برای افزایش امنیت وردپرس چکار باید کرد؟
رمز را فراموش کردید ؟ لطفا ایمیل را وارد کنید تا لینک تغییر پسورد به ایمیل شما ارسال شود
Please briefly explain why you feel this question should be reported.
لطفا به طور خلاصه توضیح دهید که چرا شما احساس می کنید این پاسخ باید گزارش شود.
Please briefly explain why you feel this user should be reported.
بهترین جا برای اشتراک ایده ها و کمک به دیگران برای انتشار بیشتر علم و دانش!!
ساخت یک حساب جدید
وردپرس پرکاربردترین سیستم مدیریت محتوای متن باز دنیا می باشد که برای راه اندازی هر نوع وب سایتی از آن استفاده می شود. در این آموزش وردپرس شما راهکار ها و ترفند هایی را می آموزید که با آنها خواهید توانست در جهت افزایش امنیت وردپرس و بهینه سازی آن گام های موثری را بردارید. این آموزش دربردارنده نکاتی جادامه مطلب ...
وردپرس پرکاربردترین سیستم مدیریت محتوای متن باز دنیا می باشد که برای راه اندازی هر نوع وب سایتی از آن استفاده می شود. در این آموزش وردپرس شما راهکار ها و ترفند هایی را می آموزید که با آنها خواهید توانست در جهت افزایش امنیت وردپرس و بهینه سازی آن گام های موثری را بردارید.
این آموزش دربردارنده نکاتی جهت افزایش امنیت سایت های وردپرس,محافظت از فایل های وردپرس, اعمال محدودیت ورود, حفاظت از پایگاه داده و .. می باشد.
وردپرس را همیشه بروز نگه دارید
بروزرسانی وردپرس یکی از مهمترین و اصلی ترین بخش های این سیستم مدیریت محتوای متن باز می باشد. بروزرسانی های وردپرس شامل رفع باگ های امنیتی, اشکالات و افزودن ویژگی های جدید می شوند به طوری که پس از عرضه نسخه جدید وردپرس اکثر نویسندگان پوسته ها و افزونه های وردپرس اقدام به بروزرسانی و ارئه نسخه جدید افزونه یا قالب خود می کنند. همیشه بهترین نسخه وردپرس از لحاظ امنیت, آخرین نسخه آن می باشد پس بهتر است همیشه از آخرین نسخه وردپرس و همچنین قالب ها و افزونه ها استفاده کنید.
به این نکته هم توجه کنید که : اگر پوسته ها و افزونه هایی که قبلا استفاده می کردید با نسخه های جدید وردپرس کار نکردند به احتمال زیاد آنها آنقدر امن نیستند که بتوانند با نسخه جدید خود را سازگار کنند.
پیشوند جداول وردپرس را تغییر دهید
تعداد زیادی از سایت هایی که با وردپرس راه اندازی می شوند از پیشوند جداول پیشفرض وردپرس یعنی ‘wp_’ استفاده می کنند. به دلیل اینکه اکثر سایت ها از این پیشوند برای جداول سایت خود استفاده می کنند افرادی که سعی در نفوذ و هک سایت شما را دارند به راحتی نام جداول وردپرس شما را می دانند و امنیت سایت شما کاهش پیدا می کند. برای اینکه امنیت سایت وردپرسی خود را بالا ببرید بهترین کار تغییر پیشوند جداول می باشد.
نصب افزونه اسکنر امنیتی وردپرس : Acunetix WP Security
افزونه Acunetix WP Security افزونه ای مفید جهت اسکن نصب وردپرس و ارائه پیشنهاداتی مطابق با آن به شما می باشد. این افزونه موارد زیر را چک می کند:
این افزونه را از اینجا دانلود کنید.
دفعات مجاز برای ورود های ناموفق را محدود کنید.
افزونه خوب login lockdown می تواند تعداد دفعات مجاز برای ورود های ناموفق (Failed Login Attempts) را محدود کند. این افزونه زمانی که شخصی به صورت دستی یا توسط یک ربات سعی در حدس رمز سایت شما دارد بسیار مفید خواهد بود.
جلوگیری از مرور دایرکتوری سایت شما توسط کاربران
کاربران با مرور دایرکتوری سایت شما می توانند به اکثر فایل های موجود در هاست شما دسترسی داشته باشند. به طور پیش فرض امکان مرور دایرکتوری روی اکثر هاست ها فعال می باشد که می تواند یک ریسک امنیتی بزرگ برای شما به حساب آید.
برای جلوگیری از مرور دایرکتوری سایت خود کافی است تا کد زیر را در فایل htaccess قرار دهید.
1
Options -Indexes
از عبارت “admin” به عنوان نام کاربری استفاده نکنید و رمز قوی برای نام کاربری خود انتخاب کنید.
وردپس به طور معمول حساب کاربری مدیریت سایت وردپرس شما را با نام “admin” ایجاد می کند. بنابراین admin اولین نام کاربری ای خواهد بود که هکر ها سعی در استفاده از آن خواهند داشت. از وردپرس ۳.۰ به بعد شما می توانید نام کاربری را در زمان نصب وردپرس تغییر دهید. پس در هنگام نصب وردپرس سعی در انتخاب نام کاربری ای بجز admin کنید.
به علاوه برای تمام کاربران سایت خود (همچنین پایگاه داده خود) رمز عبوری قوی انتخاب کنید. این کار می تواند تاثیر به سزایی در افزایش امنیت سایت شما بگذارد. از افزونه Strong Password Generator می توانید برای ساخت گذروازه هایی قوی استفاده کنید.
آخرین نکته امنیتی و اما نه کم اهمیت ترین, پشتیبان گیری از وردپرس می باشد.
آخرین نکته امنیتی در این آموزش پشتیبان گیری است اما گمان نکنید که اهمیت پشتیبان گیری کم است. پشتیبان گیری مرتب از سایت خود حس امنیت بیشتری نسبت به موارد بالا به شما می دهد. افزونه های زیادی برای وردپرس وجود دارند که عملیات پشتیان گیری از سایت شما را مدیریت می کنند.
چند نمونه افزونه رایگان برای پشتیبان گیری از وردپرس شامل موارد زیر می شوند:
امنیت چیست؟ اساسا شاید شما فکر کنید هر کاری که انجام بدهید تا از خطرات احتمالی دور بمانید میشود امنیت. چنین چیزی هیچگاه ممکن نمیشود. همانطور که در قبل تر گفتم شما میتوانید امنیت را افزایش دهید ولی نمیتوانید ریسک خطر را کامل حذف کنید صرفا می توانید آن را کاهش دهید. شما با سیستم های امنیتی موجود میتواادامه مطلب ...
امنیت چیست؟
اساسا شاید شما فکر کنید هر کاری که انجام بدهید تا از خطرات احتمالی دور بمانید میشود امنیت. چنین چیزی هیچگاه ممکن نمیشود. همانطور که در قبل تر گفتم شما میتوانید امنیت را افزایش دهید ولی نمیتوانید ریسک خطر را کامل حذف کنید صرفا می توانید آن را کاهش دهید. شما با سیستم های امنیتی موجود میتوانید ریسک هک شدن خود را کاهش دهید. ولی نمیتوانید وضعیت خود را کاملا بهبود ببخشید.
هاستینگ وب سایت
امروزه اولین مکان مناسب برای امنیت شما هاستینگ وبسایت شما است. گزینه های زیادی وجود دارد که شما امنیت خود را افزایش دهید اما باید بدانید میزبانی هاست شما تا حد مناسبی امنیت شما را تامین میکند.
مهم است که بدانید مسئولیت آنها وقتی تمام شد شما هم باید موارد دیگر را بررسی کنید. ویژگی های میزبان وب شما باید شامل موارد زیر باشد تا بتوانیم به آن اعتماد کنیم:
سعی کنید به امنیت میزبان ها تکیه نکنید و خودتان هم موارد امنیتی را جدی بگیرید و هر اقدامی که میدانید نیاز است را انجام دهید.
وبسایت وب اپلیکیشن ها
شما میتوانید امنیت وبسایت خود را به بدست هاستینگ خود بگذارید. اما مدیر وب سایت هم باید موارد زیادی را رعایت کند چون نصف امنیت به دست آن است. هاستینگ ها مسئول امنیت زیر ساخت ها هستند و برنامه هایی که روی وبسایت خود نصب می کنید ربطی به آنها ندارد.
برای درک بهتر این موضوع باید بدانید چطوری وبسایت شما هک میشود. به ندرت زیرساخت ها دارای مشکل میشوند و اکثر موارد به غفلت شما بستگی دارد.
موضوعات امنیتی وردپرس
جدا از بحث امنیت باید به یکسری از موارد کلی حتما توجه کنید چون رعایت نکردن این موارد نیز برای شما میتواند خطرناک باشد:
محدود کردن دسترسی
شما باید دسترسی هایی که به اشخاص میدهید را تا حد امکان محدود کنید. در دنیای وب به هیچکس اعتماد نکنید چون افراد کلاهبردار و مخرب بسیار زیاد شدند.
مهار
سیستم شما باید جوری پیکربندی شود که در صورت خطر خودکار خسارت ها را به حداقل برساند.
آمادگی و دانش
از پشتیبان گرفتن اطلاعات وردپرس خود غافل نشوید و حتما یک برنامه منظم برای آن داشته باشید. داشتن یک برنامه منظم برای پشتیبان گرفتن از اطلاعات به شما در زمان هایی که فاجعه ای رخ داده کمک میکند تا در سریع ترین زمان ممکن به حالت آنلاین سابق خود برگردید.
منابع معتبر
از منابع نامعتبر برای پلاگین های خود استفاده نکنید. خود را فقط در مخزن WordPress.org یا شرکت های نماینده و مشهور محدود کنید. تلاش برای بدست آوردن افزونه ها و قالب های خارج از نمایندگی ها ممکن است برای شما خطراتی را به همراه داشته باشد.
آسیب پذیری در رایانه شما
مطمئن باشید سیستمی که در آن به سایت خود سر میزنید و از آن برای فعالیت در سایت استفاده میکنید خالی از ویروس ها و تروجان ها باشد. اگر سیستم شما به keylogger آلوده شود هر حرکتی روی رایانه انجام دهید برای فرد نفوذگر ارسال میشود.
همیشه سیستم عامل خود را به خصوص مرورگر خود را در بروزترین حالت ممکن نگه دارید. این کار منجر می شود تا از آسیب پذیری های امنیتی محافظت کنید.
آسیب پذیری در وردپرس شما
مانند هر سیستم دیگه ای، وردپرس هم مدام بروزرسانی میشود تا حفره های امنیتی که رخ داده است بسته شود. به همین دلیل شما باید وردپرس خود را همیشه بروز نگه دارید و مدام وقتی آپدیتی براش اومد آن را فعال کنید. نسخه های قدیمی همیشه از آسیب پذیری های زیادی برخوردار هستند.
بروزرسانی وردپرس
آخرین نسخه از وردپرس همیشه در سایت اصلی وردپرس به نشانی WordPress.org موجود است. نسخه های رسمی وردپرس در هیچ سایت دیگری در دسترس نیست. هرگز وردپرس را از جای دیگری به جز سایت اصلی دانلود نکنید.
از نسخه 3.7 وردپرس بروزرسانی های خود را به صورت خودکار نشان میدهد. از این کار برای سهولت کار استفاده کنید. میتوانید در داشبورد بروزرسانی کار هایی که باید بکنید و راهنمایی های موجود را بخوانید تا کامل متوجه شوید.
اگر یک آسیب پذیری در وردپرس کشف شود در کل فضای اینترنت پخش میشود و ممکن است رقبای شما از آن بر علیه شما استفاده کنند. به همین دلیل است که باید وردپرس خود را همیشه بروز نگه دارید. چون با بروزرسانی آن حفره آسیب پذیر رفع میشود.
اگر فرصت و وقت ندارید که این کار ها را انجام بدهید میتوانید وبمستر عضو کنید تا آنها این کار را برای شما انجام دهند.
گزارش مسائل امنیتی
اگر فکر میکنید در وردپرس نقض امنیتی پیدا کردید حتما آن را گزارش کنید. اگر نمیدانید چطور باید اقدام کنید ابتدا به سراغ سوالات متداول امنیتی در Security FAQ
حتما هر مشکلی که پیدا کردید را گزارش بدهید شاید یک حفره امنیتی را کشف کرده باشید.
آسیب پذیری در وب سرور
وب سروری که شما وردپرس خود را روی آن نصب می کنید ممکن است آسیب پذیری داشته باشد. بنابراین مطمئن باشید که از نسخه های اصلی و امن استفاده میکنید. شما میتوانید از هاستینگی هم استفاده کنید که از این موارد به خوبی برای شما مراقبت کند.
البته اگر قابل اعتماد و کار بلد باشند. اگر از هاست های اشتراکی استفاده می کنید حتما با پشتیبانی هاستینگ خود صحبت کنید ببینید کامل موارد امنیتی را رعایت میکند یا نه. چون اگر سایتی در آن هاست مشکل دار باشد ممکن است برای شما نیز مشکل به وجود بیاورد.
آسیب پذیری شبکه
باید به شبکه بین سرور وردپرس و سرویس دهنده مشتری اعتماد کرد. این بدان معنی است که فایروال را در روتر خانگی خود بروز نگه دارید و مراقب باشید از چه سروری دارید استفاده میکنید. کافی نتی که میتوانید اتصالات را بدون رمز نگاری، بی سیم یا… این شبکه مطمئن نیست و نمیتوان به آن اعتماد کرد.
میزبان وب شما باید مطمئن شود که شبکه آنها توسط مهاجمین آسیب نمیبنند و شما نیز باید به این مسئله توجه بسیاری کنید. آسیب پذیری شبکه بسیار خطرناک است و یک لحظه غفلت میتواند تمام اطلاعات حساس شما را بدست هکران بیاندازد.
رمز عبور
با عادات امنیتی خوب میتوان جلوی بسیاری از حملات سایبری را گرفت. رمز عبور خیلی قوی در راس این عادت ها است. اگر رمز عبور شما بدست افراد نفوذگر بیفتد ممکن است یک حمله سخت به همراه داشته باشد که نتوان به آسانی خسارات آن همه را جبران کرد. میتوانید از ژنراتور هایی استفاده کنید که رمز عبور سخت و ایمن می سازند.
WordPress یک سیستم سختی سنج رمز عبور دارد که هنگام تغییر رمز عبور شما به نمایش گذاشته میشود. حتما به این سختی سنج توجه کنید چون خیلی به شما در تعیین یک رمز عبور قوی کمک میکند.
مواردی که در حین انتخاب کردن یک رمز عبور قوی بهش توجه کنید عبارتند از:
رمز عبور قوی می تواند تا حد زیادی امنیت وبسایت شما را افزایش دهد. اگر یک هکر به سایت شما دسترسی پیدا کند میتواند با نصب اسکریپت های مخرب کل سرور شما را آسیب بزند. علاوه بر پسورد قوی، ایده خوبی است که شما از تایید اعتبار دو مرحله ای به عنوان یک قدم اضافی امنیتی استفاده کنید.
FTP
در هنگام اتصال به سرور خود، اگر میزبانی وب شما این مورد را دارا باشد باید از رمزنگاری SFTP استفاده کنید. اما اگر خبر ندارید که میزبان وب شما این ویژگی را دارد یا خیر فقط کافیست از آنها سوال بپرسید.
استفاده از SFTP برای رمز عبور و نام کاربری باعث میشود که فرد نفوذ اگر بین وب سایت شما و رایانه تان وجود داشته باشد و اطلاعات را شنود کند، متوجه این داده ها نشود. چون واضح نیستند و به صورت رمزنگاری شده انتقال می یابند و این گونه اطلاعات را بیشتر مهاجمین نمیتوانند شناسایی کنند مگر اینکه بتوانند با ابزار هایی که دارند این رمزنگاری را متوجه شوند.
مجوز های پرونده ها
وردپرس ویژگی دارد که بتوان پرونده های مختلف را توسط وب سرور ویرایش کند. این ویژگی اگر شما در یک مکان عمومی کار میکنید بسیار خطرناک است چون امکان ویرایش این پرونده ها است.
بهتر است این مجوز ها را قفل کنید و هر موقع قصد کردید آن را ویرایش کنید، آن محدودیت ها را از بین ببرید. یا اینکه می توانید دسترسی ها را محدود تر کنید. در اینجا یک طرح را مشاهده میکنیم.
کلیه پرونده ها باید متعلق به حساب کاربری باشد و فقط شما بتوانید آن را دستکاری کنید.
دایرکتوری روت وردپرس: همه پرونده ها باید فقط توسط حساب کاربری شما قابل نوشتن باشند، اما در .htaccess اینگونه نیست در صورتی که نخواهید وردپرس برای شما خودکار قوانین را بازنویسی کند.
/wp-admin/
The WordPress administration area: همه پرونده ها فقط توسط حساب کاربری شما باید قابل نوشتن باشند.
/wp-includes/
The bulk of WordPress application logic: همه پرونده ها فقط باید توسط حساب کاربری شما قابل نوشتن باشند.
/wp-content/
User-supplied content: در نظر گرفته شده توسط حساب کاربری شما و فرآیند وب سرور قابل نوشتن است.
داخل آدرس /wp-content/ پیدا کنید:
/wp-content/themes/
پرونده های تم. اگر میخواهید از ویرایشگر قالب داخلی استفاده کنید، تمام پرونده ها باید توسط وب سرور قابل نوشتن باشند. اگر نمیخواهید از این ویرایشگر استفاده کنید، همه پرونده ها فقط باید توسط حساب کاربری شما قابل نوشتن باشند.
/plugins/wp-content/
فایل پلاگین ها: همه پرونده ها فقط باید توسط حساب کاربری شما قابل نوشتن باشند.
سایر دایرکتوری های /wp-content/ باید توسط افزونه ها یا موضوع مورد نظر مستند شوند. مجوز ها هم متفاوت هستند.
تغییر مجوز های پرونده
اگر به سرور خود دسترسی شل Shell دارید، می توانید مجوز های پرونده ها را به صورت بازگشتی با فرمان زیر تغییر دهید:
برای دایرکتوری ها:
برای فایل ها:
بروزرسانی های خودکار
وقتی به وردپرس میگویید یک بروزرسانی خودکار انجام دهد، تمام عملیات پرونده به عنوان کاربر صاحب پرونده ها انجام میشود نه به عنوان کاربر وب سرور. توجه داشته باشید که تمامی پرونده ها روی 0644 تنظیم شده و دایرکتوری ها روی 0755 تنظیم شده اند که فقط کاربر میتواند آن را بخواند.
امنیت پایگاه داده
اگر چند وبسایت دارید مناسب است که اطلاعات آنها در یک پایگاه داده ثبت نشود. اگر برای هر وب سایت خود یک پایگاه داده جداگانه در نظر بگیرید خیلی خوب میشود. سعی کنید برای مدیریت آنها هم از افراد مختلف استفاده کنید و به هر شخص حتی مدیریت دو پایگاه داده هم ندهید.
این یک استراتژی برای مهار حمله است: اگر شخص مهاجمی به قصد تخریب وبسایت های شما جلو آمده باشد با این استراتژی فقط به یک وبسایت شما آسیب میزند. این کار باعث میشود که امنیت پایگاه داده شما بهتر حفظ شود.
اگر MySQL را خودتان مدیریت میکنید، اطمینان حاصل کنید که با تمام ویژگی های آن ( پذیرش TCP از راه دور ) آشنایی دارید و پیکربندی آن را درک میکنید.
محدود کردن امتیازات کاربر پایگاه داده
یک کاربر وردپرس کار های عادی مانند ارسال مطالب وبلاگ، آپلود فایل های رسانه ای، پاسخگویی به نظرات و نصب افزونه های وردپرس را انجام میدهد. اما یک کاربر پایگاه داده فقط نیاز به خواندن داده ها نیاز دارد و کار هایی با آن داده ها انجام میدهد.
بر فرض مثال: INSERT،DELETE ، SELECT و UPDATE دستور های اصلیی هستند که کاربر پایگاه داده باید با آن آشنا باشد.
بنابراین سایر ساختار های بانک اطلاعاتی و امتیاز های مدیریتی مانند ALERT، DROP و GRANT قابل لغو هستند. با لغو چنین امتیازاتی می توانید درصد حمله که ناموفق شود را بیشتر کنید و تلفات خود را کاهش دهید.
کوچک کردن5 نکته برای ایمن نگه داشتن وب سایت ، شما تلاش و زحمت زیادی کشیده اید تا وب سایت خود را آنطور که می خواهید ایجاد کنید.اما ایمن سازی آن را فراموش نکنید! احتمالاً در مورد افزایش خطر هک ، سرقت اطلاعات و حملات وب شنیده اید ، اما کارهای زیادی می توانید برای محافظت از وب سایت خود انجام دهید. برخی اقدامات کادامه مطلب ...
5 نکته برای ایمن نگه داشتن وب سایت ، شما تلاش و زحمت زیادی کشیده اید تا وب سایت خود را آنطور که می خواهید ایجاد کنید.اما ایمن سازی آن را فراموش نکنید! احتمالاً در مورد افزایش خطر هک ، سرقت اطلاعات و حملات وب شنیده اید ، اما کارهای زیادی می توانید برای محافظت از وب سایت خود انجام دهید. برخی اقدامات کلیدی وجود دارد که می توانید برای به حداقل رساندن خطر و کاهش آسیب پذیری وب سایت خود انجام دهید.
1. به حداقل رساندن خطر پلاگین ها، کارشناسان می گویند که افزونه های آسیب پذیر بهترین راهی هستند که هکرها می توانند به سایت های وردپرس دسترسی پیدا کنند.
در مورد افزونه ها باید: تعداد پلاگین ها را به حداقل برسانید. شما واقعاً به این تعداد زیاد وسوسه انگیز نیاز ندارید! افزونه هایی را که استفاده نمی کنید حذف کنید و بقیه را به روز نگه دارید. قبل از بارگیری ، افزونه ها را بررسی کرده و دوبار بررسی کنید تا مطمئن شوید که آنها را از منبع معتبری دریافت کرده اید. افزونه هایی را که بیش از دو سال است به روز نشده اند حذف کنید و مرتباً بررسی کنید که آیا افزونه های شما جاری هستند یا خیر. دایرکتوری وردپرس را بررسی کنید تا مطمئن شوید افزونه های شما هنوز فعال هستند. از افزونه های WordPress Security برای تشخیص تهدیدها و مسدود کردن مهاجمان و بدافزارها استفاده کنید. محبوب ترین آنها Wordfence Security ، iThemes Security و All in One WP Security و Firewall هستند.
2. ورود به سیستم را با استفاده از “admin” به عنوان نام کاربری خود سخت کنید ، داشتن رمز عبور ضعیف مانند باز ماندن درب ورودی خانه است. تقریباً از هکرها دعوت می کند! که وارد شوند. مطمئن شوید که از نام کاربری پیش فرض “admin” استفاده نمی کنید. از یک نام کاربری منحصر به فرد و دشوار استفاده کنید. به طور مشابه ، با استفاده از ترکیبی از حروف ، حروف بزرگ ، نمادها و اعداد بین 10 تا 15 کاراکتر ، یک رمز عبور قوی ایجاد کنید. اگر این کار برای شما دشوار است ، می توانید از Strong Password Generator استفاده کنید تا یکی را برای شما بسازد. و فراموش نکنید که رمز عبور خود را به طور مرتب تغییر دهید. آن را به عنوان یک کار تجاری معمولی برنامه ریزی کنید تا فراموش نکنید.
3. وب سایت خود را HTTPS کنید تغییر وب سایت شما به HTTPS ارتباط بین سرور وب و مرورگر وب شما را رمزگذاری می کند و از داده های شما در برابر حملات محافظت می کند. و به عنوان یک امتیاز اضافی ، HTTPS رتبه Google شما را بهبود می بخشد!
4. از احراز هویت دو عاملی استفاده کنید احراز هویت دو عاملی وب سایت شما را در برابر حمله ای که ترکیبی نامحدود از نام کاربری و رمزهای عبور را تا زمانی که هکر وارد سایت شود ، محافظت می کند. افزودن Google Authenticator به وب سایت شما این ویژگی را به صورت خودکار اضافه می کند.
5. پشتیبان گیری و به روز رسانی انجام پشتیبان گیری و به روز رسانی منظم ، اطلاعات وب سایت شما را ایمن نگه می دارد ، بنابراین حتی اگر بدترین اتفاق رخ دهد و شما هک شده باشید ، می توانید سایت خود را در اسرع وقت بازگردانید.
کوچک کردن