در دنیای اینترنتی یا به اصطلاح دنیای دیجیتال امنیت مسئله مهم و ضروری است. چنانچه از امنیت سایت غافل شوید باید به یکباره قید کسب و کارتان را بزنید زیرا با مشکلات جدی مواجه خواهید شد. وردپرس نیز از این قاعده مستثنی نیست و باید اقداماتی برای حفظ ایمنی آن انجام داد. درباره اقدامات ضروری در این مقاله توضیحاتی ارائه خواهیم کرد...
با وجود اینکه هسته اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی میشود، باز هم کارهای زیادی برای حفظ امنیت وردپرس میتوان انجام داد. ما معتقدیم که امنیت فقط حذف ریسک نیست بلکه در مورد کاهش ریسک است. در ادامه به مواردی که موجب حفظ و افزایش امنیت وردپرس میشود، خواهیم پرداخت:
وردپرس بصورت دورهای و کاملا منظم بروزرسانی میشود پس شما هم به محض دیدن نسخه جدید آن را بروز کنید.
یکی دیگر از مواردی که بشدت در امنیت وردپرس تاثیرگذار است، انتخاب رمز عبور قوی و کارآمد است. این مسئله به نظر خیلیها ساده بوده اما واقعا رعایت آن موجب حفظ ایمنی میشود. همچنین میتوانید برای کارمندان وبسایت خود سطوح دسترسی را درنظر بگیرید که واقعا به کارشان بیاید.
عامل مهم دیگری که باید همان ابتدای کار دقت کنید، انتخاب هاست استاندارد و پرسرعت است. چنانچه هاستی معمولی یا رایگان انتخاب کنید به هیچ وجه نباید انتظار ایمنی داشته باشید.
رسالت نسخه پشتیبان زمانی مشخص میشود که شما اطلاعات قبلی را از دست داده و حال باید آن را بازگردانی کنید. با توجه به میزان و نوع فعالیت خود بصورت روزانه یا هفتگی از وبسایت نسخه پشتیبان تهیه کنید و امید به هاستینگ خود نبندید.
وردپرس دارای افزونههای حرفهای و خوبی برای حفظ ایمنی سایت است. مثلا افزونهای مانند iThemes security از بهترین افزونههای امنیتی است که پیشنهاد میشود روی وردپرس نصب کنید.
فایروال وبسایت تمام ترافیک مخرب را حتی قبل از رسیدن به وبسایت شما مسدود میکند. فایروال وبسایت سطح DNS – از طریق سرورهای پروکسی ابری آنها ترافیک وبسایت شما را هدایت میکنند. این امر به آنها اجازه میدهد فقط ترافیک واقعی را به سرور وب شما ارسال کنند. فایروال سطح برنامه – این افزونههای فایروال ترافیک را زمانی که به سرور شما میرسد، اما قبل از بارگیری بیشتر اسکریپتهای وردپرس بررسی میکنند.
هنگامی که گواهینامه SSL را فعال کردید، وبسایت به جای HTTP از HTTPS استفاده میکند، همچنین علامت قفل را در کنار آدرس وبسایت در مرورگر خواهید دید.این رمزگذاری باعث میشود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد.
ز آنجایی که وردپرس پس از ثبت نام به طور پیش فرض به شما اجازه نمیدهد نام کاربری را تغییر دهید، از سه روش میتوانید برای تغییر نام کاربری استفاده کنید.
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان میدهد تم و فایلهای افزونه خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید. این ویژگی میتواند یک خطر امنیتی باشد، به همین دلیل توصیه میکنیم آن را غیرفعال کنید.
یکی دیگر از راههای حفظ امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوریهایی است که به آن نیازی نیست، مانند /wp-content/uploads/.
به طور پیش فرض، وردپرس به کاربران این امکان را دارد که هر چند بار که میخواهند نام کاربری و رمز عبور را بزنند تا وارد سیستم شوند. این باعث میشود سایت وردپرسی شما در برابر حملات بی رحمانه آسیبپذیر شود. هکرها سعی میکنند رمزهای عبور را با تلاش برای ورود با ترکیبهای مختلف بشکنند. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده میکنید، به طور خودکار به آن رسیدگی میشود.
تکنیک احراز هویت دو مرحلهای از کاربران میخواهد که با استفاده از روش احراز هویت دو عاملی وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است و در مرحله دوم باید با استفاده از یک دستگاه یا برنامه جداگانه احراز هویت شوید.
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده استفاده میکند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش فرض استفاده میکند، حدس زدن نام جدول برای هکرها آسانتر میشود. به همین دلیل است که توصیه میکنیم پیشوند پایگاه داده تغییر دهید.
به طور معمول، هکرها میتوانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی تهدید کنند. این موضوع به آنها اجازه میدهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را امتحان کنند. شما میتوانید حفاظت رمز عبور را در سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود میکند.
هکرها میتوانند از جستجویی دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیریهای شناخته شده دارید یا نه. سایر افراد میتوانند از بررسی دایرکتوری برای جستجوی فایلهای شما، کپی کردن تصاویر و یافتن آنها استفاده کنند. ساختار دایرکتوری خود و سایر اطلاعات را مشخص کنید. به همین دلیل است که به شدت توصیه میشود فهرستسازی و بررسی دایرکتوری را غیرفعال کنید.
XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده زیرا به اتصال سایت وردپرس با وب و برنامههای تلفن همراه کمک میکند. به دلیل ماهیت قدرتمند خود، XML-RPC میتواند به طور قابل توجهی حملات brute-force را تقویت کند. برای مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وبسایت امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهند که توسط افزونه قفل ورود مسدود میشود. اما با XML-RPC، یک هکر میتواند از عملکرد system.multicall برای آزمایش هزاران رمز عبور استفاده کند.
کاربرانی که وارد سیستم شدهاند گاهی اوقات از صفحه خارج میشوند اما دکمه خروج از سایت را نمیزنند و این یک خطر امنیتی است. شخصی میتواند اطلاعات را ربوده، رمز عبور را تغییر دهد یا در حساب کاربری تغییراتی ایجاد کند. به همین دلیل است که بسیاری از سایتهای بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج میکنند. شما میتوانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید. برای این منظور میتوان از افزونه Inactive Logout استفاه کنید.
افزودن یک سوال امنیتی به صفحه ورود سیستم وردپرس دسترسی غیرمجاز را برای کسی سختتر میکند. با نصب افزونه WP Security Questions میتوانید سوالات امنیتی اضافه کنید. پس از فعالسازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.
اگر یک افزونه امنیتی وردپرس نصب کردهاید، به طور معمول بدافزار و نشانههای نقض امنیتی را بررسی میکنند. با این حال، اگر افت ناگهانی در ترافیک وبسایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را انجام دهید. میتوانید از افزونه امنیتی وردپرس خود استفاده کنید. البته اسکن برای حفظ امنیت وردپرس با کمک سایتهای آنلاین نیز امکانپذیر است.