مشکلات امنیتی CMS

چگونه وردپرس خود را امن کنیم؟

0 122

شاید شما نیز قربانی برخی از حملات به وب سایت های وردپرسی شده باشید و همیشه این سوال برای شما بوجود آمده باشد که چگونه وردپرس خود را امن کنید؟

پاسخ اولی که به این سوال همیشه داده میشود استفاده از سرور امن مانند سکیورهاست می باشد.

در مرحله بعد برای امن کردن وردپرس خود استفاده از نکات و روش ها و ابزارهای ذیل توصیه می گردد.

 

How-to-Improve-Wordpress-Security-1080x675

 

1- استفاده از رمز های عبور پیچیده :

رمزعبور پیچیده استفاده کنید، اولین و مهمترین شرط افزایش امنیت استفاده از کلمات عبور پیچیده است.  نباید از  شماره تلفن، شماره شناسنامه، تاریخ تولد و … برای پسورد استفاده کنید.

2- خریداری افزونه ها و قالب ها :

در گوگل به دنبال افزونه و قالب های رایگان که در واقع پولی هستند. نگردید، یکی از مرسوم‌ترین روشهای هک وردپرس از طریق نصب قالب و افزونه آلوده است. تنها قالب و افزونه‌های معرفی شده در سایت رسمی وردپرس را نصب کنید.

3- استفاده از گواهی امنیتی SSL  جهت ورود امن:

هنگامی که در صفحه ورود وردپرس نام کاربری و کلمه عبور خود را وارد می‌کنید اطلاعات شما به صورت غیر رمز شده در شبکه منتقل می‌شود، در نتیجه اطلاعات شما بوسیله کاربران شبکه محلی (lan)، شبکه بی‌سیم (wireless)، و همه افراد و گره‌هایی که بین شما و سرور قرار دارند قابل شنود است.و راه حل این مشکل استفاده از  پروتکل https و یا استفاده از افزونه Chap Secure Login است. که برای این منظور میتوانید اقدام به تهیه گواهی نامه امنیتی SSL از اینجا نمایید.

 

4- تهیه نسخه پشتیبان (Backup) :

پشتیبان پشتیبان پشتیبان: به صورت دوره‌ای از اطلاعات خود پشتیبان تهیه کنید. با استفاده از افزونه backup می‌توانید به صورت خودکار از اطلاعات خود در google drive پشتیبانی بگیرید.

5- وردپرس را به روزرسانی کنید :

وردپرس را به روزرسانی کنید: وردپرس یک CMS آزاد و متن‌باز است. آزاد بودن کد برنامه به این معنی است که کد برنامه در دسترسی همه قرار دارد در نتیجه مشکلات امنیتی سریعتر شناخته و رفع می‌شود اما از طرفی هکرها به راحتی می‌توانند با مقایسه کدهای وردپرس مشکلات امنیتی را پیدا کنند. با انتشار نسخه جدیدی از CMS باید در سریعترین زمان ممکن به روزرسانی کرد.

6- با حملات Brute Force مقابله کنید :

با حمله brute force مقابله کنید، در  حملات brute force و یا حمله جستجوی فراگیر هکر، کلمات عبور متفاوت را برای ورود به سایت تست می‌کند با این امید که بتوانید کلمه عبور مناسب را پیدا کند. متاسفانه وردپرس به صورت پیش‌فرض قادر به مقابله با حملات brute force نیست. ولی با استفاده از افزونه‌هایی مانند Login LockDown و یا User Locker  و Limit Login Attempts می‌توان با این نوع حملات مقابله کرد.

7- صفحه ورود به وردپرس را مخفی کنید :

با استفاده از افزونه hide login می‌توانید صفحه ورود به وردپرس را مخفی کنید. در نتیجه هکر نمی‌تواند از حملات brute force و یا با استفاده از پسورد ضعیف به سایت وارد شود.
8- اطلاعات نسخه وردپرس را از قالب سایت حذف کنید :

وردپرس نسخه وردپرس را در خروجی سایت شما و در قسمت هدر سایت نمایش می‌دهد، همچنین ممکن است  قالب سایت شما اطلاعاتی مانند نسخه وردپرس و یا نام و نسخه تم را در هدر سایت نمایش دهد. هکرها با استفاده از ROBOTها در سایت‌ها به دنبال چنین اطلاعاتی می‌گردند تا سایت‌های قربانی را پیدا کنند.

جهت جلوگیری از عدم نمایش نسخه وردپرس می‌توانید عملیات زیر را انجام دهید:

1- توضیحات مربوط به قالب (مانند مثال زیر) را از فایل‌های CSS آن حذف کنید. درنظر داشته باشید با حذف این توضیحات ممکن است شما اطلاعات بروزرسانی قالب را دریافت نکرده و یا با یروزرسانی قالب کلیه تغییرات اعمال شده در قالب توسط شما از بین برود.

/*
Theme Name: Twenty Ten
Theme URI: http://wordpress.org/extend/themes/twentyten
Description: The 2010 theme for WordPress is stylish, customizable, simple, and readable -- make it yours with a custom menu, header image, and background. Twenty Ten supports six widgetized areas (two in the sidebar, four in the footer) and featured images (thumbnails for gallery posts and custom header images for posts and pages). It includes stylesheets for print and the admin Visual Editor, special styles for posts in the "Asides" and "Gallery" categories, and has an optional one-column page template that removes the sidebar.
Author: the WordPress team
Author URI: http://wordpress.org/
Version: 1.5
License: GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Tags: black, blue, white, two-columns, fixed-width, custom-header, custom-background, threaded-comments, sticky-post, translation-ready, microformats, rtl-language-support, editor-style, custom-menu, flexible-header
Text Domain: twentyten
*/

/* =Reset default browser CSS. Based on work by Eric Meyer: http://meyerweb.com/eric/tools/css/reset/index.html
-------------------------------------------------------------- */

 

2- گزینه‌هایی مانند “برای این‌که از وردپرس فارسی استفاده می‌کنید، سپاسگزاریم”، “نگارش ۱٫۵” و “قدرت گرفته از وردپرس فارسی. پوسته: دوهزاروده” را از قالب حذف نمایید.

3- خط‌هایی مانند زیر را در قالب وردپرس حذف نمایید.

php bloginfo('version'); 

 

4- همچنین برای حذف نسخه وردپرس می‌توانید افزونه WP Security Scan را نصب کنید.

9-نام کاربری مدیر را تغییر دهید :

در هنگام نصب وردپرس نام کاربری پیش فرض ADMIN است. با تغییر نام کاربری پیش فرض مدیر می‌توانید امنیت وردپرس خود را بیشتر کنید.

10– استفاده از افزونه های افزایش امنیت :

افزونه‌های زیادی برای افزایش امنیت وردپرس وجود دارد لیستی از این افزونه ها را بررسی می‌کنیم.

با استفاده از افزونه WP Security Scan بصورت دوره‌ای امنیت وردپرس خود را بررسی کنید.

افزونه wordfence سلامت فایل‌های هسته وردپرس، نوشته‌های سایت شما را برای نوشته‌های آلوده و … بررسی می‌کند.

افزونه BulletProof Security وب‌سایت را در برابر حملات XSS ،RFI،CRLF،CSRF،Code Injection  و SQL Injection حفاظت می‌کند.

افزونه Better WP Security بیشتر تنظیمات امنیتی را روی وردپرس انجام می‌دهد.

11- مجوز مناسب برای فایل تنظیمات :

فایل تنظیمات وردپرس در مسیر ریشه سایت و با آدرس wp-config.php است اطلاعات مهمی مانند کلمه عبور نام کاربری پایگاه داده و  رشته salt را نگهداری می‌کند. چنانچه هکر به محتویات این فایل دسترسی پیدا کند، به محتویات سایت شما، نوشته‌ها و نام کاربری دسترسی داشته و می‌تواند آن‌ها را تغییر دهد.  بنابراین باید مجوز این فایل را به شکل صحیحی تنظیم کنید. بهترین پیشنهاد  استفاده از مجوز ۷۵۵ در هنگام نصب وردپرس و تغییر مجوز به ۴۰۰ پس از نصب است. در این صورت کاربران و سایت‌های دیگر موجود در هاست‌های اشتراکی به اطلاعات شما دسترسی نخواهند داشت.

12- تغییرات در فایل‌های سایت خود را مانیتور کنید :

افزونه WordPress File Monitor Plus هر تغییری در فایل‌های سایت شما را بوسیله ایمیل به شما اعلام می‌کند،‌ با این عمل شما را قادر می‌سازد چنانچه هکر تغییری در فایل‌های سایت شما بدهد به سرعت تغییرات را کشف و خنثی کنید.

Security Keys – 13 کاملا تصادفی انتخاب کنید:

فایل تنظیمات وردپرس شامل قسمتی به نام Security Keys است که سه کلیدAUTH_KEY ، SECURE_AUTH_KEY،LOGGED_IN_KEY را نگهداری می‌کند. این سه کلید باید به صورت تصادفی تولدی شوند و برای هر وب‌سایت منحصر به فرد باشد. از این کلید‌ها برای به رمز کردن اطلاعات کوکی کاربران استفاده می‌شود. بهترین راه برای تولید تصادفی این کلید‌ها استفاده از API وردپرس است.

در باره نویسنده / 

اسماعیل رحیمیان

ارسال پاسخ

ایمیل شما نمایش داده نمی‌شود. موارد مورد نیاز علامتگذاری شده است *