امنیت وردپرس – قسمت دوم

برای مطالعه ی قسمت اول امنیت وردپرس اینجا کلیک کنید

برای امنیت وردپرس در قسمت قبل راهکارهایی را ارائه کردیم در این قسمت ادامه ی آن را مانند نصب ssl و تغییر نام کاربری admin و .. مطالعه خواهید کرد

نصب پلاگین های امنیتی WordPress

بعد از تهیه نسخه پشتیبان ، کار بعدی که باید انجام دهیم ، راه‌اندازی و نصب سیستم مانیتورینگ است که همه اتفاقاتی را که در وب سایت شما رخ داده است ، پیگیری کند.

 

به عنوان مثال می توانید یکی از بهترین افزونه های رایگان امنیتی وردپرس ، Sucuri Security  را نصب و فعال کنید.

 

نصب SSL  روی سایت

SSL (Secure Sockets Layer) پروتکلی است که انتقال داده ها را بین مرورگر وب سایت و کاربران رمزگذاری می کند.

این رمزگذاری باعث می شود که کسی اطلاعات را سرقت کند.

پس از فعال کردن SSL ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، همچنین یک علامت قفل در کنار آدرس وب سایت خود در مرورگر مشاهده خواهید کرد.

برای خرید ssl  می توانید به سایت ما مراجعه کنید و اگر نیاز به مشاورده دارید از طریق چت آنلاین و یا تیکت با ما در ارتباط باشید

 

نام کاربری پیش فرض “َAdmin” را تغییر دهید

قبلا نام کاربری پیش فرض وردپرس “Admin” بود و قابل تغببر هم نبود.

از آنجا که نام های کاربری نیمی از اعتبار ورود را تشکیل می دهند ، عدم تغییر آنها کار هکرها را برای انجام حملات بی رحمانه آسان تر می کند و امنیت وردپرس را به شدت کاهش می دهد.

 

خوشبختانه ، وردپرس از آن زمان این مسئله را تغییر داده و اکنون از شما خواسته است كه در هنگام نصب وردپرس ، نام كاربری دلخواه خود را انتخاب كنید.

 

با این حال ، بعضی هنوز نام کاربری پیش فرض  adminرا تنظیم می کنند.

 

از آنجا که WordPress به شما اجازه نمی دهد نام های کاربری را به طور پیش فرض تغییر دهید.

سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.

 

نام کاربری جدید ایجاد کرده و نام قدیمی را حذف کنید.

از افزونه Username Changer استفاده کنید

نام کاربری خود را از phpMyAdmin به روز کنید

 

توجه: ما در مورد نام کاربری “admin” صحبت می کنیم ، نه نقش ادمین.

غیرفعال  کردن امکان ویرایش فایل ها در وردپرس

WordPress دارای ویرایشگر کد داخلی است که به شما امکان می دهد قالب و یا فایل هاب پلاگین های خود را از داخل وردپرس ویرایش کنید.

این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را غیرفعال کنید.

شما می توانید با اضافه کردن کد زیر در فایل wp-config.php خود به راحتی این کار را انجام دهید.

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

 

 

غیرفعال کردن اجرای فایل های پی اچ پی در پوشه های وردپرس

راه دیگر برای قوی تر کردن امنیت وردپرس ، غیرفعال کردن اجرای فایلهای PHP در دایرکتوری هایی مانند / wp-content / upload / است

 

می توانید این کار را با نوشتن کد زیر در فایل htaccess  انجام دهیدو این فایل را در پوشه های موردنظر قرار دهید:

<Files *.php>

deny from all

</Files>

محدود کردن تعداد  دفعات تلاش برای ورود به وردپرس

به طور پیش فرض ، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند.

این باعث می شود سایت وردپرس شما در برابر حملات brute force آسیب پذیر باشد.

هکرها تلاش برای ورود به سیستم را با ترکیب های مختلفی از رمزعبور ها انجام می دهند

 

با محدود کردن تعداد  دفعات تلاش برای ورود به وردپرس می توانید این مشکل را به راحتی برطرف کنید.

اگر تنظیمات فایروال ندارید ، مراحل زیر را انجام دهید.

 

ابتدا باید افزونه Login LockDown را نصب و فعال کنید.

پس از فعال سازی ، برای تنظیم افزونه به صفحه تنظیمات LockDown مراجعه کنید.

 

احراز هویت دو مرحله ای را اضافه کنید

احراز هویت دو مرحله ای کاربران را مجبور می کند تا بعد از دو مرحله تایید هویت وارد سیستم شوند.

مورد اول نام کاربری و رمز عبور است و مرحله دوم نیاز به تأیید اعتبار با استفاده از یک دستگاه یا برنامه جداگانه دارد.

 

اکثر وب سایت های آنلاین برتر مانند Google ، Facebook ، Twitter ، به شما امکان می دهند تا آن را برای اکانت های خود فعال کنید.

همچنین می توانید همین کارکرد را به سایت وردپرس خود اضافه کنید.

 

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید.

پس از فعال سازی ، باید روی پیوند “Two Factor Auth” در نوار کناری وردپرس کلیک کنید.

 

 

 

در مرحله بعد ، باید یک برنامه Authenticator   بر روی تلفن خود نصب و باز کنید.

به عنوان مثال Google Authenticator  و Authy و LastPass Authenticator

 

ما توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید

زیرا هر دو به شما امکان می دهند از اکانت های خود روی فضای کلود نسخه پشتیبان تهیه کنید تا در صورت از بین رفتن ، ریست شدن تلفن یا خرید یک تلفن جدید بسیار مفید است.

ما برای آموزش از LastPass Authenticator استفاده خواهیم کرد.

با این حال ، دستورالعمل ها برای همه برنامه های دیگر مشابه هستند. برنامه Authenticator خود را باز کنید و سپس بر روی Add کلیک کنید.

 

از شما سؤال می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید.

گزینه بارکد اسکن را انتخاب کرده و سپس دوربین گوشی خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

 

برنامه Authenticator شما اکنون آن را ذخیره می کند. دفعه دیگر که به وب سایت خود وارد می شوید ، پس از وارد کردن رمز عبور ،  کد احراز هویت دو مرحله ای خواسته می شود.

 

Prefix  یا همان پیشوند جداول دیتابیس وردپرس را تغییر دهید

به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند همه جداول در پایگاه داده WordPress استفاده می کند.

اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند ، پس هکرها راحت تر می توانند حدس بزنند که نام جدول شما چیست.

به همین دلیل توصیه می کنیم آن را تغییر دهید.

محدود کردن درخواست ها برای WP-Admin

به طور معمول ، هکرها می توانند برای ورود به wp-admin بارها آزمون و خطا انجام دهند و ترفندهای هک  خود را امتحان کرده یا حملات DDoS را انجام دهند.

 

می توانید با محدود کردن درخواست ها برای WP-Admin  کاری کنید که بعد از چند رمز عبور اشتباه درخواست موردنظر مسدود شود

 

غیرفعال کردن نمایش فهرست فایلها

 

هکرها می توانند از Directory browsing استفاده کنند تا متوجه شوند که آیا پوشه و فایلی با باگ های شناخته شده دارید یا نه

 

سایر افراد می توانند از Directory browsing استفاده كنند تا فایل های شما را جستجو كنند ، تصاویر را كپی كنند ، ساختار دایرکتوری خود را پیدا کنند و سایر اطلاعات را پیدا کنند.

به همین دلیل بسیار توصیه می شود که Directory browsing را غیرفعال کنید.

 

باید با استفاده از مدیر پرونده FTP یا cPanel به وب سایت خود وصل شوید.

در مرحله بعد ، فایل .htaccess را در فهرست اصلی وب سایت خود قرار دهید.

برای اینکار شما باید خط زیر را در انتهای فایل .htaccess اضافه کنید:

Options -Indexes

 

غیرفعال کردن XML-RPC

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما به برنامه های وب و موبایل کمک می کند.

 

XML-RPC می تواند حملات DDOS را به میزان قابل توجهی افزایش دهد و امنیت وردپرس را به خطر اندازد

با XML-RPC ، یک هکر می تواند از تابع system.multicall استفاده کند تا هزاران رمز عبور را با ارسال 20 یا 50 درخواست امتحان کند.

 

به همین دلیل اگر از XML-RPC استفاده نمی کنید ، بنابراین توصیه می کنیم آن را غیرفعال کنید.

 

3 روش برای غیرفعال کردن XML-RPC در وردپرس وجود دارد که روش .htaccess بهترین روش است

 

بطور خودکار کاربران Idle  شده را از سیستم خارج کنید

کاربران وارد شده گاهی اوقات می توانند از سیستم  دور شوند و این یک خطر امنیتی است.

شخصی می تواند سشن آنها  را ربوده ، رمزعبور را تغییر داده یا در اکانت مذکور تغییراتی ایجاد کند.

 

به همین دلیل است که بسیاری از سایت های بانکی و مالی به صورت خودکار از یک کاربر غیرفعال را خارج می کنند. می توانید عملکرد مشابه را در سایت WordPress خود نیز پیاده سازی کنید.

 

برای اینکار شما نیاز به نصب و فعال سازی افزونه Inactive Logout دارید.

کپچا و سوالات امنیتی را برای ورود به WordPress اضافه کنید

افزودن سؤال امنیتی به صفحه ورود WordPress دسترسی ربات ها را غیرممکن و یا سخت میکند

 

می توانید با نصب افزونه WP Security Questions سوالات امنیتی را اضافه کنید و امنیت وردپرس را افزایش دهید

اسکن وردپرس برای بدافزارها و آسیب پذیری ها

 

 

افزونه هی امنیتی WordPress می توانند شامل بدافزارها و باگ های امنیتی باشند.

 

ممکن است بخواهید برای امنیت وردپرس خود یک اسکن به صورت دستی انجام دهید.

می توانید از افزونه امنیتی WordPress خود استفاده کنید یا از یکی از این اسکنرهای مخرب و امنیتی استفاده کنید.

شما URL وب سایت خود را وارد می کنید و خزنده های آنها  به جستجوی کد های مخرب می روند.

 

حال به خاطر داشته باشید که بیشتر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند.

آنها نمی توانند بدافزار را حذف کرده یا سایت هک شده وردپرس را تمیز کنند.

 

 

منبع