WordPress Security: مقدمه ای برای سخت شدن وردپرس

چند بار است که فقط چند دقیقه از در ورودی خانه خود بیرون رفته اید و زحمت قفل کردن درب جلو را ندارید؟ احتمالاً در بیش از یک مناسبت ، درست است؟ چه در مورد ترک ماشین شما برای چند دقیقه باز کردن قفل – به طور جدی ، چه کسی می خواهد ماشین شما را در یک صبح بارانی سرد سرقت کند در حالی که شما 2 دقیقه طول می کشد برای گرفتن یک فنجان قهوه داغ?


این طبیعت انسانی است ما به ندرت نگران مدیریت خطر احتمالی هستیم تا خیلی دیر شود. وقتی شخصی وارد خانه شما شد ، ماشین شما را سرقت کند یا به وب سایت وردپرس شما هک شود ، دیگر نگران می شوید.

مشکل همه این سناریوها این است که هر زمان که اتفاق می افتد خیلی دیر است. شما انتخاب قطعات را پاک می کنید ، ظروف سرباز یا مسافر را تمیز می کنید و سعی می کنید صدمات را به حداقل برسانید. با اندکی برنامه ریزی و پیشگیری ، یک فرصت خوب وجود دارد که می توانستید از کل اوضاع جلوگیری کنید.

بدیهی است ، این پست مربوط به ماشین شما یا خانه شما نیست ، مربوط به وب سایت وردپرس شما و مراحلی است که می توانید برای به حداقل رساندن آسیب پذیری های احتمالی خود انجام دهید. مسئله این است که امنیت با داشتن نگرش درست شروع می شود. این یک نگرش است که پیشگیری و مدیریت در خط مقدم قرار دارد – عبور نکردن از انگشتان دست خود را و امیدوارم که هرگز اتفاق نیفتد – زیرا این موردی نیست که وب سایت شما هک شود ، اما چه موقع.

هک شدن وب سایت شما می تواند از دل درد جزئی برای یک وبلاگ نویسی گاه به گاه ، یک افت امنیتی بزرگ برای یک تجارت خوب برخوردار باشد. اگر با هر نوع اطلاعات خصوصی یا حساس از طرف مشتریان سر و کار دارید ، یک نقض امنیتی به طور بالقوه می تواند برای شما و مشتریانتان ویران کننده باشد.

آرم امنیتی وردپرس

امنیت وردپرس یک موضوع پیچیده است ، بدون شک. این راهنما باید به شما کمک کند در برخی از مهمترین موضوعات حرکت کنید. نتیجه نهایی درک بهتری از چگونگی مدیریت خطرات مرتبط با ایجاد وب سایت وردپرس – محبوب ترین سیستم مدیریت محتوای جهان.

اولین گام برای اجرای شیوه های امنیتی بهتر با درک و امکان ارزیابی خطرات پیش روی شماست.

حقیقت در مورد خطرات امنیتی وردپرس

طبق W3Techs ، استفاده از پلتفرم وردپرس CMS بیش از 25 درصد وب سایتها را در سراسر جهان تشکیل می دهد. این رقم به تنهایی وردپرس را به یک هدف محبوب برای هکرها تبدیل می کند. کاملاً ساده ، قربانیان بالقوه زیادی برای انتخاب وجود دارند.

محبوبیت WordPress همچنین منجر به اکوسیستمی شده است که حاوی بیش از 42،000 پلاگین است – هرکدام از این پتانسیل ها می توانند آسیب پذیری های دیگری را باز کنند. و ما حتی در پلاگین هایی موجود نیستیم که از داخل مخزن WordPress در دسترس نیست.

شنیدن این آمار ممکن است این تصور را به شما بدهد که وردپرس یک بستر ذاتی ناامن است. اما برداشت شما نادرست است وردپرس در واقع کاملاً ایمن است. تیم در وردپرس امنیت را بسیار جدی می گیرند و یک فرایند مشخص برای مدیریت آسیب پذیری های احتمالی دارند.

با داشتن تیمی حدوداً 25 متخصص امنیتی كه هم توسعه دهندگان و هم محققان را شامل می شوند ، گفتن اینكه آنها فعال هستند ، یك كاهش است. WordPress همچنین با متخصصان امنیتی خارجی و شرکت های میزبان همکاری نزدیک دارد. علاوه بر این ، در صورت لزوم وردپرس برای برطرف کردن آسیب پذیری ها با تیم های دیگر همکاری خواهد کرد ، مانند کاری که پس از ارسال نسخه 3.9.2 با دروپال انجام داد..

در حقیقت ، بخش عمده ای از آسیب پذیری های امنیتی وردپرس نتیجه ای از چیزی است که ما بیشتر از آن وردپرس را دوست داریم ، قابلیت توسعه آن است. کمبود متخصصان بسیار ماهر به معنای این است که بسیاری از تم ها و پلاگین ها با آسیب پذیری های ناشناخته منتشر می شوند و یا حتی بدون ممیزی امنیتی پیش از انتشار منتشر می شوند. در نتیجه ، آنها در برابر حمله آسیب پذیر هستند.

چرا کسی می خواهد وب سایت وردپرس شما را هک کند?

به عنوان کسی که وب سایت کسب و کار کوچک یا حتی یک وبلاگ ساده را اداره می کند ، ممکن است خود را تعجب کنید ، “چرا من؟” چرا هکرها روی زمین می خواهند وقت با ارزش خود را صرف تلاش برای هک کردن وب سایت خود کنند؟ معلوم می شود دلایل زیادی وجود دارد که می تواند شامل موارد زیر باشد:

1 – سئو – اگر یک هکر بتواند به وب سایت شما دسترسی پیدا کند ، می تواند با درج لینک های برگشتی ، از سایت شما برای بهبود سئو سایت دیگر استفاده کند. از طرف دیگر ، آنها می توانند پیوندهای وابسته ای را طراحی کنند که چیزی را بفروشند (اغلب به نظر می رسد که ارزش کمی یا کمی ندارد). اساساً ، کاری که آنها در اینجا انجام می دهند ، استفاده از شهرت خوب وب سایت شما برای پیشبرد علت مخرب خود است.

2 – هرزنامه – اگر متوجه شدید که ترافیک وب سایت شما در مدت زمان کوتاهی ناپدید شده است ، احتمال اینکه سایت شما به منظور ارسال ایمیل اسپم هک شده باشد وجود دارد. نتیجه آن که لیست وب سایت شما در لیست سیاه قرار گرفته است. هنگامی که یک هکر از وب سایت و حساب میزبانی شما استفاده کرده و از آن سوءاستفاده کرده است ، آنها به سادگی به قربانی بعدی می روند و شما را برای تمیز کردن ظرف غذا ترک می کنند.

3 – مالور – Malware اصطلاحی است که به نرم افزارهای مخرب اشاره دارد. هکرها دوست دارند بدافزارها را در وب سایت های دیگر قرار دهند زیرا این امر باعث می شود احتمال شناسایی آنها به عنوان منبع اصلی کاهش یابد. بدافزارها می توانند کارهای مختلفی را انجام دهند از جمله جاسوسی در مورد اقدامات کاربر ، keylogging ، گسترش ویروس ها و موارد دیگر.

4 – THEFT – یک فرد متوسط ​​مقدار شگفت انگیز از اطلاعات شخصی را در رایانه خود ذخیره می کند: گذرواژه‌ها ، اطلاعات کارت اعتباری ، اطلاعات بانکی و موارد دیگر. دسترسی به وب سایت وردپرس شما می تواند دریچه ای برای اطلاعات شخصی شما و حتی اطلاعات موجود در رایانه های بازدید کننده شما باشد.

5 – توجه به مکان های دیگر – بعضی اوقات هدف هکر ایجاد وب سایت در دسترس کاربران نیست. این حملات غالباً به عنوان حملات انکار سرویس نامیده می شوند. به منظور انجام وظیفه خود ، هکرها به طرز مخرب شبکه ای از وب سایت ها را برای کمک به این حمله استخدام می کنند.

البته این تنها دلایلی نیست که هکر ممکن است سعی کند به وب سایت وردپرس شما دسترسی پیدا کند ، اما شما یک ایده کلی دریافت می کنید. آنها ممکن است سعی کنند به طور خاص از وب سایت وردپرس شما برای اهداف مخرب استفاده کنند ، یا ممکن است فقط از این واقعیت استفاده کنند که یک در باز وجود دارد و این پتانسیل را دارد که منجر به یک پاداش بزرگتر شود.

هدفمند در مقابل حملات غیر هدفمند

قبل از اینکه به بحث در مورد اقدامات پیشگیرانه ویژه بپردازیم ، درک این دو نوع حمله اولیه که علیه وب سایت های وردپرس رخ می دهند ، ارزشمند است:

اولین نوع حمله ای که ما در مورد آن بحث خواهیم کرد شخصی نیست ، به این معنی که مهاجم به طور خاص برای دریافت شما یا تجارت شما نیست. اینها همان چیزی است که شما می گویید غیر هدفمند – حملات خودکار که به دنبال راهی برای استفاده از آسیب پذیری شناخته شده هستند. بسیاری از هکرها ذاتاً تنبل هستند (یا باهوش بسته به اینکه چگونه به اوضاع نگاه می کنید). آنها از ابزارهای خودکار استفاده می کنند که قادر به اسکن طیف گسترده ای از آدرس های IP هستند ، به عنوان مثال تمام وب سایت های مستقر در یک سرور میزبان مشترک خاص.

وقتی دامنه آدرسهای IP را اسکن می کنند ، ابزاری که از آنها استفاده می کند به دنبال نسخه خاص یا WordPress یا افزونه ای است که نشان دهنده آسیب پذیری بالقوه قابل بهره برداری است.

ما فقط چند لحظه برخی از راه های خاص شما می توانید در مقابل حملات غیر هدفمند جلوگیری کنید ، اما ابتدا اجازه دهید در مورد چیزی شخصی تر صحبت کنیم: حملات هدفمند.

حمله هدفمند هنگامی اتفاق می افتد که هکر تصمیم آگاهانه ای برای هدف قرار دادن وب سایت شما بگیرد. قانون جذب حاکی از آن است که هرچه وب سایت شما محبوب تر شود ، احتمال هدفمند شدن آن بیشتر می شود. یک فرصت خوب وجود دارد که حتی نمی دانید چرا هدف قرار گرفته است. مهم این است که این اتفاق می افتد و شما باید راهی برای کاهش آسیب ها و سپس جلوگیری از وقوع مجدد آن در آینده پیدا کنید.

دو نمونه از حملات هدفمند می تواند حمله اخیر و علنی شده علیه اشلی مدیسون و حمله ای باشد که در سال 2013 به وبلاگ درآمد هوشمند منفعلانه روی داد. هر دوی این حملات هدفمند منجر به خسارت قابل توجهی از نظر مالی شدند. در مثال اشلی مدیسون ، چندین مورد وجود داشت که پلیس در نتیجه انتشار اطلاعات حساس از دست دادن جان خبر داد.

کارهای زیادی برای جلوگیری از وقوع حمله هدفمند وجود ندارد. کاری که می توانید انجام دهید این است که سایت شما را سخت کند و این روند را تا حد ممکن برای یک هکر چالش برانگیز کند. سپس ، انگشتان دست خود را عبور دهید که آنها به سمت هدف آسان تر حرکت کنند.

درک آسیب پذیری های مشترک امنیتی وردپرس

در خط مقدم امنیت برنامه وب OWASP (Open Web Security Security Project) – یک سازمان غیرانتفاعی است که وظیفه بهبود امنیت نرم افزار را در سراسر جهان بر عهده دارد. OWASP همچنین سندی را با نام OWASP Top 10 تولید می کند که برای خلاصه کردن بیشترین نقص امنیتی در طیف گسترده ای از برنامه های وب طراحی شده است..

OWASP-WordPress-Security

در حالت ایده آل ، هر زمان که یک افزونه یا مضمون منتشر می شود ، توسعه دهنده با توجه به لیست آسیب پذیری های منتشر شده توسط OWASP در تلاش برای اطمینان از امنیت کد آنها توجه لازم را خواهد کرد..

همانطور که تصور می کنید ، این بهترین سناریو است و هر توسعه دهنده وقت لازم برای بررسی آسیب پذیری های موجود در سند را نمی گیرد. آنها حتی ممکن است مهارت لازم برای انجام این کار را نداشته باشند.

در صورت انتشار یک موضوع یا افزونه با آسیب پذیری های امنیتی ، تیم امنیتی وردپرس تلاش می کنند تا به توسعه دهنده اطلاع دهند و به آنها در ترمیم آسیب پذیری ها کمک کنند. در شرایطی که این امکان پذیر نیست یا آسیب پذیری جدی است ، به تیم امنیتی شناخته شده است که موضوع یا افزونه را از مخزن خارج کرده و خود را لکه دار کند.

در مرحله بعد ، اجازه دهید نگاهی به OWASP Top 10. واقعی بیندازیم ، این نکته را بخاطر بسپارید که اکثر آسیب پذیری های موجود در لیست ده اصلی را می توان با وردپرس به یک شکل یا روش دیگر پیوند زد – ما به عنوان نمونه دو مورد از آنها را با جزئیات بیشتری پوشش خواهیم داد..

OWASP برتر 10

  1. A1 – تزریق
  2. A2 – تأیید اعتبار و مدیریت جلسه
  3. A3 – کراس اسکریپتی XSS
  4. A4 – منابع ناشناخته مستقیم شی
  5. A5 – تنظیم نادرست امنیتی
  6. A6 – قرار گرفتن در معرض داده های حساس
  7. A7 – کنترل دسترسی سطح عملکردی که وجود ندارد
  8. A8 – جعل درخواست متقابل
  9. A9 – استفاده از مؤلفه هایی با آسیب پذیری شناخته شده
  10. A10 – تغییر مسیرها و فوروارد ها

تزریق A1

WordPress از SQL برای برقراری ارتباط با بانک اطلاعاتی خود استفاده می کند که به نوبه خود باعث آسیب پذیری در برابر حملات تزریق SQL می شود. به عنوان مثال ، یک جمله مخرب که برای استخراج اطلاعات حساس از یک پایگاه داده طراحی شده است می تواند وارد یک فیلد فرم شود. این فرآیند ممکن است به صورت دستی انجام شود اما یک هکر نیز می تواند این فرآیند را با استفاده از ابزاری مانند Burp Suite به صورت خودکار انجام دهد – که از قضا ، این نیز ابزاری است که متخصصان امنیتی برای تست آسیب پذیری های امنیتی از آن استفاده می کنند..

هکر می تواند از ایجاد یک پیام خطای ساده در یک قسمت ورودی تا استخراج لیستی از حسابهای کاربری موجود در یک پایگاه داده پیشرفت کند. بدیهی است ، این یک توضیح ساده است ، اما به این نتیجه می رسد که چگونه یک آسیب پذیری کوچک می تواند منجر به انتشار اطلاعات حساس شود. حملات تزریق SQL یکی از مهمترین آسیب پذیری های موجود در اکوسیستم وردپرس است.

برنامه نویسی متقاطع A3 (XSS)

آسیب پذیری XSS بسیار رایج و به همان اندازه پیچیده است – تغییرات مختلفی از حملات XSS مانند بازتاب و مداوم وجود دارد که ما در اینجا به جزئیات نمی پردازیم. با این حال ، ما حداقل باید اصول را پوشش دهیم زیرا آنها به WordPress مربوط هستند.

استفاده از آسیب پذیری XSS به دو طرف معصوم نیاز دارد. ابتدا به یک وب سایت آسیب پذیر WordPress نیاز دارید و دوم بازدید کننده ناخواسته. اساساً آنچه اتفاق می افتد این است که وقتی هکر یک وب سایت آسیب پذیر پیدا کند ، اسکریپت های مخرب را توزیع می کند (به عنوان مثال از طریق ایمیل). وقتی کاربر روی پیوند حاوی اسکریپت مخرب کلیک کند ، آنها را به وب سایت آسیب پذیر هدایت می کند. وب سایت سپس اسکریپت را به مرورگر بازدید کنندگان نشان می دهد که در آن با تمایل اجرا می شود زیرا ناشی از آن است که یک وب سایت ایمن است.

یک اسکریپت مخرب می تواند فعالیت های متنوعی را انجام دهد. برخی از نمونه ها عبارتند از:

  • سرقت اعتبارنامه جلسه.
  • عملکرد فرم را برای صفحه ورود جایگزین کنید به این صورت که وقتی روی ارسال کلیک کنید ، جزئیات ورود به سیستم به جای ورود به وب سایت به هکر ارسال می شود..
  • گرفتن ضربات کلید و ارسال مجدد آنها به هکر.

آسیب پذیری XSS در بسیاری از افزونه های شناخته شده گزارش شده و برطرف شده است از جمله:

  • جت پک
  • SEO WordPress ، همه در یک سئو و SEO Yoast
  • فرم های جاذبه
  • WP Touch
  • فرم های نینجا

این لیست بخش کوچکی از افزونه ها را نشان می دهد که مشکلاتی را تجربه کرده اند. اما حتی از این لیست افزونه های شناخته شده ، می توانید تصور کنید که چند میلیون کاربر به طور بالقوه تحت تأثیر قرار گرفتند. به خاطر داشته باشید که هکرها همیشه اولین کسانی نیستند که آسیب پذیری ها را کشف می کنند. در بسیاری از مواقع ، بچه های خوب ابتدا از آسیب پذیری پرده بر می دارند و قبل از ایجاد مشکل جدی تر ، وصله ای را تهیه می کنند.

نحوه مدیریت امنیت WordPress

اگر زمان خواندن قسمت اول این مقاله را به خود اختصاص داده اید ، به پشت خود تکیه دهید. اگرچه این یک مرور کلی اساسی است ، شما احتمالاً درک بیشتری از آسیب پذیری های وردپرس – از نوع و خطرات احتمالی – نسبت به بیشتر افرادی که بطور روزانه از این سیستم عامل استفاده می کنند ، دارید.

این واقعاً فقط نیمی از معما است ، درست است؟ اکنون که درک بهتری از خطرات دارید ، برای به حداقل رساندن آن ریسک چه اقداماتی می توانید انجام دهید?

اولین چیزی که شما باید درک کنید این است که هیچ چیزی به عنوان وب سایت وردپرس وجود ندارد که 100٪ امن باشد. اغلب اوقات ، بهترین روش برای محافظت از سایت خود در برابر بزرگترین و رایج ترین تهدیدات است. قیاس خانه و ماشین را به خاطر دارید که در مقدمه خود به آن اشاره کردیم؟ بعضی اوقات فقط قفل کردن درب ، نیمی از نبرد است. اما شما از کجا شروع می کنید?

ما به تونی پرز از سوچوری رسیدیم و در مورد تهدیدهای امنیتی بالا که یک صاحب مشاغل کوچک در حال اجرای وردپرس برای سال 2016 و فراتر از آن نیاز دارد ، پرسیدیم. اگر می خواهید مستقیم از کسی که می داند دقیقاً درباره چه چیزی صحبت می کند بشنوید ، این چیزی است که تونی گفته بود:

فراتر از آن یک اصطلاح بسیار بزرگ است ، به خصوص وقتی در مورد امنیت صحبت می کنیم چون یک حیوان مداوم در حال تکامل است. با توجه به این ، آنچه من در مورد امنیت در وردپرس می گویم این است که وکتور حمله برای دو سال گذشته کاملاً سازگار بوده است. این حول محور دو بردار کاملاً مشخص تغییر یافته است – کنترل دسترسی و آسیب پذیری نرم افزار.

کنترل دسترسی عبارت است از نحوه ورود به محیط – به wp-admin در WordPress فکر کنید ، اما برای دسترسی به سرورها و حسابهای میزبانی ، فراتر از این فکر کنید. دسترسی یک عامل عظیم است و معمولاً وقتی می شنوید از سوءاستفاده استفاده می شود (یعنی مورد حمله قرار می گیرد) وقتی چیزهایی مانند حملات Brute Force را می شنوید.

آسیب پذیری های نرم افزار ، به ویژه سوء استفاده از آسیب پذیری های گفته شده ، همچنان یک مشکل بزرگ برای کاربران وردپرس است. نه به خاطر خود پلتفرم ، بلکه به دلیل قابلیت توسعه آن و تعدیل پلاگین ها / مضامین موجود و کمبود متخصصان ماهر ، نسبت به پذیرش این بستر.

با وجود این ، یک پخش کننده جدید به سیستم های مدیریت محتوا / وب سایت های مصرف کننده وجود دارد که فکر می کنم در سال (های) آینده رشد خود را شروع می کند ، و این حملات علیه دسترسی به وب سایت ها (WordPress و دیگران) است..

از آنجا که سیستم عامل ها به تقویت شیوه های توسعه خود ادامه می دهند ، سوء استفاده از محیط ها به طور فزاینده ای سخت تر می شوند ، این یک پیشرفت طبیعی است. تنها چیزی که مورد حمله قرار می گیرد ، اما با کمی تلاش – نسبتاً صحبت کردن ، دسترسی به یک وب سایت است. این حملات به صورت حملات انکار سرویس و توزیع انکار سرویس خواهد بود.

چگونه وب سایت وردپرس خود را سخت نگه دارید

Sucuri-WordPress

در حالی که هدف از این مقاله ، بررسی افزونه ها یا خدمات امنیتی وردپرس نیست ، ما هنوز می خواهیم ایده های عملی را برای شما ارائه دهیم. دلیل این که بسیاری از افراد به دلیل هک شدن وب سایت وردپرس خود پایان می دهند این است که آنها نمی توانند هرگونه اقدامات پیشگیرانه را تا زمانی که خیلی دیر شود انجام دهند.

ما فکر کردیم که این زمان بسیار مناسبی برای بدست آوردن نظرات از یک متخصص دیگر در زمینه امنیت وردپرس خواهد بود ، بنابراین از Robert Abela در WP White Security پرسیدیم ، “به نظر شما 2-3 خطای امنیتی برتر که کاربران وردپرس هنگام حفظ وب سایت های خود مرتکب می شوند چیست؟ ؟ “

بدون تردید پاسخ داد:

اشتباهات امنیتی زیادی وجود دارد که می توان از آن استفاده کرد ، و در مورد وردپرس ، همه اینها به دلیل عدم تجربه در نگهداری وب سایت ها ، کم می شود. فقط به دلیل اینکه استفاده از آن آسان است ، به معنای حفظ آن آسان نیست ، به ویژه از نظر امنیتی. و به دلیل عدم تجربه افراد:

  1. از ضعف استفاده کنید نام کاربری و کلمه عبور.
  2. شکست به نرم افزار را به روز نگه دارید (چه هسته اصلی ، افزونه ها ، مضامین ، سرور وب ، و چه نرم افزار موجود در رایانه شخصی خود).
  3. افزونه ها و مضامین را بدون انجام تحقیقات اساسی نصب کنید در مورد آنها ، یا بررسی منبع.

در خاطر داشتن این سه مورد در اینجا چندین نکته وجود دارد که می تواند به شما در بهبود وضعیت کلی امنیت کمک کند. این به هیچ وجه یک لیست فراگیر نیست. اقدامات دیگری وجود دارد که می توانید برای سخت تر کردن امنیت خود انجام دهید. اما اگر تعداد انگشت شماری از موارد زیر را انتخاب کنید ، از 90 درصد سایر سایتهای وردپرس در آنجا جلوتر خواهید بود.

1. پشتیبان گیری از وب سایت شما

بالاتر از هر چیز دیگر ، مهمترین کاری که می توانید انجام دهید این است که بطور مرتب از وب سایت خود نسخه پشتیبان تهیه کنید. اگر از WordPress (یا هر بستر دیگری برای این موضوع استفاده می کنید) ، این سؤال نیست که آیا ، اما چه زمانی وب سایت شما هک می شود. هنگامی که این اتفاق می افتد ، اولین جایی که شما تلاش می کنید تا همه چیز را به حالت عادی برگردانید ، تهیه نسخه پشتیبان شما است.

روش های مختلفی وجود دارد که می توانید از وب سایت خود نسخه پشتیبان تهیه کنید – برخی از شرکت های هاستینگ از پشتیبان گیری خودکار از شما تهیه می کنند حتی می توانید از افزونه هایی مانند Backup Buddy یا خدماتی مانند VaultPress استفاده کنید..

2. میزبان وردپرس جامد را انتخاب کنید

با انتخاب یک شرکت میزبانی خوب و مطمئن برای وب سایت وردپرس خود می توانید مسیری طولانی را برای رفع برخی از نگرانی های امنیتی خود طی کنید. شرکت های میزبان باید امنیت را جدی بگیرند ، اما این بدان معنی نیست که شما باید به یک شرکت میزبان وردپرس مدیریت شده اعتماد کنید. بسیاری از شرکت های بزرگ میزبانی برای انتخاب با انواع مختلفی از قیمت ها وجود دارد.

بعنوان نمونه ای از رویه های امنیتی فعال ، برخی از شرکت های میزبان پس از تلاش های بسیار ناکام برای ورود به سیستم یا دسترسی به یک حساب میزبانی ، به طور خودکار آدرس IP را مسدود می کنند. همچنین باید اطمینان حاصل کنید که آنها از نسخه جدید MySQL و PHP استفاده می کنند ، دو مؤلفه ای که برای وردپرس بسیار مهم است. هرگز از درخواست شرکت میزبان خود برای کسب اطلاعات بیشتر در مورد وضعیت امنیتی آنها دریغ نکنید.

3. از موضوعات و افزونه های معتبر استفاده کنید

انتخاب مضامین و افزونه های معتبر یک گام اساسی برای کاهش سطح کلی در دسترس هکرهای احتمالی است. بسیاری از توسعه دهندگان برتر افزونه وردپرس یا مضامین مربوط به درخواست درخواست حسابرسی شخص ثالث از شرکتی مانند Sucuri را قبل از انتشار دارند.

اگر به بخشی مراجعه کنید که در مورد آسیب پذیری های XSS بحث کردیم ، واضح است که آسیب پذیری ها حتی در مضامین یا افزونه هایی که به خوبی تثبیت شده اند وجود دارد. تفاوت این است که شرکت های معتبر یا تثبیت شده و یا توسعه دهندگان افزونه ها به احتمال زیاد در رویکرد خود به امنیت تحریک آمیز هستند.

در مورد افزونه ها ، همچنین ایده خوبی است که تعداد پلاگین های خود را در حد ممکن محدود کنید. افزونه های بیشتر ، به طور پیش فرض ، به این معنی است که شما یک سطح حمله بالقوه بیشتری را ارائه می دهید.

4- از یک نام کاربری قوی استفاده کنید & کلمه عبور

LastPass-Strong-Passwords-for-wordpress

نه تنها این یکی از موضوعاتی است که رابرت از WP White Security مطرح کرده است ، بلکه ناگفته نماند که شما باید تا آنجا که ممکن است به همه حساب های خود دسترسی داشته باشید. برای حدس زدن نام های کاربری و کلمه های عبور در همه حساب های خود ، نه فقط وارد WordPress خود ، از منحصر به فرد و دشوار استفاده کنید. شما همچنین باید تأیید هویت دو عاملی را در هر حسابی که گزینه را فراهم کرده و با استفاده از افزونه ای مانند Clef Two-Factor Authentication برای سایت وردپرس خود پیاده کنید

در صورت دسترسی به ثبت دامنه ، حساب میزبانی یا cPanel ، یک ثانیه آسیبهایی را که هکر می تواند به شما وارد کند در نظر بگیرید. با وجود این خطرات ، بسیاری از مردم اصرار دارند از همان اعتبار ورود به سیستم در چندین حساب استفاده کنند. نشانه رمزعبور قوی آن است که شما نمی توانید آن را به خاطر بسپارید ، اما خدماتی مانند LastPass یا 1Password برای طراحی آن برای شما طراحی شده اند.

در اینجا چند توصیه مفید برای ایجاد رمزهای عبور قوی وجود دارد:

امنیت رمز عبور

4- دسترسی به قسمتهای حیاتی وب سایت وردپرس خود را محدود کنید

دشوارتر شدن دسترسی هکرها به قسمت های خاص یا نصب وردپرس شما ، یک بازدارندگی بزرگ است. شما همچنین می توانید با استفاده از یک افزونه امنیتی ، که بعداً آن را پوشش خواهیم داد ، به برخی از این اهداف برسید. در صورت علاقه به انجام مراحل به صورت دستی در اینجا چند اقدام انجام شده است:

  • فایل wp-config.php خود را با حرکت دادن یک فهرست در بالای نصب وردپرس خود ایمن کنید.
  • اطمینان حاصل کنید که فهرستها و پرونده های شما دارای مجوزهای صحیح هستند.
  • غیرفعال کردن ویرایشگر پرونده در پنل مدیریت وردپرس ، به این معنی که هکر برای دسترسی به فایلهای اصلی و تم نیاز به دسترسی FTP دارد..

محدود کردن دسترسی همچنین شامل استفاده از نقشهای مناسب کاربر است. این امر به ویژه هنگامی اهمیت دارد که بیش از یک نفر در وب سایت خود مشغول به کار باشید. به عنوان مثال ، اگر کارمند ، نویسنده ، ویراستاری یا هر شخص دیگری به وب سایت وردپرس شما دسترسی داشته باشید ، باید اعتبار ورود به سیستم خود را برای آنها فراهم کنید که مناسب کارهایی است که انجام می دهند. نقش سرپرست را اختصاص ندهید ، مگر اینکه شخص واقعاً به عملکرد مدیر نیاز داشته باشد.

WordFence-Map

5- از افزونه Security استفاده کنید

بسیاری از کاربران تکیه بر یک راه حل امنیتی یک طرفه را آسانتر می کنند. اگر به نظر شما می رسد ، ممکن است یکی از افزونه های امنیتی وردپرس مناسب باشد. در اینجا برخی از گزینه های محبوب آورده شده است:

iThemes Security – در هر دو نسخه رایگان و پریمیوم ، iThemes بیش از 30 روش مختلف برای بهبود امنیت وب سایت شما ارائه می دهد.

WordFence – افزونه امنیتی دیگری است که نسخه رایگان و پریمیوم را نیز ارائه می دهد. با بیش از 11 میلیون بار دریافت ، WordFence یک پایگاه کاربر قوی دارد که به دلیل نیازهای امنیتی آنها به این افزونه بستگی دارد.

Sucuri – در حالی که Sucuri یک افزونه رایگان در مخزن وردپرس حفظ می کند ، آنها یک سرویس جامع تر نیز ارائه می دهند که شامل: اسکن نرم افزارهای مخرب و لیست سیاه ، محافظت از DDoS ، پاکسازی بدافزار ، محافظت از فایروال و موارد دیگر است. یکی از ویژگی های عالی سرویس Sucuri این است که در صورت به خطر افتادن سایت شما ، پاکسازی را نیز شامل می شود.

در اینجا لیستی از سایر ابزارهای اسکن بدافزار برای وردپرس آورده شده است.

6. نظارت بر اتفاقات موجود در وب سایت شما

WP-White-Security-WordPress

با توجه به آنچه اتفاق می افتد با وب سایت شما می تواند سرنخ های مهمی را ارائه دهد که ممکن است درست نباشد. چند مکان مختلف وجود دارد که باید بطور مرتب آنها را بررسی کنید.

  • تجزیه و تحلیل شما می تواند اطلاعات کلیدی در مورد ترافیک وب سایت شما ارائه دهد. هرگونه تغییر ناگهانی ، به ویژه افت ناگهانی ، ممکن است نشان دهنده یک مشکل باشد
  • جستجوی سایت را با استفاده از سایت انجام دهید: http: //yourdomain.com – آیا در تعداد صفحات فهرست بندی شده تغییرات ناگهانی یا منفی وجود دارد؟ آیا همه توضیحات متا شما مناسب هستند?
  • چه موارد دیگری که در وب سایت شما عضو شده اند ، مجاز هستند یا نه؟ هر زمان که شخصی به باطن وب سایت وردپرس شما دسترسی پیدا کند ، می توانید از افزونه ای مانند WP Security Audit Log استفاده کنید تا آنچه را که اتفاق می افتد ، ردیابی کنید.

CyberScanner یک اسکنر آسیب پذیری وب سایت جدید است که توسط تیمی از کارشناسان امنیت وب سایت ایجاد شده است. هم اکنون بیش از 98000 آسیب پذیری مختلف را بررسی می کند. تنظیم بسیار آسان است و هر هفته گزارش ممیزی امنیتی دریافت خواهید کرد که برای انطباق GDPR بسیار عالی است.

نکته اینجاست که باید هوشیار باشید. شما می توانید با وارد کردن نقض امنیتی در اسرع وقت از آسیب های غیرقابل توصیف جلوگیری کنید.

اگر وب سایت شما هک شده است چه باید کرد؟

در صورت تاسفبار که وب سایت وردپرس شما هک شده است ، می دانید که پشتیبان اخیر خود را در دست دارید ، احساس آرامش نفس می کشید. اما روش عملی ایده آل برای یک مدیر معمولی وردپرس چیست?

برای پاسخ به این سؤال ، ما دوباره از رابرت آابلا از WP White Security پرسیدیم و وی 3 مرحله را توصیه كرد:

  1. از آنچه وجود دارد تهیه کنید. این کار برای تجزیه و تحلیل آنچه اتفاق افتاده است مفید خواهد بود. مطمئن باشید که در حال ویرایش نسخه قبلی و غیر سازگار وب سایت خود نیستید.
  2. یک نسخه پشتیبان تهیه کنید و کلمه عبور را تغییر دهید.
  3. از نسخه های پشتیبان ، گزارش ها و سایر موارد آنالیز کنید تا ببینید کدام آسیب پذیری مورد سوء استفاده قرار گرفته است ، بنابراین می توانید آن را در نسخه بازیابی شده وب سایت خود ببندید.

وی همچنین اضافه کرد که اگرچه بدافزارها گاهی اوقات پیدا کردن و حذف آن آسان است ، اما بیشتر اوقات به کمک حرفه ای نیاز خواهید داشت.

افکار نهایی درباره سخت شدن امنیت وردپرس شما

امنیت وردپرس و بطور خاص سخت شدن وب سایت شما موضوعی است که می توانید در معرض خطر خودتان آن را نادیده بگیرید. وردپرس به عنوان محبوب ترین سیستم مدیریت محتوا در جهان ، هدف هکرهای بی شماری است.

حتی اگر احساس می کنید وب سایت یا مشاغل کوچک شما برای رسیدن به هدف بسیار کوچک است ، باید به خاطر داشته باشید که درصد زیادی از حملات به صورت خودکار انجام می شود و به طور خاص به وب سایت شما هدایت نمی شود. اگر شما علاقه مند به حفر تعدادی شماره سخت هستید ، Impervia گزارش سالانه حمله به برنامه وب را تولید می کند که حاوی برخی آمارهای ترسناک است.

با وجود آنچه احساس عذاب و غم و اندوه می شود ، بهترین تصمیمی که می توانید بگیرید این است که با وضعیت امنیتی وردپرس خود را پیشرو باشید. خیلی از مدیران WordPress خیلی دیر انجام می دهند ، خیلی دیر. حتی اگر هیچ وب سایت وردپرس هرگز نمی تواند 100٪ امن باشد ، هر اقدامی که امروز برای سخت تر کردن امنیت خود انجام می دهید می تواند سود سهام فوری را پرداخت کند.

تصویر رمزعبور قوی از طریق Leisurejobs.com

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector