اطلاعات تماس

تهران ، آیت الله کاشانی ، پلاک 160 واحد 27

92001474 - 021

info@negarnovin.com

ناحیه کاربری

آموزش ایمن کردن وردپرس

در این مقاله با شما هستیم با آموزش ایمن کردن وردپرس پس با ما تا انتهای این مطلب کاربردی و کلیدی همراهی کنید!

ابتدا می بایستی بدانیم که وردپرس WordPress چه می باشد؟

پاسخ: وردپرس WordPress یک سیستم مدیریت محتوایی می باشد که به شما این امکان را می دهد که سایت های خودتان را توسط رابط گرافیکی بسیار زیبا و کاربری آسان مدیریت نمائید و به دلیل اینکه از محبوبیت زیادی برخوردار هستش امکان ارائه قالب های خیلی زیاد و افزونه و پلاگین های خیلی زیاد در حدود بیش از چند ده میلیون افزونه به صورت رایگان را برای شما فراهم کرده است

شما با سیستم های مدیریت محتوا براحتی می توانید وب سایت های خودتان را میزبانی و مدیریت نمائید

دو روش برای ساخت سایت وجود دارد که شما به‌دلخواه می­‌توانید از آن‌­ها استفاده کنید. روش اول سیستم‌های مدیریت محتوا (CMS) و روش دوم طراحی و برنامه­‌نویسی است.

خوب در این اموزش با شما هستیم با آموزش ایمن کردن وردپرس :

زمانی که یک سایت هک شده و مورد نفوذ قرار میگیره کلیه اطلاعات موجود در سایت مورد سرقت قرار خواهد گرفت. در بدترین شرایط برخی افراد بعد از نفوذ بدون اینکه چیزی متوجه بشید با قرار دادن کدهای مخرب در بخش‌های مختلف سایت کاری می‌کنند که اطلاعات سایت شما را به صورت دائمی استخراج کنند. در ظاهر همه چیز در سایت شما به درستی کار میکنه و مشکلی نمی‌بینید اما اطلاعات مهم سایت شما و کاربرانی که در سایتتون هستند مدام در حال درز کردن به جایی هست.

۱. به‌روز رسانی مداوم وردپرس

مهم ترین مسئله در تامین امنیت سایت‌های وردپرسی به روز بودن ورپرس و افزونه‌ها و قالب‌هایی هست که ازشون استفاده می‌کنید. تیم وردپرس مدام در حال افزودن قابلیت‌های جدید و رفع مشکلات و باگ‌های امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت می‌شود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونه‌ها و قالب‌های استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.

۲. بک‌آپ گیری منظم وردپرس

بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشه که در اکثر مواقع شاید متوجه این مسئله نشوید. از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود. چرا که برای چندین میزبانی این مشکل پیش اومده که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایت‌ها به صورت کامل از صفحه اینترنت محو شدند و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایت‌ها به باد رفت.

۳. افزایش امنیت فایل wp-config.php

فایل wp-config.php یکی از مهم‌ترین فایل‌های هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد. در مقاله آموزش مدیریت فایل کانفیگ وردپرس به تعدادی از راهکارهای که هم میتونید از خود این فایل محافظت کنید و هم اینکه سایر کارهای امنیتی را روی وردپرس پیاده سازی کنید پرداختم که پیشنهاد می‌کنم از این موارد استفاده کنید.

۴. افزایش امنیت فایل htaccess.

یکی دیگه از فایل‌های مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد. این فایل با استفاده از دستوراتی که میتونه اجرا کنه در محافظت از فایل‌ها و پوشه‌های وردپرس نقش به‌سزایی را داره که میتونید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.

۵. افزایش امنیت پوشه wp-admin

پوشه wp-admin هم یکی از مهم‌ترین پوشه‌های وردپرس هست که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده داره که با دسترسی به این پوشه میشه به راحتی با تزریق کدهایی در فایل‌های موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.

۶. استفاده از رمز عبور قوی و سطح دسترسی

ساده‌ترین راه و شایع‌ترین روش برای هک و نفوذ در سایت‌های وردپرسی به دلیل استفاده از رمز عبور سست به وجود میاد. موضوع استفاده نکردن از رمز قوی صرفا محدود به وردپرس نیست و اگر پیگیر اخبار فناوری بوده باشید، هر ساله گزارشات بسیار زیادی مبنی بر هک ایمیل کاربران منتشر میشه که در اون از رمزهای سست و معمولی استفاده کرده بودند.

۷. افزایش امنیت صفحه ورود به وردپرس

صفحه ورود در وردپرس یکی از صفحات مهمی هست که نگهداری از اون هم برای جلوگیری از هک سایت و هم برای جلوگیری از حملات DDOS بسیار مهم و کلیدی هست. بنابراین با به وجود اومدن روش‌های امنیتی مثل قرار دادن سوال امنیتی، استفاده از ورود دو مرحله‌ای گوگل و… این روش‌ها هم به وردپرس راه باز کردند که استفاده کردن ازشون میتونه حسابی سایت را ایمن بکنه و در ادامه به معرفی برخی از این روش‌ها می‌پردازم.

تغییر آدرس صفحه ورود به وردپرس

وردپرس به صورت پیشفرض از آدرس wp-login.php برای صفحه ورود استفاده میکنه که با مراجعه کردن به آدرس wp-admin هم به صورت خودکار به این صفحه هدایت خواهید شد. بنابراین اگر شخصی نام کاربری و رمز شما را بدونه به راحتی میتونه وارد پیشخوان وردپرس شده و کارهایی را در اون انجام بده. برای همین میتونید این آدرس و آدرس wp-admin را تغییر داده و از آدرس دلخواه استفاده کنید

سرور مجازی سی پنل 

حدودیت در تعداد دفعات ورود به وردپرس

وردپرس به صورت پیشفرض هیچ محدودیتی برای تعداد دفعات تلاش برای ورود در سایت قرار نداده. اما راهکاری وجود داره که میتونید تعداد دفعات را در ورود به وردپرس محدود کنید به طوری که اگر بیش از تعداد دفعات مشخص شده شخصی در صدد ورود به سایت بود برای مدت مشخص شده‌ای دیگه حتی با رمز و نام کاربری درست هم قادر به ورود در وردپرس نباشند.

محدودیت در ورود با ایمیل در وردپرس

از نسخه ۳ به بعد وردپرس قابلیتی به این سیستم مدیریت محتوا اضافه شد که علاوه بر نام کاربری بتونید با ایمیلی که دارید هم در وردپرس وارد شوید. بنابراین از اونجایی که با ایمیل استفاده شده با بسیاری از افراد در ارتباط هستید پس امکان نفوذ در سایت به ندونستن نام کاربری فراهم خواهد بود. برای غیرفعال کردن این قابلیت وارد هاست خودتون شده و سپس به مسیر /public_html/wp-content/themes/ مراجعه کنید. حالا وارد پوشه قالبی که ازش استفاده می‌کنید شده و قطعه کد زیر را در فایل فانکشن(functions.php) قالب قرار داده و ذخیره کنید.

remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );

بعد از قرار دادن کد بالا دیگه امکان ورود با ایمیل در وردپرس را نخواهید داشت و فقط با استفاده از نام کاربری میتونید وارد وردپرس شوید.

استفاده از کپچا وردپرس

یکی از راه‌های حمله به وردپرس با استفاده از تلاش برای ورود در سایت یا ارسال دیدگاه اسپم صورت میگیره که حتما هم لزومی نداره فرد وارد سایت بشه و بلکه هدف از این کار اینکه که مدام درخواستی به سایت شما ارسال شده و CPU و منابع هاست شما درگیر میشه و در نهایت سایت از دسترس خارج خواهد شد. برای جلوگیری از این کار میتونید از کپچا وردپرس استفاده کنید.

ورود دو مرحله‌ای گوگل در وردپرس

تقریبا دو سالی هست که گوگل برنامه Google Authenticator را برای فراهم کردن قابلیت ورود دو مرحله‌ای فراهم کرده است. در این پروژه دیگه نیازی نیست که حتما کد تایید برای ورود به اکانت را از طریق SMS روی شماره دریافت کنید، بلکه میتونید برنامه مخصوص اندروید و IOS را روی گوشی خودتون نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید میشه را برای کد ورود استفاده کنید. این سیستم محدود به محصولات گوگل نیست

افزودن سوال امنیتی در صفحه ورود وردپرس

یکی دیگه از راه‌های افزایش امنیت در وردپرس استفاده از قابلیت سوال و جواب امنیتی است. در این روش هر کاربر میتونه با مراجعه به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب کرده و با تعیین جواب وقتی اقدام به ورود در سایت میکنه تا زمانی که جواب تعیین شده را وارد نکرده قادر به ورود در وردپرس نخواهد بود.

غیرفعال کردن پیغام خطاهای وردپرس

وقتی نام کاربری یا رمز عبور اشتباهی در صفحه ورود وردپرس وارد کنید پیام “نام کاربری xxx اشتباه است و یا شناسه معتبر نیست” نمایش داده می‌شود. هکر با توجه به پیام نمایش داده شده تشخیص میده که کدوم یکی از اطلاعات ورود اشتباه هستند و در نهایت بعد از یافتن یکی از اطلاعات درست میتونه روی مورد بعدی تمرکز کرده و در زمان کوتاه‌تری اقدام به هک سایت بکند.

// Remove error message on login screen
add_filter('login_errors', create_function('$a', 'return null;'));

برای غیرفعال کردن این قابلیت کد بالا را در فایل فانکشن(functions.php) قالب خودتون قرار داده و ذخیره کنید.

۸. مخفی کردن نام کاربری وردپرس

در اکثر قالب‌های وردپرس وقتی روی نام نویسنده یک نوشته کلیک کنید به صفحه نویسنده هدایت خواهید شد که در اون نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده می‌شود. بنابراین اگر میبینید که نیازی به این قابلیت ندارید میتونید چنین امکانی را از قالب خودتون غیرفعال کنید یا اینکه با استفاده از روش‌های موجود آدرس صفحه نویسنده را بر اساس آی‌دی نویسنده تعیین کنید که نام کاربری نویسنده‌ها مشخص نشه که در مقالات بعدی به معرفی این راهکار خواهم پرداخت.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

با قرار دادن کد بالا در فایل htaccess. هاست خودتون میتونید صفحات مربوط به نویسنده‌ها را در وردپرس به صفحه اصلی ریدایرکت کنید.

۹. تغییر پیشوند جداول وردپرس

در حالت پیش‌فرض، وردپرس از _wp به‌عنوان پیشوند جداول در پایگاه داده وردپرس استفاده می‌کنه. حالا در صورتی که هنگام نصب وردپرس اقدام به تغییر دادن آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد که لازمه اقدام به تغییر پیشوند جداول بکنید

۱۰. استفاده از SSL در وردپرس

استفاده از پروتکل امن HTTPS این امکان را به سایت شما میده که کلیه داده‌ها در محیطی امن رد و بدل شوند. بنابراین با استفاده از SSL در وردپرس میتونید امنیت سایت را در حالت‌های مختلفی افزایش دهید. پیشنهاد می‌کنم حتما از SSL استفاده کرده و امنیت وردپرس را بیشتر کنید.

۱۱. غیرفعال کردن مشاهده پوشه‌های هاست

یکی از نکاتی که کاربران کمتر بهش توجه می‌کنند و بر اساس کانفیگ هاست ممکنه این قابلیت در هاست غیرفعال نشده باشه مرور پوشه ها در سایت است. Directory browsing میتونه توسط هکرها مورد استفاده قرار گرفته و فایل‌های موجود در هر پوشه به راحتی بررسی شده و با پیدا کردن راه‌های نفوذ به راحتی سایت شما هک شود. این مورد به هینجا محدود نمیشه و افراد میتونند با پیدا کردن پوشه‌های شما فایل‌های موجود در هاست را هم مورد سرقت قرار دهند. بنابراین لازمه این قابلیت را غیرفعال کنید. برای این منظور کارهای زیر را طی کنید.

  1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
  2. فایل htaccess. را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
  3. دستور Options -Indexes را در انتهای فایل .htaccess اضافه کنید.
  4. در نهایت فایل را ذخیره کنید.

کاموا

۱۲. غیرفعال کردن ویرایشگر قالب و افزونه

یکی از قابلیت‌های وردپرس استفاده از ویرایشگر کد در پیشخوان وردپرس هست که در منوهای نمایش و افزونه‌ها قرار داره و با استفاده از این دو منو به ترتیب میتونید به کلیه فایل‌های قالب وردپرس و افزونه وردپرس دسترسی داشته و آنها را ویرایش کنید. اگر شخصی بتونه وارد پیشخوان وردپرس بشه به راحتی میتونه با وارد کردن کدهای مخرب کارهای خراب کارانه در سایتتون ایجاد بکنه که برای غیرفعال کردن این قابلیت میتونید به ترتیب زیر عمل کنید.

  1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
  2. فایل wp-config.php را که در ریشه هاست قرار دارد را انتخاب کرده و به صفحه ویرایش فایل مراجعه کنید.
  3. حالا قطعه کد زیر را در بخش define این فایل قرار داده و ذخیره کنید.
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

بعد از قرار دادن کد بالا امکان ویرایش فایل‌های قالب و افزونه از طریق ویرایشگر پیشخوان وردپرس غیرفعال خواهد شد.

۱۳. غیرفعال کردن اجرای فایل PHP در وردپرس

هاست به شما این اجازه میده تا هر فایلی را در هر جایی قرار داده و با دستورات PHP هر کاری که میخواهید در سایت انجام دهید. برخی دایرکتوری‌ها هستند که اصلا نیازی به اجرای فایل‌های PHP در اونها نخواهید داشت که مهم‌ترین این بخش پوشه uploads وردپرس هست که فایل‌های چند رسانه‌ای مثل تصویر، ویدئو، صوت و… در این مسیر قرار می‌گیرد. بنابراین لازمه اجرای دستورات PHP را در این مسیر با استفاده از روش زیر غیرفعال کنید.

  1. وارد هاست خود شده و به مسیر public_html/wp-content/uploads مراجعه کنید.
  2. یک فایل با نام htaccess. بسازید و کدهای زیر را در آن قرار دهید.
<Files *.php>
deny from all
</Files>

بعد از قرار دادن کد بالا در فایل htaccess. که در این پوشه قرار داره به صورت کلی امکان اجرای PHP در این مسیر غیرفعال خواهد شد.

۱۴. غیرفعال کردن XML-RPC

فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد که از جمله این موارد میشه به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویس‌هایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتونه همزمان ۲۰ درخواست را به سایت ارسال کرده و اقدام به پیدا کردن رمز ورود در وردپرس بکنه که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست.

۱۵. بررسی فعالیت کاربران در وردپرس

یکی دیگه از راه‌های امنیت وردپرس این هست که رفتار کاربران سایت خودتون را زیر نظر بگیرید. این رفتار میتونه توسط سیستم آمار گیر سایت و یا افزونه‌ها صورت بگیره که در صورت شناسایی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید

تغییر دوره‌ای رمز کلیه کاربران در وردپرس

معمولا کاربرانی که در سایت ثبت نام می‌کنند هیچ اقدامی برای تغییر دوره‌ای رمز عبور خودشون انجام نمی‌دهند. این مشکلات برای هر سایتی زیاد شاید مهم نباشه و به چشم نیاد، اما برای سایت‌های فروشگاه فایل که از ووکامرس یا افزونه‌های دیگه استفاده می‌کنند خیلی مهم هست. پس خودتون باید دست به کار شده و در بازه‌های زمانی چند ماهه کاری کنید که کاربران خودشون اقدام به تغییر رمز در وردپرس بکنند.

۱۶. استفاده از افزونه امنیت وردپرس

افزونه‌های امنیتی مختلفی برای وردپرس ساخته شده‌اند که امکان فراهم کردن قابلیت‌های امنیتی را در وردپرس به شما خواهند داد. افزونه wordfence وردپرس یکی از پرطرفدارترین افزونه‌های امنیتی در وردپرس هست که به شما امکان افزایش امنیت وردپرس و جلوگیری از هک سایت را خواهد داد. با استفاده از این افزونه میتونید بیشتر راهکارهایی که در بالا به معرفی اونها پرداختیم را فقط با این افزونه فراهم کنید.

تبریک می گوئیم آموزش ایمن کردن وردپرس به پایان رسید با آموزش های بعدی ما را همراه کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *