افزایش امنیت وردپرس و جلوگیری از هک آن

برای امتیاز به این نوشته کلیک کنید!
[کل: ۱ میانگین: ۵]

با توجه به قوانین دیتاسنترها تمامی وبسایت های میزبانی شده روی سرورها به جهت حفظ کیفیت نباید فعالیت مخرب و ارسال اسپم و … داشته باشند و در صورت عدم توجه به این موارد و حملات اینترنتی روی یک سایت در نهایت باعث مسدود شدن کل سرور خواهد شد. به همین جهت تمامی مشتریان باید موارد امنیتی را برای تمامی سایت های خود در نظر بگیرند.

در صورت بروز حملات اینترنتی روی سایت به مشتری تذکر داده می شود و دسترسی آی پی های خارجی به غیر از CloudFlare-Bing-Alexa-Google بسته می شود، مشتری باید جهت رفع مشکل اقدام کند و پس از اطلاع و بررسی، محدودیت برداشته خواهد شد.

همه چیز را به روز رسانی کنید

هر نسخه جدید وردپرس شامل وصله ها و تعمیراتی است که آسیب پذیری های واقعی یا بالقوه را نشان می دهد. اگر شما وب سایت خود را با آخرین نسخه وردپرس به روز رسانی نکنید، می توانید وب سایت خود را در معرض حملات قرار دهید.
بسیاری از هکرها عمدا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “لطفا به روز رسانی کنید” چشم پوشی نکنید.
همین امر درباره ی تم ها و پلاگین ها هم صدق می کند. اطمینان حاصل کنید که به محض انتشار آخرین نسخه سایت خود را به روز رسانی کنید. اگر همه چیز را به روز رسانی شده نگه دارید، کمتر امکان دارد که سایت شما هک شود.

 

حذف فایل و پروتکل XML-RPC

فعال بودن این پروتکل باعث ایجاد حملات گسترده روی سایت می شود و ۱۰۰% سعی کنید در صورت عدم استفاده از ویژگی آن، آ ن را غیرفعال کنید:

  1. استفاده از پلاگین Disable XML-RPC
  2. حذف یا تغییر نام فایل xmlrpc.php که در مسیر روت ورپرس قرار دارد

پروتکل XML-RPC چیست؟

با توجه به تعریف ویکی پدیا, XML-RPC (اکس‌ام‌ال-ارپی‌سی) یک پروتکل فراخوانی دستورها از راه دور است که با XML و با استفاده از مکانیسم انتقالی HTTP اطلاعات را منتقل می‌کند. به زبان ساده تر این یک سیستم است که به شما اجازه می دهد تا از طریق نرم افزار های وبلاگ نویسی مانند Windows Live Writer در وردپرس مطلب منتشر کنید. همچنین اگر می خواهید از اپلیکیشن های وردپرس در تلفن های همراه استفاده کنید به این ابزار احتیاج دارید و نیز اگر می خواهید ارتباطی با سرویسی هایی مثل IFTTT برقرار کنید به این پروتکل نیاز دارید.

از افزونه های امنیتی استفاده کنید

تمامی سایت های وردپرس و جوملا مورد هدف بات ها و بد افزارهای خودکار هستند و اغلب بخش لاگین و کامنت ها را مورد هدف قرار می دهند برای جلوگیری از آن باید از یکی از این دو پلاگین استفاده نمایید:

  1. اکسیمت Akismet Anti-Spam : این پلاگین بصورت پیش فرض توسط خود ورپرس ارائه شده، برای فعال سازی آن نیاز است که به سایت وردپرس متصل و یک API Key دریافت نمایید، این افزونه بصورت خودکار جلوی ربات ها در بخش نظرات را می گیرد.
  2. Captcha by BestWebSoft این افزونه روی صفحات لاگین و نظرات کد امنیتی قرار می دهد و جلوی حملات به این بخش ها را می گیرد.

بر روی پوشه مدیریت رمز ورود بگذارید

در صورتیکه از نسخه های قدیمی جوملا استفاده می کنید و امکان بروزرسانی و … وجود ندارد و یا قصد دارید امنیت وردپرس را بالاتر ببرید، کافیست از سیپنل هاست خود

وارد قسمت مدیریت فایل ها یا همان File Manager شوید.
در ابتدا بر روی پوشه مورد نظر مطابق تصویر کلیک راست کنید و بر روی گزینه Password Protect کلیک کنید.

سپس در صفحه جدید دقت کنید در قسمت Set Permission For آدرس پوشه مورد نظر شما نوشته شده باشد.
در پنجره Security setting گزینه Password Protect This Directory را تیک دار کنید.
در قسمت Name The Protected Directory نام پوشه مورد نظر را مطابق تصویر که با رنگ سبز مشخص شده است وارد کنید.
سپس بر روی دکمه Save کلیک کنید.

پس از بازگشت به صفحه قبلی در قسمت Create user
مطابق تصویر در قسمت قرمز رنگ یوزر نیم فایل محافظ را به طور دلخواه وارد کنید.
در قسمت هایی که با رنگ سبز مشخص شده اند پسورد فایل محافظ را به صورت دلخواه وارد کنید.
یوزر و پسورد وارد شده از این به بعد برای دسترسی به پوشه فوق لازم است پس آن ها را به خاطر بسپارید.
سپس مطابق تصویر بر روی Add Modify authorized User که با رنگ آبی مشخص شده است کلیک کنید.

اگر تمام مراحل بالا را به دقت انجام داده باشید هم اکنون بر روی پوشه مورد نظر فایل محافظ ایجاد شده است.

رمز عبورتان را تقویت کنید

با توجه به infographic، حدود ۸% از وب سایت های هک شده ی وردپرس، به علت داشتن کلمات عبور ضعیف بوده است.
اگر کلمه عبور وردپرس شما چیزی مانند “۱۲۳۴۵۶” یا ‘let me in’ یا ‘abc123’ یا ‘passwordd’ باشد (این رمز عبور ها از آنچه شما فکر می کنید، شایع تر هستند!)، باید آن را در اسرع وقت به چیز امن تری تغییر دهید.
برای یک رمز عبور از چیزی استفاده کنید که به خاطر داشتن آن آسان باشد، اما شکستن آن بسیار سخت، به شما توصیه میکنم از یک دستور العمل رمز عبور خوب استفاده کنید.
اگر احساس تنبلی می کنید، می توانید یک مدیر رمز عبور، مانند LastPass که همه ی کلمات عبور شما را به خاطر داشته باشد، استفاده کنید. اگر از این روش استفاده می کنید، مطمئن شوید که رمز عبور اصلی شما خوب و قوی است.

هرگز ازکلمه ی “admin” به عنوان نام کاربری خود استفاده نکنید

اوایل سال جاری، موجی از حملاتbrute-force بر روی وب سایت های وردپرس در سراسر وب راه اندازی شده بود، که شامل تلاش های مکرر برای ورود با استفاده از نام کاربری ‘admin’ همراه با یک سری کلمات عبور مشترک، می شد.
اگر از کلمه ی “admin” به عنوان نام کاربری خود استفاده می کنید، و رمز عبور شما به اندازه کافی قوی نیست (#۳ را ببینید) پس سایت شما در برابر حمله های مخرب، بسیار آسیب پذیر است. به شدت توصیه می شود که نام کاربری خود را به چیزی که کمتر آشکار است تغییر دهید.
تا قبل از نسخه ی ۳٫۰، نصب خودکار وردپرس، کاربری ایجاد می کرد که نام کاربری آن “admin” بود. در نسخه ۳٫۰ این بخش به روز رسانی شد، بنابراین در حال حاضر می توانید نام کاربری خود را انتخاب کنید. بسیاری از کاربرها هنوز هم از “admin” به عنوان نام کاربری استفاده می کنند زیرا که به یک نوع استاندارد تبدیل شده، و به خاطر داشتن آن آسان است. برخی از وب سایت های میزبان از اسکریپت های auto-install که هنوز هم نام کاربری ‘admin’ را به طور پیش فرض تنظیم می کنند، استفاده می کنند.
برای رفع کردن این مشکل، به سادگی یک حساب کاربری مدیر جدید برای خودتان با استفاده از یک نام کاربری مختلف، ایجاد کنید، با نام کاربری جدید وارد شوید و و حساب “admin” اصلی را حذف کنید.
اگر پست هایی دارید که توسط حساب “admin” منتشر شده اند، بعد از حذف کردن، می توانید تمام پست های قبلی را به حساب کاربری جدید خود اختصاص دهید.

نام کاربری خود را از URL بایگانی نویسنده پنهان کنید

راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.
وردپرس به طور پیش فرض نام کاربری شما را درURL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شماjoebloggs است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/joebloggs خواهد بود.
به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها، که در اینخا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.

تعداد دفعات تلاش برای ورود را محدود کنید

در مواردی که یک هکر یا یک ربات با استفاده از حمله ی brute-force برای شکستن رمز عبور شما تلاش می کند، محدود کردن تعداد دفعات تلاش های شکست خورده از یک آدرس IP مشخص برای ورود به سیستم، مفید خواهد بود.
محدود کردن تعداد دفعات تلاش برای ورود فقط این کار را انجام می دهد: به شما اجازه می دهد که مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش های مجدد شکست خورده برای ورود به سیستم، قفل خواهد شد.
راه هایی هم برای دور زدن این کار وجود دارد، زیرا که برخی از حمله کننده ها، از تعداد زیادی از آدرس های IP مختلف استفاده می کنند، اما هنوز هم به عنوان احتیاط بیشتر ارزش انجام دادن را دارد.

ویرایش فایل ها از طریق داشبورد را غیر فعال کنید

در یک نصب وردپرس به طور پیش فرض، شما می توانید به نمایش / ویرایشگر رفته و هر یک از فایل های تم خود را دقیقا در داخل داشبورد  ویرایش کنید.

مشکل این است که اگر یک هکر موفق به دسترسی به پنل مدیریت شما شد، آنها نیز می تواند فایل های شما را به این ترتیب ویرایش کنند، و هر کدی را که می خواهند اجرا کنند.

پس ایده ی خوبی است که این روش ویرایش فایل ها را با اضافه کردن موارد زیر به فایل wp-config.php خود، غیر فعال کنید:
define( ‘DISALLOW_FILE_EDIT’, true );

سعی کنید از تم های رایگان استفاده نکنید

اما به عنوان یک قاعده کلی، در صورت امکان، بهتر است از تم های رایگان که نسخه پولی آن ها در سایت های مرجع وجود دارد استفاده نکنید، به خصوص اگر که آنها توسط یک توسعه دهنده ی معتبر هم ساخته نشده باشند.
دلیل اصلی برای انجام ندادن این کار است که تم های رایگان اغلب می تواند شامل چیزهایی مانند رمز گذاری base64 باشند، که ممکن است به شکل نا محسوسی برای وارد کردن لینک های اسپم در سایت شما، و یا کدهای مخرب دیگری که می تواند همه نوع مشکلی ایجاد کند، مورد استفاده قرار گیرد، همانطور که در این آزمایش نشان داده شده است، ۸ عدد از ۱۰ عدد سایتی که تم رایگان ارائه می دهند حاوی کد base64 هستند. در کل سایت هایی که قالب های پولی را نال شده رایگان انتشار می دهند اغلب به جهت انتشار کدهای مخرب و درآمدزایی از بازدید سایت های هدف این کار را انجام می دهند و بیشتر سایت های ایرانی نیز همان ها از منابع خارجی و غیر معتبر باز انتشار می دهند.
اگر شما واقعا نیاز به استفاده از یک تم رایگان دارید، فقط باید از آنهایی استفاده کنید که توسط شرکت های سازنده ی تم مورد اعتماد توسعه یافته باشند، و یا از آنهایی که در مخزن رسمی تم های WordPress.org در دسترس هستند، استفاده کنید.
توجه: همان منطق در مورد پلاگین ها هم صدق می کند. فقط از پلاگین هایی که در لیست WordPress.org ذکر شده اند، و یا توسط یک توسعه دهنده معتبر ساخته شده اند، استفاده کنید.

یک نسخه ی پشتیبان نگه دارید

من نمی توانم اهمیت پشتیبان گیری منظم از وب سایتتان را بیش از این تاکید کنم. این چیزی است که بسیاری از مردم تا زمانی که دیگر خیلی دیر شده است، انجام نمی دهند.
حتی اگر بهترین تدابیر امنیتی را در اختیار داشته باشید، هیچ وقت نمی دانید که چه وقت اتفاق غیر منتظره ای رخ خواهد داد که ممکن است سایت شما را برای یک حمله آماده کند.
در صورتی که این اتفاق بیافتد، باید مطمئن باشید که تمام محتوای شما به آسانی باز خواهد گشت، به طوری که بتوانید به راحتی سایت خود را به شکوه سابق آن بازگردانید.
Codex وردپرس به شما می گوید که دقیقا چگونه از سایت خود پشتیبان گیری کنید، و در صورتی که این کار بیش از حد سخت به نظر می رسد، می توانید از یک پلاگین مانند WordPress Backup to Dropboxx استفاده کنید که به طور منظم و خودکار از سایت شما پشتیبان گیری کند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *