خوش آمدید - امروز : دوشنبه ۲۹ مهر ۱۳۹۸
خانه » آموزش کانفیگ سرور » آموزش ایمن سازی و افزایش امنیت وردپرس بصورت اصولی

آموزش ایمن سازی و افزایش امنیت وردپرس بصورت اصولی

اخیرا بنده زیاد شنیده ام بسیاری از صاحبان وب سایت ها در مورد امنیت وردپرس شکایت دارند. اکثرا فکر میکنند چون وردپرس که یک اسکریپت open source است پس در برابر انواع حملات آسیب پذیر است. آیا این یک واقعیت است؟ و اگر چنین است، چگونه وب سایت وردپرس خود را امن می کنید؟

خوشبختانه، فقدان امنیت داخلی وردپرس یک افسانه است در حقیقت بدونید  وب سایت های وردپرس بسیار امن تر از برادران و خواهران آنلاین خود هستند. امروز، من قصد دارم به بحث در مورد چند ترفند ساده که می تواند به شما در حفظ و افزایش امنیت وب سایت وردپرس شما کمک کند بپردازم.

با پیاده سازی این تاکتیک ها و دنبال کردن کنترل های مداوم وردپرس، شما به خوبی می توانید از امنیت سایت وردپرسی خود اطمینان حاصل کنید و دیگر نگران مشکلات امنیتی و هکرها نباشید.

بخش اول:  وب سایت وردپرسی خود را با حفاظت از صفحه ورود و جلوگیری از حملات brute force ایمن کنید

همه می دانند که کدام آدرس URL صفحه ورود به مدیریت سیستم وردپرس است. و اکثر هکرها سعی میکند توسط حملات brute force از طریق صفحه ورود مدیریت اقدام به پیدا کردن اطلاعات لاگین و نفوذ نمایند. کافیست با اضافه کردن /wp-login.php یا / wp-admin / در پایان نام دامنه خود وارد صفحه لاگین شوید. توصیه من این است که URL صفحه ورود و حتی تعامل صفحه را سفارشی کنید. این اولین چیزی است که من انجام می دهم تا اولین قدم ایمن سازی وردپرس را انجام دهم.

خوب در اینجا چند پیشنهاد برای حفاظت از صفحه ورود به وب سایت وردپرس شما وجود دارد:

1. تنظیم یک ویژگی جهت قفل کردن وب سایت و ممنوعیت کاربران

خوب با این امکان میتوانید جلوی حملات و ورودهای نا موفق به مدیریت را بگیرید. و هر زمان که هکر تلاش کند که با رمزهای عبور مختلف صفحه ادمین را تست کند تا رمز اصلی را پیدا نماید، سایت قفل می شود و شما از این فعالیت غیرمجاز مطلع خواهید شد.

طبق بررسی های بنده پلاگین امنیتی iThemes یکی از بهترین پلاگین های موجود است که نقش عالی در امنیت وب سایت شما میتواند ایفاء نماید. این پلاگین در این زمینه بسیار مفید و موفق است. در تنظیمات این پلاگین شما می توانید شمار مشخصی از تلاش های ورود ناموفق را مشخص کنید قبل از اینکه پلاگین آدرس IP مهاجم را مسدود کند

2. استفاده از دو پارامتر احراز هویت برای امنیت وردپرس

استفاده از یک ماژول احراز هویت دو مرحله ای (2FA) در صفحه ورود به سیستم یکی دیگر از اقدامات امنیتی خوب است. در این مورد، کاربر اطلاعات ورود به سیستم وردپرس را در دو بخش تقسیم میکند وصاحب وب سایت تصمیم میگیرد که چه کسایی حق ورود دارند و به جز پسورد اول یک پسورد یکبار مصرف نیز نیاز میباشد. این امکان یک رمز عبور معمولی است که توسط برنامه Authenticator Google یک کد مخفی و یکبار مصرف به تلفن شما ارسال میشود. و تا آنرا وارد نکنید نمیتوانید وارد صفحه مدیریت شوید. به این ترتیب، تنها شخص با تلفن شما (شما) می تواند به سایت وارد شود.

پلاگین گوگل Authenticator به شما کمک میکند که با چند کلیک ساده این کار را انجام دهید.

3. برای ورود به سیستم از ایمیل خود استفاده کنید

به طور پیش فرض، شما باید نام کاربری خود را برای ورود به وردپرس وارد کنید. با استفاده از یک آدرس ایمیل به جای یک نام کاربری مطمئنا یک روش امن تر است. .دلایل کاملا واضح است. نام کاربری آسان است برای پیش بینی، در حالی که شناسه ایمیل براحتی قابل حدس نمیباشد. همچنین هر حساب کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می شود و آن را یک شناسه معتبر برای ورود به سیستم می کند. پلاگین های امنیتی مختلفی در وردپرس وجود دارند که به شما اجازه می دهد صفحات ورود را تنظیم کنید تا همه کاربران از آدرس ایمیل خود برای ورود به سیستم استفاده کنند.برای نمونه wp email login یک گزینه خوب برای این کار میباشد

4- آدرس صفحه لاگین وردپرس را تغییر دهید

تغییر URL ورود به سایت بسیار آسان قابل انجام است. به طور پیش فرض، صفحه ورود وردپرس را می توان به راحتی از طریق wp-login.php یا wp-admin به URL اصلی سایت مشاهده کرد پس وقتی که هکرها URL مستقیم صفحه ورود را می دانند، می توانند حملات brute force روی صفحه ورود انجام دهند. آنها تلاش می کنند تا با GWDb خود وارد سیستم شوند (پایگاه داده Guess Work، یعنی پایگاه داده ای از نامهای کاربری و کلمات عبور قابل حدس، مانند نام کاربری: admin و password: p @ ssword … با میلیون ها از این ترکیب ها). خوب تا اینجا ما تلاش های ورود به سیستم را محدود کرده ایم و نام های کاربری را با شناسه های ایمیل را تعویض کرده ایم. حالا ما می توانیم URL ورود را نیر تغییر نام دهیم و از 99٪ حملات brute force مستقیم خلاص شویم. پلاگین امنیتی iThemes می تواند به شما در تغییر آدرس های ورود شما کمک کند. مثل این:

تغییر wp-login.php به چیزی منحصر به فرد؛ به عنوان مثال، my_new_login
تغییر / wp-admin / به چیزی منحصر به فرد؛ به عنوان مثال، my_new_admin
تغییر /wp-login.php؟action= ثبت نام به چیزی منحصر به فرد؛ به عنوان مثال، my_new_registeration

5. کلمه عبور خود را تنظیم کنید

سعی کنید همیشه حواستان به رمزهای ورود سایت خود باشد و آنها را مرتبا تغییر دهید تا امنیت وب سایت وردپرسی خود را حفظ کنید.  با اضافه کردن حروف بزرگ، حروف کوچک، اعداد، و کاراکتر های خاص. در پسوردها میتوانید آن را امن تر و ایمن تر نمایید. قتی از حروف ترکیبی و طولانی استفاده کنید حدس زدن آن برای هکرها بسیار مشکل تر خواهد بود.

6- کاربران لاگین شده که از سایت استفاده نمیکنند را خارج نمایید

کاربرانی که پنل wp-admin خود را از سایت شما باز می کنند و وارد صفحه پیشخوان میشوند می توانند خطر جدی امنیتی برای سایت وردپرسی شما ایجاد کنند.هر کاربر می تواند اطلاعات را در وب سایت شما تغییر دهد، و یا یک حساب کاربری شخصی را تغییر دهد یا حتی در کل سایت شما را مختل نماید. شما میتوانید با بیرون انداختن خودکار کاربرانی که تایم زیادی در سایت بیکار هستند و لاگین شده اند جلوی این سوء استفاده ها را بگیرید شما می توانید با استفاده از یک افزونه مانند BulletProof Security این کار را انجام دهید. این افزونه به شما امکان می دهد یک محدودیت زمان سفارشی برای کاربران بیکار تنظیم کنید، پس از آن آنها به طور خودکار از سیستم خارج می شوند.

بخش دوم : امنیت وب سایت وردپرسی خود را از طریق داشبورد مدیریت کنید

برای یک هکر، جذاب ترین بخش یک وب سایت داشبورد مدیریت است که در واقع بخش محافظت از همه موارد است. بنابراین، حمله به قویترین بخش چالشی واقعی است. اگر انجام شود، هکر میتواند آسیب جدی به سایت بزند و تقریبا هرکار میخواهد انجام دهد

7. از پوشه wp-admin محافظت کنید

بدون شک دایرکتوری wp-admin قلب هر وبسایت وردپرس است. بنابراین، اگر این بخش از سایت شما خراب شود، کل سایت می تواند آسیب ببیند. یک راه ممکن برای جلوگیری از آسیب دیدن این پوشه این است که از پوشه wp-admin محافظت شود. با چنین اقدام امنیتی وردپرس، صاحب وبسایت میتواند با ارسال دو کلمه عبور به داشبورد دسترسی پیدا کند. و در واقع سایت شما دارای دو یوزر پسورد برای ورود به مدیریت خواهد شد یک یوزر پسورد برای صفحه protect login و دیگری برای ورود به صفحه مدیریت وردپرس خواهد بود . برای انجام اینکار از طرق کنترل پنل هاست خود میتوانید اینکار را انجام دهید مثلا در سی پنل با استفاده از گزینه  Directory Privacy میتوانید اینکار را انجام دهید.

8. برای رمزگذاری داده ها از SSL استفاده کنید

پیاده سازی یک گواهی SSL – Secure Socket Layer  یک حرکت هوشمند برای حفاظت از پنل مدیریت است. SSL انتقال اطلاعات امن بین مرورگرهای کاربر و سرور را تضمین می کند، و هکرها برای از بین بردن اتصال یا خراب کردن اطلاعات کار دشواری در پیش خواهند داشت.

گرفتن گواهی SSL برای وب سایت وردپرس شما ساده است. شما می توانید ssl را از یکی از شرکت ها خریداری کنید و یا چک کنید که آیا شرکت میزبانی شما ssl را به صورت رایگان ارائه می دهد یا خیر

من استفاده از Let’s Encrypt  که یک گواهی رایگان SSL میباشد را پیشنهاد میکنم. گواهی SSL همچنین بر رتبه بندی گوگل وب سایت شما تاثیر می گذارد و باعث بهبود سئو سایت وردپرسی شما خواهد شد.

گوگل تمایل دارد سایت هایی با SSL را بالاتر از آنهایی که بدون آن هستند رتبه بندی کند. این به معنای ترافیک بیشتر است.

9. حساب های کاربری را با دقت اضافه کنید

اگر شما یک سایت وردپرسی دارید که چند نویسنده آن را مدیریت میکند پس شما باید به چندین نفر دسترسی پنل مدیریت را بدهید. این مسئله می تواند وب سایت شما را با تهدیدات امنیتی مواجه کند پس باید دقت زیادی نمایید.

اگر می خواهید مطمئن شوید که هر کاربر از یک رمز عبور امن برای اکانت خود استفاده کرده است، می توانید از یک پلاگین مانند Force Strong Passwords استفاده کنید. این فقط یک اقدام احتیاطی است، اما بهتر از داشتن چند کاربر با کلمات عبور ضعیف است.

Force Strong Passwords

10. تغییر نام کاربری admin

در طول نصب وردپرس شما هرگز نباید “admin” را به عنوان نام کاربری برای حساب اصلی اصلی خود انتخاب کنید. چنین نام کاربری آسان برای هکرها کار حدس زدن را ساده میکند.

بنده شخصا سایت های زیادی را اسکن کرده ام و توانستم رمزهای عبور آنها را با نام کاربری admin پیدا کنم پس شما این اشتباه را نکنید و از این نام کاربری استفاده نکنید. پلاگین امنیتی iThemes می تواند چنین اقداماتی را با بلافاصله با مسدود کردن IP فرد خاطی شناسایی و مسدود کند

11. فایل های خود را نظارت کنید

اگر میخواهید تنظیمات امنیتی به سایت وردپرسی خود اضافه نمایید میتوانید از افزونه های امنیتی معروف مانند Wordfence استفاده کنید که برای افزایش امنیت سایت شما بسیار مفید خواهد بود

در مورد ایمن سازی وردپرس موارد زیادی را میتوان درج کرد اما برای شروع موارد گفته شده در این مقاله بسیار مفید است. همچنین همیشه سیستم سایت خود و افزونه های سایت را به آخرین نسخه ارتقاء دهید و آپدیت نگه دارید و دقت کنید برای دیتابیس ها نیز پسوردهای امن انتخاب نمایید. همچنین برای مقابله با اسپمرها و ایمیل های اسپم در وردپرس این آموزش را پیگیری نمایید

امیدوارم مقاله فوق مورد توجه و استفاده شما عزیزان قرار بگیرد

نویسنده: عیسی محمدزاده
کارشناس مدیریت سرور و هاستینگ و امنیت شبکه

امتیاز 5.00 ( 3 رای )
اشتراک گذاری مطلب

کلیه حقوق مادی و معنوی مطالب و مقالات متعلق به وب سایت انجین ایکس وب میباشد - طراحی شده توسط پارس تمز