موضوع امنیت یکی از پر اهمیت ترین موضوعات برای هر مدیر وبسایت است، در هر هفته گوگل بیش از 20000 وبسایت را به دلیل وجود بدافزار و 50000 وب سایت را به دلیل فیشینگ در لیست سیاه خود قرار می دهد! اگر رشد وب سایتتان برایتان یک موضوع مهم است لازم از بهترین روشهای موجود جهت ارتقاء امنیت وب سایت بهره ببرید. در این راهنما ما مهمترین اقدامات امنیتی که می تواند به شما در حفاظت از وب سایت وردپرسی در برابر هکرها و بدافزار کمک کند را آموزش خواهیم داد.
در حالی که هسته اصلی وردپرس بسیار امن است، و توسط صدها برنامه نویس بارها و به صورت مرتب بررسی می شود، با اینحال اقدامات فراوانی وجود دارد که می تواند وردپرس را امن تر کند.
ارتقای امنیت می تواند ریسک نفوذ به وبسایت شما را به شدت کاهش دهد. به عنوان یک مدیر سایت شما می توانید اقدامات متعددی جهت ارتقای امنیت وبسایت خود انجام دهید.(حتی اگر شما یک متخصص نیستید!)
ما در این مقاله چند گام قابل اجرا جهت ارتقای امنیت وردپرس به شما ارائه می دهیم.
برای راحتی بیشتر شما فهرستی از محتوای موجود در این صفحه تهیه کرده ایم تا به راحتی بتوانید این مقاله را مرور کنید.
فهرست محتویات این مقاله
مبانی امنیت وردپرس
- چرا امنیت وردپرس مهم است؟
- به روز نگهداشتن وردپرس
- کلمات عبور و سطح دسترسی کاربران
- نقش سرویس میزبانی وب در امنیت
- تنظیم سطح دسترسی فایلها و فولدرها
- خودداری از نصب نسخههای غیرقانونی و یا نال شده قالب ها و افزونههای تجاری وردپرس
ارتقای امنیت وردپرس با روشهای ساده و بدون دانش کدنویسی
- یک سیستم بکاپ گیری برای وردپرس خود راه اندازی کنید
- انتخاب بهترین پلاگین امنیتی وردپرس
- فعالسازی Web Application Firewall
امنیت وردپرس برای کاربران ماهر
- تعییر نام کاربری پیش فرض “admin”
- غیرفعالسازی ویرایش فایل
- غیرفعالسازی اجرای فایل php در دایرکتوری های خاص وردپرس
- محدودیت تلاش برای ورود
- تغییر پیشوند دیتابیس وردپرس
- محافظت از ناحیه مدیریت و صفحه ورود وردپرس با استفاده از پسورد
- غیرفعالسازی ایندکس و مرور دایرکتوری
- غیرفعالسازی XML-RPC در وردپرس
- خروج کاربران غیرفعال در وردپرس
- فعال سازی احراز هویت دو مرحله ای
- افزودن سولات امنیتی به صفحه لاگین وردپرس
- بازسازی یک سایت هک شده
چرا امنیت وب سایت مهم است؟
هک وب سایت وردپرسی شما می تواند آسیب جبران ناپذیری به اعتبار و سودآوری کسب و کار شما وارد نماید. همچنین هکر می تواند اطلاعات کاربران شما را سرقت کند و حتی به پسوردهای آنها دسترسی پیدا کند و حتی نرم افزارهای مخرب را بر روی سیستمهای بازدیدکنندگان شما منتشر و نصب کند.
و بدتر از اینها ممکن است مجبور به پرداخت باج به هکر برای دستیابی به سایت خود شوید!
در مارس 2016 گوگل گزارش داد،که بش از 50 میلیون بازدید کننده وبسایت، هنگام بازدید از یک سایت اخطاری مبنی بر احتمال سرقت اطلاعاتشان توسط وبسایت مربوطه و یا وجود بدافزار دریافت کرده اند.
علاوه بر این، گوگل در هفته بیش از 20,000 وبسایت را به دلیل دربرداشتن بدافزار و بیش از 50,000 وبسایت را به دلیل phishing در لیست سیاه قرار می دهد.
اگر وبسایت شما متعلق به کسب و کار شما باشد، ضروری است به طور جدی به موضوع امنیت وبسایتتان بپردازید.
همانطور که صاحب یک کسب و کار به امنیت فیزیکی محل کسب و کار خود می پردازد، صاحب یک کسب و کار آنلاین نیز مسئولیت امنیت وبسایت خود را بر عهده دارد.
[ بازگشت به بالا ]
به روز نگهداشتن وردپرس
وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و بروزرسانی می شود.به طور پیشفرض وردپرس به طور خودکار بروزرسانی های سبک را انجام می دهد. اما برای آپدیتهای عمده لازم است به طور دستی از طریق پنل مدیریت وردپرس بروزرسانی را اجرا کنید.
همچنین وردپرس دارای هزاران افزونه و قالب است که توسط توسعه دهندگان ثالث تولید میشود و شما از آنها در وبسایت وردپرس خود استفاده می کنید. این پلاگین ها و قالب ها نیز به طور مداوم نگهداری و بروزرسانی می شوند که بروزکردن آنها نیز ضروری است.
این بروز رسانی ها برای امنیت و ثبات وب سایت وردپرسی شما حیاتی است. شما باید همواره اطمینان حاصل کنید که هسته وردپرس شما و نیز افزونه ها و قالبهای نصب شده به روز می باشند.
[ بازگشت به بالا ]
رمزهای عبور قدرتمند و سطح دسترسی کاربران
متداول ترین علت هک وبسایت ها سرقت رمز عبور آنها است. شما میتوانید این کار را با انتخاب کلمات عبور قدرتمند و منحصر بفرد سختتر کنید. نه فقط رمزهای عبور مربوط به وردپرس بلکه رمزهای عبور مربوط به اکانتهای ftp، دیتابیس، اکانت هاستینگ و ایمیل اصلی کاری خود را باید با دقت انتخاب کنید.
مهمترین علتی که کاربران مبتدی تمایلی به انتخاب کلمات عبور قدرتمند ندارند این است که به ذهن سپاری آنها مشکل می باشد. اما خبر خوب این است که شما دیگر نیازی به حفظ پسوردها در ذهن خود ندارید و اکثر مرورگرهای معتبر مثل فایرفاکس و گوگل کروم امکان ذخیره سازی رمزهای عبور را با لحاظ موارد امنیتی به شما می دهند. همینطور امکان سینک کردن این اطلاعات در تمام دیوایسها وجود دارد.
نکته دیگری که باید جهت کاهش ریسک به آن توجه کنید این است که به هیچ عنوان مشخصات اکانت مدیر وبسایت خود را در اختیار دیگری قرار ندهید مگر اینکه واقعا مجبور به این کار باشید. اگر شما یک تیم بزرگ برای اداره وبسایت خود دارید یا از نویسندگان مهمان استفاده میکنید. لازم است قبل از هر اضافه کردن کاربر جدید و دادن دسترسی به افراد، اطلاعات کاملی در مورد نقشهای کاربری و قابلیت های این نقشها در وردپرس کسب کنید.
[ بازگشت به بالا ]
نقش سرویس میزبانی وب در امنیت وب سایت وردپرسی
سرویس میزبانی وب شما نقش بسیار مهمی را در امنیت وب سایت وردپرسی شما بازی میکند. سروریس دهنده های معتبر اقدامات اضافی را جهت ارتقاء امنیت سرورهای خود و کاهش آسیب پذیری آنها در مقابل حملات معمول انجام میدهند.
اما در هر صورت در یک میزبانی اشتراکی شما در استفاده از منابع سرور با بسیاری از کاربران دیگر مشترک هستید. این امر خطر آلودگی متقابل سایت را ایجاد میکند، هنگامی که هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند. البته بعضی از سرویس دهندههای هاستینگ مثل شرکت تسنیم با استفاده از برخی کانفیگهای خاص نرم افزاری و نیز بهره برداری از CloudLinux این ریسک را از بین بردهاند و در واقع هر اکانت هاستینگ در سرورهای این سرویس دهنده در یک محیط ایزوله فعالیت میکند و این امنیت وبسایت شما را به شکل قابل ملاحظهای افزایش میدهد.
مقاله ما را در مورد انتخاب بهترین سرویس میزبانی وب مطالعه کنید.
[ بازگشت به بالا ]
تنظیم سطح دسترسی فایلها و فولدرها برای وردپرس
به طور کلی سطح دسترسی فایلها و فولدرها برای وردپرس باید به شکل زیر باشد:
- Folders – 755
- Files – 644
اینها سطح دسترسی صحیح هستند و وردپرس باید در یک هاست در سروری با کانفیگ صحیح به خوبی با این سطح دسترسی برای فایلها و فولدرها کار کند.
دادن سطح دسترسی بالاتر منجر به افزایش شدید ریسک امنیتی برای سایت وردپرس شما خواهد شد. از دادن سطح دسترسی 777 به فایلها و فولدرها به شدت پرهیز کنید.
برای دستیابی به سطحی بالاتر از امنیت بهتر است سطح دسترسی فایل wp-config.php را که محتوی اطلاعات مهم اتصال به دیتابیس می باشد را بر روی 400 و یا 440 تنظیم نمایید.
[ بازگشت به بالا ]
خودداری از نصب نسخههای غیرقانونی و یا نال شده قالب ها و افزونههای تجاری وردپرس
متاسفانه با توجه به محدودیتهای متعددی که کاربرانی ایرانی برای خرید از فروشگاههای بین المللی با آن مواجه هستند، دسترسی به نسخه اصلی و قانونی افزونه ها و قالب های تجاری وردپرس همواره به عنوان یک مشکل بزرگ سر راه کاربران قرار دارد. این مشکلات گاهی کاربران را به فکر میاندازد تا نسخههای غیرقانونی و یا نال شده را از اینترنت دانلود کنند و یا از واسطههایی خرید کنند که همان نسخه غیرقانونی را به اسم نسخه اورجینال به کاربر میفروشند.
استفاده از نسخه های غیر قانونی دو مشکل را به همراه دارد:
- اول اینکه تجربه نشان داده است، این بسته ها در اکثر موارد حاوی تعداد زیادی فایل مخرب و بک دور میباشند که را نفوذ به سایت شما و هک آن را در صورت استفاده از این بستهها باز خواهد کرد.
- دوم اینکه با استفاده از نسخه غیرقانونی امکان آپدیت آسان این پلاگینها و قالبها وجود نخواهد داشت و شما اکثرا از نسخه ای حاوی باگ های امنیتی و غیر امنیتی استفاده خواهید کرد.
علاوه بر دو مورد بالا که بر امنیت سایت شما تاثیر دارند، مورد دیگری که میتوان از آن نام برد، عدم امکان دریافت پشتیبانی از توسعه دهنده افزونه و قالب خواهد بود.
پس اکیدا توصیه میکنیم، یا مستقیما از فروشگاهها اقدام به خرید نسخه اصلی کنید و یا از واسطههای مطمئن کمک بگیرید.
ما در وردپرس استارت بزودی جهت حمایت از کاربران ایرانی سرویس خرید نسخههای اورژینال قالب و پلاگین را ارائه خواهیم داد. در خبرنامه ما عضو شوید و در جریان آخرین اخبار قرار بگیرید.
[ بازگشت به بالا ]
ارتقای امنیت وردپرس با روشهای ساده و بدون دانش کدنویسی
میدانیم که ارتقا امینت وردپرس میتواند برای مبتدیان سخت بنظر بیاید. مخصوصا برای کاربرانی که دانش فنی از کدنویسی ندارند.
اما جای هیچگونه نگرانی وجود ندارد ما به کاربران مبتدی زیادی در جهت انجام این کار کمک کردهایم. اکنون به شما نیز کمک میکنیم تا تنها با چند کلیک و بدون نیاز به دانش فنی، بهسادگی امنیت سایت خود را بالا ببرید.
نصب یک ابزار بکاپگیری برای وردپرس
بکاپها اولین دلگرمی شما بعد از اتکها هستند. به یاد داشته باشید هیچ سایتی 100% ایمن نیست، وقتی سایت های دولتی مورد حمله و هک قرار میگیرند سایت شما نیز ممکن است مورد این گونه حملات قرار بگیرد.
زمانی که اتفاق بدی برای سایتتان افتاد بکاپها به شما امکان بازگردانی سریع سایتتان را به زمان پیش از این اتفاق میدهند.
استفاده از یک سرویس میزبانی مطمئن که از اطلاعات وبسایت شما به طور منظم بکاپ تهیه میکند گزینه بسیار خوبی است، اما در کنار آن لازم است خود شما نیز از دیتای خود بکاپ تهیه نمایید.
پلاگین های بکاپ رایگان و پولی زیادی وجود دارد که میتوانید از آنها استفاده کنید. مهمترین مسئله ای که در بکاپگیری وجود دارد این است که بکاپ خود را در جایی بهجز اکانت هاستینگ خود ذخیره و نگهداری کنید.
ما توصیه میکنیم بکاپ خود را روی یک سرویس فضای ابری مانند amazon، dropbox یا فضاهای ابری شخصی مانند Stash نگهداری کنید.
انتخاب بازه زمانی برای بکاپگیری براساس اینکه هرچند وقت یکبار سایت خود را بروزرسانی میکنید، متفاوت است و میتواند روزی یکبار، کمتر یا بیشتر انجام شود.
خوشبختانه این بکاپگیری توسط پلاگینهایی مانند VaultPress یا BackupBuddy بهسادگی انجام میشود. هردو پلاگین قابل اطمینان هستند و مهمتر اینکه بدون دانش کدنویسی بکار گرفته میشوند.
[ بازگشت به بالا ]
بهترین پلاگین های امنیت برای وردپرس
پس از بکاپگیری، کاری که باید انجام دهید این است که یک سیستم رسیدگی و نظارت (monitoring) داشته باشید تا هر گونه فعالیتی را که روی سایت شما انجام میگیرد دنبال کند.
این نظارت ها شامل نظارت بر درستی فایلها، تلاشهای ناموفق هنگام ورود به سایت، اسکن بدافزارها و … میشود.
پلاگین Sucuri بهترین پلاگین امنیتی رایگانی است که میتواند تمام این نظارتها را به بهترین شکل ممکن انجام دهد.
تنها کاری که لازم است انجام دهید این است که پلاگین امنیتی رایگان Sucuri را نصب و راهاندازی کنید. اگر به انجام این کار آشنایی ندارید میتوانید راهنمای ما درمورد نحوه نصب یک پلاگین را مطالعه کنید.
پس از فعالسازی، لازم است که به منو پلاگین Sucuri در ناحیه مدیریت وردپرس بروید.
اولین چیزی که از شما خواسته میشود، ایجاد یک کلید API رایگان است. این کلید، امکان رسیدگی به تلاش های ورود، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم میکند.
کار بعدی که باید انجام بدهید کلیک روی تب Hardening از منوی Sucuri است. پس از رفتن به این تب روی دکمه Harden کلیک کنید. این گزینه ناحیههای کلیدی که هکرها اغلب در حملات خود از آنها استفاده میکنند را قفل میکند. تنها ویژگی گزینه Hardening که نیاز به ارتقاء پلاگین به نسخه پولی دارد، Web Application Firewall (دیوار آتش برنامه وب) است که در مرحله بعد درمورد آن توضیح خواهیم داد بنابراین فعلا از توضیح آن صرف نظر میکنیم.
در قبسمت های دیگر این مقاله ویژگی های دیگر گزینه Hardening را برای کاربرانی که میخواهند این کار را بدون استفاده از پلاگین، یا کسانی که میخواهند اقدام های بیشتری مانند تغییر پسوند دیتابیس یا تغییر نام کاربری مدیریت را انجام دهند معرفی میکنیم.
بعد از گزینه Hardening تنظیمات سایر گزینههای این پلاگین مناسب هستند و نیازی به تغییر دادن آنها نیست. تنها چیزی که توصیه میکنیم که آن را سفارشی کنید، هشدارهای ایمیل است.
تنظیمات هشدار پیش فرض فقط زمان دریافت ایمیل در اینباکس هشدار میدهد. توصیه میکنیم هشدارهای ایمیل را برای فعالیتهای کلیدی مانند تغییرات در پلاگین ها، ثبت کاربر جدید و … فعال کنید. پیکربندی تنظیمات ایمیل را میتوانید از آدرس Settings » Alerts در منوی Sucuri بیابید.
این پلاگین امنیتی وردپرس ویژگی های قدرتمندی دارد بنابراین توصیه میکنیم تمام برگه ها و تنظیمات را برای یافتن ویژگی های بیشتر مانند اسکن بدافزارها، بررسی لاگها، تلاشهای ناموفق برای ورود، ردیابی و … مرور کنید.
[ بازگشت به بالا ]
فعالسازی Web Application Firewall
آسانترین راه برای محافظت از سایت و اطمینان به امنیت وردپرس، استفاده از یک WAF یا web application firewall است. فایروال تمام ترافیک های مخرب را حتی قبل از رسیدن به سایتتان بلاک میکند.
ما استفاده از Cloudflare را بعنوان بهترین برنامه WAF برای وردپرس توصیه میکنیم.
[ بازگشت به بالا ]
امنیت وردپرس برای کاربران ماهر
اگر تمام نکاتی که تاکنون مطرح کردیم را انجام داده باشید اکنون در وضعیت مطلوبی قرار دارید.
اما هرچه از نظر امنیتی اقدامات بیشتری انجام دهید دسترسی به سایتتان سختتر خواهد بود.
برخی از این اقدامات ممکن است نیاز به دانش کد نویسی داشته باشد.
تعییر نام کاربری پیش فرض “admin”
در گذشته، نام کاربری پیش فرض برای ورود به ناحیه مدیریت وردپرس admin بود. بدین جهت که نام کاربری نیمی از احراز هویت ورود به سایت است، انتخاب نام admin بعنوان نام کاربری، اقدامات مخرب را برای هکرها هموارتر میکرد.
خوشبختانه، وردپرس اکنون این نام کاربری را تغییر داده و هنگام نصب وردپرس از شما میخواهد خودتان نام کاربری دلخواه را وارد کنید.
با این حال برخی از کسانی که میخواهند نصب وردپرس را خیلی سریع انجام دهند ممکن است admin را بعنوان نام کاربری مدیر وبسایت وارد کنند.
به این دلیل که وردپرس بطور پیش فرض اجازه نمیدهد نام کاربری انتخاب شدهی خود را تغییر دهید، برای انجام این کار سه راهکار پیش رویتان قرار دارد:
1- یک کاربر جدید بعنوان مدیر تعریف کنید و قبلی را پاک کنید
2- از یک پلاگین برای تغییر نام کاربری استفاده کنید
3- نام کاربری خود را بوسیله phpMyAdmin تغییر دهید.
ما تمام این راهکارها را در مقاله آموزش تغییر نام کاربری وردپرس بصورت مرحله به مرحله توضیح داده ایم.
توجه: در اینجا صحبت از نام کاربری “admin” است آن را با نقش کاربری administrator اشتباه نگیرید.
[ بازگشت به بالا ]
غیرفعالسازی ویرایش فایل
وردپرس ویرایشگر کدی دارد که بوسیله آن میتوانید قالبها و پلاگینهای خود را در ناحیه مدیریت ویرایش کنید. اما این ویژگی میتواند خطرات امنیتی برای سایت شما داشته باشد به همین خاطر توصیه ما این است که آن را غیرفعال کنید.
برای انجام این کار خیلی ساده کد زیر را در فایل wp-config.php خود جایگذاری کنید.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
یا میتوانید این کار را بوسیله یک کلیک در ویژگی های hardening در پلاگین sucuri که در بالا درمورد آن توضیح دادیم، انجام دهید.
[ بازگشت به بالا ]
غیرفعالسازی اجرای فایل php در دایرکتوری های خاص وردپرس
اقدام دیگری که برای بالابردن امنیت سایت خود میتوانید انجام دهید این است که اجرای فایل های php را در دایرکتوری های خاصی که نیازی به اجرای کدهای php ندارند( مانند فولدر uploads) غیر فعال کنید.
برای انجام این کار میتوانید یک فایل ویرایشگر متن مانند notepad باز کنید و کد زیر را در آن جاگذاری کنید:
<Files *.php> deny from all </Files>
سپس این فایل را باید با پسوند .htaccess ذخیره کنید و با استفاده از FTP Client آن را در دایرکتوری که میخواهید اجرای php در آن غیرفعال شود (مانند uploads ) آپلود کنید.
همچنین میتوانید این کار را نیز تنها با یک کلیک در ویژگی های hardening پلاگین sucuri انجام دهید.
[ بازگشت به بالا ]
محدودیت تلاش برای ورود
بطور پیشفرض، وردپرس به کاربران اجازه میدهد هرتعداد بار که دلشان بخواهد برای ورود با نام کاربری و پسورد های مختلف تلاش کنند. این مسئله باعث آسیبپذیر شدن سایت شما دربرابر حملات و اتکها میشود. هکرها تلاش میکنند با امتحان ترکیبهای مختلف نام کاربری و رمز عبور به سایت شما دسترسی پیدا کنند.
این موضوع میتواند بهسادگی با استفاده از قراردادن محدودیت در تعداد دفعات تلاش ناموفق برای دسترسی به سایت تغییر پیدا کند. اگر همانطور که در بالا توصیه کردیم از WAF استفاده کنید، فایروال بصورت خودکار این کار را برای شما انجام میدهد.
اما اگر از فایروال استفاده نمیکنید، راههای دیگری نیز برای انجام این کار وجود دارد.
اولین کاری که لازم است انجام دهید نصب و راه اندازی پلاگین Login LockDown است.( آموزش نصب و راه اندازی یک پلاگین).
پس از فعالسازی به مسیر Settings » Login LockDown (تنظیمات » Login LockDown) جهت انجام تنظیمات پلاگین بروید.
برای اطلاع دقیقتر از نحوه انجام این کار راهنمای ما درمورد اینکه چرا و چگونه تعداد دفعات ورود ناموفق به سایت را محدود کنیم را مطالعه کنید.
[ بازگشت به بالا ]
تغییر پیشوند دیتابیس وردپرس
بطور پیشفرض، وردپرس از پیشوند wp_ برای تمام جداول دیتابیس وردپرس استفاده میکند. اگر سایت وردپرس شما از پیشوند پیشفرض دیتابیس استفاده کند، حدس زدن نام جداول برای هکرها آسان میشود. به همین دلیل است که ما توصیه میکنیم آنرا تغییر دهید.
شما میتوانید این کار را با مطالعه مقاله آموزش تغییر مرحله به مرحله پیشوند جداول دیتابیس به آسانی تغییر دهید.
توجه: این کار اگر کامل انجام نشود ممکن است باعث ایجاد مشکل در سایت شود.
[ بازگشت به بالا ]
محافظت از ناحیه مدیریت و صفحه ورود وردپرس با استفاده از پسورد
بطور معمول، هکرها میتوانند صفحه wp-admin و صفحه ورود را بدون محدودیت ببینند. این کار به آنها امکان تلاش برای اجرای ترفندها و اتکهای DDoS را میدهد.
شما میتوانید یک لایه پسورد اضافی را در سرور اضافه کنید تا بصورت موثر این درخواستها بلاک شوند.
برای کسب اطلاعات بیشتر در این مورد میتوانید مقاله ما درمورد اینکه چطور با استفاده از پسورد از دایرکتوری مدیریت وردپرس محافظت کنید را مطالعه فرمایید.
[ بازگشت به بالا ]
غیرفعالسازی ایندکس و مرور دایرکتوری
هکرها میتوانند از مرور دایرکتوری برای یافتن فایل آسیب پذیر و استفاده از آن جهت دسترسی به سایت، استفاده کنند.
همچنین مرور دایرکتوری میتواند فایلها، تصاویر کپی و در کل ساختار دایرکتوری شما و سایر اطلاعات را به سایرین نشان دهد. به همین دلیل است که توصیه میکنیم ایندکس و مرور دایرکتوری را غیرفعال کنید.
برای انجام این کار لازم است با استفاده از FTP به وبسایت خود متصل شوید یا به قسمت فایل منیجر در سی پنل مراجعه کنید. سپس فایل .htaccess که در دایرکتوری ریشه وبسایتتان است را بیابید.
پس از انجام این کار لازم است خط زیر را در خط آخر فایل .htaccess جاگذاری کنید:
Options –Indexes
فراموش نکنید تغییرات انجام شده را ذخیره کنید و سپس فایل .htaccess را مجددا به سایت خود برگردانید. برای کسب اطلاعات دقیقتر از نحوه انجام این کار، راهنمای کامل ما درمورد غیرفعالسازی ایندکس و مرور دایرکتوری در وردپرس را مطالعه کنید.
[ بازگشت به بالا ]
غیرفعالسازی XML-RPC در وردپرس
XML-RPC بطور پیشفرض از وردپرس 3.5 به بعد فعال است زیرا به اتصال سایت وردپرس شما به وب و اپلیکیشن موبایل کمک میکند.
به هرحال به علت ماهیتی که XML-RPC دارد میتواند حملات مخرب به سایت را به شکل قابل توجهی تقویت کند.
برای مثال، اگر یک هکر بخواهد 500 رمز عبور مختلف را روی وبسایت امتحان کند، لازم است 500 بار برای ورود به سایت با این پسوردها تلاش کند که بوسیله پلاگینهای امنیتی بلاک میشود.
اما با استفاده از XML-RPC، یک هکر می تواند از تابع system.multicall برای تست هزاران رمز عبور با 20 یا 50 درخواست استفاده کند. به همین دلیل است که توصیه میکنیم اگر نیاز جدی به آن احساس نمیکنید آن را غیرفعال کنید.
3 راه برای غیرفعالسازی XML-RPC در وردپرس وجود دارد، ما همه این راه ها را بصورت کامل در مقاله غیرفعالسازی XML-RPC توضیح داده ایم.
نکته: روش .htaccess از سایر روشها بهتر است زیرا منابع کمتری را مورد استفاده قرار میدهد.
اگر از WAF استفاده میکنید، فایروال بصورت خودکار درمورد XML-RPC مراقب است و نیازی به غیرفعالسازی دستی آن نیست.
[ بازگشت به بالا ]
خروج کاربران غیرفعال در وردپرس
گاهی اوقات کاربران لاگین شده به سایت، میتوانند از سیستم خود دور شوند و این یک خطر امنیتی به حساب میآید. در این حالت ممکن است شخصی دیگر session آنها را بدزد، پسورد آنها را تغییر دهد یا تغییراتی در حساب کاربری ایجاد کند.
به همین دلیل است که بسیاری از سایتهای بانکی و تراکنش مالی بصورت خودکار کاربران غیرفعال را خارج میکنند. شما نیز میتوانید به همین شیوه در وبسایت خود عمل کنید.
اولین کاری که نیاز است انجام دهید نصب پلاگین Idle User Logout است. پس از فعال سازی به مسیر تنظیمات» Idle User Logout جهت پیکربندی پلاگین بروید.
خیلی ساده زمان مورد نظر خود را تنظیم کنید و تیک باکس Disable in wp admin را برای امنیت بیشتر بردارید. اگر جزئیات بیشتری از این مطلب میخواهید مقاله ما درمورد نحوه خروج اتوماتیک کاربران غیرفعال در وردپرس را مطالعه کنید.
[ بازگشت به بالا ]
فعال سازی احراز هویت دو مرحله ای
اگر به هر دلیلی رمز عبور شما توسط شخص دیگری کشف شد استفاده از امکان احراز هویت دو مرحلهای در وردپرس میتواند امنیت وبسایت شما را به مقدار قایل توجهی افزایش دهد.
جلوگیری از حملههای brute force attacks که هکرها از آنها برای کشف نام کاربری و رمز عبور شما استفاده میکنند نیز از مزایای فعال سازی این امکان است.
ما از افزونه Two Factor Authentication وردپرس در کنار اپلیکیشن گوگل برای تلفن همراه به نام Google Authenticator که برای اندروید و ios در دسترس است، برای اضافه کردن امکان ورود دو مرحله ای به وردپرس استفاده میکنیم.
این افزونه با بهره گیری از اپلیکیشن تلفن های همراه گوگل کار می کند و با تولید یک کد در هر 60 ثانیه، که دقیقا در همان لحظه نیاز به ثبت کد دریافتی از اپلیکیشن برای ورود را دارد ، مرحله دوم احراز هویت را به وردپرس شما اضافه میکند.
پس، با این افزونه برای هربار ورود در سیستم، باید دسترسی به تلفن همراه داشته باشید که امنیت را فوق العاده بالا خواهد برد.
جهت فعال سازی این امکان آموزش فعال سازی احراز هویت دو مرحله ای در وردپرس ما را مطالعه نمایید.
[ بازگشت به بالا ]افزودن سولات امنیتی به صفحه لاگین وردپرس
افزودن سوالات امنیتی به صفحه ورود وردپرس حتی احراز هویت برای ورود را سخت میکند.
شما میتوانید سوالات امنیتی را بوسیله نصب پلاگین WP Security Questions به سایت خود اضافه کنید. پس از فعالسازی، لازم است به مسیر تنظیمات »Security Questions بروید تا تنظیمات پلاگین را انجام دهید.
همچنین میتوانید مقاله ما درمورد نحوه افزودن سوالات امنیتی به وردپرس را مطالعه کنید.
[ بازگشت به بالا ]
بازسازی یک سایت هک شده
بسیاری از کاربران وردپرس ضرورت بکاپگیری و امنیت وبسایت را تا زمانی که وبسایت هک نشده نمیدانند.
پاکسازی یک سایت وردپرس میتواند بسیار سخت و زمانبر باشد. اولین توصیه ما این است که مانند یک حرفهای درمورد امنیت سایت خود حساس باشید.
هکرها backdoor ها را در سایتهای هک شده قرار میدهند تا اگر یک بار راه ورود آنها را پیدا کردید بتوانند مجددا به سایت برگردند.
اگر کار پاک سازی سایت را به یک کمپانی معتبر مانند تسنیم بسپارید میتوانید مطمئن باشید که سایتتان برای استفاده مجدد امن است.
[ بازگشت به بالا ]
امیدواریم این مقاله جهت افزایش آگاهی شما در مورد امنیت وبسایت مفید بوده باشد. در پایان پیشنهاد میکنیم دیگر مقالات مرتبط با امنیت را نیز مطالعه نمایید.