۵ فن بهبود امنیت ورد پرس (جلوگیری از هک ورد پرس)

اگر از ورد پرس به عنوان سایتساز خود استفاده می‌کنید بهبود امنیت ورد پرس می‌بایست یکی از اصلی ترین دغدغه‌های شما باشد.

همه روزه تعداد بسیار زیادی از وب سایت‌ها به علت آلوده شدن به بدافزارها به وسیله گوگل بلاک شده و از دسترس بازدیدکنندگان خارج می‌شوند.

این یعنی نابودی یک وب سایت با داشتن امتحان فعالیت کم و یا خواه زیاد در بستر اینترنت که ضرر بزرگی نیز برای مدیر آن سایت می‌باشد.

ورد پرس یک سایتساز بسیار مورد علاقه و پرکاربرد است که درصد بسیار زیادی از وب سایت‌ها از آن بر روی سایت خود استفاده می‌کنند و همین امر لزوم رسیدگی به امنیت ورد پرس را بیشتر می‌کند.

در این مقاله تماماً به مباحث امنیتی خواهیم پرداخت ولی اگر به دنبال یک اموزش حرفه‌ای برای سعو سایت خود هستید به شما پیشنهاد می‌کنم قطعاًً اموزش سعو ورد پرس را خواندن کنید.

شایع‌ترین نحوه هک سایت

یکی از شایع‌ترین نحوه‌هایی که برای نفوذ به وبسایت‌های وردپرسی از آن استفاده می‌شود قرار دادن دسترسی مخفی بدون خراب کاری بر روی سایت است که در آن هکر هیچ تمایلی به دیفیس کردن وب سایت شما نداشته و فقط قطعه کدی را درون وب سایت شما تزریق می‌کند که به واسطه آن دسترسی دائمی به سایت شما داشته تا بتواند فعالیت‌های خود را بر روی وب سایت هدف پیاده سازی کند.

ضعف سایت‌های هک شده

اغلب وبسایت‌هایی که به وسیله تیم مدیر سرور جهت بهبود تأمین امنیت بررسی شدند دارای نقاط منفی مهمی بودند، به طور نمونه دانش زیر مدیر سایت مرتبط، استفاده از میزبانی های غیر امن، استفاده از پلاگینهای آلوده و یا عدم رعایت ابتدایی‌ترین اصول تأمین امنیت ورد پرس که به واسطه همین هم ضربه‌های ناگواری نیز دانلود خواهند کرد.

همین‌جا به شما ویزیت گرامی قول می‌دهم که جامع‌ترین اموزش بهبود امنیت ورد پرس را در اختیار شما قرار بدهیم پس تا اتمام اموزش همراه ما باشید و هر قسمت را همان لحظه بر روی وب سایت خود پیاده سازی کنید تا در انتهای همین مقاله شما یک پروژه امنیت ورد پرس را بر روی وب سایت خود با پیروزی پیاده سازی کرده باشید.

بهبود امنیت ورد پرس در قدم نصب

خوب الان می‌رسیم به قسمت عملی کار، جایی که ما فرض را بر این می‌گیریم که شما جدید قصد نصب ورد پرس را دارید و از همین ابتدای کار می‌خواهید با دید امنیتی سایت خودتان را از پایه به درستی راه اندازی کنید.

اولین کاری که می‌بایست انجام دهید انتخاب رمزعبور تصادفی و پیچیده برای کابر دیتابیس خودتان هستش، زمانی که شما وارد فاز نصب ورد پرس می‌شوید می‌بایست به وسیله پنل هاست سایت خودتان که عمدتا هم سیپنل و یا Direct Admin است یک پایگاه داده و یک کابر جهت اتصال به دیتابیس خودتان بسازید.

در این قدم تلاش کنید از خود Password Generator پنل برای ایجاد رمزعبور استفاده کنید و از دادن رمزعبور دستی خودداری کنید.

الان در قدم ورود دیتا پایگاه داده، می‌بایست آن رمزعبور رو با اسم پایگاه داده و کابر خود وارد کنید، اصلی ترین قسمت در این پیج بخش prefix یا همان پیشوند جداول پایگاه‌های داده شماست.

قطعاًً جای نام پیش‌فرض که معمولاً _wp هستش یک نام کوتاه ولی تصادفی بزارید مثل _dgve این کار باعث می‌شود اگر در وب سایت شما حفره امنیتی sql injection رخ داد هکر نتواند با حدس جداول شما دیتا یوزرها را استخراج کند.

پس از گذر از قدم بالا در ادامه به قسمت ورود دیتا ادمین می‌رسید که این قسمت نیز بسیار مهم است و شما می‌بایست دقت داشته باشید که اسم کاربری که انتخاب می‌کنید به هیچ عنوان admin نبوده و یک نام غیرقابل حدس مثل hgeydesc باشد تا از حملات Brute Force و هک شدن وب سایتتون در بعدا در امان باشید.

رمزعبور مربوط به کابر را نیز یک رمزعبور بلند با رعایت پالیسی رمزعبور قرار دهید، قطعاًً از حروف کوچک، عظیم، اعداد و کاراکترها باهم استفاده کنید تا بهبود امنیت ورد پرس در لول نصب به طور جامع رعایت شده باشد.

اگر هم ورد پرس را از قبل نصب‌کرده‌اید و الان می‌خواهید موارد ذکر شده در بالا را رعایت کنید می‌توانید به سادگی تمامی آن‌ها را پیاده سازی کنید برای نمونه از قسمت پنل کابری، رمزعبور را ویرایش داده و یا از پایگاه داده خود، اسم کاربری خودتان را ویرایش دهید و به وسیله پلاگینهای خود ورد پرس نیز که در مخزن موجود هستش و با یک جست وجوی ساده می‌توانید به آن‌ها برسید prefix را ویرایش دهید.

امن سازی فایل wp-config.php

فایل wp-config.php حاوی دیتا بسیار حساسی است که می‌بایست به هر طریقی از آن محافظت کنید، با دسترسی هکر به این فایل راه نفوذ به وب سایت شما تا حد بسیار زیادی هموار خواهد شد زیرا دیتا دیتابیس شما درون این فایل سیو شده و امکان دسترسی به پایگاه داده وب سایت شما را برای نفوذگر فراهم می‌کند.

پس از نصب ورد پرس اولین مرحله مهم و جدی در راه بهبود امنیت ورد پرس تأمین امنیت فایل کانفیگ می‌باشد، البته راه‌کارهای قدرتمندی برای محافظت از این فایل وجود دارد که سعی می‌کنیم به شما اموزش دهیم.

اول به وسیله کنترلپنل وب سایتتون این فایل را باز کنید و در قسمت میانی این فایل دیتا salt ورد پرس را از پیش فرض ویرایش دهید.

در این اموزش مجال توضیح مبحث salt وجود ندارد ولی بدانید که با استفاده همین salt نشست‌ها در ورد پرس شناسایی می‌شوند و اطلاع از آن می‌توانید ریسک هک شدن وب سایت شما را بهبود دهد.

برای ویرایش salt به منظور بهبود امنیت ورد پرس کافی است به مسیر url پایین رفته و با رفرش پیج به صوت تصادفی یک salt تازه دانلود کنید و آن را درون وب سایت خود و در فایل کانفیگ ورد پرس جایگزین دیتا قبلی کنید.

https://api.وردپرس.org/secret-key/1.1/salt/

گزینه بعدی جهت تأمین امنیت ورد پرس به وسیله فایل کانفیگ رمزعبور مربوط به کابر پایگاه داده شماست، کافی است بصورت دوره‌ای این رمزعبور رو به وسیله کنترلپنل خودتان ویرایش داده و بعد از آن درون فایل کانفیگ نیز آن را جایگزین کنید.

گزینه بسیار مهم بعدی سطح دسترسی به فایل یا پرمیژن فایل هستش فایل wp-config.php برای عملکرد صحیح می‌بایست حداقل دارای دسترسی مطالعه یا Read باشد پیشنهاد ما به شما قرار دادن پرمیژن ۴۴۴ برای این فایل است تا امکان نوشتن در این فایل برای نفوذگر وجود نداشته باشد.

برای اعمال محدودیت دسترسی به این فایل می‌توانید با فن بعدی که به شما خواهم گفت امکان مطالعه این فایل به وسیله مسیر url را ببندید تا در صورتی که در وب سایت شما باگ‌هایی چون Rfi کشف شد امکان مشاهده این فایل وجود نداشته باشد.

برای این کار کافی است در فایل htaccess. وب سایت خودتان که در Root میزبانی شما موجود است قطعه کد پایین را قرار دهید.

<Files wp-config.php>  Order allow,deny  Deny from all  </Files>

و گزینه آخر در جهت امن سازی فایل کانفیگ ورد پرس کد کردن محتویات درون این فایل است، اول از آخرین تغییرات فایل wp-config.php یک بک آپ خرید کنید و بعد از آن به وسیله وب سایت پایین محتویات داخل این فایل را بصورت کد شده در آورده و جایگزین محتویات قبلی کنید.

http://fopo.com.ar

با کد شدن دیتا در صورت دسترسی هکر به فایل عملیات دیکریپت کردن فایل بسیار مشکل شده و احتمال دارد هکر را از نفوذ به وب سایت شما منصرف کند.

امن سازی فایل xmlrpc.php

این فایل که از نسخه ۳٫۵ به بعد ورد پرس جز هسته اصلی ورد پرس قرار گرفت به منظور نشان و کارکرد بهتر ورد پرس در دستگاه‌های موبایلی به کار گرفته شد.

این فایل از خاصیت system multicall جهت ارتباطات خود استفاده می‌کند، ضعف بزرگی که در این فایل وجود دارد عدم بررسی کانکشنهای متصل شده با آن می‌باشد، هکر با سوء استفاده از این ویژگی سعی در حدس رمزعبور ادمین ورد پرس را خواهد داشت.

طبق آخرین آمار ارائه شده میزان حملات Brute Force به فایل xmlrpc بسیار بیشتر از حمله مستقیم به دایرکتوری ادمین ورد پرس می‌باشد. این فایل به احتمال بسیار زیاد در بعدا نه چندان دور از ورد پرس پاک خواهد شد و یا راهکار بهتری برای بهبود امنیت ورد پرس برای آن در نظر گرفته خواهد شد.

در این جلسه کاری خواهیم کرد که فراخوانی این فایل برای هکر غیرممکن شود، این فایل در صورت عدم دسترسی مستقیم مشکلی را در عملکرد ورد پرس تولید نمی‌کند پس به سادگی می‌توانید دسترسی مستقیم به آن را بسته کنید.

برای مسدودسازی دسترسی به فایل xmlrpc.php کافی است کد پایین را در انتهای فایل htaccess. میزبانی خود قرار دهید، الان کافی است مسیر سایت خود را به شکل پایین در براوزر وارد کنید تا خطا forbidden برای شما نشان داده شود.

<Files xmlrpc.php>  Order allow,deny  Deny from all  </Files>

استفاده از پلاگینهای امنیتی

مناسب است پس از بهبود امنیت ورد پرس به وسیله نحوه‌های دستی همیشه به عنوان مکمل از پلاگینهای معتبر و قدرتمند برای افزایش هر چه بیشتر امنیت سایت خود استفاده کنید.

طبق امتحان و بررسی تقریباً تمامی پلاگینهای شناخته شده امنیتی برای ورد پرس به دو گزینه برخورد کردیم که از هر نظر نسبت به بقیه در رده بهتری قرار گرفتند. اولین افزونه wordfence هستش که به جرات یکی از برترین‌ها در دنیاست و با به‌روز‌رسانی‌های منظم و تیم قوی بسیاری از حملات را شناسایی کرده و دسترسی مهاجم را به سایت شما بسته می‌کند.

این افزونه دارای دو نسخه مجانی و پرمیوم بوده که هر دو بسیار عالی عمل می‌کنند، شما اگر برای آغاز قصد هزینه کردن ندارید قطعاًً نسخه مجانی آن را از مخزن ورد پرس نصب کرده و عملکرد آن را تست کنید، حتماًً از بازخورد آن متحیر خواهید شد.

البته نسخه پولی آن با داشتن امکانات بیشتر جایی برای بحث نمی‌گذارد، از نظر ما هزینه کردن برای چنین افزونه ارزشمندی حتماًً برای شما از هر نظر مفید و به صرفه بوده و ریسک هک شدن سایت شما را تا حد زیادی کاهش می‌دهد.

افزونه بعدی sucuri هستش که در رده دوم برترین پلاگینهای امنیتی قرار می‌گیرد یکی از امکانات عالی این افزونه اسکن کل سایت از وجود malware ها و فایل‌های آلوده سایت است، در مواردی احتمال دارد سایت شما هک شده باشد و شما حتی متوجه این قضیه هم نشده باشید در این‌جور از موارد برای مانیتور کردن سایت sucuri یک مورد ایده آل است.

به وسیله sucuri نسخه مجانی هسته ورد پرس و در ورژن پولی آن تمامی فایل‌های سایت بررسی شده و اگر هکر دسترسی مخفی در سایت قرار داده باشد و یا فایلی را آلوده کرده باشد شما از آن آگاه خواهید شد، البته قابلیت‌هایی چون بلاک کردن حملات مرسوم همچون wordfence را نیز دارا می‌باشد که می‌توانید در بهبود امنیت ورد پرس به شما کمک زیادی کند.

استفاده از پوسته‌های اورجینال به جای پوسته پیش‌فرض

یکی از مشکلاتی که تا حدودی در هک شدن وب سایت‌های وردپرسی دخیل هست استفاده از پوسته‌های پیش‌فرض خود ورد پرس است.

همیشه قرار داشتن سورس تم می‌تواند هکر را در یافتن مشکلات امنیتی بسیار کمک کند، از آنجایی که پس از نصب ورد پرس تم پیش‌فرض بر روی ورد پرس آغاز به کار می‌کند این گزینه می‌تواند برای شما مشکلات امنیتی تولید کند.

پیشنهاد می‌کنم قطعاًً تمامی پوسته‌های ورد پرس را در دایرکتوری themes به وسیله میزبانی پاک کرده بعد از آن از یک پوسته امن و معتبر استفاده کنید که می‌تواند از یک سایت معتبر خریداری شده باشد و یا به وسیله یک سازمان برای شما بصورت اختصاصی کد نویسی شده باشد.