در قسمت اول مقاله، ضمن اعلام اهمیت ارتقا امنیت وردپرس چند مورد از بهترین راهکارها برای محافظت از وب سایت در مقابل تهدیدات خارجی ارائه گردید. قسمت پیش رو، به ادامه این روش های پیشرفته در چک لیست امنیت وردپرس می پردازد.
5. غیرفعالسازی XML-RPC در وردپرس
عملکرد XML-RPC به سرویس های خارجی اجازه می دهد تا به محتوای سایت وردپرسی شما دسترسی پیدا کرده و آن را دستکاری کنند. سرویس هایی همچون افزونه Jetpack، اپلیکیشن های موبایل وردپرس و پینگ بک ها (pingbacks) از XML-RPC بهره می برند. چنانچه از هیچ سرویسی که به XML-RPC نیاز دارد استفاده نمی کنید، توصیه می شود این قابلیت را غیرفعال نمایید.
در قدم اول این مرحله از چک لیست امنیت وردپرس، باید وابستگی قالب ها یا افزونه های مورد استفاده به عملکرد XML-RPC، بررسی گردد. برای این منظور، آدرس وب سایت خود را در ابزار اعتبارسنجی XML-RPC وارد نمایید.
تصویر(1)
اگر متوجه شدید این عملکرد فعال است، می توانید فایل های افزونه ها یا قالب های مورد استفاده را در دایرکتوری wp-content که از طریق پروتکل SFTP یا File Manager هاست، قابل دسترسی است بررسی نمایید.
هر فایل یا افزونه ای که از این عملکرد استفاده می کند، رشته xmlrpc.php را در نام فایل خود خواهد داشت. بنابراین می توانید تصمیم بگیرید آیا به افزونه ها و قالب های فوق نیاز دارید یا عملکرد XML-RPC را کاملا غیرفعال نمایید.
6. خروج کاربران غیرفعال
در چک لیست امنیت وردپرس خروج خودکار کاربران غیرفعال، به عنوان یک اقدام امنیتی پیشگیرانه، از دسترسی های غیرمجاز جلوگیری می کند.
با فعال کردن این ویژگی، سشن هایی که برای مدت طولانی غیرفعال باقی می مانند، به طور خودکار خاتمه یافته و خطر سوء استفاده از حساب های کاربری توسط افراد متفرقه کاهش می یابد.
این مکانیزم، با ممانعت از سرقت کوکی ها، امنیت کلی سیستم را ارتقا می بخشد. سادهترین راه برای افزودن این قابلیت، به کارگیری افزونه رایگان Inactive Logout است. استفاده از ابزار فوق در چک لیست امنیت وردپرس، کمک می کند تا به صورت خودکار با گذشت مدت زمان مشخصی، کاربران غیرفعال را از سیستم خارج نمایید.
همچنین می توانید با شخصی سازی پیام های خروج، کاربران را به صفحه دلخواه هدایت نمایید.
7. پنهان کردن نسخه راهکاری عالی در چک لیست امنیت وردپرس
پنهان سازی نسخه وردپرس، تدبیری ضروری برای امنیت است که از سایت شما محافظت می نماید. به طور پیش فرض، وردپرس نسخه خود را در بخش های مختلفی مانند هدر HTML، فیدهای RSS و URL های اسکریپت ها قرار می دهد. این اطلاعات می توانند توسط مهاجمان جهت شناسایی نقاط ضعف امنیتی نسخه های خاص، در چک لیست امنیت وردپرس مورد استفاده قرار گیرند و امکان اجرای حملات هدفمند را برای آنها فراهم کنند. با پنهان سازی نسخه وردپرس، این اطلاعات حیاتی از دسترس مهاجمان خارج شده و احتمال موفقیت حملات کاهش می یابد.
برای پنهان کردن نسخه وردپرس، می توانید قطعه کد زیر را به فایل functions.php قالب فعال سایت خود اضافه کنید:
remove_action('wp_head', 'wp_generator');
8. انسداد Hotlinking
در چک لیست امنیت وردپرس Hotlinking به معنای استفاده مستقیم و غیرمجاز از تصاویر یا سایر فایل های یک وب سایت در سایت دیگر است. این عمل باعث مصرف ناعادلانه پهنای باند سرور وب سایت اصلی و کاهش سرعت آن می شود.
برای جلوگیری از این مسئله، می توان با تعریف قوانینی خاص در فایل htaccess.، دسترسی به منابع سایت را برای دامنه های غیرمجاز محدود کرد.
برای مثال، می توانید کد زیر را به فایل htaccess. خود اضافه نمایید:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?example.com/ [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]
این قطعه کد طوری طراحی شده است که تنها به درخواست های ارسال شده از دامنه خود سایت اجازه دسترسی می دهد و سایر موارد را مسدود می نماید.
9. تنظیم سطح دسترسی مناسب برای فایل ها
تنظیم صحیح سطح دسترسی فایل ها در چک لیست امنیت وردپرس، یک اقدام اساسی برای حفاظت از وب سایت شما می باشد. با تعیین دقیق سطح دسترسی کاربران به فایل ها و پوشه های مختلف، می توانید از نفوذهای احتمالی جلوگیری کرده و اطلاعات حساس وب سایت خود را محافظت نمایید.
با رعایت نکات زیر، می توانید از امنیت فایل های وردپرس خود اطمینان حاصل کنید:
از یک نرم افزار SFTP مانند FileZilla یا File Manager هاست خود برای اتصال به سرور استفاده کنید.
تصویر(2)
دایرکتوری اصلی (Root Directory) وردپرس خود را پیدا نمایید. تمامی فایل ها و پوشه های مورد نیاز برای اجرای وب سایت شما در این مسیر قرار دارند.
این دایرکتوری معمولا حاوی پوشه هایی مانند wp-admin، wp-content و wp-includes است.
تصویر(3)
روی هر دایرکتوری کلیک راست کرده و سطح دسترسی را به 755 تغییر دهید.
با این کار، مالک دایرکتوری می تواند فایل ها را بخواند، تغییر دهد و اجرا کند، در حالی که سایر کاربران تنها مجاز به خواندن و اجرای آنها هستند.
تصویر(4)
برای فایل ها، سطح دسترسی را روی 644 تنظیم نمایید.
این کار به مالک فایل اجازه می دهد تا بتواند آن را خوانده و تغییرات ایجاد کند، در حالی که سایر کاربران تنها مجاز به خواندن فایل خواهند بود. در چک لیست امنیت وردپرس، توصیه میگردد سطح دسترسی فایل wp-config.php به 444 تغییر داده شود. همچنین می توانید قابلیت ویرایش مستقیم فایل ها توسط داشبورد وردپرس را غیرفعال نمایید. با افزودن کد زیر به فایل wp-config.php، از هرگونه دستکاری احتمالی در فایل ها توسط افراد غیرمجاز جلوگیری خواهد شد:
define('DISALLOW_FILE_EDIT', true);
10. پیادهسازی سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM)
سیستم های SIEM داده های متنوعی از محیط وردپرس شما جمع آوری می کنند. این داده ها شامل لاگ های مربوط به افزونه ها، پوسته ها و فعالیت های سرور می شوند. با تمرکز بر این داده ها، SIEM قادر است فعالیت های مشکوک و تهدیدات احتمالی را شناسایی و تحلیل نماید.
انتخاب و استفاده از افزونه ها در چک لیست امنیت وردپرس
بدترین سناریو، از دست دادن کل وب سایت به دلیل یک رخداد امنیتی است. بنابراین نباید امنیت وب سایت را دست کم گرفت. یک افزونه امنیتی وردپرس معتبر، همانند محافظ عمل کرده و در پس زمینه از وب سایت شما حفاظت می کند تا بتوانید فعالیت های اصلی خود را انجام دهید.
این افزونه ها با محافظت داده های حساس، حفظ یکپارچگی و جلوگیری از وقایع امنیتی پرهزینه، امنیت وب سایت شما را در برابر تهدیدات سایبری تضمین می کنند. هنگامی که صحبت از بهترین شیوه ها در چک لیست امنیت وردپرس میشود، انتخاب یک افزونه امنیتی مناسب دارای اهمیت ویژهای است.
در ادامه، برخی از محبوب ترین افزونههای امنیتی وردپرس، همراه با مزایا، معایب و هزینه های آنها ارائه شده است.
1. Solid Security
تصویر(5)
مزایا: افزونه Solid Security طیف گسترده ای از ویژگی های امنیتی را ارائه می دهد که شامل نظارت لحظه ای بر فعالیت های سایت، اسکن خودکار آسیب پذیری ها و ورود از طریق احراز هویت دو مرحله ای (2FA) می شود. این افزونه با یک داشبورد کاربرپسند، گزینه ای مناسب در چک لیست امنیت وردپرس به شمار می رود.
معایب: اگرچه نسخه رایگان Solid Security برخی از ویژگی های امنیتی قدرتمند را ارائه می دهد، قابلیت های پیشرفته مانند پچ مجازی (virtual patching) تنها برای پلن های پولی در دسترس هستند.
قیمت: Solid Security یک نسخه رایگان با ویژگی های بیشتر نسبت به سایر محصولات ارائه می دهد. پلن های پرمیوم از 99 دلار در سال برای یک سایت شروع می شوند و جهت سایت های بیشتر تخفیف هایی در نظر می گیرد.
2. MalCare
تصویر(6)
مزایا: افزونه MalCare جهت تشخیص و پاکسازی بدافزارها عملکردی مناسبی دارد. این افزونه امکان پاکسازی آلودگی ها را با یک کلیک و از طریق اسکن دقیق سیستم، بدون ایجاد اختلال در عملکرد سایت، فراهم می آورد. فایروال هوشمند این افزونه، به طور موثر از ورود درخواست های مخرب جلوگیری می کند.
معایب: نسخه رایگان افزونه MalCare دارای محدودیت هایی در ارائه مجموعه کامل قابلیت ها است. کاربران برای بهرهمندی از ویژگی های پیشرفته ای همچون اسکن خودکار، منظم و ایجاد نسخه های پشتیبان، نیازمند ارتقاء به نسخه حرفه ای این افزونه می باشند.
قیمت: کمترین هزینه اشتراک سالانه برای بهرهمندی از بسته امنیتی پایه MalCare، مبلغ 149 دلار میباشد.
3. Sucuri Security
تصویر(7)
مزایا: Sucuri یک گزینه قدرتمند برای چک لیست امنیت وردپرس است و ابزارهای پیشرفته ای برای شناسایی یا حذف بدافزار ارائه می دهد. همچنین، پشتیبانی فنی قدرتمند این شرکت برای رفع آلودگی های ایجاد شده توسط بدافزار، یکی از نقاط قوت آن است. با انجام اسکن های جامع در سطح سرور، Sucuri تضمین می کند که وب سایت شما در برابر تهدیدات سایبری محافظت می شود.
معایب: فرآیند پیکربندی و راه اندازی Sucuri برای کاربران مبتدی ممکن است پیچیدگی هایی داشته باشد. همچنین هزینه اشتراک نسخه حرفه ای این سرویس در مقایسه با سایر گزینه های مشابه، بالاتر است.
قیمت: کمترین هزینه اشتراک سالانه برای بهرهمندی از نسخه حرفه ای Sucuri، مبلغ 199 دلار می باشد. این پلن شامل ویژگی های پیشرفته ای همچون WAF است.
4. WordFence Security
تصویر(8)
مزایا: وردفنس یک فایروال قدرتمند می باشد و ابزار پیشرفته ای برای شناسایی یا حذف بدافزار ارائه می دهد که از وب سایت شما در برابر طیف گسترده تهدیدات سایبری محافظت می کند. این افزونه امکانات امنیتی پیشرفته ای مانند احراز هویت دو مرحله ای و مسدودسازی آدرس های IP را برای افزایش سطح امنیت ورود به سیستم ارائه می دهد.
معایب: نسخه رایگان وردفنس محدودیت های قابل توجهی دارد. از جمله این محدودیت ها میتوان به اسکن تنها 60 درصد سایت و مصرف قابل توجه منابع سرور در حین انجام فرایند اسکن اشاره کرد.
قیمت: کمترین هزینه سالانه برای استفاده از وردفنس، مبلغ 119 دلار می باشد. نسخه رایگان آن نیز با قابلیت های پایه در دسترس است.
5. All-in-One Security
تصویر(9)
مزایا: این افزونه، امکانات امنیتی ضروری نظیر محافظت مقابل حملات brute force و تشخیص تغییرات غیرمجاز در فایل ها را فراهم می آورد و گزینه ای مناسب برای کاربران مبتدی است.
معایب: این افزونه به دلیل فقدان مکانیزم های پیشرفته ای نظیر اسکن بدافزار و پاکسازی آلودگی ها، توانایی ارائه یک راهکار امنیتی جامع برای چک لیست امنیت وردپرس را ندارد.
قیمت: افزونه All-in-One Security به صورت رایگان قابل استفاده است و برای دسترسی به قابلیت های پیشرفته تر، اشتراک هایی با قیمت پایه سالانه ۷۰ دلار ارائه می دهد. با این حال، برای حصول اطمینان از امنیت کامل وب سایت، ممکن است نیاز به افزونه های امنیتی مکمل باشد.
6. Jetpack
تصویر(10)
مزایا: جت پک مجموعه ای جامع از ابزارها را ارائه می دهد که به منظور ارتقاء سطح امنیت و عملکرد وب سایت طراحی شده اند. ویژگی هایی مانند نظارت بر downtime، محافظت در برابر حملات brute force و پشتیبان گیری خودکار، امنیت وب سایت شما را به طور قابل توجهی افزایش می دهند. علاوه بر این، سازگاری Jetpack با پلتفرم WordPress.com، رابط کاربری ساده تری را فراهم می آورد.
معایب: این گزینه در مقایسه با افزونه های امنیتی تخصصی، عمق دفاعی کمتری داشته و قابلیت های تشخیص و پاكسازی بدافزار را به طور کامل ارائه نمی دهد.
قیمت: پلن های امنیتی جت پک از سالانه 120 دلار آغاز می شوند که با توجه به محدودیت های آن در برابر افزونه های تخصصی امنیت، می تواند هزینه بالایی باشد.
7. Defender
تصویر(11)
مزایا: افزونه Defender امکان پیکربندی آسان با یک کلیک و ارائه ویژگی های مفیدی همچون احراز هویت دو مرحله ای (2FA) و مسدودسازی آدرس های IP برای تقویت امنیت ورود را فراهم می نماید.
معایب: این افزونه از قابلیت های جامع اسکن و پاکسازی بدافزار برخوردار نیست.
قیمت: افزونه Defender از قیمت پایه سالانه ۳۶ دلار آغاز می شود و یک گزینه مقرون به صرفه برای تامین نیازهای امنیتی اولیه محسوب می گردد.
8. CleanTalk Security
تصویر(12)
مزایا: افزونه CleanTalk به عنوان یک متخصص در حوزه حفاظت از داده ها مقابل اسپم عمل کرده و علاوه بر این، قابلیت هایی نظیر انسداد ربات های خودکار و آدرس های IP را نیز ارائه می دهد. این افزونه به طور چشمگیری باعث کاهش تعداد نظرات و ثبت نام های اسپم در وب سایت شما می شود که در چک لیست امنیت وردپرس بسیار اهمیت دارد.
معایب: به دلیل تمرکز ویژه این افزونه روی مقابله با اسپم ها، قابلیت تشخیص بدافزارهای رایج را ندارد. لذا نمیتوان آن را یک راهکار امنیتی مستقل و جامع تلقی نمود.
قیمت: CleanTalk از سالانه ۱۲ دلار آغاز می شود و برای کاربرانی که عمدتا نگران مسائل مربوط به اسپم هستند، یک گزینه مناسب محسوب می شود.
9. BulletProof Security
تصویر(13)
مزایا: افزونه BulletProof Security ابزارهای امنیتی را رایگان در اختیار کاربران قرار می دهد که می توان به فایروال پیشرفته، سیستم پشتیبان گیری از پایگاه داده و ابزار اسکن بدافزار اشاره نمود.
معایب: از جمله معایب این افزونه می توان به پیچیدگی رابط کاربری برای کاربران مبتدی و همچنین ابهام در مورد کارایی اسکنر بدافزار آن اشاره نمود.
قیمت: افزونه BulletProof Security با قیمت ۶۹.۹۵ دلار ارائه می شود و این مبلغ شامل دسترسی مادامالعمر به بروزرسانی های آینده نرم افزار می باشد.
10. SecuPress
تصویر(14)
مزایا: افزونه SecuPress رابط کاربری جذاب و کاربرپسندی را ارائه می دهد که امکاناتی نظیر اسکن آسیب پذیری ها و مسدودسازی جغرافیایی برای ارتقا سطح امنیت وب سایت را در اختیار کاربران قرار می دهد.
معایب: این افزونه فاقد قابلیت های جامع تشخیص بدافزار است و بیشتر روی اقدامات کلی تقویت امنیت تمرکز دارد.
قیمت: SecuPress با قیمت پایه ۶۰ یورو در سال (حدود ۶۶ دلار آمریکا) یکی از گزینه های مقرون به صرفه است اما نسبت به سایر افزونه های این لیست، محدودیت هایی در عملکرد دارد که برای چک لیست امنیت وردپرس مناسب نیست.
نظارت و حفظ امنیت وردپرس شما
نظارت و حفظ امنیت وردپرس امری حیاتی برای حفاظت از وب سایت شما در برابر تهدیدات است.
برای پیشگیری از حوادث امنیتی آتی، اطمینان حاصل نمایید که اقدامات زیر را در چک لیست امنیت وردپرس خود گنجانده اید:
- انجام ممیزی های منظم امنیتی: این ممیزی ها باید شامل بررسی جامع اقدامات امنیتی وب سایت، شناسایی دقیق آسیب پذیری ها و اطمینان از بروزرسانی مستمر تمامی افزونه ها و پوسته ها باشند. با اجرای منظم این ممیزی ها، می توانید رویکردی پیشگیرانه در برابر تهدیدات احتمالی اتخاذ کرده و از سوء استفاده مهاجمان جلوگیری کنید.
- نظارت بر فعالیت کاربران: از طریق تغییرات اعمال شده روی محتوا و افزونه ها، می توانید اقدام به شناسایی رفتارهای مشکوک نمایید. پیاده سازی سیستم های ثبت وقایع (لاگ) و استفاده از افزونه های امنیتی با قابلیت ردیابی اقدامات کاربران، کمک می کند تا تلاش های دسترسی غیرمجاز یا تغییرات اعمال شده توسط حساب های هک شده را تشخیص داده و در زمان مناسب به آنها پاسخ دهید.
- اطلاع از جدیدترین تهدیدات امنیتی وردپرس: توصیه می شود با عضویت در وبلاگ های تخصصی امنیت، پیگیری فعالانه انجمن های وردپرس و مشارکت در گروه هایی که به بحث و تبادل نظر درباره مسائل امنیتی می پردازند، همواره از آخرین تحولات امنیتی آگاه باشید. آشنایی با تهدیدات نوظهور به شما این امکان را می دهد تا توسط اقدامات پیشگیرانه ای همچون اعمال بروزرسانی های ضروری و پیاده سازی تدابیر امنیتی جدید، از وب سایت خود محافظت نمایید.
- انجام ارزیابی های امنیتی جامع: برای تضمین پایداری و امنیت مستمر وب سایت در برابر حملات احتمالی، انجام ارزیابی های امنیتی جامع به صورت دوره ای ضروری است. این ارزیابی ها شامل اسکن دقیق آسیب پذیری ها، تست نفوذ و بررسی جامع پیکربندی سیستم می شوند. با اجرای این ارزیابی ها، می توانید ضمن شناسایی نقاط ضعف و آسیب پذیری های موجود، اقدامات لازم برای رفع آنها را انجام دهید.
پیاده سازی استراتژی امنیتی قدرتمند در چک لیست امنیت وردپرس
تامین امنیت وب سایت وردپرسی شما صرفا یک توصیه نیست بلکه ضروری است. با توجه به افزایش روز افزون پیچیدگی تهدیدات سایبری، اتخاذ تدابیر امنیتی مضاعف برای حفاظت از وب سایت و داده های ارزشمند مشتریان، حیاتی خواهد بود.
داشتن زیرساخت مناسب جهت حفاظت از وب سایت در برابر تهدیدات سایبری یک اقدام امنیتی محسوب می شود. برای تحقق این امر، انتخاب ارائه دهنده میزبانی معتبر و یک افزونه امنیتی وردپرس قدرتمند، امری ضروری است.
تصویر(15)
چک لیست امنیت وردپرس: پرسش های متداول
لیست زیر به رایج ترین سوالات در مورد ارتقا امنیت وردپرس پاسخ می دهد که شامل موضوعاتی مانند نحوه انتخاب افزونه های امنیتی مناسب، اهمیت بروزرسانی منظم، روش های مقابله با هک شدن سایت و نکات کاربردی برای حفاظت از اطلاعات کاربران می باشد. هدف این است که کاربران وردپرس بتوانند با آگاهی بیشتر، سایت های خود را در برابر تهدیدات سایبری ایمن تر نمایند.
هر چند وقت یک بار باید ممیزی های موجود در چک لیست امنیت وردپرس انجام گردد؟
توصیه می شود که ممیزی های امنیتی به صورت فصلی (هر سه ماه یکبار) برای وب سایت وردپرسی شما انجام گیرد. پیگیری منظم این ممیزی ها باعث شناسایی آسیب پذیری های احتمالی و اطمینان از بروزرسانی تمامی افزونه ها، پوسته ها و هسته وردپرس خواهد شد.
همچنین پس از هر بروزرسانی یا اعمال تغییرات گسترده در وب سایت، انجام ممیزی امنیتی مجدد به منظور حفظ سطح امنیتی مطلوب و مقابله با تهدیدات نوظهور، ضروری است.
در صورت هک وب سایت وردپرسی چه اقدامی باید انجام گردد؟
در صورت وقوع حمله سایبری و هک شدن وب سایت وردپرسی، ضروری است تا سریعا اقدامات لازم انجام شود تا از گسترش آسیب و سوء استفاده های احتمالی جلوگیری گردد. ابتدا، دسترسی عموم به وب سایت باید قطع شود تا هکرها نتوانند فعالیت های مخرب خود را ادامه دهند. سپس تمامی رمزهای عبوری که به وب سایت دسترسی دارند، مانند پنل مدیریت، پایگاه داده و هاست، باید تغییر داده شوند.
در صورت وجود نسخه پشتیبان سالم و بروز، بازیابی آن می تواند به بازگرداندن وب سایت کمک شایانی نماید.
سیستم SIEM چیست و آیا برای وب سایت وردپرسی ضروری است؟
سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) ابزاری قدرتمند در حوزه امنیت سایبری می باشد که به منظور جمع آوری، تحلیل و هماهنگی رویدادهای امنیتی منابع مختلف یک سازمان، طراحی شده است. این سیستم با نظارت مداوم بر داده های امنیتی، امکان شناسایی به موقع تهدیدات، تشخیص نفوذها و تحلیل رفتارهای مشکوک را فراهم می آورد.
اگرچه پیاده سازی سیستم SIEM در تمامی وب سایت های وردپرسی الزامی نیست اما برای آنهایی که با حجم بالای داده های حساس سروکار دارند یا در معرض تهدیدات سایبری پیچیده تری می باشند، توصیه می شود. استفاده از SIEM می تواند به سازمان ها کمک شایانی نماید.
نتیجه گیری
اتخاذ دستورالعمل های امنیتی جامع، امری ضروری برای حفاظت وب سایت های مبتنی بر وردپرس محسوب می شود. با اجرای اقدامات پیشگیرانه و بروزرسانی مستمر سیستم، می توان به طور موثری از وب سایت در برابر تهدیدات سایبری محافظت نمود. آگاهی از آخرین تهدیدات سایبری و بروزرسانی مداوم دانش امنیتی، به سازمان ها کمک می کند تا در برابر حملات پیچیده تر نیز مقاوم باشند.
یک چک لیست امنیت وردپرس جامع، نه تنها به محافظت از داده ها و دارایی های دیجیتال سازمان کمک می کند بلکه باعث تقویت اعتبار برند آن نیز خواهد شد. با تدابیر امنیتی مناسب، می توان اطمینان حاصل کرد که وب سایت همانند یک دارایی ارزشمند برای سازمان، به نحو مطلوب حفظ و نگهداری می شود.