چند نکته برای امنیت وردپرس

چند نکته برای برقراری امنیت وردپرس

امروزه وردپرس به یکی از cmsهای پرکاربرد بین کاربران تبدیل شده است اما در بعضی مواقع به دلیل عدم رعایت نکات امنیتی امکان دارد که به تور هکرهای کلاه سیاه برخورد کند.

آیا وردپرس امن است؟

جواب این سوال بستگی به افراد دارد زیرا وردپرس تا زمانی که بهترین شیوه های امنیتی بر روی آن پیاده سازی شود، بسیار امن است . از آنجایی که وردپرس ۲۵ درصد از تمام وبسایت ها را شامل می شود، آسیب پذیری های امنیتی زیادی برای آن منتشر می شود زیرا خیلی از طراح های وب مسائل امنیتی را به خوبی رعایت نمی کنند. در صورتی که اگر یک هکر بتواند راهی برای دسترسی به یکی از ۷۰۰ میلیون وبسایت وردپرس در وب پیدا کند، میتواند برای سایر وب سایت هایی که تنظیمات امنیتی مشابهی دارند نیز نفوذ کند.

وردپرس یک سیستم مدیریت محتوای اوپن سورس است و متشکل از تیمی است که به طور شبانه روزی برای شناسایی و رفع مسائل امنیتی وردپرس که در کد اصلی قرار دارند کار می کنند. تا درصورتی که یک آسیب پذیری جدید پیدا شود، بلافاصله به رفع باگ آن بپردازند. به همین دلیل است که به روز نگه داشتن وردپرس به آخرین نسخه به طور باورنکردنی برای امنیت کلی وب سایت شما مهم است. البته خوب است بدانید که آسیب پذیری های امنیتی وردپرس فراتر از هسته وردپرس میباشند و اکثرا به تم ها یا افزونه هایی که در سایت شما نصب میباشند، گسترش می یابد.

براساس گزارش اخیر wpscan.org، تعداد ۳،۹۷۲ آسیب پذیری امنیتی شناخته شده است که مربوط به مسائل زیر می باشد:

  • ۵۲% پلاگین ها یا افزونه های نصب شده
  • ۳۷% مربوط به هسته وردپرس
  • ۱۱% مربوط به قالب ها یا تم های نصب شده

سایت وردپرس چگونه هک می شود؟

عوامل متعددی می توانند سایت وردپرس شما را به خطر بی اندازند که متداول ترین آنها عبارتند از:

کلمات عبور ضعیف

استفاده از رمز عبور ضعیف یکی از بزرگترین آسیب پذیری های امنیتی است که شما به راحتی می توانید آن را جلوگیری کنید. گذرواژه ادمین WordPress شما باید قوی باشد متشکل از انواع مختلفی از کاراکترها، علامت ها یا اعداد باشد. علاوه بر این، گذرواژه شما باید خاص سایت وردپرس شما باشد و در هیچ جای دیگر استفاده نشود.

عدم به روز رسانی وردپرس، پلاگین ها و یا تم ها

اجرای نسخه های منسوخ شده پلاگین ها و تم ها می تواند شما را در برابر حملات آسیب پذیر کند. به روز رسانی ها اغلب برای مسائل امنیتی در کدها می باشند، بنابراین همیشه مهم است که آخرین نسخه از تمام افزونه ها و تم های نصب شده در وب سایت وردپرس خود را اجرا کنید. به روز رسانی ها در داشبورد وردپرس شما در دسترس خواهند بود. همچنین لازم است تا هرزگاهی یک نسخه پشتیبان از وب سایت خود تهیه کنید که این میتواند در موارد حساسی به داد شما برسد برای مثال ممکن است یک به روز رسانی برای وب سیات شما ناخوشایند یا خسته کننده باشد، که در صورت داشتن نسخه پشتیبان میتوانید آنرا بازیابی کنید. اگر شما بیش از یک وب سایت وردپرس را مدیریت می کنید، ابزاری مانند iThemes Sync می تواند با دادن یک داشبورد برای مدیریت چندین سایت وردپرس به شما کمک کند.

استفاده از پلاگین ها و تم ها از منابع غیر قابل اعتماد

افزونه ها یا تم های ناامن یا منسوخ شده یکی از رایج ترین روش هایی است که مهاجمان می توانند به وب سایت وردپرسی شما نفوذ کنند. از آنجا که پلاگین ها و تم ها منابع ناامن آسیب پذیری های امنیتی زیادی دارند، به عنوان بهترین روش امنیتی، تنها پلاگین ها و تم های وردپرس را از منابع معتبر مانند سایت خود WordPress.org یا از شرکت هایی که مدتی در حال کار هستند تهیه کنید.

استفاده از هاستینگ های ضعیف

از آنجای که در اکثر مواقع هکر ها برای نفوذ به وب سایت شما به سراغ وب سرور شما هم میرند پس باید از یک میزبان خیلی قوی و معتبر استفاده کنید زیرا میزبانی های کیفیت پایین باعث آسیب پذیر شدن سایت شما می شوند. استفاده از هاستینگ مشترک نیز می تواند نگران افرین باشد، زیرا وب سایت های متعدد در یک سرور ذخیره می شوند و اگر یک وبسایت هک شده باشد، مهاجمان ممکن است از روش هایی مانند سیملینک و… به وب سایت های دیگر نیز دسترسی پیدا کنند. اما در هر صورت به دلیل گران بودن هاستینگ اختصاصی اکثرا از میزبانی اشتراکی استفاده می کنند.

چند نکته درباره امن سازی cms وررپرس

در ادامه نیز چند مورد برای امن کردن سیستم مدیریت محتوای وردپرس خواهیم آموخت:

  • کپی متن زیر در robot.txt
User-agent: *
Disallow: /pscripts/
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /unixtux/
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /wp-includes/js
Disallow: /trackback
Disallow: /category/*/*
Disallow: */trackback
Disallow: /*?*
Disallow: /*?
Disallow: /*~*
Disallow: /*~
  • مخفی کردن صفحه login
  • اینکد کردن فایل config
  • امن سازی فایل robot
  • امن سازی فایل htaccess.
  • استفاده از capcha
  • حذف فایل setup_config بعد از نصب
  • اپدیت روزانه(درصورت وجود)
  • استفاده از افزونه های امنیتی
  • دانلود افزونه ها و تم ها از سایت های معتبر
  • عدم استفاده از پسورد های ضعیف
  • غیر فعال کردن قابلیت ویرایش قالب از درون پنل وردپرس. کافیه به آخر فایل config.php درون هاست عبارت زیر رو اضافه کنید.
;(define(‘DISALLOW_FILE_EDIT’, true

امیدوارم این مطلب هم براتون مفید واقع شده باشه.

1 دیدگاه
  1. احمدرضا می گوید

    سلام. بسیار ممنونم بابت این مطلب مفید. لطفا موارد زیر رو توضیح بدید که به چه شکلی باید انجام بگیره:
    اینکد کردن فایل config
    امن سازی فایل robot
    امن سازی فایل htaccess.

نوشتن دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.