16 راهکارهای امنیتی برای سایت های وردپرسی

16 راهکارهای امنیتی برای سایت های وردپرسی
آکادمی آی تی
آکادمی آی تی
dots

16 راهکارهای امنیتی برای سایت های وردپرسی

زمان مورد نیاز برای مطالعه 5 دقیقه

در این مقاله، به آموزش امنیت سایت و راهکارهای امنیت وردپرس خواهیم پرداخت. استفاده همزمان از روش های ارائه شده در این مقاله، می تواند تا حد بسیار زیادی امنیت وردپرس را افزایش داده و از نفوذ و هک شدن سایت، جلوگیری کند.

دپارتمان ‌ها: آموزش طراحی سایت
1400/05/07
2,327 بازدید

وردپرس یکی از محبوب ترین ابزارهای طراحی سایت است که به دلیل سادگی و امکانات زیاد، به صورت گسترده توسط طراحان وب مورد استفاده قرار می گیرد. در نقطه مقابل، به دلیل محبوبیت، این ابزار همواره در معرض نفوذ و هک شدن قرار دارد. در این مقاله، به آموزش امنیت سایت و راهکارهای امنیت وردپرس خواهیم پرداخت. استفاده همزمان از روش های ارائه شده در این مقاله، می تواند تا حد بسیار زیادی امنیت وردپرس را افزایش داده و از نفوذ و هک شدن سایت، جلوگیری کند. 


تأمین امنیت وردپرس و جلوگیری از هک 

با هک شدن یک سایت و نفوذ به اطلاعات آن، هرگونه اطلاعات سایت در معرض سرقت قرار داشته و امنیت سایت دچار مشکل می شود. این سرقت، تنها به محتوای سایت محدود نمی شود، بنابراین سیستم امنیتی آن علاوه بر مدیریت محتوا، به هاست و سرور سرویس دهنده نیز متکی است. از این رو برای بالا بردن امنیت وردپرس، اولین قدم استفاده از سرویس دهنده ها و سرورهایی است که خود از امنیت بالایی برخوردار هستند.

هک شدن سایت گاهی یک بار اتفاق می افتد و اطلاعات آن به سرقت می رود، اما حالت خطرناک تر زمانی است که با تغییر کدهای سایت و اضافه کردن کدهای مخرب به سایت، شخص هکر به راحتی می تواند بدون آنکه مدیر و کاربران سایت متوجه شوند، به صورت دائمی به اطلاعات سایت دسترسی داشته و هر نوع اطلاعاتی را هر زمان، به سرقت ببرد.

از آنجایی که امنیت سایت های وردپرسی به دلیل محبوبیت و کاربری بالا، از اهمیت ویژه ای برخوردار است، در این مقاله، روش های مورد استفاده برای افزایش امنیت وردپرس ارائه خواهد شد.

 

راهکارهای امنیت در وردپرس

 


1. به روز رسانی مداوم وردپرس

سرویس دهنده وردپرس دائماً نسخه های به روز شده ای را ارائه می دهد و در هر به روز رسانی، سعی می کند نقص ها و باگ های امنیتی نسخه های قبلی را رفع کند. بنابراین اولین قدم برای بالا بردن امنیت وردپرس، به روز رسانی آنها به آخرین نسخه است.

اگر تنظیمات وردپرس را در حالت به روز رسانی خودکار قرار دهید، با انتشار هر نسخه جدید توسط سرویس دهنده، نسخه وردپرس شما نیز به صورت خودکار به روز رسانی شده و یک ایمیل  اطلاع رسانی به آدرس ایمیل سایت ارسال خواهد شد.

بنابراین توصیه می شود تنظیمات به روز رسانی خودکار را در نسخه وردپرس خود فعال نمایید تا خیالتان از این مسئله راحت باشد. 


2. بک آپ گیری منظم وردپرس

معمولاً برای همه سایت های فعال، بک آپ گیری توسط هاست صورت می گیرد. سایت های وردپرسی نیز از این قاعده مستثنی نیستند. اما بک آپ تهیه شده توسط هاست، به دلیل قوانین امنیتی کشورهای اروپایی به خصوص آلمان، چندان قابل اطمینان نیستند و ممکن است هیچگاه توسط هاست در اختیار مدیر سایت قرار نگیرند و تمام اطلاعات سایت با نفوذ یا هک از بین برود و هیچگاه قابل بازیابی نباشند. 

از این رو توصیه می شود که مدیر سایت همواره از محتوای سایت شامل فایل ها و نیز تنظیمات سایت، نسخه بک آپ تهیه کند تا در صورت نفوذ و هک شدن، بتوان سایت را بازیابی نمود. تهیه نسخه بک آپ بهتر است به صورت دوره ای و به فواصل مشخص صورت گیرد تا در صورت بروز مشکل، بتوان با مقایسه فایل ها با آخرین نسخه بک آپ، مشکل را شناسایی کرده و از بین برد.


3. افزایش امنیت فایل wp-config.php

فایل wp-config.php یکی از فایل های مهم مربوط به پیکربندی وردپرس است که حاوی اطلاعات دیتابیس بوده و دسترسی به این فایل، به معنی دسترسی به تمام تنظیمات و نفوذ به اطلاعات سایت است.

بنابراین توصیه می شود که با تنظیمات مربوط به محدود سازی دسترسی به قسمت پیکربندی در سایت وردپرس، هرگونه دسترسی به این فایل را محدود کرده و اطمینان حاصل کنید که فقط خودتان به عنوان مدیر سایت، به این فایل دسترسی خواهید داشت. 


4. افزایش امنیت فایل htaccess

فایل htaccess. یکی از فایل های امنیتی در وردپرس است که با تغییر کدهای دستوری این فایل، می توان تنظیمات مربوط به امنیت و دسترسی سایت را تغییر داد. در واقع این فایل، درگاه ورودی به بخش امنیتی یک سایت وردپرسی است و اگر کسی به این فایل دسترسی یابد، به راحتی می تواند پیکربندی امنیتی سایت شما را تغییر داده به گونه ای که حتی مدیر و ادمین نیز امکان ورود به تنظیمات سایت را نخواهند داشت.

برای مدیریت و تغییر تنظیمات این فایل، افزونه امنیت برای وردپرس تحت عنوان WP htaccess Control معرفی شده است که با نصب آن می توانید تنظیمات امنیتی این فایل را تغییر داده و از نفوذ و هک شدن سایت خود جلوگیری کنید. 


5. افزایش امنیت پوشه wp-admin

پوشه wp-admin یکی از پوشه های مهم در هاست سی پنل وردپرس است که برای دسترسی ادمین در نظر گرفته و تنظیمات مدیریت سایت در این پوشه قرار دارد. اهمیت این پوشه از این بابت است که با دسترسی به آن، می توان با تغییر کدهای دستوری و یا اضافه کردن کدهای مخرب، عملکرد سایت را به کلی تغییر داد و به این ترتیب به فایل های محتوایی آن دسترسی پیدا کرد.

برای حفظ امنیت پوشه wp-admin، می توان از روش های رمزگذاری بر روی پوشه، مخفی سازی پوشه و تغییر دسترسی آن استفاده کرد. روش رمزگذاری راحت ترین روش برای افزایش امنیت پوشه wp-admin می باشد. به این منظور، از طریق پنل مدیریت سی پنل یا Cpanel، روی گزینه File manager کلیک کرده و گزینه Go را انتخاب می کنید تا به بخش مدیریت فایل وارد شوید.

سپس پوشه wp-admin را یافته و با کلیک راست کردن روی پوشه، گزینه Password Protect را انتخاب کنید. در مرحله بعد، تیکPassword Protect this Directory را فعال کرده و در فیلد Name یک نام دلخواه را وارد می کنید و گزینه Save را انتخاب می نمایید.

تا این مرحله پوشه wp-admin رمزگذاری شده است، برای ورود می بایست یک نام کاربری جدید برای آن انتخاب کنید. پس از این کار، هر بار برای ورود به محتویات داخلی پوشه، می بایست نام کاربری و پسورد را وارد کرده و روی گزینهAdd or Modify The Authorized user کلیک کنید. 


6. استفاده از رمز عبور قوی و سطح دسترسی

رمز عبور قوی نه تنها در مورد سایت، بلکه برای دسترسی به هر حساب کاربری از اهمیت بالایی برخوردار است. همه ما می دانیم که یک رمز عبور ضعیف، مستعد هک شدن است. به خصوص زمانی که رمز عبور شما مربوط به حساب ها و یا فایل هایی است که اطلاعات مهمی نظیر اطلاعات بانکی، فایل های محتوایی سایت و غیره را در بر دارد، بهتر است از رمز عبور قوی استفاده کنید تا امکان هک شدن آن وجود نداشته باشد.

این مسئله در مورد سایت های وردپرسی نیز صدق می کند و هرچه سطح رمز عبور برای ورود به پیشخوان سایت قوی تر باشد، احتمال نفوذ به سایت کمتر خواهد بود و امنیت وردپرس نیز بیشتر خواهد شد. سطح دسترسی نیز فاکتور دیگری است که امنیت سایت را دچار مشکل می کند. اگر بصورت گروهی یک سایت وردپرسی را مدیریت می کنید، بهتر است سطح دسترسی هر شخص از افراد گروه مشخص باشد.

اگر همه افراد به عنوان ادمین بتوانند وارد پیشخوان سایت شوند، در این صورت چون تعداد رمزهایی که برای وردی به سایت تعریف شده است بیشتر است، احتمال هک شدن رمزها نیز توسط هکرها افزایش خواهد یافت. همچنین اگر رمز عبور یکی از اعضای گروه فاش شود، در این صورت با نفوذ به تنظیمات سایت شما، ممکن است دسترسی سایر افراد نیز غیرممکن گردد و تمامی اطلاعات و فایل های سایت شما مورد سرقت قرار گرفته و امکان بازیابی آنها نیز وجود نخواهد داشت. 


7. افزایش امنیت صفحه ورود به وردپرس

صفحه ورود به وردپرس، به دلیل وارد کردن اطلاعات کاربری در معرض هک شدن قرار دارد. این صفحه از اهمیت بالایی برخوردار است و افزایش امنیت آن به معنی افزایش امنیت وردپرس خواهد بود. به منظور افزایش امنیت صفحه ورود وردپرس، اقداماتی نظیر استفاده از روش ورود دو مرحله ای گوگل، حذف گزینه فراموشی رمز عبور، افزودن سؤال امنیتی و غیره صورت می گیرد که در ادامه هر یک به صورت مختصر توصیف می گردند. استفاده از چندین روش به صورت همزمان می تواند به افزایش امنیت وردپرس شما کمک کند. 


تغییر آدرس صفحه ورود به وردپرس

در وردپرس به صورت پیش فرض آدرس wp-login.php به منظور ورود به سایت وردپرس توسط ادمین مورد استفاده قرار می گیرد. بنابراین با داشتن نام کاربری و کلمه عبور، به راحتی می توان با مراجعه به آدرس مورد نظر، به سایت وردپرس دسترسی پیدا کرد.

با تغییر آدرس ورود به سایت و تغییر آدرس پیشخوان وردپرس که به صورت پیش فرض wp-admin است، می توان به راحتی مشکل امنیت صفحه ورودی وردپرس را حل نمود. برای این منظور می توان از افزونه امنیت برای وردپرس با عنوان Hide My WordPress استفاده کرد که به شما امکان انتخاب آدرس ورودی به سایت وردپرس و آدرس ورود به پیشخوان را خواهد داد.

با نصب این افزونه و کلیک کردن روی گزینه hide my wp در آن، یک آدرس موقت برای دسترسی شما به سایت وردپرسی نمایش داده می شود که به کمک آن می توانید وارد سایت شده و سپس آدرس ورودی را تغییر دهید. 


محدودیت در تعداد دفعات ورود به وردپرس

در حالت پیش فرض، محدودیتی در تعداد تلاش های صورت گرفته برای ورود به سایت وردپرسی وجود ندارد. اما امکاناتی با استفاده از افزونه امنیت برای وردپرس تحت عنوان Login LockDown در این ابزار قرار داده شده است که به کمک آن می توانید برای تعداد تلاش های ورود به سایت، محدودیت تعریف کرده و پس از اتمام تعداد محدودیت ها، تا مدتی مشخص حتی با ورود نام کاربری و کلمه عبور صحیح نیز امکان ورود به سایت وردپرس وجود نخواهد داشت.

پس از نصب افزونه مذکور، منویی با همین عنوان به قسمت تنظیمات پیشخوان وردپرس افزوده خواهد شد. با کلیک روی این گزینه، وارد قسمت تنظیمات آن خواهید شد. در فیلد Max Login Retries می توانید تعداد تلاش های مجاز برای ورود به سایت را تعریف کنید.

مثلاً با وارد کردن عدد 3 در این قسمت، اگر کاربر طی 3 مرتبه برای ورود به سایت تلاش کند و هر بار نام کاربری و یا کلمه عبور را اشتباه وارد نماید، تا مدتی که در فیلد Lockout Length قابل تعریف است، حتی با نام کاربری و کلمه عبور صحیح نیز امکان ورود به سایت فراهم نخواهد بود. 


محدودیت در ورود با ایمیل در وردپرس

یکی از راه های ورود به سایت وردپرس که از نسخه وردپرس 3 به بعد به آن اضافه شده است، امکان ورود به سایت با استفاده از ایمیل به جای نام کاربری است. این امکان جدید در عین اینکه کار ادمین را برای ورود به سایت آسان کرده است، اما امنیت آن را نیز پایین آورده به گونه ای که برای ورود به سایت دیگر نیازی به کلمه عبور نیست و آدرس ایمیل که عمومیت بیشتری دارد، جایگزین آن شده است.

برای غیرفعال کردن این امکان جدید در وردپرس، ابتدا وارد هاست خود شوید و سپس به آدرس /public_html/wp-content/themes/ مراجعه کنید. در مرحله بعد وارد پوشه قالب مورد استفاده خود شده و کد دستوری زیر را در فایل functions.php وارد کرده و تغییرات را ذخیره کنید. 

remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );

 با انجام مراحل فوق، امکان ورود به سایت از طریق وارد کردن آدرس ایمیل غیرفعال خواهد شد. برای حذف این تغییرات نیز مراحل فوق را برای حذف کد دستوری دنبال کنید. 


استفاده از کپچا وردپرس

یکی از اقدامات خرابکارانه که با هدف آسیب به سایت وردپرسی صورت می گیرد، ارسال دیدگاه های اسپم به صورت مداوم به بخش های مختلف سایت است. از آنجایی که این کار سبب درگیری بیشتر منابع هاست در محیط وردپرس می گردد، در نهایت باعث از دسترس خارج شدن سایت شده و ممکن است به برخی از فایل ها نیز آسیب وارد آورد.

برای جلوگیری از این مسئله می توان از قابلیت کپچا وردپرس برای ارسال دیدگاه استفاده کرد.

افزونه Google Captcha برای این منظور به صورت پیش فرض در مخزن وردپرس قرار داده شده است که با ورود به آن، در صورتی که کلیدهای API را در اختیار داشته باشید به راحتی می توانید با وارد کردن این کدها در فیلدهای Site Key و Secret Key و کلیک کردن روی گزینه Test reCAPTCHA، گزینه کپچا وردپرس را فعال کنید.

در صورتی که کلیدهای API را در اختیار ندارید، می توانید از طریق گزینه Get the API Keys از طریق گوگل، کلیدهای API را بسازید.


ورود دو مرحله‌ای گوگل در وردپرس

فعال سازی امکان ورود دو مرحله ای گوگل در سایت وردپرس این امکان را به شما می دهد که همانند ورود به حساب کاربری جیمیل، گزینه دیگری اضافه گردد که با استفاده از اپلیکیشن های اندروید و ios یک رمز عبور شش رقمی را برای شما نمایش می دهد؛ در صورتی که این رمز شش رقمی به درستی وارد شود، امکان ورود به سایت وردپرس را خواهید داشت.

این امکان با استفاده از افزونه Google Authenticator در مخزن وردپرس قابل پیاده سازی است. با نصب این افزونه و ورود به بخش کاربران، قسمتی به نام Google Authenticator Settings در پایین ظاهر می شود که با کلیک روی گزینه Active، امکان ورود دو مرحله ای گوگل در وردپرس اضافه خواهد شد.

گزینه دیگری به نام Relaxed mode نیز وجود دارد که با فعال سازی آن، بازه زمانی لازم برای ورود کد شش رقمی را به 4 دقیقه افزایش می دهد. داخل فیلد Description آدرس سایت را وارد کرده و در فیلد Secret نیز با کلیک روی گزینه Show/Hide QR code، کد QR اختصاصی آدرس سایت خود را تولید نمایید.

در مرحله بعد کافیست برنامه Google Authenticator را بر روی گوشی تلفن همراه خود نصب کرده و کد QR را به کمک گوشی خود اسکن کنید. در نهایت کلیه تغییرات در پیشخوان وردپرس را ذخیره کنید.

به این ترتیب، هر بار برای ورود به سایت وردپرس، یک کد شش رقمی در فیلد Google Authenticator Code در فرم ورود وردپرس از شما سؤال خواهد شد که کد تأیید شده در برنامه اندروید یا ios را در آن فیلد وارد نمایید. 


افزودن سؤال امنیتی در صفحه ورود وردپرس

یکی از روش های افزایش امنیت وردپرس، افزودن سؤال امنیتی در صفحه ورودی است. در این بخش، هر کاربر برای ورود به سایت می تواند از قسمت شناسنامه در پیشخوان وردپرس، یک سؤال امنیتی را انتخاب کرده و پاسخ آن را وارد کند.

پس از آن، هر بار که کاربر اقدام به ورود به سایت کند، سؤال امنیتی تعریف شده از او پرسیده شده و در صورت وارد کردن پاسخ صحیح، امکان ورود به سایت را خواهد داشت. برای فعال سازی این امکان در سایت وردپرسی می توان از افزونه WP Security Question که به صورت پیش فرض در مخزن وردپرس قرار داده شده است، استفاده نمود.

پس از نصب این افزونه، منویی تحت همین عنوان به پیشخوان وردپرس اضافه می شود که در زیربخش Setup Questions، می توانید سؤالات مختلف را تعریف کرده و هر یک از سؤالات را برای عضویت، ورود به سایت و یا فراموشی رمز عبور اختصاص دهید.

همچنین با استفاده از گزینه Add More امکان افزایش تعداد سؤال های امنیتی نیز وجود دارد و گزینه Remove در مقابل هر سؤال نیز برای حذف آن سؤال استفاده می شود.

با ذخیره تنظیمات فوق، سؤالات امنیتی مختلفی به قسمت کاربران، زیر منوی شناسنامه شما در پیشخوان وردپرس افزوده شده است که هر کاربر می تواند سؤال مورد نظر خود را از لیست تهیه شده انتخاب نموده و پاسخ آن را در فیلد Your Answer در پایین آن وارد کند.

با ذخیره این تنظیمات، هر بار کاربر برای ورود اقدام کند در صورتی که سؤال امنیتی را برای Login Screen انتخاب کرده باشد، فیلد دیگری در صفحه ورود وردپرس با عنوان Security Questions افزوده خواهد شد.

کاربر با انتخاب سؤال مورد نظر از لیست، و وارد کردن پاسخ آن در فیلد Your Answer می تواند وارد سایت شود.


غیرفعال کردن پیغام خطاهای وردپرس

به صورت پیش فرض، زمانی که نام کاربری و یا رمز عبور را در سایت وردپرس اشتباه وارد می کنید، پیغامی به صورت «نام کاربری اشتباه است» و یا «شناسه معتبر نیست» نمایش داده می شود که از این طریق، هکر می تواند محل ورود اطلاعات اشتباه را شناسایی کرده و با تمرکز روی همان قسمت، زودتر به سایت شما نفوذ کند.

برای حذف این قابلیت در سایت وردپرس، همانند روش محدودیت در ورود با ایمیل در وردپرس، در فایل functions.php، کد دستوری زیر را وارد کنید:

// Remove error message on login screen
add_filter('login_errors', create_function('$a', 'return null;'));

با وارد کردن این کد و ذخیره تنظیمات، قابلیت نمایش پیغام های خطای ورود به سایت وردپرس، غیرفعال خواهد شد.

 


8. مخفی کردن نام کاربری وردپرس

در وردپرس، زمانی که یک سایت توسط چندین نویسنده نوشته می شود، نام هر نویسنده به صورت جداگانه در زیر پست ها درج می گردد. با کلیک روی نام نویسنده، تمام مطالبی که توسط آن نویسنده نوشته شده است، در صفحه نویسنده ظاهر خواهد شد. آدرس URL نمایش داده شده در این صفحه، همان نام کاربری نویسنده است که این مسئله می تواند باعث سوء استفاده از نام کاربری وی شود.

برای حل این مشکل، می توان با وارد کردن کد دستوری زیر در فایل htaccess. هاست، صفحات مربوط به نویسنده در وردپرس را به صفحه اصلی وردپرس ریدایرکت کرد. به این ترتیب، نام کاربری نویسنده در آدرس URL صفحه اختصاصی نویسنده، نمایش داده نخواهد شد.


9. تغییر پیشوند جداول وردپرس

پیش فرض سایت وردپرس به گونه ای است که در آن، پیشوند جداول در پایگاه داده به صورت wp_ هستند. این مسئله سبب کاهش امنیت سایت وردپرس به خصوص بخش دیتابیس خواهد شد. برای حل این مشکل، لازم است که پیشوند جداول در پایگاه داده تغییر یابند.

برای این منظور توصیه می شود که ابتدا از فایل های پایگاه داده خود یک بک آپ تهیه کنید و سپس اقدام به تغییر پیشوند جداول نمایید. 


10. استفاده از SSL در وردپرس

با استفاده از پروتکل HTTPS می توانید امنیت سایت وردپرسی خود را بالا ببرید. برای این کار ابتدا لازم است پروتکل امن SSL را خریداری کرده و آن را روی هاست خود نصب نمایید.

برای اطمینان از این کار، آدرس سایت وردپرسی خود را با :// https وارد کنید، اگر سایت به درستی لود شد، به این معنی است که SSL به درستی روی سایت شما نصب شده است.

پس از این مرحله، با طی مراحل لازم، پروتکل SSL را در سایت وردپرس فعال سازی نمایید. فعال سازی این بخش، با ویرایش فایل htaccess. هاست صورت می گیرد. 


11. غیرفعال کردن مشاهده پوشه‌های هاست

 ممکن است قابلیت نمایش پوشه های هاست طی پیکربندی هاست، غیرفعال نشده باشد. در این صورت هکرها می توانند به Directory browsing دسترسی یافته و به راحتی فایل های موجود در پوشه های هاست را مشاهده کرده و راه های دسترسی به سایت شما را بیابند.

همچنین احتمال سرقت فایل های موجود در پوشه های هاست نیز وجود دارد. برای جلوگیری از این مشکل، قابلیت نمایش پوشه های هاست می بایست غیرفعال گردد. برای این کار مراحل زیر را دنبال کنید:

1-    وارد هاست خود شده و مسیر public_html را دنبال کنید.

2-    فایل htaccess.  را جستجو کرده و آن را ویرایش کنید.

3-    برای ویرایش فایل فوق، کد دستوری Options –Indexes را به انتهای کدهای فایل htaccess. اضافه کنید.

4-    تغییرات اعمال شده را ذخیره کنید. 

با انجام مراحل فوق، قابلیت نمایش پوشه های هاست غیرفعال خواهد شد و امنیت وردپرس افزایش خواهد یافت. 


12. غیرفعال کردن ویرایشگر قالب و افزونه

یکی از گزینه های پیشخوان وردپرس، ویرایشگر افزونه و قالب است که به شما امکان ویرایش کدهای مجموعه افزونه های موجود در پیشخوان و همچنین تغییر در کدهای قالب را می دهد.

چنانچه شخصی بتواند وارد بخش پیشخوان وردپرس سایت شما شود، می تواند به راحتی با اضافه کردن کدهای مخرب و یا تغییر کدهای موجود در این دو بخش، عملکرد سایت وردپرس شما را مختل کرده و امنیت وردپرس را تضعیف کند.

راه کار مقابله با این مشکل، غیرفعال کردن قابلیت ویرایش کدهای افزوده و قالب در سایت وردپرس است. به این منظور، مراحل زیر را دنبال کنید:

1-    وارد هاست خود شده و مسیر public_html را دنبال کنید.

2-    wp-config.php را یافته و وارد صفحه ویرایش این فایل شوید.

3-    کد دستوری زیر را در بخش define در فایل فوق اضافه کرده و تغییرات را ذخیره کنید:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

با اعمال تغییرات فوق، امکان ویرایش کدهای افزونه و قالب از طریق ویرایشگر در پیشخوان وردپرس غیرفعال می گردد.


13. غیرفعال کردن اجرای فایل PHP در وردپرس

کسانی که به برنامه نویسی PHP مسلط هستند، به راحتی می توانند با تغییر و اضافه کردن دستورات PHP در هاست، هر گونه تغییری در سایت شما ایجاد کنند. با غیرفعال کردن قابلیت اجرای دستورات PHP، امکان خرابکاری در سایت خود را از بین ببرید.

برخی از پوشه ها در هاست، نیازی به تغییر ندارند و بنابراین می توان قابلیت اجرای دستورات PHP را برای آنها غیرفعال کرد تا امکان تغییر کدهای هاست و خرابکاری در سایت را به حداقل برسانید.

یک نمونه از این پوشه ها، پوشه uploads است که در ادامه، روش غیرفعال سازی امکان اجرای دستورات PHP را در این پوشه بیان خواهیم کرد. برای این منظور، مراحل زیر را دنبال کنید:

1-    وارد هاست خود شده و مسیر public_html/wp-content/uploads را دنبال کنید.

2-    یک فایل با عنوان htaccess. در مسیر فوق ایجاد کرده و کدهای دستوری زیر را در آن قرار دهید:

<Files *.php>
deny from all
</Files>

پس از ذخیره تغییرات فوق، امکان اجرای دستورات PHP در دایرکتوری uploads در هاست غیرفعال خواهد شد. 


14. غیرفعال کردن XML-RPC

قابلیت مدیریت از راه دور در محیط وردپرس با استفاده از اپلیکیشن های اندروید، برنامه های ویندوز و سرویس های IFTTT، به کمک فایل XML-RPC امکان پذیر است.

مشکل فعال بودن این قابلیت در وردپرس این است که با ایجاد امکان مدیریت سایت از طریق برنامه های اندروید و ویندوز وردپرس، شما می بایست برای اعمال مدیریت، دائماً لاگین کنید و این فرآیند می تواند امنیت سایت وردپرسی شما را ضعیف کند. به همین منظور توصیه می شود که این قابلیت را در سایت وردپرس خود غیرفعال نمایید.

سه روش عمده برای غیرفعال سازی XML-RPC در محیط وردپرس وجود دارد که عبارت اند از:

1-    نصب افزونه

2-    اضافه کردن کد دستوری به فایل functions.php قالب

3-    اضافه کردن کد دستوری به فایل htaccess. هاست

به عنوان مثال افزونه امنیت برای وردپرس به نام Disable XML-RPC به صورت پیش فرض در مخزن وردپرس وجود دارد که به کمک آن می توانید قابلیت XML-RPC را در سایت وردپرس خود غیرفعال کنید.


15. بررسی فعالیت کاربران در وردپرس

رصد فعالیت کاربران در سایت وردپرس، به کشف اقدامات خرابکارانه احتمالی کمک می کند.

برای این منظور افزونه امنیت برای وردپرس با عنوان Audit Trail در بخش ابزارها در پیشخوان وردپرس در نظر گرفته شده است که به کمک آن می توانید فعالیت هایی نظیر آپلود فایل، تغییرات افزونه ها، ویرایش مطالب سایت و غیره را که توسط کاربران انجام می گیرد، رصد کرده و در صورتی که به کاربری خاص مشکوک شدید، حساب کاربری وی را غیرفعال کرده و یا دسترسی وی را محدود کنید. 


تغییر دوره‌ای رمز کلیه کاربران در وردپرس

برای سایت های فروشگاهی که فایل های آماده را در اختیار مشتری قرار می دهند و از افزونه ووکامرس استفاده می کنند، رمز عبور کاربران از اهمیت بالایی برخوردار است.

به این منظور باید قابلیتی در سایت وردپرس خود ایجاد کنید که کاربران را ملزم نماید که طی دوره زمانی مشخص، رمز عبور خود را تغییر دهند. این کار به افزایش امنیت وردپرس کمک خواهد کرد. به این منظور می توانید از افزونه امنیت برای وردپرس به نام Expire Passwords که در مخزن وردپرس به صورت پیش فرض وجود دارد، استفاده کنید.

با نصب این افزونه، برای هر یک از کاربران سایت می توانید محدودیتی را تعریف نمایید که طی یک دوره زمانی، برای ورود به سایت مجبور باشد رمز عبور خود را تغییر دهد.  


16. استفاده از افزونه امنیت وردپرس

افزونه های مختلفی به منظور افزایش امنیت وردپرس طراحی شده اند امکانات زیادی را در اختیار شما قرار می دهد. یکی از محبوب ترین افزونه های امنیت برای وردپرس، wordfence نام دارد که امکان پیاده سازی بسیاری از روش هایی را که در بالا اشاره شد، به صورت همزمان فراهم می آورد و در واقع افزونه امنیت کامل وردپرس است.

افزونه دیگری که برای این منظور ارائه شده است، iThemes Security نام دارد که قابلیت بک آپ گیری خودکار از دیتابیس وردپرس را به شما خواهد داد.

Sucuri Security، WP fail2ban و Jetpack نمونه های دیگری از افزونه های امنیت برای وردپرس هستند که تا سال 2021 توسط این سامانه ارائه شده است. 

 

wordfence

 


افزایش امنیت وردپرس و اسکن امنیتی وردپرس با Wordfence Security

افزونه Wordfence Security یکی از پرکاربردترین افزونه های امنیت برای وردپرس است که امکانات زیادی را برای مقابله با هک و نفوذ در سایت وردپرس به شما می دهد. 

این افزونه در مخزن وردپرس به صورت پیش فرض وجود دارد. برخی از امکاناتی که با نصب این افزونه برای شما فراهم می شود عبارت اند از:

•    امکان ورود دو مرحله ای برای ورود به پیشخوان وردپرس

•    اجباری کردن تعریف رمز قوی برای همه کاربران در هنگام ثبت نام

•    اسکن مستمر سایت و شناسایی فایل های آلوده و کدهای مخرب در افزونه یا قالب

•    امکان استفاده از افزونه های محبوب مانند ووکامرس برای سایت های فروش فایل

•    امکان استفاده از فایروال وردپرس در مقابل حملات DDOS

•    امکان مشاهده آنلاین کاربران و جزئیات آنها

•    و غیره

به عنوان مثال سه نمونه از قابلیت های افزونه امنیت برای وردپرس را در اینجا به صورت مختصر تشریح می کنیم: 

با استفاده از قابلیت فایروال وردپرس، ترافیک های مخرب در سایت شما مسدود خواهند شد. به عبارت دیگر به کمک این قابلیت، کدهای مخرب و یا فایل های خراب که به سایت شما در قالب درخواست ارسال می گردد، بلاک می شوند.

همچنین امکان محدود سازی تعداد تلاش های لاگین، اجباری ساختن کلمه عبور قوی هنگام ثبت نام و سایر امکانات امنیتی، از مزیت های این ویژگی است. 


با اسکن مستمر سایت وردپرس، فایل ها، تم ها و افزونه های مخرب، URL های خراب، backdoors، گزینه های اسپم از نظر سئو، و کدهای مخرب تزریقی شناسایی می شوند.

این ویژگی در افزونه Wordfence Security، کلیه فایل ها را با فایل های موجود در مخزن WordPress.org مقایسه کرده و هرگونه تغییری در فایل ها را تشخیص می دهد و به صورت گزارش ارسال می کند. همچنین پست ها و کامنت ها را بررسی می کند که فاقد URL های خراب یا محتوای مخرب باشند. 


به کمک این افزونه و با مراجعه به منوی live traffic، می توانید به سادگی ترافیک سایت را رصد کنید. کاربرانی که به صورت آنلاین در سایت حضور دارند به همراه اطلاعاتی نظیر کشور و آدرس IP، نوع مرورگری که با آن به سایت وارد شده اند و غیره قابل مشاهده هستند. همچنین در صورتی که به کاربری خاص مشکوک هستید می توانید محدودیت های زیر را برای او فعال کنید: 

-    مسدود سازی آدرس IP

-    مسدود سازی شبکه کاربر

-    مشاهده ترافیک اخیر کاربر بر اساس آدرس IP ثبت شده در سایت

افزونه Wordfence Security امکانات دیگری نیز در اختیار شما قرار می دهد و به همین دلیل، یکی از پرطرفدارترین افزونه های امنیت برای وردپرس است. با نصب این افزونه و شناخت همه قابلیت های آن، می توانید سایت وردپرس خود را از نظر امنیت در سطح بسیار بالایی حفظ کنید.