امروزه اکثر سایت ها در بستر اینترنت به وسیله وردپرس ایجاد شده اند زیرا یک مدیریت محتوای عالی با امکاناتی بی نظیر برای طراحی سایت می باشد به دلیل همین محبوبیت هکر های زیادی را برای خرابکاری در این سایت ها به سمت خود می کشاند ، در این مقاله سعی شده است که راهکاری های برای جلوگیری از ورود هکر ها و پیشگیری نفوذ به وب سایت معرفی شود، به نکات طرح شده در این مقاله دقت نمایید .
وردپرس دارای زنجیره وسیعی از قالب ها و افزونه های استاندارد می باشد در این میان ممکن است قالب ها و افزونه هایی وجود داشته باشند که برای سایت شما مشکلات امنیتی به وجود آورند پس همیشه توجه داشته باشید که از سایت ها و منابع معتبر قالب و افزونه خود را تهیه نمایید .
به طور مثال سایت هایی وجود دارند که قالب یا افزونه را به صورت قفل شکسته در اختیار کاربران قرار می دهند و نوید استفاده مجانی را به کاربران می دهند اما هرگز از آن ها استفاده نکنید زیرا این فایل ها دارای ضرایب امنیتی کمی می باشند و قالبا در خود backdoor های دارند که هکر ها می توانند به وسیله آن وارد سایت شما شوند واز فایل های شما سواستفاده نمایند یا آن ها را به سرقت ببرند .
در گوگل به دنبال افزونه و قالب نگردید: یکی از مرسومترین روشهای هک وردپرس از طریق نصب قالب و افزونه آلوده است. تنها قالب و افزونههای معرفی شده در سایت رسمی وردپرس را نصب کنید.
ورود امن: هنگامی که در صفحه ورود وردپرس نام کاربری و کلمه عبور خود را وارد میکنید اطلاعات شما به صورت غیر رمز شده در شبکه منتقل میشود، در نتیجه اطلاعات شما بوسیله کاربران شبکه محلی (lan)، شبکه بیسیم (wireless)، و همه افراد و گرههایی که بین شما و سرور قرار دارند قابل شنود است.
راه حل استفاده از پروتکل https و یا استفاده از افزونه Chap Secure Login است.
همیشه سعی داشته باشید وردپرس خود را به روز نگاه دارید زیرا پس از انتشار یک نسخه از وردپرس هکر ها دست به کار شده و به دنبال راه نفوذ در این سرویس هستند و باتوجه به بازه زمانی که تا انتشار نسخه بعدی وجود دارد این زمان برای پیدا کردن باگ های امنیتی وجود دارد اما اگراز نسخه جدید وردپرس بر روی سرویس خود استفاده نمایید راه های نفوذ گذشته بسته شده و خطر کمتری سرویس شما را تهدید میکند .
این نکته را هم به یاد داشته باشی که افزونه های سرویس خود را نیز همیشه بروز نگه دارید تا از وقوع اتفاق مشابه جلوگیری شود و نکته مهم دیگر اینکه اگر از افزونه ای در وردپرس خود استفاده نمی کنید آن را حذف نمایید زیرا غیر فعال کردن افزونه به تنهایی کافی نیست .
راه حل پیشنهادی: بروزرسانی خودکار وردپرس؛ البته بصورت مطمئن!
در حقیقت پس از انتشار نسخه ۳٫۷ وردپرس ، هسته بروز رسانی های جزئی را بصورت خودکار انجام میدهد مگر اینکه آنرا تنظیم کنیم که انجام ندهد. همچنین شما میتوانید با مقداری دستکاری کردن در فایل wp-config.php وردپرس را فعال کنید تا بروزرسانیهای اصلی را بطور خودکار دریافت کند و همچنین بروز رسانی پوسته ها و افزونه ها را از سایت رسمی وردپرس دریافت کند. البته پیشنهاد بهتر این است که این استراتژی را با یک افزونه پشتیبان خودکار مانند BackupBuddyترکیب کنید تا در حالتیکه خطایی بروز میدهد به دردسر نیفتید!
- سطح دسترسی مناسب (permissions)
همیشه سعی داشته باشید سطح دسترسی در فایل های خود را به درستی تنظیم نمایید و سطح دسترسی در فایل های حساس همچون wp-config به درستی تنظیم نمایید.می توانید از الگوی زیر برای تنظیم دسترسی فایل های خود استفاده کنید.
دسترسی برای پوشه ها 755 یا 750 باشد ، دسترسی برای فایل ها 644 یا 640 باشد و دسترسی روی فایل wp-config بر روی 600 یا 444 باشد.
ممکن است با تنظیم اشتباه دسترسی ها بر روی سرویس خود هکر با نفوذ به وردپرس شما تغییراتی در محتوای فایل های شما ایجاد کند پس یکی از مهمترین بخش های امنیت تعیین سطح دسترس صحیح برای قسمت می باشد.
- یوزر نیم و پسورد (Username & Password)
یکی دیگر از بخش های مهم در امنیت هر سایت وردپرس بخش نام کاربری و پسورد می باشد که درب ورودی هر فرد برای وارد شدن به تنظیمات و محتوای وردپرس میباشد، از انتخاب پسورهای ساده برای ورود به مدیریت محتوای خود خوددداری نمایید دیده شده است که اغلب برای ورود به قسمت بخش مدیریت خود از کلمه کاربری و رمزعبور admin استفاده می کنند که بهتر است به جای این عبارات ساده و قابل حدس از عباراتی که شامل حروف بزرگ ، حروف کوچک ، اعداد و علائم باشد استفاده کنید.
در راستای امنیت یوزرنیم و پسورد وردپرس افزونه هایی در این ضمینه وجود دارند که میتوانید عملیات احراز هویت خود بر روی وردپرس را دومرحله کنید که یا افزونه های دیگری وجود دارند که پس از مشخص کردن تعداد مشخص اشتباه در آن در صورت اینکه بیش از حد تعریف شده باشد دسترسی کاربر برای مدت مشخصی قطع میگردد.
اگر توجه کرده باشید در سیستم مدیریت محتوای وردپرس پس از قراردادن یک مطلب بر روی سایت در انتهای آن نام نویسنده آن را نمایش میدهد و همین نکته ای است که هکر ها از آن برای حدس زدن نام کاربری شما استفاده میکنند به وسیله قطعه کد زیر می توانید نمایش نام نویسنده را مخفی کنید.
add_action(‘template_redirect’, ‘bwp_template_redirect’);
function bwp_template_redirect()
}
if (is_author())
}
wp_redirect( home_url() ); exit;
{
{
در سیستم مدیریت محتوای وردپرس زمانی که از خود ویرایشگر وردپرس استفاده میکنید به این نکته توجه داشته باشید که این قسمت برای تمام نویسندگان نمایش داده می شود و اگر هکری به حساب هر کدام از نویسندگان شما وارد شده باشد میتواند در سایت شما اختلال ایجاد کند یا آن را به صورت کل از کار بیاندازد. برای حذف دسترسی به محیط میرایشگر میتوانید آن را به وسیله قطعه کد زیر انجام دهید.
define( 'DISALLOW_FILE_EDIT', true );
- غیرفعال کردن Error Reporting
قابلیتی در وردپرس است که شما با فعال کردن آن میتوانید زمانی که سایت شما به مشکل خورد با توجه به اروری که نمایش می دهد ایراد را برطرف نمایید اما هکرها میتوانند با توجه به مسیری که نمایش داده میشود به آنها و بانک اطلاعاتی شما دسترسی پیدا کرده و اختلال ایجاد نمایند، میتوانید آن را به وسیله قطعه کد زیر طوری تنظیم نمایید که ارور و مسیری را نمایش ندهد
error_reporting(0);
ini_set(‘display_errors’, 0);
استفاده از افزونه های افزایش امنیت: افزونههای زیادی برای افزایش امنیت وردپرس وجود دارد لیستی از این افزونه ها را بررسی میکنیم.
با استفاده از افزونه WP Security Scan بصورت دورهای امنیت وردپرس خود را بررسی کنید.
افزونه wordfence سلامت فایلهای هسته وردپرس، نوشتههای سایت شما را برای نوشتههای آلوده و … بررسی میکند.
افزونه BulletProof Security وبسایت را در برابر حملات XSS ،RFI،CRLF،CSRF،Base64 ،Code Injection و SQL Injection حفاظت میکند.
افزونه Better WP Security بیشتر تنظیمات امنیتی را روی وردپرس انجام میدهد.
به این نکته توجه داشته باشید که همیشه در یک بازه زمانی مشخص پسوردهای بخش های مختلف مربوط به سایت خود را تغییر داده تا اختلالی در روند سایت شما به وجود نیاید ، این تغییر پسوردها میتواند شامل ورود به وردپرس ، دیتابیس ، ftp ، ورود به کنترل پنل میزبانی باشد .
همیشه سعی داشته باشید برای اینکه سایتی با ضرایب امنیتی بالا داشته باشید سایت خود را مانند تغییر پسوردها در یک بازه زمانی مشخص فایل های بر روی سرویس میزبانی خود را دانلود کرده به وسیله نرم افزار های امنیتی برروی فایل های خود بررسی های لازم را انجام داده و از وجود هرگونه بدافزار در فایل خود اطمینان حاصل کنید .
برای ایمن کردن وردپرس و بالابردن امنیت پوشه wp-includes تنها کافیست فایل htaccess را که در ریشهی محلی که وردپرس را در آن نصب نمودهاید قرار گرفته باز کرده و دستور زیر را به آن اضافه و تغییرات را ذخیره نمایید:
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
تغییرات در فایلهای سایت خود را مانیتور کنید: افزونه WordPress File Monitor Plus هر تغییری در فایلهای سایت شما را بوسیله ایمیل به شما اعلام میکند، با این عمل شما را قادر میسازد چنانچه هکر تغییری در فایلهای سایت شما بدهد به سرعت تغییرات را کشف و خنثی کنید.
Security Keys کاملا تصادفی انتخاب کنید: فایل تنظیمات وردپرس شامل قسمتی به نام Security Keys است که سه کلیدAUTH_KEY ، SECURE_AUTH_KEY،LOGGED_IN_KEY را نگهداری میکند. این سه کلید باید به صورت تصادفی تولدی شوند و برای هر وبسایت منحصر به فرد باشد. از این کلیدها برای به رمز کردن اطلاعات کوکی کاربران استفاده میشود. بهترین راه برای تولید تصادفی این کلیدها استفاده ازAPI وردپرس است.
نکته : اگر تخصص کافی در ضمینه تغییرات در فایل های مهم همچون wp-config را ندارید از انجام تغییرات بر روی فایل ها پرهیز کرده و برای برطرف کردن مشکل و ایجاد راهکارهای امنیتی از یک طراح وب سایت مشورت بگیرید .
|