علی شفیعی
مدیرعامل
نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس + آموزش امنیت پنل مدیریت
۱۴۰۰/۰۶/۰۴
نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس + آموزش امنیت پنل مدیریت یکی از دغدغههای مهم مدیران وردپرسی تامین امنیت وردپرس هست که نمیشه به سادگی از کنار این موضوع عبور کرد.
وردپرس به دلیل محبوبیتی که در بین سیستمهای سایت ساز داره همواره در معرض هک و نفوذ قرار داره که استفاده از وردپرس
در بسیاری از سایتها هم باعث بیشتر و بیشتر شدن موضوع هک سایت وردپرسی شده است.
از اونجایی که بحث امنیت یک چیز نسبی هست و نمیشه گفت یک سیستم امنیت کامل داره
بنابراین لازمه از تمامی راهکارهای موجود برای افزایش امنیت در وردپرس استفاده کنید.
نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس
زمانی که یک سایت هک شده و مورد نفوذ قرار میگیره کلیه اطلاعات موجود در سایت مورد سرقت قرار خواهد گرفت.
در بدترین شرایط برخی افراد بعد از نفوذ بدون اینکه چیزی متوجه بشید با قرار دادن کدهای مخرب در بخشهای مختلف سایت کاری میکنند
که اطلاعات سایت شما را به صورت دائمی استخراج کنند.
در ظاهر همه چیز در سایت شما به درستی کار میکنه و مشکلی نمیبینید
اما اطلاعات مهم سایت شما و کاربرانی که در سایتتون هستند مدام در حال درز کردن به جایی هست.
پس از همین ابتدا که شروع به نصب وردپرس میکنید لازمه کلیه روشهای افزایش امنیت وردپرس را به کار ببندید
و از هک سایت و نفوذ در وردپرس جلوگیری کنید.
از طرفی هم تامین امنیت یک سایت صرفا محدود به سیستم مدیریت محتوا نبوده و به هاست
و سرور شما هم بر میگرده که باید در سطح بالایی از نظر امنیتی قرار داشته باشد.
بنابراین در قدم اول سعی کنید از هاستی استفاده کنید که امنیت بالایی داشته باشد.
راه هایی برای امنیت پنل مدیریت:
– قرار دادن رمز عبور روی پوشه مدیریت وردپرس
پنل مدیریتی وردپرس بهصورت پیشفرض با رمز عبور وردپرس محافظت میشود.
اما شما میتوانید برای اینکه لایههای امنیتی بیشتری به سایت خود اضافه کنید، از پسورد ایمن نیز استفاده کنید.
برای این کار باید وارد پنل هاست وردپرس خود شوید و در داشبورد سیپنل روی گزینه ”Directory Privacy” کلیک کنید.
سپس پوشه wp-admin را انتخاب کنید. باکس بعدی گزینه “password protect this directory” را چک کنید
و یک نام برای مسیر محافظتشده وارد و ذخیره کنید.
سپس یک کاربر ایجاد کنید و نام کاربری، رمز عبور را وارد کنید و در انتها بر روی Save کلیک کنید.
– محدود کردن تعداد تلاشهای ورود به سیستم
بهطور پیشفرض در وردپرس میتوانید هر تعداد دفعاتی که دوست دارید رمز عبور خود را وارد کنید.
این امر باعث میشود که بتوانید با وارد کردن رمزهای مختلف، پسورد را حدس بزنید.
همچنین این موضوع به هکرها اجازه میدهد توسط اسکریپتهای خودکار کلمات عبور را بشکنند.
برای حل این مشکل افزونه login lockdown را نصب و فعال کنید.
این افزونه به شما کمک میکند که تعداد تلاش برای ورود به وردپرس خود را محدود کنید.
– بروزرسانی همیشگی وردپرس
هر بروزرسانی وردپرس شامل رفع اشکالزدایی مهم، ویژگیهای جدید و رفع امنیتی میباشد.
استفاده کردن از نسخه قدیمی وردپرس اجازه میدهد بدافزارها وارد سایت شما شود.
– مواظب حملات فیشینگ باشید
حمله فیشینگ نوعی کلاهبرداری است که در آن هکر اقدام به ارسال ایمیلی حاوی صفحه یک سایت به افراد زیادی میکند.
او شما را به ثبت نام در این سایت تحریک کرده و بدین طریق میتواند اطلاعات ورود شما به سرقت ببرد.
در واقع این صفحهی ورود به هیچ سایتی نیست. بلکه ساخته شده است
تا نام کاربری و رمز را بعد از دریافت به ایمیل هکر فرستاده یا در فایلی ذخیره نماید.
این نوع حملات را به سادگی می توان از طریق نام دامنه و لینکی که به شما فرستاده شده است، شناسایی کرد.
– سطح دسترسی کاربران و مجوز آنها در وردپرس
وردپرس با یک سیستم مدیریت کاربر قدرتمند با قابلیتها و سطوح کاربری مختلف عرضه میشود.
وقتی یک کاربر جدید به سایت وردپرس خود اضافه میکنید،
میتوانید برای آن سطوح کاربری انتخاب کنید، این سطح کاربری تعیین میکند چهکارهایی میتوانند در سایت شما انجام دهند.
– خروج کاربران بیکار بهصورت خودکار
کاربران بهطور اتوماتیک از سیستم خارج نمیشوند و خروج آنها تنها میتواند به دلیل بستن پنجره مرورگر و یا خارج شدن از سیستم باشد.
این موضوع میتواند برای سایتهای وردپرس با اطلاعات حساس نگرانکننده باشد.
به همین دلیل وبسایتها بهصورت خودکار از سیستم خروج کاربران استفاده میکند، اگر کاربری فعال نباشد.
برای حل این مشکل افزونه Idle User Logout را نصب و فعال کنید.
پس از فعالسازی به صفحه تنظیمات افزونه بروید و زمان بیکاری و خروج از سیستم را برای افرادی که فعالیت ندارند معین نمایید.
– استفاده از HTTPS
یکی دیگر از روشهای امنیت پنل مدیریت سایت، استفاده از یک ارتباط امن،
بخش مهمی از امنیت وردپرس را تشکیل میدهد.
قبل از ورود به وبسایت، قسمت آدرس مرورگرتان را چک کنید تا مطمئن شوید که از پروتکل HTTPS استفاده میکنید.
به اینصورت که قبل از نام دامنه باید https:// باشد.
معمولا یک آیکن قفل هم وجود دارد که برای نشان دادن امن بودن ارتباط به کار میرود.
– فیلترینگ اتوماتیک اسپم
بعد از راهاندازی اولیه وبسایت وردپرسی، متوجه دیدگاههای اسپم در زبالهدان خواهید شد
که حاوی لینکهای اسپم هستند.
برای فیلتر کردن دیدگاههای اسپم دو افزونه وردپرسی خوب را پیشنهاد میکنیم :
- Akismet
- Wordfence
یا بهصورت دستی،معمولا توسط وردپرس فیلتر شده و حل میشود.
برای اینکار داخل وردپرس به بخش تنظیمات، سپس گفتوگوها بروید و در آنجا تنظیماتی که بخش دیدگاههای شما را کنترل میکنند را خواهید یافت.
بکآپ گیری منظم وردپرس
بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشه که در اکثر مواقع شاید متوجه این مسئله نشوید.
از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود.
چرا که برای چندین میزبانی این مشکل پیش اومده
که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایتها به صورت کامل از صفحه اینترنت محو شدند
و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند
به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایتها به باد رفت.
پس سعی کنید همیشه خودتون هم از سایت نسخه بک آپ تهیه کنید
تا اگر مشکلات این چنین رخ داد یا سایت هک شد
بتونید از فایل بکآپ برای اطمینان از سالم بودن کلیه فایلها موجود در سایت به ادامه فعالیت بپردازید.
بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است
افزایش امنیت فایل wp-config.php
فایل wp-config.php یکی از مهمترین فایلهای هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد.
بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید
دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.
افزایش امنیت فایل htaccess.
یکی دیگه از فایلهای مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد.
این فایل با استفاده از دستوراتی که میتونه اجرا کنه در محافظت از فایلها و پوشههای وردپرس نقش بهسزایی را داره
که میتونید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.
افزایش امنیت پوشه wp-admin
پوشه wp-admin هم یکی از مهمترین پوشههای وردپرس هست
که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده داره
که با دسترسی به این پوشه میشه به راحتی با تزریق کدهایی
در فایلهای موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت.
برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.
استفاده از کپچا وردپرس
یکی از راههای حمله به وردپرس با استفاده از تلاش برای ورود در سایت یا ارسال دیدگاه اسپم صورت میگیره
که حتما هم لزومی نداره فرد وارد سایت بشه و بلکه هدف از این کار اینکه که مدام درخواستی به سایت شما ارسال شده
و CPU و منابع هاست شما درگیر میشه و در نهایت سایت از دسترس خارج خواهد شد.
برای جلوگیری از این کار میتونید از کپچا وردپرس استفاده کنید.
دیدگاه ها