۵ فن بهبود امنیت ورد پرس (جلوگیری از هک ورد پرس)
اگر از ورد پرس به عنوان سایتساز خود استفاده میکنید بهبود امنیت ورد پرس میبایست یکی از اصلی ترین دغدغههای شما باشد.
همه روزه تعداد بسیار زیادی از وب سایتها به علت آلوده شدن به بدافزارها به وسیله گوگل بلاک شده و از دسترس بازدیدکنندگان خارج میشوند.
این یعنی نابودی یک وب سایت با داشتن امتحان فعالیت کم و یا خواه زیاد در بستر اینترنت که ضرر بزرگی نیز برای مدیر آن سایت میباشد.
ورد پرس یک سایتساز بسیار مورد علاقه و پرکاربرد است که درصد بسیار زیادی از وب سایتها از آن بر روی سایت خود استفاده میکنند و همین امر لزوم رسیدگی به امنیت ورد پرس را بیشتر میکند.
در این مقاله تماماً به مباحث امنیتی خواهیم پرداخت ولی اگر به دنبال یک اموزش حرفهای برای سعو سایت خود هستید به شما پیشنهاد میکنم قطعاًً اموزش سعو ورد پرس را خواندن کنید.
شایعترین نحوه هک سایت
یکی از شایعترین نحوههایی که برای نفوذ به وبسایتهای وردپرسی از آن استفاده میشود قرار دادن دسترسی مخفی بدون خراب کاری بر روی سایت است که در آن هکر هیچ تمایلی به دیفیس کردن وب سایت شما نداشته و فقط قطعه کدی را درون وب سایت شما تزریق میکند که به واسطه آن دسترسی دائمی به سایت شما داشته تا بتواند فعالیتهای خود را بر روی وب سایت هدف پیاده سازی کند.
ضعف سایتهای هک شده
اغلب وبسایتهایی که به وسیله تیم مدیر سرور جهت بهبود تأمین امنیت بررسی شدند دارای نقاط منفی مهمی بودند، به طور نمونه دانش زیر مدیر سایت مرتبط، استفاده از میزبانی های غیر امن، استفاده از پلاگینهای آلوده و یا عدم رعایت ابتداییترین اصول تأمین امنیت ورد پرس که به واسطه همین هم ضربههای ناگواری نیز دانلود خواهند کرد.
همینجا به شما ویزیت گرامی قول میدهم که جامعترین اموزش بهبود امنیت ورد پرس را در اختیار شما قرار بدهیم پس تا اتمام اموزش همراه ما باشید و هر قسمت را همان لحظه بر روی وب سایت خود پیاده سازی کنید تا در انتهای همین مقاله شما یک پروژه امنیت ورد پرس را بر روی وب سایت خود با پیروزی پیاده سازی کرده باشید.
بهبود امنیت ورد پرس در قدم نصب
خوب الان میرسیم به قسمت عملی کار، جایی که ما فرض را بر این میگیریم که شما جدید قصد نصب ورد پرس را دارید و از همین ابتدای کار میخواهید با دید امنیتی سایت خودتان را از پایه به درستی راه اندازی کنید.
اولین کاری که میبایست انجام دهید انتخاب رمزعبور تصادفی و پیچیده برای کابر دیتابیس خودتان هستش، زمانی که شما وارد فاز نصب ورد پرس میشوید میبایست به وسیله پنل هاست سایت خودتان که عمدتا هم سیپنل و یا Direct Admin است یک پایگاه داده و یک کابر جهت اتصال به دیتابیس خودتان بسازید.
در این قدم تلاش کنید از خود Password Generator پنل برای ایجاد رمزعبور استفاده کنید و از دادن رمزعبور دستی خودداری کنید.
الان در قدم ورود دیتا پایگاه داده، میبایست آن رمزعبور رو با اسم پایگاه داده و کابر خود وارد کنید، اصلی ترین قسمت در این پیج بخش prefix یا همان پیشوند جداول پایگاههای داده شماست.
قطعاًً جای نام پیشفرض که معمولاً _wp هستش یک نام کوتاه ولی تصادفی بزارید مثل _dgve این کار باعث میشود اگر در وب سایت شما حفره امنیتی sql injection رخ داد هکر نتواند با حدس جداول شما دیتا یوزرها را استخراج کند.
پس از گذر از قدم بالا در ادامه به قسمت ورود دیتا ادمین میرسید که این قسمت نیز بسیار مهم است و شما میبایست دقت داشته باشید که اسم کاربری که انتخاب میکنید به هیچ عنوان admin نبوده و یک نام غیرقابل حدس مثل hgeydesc باشد تا از حملات Brute Force و هک شدن وب سایتتون در بعدا در امان باشید.
رمزعبور مربوط به کابر را نیز یک رمزعبور بلند با رعایت پالیسی رمزعبور قرار دهید، قطعاًً از حروف کوچک، عظیم، اعداد و کاراکترها باهم استفاده کنید تا بهبود امنیت ورد پرس در لول نصب به طور جامع رعایت شده باشد.
اگر هم ورد پرس را از قبل نصبکردهاید و الان میخواهید موارد ذکر شده در بالا را رعایت کنید میتوانید به سادگی تمامی آنها را پیاده سازی کنید برای نمونه از قسمت پنل کابری، رمزعبور را ویرایش داده و یا از پایگاه داده خود، اسم کاربری خودتان را ویرایش دهید و به وسیله پلاگینهای خود ورد پرس نیز که در مخزن موجود هستش و با یک جست وجوی ساده میتوانید به آنها برسید prefix را ویرایش دهید.
امن سازی فایل wp-config.php
فایل wp-config.php حاوی دیتا بسیار حساسی است که میبایست به هر طریقی از آن محافظت کنید، با دسترسی هکر به این فایل راه نفوذ به وب سایت شما تا حد بسیار زیادی هموار خواهد شد زیرا دیتا دیتابیس شما درون این فایل سیو شده و امکان دسترسی به پایگاه داده وب سایت شما را برای نفوذگر فراهم میکند.
پس از نصب ورد پرس اولین مرحله مهم و جدی در راه بهبود امنیت ورد پرس تأمین امنیت فایل کانفیگ میباشد، البته راهکارهای قدرتمندی برای محافظت از این فایل وجود دارد که سعی میکنیم به شما اموزش دهیم.
اول به وسیله کنترلپنل وب سایتتون این فایل را باز کنید و در قسمت میانی این فایل دیتا salt ورد پرس را از پیش فرض ویرایش دهید.
در این اموزش مجال توضیح مبحث salt وجود ندارد ولی بدانید که با استفاده همین salt نشستها در ورد پرس شناسایی میشوند و اطلاع از آن میتوانید ریسک هک شدن وب سایت شما را بهبود دهد.
برای ویرایش salt به منظور بهبود امنیت ورد پرس کافی است به مسیر url پایین رفته و با رفرش پیج به صوت تصادفی یک salt تازه دانلود کنید و آن را درون وب سایت خود و در فایل کانفیگ ورد پرس جایگزین دیتا قبلی کنید.
https://api.وردپرس.org/secret-key/1.1/salt/
گزینه بعدی جهت تأمین امنیت ورد پرس به وسیله فایل کانفیگ رمزعبور مربوط به کابر پایگاه داده شماست، کافی است بصورت دورهای این رمزعبور رو به وسیله کنترلپنل خودتان ویرایش داده و بعد از آن درون فایل کانفیگ نیز آن را جایگزین کنید.
گزینه بسیار مهم بعدی سطح دسترسی به فایل یا پرمیژن فایل هستش فایل wp-config.php برای عملکرد صحیح میبایست حداقل دارای دسترسی مطالعه یا Read باشد پیشنهاد ما به شما قرار دادن پرمیژن ۴۴۴ برای این فایل است تا امکان نوشتن در این فایل برای نفوذگر وجود نداشته باشد.
برای اعمال محدودیت دسترسی به این فایل میتوانید با فن بعدی که به شما خواهم گفت امکان مطالعه این فایل به وسیله مسیر url را ببندید تا در صورتی که در وب سایت شما باگهایی چون Rfi کشف شد امکان مشاهده این فایل وجود نداشته باشد.
برای این کار کافی است در فایل htaccess. وب سایت خودتان که در Root میزبانی شما موجود است قطعه کد پایین را قرار دهید.
<Files wp-config.php> Order allow,deny Deny from all </Files>
و گزینه آخر در جهت امن سازی فایل کانفیگ ورد پرس کد کردن محتویات درون این فایل است، اول از آخرین تغییرات فایل wp-config.php یک بک آپ خرید کنید و بعد از آن به وسیله وب سایت پایین محتویات داخل این فایل را بصورت کد شده در آورده و جایگزین محتویات قبلی کنید.
http://fopo.com.ar
با کد شدن دیتا در صورت دسترسی هکر به فایل عملیات دیکریپت کردن فایل بسیار مشکل شده و احتمال دارد هکر را از نفوذ به وب سایت شما منصرف کند.
امن سازی فایل xmlrpc.php
این فایل که از نسخه ۳٫۵ به بعد ورد پرس جز هسته اصلی ورد پرس قرار گرفت به منظور نشان و کارکرد بهتر ورد پرس در دستگاههای موبایلی به کار گرفته شد.
این فایل از خاصیت system multicall جهت ارتباطات خود استفاده میکند، ضعف بزرگی که در این فایل وجود دارد عدم بررسی کانکشنهای متصل شده با آن میباشد، هکر با سوء استفاده از این ویژگی سعی در حدس رمزعبور ادمین ورد پرس را خواهد داشت.
طبق آخرین آمار ارائه شده میزان حملات Brute Force به فایل xmlrpc بسیار بیشتر از حمله مستقیم به دایرکتوری ادمین ورد پرس میباشد. این فایل به احتمال بسیار زیاد در بعدا نه چندان دور از ورد پرس پاک خواهد شد و یا راهکار بهتری برای بهبود امنیت ورد پرس برای آن در نظر گرفته خواهد شد.
در این جلسه کاری خواهیم کرد که فراخوانی این فایل برای هکر غیرممکن شود، این فایل در صورت عدم دسترسی مستقیم مشکلی را در عملکرد ورد پرس تولید نمیکند پس به سادگی میتوانید دسترسی مستقیم به آن را بسته کنید.
برای مسدودسازی دسترسی به فایل xmlrpc.php کافی است کد پایین را در انتهای فایل htaccess. میزبانی خود قرار دهید، الان کافی است مسیر سایت خود را به شکل پایین در براوزر وارد کنید تا خطا forbidden برای شما نشان داده شود.
<Files xmlrpc.php> Order allow,deny Deny from all </Files>
استفاده از پلاگینهای امنیتی
مناسب است پس از بهبود امنیت ورد پرس به وسیله نحوههای دستی همیشه به عنوان مکمل از پلاگینهای معتبر و قدرتمند برای افزایش هر چه بیشتر امنیت سایت خود استفاده کنید.
طبق امتحان و بررسی تقریباً تمامی پلاگینهای شناخته شده امنیتی برای ورد پرس به دو گزینه برخورد کردیم که از هر نظر نسبت به بقیه در رده بهتری قرار گرفتند. اولین افزونه wordfence هستش که به جرات یکی از برترینها در دنیاست و با بهروزرسانیهای منظم و تیم قوی بسیاری از حملات را شناسایی کرده و دسترسی مهاجم را به سایت شما بسته میکند.
این افزونه دارای دو نسخه مجانی و پرمیوم بوده که هر دو بسیار عالی عمل میکنند، شما اگر برای آغاز قصد هزینه کردن ندارید قطعاًً نسخه مجانی آن را از مخزن ورد پرس نصب کرده و عملکرد آن را تست کنید، حتماًً از بازخورد آن متحیر خواهید شد.
البته نسخه پولی آن با داشتن امکانات بیشتر جایی برای بحث نمیگذارد، از نظر ما هزینه کردن برای چنین افزونه ارزشمندی حتماًً برای شما از هر نظر مفید و به صرفه بوده و ریسک هک شدن سایت شما را تا حد زیادی کاهش میدهد.
افزونه بعدی sucuri هستش که در رده دوم برترین پلاگینهای امنیتی قرار میگیرد یکی از امکانات عالی این افزونه اسکن کل سایت از وجود malware ها و فایلهای آلوده سایت است، در مواردی احتمال دارد سایت شما هک شده باشد و شما حتی متوجه این قضیه هم نشده باشید در اینجور از موارد برای مانیتور کردن سایت sucuri یک مورد ایده آل است.
به وسیله sucuri نسخه مجانی هسته ورد پرس و در ورژن پولی آن تمامی فایلهای سایت بررسی شده و اگر هکر دسترسی مخفی در سایت قرار داده باشد و یا فایلی را آلوده کرده باشد شما از آن آگاه خواهید شد، البته قابلیتهایی چون بلاک کردن حملات مرسوم همچون wordfence را نیز دارا میباشد که میتوانید در بهبود امنیت ورد پرس به شما کمک زیادی کند.
استفاده از پوستههای اورجینال به جای پوسته پیشفرض
یکی از مشکلاتی که تا حدودی در هک شدن وب سایتهای وردپرسی دخیل هست استفاده از پوستههای پیشفرض خود ورد پرس است.
همیشه قرار داشتن سورس تم میتواند هکر را در یافتن مشکلات امنیتی بسیار کمک کند، از آنجایی که پس از نصب ورد پرس تم پیشفرض بر روی ورد پرس آغاز به کار میکند این گزینه میتواند برای شما مشکلات امنیتی تولید کند.
پیشنهاد میکنم قطعاًً تمامی پوستههای ورد پرس را در دایرکتوری themes به وسیله میزبانی پاک کرده بعد از آن از یک پوسته امن و معتبر استفاده کنید که میتواند از یک سایت معتبر خریداری شده باشد و یا به وسیله یک سازمان برای شما بصورت اختصاصی کد نویسی شده باشد.