همیشه میشنویم که بسیاری از دارندگان وب سایت از امنیت وردپرس شکایت دارند. به نظر میرسد که وردپرس یک اسکریپت open source در برابر انواع حملات آسیب پذیر است. آیا این یک واقعیت است؟ و اگر چنین است، چگونه امنیت سایت خود را افزایش دهیم؟
خوشبختانه فقدان امنیت داخلی وردپرس شایعهای بیش نیست. در واقع بعضی اوقات وب سایتهای وردپرسی حتی امنتر از نمونههای آنلاین خود هستند. امروز، قصد دارم در مورد چند ترفند ساده که میتواند به شما کمک کند که امنیت سایت وردپرس خود را افزایش دهید، بحث کنم.
پس از اجرای این تاکتیکها و پیگیری بررسیهای مداوم، امنیت وب سایت شما تضمین خواهد شد.
با امن کردن صفحه ورود وب سایت خود را امن کنید
تمام افرادی که با وردپرس آشنا هستند میدانند که URL استاندارد ورود به سیستم WordPress چگونه است. کافی است در انتهای نام دامنه خود /wp-login. php یا / wp-admin / را اضافه کنید.
آنچه من توصیه میکنم سفارشی سازی URL صفحه ورود و حتی تعامل صفحه است. این اولین کاری است که من هنگام شروع به افزایش امنیت سایت خودم انجام میدهم.
چرا؟ زیرا معمولاً این تقصیر کاربر است که سایتش هک شده است. مسئولیتهایی وجود دارد که شما به عنوان مدیر وب سایت باید آنها را انجام دهید. بنابراین سوال اصلی این است که شما برای نجات سایت خود از هک شدن چه کاری انجام میدهید؟ محافظت از صفحه ورود و جلوگیری از حملات بیرحمانه یکی از بهترین کارهایی است که میتوانید انجام دهید.
در اینجا چندین پیشنهاد برای امن سازی صفحه ورود به وب سایت وردپرس ارائه شده است:
-
ویژگی قفل وب سایت را تنظیم و کاربران را تحریم کنید
ویژگی قفل ناموفق برای ورود به سیستم میتواند مشکل بزرگ تلاشهای مداوم برای ورود هکرها را حل کند. هر زمان که اقدام به هک کردن با رمزهای اشتباه تکراری کنید، سایت قفل میشود و به این از این فعالیت غیر مجاز مطلع میشوید.
فهمیدم که افزونه iThemes Security یکی از بهترین افزونههای امنیتی موجود است و من مدتی است از آن استفاده میکنم. افزونه برای امنیت سایت پیشنهادات زیادی جهت ارائه دارد که همراه با بیش از ۳۰ اقدام امنیتی جذاب دیگر در وردپرس، میتوانید تعداد تلاشهای ناموفق ورود به سیستم را قبل از قفل شدن آدرس IP هکرها، مشخص کنید.
-
برای امنیت وردپرس از تأیید هویت دو مرحلهای استفاده کنید
معرفی یک ماژول تأیید هویت دو مرحلهای (2FA) در صفحه ورود، یکی دیگر از اقدامات خوب امنیت سایت است. در این حالت، کاربر جزئیات ورود به سیستم را برای دو مؤلفه مختلف ارائه میدهد. صاحب وب سایت تصمیم میگیرد که این دو کدام هستند. این میتواند یک رمزعبور معمولی باشد که به دنبال آن یک سؤال مخفی، یک کد مخفی، مجموعهای از شخصیتها یا محبوبترین برنامه Google Authenticator وجود دارد که یک رمز مخفی را به تلفن شما ارسال میکند. به این ترتیب، فقط صاحب تلفن میتواند به سایت وارد شود.
من ترجیح میدهم هنگام قرار دادن 2FA در هر یک از وب سایتهای خودم از یک کد مخفی استفاده کنم. افزونه Google Authenticator فقط با چند کلیک این امکان را به من میدهد.
-
برای ورود به سیستم از ایمیل استفاده کنید
به طور پیش فرض، باید نام کاربری خود را وارد کنید تا وارد WordPress شوید. استفاده از شناسه ایمیل به جای نام کاربری باعث افزایش امنیت سایت میشود. دلایل کاملاً واضح است. پیش بینی نام کاربری آسان است در حالی که شناسه ایمیل اینطور نیست. همچنین، هر حساب کاربری WordPress با یک آدرس ایمیل منحصر به فرد ایجاد میشود و آن را به یک شناسه معتبر برای ورود به سیستم تبدیل میکند.
چندین افزونه امنیتی WordPress به شما امکان میدهد صفحات ورود به سیستم را به گونهای تنظیم کنید تا همه کاربران برای ورود به سیستم از آدرس ایمیل خود استفاده کنند.
4. آدرس اینترنتی ورود به سایت را تغییر دهید
تغییر URL ورود به سیستم کار سادهای است. به صورت پیش فرض، از طریق اضافه کردن wp-login. php یا wp-admin به URL اصلی سایت، میتوانید به صفحه ورود به WordPress دسترسی داشته باشید.
وقتی هکرها URL مستقیم صفحه ورود به سیستم را میدانند، میتوانند با استفاده از GWDb (پایگاه داده Guess Work، یعنی پایگاه دادهای از نام کاربری و رمزعبورهای پیش بینی شده) به سیستم وارد شوند. p@ssword… با میلیونها ترکیب از این دست).
در این مرحله، ما قبلاً تلاشهای ورود به سیستم کاربر را محدود کرده و نامهای کاربری را برای شناسههای ایمیل عوض کرده ایم. اکنون میتوانیم URL ورود را جایگزین کرده و از ۹۹٪ حملات مستقیم هکرها خلاص شویم.
این ترفند کوچک یک نهاد غیرمجاز را از دسترسی به صفحه ورود به سیستم را محدود کرده و امنیت سایت را افزایش میدهد. فقط شخصی که آدرس اینترنتی دقیقی دارد، میتواند وارد سیستم شود. باز هم، افزونه iThemes Security میتواند به شما در تغییر URLهای ورود به سیستم کمک کند. مانند این:
- wp-login. php را به چیزی منحصر به فرد تغییر دهید. به عنوان مثال، my_new_login
- تغییر / wp-admin / به چیزی منحصر به فرد. به عنوان مثال، my_new_admin
- /wp-login. php؟ action=register را به چیزی منحصر به فرد تغییر دهید؛ به عنوان مثال، my_new_registeration
-
رمزهای عبور خود را تنظیم کنید
با کلمات عبور خود بازی کنید و آنها را به طور مرتب تغییر دهید تا امنیت سایت خود را افزایش دهید. با افزودن حروف بزرگ و کوچک، اعداد و کاراکترهای خاص، پسوردهای قوی داشته باشید. برخی کلمات عبور طولانی را انتخاب میکنند، زیرا تقریبا غیرممکن است که هکرها بتوانند این حروف را پیدا کنند.
و خوب، همه ما میدانیم که این کار را باید انجام دهیم، اما ما همیشه برای اینکار وقت نداریم. اینجاست که برخی از مدیران، با کیفیت رمز عبور بازی میکنند. آنها نه تنها رمزهای عبور امن برای شما تولید میکنند، بلکه آنها را در جایی امن ذخیره میکنند که شما را از دردسر فراموشی آنها نجات میدهند.
-
بطور خودکار کاربران بیکار را از سایت خود خارج کنید
کاربرانی که پنل wp-admin سایت شما را روی صفحههای خود باز میکنند، میتوانند یک تهدید جدی برای امنیت سایت وردپرس شما باشند. هر رهگذری میتواند اطلاعات درون سایتتان را تغییر دهد مانند تغییر حساب کاربری دیگر یا حتی بهم ریختن خود سایت. شما میتوانید با اطمینان از اینکه سایت شما به طور خودکار، کاربرانی که در سایت درحال وقت تلف کردن هستند را بیرون میکند، از این کار جلوگیری کنید.
با استفاده از افزونهای مانند BulletProof Security میتوانید این کار را تنظیم کنید. این افزونه به شما امکان میدهد محدودیت زمانی سفارشی را برای کاربران بیکار تعیین کنید و پس از آن زمان بطور خودکار کاربر را از سیستم خارج کنید.
وب سایت وردپرس خود را از طریق داشبورد ادمین امن کنید
برای هکر جذابترین قسمت یک وب سایت پیشخوان وردپرس است که در واقع محافظت شدهترین بخش محسوب میشود. بنابراین، حمله به قویترین قسمت، چالش واقعی است که در صورت دستیابی به قسمت ادمین به هکر یک پیروزی غیراخلاقی و دسترسی برای خرابکاری را میبخشد.
در اینجا میتوانید کارهایی را برای تأمین امنیت داشبورد ادمین وب سایت وردپرس خود انجام دهید:
-
از فهرست wp-admin محافظت کنید
دایرکتوری wp-admin در واقع قلب هر وب سایت وردپرس است. بنابراین، اگر این قسمت از سایت دچار نقض شود، کل سایت میتواند آسیب ببیند.
یک راه ممکن برای جلوگیری از این امر، محافظت از رمزعبور فهرست wp-admin است. با چنین اقدام امنیتی وردپرس، مالک وب سایت میتواند با ارسال دو رمز عبور به داشبورد دسترسی پیدا کند. یکی از صفحه ورود به سیستم محافظت میکند و دیگری باعث افزایش امنیت سایت و قسمت مدیریت آن میشود.
تنظیمات پیچیده این تکنیک در قسمت cPanel هاست است. با این وجود، اگر مراحل را به درستی دنبال کنید، انجام این کار خیلی دشوار نیست.
8. از SSL برای رمزگذاری اطلاعات سایت استفاده کنید
اجرای گواهینامه (SSL (Secure Socket Layer یک حرکت هوشمندانه برای افزایش امنیت پنل مدیریت سایت است. SSL انتقال داده امن بین مرورگرهای کاربر و سرور را تضمین میکند و اتصال هکرها به سایت شما را با مشکل روبه رو میکند.
دریافت گواهینامه SSL برای وب سایت وردپرس بسیار ساده است. میتوانید آن را خریداری کنید یا بررسی کنید ببینید آیا شرکت میزبان هاستینگ شما آن را به صورت رایگان ارائه میدهد یا خیر.
من در بیشتر سایتهای خودم از گواهی SSL ، open source رمزگذاری شده استفاده میکنم. هر شرکت میزبانی خوب این گواهی را باید به عنوان خدمان به صورت رایگان ارائه دهد.
گواهی SSL همچنین بر رتبه Google وب سایت شما تأثیر میگذارد. Google تمایل دارد سایتهایی که SSL دارند را در لینکهای بالاتر سایتهای مشابه فاقد این گواهی قرار دهد. این یعنی ترافیک بیشتر. چه کسی این را نمیخواهد؟
-
حسابهای کاربری را با احتیاط اضافه کنید
اگر یک وبلاگ وردپرس دارید که با چند نویسنده در حال مدیریت است، باید با چندین نفر که به پنل ادمین شما دسترسی دارند، کار کنید. این میتواند وب سایت شما را در برابر تهدیدات امنیتی وردپرس آسیب پذیرتر کند.
برای اینکه مطمئن شوید که پسورد هر کاربری امن است، میتوانید از افزونهای مانند Force Strong Passwords استفاده کنید. این فقط یک اقدام احتیاطی است، اما بهتر از داشتن چندین کاربر با گذرواژههای ضعیف است که امنیت سایت شما را کاهش میدهد.
-
تغییر نام کاربری مدیر
در حین نصب وردپرس، هرگز نباید «admin» را به عنوان نام کاربری خود برای مدیر اصلی انتخاب کنید. چنین نام کاربری سادهای برای هکرها قابل دسترسی است، زیرا در اینصورت کافی است که پسورد را داشته باشند تا امنیت سایت شما از بین برود.
نمی توانم برای شما بگویم که چند بار در لاگ وب سایتم اسکرول کردم و تلاشهای ورود به سیستم هکرها را با نام کاربری «admin» را پیدا کردم. افزونه iThemes Security با بلاک کردن هر آدرس IPای که سعی در ورود به سایت را دارد میتواند چنین تلاشهایی را متوقف کند.
-
بر فایلهای خود نظارت کنید
اگر میخواهید امنیت WordPress بیشتری داشته باشید، تغییرات در پروندههای وب سایت خود را از طریق افزونههایی مانند Wordfence یا دوباره iThemes Security را زیر نظر داشته باشید.
امنیت وب سایت وردپرس خود را از طریق پایگاه داده افزایش دهید
تمام دیتا و اطلاعات سایت شما در دیتابیس ذخیره میشود. مراقبت از آن بسیار مهم است. در اینجا چند کار وجود دارد که میتوانید برای افزایش امنیت دیتابیس سایت انجام دهید:
-
پیشوند جدول پایگاه داده WordPress را تغییر دهید
اگر تاکنون WordPress را نصب کردهاید با پیشوند جدول wp-Table که توسط پایگاه داده WordPress استفاده میشود آشنا هستید. توصیه میکنم آن را به چیزی منحصر به فرد تغییر دهید. استفاده از پیشوند پیش فرض پایگاه داده سایت شما را در معرض حملات تزریق SQL قرار میدهد. با تغییر wp- به یک اصطلاح دیگر میتوان از چنین حملاتی جلوگیری کرد. به عنوان مثال میتوانید آن را به mywp- یا wpnew- تغییر دهید.
اگر قبلاً وب سایت وردپرس خود را با پیشوند پیش فرض نصب کرده اید، میتوانید از چند افزونه برای تغییر آن استفاده کنید. افزونههایی مانند WP-DBManager یا iThemes Security میتوانند به شما کمک کنند فقط با کلیک یک دکمه بتوانید کار را انجام دهید. (حتماً قبل از انجام هر کاری در پایگاه داده از سایت خود نسخه پشتیبان تهیه کنید).
-
برای امنیت سایت وردپرس خود بطور مرتب نسخه پشتیبان تهیه کنید
مهم نیست که چقدر وب سایت وردپرس شما امن باشد، همیشه جایی برای پیشرفت وجود دارد. اما در پایان روز، داشتن نسخه پشتیبان خارج از سایت در جایی، شاید بهترین پادزهر بدون توجه به آنچه اتفاق میافتد باشد.
اگر نسخه پشتیبان تهیه کرده باشید، میتوانید هر زمان که بخواهید، وب سایت وردپرس خود را به حالت اول و فعال خود برگردانید. افزونههایی وجود دارد که از این نظر میتوانند به شما کمک کنند.
اگر به دنبال یک راه حل بهتر هستید، پس VaultPress را توسط Automattic توصیه میکنم که عالی است. من آن را تنظیم کردم تا هر هفته بک آپ تهیه کند و اگر اتفاق بدی رخ داد بتوانم با یک کلیک سایت را به راحتی بازیابی کنم.
