سلام دوستان؛
در جلسه قبلی به 6 روش جهت ضد هک شدن وردپرس اشاره کردیم در این مقاله قصد داریم به معرفی گام های دیگری برای بالا بردن سطح امنیتی وب سایت وردپرسی بپردازیم.
- مشاهده جلسه اول: جلوگیری از هک شدن وردپرس
روش های کاربردی برای ضد هک شدن وردپرس
- بروزرسانی های منظم وردپرس
- رمزهای عبور تکراری ممنوع است!
- فعال سازی تایید اعتبار دو مرحله ای
- غیر فعال کردن گزارشات خطای php
- عدم استفاده از قالب نال شده
- انتخاب میزبانی امن
در ادامه به معرفی 6 روش دیگر جهت ضد هک شدن وردپرس خواهیم پرداخت.
مرحله هفتم: اسکن وردپرس برای شناسایی نرم افزارهای مخرب
هکرها اغلب برای آلوده کردن وردپرس با نرم افزارهای مخرب از نقاط ضعف در قالب ها یا افزونه ها استفاده می کنند. بنابراین، خیلی مهم است که کل وب سایت وردپرسی خود را به طور مرتب بررسی کنید. برای این منظور، افزونه های امنیتی بسیاری طراحی شده است. افزونه WordFence از جمله موارد قدرتمند و رایجی است که برای بررسی امنیت سایت از آن استفاده می شود. این افزونه گزینه های دستی و اتوماتیک اسکن با تنظیمات مختلفی را ارائه می دهد. با چند کلیک ماوس می توانید فایل های ویرایش شده / آلوده را بررسی کنید. این افزونه منبع باز و رایگان است.
معرفی محبوب ترین افزونه های امنیتی وردپرس
BulletProof Security: بر خلاف WordFence، که قبلا به آن اشاره کردیم، BulletProof فایل های شما را اسکن نمی کند، اما به کمک دیوار آتش می توانید امنیت پایگاه داده و موارد دیگر را فراهم کرد.پیکربندی و نصب افزونه بسیار ساد است و جزء مزیت های آن محسوب می شود.
Sucuri Security: این پلاگین شما را در برابر حملات DOS محافظت می کند، یک لیست سیاه تهیه می کند، وب سایت شما را اسکن و نرم افزارهای مخرب را تشخیص می دهد همچنین قادر است که فایروال شما را مدیریت کند. در صورتی که افزونه مورد مشکوکی را شناسایی کند، از طریق ایمیل به شما اطلاع خواهد داد. افزونهشامل لیست سیاه گوگل، نورتون، مک آفی و… است.
مرحله هشتم: پشتیبان گیری های منظم از وب سایت
پشتیبان گیری از وب سایت خود را فراموش نکنید. حتی بزرگترین وب سایت ها علی رغم این که هزاران نفر روی مقوله امنیتشان وقت می گذارند، ممکن است که هک شوند. اگر دنبال بهترین شیوه ها هستید لازم است که از وب سایت وردپرسی خود به طور مرتب پشتیبان گیری کنید.
چندین روش برای ایجاد نسخه پشتیبان وجود دارد. به عنوان مثال، می توانید فایل های WordPress را به صورت دستی دانلود و پایگاه داده خود را اکسپورت کنید یا از ابزارهای پشتیبان گیری میزبانی خود استفاده کنید. محبوب ترین افزونه های پشتیبان گیری وردپرس به شرح زیر هستند:
- VaultPress
- BackUpWordPress
- BackupGuard
حتی می توانید فرآیند پشتیبان گیری را خودکار کرده و نسخه بکاپ را در Dropbox ذخیره کنید.
مرحله نهم: غیر فعال کردن امکان ویرایش فایل
همانطور که می دانید، وردپرس دارای یک ویرایشگر فایل داخلی است که امکان ویرایش فایل های PHP را فراهم می کند. در حالی که این ویژگی بسیار مفید است، می تواند بسیار مضر هم باشد. اگر شخصی به داشبورد شما دسترسی داشته باشد، ویرایشگر فایل اولین مورد نگران کننده است، برخی از کاربران وردپرس ترجیح می دهند این ویژگی را کاملا غیرفعال کنند. برای این منظور می توانید فایل wp-config.php را ویرایش و قطعه کد زیر را به آن اضافه کنید تا قابلیت ویرایش فایل غیر فعال شود.
define ('DISALLOW_FILE_EDIT'، true)؛
در صورت تمایل به فعال سازی مجدد این قابلیت، از سرویس گیرنده FTP یا فایل منیجر میزبانی خود استفاده کنید و قطعه کد بالا را از فایل wp-config.php حذف کنید.
مرحله دهم: حذف قالب و افزونه های بلا استفاده
یکی از راه های ضد هک شدن وردپرس بازبینی و پاکسازی سایت از قالب و افزونه های بلا استفاده است. بهتر است آن ها را حذف کنید. هکرها اغلب قالب ها و افزونه های غیر فعال و قدیمی (حتی افزونه های رسمی وردپرس) را اسکن می کنند و از آنها برای دسترسی به داشبورد وردپرس و یا ارسال فایل های مخرب به سرور شما استفاده می کنند. با پاک کردن افزونه ها و قالب هایی که بلا استفاده هستند (و احتمالا فراموش کرده اید که آن را به روز رسانی کنید)، خطرات امنیتی کاهش می یابد.
مرحله یازدهم: کمک گرفتن از فایل .htaccess برای امنیت بیشتر
برای اینکه لینک های درون وب سایت های به درستی کار کنند به فایل htaccess نیاز دارند. بدون قوانین صحیح در فایل htaccess خطای 404 دریافت خواهید کرد. برخی از کاربران نمی دانند که از فایل .htaccess برای بهبود امنیت وردپرس نیز استفاده شود. برای مثال، با استفاده از .htaccess می توانید دسترسی به برخی پوشه های خاص را مسدود کنید. در ادامه مثال هایی برای افزایش امنیت وردپرس از طریق فایل .htaccess ذکر شده است.
نکته مهم: توصیه می شود که قبل از ایجاد هر گونه تغییری، از فایل قدیمی .htaccess خود یک نسخه پشتیبان تهیه کنید.
عدم دسترسی به ناحیه مدیریتی وردپرس
کد زیر اجازه دسترسی به ناحیه مدیریتی وردپرس را فقط برای آیپی های خاص می دهد.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx </LIMIT>
توجه داشته باشید که باید به جای XX.XX.XX.XXX در قطعه کد بالا، آدرس آیپی مورد نظر خود را درج کنید. می توانید از وب سایت whatismyip.com برای بررسی IP فعلی خود استفاده کنید. اگر یک آدرس IP پویا دارید، استفاده از این کد توصیه نمی شود.
غیر فعال کردن اجرای PHP در دایرکتوری های خاص
مهاجمان تمایل دارند که اسکریپت های backdoor را در پوشه آپلود وردپرس درج کنند. به طور پیش فرض از این پوشه فقط برای آپلود فایل های رسانه ای وردپرس استفاده می شود. بنابراین، این پوشه نباید هیچ فایل پی اچ پی داشته باشد. برای برداتشن گامی در جهت ضد هک شدن وردپرس می توانید فایل جدید .htaccess در مسیر /wp-content/uploads ایجاد کنید سپس قطعه کد زیر را در آن درج کنید.
<Files *.php> deny from all </Files>
محافظت از فایل wp-config.php
فایل wp-config.php حاوی تنظیمات پیکربندی وردپرس و پایگاه داده MySQL است. بنابراین مهمترین از جمله فایل های وردپرس به شمار ی رود. به همین دلیل این فایل اغلب هدف اصلی هر هکر وردپرسی است. اما با تمام این فاسیر باز هم می توانید این فایل را با استفاده از برخی قوانین فایل .htaccess محافظت کنید تا مورد دستبرد وسوء استفاده افراد سودجو قرار نگیرد. تنها کافیست قطعه کد زیر را درج کنید:
<files wp-config.php> order allow,deny deny from all </files>
مرحله دوازدهم: تغییر پیشوند پیش فرض جداول دیتابیس
یکی دیگر از راه های ضد هک شدن وردپرس و افزایش امنیت، تغییر پیشوند پیش فرض جداول وردپرسی است که در آینده به آموزش کامل آن خواهیم پرداخت.
موفق باشید. 🙂