وردپرس یکی از سیستمهای پرکاربرد مدیریت محتواست که برای راهاندازی بیشتر سایتها میتوانیم از ان استفاده کنیم. در این مطلب سعی کردیم نکاتی را مطرح کنیم که برای امنیت هرچه بیشتر یک سایت وردپرس لازم است.
از چه چیزی محافظت میکنید؟
بیشتر افراد تصور میکنند که افزایش امنیت یک وبسایت فقط در گرو حفاظت از خود سایت و فایلهای آن است. در صورتیکه هکرها بیشتر به دنبال اطلاعات مشتریانی هستند که در پایگاه داده یک سایت قرار دارد. انتشار اطلاعات ۷۰ میلیون کارت اعتباری که در سال ۲۰۱۳ صورت گرفت، دلیل بر همین موضوع است. قبل از اینکه به فکر اطلاعات سایت خود باشید، از اطلاعات کاربرانتان محافظت کنید.
۱)فقط نرم افزار های قابل اعتماد را نصب کنید
گاها اتفاق میافتد که خودمان با نصب بدافزارها باعث آلوده شدن سایت میشویم. در یک بستهی وردپرس تعداد زیادی پلاگین، تم رایگان و برنامههای php وجود دارند. برخی افراد این پلاگینها را دریافت کرده و کدهای مخربی را در آن قرار میدهند و به اصطلاح اسکریپتهای نال شده (Null Script) را ایجاد میکنند. این اسکریپتها با ایجاد back-door در سایت، راه را برای نفوذ باز میکنند.
اسکریپتهای نالشده، معمولا از وبسایتهای فرعی توزیع می شوند. برای جلوگیری از چنین مشکلاتی بهتر است تمامی پلاگین و تم های مورد نیاز خود را از مخزن اصلی وردپرس دریافت نمایید.
۲)هسته، تم و پلاگین ها را به روز رسانی کنید
بروزرسانیهای وردپرس معمولا برای رفع باگ های امنیتی و اشکالات سیستم توزیع میشود. به همین علت باید وردپرس خود را به صورت مداوم بروزرسانی کنید. افزونه امنیتی Wordfence را روی وردپرس خود نصب کنید. با استفاده از این افزونه از تمامی بروزرسانیهای موجود مطلع خواهید شد.
وردپرس مجموعه ای از فایلهای php، فایلهای javascript، html و منابع دیگری است که روی یک وبسرور راهاندازی شدهاند. یکی از راههایی که میتوانید از تغییر کدهای PHP توسط افراد نفوذگر جلوگیری کنید این است که فایلهای php را غیرقابل تغییر کنید.
البته با این کار بروزرسانی خودکار سیستم غیر فعال میشود و عملیات بروزرسانی را باید به صورت دستی انجام دهید.
۳) برای کاربران رمزهای عبور قوی انتخاب کنید
انتخاب رمزعبور قوی بسیار مهم است. هکر ها از چند طریق سعی میکنند که به رمزهای عبور یک سایت دسترسی پیدا کنند. مواردی که در ادامه توضیح داده شدهاست، نمونهای از همین روشهاست.
– محافظت از سایت در مقابل روش بروت فورس(Brute-Force)
آسانترین راه برای یک هکر این است که به بخش ورود سایت وردپرس رفته و رمز عبور کاربران را حدس بزند. این روش حمله به سایت بروت فورس نام دارد. در این شیوه هکر ها هیچ اقدامی برای رمزگشایی پسوورد ها انجام نمیدهند و فقط سعی میکنند آن را حدس بزنند.
بیشتر هکرها از اسکریپتهای خودکار جهت حمله بروت فورس به وبسایت استفاده میکنند. در اینصورت میتوانند تعداد حدس بیشتری را در لحظه داشته باشند. در واقع هدف هکرها دسترسی به حسابکاربری مدیرسایت است. در طی سالهای گذشته بیشتر از عبارت admin برای نام کاربری مدیر سایت استفاده میشد و همین هم کار ورود با سایت را آسانتر میکرد. انتخاب یک پسورد قوی باعث میشود تا دستیابی به آن مشکلتر شده و در مقابل این نوع حمله مصون بمانیم.
– محافظت از سایت در مقابل شیوههای رایج کرک
بیشتر وبسایتها رمزهای عبور را به صورت یک متن ساده ذخیره میکردند. در وردپرس رمزهای عبور به صورت hash ذخیره میشوند که از دزدیده شدن انها جلوگیری میکند.
در این شیوه از هک از یک دیکشنری برای حدس hash ای که در پایگاهداده ذخیره شده است، استفاده میکنند. استفاده از رمزهای عبور های قوی، کرک پایگاه داده را دشوار میکند. بهتر است از یک رمز عبور ثابت برای سایتهای مختلف استفاده نکنید. چون در صورت هک شدن یکی از این سایتها بقیه سرویسها نیز در اختیار هکر قرار میگیرد.
۴) به جای ftp از ssh و sftp استفادهکنید.
از پروتکل sftp برای واردشدن و انتقال فایلها و دستورهای دیگر استفاده نمایید زیرا این پروتکل از رمزگذاری قویتری نسبت به FTP استفاده میکند. به جای sftp از scp و ftps نیز میتوانید به عنوان جایگزین استفاده کنید. ftps با استفاده از tls رمز گذاری قوی را ممکن می سازد.
SFTP برای انتقال فایل روی SSH استفاده میشود. اما به گونه ای طراحی شده که میتواند توسط دیگر پروتکل ها هم مورد استفاده قرار گیرد.
۵)وردپرس را طوری راه اندازی کنید که از SSL و HTTPS استفاده کند
مرورگرها از پروتکلی به نام HTTP، برای ارتباط با وبسرور استفاده میکنند.HTTP بهعنوان یک پروتکل متن ساده، طراحی شده است. بعدها که پروتکل HTTPS توسط نتاسکپ معرفی شد، HTTP محبوبیت خود را از دست داد. HTTPS برقراری ارتباط رمزگذاری شده بین مرورگر و وبسرور را امکانپذیر میسازد.
۶) از فایل لاگ (log) برای شناسایی و جلوگیری از حملات احتمالی استفاده کنید
لاگهای یک وبسایت مهم ترین منابع اطلاعاتی هستند که با استفاده از ان میتوانیم از حملات احتمالی جلوگیری کنیم. افزونهی امنیتی wordfence تعداد لاگهای دسترسی(Access Log) و خطا ((Error Log را به مدیر سایت نشان میدهد تا افراد مراجعه کننده به سایت را بشناسد.
لاگ خطا حمله های وارد شده به سایت را نشان میدهد و لاگ دسترسی نیز شامل تمامی درخواستهایی است که به سایت فرستاده شده است. در واقع لاگ خطا زمانی ظاهر میشود که مشکلی رخ داده باشد.
۷) از فایل wp-config.php محافظت کنید
فایل wp-config.php شامل تمام اطلاعات محرمانهی یک سایت است. بهرای همین است که حتما باید از ان محافظت کنیم. یکی از آسانترین راه هایی که میتوانید از wp-config.php محافظت کنید این است که فایل زیر را در .htaccess قرار دهید.
files wp-config.php="" order allow,deny deny from all files
برای ارزیابی امنیت یک سایت ۳ مولفه مطرح میشود، در صورتیکه این سه مورد تحقق یابد، سایت ما امنیت بالایی خواهد داشت. در غیر اینصورت باید برای افزایش امنیت وردپرس خود تلاش بیشتری داشته باشیم.
۱.قابلیت دسترسی: کاربران باید در هر زمان امکان دسترسی به سایت را داشته باشند.
۲.امانت: کاربران باید از ایمن ماندن اطلاعات پایگاهداده اطمینان حاصل کنند.
۳.قابلیت اعتماد: اطلاعات خصوصی، شماره کاربری و رمزعبور باید محرمانه بمانند و هیچ فرد دیگری اجازه دسترسی به آن را نداشته باشد.
منبع : مجیدآنلاین
دوست عزیز مرسی از سایت خوبتون مطالب خیلی به جا و خوب هستند
میشه در مورد محافظت از حمله به پرستاشاپ هم مطلب بزارید ممنون میشم
ممنون مطالب مفید و به روزی دارید