امنیت در وردپرس، جامع ترین آموزش امنیت در وردپرس

پیش دانستنی های امنیت در وردپرس 🙂

یکی از نکاتی که همیشه بعد از راه اندازی یک وب سایت بهش فکر میکنیم امنیت آن هستش، چرا که بیشتر از این که در رابطه با راهکار های برقراری امنیت سایت مطالعه کرده باشیم بیشتر در رابطه با مشکلات بعد از هک شدن سایت مطالعه کردیم.(پیشگیری بهتر از درمانه) تو این مقاله ما قصد داریم در رابطه با امنیت در وردپرس صحبت بکنیم ولی خب بعضی از نکاتی که گفته میشه را میتوانید در سی ام اس های(CMS) دیگه هم پیاده سازی کنید ولی خب با روشی متفاوت تر. در این مقاله از آموزش های وردپرس تصمیم داریم تا جامع ترین آموزش امنیت در وردپرس را به شما آموزش دهیم تا بتوانید با ساده ترین راهکار ها امنیت سایت خودتان را در بهترین حالت ممکن برقرار کنید چرا که در دنیای وب به هیچ عنوان امنیت صد در صدی نیست :). در ادامه ۴ نوع از حملات رایج رو باهم مرور میکنیم.

۳ نوع حمله رایج برای نفوذ به وب سایت ها

۱ – حملات بروت فورس (Brute Force)

حمله Brute Force یکی از محبوب ترین حملات برای هکر ها در دنیای وب است که با بدست آوردن امکان ورود می باشد. با ارسال و تست تعداد خیلی زیادی نام کاربری و رمز عبور بر روی صفحات ورود وب سایت ها، صفحه ورود ایمیل و تمامی صفحاتی که برای ورود به حساب کاربری هستند انجام می شود. اگر خیلی ساده بخوام بهتون بگم در این نوع حمله، مدیران سایت و یا افرادی که بالاترین دسترسی ها را در سایت دارن خیلی باید مواظب رمز عبور هاشون باشن چرا که مخاطب اصلی حمله بروت فورس مدیرانی هستند که دسترسی های بالاتری دارند.

۲ – اسکیواِل اینجِکشن (Injection SQL)

حمله SQL Injection که اختصار شده ی Structured Query Language هستش، به معنای تزریق کد SQL است که یکی از  قدیمی ترین روش های نفوذ به وب سایت است. اسکیواِل اینجِکشن برای حمله به سایت هایی است که از بانک های اطلاعاتی و فرم ها استفاده می کنند. روش این نوع حمله به این صورت می باشد که هکر در فرم هایی که در سایت وجود دارد، در بخشی که باید اطلاعات فردی و یا مشخصات خواسته شده را وارد کند، کد های مخرب SQL را به منظور نفوذ به وب سایت وارد می کند و چون این کد ها در زمان اجرا تفسیر می شوند سیستم به جای اجرا کردن کد اصلی، کد ارسال شده از هکر را اجرا می کند.

اگر بخوام به زبان ساده براتون مثال بزنم به این صورت هستش که، هکر در فیلدی که باید مثلا مشخصات برند را وارد کند، مثلا Rahedm.ir کدی غیر از نام برند را وارد میکند به طور مثال —–> xxx’) OR 1 = 1 — ]

۳ – حملات ایکس اس اس (Xss یا Cross Site Scripting)

حمله Cross Site Scripting یکی از روش های حمله و نفوذ هکرها به وب سایت ها میباشد با این تفاوت که دیگر وب سایت قربانی این حمله نمی باشند و کاربران اون وب سایت قربانی می شوند. در این حمله کدهای جاوا اسکریپت به سایت، اضافه و یا تزریق میشوند که هدف اصلی هکر ها بیشتر کاربرانی هستند که به سایت مراجعه می کنند. که در اصل هکرها در این حمله اطلاعات کاربرانی که به وب سایت مراجعه کردند رو بدون اینکه کسی متوجه بشه به سرقت می برند.

با وجود اینکه ، Cross Site Scripting مخفف CSS می باشد، برخی از کاربران هنگام شنیدن این اسم یاد  Cascading Style Sheets که در دنیای کد نویسی Front استفاده می شود میوفتن. به همین دلیل از XSS برای مخفف Cross Site Scripting استفاده میشود.

۴ – malicious software یا بدافزار ها:

بدافزار یا malicious software (نرم افزار مخرب)، قطعه کدهایی هستند که برای رسیدن به دسترسی ای غیر مجاز بدون اطلاع مدیر وب سایت به منظور جمع آوری اطلاعات مهم استفاده می شود. حال اینکه ما میشنویم که سایت وردپرسی ما هک شده است می تواند به این معنی هم باشد که یک فایل مخرب در یکی از افزونه ها و یا حتی قالب(پوسته) سایت بوده و باعث شده که این اتفاق بیوفتد. موضوعی که در هک شدن وب سایت های وردپرسی وجود دارد این هستش که هکر اگر دسترسی به هاست و یا سرور شما را پیدا بکند به واسطه ی این فایل های مخرب، می تواند دردسر های زیادی برای شما بوجود بیاورد. میتونم بگم این نوع حمله به نوعی خطرناک ترین حالت ممکن میتونه باشه برای ما.

خب حالا میریم که برسیم به اقداماتی که باید برای جلوگیری از هک شدن سایت های وردپرسی انجام بدیم.

۱۳ اقدام برای برقراری امنیت در وردپرس

۱ – تشخیص خطای ۴۰۴ در وب سایت:

قابلیت تشخیص خطای ۴۰۴ به کاربری که تعداد زیادی از صفحات ناموجود را می گردد و تعداد زیادی خطای ۴۰۴ را دریافت میکند، اشاره میکند. تشخیص خطای ۴۰۴، این را در نظر میگیرد که یک کاربر در مدت زمان کوتاهی تعداد زیادی خطای ۴۰۴ دریافت می کند،به این معناست که این شخص به دنبال مورد خاصی می گردد (که احتمالا یک آسیب پذیری است) به همین خاطر ما باید این کاربران را قفل و یا غیرفعال کنیم .

۲ – حالت دور مد یا (away mode):

تقریبا میشه گفت تمامی سایت ها در دنیای وب طی یک ساعت خاصی بروزرسانی می شوند و نیاز به صفحه ادمین دارند، حالا در نظر بگیرید موقعی که ما در سایت فعالیت نمی کنیم و بی خبر از داخل سایت هستیم رو چیکار میشه کرد ؟ شما می توانید تنها ساعاتی که قرار است سایت در طول روز بروزرسانی بشود صفحه ورود ادمین را در دسترس قرار بدید و خارج از این ساعات صفحه ادمین سایت در دسترس نباشید، اینطوری هکر هم زمان کمتری برای نفوذ به وب سایت را دارد.

۳ – تغییر پیشوند جدول پایگاه داده

در حالت پیش فرض تمامی سایت های وردپرسی،  پیشوند wp_ را به تمام جداول پایگاه داده که در آن اطلاعات کاربران و شما وجود دارد اختصاص می دهد. برای هکر هایی که با ساختار وردپرس آشنا هستند، این موضوع به این معناست که نوشتن اسکریپت هایی که می توانند پایگاه داده های وردپرس را هدف قرار بگیرند خیلی ساده تر است، چرا که تمام نام های جداول مهم برای ۹۵ درصد از سایت ها از قبل شناخته شده است. تغییر پیشوند wp_ به شما این کمک را میکند که حتی هکری هم که با ساختار وردپرس آشنا باشد فرایند نفوذ برایش سخت تر شود.

۴ – تهیه نسخه پشتبیان از پایگاه داده

یکی از بهترین اقدامات برای محافظت از سایت در برابر حمله، داشتن یک نسخه پایگاه داده پشتیبان از سایت شما است. در نظر بگیرید هکری با حملات مختلف دیتا بیس شما را مورد حمله قرار داد و دسترسی سایت رو از شما گرفت و یا حتی کد های مخرب خودش را به دیتا بیس شما تزریق کرد، تنها اقدامی که میتونه دسترسی سالم سایت رو در کمترین زمان به ما برگرداند فقط و فقط داشتن یک نسخه پشتیبان و یا (BackUp) از دیتا بیس هستش. چرا که اگر شما نسخه پشتیبان نداشته باشید کارتون خیلی سخت می شد.

۵ – مخفی کردن صفحه ادمین سایت wp-login.php و یا wp-admin

همانطور که سیستم مدیریت محتوای وردپرس به صورت پیشفرض پیشوند wp_ را برای جداول دیتا یس خود قرار میدهد، صفحه ادمین وردپرس هم یک آدرس پیشفرض دارد که خب تنها کسی که یک ساعت هم از آشناییش با وردپرس گذشته باشد آدرس این صفحه را یاد میگیرید. حالا در نظر بگیرید یک هکر با وجود تمامی اطلاعاتی که داره این آدرس رو هم خیلی خوب بلده و میتونه از این صفحه اقدام به نفوذ بکنه. پس بهترین راه جلوگیری از این اتفاق این هستش که ما آدرس صفحه ورود و یا صفحه ادمین را تغییر بدیم که هکر به صورت پیشفرض نتونه به صورت مستقیم وارد صفحه ادمین بشه.

۶ – محدود کردن اقدام کاربران در سایت

اگر یک هکر زمان زیادی داشته باشد، اقدام به تست تعداد زیادی از ترکیب های مختلف نام های کاربری و رمز عبور برای ورود به سایت شما می کند، در نهایت، ممکن است که موفق شود. این نوع حمله، که به عنوان یک حمله نیروی نامنظم شناخته می شود. به طور پیش فرض، سیستم به چندین تلاش کاربر برای ورود اهمیت نمیدهد. همیشه به شما اجازه خواهد داد دوباره امتحان کنید. محدود کردن تعداد دفعات ورود به بخش های مختلف سایت باعث می شود که، هکر از تلاش دوباره برای ورود به سیستم پس از تعداد دفعات ورود نامعتبر مشخص شده و رد شود پس بهتره که این محدودیت را بوجود آوریم که هکر به این آسانی ها به وب سایت ما نتواند نفوذ بکند.

۷ – الزام رمز عبور برای مدیران و کاربران

هنگامی که یک هکر اقدام به تست لیستی از نام های کاربری و رمز عبود می کند، عاملی که می تواند خیلی کار هکر را راحت تر کند این هستش که مدیران و یا کاربران سایت از رمز عبور های راحتی استفاده کرده باشن، این امر باعث میشه که هکر خیلی راحت تر و زودتر به نتیجه مطلوب خودش برسه، پس بهتره که رمز عبور قوی را الزامی کنیم که تمامی افرادی که دسترسی به سایت دارن از رمز عبود های قوی استفاده بکنن. حتی ما می توانیم برای امنیت بیشتر تاریخ انقضا برای رمز های عبور در نظر بگیریم که پس از مدتی کاربران سایت رمز عبور های خودشان را تغییر دهند.این موضوع را جدی بگیرید.

۸ – استفاده از WordPress Salts یا کلید های امنیتی وردپرس

در ساده‌ترین حالت، کلیدهای امنیتی وردپرس، یک گذرواژه (رمزعبور) حاوی کاراکتر های تصادفی است که طولانی، پیچیده و تقریبا میشه گفت غیرقابل شکستن هستند. این کلید ها، رمزنگاری امن‌تری از اطلاعات ذخیره‌شده در کوکی‌های (Cookies) مرورگرها را ایجاد می‌کنند که امکان شکستن موانع امنیتی سایت‌تان را سخت‌تر می‌کند. علاوه بر این، WordPress salts به جز رشته‌های تصادفی اضافی از داده‌ها، آنها را به صورت هش‌شده (Hash) ذخیره می‌کند. این کار، لایه‌ی دیگری برای حفاظت از کوکی‌ها و اعتبار‌نامه سایت شما اضافه می کند.

۹ – محافظت از فایل های سیستمی

جلوگیری از دسترسی عمومی به فایل های readme.html، readme.txt، wp-config.php، install.php، wp-included و .htaccess. همانطور که می دانید این فایل ها حاوی اطلاعات مهم وب سایت هستند که خب هکر با در دسترس داشتن این هر یک از این فایل ها به شکلی می تواند وب سایت وردپرسی ما را تهدید کند و مورد نفوذ قرار دهد، پس بهترین کار این هستش که دسترسی عمومی به این فایل ها را ببندیم.

۱۰ – استفاده از گوگل reCAPTCHA

مدیران وب سایت ها  از گوگل ریکپچا فقط بخاطر جلو گیری از نظرات اسپم استفاده می کنند ، و این قابلیت را در صفحه ادمین قرار نمی دهند. باید از این دید نگاه بکنیم که اگر یک هکر بخواهد تعداد زیادی نام کاربر و کلمه عبور را در صفحه ادمین ما تست بکند و ما گوگل ریکپچا را داشته باشیم، کار هکر خیلی سخت می شود و باز هم به این راحتی ها نمی تواند به وب سایت ما نفوذ بکند.

توجه بکنید که ما در اکثر بخش ها داریم کار هکر را سخت تر میکنیم، چرا که هیج وقت امنیت وب سایت صد در صدی نیست و ما با همه این کار ها باعث میشیم که تا حد امکان نفوذ به وب سایت سخت تر و یا نشدنی تر بشود. پس بهتره که از تمامی قابلیت هایی که وجود دارند استفاده کنیم.

۱۱ – حذف ویرایشگر فایل از پیشخوان وردپرس

همه ما افرادی که با وردپرس کار میکنیم این را می دانیم که از ۲ مسیر می توانیم دسترسی به بخش برنامه نویسی سایت دسترسی داشته باشیم، هکر حتما قرار نیست وارد هاست و یا سرور شما بشود تا به شما آسیبی برساند. اگر وارد پیشخوان شما بشود و از طریق ویرایشگر فایل بتواند دسترسی به کد های سایت داشته باشد، این موضوع می تواند تهدید بدی برای سایت باشد و قطعا عواقب بدی خواهد داشت. پس بهترین کار این هستش که ما این دسترسی را در پیشخوان وردپرس ببندیم.

۱۲ – غیر فعال کردن قابلیت XML-RPC در وردپرس

قابلیت xml-rpc در وردپرس به این صورت هستش که اکس‌ام‌ال-ارپی‌سی یک پروتکل «فراخوانی دستورها از راه دور است که با اکس‌ام‌ال و با استفاده از مکانیسم انتقالی اچ‌تی‌تی‌پی اطلاعات را منتقل می‌کند. حالا شما در نظر بگیرید که از نرم افزار اندرویدی مدیریت وردپرس هم دارید استفاده میکنید و هر کسی که دسترسی به این نرم افزار داشته باشه در اصل دسترسی به سایت شما هم پیدا میکنه و میتونه هر کاری که دوست داره با سایت شما بکنه، پس بهتره که این قابلیت در سایت شما غیر فعال باشد.

۱۳ – احراز هویت دو عامل برای مدیران و کاربران

قابلیت احراز هویت دو عامل باعث افزایش امنیت حساب کاربری می شود چرا که کاربر علاوه بر نام کاربری و رمز عبور هنگام ورود به سایت نیازمند یک کد تایید دوم می باشد. موقعی که هکر بخواد به حساب های کاربری نفوذ بکند در صورتی که این قابلیت بر رو سایت های وردپرسی فعال باشد دیگر نمی تواند ورود کند چرا که یک کد برای صاحب حساب ارسال می شود که این کد می تواد به صاحب حساب این را بفهماند که شخص غریبه ای در تلاش این است که وارد حساب کاربری او بشود.

شاید با خودتون بگید که خب حالا ما این ۱۳ قابلیت رو چطوری میتونیم بر روی وب سایت وردپرسی خودمون داشته باشیم و فعالشون کنیم؟ تمامی این ۱۳ قابلیت + قابلیت های دیگری را شما می توانید بر روی سایت های وردپرسی با افزونه iThemes Security داشته باشید. افزونه آیتمز سکیوریتی را می توان بهترین افزونه برقراری امنیت در وردپرس نامید، چرا که از بیشترین قابلیت های کاربردی را دارد که یک کاربر با نداشتن دانش خاصی میتواند امنیت وب سایت وردپرسی خودش را امن کند. افزونه iThemes Security در حال حاضر ۹۰۰.۰۰۰ نصب فعال در وردپرس دارد و بروزرسانی این افزونه فکر میکنم ماهیانه و یا حتی شاید هفتگی صورت می گیرد که در هر بروزرسانی قوی تر و قوی تر می شود و خیال ما مدیران سایت را راحت تر می کند. این افزونه را می توانید از مارکت های معتبر ایران تهیه و استفاده بکنید.
تا به اینجا سعی کردیم که مرسوم ترین نوع حملات و راهکار های موجود در دنیای وب سایت های وردپرسی را به شما بگوایم، در ادامه نکاتی قابل توجه و تجربی را در اختیار شما خواهیم گذاشت که با رعایت کردن تمامی نکاتی که در این مقاله خواندید می توانید سایت امنی را برای خودتان بسازید 🙂

نکته اول : بروزرسانی پشت سر هم وردپرس

یکی از بخش هایی که برقراری امنیتش به صورت مستقیم در اختیار ما مدیران سایت نمی باشد، خوده وردپرس هستش که بخاطر اینکه ما سازنده این سیستم مدیریت محتوا نیستیم نمی توانیم خودمان به صورت دستی بروزرسانی اش بکنیم. ولی نکته ای که وجود دارد این هستش که تیم توسعه دهنده وردپرس شاید شبانه روز در حال توسعه آن هستند و زود به زود این سیستم را برای ما بروزرسانی میکنند. تنها کاری که ما باید بکنیم این هستش که در اولین فرصت بعد از بروزرسانی از سمت وردپرس ما هم آن را بروزرسانی کنیم. بخاطر اینکه وردپرس تمامی تلاش خودش را می کند که همیشه در نسخه های جدید مشکلات امنیتی خودش را پوشش بدهد، پس اگر وردپرس آپدیت شود ولی ما بروزرسانی نکنیم امنیت سایت را به خطر انداخته‌ایم.

نکته دوم: استفاده از قالب و افزونه های Original

متاسفانه در کشور ایران احترام زیادی به قوانین کپی رایت گذاشته نمیشه، و یک سری افراد سود جو، قالب ها و افزونه های وردپرس را دستکاری میکنن و در فضای اینترنت به اشتراک می گذارند. کاربران عزیزی که تازه با وردپرس آشنا می شوند بخاطر اینکه هزینه ای نکنند این افزونه ها و قالب ها را پیدا و استفاده می کنند. ولی از این موضوع خبر ندارند که خطر خیلی بزرگی آنها را تهدید می کند. در صورتی که توانایی خرید ارزی را دارید می توانید از سایت های معتبر خارجی مثل تم فارست تهیه و با خیال راحت استفاده بکنید. اگر توانایی خرید از سایت های خارجی ندارید مشکلی ندارد و می توانید از سایت های ایرانی استفاده بکنید.

نکته سوم: داشتن همیشگی یک نسخه بک آپ

نکته ای که وجود دارد این هستش که بعد از هک شدن وب سایت شما، شما خبر ندارید که هکر چه کارهایی را در سایت شما کرده است. شما قطعا اقدام میکنید به پاک سازی ولی باز هم شاید نتوانید دقیق تمامی بخش ها را پاک سازی بکنید و در این صورت کماکان هکر یک دسترسی از سایت شما را دارد.

حالا چرا میگیم داشتن همیشگی یک نسخه بک آپ؟

بخاطر اینکه وقتی که سایت هک میشه راحت ترین راه حلی که وجود دارد بازگردانی نسخه بک آپ سایت هستش تا بعد از بازگرادانی به برقراری بیشتر امنیت سایت اقدام بکنید. پس اگر نسخه بک آپ سایت شما قدیمی باشد این کار برای شما بی فایده است و باید پاک سازی را انجام دهید که همانطور که گفتم پاک سازی هم مشکلات خودش را دارد. شما میتوانید با یک افزونه به راحتی بک آپ گیری منظمی را ترتیب دهید تا همیشه جدید ترین بک آپ را از سایت خودتان داشته باشید.

فراموش نکنید که حتما از نسخه php 7 به بالا استفاده بکنید چرا که سرعت بیشتر، امنیت بیشتر و سازگاری بهتری با قالب ها و افزونه ها را دارد که این باعث بهتر کار کردن سایت شما از تمام جهات می شود.

نکته چهارم: خرید HOST یا SERVER از میزبانی معتبر و مطمئن

بار ها دیده شده کاربران و یا حتی مدیران فقط و فقط بخاطر اینکه هزینه کمتری رو پرداخت کنن از میزبان های غیر معتبر استفاده کردن. خیلی موقع ها شاید شما از جای معتبری هم افزونه و یا قالبی را بخرید و اصلا متوجه فایل مخربِ داخل آن نباشید، وقتی که از هاستینگ معتبر سرویس تهیه کرده باشید هنگام آپلود کردنش به مشکل میخورید.

که این مشکل در اصل خوب هستش بخاطر اینکه شما را از یک دردسر خیلی بد تر فراری داده است. حالا شاید بگید خب همه ی هاستینگ ها این قابلیت را دارند. من در جواب به شما می گویم خیر. خیلی از میزبان های به ظاهر میزبان اصلا زیر ساخت مناسب برای ارائه سرویس های امن و با کیفیت را ندارن و صرفا فقط ظاهر میزبانی را به خودشان می گیرند. پس بهتره که از میزبان مطمئن سرویس تهیه بکنیم.

نتیجه گیری مقاله امنیت در وردپرس:

ما نه تنها در وردپرس بلکه در هیچ کجای دنیای وب نمی توانیم امنیت را صد در صد تامین بکنیم. ولی همیشه باید در تلاش باشین که وب سایت خودمان را در بهترین حالت ممکن قرار بدیم که افراد سودجو نتوانند به راحتی کار خودشان را انجام دهند. به طور کلی امنیت را می توانیم به ۲ دسته تقسیم کنیم.

اگر دسته اول را سمت سرور در نظر بگیریم، فرایندی هستش که خب در هاست اشتراکی اصلا به آن دسترسی نداریم ولی اگر از سرور استقاده بکنیم می توانیم تدابیر بهتری را ترتیب دهیم. دسته دوم را می توانیم امنیت سمت سایت نام گذاری بکنیم که ما بهش دسترسی داریم. با افزونه ای که در بالا نام برده شد و رعایت نکته هایی که گفته شد، شما می توانید امنیت در وردپرس را به بهترین حالت ممکن تامین بکنید. میتونم بهتون بگم انقدری تامین میکنید که اگر با وجود این تدابیر به وب سایت شما نفوذ شد موقعش رسیده که با یک مشاور امنیت صبحت بکنید و تدابیر ویژه تری را برای سایت ببینید.

امیدوارم که از خواندن این مقاله خسته نشده باشید. بی صبرانه منتظر نظرات و تجربه های خوبتون هستیم.