بلاگ

جلوگیری از هک وردپرس
  •   نویسنده: مسعود
  • دوشنبه, ۲۲ فروردین ۱

جلوگیری از هک وردپرس

"وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که 43.2 درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند. متأسفانه، محبوبیت آن باعث جذب انواع مجرمان سایبری می شود که از آسیب پذیری های امنیتی این پلت فرم سوء استفاده می کنند."

این بدان معنا نیست که وردپرس دارای یک سیستم امنیتی وحشتناک است – نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد. بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.

ما در مورد ۲۲ روش برای بهبود امنیت وردپرس و محافظت از سایت شما در برابر حملات سایبری مختلف صحبت خواهیم کرد. این مقاله شامل بهترین شیوه ها و نکات خواهد بود – با یا بدون افزونه وردپرس. برخی از روش ها برای پلتفرم های دیگری غیر از وردپرس نیز قابل اجرا هستند.

اگر وب سایت شما هک شود، خطر از دست دادن داده ها، دارایی ها و اعتبار را دارید. علاوه بر این، این حادثه می تواند اطلاعات شخصی و اطلاعات صورتحساب مشتریان شما را به خطر بیندازد.هزینه خسارات جرایم سایبری می تواند تا سال ۲۰۲۵ به ۱۰.۵ تریلیون دلار در سال برسد . مطمئناً شما نمی خواهید به هدف هکرها تبدیل شوید و در این امر سهیم باشید.

بر اساس پایگاه داده آسیب‌پذیری WPScan ، اینها برخی از رایج‌ترین انواع آسیب‌پذیری‌های امنیتی وردپرس هستند:

جعل درخواست بین سایتی ( CSRF ) – کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه وب قابل اعتماد انجام دهد.
حمله دی داس ( DDoS ) – سرویس های آنلاین را با پرکردن اتصالات ناخواسته از کار می اندازد و در نتیجه یک سایت را غیرقابل دسترس می کند.
دور زدن احراز هویت – به هکرها امکان دسترسی به منابع وب سایت شما را بدون تأیید صحت آنها می دهد.
تزریق SQL ( SQLi ) – سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا کند و داده ها را در پایگاه داده دستکاری کند.
برنامه نویسی متقابل سایت ( XSS ) – کد مخربی را تزریق می کند که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.
گنجاندن فایل محلی ( LFI ) – سایت را مجبور به پردازش فایل های مخرب قرار داده شده در وب سرور می کند.

 

بهترین روش های عمومی برای بهبود امنیت وب سایت وردپرس چیست

در این بخش، به شش نکته کلی امنیتی وردپرس می پردازیم که به دانش فنی پیشرفته و سرمایه گذاری های پرخطر نیاز ندارند. حتی یک مبتدی نیز می تواند این کارهای ساده مانند به روز رسانی نرم افزار وردپرس و حذف تم های بلااستفاده را انجام دهد.

۱. نسخه وردپرس را به طور منظم به روز کنید

وردپرس به‌روزرسانی‌های نرم‌افزاری منظم را برای بهبود عملکرد و امنیت منتشر می‌کند. این به روز رسانی ها همچنین از سایت شما در برابر تهدیدات سایبری محافظت می کنند.به روز رسانی نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است. با این حال، نزدیک به ۵۰٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، قسمت مدیریت وردپرس خود را باز کنید و به پیشخوان،  آپدیت، در پنل بروید. اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.

مهم: قبل از هر کاری یک فول بک از طریق پنل هاست خود (سی پنل یا دایرکت ادمین) بگیرید که اگر تغییرات باعث مشکل احنمالی شد بتوانید بک آپ بر گردونید و اگر بلد نیستید با تماس با هاستینگ سایت خود بک آپ را تهیه کنید.اگر خودتان بک آپ می گیرید آن را دانلود و در جای امن در کامپیوتر خود نگهداری کنید

همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را از طریق آپدیت افزونه ها به روز کنید. تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.

نکته:

فعال کردن به‌روزرسانی‌های خودکار بار کاری شما را کاهش می‌دهد، اما می‌تواند وب‌سایت شما را به دلیل ناسازگاری با افزونه‌ها یا تم‌های قدیمی‌تر خراب کند. اگر این گزینه را فعال کردید، مطمئن شوید که از وب سایت شما به طور منظم نسخه پشتیبان تهیه شده است تا در صورت بروز خطا بتوانید به نسخه قبلی برگردید.

۲. از ورود امن WP-Admin استفاده کنید

یکی از رایج‌ترین اشتباهاتی که کاربران مرتکب می‌شوند استفاده از نام‌های کاربری ساده و قابل حدس زدن است، مانند «admin»،«administrator»یا «test» این سایت شما را در معرض خطر حملات(brute force) حدس نام کاربری قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایت‌های وردپرسی که پسورد قوی ندارند، استفاده می‌کنند.

بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.

همچنین، این مراحل را برای ایجاد یک حساب کاربری جدید سرپرست وردپرس با نام کاربری جدید دنبال کنید:

  • از داشبورد وردپرس خود به مسیر Users -> Add New بروید .
  • یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید . پس از اتمام کار ، یک رمز عبور قوی اضافه کنید و دکمه افزودن کاربر جدید را بزنید.
  • اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید. همچنین توصیه می کنیم از بیش از ۱۲ کاراکتر استفاده کنید زیرا شکستن رمزهای عبور طولانی تر بسیار سخت تر است.

پس از ایجاد نام کاربری مدیریت وردپرس جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل انجام این کار وجود دارد:

  • با اطلاعات کاربری جدید وردپرس خود وارد شوید.
  • به قسمت کاربران-کاربر جدید بروید .
  • اکانت مدیریت قدیمی را که می خواهید حذف کنید انتخاب کنید. منوی کشویی را به Delete تغییر دهید و روی Apply کلیک کنید .
  • تمام پست های قدیمی را به کاربر جدید اختصاص دهید

۳ Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید

فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند. برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri یا Wordfence  نیاز دارید .

با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد . URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند. هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد.

Sucuri یک ویژگی مشابه به نام فهرست سیاه مسیر URL دارد. ابتدا آدرس صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد. سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.

از طرف دیگر، با پیکربندی فایل htaccess . سایت خود، دسترسی به صفحه ورود خود را محدود کنید. برای دسترسی به فایل به دایرکتوری ریشه خود بروید.

مهم! قبل از ایجاد هر گونه تغییری، اکیداً به شما توصیه می کنیم از فایل htaccess . نسخه پشتیبان تهیه کنید. اگر مشکلی پیش بیاید، می توانید سایت خود را به راحتی بازیابی کنید.

افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.

و پیشنهاد ما:

افزونه ورد فنس | Wordfence که می توانید آن را از سایتهای معتبر ایرانی بخرید و با تنظیمات پیش فرض خود جلوی خیلی از حملات مخرب هکر را به سایت شما می گیرد.این افزونه به فارسی ترجمه شده است و به راحتی می توانید قوانین سختگیرانه برای سایت خود اعمال کنید

برای مثال اگر در ترافیک زنده این نرم افزار IP های زیادی با رنگ قرمز(ربات) مشخص و مسدود می شوند می توانید به کشور که این حملات از آنها صورت می گیرد توجه کنید و در الگو سفارشی آن کشور را مسدود یا برایش مشخص کنید مجاز به چند کلیک برای هر کاربر است و اگر برای مثال مشخص کنید 30 کلیک در دقیقه و ربات درخواست بیشتری ارسال کند قفل یا مسدود می شود.

و بیشمار تنظیمات حرفه ای دارد که در سایت ورد فنس کامل توضیح داده شده است.

تنها نقطعه ضعف آن بر خلاف فایروال های ابری این است که در سطح سرور انجام می شود. و خبر خوب این است که این زمان واقعا ناچیز است ۱ به ۳۰۰.۰۰۰ ثانیه

یعنی یک IP مخرب در 300.000 ام ثانیه شناسایی و مسدود می شود و به راحتی بدون اینکه فشاری به هاست و سرور بیاد جلوی حملات هکر ها رو می گیرد.

۴. از قالب های وردپرس قابل اعتماد استفاده کنید

تم های وردپرس نال شده نسخه های غیرمجاز تم های اصلی هستند. در بیشتر موارد این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولا مشکلات امنیتی زیادی دارند.اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند. علاوه بر این، این تم ها می توانند درهای پشتی برای سایر سوء استفاده ها باشند که می توانند سایت وردپرس شما را به خطر بیندازند.از آنجایی که تم‌های نال شده به صورت غیرقانونی توزیع می‌شوند، کاربران آن‌ها هیچ حمایتی از توسعه‌دهندگان دریافت نمی‌کنند. این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.برای جلوگیری از تبدیل شدن به یک هدف هکر، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید. از طرف دیگر، مضامین شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest ، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید.

۵. گواهی SSL را نصب کنید

لایه سوکت های امن (SSL) یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.

علاوه بر این، گواهی‌های SSL همچنین بهینه‌سازی سایت برای موتورهای جستجو  سئو را تقویت می‌کند و به آن کمک می‌کند بازدیدکنندگان بیشتری جذب کند.وب‌سایت‌هایی که گواهی SSL نصب کرده‌اند، به جای HTTP از HTTPS استفاده می‌کنند، بنابراین شناسایی آنها آسان است.پس از نصب گواهی SSL در حساب میزبانی خود، آن را در وب سایت وردپرس خود فعال کنید.پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به تنظیمات -> عمومی بروید و قسمت آدرس سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.

 

۶. پلاگین ها و تم های استفاده نشده وردپرس را حذف کنید

نگه داشتن پلاگین ها و تم های استفاده نشده در سایت می تواند مضر باشد، به خصوص اگر افزونه ها و تم ها به روز نشده باشند. افزونه ها و تم های قدیمی خطر حملات سایبری را افزایش می دهند زیرا هکرها می توانند از آنها برای دسترسی به سایت شما استفاده کنند.

برای حذف یک افزونه وردپرس استفاده نشده مراحل زیر را دنبال کنید:

  • به  قسمت افزونه ها بروید .
  • لیست تمام افزونه های نصب شده را مشاهده خواهید کرد. روی غیر فعال کردن وسپس حذف در زیر نام افزونه کلیک کنید.

در همین حال، در اینجا مراحل حذف یک تم استفاده نشده وجود دارد:

  • از داشبورد مدیریت وردپرس خود، به Appearance -> Themes بروید .
  • روی تمی که می خواهید حذف کنید کلیک کنید.
  • یک پنجره پاپ آپ ظاهر می شود که جزئیات تم را نشان می دهد. روی دکمه Delete در گوشه سمت راست پایین کلیک کنید.

نکته:

هنگام حذف یک پلاگین یا تم محبوب وردپرس از داشبورد وردپرس خود، ممکن است گزینه ای برای استفاده از حذف نصب سفارشی نداشته باشید، جایی که می توانید انتخاب کنید که تمام داده های مربوط به آن افزونه یا موضوع را به طور کامل حذف کنید. در این مورد، باید این کار را از طریق یک سرویس گیرنده FTP با دسترسی به پایگاه داده خود و حذف افزونه یا ورودی های تم به صورت دستی انجام دهید.

۷. احراز هویت دو مرحله ای را برای WP-Admin فعال کنید

احراز هویت دو مرحله ای 2FA را فعال کنید تا فرآیند ورود به سایت وردپرس خود را تقویت کنید. این روش احراز هویت یک لایه دوم از امنیت وردپرس را به صفحه ورود اضافه می کند، زیرا برای تکمیل فرآیند ورود باید یک کد منحصر به فرد وارد کنید.

کد فقط از طریق یک پیام متنی یا یک برنامه احراز هویت شخص ثالث در دسترس شما است.

برای اعمال2FA در سایت وردپرس خود، افزونه امنیتی ورود مانند Wordfence Login Security را نصب کنید . علاوه بر این، باید یک برنامه احراز هویت شخص ثالث مانند Google Authenticator را روی تلفن همراه خود نصب کنید.

البته ورد فنس ۵ کد ۱۶ رقمی دانلودی در یک فایل به شما می دهد که با هر بار لاگین می توانید ۵ کد جدید تولید کنید و کدهای قدیمی غیر فعال می شود

۸. به طور منظم از وردپرس نسخه پشتیبان تهیه کنید

ایجاد منظم نسخه پشتیبان از سایت یک کار کاهشی مهم است زیرا به شما کمک می کند تا سایت خود را پس از حوادثی مانند حملات سایبری یا آسیب فیزیکی به مرکز داده بازیابی کنید. فایل پشتیبان باید شامل کل فایل های نصب وردپرس شما باشد، مانند پایگاه داده شما و فایل های اصلی وردپرس.

نکته:

من ذخیره نسخه پشتیبان وب سایت را در رایانه شخصی توصیه نمی کنم. در عوض، از برنامه های ذخیره سازی مانند Google Drive استفاده کنید. اما اگر تصمیم به انجام این کار دارید، بهترین راه این است که آن را حداقل در سه مکان مانند رایانه خود، یک درایو فلش USB و یک حافظه خارجی مانند Dropbox ذخیره کنید.

بهترین افزونه ها بک آپ بادی و آپ درفت پلاس هست و حتما نسخه پولی آن را بخرید

ولی من خودم از طریق هاست اقدام به تهیه بک آپ می کنم و به این افزونه ها اعتماد ندارم

۹. محدود کردن تلاش برای ورود

وردپرس به کاربران خود اجازه می دهد تا تعداد نامحدودی تلاش برای ورود به سایت انجام دهند. متأسفانه، هکرها می توانند با استفاده از ترکیب های مختلف رمز عبور تا زمانی که رمز عبور مناسب را پیدا کنند، به زور به ناحیه مدیریت وردپرس شما راه پیدا کنند.

بنابراین، شما باید تلاش برای ورود به سیستم را برای جلوگیری از چنین حملاتی در وب سایت محدود کنید. محدود کردن تلاش های ناموفق همچنین به نظارت بر فعالیت های مشکوک در سایت شما کمک می کند.

اکثر کاربران فقط به یک بار امتحان یا چند بار تلاش ناموفق نیاز دارند، بنابراین باید به آدرس های IP مشکوک که به حد مجاز رسیده باشد مشکوک باشید.

یکی از راه های محدود کردن تلاش برای ورود به سیستم به منظور افزایش امنیت وردپرس استفاده از یک افزونه است. گزینه های بسیار خوبی در دسترس هستند، مانندWordfence

افزونه ورد فنس برای محدود کردن تلاش‌های ورود مجدد به سیستم – تعداد تلاش‌های ناموفق را برای آدرس‌های IP خاص پیکربندی می‌کند، کاربران را به لیست امن اضافه می‌کند یا آنها را به طور کامل مسدود می‌کند و کاربران وب‌سایت را در مورد زمان قفل باقی‌مانده مطلع می‌کند.

پیشنهاد ما: نصب نسخه پریمیوم wordfence و سپس به تنظیمات بروید و محدودیت برای لاگین مشخص کنید

۱۰. آدرس صفحه ورود به وردپرس را تغییر دهید

برای برداشتن یک قدم بیشتر برای محافظت از وب سایت خود در برابر حملات brute force، URL صفحه ورود را تغییر دهید.همه وب‌سایت‌های وردپرس دارای URL پیش‌فرض برای ورود به سیستم هستند – yourdomain.com/wp-admin . استفاده از URL پیش فرض ورود به سیستم، هدف قرار دادن صفحه ورود شما را برای هکرها آسان می کند.

افزونه هایی مانند WPS Hide Login و Change wp-admin Login تنظیمات URL سفارشی ورود به سیستم را فعال می کنند.

۱۱. خروج خودکار کاربران بیکار

بسیاری از کاربران فراموش می کنند که از وب سایت خارج شوند و جلسات خود را در حال اجرا بگذارند. از این رو، به شخص دیگری که از همان دستگاه استفاده می کند اجازه می دهد به حساب های کاربری خود دسترسی داشته باشد و به طور بالقوه از داده های محرمانه سوء استفاده کند. این امر به ویژه برای کاربرانی که از رایانه های عمومی در کافی نت ها یا کتابخانه های عمومی استفاده می کنند صدق می کند.استفاده از افزونه امنیتی وردپرس مانند Inactive Logout یکی از ساده‌ترین راه‌ها برای خروج خودکار از حساب‌های کاربری غیرفعال است.

۱۲. نظارت بر فعالیت کاربر

با ردیابی فعالیت‌ها در ناحیه مدیریت، هرگونه اقدام ناخواسته یا مخربی را که وب سایت شما را در معرض خطر قرار می‌دهد، شناسایی کنید. ما این روش را برای کسانی توصیه می کنیم که چندین کاربر یا نویسنده دارند که به وب سایت وردپرس خود دسترسی دارند. این به این دلیل است که کاربران ممکن است تنظیماتی را که نباید تغییر دهند، مانند تغییر تم ها یا پیکربندی افزونه ها، تغییر دهند.با نظارت بر فعالیت های آنها، متوجه خواهید شد که چه کسی مسئول آن تغییرات ناخواسته است و اگر شخص غیرمجاز به وب سایت وردپرس شما نفوذ کرده باشد.

ساده ترین راه برای ردیابی فعالیت کاربر استفاده از افزونه وردپرس است، مانند:

WP Activity Log  تغییرات را در چندین ناحیه وب سایت، از جمله پست ها، صفحات، تم ها و افزونه ها نظارت می کند. همچنین فایل‌های تازه اضافه شده، فایل‌های حذف شده و تغییرات در هر فایلی را ثبت می‌کند.

۱۳. بدافزار را بررسی کنید

موسسه AV-TEST هر روز بیش از 450000 بدافزار جدید و برنامه های کاربردی ناخواسته (PUA) را ثبت می کند. برخی از بدافزارها حتی ماهیت چند شکلی دارند، به این معنی که می توانند خود را تغییر دهند تا از شناسایی امنیتی جلوگیری کنند.بنابراین، اسکن منظم سایت خود بسیار مهم است زیرا مهاجمان همیشه انواع جدیدی از تهدیدات را توسعه می دهند.خوشبختانه، بسیاری از افزونه های اسکنر هک وردپرس عالی می توانند بدافزارها را اسکن کرده و امنیت وردپرس را بهبود بخشند.

  • Wordfence  یک افزونه امنیتی محبوب وردپرس با به‌روزرسانی‌های امضای بدافزار بلادرنگ و اعلان‌های هشدار است که به شما اطلاع می‌دهد که آیا سایت دیگری سایت شما را برای فعالیت مشکوک در لیست مسدود کرده است.
  • Sucuri Security یکی از بهترین افزونه های امنیتی موجود در بازار است که گواهینامه های مختلف SSL، اسکن بدافزار از راه دور و ویژگی های اقدام امنیتی پس از هک را ارائه می دهد.

 

مسعود

برنامه نویسی از کار های مورد علاقه ام می باشد

ارسال دیدگاه

برای ارسال دیدگاه ابتدا باید وارد حساب کاربری خود شوید