
افزایش امنیت وردپرس
وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که 43.2 درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند.
متأسفانه، محبوبیت آن انواع مجرمان سایبری را که از آسیبپذیریهای امنیتی این پلتفرم سوء استفاده میکنند، جذب میکند.
این بدان معنا نیست که وردپرس دارای یک سیستم امنیتی وحشتناک است – نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد.
بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.
ما در مورد روش هایی برای بهبود امنیت وردپرس و محافظت از سایت شما در برابر حملات سایبری مختلف صحبت خواهیم کرد.
این مقاله شامل بهترین شیوه ها و نکات خواهد بود – با یا بدون افزونه وردپرس.
برخی از روش ها برای پلتفرم های دیگر غیر از وردپرس نیز قابل اجرا هستند.
افزایش امنیت وردپرس
چرا باید یک وب سایت وردپرسی را ایمن کنید؟
اگر وب سایت وردپرس شما هک شود، خطر از دست دادن داده ها، دارایی ها و اعتبار مهم را دارید.
علاوه بر این، این مسائل امنیتی می تواند داده های شخصی و اطلاعات صورتحساب مشتریان شما را به خطر بیندازد.
هزینه خسارات جرایم سایبری می تواند تا سال 2025 به 10.5 تریلیون دلار در سال برسد.
مطمئناً شما نمی خواهید به هدف هکرها تبدیل شوید و به آن کمک کنید.
بر اساس پایگاه داده آسیبپذیری WPScan، اینها برخی از رایجترین انواع آسیبپذیریهای امنیتی وردپرس هستند:
⦁ جعل درخواست بین سایتی (CSRF) – کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه وب قابل اعتماد انجام دهد.
⦁ حمله انکار سرویس توزیع شده (DDoS) – خدمات آنلاین را با پر کردن اتصالات ناخواسته از کار میاندازد و در نتیجه یک سایت را غیرقابل دسترس میکند.
⦁ دور زدن احراز هویت – به هکرها امکان دسترسی به منابع وب سایت شما را بدون تأیید صحت آنها می دهد.
⦁ تزریق SQL (SQLi) – سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا کند و داده ها را در پایگاه داده دستکاری کند.
⦁ برنامه نویسی متقابل سایت (XSS) – کد مخربی را تزریق می کند که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.
⦁ گنجاندن فایل محلی (LFI) – سایت را مجبور به پردازش فایل های مخرب قرار داده شده در وب سرور می کند.
افزایش امنیت وردپرس
چک لیست امنیتی وردپرس و نکات اضافی
اجرای یک یا دو اقدام امنیتی وردپرس برای ایمن کردن وب سایت وردپرس شما کافی نخواهد بود.
- سایت خود را به روز نگه دارید.
- از اعتبارنامه های ورود امن wp-admin استفاده کنید.
- لیست امن و فهرست مسدود را برای صفحه مدیریت تنظیم کنید.
- از یک قالب وردپرس قابل اعتماد استفاده کنید.
- یک گواهی SSL برای انتقال امن داده نصب کنید.
- تم ها و افزونه های استفاده نشده وردپرس را حذف کنید.
- احراز هویت دو مرحله ای را فعال کنید.
- به طور منظم پشتیبان تهیه کنید.
- تعداد تلاش های ناموفق برای ورود را محدود کنید.
- URL صفحه ورود به وردپرس خود را تغییر دهید.
- به طور خودکار از کاربران بیکار خارج شوید.
- نظارت بر فعالیت کاربر.
- به طور منظم سایت خود را برای بدافزار اسکن کنید.
- قابلیت گزارش خطای PHP را غیرفعال کنید.
- به یک میزبان وب امن تر مهاجرت کنید.
- ویرایش فایل را غیرفعال کنید.
- از htaccess. برای غیرفعال کردن اجرای فایل PHP و محافظت از فایل wp-config.php استفاده کنید.
- پیشوند پیش فرض پایگاه داده وردپرس را تغییر دهید.
- ویژگی XML-RPC را غیرفعال کنید.
- نسخه وردپرس خود را مخفی کنید.
- Hotlinking از وب سایت های دیگر را مسدود کنید.
- مجوزهای فایل و پوشه را مدیریت کنید.
افزایش امنیت وردپرس
1.نسخه وردپرس را به طور منظم به روز کنید
وردپرس بهروزرسانیهای نرمافزاری منظم را برای بهبود عملکرد و امنیت منتشر میکند.
این به روز رسانی ها همچنین از سایت شما در برابر تهدیدات سایبری محافظت می کنند.
به روز رسانی نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است.
با این حال، نزدیک به 50٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.
برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، وارد بخش مدیریت وردپرس خود شوید و به داشبورد → به روز رسانی ها در پانل منوی سمت چپ بروید.
اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.
به تاریخ های انتشار به روز رسانی آینده توجه داشته باشید تا مطمئن شوید که سایت شما نسخه قدیمی وردپرس را اجرا نمی کند.
همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را به روز کنید.
تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.
برای خلاص شدن از شر مضامین و افزونه های قدیمی این مراحل را دنبال کنید:
- به پنل مدیریت وردپرس خود بروید و به Dashboard → Updates بروید.
- به قسمت پلاگین ها و تم ها بروید و لیست تم ها و افزونه های آماده برای به روز رسانی را بررسی کنید. توجه داشته باشید که می توان آنها را به یکباره یا جداگانه به روز کرد.
- روی Update Plugins کلیک کنید.
نکته تخصصی:فعال کردن بهروزرسانیهای خودکار بار کاری شما را کاهش میدهد، اما میتواند وبسایت شما را به دلیل ناسازگاری با افزونهها یا تمهای قدیمیتر خراب کند.
اگر این گزینه را فعال کردید، مطمئن شوید که از وب سایت شما به طور منظم نسخه پشتیبان تهیه شده است تا در صورت بروز خطا بتوانید به نسخه قبلی برگردید.
افزایش امنیت وردپرس
2.از اعتبارنامه ورود امن WP-Admin استفاده کنید
یکی از رایجترین اشتباهاتی که کاربران مرتکب میشوند استفاده از نامهای کاربری ساده و قابل حدس زدن است، مانند «admin»، «administrator» یا «test». این سایت شما را در معرض خطر حملات brute force قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایتهای وردپرسی که پسورد قوی ندارند، استفاده میکنند.
بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.
از طرف دیگر، این مراحل را برای ایجاد یک حساب کاربری جدید سرپرست وردپرس با نام کاربری جدید دنبال کنید:
- از داشبورد وردپرس خود، به قسمت Users → Add New بروید.
- یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید. یک رمز عبور اضافه کنید و پس از اتمام کار، دکمه افزودن کاربر جدید را فشار دهید.
اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید.
همچنین توصیه می کنیم از بیش از 12 کاراکتر استفاده کنید زیرا شکستن رمزهای عبور طولانی تر بسیار سخت تر است.
نکته تخصصی:رمز عبور طولانی تر – ایمن تر. با این حال، رمزهای عبور قوی لازم نیست طولانی و پیچیده باشند – به جای حروف شناخته شده از نمادها و اعداد خاص استفاده کنید.
مثلا 41@bAm@! به جای آلاباما! به یاد آوردن آسان و شکستن آن سخت تر است.
از طرف دیگر، به جای کلمات واقعی، مانند qpzmwoxn، از یک الگو در صفحه کلید استفاده کنید.
علاوه بر این، این دو را با هم ترکیب کنید تا رمز عبور قویتری ایجاد کنید.
افزایش امنیت وردپرس
3.Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید
فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند.
برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.
با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد.
URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند.
هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد.
Sucuri دارای ویژگی مشابهی به نام لیست سیاه مسیر URL است.
ابتدا آدرس صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد.
سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.
از طرف دیگر، با پیکربندی فایل htaccess. سایت خود، دسترسی به صفحه ورود خود را محدود کنید.
برای دسترسی به فایل به دایرکتوری ریشه خود بروید.
مهم! قبل از ایجاد هر گونه تغییری، اکیداً به شما توصیه می کنیم از فایل htaccess. نسخه پشتیبان تهیه کنید.
اگر مشکلی پیش بیاید، می توانید سایت خود را به راحتی بازیابی کنید.
افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.
IP ها را برای ورود به Apache 2.2 مسدود کنید
دستور رد، اجازه اجازه از MYIP اجازه از MYIP2 انکار از همه
IPS را برای ورود به Apache 2.4 مسدود کنید
<فایل های “wp-login.php”>
نیاز به همه رد شد
این قانون باید بعد از دستورات # BEGIN WordPress و # END WordPress قرار گیرد، همانطور که در زیر نشان داده شده است.
این قانون حتی اگر IP ثابت نداشته باشید اعمال می شود، زیرا می توانید ورود به سیستم را به محدوده مشترک ISP خود محدود کنید.
همچنین می توانید از این قانون برای محدود کردن سایر URL های احراز هویت شده مانند /wp-admin استفاده کنید.
نکته تخصصی:توجه داشته باشید که بلاک کردن فقط در برابر تهدیدات شناخته شده موثر است.
هکرها می توانند بدافزار را به طور خاص طراحی کنند تا از شناسایی توسط ابزارهایی که از یک سیستم فهرست بلاک استفاده می کنند اجتناب کنند.
در حالی که لیست ایمن امنیت قوی تری ارائه می دهد، پیاده سازی آن نیز می تواند پیچیده تر باشد، به خصوص اگر می خواهید شخص ثالثی این کار را انجام دهد – آنها به اطلاعاتی در مورد همه برنامه هایی که استفاده می کنید نیاز دارند.
افزایش امنیت وردپرس
از قالب های مورد اعتماد وردپرس استفاده کنید
تم های نال شده وردپرس نسخه های غیرمجاز تم های اصلی اصلی هستند.
در بیشتر موارد، این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولا مشکلات امنیتی زیادی دارند.
اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند.
علاوه بر این، این تم ها می توانند درهای پشتی برای سوء استفاده های دیگری باشند که می توانند سایت وردپرس شما را به خطر بیندازند.
از آنجایی که تم های نال شده به صورت غیرقانونی توزیع می شوند، کاربران آن ها هیچ گونه حمایتی از سوی توسعه دهندگان دریافت نمی کنند.
این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.
برای جلوگیری از تبدیل شدن به یک هدف هکر، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید.
از طرف دیگر، تم های شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید.
افزایش امنیت وردپرس
5.گواهی SSL را نصب کنید
لایه سوکت های امن (SSL) یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.
علاوه بر این، گواهیهای SSL همچنین بهینهسازی سایت وردپرس را برای موتورهای جستجو (SEO) تقویت میکند و به آن کمک میکند بازدیدکنندگان بیشتری جذب کند.
وبسایتهایی با گواهی SSL نصب شده از HTTPS به جای HTTP استفاده میکنند، بنابراین شناسایی آنها آسان است.
اکثر شرکت های هاستینگ شامل SSL با برنامه های خود هستند.
به عنوان مثال، Hostinger یک گواهی رایگان Let’s Encrypt SSL را در تمام برنامه های میزبانی خود ارائه می دهد.
پس از نصب گواهی SSL در حساب میزبانی خود، آن را در وب سایت وردپرس خود فعال کنید.
افزونه هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می توانند جنبه های فنی و فعال سازی SSL را با چند کلیک کنترل کنند.
نسخه پریمیوم Really Simple SSL میتواند هدرهای HTTP Strict Transport Security را فعال کند که استفاده از HTTPS را هنگام دسترسی به سایت اعمال میکند.
پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید.
برای انجام این کار، به تنظیمات → عمومی بروید و قسمت آدرس سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.
همچنین شما میتوانید مطالبی از قبیل تیک آبی جیمیل ، ایجاد دیتابیس در دایرکت ادمین ، پوسته، پروندهٔ استایل style.css را کم دارد و… را مطالعه نمایید.
جهت آموزش های بیشتر اینستاگرام آژانس مدلین را فالو داشته باشید.