افزایش امنیت وردپرس و جلوگیری از هک شدن سایت

امنیت وردپرس و افزایش آن دغدغه اصلی مدیران سایت های وردپرسی

امروز در دومین مقاله از سری مقالات تخصصی بهبود امنیت سایت به سراغ دوست داشتنی ترین سیستم مدیریت محتوا یعنی وردپرس آمده ایم تا با بررسی و کنکاش مشکلات این سیستم مدیریت محتوا راههای افزایش امنیت وردپرس و در نهایت جلوگیری از هک شدن سایت وردپرسی خودمان را بررسی نمائیم.

در ابتدا بیایید کمی در مورد وردپرس اطلاعاتمان را بالا ببریم …

وردپرس در ابتدا با هدف اینکه یک سیستم ارائه دهنده سرویس بلاگی باشد راه اندازی شد اما به مرور با توسعه و ارائه افزونه های بیشمار توانست به یکی از بزرگترین پروژه های متن باز در حوزه وب تبدیل شده به طوریکه امروز حدود ۸۰ میلیون وبسایت در سراسر جهان از این سیستم مدیریت محتوا استفاده می کنند که خود گواه محبوبیت بسیار بالای این CMS است.وردپرس دات کام که مخزن اصلی ارائه این سیستم مدیریت محتواست تنها ۲۲۹ نفر کارمند دارد اما در این سایت در هر ثانیه ۶ پست جدید منتشر می گردد.تعداد افزونه های وردپرس در حال حاضر ۵۶ هزار و ۲۹۰ عدد است که می تواند نیازهای هر سایتی را برآورده نمایند و با ارائه امکاناتی بی نظیر سایت وردپرسی شما را به یک وبسایت کاملا حرفه ای بدل نمایند.

حال چه کنیم تا یک سایت وردپرسی امن داشته باشیم ؟

برای اینکه بدانیم جهت ارتقاء و افزایش امنیت وردپرس چه باید کنیم ابتدا باید بدانیم که وردپرس چه باگ های امنیتی دارد تا بتوانیم نسبت به رفع آن ها اقدام نمائیم.اگر راستش را بخواهید وردپرس در ابتدای نصب و بدون هیچ کانفیگ امنیتی به هیچ وجه امن نیست اما می توان با اقداماتی نه چندان پیچیده یک سایت کاملا ایمن و سخت در مقابل نفوذ و هک را برای خودتان ایجاد نمائید گرچه هیچ کس نمی تواند ادعا کند که سایتی دارد که به هیچ عنوان امکان هک شدن ندارد اما می توان تا حدی کار را برای هکر ها و خرابکارها سخت کرد که قید هک کردن سایت شما را بزنند،در واقع ارزش هک کردن سایت شما و صرف زمان و هزینه بسیاری که می بایست شود دیگر مقرون به صرفه نخواهد بود و به بی خیال این همه دردسر شوند.

۱ – صفحه ورود به مدیریت وردپرس و افزایش امنیت آن

به جهت جلوگیری از هک شدن سایت به این بخش خوب توجه نمائید تا با انجام موارد زیر امنیتی نزدیک به ۱۰۰ درصد را برای سایت خود به ارمغان بیاورید.

خود این بخش چندین نکته کلیدی و مهم را در خود دارد که می بایست قدم به قدم نسبت به افزایش امنیت آن تلاش نموده و مشکلات آنرا برطرف نمائید که در ادامه به بررسی و رفع موارد سست از نظر امنیتی خواهیم پرداخت.

چرا اصلا باید صفحه ورود به مدیریت وردپرس برای کاربران و خرابکاران احتمالی قابل حدس و تشخیص باشد ؟

آری هیچ نیازی نیست که دیگران بدانند شما با چه آدرسی وارد مدیریت خود می شوید پس بیایید به آسانی و با نصب یک افزونه آدرس ورود به مدیریت سایت وردپرس خود را تغییر دهید و تا حدود زیادی خبال خود را از بابت این بخش و امنیت آن آسوده گردانید.

 ۱ – ۱  انتخاب یک نام کاربری و رمز ورود امن برای وردپرس

به خاطر داشته باشید هیچگاه از نام کاربری admin در وردپرس استفاده نکنید چرا که اولین و ابتدایی ترین چیزی که به ذهن یک هکر و خرابکار می رسد همین نام کاربری ادمین است،در مرحله بعد استفاده از نام کاربری های قابل حدس مانند نام خود به همراه ۱۲۳۴ و مشابه اینها را کاملا فراموش کنید.از یک نام کاربری عجیب و غریب استفاده کنید تا خیال خود را راحت نماید مانند dgD96Rtb%gf

این می تواند بهترین نام کاربری باشد که می توان آنرا انتخاب کرد چرا که به هیچ عنوان قابل حدس و پیش بینی نیست.دقت داشته باشید تعداد امن نام کاربری ها و رمز عبورها می بایست بیشتر از ۸ کارکتر بوده و ترکیبی از اعداد و حروف و علامت ها باشد تا ربات های پیدا کننده نتوانند آن ها را حدس بزنند.

۲ – ۱  قرار دادن کاپچا برای جلوگیری از ورود ربات ها

از یک کاپچا برای جلوگیری از ورود ربات ها استفاده کنید تا نتوانند با جا زدن خود به جای انسان ها وارد سایت وردپرسی شما شوند.جهت قرار دادن این کاپچاها هم می توانید از افزونه های موجود استفاده کنید گرچه در وردپرس برای هر موردی که افزونه معرفی میشود می توان همان عملیات را با اندکی کدنویسی نیز انجام داد اما برای سهولت می توان از افزونه ها نیز استفاده نمود.

۳ – ۱ تعداد دفعات ورود به سایت وردپرسی خود را محدود نمایید

تصور کنید هکر به آدرس مدیریت دست یافت و حال دارد با تست کردن نام های کاربری و رمز عبورهای مختلف سعی در ورود به سایت شما را  دارد،باید تهمیدی اندیشید تا هکر نتواند با تست کردن احتمال به دست آوردن نام کاربری و رمز عبور را داشته باشد.استفاده از افزونه محدود کننده تعداد دفعات ورود می تواند یک پیشنهاد خوب باشد.ما به شما افزونه Limit Login Attempts را پیشنهاد می کنیم.این افزونه به شما امکان تعیین تعداد دفعات را داده تا مشخص کنید که یک کاربر پس از چند با تلاش ناموفق برای چه مدتی امکان ورود به مدیریت را از دست دهد و مشخصات تلاش کننده نیز برای شما ایمیل شود.

۴ – ۱ تغییر وردپرس wp-admin برای محافظت از سایت وردپرس :

افزونه ای که ما به شما پیشنهاد میکنیم Protect Your Admin است که به دور از هر پیچیدگی خاصی می توانید با اضافه نمودن آدرس جدید مدیریت و با یک کلیک کلیه مراحل را به این افزونه واگذار نمائید تا صفحه ورود به مدیریت شما را به صورت خودکار تغییر دهد.در وبسایت همیار وردپرس و در مقاله تغییر وردپرس wp-admin برای محافظت از سایت می توانید با این افزونه آشنا شوید و با فراگیری تنظیمات آن یک صفحه امن و ایمن را برای ورود به مدیریت سایت وردپرس خود مهیا نمائید.لازم به ذکر است دیگر افزونه های مشابه نیز در این مقاله معرفی شده اند که می توانید ضمن آشنایی با آنها بهترین گزینه موجود را انتخاب نمائید.در نصب افزونه ها کافی است به تاریخ بروز رسانی و سازگاری با نسخه وردپرس خود توجه نمائید.

دیگر موارد امنیتی مربوط به صفحه مدیریت را تنها با اشاره ذکر می کنیم تا با جستجو در گوگل به آنها برسید.تغییر نمایش عمومی نام در بخش ویرایش شناسه من،حذف پیام خطای صفحه ورود به مدیریت وردپرس،

۲ – افزایش امنیت وردپرس با htaccess و جلوگیری از هک شدن سایت

htaccess فایلی است که در سرورهای آپاچی جهت اعمال تنظیمات و پیکربندی های پوشه ها و دارکتوری ها از آن استفاده می شود،مهم ترین و کاربردی ترین استفاده از فایل htaccess که تمامی وبمستران وردپرسی با آن آشنا هستند ریدایرکت های مطرح است،برای مثال ریدایرکت های ۳۰۱ یا تعیین باز شدن سایت با www یا بدون آن و یا اعمال ssl در سایت،از دیگر کاربردهای فایل htaccess اعمال محدودیت ها برای بعضی فایل ها و پوشه ها است تا از اعمال خرابکارانه جلوگیری شود.

۲ – ۱  افزایش امنیت پوشه wp-includes

دایرکتوری مذکور یکی از مهم ترین بخش های هسته وردپرس است که فایل های مهمی  را در خود جای داده است لذا می بایست از دسترسی های غیر مجاز به آن جلوگیری کنید.برای مسدود کردن دسترسی های هکرها می توانید کد زیر را در فایل htaccess قرار دهید.

# مسدود سازی پوشه wp-include 
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

۲ – ۲  حفاظت از فایل wp-config.php در htaccess

برای محافظت از فایل wp-config.php می توانید با قرار دادن قطعه کد زیر فایل بسیار مهم و حساس wp-config.php را از گزند حملات احتمالی محافظت کنید چرا که این فایل حاوی اطلاعات پایگاه داده شما می باشد و افتادن آن به دست هکرها می تواند لطمات جبران ناپذیری  را به سایت وردپرسی شما وارد نماید.

# از دسترس خارج کردن فایل wp-confi.php
<files wp-config.php>
order allow,deny
deny from all
</files>

۲ – ۳  غیرفعال کردن راهنمای مرورگر در وردپرس

می توانید برای جلوگیری از مشاهده دایرکتوری سایت و جلوگیری از دسترسی به ساختار فایل از قطعه کد زیر استفاده نمائید.پس از قرار دادن این کد در فایل htaccess دیگر هکرها قادر به مشاهده دایرکتوریهای سایت شما نخواهند بود.

Options-Indexes

۲ – ۴ حفاظت از فایل htaccess. از دست هکرها

در نهایت شما نیازمند محافظت از خود فایل اچ تی اکسس از دست خرابکاران و هکرها هستید تا تمامی زحمات بالا را با خرابکاری در این فایل بر باد ندهند.این فایل مهم را می توانید با قطعه کد زیر از دسترسی های غیر مجاز در امان نگه دارید.

<files~"^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all

۳ – انتخاب هاست مناسب و قدرتمند

برای جلوگیری از هک شدن سایت می بایست هاستی قدرتمند را انتخاب نمایید.یکی از مرسوم ترین حملات به سایت ها خصوصا سایت های وردپرسی که می بایست در مقابل آن اقدامات لازم را انجام دهید حملات DDOS است.انتخاب یک هاست فدرتمند و خوب می تواند تا حدود زیادی خیال شما را از بابت امنیت سایتتان راحت نگه دارد.ما در اینجا به ۳ هاست خوب و حرفه ای که هم از نظر امکانات هم پشتیبانی در کشور جزو بهترین ها هستند اشاره ای خواهیم نمود.

۱- میهن وب هاست : سال هاست در حال ارائه خدمت به وبمستران عزیز کشور است،تنوع محصولات و قیمت های مناسب در کنار کار حرفه ای و پشتیبانی تلفنی شبانه روزی می توانید این هاستینگ شمالی کشور را در زمزه بهترین های این حوزه قرار دهد.میهن وب هاست با کنار دست داشتن میهن وب دیزاین آماده طراحی،توسعه و رفع ایرادات احتمالی سایت های کشور است.

۲ – ایران سرور : این هاستینگ خوب کشور نیز تمام سعی خود را در ارائه محصولاتی مناسب البته با قیمت هایی بیشتر از میهن وب هاست به خرج می دهد،پشتیبانی تمام وقت تلفنی ندارد اما به تیکت ها در اسرع وقت پاسخ گو هستند.

۳- نت افراز : این هاستینگ کشور که از نظر قیمت از دو تای اول قیمت های مناسب تری را ارائه می دهد نیز یکی از خوب های این حوزه به شمار می آید که کاربران راضی بی شماری در سراسر کشور جذب کرده است.پشتیبانی معقول در کنار قیمت های مناسب گزینه ای جذاب ار نت افراز خواهد ساخت.

در پایان ضمن آرزوی داشتن لحظاتی خوش و تشکر از مطالعه این مقاله از شما خواهشمندیم در بازنشر این مطلب نام و آدرس ای سوال را فراموش نفرمائید چرا که این بخش کاری اختصاصی از پایگاه استخدامی ای سوال بوده است.