میزان امنیت وردپرس چقدر است؟
میزان امنیت وردپرس همچون دیگر ابزارهای طراحی سایت جای بحث و تامل دارد، با اینکه وردپرس یک سیستم مدیریت محتوای ایمن محسوب میشود و جایگاه خاصی در برنامه نویسی دارد، اما مانند سایر CMS ها میتواند در برابر حملات آسیب ببیند. سایتهایی که از وردپرس استفاده میکنند همیشه مورد حملههای سایبری قرار میگیرند. این در حالی است که تقریبا 43 درصد سایتها از سیستم مدیریت محتوای وردپرس استفاده میکنند.
وردپرس همواره تیم امنیتی متشکل از محققان و مهندسان مطرح را برای تامین امنیت خود به کار میگیرد. این تیم همواره پشت سیستم هستند و نقاط آسیبپذیری سیستم را بررسی میکنند و بهروزرسانیهای امنیتی وردپرس را انجام میدهند. تا زمانیکه وردپرس فعال است، امنیت کاربران تامین است. اما مشکل از نحوه قرارگیری منابع آن در دسترس کاربران شروع میشود.
وردپرس یک نرمافزار منبع باز است، به این معنی که کد منبع برای تغییر و توزیع در دسترس همه قرار دارد. هرچند این ویژگی برای بهینهسازی و تنظیم خیلی خوب است، اما از نظر امنیتی نقظه ضعف وردپرس محسوب میشود. اگر افردای که از وردپرس برای مدیریت محتوای خود استفاده میکنند، آن را به درستی پیکربندی و یا ایمن نکرده باشند باید انتظار مشکلات امنیتی بی شماری را داشته باشند. اگر امنیت سایت به خوبی تامین نشده باشد، برای هکرها بهترین شرایط فراهم است تا شما را مورد حمله قرار دهند. خود وردپرس همیشه میگوید که امنیت کاهش ریسک است، نه از بین بردن آن! به طور کلی میتوان گفت که وردپرس ایمن است، اما در صورتی که کاربران مسئله امنیت را جدی بگیرند و اقدامات لازم برای تامین امنیت را انجام دهند.
مشکلات امنیتی وردپرس
مشکلات امنیتی وردپرس زمانی خود را بروز میدهند که اقدامات لازم برای تامین امنیت آن انجام نشود، در این صورت سایت وردپرس در معرض خطرات امنیتی قرار میگیرد. از جمله رایجترین حملات سایبری که برای وردپرس وجود دارند میتوان به موارد زیر اشاره کرد:
-
مشکلات امنیتی وردپرس: حملات Brute-Force
این حمله، سادهترین حمله سایبری است. ورود brute-force زمانی اتفاق میافتد که هکرها ترکیبهای نام کاربری و رمز عبور را به صورت اتوماتیک وارد کنند تا در نهایت یکی از آنها درست باشد و بتوانند وارد حساب کاربری شوند. حملات Brute-force فقط امکان ورود به سیستم را نمیدهد، بلکه دسترسی به تمام اطلاعاتی که رمزگذاری شدهاند را ایجاد میکند.
-
مشکلات امنیتی وردپرس: حمله Cross-Site Scripting یا XSS
XSS زمانی اتفاق میافتد که مهاجم کد مخرب را از سمت Server Side یا Client Side وبسایت هدف «تزریق» میکند تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند. پرکاربردترین روش نفوذ، افزودن کدهای مخرب به انتهای URL است که در اختیار کاربر قرار میگیرد و به محض کلیک کاربر، کد اجرا میشود. همچنین هکر با دسترسی به دیتابیس وبسایت و قرار دادن اسکریپت، امکان آلودهکردن صفحهی وب را در مقیاسی بزرگتر دارد.
-
مشکلات امنیتی وردپرس: Database Injections
این حمله با عنوان تزریق SQL نیز شناخته میشود و زمانی اتفاق می افتد که هکر رشته کد آسیب رسان را از طریق برخی از ورودیهای کاربر مانند فرم تماس، به وبسایت ارسال میکند. سپس وبسایت کد را در پایگاه داده خود ذخیره میکند. این حمله مشابه حمله XSS، کد آسیب رسان برای به دست آوردن یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده روی وبسایت اجرا میشود.
-
مشکلات امنیتی وردپرس: درب پشتی (Backdoors)
در پشتی فایلی حاوی کد است که به مهاجم اجازه میدهد تا ورود استاندارد وردپرس را دور بزند و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان درهای پشتی را در میان سایر فایلهای منبع وردپرس قرار میدهند، به طوریکه پیدا کردن آن توسط کاربرانی که تجربه زیادی ندارند دشوار است. حتی اگر فایل Backdoors را حذف کنید، هکرها میتوانند از انواع دیگری از کدها استفاده کنند تا بتوانند وبسایت را دور بزنند. البته باید این نکته را در نظر داشت که وردپرس برای انواع فایلهایی که کاربران میتوانند آپلود کنند محدودیتی ایجاد میکند تا احتمال این نوع حمله را کم کند، اما نباید آن را دست کم گرفت و اقدامات امنیتی لازم برای جلوگیری از آن را انجام داد.
-
مشکلات امنیتی وردپرس: حملات انکار سرویس (DoS)
حملات DoS با هدف از دسترس خارج کردن وبسایت انجام میشوند. به این صورت که هکر تعداد زیادی درخواست را به صورت همزمان به سایت ارسال میکند. تعداد این درخواستها بیشتر از ظرفیت پاسخ سایت است. در نتیجه، سایت از دسترس خارج شده و حتی کاربران واقعی نمیتواند به اطلاعات آن دسترسی پیدا کند. نوع دیگر حمله، DDoS است که چندین سیستم با یکدیگر شبکه زامبی تشکیل میدهند و به صورت همزمان درخواستهای خود را به یک سرور ارسال میکنند.
-
مشکلات امنیتی وردپرس: فیشینگ (Phishing)
در این حمله، مهاجم تحت عنوان یک شرکت یا خدمت قانونی ارتباط برقرار میکند، هدف را وادار میکند که اطلاعات شخصی خود را در اختیار آنها قرار دهد، از وبسایتهای خطرناک دیدن کند و یا بدافزاری را دانلود کند. اگر هکر بتواند به حساب وردپرس دسترسی پیدا کند، میتواند حملات فیشینگ را علیه مشتریان صاحب حساب نیز انجام دهد و خود را بعنوان نیرویی از سایت هدف جا بزند.
-
مشکلات امنیتی وردپرس: Hotlinking
Hotlinking زمانی اتفاق میافتد که وبسایت دیگری محتوای جاسازی شده (embedded content) (معمولاً یک تصویر) را بدون اجازه شما نشان میدهد، به طوری که محتوا متعلق به مهاجم است و میتوان تشخیص داد که برای سایت میزبان نیست. البته هات لینک بیشتر دزدی است تا حمله! صاحب هر سایتی باید به ازای محتوایی که داخل صفحه خود قرار میدهد و حجمی که مصرف میکند، هزینه پرداخت کند. با این نوع حمله، بدون پرداخت هزینه محتوا در سرور دیگری به نمایش گذاشته میشود.
بیشتر بدانیم: امنیت سایت چیست و چگونه آن را تامین کنیم؟
قسمتهای آسیبپذیر وردپرس
هکرها برای اینکه بتوانند به یک سایت حمله کنند باید حفرههایی که در امنیت صفحه وجود دارد را شناسایی کرده و هدف قرار دهند. نقاط آسیبپذیر وردپرس که هدف مهاجمین قرار میگیرند شامل موارد زیر هستند:
-
قسمتهای آسیبپذیر وردپرس: افزونه های null شده
افزونههای تجاری که به صورت رایگان منتشر میشوند را افزونه نال شده میگویند. سازنده این افزونهها را به صورت تجاری و برای فروش منتشر می کند، ولی در منابع نامعتبر به صورت رایگان در اختیار مصرفکنندگان قرار میگیرد. با توجه به اینکه هکرها به کد منبع این افزونهها دسترسی دارند، به راحتی میتوانند از طریق آنها به سایت حمله کرده و عملکرد آن را مختل کنند.
-
آسیبپذیری وردپرس از راه نسخههای قدیمی
وردپرس نسخههای جدید خود را برای اصلاح آسیبپذیریهای امنیتی منتشر میکند. بعد از اینکه این نقاط شناسایی و رفع میشوند، توسط وردپرس به اطلاع عموم میرسند. در نتیجه، هکرها به خوبی میدانند برای حمله به اشخاصی که از نسخههای قدیمی وردپرس استفاده میکنند، باید از کدام نقاط اقدام کنند.
-
آسیبپذیری وردپرس از مسیر صفحه ورود
صفحه ورود به بک اند (back-end) تمام وبسایتهای وردپرسی به صورت پیشفرض با اضافه کردن /wp-admin یا /wp-login.php به انتهای URL اصلی سایت است. این آدرس مورد حمله مهاجمان قرار میگیرد و سعی میکنند با استفاده از حمله brute force وارد شوند.
-
آسیبپذیر وردپرس توسط قالبها
حتی قالب وردپرس میتواند سایت را در برابر حملات سایبری آسیبپذیر کند. امکان دارد قالبهای منسوخ با نسخههای جدید وردپرس سازگای نداشته باشند و دسترسی آسانی به فایلهای منبع فراهم کنند. بعلاوه، تعداد زیادی از قالبهای شخص ثالث (third-party themes) استاندارهای کد وردپرس را رعایت نمیکنند و مشکلات سازگاری و آسیبهای مشابهی را ایجاد میکنند.
همچنین بخوانید: معرفی بهترین قالب فروشگاهی وردپرس 2023
محتوای مرتبط: هک وردپرس
بهترین اقدامات تامین امنیت وردپرس
-
تامین امنیت وردپرس: ورود خود را ایمن کنید
تامین امنیت وردپرس از اوجب واجبات است :) چرا که اساسیترین گام برای ایمنسازی وبسایت، ایمن نگه داشتن حسابهای کاربری در برابر تلاشهای مخرب برای ورود است. برای ورود ایمن به موارد زیر توجه کنید:
-
افزایش امنیت وردپرس: رمزعبور قوی داشته باشید
جهت افزایش امنیت وردپرس به رمزگذاریها دقت کنید، متاسفانه هنوز هم خیلیها از رمز «123456» برای حساب کاربری خود استفاده میکنند. در حالیکه رمزهای قابل حدس به هکرها اجازه میدهد به راحتی به اطلاعات شما دسترسی پیدا کنند و آسیب وارد کنند. اگر از وردپرس برای تامین امنیت خود استفاده میکنید، اطمینان حاصل کنید که تمام کاربران شما از رمز عبور و پسورد قوی استفاده میکنند.
-
افزایش امنیت وردپرس: فعال کردن احراز هویت دو مرحلهای
از دیگر موارد افزایش امنیت وردپرس 2FA است، احراز هویت دو مرحلهای از کاربران میخواهد تا ورود خود را با دستگاه دوم تأیید کنند. این راه یکی از ساده ترین و در عین حال موثرترین روشها برای ایمن سازی ورود است.
-
افزایش امنیت وردپرس: هیچ حسابی را با نام کاربری "admin" نسازید
برای افزایش امنیت وردپرس حتی به یوزرنیم هم باید توجه داشته باشید، اولین نام کاربری که هکرها برای ورود به سیستم امتحان میکنند، admin است. در نتیجه با انتخاب این نام کاربری، شانس هکرها را برای دسترسی به اطلاعات خود بیشتر میکنید. اگر حساب کاربری با این نام ایجاد کردهاید، یک حساب کاربری جدید با نام دیگری ایجاد کنید. همچنین میتوانید از مدیر یا طراح سایت درخواست کنید که از طریق دیتابیس، نام کاربری را تغییر دهد. این کار را میتوانید با استفاده از افزونه "امنیت کامل وردپرس و فایروال" انجام دهید. عموما در طراحی سایت با وردپرس ، طراحان به این موضوع توجه ندارند و برای راحتی کار خودشان از Admin به عنوان نام کاربری استفاده می کنند.
-
افزایش امنیت وردپرس: محدود کردن تعداد تلاشهای ورود
قرار دادن سقف برای تعداد دفعاتی که کاربر در مدت زمان معینی میتواند وارد سایت شود از حمله هکرها جلوگیری میکند. برخی از سرویسهای هاستینگ و فایروالها این قابلیت را ایجاد میکنند، اما میتوانید افزونههایی مانند Limit Login Attempts را نصب کنید.
-
افزودن کپچا جهت افزایش امنیت وردپرس
افزودن کپچا جهت افزایش امنیت وردپرس بسیار تاثیرگذار است. کپچا یکی از اقدامهای امنیتی بسیار پرکاربرد است که اغلب وبسایتها از آن استفاده میکنند. کپچا با تایید اینکه یک انسان وارد سایت میشود، یک لایه امنیتی جدید به ورود اضافه میکند.
مطلب مرتبط: کد کپچا چیست؟ (captcha)
-
افزایش امنیت وردپرس: فعال کردن خروج خودکار
در جهت اقداماتی که برای افزایش امنیت وردپرس انجام میدهید، حتما به خاطر داشته باشید که پس از اتمام کار، از حساب کاربری خود خارج شوید. به علاوه میتوانید افزونه Inactive Logout را نصب کنید تا از ورود افراد غریبه به حساب کاربری خود جلوگیری کنید.
-
تامین امنیت وردپرس: از هاست امن وردپرس استفاده کنید
همچنین بهتر است برای تامین امنیت وردپرس از هاست امن وردپرسی استفاده کنید. وقتی که تامین کننده هاست خود را انتخاب میکنید باید عوامل زیادی را در نظر بگیرید، اما امنیتی که تامین میکند باید در اولویت باشد. سرویسی را انتخاب کنید که اقدامات خوبی برای تامین امنیت شما در نظر گرفته باشند و در صورت بروز حمله، سایت را به سرعت بازیابی کند. همچنین توجه داشته باشید که استفاده از هاست رایگان وردپرس برای امنیت سایت خطر آفرین است و بهتر است صرفا جهت تست و موارد غیرضروری از آن استفاده کنید.
-
نسخه وردپرس خود را بهروز کنید
نسخههای قدیمی وردپرس همیشه هدف هکرها هستند. با توجه به اینکه پس از بهروزرسانی نقاط ضعف نسخه قدیمی وردپرس اعلام میشود، هکرها از این نقطه برای حمله و آسیب رساندن به سایت استفاده میکنند. اطمینان حاصل کنید که وردپرس خود را به طور منظم بهروزرسانی میکنید تا آسیبپذیریهای نسخه قبل را از بین ببرید.
قبل از بهروزرسانی وردپرس، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و حتما بررسی کنید که افزونههای شما با آخرین نسخه سازگاری دارند یا خیر! برای بهروزرسانی افزونهها نیز میتوانید از دستورالعملهایی که در سایت وردپرس قرار دارد استفاده کنید.
-
تامین امنیت وردپرس: آخرین نسخه PHP را استفاده کنید.
ارتقاء به آخرین نسخه PHP یکی از مهمترین اقداماتی است که میتوانید برای حفظ امنیت وبسایت وردپرس خود انجام دهید. وقتی که نسخه جدید PHP آمده باشد، داخل داشبورد وردپرس به شما اطلاع رسانی میشود. برای بهروزرسانی باید وارد حساب کاربری پنل هاست شوید. اگر دسترسی به پنل هاست ندارید از تامین کننده هاست خود درخواست کنید تا این کار را انجام دهد.
-
از افزونه امنیت وردپرس استفاده کنید
از افزونه امنیت وردپرس استفاده کنید که برای سایتهای وردپرس به شدت توصیه میشود، نصب افزونههای امنیت وردپرس است. این افزونهها بسیاری از اقدامات دستی مرتبط با امنیت سایت را برای شما انجام میدهند که میتوان به اسکن کردن برای اطلاع از تلاشهای ورود به سایت، تغییر فایلهای منبعی که سایت را در معرض خطر قرار میدهند، بازیابی و تنظیم مجدد سایت وردپرس و جلوگیری از سرقت محتوا، اشاره کرد. برخی از افزونهها تمام این کارها را به تنهایی انجام میدهند و نیاز نیست برای تمام این اقدامات از چند افزونه استفاده کنید. پیش از نصب هر افزونه از قانونی و معتبر بودن آن اطمینان حاصل کنید.
-
استفاده از قالب امن وردپرسی
استفاده از قالب امن وردپرسی به اندازه افزونههای امنیت وردپرس اهمیت دارند. قبل از نصب قالب اطمینان حاصل کنید که با استانداردهای وردپرس مطابقت دارد تا به سایت شما آسیب نرساند.
-
افزایش امنیت وردپرس: SSL/HTTPS را فعال کنید
SSL (Secure Sockets Layer) فناوری است که ارتباط بین وبسایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری میکند و اطمینان میدهد که ترافیک بین سایت شما و سیستم بازدیدکنندگان در مقابل مداخلههای ناخواسته ایمن است و جلوی نفوذ رباتها را میگیرد. برای فعال سازی ssl هم میتوانید به صورت دستی اقدام کنید و هم افزونه ssl را نصب کنید.
بیشتر بدانیم: چگونه یک گواهی SSL رایگان در وردپرس تنظیم کنیم
-
تامین امنیت وردپرس توسط فایروال
تامین امنیت وردپرس توسط فایروال یکی از روشهای در دسترس و ایمن است. فایروال بین شبکه میزبان وردپرس شما و سایر شبکههایی که با سایت شما در ارتباط هستند قرار میگیرد و به صورت خود کار از ورود ترافیک غیرمجاز به سایت شما جلوگیری میکند. فایروالها با از بین بردن ارتباط مستقیم سایت شما با سایر سایتها فعالیتهای مخرب را دور نگه میدارد. برای این کار میتوانید افزونه Web Application Firewall (WAF) را نصب کنید.
-
افزایش امنیت wordpress: نسخه پشتیبان سایت خود را تهیه کنید
نسخهی پشتیبان ناجی سایتهای هک شده است و امنیت سایت وردپرسی شما را تضمین میکند. هک شدن و از دست دادن تمام اطلاعات سایت یکی از بدترین اتفاقاتی است که میتواند برای هرسایتی بیافتد. حتما از سایت وردپرس خود نسخه پشتیبان تهیه کنید تا در زمان هک شدن اطلاعات خود را داشته باشید. بهتر است که بکآپ گیری خودکار را برای سایت خود فعال کنید.
-
اسکنهای امنیتی وردپرس را به طور منظم انجام دهید
انجام اسکنهای امنیتی وردپرس به صورت معمولی و حداقل یک بار در ماه میتواند به تامین امنیت سایت شما کمک زیادی کند. شما میتوانید این کار را از طریق افزونهها انجام دهید.
بیشتر بدانیم: آموزش بکاپ گیری و بازگردانی بک آپ در وردپرس و معرفی افزونه
اقدامات پیشرفته افزایش امنیت وردپرس
بعدا از انجام اقدامات پایهای تامین امنیت وردپرس، میتوانید اقدامات پیشرفتهتری انجام دهید تا از آسیب به سایت جلوگیری کنید. این اقدامات شامل موارد زیر میشوند:
1. اقدامات پیشرفته افزایش امنیت وردپرس: برای ورودی های کاربر کاراکترهای خاصی را محدود کنید
اگر بخشی از سایت خود برای پاسخ بازدیدکنندگان به صورت تکمیل فرم یا هر فرمتی که اجازه ورود اطلاعات را میدهد باشد، اعمال فیلتر برای ورودیهای سایت ضروری است. محل ثبت ورودی سایت فرصت مناسبی برای حملههای XSS است که هکرها بتوانند کدهای مخرب را به سایت تزریق کنند.
برای انجام این کار هم میتوانید کاراکترهای خاصی را در قسمت ورودی سایت فیلتر کنید، هم از افزونههایی که کد مخرب را شناسایی میکنند، استفاده کنید. استفاده از افزونه فرم وردپرس که به صورت خودکار این کاراکترها را فیلتر میکند نیز میتواند از این حملات جلوگیری کند.
همچنین بخوانید: آموزش ساخت فرم تماس در وردپرس
2. اقدامات پیشرفته تامین امنیت وردپرس: سطوح دسترسی کاربران را محدود کنید
برای تامین و تضمین امنیت وردپرس سطح دسترسی یکسان به کاربران سایت خود ندهید. وردپرس شش نقش برای هر کاربر دارد. بعنوان مثال اگر سه کاربر با سطح دسترسی ویرایشگر داشته باشید، احتمال هک شدن سایت بالا میرود و آن را آسیبپذیر میکند. با محدود کردن سطح دسترسی ادمین از حملات brute-force جلوگیری کنید تا حتی اگر هکری اطلاعات ورود کاربر admin را درست حدس زده باشد، میزان آسیبی که وارد میشود را محدود شود.
3. اقدامات پیشرفته افزایش امنیت وردپرس: از مانیتورینگ وردپرس استفاده کنید
استفاده از سیستم مانیتورینگ برای سایت شما را از هرگونه فعالیت مشکوکی که در سایت انجام میشود آگاه میکند. در حالت ایدهآل، به مرور زمان متوجه فعالیت غیرطبیعی داخل سایت وردپرس خود میشوید، اما بهتر است با نصب افزونه مانیتورینگ زودتر از آن آگاه شوید.
4. اقدامات پیشرفته تامین امنیت وردپرس: ثبت فعالیت کاربر
با ثبت فعالیت کاربران میتوانید از تمام تغییراتی که در سایت رخ میدهد و فردی که آن را انجام میدهد مطلع شوید. در نتیجه، میتوانید متوجه وقوع فعالیت مشکوک شده و از آن جلوگیری کنید، مانند تلاش برای تغییر رمز عبور، تغییر قالب یا افزونهها و یا نصب و غیر فعال کردن افزونه. این افزونه به پاکسازی بعد از هک شدن نیز کمک میکند، زیرا نشان میدهد که چه فعالیت اشتباهی در چه زمانی رخ داده است.
البته تمام فعالیتهای تغییر رمز عبور یا اصلاح فایل نشانه هکر نیست، اما اگر تعداد کاربران سایت شما زیاد است، بهتر است که ثبت درست و دقیق از فعالیت آنها داشته باشید.
5. اقدامات پیشرفته افزایش امنیت وردپرس: URL پیشفرض ورود به وردپرس را تغییر دهید.
URL پیشفرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی ثابت و مشخص است. افزونههایی مانند WPS Hide Login URL صفحه ورود را برای شما تغییر میدهند.
6. اقدامات پیشرفته افزایش امنیت وردپرس: ویرایش فایل را در داشبورد وردپرس غیرفعال کنید
به طور پیشفرض، سطح دسترسی مدیرکل در وردپرس اجازه ویرایش کد فایل را دارد. اگر هکرها به دسترسی مدیرکل سایت وارد شوند به راحتی میتوانند از این طریق به سایت آسیب برسانند. برای این کار میتوانید از راه های زیر اقدام کنید:
- افزونهای که ویرایش کد را غیرفعال میکند نصب کنید
- هنگام دادن دسترسی به کاربر این امکان را غیرفعال کنید
- اگر کاربری دسترسی ویرایش دارد، از طریق سی پنل (cpanel) هاست سایت، آن را غیرفعال کنید.
همچنین بخوانید: آموزش نصب وردپرس در سی پنل راهنمای تصویری
7. اقدامات پیشرفته افزایش امنیت وردپرس: پیشوند فایل دیتابیس خود را تغییر دهید
اسم فایلهایی که پایگاه داده سایت وردپرس هستند به طور پیشفرض با "wp_" شروع میشود و هکرها به راحتی میتوانند با تشخیص آن، حمله SQL انجام دهند. برای جلوگیری از این آسیب به سایت، نام فایلهای دیتابیس خود را تغییر دهید. این کار را میتوانید هنگام نصب وردپرس انجام دهید. دیتابیس تمام محتوای سایت را ذخیره میکند و آسیب به آن میتواند ضربههای غیرقابل جبرانی وارد کند. در نتیجه بهتر است تمام تلاش خودتان را برای حفظ دیتابیس انجام دهید. برای این کار میتوانید از افزونه نیز استفاده کنید.
8. اقدامات پیشرفته افزایش امنیت وردپرس: فایل xmlrpc.php خود را غیر فعال کنید.
XML-RPC یک پروتکل ارتباطی است که به وردپرس اجازه میدهد با وب خارجی و برنامههای تلفن همراه تعامل داشته باشد. البته از زمان ظهور WordPress REST API، استفاده از XML-RPC بسیار کمتر شدهاست. اما بعضی افراد هنوز هم از آن برای راهاندازی حمله استفاده میکنند.
تکنولوژی XML-RPC به هکرها اجازه میدهد که بتوانند صدها دستور به سایت ارسال کنند و حمله brute force را آسانتر میکند. بعلاوه، XML-RPC در مقایسه با REST API امنیت کمتری دارد. بهتر است اگر سایت شما از XML-RPC استفاده نمیکند، آن را غیرفعال کنید تا احتمال آسیب سایت در برابر حملات را کمتر کنید.
9. افزایش امنیت وردپرس با حذف حساب پیشفرض ادمین
با حذف حساب پیشفرض ادمین یک قدم گام دیگر به ایمنسازی وردپرس نزدیک میشوید. یکی از اقدامات امنیتی که میتواند تا حد زیادی جلوی آسیب به سایت شما را بگیرد، حذف حساب پیشفرض ادمین و ایجاد یک کاربری دیگر با همان سطح دسترسی است.
10. اقدامات پیشرفته افزایش امنیت وردپرس: نسخه وردپرس خود را مخفی کنید
مخقی کردن نسخه وردپرس یکی دیگر از مراحل ایمنسازی سایت وردپرسی است. البته این اقدام برای نسخههای 5 به بعد وردپرس خیلی ضروری نیست. همانطور که پیشتر گفته شد وردپرس بعد از هر بهروزرسانی مشکلهایی که در نسخه قبل وجود داشت را اعلام میکند، اما از نسخه 5 به بعد مشکلات امنیتی اعلام نمیشود. در نتیجه جای نگرانی نیست.
بیشتر بدانیم: HTTPS چیست؟
افزونه های امنیت وردپرس
افزونه امنیتی وردپرس MalCare
- امتیاز : 4.1 از 5
- تعداد نصب: بیش از 200 هزار نصب فعال
- نسخه وردپرس مورد نیاز: 4.0 یا بالاتر
توضیحات
افزونه امنیتی MalCare سریعترین افزونه شناسایی و حذف بدافزار است که توسط آژانسها و developer های زیادی مورد استفاده قرار میگیرد. این افزونه بالاترین کارآیی را دارد، قابل اعتماد است و استفاده راحتی دارد. بعلاوه، از الگوریتمهای خودآموز (Self-learn algorithms) استفاده میکند تا بهروزترین تکنولوژیهای امنیتی را تامین کند. این افزونه 7 لایه قدرتمند امنیتی ایجاد میکند تا بتواند هر گونه حملهای را دفع کند. این افزونه بر اساس تعداد لایههای امنیتی که ایجاد میکند، در سه سطح عرضه میشود. اگر سایت وردپرسی از کار بیافتد، این افزونه به شما اطلاع میدهد تا قبل اینکه بازدیدکنندگان خود را از دست بدهید، نسبت به بازیابی آن اقدام کنید.
از مزایای این افزونه میتوان به این موارد اشاره کرد:
- مبتنی بر ابر است
- سرعت سایت را کند نمیکند
- همه نوع بدافزار را شناسایی و آثار آن را حذف میکند
- ورود رباتهای هکر به صفحه را مسدود میکند
- ترافیک مخرب را شناسایی و مسدود میکند
- استفاده آسانی دارد
- به کاربران اجازه میدهد ورود از تمام کشورها را مسدود کنند
- پاکسازی نامحدود دارد
لینک دانلود افزونه: https://fa.wordpress.org/plugins/malcare-security/
افزونه امنیتی وردپرس Wordfence Security – Firewall & Malware Scan
- امتیاز : 4.7 از 5
- تعداد نصب: بیش از 4 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 3.9 یا بالاتر
توضیحات
افزونه امنیت وردپرسی وردفنس از جدیدترین قوانین فایروال برای شناسایی هرگونه اثر از بدافزار و آدرسهای IP مخرب استفاده میکند تا سایت را ایمن نگه دارد. همچنین احراز هویت دو مرحلهای دارد که امنیت بیشتری برای وردپرس ایجاد میکند. از جمله مزایایی که این افزونه دارد میتوان به این موارد اشاره کرد:
- وب-اپلیکیشن برای شناسایی ترافیک مخرب و مسدود کردن آن
- از سایت در نقطه پایانی محافظت میکند که باعث یکپارچه سازی عمیق با وردپرس میشود. برخلاف همتاهای مبتنی بر ابر، امکان شکستن رمزگذاری آن و افشای دادهها وجود ندارد
- با محدود کردن تلاشهای ورود به سیستم از حملات brute force جلوگیری میکند
- اسکنر مرکزی آن فایلها، قالبها و افزونهها را اسکن میکند تا هرگونه URL مخرب، اسپمهای سئو ، ردایرکتهای مخرب و تزریق کد را شناسایی کند.
- فایلها، قالبها و افزونههای اصلی و مرکزی را با مخازن وردپرس مقایسه میکند تا یکپارچگی آن را چک کند. در صورت وجود هرگونه مغایرت آن را گزارش میدهد
- سایت را چک میکند و در صورت وجود هرگونه احتمال آسیب، اطلاع رسانی میکند
در نسخه پریمیوم:
- آی پی سایت را چک میکند تا هرگونه فعالیت مخرب، قرار گرفتن در بلک لیست، ایجاد اسپم و یا هرگونه مشکلات امنیتی را گزارش کند
- درخواستهایی که از آی پی های مخرب ارسال میشوند را در بلک لیست قرار میدهد تا از سایت محافظت کند
لینک دانلود افزونه: https://fa.wordpress.org/plugins/wordfence/
افزونه امنیتی وردپرس Sucuri Security
- امتیاز : 4.2 از 5
- تعداد نصب: بیش از 800 هزار نصب فعال
- نسخه وردپرس مورد نیاز: 3.6 یا بالاتر
توضیحات
افزونه امنیتی وردپرس Sucuri Security یکی از پلاگینهای رایگان است که وضعیت امنیتی فعلی را تکمیل میکند. از جمله ویژگیهای امنیتی که این افزونه به وبسایت ارائه میدهد میتوان به موارد زیر اشاره کرد:
- بررسی فعالیتهای امنیتی
- نظارت بر یکپارچگی فایل
- اسکن بدافزار از راه دور
- نظارت بر بلک لیست
- ایجاد امنیت سفت و سخت
- اقدامات امنیتی پس از هک
- اطلاعیههای امنیتی
- فایروال وبسایت (با پرداخت هزینه)
لینک دانلود افزونه: https://fa.wordpress.org/plugins/sucuri-scanner/
امنیت کامل وردپرس و فایروال
- امتیاز : 4.8 از 5
- تعداد نصب: بیش از 1 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
- "این افزونه با زبان فارسی سازگار است"
توضیحات:
افزونه امنیت کامل وردپرس و فایروال در سه سطح "پایه"، "متوسط" و "پیشرفته" طبقهبندی میشود و با بررسی آسیبپذیریها، پیادهسازی و اجرای آخرین شیوهها و تکنیکهای امنیتی توصیه شده وردپرس، خطر امنیتی را کاهش میدهد. از ویژگیهای این افزونه میتوان به موارد زیر اشاره کرد:
- میتوانید با استفاده از آن نام حساب کاربری admin را تغییر دهید.
- حساب کاربری که نام نمایشی و نام کاربری یکسان داشته باشد را شناسایی میکند. یکسان بودن نام کاربری و نام نمایشی یکی از نقاط ضعف سایت محسوب میشود که به هکرها اجازه ورود راحتتر را میدهد.
- امکان ایجاد رمز عبود قوی را میدهد
- برای جلوگیری از حملات Brute Force از ویژگی Login Lockdown استفاده میکند. در این سیستم کاربرانی که از یک محدوده آدرس آی پی خاصی هستند برای زمان تعیین شدهای بلاک می شوند. همچنین میتواند تلاشهای مکرر یک کاربر برای ورود به سایت را از طریق ایمیل اطلاع رسانی کند.
- بعنوان مدیر سایت، میتوانید فهرست کاربرانی که بلاک شدهاند را مشاهده کنید و آدرسهای آی پی انبوه یا فردی را باز کنید.
- امکان قفل کردن خودکار محدودههای آدرس IP که تلاش میکنند با نام کاربری نامعتبر وارد سیستم شوند.
- امکان مشاهده لیست تمامی کاربرانی که در حال حاضر وارد سایت شما شدهاند.
- اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم ورود به وردپرس
- اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم رمز عبور فراموش شده سیستم WP Login
لینک دانلود افزونه: https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
افزونه امنیتی وردپرس BulletProof Security
- امتیاز : 4.8 از 5
- تعداد نصب: بیش از 40 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 3.8 یا بالاتر
توضیحات:
فزونه امنیتی وردپرس BulletProof Security مشکلاتی که برای سایر افزونهها بوجود آمدهاست را به صورت اتوماتیک برطرف میکند. از جمله ویژگیهای این افزونه میتوان به موارد زیر اشاره کرد:
- نصب برنامه با استفاده از یک کلیک
- رفع خودکار مشکلات نصب
- پوشه پنهان افزونهها
- امنیت ورود و نظارت
- خروج از جلسه خودکار
- تهیه پشتیبان
- حالت نگهداری بکاند و فرانتاند
- زمانیکه بهروزرسانیهای قالب و یا افزونههای جدید وجود داشته باشد، از طریق ایمیل اطلاعرسانی میکند.
- سیستم مانیتورینگ ورود به دیتابیس
- ابزار مقایسه اطلاعات دیتابیس
لینک دانلود افزونه: https://fa.wordpress.org/plugins/bulletproof-security/
افزونه امنیتی وردپرس iThemes Security
- امتیاز : 4.6 از 5
- تعداد نصب: بیش از 1 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 5.8 یا بالاتر
- "این افزونه با زبان فارسی سازگار است"
توضیحات:
افزونه امنیتی وردپرس iThemes Security یکی از بهترین پلاگینهای ایمنسازی wordpress است که میتواند در کمتر از 10 دقیقه امنیت کامل برای سایت شما ایجاد کند. این افزونه 6 نوع قالب امنیتی ارائه میکند که میتوانید بر اساس نوع سایت خود، قالب مناسب را انتخاب کنید که شامل موارد زیر میشوند:
- تجارت الکترونیک
- شبکه
- بلاگ
- نمونه کار (Portfolio)
- بروشور (Brochure)
- Non-Profit
تمام فعالیتهای امنیتی سایت را در تمام ساعات شبانهروز بررسی میکند و بر آن نظارت دارد و آمار تمام فعالیت های امنیتی سایت از جمله حملات brute force، کاربران بلاک شده، قفلهای فعال و نتایج اسکن سایت را در قسمت داشبورد نشان میدهد.
این افزونه ورود ایمن را با لایههای امنیتی زیر تامین میکند:
- احراز هویت دو مرحله ای: با وارد کردن کد امنیتی و رمز عبور، ورود به وردپرس خود را در برابر حمله کاربران تقریبا غیرقابل نفوذ میکند. این افزونه با تامین کردن چند روش احراز هویت، ورود به حساب کاربری را ایمن میکند.
- نیازمندی های رمز عبور: در کمتر از یک دقیقه میتوانید خط مشی مخصوص خود را برای ورود به حساب کاربری ایجاد کنید.
- ری کپچا (در نسخه pro)
- ورود بدون رمز عبور (در نسخه pro)
- دستگاه های مورد اعتماد (در نسخه pro)
لینک دانلود افزونه: https://fa.wordpress.org/plugins/better-wp-security/
افزونه امنیتی وردپرس Inactive Logout
- امتیاز : 4.7 از 5
- تعداد نصب: بیش از 10 هزار نصب فعال
- نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
توضیحات:
افزونه امنیتی وردپرس Inactive Logout پس از مدت زمان خاصی که کاربر فعالیتی داخل حساب کاربری خود ندارد، آن را از حساب کاربری خارج میکند. پیکربندی و استفاده از این افزونه بسیار آسان است. پس از نصب و فعال کردن افزونه، میتوانید بازه زمانی مجاز غیرفعال بودن کاربر را از قسمت تنظیمات به سادگی تنظیم کنید. به علاوه میتوانید تنظیمات را به گونهای ثبت کنید که قبل از خارج شدن از حساب کاربری، اتمام جلسه را از طریق یک پیام اطلاع رسانی کند. از جمله ویژگیهای این افزونه میتوان به موارد زیر اشاره کرد:
- تغییر زمان غیرفعال بودن
- قبل از خارج شدن از حساب کاربری، 10 ثانیه شمارش معکوس نشان دهد
- بعد از مدت زمان مشخصی که کاربر غیرفعال بود، به جای خارج شدن از حساب کاربری پیامی به صورت پاپ آپ نشان دهد تا کاربر را هوشیار کند.
- امکان ورود همزمان دو نفر به حساب کاربری را نمیدهد
- کاربری ساده
- اگر کاربر در پنجرههای متفاوتی وارد حساب کاربری خود شدهاست، از حساب کاربری خارج نکند.
در نسخه پیشرفته پس از 2 دقیقه غیرفعال بودن کاربر، صفحه مرورگر را می بندد.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/inactive-logout/
افزونه امنیتی وردپرس SSL واقعاً ساده
- امتیاز : 5 از 5
- تعداد نصب: بیش از 5 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 4.9 یا بالاتر
- "این افزونه با زبان فارسی سازگار است"
توضیحات:
SSL Really Simple تنظیمات را به صورت خودکار شناسایی میکند و وبسایت را برای اجرا بر روی HTTPS پیکربندی میکند. در نسخه Pro امکانات بیشتری دارد که میتوان به بهبود امنیت، امنیت محتوا و سیاستهای سایت و امنیت پیشرفته سرتیترها اشاره کرد.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/really-simple-ssl/
اگر امکانش هست آموزش کامل افرونه Wordfence Security را منتشر کنید
این افزونه به فارسی ترجمه شده اما ما آموزشی تا الان برای این افزونه تدارک ندیدیم در برنامه کار قرار میدیم
داشتن کپچا برای امنیت وردپرس واجب است ؟ در صورت نبودن احتمال هک شدن بالا خواهد رفت ؟
کپچا برای جلوگیری از حملات ربات ها استفاده میشه و امنیت صد در صد رو هم القا نمیکنه بهتره از توکن csrf در کنار کپچا استفاده کنید تا امنیت بیشتری در سایت ایجاد کنید