امروزه امنیت یکی از مسائل اصلی در خصوص استفاده از سیستم های بلاگ و وب سایت ها است ، از این بابت مطمئن هستم باور کنید از خودم این موضوع را در نیاورده ام و امنیت مهم است ( این یعنی خیلی تاکید دارم امنیت مهم هست و خیلی هم مثلا شما این مسئله رو نمیدونید D: ) . همانطور که می دانید هک شدن یک سیستم بلاگ یا وب سایتی که دارای محتوا و ترافیک خوبی است خیلی وحشتناک است و متاسفانه این مورد از تجربیات شخصی من هم بوده است. با اینکه روش های زیادی برای بازگرداندن وب سایت ها و وبلاگ های هک شده به حالت اولشان وجود دارد اما بهترین راهکار همیشه راهکار پیشگیری کننده است و به قول پزشکان همیشه پیشگیری بهتر از درمان است. در این آموزش می خواهیم به شما روش های معمول امن کردن سیستم بلاگ وردپرس را آموزش بدهیم تا بتوانید تا جای ممکن این سیستم را در بدو نصب تا حد امکان امن کنید بنابراین نکات زیر را بعد از نصب Wordpress بر روی آن انجام دهید :
1. صفحه ی ورود به مدیریت وردپرس را تغییر دهید
اولین کاری که بعد از نصب وردپرس باید انجام دهید ، تغییر صفحه ورود به مدیریت وردپرس می باشد ، همانطور که می دانید بصورت پیشفرض صفحه ورود وردپرس wp-login.php می باشد که این صفحه را می توانید با افزونه های امنیتی به نام دیگری تغییر دهید ، برای مثال میتوانید از افزونه Lockdown WP Admin استفاده کنید
نکته : قبل از هر تغییری از اطلاعات هاست و سرور خود بکاپ تهیه کنید.
2. همه چیز را بروزرسانی کنید
هر نسخه جدید وردپرس شامل مواردی میباشد که آسیب پذیری های موجود در نسخه قبلی وردپرس را رفع می کند ، در صورتیکه وردپرس خود را آپدیت نکرده اید ، سایت شما در معرض حمله هکرها قرار دارد و هر لحظه ممکن است سایت شما هک شود. بسیاری از هکرها عمدتا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “ لطفا به روز رسانی کنید ” چشم پوشی نکنید.
این بروزرسانی در مورد پلاگین ها و پوسته ها نیز صادق است و همواره باید به جدیدترین نسخه آپدیت شوند.
3. از پسوردهای پیچیده استفاده کنید
طبق آمار منتشر شده بیش از 8 درصد سایت های وردپرسی بدلیل ضعیف بودن پسوردهایشان هک شده اند . این موضوع و آمار منتشر شده اهمیت استفاده از پسوردهای پیچیده را دو چندان می کند.
پیشنهاد می شود همواره از پسوردهایی شامل اعداد ، حروف و کارکترهای مجاز استفاده کنید ، در صورتی که نگران فراموش کردن پسوردهای خود هستید میتوانید از نرم افزار keepass جهت نگهداری پسورد استفاده کنید.
4. جلوگیری از تلاش برای ورود به مدیریت سایت
در حالت عادی هنگامی که چندین بار پسورد را اشتباه وارد می کنید مشکلی ایجاد نشده و وردپرس محدویتی برای ورود اعمال نمی کند. یکی از روش های نفوذ که از این مورد سوء استفاده می کند brute force می باشد ، در این روش فرد مهاجم با استفاده از روش brute force به دفعات بسیار زیاد پسوردهای مختلف را بر روی صفحه لاگین وردپرس ، تست می کند تا انجا که بتواند پسورد صحیح را تشخیص دهد.
جهت قرار دادن محدودیت تعداد لاگین های اشتباه از افزونه هایی مانند Limit Login Attempts استفاده نمایید. در این افزونه می توانید تنظیم کنید که هر کاربر محدودیت تعداد تلاش برای ورود داشته باشد و در صورتیکه موفق به ورود نشد، وردپرس اجازه تلاش مجدد را به وی ندهد.
همچنین می توانید با استفاده از افزونه های موجود از ورود دو مرحله ای برای وردپرس استفاده کنید. که در مرحله دوم ، کد ورود با پیام کوتاه برای کاربری ارسال می شود.
5. غیرفعال کردن ویرایش فایل ها از طریق داشبورد
در صورتی که هکری با هر روشی به پنل مدیریت سایت شما وارد شود میتواند به راحتی از طریق ویرایش فایل در داشبورد وردپرس هر کدی را اجرا کند. برای جلوگیری از این روش ، میتوانید ویرایش فایل ها را با اضافه کردن کد زیر به فایل wp-config.php خود، غیر فعال کنید:
define( ‘DISALLOW_FILE_EDIT’, true );
6. سعی کنید از پوسته های و افزونه های رایگان استفاده نکنید
از پوسته ها و افزونه های رایگان که توسط سایت های نامعتبر منتشر می شوند استفاده نکنید و سعی کنید حتی المکان نسخه اصلی پوسته ها و افزونه ها را خریداری و استفاده کنید ، در بیشتر قالب ها و افزونه های رایگان کدهای مخربی وجود دارد که هکرها براحتی می توانند با استفاده آنها به سایت شما نفوذ کنند. همچنین در صورتی که امکان خرید نسخه اصلی پوسته و پلاگین را ندارید می توانید از سایت های معتبر پوسته ها و افزونه های رایگان را دریافت کنید. مخزن وردپرس نیز منبع امنی برای دریافت افزونه های موردنیاز شما می باشد.
توصیه می شود افزونه ها و پوسته هایی که از آنها استفاده نمی کنید را حذف نمایید.
7. حذف پیغام خطا در صفحه ی ورود
در صورتی که یوزر را صحیح وارد کرده باشید و پسورد را اشتباه وارد کنید ، وردپرس پیامی را با عنوان ( رمز وارد شده برای نام کاربری ... اشتباه است ) به شما نمایش می دهد ، با این پیام هکر متوجه می شود 50 درصد از راه را درست رفته است و تلاش می کند پسورد را نیز بدست آورد. جهت جلوگیری از نمایش این پیام کد زیر را به فایل Functions.php قالب وردپرس خودتون اضافه کنید تا دیگر این پیغام خطا نمایش داده نشود.
add_filter('login_errors',create_function('$a', "return null;"));
8. استفاده از افزونه های فایروال و امنیتی
استفاده از افزونه های امنیتی و فایروال می تواند بسیاری از مواردی که قبلا به آنها اشاره شد را رفع نماید پنل مدیریت سایت شما را در مقابل حملات و نفوذ مقاوم کند.
9.نسخه پشتیبان را فراموش نکنید
همواره از هاست خود نسخه پشتیبان تهیه کنید و فایل بکاپ را در خارج از سرور نگهداری نمایید تا در صورت مشاهده مشکل بتوانید اطلاعات سایت را بازگردانی نمایید. حتی اگر بهترین تدابیر امنیتی را در اختیار داشته باشید، هیچ وقت نمی دانید که چه وقت اتفاق غیر منتظره ای رخ خواهد داد که ممکن است سایت شما را برای یک حمله آماده کند.
10. از فایل wp-config.php محافظت کنید
فایل wp-config.php شامل اطلاعات دیتابیس و دیگر اطلاعات محرمانه وردپرس و سایت شما می باشد با استفاده از کد زیر میتوانید از این فایل محافظت کنید. برای این منظور کد زیر را در فایل .htaccess قرار دهید
<Files wp-config.php>
order allow,deny
deny from all
</Files>
همچنین می توانید فایل wp-config.php را به یک فولدر بالا تر از public_html هاست انتقال دهید. نگران نباشید ، وردپرس مکان فایل در هاست را پیدا می کند و مشکلی برای سایت شما ایجاد نمی شود.
فایل .htaccess را نیز می توانید با روش فوق از دسترس خارج نمایید:
<Files .htaccess>
order allow,deny
deny from all
</Files>
11. جلوگیری از مرور دایرکتوری سایت توسط کاربران
کاربران با مرور دایرکتوری سایت شما می توانند به فایل های موجود در هاست شما دسترسی داشته باشند. به طور پیش فرض امکان مرور دایرکتوری روی اکثر هاست ها فعال می باشد. برای جلوگیری از مرور دایرکتوری سایت خود کافیست کد زیر را در فایل htaccess قرار دهید.
Options -Indexes
12. نمایش عمومی نامتان را در وردپرس تغییر دهید.
وردپرس به صورت پیشفرض نام کاربری شما (که مدیر هستید) را در نوشته ها به نمایش میگذارد. این مورد از لحاظ امنیتی صحیح نمی باشد و هکرها براحتی می توانند با مشاهده این ادرس به نام کاربری پنل مدیریت سایت دسترسی داشته باشند. جهت رفع این مشکل کافی است در وردپرس به شناسنامه تان مراجعه کنید و با وارد کردن نام و نام خانوادگیتان در این بخش، نمایش عمومی نامتان را از نام کاربری به نام / نام خانوادگی یا لقبتان تغییر دهید.
13. بروی پوشه wp-admin پسورد قرار دهید
در صورتیکه بر روی پوشه wp-admin پسورد قرار دهید ، برای مشاهده صفحه لاگین می بایست پسورد wp-admin را نیز وارد کنید ، در اینصورت هکرها به راحتی نمی توانند وارد صفحه لاگین وردپرس شوند. از آموزش زیر جهت پسورد گذاری بروی پوشه ها در هاست میتوانید استفاده کنید:
14. از CAPTCHA استفاده کنید:
کاربران زیادی هستند که از CAPTCHA استفاده نمی کنند و یا اینکه آشنایی با آن ندارند. به تمامی کاربرانی که از وردپرس استفاده می کنند توصیه می شود از کد CAPTCHA در بخش های مختلف سایت مانند صفحه ورود به پنل مدیریت ، بخش نظرات و فرم های مختلف استفاده نمایند.
