Header image
راهنمای امنیت وردپرس

امنیت وردپرس بخش دوم

اکتبر 2, 2019طراحی

راهنمای امنیت وردپرس بخش دوم 

در بخش دوم از راهنمای فارسی و اختصاصی امنیت وردپرس ما موارد بیشتری را نسبت به بخش اول امنیت وردپرس به شما معرفی خواهیم کرد پس با ما همراه باشید

فعال کردن فایروال برنامه وب (WAF)

آسانترین راه برای محافظت از سایت خود و اطمینان خاطر در مورد امنیت وردپرس ، استفاده از فایروال برنامه وب (WAF) است.

نکته : اصول کار فایروال وب سایت قبل از رسیدن به وب سایت شما ، کلیه ترافیک های مخرب را مسدود می کند.

فایروال وب سایت سطح  دی ان اس   (DNS Level Website Firewall )

این فایروال ترافیک وب سایت شما را از طریق سرورهای پروکسی cloud خود هدایت می کند. این به آنها اجازه می دهد تا فقط ترافیک اصلی را به سرور وب شما ارسال کنند.

 Firewall سطح برنامه کاربردی (Application Level Firewall )

sucuriwaf
sucuriwaf

این افزونه های فایروال پس از رسیدن به سرور شما اما قبل از بارگیری بیشتر اسکریپت های وردپرس ، میزان ترافیک را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

sucuriblockchart
sucuriblockchart

انشالله به زودی مطلب جامعی را در خصوص بهرتین نرم افزار های فایروال وردپرس ارائه خواهیم کرد

ما از Sucuri به عنوان بهترین فایروال برنامه وب برای وردپرس استفاده و توصیه می کنیم. بهترین بخش در مورد دیوار آتش افزونه امنیتی Sucuri   را قبل در بخش اول امنیت وردپرس توضیحاتی ارائه کردیم

این یک ضمانت بسیار قوی است زیرا تعمیر وب سایت های هک شده گران است. کارشناسان امنیتی به طور معمول 250 دلار در ساعت شارژ می کنند. در حالی که می توانید کل پشته امنیتی Sucuri را با 199 دلار در سال دریافت کنید.

Sucuri تنها ارائه دهنده دیافراگم سطح DNS نیست. رقیب محبوب دیگر Cloudflare است.

سایت وردپرس خود را به SSL / HTTPS منتقل کنید

SSL پروتکلی است که انتقال داده ها را بین مرورگر وب سایت و کاربران خود رمزگذاری می کند. این رمزنگاری باعث می شود که کسی نتواند به راحتی اطلاعات رد و بدل شده شما را سرقت نماید

پس از فعال کردن SSL ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، همچنین یک علامت قفل در کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد.

howsslworks
howsslworks

گواهینامه های SSL به طور معمول توسط مقامات گواهینامه امنیتی صادر می شوند و قیمت آنها هر سال از 80 دلار تا صدها دلار شروع می شود. با توجه به هزینه اضافی ، بیشتر صاحبان وب سایت تصمیم به ادامه استفاده از پروتکل ناامن گرفتند.

برای رفع این مشکل ، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت که گواهی های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه آنها توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکت های دیگر پشتیبانی می شود.

اکنون ، شروع به استفاده از SSL برای همه وب سایت های وردپرس  بسیار راحت است . در حال حاضر بسیاری از شرکت های میزبان در حال ارائه گواهی SSL رایگان برای وب سایت وردپرس شما هستند. شرکت طراحی سایت تهران وب قادر به ارائه هاست وردپرس به همراه ssl  رایگان است .

اگر شرکت میزبان سایت شما ارائه نمی دهد ، می توانید یکی از ssl  امنیتی فوق العاده را با ضمانت 10 هزار دلاری و یک مهر و موم امنیتی Trust Logo ارائه شده از سایت  Domain.com را خریداری کنید.

امنیت وردپرس برای کاربران شخصی

نکته : اگر مواردی که  پیش از این ذکر شد را رعایت میکنید بهتر است بگویم که وضعیت سایت شما در حالت ایده آل  و فوق استاندارد قرار گرفته است.

اما مثل همیشه موارد دیگری وجود دارد که می توانید امنیت وردپرس خود را سخت تر کنید.

برخی از این مراحل ممکن است نیاز به دانش برنامه نویسی داشته باشد.

نام کاربری پیش فرض “مدیر” را تغییر دهید

در ابتدا  ، نام کاربری پیش فرض WordPress  با نام کاربری Admin  بود  از آنجا که نامهای کاربری نیمی از اعتبار ورود را تشکیل می دهند ، این امر هکرها را برای انجام حملات بی رحمانه آسان تر می کند.

خوشبختانه ، وردپرس از این پس تغییر کرده و اکنون شما را ملزم می کند که در هنگام نصب وردپرس یک نام کاربری دلخواه را انتخاب کنید.

با این وجود جهت توسعه وب  برخی از نصب کننده های آسان یا همان duplicator هنوز نام کاربری پیش فرض مدیر را روی “admin” تنظیم می کنند. اگر توجه کنید که این مورد باشد ، احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید.

از آنجا که WordPress به شما اجازه نمی دهد نام های کاربری ایجاد شده از قبل  را به طور پیش فرض تغییر دهید ، سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.

  1. از طریق بخش کاربری یک سرپرست انتخاب کنید و نام قدیمی را حذف نمایید
  2. از افزونه Username Changer استفاده کنید
  3.  نام کاربری خود را از phpMyAdmin به روز کنید

توجه: ما در مورد نام کاربری “admin” صحبت می کنیم ، نه نقش سرپرست.

ویرایش پرونده را غیرفعال کنید (Disable File Editing )

WordPress مجهز به ویرایشگر کد داخلی است که به شما امکان می دهد موضوع و پلاگین های خود را درست از ناحیه سرور وردپرس خود ویرایش کنید. اگر کار اشتباهی انجام دهید  ، این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را خاموش کنید.

fileeditinwp
fileeditinwp

شما می توانید با افزودن کد زیر در پرونده wp-config.php خود به راحتی این کار را انجام دهید.

1

2

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

از طرف دیگر می توانید با استفاده از ویژگی Hardening در افزونه Sucuri رایگان که در بالا به آن اشاره کردیم ، این کار را با تنها یک کلیک انجام دهید.

غیرفعال کردن پرونده پی اچ پی در برخی از راهنماهای WordPress

راه دیگر برای سخت تر کردن امنیت وردپرس شما غیرفعال کردن اجرای پرونده PHP در دایرکتوری هایی است از جمله شاخه های  / wp-content / upload /.

می توانید با باز کردن ویرایشگر متنی مانند Notepad این کار را انجام دهید و این کد را بچسبانید:

<Files *.php>

deny from all

</Files>

در مرحله بعد ، شما باید این فایل را به عنوان .htaccess ذخیره کرده و آنرا با استفاده از یک سرویس دهنده FTP در / wp-content / upload /  در داخل پوشه ها در وب سایت خود بارگذاری کنید.

از طرف دیگر می توانید با استفاده از ویژگی Hardening در افزونه Sucuri رایگان که در بالا به آن اشاره کردیم ، این کار را با تنها کلیک انجام دهید.

تلاش برای ورود به سیستم  را محدود کنید

به طور پیش فرض ، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند. این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیب های مختلف سعی در پیدا کردن رمز ورد شما کنند .

با محدود کردن تلاشهای ناموفق برای ورود کاربر می تواند این کار را به راحتی برطرف کنید. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، از این پس به طور خودکار از آن مراقبت می شود.

اما اگر تنظیم فایروال را ندارید ، مراحل زیر را ادامه دهید.

loginlockdownoptions
loginlockdownoptions

ابتدا باید افزونه Login LockDown را نصب و فعال کنید.

پس از فعال سازی ، برای تنظیم افزونه به صفحه تنظیمات LockDown مراجعه کنید.

 تایید هویت دو عامل را اضافه کنید

تکنیک احراز هویت دو عاملی کاربران را مجبور می کند تا با استفاده از یک روش تأیید اعتبار دو مرحله ای وارد سیستم شوند. مورد اول نام کاربری و رمز عبور است و مرحله دوم نیاز به تایید اعتبار با استفاده از یک دستگاه یا برنامه جداگانه دارد.

اکثر وب سایتهای آنلاین برتر مانند Google ، Facebook ، Twitter ، به شما امکان می دهند تا آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی ، باید روی پیوند “دو فاکتور تأیید” در نوار کناری وردپرس کلیک کنید.

در مرحله بعد ، باید برنامه تأیید هویت را بر روی تلفن خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator ، Authy و LastPass Authenticator در دسترس است.

twofactorbarcode
twofactorbarcode

ما توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در ابر نسخه پشتیبان تهیه کنید. این در صورت از بین رفتن ، ریست شدن تلفن یا خرید یک تلفن جدید بسیار مفید است.

ما برای آموزش و ارتقا بخش امینیت وردپرس  از LastPass Authenticator استفاده خواهیم کرد. با این حال ، دستورالعمل برای همه برنامه های نویسنده مشابه است. برنامه تأیید اعتبار خود را باز کنید و سپس بر روی دکمه Add کلیک کنید.

از شما سوال می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه بارکد اسکن را انتخاب کرده و سپس دوربین گوشی خود را روی Q Rcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

addsite
addsite

این همه کار  است ، برنامه تأیید اعتبار شما اکنون آن را ذخیره می کند. دفعه دیگر که به وب سایت خود وارد می شوید ، پس از وارد کردن رمز عبور ، از شما تایید کد دو مرحله ای درخواست می شود

کافیست برنامه تأیید کننده را بر روی تلفن خود باز کرده و کدی را که در آن مشاهده می کنید وارد کنید.

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض ، WordPress از wp_ به عنوان پیشوند همه جداول در پایگاه داده WordPress استفاده می کند. اگر سایت WordPress شما از پیشوند پایگاه داده پیش فرض استفاده می کند ، پس هکرها را آسان می دانند که نام جدول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید.

 توجه: اگر به درستی انجام نشده باشد ، سایت شما را خراب می کند. اگر از مهارت برنامه نویسی خود احساس راحتی کردید ، فقط ادامه دهید.

ایجاد رمز دوم بر روی پوشه مدیریت وردپرس

passwordprotected
passwordprotected

به طور معمول ، هکرها می توانند پوشه و صفحه ورود wp-admin شما را بدون محدودیت درخواست کنند. این به آنها امکان می دهد ترفندهای هک شده خود را امتحان کرده یا حملات DDoS را انجام دهند.

می توانید محافظت اضافی از رمز عبور در سطح سمت سرور اضافه کنید ، که به طور موثری این درخواست ها را مسدود می کند.


یک نظر ارسال کنید

ایمیل شما نزد ما امن می ماند