تهدیدات امنیتی منحصر به وردپرس نیستند.
هر پلتفرمی، چه خصوصی و چه منبع باز، 24/7 مورد حمله قرار می گیرد.
خوشبختانه، جامعه وردپرس راه حل های زیادی برای آسان کردن کار ارائه می دهد.
در زیر چند مرحله کلیدی برای محافظت از سایت وردپرس در برابر تهدیدات امنیتی آورده شده است.
چگونه از یک سایت وردپرس محافظت کنیم
هشت اقدام اساسی وجود دارد که همه ناشران وردپرس باید برای کاهش فعالیتها و آسیبپذیریهای مخرب در نظر بگیرند.
پیروی از این بهترین شیوه ها به اطمینان از اینکه سایت وردپرسی آماده مقابله با هجمه هکرهایی است که هر روز وب سایت ها را بررسی می کنند، کمک می کند:
- از HTTPS استفاده کنید.
- از کلمه “admin” به عنوان نام کاربری مدیر خود استفاده نکنید.
- استفاده از رمزهای عبور قوی را اعمال کنید.
- افزونه ها و تم ها را به روز کنید.
- طرح پشتیبان گیری از وب سایت
- استفاده از افزونه ها را به حداقل برسانید.
- احراز هویت دو مرحله ای
- یک فایروال و اسکنر آسیب پذیری وردپرس نصب کنید.
بیایید هر یک از اینها را با کمی جزئیات بیشتر مرور کنیم.
1. HTTPS/SSL را اضافه کنید
در حال حاضر، اکثر سایت ها از HTTPS استفاده می کنند. اما اگر سایت شما از HTTPS استفاده نمی کند، با میزبان وب خود در مورد افزودن گواهی SSL رایگان مشورت کنید.
فقط با استفاده از آدرس وردپرس و آدرس سایت را تنظیم کنید https://. این را می توان در تب تنظیمات عمومی انجام داد.
اگر سایت از حالت ناامن به حالت امن ارتقا پیدا می کند، افزونه Really Simple SSL (که توسط بیش از 5 میلیون وب سایت استفاده می شود) ارزش بررسی دارد، زیرا واقعاً با مدیریت تغییر مسیرها و سایر وظایف مرتبط، تبدیل به HTTPS را ساده می کند.
SSL Really Simple همچنین با ارائه گزینه ای برای افزودن هدرهای امنیتی به کاهش تهدیدات امنیتی مانند جعل کلیک و حملات جعل بین سایتی کمک می کند.
این روزها نصب گواهی SSL کار آسانی است.
بسیاری از میزبانهای وب گواهینامههای SSL رایگان ارائه میدهند – به علاوه، این یک عامل رتبهبندی شناخته شده در Google است.
پس از تبدیل به HTTPS، بهتر است بررسی کنید که هیچ صفحه ای درخواست پیوند یا محتوای HTTP را نداشته باشد.
بررسی محتوای ترکیبی ضروری است.
محتوای مختلط زمانی است که داراییهای وبسایت ناامن (اسکریپتها، تصاویر، ویدیوها و غیره) از صفحات HTTPS به آن پیوند داده میشوند.
سایت خود را با Missing Padlock بخزیید تا به سرعت موارد محتوای مختلط را شناسایی کنید و سپس با پیوند دادن به دارایی های HTTPS، خطاها را برطرف کنید.
2. از نام کاربری امن ادمین استفاده کنید
تعداد زیادی از حملات امنیتی علیه صفحه ورود به وردپرس با نام کاربری “Admin” انجام می شود.
دو نوع حمله اصلی وجود دارد که سعی در شکستن رمز ورود به سیستم دارند:
- نیروی بی رحم
- حمله به دیکشنری
حمله brute force زمانی است که نرم افزار هک خودکار سعی می کند رمز عبور مدیریت را با استفاده از ترکیب های مختلف کلمات، حروف و اعداد حدس بزند.
حمله فرهنگ لغت زمانی است که نرم افزار هک از رمزهای عبور رایج برای حدس زدن ورود به سیستم استفاده می کند.
در بسیاری از موارد، نام کاربری ادمین که این نرم افزارها از آن استفاده می کنند “Admin” است.
استفاده نکردن از کلمه “Admin” به عنوان نام کاربری یک گام ساده است که به امنیت یک سایت وردپرس کمک می کند.
برای برداشتن این یک قدم جلوتر، میتوانید با افزونه امنیتی Wordfence یک قانون فایروال ایجاد کنید تا به طور خودکار هر انسان یا رباتی را که سعی میکند با نام کاربری Admin وارد شود مسدود کند.
3. گذرواژه های قوی را اعمال کنید
به هیچ کس، به خصوص کاربرانی که دارای امتیازات در سطح مدیریت هستند، اجازه ندهید که رمز عبوری غیرقوی ایجاد کنند.
حتی کاربران با امتیازات پایین وب سایت، مانند سطح مشترک، می توانند به یک بردار حمله تبدیل شوند. بنابراین، اجرای رمزهای عبور قوی برای همه افرادی که می توانند وارد سایت وردپرس شوند، مهم است.
افزونه محبوب iThemes Security WordPress با بیش از 1 میلیون کاربر، تقویت رمز عبور ورود به سیستم و همچنین احراز هویت دو مرحله ای را ارائه می دهد.
یک خط مشی امنیتی رمز عبور که رمزهای عبور قوی را اعمال می کند نیز می تواند با استفاده از افزونه امنیتی Wordfence WordPress فعال شود.
4. پلاگین ها و تم ها را به روز کنید
برخی از بهروزرسانیها برای پلاگینها، تمها و خود نصب اصلی وردپرس برای رفع آسیبپذیریها (پچ) هستند.
عدم به روز رسانی نرم افزار می تواند منجر به آسیب پذیر شدن سایت شود.
اکثر به روز رسانی ها به خوبی کار می کنند. در موارد نادر، یک بهروزرسانی ممکن است چیزی را در نرمافزار تغییر دهد که با افزونه یا موضوع دیگری درگیر شود و باعث از کار افتادن سایت شود.
اگر این اتفاق بیفتد، اگر از سایت بک آپ گرفته شده باشد، به راحتی می توان سایت را به حالت قبلی برگرداند.
بهترین راه برای به روز رسانی پلاگین ها و تم ها این است که سایت را مرحله بندی کنید و بررسی کنید که آیا سایت با نرم افزار به روز شده آنطور که باید عمل می کند یا خیر.
اما اگر سایت را مرحله بندی نمی کنید، گزینه دوم این است که از سایت بک آپ بگیرید و سپس آن را به روز کنید.
سایت را تست کنید تا مطمئن شوید همه چیز کار می کند. اگر سایت دچار مشکل شد، آن را با نسخه پشتیبان برگردانید.
گزینه سوم این است که تمام پلاگین ها را به صورت خودکار به روز کنید تا حتی نیازی به فکر کردن به آن نداشته باشید. اگر چیزی شکست، آن را به حالت قبلی برگردانید.
5. از وب سایت وردپرس خود نسخه پشتیبان تهیه کنید
پشتیبان گیری از یک وب سایت به صورت روزانه بسیار مهم است.
چیزهای زیادی وجود دارد که ممکن است اشتباه پیش برود، و یک نسخه پشتیبان از وقوع یک فاجعهبار برای سایت جلوگیری میکند.
افزونه پشتیبان وردپرس UpdraftPlus با بیش از 3 میلیون کاربر، یک راه حل محبوب و قابل اعتماد است.
من از آن در تمام وب سایت های خود استفاده می کنم و می توانم آن را با اطمینان توصیه کنم.
به مناسبت طراحی مجدد وب سایت که به خوبی پیش نرفت، من را نجات داد و به من این امکان را داد که به راحتی سایت را به نسخه قبلی بازگردانم.
راه حل محبوب دیگر WP Rollback نام دارد.
WP Rollback بیش از 200000 نصب دارد و افرادی که نرم افزار را ایجاد می کنند توسعه دهندگان وردپرس مورد اعتماد و متخصص هستند.
با تم ها و افزونه هایی که از WordPress.org دانلود می شوند به خوبی کار می کند.
6. استفاده از پلاگین ها را به حداقل برسانید
هر افزونه ای که نصب می شود احتمال اینکه یکی از آنها سایت را در معرض آسیب پذیری قرار دهد افزایش می دهد.
جدای از دلایل امنیتی، استفاده از افزونه های زیاد می تواند بر عملکرد سایت تأثیر بگذارد و همچنین احتمال تداخل کد بین دو یا چند افزونه را افزایش می دهد و سایت را از کار می اندازد.
از قبل برنامه ریزی کنید که از کدام افزونه ها می خواهید برای انجام آنچه نیاز دارید استفاده کنید.
برخی از افزونهها میتوانند چندین کار را انجام دهند و نیازی به نصب یک افزونه مستقل برای انجام آن یک کار را از بین ببرند.
7. احراز هویت دو مرحله ای را پیاده سازی کنید
احراز هویت دو مرحله ای به این دلیل است که برای ورود به سایت وردپرس با فعال بودن این ویژگی به دو شکل شناسایی نیاز است.
اولین فاکتور نام کاربری و رمز عبور است.
عامل دوم، نوع دوم احراز هویت است، معمولاً با برنامهای مانند Authy یا Google Authenticator که روی تلفن همراه کاربر قرار دارد.
بنابراین، حتی اگر یک هکر به نام کاربری و رمز عبور دسترسی پیدا کند، بدون احراز هویت دوم قادر به ورود به سیستم نخواهد بود.
افزونه های وردپرس زیادی برای اضافه کردن این ویژگی وجود دارد، از جمله:
WP 2FA
WP 2FA یک انتخاب محبوب برای افزودن احراز هویت دو مرحله ای است.
از چندین روش احراز هویت دو مرحله ای، از جمله Google Authenticator، Authy، پیوند ایمیل، OTP ایمیل و اعلان فشاری پشتیبانی می کند.
روشهای دیگری مانند احراز هویت صوتی و واتساپ در نسخه Pro وجود دارد.
امنیت ورود Wordfence
Wordfence یک برند قابل اعتماد است. پلاگین احراز هویت دو مرحله ای مستقل آن از Authenticator، Authy، 1Password و FreeOTP پشتیبانی می کند.
علاوه بر این، افزونه های امنیتی مانند Wordfence و iThemes Security نیز گزینه هایی برای فعال کردن احراز هویت دو مرحله ای دارند.
8. یک افزونه امنیتی وردپرس را نصب کنید
افزونه های امنیتی مفید هستند زیرا می توانند هر حفره امنیتی را ببندند و هکرهایی را که سعی در سوء استفاده از آن آسیب پذیری ها دارند مسدود کنند.
دو نوع پلاگین امنیتی وردپرس وجود دارد:
- سخت شدن و اسکن امنیتی.
- دیواره آتش.
در اینجا چند ابزار است که من توصیه می کنم.
Sucuri Security
Sucuri یک انتخاب قابل اعتماد برای یک افزونه امنیتی است. متعلق به GoDaddy است.
Sucuri یک سایت را برای بدافزار اسکن می کند و گزینه هایی را برای سخت کردن سایت در برابر سوء استفاده ها ارائه می دهد.
انتخاب Sucuri آسان است زیرا مکمل یک افزونه فایروال مانند Wordfence است.
نسخه پولی نیز شامل فایروال است.
Jetpack Protect
Jetpack Protect توسط Automattic، شرکتی که در WordPress.com، Akismet، WPScan و WooCommerce و غیره قرار دارد، ایجاد شده است.
Jetpack Protect اسکن روزانه بدافزار هسته، پلاگین ها و تم های وردپرس را انجام می دهد.
این افزونه رایگان نسبتاً جدید است – در سال 2022 به یک افزونه مستقل تبدیل شد.
امنیت Wordfence – فایروال، اسکن بدافزار و امنیت ورود
Wordfence یک انتخاب محبوب برای امنیت وردپرس است. بیش از 4 میلیون نصب فعال وجود دارد.
Wordfence به عنوان یک دیوار آتش برای محافظت از وب سایت در برابر حملات هک عمل می کند و می تواند ربات های هک خودکار و هکرهای واقعی را در زمان واقعی ممنوع کند اگر فعالیت با الگوی یک هکر مطابقت داشته باشد.
کاربران می توانند فایروال Wordfence را با قوانینی پیکربندی کنند که می تواند بلافاصله هکرها را مسدود کند.
Wordfence همچنین با ارائه احراز هویت دو مرحلهای و غیرفعال کردن اجرای PHP در پوشههایی که PHP نباید اجرا شود، به سختتر شدن سایت در برابر هک کردن کمک میکند.
یکی دیگر از مزایای Wordfence این است که این افزونه زمانی که یک افزونه نیاز به به روز رسانی داشته باشد، یادآورهای ایمیل را ارسال می کند.
نسخه پولی Wordfence قوانین فایروال را برای محافظت در برابر جدیدترین سوء استفاده ها به محض اطلاع Wordfence دریافت می کند.
امنیت iThemes
iThemes Security یک افزونه همه کاره است که یک وب سایت را اسکن و سخت می کند و همچنین ربات های بد را به عنوان فایروال مسدود می کند. بیش از یک میلیون نصب فعال وجود دارد.
iThemes بسیاری از فعالیتهای مرتبط با امنیت را انجام میدهد، که آن را به یک انتخاب محبوب برای کسانی تبدیل میکند که یک پلاگین را برای انجام همه آن ترجیح میدهند.
اقدامات امنیتی اضافی وردپرس را انجام دهید
اینها مراحل اضافی برای ایجاد یک موقعیت امنیتی قوی هستند.
نسخه PHP خود را بررسی کنید
PHP نرم افزاری است که وردپرس روی آن اجرا می شود.
نسخه های قدیمی PHP می توانند یک سایت را در معرض آسیب پذیری های امنیتی قرار دهند.
اطمینان حاصل کنید که نسخه PHP مورد استفاده به وضعیت پایان عمر (EOL) نرسیده است.
اسکن برای آسیب پذیری آنلاین
در اینجا سه ابزار آنلاین وجود دارد که آسیبپذیریها را اسکن میکنند یا میگویند سایتی هک شده است یا خیر:
آینده امنیت وردپرس
هکرها بدون توجه به اینکه از چه سیستم مدیریت محتوا (CMS) استفاده می شود، به تمام سایت ها حمله می کنند.
وردپرس محبوب ترین سیستم مدیریت محتوا در جهان است که آن را به هدف محبوب هکرها تبدیل می کند.
خوشبختانه، وردپرس دارای یک جامعه عظیم است که برای حفظ امنیت آن تلاش می کند، که مزیتی است که سایر پلتفرم ها ندارند.
همه صاحبان وب سایت های وردپرسی باید زمانی را برای اطمینان از اینکه اقداماتی برای حفظ امنیت کامل سایت های وردپرس خود انجام داده اند در نظر بگیرند.
منابع بیشتر:
تصویر ویژه: Shutterstock/fizkes