اگر همیشه به افزایش امنیت وردپرس و ضد هک کردن سایتهای وردپرسی فکر میکنید، احتمالاً از افرادی هستید که با این CMS کار میکنید. احتمالاً همانطور که میدانید این سیستم مدیریت محتوا نسبت به سایر سیستم های مدیریت محتوا که با آنها میشود سایتی را راهاندازی کرد آنچنان امن نیست.
سایتهایی با وردپرس درست میشوند به دلیل تعداد کاربران، افزونههای مختلف و اجازه دسترسی به نفر سوم امنیت پایین دارند و مورد هدف مهاجمین قرار میگیرد.
با اینکه این موارد گفته شده همه درست هستند، اما نگران نباشید، راهکارهایی وجود دارند که با استفاده از آنها میتوانید سایت وردپرسی امنی داشته باشید. در این متن در مورد امنیت وردپرس صحبت خواهد شد و شما حتی اگر خیلی به برنامهنویسی آن وارد نیستید میتوانید از آن استفاده کنید.
مطالعه پیشنهادی: بهترین افزونه های امنیتی وردپرس کدام است؟
چطور از یک نام کاربری ایمن استفاده کنیم؟
در اولین قدم به شما توصیه میکنیم که از نام کاربری admin یا مدیر بههیچعنوان استفاده نکنید. فکر میکنید بیشتر هکها چطور اتفاق میافتند؟ هکرها تنها با حدس زدن نام کاربری شما و ورود به منطقه مدیریت شما خرابکاری میکنند.
پس اگر شما این نام کاربری را با دقت و پیچیده انتخاب کنید احتمالاً آنها بهسختی نام کاربری و رمز شما را حدس خواهند زد؛ بنابراین، زمانی که از یک نام کاربری متداول، ساده و رایج (مانند admin) استفاده میکنید آنها خیلی راحتتر میتوانند آن را حدس بزنند.
در این صورت، حملات brute-force ممکن است بسیار کمتر شده و امنیت وردپرس و اکانت مدیریت شما بالا رود. باتوجهبه این موضوع اگر از یک اکانت قدیمی استفاده میکنید و نام کاربری آن بسیار ساده است، به شما توصیه میکنیم اطلاعات این اکانت را هرچه سریعتر به یک اکانت امنتر منتقل کنید و آن اکانت را حذف کنید!
یک رمز عبور پیچیده چه ویژگیهایی دارد؟
اگر در کنار یک نام کاربری سخت شما یک رمز عبور پیچیده برای اکانت خود در نظر بگیرید، احتمال حمله brute-force کمتر شده و امنیت وردپرس را بالاتر میرود. یک نکته عالی برای اینکه بهترین رمز را برای اکانت خود قرار دهید در سه مورد خیلی مهم خلاصه میشود، یعنی: پیچیدگی، طولانی بودن و یونیک بودن.
اما بهخاطر سپردن کلمات عبور بسیار طولانی، دشوار است، اینطور نیست؟ خب، برای این مشکل هم راهحل وجود دارد. سایتهایی در سطح اینترنت هستند که رمز برای شما تولید میکنند. سایتهایی مثل 1Password و LastPass با گرفتن طول رمز موردنظر، رمز عبور را برای شما تولید میکنند.
شما با ذخیره کردن لینک تولید شده و رمز عبور به ادامه کار خود میپردازید. برای اینکه یک رمز عبور بهاندازه کافی پیچیده باشد، بهتر است یک گذرواژه طولانی (در حد 20 کاراکتر) داشته باشید. همچنین، در داخل گذرواژه بهتر است از کاراکترهایی که کمتر معمول هستند و حدسزدنشان دشوار است استفاده کنید، مانند # یا *.
چه چیزی در مورد احراز هویت دو عاملی میدانید؟
اگر تا اینجای کار را درست انجام دادهاید، یعنی از عبارتهای ساده در نام کاربری استفاده نمیکنید و رمز عبور شما تصادفی تولید شده و طول مناسبی دارد، بازهم از حملات هک درامان نیستید.
بله، این حملات brutte-force همچنان یک مشکل برای شما محسوب میشوند، اما جای نگرانی وجود ندارد و شما میتوانید با استفاده از روش احراز هویت دو عاملی یا two-factor authentication امنیت وردپرس را بالا ببرید.
نحوه کار با روش احراز هویت دو عاملی چیست؟ خب، روش این است که از یک دستگاه دیگری برای واردکردن کد یکبار مصرف استفاده کنید. این دستگاه دیگر میتواند دستگاه متعلق به شما مانند تلفن همراه شما باشد.
پس زمانی که آن را وارد میکنید تأیید میکنید این خودتان هستید که قصد ورود به حساب کاربری را دارید. جعل کردن این رمز برای مهاجمین بسیار دشوار است! در نتیجه امنیت وردپرس شما حفظ خواهد شد.
برای این کار میتوانید از دو افزونه برای تأیید اعتبار در وردپرس استفاده کنید که نام این دو افزونه، Google Authenticator و Rublon Plugin است که رویکرد مورد دوم اندکی با مورد اول تفاوت دارد. در انتها حواس خود را جمع کنید که این کدهای پشتیبان را گم نکنید، چون ممکن است قفل شوید و دیگر هیچگاه نتوانید وارد حساب کاربری خود شوید.
مطالعه پیشنهادی: آموزش اتصال افزونه امنیتی وردفنس به گوگل ریکپچا
آیا اصطلاح اصول کمبرخوردار به گوش شما آشناست؟
اگر به دنبال یک مقاله عالی مورد این موضوع هستید شما را به مقاله تیم WordPress.org ارجاع میدهیم که در مورد نقشها و تواناییها در وردپرس Codex نوشتهاند. توصیه میکنیم که این مقاله را حتماً بخوانید، هرچند که خلاصه ناچیزی از آن را به شما ارائه میدهیم. اصول least privileged به این معنا است که شما به افراد کمی امتیاز ویژهای را بدهید. مفهوم Least Privileged ساده است. فقط به افراد زیر برای امنیت وردپرس اجازه دسترسی دهید:
• کسانی که به مرتبهای خاص در وردپرس نیاز دارند، مثلاً باید مدیر باشند.
• زمانهایی پیش میآید که باید به بعضی افراد مرتبهای خاص داد.
• و فقط برای یکزمان کوتاه و مشخص، افراد به مرتبهای خاص نیاز دارند.
باتوجهبه مطالب بالا، اگر کسی برای پیکربندی سیستم شما به طور موقت نیاز دارد که مدیر باشد، این امکان را به او بدهید، اما حتماً در نظر داشته باشید که بلافاصله پس از اتمام این کار، دسترسی او را از مدیریت بردارید. این کار چندان دانش خاص یا تلاش زیادی نمیخواهد و شما فقط باید حواس خود را جمع کنید.
توجه داشته باشید که نیاز نیست به هر کاربر مجموعه خود دسترسی مدیریت بدهید و در این بخش آنها را دستهبندی کنید. فقط به افراد مناسب نقشهای مناسبی بدهید تا خطر وردپرس کاهشیافته و امنیت وردپرس را حفظ کنید.
مطالعه پیشنهادی: آموزش اتصال افزونه امنیت کامل وردپرس به گوگل ریکپچا
میدانستید که کلیدهای امنیت وردپرس هم برای شما مناسب است؟
در این قدم به شما توصیه میکنیم که برای احراز هویت حتماً از کلیدهای امنیتی قرار گرفته در خود وردپرس استفاده کنید. از جمله این کلیدها میتوان به «کلیدهای تأیید اعتبار» و «salts» اشاره کرد که امنیت اطلاعات و رمزگذاری آنها را کوکیها افزایش میدهند.
این کلیدها از متغیرهای یونیک سایت شما هستند و باید به آنها توجه لازم را داشته باشید. با استفاده از فایل wp-config.php میتوانید یک منطقه اختصاصی ایجاد کنید که متغیرهای کلیدهای جدید خود را در آن تولید کرده و جاگذاری کنید.
میدانستید با پنهان کردن ورود خود نیز امنیت بالا میرود؟
توصیه ما در این قدم به شما این است که ورود به سیستم خود را تاحدامکان پنهان کرده و به کمک این روش تلاش برای ورود به سیستم خودتان را محدود کنید.
بیشتر حملات Brute-force نحوه و فرم ورود شما به سیستم را مورد هدف قرار میدهند؛ بنابراین، توصیه میشود که با تغییر مکان زندگی و اتصال حمله هکرها را سختتر کرده و امنیت وردپرس خود را افزایش دهید. با استفاده از افزونه All in One WP Security & Firewall میتوانید URL از پیش تعیین شده (از / wp-admin /) را به مکانی امنتر و دشوارتر تغییر دهید.
در کنار روش گفته شده، میتوانید تعداد تلاش برای ورود به سیستم از طریق یک آدرس IP مشخص را نیز محدود کنید. برای این کار هم میتوانید از چندین افزونه وردپرس استفاده کنید که به شما کمک میکنند تا شیوه ورود خود را از آدرسهای IP مختلف را محافظت کنید. احتمالاً از این آدرسها ممکن بوده تلاشهای مخربی برای ورود به سیستم شما استفاده شده باشند.
آیا انتخاب میزبان برای امنیت وردپرس ضروری است؟
حتی اگر تمام موارد بالا را رعایت کرده باشد و برای امنیت وردپرس خود بسیار تلاش کرده باشید، اگر شرکتی که وردپرس شما را میزبانی (Hosting) میکنید همین دقت را نداشته نباشد، ممکن است عملاً تلاش شما بیهوده بوده باشد. مسلماً اگر یک مهاجم بتواند به میزبانی وبسایت شما دسترسی پیدا کند، میتواند کنترل کامل همه امور در سایت شما را نیز در دست بگیرد.
باتوجهبه این مطلب عنوان شده، بسیار مهم است که چه میزبانی را برای سایت وردپرس خود انتخاب میکنید. این میزبان باید امنیت میزبانی را جدی بگیرد. میزبانهای ارزانقیمت موجود در اینترنت معمولاً گزینههای مناسبی برای امنیت و پشتیبانی نیستند و ممکن است سایت وردپرس شما را با خطر مواجه کنند.
اگر همین موضوعات را در نظر بگیریم، گاهی اوقات هم میزبانی مشترک به دلیل هزینه کمتر خطرناک است.
در این حالت نیز هکرها میتوانند از طریق سایت دیگری که در این میزبانی شریک است و امنیت پایینی دارد به سایت شما دسترسی پیدا کنند. باتوجهبه مطالب بالا، توصیه ما به شما این است که هزینه خوبی برای هاست یا میزبان خود بپردازید و درگیر هاستهای ارزان پرخطر نشوید. برای این کار میتوانید از شرکتهای خارجی با شهرت عالی برای میزبانی تخصصی وردپرس (بهعنوانمثال GoDaddy یا WP Engine) استفاده کنید.
آیا بهروز بودن به شما کمک میکند؟
درست است که به راحتی میگوییم بهروز باشید، اما انجام روزانه این کار برای صاحبان وبسایتها و طراحیکنندگان آنها کار سختی است. سایتهای اینترنتی بسیار پیچیده هستند و روزانه اتفاقات مختلفی در بستر آنها رخ میدهند.
گاهی اوقات نیز این سرعت آنقدر بالا است که نمیتوان در این سایتها تغییر قابلملاحظهای را ایجاد کرد و از جریان عقب میافتیم. به همین دلیل وبسایتها کد تمام شده خود را هم در افزونهها و هم در نرمافزار اصلی بهروز نمیکنند که در نهایت سبب مشکل میشوند.
بسیار مهم است که بهروزرسانی تمها، نرمافزار، افزونهها و سایر مؤلفهها بخشی از یک برنامه معمول طراح سایت وردپرس باشند. در غیر این صورت، راه را به روی هکرها باز میکنید و امنیت وردپرس شما افت میکند. اگر کاربر افزونه Yoast SEO هستید، فقط کافی است مراحل آسان عنوان شده در اینترنت را برای بهروزرسانی افزونه Yoast SEO خود دنبال کنید.
درمورد اهمیت لایههای امنیتی بیشتر چه میدانید؟
لایههای امنیتی بیشتر به شما کمک میکنند که از ورود مهاجمان به سایت خود جلوگیری کنید. برای دستیابی به این موضوع، توصیه ما این است که شما از افزونه فایروال وردپرس در سایت خود استفاده کنید. این افزونهها نهتنها مهاجمین از پیش شناخته شده را شناسایی میکنند، بلکه الگوریتمهایی دارد که الگوهای معمول حمله را شناسایی میکند.
به کمک این موارد قبل از آنکه این مهاجمین بتوانند به سایت شما صدمهای وارد کنند شما میتوانید آنها را متوقف کرده و از سایت خود محافظت کنید.خالیازلطف نیست که اگر به این موضوع اشاره کنیم که بیشتر سیستمهای تحویل محتوا از سیستم فایروال یا دیوار آتش استفاده میکنند.
بهویژه سیستم دیگری به نام Cloudflare در جلوگیری از “ترافیک خطرناک” فعالیت میکند که دارای اسکنها و قوانینی است که به طور خاص برای تضمین امنیت وردپرس تهیه شده است.
مطالعه پیشنهادی: آموزش اتصال وب سایت به Cloudflare
بهترین افزونهها و تمهای امنیتی چه مواردی هستند؟
متأسفانه بیشتر کاربران وردپرس تمایل دارند که انواع تمها و افزونهها را بهدلخواه در سایتهای خود وارد کنند. در اینجا توصیه ما این است که مراقب این کار خود باشید؛ چراکه ممکن است این موارد امنیت کافی را نداشته باشند. اگر از این افزونههای جذاب و سرگرمکننده استفاده میکنید حتماً در نظر داشته باشید که با امنیت بالایی تولید شده باشند و شما را در خطر نیندازند.
از اثر کنترل ورود و خروج به سایت خود چه میدانید؟
خب، تاکنون، نحوه امنیت وردپرس را در موارد بالا بررسی کردیم. با اینکه از مواد مهمی برای افزایش امنیت وردپرس صحبت کردیم اما این امنیت هیچگاه مطلق نیست و شما میتوانید در این خطر قرار داشته باشید؛ چراکه سایتها به طور مداوم عملکردهای خود را تغییر میدهند و کاربران در حال پیشرفت بوده و اطلاعات بیشتری پیدا میکنند.
به همین دلیل راهکار دیگری نیز برای حفظ امنیت وردپرس وجود دارد که شامل بررسی ورود به سیستم و نظارت آن است. شما با داشتن گزارشهای فعالیت و ورود به سایت میتوانید اطلاعاتی درمورد ورود و خروج افراد به سایت شما داشته باشید. این مورد به شما کمک میکند تا با دقت بیشتری امنیت سایت خود را نظارت کنید.
بدون دیدگاه