مقالات آموزشی

امنیت سایت وردپرسی + ۱۳ تکنیک امنیتی ۲۰۱۹

مفید بود؟

همیشه می‌شنویم که بسیاری از دارندگان وب سایت از امنیت وردپرس شکایت دارند. به نظر می‌رسد که وردپرس یک اسکریپت open source در برابر انواع حملات آسیب پذیر است. آیا این یک واقعیت است؟ و اگر چنین است، چگونه امنیت سایت خود را افزایش دهیم؟

خوشبختانه فقدان امنیت داخلی وردپرس شایعه‌ای بیش نیست. در واقع بعضی اوقات وب سایت‌های وردپرسی حتی امن‌تر از نمونه‌های آنلاین خود هستند. امروز، قصد دارم در مورد چند ترفند ساده که می‌تواند به شما کمک کند که امنیت سایت وردپرس خود را افزایش دهید، بحث کنم.

پس از اجرای این تاکتیک‌ها و پیگیری بررسی‌های مداوم، امنیت وب سایت شما تضمین خواهد شد.

با امن کردن صفحه ورود وب سایت خود را امن کنید

تمام افرادی که با وردپرس آشنا هستند می‌دانند که URL استاندارد ورود به سیستم WordPress چگونه است. کافی است در انتهای نام دامنه خود /wp-login. php یا / wp-admin / را اضافه کنید.

 

آنچه من توصیه می‌کنم سفارشی سازی URL صفحه ورود و حتی تعامل صفحه است. این اولین کاری است که من هنگام شروع به افزایش امنیت سایت خودم انجام می‌دهم.

چرا؟ زیرا معمولاً این تقصیر کاربر است که سایتش هک شده است. مسئولیت‌هایی وجود دارد که شما به عنوان مدیر وب سایت باید آن‌ها را انجام دهید. بنابراین سوال اصلی این است که شما برای نجات سایت خود از هک شدن چه کاری انجام می‌دهید؟ محافظت از صفحه ورود و جلوگیری از حملات بی‌رحمانه یکی از بهترین کارهایی است که می‌توانید انجام دهید.

در اینجا چندین پیشنهاد برای امن سازی صفحه ورود به وب سایت وردپرس ارائه شده است:

  1. ویژگی قفل وب سایت را تنظیم و کاربران را تحریم کنید

ویژگی قفل ناموفق برای ورود به سیستم می‌تواند مشکل بزرگ تلاش‌های مداوم برای ورود هکرها را حل کند. هر زمان که اقدام به هک کردن با رمزهای اشتباه تکراری کنید، سایت قفل می‌شود و به این از این فعالیت غیر مجاز مطلع می‌شوید.

فهمیدم که افزونه iThemes Security یکی از بهترین افزونه‌های امنیتی موجود است و من مدتی است از آن استفاده می‌کنم. افزونه برای امنیت سایت پیشنهادات زیادی جهت ارائه دارد که همراه با بیش از ۳۰ اقدام امنیتی جذاب دیگر در وردپرس، می‌توانید تعداد تلاش‌های ناموفق ورود به سیستم را قبل از قفل شدن آدرس IP هکرها، مشخص کنید.

  1. برای امنیت وردپرس از تأیید هویت دو مرحله‌ای استفاده کنید

معرفی یک ماژول تأیید هویت دو مرحله‌ای (2FA) در صفحه ورود، یکی دیگر از اقدامات خوب امنیت سایت است. در این حالت، کاربر جزئیات ورود به سیستم را برای دو مؤلفه مختلف ارائه می‌دهد. صاحب وب سایت تصمیم می‌گیرد که این دو کدام هستند. این می‌تواند یک رمزعبور معمولی باشد که به دنبال آن یک سؤال مخفی، یک کد مخفی، مجموعه‌ای از شخصیت‌ها یا محبوب‌ترین برنامه Google Authenticator وجود دارد که یک رمز مخفی را به تلفن شما ارسال می‌کند. به این ترتیب، فقط صاحب تلفن می‌تواند به سایت وارد شود.

من ترجیح می‌دهم هنگام قرار دادن 2FA در هر یک از وب سایت‌های خودم از یک کد مخفی استفاده کنم. افزونه Google Authenticator فقط با چند کلیک این امکان را به من می‌دهد.

  1. برای ورود به سیستم از ایمیل استفاده کنید

به طور پیش فرض، باید نام کاربری خود را وارد کنید تا وارد WordPress شوید. استفاده از شناسه ایمیل به جای نام کاربری باعث افزایش امنیت سایت می‌شود. دلایل کاملاً واضح است. پیش بینی نام کاربری آسان است در حالی که شناسه ایمیل اینطور نیست. همچنین، هر حساب کاربری WordPress با یک آدرس ایمیل منحصر به فرد ایجاد می‌شود و آن را به یک شناسه معتبر برای ورود به سیستم تبدیل می‌کند.

چندین افزونه امنیتی WordPress به شما امکان می‌دهد صفحات ورود به سیستم را به گونه‌ای تنظیم کنید تا همه کاربران برای ورود به سیستم از آدرس ایمیل خود استفاده کنند.

4. آدرس اینترنتی ورود به سایت را تغییر دهید

تغییر URL ورود به سیستم کار ساده‌ای است. به صورت پیش فرض، از طریق اضافه کردن wp-login. php یا wp-admin به URL اصلی سایت، می‌توانید به صفحه ورود به WordPress دسترسی داشته باشید.

وقتی هکرها URL مستقیم صفحه ورود به سیستم را می‌دانند، می‌توانند با استفاده از GWDb (پایگاه داده Guess Work، یعنی پایگاه داده‌ای از نام کاربری و رمزعبورهای پیش بینی شده) به سیستم وارد شوند. p@ssword… با میلیون‌ها ترکیب از این دست).

در این مرحله، ما قبلاً تلاش‌های ورود به سیستم کاربر را محدود کرده و نام‌های کاربری را برای شناسه‌های ایمیل عوض کرده ایم. اکنون می‌توانیم URL ورود را جایگزین کرده و از ۹۹٪ حملات مستقیم هکرها خلاص شویم.

این ترفند کوچک یک نهاد غیرمجاز را از دسترسی به صفحه ورود به سیستم را محدود کرده و امنیت سایت را افزایش می‌دهد. فقط شخصی که آدرس اینترنتی دقیقی دارد، می‌تواند وارد سیستم شود. باز هم، افزونه iThemes Security می‌تواند به شما در تغییر URLهای ورود به سیستم کمک کند. مانند این:

  • wp-login. php را به چیزی منحصر به فرد تغییر دهید. به عنوان مثال، my_new_login
  • تغییر / wp-admin / به چیزی منحصر به فرد. به عنوان مثال، my_new_admin
  • /wp-login. php؟ action=register را به چیزی منحصر به فرد تغییر دهید؛ به عنوان مثال، my_new_registeration
  1. رمزهای عبور خود را تنظیم کنید

با کلمات عبور خود بازی کنید و آن‌ها را به طور مرتب تغییر دهید تا امنیت سایت خود را افزایش دهید. با افزودن حروف بزرگ و کوچک، اعداد و کاراکترهای خاص، پسوردهای قوی داشته باشید. برخی کلمات عبور طولانی را انتخاب می‌کنند، زیرا تقریبا غیرممکن است که هکرها بتوانند این حروف را پیدا کنند.

و خوب، همه ما می‌دانیم که این کار را باید انجام دهیم، اما ما همیشه برای اینکار وقت نداریم. اینجاست که برخی از مدیران، با کیفیت رمز عبور بازی می‌کنند. آن‌ها نه تنها رمزهای عبور امن برای شما تولید می‌کنند، بلکه آن‌ها را در جایی امن ذخیره می‌کنند که شما را از دردسر فراموشی آن‌ها نجات می‌دهند.

  1. بطور خودکار کاربران بیکار را از سایت خود خارج کنید

کاربرانی که پنل wp-admin سایت شما را روی صفحه‌های خود باز می‌کنند، می‌توانند یک تهدید جدی برای امنیت سایت وردپرس شما باشند. هر رهگذری می‌تواند اطلاعات درون سایتتان را تغییر دهد مانند تغییر حساب کاربری دیگر یا حتی بهم ریختن خود سایت. شما می‌توانید با اطمینان از اینکه سایت شما به طور خودکار، کاربرانی که در سایت درحال وقت تلف کردن هستند را بیرون می‌کند، از این کار جلوگیری کنید.

با استفاده از افزونه‌ای مانند BulletProof Security می‌توانید این کار را تنظیم کنید. این افزونه به شما امکان می‌دهد محدودیت زمانی سفارشی را برای کاربران بیکار تعیین کنید و پس از آن زمان بطور خودکار کاربر را از سیستم خارج کنید.

وب سایت وردپرس خود را از طریق داشبورد ادمین امن کنید

برای هکر جذاب‌ترین قسمت یک وب سایت پیشخوان وردپرس است که در واقع محافظت شده‌ترین بخش محسوب می‌شود. بنابراین، حمله به قوی‌ترین قسمت، چالش واقعی است که در صورت دستیابی به قسمت ادمین به هکر یک پیروزی غیراخلاقی و دسترسی برای خرابکاری را می‌بخشد.

 

در اینجا می‌توانید کارهایی را برای تأمین امنیت داشبورد ادمین وب سایت وردپرس خود انجام دهید:

  1. از فهرست wp-admin محافظت کنید

دایرکتوری wp-admin در واقع قلب هر وب سایت وردپرس است. بنابراین، اگر این قسمت از سایت دچار نقض شود، کل سایت می‌تواند آسیب ببیند.

یک راه ممکن برای جلوگیری از این امر، محافظت از رمزعبور فهرست wp-admin است. با چنین اقدام امنیتی وردپرس، مالک وب سایت می‌تواند با ارسال دو رمز عبور به داشبورد دسترسی پیدا کند. یکی از صفحه ورود به سیستم محافظت می‌کند و دیگری باعث افزایش امنیت سایت و قسمت مدیریت آن می‌شود.

تنظیمات پیچیده این تکنیک در قسمت cPanel هاست است. با این وجود، اگر مراحل را به درستی دنبال کنید، انجام این کار خیلی دشوار نیست.

8. از SSL برای رمزگذاری اطلاعات سایت استفاده کنید

اجرای گواهینامه (SSL (Secure Socket Layer یک حرکت هوشمندانه برای افزایش امنیت پنل مدیریت سایت است. SSL انتقال داده امن بین مرورگرهای کاربر و سرور را تضمین می‌کند و اتصال هکرها به سایت شما را با مشکل روبه رو می‌کند.

دریافت گواهینامه SSL برای وب سایت وردپرس بسیار ساده است. می‌توانید آن را خریداری کنید یا بررسی کنید ببینید آیا شرکت میزبان هاستینگ شما آن را به صورت رایگان ارائه می‌دهد یا خیر.

من در بیشتر سایت‌های خودم از گواهی SSL ، open source رمزگذاری شده استفاده می‌کنم. هر شرکت میزبانی خوب این گواهی را باید به عنوان خدمان به صورت رایگان ارائه دهد.

گواهی SSL همچنین بر رتبه Google وب سایت شما تأثیر می‌گذارد. Google تمایل دارد سایت‌هایی که SSL دارند را در لینک‌های بالاتر سایت‌های مشابه فاقد این گواهی قرار دهد. این یعنی ترافیک بیشتر. چه کسی این را نمی‌خواهد؟

  1. حساب‌های کاربری را با احتیاط اضافه کنید

اگر یک وبلاگ وردپرس دارید که با چند نویسنده در حال مدیریت است، باید با چندین نفر که به پنل ادمین شما دسترسی دارند، کار کنید. این می‌تواند وب سایت شما را در برابر تهدیدات امنیتی وردپرس آسیب پذیرتر کند.

برای اینکه مطمئن شوید که پسورد هر کاربری امن است، می‌توانید از افزونه‌ای مانند Force Strong Passwords استفاده کنید. این فقط یک اقدام احتیاطی است، اما بهتر از داشتن چندین کاربر با گذرواژه‌های ضعیف است که امنیت سایت شما را کاهش می‌دهد.

  1. تغییر نام کاربری مدیر

در حین نصب وردپرس، هرگز نباید «admin» را به عنوان نام کاربری خود برای مدیر اصلی انتخاب کنید. چنین نام کاربری ساده‌ای برای هکرها قابل دسترسی است، زیرا در اینصورت کافی است که پسورد را داشته باشند تا امنیت سایت شما از بین برود.

نمی توانم برای شما بگویم که چند بار در لاگ وب سایتم اسکرول کردم و تلاش‌های ورود به سیستم هکرها را با نام کاربری «admin» را پیدا کردم. افزونه iThemes Security با بلاک کردن هر آدرس IPای که سعی در ورود به سایت را دارد می‌تواند چنین تلاش‌هایی را متوقف کند.

  1. بر فایل‌های خود نظارت کنید

اگر می‌خواهید امنیت WordPress بیشتری داشته باشید، تغییرات در پرونده‌های وب سایت خود را از طریق افزونه‌هایی مانند Wordfence یا دوباره iThemes Security را زیر نظر داشته باشید.

امنیت وب سایت وردپرس خود را از طریق پایگاه داده افزایش دهید

تمام دیتا و اطلاعات سایت شما در دیتابیس ذخیره می‌شود. مراقبت از آن بسیار مهم است. در اینجا چند کار وجود دارد که می‌توانید برای افزایش امنیت دیتابیس سایت انجام دهید:

  1. پیشوند جدول پایگاه داده WordPress را تغییر دهید

اگر تاکنون WordPress را نصب کرده‌اید با پیشوند جدول wp-Table که توسط پایگاه داده WordPress استفاده می‌شود آشنا هستید. توصیه می‌کنم آن را به چیزی منحصر به فرد تغییر دهید. استفاده از پیشوند پیش فرض پایگاه داده سایت شما را در معرض حملات تزریق SQL قرار می‌دهد. با تغییر wp- به یک اصطلاح دیگر می‌توان از چنین حملاتی جلوگیری کرد. به عنوان مثال می‌توانید آن را به mywp- یا wpnew- تغییر دهید.

اگر قبلاً وب سایت وردپرس خود را با پیشوند پیش فرض نصب کرده اید، می‌توانید از چند افزونه برای تغییر آن استفاده کنید. افزونه‌هایی مانند WP-DBManager یا iThemes Security می‌توانند به شما کمک کنند فقط با کلیک یک دکمه بتوانید کار را انجام دهید. (حتماً قبل از انجام هر کاری در پایگاه داده از سایت خود نسخه پشتیبان تهیه کنید).

  1. برای امنیت سایت وردپرس خود بطور مرتب نسخه پشتیبان تهیه کنید

مهم نیست که چقدر وب سایت وردپرس شما امن باشد، همیشه جایی برای پیشرفت وجود دارد. اما در پایان روز، داشتن نسخه پشتیبان خارج از سایت در جایی، شاید بهترین پادزهر بدون توجه به آنچه اتفاق می‌افتد باشد.

اگر نسخه پشتیبان تهیه کرده باشید، می‌توانید هر زمان که بخواهید، وب سایت وردپرس خود را به حالت اول و فعال خود برگردانید. افزونه‌هایی وجود دارد که از این نظر می‌توانند به شما کمک کنند.

اگر به دنبال یک راه حل بهتر هستید، پس VaultPress را توسط Automattic توصیه می‌کنم که عالی است. من آن را تنظیم کردم تا هر هفته بک آپ تهیه کند و اگر اتفاق بدی رخ داد بتوانم با یک کلیک سایت را به راحتی بازیابی کنم.

Author

مدیریت سایت

Leave a comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


The reCAPTCHA verification period has expired. Please reload the page.