راهکار های حفظ امنیت وردپرس

با سلام و احترام

در این جلسه مواردی که مربوط به حفظ امنیت وردپرس میباشد را توضیح میدهیم تا شما بتوانید از حملات احتمالی و هک شدن سایت های خود جلوگیری کنید. 



۱- به طور منظم از وبسایت خود نسخه پشتیبان تهیه کنید.

به طور منظم از وبسایت خود نسخه پشتیبان تهیه کنید. هیچ‌چیز مهم تر از ذخیره یک نسخه کپی شده از وبسایت نیست. تهیه نسخه بک‌آپ برای وبسایت به مانند پس انداز برای روز مبادا است. ساده بگویم بدون نسخه پشتیبان، انگار وجود خارجی ندارید. نه فقط به واسطه‌ی هکرها، حتی اختلال‌های افزونه‌ها و باگ‌های وردپرس هم می‌تواند همه زحمات را به باد دهد. پس تهیه‌ی نسخه‌ی پشتیان را پشت گوش نیاندازید. موقع انتخاب هاست هم این نکته را بپرسید که هاست شما چه روالی برای پشتیبان‌گیری دارد و تا چند نسخه‌ی قبلی پشتیان را نگهداری می‌کند. در بدترین حالت‌ بک‌آپ هاست تنها چاره‌ی شما برای بازگردانی وبسایت است.



۲- وردپرس را همیشه به آخرین نسخه بروز کنید.

تیم وردپرس و همه متخصصین آن، همواره در حال بهبود و بروزرسانی فرایند‌های امنیتی این نرم افزار هستند. وردپرس همیشه در حال بستن راه های نفوذ و پیشرفت در راهکارهای سخت‌تر کردن فعالیت هکر‌ها است.

 



۳- افزونه‌ها و قالب‌ها را بروزرسانی کنید.

هر افزونه و قالب وردپرس، خود می‌تواند به عنوان یک تهدید امنیتی به شمار رود. هر افزونه آسیب پذیر دارای راهی مخفی برای نفوذ هکر‌ها به بخش ادمین سایت است. خوشبختانه در ژاکت نشان اصالت محصول خیال شما را راحت می‌کند. هر افزونه و قالبی که نصب می‌کنید در پیشخوان وردپرس، در صورت ارایه ی نسخه جدید، هشدار بروزرسانی را اعلام می‌کند.


 

۴- از افزونه‌ها و قالب‌های نال و غیرمجاز استفاده نکنید.

افزونه‌ها و قالب‌های غیرمجاز و نال شده، برای استفاده، ناچار به تغییر برخی کدنویسی‌ها و شکستن دیوارهای امنیتی هستند. بنابراین بهترین راهکار برای هکرها است. در مواردی خود هکر‌ها نسبت ارایه غیرمجاز و رایگان چنین افزونه‌ها و قالب‌هایی با تغییرات در کدنویسی و اضافه کردن کدهای مخرب یا باز گذاشتن حفره‌های امنیتی اقدام می‌کنند. این هکرها با این ترفند و ارایه‌ رایگان افزونه‌ها و قالب‌های معروف، سایت شما را به هدفی آسان برای هک و تخریب تبدیل می‌کنند. همیشه به خاطر داشته باشید هزینه‌ای که برای افزونه و قالب می‌پردازید لزوما به خاطر یک فایل ساده نیست. شما علاوه بر بحث‌های طراحی و ترجمه بابت دقت‌، نکته سنجی‌ها و زحماتی است که برنامه‌نویسان برای حفظ امنیت مشتری متقبل شده‌اند نیز هزینه‌ای پرداخت می‌کنید.


 

۵- دسترسی به فایل‌های هاست را تعیین کنید.

برای حفاظت از فایل‌ها مخصوصا آن‌هایی که اهمیت بیشتری دارند (مانند wp-config.php) مورد استفاده قرار می‌گیرد. اما چگونه؟
گزینه‌ای با عنوان Premission در هاست موجود است و برای هر فایل یک عدد به آن تخصیص می‌دهد که به آن سطح دسترسی می‌گویند. این سطوح دسترسی به سه بخش تقسیم می‌شوند:

  1. Read: به معنای مشاهده محتوای فایل است.
  2. Write: به معنای امکان ویرایش فایل است.
  3. Excute: امکان دسترسی برای اجرای فایل و دریافت خروجی از آن است.

با استفاده از سطح دسترسی ۷۵۵ می‌توانید امکان مشاهده و انجام عملیات را برای عموم آزاد بگذارید، با سطح دسترسی ۶۴۴ امکان استفاده از فایل‌ها وجود دارند اما امکان تغییر در آن‌ها امکان‌پذیر نیست. استفاده از عدد ۴۰۰ فقط به ادمین هاست اجازه دیدن و ویرایش می‌دهد.


 

۶- یک افزونه‌ی امنیتی حرفه‌ای نصب کنید.

پیدا کردن حجم زیادی از افزونه‌های رایگان امنیتی بسیار ساده است. این افزونه‌ها هم ممکن است خود راهی برای هک شدن سایت باشند. بنابراین خرید یک افزونه‌ی به‌روز امنیتی در سایت ژاکت که از توسعه دهندگانی متخصص ارایه شده باشد، بسیار ضروری است. هزینه برای امنیت، کمترین کاری است که می‌توانید برای حفظ و بقای سایت و کسب و کار خود انجام دهید.


 

۷- سرویس دهنده هاست خوبی را تهیه کنید.

براساس تحقیقات ۴۰ در‌صد حملات هکری ناشی از ضعف‌های امنیتی در هاست است. هکر‌ها انرژی زیادی را صرف یافتن حفره‌های امنیتی هاست‌ می‌کنند. بنابراین استفاده از خدمات هاستی که برای مسئله‌ی امنیت هزینه می‌کند، در ارجعیت قرار دارد. یک هاست پیکربندی شده‌ مخصوص وردپرس، ممکن است هزینه بیشتری روی دست شما بگذارد اما به دلیل تطابق بیشتر، هم سرعت بالاتری دارد، هم از نرم افزارهای امنیتی وردپرس بهرمند است، سرویس‌های ویژه وردپرس به طور معمول بدافزارها را اسکن می‌کنند. همچنین خدمات و پاسخگویی بهتری برای کاربران وردپرسی فراهم می‌سازند. هاست ویژه، حفظ امنیت وردپرس را تضمین می‌کند.

 


 

۸-نام مدیران را پنهان کنید.

در یک وبسایت با نصب وردپرس به صورت پیشفرض، یک هکر به سادگی می‌تواند با نوشتن ?author=1  در انتهای نشانی وبسایت، همه ادمین‌های سایت را بیابد. هاست‌های ویژه‌ی وردپرس این امکان به صورت پیشفرض حذف کرده اند. اما اگر شما یک هاست اشتراکی معمولی دارید، باید اندکی تغییرات را مدیریت کنید تا این امکان را از هکر ها بگیرید. برای حفظ امنیت وردپرس راهکار زیر را نیز به کار بگیرید.

برای حذف دسترسی دیگران به این گزینه، کدهای زیر را در فایل function.php  اضافه کنید:

add_action(‘template_redirect’, ‘bwp_template_redirect’);
 function bwp_template_redirect()
 {
 if (is_author())
 {
 wp_redirect( home_url() ); exit;
 }
 }

 



۹- دسترسی به بخش مدیریت وبسایت را محدود کنید.

شما می‌توانید دسترسی به بخش پیشخوان و مدیریت وبسایت را محدود به IP  آدرس‌های معینی کنید. برای این کار باید یک فایل ساده htaccess. ایجاد کنید. کد زیر را وارد و در آدرس/wp-admin/.htaccess   قرار دهید.

دقت کنید! به هیچ عنوان در روت اصلی در فایل htaccess. تغییری ایجاد نکنید. فایلی جداگانه در شاخه wp-admin بسازید و کد زیر را در آن قرار دهید.
برای دسترسی یک IP  دلخواه کد زیر را در فایل  wp-admin/.htaccess  درج کنید:

order deny,allow
 allow from 192.168.5.1
 deny from all

به عنوان مثال برای دسترسی به فقط  دو IP  دلخواه، کد زیر را در فایل   wp-admin/.htaccess  وارد کنید:

order deny,allow
 allow from 192.168.5.1
 allow from 123.456.7.8
 deny from all

اگر پس از تعیین IP  آدرس‌های مجاز، از رایانه‌ دیگری لازم بود که به پیشخوان وبسایت متصل شوید، باید از طریق مدیریت هاست به این فایل دسترسی و IP  جدید را وارد نمایید.


 

۱۰- از فایل wp-config.php  بسیار محافظت کنید!

این فایل در مسیر روت، اطلاعات و دیتا‌بیس سایت شما را ذخیره می‌کند. البته که شما مایل نیستید هیچ شخص غیرمجازی به آن دسترسی داشته باشد. برای محافظت از این فایل نیز به ترتیب قبل، این بار در بخش htaccess/public_html.  کد زیر را درج نمایید.

order allow,deny
 deny from all

 




۱۱- تعداد دفعات ورود اشتباه کاربران را محدود کنید.

برای حفظ امنیت وردپرس بخش ورود کاربران را تنظیم کنید. اگر کاربر هنگام ورود تعداد مشخصی مثلا ۳ بار رمز یا نام کاربری را اشتباه وارد کرد. دسترسی او را برای مثلا نیم‌ساعت محدود کنید. برای اینکار افزونه‌های مناسبی وجود دارد. 

اگر مایل هستید IP  آدرسی‌های معینی را از دسترسی به بخش لاگین وبسایت محدود کنید، باید در فایل wp-admin/.htaccess کد های زیر را وارد نمایید.

order allow,deny
 deny from 202.090.21.1
 deny from 204.090.21.2
 allow from all

 



۱۲-از دسترسی به فایل wp-content  جلوگیری نمایید.

پوشه wp-content حاوی همه تصاویر، قالب و افزونه‌های وبسایت شماست. این پوشه گزینه مناسبی برای هکرها نیز هست. برای محافظت از پوشه wp-content  لازم است، کد زیر را در فایل wp-content/directory/.htaccess  وارد نمایید.

Order deny,allow
 Deny from all
 Allow from all

 



۱۳- از فایل htaccess. محافظت کنید.

تا اینجا ما از این فایل برای محافظت سایر بخش‌ها از حملات هکری استفاده کردیم. بنابراین محافظت از این بخش از الویت‌های امنیتی وبسایت است. قطعه کد در نظر گرفته شده از دسترسی به هر فایل با حروف ابتدایی “hta”جلوگیری می‌کند.
این قطعه کد را باید در htaccess.  پیش از BEGIN WordPress#  یا پس از END WordPress#  قرار دهید. البته ممکن است در بروزرسانی های آینده وردپرس امکان اضافه کردن این کد ۵ خطی را، بین این دو هشتگ را نیز فراهم شود.

order allow,deny
 deny from all
 satisfy all

 




موفق باشید 

  • 4 کاربر این را مفید یافتند
آیا این پاسخ به شما کمک کرد؟