امنیت وردپرس

13 نکته ساده برای افزایش امنیت وردپرس

وردپرس به عنوان یکی از محبوبترین سیستم های مدیریت محتوا به دلیل سئو بالا و نصب راحت در بسیاری از سایتهای کوچک و بزرگ مورد استفاده قرار می گیرد، هر وبمستر تازه کاری می تواند با گذراندن مراحل نصب ۵ دقیقه ای معروف وردپرس آنرا نصب و آماده انتشار مطالب نماید. یکی از دلایل محبوبیت وردپرس امنیت آن است که می توان با رعایت برخی نکات امنیتی ساده باعث بالاتر رفتن و افزایش امنیت وردپرس و مانع هک شدن راحت سایت شد. جالب اینجاست که بسیاری از وبمستران همین نکات به ظاهر ساده ولی بسیار کاربردی را رعایت نمی کنند و انتظار داشتن بالاترین سطح امنیت را نیز دارند در این مطلب از گستران وب آموزش افزایش امنیت وردپرس و سایت با رعایت ۱۵ نکته امنیتی ساده را فراخواهید گرفت. سعی شده نکات امنیتی وردپرس به صورت مرحله به مرحله بیان شوند تا امکان بکارگیری آنها راحت تر باشد، پس تا انتها همراه گستران وب باشید.

اکثر نکاتی که در این مقاله مطرح می شوند را می توانید در صفحه Hardening WordPress از سایت اصلی wordpress.org مطالعه نمایید.

همینطور که می دانید برای داشتن امنیت بیشتر باید از همان ابتدا به فکر آن بود و برخی تنظیمات را حتی قبل از نصب سیستم مدیریت محتوا انجام داد، این نکات عبارتند از:

۱- نصب یا به روز رسانی وردپرس به آخرین و جدیدترین نسخه :

همیشه از جدیدترین ورژن وردپرس استفاده کنید اگر به تازگی می خواهید سایت تان را راه اندازی کنید با مراجعه به سایت وردپرس فارسی که پشتیبانی رسمی wordpress است آخرین نسخه را دانلود کنید، اگر سایت را راه اندازی کرده اید با انتشار بروز رسانی جدید وردپرس تان را آپدیت کنید. معمولا در هر نگارش جدید از وردپرس چندین باگ امنیتی کوچک و بزرگ گزارش شده برطرف می شود که می تواند تاثیر مهمی بر روی امنیت سایت داشته باشد.

۲- تغییر پیشوند table prefix جداول پایگاه داده وردپرس :

پایگاه داده وردپرس به طور پیشفرض از پیشوند ‘wp_’ برای ساخت جداول دیتابیس هسته و افزونه های وردپرس استفاده می کند که باید در هنگام نصب cms آنرا به عبارت دلخواه تغییر داد. برای اینکار با مراجعه به فایل wp-config.php در خطوط آخر می توانید تنظیمات مربوط به table prefix را مشاهده و با عبارت دلخواه تعویض نمایید.

۳- انتخاب نام کاربری قوی به جای admin :

در گذشته اکثر وبمستران شناسه کاربری مدیر را عبارت admin انتخاب می کردند که همین امر باعث ایجاد باگ امنیتی می شد. برای ورود به پیشخوان مدیریت وردپرس نیاز به دانستن نام کاربری و کلمه عبور مدیر یا سایر اعضاء می باشد اگر username مدیر در هنگام نصب وردپرس بر روی کلماتی ضعیف مانند admin یا modir تنظیم شود با دانستن رمز عبور می توان وارد پیشخوان شد حال اگر نام کاربری متفاوتی انتخاب کنیم هکر باید علاوه بر رمز ورود به دنبا نام کاربری نیز باشد و کار برایش سخت تر می شود.

۴- انتقال فایل تنظیمات وردپرس wp-config به یک شاخه بالاتر :

همینطور که می دانید تمامی تنظیمات حیاتی وردپرس مانند اطلاعات پایگاه داده در فایل wp-config.php قرار دارند در نسخه های جدید wordpress می توان این فایل را که در ریشه هاست یعنی پوشه public_html قرار دارد به خارج از آن منتقل و بهتر است سطح دسترسی آنرا بر روی ۴۴۴ یا ۴۰۰ تنظیم کرد تا قابل ویرایش نباشد.

۵- انتخاب هاستینگ معتبر و ایمن :

یکی از مهمترین نکات در افزایش امنیت وردپرس انتخاب سرویس هاست و سرور ایمن از یک شرکت معتبر می باشد که معمولا برای تهیه آن نیاز به پرداخت هزینه های به مراتب بیشتری نسبت به هاستهای عادی است. حتی اگر میزان امنیت سیستم مدیریت محتوای شما ۱۰۰ درصد باشد و هیچ راه نفوذی وجود نداشته باشد اگر هاستی داشته باشید که از فایروال و انتی ویروس استفاده نمی کند و امنیت پایینی دارد (تقریبا تمام هاستینگها فایروال دارند!) زحمات تان بیهوده بود است زیرا بسیاری از تنظیمات امنیتی باید بر روی سرور انجام شوند تا امنیت سایت تضمین شده شود پس از شرکتهای میزبانی وب معتبر و با سابقه برای تهیه فضای هاست سایت تان استفاده کنید.

۶- محافظت از فایل wp-config و پوشه wp-includes توسط کدهای htaccess :

همینطور که اشاره شد فایل تنظیمات وردپرس به نام wp-config.php که در محل و شاخه اصلی نصب وردپرس قرار دارد یکی از مهم ترین فایلهای وردپرس می باشد همچنین پوشه wp-includes نیز از اهمیت بالایی برخوردار است چون این پوشه عضو اصلی هسته وردپرس می باشد که وظیفه نگهداری توابع و API ها برای اجرای وردپرس از طریق ظاهر یا رابط کاربری را برعهده دارد. می توان اط ظریق قرار دادن کدهای زیر در فایل htaccess اچ تی اکسس مانع دسترسی کاربران به این فایلها شد. کدهای زیر را در htaccess سایت کپی کنید.

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
<files wp-config.php>
order allow,deny
deny from all
</files>

در ادامه نکات امنیتی وردپرس برخی راهکارهایی که می توان پس از بالا آمدن و شروع کار سایت با رعایت آنها باعث افزایش امنیت وردپرس شد می پردازیم.

۷- انتخاب رمز عبور قوی و پیچیده :

خوشبختانه در نسخه های جدید وردپرس قابلیت ایجاد پسورد قوی با تعداد کاراکتر زیاد گنجانده شده تا از این لحاظ هم کار مدیر سایت و کاربران راحت تر شود و هم رمزهای قوی ایجاد شود البته هنوز هم می توان از رمز عبور دلخواه استفاده کرد. پیشنهاد می شود از رمزهای ساخته شده توسط خود وردپرس استفاده کنید چون تمام نکات امنیتی مربوط به رمز عبور مانند: استفاده از کلمه کوچک و بزرگ، دارا بودن کاراکتر ویژه ( @ & * ) و … در آن رعایت شده است.

۸- به روز رسانی افزونه های نصب شده :

همیشه پلاگینهای موجود در وردپرس تان را بروز نگه دارید و از افزونه هایی که مدت زیادی (بیش از یک سال) از انتشار آن گذشته ولی آپدیت جدید دریافت نکرده اند، استفاده نکنید چون ممکن است دارای باگ امنیتی باشد. اگر افزونه ای نصب دارید که به آن احتیاجی ندارید بهترین کار حذف آن می باشد.

۹- مانع ویرایش قالب و افزونه از طریق پیشخوان شوید :

یکی از قابلیتهای کاربردی وردپرس امکان ویرایش قالب و افزونه از طریق داشبورد یا پیشخوان می باشد. برای ویرایش پوسته می توانید با مراجعه به بخش نمایش > ویرایشگر به فایلهای قالب دسترسی پیداکنید. برای ویرایش افزونه ها نیز با کراجعه به بخش افزونه ها > ویرایش می توانید فایلهای هر افزونه ای که نصب داشته باشید را ویرایش کنید. این امکان کاربردی در صورتی که هکر بتواند وارد پیشخوان شود می تواند به ضررمان تمام شود به طوریکه با تغییر در کدهای قالب می تواند متن یا تصویر دلخواه را نمایش دهد و یا پوسته ای که برای طراحی آن هزینه شده و زحمت زیادی کشیده شده را کپی کند. برای جلوگیری از امکان تغییر و ویرایش در پوسته و افزونه می توان قطعه کد زیر را در فایل wp-config.php قرار داد.

 

define('DISALLOW_FILE_EDIT', true);

 

۱۰- استفاده از قالب وردپرس استاندارد :

پوسته یا تم مهم ترین بخش وردپرس از نظر برقراری ارتباط و تعامل با کاربر می باشد زیرا بازدیدکنندگان از طریق آن با بخشهای مختلف سایت آشنا می شوند و ارتباط برقرار می کنند. خوشبختانه تعداد پوسته های رایگان و پرمیوم وردپرس بسیار زیاد می باشد که هر وبمستری می تواند با توجه به سلیقه خود یکی از آنها را انتخاب کند و یا با طراحی قالب وردپرس اختصاصی پوسته ای یکتا برای سایتش داشته باشد. اما هستند اشخاصی که از قالبهای پرمیوم نال شده استفاده می کنند که احتمال وجود کد مخرب در آن نسبت به سایر پوسته ها بسیار بیشتر است.

۱۱- نسخه وردپرس را مخفی کنید :

یکی از راههای تشخیص version وردپرس مورد استفاده در سایت مشاهده کدهای html سایت می باشد. وردپرس به طور خودکار با استفاده از متاتگ ژنراتور generator نسخه فعلی را در هدر قالب نمایش می دهد. مسلما فاصله زمانی برای انتشار نسخه های مختلف وردپرس وجود دارد حال ممکن است ورژنی که از آن استفاده می کنید دارای باگ باشد که می توانید با پنهان کردن نسخه وردپرس کار هکر را دشوارتر کنید.

۱۲- افزونه های افزایش امنیت وردپرس :

با استفاده از افزونه هایی مانند: ایجاد کد کپچا یا محدود کننده ورود به وردپرس Limit Login می تون مانع از وارد کردن چندین باره نام کاربری و کلمه عبور در جهت تلاش برای تشخیص username و password مدیر شد. چندین افزونه با کاربردهای مختلف وجود دارند که می توانید از آنها نیز استفاده نمایید.

۱۳- مخفی کردن پیام های هشدار ورود :

وقتی نام کاربری یا کلمه عبور ورود به داشبورد وردپرس را اشتباه وارد کنید پیام هشداری در بالای فرم ورود نمایش داده می شود که از شما می خواهد یکی از موارد که اشتباه وارد شده را اصلاح کنید حال می توان با استفاده از کد زیر پیامهای خطا که می تواند راهنمایی و کمک بزرگی باشد را مخفی کرد. کد را در فایل فانکشن قالب وردپرس کپی کنید.

add_filter('login_errors', create_function('$a', "return null;"));

 

2/5 - (1 امتیاز)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *