فکر کنین یک روز صبح از خواب بلند میشین و سایت زیبای خودتون رو به شکل دیگه‌ای میبینین. هک شده، پر از لینک‌های متعدد و مطالب نامربوط به سایت. میتونم اولین واکنش شما رو حدس بزنم! روزانه نزدیک به 90 هزار وبسایت هک میشن. همه میخوان کارهایی برای جلوگیری از هک وردپرس و سایت خودشون انجام بدن. چون بازیابی وبسایت، زمان و تلاش جدی رو به خودش اختصاص میده. برای جلوگیری از حملات هکرها، تلاش مستمر نیازه تا شما از این سرنوشت وحشتناک در امان باشید.

میدونیم که سیستم‌های مدیریت محتوای زیادی وجود دارن اما هیچ کدوم به اندازه سایت وردپرس، عظیم نیستن. وردپرس با بیش از 51.6 میلیون سایت (که هر روز در حال افزایشه) به شما میگه که این سیستم تا چه حد برتر و محبوب هست. من میخوام به شما کمک کنم تا سایت وردپرس خودتون رو از حملات و هک شدن در امان نگه دارین. قطعاً تا حالا شنیدین که پیشگیری بهتر از درمانه. پس جلوگیری از هک وردپرس خیلی ارزون‌‌تر از درست کردن سایت بعد از هک برای شما تموم میشه. راه و روش‌های زیادی برای هک کردن وجود داره. اما از طرفی راه‌های زیادی هم برای حفظ امنیت هست. این نکاتی که قراره در ادامه برای شما بگم رو مطمئن شین که انجام دادین یا انجام میدین تا سایت وردپرس خودتون رو ایمن نگه دارین.

 

13 گام امنیتی برای جلوگیری از هک وردپرس

1. از کامپیوتر خودتون شروع کنین

این اولین و راحت‌ترین کار ممکنه. شما همیشه باید سیستم خودتون رو از نرم افزارهای مخرب و ویروس‌ها در امان نگه دارین. به خصوص اگر به اینترنت دسترسی دارین (که قطعاً دارین!). حفاظت از ایستگاه کاری یا همون کامپیوتر، حتی در مقایسه با انجام و اداره یک عملیات و یا داشتن وب سایت، از اهمیت بیشتری برخورداره. چون تنها چیزی که لازمه یک کی‌لاگر(Keylogger) هست تا سخت‌ترین وب سایت ها رو هم از پا دربیاره. یک کی‌لاگر تمام نام‌های کاربری و رمزهای عبور شما رو میخونه و برای هکرها ارسال میکنه. با این کار مجموعه‌ای از مشکلات برای وبسایت شما ایجاد میشه.

امنیت کامپیوتر خودتون رو تأمین کنین. سیستم عامل، نرم افزار و مرورگرهای خودتون رو در رایانه به روز نگه دارین. از آنتی ویروس خوب استفاده کنین. مراقب هرگونه آسیب پذیری باشین و از موارد احتمالی، تا به مشکل بزرگ‌تری تبدیل نشدن جلوگیری کنین. اگر کامپیوتر شما عملکردهای عجیب غریبی از خودش نشون داد، بهتره کامپیوتر رو بررسی کنین تا قبل از اینکه هکرها دسترسی کامل به سیستم شما پیدا کنن خودتون بتونین مشکل کار رو پیدا کنین.

2. وردپرس رو به روز نگه دارین

هر بار که نسخه جدیدی از وردپرس منتشر میشه، باید اون ‌رو نصب کنین. بیشتر ما هیجان زده میشیم که نسخه جدید وردپرس روونه بازار شده. هکرها هم هیجان زده میشن! چون بلافاصله به بررسی قسمت یادداشت‌های امنیتی و نگهداری (The Security and Maintenance Release) میپردازن. متأسفانه هر به روز رسانی وردپرس همراه با کشف تعدادی از آسیب پذیری‌های امنیتی وردپرس در نسخه قدیمی هست. ما با هر به روز رسانی جدید وردپرس، هم ویژگی‌های نسخه جدید دستمون میاد و هم نقایص امنیتی نسخه قبلی. البته در نسخه جدید تمامی نقایص برطرف شدن. اگر وب سایت شما هک بشه در حالتی که نسخه جدید رو نداشتین، دیگه متأسفانه برای اقدام خیلی دیره. پس به هکرها فرصت ندین و نسخه آخر رو نصب کنین. اگر میترسین که با به روز رسانی وبسایت شما بهم بریزه، از قبل یک نسخه پشتیبان از سایت تهیه کنین.

3. مطمئن بشین که سرور میزبان شما امنه

میدونستین که تا سال 2019 تقریباً 54 درصد از وبسایت ها هنوز از PHP 5 استفاده میکردن؟! این یعنی هیچ به روز رسانی دریافت نمیشده و سایت به شدت آسیب پذیر بوده. حتی نسخه 7.1 PHP هم از اول دسامبر 2019 منقضی شده. نسخه‌های قدیمی مثل اینها، دیگه پشتیبانی نمیشن و مستعد هک شدن هستن. اگر میدونین که وب سایت شما نسخه قدیمیه، از هاست خودتون بخواین تا در صورت امکان سایت شما رو به نسخه جدیدتر منتقل کنه. اساساً، صرف نظر از امنیت بالا سایتها، اگه یک سایت در یک سرور مشترک آلوده بشه، هر سایت دیگه‌ای در اون سرور در معرض خطره. اگر چیزی در سرور به مشکل بربخوره، حالا حالاها از بین نمیره، تازه بخشی از سرور میشه و به بقیه هم آسیب میزنه.

قبل از اشتراک، امنیت اون رو بررسی کنین. اطمینان حاصل کنین که اونها سرورهای خودشون رو به طور منظم نگهداری میکنن و به جدیدترین نسخه‌‌های نرم افزار دسترسی دارن. اگر میخواین در جلوگیری از هک شدن WordPress موفق عمل کنین، این مورد یکی از کارهای کلیدی هست که باید انجام بدین.

4. برای جلوگیری از رهگیری رمز عبور و داده از انتقال امن استفاده کنین

از طریق اتصال بدون امنیت، داده‌ها قابل رهگیری هستن. یعنی قبل از اینکه بگین “رمز گذاری نشده (Unencrypted)”، میتونین هک بشین. به همین دلیله که شما باید روی اتصلات و شبکه‌های امن رمزگذاری شده تمرکز کنین. از سمت سرور، از سمت کلاینت و از همه جهات. میزبانی رو پیدا کنین که با رمزگذاری SSH/SFTP از داده‌ها و اطلاعات شما در برابر رهگیری‌‌های مخرب محافظت کنه. همچنین در سایت شما باید یک گواهی ایمن نصب و راه اندازی شده باشه تا هنگام ورود به سیستم، اعتبار شما به طور ایمن منتقل بشه.

5. جلوگیری از هک شدن وردپرس با رمزهای عبور پیچیده

هشدار
یک رمز عبور قوی ایجاد کنین و هرگز از رمزهای عبور قبلی استفاده مجدد نکنین.

گذر واژه‌ها گام بعدی ما در مورد چگونگی محافظت از وردپرس در برابر هکرها است. تعداد قابل توجهی از مردم ترجیح میدن تا از گذر واژه‌های کوتاه‌تر و راحت‌تر به نسبت گذر واژه‌های طولانی و پیچیده استفاده کنن. به این دلیل که یادآوری رمز عبور کوتاه، راحت‌تره. اما واقعیت اینه که هکرها این موضوع رو میدونن و از اون بهره میبرن. یک رمز عبور قوی متشکل از حروف، اعداد و سایر کاراکترهای معتبر هست. این کار یکی بهترین روش برای جلوگیری از هک وردپرس شما است. هر چی رمز عبور شما ساده‌تر و کوتاه‌تر باشه، شکستن اون راحت‌تره. پس هر چقدر رمز عبور با کاراکترهای بیشتر استفاده کنین، هک کردن مدت زمان بیشتری طول میکشه.

شکستن رمزی که حاوی هرگونه اطلاعات شخصی یا گذر واژه‌هایی مبتنی بر اونها مثل تولد یا نام افراد باشه، به راحتی امکان پذیره. از کلمه عبوری که صرفاً متشکل از فقط حروف، فقط عدد باشه استفاده نکنین. همیشه سعی کنین ترکیبی از حروف و اعداد و کاراکترهای معتبر دیگه باشه (صرف نظر از طول اون). رمز عبوری ایجاد کنین که به راحتی به خاطر بسپارین ولی از طرفی حدس زدن اون دشوار باشه.

مثال
enterSOMEwords753@andNUMBERS59!$

6. پایگاه داده‌های خودتون رو امن و جداگونه نگه دارین

پایگاه داده شما چیزیه که تمامی اطلاعات سایت شما و هر چیزی که تا به حال در سایت اتفاق افتاده رو داره و ذخیره کرده. یعنی یک منبع واقعی از اطلاعات و چیزی که همیشه هکرها دنبال اونن. کدهای اتوماتیک برای تزریق SQL به پایگاه داده و وبسایت شما، میتونه به طور کامل هک بشه. اگر شما چندین سایت و وبلاگ رو از یک سرور واحد و پایگاه داده اجرا میکنین، تمام سایت های شما در معرض خطر هستن. بهتره که از یک سرور مشترک استفاده نکنین. به عبارت ساده تر، هر وبسایتی که شما میزبانی میکنین، باید پایگاه داده و کاربر پایگاه داده جداگونه‌ای داشته باشه.

هشدار
فقط کاربر پایگاه داده باید به پایگاه داده دسترسی داشته باشه.

شما همچنین میتونین تمام امتیازات پایگاه داده رو لغو کنین به جز خوندن و نوشتن داده برای کاربرانی که با پست کردن، آپلود و نصب پلاگین‌ها کار میکنن.

شما حتی باید پایگاه داده خودتون رو تغییر نام بدین (با تغییر پیشوند) تا از حمله هکرها تا حد الامکان جلوگیری کنین. البته در بعضی مواقع این باعث جلوگیری از هک WordPress نمیشه ولی مطمئن باشین که اگر پایگاه داده به خطر بیفته، هکرها نمیتونن وردپرس بعدی رو نصب کنن.

7. اطلاعات ورود به سیستم و نام Admin رو مخفی کنین

حالت‌های پیش فرض وردپرس رو عوض کنین و همینجوری رهاش نکنین. تمام چیزی که هکرها نیاز دارن اضافه کردن author=1? بعد از URL شما و شخصی که به نظر میره ادمین باشه، هست. تصور کنین وقتی که هکرها نام کاربری ادمین رو بدونن چقدر کارشون راحت میشه. راه حل برای جلوگیری از هک شدن وردپرس ، مخفی کردن تمام نام‌های کاربری با کد در فایل functions.php هست.

صفحه ورود شما به راحتی قابل دسترسیه. اگر شما به سادگی wp-admin یا wp-login.php رو بعد از URL صفحه اصلی خودتون قرار بدین، تنها چیزی که باقی میمونه، کمی تلاش برای حدس کلمه عبوره. URL صفحه ورود به سیستم خودتون رو تغییر بدین تا کار رو برای هکرها دشوار کنین. پلاگین‌های امنیتی مثل iThemes Security دارای تنظیماتی برای مخفی کردن اطلاعات ورود هستن تا از دسترسی راحت برای ورود به سیستم جلوگیری کنن.

8. پلاگین‌های امنیتی وردپرس و ترفندهایی برای محافظت از wp-admin

قسمت wp-admin مهم‌ترین بخش نصب وردپرس شما است. متأسفانه صفحه ورود به سیستم و دایرکتوری ادمین برای همه در دسترس هست. از جمله برای کسایی که با هدف مخرب کار میکنن. برای محافظت و جلوگیری از حمله هکرها، باید کمی سخت‌تر کار کنین.

iThemes Security

یک رمز عبور قوی، یک حساب کاربری متفاوت (چیزی به جز admin) و استفاده از پلاگین‌های امنیتی برای تغییر نام لینک‌های ورود به سیستم، قطعاً به جلوگیری از هک شدن وردپرس کمک میکنه.

Malcare

شما میتونین محافظت از پنل ادمین و سایت خودتون رو با Malcare قوی‌تر کنین. اسکن پرونده، تمیز کردن اضطراری، فایروال ساخته شده برای جلوگیری از ترافیک مخرب، به روز رسانی تم‌ها و پلاگین‌ها به طور مستقیم از داشبورد اونها و گرفتن نسخه پشتیبان تنها با یک کلیک از جمله کارهایی هست که میتونین انجام بدین.

محدود کردن تلاش‌های مجدد برای ورود به سیستم

با تلاش برای ورود به سیستم به صورت نامحدود، هر هکری نهایتاً نفوذ میکنه. میتونین با استفاده از افزونه Limit Login Attempts Reloaded، میزان تلاش برای ورود به سیستم رو برای هر کاربری محدود کنین.

9. از وبسایت خودتون نسخه پشتیبان تهیه کنین

تهیه نسخه پشتیبان یکی از اولین مواردی هست که در صورت هک شدن برای بازیابی سایت خودتون بهش نیاز دارین. هیچ بهونه‌ای برای سهل انگاری در این مورد پذیرفته نیست چون افزونه‌هایی وجود دارن که به صورت خودکار بازیابی سایت رو انجام میدن. بعضی از افزونه‌ها که میتونیم بهتون پیشنهاد کنیم عبارتند از:

  • VaultPress
  • UpdraftPlus
  • WP-DB-Backup
  • BackupBuddy

یک فهرست و زمان بندی ایجاد کنین و به افزونه اجازه بدین تا بقیه کارها رو انجام بده. برخی از این افزونه‌ها دارای گزینه‌های بازگردانی آسون هستن. بررسی کنین که پلاگین‌ها از کل سایت از جمله تمام پایگاه داده‌ها و دایرکنوری‌ها نسخه پشتیبان تهیه میکنن. اگر چه این کار از هک وردپرس جلوگیری نمیکنه اما به شما آرامش میده در صورت اتفاق غیرقابل تصور، سایت خودتون رو بازیابی کنین.

10. از منابع معتبر برای بارگیری استفاده کنین

اگر با بودجه محدود برای کار کردن سر و کار دارین، ممکنه دنبال گزینه‌ای باشین که تمام ویژگی‌های پلاگین و تم‌ها رو به صورت رایگان دریافت کنین. اگر چیزی از منابع نامعتبر یا غیرقانونی دانلود کنین، باید همیشه منتظر یک حمله هکری باشین؛ پلاگین‌های کرک شده.

افزونه‌ها یا تم‌های کرک شده حاوی درهای مخفی هستن که به اونها امکان میده تا به راحتی کنترل سایت شما رو در دست بگیرن. این باعث نفوذ بدافزار میشه. سایت شما در صورت داشتن بدافزار، به سرعت در لیست سیاه قرار میگیره حتی از موتورهای جستجو و مرورگرها هم حذف میشه. این یک روش شناخته شده و بسیار محبوب هکرها است.

11. امنیت خوب وردپرس با مجوزهای خوب پرونده

قانون کلی برای دایرکتوری‌ها 755 و برای فایل‌ها 644 هست. اگر چه این ممکنه بسته به نوع سرور و نوع پرونده مورد نظر متفاوت باشه. در اکثر موارد شما باید کار کردن با این مجوزها رو بلد باشین. بهترین کار اینه از میزبان خودتون بخواین بررسی کنه یا اگر دسترسی مستقیم دارین، میتونین خودتون انجام بدین.

12. هرگز مجوزهای پرونده رو روی 777 تنظیم نکنین

اگر واقعاً میخواین برای جلوگیری از هک شدن وردپرس اقدام کنین، هرگز مجوز پرونده‌ها و دایرکتوری رو روی 777 قرار ندین. مگر اینکه بخواین کنترل کامل اون رو برای همه از جمله هکرها اعمال کنین. این کار بین مبتدی‌ها مرسومه. چون فکر میکنن این کار راحت‌تره یا بعداً قابل درست کردن و تغییره. این کار بسیار خطرناکه. 777 به این معنی که هر کسی در اینترنت میتونه محتوا پرونده رو تغییر بده. با تنظیم این مجوز، در وب سایت شما به روی همه بازه. دسترسی به یک پرونده، موجب دسترسی به پرونده‌های دیگه و سایر موارد ناخوشایندی برای شما میشه. مجوزهای صحیح به جلوگیری از هک WordPress کمک میکنه.

13. از پیکربندی وردپرس برای بهبود امنیت سایت، محافظت کنین

این یکی از موضوعاتی هست که کمی بحث برانگیزه. همه موافق انجام این کار نیستن. خواه ناخواه، واقعیت اینه که، انتقال wp-config.php به خارج از پوشه Root و کمی تغییر کد در این فایل، به سخت شدن وبسایت شما کمک میکنه. با سخت شدن وبسایت، کار هکرها هم دشوارتر میشه و این همون چیزی هست که همه میخوان.

 

اگه وردپرس هک شد چه کار باید کرد؟

حتی اگر تمام این موارد رو انجام بدین، باز هم ممکنه که قربانی هکرها بشین. وحشت نکنین و مراحل زیر رو دنبال کنین.

1. نوع هک رو شناسایی کنین

راه حل بازگردانی سایت شما به نوع هک وردپرس بستگی داره. یعنی اولین قدم همین تعریف نوع هک هست.

2. بازیابی از نسخه پشتیبان رو امتحان کنین

وقتی مرتباً پشتیبان گیری میکنین، بازیابی سایت هک شده خودتون رو راحت‌تر میکنین. در این حین باید مطمئن باشین که پلاگین‌ها و تم‌ها یا هر چیز دیگه‌ای به روز هست.

3. از ارائه دهنده میزبان خودتون کمک بگیرین

بیش از 40 درصد از وبسایت‌های هک شده، از نظر امنیتی در سیستم عامل میزبان آسیب پذیر بودن. پس زمانی که وب سایت شما هک شد، یک راه خوب اینه که از ارائه دهنده میزبان خودتون بخواین در برگردوندن سایت به شما کمک کنه.

4. برای پیدا کردن بدافزار شروع به اسکن کنین

در بسیاری از موارد هکرها با استفاده از در پشتی Backdoor به وبسایت شما دسترسی پیدا میکنن. هکرها بدون نیاز به هیچگونه اطلاعات ورود به وب سایت شما میان و تا مدتی که نمیدونیم چقدره، میمونن.

5. کاربران وردپرس رو بررسی کنین

به احتمال زیاد شما چندین کاربر در وبسایت دارین. اونها بر اسای توانایی‌هایی که دارن از قابلیت‌های مختلفی برخوردار هستن. گاهی هکرها کاربران جدیدی رو برای سایت شما تعریف میکننو مجوزهایی رو به کاربران ساخته شده میدن.

6. کلیدهای مخفی رو تغییر بدین

کلیدهای مخفی از ویژگی‌های مفید وردپرس هستن. این کلیدها حاوی متن ایجاد شده تصادفی هستن که به رمزگذاری اطلاعات ذخیره شده در کوکی‌‌ها کمک میکنن. اگر اونها رو ندارین باید ایجاد کنین. اگر هم دارین و سایت شما هک شده باید اونها رو تغییر بدین.

7. تمامی رمزهای عبور رو تغیر بدین

این کار یک مرحله معمول اما حیاتی در بازیابی وبسایت هک شده هست. تمام رمزهای عبور خودتون رو دوباره تنظیم کنین. رمزهای عبور معمول شامل Admin، cPanel، MySQL، FTP و غیره هستن.

این موارد برای زمان بعد از هک به طور خلاصه گفته شده. اگر تمایل دارین بیشتر اطلاعات کسب کنین، میتونین مقاله مرتبط سایت ما رو مطالعه کنین.

 

قربانی شدن توسط هکرها تجربه وحشتناکیه، به خصوص اینکه اگر اولین بار باشه. با این حال، حالا که این مقاله رو خوندین، باید دید روشن تری در مورد اقدامات لازم برای بازگردادن وبسایت هک شده خودتون داشته باشین. همچنین دید روشنی نسبت به اقدامات پیشگیرانه برای جلوگیری از هک شدن WordPress باید براتون ایجاد شده باشه. در صورت تمایل این مقاله رو ذخیره کنین تا در مواقع مورد نیاز بتونین اون رو بخونین. همینطور به اشتراک گذاشتن این مقاله با دیگران، میتونه بقیه رو از این خطر مطلع کنه و راهکارهای لازم رو بهشون منتقل کنه.