Header image
راهنمای امنیت وردپرس

امنیت وردپرس بخش سوم

اکتبر 7, 2019طراحی

راهنمای امنیت وردپرس بخش سوم 

در بخش سوم از راهنمای فارسی و اختصاصی امنیت وردپرس به عنوان آخرین بخش از مباحث امنیتی وردپرس ما موارد بیشتری را نسبت به بخش دوم امنیت وردپرس به شما معرفی خواهیم کرد پس با ما همراه باشید

 غیرفعال کردن فهرست بندی و مرور فهرست

disabledirectorybrowsing
disabledirectorybrowsing

با استفاده از شاخه های داخلی دایرکتوری  ، هکرها می توانند از فایلی که دارای آسیب پذیری های شناخته شده است ، استفاده کنند ، بنابراین می توانند از این فایلها برای دسترسی استفاده کنند.

همچنین می توانید از طریق فهرست های دیگر از افراد استفاده کنید تا پرونده های شما را جستجو کنند ، تصاویر را کپی کنند ، ساختار فهرست شما و اطلاعات دیگر را جستجو کنند. به همین دلیل بسیار توصیه می شود که فهرست بندی و مرور فهرست را خاموش کنید.

باید با استفاده از مدیر پرونده FTP یا cPanel به وب سایت خود وصل شوید. بعد ، فایل .htaccess را در فهرست اصلی وب سایت خود قرار دهید. معمولا در میزبانی سایت از شرکت های مختلف این فایل به صورت پیشفرض وجود دارد و نیاز به افزودن آن نخواهد بود

پس از آن ، شما باید خط زیر را در انتهای پرونده .htaccess اضافه کنید:

Options –Indexes

فراموش نکنید که فایل .htaccess را در سایت خود ذخیره و بارگذاری کنید.

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه های وب و موبایل کمک می کند.

به دلیل ماهیت قدرتمند خود ، XML-RPC می تواند حملات بی رحمانه را به میزان قابل توجهی تقویت کند.

به عنوان مثال ، به طور سنتی اگر یک هکر می خواست 500 رمز عبور مختلف را در وب سایت شما امتحان کند ، باید 500 تلاش جداگانه برای ورود به سیستم ایجاد کند که توسط پلاگین قفل ورود به سیستم گرفتار و مسدود می شوند.

اما با XML-RPC ، یک هکر می تواند از تابع system.multicall استفاده کند تا هزاران رمز عبور را با گفتن 20 یا 50 درخواست امتحان کند.

به همین دلیل اگر از XML-RPC استفاده نمی کنید ، بنابراین توصیه می کنیم آن را غیرفعال کنید.

3 روش برای غیرفعال کردن XML-RPC در وردپرس وجود دارد ، و ما همه آنها را در آموزش گام به گام نحوه غیرفعال کردن XML-RPC در وردپرس قرار داده ایم.

نکته: روش .htaccess بهترین روش است زیرا کمترین منابع را اشغال میکند.

اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، می توانید از طریق این فایروال از آن مراقبت کنید.

به طور خودکار کاربران غیرفعال را در وردپرس خارج کنید

کاربران وارد شده گاهی اوقات می توانند از صفحه نمایش دور شوند و این یک خطر امنیتی است. شخصی می تواند جلسه خود را ربوده ، رمزهای عبور را تغییر داده یا در حساب خود تغییراتی ایجاد کند.

به همین دلیل است که بسیاری از سایت های بانکی و مالی به صورت خودکار از یک کاربر غیرفعال خارج می شوند. شما می توانید عملکرد مشابهی را در سایت WordPress خود نیز پیاده سازی کنید.

شما نیاز به نصب و فعال سازی افزونه Inactive Logout دارید. پس از فعال سازی ، برای پیکربندی تنظیمات افزونه به صفحه تنظیمات »صفحه خروج غیرفعال بروید.

inactiveuserlogout
inactiveuserlogout

به سادگی مدت زمان را تعیین کرده و یک پیام خروج را اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود ، روی دکمه ذخیره تغییرات کلیک کنید.

سوالات امنیتی را به صفحه ورود به WordPress اضافه کنید

wpsecurityquestion
wpsecurityquestion

اضافه کردن یک سوال امنیتی در صفحه ورود به سیستم WordPress ، دسترسی غیر مجاز به شخص را حتی سخت تر می کند.

می توانید با نصب افزونه WP Security Questions سوالات امنیتی را اضافه کنید. پس از فعال سازی ، برای پیکربندی تنظیمات افزونه باید به صفحه تنظیمات »صفحه سوالات امنیتی بروید.

اسکن وردپرس برای تروجان و آسیب پذیری

malwarescan
malwarescan

اگر یک افزونه امنیتی WordPress نصب کرده اید ، آن افزونه ها بطور معمول از بدافزارها و علائم نقض امنیتی استفاده می کنند.

با این حال ، اگر شاهد افت ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو هستید ، ممکن است بخواهید یک اسکن را به صورت دستی انجام دهید. می توانید از افزونه امنیتی WordPress خود استفاده کنید ، یا یکی از این اسکنرهای مخرب و امنیتی استفاده کنید.

اجرای این اسکن های آنلاین کاملاً مستقیم است ، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت خود به جستجوی کد های مخرب شناخته شده و کدهای مخرب می روند.

حال به خاطر داشته باشید که بیشتر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کرده یا سایت هک شده وردپرس را پاک کنند.

این ما را به بخش بعدی می رساند ، پاکسازی بدافزارها و سایتهای هک شده وردپرس.

رفع یک سایت وردپرس هک شده

بسیاری از کاربران WordPress تا زمانی که وب سایت آنها هک نشود ، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.

تمیز کردن سایت وردپرس می تواند بسیار دشوار و وقت گیر باشد. اولین توصیه ما این است که به یک متخصص اجازه دهید تا از آن مراقبت کند.

هکرها در سایت های آسیب دیده پشتیبان نصب می کنند و اگر این پشتیبان ها به درستی رفع نشوند ، احتمالاً وب سایت شما دوباره هک می شود.

اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای تعمیر وب سایت شما ، از استفاده مجدد از سایت شما اطمینان می دهد. همچنین از شما در برابر هرگونه حمله آینده محافظت می کند.

انتهای بخش راهنمای وردپرس در بالابردن امنیت رسیدیم  ، ما امیدواریم که این مقاله به شما در یادگیری بهترین شیوه های امنیتی برتر در مدیریت محتوای وردپرس و همچنین کشف بهترین افزونه های امنیتی وردپرس برای وب سایت شما کمک کند.


یک نظر ارسال کنید

ایمیل شما نزد ما امن می ماند