آموزش عمومی

۱۳ گام در جهت بهبود امنیت وردپرس

درحالی‌که وردپرس محبوب‌ترین سیستم مدیریت محتوا تا به امروز تلقی می‌شود، این شهرت با عواقب خاصی نیز همراه است. ازآنجایی‌که از wordpress در بیش از ۳۴ درصد وب‌سایت‌ها در اینترنت استفاده می‌شود، یک هدف خوب برای حملات بدافزار است. تنها در سال ۲۰۱۸، Sucuri گزارش داد که در حدود ۲۳۰۰۰ هزار وب‌سایت wordpress قربانی نقض امنیتی شدند. آیا این بدان معنی است که wordpress سیستم امنیتی بسیار بدی دارد؟ نه، بالعکس! علت اصلی نقض امنیت وب‌سایت، عدم آگاهی کاربران است.

WordPress به‌عنوان یک سیستم مدیریت محتوای معتبر، با انتشار مرتب وصله‌های امنیتی و به‌روزرسانی‌های منظم نرم‌افزار سهم خود را در حفظ امنیت وب‌سایت ایفا می‌کند. باوجوداین، این به‌روزرسانی‌ها تأثیر چندانی نخواهند نداشت مگر اینکه بدانید از آن‌ها چگونه استفاده کنید.

به‌طور خلاصه، شما نقش مهمی در امنیت وب‌سایت خود بازی می‌کنید. حالا که نقش و مسئولیت خود را به‌عنوان مدیر وب‌سایت می‌دانید، وقت آن است که بدانید ‌چه‌کارهایی می‌توانید برای بهبود امنیت وب‌سایت خود انجام دهید. بهترین موارد امنیتی که در زیر ذکرشده است را بررسی کنید و در وب‌سایت خود پیاده‌سازی کنید.

از نام کاربری و کلمه عبور قوی استفاده کنید

وردپرس پسورد

راحت‌ترین راه ممکن، استفاده از اطلاعات کاربری قوی است ولی بسیاری از کاربران به این امر توجه نمی‌کنند. ۲۳.۲ میلیون حساب هنوز از “۱۲۳۴۵۶” به‌عنوان رمز عبور خود استفاده می‌کنند. ازآنجایی‌که نام بسیاری از کاربران، برخی نام‌های متداول مانند “admin” و “administrator” است، مسئله‌ی مشابه برای نام‌های کاربری نیز پیش می‌آید.

استفاده از اطلاعات کاربری ضعیف، باعث می‌شود وب‌سایت شما در برابر حملات brute force آسیب‌پذیر باشد. این نوع از حملات سایبری از رویکرد آزمایش و خطا برای حدس اطلاعات کاربری شما استفاده می‌کنند. درنتیجه بهترین راه جلوگیری از این نوع حملات استفاده از اطلاعات کاربری غیرمعمول است.

اگر شما هم به‌سادگی رمزهای عبور خود را فراموش می‌کنید، می‌توانید از ابزارهایی چون LastPass با زدن یک کلیک کلمه عبور خود را در اختیار داشته باشید. برای نام‌های کاربری نیز می‌توانید شماره‌ها و کاراکترهای خاصی را در کلمات کلیدی گنجانید تا آن‌ها را منحصربه‌فردتر کنید.

پنهان کردن صفحه لاگین

این ترفند کوچک می‌تواند از وب‌سایت وردپرس شما در برابر حملات bruteforce محافظت کند. از افزونه‌ی رایگان  WPS Hide Login برای تغییر URL صفحه‌ی login استفاده کنید.

فعال‌سازی ورود دو عاملی

وردپرس 2FA

زمانی که ورود دوعاملی را برای امنیت وب‌سایت فعال کردید، این فرآیند امنیتی یک‌لایه‌ی محافظتی اضافی ایجاد می‌کند که کاربران را ملزم می‌کند از یک  اپلیکیشن، کد منحصربه‌فردی برای ورود به دست آورند. با پیاده‌سازی آن در وب‌سایت خود، فقط کاربرانی که اطلاعات کاربری و کد درستی دارند می‌توانند در حساب خود وارد شوند.

وردپرس از پلاگین‌های دومرحله‌ای بسیاری پشتیبانی می‌کند. چند مورد از بهترین‌ها عبارت‌اند از : Google Authenticator و Two Factor Authenticationو Two-Factor.

تغییر پیشوند پایگاه داده وردپرس

پایگاه داده‌ی وب‌سایت‌ محبوب‌ترین هدف برای حملات SQLi است. این نوع از حملات سایبری پایگاه داده را مجبور به اجرای کد مخرب می‌کند و به هکرها اجازه می‎دهد که داده را بدون محدودیت تغییر دهند یا حذف کنند. تا زمانی که  ۸۰% حمله های سایبری به‌صورت SQLi هستند شما نباید از این تهدید به‌سادگی بگذرید.

یکی از عواملی که پایگاه داده‌ی شما را در معرض حملات تزریق SQLi قرار می‌دهد، استفاده از پیشوند اولیه _wp است. استفاده از یک پایگاه داده‌ی قابل پیش‌بینی باعث می‌شود پیشوند به هکرها اجازه دهد تا نام جدول شما را حدس بزنند و به پایگاه داده شما دسترسی پیدا کنند. بنابراین اکیداً توصیه می‌شود آن را تغییر دهید.

غیرفعال کردن گزارش خطا در php

وردپرس خطا

عملکرد گزارش خطای php به شما کمک می‌کند خطاها را خیلی سریع‌تر در پرونده‌های php قرار دهید اما به دیگران اجازه می‌دهد تا آسیب‌پذیری سایت شما را ببینند، بنابراین به شما توصیه می‌کنیم این امکان را به‌طورکلی غیرفعال کنید.

وردپرس به‌طور پیش‌فرض عملکرد گزارش خطا را غیرفعال می‌کند. اگر فعال شد باید با تغییر فایل wp-config.php آن را به‌صورت دستی غیرفعال کنید. بعضی از ارائه‌دهنده‌های میزبانی وب به شما این امکان را می‌دهند که این تنظیمات را از طریق کنترل پنل آن‌ها مدیریت کنید.

وردپرس را به‌روز نگه دارید

برای آمادگی نسبت به حملات سایبری وردپرس به‌صورت منظم به‌روزرسانی منتشر می‌کند. این به‌روزرسانی‌ها فقط مربوط به هسته‌ی وردپرس نیست بلکه پلاگین ها و تم‌ها را نیز شامل می‌شود.

وردپرس به‌طور خودکار به‌روزرسانی‌های جزئی را پیاده‌سازی می‌کند، اما شما باید به‌روزرسانی‌های کلی را به‌صورت دستی انجام دهید. پس حتماً به دنبال به‌روزرسانی‌های جدید در بخش به‌روزرسانی در پنل مدیریت خود باشید تا از آسیب‌پذیری‌های امنیتی در وب‌سایت خود جلوگیری کنید. همچنین با افزونه‌ی رایگان  Easy Updates Manager می‌توانید چگونگی به‌روزرسانی هسته وردپرس و افزونه‌ها را کنترل کنید.

غیرفعال کردن Directory Browsing

امکان Directory browsing  می‌تواند دسترسی سریعی به ساختارهای سایت بدهد. اگر دیگران نیز بتوانند به آن دسترسی پیدا کنند، می‌تواند خطرآفرین باشد. هکرها اغلب از آن برای پیدا کردن فایل‌های آسیب‌پذیر، افزونه‌ها و تم‌ها استفاده کرده و سپس از آن‌ها برای دسترسی به وب‌سایت شما استفاده می‌کنند. اگر میزبان وب‌سایت شما یک هاست اشتراکی پولی است احتمالاً لازم نیست نگران باشید زیرا از وب‌سایت شما مواظبت‌های لازم صورت خواهد گرفت.

حذف شماره نسخه وردپرس

عمومی کردن نسخه وردپرس برای امنیت وب‌سایت شما مشکل ساز خواهد شد. نسخه وردپرس به‌طور پیش‌فرض در سمت راست و پایین صفحه‌ی پنل مدیریت و page source قابل مشاهده است. همچنین در CSS، RSS و اسکریپت سایت دیده می‌شود.

غیرفعال‌سازی ویرایش فایل

ویرایشگر فایل داخلی وردپرس به شما اجازه می‌دهد افزونه‌ها و اسکریپت‌های مربوط به تم وب‌سایت را به‌راحتی تغییر دهید. بااین‌وجود این  ویژگی می‌تواند وب‌سایت شما را به خطر بیندازد و از سمت هکرها برای شما خطرساز باشد. به همین دلیل بهتر است ویرایشگر فایل را به‌طورکلی غیرفعال کنید. می‌توانید این کار را با اضافه کردن خطر زیر در wp-config.php انجام دهید:

define('DISALLOW_FILE_EDIT', true);

تهیه نسخه پشتیبان به‌صورت منظم

تهیه‎ی نسخه‌ی پشتیبان به‌اندازه‌ی امن سازی وب‌سایت مهم است. در بدترین حالت پشتیبان‌ها می‌توانند از بازسازی مجدد کلی وب‌سایت جلوگیری کنند. این روند ممکن است خسته‌کننده به نظر برسد اما افزونه‌های پشتیبانی مانند VaultPress و BlogVault این کار را بدون دردسر انجام می‌دهند.

نکته مهم : از افزونه‌ای استفاده کنید که دارای ویژگی پشتیبان‌گیری خودکار است تا هم در صرف زمان صرفه‌جویی کنید و بتوانید از طولانی شدن دوره پشتیبان گیری جلوگیری کنید.

اگر علاقه‌ای به استفاده تعداد افزونه‌های زیاد ندارید پس بهتر است از  iThemes Security Pro استفاده کنید که تمام موارد ذکرشده در بالا را پوشش می‌دهد.

جلوگیری از spam و SEO منفی

اگر شما یک سایت پرطرفدار را اداره می‌کنید و سیستم پیشگیری از spam مناسب را ندارید، ممکن است هرروز هزاران spam را جذب کنید.

داشتن spam بیش‌ازحد برای SEO و UX بد است. تصور کنید شما صدها نظر بی‌ربط در یک پست وبلاگ دارید. با CleanTalk anti-spam به اسپم نه بگویید!

از WAF استفاده کنید

یکی از بهترین سرمایه‌گذاری‌هایی که می‌توانید برای تأمین امنیت سایت خود انجام دهید استفاده از  (Web Application Firewall) WAF است.

WAF کمک می‌کند تا سایت شما از ده آسیب‌پذیری برتر OWASP، نقص‌های امنیتی شناخته‌شده و ناشناخته، کد مخرب، حملات DDoS و … محافظت شود.

مدیریت افزونه‌ها

یکی از نقاط قوت wordpress مجموعه‌ی وسیع افزونه‌ها و تم‌های آن است. درواقع افزونه‌ها و تم‌های وب‌سایت وردپرس بزرگ‌ترین منبعی است که می‌تواند وب‌سایت شما را در معرض خطر قرار دهد.پس شما باید انتخاب هوشمندانه و محتاطانه‌ای داشته باشید.

آسان‌ترین راه برای جلوگیری از دسترسی هکرها به وب‌سایت شما از طریق نرم‌افزار معیوب، استفاده از افزونه‌ها و زمینه‌های وب‌سایت با رتبه‌بندی بالا و دارای نظرات عالی است. این‌ها شاخصه‌های مهمی هستند که به شما اطمینان می‌دهند که ابزار مورداستفاده شما به‌خوبی بررسی‌شده و از نظر عملکرد به‌درستی کار می‌کند. به‌علاوه اطمینان حاصل کنید که به‌صورت منظم به‌روزرسانی‌ها را چک می‌کنید تا کارایی را بهبود ببخشید.

جمع بندی

تا زمانی که تهدیدات سایبری در سراسر جهان از بین نروند، امن نگه‌داشتن وب‌سایت وردپرس شما از خطرات احتمالی اهمیت خواهد داشت. خوشبختانه هنوز بسیاری از راه‌های حفظ امنیت ساده هستند و شما می‌توانید با استفاده از آن‌ها به‌راحتی امنیت وب‌سایت خود را تا حد قابل قبولی بالا ببرید.

این مقاله ثابت می‌کند شما نیازی به بودجه زیاد یا اطلاع از تکنیک‌های سخت برای اجرای چندی از بهترین راه‌های حفظ امنیت ندارید. تبریک حالا شما برای بالا بردن امنیت وب‌سایت خود آماده هستید.

۱۳ گام در جهت بهبود امنیت وردپرس