اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که در زمان انتشار مقاله فعلی حدود 43.2 درصد از کل وب سایت ها روی آن اجرا می شوند. متاسفانه، محبوبیت آن انواع مجرمان سایبری را که از نقص های امنیتی پلتفرم ها سوءاستفاده می‌کنند به خود جذب می‌کند. البته صحبت فوق به این معنا نیست که وردپرس یک سیستم امنیتی بسیار ضعیف دارد، بلکه نقض امنیتی می تواند به دلیل عدم آگاهی کاربران از امنیت سیستم رخ دهد. بنابراین، بهتر است قبل از اینکه وب سایت به یک هدف برای هکران تبدیل شود، اقداماتی جهت افزایش امنیت وردپرس خود را اعمال کنید.

در این مقاله 22 روش برای بهبود امنیت و محافظت از وردپرس در برابر حملات سایبری مختلف، بررسی خواهد شد و شامل بهترین شیوه ها و نکات امنیتی با استفاده از افزونه ها و بدون آنها می باشد. برخی از روش ها برای پلتفرم های غیر از وردپرس نیز قابل اجرا هستند.

این روش ها عبارتند از:

1. سایت خود را بروز نگه دارید.
2. از اطلاعات ورود امن wp-admin استفاده کنید.
3. Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید.
4. از قالب های وردپرس قابل اعتماد استفاده کنید.
5. برای انتقال امن داده ها گواهی SSL نصب کنید.
6. قالب ها و افزونه های بلااستفاده وردپرس را حذف کنید.
7. احراز هویت دو مرحله ای را فعال کنید.
8. به طور منظم نسخه پشتیبان تهیه کنید.
9. تعداد تلاش های ناموفق برای ورود را محدود کنید.
10. آدرس صفحه ورود به وردپرس خود را تغییر دهید.
11. قابلیت خروج خودکار کاربران غیرفعال را فعال کنید.
12. بر فعالیت کاربران نظارت کنید.
13. به طور منظم سایت خود را برای شناسایی بدافزار اسکن کنید.
14. گزارش خطای PHP را غیرفعال کنید.
15. به یک میزبانی وب امن تر مهاجرت کنید.
16. ویرایش فایل را غیرفعال کنید.
17. از htaccess. برای غیرفعال کردن اجرای فایل PHP و محافظت از فایل wp-config.php استفاده کنید.
18. پیشوند پیش فرض دیتابیس وردپرس را تغییر دهید.
19. ویژگی XML-RPC را غیرفعال کنید.
20. نسخه وردپرس خود را مخفی کنید.
21. hotlinking را مسدود کنید.
22. سطح دسترسی های فایل ها و پوشه ها را مدیریت کنید.

چگونگی افزایش امنیت وردپرس

اگر وب سایت وردپرسی تان هک شود، ممکن است داده های مهم، دارایی ها و اعتبار خود را از دست بدهید. علاوه بر این، مسائل امنیتی می توانند داده های شخصی و اطلاعات مشتریان وب سایت را نیز به خطر بیندازند. هزینه خسارات جرایم سایبری تا سال 2025 می تواند به 10.5 تریلیون دلار در سال برسد که مطمئناً نمی خواهید به هدف هکرها تبدیل شوید و در آن سهیم باشید.

بر اساس دیتابیس نقص های امنیتی WPScan، موارد زیر از رایج‌ترین آسیب‌پذیری‌های وردپرس هستند:

• جعل درخواست بین سایت (CSRF): در این نوع هک، فرد مهاجم کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه تحت وب قابل اعتماد، انجام دهد.
• حمله انکار سرویس توزیع شده (DDoS): سرویس های آنلاین را با ارسال ارجاعات ناخواسته از کار می اندازد و سایت را از دسترس خارج می کند.
• دور زدن احراز هویت: دسترسی هکر ها به منابع سایت را بدون احراز هویت امکان پذیر می کند.
• SQL Injection (SQLi): سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا و داده های دیتابیس را تغییر دهد.
• برنامه نویسی متقابل سایت (XSS): کد مخربی به سایت تزریق می شود که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.
• گنجاندن فایل محلی (LFI): سایت را مجبور می کند تا فایل های مخربی که در وب سرور قرار گرفته اند را اجرا نماید.

چک لیست امنیتی برای افزایش امنیت وردپرس و نکات اضافی

اجرای یک یا دو اقدام امنیتی، برای ایمن سازی کامل وب سایت وردپرسی کافی نخواهد بود. چک لیست امنیتی وردپرس این مقاله را مطالعه و با انجام اقدامات اساسی، به امنیت سایت خود کمک کنید.

بهترین روش های عمومی برای افزایش امنیت وردپرس

در این بخش، به شش نکته کلی در مورد امنیت وردپرس اشاره شده که نیازی به دانش فنی پیشرفته و اقدامات پرخطر ندارند. حتی یک مبتدی نیز می تواند کارهای ساده ای مانند بروز رسانی نرم افزار وردپرس و حذف قالب های بلااستفاده را انجام دهد.

1. نسخه وردپرس را به طور منظم بروز کنید

به طور منظم بروزرسانی‌های نرم‌افزاری برای بهبود عملکرد و افزایش امنیت وردپرس منتشر می‌ شود. این بروزرسانی ها از سایت در برابر تهدیدات سایبری نیز محافظت می نمایند. بروزرسانی وردپرس یکی از ساده ترین راه ها برای بهبود امنیت آن است. با این حال، نزدیک به 50٪ از سایت های وردپرسی روی نسخه های قدیمی اجرا می شوند که آنها را آسیب پذیرتر می کند.

برای بررسی نسخه وردپرس، به "پیشخوان" و سپس "بروزرسانی ها" مراجعه کنید. چنانچه از آخرین نسخه استفاده نمی شود، توصیه می گردد در اسرع وقت آن را بروز نمایید.

تصویر(1)

به تاریخ بروزرسانی های وردپرس توجه کنید و اطمینان حاصل نمایید که از آخرین نسخه وردپرس استفاده می شود. همچنین توصیه می گردد قالب ها و افزونه های نصب شده را بروزرسانی نمایید. در نظر داشته باشید که قالب ها و افزونه های قدیمی ممکن است با بروزرسانی جدید وردپرس در تضاد باشند و باعث ایجاد خطا و تهدیدات امنیتی شوند.

برای رهایی از قالب ها و افزونه های قدیمی مراحل زیر را دنبال کنید:

مجدد به "پیشخوان" وردپرس و سپس "بروزرسانی ها" مراجعه نمایید. به قسمت افزونه ها و قالب ها مراجعه و لیست قالب ها و افزونه های آماده برای بروزرسانی را بررسی نمایید. توجه داشته باشید که می توان آنها را به یکباره یا جداگانه بروز نمود. روی "بروزرسانی افزونه ها" کلیک کنید تا افزونه ها به آخرین نسخه بروزرسانی شوند.

 

تصویر(2)

2. از اطلاعات ورود امن WP-Admin استفاده کنید

یکی از رایج ترین اشتباهاتی که کاربران مرتکب می شوند استفاده از نام کاربری ساده و قابل حدس مانند "admin"، "administrator" یا "test" می باشد. این نام کاربری ها سایت را در معرض خطر حملات brute force قرار می دهند. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایت‌های وردپرسی که رمزعبور قدرتمندی ندارند، استفاده می‌کنند. بنابراین، توصیه می شود از نام کاربری و رمز عبور منحصر به فرد و پیچیده استفاده نمایید این مورد در افزایش امنیت وردپرس بسیار می تواند تاثیر گذار باشد. همچنین، برای ایجاد یک حساب کاربری جدید با نقش مدیر کل در وردپرس می توانید مراحل زیر را دنبال کنید:

1. از داشبورد وردپرس خود به مسیر "کاربران" سپس "افزودن" مراجعه نمایید.

تصویر(3)

2. یک کاربر جدید ایجاد و نقش "مدیرکل" را به آن اختصاص دهید. سپس یک رمز عبور تنظیم کنید و پس از اتمام کار، روی دکمه "افزودن کاربر تازه" کلیک نمایید.

تصویر(4)

اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید. همچنین توصیه می شود حداقل از 12 کاراکتر استفاده کنید زیرا هک رمز عبور های طولانی بسیار سخت تر است. پس از ایجاد حساب کاربری جدید با نقش مدیر کل در وردپرس، برای حذف مدیریت قدیمی مراحل زیر را دنبال کنید:

1. با اطلاعات کاربری جدید وارد وردپرس شوید.
2.  به مسیر "کاربران" سپس "همه کاربران" مراجعه نمایید.

تصویر(5)

3. اکانت مدیریت قدیمی که می خواهید حذف شود را یافته و سپس با انتخاب گزینه "حذف"، آن را حذف کنید.

تصویر(6)

همچنین برای افزایش امنیت وردپرس، مهم است که قبل از ورود به سیستم، اتصال شبکه را بررسی کنید. برای مثال اگر ناآگاهانه به نرم افزاری مانند شبکه Hotspot Honeypot که توسط هکرها اداره می شود متصل باشید، در معرض خطر به سرقت رفتن اطلاعات ورود به وردپرس تان قرار دارید.

حتی شبکه های عمومی مانند وای فای کتابخانه مدرسه و دانشگاه نیز ممکن است آنقدر که به نظر می رسد امن نباشند. هکرها می توانند اتصال شما را رهگیری و داده های رمزگذاری نشده، از جمله اطلاعات ورود به وردپرس را به سرقت ببرند. به همین دلیل، توصیه می شود هنگام اتصال به یک شبکه عمومی از VPN استفاده کنید. vpn یک لایه رمزگذاری برای اتصال ایجاد می کند که رهگیری داده ها را سخت تر و از فعالیت های آنلاین محافظت می نماید.

3. Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید

فعال کردن قفل URL، از صفحه ورود در برابر آدرس IP های غیرمجاز و حملات brute force محافظت می کند. برای انجام این کار، به یک سرویس فایروال برنامه تحت وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.

با استفاده از Cloudflare، می توانید دستور zone lockdown را اجرا نمایید و برای دسترسی به URL های مدنظرتان محدوده IP یا IP range مجاز مشخص کنید که هیچکس خارج از محدوده مشخص شده نتواند به آنها دسترسی داشته باشد.

Sucuri دارای ویژگی مشابهی به نام URL path blacklist است. ابتدا آدرس صفحه پیشخوان وردپرس را به blacklist اضافه نمایید تا کسی نتواند به آن دسترسی داشته باشد. سپس، آدرس IP های مجاز برای دسترسی به صفحه پیشخوان را در سیستم وارد کنید.

از طرف دیگر، با پیکربندی فایل htaccess. سایت خود، دسترسی به صفحه پیشخوان وردپرس را محدود کنید. برای دسترسی به فایل htaccess. به مسیر اصلی هاست خود مراجعه نمایید.

نکته مهم: قبل از ایجاد هر گونه تغییر، توصیه می شود از فایل htaccess. نسخه پشتیبان تهیه نمایید. چنانچه مشکلی رخ بدهد، می توانید فایل مذکور را به راحتی بازیابی کنید.

افزودن کد زیر به فایل htaccess. دسترسی به wp-login.php را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از طریق IP های دیگر به صفحه ورود پیشخوان وردپرس دسترسی داشته باشند.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

همانطور که در تصویر زیر نشان داده شده است، این قطعه کد باید بعد از توضیحات BEGIN WordPress # و END WordPress # قرار گیرد.

تصویر(7)

این قطعه کد حتی اگر IP ثابت نداشته باشید کارایی دارد. زیرا می توانید ورود به پیشخوان وردپرس را به رنج آی پی ISP خود محدود کنید. همچنین می توانید از این قطعه کد برای محدود کردن سایر URL های احراز هویت مانند wp-admin/ نیز استفاده نمایید.

4. از قالب های وردپرس قابل اعتماد استفاده کنید

قالب های نال شده، نسخه های غیرمجاز قالب های اصلی هستند. در بیشتر موارد این قالب ها برای جذب کاربران با قیمت کمتری فروخته می شوند اما معمولا مشکلات امنیتی زیادی دارند.

اغلب ارائه دهندگان قالب نال شده، هکرهایی هستند که قالب اصلی را هک و کدهای مخرب، از جمله بدافزار و لینک های اسپم را در آن قرار داده اند. علاوه بر این، قالب ها می توانند شامل حفره های امنیتی برای سایر سوء استفاده ها باشند و سایت را به خطر بیندازند.

از آنجایی که قالب های نال شده به صورت غیرقانونی توزیع می‌شوند، کاربران آنها هیچ گونه پشتیبانی از سوی توسعه‌دهندگان دریافت نمی‌کنند. به این معنا که اگر سایت با هر گونه مشکلی روبرو شود، می بایست نحوه رفع آنها را شخصا یافته و وب سایت را ایمن کنید. برای جلوگیری از تبدیل شدن به یک هدف برای هکرها و افزایش امنیت وردپرس توصیه می شود که قالب را از مخزن وردپرس (وب سایت wordpress.org) یا از توسعه دهندگان مورد اعتماد تهیه کنید.

تصویر(8)

5. گواهی SSL را نصب کنید

Secure Socket Layers یا SSL به معنی "لایه سوکت ایمن"، یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان را رمزگذاری و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند. علاوه بر این، گواهی SSL بهینه‌سازی سایت برای موتورهای جستجو (SEO) را بهبود می بخشد و کمک می‌کند تا بازدیدکنندگان بیشتری جذب وب سایت شوند.

وب‌سایت‌هایی که گواهی SSL را نصب کرده اند به جای HTTP از HTTPS استفاده می‌کنند، بنابراین شناسایی آنها بسیار آسان است و در جهت افزایش امنیت وردپرس نیز کمک می کند. لذا مرورگر سایت شما را ایمن شناسایی خواهد کرد.

اکثر شرکت های هاستینگ، SSL را به همراه هاست و کاملا رایگان ارائه می کنند. میهن وب هاست نیز گواهی SSL رایگان Let’s Encrypt را در تمام سرویس های میزبانی خود ارائه می دهد. علاوه بر این، تهیه و ارتقاء به گواهینامه های تجاری مانند Comodo PositiveSSL نیز امکان پذیر می باشد.

پس از نصب گواهی SSL، آن را در وب سایت وردپرسی خود فعال کنید.

افزونه هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می توانند جنبه های فنی داشته و فعال سازی SSL را با چند کلیک کنترل کنند. نسخه پریمیوم Really Simple SSL می‌تواند هدرهای HTTP Strict Transport Security را فعال نماید که استفاده از HTTPS را هنگام دسترسی به سایت امکان پذیر می کند.

پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به "تنظیمات" سپس "عمومی" مراجعه و آدرس سایت در قسمت "نشانی وردپرس (URL)" و "نشانی سایت (URL)" را به https تغییر دهید.

 

 

تصویر(9)

6. افزونه ها و قالب های بلااستفاده را حذف کنید

نگه داشتن افزونه ها و قالب های بلااستفاده می تواند مشکل ساز شود، به خصوص اگر افزونه ها و قالب ها بروز نشده باشند. افزونه ها و قالب های قدیمی خطر حملات سایبری را افزایش می دهند زیرا هکرها می توانند از آنها برای دسترسی به سایت استفاده کنند. مدیریت پیوسته افزونه ها در جهت افزایش امنیت وردپرس بسیار حیاتی است.

برای حذف یک افزونه در وردپرس مراحل زیر را دنبال کنید:

1. به بخش "افزونه ها" سپس "افزونه های نصب شده" مراجعه نمایید.
2. لیست تمام افزونه های نصب شده را مشاهده خواهید نمود. روی گزینه "حذف" در زیر نام افزونه موردنظر کلیک کنید.

تصویر(10)

توجه داشته باشید که دکمه حذف تنها پس از غیرفعال کردن افزونه، نمایش داده خواهد شد.

برای حذف یک قالب بلااستفاده نیز می توانید مراحل زیر را دنبال کنید:

1. از پیشخوان وردپرس خود، به منوی "نمایش" سپس "پوسته" مراجعه نمایید.
2. روی قالبی که می خواهید حذف شود کلیک کنید.
3. یک پنجره پاپ آپ ظاهر می شود که جزئیات قالب را نشان می دهد. روی دکمه "حذف" در گوشه سمت چپ پایین صفحه کلیک کنید.

تصویر(11)

نحوه استفاده از افزونه های امنیتی به جهت افزایش امنیت وردپرس

روش بعدی برای افزایش امنیت وردپرس استفاده از افزونه های امنیتی وردپرس است که راهی آسان برای محافظت از وب سایت می باشد. البته به یاد داشته باشید که تمامی این افزونه ها را به صورت یکجا و بدون توجه به عملکرد آن ها نصب نکنید. زیرا تعداد زیاد افزونه ها می تواند سرعت سایت را کاهش دهد. پیشنهاد می گردد ابتدا نیازهای خود را برای انتخاب موثرترین افزونه ها شناسایی و سپس اقدام به نصب افزونه امنیتی مدنظرتان نمایید.

1. احراز هویت دو مرحله ای را برای WP-Admin فعال کنید

احراز هویت دو مرحله ای (2FA) را برای wp-admin فعال نمایید تا فرآیند ورود به سایت، ایمن تر شود. این روش، لایه دوم امنیت را به صفحه ورود وردپرس اضافه می کند و در جهت افزایش امنیت وردپرس به خصوص صفحه ورود گام موثری به حساب خواهد آمد زیرا برای تکمیل فرآیند ورود، باید یک کد منحصر به فرد وارد شود که این کد فقط از طریق یک پیام متنی یا یک برنامه احراز هویت جانبی، در دسترس است.

برای اعمال 2FA در صفحه ورود وردپرس، یک افزونه امنیتی مانند Wordfence Login Security را نصب کنید. علاوه بر این، باید یک برنامه احراز هویت جانبی مانند Google Authenticator را نیز روی تلفن همراه خود نصب نمایید. پس از نصب افزونه و برنامه احراز هویت، مراحل زیر را برای فعال کردن احراز هویت دو مرحله ای، دنبال کنید:

1. به صفحه افزونه در پیشخوان وردپرس مراجعه نمایید. چنانچه از افزونه Wordfence Login Security استفاده می کنید، نیاز است به منوی "Login Security" رجوع شود.

تصویر(12)

2. تب "Two-Factor Authentication" را انتخاب کنید.

تصویر(13)

3. از برنامه احراز هویت تلفن همراه خود برای اسکن کد QR یا وارد کردن کلید فعال سازی استفاده نمایید.
4. کد ایجاد شده در برنامه تلفن همراه خود را در کادر زیر قسمت recovery codes وارد کنید.
5. برای تکمیل تنظیمات روی دکمه "ACTIVATE" کلیک نمایید.

همچنین، کدهای بازیابی ارائه شده را دانلود کنید تا در صورتی که دسترسی به دستگاه حاوی برنامه احراز هویت را از دست دادید، با استفاده از آنها بتوانید به پیشخوان وردپرس تان دسترسی داشته باشید.

2. به طور منظم از وردپرس نسخه پشتیبان تهیه کنید

تهیه منظم نسخه پشتیبان از وب سایت، باعث کاهش خطرات و افزایش امنیت وردپرس می شود زیرا کمک می کند تا سایت را پس از حوادثی مانند حملات سایبری یا آسیب فیزیکی سرور، بازیابی کنید. فایل پشتیبان باید شامل کل فایل های نصبی وردپرس، مانند دیتابیس و فایل های اصلی باشد.

در وردپرس، پشتیبان گیری از سایت را می توان با استفاده از افزونه ای مانند All-in-One WP Migration انجام داد. برای ایجاد یک فایل پشتیبان از طریق این افزونه، مراحل زیر را دنبال کنید:

1. مطابق تصویر زیر، از بخش"افزونه ها" سپس "افزودن" آن را نصب و فعال نمایید.

تصویر(14)

2. به منوی "All-in-One WP Migration" در پیشخوان وردپرس تان مراجعه کنید.
3.  "پشتیبان گیری" را انتخاب نمایید.
4.  روی "ایجاد فایل پشتیبان" کلیک کنید.

تصویر(15)

5. پس از ایجاد نسخه پشتیبان، صفحه دانلود آن ظاهر می‌شود.

تصویر(16)

6. نسخه پشتیبان را دانلود و در سیستم خود یا در فضایی امن مانند google drive، ذخیره کنید. 

در صورت بروز حادثه، می توانید سایت خود را با استفاده از ابزار درون ریزی افزونه All-in-One WP Migration بازیابی نمایید.

3. محدود کردن تلاش برای ورود

وردپرس به کاربران خود اجازه می دهد تا به صورت نامحدود برای ورود به سایت تلاش نمایند. این ضعف امنیتی باعث می شود هکرها بتوانند رمزهای عبور مختلف را تا زمان یافتن رمز عبور صحیح، امتحان کنند. بنابراین، باید برای جلوگیری از چنین حملاتی، تعداد تلاش برای ورود به پیشخوان وردپرس محدود شود. محدود کردن تلاش های ناموفق، به نظارت بر فعالیت های مشکوک در سایت نیز کمک می کند.

اکثر کاربران صرفا با یک بار تلاش وارد ناحیه کاربری می شوند و تعداد کمی ورود ناموفق خواهند داشت. بنابراین باید به آدرس‌ IP هایی که به حد مجاز رسیده اند مشکوک شوید. یکی از راه های محدود کردن تلاش برای ورود به سیستم به منظور افزایش امنیت وردپرس، استفاده از افزونه است. گزینه های بسیار خوبی در این خصوص وجود دارد، مانند:

• Limit Login Attempts Reloaded: تعداد تلاش‌های ناموفق را برای آدرس‌ IP های خاص، تنظیم می‌کند. همچنین کاربران را به لیست امن اضافه یا آنها را به طور کامل مسدود می نماید و زمان باقی‌مانده از انسداد را اطلاع می دهد.
• Loginizer: ویژگی های امنیتی ورود، مانند 2FA، reCAPTCHA و سوالات امنیتی را ارائه می دهد.
• Limit Attempts by BestWebSoft: به طور خودکار، IP هایی که به محدودیت تلاش برای ورود رسیده اند را مسدود و به لیست بلاک خود اضافه می کند.

یکی از ریسک های اجرای این اقدامات امنیتی در وردپرس، انسداد دسترسی یک کاربر مجاز به پیشخوان وردپرس است. با این حال، نباید نگران این مشکل باشید، زیرا راه های زیادی برای بازیابی حساب های مسدود شده وجود دارد.

4. URL صفحه ورود به وردپرس را تغییر دهید

برای افزایش امنیت وردپرس در برابر حملات brute force، آدرس صفحه ورود به پیشخوان وردپرس را تغییر دهید. همه وب‌سایت‌های وردپرسی، دارای یک URL پیشفرض برای ورود به پیشخوان هستند. استفاده از URL پیش فرض example.com/wp-admin برای ورود به پیشخوان، هدف قرار دادن این صفحه را برای هکرها آسان می کند.

افزونه هایی مانند WPS Hide Login و Change wp-admin Login امکان تنظیم URL دلخواه برای صفحه ورود را فراهم می کنند. اگر از افزونه WPS Hide Login استفاده می‌کنید، مراحل تغییر URL صفحه ورود به وردپرس، به شرح زیر می باشد:

1. در پیشخوان وردپرس، از منوی "تنظیمات" به زیر منوی "WPS Hide Login" مراجعه نمایید.

تصویر(17)

2. فیلد "آدرس ورود" را با URL دلخواه خود پر کنید.
3. روی دکمه "ذخیره تغییرات" کلیک نمایید تا فرآیند به پایان برسد.

5. خروج خودکار کاربران آفلاین

بسیاری از کاربران، فراموش می کنند که از وب سایت خارج شوند. از این رو، به شخص دیگری که از همان دستگاه استفاده می کند اجازه می دهد تا به حساب کاربری دسترسی داشته و از داده های محرمانه کاربر سوء استفاده نماید. بنابراین، بسیار مهم است که وب سایت را طوری پیکربندی کنید که کاربران غیرفعال را به طور خودکار از سیستم خارج کند. اکثر وب سایت‌های بانکی، از این تکنیک برای جلوگیری از دسترسی بازدیدکنندگان غیرمجاز بهره می برنند تا اطمینان حاصل شود که داده‌های مشتریان امن است.

استفاده از افزونه امنیتی وردپرس مانند Inactive Logout، یکی از ساده‌ترین راه‌ها برای خروج خودکار از حساب‌ کاربران آفلاین و افزایش امنیت وردپرس می باشد. علاوه بر پایان دادن به سشن، این افزونه می تواند یک پیام دلخواه به کاربران ارسال کند تا به آنها در مورد پایان زمان سشن ورود به سایت، هشدار دهد.

6. نظارت بر فعالیت کاربر

با ردیابی فعالیت کاربران در پیشخوان، اقدامات ناخواسته یا مخربی که سایت را در معرض خطر قرار می دهد شناسایی کنید. این روش برای کسانی توصیه می شود که چندین کاربر یا نویسنده، به سایت وردپرسی شان دسترسی دارند. ممکن است کاربران تنظیماتی مانند تغییر قالب ها یا پیکربندی افزونه ها که نباید انجام شوند را اعمال کنند. با نظارت بر فعالیت آنها، متوجه خواهید شد که چه کسی مسئول تغییرات ناخواسته است و اگر یک شخص غیرمجاز به وب سایت نفوذ کرده باشد، کاربری که از طریق آن نفوذ رخ داده، مشاهده خواهید کرد.

ساده ترین راه برای پیگیری فعالیت کاربران، استفاده از افزونه های وردپرسی است، مانند:

• WP Activity Log: بر تغییرات انجام شده در بخش های مختلف وب سایت، از جمله پست ها، صفحات، قالب ها و افزونه ها نظارت نموده و همچنین فایل‌هایی که به تازگی اضافه، حذف و تغییراتی در آنها اعمال شده را ثبت می‌کند.
• Activity Log: بر فعالیت های مختلف در پنل پیشخوان وردپرس نظارت می کند و این امکان را می دهد تا قوانینی برای اعلان های ایمیل، تنظیم نمایید.
• Simple History: علاوه بر ثبت گزارش فعالیت در پیشخوان وردپرس، از چندین افزونه دیگر مانند Jetpack، WP Crontrol و Beaver Builder پشتیبانی نموده و تمام فعالیت‌های مربوط به آن‌ها را ثبت می‌ کند.

7. بدافزار ها را بررسی کنید

موسسه AV-TEST هر روز بیش از 450000 بدافزار جدید و برنامه های ناخواسته (PUA) را ثبت می کند. حتی برخی از بدافزارها ماهیت "چند شکلی" دارند، به این معنی که می‌توانند خود را تغییر دهند تا از شناسایی آنها جلوگیری شود.

بنابراین اسکن منظم سایت برای بدافزارها، در افزایش امنیت وردپرس بسیار مهم است. زیرا مهاجمان همیشه روش های جدیدی را کشف می کنند. خوشبختانه، افزونه های زیادی برای تشخیص هک وردپرس وجود دارد که می توانند بدافزارها را اسکن و امنیت وردپرس را بهبود بخشند.

افزونه های امنیتی پیشنهادی، به شرح زیر می باشند:

• Wordfence: یک افزونه امنیتی محبوب با بروزرسانی‌های به موقع جهت شناسایی فایل های ویروسی و اعلان‌های هشدار دهنده است که نشان می‌دهد آیا سایت دیگری شما را به دلیل فعالیت‌های مشکوک لیست کرده است یا خیر.
• BulletProof Security: با ویژگی خروج کاربران آفلاین، نمایش پوشه‌ افزونه های پنهان که در بخش افزونه‌های وردپرس قابل مشاهده نیستند و همچنین ابزارهای پشتیبان‌گیری و بازیابی دیتابیس، به ایمن کردن وب‌سایت کمک می‌کند.
• Sucuri Security: یکی از بهترین افزونه های امنیتی موجود در بازار که گواهینامه های مختلف SSL، اسکن بدافزار و اقدامات امنیتی پس از هک را ارائه می دهد.

چگونه بدون استفاده از افزونه افزایش امنیت وردپرس را انجام دهید؟

افزایش امنیت وردپرس بدون استفاده از افزونه ها نیز امکان پذیر است. بیشتر این اقدامات شامل بهینه سازی کدهای سایت می باشد اما نیازی به نگرانی نیست. در ادامه مراحل انجام این کار توضیح داده شده است. 

1. گزارش خطای PHP را غیرفعال نمایید

گزارش خطای PHP، اطلاعات کاملی در مورد مسیرها و ساختار فایل های وب سایت را نمایش می دهد و آن را به یک ویژگی عالی برای نظارت بر اسکریپت های PHP تبدیل می کند. با این حال، نشان دادن نقاط آسیب پذیر بک اند وب سایت، یک نقص امنیتی جدی برای وردپرس می باشد. به عنوان مثال، اگر افزونه خاصی را نمایش دهد که با خطا مواجه است، مجرمان سایبری می توانند از نقص امنیتی آن افزونه، سوءاستفاده کنند. دو راه برای غیرفعال کردن گزارش خطای PHP وجود دارد:

• از طریق فایل PHP
• کنترل پنل سرویس هاست

اصلاح فایل PHP

برای تغییر فایل PHP، مراحل زیر را دنبال کنید:

1. فایل "wp-config.php" سایت را با استفاده از یک نرم افزار FTP مانند FileZilla یا ویرایشگر فایل هاست باز کنید.
2. قطعه کد زیر را به فایل اضافه نموده و مطمئن شوید که آن را قبل از هر دستور PHP دیگری قرار داده اید.

error_reporting(0);
@ini_set(‘display_errors’, 0);

 

3. سپس فایل را ذخیره کنید.

تغییر تنظیمات PHP با استفاده از کنترل پنل جهت افزایش امنیت وردپرس

اگر نمی خواهید کدنویسی انجام دهید، می توانید PHP error reporting را از طریق کنترل پنل ارائه دهنده هاست خود غیرفعال کنید. در سرویس های سی پنل میهن وب هاست می توانید طبق آموزش زیر، display_errors را غیرفعال کنید:

آموزش استفاده از ابزار MultiPHP INI Editor در cPanel

2. به یک میزبانی وب امن تر مهاجرت کنید

اگر محیط میزبانی وب شما مستعد حملات سایبری باشد، اقدامات امنیتی چندگانه وردپرس، اهمیت چندانی نخواهد داشت. ارائه دهنده هاست می بایست امنیت تمام داده ها و فایل های وب سایت های روی سرور خود را تضمین کند. بنابراین انتخاب فضایی که از سطح امنیتی مطلوبی برخوردار باشد، بسیار مهم است.

اگر فکر می کنید که شرکت میزبانی وب فعلی به اندازه کافی امن نیست، وقت آن رسیده که وب سایت خود را به یک شرکت میزبانی جدید منتقل نمایید. در ادامه به نکاتی که باید هنگام جستجوی یک میزبانی وب ایمن در نظر بگیرید، اشاره شده است:

• نوع میزبانی وب: سرویس های اشتراکی نسبت به سایر سرویس ها، بیشتر در برابر حملات سایبری آسیب پذیر هستند. میزبانی وبی را انتخاب کنید که سرور مجازی یا هاست اختصاصی با منابع جداگانه را ارائه دهد.
• امنیت: یک ارائه دهنده هاست خوب، بر شبکه خود برای شناسایی فعالیت های مشکوک نظارت کرده و به طور دوره ای نرم افزار و سخت افزار سرور را بروز می کند. همچنین آنها می بایست از تجهیزات امنیتی سرور و محافظت در برابر انواع حملات سایبری نیز برخوردار باشند.
• امکانات: صرف نظر از نوع میزبانی، داشتن پشتیبان گیری خودکار و ابزارهای امنیتی، یک ویژگی ضروری برای محافظت از سایت است. در بدترین حالت، می‌توانید از نسخه های پشتیبان برای بازیابی وب‌ سایت در معرض خطر، استفاده کنید.
• پشتیبانی: انتخاب یک شرکت میزبانی با تیم پشتیبانی 24 ساعته و دانش فنی بالا، ضروری است. آنها کمک می کنند از داده ها محافظت و با مشکلات فنی و ایمنی که امکان دارد رخ دهد، مقابله کنید.

سرویس های هاست میهن وب هاست، ابزار و ویژگی های ضروری مورد نیاز، مانند اسکنر بدافزار bitninja را ارائه می دهد که باعث افزایش امنیت وردپرس و دیگر CMS های مورد استفاده کاربران خواهد شد. اقدامات امنیتی که در سرویس های میهن وب هاست اعمال شده اند را می توانید از طریق لینک زیر مشاهده نمایید:

امکانات امنیتی سرویس های میهن وب هاست

3. ویرایش فایل را خاموش کنید

وردپرس دارای یک ویرایشگر فایل داخلی است که ویرایش فایل های PHP وردپرس را آسان می کند. با این حال، اگر هکرها کنترل آن را به دست بیاورند، این ویژگی می تواند مشکل ساز شود. به همین دلیل برخی از کاربران وردپرس ترجیح می دهند این قابلیت را غیرفعال کنند. برای غیرفعال کردن ویرایش فایل، کد زیر را به فایل "wp-config.php" اضافه کنید:

define( 'DISALLOW_FILE_EDIT', true );

اگر می خواهید مجددا این ویژگی را در سایت وردپرس خود فعال نمایید، به سادگی کد بالا را از فایل wp-config.php حذف کنید.

4. محدود کردن دسترسی با استفاده از فایل htaccess.

فایل htaccess. تضمین می کند که لینک های وردپرس به درستی کار می کنند. چنانچه تنظیمات این فایل به صورت صحیح انجام نشود صفحات سایت با خطای "Not Found 404" روبرو می گردند. علاوه بر این، htaccess. می تواند دسترسی به وب سایت را برای IP های خاصی مسدود یا محدود و اجرای PHP را در پوشه های خاص غیرفعال کند. در ادامه، افزایش امنیت وردپرس از طریق htaccess. بررسی می شود.

نکته: همیشه قبل از ایجاد هر گونه تغییر در فایل htaccess.، از آن نسخه پشتیبان تهیه کنید تا چنانچه مشکلی در ویرایش این فایل رخ داد بتوانید به راحتی آن را بازیابی نمایید.

غیرفعال کردن اجرای PHP در پوشه های خاص به جهت افزایش امنیت وردپرس

معمولا هکرها اسکریپت های backdoor را در پوشه Uploads قرار می دهند. به طور پیش فرض، این پوشه صرفا فایل های رسانه ای آپلود شده در بخش رسانه وردپرس را میزبانی می کند، بنابراین نباید حاوی فایل PHP باشد. برای ایمن سازی و افزایش امنیت وردپرس، در مسیر wp-content/uploads/ با ایجاد یک فایل htaccess. جدید و اعمال دستورات زیر، اجرای فایل php را غیرفعال کنید:

<Files *.php>
deny from all
</Files>

محافظت از فایل wp-config.php

فایل wp-config.php شامل تنظیمات پیکربندی وردپرس و جزئیات دیتابیس MySQL می باشد. بنابراین، این فایل معمولاً هدف اصلی هکرها است. با افزودن دستورات زیر در htaccess.، از این فایل محافظت کنید و وردپرس را ایمن نگه دارید:

<files wp-config.php>
order allow,deny
deny from all
</files>

 

5. پیشوند پیش فرض دیتابیس وردپرس را تغییر دهید

دیتابیس وردپرس تمام اطلاعات حیاتی مورد نیاز برای عملکرد سایت را نگهداری و ذخیره می کند. بنابراین، هکرها معمولا دیتابیس را با حملات SQL Injection هدف قرار می دهند. این تکنیک کدهای خطرناک را به دیتابیس تزریق و اقدامات امنیتی وردپرس را دور می زند که می تواند محتوای دیتابیس را به حالت اولیه بازگرداند.

بیش از 50 درصد حملات سایبری، از SQL Injection استفاده می کنند که آن را به یکی از بزرگترین تهدیدها تبدیل کرده است. اغلب حملات هکر ها، از نوع SQL Injection می باشد زیرا بسیاری از کاربران فراموش می کنند که پیشوند دیتابیس پیش فرض wp_ را تغییر دهند. با استفاده از دو روش می توانید برای محافظت از دیتابیس و افزایش امنیت وردپرس خود در برابر حملات SQL Injection، پیشوند پیشفرض وردپرس را تغییر دهید.

تذکر: قبل از اقدام، حتما از دیتابیس MySQL خود یک نسخه پشتیبان تهیه کنید.

تغییر پیشوند جدول به جهت افزایش امنیت وردپرس

1. از طریق هاست خود، به File Manager مراجعه و فایل "wp-config.php" را باز کنید.
2. به دنبال مقدار "table_prefix$" در کدها باشید.

تصویر(18)

3.  پیشوند دیتابیس پیش فرض وردپرس wp_ را با یک پیشوند جدید جایگزین کنید. پیشنهاد می شود از ترکیب حروف و اعداد برای ایجاد یک پیشوند منحصر به فرد، استفاده نمایید.

تصویر(19)

4. تغییرات را ذخیره کنید.
5. بعد از اصلاح این فایل، به صفحه اصلی هاست و سپس "phpMyAdmin" مراجعه نموده و از لیست سمت چپ روی نام دیتابیس کلیک کنید تا دیتابیس باز شود.
6. چنانچه چندین دیتابیس دارید، برای یافتن نام صحیح دیتابیس، به فایل "wp-config.php" مراجعه و به دنبال قطعه کد زیر در فایل مذکور باشید:

// ** MySQL settings - You can get this info from your web host **//
/** The name of the database for WordPress */
define( 'DB_NAME', 'Example-Database' );

به جای عبارت "Example-Database" نام دیتابیس تان قرار دارد.

7. از صفحه phpMyAdmin، به تب"SQL" که در نوار منوی بالا قرار دارد، مراجعه کنید.

تصویر(20)

8. برای تغییر پیشوند دیتابیس وردپرس، قطعه کد زیر را در ویرایشگر "SQL query" وارد کنید:

RENAME table `wp_tablename` TO `wp_1secure1_tablename`;

به یاد داشته باشید که "wp_tablename" را با نام جدول فعلی و "wp_1secure1_tablename" را با پیشوند و نام جدول جدید جایگزین نمایید. این کد را بر اساس تعداد جداولی که می خواهید تغییر نام دهید تکرار نموده و روی گزینه "Go" کلیک کنید.

تصویر(21)

بروزرسانی مقادیر پیشوند در جدول به جهت افزایش امنیت وردپرس

بسته به تعداد افزونه های نصب شده در سایت، ممکن است لازم باشد برخی از مقادیر را در دیتابیس به صورت دستی بروز کنید. این کار را با اجرای SQL query جداگانه روی جداولی انجام دهید که احتمالاً مقادیری با پیشوند wp_ دارند. این موارد شامل جداول "options" و "usermeta" می‌شوند. از کد زیر برای فیلتر کردن تمام مقادیری که دارای پیشوند _wp هستند استفاده کنید:

SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'

"wp_1secure1_tablename" نام جدولی است که می خواهید کوئری در آن اجرا شود. در همین حال، field_name نام فیلد یا ستونی را نشان می‌دهد که به احتمال زیاد مقادیر با پیشوند _wp در آن قرار دارند. در این بخش به نحوه تغییر دستی مقدار پیشوند، اشاره شده است:

1. از صفحه phpMyAdmin، به جدولی که می‌خواهید بروزرسانی شود، مراجعه نمایید. به عنوان مثال،"wp_1secure1_usermeta" را باز کنید.

تصویر(22)

2. به تب "SQL" در نوار منوی بالا مراجعه کنید.

تصویر(23)

3. کدی که بالاتر ذکر شد را در ویرایشگر SQL query وارد نمایید تا مقادیر حاوی _wp فیلتر شوند، سپس روی"Go" کلیک کنید. همچنین مطمئن شوید که اطلاعات را مطابق با نام جدول و فیلدهای دیتابیس خود تغییر داده اید.

تصویر(24)

4. نتایج فیلتر ظاهر می شود. روی دکمه"Edit" در کنار فیلد مورد نظر کلیک کنید.

تصویر(25)

5. مقدار پیشوند را تغییر داده و روی"Go" کلیک کنید. مراحل 4 و 5 را برای تمام مقادیر فیلتر شده انجام دهید.

تصویر(26)

6. از مرحله 1، برای مابقی جداول دیتابیس این کار را تکرار کنید تا همه مقادیر با پیشوند _wp بروز شوند.

6. XML-RPC را غیرفعال کنید

XML-RPC یکی از ویژگی های وردپرس برای دسترسی و انتشار محتوا از طریق دستگاه های تلفن همراه، فعال کردن trackbacks و pingbacks و استفاده از افزونه Jetpack در وب سایت وردپرسی است.

با این حال، XML-RPC دارای نقاط ضعفی می باشد که هکرها می توانند از آنها سوء استفاده کنند. این ویژگی به آنها اجازه می‌دهد تا بدون شناسایی توسط نرم‌افزار امنیتی، چندین بار برای ورود به وردپرس تلاش کنند که این ضعف امنیتی، سایت را مستعد حملات brute force می‌کند برای جلوگیری از این ضعف و افزایش امنیت وردپرس بهتر است این قابلیت را غیرفعال نمایید.

همچنین هکرها می توانند از عملکرد pingback XML-RPC برای انجام حملات DDoS استفاده کنند. این عملکرد به مهاجمان اجازه می‌دهد تا pingback هایی را همزمان به هزاران وب‌سایت ارسال کنند که می‌تواند سایت‌های هدف را دچار مشکل کند.

برای اینکه متوجه شوید که آیا XML-RPC فعال است یا خیر، سایت خود را از طریق یک سرویس اعتبارسنجی XML-RPC اجرا و بررسی نمایید. دریافت پیام موفقیت آمیز بدان معنی است که تابع XML-RPC در حال اجرا می باشد. می توانید عملکرد XML-RPC را با استفاده از یک افزونه یا به صورت دستی غیرفعال کنید.

غیرفعال کردن XML-RPC با استفاده از یک افزونه

استفاده از افزونه راه سریعتر و ساده تر برای مسدود کردن ویژگی XML-RPC در وب سایت است. توصیه می شود از افزونه Disable XML-RPC Pingback استفاده کنید. این افزونه به طور خودکار برخی از عملکردهای XML-RPC را غیرفعال و از حملات هکرها از طریق این نقص امنیتی وردپرس جلوگیری و باعث افزایش امنیت وردپرس می شود.

غیرفعال کردن دستی XML-RPC

راه دیگر برای متوقف کردن درخواست های XML-RPC، استفاده از فایل htaccess. می باشد. برای انجام این کار، لازم است فایل مذکور را در مسیر اصلی وردپرس یافته و قطعه کد زیر را در آن قرار دهید:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 000.00.000.000
</Files>

برای اینکه XML-RPC از یک IP خاص در دسترس باشد، آدرس IP را جایگزین 000.00.000.000 نموده یا در غیر این صورت خط مربوطه را به طور کلی از کد حذف کنید.

7. نسخه وردپرس را مخفی کنید

اگر هکرها متوجه شوند که از کدام نسخه وردپرس استفاده می کنید، می توانند از نقاط آسیب پذیر آن برای حمله به سایت استفاده کنند، به خصوص اگر نسخه قدیمی وردپرس باشد. خوشبختانه، این امکان وجود دارد که اطلاعات نسخه وردپرس را با استفاده از ویرایشگر قالب، مخفی نمود و این کار برای افزایش امنیت وردپرس توصیه می شود. برای این کار مراحل زیر را دنبال کنید:

1. از پیشخوان وردپرس، به منوی "نمایش" سپس "ویرایشگر پرونده پوسته" مراجعه کنید.
2. پوسته فعلی خود را انتخاب و سپس فایل "functions.php" را انتخاب نمایید.

تصویر(27)

3. برای حذف شماره نسخه از هدر و فیدهای RSS، کد زیر را در فایل "functions.php" قرار دهید:

function dartcreations_remove_version() {
return '';
} add_filter('the_generator', 'dartcreations_remove_version');

 

4. تولیدکننده متا تگ وردپرس نیز شماره نسخه وردپرس را نمایش می دهد. بنابراین خط را نیز اضافه کنید.

remove_action('wp_head', 'wp_generator');

5. برای ذخیره تغییرات روی "بروزرسانی پرونده" کلیک کنید.

8. Hotlinking را مسدود کنید

Hotlinking به این معنی است که شخصی محتوای یک وب سایت دیگر که معمولاً تصاویر می باشند را در وب سایت خود نمایش می دهد. هر بار که افراد از آن وب سایتی که دارای لینک محتویات شما می باشد، بازدید می کنند، از منابع وب سرور تان استفاده می شود و موجب کاهش سرعت سایت تان می گردد. برای اینکه متوجه شوید که آیا محتوای شما توسط سایت دیگری لینک شده است یا خیر، عبارت زیر را در Google Images تایپ نموده و نام دامنه خود را جایگزین example.com کنید:

inurl:example.com -site:example.com

برای جلوگیری از Hotlink و افزایش امنیت وردپرس خود، از یک افزونه امنیتی وردپرس یا یک CDN استفاده نموده یا تنظیمات کنترل پنل هاست تان را ویرایش کنید. برای انجام این کار در سی پنل از آموزش زیر استفاده نمایید:

روش جلوگیری از استفاده پهنای باند و تصاویر دامنه بوسیله Hot link

9. سطح دسترسی فایل ها و پوشه ها را مدیریت کنید

با تعیین اینکه کدام کاربران می توانند فایل ها یا پوشه های وردپرس را بخوانند، ویرایش نموده یا اجرا کنند، از دسترسی هکرها به حساب مدیریت خود جلوگیری کنید.

می توانید از طریق File Manager، برای مدیریت سطح دسترسی فایل ها و پوشه ها اقدام کنید. عموما، سطح دسترسی ها به صورت پیش فرض تنظیم می شوند که ممکن است بسته به فایل ها یا پوشه های مختلف متفاوت باشند. مخصوصاً برای پوشه "wp-admin" و فایل "wp-config.php" مطمئن شوید که فقط به "User" اجازه "Write" داده شده است.

تصویر(28)

نتیجه

حملات سایبری ممکن است به اشکال مختلف، از تزریق بدافزار گرفته تا حملات DDoS انجام شوند. وب سایت های وردپرسی، به ویژه، به دلیل محبوبیت CMS، هدف رایجی برای هکرها می باشند. بنابراین، صاحبان وب سایت های وردپرسی باید بدانند که چگونه سایت های خود را ایمن کنند.

در نظر داشته باشید که افزایش امنیت وردپرس به یکباره امکان پذیر نیست و می بایست به طور مداوم آن را مورد بازبینی قرار دهید. زیرا حملات سایبری همیشه در حال توسعه می باشند و خطر همیشه وجود خواهد داشت اما می توانید اقدامات امنیتی وردپرس را برای کاهش این خطرات انجام دهید.