چگونه سایت وردپرسی خود را در برابر حملات پیاپی هکرها محافظت کنیم؟

بدون شک وردپرس یکی از مشهور ترین سیستم‌های مدیریت محتوا (CMS) است طوری که بر اساس تخمین‌ها از هر ۶ سایت یکی وردپرسی است. این استقبال بی‌نظیر باعث شده تا وردپرس به مکانی محبوب برای هکرها تبدیل شود. این افراد معمولا از ضعف‌های امنیتی موجود که بخش عمده آن مربوط به پلاگین‌های ضعیف و غیرامن نصب شده روی وردپرس است برای نفوذ و حمله به سایت استفاده می‌کنند. این حملات در رایجترین شکل آن ممکن است از نوع dDos یا طبق تعریف ویکی‌پدیا «حمله منع سرویس» (من که می‌گویم «حمله فلج کردن سرویس») باشد؛ ممکن است به ارسال انبوهی از اسپم‌ها ختم شود و یا ممکن است به ایجاد پاره‌ای از مسائل و مشکلات در سرورهایی که سایت‌های خطرناکی بر روی آن میزبانی می‌شود منجر شود.

با این وجود، هر گونه نقص امنیتی، ناشی از کم‌کاری، بدکاری یا سهل‌انگاری شما است که اصطلاحا به آن «bad practice» گفته می‌شود. امکان وقوع سهل‌انگاری‌ها از همان مراحل نصب وردپرس وجود دارد تا مراقبت و نگهداری از وردپرس (بله وردپرس هم نیاز به نگهداری دارد!). گاهی اوقات از سوی ادمین‌ها سوالاتی مطرح می‌شود که «ای بابا؛ این که چند ساله مثل ساعت کار می‌کرد؛ الان چش شده چرا کار نمیکنه!»، پاسخ این سوال در درون خود سوال نهفته است. خب معلوم است وقتی سایت خود را بدون لحاظ کردن نکات امنیتی و بدون مراقبت‌های دوره‌ای چندین سال (با این اوضاع حتی چند ماه!) به حال خود رها کرده‌اید خودتان دارید با صدای بلند به هکرها می‌گویید: «خانه کسی نیست؛ بفرمایید داخل». این کار دیر یا زود منجر به حوادث ناخوشایندی خواهد شد.

البته فرق خانه وردپرسی با خانه واقعی این است که اگر هکری بتواند به آن نفوذ کند، پیغام فدایت شوم با امضاء و مهر و موم شخصی برایتان نمی‌گذارد بلکه در بدترین حالت تا جایی که بتواند یک خانه تکانی اساسی انجام خواهد داد (از حذف کردن محتویات سایت گرفته تا نصب و اجرای اسکریپت‌های خطرناک و ناپایدار کردن ثبات سرور و غیره). در این متن، مهمترین نکات امنیتی که بایستی در هنگام نصب وردپرس به آن توجه داشته باشید را ذکر کرده‌ایم. لطفا به دقت بخوانید و سهل‌انگاری هم نکنید!

۱- نام پیش فرض اکانت ادمین را تغییر دهید.

در طی مراحل نصب وردپرس این اختیار به شما داده می‌شود که برای حساب کاربری ادمین، نام دلخواهی انتخاب کنید. خیلی از افراد اهمیتی به این مرحله نداده و نام پیش‌فرض ادمین را تغیین نمی‌دهند و همین کار فرصتی در اختیار هکرها قرار می‌دهد تا با اسکریپت‌های خودکار و با اسامی پیش فرض wp-admin, Admin, administrator, Administrator, root, Rootusername و نظایر آن شانس خود را برای دستیابی به آدرس پنل ادمین امتحان کنند. سعی کنید نام اکانت ادمین را کلمه‌ای منحصر به فرد در نظر بگیرید تا با این نقشه شوم مقابله کنید.

۲- گذرواژه مستحکم و پیچیده‌ای انتخاب کنید.

ناگفته پیداست که استفاده از یک رمز پیچیده، کار ربات‌های مهاجم خودکار را تا حد زیادی سخت و لااقل زمان‌بر می‌کند. یک رمز عبور ایمن و استاندارد بایستی ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص به طول ۱۰ کاراکتر و بیشتر باشد. مثلا ۵ رمز عبور مشهور در این حملات که به موفقیت ختم شده‌اند عبارتند از: admin, 123456, 111111, 666666, 12345678. یک رمز خوب معمولا به راحتی به خاطر سپرده نمی‌شود و گاهی اوقات نیاز پیدا می‌کنید که آن را جایی بنویسید.

۳- تغییر نام مستعار WP

اسکریپت‌های خودکار در اغلب اوقات با جستجو در بین تگ‌ها و نام نویسنده‌ها، تمامی پست‌های سایت را بررسی می‌کنند تا بتوانند به ادمین دسترسی پیدا کنند. برای رفع این مشکل در پنل وردپرس به قسمت پروفایل یا کاربران رفته و یک نام مستعار و نمایشی متفاوت انتخاب کنید.

۴- تهیه نسخه پشتیبان به صورت مرتب

هر چقدر هم ملاحظات امنیتی را رعایت کرده باشید بازهم برای همان یک درصد ریسکی که ممکن است تمامی اطلاعات شما را به باد بدهد ناچار هستید به صورت دوره‌ای از محتویات سایت به صورت کامل بکاپ گرفته و در مکانی امن ذخیره کنید. این کار اگرچه مشکل هک شدن سایت را حل نمی‌کند اما قطعا خیال شما را از بابت اینکه نیازی نیست از ابتدا همه پست‌های سایت را دوباره بنویسید راحت می‌کند. توصیه می‌کنیم تنها به بکاپ وردپرس بسنده نکرده و از پنل هاست نیز اقدام به تهیه بکاپ کامل بکنید.

۵- تغییر پیشوند پیش‌فرض دیتابیس

در هنگام نصب وردپرس، برای عنوان دیتابیس پیشوند _wp پیشنهاد می‌شود. توصیه می‌کنیم برای افزایش امنیت سایت، این پیشوند را تغییر دهید تا اسکریپت‌های احتمالی به راحتی قادر به دستبرد زدن به دیتابیس شما نباشند.

۶- تا حد امکان تعداد پلاگین‌ها، افزونه و تم‌های استفاده شده را کاهش دهید.

استفاده زیاد از تم‌ها، افزونه‌ها و پلاگین‌ها در خوشبینانه‌ترین حالت باعث کاهش سرعت وب‌سایت و در بدترین حالت موجب افزایش خطرات بالقوه و تهدیدهای امنیتی خواهند شد. افزونه‌های وردپرس را به حداقل برسانید؛ و فقط موارد واقعا ضروری را نگه دارید. تمامی افزونه‌های غیرضروری و حتی آن‌هایی که مدت‌هاست غیر فعال هستند را حذف کنید. این کار به صورت قابل توجهی میزان تهدیدهای امنیتی را کاهش می‌دهد. همچنین بروزرسانی مداوم وردپرس و افزونه‌ها نیز اهمیتی حیاتی دارد.

این آپدیت‌ها معمولا با رفع نقیصه‌های امنیتی همراه هستند و در اولین فرصت باید بروزرسانی شوند. اگر افزونه‌ای با نسخه جدید وردپرس ناسازگار بود حتما آن را حذف کرده و از جایگزین مناسبی استفاده کنید. رها کردن افزونه‌های ناسازگار (حتی اگر مشکلات زیادی ایجاد نکنند) ریسک بالقوه‌ای برای آسیب‌پذیری‌های جدید بر جای می‌گذارد. در هنگام برخورد با هر مشکلی در ورپرس پیش از هر کاری با حذف کردن کامپوننت‌های اضافی یکبار پاکسازی کامل انجام دهید. این کار اولین و ساده‌ترین راه در اشکالی زدایی و رفع مشکلات احتمالی است.

۷- حذف شماره و اطلاعات نسخه وردپرس

شاید باور نکنید اما بسیاری از اسکریپت‌های خودکار اینقدر باهوش هستند که با درآوردن شماره نسخه وردپرس نصب شده در سایت هدف، از لیست ضعف‌های امنیتی آن نسخه برای تست نفوذ به طعمه استفاده می‌کنند. پس بد نیست که اطلاعات نسخه وردپرس را مخفی کنید. برای این کار به تمی که از آن استفاده می‌کنید مراجعه کرده و این کد را به فایل functions.php اضافه کنید:

// complete version removal
function complete_version_removal() {
return ‘’;
}
add_filter(‘the_generator’, ‘complete_version_removal’);

۸- عضویت کاربران را غیر فعال کنید.

اگر صاحب سایت یا وبلاگی هستید که تنها خودتان ادمین آن هستید و نویسنده دیگری هم ندارد لزومی به عضویت کاربران نیست. بنابراین با غیرفعال کردن این قابلیت در پنل وردپرس (از مسیر: اعضاء / هر کسی می‌تواند عضو شود) جلوی تهدیدات احتمالی خرابکارها را بگیرید. حتی برای امنیت بیشتر می‌توانید فایل wp-register.php را کاملا حذف کنید یا فقط تغییر نام داده تا در آینده از آن استفاده کنید.

۹- محافظت از فایل Wp-config.php

این فایل قلب سایت وردپرسی شماست. برای ممانعت از هر نوع دسترسی غیر مجاز کدهای زیر را به فایل htaccess. واقع در هاست اضافه کنید:

 order allow,deny
 deny from all 

کد بالا باعث می‌شود تا دسترسی به این فایل تنها از طریق پنل هاست و ftp میسر باشد. راه‌های دیگر که امنیت کمتری دارند یکی ارسال فایل به فولدر مادر است یعنی مثلا اگر وردپرس را در فولدر /public_html/ نصب کرده باشید باید فایل wp-config.php را به فولدر هوم منتقل کنید؛ و دیگری تغییر مجوزهای خواندن/نوشتن فایل به ۰۶۰۰ برای جلوگیری از اعمال تغییرات است.

۱۰- مسدود کردن دسترسی به فولدر include

برای ایمنی بیشتر توصیه می‌کنیم فولدر wp-includes را نیز از دسترس افراد بیگانه دور نگه دارید. برای این کار کدهای زیر را به فایل htaccess. واقع در ادمین هاست خود، اضافه کنید:

RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ — [F,L]
 RewriteRule !^wp-includes/ — [S=3]
 RewriteRule ^wp-includes/[^/]+\.php$ — [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php — [F,L]
 RewriteRule ^wp-includes/theme-compat/ — [F,L]

با این روش جلوی هر نوع دسترسی استانداردی به فولدر نصب وردپرس گرفته می‌شود و این کار فقط برای ادمین سایت امکان‌پذیر خواهد بود.

۱۱- فعال کردن لاگین امن SSL

اگر وب‌سایت شما از گواهینامه SSL برخوردار است با اضافه کردن کدهای زیر به فایل config.php می‌توانید از آدرس امن برای ارسال داده‌ها و دسترسی به لینک‌ها استفاده کنید.

//SSL for common user login
 define(‘FORCE_SSL_LOGIN’, true);
 //SSL for admin login
 define(‘FORCE_SSL_ADMIN’, true);

۱۲- حذف فایل readme و دیگر فایل‌های غیر ضروری

وردپرس و بسیاری از پلاگین‌های آن معمولا دارای یک فایل readme.html هستند که اطلاعاتی مانند شماره نسخه در آن درج شده که نیازی به انتشار عمومی این اطلاعات نیست. بنابراین ایده خوبی است که با حذف این فایل‌ها و حتی فایل‌ها و پست‌های منتشر نشده حجم تهدیدات انسانی و ماشینی را به حداقل ممکن برسانید.

و چند نصیحت دوستانه برای استفاده ایمن از وردپرس

۱- همواره وردپرس و پلاگین‌های نصب شده را به‌روز نگه دارید.

از مهم‌ترین نکات امنیتی وردپرس، بروز نگه‌ داشتن وردپرس و افزونه‌های نصب شده بر روی آن است و در اغلب مواقع این کار به سادگی کلیک کردن دکمه بروزرسانی است. این کار از این جهت اهمیت دارد که شهرت جهانی وردپرس باعث شده تا هکرها و افراد بدنیت قلاب‌های بیشتری به سوی نسخه‌های تاریخ گذشته وردپرس که بدون وصله‌های امنیتی کماکان در حال استفاده هستند بیندازند. این موضوع برای افزونه‌ها نیز صدق می‌کند. اگر افزونه‌ای داشتید که توسعه دهنده آن را کنار گذاشته و توسعه نمی‌دهد با یک پلاگین خوب دیگر جایگزین کنید.

۲- مراقب امنیت داخلی هم باشید.

همه تهدیدات امنیتی از ناحیه افراد بیرونی نیست. گاهی اوقات مشکل زیر سر ویروس‌ها و بدافزارهایی است که بر روی سیستم شما لانه کرده‌اند. این موضوع را دست کم نگیرید. شاید وقتی در حال وارد کردن رمز عبور پنل وردپرس هستید یک کی‌لاگر ناقلادر حال ارسال نام کاربری و رمزعبور و بسیاری از اطلاعات دیگر به صاحب آن باشد! بنابراین روی سیستمی که از طریق آن به پنل وردپرس دسترسی دارید، یک آنتی‌ویروس مناسب نصب کرده و همواره بروز نگه دارید تا حداقل وقتی سایتتان هک شد خودتان را به کم کاری سرزنش نکنید.

۳- پلاگین‌ها و تم‌های وردپرس را از مکانی امن دانلود کنید.

تا حد امکان سعی کنید افزونه‌ها را از داخل پنل ادمین سایت (بخش افزونه‌ها) و یا وب‌سایت رسمی وردپرس جستجو و نصب کنید. بسیاری از سایت‌های ارائه دهنده افزونه و پوسته‌های رایگان وردپرس مخرب بوده و با هدف آلوده کردن سیستم و اعمال مجرمانه ساخته شده‌اند. اینکه تا امروز برای شما اتفاقی نیفتاده دلیل نمی‌شود به کار خود ادامه دهید. بالاخره روزی این سهل‌انگاری گریبان شما را خواهد گرفت.

رعایت جوانب امنیتی در هر کاری ضروری است اما در دنیای مجازی ضرورت این کار دوچندان حس می‌شود چرا که کوچکترین سهل‌انگاری، عواقب بسیار بدی بر جای خواهد گذاشت. مطالب ذکر شده تنها بخشی از ملاحظات امنیتی وردپرس بود. ما در اسکارپ سعی می‌کنیم به مرور شما را با سایر نکات و ترفندهای امنیتی وردپرس آشنا کنیم. اگر شما هم با تکنیک خاصی آشنا هستید در بخش نظرات این پست با ما و خوانندگان این مطلب به اشتراک بگذارید.