سرفصل مطالب:
- 1 وردپرس خود را به روز نگه دارید
- 2 SSL و HTTPS را فعال کنید
- 3 WAF یا Web Application Firewall را نصب کنید
- 4 امنیت پایگاه داده را تشدید کنید
- 5 پیشوند پایگاه داده را تغییر دهید
- 6 مخفی کردن نسخه وردپرس
- 7 افزونه های امنیتی WP را نصب کنید و آنها را به روز نگه دارید
- 8 wp-config.php را ایمن کنید
- 9 Directory Indexing و Browsing را غیرفعال کنید
- 10 از دسترسی مدیریت وردپرس خود محافظت کنید
- 11 تلاش های ناموفق برای ورود را محدود کنید
- 12 XML-RPC را غیرفعال کنید
- 13 از نسخه به روز PHP استفاده کنید
- 14 از اتصالات امن استفاده کنید
- 15 کاربران غیرفعال را به صورت خودکار از سیستم خارج کنید
- 16 کپچا را در صفحه ورود اضافه کنید
- 17 جلوگیری از تزریق SQL
- 18 شبکه تحویل محتوا (CDN) را ایمن کنید
- 19 حفاظت از DDoS
- 20 اسکن وردپرس برای پاکسازی بدافزارها و ویروس ها
- 21 پاک کردن کدهای مخرب
- 22 از وردپرس خود نسخه پشتیبان تهیه کنید
- 23 شرکت میزبانی مناسب را انتخاب کنید
صاحبان سایت های وردپرس باید بهترین شیوه های امنیتی را اتخاذ کنند، زیرا نقص ها و اشکالات امنیتی می تواند بر شهرت کسب و کار آنها تأثیر منفی بگذارد. وردپرس بیش از 35 درصد از سایت های آنلاین را تشکیل می دهد. همچنین هزاران پلاگین و قالب طراحی شده توسط توسعه دهندگان وردپرس وجود دارد.
با توجه به اینکه هر ساله آپدیت هایی برای افزایش امنیت وردپرس ارائه میشود با این حال، این احتمال وجود دارد که آسیبپذیری همچنان وجود داشته باشد.
استفاده از وردپرس با نسخه قدیمی، پلاگین های نال شده، دانش ناکافی در حوزه امنیت وب، از دلایل اصلی به خطر افتادن امنیت وردپرس هستند.
این دقیقا همان زمانی است که هکرها به دنبال سوء استفاده هستند. حتی سایت های بزرگ در این حوزه، که بهترین شیوه های امنیتی WP را نادیده گرفتند، هک شدند. با اینحال ، وب مستران وبسایتها میتوانند چندین قدم برای ایمن کردن وبسایت خود در برابر نقضص های امنیتی بردارند. در ادامه چند روش ارزشمند امنیتی وجود دارد که می تواند به شما کمک کند تا وب سایت خود را در برابر حملات نفوذ تقویت کنید.
بهترین روش های افزایش امنیت وردپرس در سال 2022
وردپرس خود را به روز نگه دارید
وردپرس یک پلت فرم منبع باز است که به طور منظم بروزرسانی می شود. بهروزرسانیهای جزئی بهطور پیشفرض بهطور خودکار نصب میشوند. برای بهروزرسانیهای اصلی، باید بهروزرسانیها را به صورت دستی آغاز کنید. حتی توسعه دهندگان قالب ها و افزونه ها نیز به طور مرتب به روز رسانی منتشر می کنند. به روز رسانی WP برای ثبات و امنیت وب سایت یا وبلاگ شما بسیار مهم است.
SSL و HTTPS را فعال کنید
لایه سوکت امن یا SSL یک پروتکل رمزگذاری است. داده هایی که از طریق اینترنت منتقل می شوند رمزگذاری می شوند. رمزگذاری، سرقت اطلاعات را برای هکرها سخت می کند. وقتی SSL را فعال کنید وب سایت شما شروع به استفاده از HTTPS به جای HTTP می کند. یک علامت قفل در مرورگر در کنار آدرس سایت شما دیده می شود. برای تقویت امنیت وب سایت خود حتما گواهی SSL دریافت کنید.
WAF یا Web Application Firewall را نصب کنید
WAF به شما امکان می دهد در مورد امنیت سایت وردپرسی خود احساس آرامش کنید. waf یک فایروال است که ترافیک مخرب را قبل از ایجاد حمله به وب سایت شما مسدود می کند.
فایروال در دو سطح کار می کند – DNS و برنامه. در حالت اول، ترافیک سایت شما از طریق سرورهای پراکسی ابری هدایت می شود و تنها ترافیک واقعی به سرور شما ارسال می شود. در دومی، ترافیک به محض رسیدن به وب سرور شما بررسی می شود. در مقایسه، فایروال سطح DNS به طور موثر بار سرور را کاهش می دهد.
امنیت پایگاه داده را تشدید کنید
اولین قدمی که باید دنبال کنید ایجاد یک نام پایگاه داده مبهم و هوشمند است. همچنین استفاده از نام کاربری مناسب و پسورد طولانی با ضریب اطمینان بالا از مراحل دیگر این مرحله است. همچنین می توانید فایل کانفیگ وردپرس خود را که حاوی اطلاعات اتصال به وردپرس می باشد را در محل امن تری و در خارج از PUBLIC_HTML سایت ذخیره نمایید.
پیشوند پایگاه داده را تغییر دهید
گزینه دیگر تغییر پیشوند جدول پایگاه داده است. وردپرس به طور پیش فرض از پیشوند “wp” برای هر جدول در پایگاه داده خود استفاده می کند. هکرها به راحتی می توانند نام جدول را حدس بزنند، بنابراین شما باید آن را برای افزایش امنیت سایت خود تغییر دهید. با این حال، برای انجام آن باید حداقل کمی مهارت کدنویسی را بدانید.
مخفی کردن نسخه وردپرس
نسخه وردپرس به صورت پیش فرض در سربرگ سورس کد آشکار می شود. نصب داشتن یک ورژن قدیمی از وردپرس یک نشانه وسوسه انگیز برای مهاجمان و هکرها است، زیرا هک کردن آن آسان تر است. از افزونه ای استفاده کنید که به پنهان کردن نسخه WP با یک کلیک کمک می کند. همچنین مهم است که نصب وردپرس خود را به روز نگه دارید تا خطر امنیتی را کاهش دهید.
افزونه های امنیتی WP را نصب کنید و آنها را به روز نگه دارید
توسعه دهندگان زیادی وجود دارند که راه حل های امنیتی مطمئنی را برای وردپرس شما ارائه می دهند. برخی از ویژگی های افزونه های امنیتی عبارتند از:
استفاده از رمزهای قوی در هنکام ایجاد نام کاربری و ایجاد یوزر ها
ارسال اطلاعیه و اخطار از طریق ایمیل در هنگام ورود کاربر
اجبار به انقضای پسورد ها در فواصل معین
اسکن بدافزار
به روز رسانی های امنیتی WP
فایروال های امنیتی WP
ردیابی تغییرات DNS
احراز هویت 2 مرحله ای
کپچاها
توصیه می کنم پلاگین Wordfence Security – Firewall & Malware Scan را نصب کنید.
همچنین توصیه می کنم ورود دو مرحله ای را در وردپرس خود فعال نمایید.
wp-config.php را ایمن کنید
امنیت فایل Wp-config.php بسیار مهم است، زیرا هسته سایت وردپرس شما است. تمام اطلاعات مرتبط با کلیدهای امنیتی و ورود به پایگاه داده که با رمزگذاری سروکار دارد را در خود نگه می دارد.
wp-config.php به طور پیش فرض در دایرکتوری ریشه قرار دارد. آن را از طریق کپی/پیست در فایل دیگری منتقل کنید. مرحله دوم این است که به طور منظم کلیدهای جدید وردپرس ایجاد کنید. فایلهای دایرکتوری ریشه دارای کد 644 هستند، به این معنی که مالک میتواند فایلها را بخواند و بنویسد، در حالی که کاربران گروه مالک میتوانند آنها را بخوانند. مجوز فایل را روی 400 یا 440 تنظیم کنید تا دیگر کاربران سرور نتوانند آن را بخوانند.
Directory Indexing و Browsing را غیرفعال کنید
هکرها از مرور دایرکتوری (حالتی که محتویات و فایل های یک پوشه به صورت لیست نمایش داده میشود) برای یافتن فایل های آسیب پذیر و دسترسی به آنها استفاده می کنند. افراد دیگر نیز از مرور دایرکتوری برای شناسایی ساختار دایرکتوری شما یا کپی کردن تصاویر یا دسترسی به اطلاعات دیگر استفاده می کنند. برای ایمنی بیشتر فهرستبندی و مرور فهرست را غیرفعال کنید.
از دسترسی مدیریت وردپرس خود محافظت کنید
قفل کردن دسترسی مدیریت وردپرس یک استراتژی عالی برای افزایش امنیت شما است. URL ورود به سیستم wp-admin شما یک تنظیم پیش فرض دارد که هر هکر و ربات از آن آگاه است. تغییر URL پوشه WP-ADMIN امنیت بیشتری را در برابر حملات مهاجمین سایبری فراهم خواهد نمود.
تلاش های ناموفق برای ورود را محدود کنید
وردپرس به صورت پیشفرض امکان ورود نامحدود را میدهد. این گزینه سایت را در معرض حملات شدید هکرها قرار می دهد که سعی می کنند با استفاده از ترکیب های مختلف برای شکستن رمز عبور شما وارد سیستم شوند. برای ایمنی بیشتر میتوانید تلاشهای ناموفق برای ورود را محدود و مسدود کنید.
XML-RPC را غیرفعال کنید
در چند سال اخیر حملات بر روی XML-RPC افزایش یافته است. XML-RPC دارای ویژگی پنهانی است که به روش چند تماسی سیستم شما اجازه می دهد تا به طور فعال چندین کار را در یک درخواست واحد اجرا کند.اگرچه این یک ویژگی مفید است با این حال به دلیل سواستفاده هایی که میشود آن را غیرفعال کنید!
از نسخه به روز PHP استفاده کنید
سرور شما باید از نسخه به روز PHP استفاده کند، زیرا ستون اصلی وردپرس شما است. هر بهروزرسانی اصلی PHP، پس از انتشار، دو سال کامل پشتیبانی میشود. در این مدت معضلات امنیتی و باگ مرتباً اصلاح یا رفع می شوند.
مطالعه شده است که بیش از 76٪ از کاربران WP هنوز از نسخه های قدیمی PHP استفاده می کنند که پشتیبانی نمی شوند. بنابراین نسخه PHP که سرور شما در حال حاضر از آن استفاده می کند را بررسی کنید. اجرای نسخه قدیمی فقط می تواند سایت شما را در معرض هکرها قرار دهد و حتی بر عملکرد آن تأثیر بگذارد.
از اتصالات امن استفاده کنید
مطمئن شوید که هاست شما اتصالات SSH یا SFTP را ارائه می دهد. پروتکل انتقال امن فایل [SFTP] یک کد شبکه ای است که برای انتقال فایل به شیوه ای امن تر طراحی شده است. SFTP از FTP معمولی امن تر است. روتر خانگی شما نیز باید به درستی راه اندازی شود.
اگر شخصی که روتر خانگی شما را هک کند می تواند به راحتی به هر نوع اطلاعات همراه با فایل های مهم ذخیره شده در سایت وردپرس شما دسترسی پیدا کند.
چند نکته ساده :
- در زمانی که قصد ورود به سایت وردپرسی خود را دارید مطمئن باشید که از VPN های معتبر استفاده می کنید، در غیر این صورت آن را خاموش کنید.
- به طور پیش فرض – روترها از IP هایی در محدوده ای مانند 192.168.1.1 استفاده می کنند. از محدوده های مختلف مانند 10.8.6.9 استفاده کنید.
- Wi-Fi شما باید بتواند بالاترین سطح رمزگذاری را ارائه دهد.
- Wi-Fi در لیست سفید IP امکان دسترسی به آدرس های IP خاص و افراد دارای رمز عبور را فراهم می کند.
- سیستم عامل Wi-Fi شما باید به روز باشد.
- هرگز وب سایت خود را در مکان های عمومی وارد نکنید.
کاربران غیرفعال را به صورت خودکار از سیستم خارج کنید
گاهی اوقات کاربرانی که وارد سیستم می شوند می توانند به طور ناگهانی از صفحه نمایش دور شوند که یک خطر امنیتی بالقوه است. هر کسی می تواند رمز عبور را تغییر دهد یا اقدامات مخرب دیگری را انجام دهد. سایتهای مالی و بانکی در چنین شرایطی آسیبپذیر هستند، بنابراین خروج کاربران غیرفعال بسیار مهم است. فقط یک افزونه وردپرس مربوطه را نصب کنید و زمان و پیام خروج را پیکربندی کنید.
کپچا را در صفحه ورود اضافه کنید
کپچا از اطلاعات حساس شما محافظت می کند. می توانید دسترسی به ویژگی های مهم سایت خود را محدود کنید و حملات و هرزنامه ها را مسدود کنید. کپچاها راه حل نهایی برای امنیت سایت نیستند، بلکه بخشی از یک برنامه امنیتی تمام عیار هستند. آنها به افزایش ایمنی سایت و همچنین تجربه کاربران کمک می کنند.
جلوگیری از تزریق SQL
مهاجمان دستورالعمل های مخرب را به دستور SQL شما در سمت سرور تزریق می کنند. تزریق SQL در سایت های آسیب پذیر به هکر اجازه می دهد تا جزئیات پایگاه داده را اضافه، ویرایش، حذف یا بخواند. آنها حتی می توانند کد منبع را در سرور پایگاه داده بخوانند.
در واقع، زبان برنامه نویسی در سمت سرور نمی تواند اعوجاج پرس و جوی SQL را تعیین کند. بهترین راه برای جلوگیری از آسیب تزریق SQL، محدود کردن دسترسی و جداسازی پایگاههای داده بر اساس اهداف است.
شبکه تحویل محتوا (CDN) را ایمن کنید
CDN یک شبکه همپوشانی است که محتوای وب سایت شما را به سمت کاربر نهایی حرکت می دهد. فروشندگان شبکه همپوشانی به صاحبان سایت اجازه می دهند از زیرساخت شبکه های مستقر بر روی اینترنت برای افزایش عملکرد و امنیت استفاده کنند.
همانطور که زیرساخت CDN به اشتراک گذاشته می شود، چالش های امنیتی بیشتری در ابرها ایجاد می شود. بنابراین حساب CDN خود را از طریق تنظیم قوانین دسترسی به آدرس IP، احراز هویت دو مرحلهای و هشدارها ایمن کنید.
حفاظت از DDoS
حمله انکار سرویس [DoS] یک تکنیک هک قدیمی است که به وب سایت شما آسیب نمی رساند، اما آن را مجبور می کند برای چند ساعت یا چند روز خاموش شود. DDoS نوعی شیوع DoS است که در آن از دسته بسیار زیادی از سیستمها برای هدف قرار دادن یک سیستم استفاده میشوند.
یک تجارت آنلاین باید از سایت وردپرسی خود در برابر حملات DDoS محافظت کند، زیرا پروتکل های ICMP و UDP مورد هدف قرار می گیرند. حتی با قرار دادن سایت خود در پشت یک سرویس پروکسی کمک می کنید تا آدرس IP سایت شما پنهان شود.
اسکن وردپرس برای پاکسازی بدافزارها و ویروس ها
یک پلاگین امنیتی وردپرس به طور معمول بدافزار و نقض های امنیتی احتمالی را اسکن می کند. بنابراین، آن را نصب کنید! با این حال، هر زمان که ترافیک شما کاهش یابد یا رتبه های جستجوی شما کاهش یابد، لازم است یک اسکن دستی انجام دهید.
اسکن های آنلاین ساده هستند، فقط باید URL سایت را وارد کنید و وب سایت شما به طور کامل برای بدافزارهای شناخته شده یا کدهای مخرب اسکن می شود. اسکنرها فقط می توانند بدافزارهای حساس را شناسایی کنند، اما قادر به حذف بدافزار یا پاک کردن کدهای مخرب نیستند.
پاک کردن کدهای مخرب
امنیت وب سایت بسیار مهم است، اما حتی پشتیبان گیری نیز ضروری است. بنابراین قبل از اقدام برای رفع کدهای مخرب هک شده یک نسخه پشتیبان تهیه کنید. عاقلانه است که قبل از وقوع اتفاق بدتر به خوبی آماده باشیم.
اصلاح و تعمیر وردپرس هک شده می تواند چالش برانگیز و وقت گیر باشد، بنابراین یک متخصص را برای این کار درگیر کنید. در سایتهای آسیبدیده، هکرهایی که بکدور نصب کردهاند نیاز به تعمیر مناسب دارند، در غیر این صورت ممکن است سایت شما یک بار دیگر هک شود.
از وردپرس خود نسخه پشتیبان تهیه کنید
هر چه قدر هم نسبت به امنیت سایت وردپرسی خود اطمینان داشته باشید ، باز هم خطرات غیرمترقبه زیادی وجود دارند که به راحتی می توانند تمام زحمات و هزینه های شما را بر باد دهند. بنابراین از داشتن نسخه پشتیبان بروز غفلت نکنید.
بسیاری از شرکت های میزبانی وب انواع نسخههای پشتیبان مانند پشتیبانگیری خودکار را ارائه میدهند. اگر ارائه دهنده هاست شما راه حل پشتیبان ندارد، افزونه هایی وجود دارند که می توان از آنها استفاده کرد. در بدترین حالت، سایت شما با چند کلیک بازیابی می شود.
شرکت میزبانی مناسب را انتخاب کنید
شرکت های میزبانی با کیفیت اقدامات پیشگیرانه ای را برای دفاع از سرورهای خود در برابر خطرات رایج انجام می دهند که برخی از آنها عبارتند از :
نظارت مداوم بر شبکه ها
ابزارهای ویژه ای برای جلوگیری از حملات DDoS در مقیاس بزرگ نصب شده اند.
سخت افزار و نرم افزار سرور برای تقویت امنیت دایما بروز می شوند.
آنها قبلاً یک طرح بازیابی فاجعه دارند که به بازیابی اطلاعات در هنگام وقوع حوادث بزرگ کمک می کند.