونه هایی مانند WPS Hide login استفاده کنید.
روش دیگر برای ایمن کردن صفحه ورود به وبسایت، محدود کردن تلاش های ورود به وبسایت است. این روش، یک راه حل تکمیلی در کنار روش بالا برای مخفی کردن صفحه ورود به شمار می رود. افزونه Cerber Limit Login Attempts را بر روی وردپرس خود نصب و فعال کنید و سپس تعداد تلاش های مجاز برای ورود و سایر جزییات را تنظیم کنید.
6. استفاده از ورود دو مرحله ای برای وردپرس
قابلیت ورود دو مرحله ای باعث ایجاد یک گام اضافی برای ورود به وردپرس شما میشود. این گام اضافی علاوه بر کلمه عبور برای ورود میتواند پیامک، تماس تلفنی یا کلمه عبور یکبار مصرف باشد.
با توجه به شیوه ای که برای ورود در روش ورود دو مرحله ای برای وردپرس استفاده می شود، عملا امکان ورود غیرمجاز به وبسایت شما دیگر وجود نخواهد داشت چون امکان دسترسی به کلمه عبور و گوشی همراه شما به صورت همزمان امکان پذیر نیست.
افزونه های زیادی برای انجام اینکار در مخزن وردپرس در دسترس هستند؛ از جمله افزونه Duo Two-Factor Authentication و Two Factor Authentication.
7. گرفتن ssl برای سایت
یکی از مهمترین روش ها برای افزایش امنیت وردپرس نصب یک گواهینامه SSL بر روی سایت است. HTTPS مکانیزمی است که به مرورگر شما اجازه ارتباط امن با یک وبسایت را میدهد.
امنیت
یکی از بزرگترین دلایل استفاده از HTTPS، افزایش امنیت وردپرس است. استفاده از ssl برای مخصوصا وبسایت های فروشگاهی توصیه می شود. با کمک این قابلیت هکرها قادر به دسترسی و دزدیدن اطلاعات از ارتباط بین مرورگر کاربر و وبسایت نخواهند بود.
بنابراین چه یک وبسایت فروشگاهی داشته باشید یا یک وبسایت شخصی یا خبری بایستی از این قابلیت روی وبسایت خود استفاده کنید. فعالسازی ssl از طریق هاست وبسایت شما صورت میگیرد.
سئو
گوگل رسما توضیح داده است که یکی از عوامل تاثیرگذار در رتبه بندی استفاده از https است. هرچند عامل مهمی در بهبود رتبه وبسایت شما محسوب نمی شود اما قاعدتا نمیخواهید که مزیت کمتری نسبت به رقبای خود داشته باشید.
اطمینان و اعتبار
طبق تحقیق منتشر شده توسط GlobalSign، حدود 30% از بازدیدکنندگان وبسایت شما به رنگ سبز در نوار آدرس مرورگر خود دقت می کنند. و 77% از آنها در خصوص سواستفاده از اطلاعات خود از جانب وبسایت شما نگران هستند. با مشاهده قفل سبز در کنار آدرس وبسایت شما مشتریان فورا اطیمنان خاطر خواهند یافت که داده های آنها در وبسایت شما امن است.
8. تغییر مسیر فایل wp-config.php
یکی از موارد دیگری که بایستی به عنوان یک متخصص امنیت وردپرس به آن توجه ویژه داشته باشید، فایل wp-config.php است. فایل wp-config.php قلب و روح وردپرس شماست. با اختلاف زیاد مهمترین فایل در وردپرس شما فایل wp-config.php محسوب میشود. اطلاعات لاگین به دیتابیس و کلیدهای امنیتی که رمزنگاری اطلاعات در کوکی ها را مدیریت میکنند در این فایل حاضر هستند. برای ایمن کردن wp-config.php کارهای زیر را میتوانید انجام دهید.
جابجایی و تغییر مسیر فایل wp-config.php
به صورت پیش فرض، فایل wp-config.php در ریشه وردپرس قرار دارد. البته میتوانید این فایل را به یک مسیر جدید که قابل دسترسی نیست انتقال دهید.
برای تغییر مسیر فایل wp-config.php بایستی تمامی اطلاعات داخل این فایل را کپی کنید و در فایلی دیگر قرار دهید سپس نشانی فایل جدید را در wp-config.php وردپرس خود include کنید. به صورت زیر:
<?php
include('/home/yourname/wp-config.php');
9. محدود کردن فایل xmlrpc
در سالیان گذشته xmlrpc هدف جذابی برای حملات بروت فورس بوده است. قابلیت های پنهانی که در xmlrpc وجود دارد این امکان را ایجاد میکند تا چندین متد را در یک درخواست اجرا کنیم. البته این قابلیت، قابلیت بسیار خوبی است چرا که میتوان چند دستور را در یک درخواست HTTP ارسال کرد. اما در کنار مزیت، امکان سواستفاده نیز به راحتی ایجاد میشود.
افزونه های زیادی بر روی وردپرس هستند که به xmlrpc متکیاند مانند افزونه جتپک. البته در معدود مواقعی این فایل توسط مدیر هاست مسدود میشود.
برای محدود کردن فایل xmlrpc میتوانید افزونه Disable XML-RPC را نصب و فعال کنید.
10. مخفی کردن نسخه وردپرس
مخفی کردن نسخه وردپرس یکی از روش های دیگر برای افزایش امنیت وردپرس است. به صورت پیش فرض نسخه وردپرس مورد استفاده شما در هدر وبسایت شما قابل دسترسی است.
میتوانید با تکه کد زیر در functions.php قالب فعال خود، نمایش نسخه وردپرس مورد استفاده در متای وبسایت را غیرفعال کنید.
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
دیگر نقطه ای از وبسایت شما که نسخه وردپرس در آن نمایش داده میشود به صورت پیش فرض فایل readme.html است که در هر نسخه از وردپرس قرار دارد. این فایل در ریشه وبسایت شما قرار دارد. میتوانید به آسانی این فایل را از این مسیر پاک کنید.
11. افزونه افزایش امنیت سایت وردپرس
گام بزرگ دیگری که یک متخصص امنیت وردپرس بایستی بردارد، انتخاب و پیکربندی صحیح افزونه امنیتی وردپرس است. افزونه های بسیاری برای افزایش امنیت سایت وردپرس شما در دسترس هستند. از آن جمله میتوان به WordFence Security، iThemes Security و … اشاره کرد.
برخی از قابلیت هایی که افزونه های افزایش امنیت سایت وردپرس در اختیار شما قرار میدهند عبارتند از:
- ایجاد و اجبار به استفاده از کلمات عبور قدرتمند زمانیکه نام کاربری جدیدی ایجاد می شود.
- تعیین بازه های زمانی مشخص برای اجبار کاربر به تغییر کلمه عبور
- ثبت گزارش عملکرد کاربر
- به روزرسانی آسان کلیدهای امنیتی وردپرس
- اسکن بدافزار
- احراز هویت دو مرحله ای
- ریکپچا
- فایروال امنیتی وردپرس
- وایت لیست و بلک لیست کردن IP
- بررسی تغییرات dns
- انسداد شبکه های مشکوک
- مشاهده اطلاعات WHOIS بازدیدکنندگان
12. ارتقای امنیت دیتابیس وردپرس
روش های مختلفی برای ارتقای امنیت دیتابیس وردپرس وجود دارد. در ابتدا بهتر است هنگام انتخاب نام دیتابیس، آن را هوشمندانه انتخاب کنید و از پیشنهاد پیش فرض وردپرس استفاده نکنید. توصیه بعدی استفاده از پیشوند متفاوت برای جداول پایگاه داده وردپرس است. به صورت پیش فرض از پیشوند _wp استفاده میشود که میتوانید آن را به عبارت دیگری هنگام نصب وردپرس تغییر دهید.
13. سطح دسترسی فایل های وردپرس را بررسی کنید
سطح دسترسی فایل های وردپرس خود را از طریق مدیر فایل پنل هاست بررسی کنید. متخصص امنیت وردپرس بایستی اطمینان یابد که سطح دسترسی فایل بر روی 644 و پوشه بر روی 755 تنظیم شده باشد.
هیچ پوشه ای نبایستی دسترسی 777 داشته باشد و همچنین فایل wp-config.php بایستی سطح دسترسی 440 یا 400 داشته باشد تا امکان خوانده شدن آن توسط سایر کاربران وجود نداشته باشد.
14. غیرفعال کردن ویرایش فایل در داشبورد وردپرس
بسیاری از سایت های وردپرس دارای چند مدیر و کاربر هستند که مساله حفظ امنیت وردپرس را پیچیده تر میکند. ایجاد دسترسی مدیر برای نویسندگان یا بی توجهی به سطح دسترسی کاربران است یک رویه اشتباه است که بسیاری از صاحبان وبسایت از این روش استفاده می کنند.
این اتفاق اکثر اوقات در وبسایت های وردپرسی رخ میدهد. بهترین راه حل غیرفعال کردن امکان ویرایش فایل در داشبورد مدیریت وردپرس است. برای اینکار میبایست فایل wp-config.php را باز کنید و خط زیر را به فایل اضافه کنید.
define('DISALLOW_FILE_EDIT', true);
15. افزونه بک آپ وردپرس
گام آخر یک متخصص امنیت وردپرس برای تامین امنیت وبسایت استفاده از افزونه بک آپ وردپرس مانند Updraft، Duplicator و BackupBuddy و … یا ایجاد بک آپ دستی از طریق پنل هاست است و بایستی همیشه به خاطر داشته باشید و به صورت دوره ای و منظم از وبسایت خود بک آپ داشته باشید.
در برخی از افزونه های بک آپ وردپرس امکان تنظیم زمانبندی برای ایجاد بک آپ خودکار از وردپرس نیز وجود دارد.
5 / 5. 3
دیدگاهتان را بنویسید