وبلاگ
افزایش امنیت وردپرس – داستان هک شدن سایت کارفرما!
افرادی که سایت آنها روی وردپرس است باید همیشه به فکر امنیت سات خود باشند و موارد مهمی را رعایت کنند زیرا با افزایش امنیت وردپرس دیگر از خطرات و حملههای ناگهانی به ساییتان جلوگیری میکنید. همراه ما در این مطلب باشید تا به شما چندین راهکار برای امنیت بیشتر سایتتان معرفی کنیم.
وردپرس چیست؟
وردپرس یک سیستم مدیریت محتوا بر پایه زبان PHP میباشد. یک سیستم از پیش طراحی شده با هدف راحت کردن عملیات طراحی سایت برای شما عزیزان. در واقع وردپرس یک CMS رایگان و قابل توسعه برای ایجاد و طراحی وب سایتهای مختلف شخصی، شرکتی، فروشگاهی و… میباشد. امروزه بیش از 75 میلیون سایت در سراسر جهان با استفاده از وردپرس ساخته شدهاند. این بدین معناست که بیش از 58 درصد سایتهای جهان با سیستم مدیریت محتوای وردپرس طراحی شدهاند.
معرفی برخی از سایتهای معروف طراحی شده با word press
- Sony Music
- MTV News
- The New York Times
- Walt Disney Company
- BBC America
- Astra
- 10Web
- TechCrunch
- The official Star Wars Blog
اما آیا محبوبیت وردپرس دلیل محکمی برای اثبات امنیت بالای آن در برابر نفوذ هکرها نیز میباشد؟
تیم وبسیلا در تابستان سال 1398 سرگرم انجام پروژهی عظیمی برای یک موسسه پزشکی واقع در خیابان گاندی در استان تهران شد. پیشنهاد تیم ما برای این مرکز، طراحی سایت به صورت کدنویسی اختصاصی بود و نه استفاده از سیستم مدیریتی وردپرس. نهایتا به دلیل مخالفت صاحبان امتیاز این پروژه، قرار بر این شد تا طراحی سایت این مرکز با استفاده از CMS وردپرس در دستور کار آژانس سئو و طراحی سایت وبسیلا قرار گیرد.
پس از تکمیل وب سایت و بارگذاری آن در بستر اینترنت، طولی نکشید تا این وب سایت با یک تهدید امنیتی بزرگ مواجه شد. این تهدید امنیتی، نه تنها برای ما، بلکه در یک برهه زمانی کوتاه، برای چندین وب سایت بزرگ دیگر در ایران از جمله وب سایت راست چین نیز اتفاق افتاد که آنها نیز همگی از سیستم مدیریت محتوای وردپرس استفاده میکنند.
به لطف خدا، با تلاش مجموعه وبسیلا و با همکاری شرکت کسرا پردازش پاسارگاد، تمام فایلهای موجود بر روی سرور جهت پاکسازی بخشهای مخرب بررسی و پس از تلاشهای شبانه روزی این مشکل شناسایی و برطرف شد. در این مقاله در آژانس سئو و طراحی سایت وبسیلا می خواهیم به بررسی علت این موضوع بپردازیم.
مشکل امنیت در وردپرس چه بود؟
در یک جمله کوتاه بگوییم : لایسنس نامعتبر برخی از افزونههای سوار شده بر روی قالب میتواند باعث این مشکلات شود. البته که نمیتوان این مشکل را مستقیما به خود وردپرس ربط داد. به طور کلی هر سیستم از پیش ساختهای که باشد میتواند مورد سوء استفاده سود جویان قرار گیرد. این ما هستیم که تصمیم میگیریم از چه افزونهها و چه قالبهایی برای کارمان استفاده کنیم.
افزونه و قالب وردپرس چیست؟
هر وب سایت ایجاد شده با وردپرس، از یک قالب و تعدادی افزونه تشکیل شده است. ما بنا به نیاز خود در هر سایتی مجبور به استفاده از افزونههایی هستیم. افزونه یا پلاگین در وردپرس، ماژول هایی هستند که روی سایت های وردپرسی سوار شده و هر یک کار مخصوص به خود را انجام میدهد.
برخی قالبهای وردپرس برای نصب روی هاست، نیاز به افزونههای خاصی دارند. اگر بخواهم به عنوان یک متخصص امنیت در وردپرس جمله ای را به شما عزیزان بگویم این است که، با شرکتها و تیمهای نوپایی که اقدام به ترجمه و فروش افزونه و قالبهای وردپرسی می نمایند همکاری نکنید. بعد از رعایت کردن این مهم، می رسیم به بحث آپدیت نگه داشتن وب سایت. با ما همراه باشید.
بروزرسانی ورژن php هاست
همانطور که گفتیم وردپرس بر پایه زبان php نوشته شده است. بنابراین امنیت آن مستقیما به امنیت زبان برنامه نویسی php بر میگردد. اگر زبانی مثل php توابع خود را از نظر امنیتی بروز نکند، چطور ممکن است که یک سیستم نوشته شده با زبان php امن باشد! خوشبختانه توسعه دهندگان این زبان محبوب همواره این بروزرسانیها را جهت افزایش سرعت و امنیت زبان انجام میدهند. این ما هستیم که 5 سال پیش سایتی را طراحی کرده و به حال خود رها کرده ایم و فکر میکنیم امنیت آن دستخوش هیچ تغییراتی نمی شود و ثابت میماند. اما واقعیت این است که با گذر زمان اگر یک وب سایت بروزرسانی نشود از نظر امنیتی افت میکند. به همین دلیل قبل از اقدام به خریدن هاست و سرور، به ورژن php سرویسهای ارائه شده توسط شرکت هاستینگ و ریتم بروزرسانی آنها توجه نمایید.
آپدیت ورژن php در cpanel
پس از ورود به سی پنل، به دنبال گزینه php version یا “تغییر نسخه php” بگردید.
پس از آن در صفحه مورد نظر می توانید به راحتی ورژن php مورد نظر خود را انتخاب نمایید.
تغییر ورژن php در direct admin
در پنل دایرکت ادمین برای تغییر نسخه php می بایست به بخش domain setup یا در زبان فارسی به “مدیریت دامین های اصلی” مراجعه کنید.
در صفحه ی بعدی روی پوشه مورد نظرتان که قصد تغییر ورژن php آن را دارید کلیک کنید. سپس می توانید نسخه php مورد نظر خود را انتخاب نمایید.
نکاتی برای حفظ افزایش امنیت وردپرس
- بروزرسانی نرمافزار و قالبها: مطمئن شوید که وردپرس، پلاگینها و قالبهای استفاده شده در وبسایتتان به آخرین نسخه بروزرسانی شدهاند. بهروزرسانیها عموماً شامل تعمیر خطاهای امنیتی و بهبودهایی است که میتواند از آسیبپذیریها و نقاط ضعف پتانسیلی در سیستم جلوگیری کند.
- استفاده از پلاگینهای امنیتی: نصب و فعالسازی پلاگینهای امنیتی میتواند به شما کمک کند تا وبسایتتان را در برابر حملات مخرب و نفوذهای احتمالی محافظت کنید. پلاگینهایی مانند Wordfence، Sucuri Security و iThemes Security میتوانند امکاناتی مانند حفاظت در برابر نفوذ، شناسایی تلاشهای ورود غیرمجاز، اسکن و رفع آسیبپذیریها و موارد دیگر را فراهم کنند.
- استفاده از گواهی امنیتی SSL: نصب و فعالسازی گواهی امنیتی SSL (Secure Sockets Layer) بر روی وبسایتتان ارتباط رمزنگاری شده بین مرورگر کاربر و سرور وب شما را فراهم میکند. این کار باعث افزایش امنیت ارتباط و جلوگیری از سرقت اطلاعات حساس میشود.
- تنظیمات قوی رمز عبور و نام کاربری: از رمزهای عبور قوی و مناسب برای حساب کاربری اصلی و دیگر حسابهای کاربری در وردپرس استفاده کنید. همچنین، از نام کاربری پیشفرض “admin” استفاده نکنید و به جای آن یک نام کاربری منحصر به فرد انتخاب کنید.
- محدود کردن تعداد تلاشهای ورود ناموفق: با استفاده از پلاگینهای امنیتی یا فایل .htaccess، میتوانید تعداد تلاشهای ناموفق برای ورود به سیستم را محدود کرده و به طور خودکار آیپیهایی که تعداد تلاشهای بیش از حد را داشتهاند، مسدود کنید.
- محدود کردن دسترسی به فایلهای حساس: مطمئن شوید که فایلهای حساس مانند wp-config.php که شامل اطلاعات حساس هستند، دسترسی محدودی داشته باشند.
- احراز هویت دو عاملی (2FA): فعال کردن 2FA لایه اضافی امنیت به فرآیند ورود به سیستم وردپرس شما اضافه میکند. با فعال کردن 2FA، کاربران مجبور هستند علاوه بر نام کاربری و رمز عبور، یک فرم تأیید دومی مانند یک کد منحصر به فردی که به گوشی همراه آنها ارسال میشود، را ارائه دهند.
- پشتیبانگیری (بکاپ) منظم: به طور منظم وبسایت وردپرس خود را به یک مکان راه دور یا یک سرویس ذخیرهسازی ابری امن پشتیبانگیری کنید. در صورت وقوع نقض امنیتی یا از دست دادن دادهها، داشتن پشتیبانهای بهروز به شما امکان بازیابی سریع وبسایت خود را میدهد.
- استفاده از rewriterule wp
- حذف فایل wp-config-sample پس از نصب قالب
- انجام برخی تنظیمات امنیتی در بخش پنل مدیریت سایت
- آپدیت منظم ورژن وردپرس
- کنترل دسترسی ها با استفاده از فایل .htaccess
- عدم استفاده از کلمه عبور ضعیف
- حفاظت از فولدر wp-admin
- تغییر URL ورود به پنل مدیریت وردپرس
- غیر فعال کردن سیستم دیباگ وردپرس از طریق فایل wp-config
- استفاده از گواهی ssl
- Xml-rpc
- تغییر پیشوند جداول پیشفرض در دیتابیس وردپرس
کلام نهایی وبسیلا
با اعمال این تدابیری که در وبسیلا گفتیم، امنیت وبسایت وردپرس شما به طور قابل ملاحظهای تقویت خواهد شد. همچنین، حتما به خاطر داشته باشید که امنیت یک فرآیند مداوم است و باید به صورت مستمر نظارت و بروزرسانیهای لازم را انجام دهید. اگر سوال و مشکلی در نحوه بروزرسانیها و امنیت سایت برای شما پیش آمد، در کامنتها از ما بپرسید تا شما را راهنمایی کنیم.