مراحل امن سازی وب‌سایت‌های مبتنی بر وردپرس

ایمن‌سازی وب‌سا‌یت‌های مبتنی بر وردپرس گاهی اوقات با عنوان مقاوم‌سازی (hardening) شناخته می‌شوند. هرچند این نام‌گذاری عجیب به نظر می‌رسد ولی در کل روندی منطقی را دنبال می‌کند. برای روشن شدن این موضوع فرآیند اضافه کردن لایه‌های امنیتی مختلف را می‌توانید مانند تجهیز یک‌خانه یا قلعه به امکانات دفاعی در نظر بگیرید. به‌عبارت‌دیگر امنیت وب‌سایت‌های مبتنی بر وردپرس مانند قفل‌کردن درها و پنجره‌ها و داشتن نگهبان بر روی پشت‌بام یا برج‌های قلعه است.

در ادامه برخی از کارهایی که شما برای بهبود امنیت وب‌سایت‌های مبتنی بر وردپرس خود می‌توانید انجام دهید را ذکر خواهیم کرد.

انجام تمام بروز رسانی‌های وردپرس

به‌روزرسانی هرچند در اغلب مواقع یک روش پیش‌پاافتاده و ساده تصور می‌شود اما می‌تواند تأثیرات قابل‌توجهی در امنیت وب‌سایت داشته باشد. توصیه می‌شود، هر بار که وارد وب‌سایت شدید و اعلامیه مربوط به در دسترس بودن به‌روزرسانی را مشاهده کردید، این عمل را انجام دهید. توجه کنید که پشتیبان‌گیری‌های منظم از داده‌ها می‌تواند میزان اطمینان از برگشت آن‌ها را در انتهای عملیات به‌روزرسانی مشکل‌دار بالا ببرد.

در سریع‌ترین زمان ممکن به‌روزرسانی های جدید وردپرس خود را اعمال کنید.

افزودن احراز هویت دومرحله‌ای

یکی دیگر از بهترین روش‌های جلوگیری از حملات، راه‌اندازی یک فرایند احراز هویت دومرحله‌ای است. اگر شما بر روی حساب کاربری گوگل یا یاهوی خود این امکان را دارید پس بهتر است این فرآیند را برای وب‌سایت خود که مورداستفاده صدها کاربر است نیز داشته باشید. مکانیسم اعتبارسنجی دومرحله‌ای به این صورت است که پس از درخواست کلمه عبور، از شما کدی خواسته می‌شود که به آدرس ایمیل یا تلفن همراه شما ارسال‌شده است. در اغلب موارد کد مرحله دوم توسط پیامک برای کاربران ارسال می‌شود که شما می‌توانید بر اساس نیاز خود آن را تغییر دهید. برای انجام این کار از  ابزارهای جانبی مانند Google Authenticator، Clef یا Duo Two-Factor  نیز می‌توانید استفاده کنید.

دکمه وحشت: قفل‌کردن وب‌سایت

قفل‌کردن حساب کاربری یک ‌راهکار رایج در هنگامی است که چندین تلاش ناموفق جهت ورود به وب‌سایت صورت گرفته باشد. این کار می‌تواند در برابر حملات بی‌وقفه غیرهوشمند مؤثر باشد. در این حالت هرگاه مهاجم به‌دفعات تلاش کند تا با کلمه عبور اشتباه وارد وب‌سایت شود، وب‌سایت با نمایش پیغام خطا از دسترس خارج‌شده و شمارا در جریان این دسترسی غیرمجاز قرار می‌دهد.

جلوی تلاش ناموفق جهت ورود به وب‌سایت را برای جلوگیری از حمله Brute Force بگیرید.

همانند قسمت قبل ابزارهای جانبی زیادی برای این کار در دسترس هستند که محبوب‌ترین آن‌ها iThemes Security است که با استفاده از این ابزار می‌توانید با تنظیم تعداد دفعات ورود ناموفق، از دسترسی مهاجم از طریق محدود کردن آدرس IP جلوگیری کنید.

استفاده از آدرس Email برای ورود

هنگام تلاش برای ورود به سیستم، شما باید از یک نام کاربری استفاده کنید. پیشنهاد ما استفاده از آدرس Email به‌جای نام کاربری است زیرا نام کاربری قابل پیش‌بینی بوده و امکان هک شدن آن وجود دارد. به‌علاوه حساب کاربری وردپرس نیاز به یک آدرس Email دارد که می‌تواند یک‌لایه امنیتی دیگر به سیستم اضافه کند.

استفاده از SSL برای انتقال اطلاعات

SSL یک استاندارد برای ایمن‌سازی سیستم است که این اطمینان را به شما می‌دهد که انتقال اطلاعات میان سرور و کاربر به‌صورت امن انجام می‌پذیرد. درمجموع اضافه کردن این قابلیت، شنود اطلاعات توسط مهاجم و هکر را بسیار سخت و غیرممکن می‌کند. دریافت گواهی SSL بسیار راحت است. شما می‌توانید به‌صورت جداگانه از یک شرکت مستقل درخواست گواهی SSL کنید و یا حتی از سرویس‌دهنده خود بخواهید که این قابلیت را به سیستم شما اضافه کنند. در برخی موارد ارائه این گواهی جزئی از پکیج خدماتی شرکت‌ها است.

گواهی SSL نقش مهمی در بالا بردن امتیاز شما در موتور جست‌وجوی گوگل دارد

تمامی گواهی‌های SSL دارای تاریخ انقضا بوده و شما باید برای صدور مجدد آن اقدام کنید. در برخی موارد نیاز است تا به‌صورت دستی اقدام به تائید و یا لغو صدور مجدد گواهی کنید و بهتر است برای اطلاع از چگونگی این فرآیند به سرویس‌دهنده خود مراجعه کنید. درنهایت به این نکته نیز توجه کنید که گواهی SSL نقش مهمی در بالا بردن امتیاز شما در موتور جست‌وجوی گوگل دارد زیرا سایت‌هایی که گواهی SSL را دارند امن‌تر هستند و ترافیک بیشتری را جذب می‌کنند.

از سیستم وردپرس خود پشتیبان تهیه کنید

قبلاً به این نکته اشاره شد ولی برای این‌که اهمیت این موضوع روشن شود، شما باید عادت کنید تا به‌صورت برنامه‌ریزی‌شده و مرتب اقدام به تهیه پشتیبان از داده‌های خود کنید. این موضوع به این دلیل مهم است که اگر به هر دلیلی وب‌سایت شما موردحمله قرار گرفت شما قادر خواهید بود تا با استفاده از داده‌های پشتیبان آخرین نسخه وب‌سایت خود را مجدداً راه‌اندازی کنید. برای این کار ابزارهای خودکار بسیاری وجود دارند که ازجمله آن‌ها می‌توان به BackupBuddy و VaultPress اشاره نمود. پیشنهاد دیگر استفاده از یک سرویس‌دهنده مطمئن است که بتواند یکپارچگی و امنیت داده‌های پشتیبان را تأمین کند.

محدود کردن استفاده از پلاگین‌های وردپرس

هرچند استفاده نکردن از ابزارهای جانبی ممکن است دشوار به نظر برسد اما باید در انتخاب و نصب ابزارهای جانبی بسیار با دقت عمل شود، زیرا تأثیر آن‌ها تنها بر امنیت سیستم نیست و می‌تواند کارایی و سرعت سیستم را نیز تحت تأثیر قرار دهد. برای مثال، استفاده از تعداد زیادی ابزار جانبی می‌تواند زمان بارگذاری سیستم را به‌شدت افزایش دهد. بنابراین اگر نیازی به ابزار جانبی ندارید بهتر است آن را حذف کنید. درنهایت می‌توان گفت هرچقدر تعداد ابزارهای جانبی مورداستفاده در سیستم کمتر باشد تعداد راه‌های نفوذ مهاجمین نیز کمتر خواهد بود.

هرچقدر تعداد ابزارهای جانبی مورداستفاده در سیستم کمتر باشد تعداد راه‌های نفوذ مهاجمین نیز کمتر خواهد بود

مخفی کردن نام کاربری نویسنده

هنگامی‌که تنظیمات پیش‌فرض وردپرس را بدون تغییر باقی می‌گذارید می‌توان به‌راحتی نام کاربری نویسنده را مشاهده نمود. در اغلب مواقع، نویسنده اصلی سایت همان مدیر سایت نیز هست که مخفی نبودن نام کاربری مدیر می‌تواند کار را برای مهاجمین بسیار ساده کند. در هر نقطه‌ای که شما اطلاعات خود را به مهاجم تقدیم کنید، احتمال به خطر افتادن سایت شما نیز بالا خواهد رفت. طبق نظر متخصصین یک‌راه حل مناسب، پنهان‌سازی نام کاربری نویسنده است. این کار به‌سادگی توسط اضافه کردن چند خط کد به سیستم قابل انجام بوده و پس از انجام آن اطلاعات مربوط به نویسنده در صفحات نمایش داده نخواهند شد.

مرکز تخصصی آپا دانشگاه زنجان

http://cert.znu.ac.ir/apa/%d9%85%d8%b1%d8%a7%d8%ad%d9%84-%d8%a7%d9%85%d9%86-%d8%b3%d8%a7%d8%b2%db%8c-%d9%88%d8%a8%e2%80%8c%d8%b3%d8%a7%db%8c%d8%aa%e2%80%8c%d9%87%d8%a7%db%8c-%d9%85%d8%a8%d8%aa%d9%86%db%8c-%d8%a8%d8%b1-%d9%88/