راهنمای کامل امنیت وردپرس

نویسنده : سید ایوب کوکبی ۲ فروردین ۱۳۹۷

راهنمای کامل امنیت وردپرس

هکرها هم به سایت‌های کوچک وردپرس و هم بزرگ حمله می‌کنند. طبق بررسی‌ها، هر دقیقه در حدود ۹۰۹۷۸ حمله صورت می‌گیرد. خوشبختانه راه‌های بیشماری برای حفظ امنیت وردپرس وجود دارد که در این مقاله قصد بررسی‌شان را داریم. این مطلب تکنیک‌های ابتدایی و پیشرفته‌ای جهت برقراری امنیت وردپرس شرح خواهد داد. خواهید آموخت که چگونه سایت وردپرسی خود را جهت بررسی نقاط ضعف امنیتی مورد بررسی قرار دهید؛ چگونه هکرها امنیت وبسایتها را به خطر می‌اندازند و با افزونه‌های امنیتی مهم آشنا شوید.

راهنمای کامل امنیت وردپرس

فهرست مطالب این مقاله به شرح ذیل است:

  • آیا وردپرس ایمن است؟
  • هکرها چگونه امنیت وبسایتها را با خطر مواجه می‌کنند؟
  • تکنیک‌های امنیتی پایه و مناسب برای حفظ امنیت وردپرس
  • تامین امنیت وردپرس از طریق مبهم سازی
  • بهترین راهکارهای امنیتی وردپرس
  • تعمیر سایتهای هک شده
  • برقراری امنیت وردپرس با استفاده از پلاگین‌ها

همانطور که عنوان این پست نشان می‌دهد، این یکی از کامل‌ترین راهنماهایی است که در مورد امنیت وردپرس پیدا خواهید کرد. بنابراین توصیه می‌کنیم این صفحه را بوکمارک کرده تا در آینده با هر بحثی در حوزه امنیت  وردپرس مواجه شدید سری به این مقاله بزنید.

آیا وردپرس ایمن است؟

با توجه به حملات مداوم هکرها به سایت‌های وردپرسی می‌توان گفت یکی از امن‌ترین سیستم‌های مدیریت محتواست. این CMS ذاتا امن طراحی شده است البته امنیت، مطلق نیست و باید احتیاط کنید! تیم توسعه دهنده وردپرس به سختی بر روی باگ‌های امنیتی این سیستم کار کرده و همواره تلاش دارند هر نوع تهدید امنیتی که هسته وردپرس را با خطر مواجه می‌کند خنثی کنند. بخش عمده آپدیت‌های وردپرس مربوط به رفع نقص‌های امنیتی و کارایی آن است که به صورت مرتب ارائه می‌شوند. در حقیقت از زمان عرضه اولین نسخه وردپرس تا کنون بیش از ۲۴۵۰ آسیب‌پذیری امنیتی شناسایی و برطرف شده است. سرعت رفع این آسیب‌پذیری‌ها گاهی اوقات بسیار پایین بوده و رکورددار ارائه وصله‌های امنیتی زیر ۴۰ دقیقه از آن وردپرس بوده است.

وردپرس امن است به این شرط که هسته آن را بروز نگه دارید. خوشبختانه این سیستم قابلیتی را فراهم کرده است که با استفاده از آن، بروزرسانی‌های جدید به صورت خودکار و یا با چند کلیک انحام می‌گیرد. البته اگر پیش از برورسانی قصد داشته باشید تست سازگاری انجام دهید می‌توانید این قابلیت را غیرفعال کنید. اگر قرار باشد تنها یک تکنیک امنیتی را انجام دهید، آن چیزی نیست جزء بروز نگه داشتن وردپرس. در واقع این کار در صدر ترفندهای برقراری امنیت وردپرس قرار دارد. سایر روش‌ها اینقدر اهمیت ندارند.

چرا سایت شما یک طعمه برای هکرهاست؟

وردپرس ایمن است اما ذکر این نکته لازم است که تقریبا همه سایت‌ها چه سایت‌های بزرگ تجاری، چه سایتی که به تازگی راه‌اندازی کرده‌اید، چه سایتی که هیچ محتوا و ترافیکی ندارد و چه سایتی که به لحاظ امنیتی همه تکنیک‌ها را رعایت کرده باشد از شر هکرها مصون نیستند و می‌توانند جزء اهداف حملات آن‌ها باشند. به صورت کلی هدف هکرها از حمله به یک سایت دو چیز بیشتر نیست: پول یا ایجاد اخلال سیاسی و اجتماعی (اصطلاحا هکتیویسم). در گزارشی متعلق به انجمن اقتصادی آمریکا آمده است که کسب‌وکارها و مصرف‌کنندگان سالانه بیش از ۲۰ میلیون دلار به خاطر اسپم ضرر می‌کنند. برای اساس گزارش سال ۲۰۱۶ توسط Sucuri، صد در صد وبسایت‌های نمونه‌برداری شده با اهداف مالی هک شده‌اند که البته ۴ درصد از این با اهداف سیاسی نیز همراه بوده‌اند.

وردپرس یک سیستم مدیریت محتوای محبوب است و بسیاری از سایتها از آن استفاده می‌کنند. هکرها با ساخت یک برنامه (تحت عنوان ربات) به صورت خودکار صدها هزار سایت وردپرسی را به صورت همزمان برای یافتن حفره‌های امنیتی اسکن می‌کنند. در واقع با اسکن تعداد بالاتری از سایت‌ها، شانس موفقیت هکر بالاتر می‌رود. به همین دلیل است که هر سایت وردپرسی که گیرشان بیفتند شانس خود را برای نفوذ به آن امتحان می‌کنند.

از آنجایی که طبق گزارش W3Techs، بیش از ۲۸ درصد سایت‌ها از وردپرس استفاده می‌کنند میلیون‌ها سایت وجود دارند که هکرها می‌توانند برای نفوذ به آن‌ها خوشبین باشند. این رقم در میان سایر CMS ها بسیار بالاست طوری که طبق آمارهای مختلف، وردپرس محبوبترین و پراستفاده‌ترین سیستم مدیریت محتوا لقب گرفته است. سایت‌های کوچک مورد حمله هکرها قرار می‌گیرند چون در بیشتر اوقات صاحبین این سایت‌ها فکر نمی‌کنند جزء گزینه‌های هک باشند. همین موضوع باعث شده تا بخش زیادی از سایت‌های هک شده مربوط به این دسته باشد. سایت‌های بزرگ هم به خاطر ترافیک و مخاطبان بیشتر قطعا از اهداف اصلی حملات هکرها هستند.

با وجود امنیت بالای وردپرس در سایت‌هایی که بروز نگه داشته می‌شوند ولی باز هم امنیت صد در صد نیست، گاهی اوقات آپدیت‌های امنیتی وردپرس خود باعث بروز مشکلات امنیتی دیگری می‌شوند. به عنوان مثال پچ امنیتی وردپرس ۴٫۷٫۳ که برای رفع ۶ آسیب‌پذیری XSS ارائه شده بود به هکرها اجازه می‌داد تا کدهای آلوده خود را به سایت‌های وردپرس تزریق کنند. همین نقیصه باعث شد تا ۱٫۵ میلیون سایت تحت تاثیر حملات هکرها قرار بگیرند. به گزارش Sucuri بیش از ۶۷ هزار سایت به خاطر حفره‌های امنیتی یافت شده هک شدند. از سویی با انتشار هر وصله امنیتی جدید، بیش از ۱ میلیون سایت فورا بروزرسانی نمی‌شوند که همین موضوع باعث می‌شود تا در معرض خطر قرار بگیرند.

هکرها چگونه امنیت سایت‌ها را به خطر می‌اندازند؟

هنگام نوشتن کد، بعید است طوری کدنویسی کنید که هیچگونه حفره امنیتی بر جای نگذارید. هکرها پس از یافتن این آسیب‌پذیری‌ها از آن سوء استفاده کرده و با اکسپلویت نویسی برای سایت هدف تلاش خود را برای نفوذ به آن به کار می‌گیرند. البته هک شدن سایت‌ها همیشه به خاطر حفره‌های امنیتی نیست. گاهی اوقات خطاهای انسانی مثلا استفاده از یک رمز عبور ساده یا استفاده از یک هاست ضعیف می‌تواند عامل هک شدن سایت باشد.

تعدادی از آسیب‌پذیری‌های بالقوه وردپرس:

  • تزریق به دیتابیس (SQL Injection : SQLI) : زمانی رخ می‌دهد که کوئری‌های SQL از طریق آدرس سایت اجرا می‌شوند.
  • تزریق اسکرپیت از طریق سایت (Cross-site Scripting : XSS) : یک هکر می‌تواند کد آلوده را حتی از طریق یک فیلد ورودی بر روی سایت اجرا کند.
  • آپلود فایل : یک فایل آلوده بدون مجوز بر روی سرور بارگذاری می‌شود.
  • حملات جعل درخواست فرا وبگاهی (Cross-Site Request Forgery : CSRF ) : کد یا رشته‌ای که از طریق آدرس سایت اجرا می‌شود.
  • حملات جستجوی فراگیر (Brute Force) : سعی در نفوذ به یک سایت با حدس زدن نام کاربری و رمز عبور
  • حملات محروم سازی از سرویس (Denial of Service : Dos/DDoS): وقتی سایتی به خاطر سرازیر شدن درخواست‌های زیاد با مشکل مواجه می‌شود. این تعریف حملات Dos بود. نوع دیگری از حمله تحت عنوان DDoS نیز وجود دارد که ترافیک ورودی توسط منابع مختلفی (مثلا کامپیوترهای آلوده یا روترها) تامین می‌شود.
  • Open Redirect (هدایت باز): زمانی رخ می‌دهد که صفحه سایت به صورت خودکار به صفحه دیگری که معمولا اسپم یا یک سایت پیشینگ است ریدایرکت می‌شود.
  • پیشینگ (جعل هویت): سایتی که ظاهرش شبیه سایت اصلی است ولی چیزی نیست جزء صفحه‌ای برای سرقت اطلاعات ورودی کاربران. نمونه آن پیشینگ صفحات پرداخت بانکی جهت دزدیدن اطلاعات کارت بانکی.
  • بدافزار: یک اسکریپت یا برنامه آلوده با هدف آلوده کردن یک سایت یا سیستم
  • نفوذ به فایلهای محلی (LFI): مهاجم قادر است برنامه ریزی کند چه قایلی طبق زمان بندی بر روی CMS یا وب اپلیکیشن اجرا شود.
  • دور زدن احراز هویت: یک حفره امنیتی به هکر اجازه می‌دهد تا با گول زدن سیستم احراز هویت در سایت لاگین کند.
  • افشای مسیر کامل (FPD یا Full Path Disclosure) : وقتی مسیر ریشه سایت آشکار می‌شود مثلا زمانی که فعال بودن Directory Listing باعث بروز خطاها و هشدارهای برای امنیت وردپرس می‌شود.
  • شمارش کاربران: تشخیص نام کاربری معتبر برای حملات بروت فورس در آینده با اضافه کردن یک رشته به انتهای آدرس سایت به منظور درخواست آی دی کاربر که ممکن است نام کاربری معتبری را بازگرداند.
  • حملات XML External Entity (یا XXE): یک ورودی XML که به یک مدخل خارجی ارجاع داده باشد و با یک پارزر ضعیف پردازش شود میتواند باعث آشکار شدن ناخواسته اطلاعات شود.
  • دور زدن امنیت:  همانند دور زدن احراز هویت است با این تفاوت که هکر می‌تواند سیستم امنیت فعلی را دور بزند تا به بخشهایی از سایت دست یابد.
  • اجرای کد از راه دور (Remote Code Execution: RCE): هکر می‌تواند از سیستم دیگری کدهای آلوده را بر روی ماشین یا سایت شما اجرا کند.
  • حملات آشکارسازی فایل به صورت ریموت ( Remote File Inclusion: RFI): اکسپلویت کردن یک اسکریپت خارجی روی سایت به منظور آماده‌سازی آن جهت آپلود بدافزار از یک سیستم دیگر.
  •  جعل درخواست سمت سرور (Server Side Request Forgery:SSRF): وقتی هکر کنترل یک سرور را به صورت جزئی یا کامل به دست بگیرد تا درخواست‌هایش را به صورت ریموت اجرا کند.
  • حملات پیمایش دایرکتوری: حالتی است که پروتکل HTTP اکسپلویت می‌شود تا به دایرکتوری سایت دسترسی پیدا کرده و دستورات مورد نظر را خارج از دایرکتوری ریشه سرور اجرا کند.

لیست بالا شامل همه آسیب‌پذیری‌های وردپرس نمی‌شود اما قطعا رایج‌ترین روش‌های اکسپلویت سایت هستند که معمولا با ربات‌های هک انجام می‌شود. گاهی اوقات ممکن است چندین آسیب‌پذیری به صورت همزمان بر روی سایت اجرا شود. بر اساس گزارش Worldfence و همچنین WP WhiteSecurity حملات XSS، SQLI و File Upload رایج‌ترین روش‌های هک سایت بوده‌اند. جالب است بدانید افزونه‌هایی که به درستی کدنویسی نشده‌اند به تنها عامل ۵۴% از این حملات بوده‌اند که در رتبه‌های بعدی، آسیب‌پذیری‌های هسته وردپرس و کدهای پوسته به عنوان مقصران اصلی حملات شناخته می‌شود.

همچنین طبق گزارش‌ها بیش از ۷۳% سایت‌های وردپرسی به خاطر آسیب‌پذیری‌های موجود در معرض خطر قرار دارند. همه این آمارها به خوبی نشان می‌دهد که امنیت وردپرس موضوع شوخی برداری نیست و باید جدی گرفته شود. خوشبختانه روش‌های زیادی وجود دارد که با رعایت آن می‌توان امنیت وردپرس را تا حد بالایی تامین کرد. این راه‌حل‌ها گاهی اوقات ابتدایی و ساده و در بعضی از موارد پیچیده و تخصصی بوده که در ادامه قصد داریم با رویکردی آسان به سخت این راهکارها را ارائه دهیم.

بخوانید  وردپرس را مخفی کنید

گام‌های ابتدایی برای تامین امنیت وردپرس

امنیت کامپیوتر شما به اندازه امنیت سایتتان مهم است. ویروس‌ها و بدافزارها با آلوده‌سازی کامپیوتر نه‌تنها سایت شما بلکه صدها یا هزاران سایت وردپرسی دیگر را نیز در معرض خطر قرار می‌دهند. راه‌های مختلفی برای اطمینان از ایمن بودن سیستم شما وجود دارد که در پایین فهرستی از تکنیک‌ها برای ایمنی کامپیوتر و حفظ امنیت وردپرس ارائه شده‌اند:

  1. یک آنتی‌ویروس بر روی کامپیوتر نصب کنید. مطمئن باشید که آنتی‌ویروس قادر به حذف خودکار تهدیدهای امنیتی باشد و همواره آن را بروز نگه دارید.
  2. با یک برنامه منظم به صورت دوره‌ای، سیستم را اسکن نموده تا خیالتان از بابت پاک بودن آن راحت باشد.
  3. یک فایروال نصب کنید و در صورتی که سیستم عامل یا آنتی‌ویروس شما دارای فایروال است، فعالش کنید.
  4. به هیچ عنوان از وای فای عمومی و یا کافی نت به داشبورد خود در وردپرس لاگین نکنید. ممکن است اطلاعات لاگین توسط شخص دیگری ردیابی و ثبت و ضبط شود.
  5. از طریق کانکشن‌های غیر ایمن اینترنت به حساب وردپرسی خود لاگین نکنید.
  6. از یک هاست مطمئن و قابل اعتماد که سابقه خوبی در تامین امنیت دارد استفاده کنید. به هر هاستی اعتماد نکنید.
  7. از رمزهای عبور قوی استفاده کنید و با استفاده از پلاگین‌های امنیتی نظیر Wordfence کاربران خود را نیز وادار به استفاده از رمزهای  قوی کنید.
  8. اجازه ندهید کاربران به سایت شما فایل آپلود کنند چرا که هکرها می‌توانند فایلهای آلوده ارسال کنند. این اتفاق برای ارسال تصاویر مثلا تصویر آواتار هم اتفاق می‌افتد. به عنوان مثال هکر می‌تواند یک فایل شبه تصویر name.jpg.php را به سایت ارسال کند.
  9. به جای پروتکل غیرایمن FTP از FTPS استفاده کنید تا در معرض کنترل یا مانیتور شدن قرار نگیرید.
  10. و یا می‌توانید از پروتکل SSH (یا SFTP) به جای FTP استفاده کنید.
  11. فقط به افرادی که از آن‌ها مطمئن هستید دسترسی ادمین بدهید.
  12. همچنین فقط به کاربران مطمئن نقش ویرایشگر را بدهید.
  13. یک پلاگین امنیتی خوب مثل Defender نصب کنید.
  14. قابلیت audit logging را در افزونه Defender فعال کنید تا بتوانید فعالیت نویسنده‌ها، ویرایشگرها، سایر ادمین‌ها، کاربران و هکرها را مانیتور کنید.
  15. تنها به افراد مطمئن اجازه دسترسی به اکانت هاستینگ خود را بدهید و یا بهتر از آن هیچگاه دسترسی به اکانت هاستینگ ندهید مگر زمانی که ضرورت داشته باشد. حتی در شرایط نیاز هم یک اکانت محدود برای آن‌ها درست کنید و فقط دسترسی به قسمت‌های لازم را در اختیارشان قرار دهید.
  16. به هیچ عنوان اطلاعات FTP را در اختیار افرادی که نمی‌شناسید قرار ندهید.
  17. در صورتی که فعلا از FTPS/FTP استفاده نمی‌کنید، هر نوع اکانت فعالی را حذف کرده و یا این قابلیت را تا استفاده مجدد غیرفعال کنید تا اطلاعات اتصال سرقت نشود.
  18. به صورت مرتب و طبق برنامه از سایت خود بکاپ بگیرید.
  19. بکاپ‌های گرفته شده را برای اطمینان از سلامتی و کارکرد آن‌ها تست کنید.
  20. از بکاپ‌ها هم بکاپ بگیرید. بالاخره ممکن است برای بکاپ‌هایی که چشم امید شما به آن‌هاست اتفاق ناگواری رخ دهد.
  21. همیشه وردپرس را بروز نگه دارید.
  22. همچنین تمام افزونه‌ها، تم‌ها و اسکریپت‌ها نیز باید بروز نگه داشته شوند.
  23. کدهای پلاگین، پوسته و اسکریپتها را چک کنید تا از خوب نوشته شدن آن مطمئن شوید. به نظرات سایرین توجه کنید و مشکلاتی که با گذشت زمان زیادی هنوز برطرف نشده‌اند را دریابید.
  24. همواره در جریان جدیدترین خبرهای وردپرس باشید تا از جدیدترین مسائل امنیتی آن مطلع باشید.
  25. به هیچ عنوان از افزونه‌ها، تم‌ها و اسکریپت‌هایی که مشکلات امنیتی شناخته‌شده‌ای دارند استفاده نکنید. این‌ها را حذف کنید و به توسعه دهنده هم خبر بدهید.
  26. قبل از نصب و فعال‌سازی افزونه‌ها، اسکریپت‌ها و تم‌ها بر روی سایت اصلی، آن‌ها را در یک محیط آزمایشی تست کنید.
  27. برای مصون شدن از حملات DoS و DDoS از شبکه‌های تحویل محتوا (CDN) استفاده کنید.
  28. از پروتکل SSL استفاده کنید.

موارد بیان شده تنها آغاز راه هستند. هرچقدر بتوانید تعداد بیشتری از این تکنیک‌ها را به کار ببندید امنیت بالاتری خواهید داشت.

تامین امنیت وردپرس از طریق مبهم‌سازی

اگر این سوال را از هر توسعه‌دهنده وردپرسی بپرسید با این پاسخ روبرو می‌شوید که «امنیت از طریق مبهم‌سازی امنیت نیست». این حرف اشتباه نیست ولی استفاده از این روش، ضرری هم ندارد و در حالت‌هایی می‌تواند کمک کننده باشد. به طور کلی، امنیت از طریق مبهم سازی یعنی مخفی کردن جنبه‌هایی از نرم‌افزار یا اپلیکیشن تحت وب به این امید که هکر نتواند آن را پیدا کند و ایمن باقی بماند. برای وردپرس این کار می‌تواند مخفی کردن بخشی از سایت مثلا صفحه لاگین باشد. اینطور امید بیشتری داریم که هکر نتواند صفحه لاگین را پیدا کند.

این کار تاکتیک قابل اعتمادی نیست چرا که اغلب هکرها به اندازه‌ کافی تجربه دارند تا راهی برای پیدا کردن قسمتهای مخفی سایت پیدا کنند ولی با این حال طبق گزارش WhiteSecurity حدود ۸% سایت‌ها به صورت دستی تحت حمله بروت فورس قرار می‌گیرند و این شانس را داریم که هک سایت ما توسط افراد ناوارد انجام شود ولی در اغلب موارد این حملات توسط ربات‌های هوشمند و به صورت سیستماتیک انجام می‌گیرد. در مستندات کدکس نیز این روش جزء تکنیک‌های سنگ‌اندازی هکرها محسوب می‌شود.

همانطور که ذکر شد، استفاده از این روش گرچه یک تاکتیک قابل اعتماد بر حفظ امنیت وردپرس نیست ولی استفاده از آن ضرری هم ندارد. در موارد معدودی ممکن است همین کارهای ساده، سایت شما را از دستبرد هکرها نجات دهد. به هر حال چندان به امنیت این روش دلگرم نباشید و در کنار آن از یک تاکتیک امنیتی مناسب استفاده کنید. در ادامه با تعدادی از روش‌های پنهان‌سازی در وردپرس آشنا خواهید شد.

مبهم‌سازی از طریق فایل wp-config

روش‌هایی مختفی برای اجرای تاکتیک مبهم‌سازی از طریق فایل wp-config.php وجود دارد که در ادامه معرفی می‌شوند. انجام تغییرات عنوان شده در صورت نصب بودن افزونه Defender حتی نیازی به کدنویسی هم ندارند.

غیرفعال کردن افزونه و ویرایشگر پوسته

در داشبورد مدیریت وردپرس یک ویرایشگر متنی وجود دارد که از طریق آن می‌توان کدهای افزونه‌ها و تم‌های نصب شده را تغییر داد. برای دسترسی به ویرایشگر تم باید به قسمت Appearance>Editor مراجعه کنید. برای پلاگین نیز به Plugins>Editor. رها کردن این قابلیت به صورت پیش فرض این ریسک را به وجود می‌آورد که در صورت هک شدن سایت، هکر به سادگی و حتی بدون پیمایش فولدرها تغییرات مورد نظر را داخل این ویرایشگرها وارد کند.

plugin-editor

بسیاری از توسعه‌دهندگان اعتقاد دارند هکری که به داشبورد شما دسترسی داشته باشد هر کاری می‌تواند انجام دهد ولی منطق حکم می‌کند که تا جای ممکن جلوی مسیرش را سنگ بیندازیم تا عملیات نفوذ را نتواند به سادگی انجام دهد. شاید در این فرصت توانستید سایت خود را از چنگ مهاجم بیرون آورید. در واقع شما با این کار هکر را در شرایطی قرار می‌دهید که به زمان بیشتری برای نفوذ نیاز داشته باشد. برای غیرفعال کردن ویرایشگر تم و پلاگین این کد را به فایل wp-config.php اضافه کنید:

define(‘DISALLOW_FILE_EDIT’, true);

جابه‌جا کردن فایل wp-config.php

این فایل حاوی اطلاعات مهم و حساسی است که لازم است آن را مخفی کنید. جابه‌جا کردن این فایل از مکان پیش‌فرض می‌تواند کار هکر را دشوار ساخته و پیش‌بینی‌ها و محاسباتش را بر هم بزند. اگر سایت وردپرسی شما به جای زیرفولدر در ریشه قرار داشته باشد به راحتی می‌توانید این فایل را یک فولدر بالاتر جابه‌جا کنید البته به این شرط که فایلی همنام در آن فولدر وجود نداشته باشد.

همچنین امکان جابه‌جا کردن فایل wp-config.php به هر جایی وجود دارد مشروط بر اینکه یک فایل با همین نام و با کد پایین در مسیر پیش‌فرض  قرار دهید و فایل wp-config.php را به مکان مورد نظر منتقل کنید. فراموش نکنید که در کد پایین به جای path/to/wp-config.php/ مسیر فایل wp-config.php را درج کنید.

<?php
define(‘ABSPATH’, dirname(__FILE__) . ‘/’);
require_once(ABSPATH . ‘../path/to/wp-config.php’);

تغییر پیشوند دیتابیس

وردپرس به صورت پیش‌فرض، پیشوند _wp را برای دیتابیس سایت انتخاب می‌کند. با تغییر این پیشوند یک قدم کار هکر را در پیش‌بینی این پیشوند سخت می‌کنید. این کار را هم به صورت دستی می‌توانید انجام دهید و هم با افزونه‌های امنیتی.

محافظت از فایل‌های مهم

شما می‌توانید جلوی دسترسی به فایل‌های حساسی همچون htaccess , wp-config.php و php.ini و لاگ‌های خطا را با اضافه کردن خطوط زیر به فایل htaccess. بگیرید:

<FilesMatch “^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$”>
Order deny,allow
Deny from all
</FilesMatch>

در صورتی که از php5.ini یا php7.ini استفاده می‌کنید به جای php.ini از نام واقعی این فایلها استفاده کنید

محدود کردن دسترسی به فایل‌های PHP

علاوه بر محدود کردن فایل‌های بالا بهتر است دسترسی به تمام فایل‌های php را هم محدود کنید چرا که هکرها می‌توانند کدهای آلوده خود را داخل این فایل‌ها تزریق کنند. برای این کار قواعد زیر را به فایل htaccess. اضافه کنید:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]

امنیت فولدر /wp-includes/

این فولدر حاوی فایل‌های حساسی است که در صورت آزاد گذاشتن آن‌ها ممکن است با خطر مواجه شوید. برای بلاک کردن این فولدر و فایل‌های داخل آن کدهای زیر را به فایل htaccess. اضافه کنید.

محدود کردن دسترسی به داشبورد مدیریت

وقتی هکری به صفحه لاگین یک سایت دسترسی پیدا می‌کند و با لیستی از یوزرنیم پسوردها سعی می‌کند وارد اکانت مدیر شود در واقع در حال انجام یک حمله بروت‌فورس است. محدود کردن دیدن صفحه لاگین می‌تواند حجم این حملات را کاهش دهد. اگرچه اغلب هکرهای با تجربه بدون مشاهده صفحه لاگین و تنها با یک ربات نفوذگر این کار را انجام می‌دهند ولی محدود کردن نمایش این صفحه بازهم تعداد این حملات را تاحدودی کاهش می‌دهد.

بخوانید  ایجاد حساب کاربری مدیر با کمک کد در وردپرس

برای اینکه دسترسی به داشبورد مدیریت را فقط برای چند آی‌پی استاتیک تعریف کنید خطوط زیر را به فایل htaccess. اضافه نمایید:

ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP Address One$
RewriteCond %{REMOTE_ADDR} !^IP Address Two$
RewriteCond %{REMOTE_ADDR} !^IP Address Three$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>

اگر آی‌پی بازدید کننده متفاوت از آی‌پی‌های تعریف شده در این کد باشد، به هنگام بازدید از صفحه مدیریت با خطای ۴۰۴ مواجه می‌شود. یادتان نرود که عبارت /path-to-your-site/ را با آدرس واقعی سایت جایگزین کنید. همچنین به جای IP Address One, IP Address Two and IP Address Three سه آی‌پی واقعی از افرادی که حق بازدید از این صفحه را دارند مشخص کنید. این را هم فراموش نکنید که در هنگام سفر باید آی‌پی‌های موجود در این لیست را آپدیت و یا کلا غیرفعال کنید چرا که آی‌پی شما در یک اتصال اینترنتی دیگر متفاوت است. در صورتی که آی‌پی شما و یا فردی که باید اجازه دسترسی به او بدهید داینامیک باشد از کد پایین استفاده کنید:

ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site.com [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ – [F]
</IfModule>

همانند کد قبلی یادتان نرود که عبارت /path-to-your-site/ را با مسیر درست سایت و your-site.com را با آدرس واقعی دامین جایگزین کنید.

جلوگیری از پیمایش فولدرها

در حالت پیش‌فرض، کاربران (شاید هم هکرها) با وارد کردن مسیر کامل یک فولدر در نوار آدرس مرورگر می‌توانند به محتویات آن دسترسی پیدا کنند. به عنوان مثال با وارد کردن آدرس /your-site.com/wp-content/uploads می‌توانند تمام محتوای این فولدر را مشاهده کنند. اگرچه در حالت پیش‌فرض و با تنظیم مجوزها امکان ویرایش این فایل‌ها وجود ندارد ولی نمایش ساختار فولدرها این اجازه را به هکر می‌دهد تا به آسان‌ترین روش موقعیت همه فایل‌ها را مشاهده کرده و برای حملات بعدی‌اش استفاده کند. خوشبختانه با اضافه کردن این قاعده به فایل htaccess. می‌توانید پیشمایش فولدرها را به صورت کلی غیرفعال کنید.:

Options All -Indexes

جلوگیری از شناسایی آی‌دی کاربران سایت

ممکن است هکری بتواند با اضافه کردن یک رشته به انتهای آدرس سایت از معتبر بودن یک اکانت مطلع شود. وقتی هکر بداند کدام آی‌دی‌ها معتبر هستند می‌تواند از طریق آن‌ها برای ورود به سایت تلاش کند. دانستن این موضوع کار هکر را نصف می‌کند چون دیگر نیازی به حدس زدن نام کاربری نیست، تنها حملات بروت‌فورس بر روی پسورد کاربران صورت می‌گیرد. جلوگیری از این کار قطعا کار مهاجم را دشوار کرده و نیازمند تلاش بیشتری است. برای این کار کد زیر را به فایل htaccess. اضافه کنید:

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]

حذف فایل‌های غیرضروری جهت خدشه‌دار نشدن امنیت وردپرس

بعد از نصب صحیح وردپرس، تعدادی از فایل‌ها زائد بوده که با خیال راحت می‌توانید حذفشان کنید. حذف کردن این فایل‌ها جلوی دسترسی اتفاقی به داده‌های حساس و سرنخ‌های مفید را می‌گیرد. فایل‌های زیر را می‌توانید با خیال راحت حذف کنید:

readme.html
/wp-admin/install.php
wp-config-sample.php

فایل readme حاوی ورژن فعلی وردپرس است که دانستن این موضوع این اجازه را به هکرها می‌دهد تا بر روی آسیب‌پذیری‌های آن نسخه از وردپرس تمرکز کنند و زمان خود را برای احتمالاتی که مربوط به سایر نسخه‌هاست هدر ندهند.

تغییر ساختار فایل‌ها و فولدرها

محبوبیت وردپرس و متن‌باز بودن آن باعث شده تا در میان سایر پلتفرم‌ها بیشتر مورد توجه هکرها قرار بگیرد. برای مثال آن‌ها می‌توانند از فایل‌ها و فولدرهای پیش‌فرض وردپرس مطلع شده و در هنگام حمله به یک سایت دقیقا بدانند که چه نقاطی را هدف قرار دهند. با جستجوی مختصری می‌توانید مقالات زیادی برای برهم زدن ساختار فایل‌ها و فولدرها در وردپرس پیدا کنید.

تغییر نام کاربری پیش‌فرض

نام کاربری پیش‌فرض در هنگام نصب وردپرس admin است. تغییر ندادن این نام، کار هکر را در بروت‌فورس کردن آسان‌تر می‌کند. وقتی با یک نام کاربری صحیح ولی رمز عبور نادرست تلاش می‌کنید به یک سایت وردپرسی لاگین کنید پیغام ظاهر شده این اطمینان را به هکر می‌دهد که یوزرنیم صحیح است یا نه. از آنجایی که اغلب کاربران به دلایلی (حتی از سر تنبلی) نام کاربری admin را همینطور به حال خودش رها می‌کنند هکرها نیز از این موضوع مطلع بوده و کارشان در بروت فورس کردن سایت راحت می‌شود. وای به حال کسی که در انتخاب پسورد قوی هم کوتاهی کرده باشد. دیگر هیچ دلیل موجهی برای سرزنش شدن او وجود ندارد. با جستجویی در اینترنت می‌توانید مقالات زیادی برای تغییر نام کاربری ادمین پیدا کنید. در اسرع وقت این کار را انجام دهید.

پنهان کردن صفحه لاگین وردپرس

از آنجایی که بحث ما صفحه لاگین وردپرس و حملات بروت‌فورس است. مخفی کردن این صفحه باعث می‌شود تا هکرها زمان بیشتری برای انجام حملات خود لازم داشته باشند. با اینکه راه‌هایی برای دور زدن این تکنیک توسط ربات‌های هک وجود دارد ولی بازهم به قول ما ایرانی‌ها کاچی به از هیچی! و به قول آن طرف آبی‌ها It’s better than nothing.

 

حذف نسخه وردپرس

همانطور که بالاتر اشاره کردیم، نمایش نسخه وردپرس، فعالیت هکرها را محدود به نسخه خاصی از آن می‌کند و این کار چند قدم کار مهاجم را در نفوذ به سایت شما آسان می‌کند. علاوه بر حذف نسخه وردپرس از فایل readme.html، با اضافه کردن کد زیر به فایل functions.php از اینکه ورژن وردپرس در هیچ کجای سایت وجود ندارد خیالتان راحت می‌شود:

{code type=php}

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter( ‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’ );
add_filter( ‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpmudev_remove_version’);
{/code}

بهترین راهکارهای امنیتی وردپرس

امنیت وردپرس چیزی نیست جزء بستن سوراخ سنبه‌های احتمالی آن. هکرها تا راهی برای نفوذ پیدا نکنند قادر به انجام هیچ کاری نیستند. ضمن اینکه آن‌ها همیشه به جای اینکه درگیر شدن با راهکارهای طولانی و پیچیده ترجیح می‌دهند از آسان‌ترین و سریع‌ترین راه‌حل‌ها استفاده کنند. وردپرس یک سیستم متن باز است که این ویژگی، آن را به یک شمشیر دو لبه تبدیل کرده است. از سویی توسعه دهندگان بیشتری می‌توانند با سرعت بیشتری قابلیتهای جدید به سیستم اضافه کرده و مشکلات و آسیب‌پذیری‌ها را برطرف کنند و از سویی ماهیت کدنویسی و خطاهای انسانی برای همیشه این فرصت را برای هکرها باقی می‌گذارد تا با مشاهده کوچکترین آسیب‌پذیری دست به کار شده و به انبوهی از سایت‌ها که بر پایه این سیستم بنا شده‌اند حمله کنند. اما با رعایت چند نکته امنیتی ساده قادر هستید بیش از ۹۹٫۹۹% حملات را خنثی کنید.

در ادامه، بهترین تکنیک‌ها و راهکارها را برای برقراری امنیت وردپرس بیان می‌کنیم:

استفاده از یک پلاگین امنیتی

بسیاری از تکنیک‌های امنیتی که تا اینجا معرفی کردیم را می‌توان توسط افزونه‌های امنیتی به راحتی انجام داد. نصب کردن یک افزونه امنیتی خوب، فعال و بروز نگه‌داشتن آن بهتر از این است که خودتان حواستان به همه چیز باشد. در بخش پایانی مقاله، لیستی از این پلاگین را معرفی می‌کنیم.

اسکن منظم سایت به منظور پایدار نگه داشتن امنیت وردپرس

به محض نصب و فعال‌سازی افزونه امنیتی، بایستی قابلیت اسکن منظم آن را فعال کنید. این ویژگی بسیار مهم و حیاتی است چرا که بدون اسکن دوره‌ای ممکن است تعدادی از آسیب‌پذیری‌ها در سایت وجود داشته باشند که از آن بی‌خبر باشید و زمینه را برای نفوذ هکرها فراهم کند.

بررسی مرتب لاگ‌های دسترسی

وقتی سایت خود بر روی هاست تنظیم می‌کنید معمولا قسمتی تحت عنوان لاگ یا گزارش وجود دارد که هر گونه دسترسی به سایت یا فایل‌های مهم را به همراه آی‌پی و مشخصات دیگر ثبت می‌کند. با نظارت مرتب این فایل قادر هستید هرگونه رفتار یا تلاش مشکوکی را شناسایی و اقدامات پیشگیرانه مناسبی اتخاذ کنید. به عنوان مثال وقتی از سوی بازدیدکنندگان عادی سایت تلاش‌هایی برای مشاهده فایل‌های حساسی نظیر htaccess. و wp-config.php صورت می‌گیرد با مشاهده این فایل می‌توانید متوجه شوید که دسترسی موفقیت‌آمیز بوده است یا نه که اگر دسترسی موفق باشد در اغلب موارد به معنی هک شدن سایت شماست.

بررسی لاگ از این جهت مهم است که خیلی سریع در جریان تهدیدهای بالقوه قرار میگیرید. این کار باعث می‌شود تا پیش از گسترده‌تر شدن دامنه خرابکاری‌ها جلوی پیشروی هکر را بگیرید. در واقع فرصت این کار را خواهید داشت که خیلی سریع به فکر راهکاری برای رفع هک باشید. البته بررسی مرتب لاگ‌ها می‌تواند کار خسته‌کننده و زمان‌بری باشد. خوشبختانه اغلب افزونه‌های امنیتی وردپرس از جمله Defender قادر هستند به صورت خودکار این فایل را به منظور گزارش لحظه‌ای رخنه‌های امنیتی پیمایش کنند.

استفاده از مجوزهای مناسب برای فایل‌ها

بسیاری از فایل‌های هسته وردپرس، پلاگین‌ها، پوسته‌ها و اسکریپت‌ها یا فایل‌های آپلود شده شامل جزئیات اطلاعاتی حساسی هستند که مجوز دسترسی آن‌ها تنها بایستی در اختیار افراد مورد نظر شما قرار گیرد. برای تنظیم مجوز دسترسی فایل‌ها در وردپرس در اینترنت جستجو کنید.

غیرفعال کردن XML-RPC

XML-RPC یک API در وردپرس بوده که فعال بودن آن برای قابلیت‌هایی همچون ترک‌بک، پینگ‌بک و همچنین پلاگین JetPack ضروری است. در حالی که ممکن است این API فوایدی داشته باشد برای هکرها نیز راهی جهت انجام حملات بروت‌فورس باقی می‌گذارد. حتی اگر پسورد سایت قوی باشد بازهم حملات بروت‌فورس بخش زیادی از منابع سرور را در اختیار خود می‌گیرند که موجب کاهش سرعت سایت خواهد شد. حتی در مواردی این حملات می‌تواند تا آنجا پیشروی کنند که منابع سرور به پایان رسیده و ناچار به شارژ زودهنگام پلن میزبانی خود شوید.

بخوانید  محدود کردن ای پی های خاص به سایت

برای اینکه به این مشکل دچار نشوید می‌توانید XML-RPC را غیرفعال کنید. به منظور غیرفعال کردن این API، کد زیر را به فایل function.php اضافه کنید.

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

مسدود کردن اسپم‌ها

پدیده اسپم در وردپرس چیزی فراتر از  یک اذیت و آزار ساده بوده و در موارد حرفه‌ای‌تر به حملات بروت‌فورس، DDoS و یا XSS تبدیل می‌شود. جلوگیری از ارسال اسپم یکی از مهم‌ترین کارهایی است که برای حفظ امنیت وردپرس باید انجام دهید. راه‌های مختلفی برای حفاظت در برابر اسپم‌ها وجود دارد که ساده‌ترین آن‌ها استفاده از افزونه akismet است.

احراز هویت دومرحله‌ای

در این روش احراز هویت، کاربر هنگام ورود به سایت علاوه بر رمزعبور همیشگی بایستی یک کد اعتبارسنجی یک بار مصرف که به تلفن‌همراه شما ارسال می‌شود نیز وارد کند. در این حالت حتی اگر رمز عبور شما لو برود، باز هم سارق توانایی ورود به سایت شما را نخواهد داشت مگر اینکه بتواند سیم‌کارت شما را نیز سرقت کند! با استفاده از پلاگین‌هایی همچون Two Factor Authentication می‌توانید این قابلیت را برای سایت خود فعال کنید.

تغییر کلیدهای امنیتی

فایل wp-config.php شامل یک سری کلیدهای امنیتی است که باعث رمزگذاری اطلاعات ذخیره شده در کوکی‌ها می‌شود. تغییر دادن این کلیدها هر زمان و تحت هر شرایطی تمام کاربران را لاگ‌اوت می‌کند از جمله هکرهایی که در بسیاری از مواقع با ربودن اتصالات اینترنتی به اطلاعات ورود کاربران دسترسی پیدا می‌کنند. برای تغییر این کلیدها به سایت WordPress Security Key Generator مراجعه کرده، محتوای صفحه را کپی نموده و در فایل wp-config.php در قسمت مربوطه رونویسی کنید. برای این کار نیز می‌توانید از افزونه دفندر استفاده کنید.

SSL اجباری

بعد از نصب گواهینامه SSL برای دامنه سایت باید آن را طوری تنظیم کنید که هر کسی از سایت بازدید می‌کند در حالت ایمن متصل شود برای این کار در فایل wp-config.php قبل از خط happy blogging عبارت پایین را اضافه کنید:

define(‘FORCE_SSL_ADMIN’, true);

تنها یک گام باقی مانده است. کدهای زیر را به فایل htaccess. اضافه کنید:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

و به جای www.mysite.com آدرس سایت خود را قرار دهید.

FTPS اجباری

همچنین امکان وادار کردن کاربران به استفاده از پروتکل FTPS به جای پروتکل غیرایمن FTP برای ارتباط با سایت وجود دارد. برای این کار خط زیر را در بالای happy blogging در فایل wp-config.php وارد کنید:

define(‘FTP_SSL’, true);

SFTP اجباری

به همین صورت در ارتباطات SSH و خط فرمانی می‌توانید کاربران را وادار به استفاده از پروتکل SFTP کنید. برای این کار نیز خط زیر را به بالای happy blogging در فایل wp-config.php اضافه کنید:

define(‘FS_METHOD’, ‘ssh2’);

خاموش کردن WP_DEBUG

به جز مواردی که با خطایی در سایت مواجه می‌شوید در سایر شرایط بهتر است گزارش خطای فرانت‌اند را غیرفعال کنید. برای این کار به فایل wp-config.php مراجعه کرده و به دنبال عبارت WP_DEBUG بگردید:

define(‘WP_DEBUG’, true);

true را به false تبدیل کنید. فایل را ذخیره و ببندید.

به جای این کار می‌توانید WP_DEBUG را فعال نگه داشته ولی لاگهای خطا را به صورت خصوصی درآورید تا از نمایش خطاها به صورت عمومی جلوگیری کنید به صورت زیر:

// Turn debugging on
define(‘WP_DEBUG’, true);

// Tell WordPress to log everything to /wp-content/debug.log
define(‘WP_DEBUG_LOG’, true);

// Turn off the display of error messages on your site
define(‘WP_DEBUG_DISPLAY’, false);

// For good measure, you can also add the follow code, which will hide errors from being displayed on-screen
@ini_set(‘display_errors’, ۰);

بروزرسانی خودکار هسته وردپرس

این تاکتیک برای افرادی که دوست دارند قبل از اعمال بروزرسانی، سازگاری آن را تست کنند مناسب نیست اما اگر بروزرسانی خودکار چندان اهمیتی برای شما ندارد با ویرایش خط پایین در فایل wp-config.php می‌توانید این قابلیت را فعال کنید:

define(‘WP_AUTO_UPDATE_CORE’, true);

جلوگیری از اجرای فایل‌های PHP

زمانی که سایت شما هک می‌شود هکر می‌تواند فایل‌های php آلوده را در فولدر uploads ارسال کرده و اجرا کند. با اضافه کردن کدهای زیر به فایل htaccess. می‌توانید اجرای فایل‌های php را برای فولدر مشخصی متوقف کنید:

<Directory “/var/www/wp-content/uploads/”>
<Files “*.php”>
Order Deny,Allow
Deny from All
</Files>
</Directory>

چون اغلب هکرها فایل‌های آلوده خود را در فولدر uploads قرار می‌دهند بهتر است این دایرکتوری را از اجرای فایل محروم کنید.

محدود کردن تلاش برای لاگین

به صورت پیش‌فرض، وردپرس در هنگام لاگین به سایت محدودیتی در تعداد دفعات ورود اعمال نمی‌کند یعنی اگر هزار بار هم با رمز عبورهای مختلف سعی در ورود به حساب کاربری داشته باشید مانعی وجود ندارد. این کار باعث می‌شود تا هکرها به راحتی بتوانند حملات بروت‌فورس خود را اجرا کنند. برای جلوگیری از این اتفاق می‌توانید با نصب افزونه‌های مثل دفندر تعداد دفعات لاگین را کاهش دهید. مثلا طوری تنظیم کنید که بعد از ۳ بار اشتباه وارد کردن رمز عبور تا ۵ دقیقه، نیم ساعت یا هر بازه زمانی که دوست دارید لاگین برای آن آی‌پی امکان‌پذیر نباشد.

نصب فایروال برای سرور

نصب یک فایروال بر روی سرور، روشی عالی برای محافظت از دسترسی‌های غیر مجاز به سایت است. البته این فایروال آن فایروالی نیست که به صورت یک نرم‌افزار یا در قلب افزونه‌هایی همچون Wordfence قرار دارند. فایروال‌های نرم‌افزاری در داخل سایت مستقر شده‌اند و ترافیک داخلی را کنترل می‌کنند ولی در صورتی که هکر از قبل سایت شما را در اختیار گرفته باشد دیگر کاری از دست این فایروال ساخته نیست.

تنها راهی که می‌توان هکر را کاملا متوقف نمود نصب یک فایروال بر روی سرور است. معمولا سرویس‌های میزبانی در سطح سرور همگی از فایروال‌های مناسبی استفاده می‌کنند و حتی در موارد پیشرفته‌تر در سرورهای اختصاصی از فایروال‌های گران‌قیمت سخت‌افزاری نیز استفاده می‌شود. به هر حال استفاده از یک فایروال ضعیف بهتر از هیچی است. پس سعی کنید در این رابطه کوتاهی نکنید.

امنیت وردپرس با استفاده از افزونه‌ها

برای تداوم امنیت وردپرس استفاده از یک افزونه امنیتی مناسب را فراموش نکنید. در ادامه لیستی از بهترین پلاگین‌های امنیتی وردپرس را معرفی می‌کنیم که به لحاظ ضریب اطمینان، بروزرسانی مرتب و کیفیت در بالاترین سطح قرار دارند. دقت کنید نباید چند افزونه را با هم نصب کنید. در مواردی که برای تکمیل قابلیت‌ها چند افزونه را نصب می‌کنید (که توصیه نمی‌شود!) توجه کنید که ویژگی مشترکی را بر روی دو افزونه همزمان فعال نکنید تا با مشکلات ناسازگاری و در نتیجه کاهش امنیت وردپرس یا مسائل افت سرعت سایت مواجه نشوید.

Defender

Defender

دفندر یک افزونه رایگان و در عین حال زیبا است که با چند کلیک ساده می‌توانید اغلب تنظیمات امنیت وردپرس را اعمال کنید. نسخه پولی این پلاگین نیز وجود دارد که با استفاده از آن ویژگی‌های بیشتری در اختیارتان قرار می‌گیرد.

Sucuri Security

Sucuri

این پلاگین نیز در بین راهکارهای مربوط به امنیت وردپرس از محبوبیت بالایی برخوردار است و قابلیت‌های فراوانی را در یک محیط ساده در اختیار مدیر سایت قرار می‌دهد. این افزونه نیز نسخه پولی با امکانات بیشتر فراهم کرده است.

Wordfence

wordfence-plugin-free-600x200

این افزونه محبوب و رایگان بیش از ۲ میلیون نصب فعال داشته و گزینه‌های مختلفی جهت برقراری امنیت وردپرس در اختیار شما قرار می‌دهد. البته برخی از  ویژگی‌های جالب آن تنها با خرید نسخه پولی در اختیار شما قرار می‌گیرد که ارزشش را دارد.

BulletProof Security

bulletproof-security-plugin-600x200

این افزونه هم در بعد امنیت وردپرس و هم سازمان‌دهی دیتابیس به منظور افزایش سرعت سایت گوی سبقت را از بقیه ربوده است. نسخه پولی بولت‌پروف قابلیت‌هایی همچون فول بکاپ و بسیاری از ویژگی‌های جالب دیگر را به همراه دارد.

iThemes Security

ithemes-security-free-plugin-600x200

این پلاگین بیش از ۳۰ آپشن امنیتی (که در نسخه پولی بیشتر هم بوده) در اختیار شما قرار می‌دهد که شما می‌توانید برای افزایش امنیت سایت از آن استفاده کنید.

SecuPress

secupress-free-plugin-600x200

با SecuPress می‌توانید سایت خود را برای یافتن بدافزارها و بلاک کردن ربات‌ها و آی.پی های مشکوک اسکن کنید. همچنین در نسخه پرمیوم قابلیت‌های اضافه‌ای وجود دارد که در صورت تمایل می‌توانید ارتقاء دهید.

SiteLock

secupress-free-plugin-600x200

سایت‌لاک یک ابزار کامل برای مدیریت امنیت وردپرس بوده و با ابزارهای مختلفی می‌تواند به صورت خودکار آسیب‌پذیری‌های سایت را یافته و با بروزرسانی مداوم خود هیچ ضعفی در این زمینه نشان نمی‌دهد. این افزونه رایگان است.

جمع‌بندی

در این مقاله تا جایی که حافظه یاری می‌کرد از راهکارهای مختلف برای برقراری امنیت وردپرس صحبت کردیم. اما همانطور که می‌دانید بحث امنیت بسیار گسترده‌تر از آن است که بتوان در قالب یک مقاله همه چیزهای لازم را بیان کرد به همین خاطر برای اینکه مدیون شما نشویم هشدار می‌دهیم که با وجود به کار گرفتن همه نکات مطرح شده در این مقاله باز هم ممکن است هکر راهی برای نفوذ به سایت شما پیدا کند. همانطور که شما با روش‌های جدید نقشه‌های آن‌ها را خنثی می‌کنید آن‌ها نیز مدام با نقشه‌ها و ترفندهای جدید و به صورت خستگی‌ناپذیر در فکر حملات جدید هستند. بنابراین همزمان با رشد سایت و افزایش اهمیت آن، گوشه چشمی هم به تاکتیک‌های امنیتی جدید که به مرور در اسکارپ نیز منتشر خواهند شد داشته باشید.

امیدوار هستیم این مقاله نظر شما را جلب کرده باشد و با به کار بستن دانسته‌های جدید، امنیت سایت شما وارد فاز جدیدی شود. اگر احساس می‌کنید چیزی هست که خوب بیان نشده و یا از قلم افتاده در بخش نظرات منعکس کنید تا سایر کاربران از آن بهره ببرند.

سید ایوب کوکبی

در حال حاضر نویسنده و مترجم...

0 دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *