داشتن یک وب سایت در دنیای مجازی تنها محدود به گرافیک و ظاهر وب سایت نیست بلکه مسائل فنی بخصوص مسائل امنیتی وب سایت از اهمیت بسیاری برخوردار است.برای اینکه یک وب سایت ماندگار و کارا در اینترنت داشته باشید باید بدانید که چگونه امنیت وب سایت وردپرس خود را بالا ببرید.ما در این آموزش امنیت وردپرس تمامی نکات را به شما آموزش می دهیم.
بالا بردن امنیت وبسایت وردپرس
امروزه امنیت یکی از مسائل اصلی در خصوص استفاده از سیستم های بلاگ و وب سایت ها است ، از این بابت مطمئن هستم باور کنید از خودم این موضوع را در نیاورده ام و امنیت مهم است ( این یعنی خیلی تاکید دارم امنیت مهم هست و خیلی هم مثلا شما این مسئله رو نمیدونید D:) . همانطور که می دانید هک شدن یک سیستم بلاگ یا وب سایتی که دارای محتوا و ترافیک خوبی است خیلی وحشتناک است و متاسفانه این مورد از تجربیات شخصی من هم بوده است. با اینکه روش های زیادی برای بازگرداندن وب سایت ها و وبلاگ های هک شده به حالت اولشان وجود دارد اما بهترین راهکار همیشه راهکار پیشگیری کننده است و به قول پزشکان همیشه پیشگیری بهتر از درمان است. در این آموزش می خواهیم به شما روش های معمول امن کردن سیستم بلاگ وردپرس را آموزش بدهیم تا بتوانید تا جای ممکن این سیستم را در بدو نصب تا حد امکان امن کنید بنابراین نکات زیر را بعد از نصب وردپرس WordPress بر روی آن انجام دهید :
۱- کاربر admin را از لیست کاربران خود حذف کنید
زمانیکه شما wordpress را بصورت پیشفرض نصب می کنید در بیشتر اوقات نام کاربری پیشفرض شما admin است. همانطور که ملاحظه می کنید حدس زدن این نام کاربری خیلی ساده است. همیشه توجه کنید که برای یک هکر بدست آوردن نام کاربری ۵۰ درصد و بدست آوردن رمزعبور آن ۵۰ درصد دیگر قضیه است . اگر wordpress بصورت پیشفرض نصب شده باشد تنها کاری که هکر نیاز است انجام دهد این است که به دنبال رمز عبور شما بگردد که می تواند بعضا با استفاده از تکنیک های هک ای مثل Brute-Force کردن یا Phishing آن را بدست بیاورد ، با اینکار براحتی هکر می تواند وارد directory ها و فایل های وب سایت شما شود و هر کاری که دوست داشته باشد می تواند انجام دهد. برای جلوگیری از چنین مشکل امنیتی ، شما باید یک کاربر جدید ایجاد کنید و کاربری که با نام admin ایجاد کرده اید را حذف کنید. زمان حذف کاربر شما می توانید تمامی attribute ها ( قابلیت های مدیریتی ) را به کاربر دیگر منتقل کنید. البته کار دیگری که می توانید انجام دهید این است که دسترسی کاربر admin را تا حد امکان پایین بیاورید و بگذارید هکر سر کار باشد
۲- عوض کردن اسم Table ها یا جداول پایگاه داده
جداول پایگاه داده MySQL ای که برای wordpress طراحی شده اند بصورت پیشفرض بصورت wp_users یا wrdp_users نامگذاری می شوند که این امکان را هکر می دهند که به سادگی نام جداول را برای انجام دادن حملات SQL Injection حدس بزند و احتمال بروز حملات نیز افزایش پیدا می کند. شما می توانید با استفاده از یک پلاگین به نام Change DB Prefix تمامی prefix هایی که بصورت _wp و _wrdp هستند را تغییر نام بدهید و حدس زدن آنها را برای هکر سخت کنید ، شما می توانید پلاگین مورد نظر را از لینک زیر دانلود کنید :
https://wordpress.org/plugins/db-prefix-change/
۳- نسخه یا Version وردپرس خود را مخفی کنید
Version ها یا نسخه های مختلف وردپرس آسیب پذیری های امنیتی خاصی برای خود دارند. یک هکر با دانستن نسخه مورد استفاده شما می تواند به دنبال آسیب پذیری های مختص همان نسخه بگردد و به وب سایت یا وبلاگ شما حمله کند. نگذارید همه متوجه شوند که از چه نسخه ای از وردپرس استفاده می کنید. اگر نسخه مورد نظر شما که در پایین صفحات وردپرس معمولا بصورت powered by WordPress X.X.X نمایش داده می شود که X در اینجا یک عدد است ، هکر را گمراه کنید و با ویرایش کردن صفحه عدد X را به نسخه ای پایینتر تبدیل کنید. البته دقت کنید که در root directory نصب وردپرس یک فایل Read me وجود دارد که داخل ان فایل که در مسیر مثلا www.itpro.ir/readme.html قرار دارد و قابل خواندن هم هست نسخه اصلی وردپرس نمایش داده شده است و ممکن است بصورت عمومی در دسترس باشد ، شما می توانید این فایل را یا حذف کنید ، یا تغییر نام دهید و یا درون فایل را باز کرده و نسخه را مطابق دستورالعملی که گفتیم تغییر دهید.
۴- استفاده از پلاگین Google Authenticator
یکی از پارامترهای بسیار مهم در احراز هویت چند مرحله ای بودن آن است ، هکر ها با استفاده از ربات ها و نرم افزارهای خاصی می توانند برای ورود و دور زدن سیستم احراز هویت وردپرس تلاش کنند ، پلاگین Google Authenticator این قابلیت را به وردپرس می دهد که بتواند از روش Two-Factor Authentication یا احراز هویت دو مرحله استفاده کند که درجه امنیتی بالاتری نسبت به رمز عبور خالی دارد. زمانیکه شما این پلاگین را بر روی وردپرس نصب کردید ، در زمان ورود به وب سایت یا وبلاگ از شما علاوه بر رمز عبور یک کد امنیتی هم درخواست می شود که بصورت تصادفی ایجاد می شود ، این کدهای امنیتی توسط ربات ها قابل شناسایی نیستند و شما می توانید با استفاده از این روش از حملات Brute-Force در امان باشید.
https://wordpress.org/plugins/google-authenticator/
۵- استفاده از پلاگین WordFence Security
پیشنهاد می کنم همیشه بعد از نصب کردن وردپرس این پلاگین را بر روی آن نصب کنید. این پلاگین قدرتمند از انجام شدن فعالیت های غیرمجاز در وب سایت و یا فعالیت هایی که مخرب تشخیص داده می شوند جلوگیری می کند. برای مثال این پلاگین کاربرانی را که برای دفعات بسیاری تقاضای Login به وب سایت می کنند و ناموفق هستند را تشخیص و آنها را مسدود می کند ، این پلاگین حملات Brute Force را تشخیص می دهد و جلوی آنها را می گیرد. اما یکی از کارهای بسیار زیبایی که این پلاگین انجام می دهد این است که به محض نصب شدن از فایل های نصب شده وردپرس یک نمونه برداری می کند و به محض اینکه تشخیص دهد فایلی بصورت غیرمجاز بر روی وردپرس دستکاری شده است ابتدا آن را با پایگاه داده ای که ایجاد کرده است مقایسه می کند و در صورت تایید تغییر غیرمجاز شما را در جریان می گذارد. اینکار در سیستم عامل ها به عنوان راهکار جلوگیری از حملات Rootkit انجام می شود که این پلاگین آن را در وردپرس در اختیار شما قرار می دهد ، توجه کنید که این پلاگین حتی حذف کردن فایل ها را نیز به شما اطلاع می دهد.شما می توانید پلاگین مورد نظر را از لینک زیر دانلود و استفاده کنید :
https://wordpress.org/plugins/wordfence/
۶- استفاده از پلاگین Exploit Scanner
وردپرس مملو از پلاگین ها و ماژول هایی است که بصورت رایگان و پولی در اینترنت وجود دارند ، برخی از این پلاگین ها مورد تایید و قابل اغتماد هستند اما برخی از آنها ممکن است توسط برنامه نویس های ناشی و یا حتی هکر هایی نوشته شوند که می خواهند برای کاربران وردپرس طعمه گذاری کنند ، این افراد پلاگین هایی را می نویسند و بصورت رایگان در اختیار کاربران قرار می دهند که درون آنها کدهای مخرب و بعضا Backdoor هایی وجود دارد که بعدها می توانند از طریق آنها و کدهای مخفی که درون آنها قرار گرفته است به وب سایت شما حمله کنند. پلاگین Exploit Scanner یک پلاگین بسیار کاربردی است که می تواند این کدهای مخفی و مخرب را از درون این پلاگین ها تشخیص و جلوی اجرا آنها را بگیرد.