آموزش وردپرس, شبکه و امنیت

افزایش امنیت وردپرس – داستان هک شدن سایت کارفرما!

افزایش امنیت وردپرس
13 آبان

افرادی که سایت آن‌ها روی وردپرس است باید همیشه به فکر امنیت سات خود باشند و موارد مهمی را رعایت کنند زیرا با افزایش امنیت وردپرس دیگر از خطرات و حمله‌های ناگهانی به ساییتان جلوگیری می‌کنید. همراه ما در این مطلب باشید تا به شما چندین راهکار برای امنیت بیشتر سایتتان معرفی کنیم.

وردپرس چیست؟

وردپرس یک سیستم مدیریت محتوا بر پایه زبان PHP می‌باشد. یک سیستم از پیش طراحی شده با هدف راحت کردن عملیات طراحی سایت برای شما عزیزان. در واقع وردپرس یک CMS رایگان و قابل توسعه برای ایجاد و طراحی وب سایت‌های مختلف شخصی، شرکتی، فروشگاهی و… می‌باشد. امروزه بیش از 75 میلیون سایت در سراسر جهان با استفاده از وردپرس ساخته شده‌اند. این بدین معناست که بیش از 58 درصد سایت‌های جهان با سیستم مدیریت محتوای وردپرس طراحی شده‌اند.

معرفی برخی از سایت‌های معروف طراحی شده با word press

  • Sony Music
  • MTV News
  • The New York Times
  • Walt Disney Company
  • BBC America
  • Astra
  • 10Web
  • TechCrunch
  • The official Star Wars Blog

افزایش امنیت وردپرس

 

اما آیا محبوبیت وردپرس دلیل محکمی برای اثبات امنیت بالای آن در برابر نفوذ هکرها نیز می‌باشد؟

تیم وبسیلا در تابستان سال 1398 سرگرم انجام پروژه‌ی عظیمی برای یک موسسه پزشکی واقع در خیابان گاندی در استان تهران شد. پیشنهاد تیم ما برای این مرکز، طراحی سایت به صورت کدنویسی اختصاصی بود و نه استفاده از سیستم مدیریتی وردپرس. نهایتا به دلیل مخالفت صاحبان امتیاز این پروژه، قرار بر این شد تا طراحی سایت این مرکز با استفاده از CMS وردپرس در دستور کار آژانس سئو و طراحی سایت وبسیلا قرار گیرد.

پس از تکمیل وب سایت و بارگذاری آن در بستر اینترنت، طولی نکشید تا این وب سایت با یک تهدید امنیتی بزرگ مواجه شد. این تهدید امنیتی، نه تنها برای ما، بلکه در یک برهه زمانی کوتاه، برای چندین وب سایت بزرگ دیگر در ایران از جمله وب سایت راست چین نیز اتفاق افتاد که آن‌ها نیز همگی از سیستم مدیریت محتوای وردپرس استفاده می‌کنند.

امنیت در وردپرس

به لطف خدا، با تلاش مجموعه وبسیلا و با همکاری شرکت کسرا پردازش پاسارگاد، تمام فایل‌های موجود بر روی سرور جهت پاکسازی بخش‌های مخرب بررسی و پس از تلاش‌های شبانه روزی این مشکل شناسایی و برطرف شد. در این مقاله در آژانس سئو و طراحی سایت وبسیلا می خواهیم به بررسی علت این موضوع بپردازیم.

مشکل امنیت در وردپرس چه بود؟

در یک جمله کوتاه بگوییم : لایسنس نامعتبر برخی از افزونه‌های سوار شده بر روی قالب می‌تواند باعث این مشکلات شود. البته که نمی‌توان این مشکل را مستقیما به خود وردپرس ربط داد. به طور کلی هر سیستم از پیش ساخته‌ای که باشد می‌تواند مورد سوء استفاده سود جویان قرار گیرد. این ما هستیم که تصمیم میگیریم از چه افزونه‌ها و چه قالب‌هایی برای کارمان استفاده کنیم.

افزونه و قالب وردپرس چیست؟

هر وب سایت ایجاد شده با وردپرس، از یک قالب و تعدادی افزونه تشکیل شده است. ما بنا به نیاز خود در هر سایتی مجبور به استفاده از افزونه‌هایی هستیم. افزونه یا پلاگین در وردپرس، ماژول هایی هستند که روی سایت های وردپرسی سوار شده و هر یک کار مخصوص به خود را انجام می‌دهد.

برخی قالب‌های وردپرس برای نصب روی هاست، نیاز به افزونه‌های خاصی دارند. اگر بخواهم به عنوان یک متخصص امنیت در وردپرس جمله ای را به شما عزیزان بگویم این است که، با شرکت‌ها و تیم‌های نوپایی که اقدام به ترجمه و فروش افزونه و قالب‌های وردپرسی می نمایند همکاری نکنید. بعد از رعایت کردن این مهم، می رسیم به بحث آپدیت نگه داشتن وب سایت. با ما همراه باشید.

بروزرسانی ورژن php هاست

همانطور که گفتیم وردپرس بر پایه زبان php نوشته شده است. بنابراین امنیت آن مستقیما به امنیت زبان برنامه نویسی php بر می‌گردد. اگر زبانی مثل php توابع خود را از نظر امنیتی بروز نکند، چطور ممکن است که یک سیستم نوشته شده با زبان php امن باشد! خوشبختانه توسعه دهندگان این زبان محبوب همواره این بروزرسانی‌ها را جهت افزایش سرعت و امنیت زبان انجام می‌دهند. این ما هستیم که 5 سال پیش سایتی را طراحی کرده و به حال خود رها کرده ایم و فکر میکنیم امنیت آن دستخوش هیچ تغییراتی نمی شود و ثابت می‌ماند. اما واقعیت این است که با گذر زمان اگر یک وب سایت بروزرسانی نشود از نظر امنیتی افت می‌کند. به همین دلیل قبل از اقدام به خریدن هاست و سرور، به ورژن php سرویس‌های ارائه شده توسط شرکت هاستینگ و ریتم بروزرسانی آن‌ها توجه نمایید.

آپدیت ورژن php در cpanel

پس از ورود به سی پنل، به دنبال گزینه php version یا “تغییر نسخه php” بگردید.

امنیت در وردپرس

پس از آن در صفحه مورد نظر می توانید به راحتی ورژن php مورد نظر خود را انتخاب نمایید.

امنیت در وردپرس

تغییر ورژن php در direct admin

در پنل دایرکت ادمین برای تغییر نسخه php می بایست به بخش domain setup یا در زبان فارسی به “مدیریت دامین های اصلی” مراجعه کنید.

امنیت در وردپرس

امنیت در وردپرس

در صفحه ی بعدی روی پوشه مورد نظرتان که قصد تغییر ورژن php آن را دارید کلیک کنید. سپس می توانید نسخه php مورد نظر خود را انتخاب نمایید.

امنیت در وردپرس

نکاتی برای حفظ افزایش امنیت وردپرس

  • بروزرسانی نرم‌افزار و قالب‌ها: مطمئن شوید که وردپرس، پلاگین‌ها و قالب‌های استفاده شده در وبسایتتان به آخرین نسخه بروزرسانی شده‌اند. به‌روزرسانی‌ها عموماً شامل تعمیر خطاهای امنیتی و بهبودهایی است که می‌تواند از آسیب‌پذیری‌ها و نقاط ضعف پتانسیلی در سیستم جلوگیری کند.
  • استفاده از پلاگین‌های امنیتی: نصب و فعال‌سازی پلاگین‌های امنیتی می‌تواند به شما کمک کند تا وبسایتتان را در برابر حملات مخرب و نفوذهای احتمالی محافظت کنید. پلاگین‌هایی مانند Wordfence، Sucuri Security و iThemes Security می‌توانند امکاناتی مانند حفاظت در برابر نفوذ، شناسایی تلاش‌های ورود غیرمجاز، اسکن و رفع آسیب‌پذیری‌ها و موارد دیگر را فراهم کنند.
  • استفاده از گواهی امنیتی SSL: نصب و فعال‌سازی گواهی امنیتی SSL (Secure Sockets Layer) بر روی وبسایتتان ارتباط رمزنگاری شده بین مرورگر کاربر و سرور وب شما را فراهم می‌کند. این کار باعث افزایش امنیت ارتباط و جلوگیری از سرقت اطلاعات حساس می‌شود.
  • تنظیمات قوی رمز عبور و نام کاربری: از رمزهای عبور قوی و مناسب برای حساب کاربری اصلی و دیگر حساب‌های کاربری در وردپرس استفاده کنید. همچنین، از نام کاربری پیشفرض “admin” استفاده نکنید و به جای آن یک نام کاربری منحصر به فرد انتخاب کنید.
  • محدود کردن تعداد تلاش‌های ورود ناموفق: با استفاده از پلاگین‌های امنیتی یا فایل .htaccess، می‌توانید تعداد تلاش‌های ناموفق برای ورود به سیستم را محدود کرده و به طور خودکار آی‌پی‌هایی که تعداد تلاش‌های بیش از حد را داشته‌اند، مسدود کنید.
  • محدود کردن دسترسی به فایل‌های حساس: مطمئن شوید که فایل‌های حساس مانند wp-config.php که شامل اطلاعات حساس هستند، دسترسی محدودی داشته باشند.
  • احراز هویت دو عاملی (2FA): فعال کردن 2FA لایه اضافی امنیت به فرآیند ورود به سیستم وردپرس شما اضافه می‌کند. با فعال کردن 2FA، کاربران مجبور هستند علاوه بر نام کاربری و رمز عبور، یک فرم تأیید دومی مانند یک کد منحصر به فردی که به گوشی همراه آن‌ها ارسال می‌شود، را ارائه دهند.
  • پشتیبان‌گیری (بکاپ) منظم: به طور منظم وبسایت وردپرس خود را به یک مکان راه دور یا یک سرویس ذخیره‌سازی ابری امن پشتیبان‌گیری کنید. در صورت وقوع نقض امنیتی یا از دست دادن داده‌ها، داشتن پشتیبان‌های به‌روز به شما امکان بازیابی سریع وبسایت خود را می‌دهد.
  • استفاده از rewriterule wp
  • حذف فایل wp-config-sample پس از نصب قالب
  • انجام برخی تنظیمات امنیتی در بخش پنل مدیریت سایت
  • آپدیت منظم ورژن وردپرس
  • کنترل دسترسی ها با استفاده از فایل .htaccess
  • عدم استفاده از کلمه عبور ضعیف
  • حفاظت از فولدر wp-admin
  • تغییر URL ورود به پنل مدیریت وردپرس
  • غیر فعال کردن سیستم دیباگ وردپرس از طریق فایل wp-config
  • استفاده از گواهی ssl
  • Xml-rpc
  • تغییر پیشوند جداول پیشفرض در دیتابیس وردپرس

کلام نهایی وبسیلا

با اعمال این تدابیری که در وبسیلا گفتیم، امنیت وبسایت وردپرس شما به طور قابل ملاحظه‌ای تقویت خواهد شد. همچنین، حتما به خاطر داشته باشید که امنیت یک فرآیند مداوم است و باید به صورت مستمر نظارت و بروزرسانی‌های لازم را انجام دهید. اگر سوال و مشکلی در نحوه بروزرسانی‌ها و امنیت سایت برای شما پیش آمد، در کامنت‌ها از ما بپرسید تا شما را راهنمایی کنیم.

جدیدتر حقوق برنامه‌ نویس فرانت اند در ایران [آپدیت 1403]+ جدول
بازگشت به لیست
قدیمی تر ارتباط بین زبان HTML و دانش سئو

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *