اگر همیشه به امنیت وردپرس (WordPress) فکر می‌کنید احتمالاً از افرادی هستید که با این سیستم‌عامل کار می‌کنید یا با آن برای کار خود آشنا هستید. احتمالاً همان‌طور که می‌دانید این سیستم‌عامل نسبت به سایر سیستم‌عامل‌هایی که با آن‌ها می‌شود سایتی را راه‌اندازی کرد آن‌چنان امن نیست.

سایت‌هایی با وردپرس درست می‌شوند به دلیل تعداد کاربران، افزونه‌های مختلف و اجازه دسترسی به نفر سوم امنیت پایین دارند و مورد هدف مهاجمین قرار می‌گیرد.

با اینکه این موارد گفته شده همه درست هستند، اما نگران نباشید، راهکارهایی وجود دارند که با استفاده از آن‌ها می‌توانید سایت وردپرسی امنی داشته باشید. در این متن در مورد امنیت وردپرس صحبت خواهد شد و شما حتی اگر خیلی به برنامه‌نویسی آن وارد نیستید می‌توانید از آن استفاده کنید.

1. چطور از یک نام کاربری ایمن استفاده کنیم؟

در اولین قدم به شما توصیه می‌کنیم که از نام کاربری admin یا مدیر به‌هیچ‌عنوان استفاده نکنید. فکر می‌کنید بیشتر هک‌ها چطور اتفاق می‌افتند؟ هکرها تنها با حدس زدن نام کاربری شما و ورود به منطقه مدیریت شما خرابکاری می‌کنند.

پس اگر شما این نام کاربری را با دقت و پیچیده انتخاب کنید احتمالاً آن‌ها به‌سختی نام کاربری و رمز شما را حدس خواهند زد؛ بنابراین، زمانی که از یک نام کاربری متداول، ساده و رایج (مانند admin) استفاده می‌کنید آن‌ها خیلی راحت‌تر می‌توانند آن را حدس بزنند.

در این صورت، حملات brute-force ممکن است بسیار کمتر شده و امنیت وردپرس و اکانت مدیریت شما بالا ‌رود. باتوجه‌به این موضوع اگر از یک اکانت قدیمی استفاده می‌کنید و نام کاربری آن بسیار ساده است، به شما توصیه می‌کنیم اطلاعات این اکانت را هرچه سریع‌تر به یک اکانت امن‌تر منتقل کنید و آن اکانت را حذف کنید!

 

امنیت وردپرس تنها با درنظرداشتن چند نکته کوتاه و کاربردی

2. یک رمز عبور پیچیده چه ویژگی‌هایی دارد؟

اگر در کنار یک نام کاربری سخت شما یک رمز عبور پیچیده برای اکانت خود در نظر بگیرید، احتمال حمله brute-force کمتر شده و امنیت وردپرس را بالاتر می‌رود. یک نکته عالی برای اینکه بهترین رمز را برای اکانت خود قرار دهید در سه مورد خیلی مهم خلاصه می‌شود، یعنی: پیچیدگی، طولانی بودن و یونیک بودن.

اما به‌خاطر سپردن کلمات عبور بسیار طولانی، دشوار است، این‌طور نیست؟ خب، برای این مشکل هم راه‌حل وجود دارد. سایت‌هایی در سطح اینترنت هستند که رمز برای شما تولید می‌کنند. سایت‌هایی مثل 1Password و LastPass با گرفتن طول رمز موردنظر، رمز عبور را برای شما تولید می‌کنند.

شما با ذخیره کردن لینک تولید شده و رمز عبور به ادامه کار خود می‌پردازید. برای اینکه یک رمز عبور به‌اندازه کافی پیچیده باشد، بهتر است یک گذرواژه طولانی (در حد 20 کاراکتر) داشته باشید. همچنین، در داخل گذرواژه بهتر است از کاراکترهایی که کمتر معمول هستند و حدس‌زدنشان دشوار است استفاده کنید، مانند # یا *.

امنیت وردپرس و سیستم عامل کار

آموزش نحوه حفاظت سایت وردپرس

3. چه چیزی در مورد احراز هویت دو عاملی می‌دانید؟

اگر تا اینجای کار را درست انجام داده‌اید، یعنی از عبارت‌های ساده در نام کاربری استفاده نمی‌کنید و رمز عبور شما تصادفی تولید شده و طول مناسبی دارد، بازهم از حملات هک درامان نیستید.

بله، این حملات brutte-force همچنان یک مشکل برای شما محسوب می‌شوند، اما جای نگرانی وجود ندارد و شما می‌توانید با استفاده از روش احراز هویت دو عاملی یا two-factor authentication امنیت وردپرس را بالا ببرید.

نحوه کار با روش احراز هویت دو عاملی چیست؟ خب، روش این است که از یک دستگاه دیگری برای واردکردن کد یکبار مصرف استفاده کنید. این دستگاه دیگر می‌تواند دستگاه متعلق به شما مانند تلفن همراه شما باشد.

پس زمانی که آن را وارد می‌کنید تأیید می‌کنید این خودتان هستید که قصد ورود به حساب کاربری را دارید. جعل کردن این رمز برای مهاجمین بسیار دشوار است! در نتیجه امنیت وردپرس شما حفظ خواهد شد.

برای این کار می‌توانید از دو افزونه برای تأیید اعتبار در وردپرس استفاده کنید که نام این دو افزونه، Google Authenticator و Rublon Plugin است که رویکرد مورد دوم اندکی با مورد اول تفاوت دارد. در انتها حواس خود را جمع کنید که این کدهای پشتیبان را گم نکنید، چون ممکن است قفل شوید و دیگر هیچگاه نتوانید وارد حساب کاربری خود شوید.

4. آیا اصطلاح اصول کم‌برخوردار به گوش شما آشناست؟

اگر به دنبال یک مقاله عالی مورد این موضوع هستید شما را به مقاله تیم WordPress.org ارجاع می‌دهیم که در مورد نقش‌ها و توانایی‌ها در وردپرس Codex نوشته‌اند. توصیه می‌کنیم که این مقاله را حتماً بخوانید، هرچند که خلاصه ناچیزی از آن را به شما ارائه می‌دهیم. اصول least privileged به این معنا است که شما به افراد کمی امتیاز ویژه‌ای را بدهید. مفهوم Least Privileged ساده است. فقط به افراد زیر برای امنیت وردپرس اجازه دسترسی دهید:

• کسانی که به مرتبه‌ای خاص در وردپرس نیاز دارند، مثلاً باید مدیر باشند.
• زمان‌هایی پیش می‌آید که باید به بعضی افراد مرتبه‌ای خاص داد.
• و فقط برای یک‌زمان کوتاه و مشخص، افراد به مرتبه‌ای خاص نیاز دارند.

باتوجه‌به مطالب بالا، اگر کسی برای پیکربندی سیستم شما به طور موقت نیاز دارد که مدیر باشد، این امکان را به او بدهید، اما حتماً در نظر داشته باشید که بلافاصله پس از اتمام این کار، دسترسی او را از مدیریت بردارید. این کار چندان دانش خاص یا تلاش زیادی نمی‌خواهد و شما فقط باید حواس خود را جمع کنید.

توجه داشته باشید که نیاز نیست به هر کاربر مجموعه خود دسترسی مدیریت بدهید و در این بخش آن‌ها را دسته‌بندی کنید. فقط به افراد مناسب نقش‌های مناسبی بدهید تا خطر وردپرس کاهش‌یافته و امنیت وردپرس را حفظ کنید.

امنیت وردپرس و اطلاعات درباره آن

قدم‌به‌قدم برای محافظت کامل از سایت وردپرس

5. می‌دانستید که کلیدهای امنیت وردپرس هم برای شما مناسب است؟

در این قدم به شما توصیه می‌کنیم که برای احراز هویت حتماً از کلیدهای امنیتی قرار گرفته در خود وردپرس استفاده کنید. از جمله این کلیدها می‌توان به «کلیدهای تأیید اعتبار» و «salts» اشاره کرد که امنیت اطلاعات و رمزگذاری آن‌ها را کوکی‌ها افزایش می‌دهند.

این کلیدها از متغیرهای یونیک سایت شما هستند و باید به آن‌ها توجه لازم را داشته باشید. با استفاده از فایل wp-config.php می‌توانید یک منطقه اختصاصی ایجاد کنید که متغیرهای کلید‌های جدید خود را در آن تولید کرده و جاگذاری کنید.

امنیت وردپرس فقط با چند خط کد و در چند ثانیه

6. می‌دانستید با پنهان کردن ورود خود نیز امنیت بالا می‌رود؟

توصیه ما در این قدم به شما این است که ورود به سیستم خود را تاحدامکان پنهان کرده و به کمک این روش تلاش برای ورود به سیستم خودتان را محدود کنید.

بیشتر حملات Brute-force نحوه و فرم ورود شما به سیستم را مورد هدف قرار می‌دهند؛ بنابراین، توصیه می‌شود که با تغییر مکان زندگی و اتصال حمله هکرها را سخت‌تر کرده و امنیت وردپرس خود را افزایش دهید. با استفاده از افزونه All in One WP Security & Firewall می‌توانید URL از پیش تعیین شده (از / wp-admin /) را به مکانی امن‌تر و دشوارتر تغییر دهید.

در کنار روش گفته شده، می‌توانید تعداد تلاش برای ورود به سیستم از طریق یک آدرس IP مشخص را نیز محدود کنید. برای این کار هم می‌توانید از چندین افزونه وردپرس استفاده کنید که به شما کمک می‌کنند تا شیوه ورود خود را از آدرس‌های IP مختلف را محافظت کنید. احتمالاً از این آدرس‌ها ممکن بوده تلاش‌های مخربی برای ورود به سیستم شما استفاده شده باشند.

7. آیا انتخاب میزبان برای امنیت وردپرس ضروری است؟

حتی اگر تمام موارد بالا را رعایت کرده باشد و برای امنیت وردپرس خود بسیار تلاش کرده باشید، اگر شرکتی که وردپرس شما را میزبانی (Hosting) می‌کنید همین دقت را نداشته نباشد، ممکن است عملاً تلاش شما بیهوده بوده باشد. مسلماً اگر یک مهاجم بتواند به میزبانی وب‌سایت شما دسترسی پیدا کند، می‌تواند کنترل کامل همه امور در سایت شما را نیز در دست بگیرد.

باتوجه‌به این مطلب عنوان شده، بسیار مهم است که چه میزبانی را برای سایت وردپرس خود انتخاب می‌کنید. این میزبان باید امنیت میزبانی را جدی بگیرد. میزبان‌های ارزان‌قیمت موجود در اینترنت معمولاً گزینه‌های مناسبی برای امنیت و پشتیبانی نیستند و ممکن است سایت وردپرس شما را با خطر مواجه کنند.

اگر همین موضوعات را در نظر بگیریم، گاهی اوقات هم میزبانی مشترک به دلیل هزینه کمتر خطرناک است.

در این حالت نیز هکرها می‌توانند از طریق سایت دیگری که در این میزبانی شریک است و امنیت پایینی دارد به سایت شما دسترسی پیدا کنند. باتوجه‌به مطالب بالا، توصیه ما به شما این است که هزینه خوبی برای هاست یا میزبان خود بپردازید و درگیر هاست‌های ارزان پرخطر نشوید. برای این کار می‌توانید از شرکت‌های خارجی با شهرت عالی برای میزبانی تخصصی وردپرس (به‌عنوان‌مثال GoDaddy یا WP Engine) استفاده کنید.

حفظ امنیت سایت وردپرس فقط با خواندن چند کلمه

8. آیا به‌روز بودن به شما کمک می‌کند؟

درست است که به راحتی می‌گوییم به‎روز باشید، اما انجام روزانه این کار برای صاحبان وب‌سایت‌ها و طراحی‌کنندگان آن‌ها کار سختی است. سایت‌های اینترنتی بسیار پیچیده هستند و روزانه اتفاقات مختلفی در بستر آن‌ها رخ می‌دهند.

گاهی اوقات نیز این سرعت آن‌قدر بالا است که نمی‌توان در این سایت‌ها تغییر قابل‌ملاحظه‌ای را ایجاد کرد و از جریان عقب می‌افتیم. به همین دلیل وب‌سایت‌ها کد تمام شده خود را هم در افزونه‌ها و هم در نرم‌افزار اصلی به‌روز نمی‌کنند که در نهایت سبب مشکل می‌شوند.

بسیار مهم است که به‌روزرسانی تم‌ها، نرم‌افزار، افزونه‌ها و سایر مؤلفه‌ها بخشی از یک برنامه معمول طراح سایت وردپرس باشند. در غیر این صورت، راه را به روی هکرها باز می‌کنید و امنیت وردپرس شما افت می‌کند. اگر کاربر افزونه Yoast SEO هستید، فقط کافی است مراحل آسان عنوان شده در اینترنت را برای به‌روزرسانی افزونه Yoast SEO خود دنبال کنید.

حرف اول امنیت در ساخت یک سایت وردپرس

9. درمورد اهمیت لایه‌های امنیتی بیشتر چه می‌دانید؟

لایه‌های امنیتی بیشتر به شما کمک می‌کنند که از ورود مهاجمان به سایت خود جلوگیری کنید. برای دستیابی به این موضوع، توصیه ما این است که شما از افزونه فایروال وردپرس در سایت خود استفاده کنید. این افزونه‌ها نه‌تنها مهاجمین از پیش شناخته شده را شناسایی می‌کنند، بلکه الگوریتم‎هایی دارد که الگوهای معمول حمله را شناسایی می‌کند.

 

به کمک این موارد قبل از آنکه این مهاجمین بتوانند به سایت شما صدمه‌ای وارد کنند شما می‌توانید آن‌ها را متوقف کرده و از سایت خود محافظت کنید.خالی‌ازلطف نیست که اگر به این موضوع اشاره کنیم که بیشتر سیستم‌های تحویل محتوا از سیستم فایروال یا دیوار آتش استفاده می‌کنند.

به‌ویژه سیستم دیگری به نام Cloudflare در جلوگیری از “ترافیک خطرناک” فعالیت می‌کند که دارای اسکن‌ها و قوانینی است که به طور خاص برای تضمین امنیت وردپرس تهیه شده است.

 

10. بهترین افزونه‌ها و تم‌های امنیتی چه مواردی هستند؟

متأسفانه بیشتر کاربران وردپرس تمایل دارند که انواع تم‌ها و افزونه‌ها را به‌دلخواه در سایت‌های خود وارد کنند. در اینجا توصیه ما این است که مراقب این کار خود باشید؛ چراکه ممکن است این موارد امنیت کافی را نداشته باشند. اگر از این افزونه‌های جذاب و سرگرم‌کننده استفاده می‌کنید حتماً در نظر داشته باشید که با امنیت بالایی تولید شده باشند و شما را در خطر نیندازند.

11. از اثر کنترل ورود و خروج به سایت خود چه می‌دانید؟

خب، تاکنون، نحوه امنیت وردپرس را در موارد بالا بررسی کردیم. با اینکه از مواد مهمی برای افزایش امنیت وردپرس صحبت کردیم اما این امنیت هیچگاه مطلق نیست و شما می‌توانید در این خطر قرار داشته باشید؛ چراکه سایت‌ها به طور مداوم عملکردهای خود را تغییر می‌دهند و کاربران در حال پیشرفت بوده و اطلاعات بیشتری پیدا می‌کنند.

 

به همین دلیل راهکار دیگری نیز برای حفظ امنیت وردپرس وجود دارد که شامل بررسی ورود به سیستم و نظارت آن است. شما با داشتن گزارش‌های فعالیت و ورود به سایت می‌توانید اطلاعاتی درمورد ورود و خروج افراد به سایت شما داشته باشید. این مورد به شما کمک می‌کند تا با دقت بیشتری امنیت سایت خود را نظارت کنید.

بدون دیدگاه

دیدگاهتان را بنویسید

You have to agree to the comment policy.