سلام دوستان؛
وردپرس یکی از محبوب ترین سیستم های مدیریت محتوا در جهان است. این سیستم بیش از 31 درصد از کل وب سایت های اینترنتی را پشتیبانی می کند و میلیون ها بار نصب شده است. محبوبیت زیادی هم دارد! بر اساس گزارشات ارائه شده توسط مراکز امنیتی، عدم بروزرسانی وردپرس و بی توجهی صاحبان وب سایت ها نسبت به موارد امنیتی از شایع ترین دلایل هک شدن وردپرس است. پس بهتر است امنیت وردپرس را بهبود ببخشید.
روش های جلوگیری از هک شدن وردپرس
برای شروع کار و افزاریش امنیت وردپرس به موارد زیر نیاز دارید:
- دسترسی به ناحیه مدیریتی وردپرس
- دسترسی به حساب میزبانی سایت
مرحله اول: بروزنگه داشتن هسته وردپرس
این اولین و مهم ترین نکته است. اگر می خواهید یک وب سایت رایگان و کاملا امن داشته باشید، لازم است که همیشه هسته وردپرس، افزونه و قالب های خود را به روز نگه دارید. شاید این مورد زیاد جدی گرفته نشود اما بیشترین آمار هک شدن وب سایت های وردپرسی مربوط به بروز نکردن موارد ذکر شده است، تنها 22٪ از تمام کسانی که وردپرس را نصب کرده اند سیستم مدیریت محتوای خود را به آخرین نسخه ارتقاء می دهند.
وردپرس از نسخه 3.7 به بعد قابلیت به روز رسانی خودکار را اجرا کرد، با این وجود این قابلیت فقط برای به روز رسانی های کوچک و جزئی کار می کند. بنابراین، به روز رسانی اصلی باید به صورت دستی انجام شود.
مرحله دوم: عدم استفاده از رمزهای عبور تکراری یا نا امن
برای جلوگیری از هک شدن وردپرس به هیچ وجه از نام کاربری یا رمز عبور پیش فرض admin استفاده نکنید. آیا از admin به عنوان نام کاربری مدیریت وردپرس استفاده می کنید؟ اگر پاسخ شما بله باشد، تلاش هکرها برای دسترسی به داشبورد وردپرس بسیار ساده تر می شود. به شدت توصیه می شود نام کاربری مدیریت را به مورد دیگری تغییر دهید یا یک حساب کاربری جدید با یک نام کاربری دیگر ایجاد کنید و قبلی را حذف کنید. اگر روش دوم را ترجیح می دهید، این مراحل را دنبال کنید:
- دسترسی به داشبورد وردپرس
- به بخش کاربران بروید و بر روی افزودن کاربر تازه کلیک کنید.
- کاربر جدید را ایجاد و به آن نقش مدیریتی اعطا کنید.
- با نام کاربری جدید خود وارد وردپرس شوید.
- مجددا به بخش کاربران مراجعه کنید.
- کاربر مدیریتی قبلی را جذف کنید.
رمز عبور قوی نقش مهمی در افزایش امنیت و جلوگیری از هک شدن وردپرس دارد. یک رمز عبور متشکل از اعداد، حروف بزرگ و کوچک و کاراکترهای خاص بسیار قوی عمل می کند. برای ایجاد و مدیریت رمزهای عبور پیچیده می توانید از ابزارهایی مانند LastPass و 1Password کمک بگیرد.
مرحله سوم: تأیید اعتبار دو مرحله ای
فعال کردن روش تأیید اعتبار دو مرحله ای، یک لایه امنیتی اضافی را به صفحه ورود شما اضافه می کند و اقدامی در جهت ضد هک شدن وردپرس است. همان طور که از نام آن پیداست، گام دیگری را برای تکمیل شدن مراحل ورود به وردپرس اضافه می کند. تایید دو مرحله ای اصولا برای دسترسی به ایمیل، تکمیل شدن ثبت نام در سایت ها و… مورد استفاده قرار می گیرد. به صورت کلی در مواردی که حاوی اطلاعات حساس هستند کاربرد دارد. این روش را روی وردپرس نیز می توان پیاده سازی کرد. پیاده سازی روش تأیید 2 مرحله ای در وردپرس بسیار ساده است. تنها باید برنامه تأیید هویت دو مرحله ای را روی وردپرس نصب و پیکربندی کنید.
مرحله چهارم: غیر فعال کردن گزارش خطاهای PHP
فعال کردن قابلیت گزارش خطاهای PHP کار کاربردی و مفیدی است مخصوصا زمانی که در حال توسعه وب سایت باشیم. این کار برای زمان هایی که قصد داریم بدانیم همه مراحل به درستی انجام می شوند مفید است. به این صورت اگر نقصی در کار باشد از طریق گزارشات خطا متوجه آن خواهیم شد. این گزارشات می توانند نقص های امنیتی را نیز گوشزد کنند. اما نمایش باگ های وب سایت برای همه، کار عاقلانه ای نیست و خود این کار می تواند مخل امنیت سایت شود!
نگران نباشید، لازم نیست برای غیرفعال کردن این قابلیت کدنویسی کنید. اکثر ارائه دهندگان میزبانی وب در کنترل پنل خود گزینه ای را برای غیر فعال کردن گزارش خطاها ارائه کرده اند. اگر در کنترل پنلتان گزینه ای وجود نداشته باشد، می توانید قطعه کد زیر را به فایل wp-config.php وردپرس خود اضافه کنید. برای ویرایش فایل wp-config.php می توانید از FTP client یا File Manager استفاده کنید.
error_reporting(0); @ini_set(‘display_errors’, 0);
با اضافه کردن قطعه کد بالا قابلیت گزارش دهی غیر فعال خواهد شد.
مرحله پنجم: استفاده از قالب های نال شده وردپرس
دقت داشته باشد که قالب یکی از بخش های مهم هر وب سایت وردپرسی است. هزاران نوع افزونه و قالب نال شده در اینترنت وجود دارد از طرفی وب سایت های مختلفی نسبت به ارائه رایگان انواع افزونه و قالب اقدام می کنند. نکته مهمی که اکثر کاربران نمی دانند این است که قالب و افزونه های نال شده اصولا با نرم افزارهای مخرب یا لینک های کلاه سیاه آلوده شده اند. توصیه می کنیم که برای جلوگیری از هک شدن وردپرس هرگز از قالب و افزونه های نال شده استفاده نکنید چون غیر اخلاقی و مخرب هستند. امنیت وب سایت شما تا حدود زیادی به خطر خواهد افتاد و برای پاکسازی آن باید هزینه های گزافی را متحمل شوید.
مرحله ششم: انتقال وب سایت وردپرسی به یک میزبانی امن تر
شاید این مورد یعنی انتقال به یک میزبانی امن و قابل اعتماد کمی عجیب یا دور از ذهن به نظر برسد. اما جالب است بدانید که بیش از 40 درصد از وب سایت های وردپرسی به علت نقص موارد امنیتی در حساب های میزبانی، هک شده اند. بر همین اساس برای ضد هک شدن وردپرس همیشه در انتخاب میزبانی وب دقت کافی داشته باشید و در صورتی که از یک میزبانی نا امن و غیرقابل اعتماد استفاده می کنید، نسبت به آن تجدید نظر کنید در مواردی انتقال وب سایت ضروری است . در انتخاب میزبانی وب سایت حتما به موارد زیر دقت داشته باشید:
- اگر از میزبانی مشترک استفاده می کنید، حتما بررسی کنید که حساب کاربری شما از دیگر کاربران جدا شده و احتمال آلوده شدن سایر وب سایت ها از یک منبع آلوده وجود ندارد.
- بررسی کنید که میزبانی قابلیت پشتیبان گیری خودکار داشته باشد.
- ابزارهایی برای ویروس یابی هاست وجود داشته باشد.
- فایروال سرور فعال باشد.
پایان جلسه اول. ادامه دارد…