افزایش امنیت وردپرس

توسط

در

افزایش امنیت وردپرس

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که 43.2 درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند.

متأسفانه، محبوبیت آن انواع مجرمان سایبری را که از آسیب‌پذیری‌های امنیتی این پلتفرم سوء استفاده می‌کنند، جذب می‌کند.


این بدان معنا نیست که وردپرس دارای یک سیستم امنیتی وحشتناک است – نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد.

بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.


ما در مورد روش هایی برای بهبود امنیت وردپرس و محافظت از سایت شما در برابر حملات سایبری مختلف صحبت خواهیم کرد.

این مقاله شامل بهترین شیوه ها و نکات خواهد بود – با یا بدون افزونه وردپرس.

برخی از روش ها برای پلتفرم های دیگر غیر از وردپرس نیز قابل اجرا هستند.

افزایش امنیت وردپرس

چرا باید یک وب سایت وردپرسی را ایمن کنید؟


اگر وب سایت وردپرس شما هک شود، خطر از دست دادن داده ها، دارایی ها و اعتبار مهم را دارید.

علاوه بر این، این مسائل امنیتی می تواند داده های شخصی و اطلاعات صورتحساب مشتریان شما را به خطر بیندازد.


هزینه خسارات جرایم سایبری می تواند تا سال 2025 به 10.5 تریلیون دلار در سال برسد.

مطمئناً شما نمی خواهید به هدف هکرها تبدیل شوید و به آن کمک کنید.


بر اساس پایگاه داده آسیب‌پذیری WPScan، اینها برخی از رایج‌ترین انواع آسیب‌پذیری‌های امنیتی وردپرس هستند:


⦁ جعل درخواست بین سایتی (CSRF) – کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه وب قابل اعتماد انجام دهد.


⦁ حمله انکار سرویس توزیع شده (DDoS) – خدمات آنلاین را با پر کردن اتصالات ناخواسته از کار می‌اندازد و در نتیجه یک سایت را غیرقابل دسترس می‌کند.


⦁ دور زدن احراز هویت – به هکرها امکان دسترسی به منابع وب سایت شما را بدون تأیید صحت آنها می دهد.


⦁ تزریق SQL (SQLi) – سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا کند و داده ها را در پایگاه داده دستکاری کند.


⦁ برنامه نویسی متقابل سایت (XSS) – کد مخربی را تزریق می کند که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.


⦁ گنجاندن فایل محلی (LFI) – سایت را مجبور به پردازش فایل های مخرب قرار داده شده در وب سرور می کند.

افزایش امنیت وردپرس

چک لیست امنیتی وردپرس و نکات اضافی


اجرای یک یا دو اقدام امنیتی وردپرس برای ایمن کردن وب سایت وردپرس شما کافی نخواهد بود.

  1. سایت خود را به روز نگه دارید.
  2. از اعتبارنامه های ورود امن wp-admin استفاده کنید.
  3. لیست امن و فهرست مسدود را برای صفحه مدیریت تنظیم کنید.
  4. از یک قالب وردپرس قابل اعتماد استفاده کنید.
  5. یک گواهی SSL برای انتقال امن داده نصب کنید.
  6. تم ها و افزونه های استفاده نشده وردپرس را حذف کنید.
  7. احراز هویت دو مرحله ای را فعال کنید.
  8. به طور منظم پشتیبان تهیه کنید.
  9. تعداد تلاش های ناموفق برای ورود را محدود کنید.
  10. URL صفحه ورود به وردپرس خود را تغییر دهید.
  11. به طور خودکار از کاربران بیکار خارج شوید.
  12. نظارت بر فعالیت کاربر.
  13. به طور منظم سایت خود را برای بدافزار اسکن کنید.
  14. قابلیت گزارش خطای PHP را غیرفعال کنید.
  15. به یک میزبان وب امن تر مهاجرت کنید.
  16. ویرایش فایل را غیرفعال کنید.
  17. از htaccess. برای غیرفعال کردن اجرای فایل PHP و محافظت از فایل wp-config.php استفاده کنید.
  18. پیشوند پیش فرض پایگاه داده وردپرس را تغییر دهید.
  19. ویژگی XML-RPC را غیرفعال کنید.
  20. نسخه وردپرس خود را مخفی کنید.
  21. Hotlinking از وب سایت های دیگر را مسدود کنید.
  22. مجوزهای فایل و پوشه را مدیریت کنید.

افزایش امنیت وردپرس

1.نسخه وردپرس را به طور منظم به روز کنید

وردپرس به‌روزرسانی‌های نرم‌افزاری منظم را برای بهبود عملکرد و امنیت منتشر می‌کند.

این به روز رسانی ها همچنین از سایت شما در برابر تهدیدات سایبری محافظت می کنند.


به روز رسانی نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است.

با این حال، نزدیک به 50٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.


برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، وارد بخش مدیریت وردپرس خود شوید و به داشبورد → به روز رسانی ها در پانل منوی سمت چپ بروید.

اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.


به تاریخ های انتشار به روز رسانی آینده توجه داشته باشید تا مطمئن شوید که سایت شما نسخه قدیمی وردپرس را اجرا نمی کند.


همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را به روز کنید.

تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.


برای خلاص شدن از شر مضامین و افزونه های قدیمی این مراحل را دنبال کنید:

  1. به پنل مدیریت وردپرس خود بروید و به Dashboard → Updates بروید.
  2. به قسمت پلاگین ها و تم ها بروید و لیست تم ها و افزونه های آماده برای به روز رسانی را بررسی کنید. توجه داشته باشید که می توان آنها را به یکباره یا جداگانه به روز کرد.
  3. روی Update Plugins کلیک کنید.


نکته تخصصی:

فعال کردن به‌روزرسانی‌های خودکار بار کاری شما را کاهش می‌دهد، اما می‌تواند وب‌سایت شما را به دلیل ناسازگاری با افزونه‌ها یا تم‌های قدیمی‌تر خراب کند.

اگر این گزینه را فعال کردید، مطمئن شوید که از وب سایت شما به طور منظم نسخه پشتیبان تهیه شده است تا در صورت بروز خطا بتوانید به نسخه قبلی برگردید.

افزایش امنیت وردپرس

2.از اعتبارنامه ورود امن WP-Admin استفاده کنید

یکی از رایج‌ترین اشتباهاتی که کاربران مرتکب می‌شوند استفاده از نام‌های کاربری ساده و قابل حدس زدن است، مانند «admin»، «administrator» یا «test». این سایت شما را در معرض خطر حملات brute force قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایت‌های وردپرسی که پسورد قوی ندارند، استفاده می‌کنند.
بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.
از طرف دیگر، این مراحل را برای ایجاد یک حساب کاربری جدید سرپرست وردپرس با نام کاربری جدید دنبال کنید:

  1. از داشبورد وردپرس خود، به قسمت Users → Add New بروید.
  2. یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید. یک رمز عبور اضافه کنید و پس از اتمام کار، دکمه افزودن کاربر جدید را فشار دهید.


اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید.

همچنین توصیه می کنیم از بیش از 12 کاراکتر استفاده کنید زیرا شکستن رمزهای عبور طولانی تر بسیار سخت تر است.


نکته تخصصی:

رمز عبور طولانی تر – ایمن تر. با این حال، رمزهای عبور قوی لازم نیست طولانی و پیچیده باشند – به جای حروف شناخته شده از نمادها و اعداد خاص استفاده کنید.

مثلا 41@bAm@! به جای آلاباما! به یاد آوردن آسان و شکستن آن سخت تر است.

از طرف دیگر، به جای کلمات واقعی، مانند qpzmwoxn، از یک الگو در صفحه کلید استفاده کنید.

علاوه بر این، این دو را با هم ترکیب کنید تا رمز عبور قوی‌تری ایجاد کنید.

افزایش امنیت وردپرس

3.Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید

فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند.

برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.


با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد.

URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند.

هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد.


Sucuri دارای ویژگی مشابهی به نام لیست سیاه مسیر URL است.

ابتدا آدرس صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد.

سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.


از طرف دیگر، با پیکربندی فایل htaccess. سایت خود، دسترسی به صفحه ورود خود را محدود کنید.

برای دسترسی به فایل به دایرکتوری ریشه خود بروید.


مهم! قبل از ایجاد هر گونه تغییری، اکیداً به شما توصیه می کنیم از فایل htaccess. نسخه پشتیبان تهیه کنید.

اگر مشکلی پیش بیاید، می توانید سایت خود را به راحتی بازیابی کنید.


افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.

IP ها را برای ورود به Apache 2.2 مسدود کنید

دستور رد، اجازه اجازه از MYIP اجازه از MYIP2 انکار از همه

IPS را برای ورود به Apache 2.4 مسدود کنید

<فایل های “wp-login.php”>
نیاز به همه رد شد

این قانون باید بعد از دستورات # BEGIN WordPress و # END WordPress قرار گیرد، همانطور که در زیر نشان داده شده است.


این قانون حتی اگر IP ثابت نداشته باشید اعمال می شود، زیرا می توانید ورود به سیستم را به محدوده مشترک ISP خود محدود کنید.


همچنین می توانید از این قانون برای محدود کردن سایر URL های احراز هویت شده مانند /wp-admin استفاده کنید.


نکته تخصصی:

توجه داشته باشید که بلاک کردن فقط در برابر تهدیدات شناخته شده موثر است.

هکرها می توانند بدافزار را به طور خاص طراحی کنند تا از شناسایی توسط ابزارهایی که از یک سیستم فهرست بلاک استفاده می کنند اجتناب کنند.

در حالی که لیست ایمن امنیت قوی تری ارائه می دهد، پیاده سازی آن نیز می تواند پیچیده تر باشد، به خصوص اگر می خواهید شخص ثالثی این کار را انجام دهد – آنها به اطلاعاتی در مورد همه برنامه هایی که استفاده می کنید نیاز دارند.

افزایش امنیت وردپرس

از قالب های مورد اعتماد وردپرس استفاده کنید

تم های نال شده وردپرس نسخه های غیرمجاز تم های اصلی اصلی هستند.

در بیشتر موارد، این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولا مشکلات امنیتی زیادی دارند.


اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند.

علاوه بر این، این تم ها می توانند درهای پشتی برای سوء استفاده های دیگری باشند که می توانند سایت وردپرس شما را به خطر بیندازند.


از آنجایی که تم های نال شده به صورت غیرقانونی توزیع می شوند، کاربران آن ها هیچ گونه حمایتی از سوی توسعه دهندگان دریافت نمی کنند.

این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.


برای جلوگیری از تبدیل شدن به یک هدف هکر، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید.

از طرف دیگر، تم های شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید.

افزایش امنیت وردپرس

5.گواهی SSL را نصب کنید

لایه سوکت های امن (SSL) یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.


علاوه بر این، گواهی‌های SSL همچنین بهینه‌سازی سایت وردپرس را برای موتورهای جستجو (SEO) تقویت می‌کند و به آن کمک می‌کند بازدیدکنندگان بیشتری جذب کند.


وب‌سایت‌هایی با گواهی SSL نصب شده از HTTPS به جای HTTP استفاده می‌کنند، بنابراین شناسایی آنها آسان است.


اکثر شرکت های هاستینگ شامل SSL با برنامه های خود هستند.

به عنوان مثال، Hostinger یک گواهی رایگان Let’s Encrypt SSL را در تمام برنامه های میزبانی خود ارائه می دهد.


پس از نصب گواهی SSL در حساب میزبانی خود، آن را در وب سایت وردپرس خود فعال کنید.


افزونه هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می توانند جنبه های فنی و فعال سازی SSL را با چند کلیک کنترل کنند.

نسخه پریمیوم Really Simple SSL می‌تواند هدرهای HTTP Strict Transport Security را فعال کند که استفاده از HTTPS را هنگام دسترسی به سایت اعمال می‌کند.


پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید.

برای انجام این کار، به تنظیمات → عمومی بروید و قسمت آدرس سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.

همچنین شما میتوانید مطالبی از قبیل تیک آبی جیمیل ، ایجاد دیتابیس در دایرکت ادمین ، پوسته، پروندهٔ استایل style.css را کم دارد و… را مطالعه نمایید.

جهت آموزش های بیشتر اینستاگرام آژانس مدلین را فالو داشته باشید.


دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *