امنیت وردپرس و 22 نکته کلیدی و بهترین افزونه امنیتی

میزان امنیت وردپرس چقدر است؟

میزان امنیت وردپرس همچون دیگر ابزارهای طراحی سایت جای بحث و تامل دارد، با اینکه وردپرس یک سیستم مدیریت محتوای ایمن محسوب می‌شود و جایگاه خاصی در برنامه نویسی دارد، اما مانند سایر CMS ها می‌تواند در برابر حملات آسیب ببیند. سایت‌هایی که از وردپرس استفاده می‌کنند همیشه مورد حمله‌های سایبری قرار می‌گیرند. این در حالی است که تقریبا 43 درصد سایت‌ها از سیستم مدیریت محتوای وردپرس استفاده می‌کنند.

وردپرس همواره تیم امنیتی متشکل از محققان و مهندسان مطرح را برای تامین امنیت خود به کار می‌گیرد. این تیم همواره پشت سیستم هستند و نقاط آسیب‌پذیری سیستم را بررسی می‌کنند و به‌روزرسانی‌های امنیتی وردپرس را انجام می‌دهند. تا زمانیکه وردپرس فعال است، امنیت کاربران تامین است. اما مشکل از نحوه قرارگیری منابع آن در دسترس کاربران شروع می‌شود.

وردپرس یک نرم‌افزار منبع باز است، به این معنی که کد منبع برای تغییر و توزیع در دسترس همه قرار دارد. هرچند این ویژگی برای بهینه‌سازی و تنظیم خیلی خوب است، اما از نظر امنیتی نقظه ضعف وردپرس محسوب می‌شود. اگر افردای که از وردپرس برای مدیریت محتوای خود استفاده می‌کنند، آن را به درستی پیکربندی و یا ایمن نکرده باشند باید انتظار مشکلات امنیتی بی شماری را داشته باشند. اگر امنیت سایت به خوبی تامین نشده باشد، برای هکرها بهترین شرایط فراهم است تا شما را مورد حمله قرار دهند. خود وردپرس همیشه می‌گوید که امنیت کاهش ریسک است، نه از بین بردن آن! به طور کلی می‌توان گفت که وردپرس ایمن است، اما در صورتی که کاربران مسئله امنیت را جدی بگیرند و اقدامات لازم برای تامین امنیت را انجام دهند.

مشکلات امنیتی وردپرس

مشکلات امنیتی وردپرس زمانی خود را بروز می‌دهند که اقدامات لازم برای تامین امنیت آن انجام نشود، در این صورت سایت وردپرس در معرض خطرات امنیتی قرار می‌گیرد. از جمله رایج‌ترین حملات سایبری که برای وردپرس وجود دارند می‌توان به موارد زیر اشاره کرد:

• مشکلات امنیتی وردپرس: حملات Brute-Force

این حمله، ساده‌ترین حمله سایبری است. ورود brute-force زمانی اتفاق می‌افتد که هکرها ترکیب‌های نام کاربری و رمز عبور را به صورت اتوماتیک وارد کنند تا در نهایت یکی از آنها درست باشد و بتوانند وارد حساب کاربری شوند. حملات Brute-force فقط امکان ورود به سیستم را نمی‌دهد، بلکه دسترسی به تمام اطلاعاتی که رمزگذاری شده‌اند را ایجاد می‌کند.

• مشکلات امنیتی وردپرس: حمله Cross-Site Scripting یا XSS

XSS زمانی اتفاق می‌افتد که مهاجم کد مخرب را از سمت Server Side یا Client Side وب‌سایت هدف «تزریق» می‌کند تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند. پرکاربردترین روش نفوذ، افزودن کدهای مخرب به انتهای URL است که در اختیار کاربر قرار می‌گیرد و به محض کلیک کاربر، کد اجرا می‌شود. همچنین هکر با دسترسی به دیتابیس وب‌سایت و قرار دادن اسکریپت، امکان آلوده‌کردن صفحه‌ی وب را در مقیاسی بزرگ‌تر دارد.

• مشکلات امنیتی وردپرس: Database Injections

این حمله با عنوان تزریق SQL نیز شناخته می‌شود و زمانی اتفاق می افتد که هکر رشته کد آسیب رسان را از طریق برخی از ورودی‌های کاربر مانند فرم تماس، به وب‌سایت ارسال می‌کند. سپس وب‌سایت کد را در پایگاه داده خود ذخیره می‌کند. این حمله مشابه حمله XSS، کد آسیب رسان برای به دست آوردن یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده روی وب‌سایت اجرا می‌شود.

• مشکلات امنیتی وردپرس: درب پشتی (Backdoors)

در پشتی فایلی حاوی کد است که به مهاجم اجازه می‌دهد تا ورود استاندارد وردپرس را دور بزند و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان درهای پشتی را در میان سایر فایل‌های منبع وردپرس قرار می‌دهند، به طوریکه پیدا کردن آن توسط کاربرانی که تجربه زیادی ندارند دشوار است. حتی اگر فایل Backdoors را حذف کنید، هکرها می‌توانند از انواع دیگری از کدها استفاده کنند تا بتوانند وب‌سایت را دور بزنند. البته باید این نکته را در نظر داشت که وردپرس برای انواع فایل‌هایی که کاربران می‌توانند آپلود کنند محدودیتی ایجاد می‌کند تا احتمال این نوع حمله را کم کند، اما نباید آن را دست کم گرفت و اقدامات امنیتی لازم برای جلوگیری از آن را انجام داد.

• مشکلات امنیتی وردپرس: حملات انکار سرویس (DoS)

حملات DoS با هدف از دسترس خارج کردن وب‌سایت انجام می‌شوند. به این صورت که هکر تعداد زیادی درخواست را به صورت همزمان به سایت ارسال می‌کند. تعداد این درخواست‌ها بیشتر از ظرفیت پاسخ سایت است. در نتیجه، سایت از دسترس خارج شده و حتی کاربران واقعی نمی‌تواند به اطلاعات آن دسترسی پیدا کند. نوع دیگر حمله، DDoS است که چندین سیستم با یکدیگر شبکه زامبی تشکیل می‌دهند و به صورت همزمان درخواست‌های خود را به یک سرور ارسال می‌کنند.

• مشکلات امنیتی وردپرس: فیشینگ (Phishing)

در این حمله، مهاجم تحت عنوان یک شرکت یا خدمت قانونی ارتباط برقرار می‌کند، هدف را وادار می‌کند که اطلاعات شخصی خود را در اختیار آنها قرار دهد، از وب‌سایت‌های خطرناک دیدن کند و یا بدافزاری را دانلود کند. اگر هکر بتواند به حساب وردپرس دسترسی پیدا کند، می‌تواند حملات فیشینگ را علیه مشتریان صاحب حساب نیز انجام دهد و خود را بعنوان نیرویی از سایت هدف جا بزند.

• مشکلات امنیتی وردپرس: Hotlinking

Hotlinking زمانی اتفاق می‌افتد که وب‌سایت دیگری محتوای جاسازی شده (embedded content) (معمولاً یک تصویر) را بدون اجازه شما نشان می‌دهد، به طوری که محتوا متعلق به مهاجم است و می‌توان تشخیص داد که برای سایت میزبان نیست. البته هات لینک بیشتر دزدی است تا حمله! صاحب هر سایتی باید به ازای محتوایی که داخل صفحه خود قرار می‌دهد و حجمی که مصرف می‌کند، هزینه پرداخت کند. با این نوع حمله، بدون پرداخت هزینه محتوا در سرور دیگری به نمایش گذاشته می‌شود.

بیشتر بدانیم: امنیت سایت چیست و چگونه آن را تامین کنیم؟

قسمت‌های آسیب‌پذیر وردپرس

هکرها برای اینکه بتوانند به یک سایت حمله کنند باید حفره‌هایی که در امنیت صفحه وجود دارد را شناسایی کرده و هدف قرار دهند. نقاط آسیب‌پذیر وردپرس که هدف مهاجمین قرار می‌گیرند شامل موارد زیر هستند:

• قسمت‌های آسیب‌پذیر وردپرس: افزونه های null شده

افزونه‌های تجاری که به صورت رایگان منتشر می‌شوند را افزونه نال شده می‌گویند. سازنده این افزونه‌ها را به صورت تجاری و برای فروش منتشر می کند، ولی در منابع نامعتبر به صورت رایگان در اختیار مصرف‌کنندگان قرار می‌گیرد. با توجه به اینکه هکرها به کد منبع این افزونه‌ها دسترسی دارند، به راحتی می‌توانند از طریق آنها به سایت حمله کرده و عملکرد آن را مختل کنند.

• آسیب‌پذیری وردپرس از راه نسخه‌های قدیمی

وردپرس  نسخه‌های جدید خود را برای اصلاح آسیب‌پذیری‌های امنیتی منتشر می‌کند. بعد از اینکه این نقاط شناسایی و رفع می‌شوند، توسط وردپرس به اطلاع عموم می‌رسند. در نتیجه، هکرها به خوبی می‌دانند برای حمله به اشخاصی که از نسخه‌های قدیمی وردپرس استفاده می‌کنند، باید از کدام نقاط اقدام کنند.

• آسیب‌پذیری وردپرس از مسیر صفحه ورود

صفحه ورود به بک اند (back-end) تمام وب‌سایت‌های وردپرسی به صورت پیش‌فرض با اضافه کردن /wp-admin یا /wp-login.php به انتهای URL اصلی سایت است. این آدرس مورد حمله مهاجمان قرار می‌گیرد و سعی می‌کنند با استفاده از حمله brute force وارد شوند.

• آسیب‌پذیر وردپرس توسط قالب‌ها

حتی قالب وردپرس می‌تواند سایت را در برابر حملات سایبری آسیب‌پذیر کند. امکان دارد قالب‌های منسوخ با نسخه‌های جدید وردپرس سازگای نداشته باشند و دسترسی آسانی به فایل‌های منبع فراهم کنند. بعلاوه، تعداد زیادی از قالب‌های شخص ثالث (third-party themes) استاندارهای کد وردپرس را رعایت نمی‌کنند و مشکلات سازگاری و آسیب‌های مشابهی را ایجاد می‌کنند.

همچنین بخوانید: معرفی بهترین قالب فروشگاهی وردپرس 2023

محتوای مرتبط: هک وردپرس

بهترین اقدامات تامین امنیت وردپرس

1. تامین امنیت وردپرس: ورود خود را ایمن کنید

تامین امنیت وردپرس از اوجب واجبات است :) چرا که اساسی‌ترین گام برای ایمن‌سازی وب‌سایت، ایمن نگه داشتن حساب‌های کاربری در برابر تلاش‌های مخرب برای ورود است. برای ورود ایمن به موارد زیر توجه کنید:

• افزایش امنیت وردپرس: رمزعبور قوی داشته باشید

جهت افزایش امنیت وردپرس به رمزگذاری‌ها دقت کنید، متاسفانه هنوز هم خیلی‌ها از رمز «123456» برای حساب کاربری خود استفاده می‌کنند. در حالیکه رمزهای قابل حدس به هکرها اجازه می‌دهد به راحتی به اطلاعات شما دسترسی پیدا کنند و آسیب وارد کنند. اگر از وردپرس برای تامین امنیت خود استفاده می‌کنید، اطمینان حاصل کنید که تمام کاربران شما از رمز عبور و پسورد قوی استفاده می‌کنند.

• افزایش امنیت وردپرس: فعال کردن احراز هویت دو مرحله‌ای

از دیگر موارد افزایش امنیت وردپرس 2FA است، احراز هویت دو مرحله‌ای از کاربران می‌خواهد تا ورود خود را با دستگاه دوم تأیید کنند. این راه یکی از ساده ترین و در عین حال موثرترین روش‌ها برای ایمن سازی ورود است.

• افزایش امنیت وردپرس: هیچ حسابی را با نام کاربری "admin" نسازید

برای افزایش امنیت وردپرس حتی به یوزرنیم هم باید توجه داشته باشید، اولین نام کاربری که هکرها برای ورود به سیستم امتحان می‌کنند، admin است. در نتیجه با انتخاب این نام کاربری، شانس هکرها را برای دسترسی به اطلاعات خود بیشتر می‌کنید. اگر حساب کاربری با این نام ایجاد کرده‌اید، یک حساب کاربری جدید با نام دیگری ایجاد کنید. همچنین می‌توانید از مدیر یا طراح سایت درخواست کنید که از طریق دیتابیس، نام کاربری را تغییر دهد. این کار را می‌توانید با استفاده از افزونه "امنیت کامل وردپرس و فایروال" انجام دهید. عموما در طراحی سایت با وردپرس ، طراحان به این موضوع توجه ندارند و برای راحتی کار خودشان از Admin به عنوان نام کاربری استفاده می کنند.

• افزایش امنیت وردپرس: محدود کردن تعداد تلاش‌های ورود

قرار دادن سقف برای تعداد دفعاتی که کاربر در مدت زمان معینی می‌تواند وارد سایت شود از حمله هکرها جلوگیری می‌کند. برخی از سرویس‌های هاستینگ و فایروال‌ها این قابلیت را ایجاد می‌کنند، اما می‌توانید افزونه‌هایی مانند Limit Login Attempts را نصب کنید.

• افزودن کپچا جهت افزایش امنیت وردپرس

افزودن کپچا جهت افزایش امنیت وردپرس بسیار تاثیرگذار است. کپچا یکی از اقدام‌های امنیتی بسیار پرکاربرد است که اغلب وب‌سایت‌ها از آن استفاده می‌کنند. کپچا با تایید اینکه یک انسان وارد سایت می‌شود، یک لایه امنیتی جدید به ورود اضافه می‌کند.

مطلب مرتبط: کد کپچا چیست؟ (captcha)

• افزایش امنیت وردپرس: فعال کردن خروج خودکار

در جهت اقداماتی که برای افزایش امنیت وردپرس انجام می‌دهید،  حتما به خاطر داشته باشید که پس از اتمام کار، از حساب کاربری خود خارج شوید. به علاوه می‌توانید افزونه Inactive Logout را نصب کنید تا از ورود افراد غریبه به حساب کاربری خود جلوگیری کنید.

2. تامین امنیت وردپرس: از هاست امن وردپرس استفاده کنید

همچنین بهتر است برای تامین امنیت وردپرس از هاست امن وردپرسی استفاده کنید. وقتی که تامین کننده هاست خود را انتخاب می‌کنید باید عوامل زیادی را در نظر بگیرید، اما امنیتی که تامین می‌کند باید در اولویت باشد. سرویسی را انتخاب کنید که اقدامات خوبی برای تامین امنیت شما در نظر گرفته باشند و در صورت بروز حمله، سایت را به سرعت بازیابی کند. همچنین توجه داشته باشید که استفاده از هاست رایگان وردپرس برای امنیت سایت خطر آفرین است و بهتر است صرفا جهت تست و موارد غیرضروری از آن استفاده کنید.

3. نسخه وردپرس خود را به‌روز کنید

نسخه‌های قدیمی وردپرس همیشه هدف هکرها هستند. با توجه به اینکه پس از به‌روزرسانی نقاط ضعف نسخه قدیمی وردپرس اعلام می‌شود، هکرها از این نقطه برای حمله و آسیب رساندن به سایت استفاده می‌کنند. اطمینان حاصل کنید که وردپرس خود را به طور منظم به‌روزرسانی می‌کنید تا آسیب‌پذیری‌های نسخه قبل را از بین ببرید.

قبل از به‌روزرسانی وردپرس، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و حتما بررسی کنید که افزونه‌های شما با آخرین نسخه سازگاری دارند یا خیر! برای به‌روزرسانی افزونه‌ها نیز می‌توانید از دستورالعمل‌هایی که در سایت وردپرس قرار دارد استفاده کنید.

4. تامین امنیت وردپرس: آخرین نسخه PHP را استفاده کنید.

ارتقاء به آخرین نسخه PHP یکی از مهم‌ترین اقداماتی است که می‌توانید برای حفظ امنیت وب‌سایت وردپرس خود انجام دهید. وقتی که نسخه جدید PHP آمده باشد، داخل داشبورد وردپرس به شما اطلاع رسانی می‌شود. برای به‌روزرسانی باید وارد حساب کاربری پنل هاست شوید. اگر دسترسی به پنل هاست ندارید از تامین کننده هاست خود درخواست کنید تا این کار را انجام دهد.

5. از افزونه امنیت وردپرس استفاده کنید

از افزونه امنیت وردپرس استفاده کنید که برای سایت‌های وردپرس به شدت توصیه می‌شود، نصب افزونه‌های امنیت وردپرس است. این افزونه‌ها بسیاری از اقدامات دستی مرتبط با امنیت سایت را برای شما انجام می‌دهند که می‌توان به اسکن کردن برای اطلاع از تلاش‌های ورود به سایت، تغییر فایل‌های منبعی که سایت را در معرض خطر قرار می‌دهند، بازیابی و تنظیم مجدد سایت وردپرس و جلوگیری از سرقت محتوا، اشاره کرد. برخی از افزونه‌ها تمام این کارها را به تنهایی انجام می‌دهند و نیاز نیست برای تمام این اقدامات از چند افزونه استفاده کنید. پیش از نصب هر افزونه از قانونی و معتبر بودن آن اطمینان حاصل کنید.

6. استفاده از قالب امن وردپرسی

استفاده از قالب امن وردپرسی به اندازه افزونه‌های امنیت وردپرس اهمیت دارند. قبل از نصب قالب اطمینان حاصل کنید که با استانداردهای وردپرس مطابقت دارد تا به سایت شما آسیب نرساند.

7. افزایش امنیت وردپرس: SSL/HTTPS را فعال کنید

SSL (Secure Sockets Layer) فناوری است که ارتباط بین وب‌سایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری می‌کند و اطمینان می‌دهد که ترافیک بین سایت شما و سیستم بازدیدکنندگان در مقابل مداخله‌های ناخواسته ایمن است و جلوی نفوذ ربات‌ها را می‌گیرد. برای فعال سازی ssl هم می‌توانید به صورت دستی اقدام کنید و هم افزونه ssl را نصب کنید.

بیشتر بدانیم: چگونه یک گواهی SSL رایگان در وردپرس تنظیم کنیم

8. تامین امنیت وردپرس توسط فایروال

تامین امنیت وردپرس توسط فایروال یکی از روش‌های در دسترس و ایمن است. فایروال بین شبکه میزبان وردپرس شما و سایر شبکه‌هایی که با سایت شما در ارتباط هستند قرار می‌گیرد و به صورت خود کار از ورود ترافیک غیرمجاز به سایت شما جلوگیری می‌کند. فایروال‌ها با از بین بردن ارتباط مستقیم سایت شما با سایر سایت‌ها فعالیت‌های مخرب را دور نگه می‌دارد. برای این کار می‌توانید افزونه Web Application Firewall (WAF) را نصب کنید.

9. افزایش امنیت wordpress: نسخه پشتیبان سایت خود را تهیه کنید

نسخه‌ی پشتیبان ناجی سایت‌های هک شده است و امنیت سایت وردپرسی شما را تضمین می‌کند. هک شدن و از دست دادن تمام اطلاعات سایت یکی از بدترین اتفاقاتی است که می‌تواند برای هرسایتی بیافتد. حتما از سایت وردپرس خود نسخه پشتیبان تهیه کنید تا در زمان هک شدن اطلاعات خود را داشته باشید. بهتر است که بک‌آپ گیری خودکار را برای سایت خود فعال کنید.

10. اسکن‌های امنیتی وردپرس را به طور منظم انجام دهید

انجام اسکن‌های امنیتی وردپرس به صورت معمولی و حداقل یک بار در ماه می‌تواند به تامین امنیت سایت شما کمک زیادی کند. شما می‌توانید این کار را از طریق افزونه‌ها انجام دهید.

بیشتر بدانیم: آموزش بکاپ گیری و بازگردانی بک آپ در وردپرس و معرفی افزونه

اقدامات پیشرفته افزایش امنیت وردپرس

بعدا از انجام اقدامات پایه‌ای تامین امنیت وردپرس، می‌توانید اقدامات پیشرفته‌تری انجام دهید تا از آسیب به سایت جلوگیری کنید. این اقدامات شامل موارد زیر می‌شوند:

1. اقدامات پیشرفته افزایش امنیت وردپرس: برای ورودی های کاربر کاراکترهای خاصی را محدود کنید

اگر بخشی از سایت خود برای پاسخ بازدیدکنندگان به صورت تکمیل فرم یا هر فرمتی که اجازه ورود اطلاعات را می‌دهد باشد، اعمال فیلتر برای ورودی‌های سایت ضروری است. محل ثبت ورودی سایت فرصت مناسبی برای حمله‌های XSS است که هکرها بتوانند کدهای مخرب را به سایت تزریق کنند.

برای انجام این کار هم می‌توانید کاراکترهای خاصی را در قسمت ورودی سایت فیلتر کنید، هم از افزونه‌هایی که کد مخرب را شناسایی می‌کنند، استفاده کنید. استفاده از افزونه فرم وردپرس که به صورت خودکار این کاراکترها را فیلتر می‌کند نیز می‌تواند از این حملات جلوگیری کند.

همچنین بخوانید: آموزش ساخت فرم تماس در وردپرس

2. اقدامات پیشرفته تامین امنیت وردپرس: سطوح دسترسی کاربران را محدود کنید

برای تامین و تضمین امنیت وردپرس سطح دسترسی یکسان به کاربران سایت خود ندهید. وردپرس شش نقش برای هر کاربر دارد. بعنوان مثال اگر سه کاربر با سطح دسترسی ویرایشگر داشته باشید، احتمال هک شدن سایت بالا می‌رود و آن را آسیب‌پذیر می‌کند. با محدود کردن سطح دسترسی ادمین از حملات brute-force جلوگیری کنید تا حتی اگر هکری اطلاعات ورود کاربر admin را درست حدس زده باشد، میزان آسیبی که وارد می‌شود را محدود شود.

3. اقدامات پیشرفته افزایش امنیت وردپرس: از مانیتورینگ وردپرس استفاده کنید

استفاده از سیستم مانیتورینگ برای سایت شما را از هرگونه فعالیت مشکوکی که در سایت انجام می‌شود آگاه می‌کند. در حالت ایده‌آل، به مرور زمان متوجه فعالیت غیرطبیعی داخل سایت وردپرس خود می‌شوید، اما بهتر است با نصب افزونه مانیتورینگ زودتر از آن آگاه شوید.

4. اقدامات پیشرفته تامین امنیت وردپرس: ثبت فعالیت کاربر

با ثبت فعالیت کاربران می‌توانید از تمام تغییراتی که در سایت رخ می‌دهد و فردی که آن را انجام می‌دهد مطلع شوید. در نتیجه، می‌توانید متوجه وقوع فعالیت مشکوک شده و از آن جلوگیری کنید، مانند تلاش برای تغییر رمز عبور، تغییر قالب یا افزونه‌ها و یا نصب و غیر فعال کردن افزونه. این افزونه به پاکسازی بعد از هک شدن نیز کمک می‌کند، زیرا نشان می‌دهد که چه فعالیت اشتباهی در چه زمانی رخ داده است.

البته تمام فعالیت‌های تغییر رمز عبور یا اصلاح فایل نشانه هکر نیست، اما اگر تعداد کاربران سایت شما زیاد است، بهتر است که ثبت درست و دقیق از فعالیت آنها داشته باشید.

5. اقدامات پیشرفته افزایش امنیت وردپرس: URL پیش‌فرض ورود به وردپرس را تغییر دهید.

URL پیش‌فرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی ثابت و مشخص است. افزونه‌هایی مانند WPS Hide Login URL صفحه ورود را برای شما تغییر می‌دهند.

6. اقدامات پیشرفته افزایش امنیت وردپرس: ویرایش فایل را در داشبورد وردپرس غیرفعال کنید

به طور پیش‌فرض، سطح دسترسی مدیرکل در وردپرس اجازه ویرایش کد فایل را دارد. اگر هکرها به دسترسی مدیرکل سایت وارد شوند به راحتی می‌توانند از این طریق به سایت آسیب برسانند. برای این کار می‌توانید از راه های زیر اقدام کنید:

• افزونه‌ای که ویرایش کد را غیرفعال می‌کند نصب کنید
• هنگام دادن دسترسی به کاربر این امکان را غیرفعال کنید
• اگر کاربری دسترسی ویرایش دارد، از طریق سی پنل (cpanel) هاست سایت، آن را غیرفعال کنید.

همچنین بخوانید: آموزش نصب وردپرس در سی پنل راهنمای تصویری

7. اقدامات پیشرفته افزایش امنیت وردپرس: پیشوند فایل دیتابیس خود را تغییر دهید

اسم فایل‌هایی که پایگاه داده سایت وردپرس هستند به طور پیش‌فرض با "wp_" شروع می‌شود و هکرها به راحتی می‌توانند با تشخیص آن، حمله SQL انجام دهند. برای جلوگیری از این آسیب به سایت، نام فایل‌های دیتابیس خود را تغییر دهید. این کار را می‌توانید هنگام نصب وردپرس انجام دهید. دیتابیس تمام محتوای سایت را ذخیره می‌کند و آسیب به آن می‌تواند ضربه‌های غیرقابل جبرانی وارد کند. در نتیجه بهتر است تمام تلاش خودتان را برای حفظ دیتابیس انجام دهید. برای این کار می‌توانید از افزونه نیز استفاده کنید.

8. اقدامات پیشرفته افزایش امنیت وردپرس: فایل xmlrpc.php خود را غیر فعال کنید.

XML-RPC یک پروتکل ارتباطی است که به وردپرس اجازه می‌دهد با وب خارجی و برنامه‌های تلفن همراه تعامل داشته باشد. البته از زمان ظهور WordPress REST API، استفاده از XML-RPC بسیار کمتر شده‌است. اما بعضی افراد هنوز هم از آن برای راه‌اندازی حمله استفاده می‌کنند.

تکنولوژی XML-RPC به هکرها اجازه می‌دهد که بتوانند صدها دستور به سایت ارسال کنند و حمله brute force را آسان‌تر می‌کند. بعلاوه، XML-RPC در مقایسه با REST API امنیت کمتری دارد. بهتر است اگر سایت شما از XML-RPC استفاده نمی‌کند، آن را غیرفعال کنید تا احتمال آسیب سایت در برابر حملات را کمتر کنید.

9. افزایش امنیت وردپرس با حذف حساب پیش‌فرض ادمین

با حذف حساب پیش‌فرض ادمین یک قدم گام دیگر به ایمن‌سازی وردپرس نزدیک می‌شوید. یکی از اقدامات امنیتی که می‌تواند تا حد زیادی جلوی آسیب به سایت شما را بگیرد، حذف حساب پیش‌فرض ادمین و ایجاد یک کاربری دیگر با همان سطح دسترسی است.

10. اقدامات پیشرفته افزایش امنیت وردپرس:  نسخه وردپرس خود را مخفی کنید

مخقی کردن نسخه وردپرس یکی دیگر از مراحل ایمن‌سازی سایت وردپرسی است.  البته این اقدام برای نسخه‌های 5  به بعد وردپرس خیلی ضروری نیست. همانطور که پیش‌تر گفته شد وردپرس بعد از هر به‌روزرسانی مشکل‌هایی که در نسخه قبل وجود داشت را اعلام می‌کند، اما از نسخه 5 به بعد مشکلات امنیتی اعلام نمی‌شود. در نتیجه جای نگرانی نیست.

بیشتر بدانیم: HTTPS چیست؟

افزونه های امنیت وردپرس

افزونه امنیتی وردپرس MalCare

• امتیاز : 4.1 از 5
• تعداد نصب: بیش از 200 هزار نصب فعال
• نسخه وردپرس مورد نیاز: 4.0 یا بالاتر

توضیحات

افزونه امنیتی MalCare سریع‌ترین افزونه شناسایی و حذف بدافزار است که توسط آژانس‌ها و developer های زیادی مورد استفاده قرار می‌گیرد. این افزونه بالاترین کارآیی را دارد، قابل اعتماد است و استفاده راحتی دارد. بعلاوه، از الگوریتم‌های خودآموز (Self-learn algorithms) استفاده می‌کند تا به‌روزترین تکنولوژی‌های امنیتی را تامین کند. این افزونه 7 لایه قدرتمند امنیتی ایجاد می‌کند تا بتواند هر گونه حمله‌ای را دفع کند. این افزونه بر اساس تعداد لایه‌های امنیتی که ایجاد می‌کند، در سه سطح عرضه می‌شود. اگر سایت وردپرسی از کار بیافتد، این افزونه به شما اطلاع می‌دهد تا قبل اینکه بازدیدکنندگان خود را از دست بدهید، نسبت به بازیابی آن اقدام کنید.

از مزایای این افزونه می‌توان به این موارد اشاره کرد:

• مبتنی بر ابر است
• سرعت سایت را کند نمی‌کند
• همه نوع بدافزار را شناسایی و آثار آن را حذف می‌کند
• ورود ربات‌های هکر به صفحه را مسدود می‌کند
• ترافیک مخرب را شناسایی و مسدود می‌کند
• استفاده آسانی دارد
• به کاربران اجازه می‌دهد ورود از تمام کشورها را مسدود کنند
• پاکسازی نامحدود دارد

لینک دانلود افزونه: https://fa.wordpress.org/plugins/malcare-security/

افزونه امنیتی وردپرس Wordfence Security – Firewall & Malware Scan

• امتیاز : 4.7 از 5
• تعداد نصب: بیش از 4 میلیون نصب فعال
• نسخه وردپرس مورد نیاز: 3.9 یا بالاتر

توضیحات

افزونه امنیت وردپرسی وردفنس از جدیدترین قوانین فایروال برای شناسایی هرگونه اثر از بدافزار و آدرس‌های IP مخرب استفاده می‌کند تا سایت را ایمن نگه دارد. همچنین احراز هویت دو مرحله‌ای دارد که امنیت بیشتری برای وردپرس ایجاد می‌کند. از جمله مزایایی که این افزونه دارد می‌توان به این موارد اشاره کرد:

• وب-اپلیکیشن برای شناسایی ترافیک مخرب و مسدود کردن آن
• از سایت در نقطه پایانی محافظت می‌کند که باعث یکپارچه سازی عمیق با وردپرس می‌شود. برخلاف همتاهای مبتنی بر ابر، امکان شکستن رمزگذاری آن و افشای داده‌ها وجود ندارد
• با محدود کردن تلاش‌های ورود به سیستم از حملات brute force جلوگیری می‌کند
• اسکنر مرکزی آن فایل‌ها، قالب‌ها و افزونه‌ها را اسکن می‌کند تا هرگونه URL مخرب، اسپم‌های سئو ، ردایرکت‌های مخرب و تزریق کد را شناسایی کند.
• فایل‌ها، قالب‌ها و افزونه‌های اصلی و مرکزی را با مخازن وردپرس مقایسه می‌کند تا یکپارچگی آن را چک کند. در صورت وجود هرگونه مغایرت آن را گزارش می‌دهد
• سایت را چک می‌کند و در صورت وجود هرگونه احتمال آسیب، اطلاع رسانی می‌کند

در نسخه پریمیوم:

• آی پی سایت را چک می‌کند تا هرگونه فعالیت مخرب،  قرار گرفتن در بلک لیست، ایجاد اسپم و یا هرگونه مشکلات امنیتی را گزارش کند
• درخواست‌هایی که از آی پی های مخرب ارسال می‌شوند را در بلک لیست قرار می‌دهد  تا از سایت محافظت کند

 لینک دانلود افزونه: https://fa.wordpress.org/plugins/wordfence/

افزونه امنیتی وردپرس Sucuri Security

• امتیاز : 4.2 از 5
• تعداد نصب: بیش از 800 هزار نصب فعال
• نسخه وردپرس مورد نیاز: 3.6 یا بالاتر

توضیحات

افزونه امنیتی وردپرس Sucuri Security یکی از پلاگین‌های رایگان است که وضعیت امنیتی فعلی را تکمیل می‌کند. از جمله ویژگی‌های امنیتی که این افزونه به وب‌سایت ارائه می‌دهد می‌توان به موارد زیر اشاره کرد:

• بررسی فعالیت‌های امنیتی
• نظارت بر یکپارچگی فایل
• اسکن بدافزار از راه دور
• نظارت بر بلک لیست
• ایجاد امنیت سفت و سخت
• اقدامات امنیتی پس از هک
• اطلاعیه‌های امنیتی
• فایروال وب‌سایت (با پرداخت هزینه)

لینک دانلود افزونه: https://fa.wordpress.org/plugins/sucuri-scanner/

امنیت کامل وردپرس و فایروال

• امتیاز : 4.8 از 5
• تعداد نصب: بیش از 1 میلیون نصب فعال
• نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
• "این افزونه با زبان فارسی سازگار است"

توضیحات:

افزونه امنیت کامل وردپرس و فایروال در سه سطح "پایه"، "متوسط" و "پیشرفته" طبقه‌بندی می‌شود و  با بررسی آسیب‌پذیری‌ها، پیاده‌سازی و اجرای آخرین شیوه‌ها و تکنیک‌های امنیتی توصیه شده وردپرس، خطر امنیتی را کاهش می‌دهد. از ویژگی‌های این افزونه می‌توان به موارد زیر اشاره کرد:

• می‌توانید با استفاده از آن نام حساب کاربری admin را تغییر دهید.
• حساب کاربری که نام نمایشی و نام کاربری یکسان داشته باشد را شناسایی می‌کند. یکسان بودن نام کاربری و نام نمایشی یکی از نقاط ضعف سایت محسوب می‌شود که به هکرها اجازه ورود راحت‌تر را می‌دهد.
• امکان ایجاد رمز عبود قوی را می‌دهد
• برای جلوگیری از حملات Brute Force از ویژگی Login Lockdown استفاده می‌کند. در این سیستم کاربرانی که از یک محدوده آدرس آی پی خاصی هستند برای زمان تعیین شده‌ای بلاک می شوند. همچنین می‌تواند تلاش‌های مکرر یک کاربر برای ورود به سایت را از طریق ایمیل اطلاع رسانی کند.
• بعنوان مدیر سایت، می‌توانید فهرست کاربرانی که بلاک شده‌اند را مشاهده کنید و آدرس‌های آی پی انبوه یا فردی را باز کنید.
• امکان قفل کردن خودکار محدوده‌های آدرس IP که تلاش می‌کنند با نام کاربری نامعتبر وارد سیستم شوند.
• امکان مشاهده لیست تمامی کاربرانی که در حال حاضر وارد سایت شما شده‌اند.
• اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم ورود به وردپرس
• اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم رمز عبور فراموش شده سیستم WP Login

لینک دانلود افزونه: https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

افزونه امنیتی وردپرس BulletProof Security

• امتیاز : 4.8 از 5
• تعداد نصب: بیش از 40 میلیون نصب فعال
• نسخه وردپرس مورد نیاز: 3.8 یا بالاتر

توضیحات:

فزونه امنیتی وردپرس BulletProof Security مشکلاتی که برای سایر افزونه‌ها بوجود آمده‌است را به صورت اتوماتیک برطرف می‌کند. از جمله ویژگی‌های این افزونه می‌توان به موارد زیر اشاره کرد:

• نصب برنامه با استفاده از یک کلیک
• رفع خودکار مشکلات نصب
• پوشه پنهان افزونه‌ها
• امنیت ورود و نظارت
• خروج از جلسه خودکار
• تهیه پشتیبان
• حالت نگهداری بک‌اند و فرانت‌اند
• زمانیکه به‌روزرسانی‌های قالب و یا افزونه‌های جدید وجود داشته باشد، از طریق ایمیل اطلاع‌رسانی می‌کند.
• سیستم مانیتورینگ ورود به دیتابیس
• ابزار مقایسه اطلاعات دیتابیس

لینک دانلود افزونه: https://fa.wordpress.org/plugins/bulletproof-security/

افزونه امنیتی وردپرس iThemes Security

• امتیاز : 4.6 از 5
• تعداد نصب: بیش از 1 میلیون نصب فعال
• نسخه وردپرس مورد نیاز: 5.8 یا بالاتر
• "این افزونه با زبان فارسی سازگار است"

توضیحات:

افزونه امنیتی وردپرس iThemes Security یکی از  بهترین پلاگین‌های ایمن‌سازی wordpress است که می‌تواند در کمتر از 10 دقیقه امنیت کامل برای سایت شما ایجاد کند. این افزونه 6 نوع قالب امنیتی ارائه می‌کند که می‌توانید بر اساس نوع سایت خود، قالب مناسب را انتخاب کنید که شامل موارد زیر می‌شوند:

• تجارت الکترونیک
• شبکه
• بلاگ
• نمونه کار (Portfolio)
• بروشور (Brochure)
• Non-Profit

تمام فعالیت‌های امنیتی سایت را در تمام ساعات شبانه‌روز بررسی می‌کند و بر آن نظارت دارد و آمار تمام فعالیت های امنیتی سایت از جمله حملات brute force، کاربران بلاک شده، قفل‌های فعال و نتایج اسکن سایت را در قسمت داشبورد نشان می‌دهد.

این افزونه ورود ایمن را با لایه‌های امنیتی زیر تامین می‌کند:

• احراز هویت دو مرحله ای: با وارد کردن کد امنیتی و رمز عبور، ورود به وردپرس خود را در برابر حمله کاربران تقریبا غیرقابل نفوذ می‌کند. این افزونه با تامین کردن چند روش احراز هویت، ورود به حساب کاربری را ایمن می‌کند.
• نیازمندی های رمز عبور: در کمتر از یک دقیقه می‌توانید خط مشی مخصوص خود را برای ورود به حساب کاربری ایجاد کنید.
• ری کپچا (در نسخه pro)
• ورود بدون رمز عبور (در نسخه pro)
• دستگاه های مورد اعتماد (در نسخه pro)

لینک دانلود افزونه: https://fa.wordpress.org/plugins/better-wp-security/

افزونه امنیتی وردپرس Inactive Logout

• امتیاز : 4.7 از 5
• تعداد نصب: بیش از 10 هزار نصب فعال
• نسخه وردپرس مورد نیاز: 5.6 یا بالاتر

توضیحات:

افزونه امنیتی وردپرس Inactive Logout پس از مدت زمان خاصی که کاربر فعالیتی داخل حساب کاربری خود ندارد، آن را از حساب کاربری خارج می‌کند. پیکربندی و استفاده از این افزونه بسیار آسان است. پس از نصب و فعال کردن افزونه، می‌توانید بازه زمانی مجاز غیرفعال بودن کاربر را از قسمت تنظیمات به سادگی تنظیم کنید. به علاوه می‌توانید تنظیمات را به گونه‌ای ثبت کنید که قبل از خارج شدن از حساب کاربری، اتمام جلسه را از طریق یک پیام اطلاع رسانی کند. از جمله ویژگی‌های این افزونه می‌توان به موارد زیر اشاره کرد:

• تغییر زمان غیرفعال بودن
• قبل از خارج شدن از حساب کاربری، 10 ثانیه شمارش معکوس نشان دهد
• بعد از مدت زمان مشخصی که کاربر غیرفعال بود، به جای خارج شدن از حساب کاربری پیامی به صورت پاپ آپ نشان دهد تا کاربر را هوشیار کند. 
• امکان ورود همزمان دو نفر به حساب کاربری را نمی‌دهد
• کاربری ساده
• اگر کاربر در پنجره‌های متفاوتی وارد حساب کاربری خود شده‌است، از حساب کاربری خارج نکند.

در نسخه پیشرفته پس از 2 دقیقه غیرفعال بودن کاربر، صفحه مرورگر را می بندد.

لینک دانلود افزونه: https://fa.wordpress.org/plugins/inactive-logout/

افزونه امنیتی وردپرس SSL واقعاً ساده

• امتیاز : 5 از 5
• تعداد نصب: بیش از 5 میلیون نصب فعال
• نسخه وردپرس مورد نیاز: 4.9 یا بالاتر
• "این افزونه با زبان فارسی سازگار است"

توضیحات:

SSL Really Simple تنظیمات را به صورت خودکار شناسایی می‌کند و وب‌سایت را برای اجرا بر روی HTTPS پیکربندی می‌کند. در نسخه Pro امکانات بیشتری دارد که می‌توان به بهبود امنیت، امنیت محتوا و سیاست‌های سایت و امنیت پیشرفته سرتیترها اشاره کرد.

لینک دانلود افزونه: https://fa.wordpress.org/plugins/really-simple-ssl/