پس از تهیه هاست و دامنه و نصب وردپرس و تکمیل طراحی وب سایت نوبت به افزایش امنیت وردپرس می رسد. در آموزش افزایش امنیت وردپرس خواهیم دید که یک وردپرس نصب شده پیشفرض چه نیاز هایی جهت افزایش امنیت خود دارد. با ما همراه باشید.
در آموزش افزایش امنیت وردپرس خواهید آموخت:
- اهمیت افزایش امنیت وردپرس
- وضعیت پیشفرض امنیت وردپرس
- آموزش افزایش امنیت وردپرس
- چگونه هک نشویم؟!
- آیا همین روش ها جهت افزایش امنیت کافی است؟
آموزش افزایش امنیت وردپرس
سیستم مدیریت محتوای وردپرس یکی از بزرگترین و محبوب ترین های دنیا می باشد. این به اختصار CMS به شکل قابل توجهی در تمام دنیا در زمینه های طراحی وب در حال استفاده می باشد. از این رو این که این سیستم مدیریت محتوا از نظر امنیت در چه وضعیتی می باشد بسیار مهم می باشد. نباید فراموش کنیم که هر چه یک سیستم بزرگتر و جامع تر باشد، راه های نفوذ به آن هم بیشتر می شود.
از این رو در آموزش افزایش امنیت وردپرس قصد داریم تا بصورت کامل این موضوع را مورد نقد قرار بدهیم. این که وردپرس بصورت پیشفرض از نظر امنیتی در چه وضعیتی می باشد و راه ها و روش های افزایش امنیت این سیستم عامل چیست و چگونه باید انجام بشود. با آموزش با وب سایت دهاستینگ همراه باشید.
اهمیت افزایش امنیت وردپرس
همانطور که می دانید سیستم مدیریت محتوای وردپرس یک سیستم متن باز می باشد. به این معنی که تمام سورس های آن کاملاً آزاد و قابل دسترسی می باشد. این ویژگی هم خوب است و هم بد است. از این نظر خوب می باشد که هر کس می تواند آن را طبق میل خود گسترش دهد و سفارشی کند. اما از این نظر بد است که هر کس می تواند ببیند که درون آن چه می گذرد و راه های نفوذ به آن را تشخیص دهد.
به همین جهت افزایش امنیت وردپرس اهمیت شایانی پیدا می کند. نباید تنها به این امید باشیم که چون وب سایتمان را تازه طراحی و پیاده سازی کرده ایم کسی ما را نمی شناسد و دشمنی هم نداریم که ما را آزار دهد. باید بدانیم که امروزه دیگر اشخاص به اصطلاح هکر بدنبال هک کردن سایت های مختلف نیستند و این ربات ها هستند که به راحتی هر وب سایتی که حفره امنیتی داشته باشد را به جهت راهیابی به اهداف خود هک می کند.
وضعیت پیشفرض امنیت وردپرس
اگر شما یکی از کاربران قدیمی باشید که سالهاست از سیستم مدیریت محتوای وردپرس استفاده می کند حتماً می دانید که اکثر بروزرسانی های اخیر وردپرس تماماً امنیتی بوده است و باگ ها و مشکلات امنیتی را رفع می کرده است. شاید با خود بگویید پس این شرایط نا امید کننده است و وردپرس هنوز خیلی باگ امنیتی دارد.
هم موافقیم و هم مخالف. از این نظر موافق هستیم که این بروزرسانی اخیر می توانست بسیار بیشتر در بخش های مختلف باشد و نه فقط امنیتی. اما از این نظر مخالفیم که این نشانه خوبی است که بروزرسانی های اخیر تماماً امنیتی هستند. این یعنی وردپرس به امنیت خود اهمیت می دهد.
اما بهتر است اینطور وضعیت پیشفرض امنیت وردپرس را در نظر بگیریم که وردپرس در سطح بسیار متوسطی از امنیت به سر می برد و باید دستی به سر و گوش آن بکشیم. در آموزش افزایش امنیت وردپرس خواهیم دید که بسیار ساده می توانیم این امنیتی را به سطح قابل قبولی برسانیم.
بروزرسانی های وردپرس
یکی از مهم ترین و ساده ترین قسمت های وردپرس بروزرسانی های آن است. در گذشته زمانی که بروزرسانی از وردپرس منتشر می شد تمام اصل کار بهم می ریخت. به این شکل که با بروزرسانی بسیاری از مسائل تغییر می کرد و سایت دچار مشکلات زیادی می شد. اما در نسخه های اخیر دیگر چنین مشکلی را شاهد نیستیم و بروزرسانی ها اختلالی به آن صورت ایجاد نمی کنند.
بروزرسانی وردپرس
در بروزرسانی های وردپرس مهم ترین بروزرسانی که در این بخش ها همیشه دیده می شود بروزرسانی خود وردپرس است. در نظر داشته باشید که هیچگاه از آن غافل نشوید. زیرا این بروزرسانی ها مسائل امنیتی بسیار زیادی را رفع می کند و همچنین آسیبی به وب سایت شما وارد نمی کند. مهم تر از همه این بروزرسانی سریع و بدون مشکل بدون از دسترس خارج شدن سایت یا وردپرس انجام می شود.
بروزرسانی افزونه های وردپرس
امروزه به جهت این که یک سایت وردپرسی نیاز های ما را برطرف کند افزونه های زیادی را در آن نصب می کنیم. این افزونه ها هر کدام فایل های بخصوص خود را دارند و بروزرسانی های جداگانه ای برای آن ها منتشر می شود. علاوه بر این که باید در نظر داشته باشیم هر افزونه های را نصب نکنیم، باید بروزرسانی های آن ها را مدام انجام بدهیم.
بروزرسانی قالب های وردپرس
در حال حاضر اکثر وب سایت ها با قالب های آماده ای که با بسته های نصبی پیاده سازی شده اند طراحی می شوند. قبول داریم که بروزرسانی قالب ها کمی مشکل تر از بروزرسانی وردپرس و افزونه های آن است. زیرا طراح قالب در بروزرسانی ها قطعاً تغییرات زیادی وارد می کند و این تغییرات ممکن است شرایط را برای ما کمی سخت کند. پیشنهاد نمی کنیم که مدام قالب خود را بروزرسانی کنید، اما پیشنهاد می کنیم که هر از چندگاهی این کار را انجام دهید. هم قالب شما عملکرد خوبی پیدا خواهد کرد هم امنیت آن افزایش میابد.
حذف فایل wp config sample
وردپرس از سالهاست که چنین فایلی را در خود دارد. با استفاده از این فایل می توانید محتوای فایل اصلی کانفیگ وردپرس یعنی wp-config.php را داشته باشید. زمانی که وردپرس را نصب می کنید با استفاده از صفحه نصب در سایت خود دیگر با این فایل کاری نخواهید داشت. پیشتر در بخش وبلاگ دهاستینگ آموزش نصب وردپرس در سی پنل توضیح داده شده است.
از این رو زمانی که شما وردپرس را به هر روشی نصب کنید این فایل بصورت پیشفرض در فایل های داخل پوشه وردپرس نصب شده شما خواهد بود. بهتر است این فایل که با نام کامل wp-config-sample.php وجود دارد را بطور کامل از روی هاست خود حذف کنید.
حذف فایل xmlrpc.php
در آموزشی در بخش وبلاگ دهاستینگ با عنوان آموزش مقابله با حملات XMLRPC وردپرس پیشتر کامل در مورد این فایل صحبت کرده ایم. این فایل که نام آن مختصر شده XML Remote Procedure Call می باشد، یکی از فایل های پیشفرض سیستم مدیریت محتوای وردپرس بوده و وظیفه ارسال درخواست های از راه دور به روش کدگزاری XML را دارد. با توجه به این که در اکثر مواقع از چنین روشی دیگر استفاده نمی شود و بسیار زیاد مورد سوء استفاده قرار می گیرد، بهتر است این فایل نیز حذف شود.
رمز گذاری روی پوشه ادمین وردپرس
با توجه به این که قبلاً آموزش رمز گذاری پوشه های سی پنل را کامل عنوان کرده ایم، مختصراً باید بگوییم که رمز گذاری بر روی گوشه wp-admin بسیار امری مهم می باشد. این کار باعث می شود تا هر درخواستی جهت دسترسی به این مسیر ابتدا نام کاربری و رمز عبوری از پیش تغیین شده را وارد کند. به این شکل بسیاری از حملات لاگین ها به حداقل خود می رسند.
نصب افزونه های امنیتی
فارغ از تمام موارد گفته شده در آموزش افزایش امنیت وردپرس تا به اینجای کار، نصب یک افزونه امنیتی بسیار قدرتمند کاملاً پیشنهاد می شود. افزونه های امنیتی با بررسی تمام عملکردهای مختلف در طول روز امنیت سایت وردپرسی را تا حد زیادی افزایش می دهند. البته این بسیار مهم است که از چه افزونه ای با چه تنظیماتی استفاده می کنیم. پیشنهاد ما به شما استفاده از افزونه wordfence می باشد.
افزونه وردفنس تا بحال بیش از ۴ میلیون نصب فعال داشته است که از بهترین افزونه های امنیتی به شمار می رود. البته ناگفته نماند که افزونه های بسیار زیادی در این زمینه وجود دارند که آن ها هم حرفی برای گفتن دارند. مثل افزونه All In One WP Security که یک میلیون نصب فعال دارد و بسیار ساده تر و سبک تر از افزونه وردفنس می باشد.
استفاده از رمز عبور بسیار قوی
رمز عبور های انتخابی توسط کاربران چه برای یک هاست وردپرس یا برای خود وردپرس بعضاً بسیار ساده و قابل پیش بینی هستند. این بسیار مهم است که اولاً رمز عبور هاست با وردپرس متفاوت باشد و دوماً حتماً هر دو بخصوص رمز عبور وردپرس بسیار قوی باشد. یک رمز عبور قوی در وردپرس می تواند شامل حروف، اعداد،و نمادها باشد و حداقل ۱۶ کاراکتر باشد. ناگفته نماند که خود وردپرس هم در بخش ویرایش شناسنامه رمز عبورهای مناسبی ارائه می کند.
البته شایان ذکر است که تغییر این رمز عبور هر مدتی یکبار هم بسیار پیشنهاد می شود. سوابقی که در مرورگرهایمان ذخیره می کنیم بابت ورود به بخشی از سایت یا هاست، قطعاً می تواند توسط هکرهای حرفه ای یا ربات های پیچیده قابل دسترسی باشد. پس تغییر این رمز عبور ها هر از مدتی خالی از لطف نیست.
پاکسازی نشست ها
نشست ها یا session ها سوابق فعالیت هایی است که با ورود به وردپرس در بخش شناسنامه یک مدیر سایت در وردپرس وجود دارد. وردپرس نشست فعالی که شما دارید را در این بخش می تواند شناسایی کند و سابقه هر نشست دیگری به جز شما را در خود نگهداری می کند. شما به جهت افزایش امنیت وردپرس خود می توانید هر مدتی یکبار این بخش را چک کنید. اگر دکمه “بیرون رفتن از هر دستگاه دیگر” فعال باشد یعنی با مرورگر یا IP یا دستگاه دیگری هم نشست فعالی وجود دارد.
افزایش امنیت فایل های مهم با تغییر دسترسی
یکی دیگر از مهم ترین روش های افزایش امنیت وردپرس تغییر دسترسی برخی فایل های بسیار مهم می باشد. این را بدانید که زمانی که طراحی سایت شما تکمیل می شود دیگر نیازی نیست دسترسی نوشتن برخی فایل ها باز باشد. از این فایل ها می توان به فایل های htaccess و wp-config اشاره کرد. در مدیریت فایل هاست خود سطح دسترسی نوشتن این فایل ها را بردارید تا تنها اجازه خواندن آن ها وجود داشته باشد.
دسترسی خواندن یک فایل در هاست مقدار ۴۴۴ می باشد. این در حالی است که این مقدار بصورت پیشفرض ۶۴۴ می باشد. به این معنی که می تواند دسترسی نوشتن توسط عامل های مختلف مثل افزونه ها یا خود وردپرس را داشته باشد که خود می تواند یک ضعف امنیتی زمان نفوذ به سایت را داشته باشد.
تغییر آدرس صفحه ورود وردپرس
اگر یک مدیر حرفه ای وردپرس باشید می دانید که می توانید تنها با یک افزونه لینک صفحه ورود وردپرس را تغییر دهید. با این کار می توانید جلوی بسیاری از attempt login ها را بگیرید. به این شکل که ربات ها یا هکر ها دیگر نمی دانند که صفحه ورود وردپرس شما چیست. افزونه های زیادی برای این کار وجود دارد که بهترین و ساده ترین این افزونه ها افزونه WPS Hide Login می باشد.
استفاده از کپچا در وردپرس
استفاده از Captcha تاثیر بسزایی در حملات مختلف بخصوص ربات ها دارد. این روش عملکرد های مشکوک را بررسی می کند و آن ها را با بلاک کرده دفع می کند. این کپچا ها اکثراً در صفحات ورود و ثبت نام و قسمت نظرات و هر قسمتی که کاربر می تواند درخواستی ارسال کند بررسی می کند. افزونه های زیادی برای این کار وجود دارد و کافیست عبارت Google Recaptcha را در مخزن وردپرس جستجو کنید.
بکاپ گیری منظم
البته بکاپ گیری منظم از وب سایت وردپرسی امنیت آن را افزایش نمی دهد اما در صورتی که سایت شما دچار مشکلات امنیتی شود می تواند فرشته نجاتتان باشد. آموزش تهیه فول بکاپ در هاست سی پنل را اگر مطالعه کرده باشید به شما آموزش داده است که چگونه در هاست سی پنل خود یک فول بکاپ تهیه و نگهداری و حتی آن را دانلود کنید. هر چند سرور های دهاستینگ بصورت ماهانه، هفتگی و روزانه از سرویس های میزبانی شده بکاپ تهیه می کنند.
چگونه هک نشویم؟!
مسئله مهمی که وجود دارد این است که چگونه هک نشوم. هک در سایت های وردپرسی امروزه بسیار زیاد شده است و دلیل آن هم استفاده بیش از حد از افزونه ها و قالب های نال شده می باشد. در نظر داشته باشید که سایت هر چه افزونه های کمتر معتبرتری داشته باشد وردپرس مطمئن تری خواهد داشت. در نهایت با انجام موارد امنیتی و بررسی مدام فعالیت ها با هک شدن فاصله بیشتری خواهید داشت.
آیا همین روش ها جهت افزایش امنیت کافی است؟
نکته ای که باید بدانید این است که هیچگاه امنیت صد در صدی وجود نخواهد داشت. تنها باید بصورت مداوم آن را بهبود ببخشیم. پس انجام این روش ها و روش های بیشتر هیچگاه کافی نخواهد بود و هیچ روشی تضمین امنیت را به شما نخواهد داد. پیشنهاد دهاستینگ به شما این است که با استفاده از آموزش های معتبر امنیت را افزایش دهید و مدام آن را کنترل کنید.
شما عزیزان می توانید با تهیه هاست وردپرس ایران و اروپا از دهاستینگ بابت امنیت سرور خیالتان را آسوده کنید و با استفاده از این آموزش امنیت سایت خود را افزایش دهید. در نهایت هرجا نیاز به راهنمایی یا کمک داشته باشید کارشناسان فنی این مجموعه شما را یاری خواهند کرد.
آخرین نظرات