20 راهکار ساده برای افزایش امنیت وبسایت وردپرس در 2017

بخش اول : امن کردن صفحه ورود وردپرس و جلوگیری از حملات brute force

همه افراد URL صفحه استاندارد لاگین وردپرس را میدانند. دسترسی بک اند وبسایت از همین جا است، و به همین دلیل است که  مردم میخواهند بر روی آن حملات بروت فرس انجام دهند. شما کافی است /wp-login.php و یا /wp-admin/ را به انتهای دامین بچسبانید و سپس کار خود را انجام دهید.

آنچه که پیشنهاد میشود این است که URL ورود به صفحه را سفارشی سازی کنید. این اولین کاری است که باید برای بالا بردن وبسایت انجام دهید.

در زیر چند پیشنهاد برای بالا بردن امنیت وبسایت ارایه شده است:

  1. نصب lockdown وبسایت و بن کردن کاربری ها

ویژگی lockdown برای درخواست های ورود ناموفق میتواند مشکلات زیادی را برطرف نماید. به طور مثال دیگر حملات بروت فرس ادامه پیدا نمیکند، به طوری که هر بار که هکری خواست با پسورد های اشتباه به وبسایت لاگین کند، وبسایت قفل شده و شما از این فعالیت مطلع خواهید شد.

طبق بررسی های انجام شده،افزونه  iThemes Security یکی از بهترین افزونه ها برای این کار است. این افزونه قابلیت های زیادی دارد از جمله این که میتوانید به ip حمله کننده ها را بعد از این که افزونه آن ها را مسدود کرد، مشخص کنید و در صورتی که خواستید آن ها را باز کنید.

امنیت وردپرس با iTheme security

همچنین شما میتوانید از افزونه Login LockDown که فقط برای این کار ساخته شده است، استفاده کنید.

 

  1. از احراز هویت ۲-عامل استفاده کنید

معرفی کردن احراز هویت ۲ گانه در صفحه ورود، یک اقدام امنیتی دیگر است. در این مورد، جزیات ورود را برای دو جزء مختلف وارد می کنید. دارنده وبسایت تعیین می کند که این دو جزء باید چه چیزی باشند. به این صورت که میتواند یک رمز عبورعمومی به همراه یک سوال محرمانه، یک کد محرمانه و یا جمله ای از کاراکتر‌ها و … باشد.

برای این کار میتوانید با چند کلیک، از افزونه WP Google Authenticator استفاده کنید.

امنیت وردپرس با wp- Google Authenticator

  1. استفاده از ایمیل برای ورود

به طور پیش فرض، شما باید نام کاربری خود را برای ورود وارد کنید.  استفاده از شناسه‌ی ایمیل به جای نام کاربری یک رویکرد امنیتی بهتری است. دلیل آن نیز کاملا مشخص است، نام کاربری قابل پیش بینی تر از ایمیل است. هرچند که هر نام کاربری با یک ایمیل آدرس مشخص ساخته میشود که آن را یک شناسه معتبر برای ورود میکند.

افزونه WP Email Login برای این منظور خوب است. این افزونه کار خود را به محض فعال کردن شروع میکند و هیچ پیکر بندی لازم نیست که برای آن انجام دهید.

برای تست کردن آن فقط کافی از از وبسایت خود خروج کنید و دوباره ورود بزنید، اما این بار از ایمیلی که نام کاربری را با آن ساختید استفاده کنید.

 

  1. URL صفحه ورود خود را عوض کنید

عوض کردن صفحه لاگین کار آسانی است. به طور پیشفرض، صفحه ورود وردپرس به آسانی با اضافه کردن wp-lohgin.php و یا wp-admin به URL اصلی وبسایت قابل دسترسی است.

وقتی هکرها آدرس اصلی صفحه ورود شما را پیدا کنند، آن‌ها می‌توانند بروت فرس خود را شروع کنند و آن‌ها این کار را با GWDb(Guess Work Database) خود شروع میکنند.

بنابراین در این مرحله اگر شما مراحل را انجام داده باشید، تا به این مرحله ما تلاش برای لاگین ها را محدود کرده و نام کاربری را به شناسه ایمیل تغییر داده‌ایم. حال با تغییر آدرس ورود، میتوانید از ۹۹درصد حملات بروت فرس در امان باشید.

این حقه کوچک دسترسی غیر متعارف به صفحه ورود را می‌بندد. فقط کسانی که آدرس اصلی آن را دارند میتوانند این کار را انجام دهند. دوباره افزونه iThemes Security  میتواند به شما در این کار کمک کند.

  • تغییر wp-login.php به یک چیز اختصاصی همانند my_new_login
  • تغییر /wp-admin/ به چیزی اختصاصی شبیه my_new_admin
  • تغییر /wp-login.php?action=registerبه چیزی شبیه my_new_registration

 

  1. رمزعبورهای خود را تعدیل کنید

شما باید پسورهای وبسایت خود را هر چند وقت یکبار عوض کنید. همچنین میزان قدرت آن‌ها را با افزودن حروف بزرگ و کوچک، عدد و کاراکترهای خاص بهبود ببخشید. این مولد رمز عبور میتواند برای شما مفید باشد.

امنیت وردپرس با Secure Password Generator

بخش دوم : داشبورد ادمین وردپرس خود را امن کنید

 

برای یک هکر، جذابترین بخش یک وبسایت، داشبورد ادمین آن میباشد که بیشترین اقدامات امنیتی را شامل میشود. بنابراین، حمله به قویترین بخش یک چالش واقعی است و اگر به سرانجام برسد، به هکر یک پیروزی روحی قوی داده و دسترسی زیادی برای آسیب رساندن دارد.

برای جلوگیری از آن شما میتوانید موارد زیر را انجام دهید:

 

  1. محافظت از دایرکتوری wp-admin

دایرکتوری wp-admin قلب هر وبسایت وردپرس است. با این وجود، اگر این قسمت از وبسایت گشوده شود، پس از آن همه وبسایت میتواند آسیب ببیند.

یک راهکار ممکن برای جلوگیری از این، میتواند محافظت با پسورد از دایرکتوری مورد نظر باشد. با این راهکار امنیتی، دارنده وبسایت باید برای دسترسی از داشبورد از ۲ پسورد استفاده کند. یکی برای محافظت صفحه ورود و دیگری برای محدوده ادمین وردپرس٫ اگر کاربران وبسایت نیازمند دسترسی به قسمت های خاص wp-admin باشند، میتوانید آن قسمت ها را جدا از قسمت های دیگر در نطر گرفته و آن را آزاد کنید.

شما میتوانید از افزونه AskApache Password Protect برای امن کردن بخش ادمین استفاده کنید. این به طرو خودکار یک فایل .htpasswd را تولید میکند، رمز عبور را رمز گذاری کرده و پیکربندی دسترسی صحیح امنیتی را انجام میدهد.

 

  1. استفاده از ssl برای رمزگذاری داده‌ها

پیاده سازی یک گواهینامه ssl، یک راه کار بسیار هوشمندانه برای امن کردن پنل ادمین است. Ssl برای شما انتقال داده امن را بین مرورگر کاربر و سرور فراهم کرده و این کار را برای هکر ها ی که میخواهند در ارتباط شما اختلال وارد کرده و یا از آن کلاهبرداری کنند. دشوار و پیچیده میکند.

گرفتن یک گواهینامه ssl برای وبسایت وردپرسی کار مشکلی نیست. شما میتوانید یکی را از شرکت هایی که کارشان فروش همین گواهینامه ها است بخرید و یا از شرکت هاستینگ خود، اگر این کار را انجام میدهد، بگیرید و آن را راه اندازی کنید.

اگر به دنبال ssl مجانی هستید میتوانید از ssl متن باز let’s Encrypt  استفاده کنید. برای این کار میتوانید از شرکت هایی هاستینگ بگیرید که این قابلیت را پشتیبانی کنند.

گواهینامه ssl، همچنین رنکینگ وبسایت شما را در گوگل بالا می‌برد. رنکینگ وبسایت ها با ssl بالاتر از وبسایت هایی است که ssl ندارند. این به معنی ترافیک بیشتر است.

 

  1. اضافه کردن با احتیاط حساب کاربری

وقتی که شما یک بلاگ وردپرسی را راه اندازی میکنید، و یا یک وبسایت بلاگی جند نویسنده دارید، در این صورت شما باید با افراد مختلفی در ارتباط باشید که به ادمین پنل شما دسترسی دارند. این کار وبسایت شما را بسیار آسیب پذیر تر نسبت به تهدیدهای امنیتی میکند.

شما می‌توانید از افزونه Force Strong Passwords برای کاربر ها  استفاده کنید که مطمئن باشید رمز عبور های که استفاده میکنند، پیچیده و امنیتی است. این فقط یک اقدام امنیتی است.

امنیت وردپرس با Force Strong Passwords

  1. تغییر نام کاربری ادمین وردپرس

در هنگام نصب وردپرس، شما نباید هرگز کلمه “ادمین” را برای نام کاربری ادمین اصلی استفاده کنید. یک نام کاربری ساده، راحت قابل پیدا شدن توسط هکر ها است. همه آنچه آنها پیدا کنند، رمز عبور است. سپس کل وبسایت شما در دستان افراد اشتباه قرار میگیرد.

افزونه iTheme security میتواند دسترسی همچین اقدام هایی را فورا با بستن ip آنها که میخواهند با همچین نام کاربری وارد شوند، قطع کند.

 

۱۰٫ مانیتور کردن فایل ها

اگر شما امنیت بیشتری را میخواهید، میتوانید با مانیتور کردن فایل ها با افزونه هایی همچون Acunetix WP Security، Wordfence و همچنین iTheme Security این کار را انجام دهید.

 

امنیت وردپرس با Acunetix WP Security

بخش سوم: امن کردن پایگاه داده وردپرس

تمام داده های وبسایت شما و اطلاعات آن در یک پایگاه داده طبقه بندی می‌شوند. مراقبت کردن از آن یک امر حیاتی است. در زیر چند راهکار برای این کار ارائه شده است:

 

۱۱٫ عوض کردن پیشوند جدولهای وردپرس

اگر شما تا به حال وردپرس نصب کرده باشید، پس حتما با پیشوند جدولی wp- که توسط پایگاه داده وردپرس ساتفاده میشود آشنا هستید. پیشنهاد میشود که آن را به چیز دیگری تغییر دهید.

استفاده از پیشوند پیش فرض، وبسایت شما را در قبال حملات sql injection شکننده میکند. این حمله را میتوان با عوض کردن پیشوند wp- به چیز دیگری مانند mywp- و wpnew- و … کنترل و پیشگیری کرد.

اگر شما الان وبسایت وردپرسی خود را با پیشوند پیش فرض نصب کرده اید، میتوانید از این افزونه ها برای تغییر آن استفاده کنید. افزنونه هایی مانند WP-DBManager  و Itheme Security میتواند به شما در این پروسه با چند کلیک کمک کنند.(حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ  بگیرید)

 

۱۲٫ مداوم از وبسایت خود بکاپ بگیرید

مهم نیست که وبسایت شما چه اندازه امن است. زیرا همشیه جا برای بهبود امنیت وجود دارد. اما در پایان روز، گرفتن یک بکاپ از وبسایت خود میتواند بسیار مناسب باشد.

اگر شما بکاپ داشته باشید، میتوانید وبسیت وردپرسی خود را همیشه و همه جا ریستور کنید و از آن در هر زنانی استفاده کنید. تعدادی افزونه برای این کار وجود دارد که میتوانید در این لینک آن ها را ببینید.

افزونه های امنیتی وردپرس

  1. ست کردن رمز عبور های قوی برای پایگاه داده

یک رمز عبور قوی برای کاربری پایگاه داده که وردپرس از آن برای دسترسی پایگاه داده استفاده میکند، الزامی است.

مانند همیشه، باید شامل حروف بزرگ،  کوچک، عدد و کاراکتر های خاص باشد. برای این کار میتوانید از password generator استفاده کنید.

 

قسمت ۴ : امن کردن تنظیمات هاست وردپرس

تقریبا همهی شرکت ها، یک محیط بهینه شده را برای وردپرس ارائه می دهند.اما باز میتوان آن را بهبود بخشید.

 

۱۴٫ محافظت از فایل wp-config

فایل wp-config اطلاعات مهمی را در مورد نصب وردپرس نگهداری میکند و در واقع مهمترین فایل موجود در دایرکتوری وبسایت شما میباشد. محافظت از آن به معنای محافظت از هسته وردپرس شما است.

کار برای هکر هایی که میخواهند وبسایت شما را هک کنند، اگر به این فایل دسترسی نداشته باشند، سخت میشود

شما به راحتی میتوانید از آن محافظت کنید، این کار را با بردن این فایل به سطح بالاتری در دایرکتوری خود انجام دهید.

حال سوال اینجا است که با تغییر مکان آن؛ وب سرور چگونه به آن دسترسی خواهد داشت و آن را پیدا میکند! معماری کنونی وردپرس به این گونه است که فایل های کانفیگ تنظیمات، در بالا ترین اولویت قرار دارند. بنابراین، اگر در جای دیگری و بالاتر از روت دایرکتوری قرار گیرند، وردپرس هنوز میتواند آن را ببیند.

 

۱۵٫ غیر فعال کردن ویرایش فایل

اگر یک کاربر دسترسی به داشبورد وردپرس شما داشته باشد، میتواند هر فایلی که مربوط به وردپرس شما است را دستکاری کند، این شامل افزونه ها و قالب ها نیز میباشد.

با این وجود، اگر شما ویرایش کردن فایل ها را غیر فعال کنید، حتی اگر هکر ها نیز دسترسی ادمین داشته باشند، باز نمیتوانند فایلی را تغییر دهند.

برای این کار این کد را به فایل WP-CONFIG خود اضافه کنید.

define('DISALLOW_FILE_EDIT', true);

 

  1. به درستی به سرور وصل شوید

زمانی که وبسایت خود را بالا می آورید، فقط با SFTP و یا SSH به وبسایت خود وصل شوید. SFTP همیشه به FTP قدیمی ترجیح داده میشود، آن هم به دلیل امنیت آن است.

وصل شدن به سرور به این طریق، برای شما انتقال امن را فراهم میکند. بیشتر هاستینگ ها این را برای شما فراهم میکنند، با این وجود اگر این سرویس وجود نداشت به راحتی خودتان میتوانید این کار را انجام دهید( با گوگل کردن شما میتوانید مقالات زیادی را در این مورد پیدا کنید).

 

  1. به دقت مجوز های دایرکتوری ها را ست کنید

مجوز اشتباه دایرکتوری میتواند مهلک باشد، مخصوصا وقتی شما از محیط هاستینگ اشتراکی استفاده میکنید.

به عبارت دیگر، تغییر مجوزهای دایرکتوریها قدم خوبی برای امن کردن وبسایت است. ست کردن مجوز دایرکتوری ها به ۷۵۵  و فایل ها به ۶۴۴ برای کل سیستم، بهترین کار است.

دوباره برای این کار نیز میتوانید از افزونه iTheme Security استفاده کنید.

 

  1. Directory listing را غیر فعال کنید

اگر شما یک پوشه جدید بسازید و یک فایل index.html در آن وجود نداشته باشد، بازدیدکنندگان میتوانند همه فایل های داخل آن را ببینند، برای مثال شما یک پوشه به نام data بسازید، شما میتوانید همه فایل های داخل آن را با تایپ کردن http://www.example.com/data ببینید! این در حالی است که رمز عبور و یا چیز دیگری لازم ندارد.

شما میتوایند با قطعه کد زیر در .htaccess مانع این کار شوید :

Options All -Indexes

 

  1. به طور مرتب به روز رسانی انجام دهید

هر نرم افزار خوبی توسط توسعه دهنده گان آن پشتیبانی میشود و به صورت مرتب آپدیت میشود. این آپدیت ها باگ ها را رفع کرده و یا میتواند قابلیت های امنیتی را به آن اضافه کند.

بنابراین شما اگر از وردپرس استفاده میکنید، آن را به همراه افزونه ها و قالب ها و همه چیز های دیگر به طور مرتب به روز رسانی کنید.

 

  1. ورژن وردپرس خود را پاک کنید

ورژن وردپرس شما به راحتی قابل پیدا شدن است. به طور معمول آن در وبسایت شما نشان داده میشود.

اگر هکر ها بدانند که شما از کدام ورژن از وردپرس استفاده می کنید، برای آن ها آسان تر می شود که حمله خود را تدارک ببینند.

شما میتوانید ورژن وردپرس را تقریبا با تمام افزونه های امنیتی گفته شده مخفی کنید.

 

برای خرید میزبانی وردپرس ابری از این لینک میتوانید استفاده نمایید.

 

 

 

 

 

 

 

 

 

 

 

تگ ها

منتشر شده در بلاگ ایران هاست توسط: امیر بیژنی

ایران هاست، ارائه دهنده سرويس های ثبت دامنه، ميزباني وب، میزبانی ایمیل، میزبانی اختصاصی و سرورهای اختصاصی و مجازی مطابق با استانداردهای جهانی

شما ممکن است علاقه داشته باشید:

0 تفکر بر روی “۲۰ راهکار ساده برای افزایش امنیت وبسایت وردپرس در ۲۰۱۷”

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شبکه های مجازی ما

دسته بندی ها