در این پست قراره بهتون بگیم چطوری وردپرس امنتر کنیم ؟

اگر حضور آنلاین دارید، باید امنیت را در اولویت قرار دهید. و اگر وردپرس CMS شماست، قطعا باید امنیت را در اولویت قرار دهید.

به طور کلی، وردپرس یک CMS امن است، اما به دلیل منبع باز ( open source ) بودن، از آسیب پذیری های مهم مختلفی رنج می برد.

خوشبختانه، دستیابی به امنیت وردپرس زمانی ساده است که گام های درست را بردارید.

در این مقاله، ما با جزئیات رایج ترین و خطرناک ترین آسیب پذیری های امنیتی که با استفاده از وردپرس همراه است آشنا می شویم.

 سپس، ما تمام مراحلی را که برای مدیریت یک وب سایت وردپرس ایمن و ایمن نیاز دارید، پوشش خواهیم داد.

چرا به امنیت وردپرس نیاز دارید؟

بیایید در مورد دلایلی بحث کنیم که چرا هر وب سایت موفقی که با وردپرس ساخته شده است،

امنیت را در اولویت قرار می دهد. این موارد برای مشاغل در هر اندازه، شهرت و صنایع اعمال می شود.

از اطلاعات و شهرت شما محافظت می کند.

اگر مهاجمان به اطلاعات شخصی شما یا بازدیدکنندگان وب سایت شما دست یابند، کاری که می توانند با این اطلاعات انجام دهند پایانی ندارد. 

نقض امنیت شما را در معرض نشت داده های عمومی، سرقت هویت ، باج افزار، خرابی سرورها قرار می دهد

و لیست متأسفانه ادامه دارد. نیازی به گفتن نیست که هر یک از این رویدادها برای رشد و شهرت کسب و کار شما ایده آل نیست و معمولاً باعث اتلاف وقت، پول و انرژی می شود.

بازدیدکنندگان شما انتظار آن را دارند.

همانطور که کسب و کار شما رشد می کند، تعداد مشکلاتی که باید حل کنید و انتظارات مشتریان برای نحوه رسیدگی به این مشکلات افزایش می یابد. 

یکی از این مشکلات حفظ امنیت اطلاعات مشتریان شماست. 

اگر نتوانید از همان ابتدا این خدمات اساسی را ارائه دهید، اعتماد مشتری به خود را تضعیف خواهید کرد.

مشتریان شما باید اطمینان داشته باشند که اطلاعات آنها به طور ایمن استفاده و ذخیره می شود،

خواه اطلاعات تماس، اطلاعات پرداخت (که به رعایت PCI نیاز دارد )، یا پاسخ اولیه به نظرسنجی. یک نکته 22 در اینجا وجود دارد:

اگر اقدامات امنیتی شما کارساز باشد، مشتریان شما هرگز نیازی به دانستن آن نخواهند داشت. 

اگر آنها اخباری در مورد امنیت سایت شما ببینند، به احتمال زیاد این خبر بدی است و بیشتر آنها باز نخواهند گشت.

گوگل وب سایت های امن را دوست دارد.

ایمن نگه داشتن وب سایت وردپرسی خود سنگ بنای حفظ یک وب سایت با رتبه بالا است.

چرا؟ زیرا یک وب سایت ایمن یک وب سایت قابل جستجو است. 

امنیت وب سایت مستقیماً بر روی دید از جستجو در Google (و سایر موتورهای جستجو) تأثیر می گذارد و مدتی است.

 امنیت یکی از ساده ترین راه ها برای افزایش رتبه جستجوی شماست . 

می‌توانید در راهنمای نهایی ما برای فاکتورهای رتبه‌بندی Google در مورد عوامل دیگری که بر نحوه رتبه‌بندی گوگل وب‌سایت شما تأثیر می‌گذارند، مطالعه کنید .

واضح است که محافظت از اموال آنلاین شما باید یک نگرانی کلیدی باشد. 

هر وب سایتی باید ایمنی بازدیدکنندگان و کاربران خود را تضمین کند، و ما مراحل انجام این کار را مرور خواهیم کرد. 

اما ابتدا ممکن است این سوال برای شما پیش بیاید: آیا وردپرس امن است ؟

بیایید نگاهی به زیر بیاندازیم.

 

وردپرس چقدر امن است؟

وردپرس یک سیستم مدیریت محتوای ایمن است. 

با این حال، می تواند در برابر حملات آسیب پذیر باشد – درست مانند هر CMS.

هیچ راهی برای دور زدن آن وجود ندارد: وب سایت هایی که از وردپرس استفاده می کنند یک هدف محبوب برای حملات سایبری هستند. 

در گزارش امنیتی وردپرس خود، یک سرویس فایروال به نام Wordfence 18.5 میلیارد درخواست حمله رمز عبور را در وب سایت های وردپرس مسدود کرد. 

این نزدیک به 20 میلیارد حمله تنها به وب سایت های وردپرسی است.

این ممکن است کمتر تعجب آور باشد، زیرا بدانید که 42.7٪ از تمام وب سایت ها از وردپرس استفاده می کنند. 

با این وجود، حتی با در نظر گرفتن سهم بازار وردپرس، نزدیک به بیست میلیارد حمله هنوز بسیار زیاد است.

خبر بد ادامه دارد: 8 از 10 خطر امنیتی وردپرس بر اساس سیستم امتیازدهی آسیب پذیری رایج در امتیاز «متوسط» یا «بالا» قرار می گیرند .

اما قبل از اینکه حساب وردپرس خود را به سختی حذف کنید، باید بدانید که این اعداد کاملاً تقصیر وردپرس نیستند. 

یا حداقل تقصیر خود محصول وردپرس نیست.

وردپرس تیم امنیتی بزرگی از محققان و مهندسان کلاس جهانی را به کار می گیرد که به دنبال آسیب پذیری در سیستم خود هستند

و به طور منظم به روز رسانی های امنیتی را برای نرم افزار خود منتشر می کند. 

تا جایی که هسته وردپرس پیش می رود، ما تحت پوشش هستیم. مشکل این است که چگونه وردپرس در دسترس کاربرانش قرار می گیرد.

وردپرس یک نرم افزار منبع باز است،

به این معنی که کد منبع برای تغییر و توزیع برای هر کسی در دسترس است. 

از آنجایی که وردپرس متن باز است،

این نرم افزار بی نهایت قابل تنظیم و بهینه سازی است. 

هزاران پلاگین، تم، و توسعه‌دهنده‌ای وجود دارند که مهارت‌های لازم برای تغییر کد پشتیبان را دارند.

 این انعطاف‌پذیری یکی از ویژگی‌های تعیین‌کننده وردپرس است و بخش بزرگی از آنچه آن را بسیار قدرتمند و پرکاربرد می‌کند.

نقطه ضعف این همه آزادی این است که یک وب سایت وردپرس که به درستی پیکربندی یا نگهداری نشده است

مستعد مشکلات امنیتی بی شماری است. وردپرس قدرت زیادی به کاربران خود می دهد و با قدرت زیاد مسئولیت بزرگی نیز به همراه دارد. 

مسئولیتی که بسیاری از آن شانه خالی می کنند. هکرها این را می دانند و بر این اساس وب سایت های وردپرس را هدف قرار می دهند.

با دانستن موارد زیر می توانید راحت باشید: امنیت کامل به سادگی وجود ندارد، به خصوص آنلاین. همانطور که وردپرس می گوید :

«امنیت… کاهش ریسک است، نه حذف ریسک. این در مورد به کارگیری تمام کنترل های مناسب در دسترس شما است

که به شما امکان می دهد وضعیت کلی بدن خود را بهبود ببخشید و احتمال اینکه خود را هدف قرار دهید و متعاقباً هک شوید را کاهش دهید.

شما هرگز نمی توانید مصونیت کامل در برابر تهدیدات آنلاین را تضمین کنید،

اما می توانید اقداماتی را انجام دهید تا احتمال وقوع آنها بسیار کمتر شود. 

این واقعیت که شما در حال خواندن این مطلب هستید به این معنی است که احتمالاً به امنیت اهمیت می دهید و مایل هستید

که برای حفظ امنیت خود و بازدیدکنندگان خود تلاش بیشتری کنید. به طور خلاصه، وردپرس امن است ،

اما تنها در صورتی که کاربران آن امنیت را جدی بگیرند و بهترین شیوه ها را دنبال کنند.

مسائل امنیتی وردپرس

بنابراین، اگر کسی تصمیم بگیرد همه این اعداد را کنار بگذارد و هیچ کاری برای ایمن کردن سایت وردپرس خود انجام ندهد، چه اتفاقی می‌افتد؟ 

همانطور که معلوم است، بسیار. رایج ترین انواع حملات سایبری در وب سایت های وردپرسی عبارتند از:

تلاش‌های ورود به سیستم Brute-Force

این یکی از ساده ترین انواع حملات است. ورود brute-force زمانی اتفاق می‌افتد که مهاجمان از اتوماسیون استفاده می‌کنند تا خیلی سریع ترکیب‌های نام کاربری و رمز عبور را وارد کنند و در نهایت اعتبار درست را حدس بزنند. هک بی رحمانه می تواند به هر اطلاعات محافظت شده با رمز عبور دسترسی داشته باشد، نه فقط ورود به سیستم.

اسکریپت بین سایتی (XSS)

XSS زمانی اتفاق می‌افتد که یک مهاجم کد مخرب را به باطن وب‌سایت هدف «تزریق» می‌کند

تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند.

 این کد را می‌توان با ابزارهای پیچیده‌تر در پشتیبان معرفی کرد، یا صرفاً به‌عنوان پاسخ در یک فرم رو به رو کاربر ارسال کرد.

تزریق پایگاه داده

همچنین به عنوان تزریق SQL شناخته می شود، این زمانی اتفاق می افتد که یک مهاجم یک رشته کد مضر را از طریق برخی ورودی های کاربر، مانند فرم تماس، به یک وب سایت ارسال می کند. سپس وب سایت کد را در پایگاه داده خود ذخیره می کند. مشابه حمله XSS، کد مضر برای واکشی یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده روی وب سایت اجرا می شود.

درهای پشتی

Backdoor یک فایل حاوی کد است که به مهاجم اجازه می دهد تا ورود استاندارد وردپرس را دور بزند

و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان تمایل دارند که درهای پشتی را در میان سایر فایل های

منبع وردپرس قرار دهند و یافتن آنها توسط کاربران بی تجربه دشوار می شود. حتی در صورت حذف، مهاجمان می توانند انواع این درب پشتی را بنویسند

و به استفاده از آنها برای دور زدن ورود شما ادامه دهند.

اگرچه وردپرس انواع فایل‌هایی را که کاربران می‌توانند آپلود کنند محدود می‌کند تا شانس درب‌های پشتی را کاهش دهد، هنوز هم باید از آن آگاه بود.

حملات انکار سرویس (DoS).

این حملات مانع از دسترسی کاربران مجاز به وب سایت خود می شود. حملات DoS اغلب با بارگذاری بیش از حد یک سرور با ترافیک و ایجاد خرابی انجام می شود. این اثرات در مورد حمله انکار سرویس توزیع شده (DDoS) بدتر می شود، یک حمله DoS که توسط بسیاری از ماشین ها به طور همزمان انجام می شود.

فیشینگ

هنگامی که یک مهاجم با هدفی که به عنوان یک شرکت یا خدمات قانونی معرفی می شود تماس می گیرد، این به عنوان فیشینگ شناخته می شود . تلاش‌های فیشینگ معمولاً هدف را وادار می‌کند که اطلاعات شخصی را رها کند، بدافزار را دانلود کند یا از یک وب‌سایت خطرناک بازدید کند. اگر مهاجمی به حساب وردپرس شما دسترسی پیدا کند، حتی می‌تواند حملات فیشینگ را بر روی مشتریان شما هماهنگ کند و در عین حال خود را به عنوان شما نشان دهد.

Hotlinking

Hotlinking زمانی اتفاق می‌افتد که وب‌سایت دیگری محتوای تعبیه‌شده (معمولاً یک تصویر) را نشان می‌دهد که بدون اجازه در وب‌سایت شما میزبانی می‌شود،

به طوری که محتوا به نظر می‌رسد که متعلق به خودش است. 

در حالی که بیشتر شبیه دزدی است تا یک حمله تمام عیار، لینک هات معمولاً غیرقانونی است

و قربانی را با مشکلات جدی مواجه می کند، زیرا آنها باید هر بار که محتوا از سرور خود پس از نمایش در وب سایت دیگری نمایش داده می شود، هزینه پرداخت کنند.

برای وقوع این جنایات، هکرها باید حفره هایی را در امنیت سایت کشف کنند. 

آسیب پذیری های رایجی که هکرها هنگام هدف قرار دادن وب سایت های وردپرس به دنبال آن هستند عبارتند از:

  • پلاگین ها: افزونه های شخص ثالث اکثر موارد نقض امنیت وردپرس را تشکیل می دهند. از آنجایی که افزونه ها توسط اشخاص ثالث ایجاد می شوند و به پشتیبان وب سایت شما دسترسی دارند، کانال مشترکی برای هکرها هستند که عملکرد سایت شما را مختل می کنند.
  • نسخه های قدیمی وردپرس: وردپرس گاهی اوقات نسخه های جدیدی از نرم افزار خود را برای اصلاح آسیب پذیری های امنیتی منتشر می کند. هنگامی که رفع می شود، آسیب پذیری ها به اطلاع عموم می رسد و مشکلات نسخه های قدیمی وردپرس اغلب توسط هکرها هدف قرار می گیرند.
  • صفحه ورود: صفحه ورود به سیستم باطن برای هر وب سایت وردپرس به طور پیش فرض URL اصلی سایت است که “/wp-admin” یا “/wp-login.php” به انتهای آن اضافه شده است. مهاجمان می توانند به راحتی این صفحه را پیدا کرده و اقدام به ورود brute force کنند.
  • تم ها: بله، حتی قالب وردپرس شما می تواند سایت شما را در برابر حملات سایبری باز کند. تم های قدیمی ممکن است با جدیدترین نسخه وردپرس ناسازگار باشند و امکان دسترسی آسان به فایل های منبع شما را فراهم کنند. همچنین، بسیاری از تم های شخص ثالث از استانداردهای وردپرس برای کد پیروی نمی کنند، که باعث مشکلات سازگاری و آسیب پذیری های مشابه می شود.

 

برای نگاهی عمیق تر به مسائل امنیتی وردپرس، به مقاله ما در مورد مسائل امنیتی وردپرس که باید در مورد آنها بدانید مراجعه کنید.

خوب الان دیگه بریم سراغ نکات امنیتی وردپرس که باید انجام بدیم

چگونه سایت وردپرس خود را ایمن کنیم

  1. مراحل ورود خود را ایمن کنید.
  2. از هاست ایمن وردپرس استفاده کنید.
  3. نسخه وردپرس خود را به روز کنید.
  4. به آخرین نسخه PHP آپدیت کنید.
  5. یک یا چند افزونه امنیتی را نصب کنید.
  6. از یک تم وردپرس امن استفاده کنید.
  7. SSL/HTTPS را فعال کنید.
  8. فایروال نصب کنید.
  9. از وب سایت خود نسخه پشتیبان تهیه کنید.
  10. اسکن های امنیتی وردپرس را به طور منظم انجام دهید.
  11. کاراکترهای خاص را از ورودی کاربر فیلتر کنید.
  12. محدود کردن مجوزهای کاربران وردپرس
  13. از مانیتورینگ وردپرس استفاده کنید.
  14. ثبت فعالیت کاربر
  15. URL پیش فرض ورود به وردپرس را تغییر دهید.
  16. ویرایش فایل را در داشبورد وردپرس غیرفعال کنید.
  17. پیشوند فایل پایگاه داده خود را تغییر دهید.
  18. فایل xmlrpc.php خود را غیر فعال کنید.
  19. حذف حساب پیش فرض مدیریت وردپرس را در نظر بگیرید.
    1. نسخه وردپرس خود را مخفی کنید.

    اکنون که بخش ترسناک را پشت سر گذاشتیم، بیایید در مورد آنچه که می توانید برای کاهش خطر حمله سایبری به وب سایت وردپرس خود انجام دهید، بحث کنیم.

امنیت وب‌سایت، و با افزودن امنیت وب‌سایت وردپرس، به دنبال مجموعه‌ای از بهترین شیوه‌ها است.

برخی از این موارد به طور کلی برای همه وب سایت ها اعمال می شود

(به عنوان مثال رمزهای عبور قوی و احراز هویت دو مرحله ای، SSL و فایروال ها)، در حالی که برخی دیگر

به طور خاص برای وب سایت های وردپرس اعمال می شوند (به عنوان مثال استفاده از افزونه های امن و یک موضوع وردپرس ایمن).

برای اینکه سایت خود را در ایمن ترین حالت خود نگه دارید، توصیه می کنیم تا جایی که

می توانید از این بهترین شیوه ها پیروی کنید. ابتدا، بهترین شیوه های اساسی را پوشش خواهیم داد.

سپس اگر سایت شما به‌ویژه در معرض خطر است یا اگر می‌خواهید حتی فراتر بروید، اقدامات بیشتری را اضافه می‌کنیم.

بهترین روش های امنیتی وردپرس

1. مراحل ورود خود را ایمن کنید.

اساسی ترین گام برای ایمن سازی وب سایت شما، ایمن نگه داشتن حساب های خود از تلاش های مخرب برای ورود است. برای انجام این:

  • از گذرواژه‌های قوی استفاده کنید : قبلاً فکر می‌کردیم در آینده اتومبیل‌های پرنده وجود خواهند داشت، اما از امسال، مردم همچنان از «123456» به عنوان رمز عبور استفاده می‌کنند. مطمئن شوید که همه کاربرانی که در وردپرس شما حساب دارند از رمزهای عبور قوی برای ورود استفاده می کنند. ممکن است بخواهید از یکی از مدیران رمز عبور توصیه شده ما برای ایجاد رمزهای عبور قوی و پیگیری آنها برای خود استفاده کنید.
  • فعال کردن احراز هویت دو مرحله‌ای : احراز هویت دو مرحله‌ای (2FA) از کاربران می‌خواهد تا ورود خود را با دستگاه دوم تأیید کنند. این یکی از ساده ترین و در عین حال موثرترین ابزارها برای ایمن سازی ورود شماست. در اینجا نحوه افزودن احراز هویت دو مرحله ای در وردپرس آورده شده است.
  • هیچ نام کاربری حسابی را “admin” نسازید: به احتمال زیاد، این اولین نام کاربری خواهد بود که مهاجمان در طول تلاش برای ورود به سیستم وارد می شوند. اگر قبلاً کاربری با این نام ایجاد کرده‌اید، یک حساب کاربری جدید با نام کاربری دیگری ایجاد کنید.
  • محدود کردن تلاش‌ها برای ورود : قرار دادن یک کلاه بر تعداد دفعاتی که کاربر اعتبارنامه‌های اشتباه را در مدت زمان مشخصی وارد می‌کند، از هکرها جلوگیری می‌کند. برخی از سرویس‌های میزبانی و فایروال‌ها ممکن است این کار را برای شما انجام دهند، اما می‌توانید افزونه‌ای مانند Limit Login Attempts را نیز برای این کار نصب کنید.
  • افزودن کپچا : احتمالاً این ویژگی امنیتی را در بسیاری از وب‌سایت‌های دیگر دیده‌اید. آنها با تأیید اینکه شما واقعاً یک فرد زنده هستید، یک لایه امنیتی اضافی به ورود شما اضافه می کنند. می توانید از افزونه ها برای افزودن کپچا به سایت خود استفاده کنید. reCaptcha by BestWebSoft یکی از مواردی است که ما توصیه می کنیم — راهنمای ما برای فعال کردن Google reCaptcha در وردپرس را ببینید.
  • فعال کردن خروج خودکار : در حالی که باید به خاطر داشته باشید که پس از اتمام از حساب WP خود خارج شوید، خروج خودکار از ورود افراد غریبه به حساب شما در صورت فراموشی جلوگیری می کند. برای فعال کردن خروج خودکار در حساب وردپرس خود، افزونه Inactive Logout را امتحان کنید .

 

2. از هاست امن وردپرس استفاده کنید.

هنگام انتخاب سرویسی که وب سایت شما را میزبانی می کند، عوامل زیادی باید در نظر گرفته شود، اما امنیت باید در اولویت باشد. 

سرویس هایی را در نظر بگیرید که اقداماتی را برای محافظت از اطلاعات شما انجام داده اند

و در صورت وقوع حمله، به سرعت بازیابی می شوند.

3. نسخه وردپرس خود را به روز کنید.

نسخه های قدیمی نرم افزار وردپرس یک هدف بسیار رایج برای هکرها است. اطمینان حاصل کنید که به‌طور مرتب به‌روزرسانی‌های وردپرس را در اسرع وقت بررسی و نصب می‌کنید تا آسیب‌پذیری‌های موجود در نسخه‌های قدیمی‌تر را از بین ببرید.

برای به روز رسانی وردپرس به آخرین نسخه، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و بررسی کنید که افزونه های شما با آخرین نسخه وردپرس سازگار است و افزونه ها را بر این اساس به روز کنید. برای نحوه به روز رسانی افزونه های وردپرس خود می توانید به راهنمای ما مراجعه کنید .

پس از به روز رسانی افزونه های خود، دستورالعمل های به روز رسانی در وب سایت وردپرس را دنبال کنید .

4. به آخرین نسخه PHP آپدیت کنید.

ارتقاء به آخرین نسخه PHP یکی از مهم ترین اقداماتی است که می توانید برای حفظ امنیت وب سایت وردپرس خود بردارید. هنگامی که ارتقاء آماده شد، وردپرس در داشبورد خود به شما اطلاع می دهد. سپس از شما می خواهد که به حساب میزبانی خود بروید تا به آخرین نسخه PHP ارتقا دهید. اگر به حساب میزبانی خود دسترسی ندارید، برای ارتقا با توسعه دهنده وب خود تماس بگیرید.

5. یک یا چند افزونه امنیتی را نصب کنید.

ما به شدت توصیه می کنیم یک یا چند افزونه امنیتی معتبر را در وب سایت خود نصب کنید. این افزونه‌ها بسیاری از کارهای دستی مرتبط با امنیت را برای شما انجام می‌دهند، از جمله اسکن وب‌سایت شما برای تلاش‌های نفوذ، تغییر فایل‌های منبعی که ممکن است سایت شما را مستعد کند، تنظیم مجدد و بازیابی سایت وردپرس ، و جلوگیری از سرقت محتوا مانند لینک‌های داغ. برخی از افزونه های معتبر تقریباً همه چیز را در این لیست پوشش می دهند.

هر افزونه(هایی) را که تصمیم به نصب دارید، چه مربوط به امنیت باشد چه نباشد، مطمئن شوید که به خوبی تثبیت شده و قانونی هستند. لیست افزونه های امنیتی وردپرس توصیه شده ما را ببینید .

6. از یک قالب وردپرس امن استفاده کنید.

درست مثل اینکه نباید یک پلاگین کلی را در سایت خود نصب کنید، در مقابل تمایل به استفاده از هر قالب وردپرس که خوب به نظر می رسد مقاومت کنید. برای جلوگیری از آسیب‌پذیری‌های ناشی از قالب وردپرس، یکی را انتخاب کنید که با استانداردهای وردپرس مطابقت داشته باشد.

7. SSL/HTTPS را فعال کنید.

SSL (لایه سوکت های ایمن) فناوری است که اتصالات بین وب سایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری می کند و اطمینان می دهد که ترافیک بین سایت شما و رایانه بازدیدکنندگان از رهگیری های ناخواسته در امان است.

برای اینکه ببینید سایت وردپرس شما از پروتکل SSL پیروی می کند یا خیر، از صفحه اصلی سایت وردپرس خود دیدن کنید. اگر URL صفحه اصلی با “https://” شروع شود (s مخفف “secure”)، اتصال شما با SSL ایمن می شود. اگر URL با “http://” شروع می شود، باید یک گواهی SSL برای وب سایت خود دریافت کنید .

8. یک فایروال نصب کنید.

یک فایروال بین شبکه ای که سایت وردپرس شما را میزبانی می کند و تمام شبکه های دیگر قرار می گیرد و به طور خودکار از ورود ترافیک غیرمجاز از خارج به شبکه یا سیستم شما جلوگیری می کند. فایروال ها با حذف ارتباط مستقیم بین شبکه شما و سایر شبکه ها، از فعالیت های مخرب سایت شما جلوگیری می کنند.

توصیه می کنیم برای محافظت از سایت وردپرس خود یک افزونه Web Application Firewall (WAF) نصب کنید. 

9. از وب سایت خود نسخه پشتیبان تهیه کنید.

هک شدن بد است از دست دادن تمام اطلاعات شما حتی بدتر است. اطمینان حاصل کنید که در صورت بروز حمله (یا هر حادثه دیگری) که باعث از دست رفتن داده ها می شود، از اطلاعات وب سایت خود توسط وردپرس و میزبان خود نسخه پشتیبان تهیه شده است. توصیه می کنیم بک آپ گیری نیز خودکار باشد. لیست ما از بهترین افزونه های پشتیبان وردپرس موجود را ببینید.

10. اسکن های امنیتی وردپرس را به طور منظم انجام دهید.

این ایده خوبی است که چک آپ های معمولی را در سایت خود انجام دهید. حداقل یک بار در ماه هدف گذاری کنید. چندین افزونه وجود دارد که می تواند سایت شما را برای شما اسکن کند. در اینجا هفت افزونه اسکنر وردپرس را پیشنهاد می کنیم .

هنگامی که این مراحل اولیه را انجام دادید، سپس می توانید به اقدامات پیشرفته تر برای ایمن سازی وب سایت وردپرس خود بروید.

بهترین روش های امنیتی پیشرفته وردپرس

1. کاراکترهای خاص را از ورودی کاربر فیلتر کنید.

اگر هر بخشی از وب سایت شما پاسخ بازدیدکنندگان را بپذیرد، چه فرم پرداخت، یک فرم تماس یا حتی یک بخش نظر در یک پست وبلاگ،

این فرصتی برای حمله به XSS یا تزریق پایگاه داده است. مهاجمان می توانند کدهای مخرب را در هر یک از این فیلدهای متنی وارد کرده و باطن وب سایت شما را مختل کنند.

2. مجوزهای کاربر وردپرس را محدود کنید.

اگر سایت وردپرس شما دارای چندین حساب کاربری است، توصیه می کنیم نقش هر کاربر را تغییر دهید تا دسترسی آنها را فقط به آنچه نیاز دارد محدود کنید. وردپرس شش نقش برای هر کاربر دارد. با محدود کردن تعداد کاربران دارای مجوزهای سرپرست، احتمال ورود مهاجم به حساب کاربری مدیریت را کاهش می‌دهید و آسیبی را که مهاجم به درستی اعتبار کاربر را حدس بزند، محدود می‌کند. راهنمای ما در مورد نحوه تغییر مجوزهای کاربر وردپرس را ببینید.

3. از مانیتورینگ وردپرس استفاده کنید.

وجود یک سیستم مانیتورینگ برای وب سایت شما، هر گونه فعالیت مشکوکی را که در سایت شما اتفاق می افتد به شما هشدار می دهد. در حالت ایده‌آل، اقدامات دیگر شما از چنین فعالیتی جلوگیری می‌کرد، اما بهتر است زودتر متوجه شوید. شما می توانید از یک افزونه نظارت بر وردپرس برای دریافت هشدار در صورت وجود نقض استفاده کنید.

4. ثبت فعالیت کاربر.

راه دیگری برای رهایی از مشکلات قبل از وقوع آنها وجود دارد: گزارشی از تمام فعالیت هایی که کاربران در وب سایت شما انجام می دهند ایجاد کنید و این گزارش را به صورت دوره ای برای فعالیت مشکوک بررسی کنید. به این ترتیب، خواهید دید که آیا کاربر دیگری مشکوک عمل می کند (مثلاً تلاش برای تغییر رمز عبور، تغییر موضوع یا فایل های افزونه، نصب یا غیرفعال کردن افزونه ها بدون اجازه). گزارش‌ها همچنین برای پاکسازی پس از هک مفید هستند و به شما نشان می‌دهند چه چیزی و چه زمانی اشتباه رخ داده است.

این بدان معنا نیست که همه تغییرات رمز عبور یا اصلاحات فایل همیشه نشانه وجود یک هکر در تیم شما است. با این حال، اگر مشارکت‌کنندگان خارجی زیادی را به کار می‌گیرید و به آن‌ها مجوز دسترسی می‌دهید، همیشه ایده خوبی است که مراقب چیزها باشید.

بسیاری از افزونه‌های وردپرس گزارش‌های فعالیت ایجاد می‌کنند و چندین افزونه ثبت‌نام اختصاصی برای وردپرس مانند WP Activity Log یا افزونه رایگان Activity Log وجود دارد.

5. URL پیش فرض ورود به وردپرس را تغییر دهید.

همانطور که اشاره کردم، URL پیش فرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی به راحتی پیدا می شود.

افزونه هایی مانند WPS Hide Login URL صفحه ورود را برای شما تغییر می دهند.

6. ویرایش فایل را در داشبورد وردپرس غیرفعال کنید.

به طور پیش فرض، وردپرس به مدیران اجازه می دهد تا کد فایل های خود را مستقیماً با ویرایشگر کد ویرایش کنند. این به مهاجمان راه آسانی برای تغییر فایل های شما در صورت دسترسی به حساب کاربری شما می دهد. اگر افزونه‌ای قبلاً این ویژگی را غیرفعال نکرده است، می‌توانید مقداری کدگذاری سبک انجام دهید تا خودتان آن را غیرفعال کنید. کد زیر را به انتهای فایل wp-config.php اضافه کنید:

// Disallow file edits

define( ‘DISALLOW_FILE_EDIT’, true );

7. پیشوند فایل پایگاه داده خود را تغییر دهید.

نام فایل هایی که پایگاه داده وردپرس شما را تشکیل می دهند به طور پیش فرض با “wp_” شروع می شود. هکرها از این تنظیم برای مکان یابی فایل های پایگاه داده شما بر اساس نام و انجام تزریق SQL استفاده می کنند.

یک تعمیر ساده؟ پیشوند را به چیزی متفاوت تغییر دهید، مانند “wpdb_” یا “wptable_”. تنظیم این مورد در هنگام نصب سیستم مدیریت محتوا وردپرس امکان پذیر است. اگر سایت شما از قبل با این تنظیمات فعال است، می توانید نام این فایل ها را تغییر دهید. در این مورد، ما به شدت توصیه می کنیم از یک افزونه برای مدیریت این فرآیند استفاده کنید، زیرا پایگاه داده شما تمام محتوای شما را ذخیره می کند و پیکربندی نادرست وب سایت شما را خراب می کند. به دنبال توانایی تغییر پیشوندهای جدول در میان ویژگی های افزونه امنیتی مورد نظر خود باشید.

8. فایل xmlrpc.php خود را غیر فعال کنید.

XML-RPC یک پروتکل ارتباطی است که CMS وردپرس را قادر می سازد تا با وب خارجی و برنامه های تلفن همراه تعامل داشته باشد. از زمان ادغام WordPress REST API ، XML-RPC بسیار کمتر از گذشته استفاده می شود. با این حال، هنوز هم توسط برخی برای راه اندازی حملات قدرتمند به سایت های وردپرس استفاده می شود.

این به این دلیل است که فناوری XML-RPC به مهاجمان اجازه می‌دهد درخواست‌هایی حاوی صدها فرمان را ارسال کنند و انجام حملات ورود به سیستم brute force را آسان‌تر می‌کند. XML-RPC نیز نسبت به REST از امنیت کمتری برخوردار است زیرا درخواست های آن حاوی اعتبارنامه های احراز هویت هستند که می توانند مورد سوء استفاده قرار گیرند.

اگر از XML-RPC استفاده نمی کنید، می توانید فایل xmlrpc.php را غیرفعال کنید. ابتدا بررسی کنید که آیا سایت شما از فایل استفاده می کند یا خیر. URL خود را به این اعتبارسنجی XML-RPC وصل کنید تا بررسی کنید که آیا سایت شما در حال حاضر از پروتکل استفاده می کند یا خیر. اگر نه، ساده ترین راه برای غیرفعال کردن این فایل با افزونه ای مانند Disable XML-RPC-API است. افزونه امنیتی وردپرس شما نیز ممکن است بتواند این کار را برای شما انجام دهد.

9. حذف حساب پیش فرض مدیریت وردپرس را در نظر بگیرید.

ما درباره تغییر نام کاربری «admin» برای حساب پیش‌فرض مدیریت وردپرس بحث کرده‌ایم، اما اگر می‌خواهید قدمی جلوتر بردارید، به‌کلی از شر این حساب پیش‌فرض خلاص شوید و یک حساب کاربری جدید با همان مجوزهای مدیر ایجاد کنید. اگر فکر می کنید که نام کاربری و رمز عبور مدیریت اصلی شما کشف شده است، این گام خوبی است که باید بردارید.

10. نسخه وردپرس خود را مخفی کنید.

مخفی کردن نسخه وردپرس باعث می شود که هکرها از آسیب پذیر بودن سایت شما اطلاعی نداشته باشند. همانطور که قبلا گفته شد، همیشه باید به آخرین نسخه وردپرس آپدیت کنید. اما اگر هنوز فرصت این کار را پیدا نکرده اید، مهم است که آسیب پذیری احتمالی را پنهان کنید. در اینجا یک آموزش در مورد نحوه مخفی کردن نسخه وردپرس خود آورده شده است.

اگر هک شدید چه کاری انجام دهید

بنابراین، شما برخی یا همه اقدامات فوق را اجرا کرده اید و اکنون می خواهید در صورت بروز مشکل، آمادگی بیشتری داشته باشید. یا، مشکلی پیش آمده است. در هر صورت، در اینجا چه کاری باید انجام شود:

1. آرامش خود را حفظ کنید.

ترسیدن در این مواقع طبیعی است. فقط به یاد داشته باشید که یک نقض امنیتی ممکن است برای هر کسی اتفاق بیفتد. لازم است یک سر واضح داشته باشید تا بتوانید منبع نقض را پیدا کنید و شروع به رفع آن کنید.

2. حالت تعمیر و نگهداری را در وب سایت خود روشن کنید.

محدود کردن دسترسی به سایت شما، بازدیدکنندگان را از کنار شما دور نگه می‌دارد و از حمله در امان نگه می‌دارد. فقط زمانی وب سایت خود را باز کنید که مطمئن باشید اوضاع تحت کنترل است.

3. شروع به ایجاد گزارش حادثه کنید.

تمام جزئیات مربوطه را که می تواند به حل مشکل کمک کند، ثبت کنید. این موارد شامل، اما محدود به موارد زیر نیست:

  • وقتی مشکل را کشف کردید.
  • چه چیزی باعث شد باور کنید مورد حمله قرار گرفته اید.
  • موضوع فعلی، افزونه‌های فعال، ارائه‌دهنده میزبانی و ارائه‌دهنده شبکه شما.
  • هر گونه تغییرات اخیری که قبل از حادثه در سایت وردپرس خود ایجاد کرده اید.
  • گزارشی از اقدامات شما هنگام پیدا کردن و رفع مشکل.

با در دسترس قرار گرفتن جزئیات بیشتر، این سند را به روز کنید.

4. بازنشانی دسترسی و مجوزها.

برای جلوگیری از هر گونه تغییر بیشتر وب سایت، تمام رمزهای عبور حساب را در سایت وردپرس خود تغییر دهید. در مرحله بعد، تمام کاربرانی که هنوز وارد سیستم شده‌اند را به زور از سیستم خارج کنید.

همه دارندگان حساب نیز باید قویاً به‌روزرسانی رمزهای عبور در دستگاه‌های کاری و شخصی خود و همچنین حساب‌های شخصی را در نظر بگیرند، زیرا نمی‌توانید مطمئن باشید که مهاجمان به چه چیزی فراتر از سایت وردپرس شما دسترسی داشته‌اند.

5. مشکل را تشخیص دهید.

یا خودتان با یک افزونه امنیتی مشکل را جستجو کنید یا بسته به مقیاس حمله، یک متخصص را برای تشخیص مشکل و تعمیر سایت خود استخدام کنید. صرف نظر از روشی که انتخاب می‌کنید، یک اسکن امنیتی روی سایت و فایل‌های محلی خود اجرا کنید تا فایل‌ها یا کدهای مضر باقی‌مانده را که مهاجمان ممکن است به جا گذاشته باشند پاک کنید و فایل‌های از دست رفته را بازیابی کنید.

6. وب سایت ها و کانال های مرتبط را بررسی کنید.

اگر برای هر پلتفرم آنلاین دیگری که به وب سایت خود مرتبط است، مانند حساب رسانه های اجتماعی یا سایت وردپرس دیگری، حساب دارید، این پلتفرم ها را بررسی کنید تا ببینید آیا تحت تأثیر قرار گرفته اند یا خیر. رمز عبور خود را برای این کانال ها نیز تغییر دهید.

7. نسخه پشتیبان، تم ها و افزونه ها را دوباره نصب کنید.

تم و افزونه های خود را مجدداً نصب کنید (دوباره بررسی کنید که ایمن هستند). اگر یک نسخه پشتیبان در محل دارید، آخرین نسخه پشتیبان را قبل از حادثه بازیابی کنید.

8. پسوردهای سایت خود را دوباره تغییر دهید.

بله، شما قبلاً همه رمزهای عبور وردپرس را بازنشانی کرده اید، اما ممکن است در حین رفع مشکل، این اعتبارنامه ها به خطر بیفتد. هرگز نمی توانی خیلی مواظب باشی.

9. به مشتریان و ذینفعان خود هشدار دهید.

پس از اینکه سایت شما دوباره راه اندازی شد، به شدت به مشتریان خود ارتباط برقرار کنید و آنها را از حمله آگاه کنید، به خصوص اگر اطلاعات شخصی در دسترس بوده و لو رفته باشد. این کار درستی است و برای پاسخ های منفی مشتریان آماده باشید.

10. بررسی کنید که وب سایت شما در لیست سیاه گوگل قرار نگیرد.

اگر وب سایت شما در نتیجه حمله توسط گوگل در لیست سیاه قرار گرفت، گوگل به کاربران در مورد ورود به وب سایت شما به طور نامحسوس هشدار نمی دهد:

در حالی که قرار دادن لیست سیاه برای دور نگه داشتن کاربران از وب سایت های مضر ضروری است، همچنین بیشتر ترافیک سایت قانونی شما را ترسانده است. Sucuri یک ابزار رایگان برای اسکن وب سایت شما برای وضعیت لیست سیاه گوگل دارد.