ایمنسازی وبسایتهای مبتنی بر وردپرس گاهی اوقات با عنوان مقاومسازی (hardening) شناخته میشوند. هرچند این نامگذاری عجیب به نظر میرسد ولی در کل روندی منطقی را دنبال میکند. برای روشن شدن این موضوع فرآیند اضافه کردن لایههای امنیتی مختلف را میتوانید مانند تجهیز یکخانه یا قلعه به امکانات دفاعی در نظر بگیرید. بهعبارتدیگر امنیت وبسایتهای مبتنی بر وردپرس مانند قفلکردن درها و پنجرهها و داشتن نگهبان بر روی پشتبام یا برجهای قلعه است.
در ادامه برخی از کارهایی که شما برای بهبود امنیت وبسایتهای مبتنی بر وردپرس خود میتوانید انجام دهید را ذکر خواهیم کرد.
انجام تمام بروز رسانیهای وردپرس
بهروزرسانی هرچند در اغلب مواقع یک روش پیشپاافتاده و ساده تصور میشود اما میتواند تأثیرات قابلتوجهی در امنیت وبسایت داشته باشد. توصیه میشود، هر بار که وارد وبسایت شدید و اعلامیه مربوط به در دسترس بودن بهروزرسانی را مشاهده کردید، این عمل را انجام دهید. توجه کنید که پشتیبانگیریهای منظم از دادهها میتواند میزان اطمینان از برگشت آنها را در انتهای عملیات بهروزرسانی مشکلدار بالا ببرد.
در سریعترین زمان ممکن بهروزرسانی های جدید وردپرس خود را اعمال کنید.
افزودن احراز هویت دومرحلهای
یکی دیگر از بهترین روشهای جلوگیری از حملات، راهاندازی یک فرایند احراز هویت دومرحلهای است. اگر شما بر روی حساب کاربری گوگل یا یاهوی خود این امکان را دارید پس بهتر است این فرآیند را برای وبسایت خود که مورداستفاده صدها کاربر است نیز داشته باشید. مکانیسم اعتبارسنجی دومرحلهای به این صورت است که پس از درخواست کلمه عبور، از شما کدی خواسته میشود که به آدرس ایمیل یا تلفن همراه شما ارسالشده است. در اغلب موارد کد مرحله دوم توسط پیامک برای کاربران ارسال میشود که شما میتوانید بر اساس نیاز خود آن را تغییر دهید. برای انجام این کار از ابزارهای جانبی مانند Google Authenticator، Clef یا Duo Two-Factor نیز میتوانید استفاده کنید.
دکمه وحشت: قفلکردن وبسایت
قفلکردن حساب کاربری یک راهکار رایج در هنگامی است که چندین تلاش ناموفق جهت ورود به وبسایت صورت گرفته باشد. این کار میتواند در برابر حملات بیوقفه غیرهوشمند مؤثر باشد. در این حالت هرگاه مهاجم بهدفعات تلاش کند تا با کلمه عبور اشتباه وارد وبسایت شود، وبسایت با نمایش پیغام خطا از دسترس خارجشده و شمارا در جریان این دسترسی غیرمجاز قرار میدهد.
جلوی تلاش ناموفق جهت ورود به وبسایت را برای جلوگیری از حمله Brute Force بگیرید.
همانند قسمت قبل ابزارهای جانبی زیادی برای این کار در دسترس هستند که محبوبترین آنها iThemes Security است که با استفاده از این ابزار میتوانید با تنظیم تعداد دفعات ورود ناموفق، از دسترسی مهاجم از طریق محدود کردن آدرس IP جلوگیری کنید.
استفاده از آدرس Email برای ورود
هنگام تلاش برای ورود به سیستم، شما باید از یک نام کاربری استفاده کنید. پیشنهاد ما استفاده از آدرس Email بهجای نام کاربری است زیرا نام کاربری قابل پیشبینی بوده و امکان هک شدن آن وجود دارد. بهعلاوه حساب کاربری وردپرس نیاز به یک آدرس Email دارد که میتواند یکلایه امنیتی دیگر به سیستم اضافه کند.
استفاده از SSL برای انتقال اطلاعات
SSL یک استاندارد برای ایمنسازی سیستم است که این اطمینان را به شما میدهد که انتقال اطلاعات میان سرور و کاربر بهصورت امن انجام میپذیرد. درمجموع اضافه کردن این قابلیت، شنود اطلاعات توسط مهاجم و هکر را بسیار سخت و غیرممکن میکند. دریافت گواهی SSL بسیار راحت است. شما میتوانید بهصورت جداگانه از یک شرکت مستقل درخواست گواهی SSL کنید و یا حتی از سرویسدهنده خود بخواهید که این قابلیت را به سیستم شما اضافه کنند. در برخی موارد ارائه این گواهی جزئی از پکیج خدماتی شرکتها است.
گواهی SSL نقش مهمی در بالا بردن امتیاز شما در موتور جستوجوی گوگل دارد
تمامی گواهیهای SSL دارای تاریخ انقضا بوده و شما باید برای صدور مجدد آن اقدام کنید. در برخی موارد نیاز است تا بهصورت دستی اقدام به تائید و یا لغو صدور مجدد گواهی کنید و بهتر است برای اطلاع از چگونگی این فرآیند به سرویسدهنده خود مراجعه کنید. درنهایت به این نکته نیز توجه کنید که گواهی SSL نقش مهمی در بالا بردن امتیاز شما در موتور جستوجوی گوگل دارد زیرا سایتهایی که گواهی SSL را دارند امنتر هستند و ترافیک بیشتری را جذب میکنند.
از سیستم وردپرس خود پشتیبان تهیه کنید
قبلاً به این نکته اشاره شد ولی برای اینکه اهمیت این موضوع روشن شود، شما باید عادت کنید تا بهصورت برنامهریزیشده و مرتب اقدام به تهیه پشتیبان از دادههای خود کنید. این موضوع به این دلیل مهم است که اگر به هر دلیلی وبسایت شما موردحمله قرار گرفت شما قادر خواهید بود تا با استفاده از دادههای پشتیبان آخرین نسخه وبسایت خود را مجدداً راهاندازی کنید. برای این کار ابزارهای خودکار بسیاری وجود دارند که ازجمله آنها میتوان به BackupBuddy و VaultPress اشاره نمود. پیشنهاد دیگر استفاده از یک سرویسدهنده مطمئن است که بتواند یکپارچگی و امنیت دادههای پشتیبان را تأمین کند.
محدود کردن استفاده از پلاگینهای وردپرس
هرچند استفاده نکردن از ابزارهای جانبی ممکن است دشوار به نظر برسد اما باید در انتخاب و نصب ابزارهای جانبی بسیار با دقت عمل شود، زیرا تأثیر آنها تنها بر امنیت سیستم نیست و میتواند کارایی و سرعت سیستم را نیز تحت تأثیر قرار دهد. برای مثال، استفاده از تعداد زیادی ابزار جانبی میتواند زمان بارگذاری سیستم را بهشدت افزایش دهد. بنابراین اگر نیازی به ابزار جانبی ندارید بهتر است آن را حذف کنید. درنهایت میتوان گفت هرچقدر تعداد ابزارهای جانبی مورداستفاده در سیستم کمتر باشد تعداد راههای نفوذ مهاجمین نیز کمتر خواهد بود.
هرچقدر تعداد ابزارهای جانبی مورداستفاده در سیستم کمتر باشد تعداد راههای نفوذ مهاجمین نیز کمتر خواهد بود
مخفی کردن نام کاربری نویسنده
هنگامیکه تنظیمات پیشفرض وردپرس را بدون تغییر باقی میگذارید میتوان بهراحتی نام کاربری نویسنده را مشاهده نمود. در اغلب مواقع، نویسنده اصلی سایت همان مدیر سایت نیز هست که مخفی نبودن نام کاربری مدیر میتواند کار را برای مهاجمین بسیار ساده کند. در هر نقطهای که شما اطلاعات خود را به مهاجم تقدیم کنید، احتمال به خطر افتادن سایت شما نیز بالا خواهد رفت. طبق نظر متخصصین یکراه حل مناسب، پنهانسازی نام کاربری نویسنده است. این کار بهسادگی توسط اضافه کردن چند خط کد به سیستم قابل انجام بوده و پس از انجام آن اطلاعات مربوط به نویسنده در صفحات نمایش داده نخواهند شد.
منبع: Security Affairs
