ضعیفبد نیستمتوسطخوبعالی (2 votes, average: 5٫00 out of 5)
Loading...

5 نکته کلیدی برای افزایش امنیت وردپرس

به نام آفریننده عشق

حدودا 7 سال می شود که با سیستم مدیریت محتوا وردپرس کار می کنم و می توان گفت کاملا آن را زیرو رو کرده ام و تقریبا بر تمام مباحث فنی منجمله نحوه سئو حرفه ای وردپرس، امنیت وردپرس، عیب یابی و دیگر موارد مرتبط با آن تسلط دارم.

در کتاب امنیت وردپرس که توسط بنده و همکارم سرکار خانم شریعتمداری تالیف و منتشر شد، صفر تا صد امنیت وردپرس را بررسی کرده و آموزش دادیم. اما برای دوستانی که به هر نحوه هنوز موفق به مطالعه این کتاب نشده اند، تصمیم گرفتم در این پست، 5 نکته مهم برای امنیت وردپرس را بگویم که رعایت آن تاثیر ویژه ای در افزایش امنیت سایتتان خواهد داشت.

آموزش افزایش امنیت وردپرس

آیا وردپرس یک سیستم مدیریت محتوا امن است؟

همانطور که می دانید وردپرس یک سیستم مدیریت محتوای متن باز یا Open Source می باشد.

به پروژه هایی متن باز می گویند که تمامی افراد از سراسر جهان به سورس کد آنها دسترسی دارند.

مزیت بسیار مهمی که شامل پروژه های متن باز می شود، این است که برنامه نویسان سراسر جهان به کد آن دسترسی داشته و در توسعه آن نقش خواهند داشت.

برنامه هایی که بصورت متن باز منتشر شده اند، همواره از امنیت خوبی برخوردار بوده و بروزرسانی منظمی نیز داشته اند. از طرفی توسط افراد و انجمن های مختلف پشتیبانی می شوند.

حال تصور کنید وردپرس نه تنها یک پروژه متن باز است، بلکه یک پروژه متنِ بازِ معروف می باشد و از سراسر دنیا برنامه نویسانی ماهر برای توسعه آن در تکاپو می باشند.

از متنِ باز بودنِ یک برنامه تا حدِ زیادی می تواند به آن اطمینان کرد. اما جدا از آن، تجربه به خوبی ثابت کرده است که وردپرس امن است.

اما هیچگاه نمی توانیم بگوییم، امنیت وردپرس 100% است. به همان میزان که از امنیت خوبی برخوردار می باشد، به دلیلِ اینکه یک سیستم مدیریت محتوای عمومی است، در ارائه ورژن جدیدِ آن، باگ ها و مشکلات قبلی نیز بصورت عمومی انتشار می یابد.

پس از انتشار این باگ ها، اگر دست به کار نشده و سریعا وردپرس خود را آپدیت نکنید، کمینِ هکر ها می تواند به یک حمله موفقیت آمیز منجر شود.

با توجه به تفاسیر موجود، به این نتیجه می رسیم که امنیت وردپرس از حد نرمال بیشتر است، اما چنانچه سایتِ پر بازدیدی داریم که در مقابل دید همگان است باید برای ارتقاء امنیت آن تلاش کنیم، چراکه وردپرس راه برای امنیت بیشتر زیاد دارد.

همچنین بخوانید:  آموزش وردپرس (WordPress) صفر تا صد – قسمت نهم

در ادامه 5 روش مهم و کلیدی برای افزایش امنیت وردپرس را به شما آموزش می دهم. همچنین اگر به مبحث امنیت وردپرس علاقه دارید، توصیه می کنیم حتما کتاب امنیت تمام قوا در وردپرس و یا فیلم آموزشی افزایش امنیت وردپرس که توسط گروه آموزشی میهن لرن منتشر شده است را تهیه کنید.

برای افزایش امنیت وردپرس چه کنم؟

همانگونه که بالاتر گفتم، وردپرس در حالت عادی نیز از امنیت بسیار خوبی برخوردار است، اما برای رسیدن به امنیتی عالی بر اساس تجربه ای که در شرایط مختلف از این سیستم مدیریت محتوا (CMS) داشته ام، راهکارهای زیادی وجود دارد که در ادامه به 5 مورد از آنها اشاره می کنم.

  • ایجاد محدودیت در دسترسی به فایل wp-config.php:

این فایل یکی از مهم ترین فایل های یک سایت وردپرسی می باشد، چراکه اطلاعات مهمی از قبیل مشخصات پیشوند جداول پایگاه داده، نام دیتابیس و اطلاعات ورودی به بانک اطلاعاتی در این فایل موجود است. زمانی که هکر به این اطلاعات مهم دست یابد، دیگر چیزی برای از دست دادن ندارید! چراکه تمامی اطلاعاتتان دیگر به سرقت رفته است.

فایل wp-config.php در پوشه اصلی وردپرس و روت هاست (Public_html) وجود دارد. برای محافظت از این فایل سه روش وجود دارد.

روش اول، تغییر سطح دسترسی:

می توانید همانند تصویر زیر، با تعیین سطح دسترسی 400، بیشترین محدودیت دسترسی به این فایل را اعمال کنید.

آموزش افزایش امنیت وردپرس

روش دوم، جابجایی مکان فایل:

در همان صفحه فایل منیجر هاست که هستید، می توانید روی move کلیک کرده و آن را به آدرس ریشه (قبل از Public_html) یعنی “/” منتقل کنید. در این حالت عملکرد وردپرس مختل نخواهد شد، اما هکر نیز به فایل اصلا دسترسی نخواهد داشت.

روش سوم، انسداد دسترسی به فایل wp-config.php از طریق فایل htaccess.:

در هاست های سرور آپاچی، فایلی به نام htaccess وجود دارد که بواسطه کدنویسی در آن می توانید، تنظیمات خاصی را به هاستتان اعمال کنید. بعنوان مثال می توانید دسترسی یک رنج آی پی را به سایتتان، با بهره گیری از این فایل مسدود کنید. همچنین کدهای تغییر مسیر آدرس (ریدایرکت) درون این فایل نوشته می شود.

اکنون که با فایل htaccess آشنا شدید، احتمالا حدس زده باشید که امکان لغو دسترسی به یک فایل خاص نیز می تواند بعنوان یک قانون در این فایل تعریف شود.

در روت هاست خود به دنبال این فایل بگردید چنانچه وجود نداشت، می توانید فایلی با نام “htaccess.” ایجاد کنید.

همچنین بخوانید:  آموزش وردپرس صفر تا صد – قسمت یازدهم (پایانی)

سپس درون آن کد زیر را قرار دهید:

<files wp-config.php>
order allow,deny
deny from all
</files>

  • تغییر آدرس ورود به پنل مدیریت سایت:

حملاتی شایع در به نام Brute Force در وردپرس وجود دارد.

در این حملات که اغلب توسط ربات ها و بصورت خودکار انجام می شود، از طریق آدرس صفحه ورود به پنل مدیریت، عملیات حدس رمز بارها و بارها تکرار می شود (اغلب حتی وجود کد امنیتی CAPTCHA نیز تاثیری ندارد) تا رمز پیدا شود.

معمولا در صورتی که رمز فقط ترکیبی از اعداد باشد، بلاخره کشف می شود. چراکه تعداد این حملات زیاد است.

بعنوان مثال، 500 بار در ساعت، برای حدس رمز تلاش می شود!

برای آنکه بتوانید آدرس ورود به صفحه مدیریت (site.com/wp-admin) را از چشم افراد سودجو پنهان کنید، می توانید از طریق هاست روی این پوشه رمز بگذارید، تا امکان ورود به این آدرس بدون رمز میسر نباشد و یک لایه امنیتی بیشتر شود.

روش دیگری که وجود دارد، می توانید از افزونه هایی مانند HC Custom WP-Admin URL که برای تغییر این آدرس وجود دارد، استفاده کنید و به آدرس دلخواه تغییر دهید.

  • مخفی سازی نام نویسنده در پست ها:

احتمالا با تعجب می گویید، چرا نام نویسنده را باید مخفی کنیم؟

در امنیت مباحث ریز و درشتی وجود دارد و اغلب از طریق حفره های کوچکی راه نفوذ پیدا می شود که ما حتی فکرش را هم نمی کنیم! در همین رابطه می خواهم به نام نویسنده اشاره کنم.

حتما دیده اید وقتی در یک سایت وردپرسی هستیم، نشانگر ماوس را روی نام نویسنده می بریم، لینکی در پایین صفحه نمایش داده می شود که نام کاربری نویسنده مطلب در آن قرار دارد.

از دید ما شاید این لینک هیچ اهمیتی نداشته باشد و فقط لینکی است که مطالب مرتبط با آن نویسنده یکجا دسته بندی شده است.

اما از دید یک هکر، یعنی یک گام به نفوذ از طریق حدس رمز نزدیکتر شده است. چراکه دیگر نیازی به حدس نام کاربری نیست!

اکنون هکر، نام کاربری را دارد و فقط باید برای حدس رمز تلاش کند، یعنی 50% کارش راحت تر می شود.

البته اگر سبک کدنویسی قالب سایتتان طوری است که با رفتن نشانه گر روی نام نویسنده، لینک آن ظاهر نمی شود، مشکلی پیش نخواهد آمد، اما درصورت نمایش لینک، حتما برای مخفی سازی آن اقدام کنید.

  • انسداد دسترسی به فایل xmlrpc (بسیار مهم):

فایلی به نام xmlrpc.php در پوشه اصلی وردپرس وجود دارد که از ورژن 3.5 به بعد، بصورت پیش فرض فعال شد.

همچنین بخوانید:  آموزش وردپرس (WordPress) صفر تا صد – قسمت چهارم

هدف تیم برنامه نویسی وردپرس، از افزودن این قابلیت، امکان گرفتن api توسط نرم افزار های دیگر بود. بعنوان مثال اپلیکیشن وردپرس برای اندروید و یا برخی از افزونه ها مانند jetpack بخاطر وجود این قابلیت می توانند به سایت وردپرسی شما متصل شده و کار کنند. قابلیت دیگر نیز این است که اگر سایتِ دیگری مطالبتان را کپی کرد، از طریق نظرات به شما اطلاع داده شود.

XML-RPC

به زبان ساده XML-RPC راهِ دیگری برای ورود به پنل مدیریت سایت می باشد.

اما این فایل بیشتر از مزایایی که دارد، مشکلات امنیتی را برایتان به وجود می آورد.

اولی حملات Brute Force یا همان حدس رمز و دومی حملات DDoS که باعث Down شدن (قطع) هاست می شود.

تا به حال هر دو مورد مشکل ساز را تجربه کرده ام و در نهایت تصمیم گرفتم برای همیشه دسترسی به فایل xmlrpc.php را مسدود کنم و بعد از آن نیز واقعا از شر مزاحمت هکر ها راحت شدم!

برای اینکار می توانید کد زیر را به فایل htaccess اضافه کرده و یا از افزونه Disable XML-RPC استفاده کنید.

<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

  • مخفی ساختن ورژن وردپرس از دید عموم و بروزرسانی سریع:

همانطور که در ابتدای این مطلب اشاره کردم، وردپرس یک CMS متن باز می باشد و پس از ارائه ورژن جدید، کلیه اشکالات اعم از امنیتی و غیر امنیتی بصورت عمومی انتشار می یابد. به بیانی شفاف یعنی راه های نفوذ به ورژن قبلی وردپرس تا حدودی آشکار می شود.

حال اگر مدیر یک وب سایت در خصوص بروزرسانی ورژن وردپرس خود تعلل کند، امنیت سایتش با خطر جدی رو به رو است، خصوصا در مواردی که یک آپدیت امنیتی مهم ارائه می شود و سایت رسمی وردپرس نیز اکیدا توصیه به آپدیت می کند.

اگر فکر می کنید بنا به وقت کمی که دارید، روی این مورد نمی توانید بروز باشید، پیشنهاد می کنم از افزونه هایی که برای آپدیت خودکار وجود دارد، استفاده کنید.

همچنین با نصب افزونه های امنیتی که قبلا در سایت آنها را معرفی کرده ایم، می توانید ورژن وردپرس خود را مخفی نگه دارید، تا در صورت عدم آپدیت به موقع، حداقل هکر متوجه ورژن فعلی وردپرسِ سایتتان نشود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *