چک لیست تامین امنیت وردپرس
مقالات وردپرسچگونه میتوانیم امنیت وردپرس را چندین مرحله افزایش دهیم ؟ چک لیست تامین امنیت وردپرس در سطوح بالاتر را در این مقاله مطالعه کنید .
وردپرس محبوب ترین سیستم مدیریت محتوای دنیا است که هم اکنون بسیاری از شما وب سایت های خود را بروی آن اجرا میکنید . وردپرس توسط قالب و افزونه هایی که برای آن توسعه داده شده ، مخاطبین بسیاری را هدف قرار داده و به همین دلیل تقریبا انجام هرکاری در وردپرس به سادگی نصب یک افزونه است ! اما برخی از کارها را نمیتوان توسط افزونه ها انجام داد و در ابتدا کمی سخت هستند ، ولی به مرور این کارها نیز توسط افزونه ها قابل انجام میشوند .
یکی از مهم ترین موارد در هر وب سایتی موضوع امنیت است ! به عبارتی اگر شما یک وب سایت داشته باشید و آن را روی هاست و دامنه خودتان اجرا کنید ، اگر امنیت این سیستم تامین نشود ، مطمئنا قابل استفاده نخواهد بود . اگر شما یک سیستم اختصاصی را برنامه نویسی کرده باشید ، تامین امنیت آن کار بسی دشوار است و باید از جنبه های زیادی مباحث تامین امنیت را انجام دهید . اما زمانی که از سیستم هایی همچون وردپرس استفاده میکنید امنیت بخش های زیادی از سیستم در حالت اولیه تامین شده و میتوانید با اطمینان خاطر بیشتری از سایت خود استفاده کنید ، اما بازهم باید برخی موارد امنیتی روی وردپرس انجام شود تا حد بسیار زیادی ضرایب امنیتی را اجرا کرد .
سیستم های شناخته شده همچون وردپرس برخی موارد ریز دارند که باید بعنوان یک صاحب وب سایت وردپرسی به آن توجه داشته باشید . وردپرس برای تمام دنیا به یک شکل ارائه شده است و با یک چارچوب در اختیار همگان است به همین دلیل تمامی زیر و بم آن شناخته شده است . با اینکه وردپرس همواره در بازه های زمانی کوتاه ، با ارائه آپدیت های منظم ، باگ های امنیتی و کاربری خود را رفع می کند ، اما لازم است تا بخش های شناخته شده در وردپرس که باعث ایجاد باگ های امنیتی می شوند را مسدود کرده یا تا حدممکن کمرنگ کرد . یکی از ساده ترین مثال ها ، صفحه ورود به مدیریت وردپرس است . آدرس پیشفرض برای ورود به بخش مدیریت وردپرس آدرس زیر است :
شما در هر وب سایت وردپرسی که آدرس صفحه ورود خود را تغییر نداده است اگر در ادامه آدرس دامنه اصلی ، آدرس wp-login/ را وارد کنید ، وارد صفحهای می شوید که با تایپ کردن نام کاربری و کلمه عبور میتوانید به پیشخوان مدیریت وب سایت مدنظر وارد شوید ( البته درصورت وارد کردن صحیح نام کاربری و رمز عبور ) . ورود به بخش مدیریت یک وب سایت یعنی دسترسی به تمامی بخش های یک وب سایت همچون مطالب ، محصولات ، کاربران و … پس یکی از مهم ترین بخش های سایت ، این صفحه است که باید امنیت های این صفحه را تامین نمود . در ادامه به بررسی تمامی این بخش ها خواهیم پرداخت و با بررسی یک به یک این قسمت ها ، نهایتا به معرفی افزونه کاربردی و رایگان وردپرس خواهیم پرداخت که تمامی این موارد را میتوانید بدون زحمت اضافی انجام دهید .
اولین گام امنیت ، بروز رسانی های منظم در وردپرس
وردپرس در بازه های زمانی مناسب ، بروزرسانی های لازم برای هسته خود را ارائه میکند و مطمئنا همه شما نیز به روش بروز رسانی وردپرس به نسخه های جدید آشنا هستید و میتوانید تنها با یک کلیک ، وردپرس خود را بروز کنید . در کنار بروز رسانی وردپرس ، تمامی افزونه هایی که نیاز به بروزرسانی دارند را نیز باید فورا بروز کنید . این مهم ترین موضوع در تامین امنیت وب سایت شما است . توجه داشته باشید که افزونه ها و قالب هایی که نیاز ندارید را از سیستم خود حذف کنید ( حتی در حالت غیرفعال نیز قرار ندهید ) . البته برای راحتی در بروز رسانی های بموقع ، میتوان از بروز رسانی خودکار استفاده کرد .
نصب پوسته و افزونه از منابع معتبر
بهترین منبع برای دانلود پوسته و افزونه ، مخزن وردپرس است به این دلیل که میتوانید با اطمینان خاطر پلاگین ها و قالب های خود را مستقیما از طریق داشبورد مدیریت بروی وردپرس خود نصب کنید . البته قبول داریم که ممکن است قالب های داخل مخزن بسیار ساده باشد و پلاگین هایی که ارائه شده است نیز اکثرا زبان فارسی را فعلا پشتیبانی نمی کنند و نسخه های پرو آنها نیز باید حریداری شود . در این شرایط باید به سراغ وب سایت های شناخته شده و معتبر بروید . مارکت هایی که در داخل کشور خودمان فعالیت دارند شناخته شده هستند و میتوانید با پرداخت هزینه به آنها ، قالب و افزونه مورد نیاز خود را خریداری کنید .
درصورتی که قالب یا افزونه خاصی را به شکل رایگان از سایت هایی که کمتر شناخته شده هستند قصد دانلود دارید ، توجه داشته باشید که قالب و افزونه های وردپرس به شکل متن باز هستند و میتوانید داخل آنها تغییرات مدنظر را با زبان برنامه نویسی php اعمال کنید ، بنابراین اگر به هر دلیل کدهای نامناسب داخل قالب و افزونه قرار گرفته باشد ، پس از نصب افزونه یا قالب ، ممکن است عملکرد سایت شما مختل شود . همچنین اگر کدهای مخرب در سایت شما اعمال نشود ، ممکن است برخی تبلیغات ها در داخل داشبورد سایت شما نمایش داده شود که خوشایند نیست . بنابراین باید هنگام استفاده از قالب و افزونه از منابع کمتر شناخته شده ، محتاط تر باشید .
استفاده از نام کاربری و رمز عبور پیچیده
اگر برای گام اول وردپرس را نصب می کنید لازم است تا نام کاربری خود را کمی دشوار در نظر بگیرید . استفاده از نام کاربری admin به هیچ عنوان نباید انجام شود . در مورد رمز عبور نیز توصیه می شود از رمز عبور پیشنهادی خود وردپرس که بسیار قوی است استفاده کنید و این پسورد را در محلی ذخیره کنید تا هنگام ورود به پیشخوان وردپرس آن را جایگذاری کنید . اگر برای کاربران نیز قصد ساخت حساب کاربری از بخش کاربران دارید ، همین موارد را در ذهن داشته باشید تا نام کاربری و کلمه عبور مناسب تنظیم شود .
تغییر نام کاربری و نام نمایشی در وردپرس
پس از اینکه وردپرس را نصب کردید و برای اولین بار وارد داشبورد وردپرس شدید ، نامی که بعنوان نویسنده در سایت به کاربران نمایش داده میشود ، دقیقا نام کاربری شما است که جهت ورود به بخش پیشخوان وردپرس استفاده می کنید ! این موضوع به این معنی است که 50% اطلاعات ورود به پیشخوان وردپرس را در اختیار دیگران قرار میدهید . پس لازم است تا پس از نصب وردپرس و ورود به بخش پیشخوان ، به قسمت ویرایش حساب کاربری خود رفته و یک نام نمایشی برای خودتان تنظیم کرده و سپس تعیین کنید که در داخل وب سایت نامی که تنظیم کردید بجای نام کاربری داخل سایت نمایش داده شود . حتما پس از نصب وردپرس این مورد باید انجام شود . این موضوع در سایت هایی که به شکل تیمی کار می کنند اهمیت بالایی دارد . همچنین توجه داشته باشید که علاوه بر بخش مدیریت وردپرس ، باید برای سایر قسمت های سایت همچون پنل مدیریت هاست و … نیز از کلمه عبور قوی استفاده کنید .
تغییر آدرس صفحه ورود به پیشخوان وردپرس
همانطور که در ابتدای مطلب اشاره شد ، آدرس ورود به صفحه لاگین وردپرس یا به عبارتی صفحهای که از شما نام کاربری و رمز عبور جهت لاگین شدن درخواست می شود ، مشخص است و برای تمامی سایت های وردپرس یکسان است . اما این حرف به این معنی نیست که نمیتوان آدرس این صفحه را تغییر داد . نحوه درست انجام این کار را در ادامه صفحه خدمتتان آموزش خواهیم داد . زمانی که آدرس صفحه لاگین سایت شما مشخص است ، شخص نفوذ کننده به فرم ورود اطلاعات نام کاربری و کلمه عبور دسترسی دارد از این جهت میتوان توسط حمله خاصی به نام بورت فورث که اساس کار آن تست نام کاربری و کلمه عبور های متفاوت جهت رسیدن به یک نتیجه نهایی است را انجام داد . در حملات بورت فورث ، توسط یک بد افزار ، نام کاربری و پسورد های مختلف روی فرم ها به شکل مرتب تست می شود . بنابراین با تغییر آدرس این صفحه ، یک راه نفوذ اصلی و همچنین حمله بورت فورث و استفاده از منابع را مسدود خواهیم کرد که بسیار حیاتی است . لذا این مورد نیز باید انجام شود . همچنین حملاتی به نام DDOS وجود دارد که مرتبط با بازدید های مکرر از سایت شما هستند و این کار باعث مصرف میزان حداکثری از منابع هاست یا سرور شما ( رم و پردازنده ) خواهد شد و به این ترتیب کاربران اصلی سایت شما قادر به استفاده از سایت نیستند که باید برای این حمله نیز چاره اندیشید .
محدودیت در تعداد دفعات ورود به حساب کاربری
اگر کاربران به صفحه ورودی در سایت دسترسی دارند ( مثلا برای صفحات ورود به حساب کاربری خودشان ) ، لازم است تا امنیت این صفحه نیز به نوعی تامین شود . چون آدرس این صفحه برای همه کاربران باید مشخص باشد ، از این جهت میتوان از این صفحه نیز حملات بورت فورث انجام داد ، لذا برای این دست از صفحات باید از تکنیک محدودیت ورود استفاده کرد . به عبارتی اگر نام کاربری و کلمه عبور مثلا برای بیش از 3 بار اشتباه وارد شد و ورود ناموفق بود ، دسترسی به سایت از طریق همان آیپی به مدت مثلا 15 دقیقه محدود شود ، به این ترتیب از حملات مربوطه جلوگیری خواهد شد . انجام این کار نیز توسط افزونه امنیتی بسیار ساده خواهد بود .
استفاده از کپچا در وردپرس
یکی از موارد مهم در انواع فرم های موجود در سایت ، استفاده از کپچا است . مواردی که قبل تر خدمت شما معرفی شدند مربوط به فرم های ورود در سایت بودند اما علاوه بر فرم های ورودی ، فرم های دیگری نیز همچون فرم تماس با ما ، یا فرم ارسال دیدگاه در سایت وجود دارد که بازهم میتواند امنیت سایت شما را در معرض خطر قرار دهد . در تمامی فرم های سایت ، استفاده از کپچا الزامی است چرا که میتوان ازطریق ورودی های فرم ، علاوه بر حملات بورت فورث ، اطلاعات مخرب به سمت پایگاه داده پروژه ارسال کرد .
به این دلیل که حملات بورت فورث عموما توسط ربات های مخرب به شکل اتوماتیک انجام می شوند ، لذا این بات ها میتوانند فرم های سایت را پر کنند اما هنگام تکمیل بخش کپچا مطئمنا مشکل ایجاد خواهد شد چرا که اصول کار بخش کپچا به این شکل است که باید توسط انسان و کاربر واقعی تکمیل شود که احتمال دارد کپچای گوگل در حالت ” من ربات نیستم ” باشد و یا کپچا هایی همچون محاسبه حاصل جمع دو عدد یا صرفا پرکردن فیلد کپچا مطابق با الگو های نمایشی ( که در سئو نود نیز در بخش فرم نظرات وجود دارد ) . به این ترتیب نیز ورودی ها و وارد کردن اطلاعات غیرمجاز کاملا کنترل خواهد شد .
غیرفعال کردن پیغام خطاهای وردپرس
اگر در داخل صفحه ورود به پیشخوان وردپرس نام کاربری یا کلمه عبور اشتباه وارد شود ، وردپرس به شکل پیشفرص پیغامی مرتبط با همان فیلد نادرست را نمایش خواهد داد . به عبارتی اگر نام کاربری اشتباه باشد وردپرس مستقیما پیام ” نام کاربری اشتباه است ” را نمایش خواهد داد و اگر کلمه عبور اشتباه باشد پیغام ” کلمه عبور اشتباه است ” نمایش داده خواهد شد . این پیغام ها یک راهنمایی است برای افرادی که در حال نفوذ هستند و به عبارتی اگر شما نام کاربری را صحیح وارد کرده باشید و کلمه عبور اشتباه باشد ، باتوجه به پیغام نمایش داده شده ، اینگونه استنباط می شود که نام کاربری درست وارد شده پس 50% موضوع حل شده و تنها باید پسورد را جهت نفوذ به سایت استفاده کرد .
تغییر پیشوند جداول وردپرس
یکی دیگر از موارد پیشفرض در داخل وردپرس پیشوند جداول داخل پایگاه داده است . زمانی که وردپرس را نصب می کنید ، هنگام ورود اطلاعات دیتابیس جهت اتصال پروژه ، یک پیشوند به شکل پیشفرض به حالت _wp برای تمامی جداول درنظر گرفته می شود . اگر این پیشوند تغییری نکند ، برای مثال اسم جدول کاربران شما به حالت wp_users خواهد بود و اگر تصمیم بر نفوذ به جداول پروژه شما داخل دیتابیس باشد ، راه باز است . بنابراین بهتر است پیشوند جداول وردپرس را از wp به مورد دیگری تغییر دهید . ( اینکار بعد از نصب وردپرس و حتی حین کار وب سایت نیز امکان پذیر است که خدمتتان آموزش داده خواهد شد )
فعال کردن SSL در وردپرس
SSL یک لایه امنیتی است که بروی پروتکل http اعمال شده و آن را به https جهت دریافت و ارسال امن اطلاعات نغییر خواهد داد و پس از راه اندای وب سایت لازم است تا آن را ازطریق میزبانی خود فعال کنید . این مورد برای درگاه های پرداخت نیز بسیار مهم است .
غیرفعال کردن ویرایشگر قالب و افزونه در پیشخوان
وردپرس در داخل پیشخوان خود دوقسمت به نام ویرایشگر افزونه و ویرایشگر پوسته دارد که مستقیما میتوان از این دو بخش ، بروی قالب درحال اجرای سایت و همچنین افزونه های آن تغییرات اعمال کرد . درصورتی که کوچکترین تغیرات در این قسمت ها توسط افرادی که دانش لازم را ندارند اعمال شود ، ممکن است عملکرد سایت شما به کلی مختل شود ، لذا بهتر است این دو بخش از داخل پیشخوان وردپرس غیر فعال شود و درصورت لزوم به ایجاد تغییر در سایت ، از بخش هاستینگ یا ازطریق ftp و توسط برنامه نویس ماهر انجام شود .
امنیت پوشه wp-admin
wp-admin یکی از مهم ترین پوشه های موجود داخل پروژه وردپرسی شما است . تمامی کارهای مربوط به مدیریت بخش پیشخوان وردپرس بر عهده فایل های موجود در داخل این پوشه است و با ایجاد هر تغییری در فایل های این بخش ، تمامی پیشخوان وردپرس به هم خواهد ریخت . تامین امنیت این قسمت به روش دستی ممکن است برای افراد مبتدی سخت باشد اما توسط افزونه میتوانید به سادگی امنیت این بخش را نیز تامین کنید .
امنیت فایل htaccess و wp-config
htaccess قلب تپنده کنترلی شما در داخل هاست است و میتوانید بسیاری از موارد که نیاز به کنترل دارند را از طریق دستورات خاصی داخل فایل htaccess کنترل کنید که البته کدنویسی داخل htaccess به همین سادگی نیست و حتما باید توسط فردی متخصص انجام شود . تامین امنیت این فایل نیز ازجمله گام های مهم امنیتی است که باید آن را مدنظر داشته باشید و حین تکمیل فرآیند های امنیتی آن را تکمیل کنید که در ادامه و با معرفی افزونه امنیتی ، این کار نیز بسیار راحت خواهد بود .
wp-config نیز یکی از مهم ترین فایل های موجود در داخل قالب های وردپرسی است که اصطلاحا کانفیگ و پیکربندی سایت شما مخصوصا در قسمت پایگاه داده ، در داخل این فایل قرار دارد و اگر شخصی به محتوای داخل این فایل دسترسی داشته باشد میتواند به سادگی تمامی اطلاعات مربوط به پایگاه داده شما از جمله نام کاربری و رمز عبور و نام پایگاه داده را مشاهده کرده و به برخی تنظیمات خاص مربوط به این فایل نیز دسترسی داشته باشد . لذا تامین امنیت این فایل نیز مهم است .
بکآپ گیری منظم وردپرس
یکی از مهم ترین کارهایی که باید به شکل منظم و دورهای انجام دهید ، بکاپ گیری از سایت است . اگر به هر دلیل همچون نفوذ یا ایجاد تغییرات ناخواسته و … بخشی از اطلاعات سایت یا تمام آن از دست برود ، باید نسخه پشتیبانی مناسب را جهت بازگردانی داشته باشید . برای بکاپ گیری از اطلاعات سایت های وردپرسی افزونه های خوبی وجود دارد که یکی از آنها UpdraftPlus می باشد که کار با آن بسیار ساده بود و امکاناتی همچون ارسال فایل های بکاپ به ایمیل یا گوگل درایو شما را نیز دارد و میتوان گفت بهترین و کامل ترین عملکرد را در زمینه تهیه نسخه های پشتیبان خواهد داشت .
اما چگونه تمامی این موارد بعلاوه گزینه های امنیتی دیگر را به سادگی انجام دهیم ؟
همانطور که در حین مطلب اشاره شد ، اکنون با وجود افزونه های امنیتی وردپرس ، تامین امنیت بیشتر برای این سیستم مدیریت محتوا کاری بسیار ساده است . دو افزونه معروف و معتبر در مخزن وردپرس به نام های امنیت کامل وردپرس ( All in one Wp security ) و افزونه iThemes Security تمامی موارد اشاره شده بعلاوه گزینه های بسیار زیادی را برای شما تامین خواهند کرد . افزونه امنیت کامل وردپرس رایگان است اما افزونه آیتمز سکوریتی در نسخه رایگان خود امکانات کمتری دارد و برای دسترسی به گزینه های بیشتر باید از نسخه پرو آن استفاده کنید اما افزونه All in one Wp security تمامی احتیاج های شما را برآورده خواهد کرد و میتوانید با خیال راحت آن را از مخزن وردپرس بروی سایت خودتان نصب کنید و به دلیل پشتیبانی این افزونه از زبان فارسی ، میتوانید خودتان به سادگی و بدون نیاز به آموزش آنچنانی ، تنظیمات امنیتی بیشتری برای سایت خودتان تنظیم کنید .
درافزونه امنیت کامل وردپرس شما میتوانید گزینه هایی همچون لیست سیاه کاربران ، کپچا های مختلف ، خروج اجباری کاربران بیکار ، فایروال ، امنیت فایل های سیستم ، کنترل نام نویسی و رفتار کاربران سایت ، تنظیمات بورت فورث و … را به سادگی انجام دهید .
امید قدیمی هستم ، 8 سال است که در زمینه طراحی و برنامه نویسی وب سایت فعالیت می کنم . توسعه دهنده فرانت اند ، طراح و برنامه نویس انواع وب سایت های وردپرسی ، فعال در زمینه تولید محتوا و سئو وب سایت
نقشه راه فرانت
اگر قصد دارید تا یک طراح ماهر باشید ، ما درست ترین مسیر را برای شما فراهم کردیم و فقط کافیست همراه ما باشید
برای هر سایت باید چه میزان فضای هاست خریداری کنیم ؟ برای سایت های فروشگاهی ، شرکتی ، آموزشی ، خبری و ... در این مقاله به شکل دقیق مطالعه کنید !
روش دقیق و مطمئن برای انتقال پروژه وردپرسی از localhost به هاست واقعی ، نصب وردپرس روی کنترل پنل Cpanel تنها در چند دقیقه !