امنیت وردپرس

میزان امنیت وردپرس همچون دیگر ابزارهای طراحی سایت جای بحث و تامل دارد، با اینکه وردپرس یک سیستم مدیریت محتوای ایمن محسوب می‌شود، اما مانند سایر CMS ها می‌تواند در برابر حملات آسیب ببیند.

شاید فکر کنید هک شدن سایت اتفاقی است که فقط برای سایتهای بزرگ رخ میدهد و یک سایت شخصی یا شرکتی کوچک هیچگاه هدف هکرها قرار نمیگیرد. اگر اینطور است کاملا در اشتباهید، چراکه طبق آمارهای ارائه شده، بسیاری از سایتهای شخصی و کوچک نیز هک میشوند و گاهی این نفوذ به شکلی است که صاحب سایت تا مدتها از آن بی اطلاع است و هکر برای اهداف مختلفی از سایت قربانی سوءاستفاده میکند.

وردپرس یک نرم‌افزار منبع باز است، به این معنی که کد منبع برای تغییر و توزیع در دسترس همه قرار دارد. هرچند این ویژگی برای بهینه‌سازی و تنظیم خیلی خوب است، اما از نظر امنیتی نقظه ضعف وردپرس محسوب می‌شود. اگر افرادی که از وردپرس برای مدیریت محتوای خود استفاده می‌کنند، آن را به درستی پیکربندی و یا ایمن نکرده باشند باید انتظار مشکلات امنیتی بی شماری را داشته باشند. اگر امنیت سایت به خوبی تامین نشده باشد، برای هکرها بهترین شرایط فراهم است تا شما را مورد حمله قرار دهند. خود وردپرس همیشه می‌گوید که امنیت کاهش ریسک است، نه از بین بردن آن! به طور کلی می‌توان گفت که وردپرس ایمن است، اما در صورتی که کاربران مسئله امنیت را جدی بگیرند و اقدامات لازم برای تامین امنیت را انجام دهند.

گوگل هر روز در حدود 10،000+ وب سایت را برای بدافزار و حدود 50،000 وب سایت را در هر هفته در لیست سیاه قرار می دهد. اگر می خواهید در مورد وب سایت خود اقدامی جدی انجام دهید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید.

در این مقاله، ۱۰ مورد از بهترین نکات امنیتی را با شما به اشتراک می‌گذاریم که می‌توانید از آن‌ها برای ایمن نگه‌داشتن وب‌سایت وردپرس خود دربرابر حملات سایبری بهره‌مند شوید.

یک شرکت خوب برای میزبانی انتخاب کنید

سرویس میزبانی وردپرس (هاستینگ وردپرس) مهم‌ترین عامل در زمینه امنیت وب‌سایت وردپرسی شما است. ساده‌ترین راه برای ایمن نگه‌داشتن وب‌سایت خود، استفاده از یک میزبانی وب (Web Hosting) است، که ارائه دهنده آن چندین لایه امنیتی را فراهم کند و اقدامات ضروری برای محافظت از سرورهای خود در برابر تهدیدات معمول را انجام ‌دهد.

از تم‌های رایگان و کرک‌شده استفاده نکنید

امروزه افراد زیادی در جهان وجود دارد که از افزونه های کرک یا به عبارت دیگر نال شده برای ایجاد قالب در وب سایت خود استفاده می کنند.

همچنین آن ها هرگز متوجه این موضوع نیستند، که استفاده از این قالب های کرک شده برای یک سایت به معنا واقعی کلمه ویرانگر هستند.

یکی از اهداف افرادی که قالب های کرک شده را ایجاد می کنند، قابلیت وجود نفوذ از طریق همین افزونه ها به وب سایت شما و دسترسی به اطلاعات تان می باشد.

در واقع وجود کد های مخرب در این قالب ها به هکر ها این اجازه را می دهد، که اطلاعاتی مانند نام کاربری، ایمیل و رمز عبور شما را به راحتی به دست بیاورند.

همچنین موضوع جالب و غم انگیز اینجاست که ممکن است، شما نفوذ آن ها را حس نکنید، و به راحتی در دام هکر ها و حتی باج خواهی آن ها نیز بیافتید.

قطعاً اگر شما هم از آن دسته افرادی هستید که امنیت خط قرمز شماست، همین یک دلیل به خودی خود برای عدم استفاده شما از قالب و افزونه های کرک شده کافیست.

قالب رایگان و غیر رایگان تفاوت‌های عمده‌ای با هم دارند. تم‌های غیر رایگان وردپرس حرفه‌ای‌تر به نظر می‌رسند و گزینه‌های قابل تنظیم بیشتری نسبت به تم رایگان دارند. در شخصی‌سازی تم‌های حرفه‌ای غیر رایگان هیچ محدودیتی وجود ندارد و به‌روزرسانی‌های منظمی برای این‌گونه تم‌ها ارائه می‌شود. علاوه بر این، اگر مشکلی پیش بیاید، می‌توان از سرویس پشتیبانی آن بهره‌مند شد.

افزونه (پلاگین) امنیتی وردپرس را نصب کنید

بهترین افزونه‌ های امنیتی وردپرس از مهم‌ترین و کاربردی‌ترین افزونه‌های مورد استفاده توسط دولوپرها و وب‌مسترها هستند. در هر دقیقه، حدود ۹۰هزار حمله هکری به وب‌سایت‌های وردپرسی اتفاق می‌افتد. این حملات به‌غیر از افشای اطلاعات و ضررهای مالی، به آسیب‌دیدن سئو وب‌سایت نیز منجر می‌شوند. بنابراین، جلوگیری‌نکردن از این حمله‌ها تاوان سنگینی برای وب‌سایت‌ها به‌دنبال خواهد داشت.

افزونه‌های امنیتی وردپرس، 7 روز هفته و 24 ساعت شبانه روز وب‌سایت شما را اسکن کرده و وجود بدافزار و حملات مخرب را شناسایی می‌کنند. یکی از بهترین افزونه‌ها،  All in one wp security & Firewall است که بسیار قدرتمند بوده و تمامی موارد لازم برای تأمین امنیت وردپرس را دارد.

پلاگین وردفنس (Wordfence) نیز از جمله بهترین افزونه‌های امنیتی وردپرس است که با رابط کاربر پسند و ویژگی‌های فراوانش توانسته به امنیت بسیاری از وب‌سایت‌های سرتاسر دنیا کمک کند. دیگر نکته جذاب درباره این افزونه قابلیت‌های زیاد نسخه رایگان آن است که بیشتر از نسخه رایگان سایر افزونه‌هاست.

پلاگین WP Activity Log یک ناظر حواس جمع برای وب‌سایت‌های وردپرسی شماست. تفاوت این پلاگین امنیتی با سایر افزونه های امنیتی، اینست که امکانات متفاوت را در کنار هم ارائه نمی‌کند، بلکه روی یک هدف تمرکز می‌کند که این هدف همان نظارت روی تمام آمد و شدها و فعالیت‌هایی است که در وب‌سایت رخ می‌دهد.

به همین دلیل اگر شما بیشتر از یک سایت وردپرسی داشته باشید که چندین کاربر در هر کدام از آن‌ها فعالیت می‌کنند، افزونه امنیتی WP Activity Log انتخاب خیلی خوبی برای شماست چرا که این پلاگین امنیت وردپرس، نماینده شما برای زیرنظر گرفتن همه‌چیز در وب‌سایت‌های مختلف خواهد بود.

از رمزعبور (پسورد) قوی استفاده کنید

پسوردها بخش مهمی از امنیت وب‌سایت هستند، که متأسفانه اغلب نادیده گرفته می‌شوند. اگر از یک رمزعبور ساده مثل «123456، abc123، password» استفاده می‌کنید، باید خیلی سریع آن را تغییر دهید. اگرچه به‌خاطر سپردن این پسوردها آسان است، اما حدس زدن آن نیز به همان اندازه راحت است.

ویرایش فایل را غیرفعال کنید

اگر یک هکر به بخش پیشخوان سایت شما دسترسی پیدا کند دیگر نیازی به دسترسی به هاست وردپرس ندارد و به راحتی میتواند هر نوع کد نفوذی که بخواهد را در فایل های شما جاگزاری کند و براحتی به دیتابیس دسترسی پیدا کند، کد های نفوذی در سایت شما قرار دهد و یا حتی از سایت شما حمله DDOS اجرا کند. برای بهبود امنیت وردپرس ما پیشنهاد میکنیم که حتما ویرایشگر وردپرس را غیرفعال کنید.

غیرفعال کردن ویرایشگر قالب و افزونه وردپرس بسیار راحت است. تنها کافیست کد زیر را در فایل wp-config.php و قبل از خطی که نوشته است ‘That’s all, stop editing! Happy publishing’ قرار دهید.

define( 'DISALLOW_FILE_EDIT', true );

فراموش نکنید پس از اعمال تغییرات، تنظیمات خود را ذخیره کنید. با این کار براحتی ویرایشگر فایل های قالب و افزونه وردپرس را غیرفعال میکنید.

گواهینامه SSL را نصب کنید

SSL برای هر وب‌سایتی که اطلاعات حساس، مانند گذرواژه (پسورد) یا جزئیات کارت اعتباری را پردازش می‌کنند، اجباری است. بدون گواهینامه SSL، تمام داده‌های بین مرورگر کاربر و سرور وب شما به صورت متن ساده انتقال داده می‌شود، که توسط هکرها قابل خواندن است. با استفاده از گواهی SSL، اطلاعات حساس قبل از انتقال بین مرورگر و سرور شما رمزنگاری می‌شوند، بنابراین، خواندن این اطلاعات توسط هکرها دشوارتر شده و امنیت وب‌سایت شما بیشتر می‌شود.

آدرس ورود پیشخوان خود را تغییر دهید

به‌طور پیش‌فرض، آدرس ورود به وردپرس “example.com/wp-admin” است. اگر این آدرس را تغییر ندهید، شاهد حملات گسترده هکرها خواهید بود! آن‌ها با وارد کردن نام کاربری و رمز عبور به تعداد نامحدود، برای ورود به وب‌سایت شما تلاش می‌کنند. برای جلوگیری از این نوع حمله، می‌توانید URL ورود به سیستم مدیر را تغییر دهید یا یک سوال امنیتی به صفحه ثبت نام و ورود به سیستم اضافه کنید.

همچنین می توانید با استفاده از افزونه‌ای ساده و سبک به نام WPS Hide login که یکی از بهترین گزینه‌ها است و تنها یک وظیفه دارد و آن تغییر آدرس wp-admin سایت است و آن را به بهترین شکل ممکن انجام می‌دهد. این افزونه بیش از ۱ میلیون نصب فعال دارد.

برای تغییر آدرس wp-admin با کمک این افزونه، کافی است پس از نصب، از قسمت تنظیمات پیشخوان وردپرس گزینه WPS Hide login را انتخاب کنیم تا به صفحه مورد نظر هدایت شویم؛ حالا کافی است در صفحه مورد نظر، در قسمت مشخص شده آدرس جایزگزین مورد نظر خود را وارد کرده و روی Save Changes کلیک کنیم.

تلاش‌های ورود به سیستم را محدود کنید

یکی از حملاتی که خصوصا جدیدا خیلی مشاهده میکنیم، حملات بروت فورس – Brute Force روی ناحیه کاربری/مدیریت وردپرس است. در این حمله، شخص حمله کننده با استفاده از یک نرم افزار و با وارد کردن تمامی ترکیب های امکان پذیر نام کاربری و رمز عبور و یا گاها با استفاده از نام کاربری ادمین و تست کردن تمامی ترکیبات ممکن برای رمز عبور، به ناحیه مدیریت وردپرس سایت شما دسترسی پیدا کند.

برای حل این مشکل به افزونه ای با نام Login LockDown نیاز خواهیم داشت. پس پیش از هر کاری افزونه ی مورد نظر را بر روی سایت خود نصب و فعال کنید.

در بخش Max Login Retries میتوانید حداکثر دفعات تلاش برای ورود را وارد کنید.
در قسمت Retry Time Period Restriction باید مشخص کنید که اندازه گیری تعداد دفعات ورود در چه بازه ی زمانی صورت گیرد. مثلا وارد کردن عدد 5 در اینجا و عدد 3 در بخش Max Login Retries به معنای داشتن 3 ورود ناموفق طی 5 دقیقه خواهد بود.
در بخش Lockout Length باید طول زمان بلاک شدن IP که از شرایط فوق پیروی کرده باشد را وارد کنید. مثلا وارد کردن عدد 60 منجر به 60 دقیقه بلاک شدن آی پی مورد نظر میشود. نکته ی جالب در مورد حملات بروت فورس اتوماتیک این است که به محض اینکه نرم افزار برای چند دقیقه نتواند به سایت دسترسی داشته باشد، عموما حتی پس از باز شدن آی پی نیز مجددا برای ورود تلاش نخواهد کرد.
با استفاده از تنظیم Lockout Invalid Usernames میتوانید تلاش هایی که از نام های کاربری که در سیستم موجود نباشند، استفاده کنند را نیز بلاک کنید. در این حالت شخصی که سعی دارد با حدس زدن یک نام کاربری به سیستم وارد شود، به سادگی توسط نرم افزار شناسایی و بلاک خواهد شد.

نسخه وردپرس خود را به‌روزرسانی کنید

وردپرس در هر به‌روزرسانی که از این CMS منتشر می‌کند، تغییرات مهمی در آن ایجاد می‌کند که بیشتر اوقات، شامل به‌روزرسانی ویژگی‌های امنیتی است. با به‌روزرسانی نسخه وردپرس، وب‌سایت شما در برابر خلأهای از پیش تعیین شده و نقاط آسیب‌پذیری (Vulnerability) که هکرها از آن برای دسترسی به وب‌سایت شما انجام می‌دادند، تا حد زیادی ایمن خواهد شد.

به‌طور منظم از وب‌سایت خود نسخه پشتیبان تهیه کنید

تهیه نسخه پشتیبان از وب‌سایت به معنی ایجاد یک کپی از تمام داده‌های وب‌سایت و ذخیره آن در مکانی امن است. به این ترتیب، شما می‌توانید در صورت بروز هرگونه مشکل، وب‌سایت خود را از نسخه پشتیبان بازیابی کنید.

برای پشتیبان‌گیری از وب‌سایت، به یک افزونه نیاز دارید. به عنوان مثال، Jetpack برخی از ویژگی‌های پشتیبان‌گیری یکپارچه را ارائه می‌دهد که پشتیبان‌گیری روزانه، بازیابی و فیلتر کردن هرزنامه را انجام می‌دهد.

فایروال (Firewall) نصب کنید

فایروال یا دیوار آتش

• امکان بلاک کردن ترافیک مخرب در وبسایت را فراهم کرده و 100 تمرکز آن بر روی امنیت وبسایت وردپرسی است.
• حفاظت همه جانبه از وبسایت وردپرسی
• بلاک کردن درخواست‌ها، کدها و محتوای مخرب با اسکن امنیتی
• برقراری امنیت در وردپرس با جلوگیری از حملات Brute force در هنگام ورود به سایت

همان‌طور که گفتیم برای برقراری امنیت در وردپرس می‌توان از افزونه‌هایی کمک گرفت، مانند افزونه All In One WP Security and Firewall و افزونه Better WP security و در سمت حرفه‌ای افزونه قدرتمند iTheme Security و Wordfence Security.