امنیت وردپرس و مراحل آن

برچسب ها :

امروزه طراحی یک سایت کار ساده ای شده است. با چند مرحله می توانید یک وب سایت وردپرسی داشته باشید . ولی مهم ترین قسمت بعد از طراحی وب سایت نگهداری و امنیت وردپرس در صورت استفاده از این سیستم مدیریت محتوا می باشد. با ما همراه باشید تا درباره امنیت وردپرس بیشتر توضیح دهیم.

حملات هکرها در سایت های وردپرسی بسیار زیاد می باشد و هر روز و هر ساعت در معرض حمله قرار دارید. چرا ؟! چون یکی از قوی ترین سیستم های مدیریت محتوا در جهان وردپرس هست و علاقه هکرها برای حمله به این وب سایت ها بسیار زیاد است. از دلایل جمله هکرها چند مورد رو بیان می کنیم تا هدف از انواع حمله ها مشخص شود :

  • حمله جهت تخریب وب سایت (بیشتر جنبه آموزشی و پز دادن برای دیگر هکرها)
  • حمله های تخریب وب سایت جهت دریافت مبلغ بابت رفع مشکلات هک شدن سایت
  • حمله به وب سایت جهت دریافت اطلاعات کاربران و اطلاعات محرمانه
  • حمله به وب سایت جهت استفاده از کدهای استفاده شده اختصاصی در وب سایت
  • حمله به وب سایت جهت دسترسی گرفتن هاست شما و استفاده از منابع هاست جهت مصرف های شخصی هکرها

در صورتی که به امنیت وردپرس وب سایت خود نرسید حتما هکرها در نهایت موفق می شوند تا دسترسی به وب سایت شما پیدا کنند و خرابکاری هایی در قسمت امنیت وب سایت شما بوجود بیاید. هکرها روش های مختلفی برای مقاصد خودشان استفاده می کنند. این حملات و تخریب وب سایت ها تنها یک عامل خیلی مهم را بوجود می آورد و آن عدم اعتماد کاربران به وب سایت شما می باشد. تمامی هیثیت و کارهای کسب و کار شما در معرض خطر می شود و ممکن است اعتماد مشتریان را بطور کامل از دست بدهید. در ادامه چند مورد خیلی مهم جهت جلوگیری از حملات هکرها بیان می کنیم . با الف سرور همراه باشید.

1- استفاده از افزونه های امنیتی

استفاده از افزونه های امنیتی نظیر وردفنس (WordFence) کار شما را بسیار راحت می کند اما به تنهایی شاید کارساز نباشد و ممکن است سایت شما در مقابل خیلی از حملات حفره امنیتی داشته باشد. این افزونه با اسکن کامل تمامی وب سایت شما و بررسی دقیق فایل ها و افزونه های استفاده شده در وب سایت شما را از وضعیت کلی وب سایت آگاه می کند. ممکن است حملات از نوع بروت فورس باشد که با تنظیمات دقیق این افزونه می توانید کلیه این حملات را ببندید و از این حمله های هکر ها راحت شوید. حملات بروت فورس معمولا با تست کردن نام کاربری های ادمین و پسورد لیست های مشخص صورت می گیرد که این افزونه میزان تعداد دفعات اشتباه وارد شدن رمز عبور و همچنین نام کاربری هایی که در سیستم وردپرس وجود ندارد را محدود می کند و از جملات هکرها جلوگیری می کند.

همچنین می توانید با اسکن کردن کل وب سایت و تنظیمات در عمق جستجوهای فایل های مخرب و یا فایل های تغییر داده شده در هاستتان از خیلی از کدهای استفاده شده و مغایرت افزونه ها یا قالب با نسخه های اصلی آگاه شوید. همچنین این افزونه فایل را جداگانه جهت وجود کدهای مشکوک بررسی می کند که می توانید با مشاهده گزارش لاگ امنیتی اگر این فایل های آلوده باشد اقدام به اصلاح فایل و یا حذف کامل فایل نمایید.

2- استفاده از رمز عبورهای قوی

معمولا افراد از ترکیب اسم شماره شناسنامه و کد ملی و یا تاریخ تولد و امثال این موارد برای رمز عبور استفاده می کنند. دقت کنید رمز عبور شما باید حداقل 8 کاراکتر باشد و همچنین از ترکیب تمامی اعداد، حروف کوچک و بزرگ، کاراکترهای غیر حرف و عدد (Symbols) و دیگر موارد استفاده کنید . این عامل باعث می شود تا حدس زدن رمز عبور توسط ربات های بروت فورس سخت تر شود و در ترکیب های قوی احتمال بدست آمدن رمز عبور بسیار پایین باشد.

3- تغییر آدرس ورودی به وردپرس

معمولا دسترسی به صفحه ادمین و مدیریت وردپرس آدرس از پیش تعریف شده wp-admin می باشد. با تغییر این آدرس می توانید دسترسی ربات ها و هکرها به صفحه مدیریت سایت خود را ببندید و کار هک شدن سایت خودتان را اندکی سخت تر کنید . می توانید از افزونه های تغییر آدرس صفحه مدیریت وردپرس برای این امر استفاده نمایید. اما دقت داشته باشید این روش برای خیال راحت بودن شما جهت عدم دسترسی همگانی به این صفحه می باشد. با رعایت تنظیمات افزونه های امنیتی اگر این صفحه نیز در معرض دید عموم قرار داشته باشد و حتی هکرها و ربات ها هم بتوانند به این صفحه دسترسی داشته باشند مورد خاصی برای سایت شما بوجود نمی آید.

4- ورود ناموفق

سیاست سایت خود را برای تعیین حداکثر تعداد رمز ناموفق مشخص کنید . در صورتی که کاربران که میخواهند به وردپرس و صفحه مدیریتی دسترسی دابشته باشند چند دفعه مجاز به اشتباه وارد کردن رمز عبور خود هستند ؟ در سایت هایی که موارد مهمی در آنها موجود می باشد می توانید حتی تا 3 بار این محدودیت را اعمال کنید . پیشنهاد ما برای سایت ها تعداد 10 مرتبه می باشد. اما همان طور که در بالا برای رعایت امنیت وردپرس گفته شد می توانید تنظیمات را به گونه ای بگذارید تا اگر نام کاربری در سیستم موجود نباشد در دفعه اول آی پی هکر و یا ربات بسته شود و از طریق ip بلاک شده تا مدت ساعت مشخص نتواند به صفحه مدیریت سایت دسترسی داشته باشد.

5- عدم تخصیص نام کاربری admin

استفاده نکردن از این نام کاربری در امنیت وردپرس نقش بسزایی دارد. چرا که در صورتی که از این نام کاربری استفاده کنید یک مرجله کار جملات را راحت تر می کنید ! چرا که در ورودی به سایت شما مشخص شده است اما کلید درب ورودی هنوز در اختیار هکر قرار نگرفته است ! پس توصیه اکید می کنیم از این نام کاربری اصلا استفاده نکنید. حتی از نام کاربری هایی که از مشتقات این نام کاربری هستند نیز استفاده نشود. نام کاربری هایی همچون admin یا administrator و …

6- قالب وب سایت

از قالب های مطمئن برای طراحی وب سایت خود استفاده کنید. قصد تخریب وب سایتی را نداریم اما اکثر قالب هایی که در ایران در حال فروش هستند قفل شده هستند و شما نمی دانیید چه کدهایی داخل قالب ایجاد شده است و شرکت های فروشنده هیچ مسئولیتی بابت وجود بدافزار و ویروس در قالب های قبول نمی کنند. توصیه ما به شما استفاده از قالب هایی هست که از امنیت وردپرس در آنها کاملا مطلع هستید و یا خرید از وب سایت های معتبر جهانی همچون ThemeForest و امثال آن می باشد. یادتان باشد قالبی که در سایت اصلی Themeforst به مبلغ 60 دلار قرار داده شده است هیچگاه فردی آن را با مبلغ بسیار پایین تر به شما نمی دهد مگر مشکلی در این وسط وجود داشته باشد ! اندکی تامل کنید…

7- استفاده از گواهینامه امنیتی SSL

یکی دیگر از روش های امنیت وردپرس استفاده از گواهینامه های امنیتی برای اتصال به سرور می باشد. در حالت عادی دامنه های سایت ها با پروتکل های HTTP بارگذاری می شود اما استفاده از گواهینامه امنیتی با تغییر پروتکل اتصال به HTTPS امکان ایجاد ارتباط رمزگذاری شده با سرور شما را فراهم می کند. این روش باعث می شود ارتباط با سرور امن تر شود و کار هکر ها در بعضی مراحل بسیار سخت تر شود. چرا که گواهینامه امنیتی برای سایت شما در صورت اینکه از گواهینامه های پولی استفاده کنید ! همانند یک فرهنگ لغت مخصوص سایت شما می باشد که فقط این ارتباط بین سایت و کاربر از طریق همین فرهنگ لغت انجام می شود و اگر فردی این فرهنگ لغت را در دسترس نداشته باشد نمی تواند چیزی ار این ارتباط متوجه شود . گواهینامه های امنیتی رایگان باید بطور مداوم هر 3 ماه تمدید شود و کد رمزگذاری عوض می شود ولی استفاده از گواهینامه های امنیتی غیررایگان یک ساله خریداری می شود و دیگر نیازی به تمدید هر 3 ماه نمی باشد.

8- بروزرسانی سیستم و افزونه ها

وردپرس بدلیل وجود حفره های امنیتی و همچنین پیشرفت و افزایش نیاز به موارد بیشتر دائما در حال بروزرسانی می باشد. جهت افزایش امنیت وردپرس خود دقت داشته باشید که این بروزرسانی ها را ازدست ندهید و کاملا سیستم وب سایت از قبیل هسته وردپرس، قالب ها، افزونه ها و دیگر موارد را بروزرسانی کنید. دقت داشته باشید که بروزرسانی در وب سایت های وردپرسی تنها یک کلیک نمی باشد ! چرا که در بعضی موارد بروزرسانی هسته وردپرس و یا قالب و افزونه ها باعث بوجود آمدن تداخل در کل سیستم می شود و ممکن است سایت شما دچار مشکلات جدی شود . توصیه ما به شما کمک گرفتن از افراد متخصص در این زمینه می باشد که تسلط کافی به تمامی کدهای وب سایت شما و افزونه های استفاده شده و عدم وجود تداخل بین انها داشته باشد.

9- عدم نمایش ورژن وردپرس

اگر نسخه وردپرس خود را معرض عموم قرار داده اید (این کد در قسمت سورس وب سایت که با رایت کلیک بر روی صفحه و مشاهده Source Code انجام می شود قابل رویت است )، وظیفه هکرها بعد از بدست آوردن نسخه وردپرس شما، استفاده از الگوریتم های خاص برای هک کردن وب سایت شما می باشد که در صورتی که نسخه وردپرس خود را باز گذاشته اید این کار برای هکرها بسیار راحت تر می شود. در امنیت وردپرس دقت داشته باشید تا این کد نسخه وردپرس در وب سایت خود را بسته باشید.

10- بک آپ گیری

حالا سوال مطرح می شود که این عملیات ها را انجام دهیم سایت ما بصورت کامل امن هستش !؟ جواب با قاطعیت خیر می باشد! چرا که همیشه راهی برای نفوذ به وسایت ها و سامانه ها وجود دارد که برنامه نویسان و طراحان هنوز آنها را نمی دانند! ممکن است هکرها دانش استفاده از حرفه های امنیتی را بدانند و از طریق آنها به وب سایت شما دسترسی پیدا کنند و بتوانند تمامی هویت و اطلاعات کسب و کار شما را در خطر بیاندازند. چاره چیست ؟! با رعایت کردن تمامی موارد توصیه میکنیم بک آپ جهت افزایش امنیت وردپرس خود بصورت منظم داشته باشید. سرورهای الف سرور بصورت روزانه این کار را انجام می دهند و تا یک هفته این بک آپ ها بر روی سرور های الف نگهداری می شود و بعد از مدت یک هفته اولین روز بک آپ گیری از بین می رود. لذا توصیه میکنیم در هر مزحله مهم از وب سایت خودتان بک آپ تهیه کنید و این عمل را بصورت منظم انجام دهید. چرا !؟ بدلیل اینکه هکرها در صورتی که حفره ای به وب سایت شما پیدا کنند ممکن است در همان روز و یا لحظه وب سایت دچار مشکل نشود! هکرها منتظر فرصت هستند تا بک آپ های موجود شما نیز آلوده شود که کارهای آنها سوخت نشود و اگر اقدام به بازگردانی بک آپ کردید بتوانند از نقظه ای که برای آنها ذخیره شده است کار را ادامه دهند. بطور مثال یکی از سایت ها هک شده است و چند هفته از ورود هکرها و دسترسی به فایل های وب سایت گذشته است. هکر در پایان ماه اقدام به ایجاد تغییرات در وب سایت و پاک کردن و یا ایجاد کدهای مخرب در وب سایت شما می کند که در صورتی که شما وارد سیستم پنل مدیریت وب سایت خود شوید کدهای هکر اجرا شود و سایت شما بطور دایمی دچار مشکل شود.

 

No Comments
برچسب ها :

مطالب مرتبط

26 آوریل

وردپرس چیست
وردپرس چیست ؟

Leave a Comment

آخرین مطالب الف سرور

امنیت وردپرس

آوریل 27, 2022
وردپرس چیست

وردپرس چیست ؟

آوریل 26, 2022

در هر مرحله روی ما حساب کنید …

کسب و کار شما و موفقیت آن به اندازه شما برای ما اهمیت دارد !

09302766637 – 02634944826

همیشه در دسترس هستیم !

درباره الف

گروه خدمات کسب و کار الف در سال 1401 با تشکلی از متخصصین حوزه های طراحی بصورت رسمی راه اندازی شد. هدف الف ارائه خدمات با کیفیت بر مبنای وب و پوشش تمام نیازهای کسب و کارها در دنیای اینترنت می باشد تا خیال شما از تمامی جهات راحت باشد !

Instagram
Whatsapp
Telegram

ناحیه کاربری

کسب و کار مجازی الف

نماد اعتماد الکترونیک