برای افزایش امنیت وردپرس چکار باید کرد؟

امنیت چیست؟

اساسا شاید شما فکر کنید هر کاری که انجام بدهید تا از خطرات احتمالی دور بمانید میشود امنیت. چنین چیزی هیچگاه ممکن نمیشود. همانطور که در قبل تر گفتم شما میتوانید امنیت را افزایش دهید ولی نمیتوانید ریسک خطر را کامل حذف کنید صرفا می توانید آن را کاهش دهید. شما با سیستم های امنیتی موجود میتوانید ریسک هک شدن خود را کاهش دهید. ولی نمیتوانید وضعیت خود را کاملا بهبود ببخشید.

امنیت کامل سایت وردپرسی

هاستینگ وب سایت

امروزه اولین مکان مناسب برای امنیت شما هاستینگ وبسایت شما است. گزینه های زیادی وجود دارد که شما امنیت خود را افزایش دهید اما باید بدانید میزبانی هاست شما تا حد مناسبی امنیت شما را تامین میکند.

مهم است که بدانید مسئولیت آنها وقتی تمام شد شما هم باید موارد دیگر را بررسی کنید. ویژگی های میزبان وب شما باید شامل موارد زیر باشد تا بتوانیم به آن اعتماد کنیم:

• با آنها در خصوص نگرانی های خود در خصوص وبسایتتان صحبت کنید. از آنها بپرسید کدام ویژگی های امنیتی را میتوانند به شما ارائه دهند.
• بروزترین نسخه های امنیتی و سایر موارد را برای شما تامین کنند. موارد قدیمی ممکن است نقض امنیتی داشته باشند.
• حتما از روش های مطمئن و قابل اعتماد نسخه پشتیبان و ریکاوری اطلاعات را برای شما انجام دهند.

سعی کنید به امنیت میزبان ها تکیه نکنید و خودتان هم موارد امنیتی را جدی بگیرید و هر اقدامی که میدانید نیاز است را انجام دهید.

وبسایت وب اپلیکیشن ها

شما میتوانید امنیت وبسایت خود را به بدست هاستینگ خود بگذارید. اما مدیر وب سایت هم باید موارد زیادی را رعایت کند چون نصف امنیت به دست آن است. هاستینگ ها مسئول امنیت زیر ساخت ها هستند و برنامه هایی که روی وبسایت خود نصب می کنید ربطی به آنها ندارد.

برای درک بهتر این موضوع باید بدانید چطوری وبسایت شما هک میشود. به ندرت زیرساخت ها دارای مشکل میشوند و اکثر موارد به غفلت شما بستگی دارد.

موضوعات امنیتی وردپرس

جدا از بحث امنیت باید به یکسری از موارد کلی حتما توجه کنید چون رعایت نکردن این موارد نیز برای شما میتواند خطرناک باشد:

محدود کردن دسترسی

شما باید دسترسی هایی که به اشخاص میدهید را تا حد امکان محدود کنید. در دنیای وب به هیچکس اعتماد نکنید چون افراد کلاهبردار و مخرب بسیار زیاد شدند.

مهار

سیستم شما باید جوری پیکربندی شود که در صورت خطر خودکار خسارت ها را به حداقل برساند.

آمادگی و دانش

از پشتیبان گرفتن اطلاعات وردپرس خود غافل نشوید و حتما یک برنامه منظم برای آن داشته باشید. داشتن یک برنامه منظم برای پشتیبان گرفتن از اطلاعات به شما در زمان هایی که فاجعه ای رخ داده کمک میکند تا در سریع ترین زمان ممکن به حالت آنلاین سابق خود برگردید.

منابع معتبر

از منابع نامعتبر برای پلاگین های خود استفاده نکنید. خود را فقط در مخزن WordPress.org یا شرکت های نماینده و مشهور محدود کنید. تلاش برای بدست آوردن افزونه ها و قالب های خارج از نمایندگی ها ممکن است برای شما خطراتی را به همراه داشته باشد.

تامین امنیت وردپرس

آسیب پذیری در رایانه شما

مطمئن باشید سیستمی که در آن به سایت خود سر میزنید و از آن برای فعالیت در سایت استفاده میکنید خالی از ویروس ها و تروجان ها باشد. اگر سیستم شما به keylogger آلوده شود هر حرکتی روی رایانه انجام دهید برای فرد نفوذگر ارسال میشود.

همیشه سیستم عامل خود را به خصوص مرورگر خود را در بروزترین حالت ممکن نگه دارید. این کار منجر می شود تا از آسیب پذیری های امنیتی محافظت کنید.

آسیب پذیری در وردپرس شما

مانند هر سیستم دیگه ای، وردپرس هم مدام بروزرسانی میشود تا حفره های امنیتی که رخ داده است بسته شود. به همین دلیل شما باید وردپرس خود را همیشه بروز نگه دارید و مدام وقتی آپدیتی براش اومد آن را فعال کنید. نسخه های قدیمی همیشه از آسیب پذیری های زیادی برخوردار هستند.

بروزرسانی وردپرس

آخرین نسخه از وردپرس همیشه در سایت اصلی وردپرس به نشانی WordPress.org موجود است. نسخه های رسمی وردپرس در هیچ سایت دیگری در دسترس نیست. هرگز وردپرس را از جای دیگری به جز سایت اصلی دانلود نکنید.

از نسخه ۳.۷ وردپرس بروزرسانی های خود را به صورت خودکار نشان میدهد. از این کار برای سهولت کار استفاده کنید. میتوانید در داشبورد بروزرسانی کار هایی که باید بکنید و راهنمایی های موجود را بخوانید تا کامل متوجه شوید.

اگر یک آسیب پذیری در وردپرس کشف شود در کل فضای اینترنت پخش میشود و ممکن است رقبای شما از آن بر علیه شما استفاده کنند. به همین دلیل است که باید وردپرس خود را همیشه بروز نگه دارید. چون با بروزرسانی آن حفره آسیب پذیر رفع میشود.

اگر فرصت و وقت ندارید که این کار ها را انجام بدهید میتوانید وبمستر عضو کنید تا آنها این کار را برای شما انجام دهند.

گزارش مسائل امنیتی

اگر فکر میکنید در وردپرس نقض امنیتی پیدا کردید حتما آن را گزارش کنید. اگر نمیدانید چطور باید اقدام کنید ابتدا به سراغ سوالات متداول امنیتی در Security FAQ
حتما هر مشکلی که پیدا کردید را گزارش بدهید شاید یک حفره امنیتی را کشف کرده باشید.

آسیب پذیری در وب سرور

وب سروری که شما وردپرس خود را روی آن نصب می کنید ممکن است آسیب پذیری داشته باشد. بنابراین مطمئن باشید که از نسخه های اصلی و امن استفاده میکنید. شما میتوانید از هاستینگی هم استفاده کنید که از این موارد به خوبی برای شما مراقبت کند.

البته اگر قابل اعتماد و کار بلد باشند. اگر از هاست های اشتراکی استفاده می کنید حتما با پشتیبانی هاستینگ خود صحبت کنید ببینید کامل موارد امنیتی را رعایت میکند یا نه. چون اگر سایتی در آن هاست مشکل دار باشد ممکن است برای شما نیز مشکل به وجود بیاورد.

آسیب پذیری شبکه

باید به شبکه بین سرور وردپرس و سرویس دهنده مشتری اعتماد کرد. این بدان معنی است که فایروال را در روتر خانگی خود بروز نگه دارید و مراقب باشید از چه سروری دارید استفاده میکنید. کافی نتی که میتوانید اتصالات را بدون رمز نگاری، بی سیم یا… این شبکه مطمئن نیست و نمیتوان به آن اعتماد کرد.

میزبان وب شما باید مطمئن شود که شبکه آنها توسط مهاجمین آسیب نمی‌بنند و شما نیز باید به این مسئله توجه بسیاری کنید. آسیب پذیری شبکه بسیار خطرناک است و یک لحظه غفلت میتواند تمام اطلاعات حساس شما را بدست هکران بیاندازد.

بهترین محافظ وردپرس

رمز عبور

با عادات امنیتی خوب میتوان جلوی بسیاری از حملات سایبری را گرفت. رمز عبور خیلی قوی در راس این عادت ها است. اگر رمز عبور شما بدست افراد نفوذگر بیفتد ممکن است یک حمله سخت به همراه داشته باشد که نتوان به آسانی خسارات آن همه را جبران کرد. میتوانید از ژنراتور هایی استفاده کنید که رمز عبور سخت و ایمن می سازند.

WordPress یک سیستم سختی سنج رمز عبور دارد که هنگام تغییر رمز عبور شما به نمایش گذاشته میشود. حتما به این سختی سنج توجه کنید چون خیلی به شما در تعیین یک رمز عبور قوی کمک میکند.

مواردی که در حین انتخاب کردن یک رمز عبور قوی بهش توجه کنید عبارتند از:

• استفاده نکردن از نام واقعی، نام کاربری یا نام شرکت یا وبسایت
• ترکیب دو زبان مثلا: hello moz
• استفاده نکردن از پسورد کم و ساده
• ترکیب عدد و حروف الفبا

رمز عبور قوی می تواند تا حد زیادی امنیت وبسایت شما را افزایش دهد. اگر یک هکر به سایت شما دسترسی پیدا کند میتواند با نصب اسکریپت های مخرب کل سرور شما را آسیب بزند. علاوه بر پسورد قوی، ایده خوبی است که شما از تایید اعتبار دو مرحله ای به عنوان یک قدم اضافی امنیتی استفاده کنید.

FTP

در هنگام اتصال به سرور خود، اگر میزبانی وب شما این مورد را دارا باشد باید از رمزنگاری SFTP استفاده کنید. اما اگر خبر ندارید که میزبان وب شما این ویژگی را دارد یا خیر فقط کافیست از آنها سوال بپرسید.

استفاده از SFTP برای رمز عبور و نام کاربری باعث میشود که فرد نفوذ اگر بین وب سایت شما و رایانه تان وجود داشته باشد و اطلاعات را شنود کند، متوجه این داده ها نشود. چون واضح نیستند و به صورت رمزنگاری شده انتقال می یابند و این گونه اطلاعات را بیشتر مهاجمین نمیتوانند شناسایی کنند مگر اینکه بتوانند با ابزار هایی که دارند این رمزنگاری را متوجه شوند.

مجوز های پرونده ها

وردپرس ویژگی دارد که بتوان پرونده های مختلف را توسط وب سرور ویرایش کند. این ویژگی اگر شما در یک مکان عمومی کار میکنید بسیار خطرناک است چون امکان ویرایش این پرونده ها است.

بهتر است این مجوز ها را قفل کنید و هر موقع قصد کردید آن را ویرایش کنید، آن محدودیت ها را از بین ببرید. یا اینکه می توانید دسترسی ها را محدود تر کنید. در اینجا یک طرح را مشاهده میکنیم.

کلیه پرونده ها باید متعلق به حساب کاربری باشد و فقط شما بتوانید آن را دستکاری کنید.

دایرکتوری روت وردپرس: همه پرونده ها باید فقط توسط حساب کاربری شما قابل نوشتن باشند، اما در .htaccess اینگونه نیست در صورتی که نخواهید وردپرس برای شما خودکار قوانین را بازنویسی کند.

/wp-admin/

The WordPress administration area: همه پرونده ها فقط توسط حساب کاربری شما باید قابل نوشتن باشند.

/wp-includes/

The bulk of WordPress application logic:  همه پرونده ها فقط باید توسط حساب کاربری شما قابل نوشتن باشند.

/wp-content/

User-supplied content: در نظر گرفته شده توسط حساب کاربری شما و فرآیند وب سرور قابل نوشتن است.

داخل آدرس /wp-content/ پیدا کنید:

/wp-content/themes/

پرونده های تم. اگر میخواهید از ویرایشگر قالب داخلی استفاده کنید، تمام پرونده ها باید توسط وب سرور قابل نوشتن باشند. اگر نمیخواهید از این ویرایشگر استفاده کنید، همه پرونده ها فقط باید توسط حساب کاربری شما قابل نوشتن باشند.

/plugins/wp-content/

فایل پلاگین ها: همه پرونده ها فقط باید توسط حساب کاربری شما قابل نوشتن باشند.

سایر دایرکتوری های /wp-content/ باید توسط افزونه ها یا موضوع مورد نظر مستند شوند. مجوز ها هم متفاوت هستند.

تکنیک های افزایش امنیت وردپرس

تغییر مجوز های پرونده

اگر به سرور خود دسترسی شل Shell دارید، می توانید مجوز های پرونده ها را به صورت بازگشتی با فرمان زیر تغییر دهید:

برای دایرکتوری ها:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

برای فایل ها:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

بروزرسانی های خودکار

وقتی به وردپرس میگویید یک بروزرسانی خودکار انجام دهد، تمام عملیات پرونده به عنوان کاربر صاحب پرونده ها انجام میشود نه به عنوان کاربر وب سرور. توجه داشته باشید که تمامی پرونده ها روی ۰۶۴۴ تنظیم شده و دایرکتوری ها روی ۰۷۵۵ تنظیم شده اند که فقط کاربر میتواند آن را بخواند.

امنیت پایگاه داده

اگر چند وبسایت دارید مناسب است که اطلاعات آنها در یک پایگاه داده ثبت نشود. اگر برای هر وب سایت خود یک پایگاه داده جداگانه در نظر بگیرید خیلی خوب میشود. سعی کنید برای مدیریت آنها هم از افراد مختلف استفاده کنید و به هر شخص حتی مدیریت دو پایگاه داده هم ندهید.

این یک استراتژی برای مهار حمله است: اگر شخص مهاجمی به قصد تخریب وبسایت های شما جلو آمده باشد با این استراتژی فقط به یک وبسایت شما آسیب میزند. این کار باعث میشود که امنیت پایگاه داده شما بهتر حفظ شود.

اگر MySQL را خودتان مدیریت میکنید، اطمینان حاصل کنید که با تمام ویژگی های آن ( پذیرش TCP از راه دور ) آشنایی دارید و پیکربندی  آن را درک میکنید.

محدود کردن امتیازات کاربر پایگاه داده

یک کاربر وردپرس کار های عادی مانند ارسال مطالب وبلاگ، آپلود فایل های رسانه ای، پاسخگویی به نظرات و نصب افزونه های وردپرس را انجام میدهد. اما یک کاربر پایگاه داده فقط نیاز به خواندن داده ها نیاز دارد و کار هایی با آن داده ها انجام میدهد.

بر فرض مثال: INSERT،DELETE ، SELECT و UPDATE دستور های اصلیی هستند که کاربر پایگاه داده باید با آن آشنا باشد.

بنابراین سایر ساختار های بانک اطلاعاتی و امتیاز های مدیریتی مانند ALERT، DROP و GRANT قابل لغو هستند. با لغو چنین امتیازاتی می توانید درصد حمله که ناموفق شود را بیشتر کنید و تلفات خود را کاهش دهید.