میزان امنیت وردپرس چقدر است؟
میزان امنیت وردپرس همچون دیگر ابزارهای طراحی سایت جای بحث و تامل دارد، با اینکه وردپرس یک سیستم مدیریت محتوای ایمن محسوب میشود و جایگاه خاصی در برنامه نویسی دارد، اما مانند سایر CMSها میتواند در برابر حملات آسیب پذیر باشد. سایتهایی که از وردپرس استفاده میکنند همیشه مورد حملههای سایبری قرار میگیرند. این در حالی است که تقریبا 43 درصد سایتها از سیستم مدیریت محتوای وردپرس استفاده میکنند.
وردپرس همواره تیم امنیتی متشکل از محققان و مهندسان مطرح را برای تامین امنیت خود به کار میگیرد. این تیم همواره پشت سیستم هستند و نقاط آسیبپذیری سیستم را بررسی میکنند و بهروزرسانیهای امنیتی وردپرس را انجام میدهند. تا زمانیکه وردپرس فعال است، امنیت کاربران تامین است.
وردپرس یک نرمافزار متن باز است، به این معنی که کد منبع برای تغییر و توزیع در دسترس همه قرار دارد. هرچند این ویژگی برای بهینهسازی و تنظیم خیلی خوب است، اما از نظر امنیتی نقظه ضعف وردپرس محسوب میشود. اگر افردای که از وردپرس برای مدیریت محتوای خود استفاده میکنند، آن را به درستی پیکربندی و یا ایمن نکرده باشند و چک لیست امنیت وردپرس را رعایت نکرده باشند، باید انتظار مشکلات امنیتی بیشماری را داشته باشند. اگر امنیت سایت به خوبی تامین نشود، برای هکرها بهترین شرایط فراهم است تا سایت شما را مورد حمله قرار دهند. وردپرس معتقد است که امنیت در واقع به معنای کاهش ریسک است، نه از بین بردن کامل خطر، پس به طور کلی میتوان گفت که وردپرس ایمن است، اما در صورتی که کاربران مسئله امنیت را جدی بگیرند و چک لیست امنیت وردپرس را رعایت نمایند و اقدامات لازم برای تامین امنیت را انجام دهند.
مشکلات امنیتی وردپرس
مشکلات امنیتی وردپرس زمانی خود را بروز میدهند که اقدامات لازم برای تامین امنیت آن انجام نشود، در این صورت سایت وردپرس در معرض خطرات امنیتی قرار میگیرد. از جمله رایجترین حملات سایبری که برای وردپرس وجود دارند میتوان به موارد زیر اشاره نمود:
-
حملات Brute-Force
این حمله، سادهترین حمله سایبری است. ورود brute-force زمانی اتفاق میافتد که هکرها ترکیبهای نام کاربری و رمز عبور را به صورت اتوماتیک وارد کنند تا در نهایت یکی از آنها درست باشد و بتوانند وارد حساب کاربری شوند. حملات Brute-force فقط امکان ورود به سیستم را نمیدهد، بلکه دسترسی به تمام اطلاعاتی که رمزگذاری شدهاند را نیز ایجاد میکنند.
-
حمله Cross-Site Scripting یا XSS
XSS زمانی اتفاق میافتد که مهاجم کد مخرب را از سمت Server Side یا Client Side به وبسایت هدف «تزریق» میکند تا اطلاعات را استخراج کند و در عملکرد سایت اختلال ایجاد کند. پرکاربردترین روش نفوذ، افزودن کدهای مخرب به انتهای URL است که در اختیار کاربر قرار میگیرد و به محض کلیک کاربر، کد اجرا میشود. همچنین هکر با دسترسی به دیتابیس وبسایت و قرار دادن اسکریپت، امکان آلودهکردن صفحهی وب را در مقیاسی بزرگتر دارد.
-
Database Injections
این حمله با عنوان تزریق SQL نیز شناخته میشود و زمانی اتفاق میافتد که هکر رشته کد آسیب رسان را از طریق برخی از ورودیهای کاربر مانند فرم تماس، به وبسایت ارسال میکند. سپس وبسایت کد را در پایگاه داده خود ذخیره میکند. این حمله مشابه حمله XSS، کد آسیب رسان برای به دست آوردن یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده، روی وبسایت اجرا میشود.
-
درب پشتی (Backdoors)
در پشتی فایلی حاوی کد است که به مهاجم اجازه میدهد تا ورود استاندارد وردپرس را دور بزند و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان درهای پشتی را در میان سایر فایلهای منبع وردپرس قرار میدهند، به طوریکه پیدا کردن آن توسط کاربرانی که تجربه زیادی ندارند دشوار است. حتی اگر فایل Backdoors را حذف کنید، هکرها میتوانند از انواع دیگری از کدها استفاده کنند تا بتوانند وبسایت را دور بزنند. البته باید این نکته را در نظر داشت که وردپرس برای انواع فایلهایی که کاربران میتوانند آپلود کنند محدودیتی ایجاد میکند تا احتمال این نوع حمله را کم کند، اما نباید آن را دست کم گرفت و چک لیست امنیت وردپرس و اقدامات امنیتی لازم برای جلوگیری از آن را باید اجرا نمود.
-
حملات انکار سرویس (DoS)
حملات DoS با هدف از دسترس خارج کردن وبسایت انجام میشوند. به این صورت که هکر تعداد زیادی درخواست را به صورت همزمان به سایت ارسال میکند. تعداد این درخواستها بیشتر از ظرفیت پاسخ سایت است. در نتیجه، سایت از دسترس خارج شده و حتی کاربران واقعی نمیتواند به اطلاعات آن دسترسی پیدا کند. نوع دیگر حمله، DDoS است که چندین سیستم با یکدیگر شبکه زامبی تشکیل میدهند و به صورت همزمان درخواستهای خود را به یک سرور ارسال میکنند.
-
فیشینگ (Phishing)
در این حمله، مهاجم تحت عنوان یک شرکت یا خدمت قانونی ارتباط برقرار میکند، هدف را وادار میکند که اطلاعات شخصی خود را در اختیار آنها قرار دهد، از وبسایتهای خطرناک دیدن کند و یا بدافزاری را دانلود کند. اگر هکر بتواند به حساب وردپرس دسترسی پیدا کند، میتواند حملات فیشینگ را علیه مشتریان صاحب حساب نیز انجام دهد و خود را به عنوان نیرویی از سایت هدف جا بزند.
-
Hotlinking
Hotlinking زمانی اتفاق میافتد که وبسایت دیگری محتوای جاسازی شده (embedded content) (معمولاً یک تصویر) را بدون اجازه شما نشان میدهد، به طوری که محتوا متعلق به مهاجم است و میتوان تشخیص داد که برای سایت میزبان نیست. البته هات لینک بیشتر دزدی است تا حمله! صاحب هر سایتی باید به ازای محتوایی که داخل صفحه خود قرار میدهد و حجمی که مصرف میکند، هزینه پرداخت کند. با این نوع حمله، بدون پرداخت هزینه محتوا در سرور دیگری به نمایش گذاشته میشود.
بیشتر بدانیم: امنیت سایت چیست و چگونه آن را تامین کنیم؟
قسمتهای آسیبپذیر وردپرس
هکرها برای اینکه بتوانند به یک سایت حمله کنند باید حفرههایی که در امنیت صفحه وجود دارد را شناسایی کرده و آنها را هدف قرار دهند. نقاط آسیبپذیر وردپرس که هدف مهاجمین قرار میگیرند شامل موارد زیر هستند:
-
افزونههای null شده
افزونههای تجاری که به صورت رایگان منتشر میشوند را اصطلاحا افزونه نال شده میگویند. سازنده این افزونهها، آنها را به صورت تجاری و برای فروش منتشر میکنند، ولی در منابع نامعتبر به صورت رایگان در اختیار مصرفکنندگان قرار میگیرد. با توجه به اینکه هکرها به کد منبع این افزونهها دسترسی دارند، به راحتی میتوانند از طریق آنها به سایت حمله کرده و عملکرد آن را مختل نمایند.
-
آسیبپذیری وردپرس از راه نسخههای قدیمی
در نسخههای جدید، چک لیست امنیت وردپرس برای اصلاح آسیب پذیریهای امنیتی بروزرسانی شده است. بعد از اینکه این نقاط و حفره های امنیتی شناسایی و رفع میشوند، توسط وردپرس به عنوان دلیل بروزرسانی اعلام میشوند. در نتیجه، هکرها به خوبی میدانند برای حمله به اشخاصی که از نسخههای قدیمی وردپرس استفاده میکنند، باید از کدام نقاط اقدام کنند.
-
آسیبپذیری وردپرس از مسیر صفحه ورود
صفحه ورود به بکاند (back-end) تمام وبسایتهای وردپرسی به صورت پیشفرض با اضافه کردن /wp-admin یا /wp-login.php به انتهای URL اصلی سایت است. این آدرس مورد حمله مهاجمان قرار میگیرد و سعی میکنند با استفاده از حمله brute force وارد آن شوند.
-
آسیبپذیر وردپرس توسط قالبها
حتی قالب وردپرس میتواند سایت را در برابر حملات سایبری آسیبپذیر کند. امکان دارد قالبهای منسوخ با نسخههای جدید وردپرس سازگای نداشته باشند و دسترسی آسانی به فایلهای منبع فراهم کنند. بعلاوه، تعداد زیادی از قالبهای شخص ثالث (third-party themes) استانداردها و چک لیست امنیت وردپرس را رعایت نمیکنند و مشکلات سازگاری و آسیبهای مشابهی را ایجاد میکنند.
همچنین بخوانید: معرفی بهترین قالب فروشگاهی وردپرس 2023
محتوای مرتبط: هک وردپرس
چک لیست امنیت وردپرس و بهترین اقدامات تامین امنیت
برای تامین امنیت یکسری اقدامات وجود دارد که میتوانید در این زمینه کمک کننده باشد که شامل:
چک لیست امنیت وردپرس: ورود خود را ایمن کنید
تامین امنیت وردپرس از مهمترین نکات است. چرا که اساسیترین گام برای ایمنسازی وبسایت، ایمن نگه داشتن حسابهای کاربری در برابر تلاشهای هکرها برای ورود است. برای ورود ایمن به موارد زیر توجه نمایید:
-
رمزعبور قوی داشته باشید
جهت افزایش امنیت وردپرس به رمزگذاریها دقت کنید، متاسفانه هنوز هم بسیاری از افراد از رمز «123456» برای حساب کاربری خود استفاده میکنند. در حالیکه رمزهای قابل حدس به هکرها اجازه میدهد به راحتی به اطلاعات شما دسترسی پیدا کنند و یک راه ساده برای آسیب رساندن پیدا کنند. اگر از وردپرس برای تامین امنیت خود استفاده میکنید، اطمینان حاصل کنید که تمام کاربران شما از رمز عبور و پسورد قوی استفاده میکنند.
-
فعال کردن احراز هویت دو مرحلهای
از دیگر موارد افزایش امنیت وردپرس 2FA است. احراز هویت دو مرحلهای از کاربران میخواهد تا ورود خود را با دستگاه دوم تأیید کنند. این راه یکی از سادهترین و در عین حال موثرترین روشها برای ایمن سازی ورود است.
-
هیچ حسابی را با نام کاربری "admin" نسازید
برای افزایش امنیت وردپرس حتی به یوزرنیم هم باید توجه داشته باشید، اولین نام کاربری که هکرها برای ورود به سیستم امتحان میکنند، admin است. در نتیجه با انتخاب این نام کاربری، شانس هکرها را برای دسترسی به اطلاعات خود بیشتر میکنید. اگر حساب کاربری با این نام ایجاد کردهاید، یک حساب کاربری جدید با نام دیگری ایجاد کنید. همچنین میتوانید از مدیر یا طراح سایت درخواست کنید که از طریق دیتابیس، نام کاربری را تغییر دهد. این کار را میتوانید با استفاده از افزونه "امنیت کامل وردپرس و فایروال" انجام دهید. عموما در طراحی سایت با وردپرس ، طراحان به این موضوع توجه ندارند و برای راحتی کار خودشان از Admin به عنوان نام کاربری استفاده می کنند.
-
محدود کردن تعداد تلاشهای ورود
قرار دادن سقف برای تعداد دفعاتی که کاربر در مدت زمان معینی میتواند وارد سایت شود از حمله هکرها جلوگیری میکند. برخی از سرویسهای هاستینگ و فایروالها این قابلیت را ایجاد میکنند، اما میتوانید افزونههایی مانند Limit Login Attempts را نصب کنید.
-
افزودن کپچا جهت افزایش امنیت وردپرس
افزودن کپچا جهت افزایش امنیت وردپرس بسیار تاثیرگذار است. کپچا یکی از اقدامهای امنیتی بسیار پرکاربرد است که اغلب وبسایتها از آن استفاده میکنند. کپچا با تایید اینکه یک انسان وارد سایت میشود، یک لایه امنیتی جدید به ورود اضافه میکند.
-
افزایش امنیت وردپرس: فعال کردن خروج خودکار
در جهت اقداماتی که برای افزایش امنیت وردپرس انجام میدهید، حتما به خاطر داشته باشید که پس از اتمام کار، از حساب کاربری خود خارج شوید. به علاوه میتوانید افزونه Inactive Logout را نصب کنید تا از ورود افراد غریبه به حساب کاربری خود جلوگیری کنید.
از هاست امن وردپرس استفاده کنید
همچنین بهتر است برای تامین امنیت وردپرس و در راستای رعایت چک لیست امنیت وردپرس از هاست امن وردپرسی استفاده کنید. وقتی که تامین کننده هاست خود را انتخاب میکنید باید عوامل زیادی را در نظر بگیرید، اما امنیتی که تامین میکند باید در اولویت باشد. سرویسی را انتخاب کنید که اقدامات خوبی برای تامین امنیت شما در نظر گرفته باشند و در صورت بروز حمله، سایت را به سرعت بازیابی کند. همچنین توجه داشته باشید که استفاده از هاست رایگان وردپرس برای امنیت سایت خطر آفرین است و بهتر است صرفا جهت تست و موارد غیرضروری از آن استفاده کنید.
نسخه وردپرس خود را بهروز کنید
نسخههای قدیمی وردپرس همیشه هدف حمله هکرها هستند. با توجه به اینکه پس از بهروزرسانی نقاط ضعف نسخه قدیمی وردپرس اعلام میشود، هکرها از این نقطه برای حمله و آسیب رساندن به سایت استفاده میکنند. اطمینان حاصل کنید که وردپرس خود را به طور منظم بهروزرسانی میکنید تا آسیبپذیریهای نسخه قبل را از بین ببرید.
قبل از بهروزرسانی وردپرس، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و حتما بررسی کنید که افزونههای شما با آخرین نسخه سازگاری داشته باشند. برای بهروزرسانی افزونهها نیز میتوانید از دستورالعملهایی که در سایت وردپرس قرار دارد، استفاده نمایید.
از آخرین نسخه PHP استفاده کنید
ارتقاء به آخرین نسخه PHP یکی از مهمترین اقداماتی است که میتوانید برای حفظ امنیت وبسایت وردپرس خود انجام دهید. وقتی که نسخه جدید PHP آمده باشد، داخل داشبورد وردپرس به شما اطلاع رسانی میشود. برای بهروزرسانی باید وارد حساب کاربری پنل هاست شوید. اگر دسترسی به پنل هاست ندارید از تامین کننده هاست خود درخواست کنید تا این کار را انجام دهد.
از افزونه امنیت وردپرس استفاده کنید
از افزونه امنیت وردپرس استفاده کنید که برای سایتهای وردپرس به شدت توصیه میشود. این افزونهها بسیاری از اقدامات دستی مرتبط با امنیت سایت را برای شما انجام میدهند که میتوان به اسکن کردن برای اطلاع از تلاشهای ورود به سایت، تغییر فایلهای منبعی که سایت را در معرض خطر قرار میدهند، بازیابی و تنظیم مجدد سایت وردپرس و جلوگیری از سرقت محتوا، اشاره نمود. برخی از افزونهها تمام این کارها را به تنهایی انجام میدهند و نیاز نیست برای تمام این اقدامات از چند افزونه استفاده کنید. پیش از نصب هر افزونه از قانونی و معتبر بودن آن اطمینان حاصل کنید.
استفاده از قالب امن وردپرسی
استفاده از قالب امن وردپرسی به اندازه افزونههای امنیت وردپرس اهمیت دارند. قبل از نصب قالب اطمینان حاصل کنید که با استانداردهای وردپرس مطابقت دارد تا به سایت شما آسیب نرساند.
افزایش امنیت وردپرس: SSL/HTTPS را فعال کنید
یکی دیگر از اقدامات چک لیست امنیت وردپرس استفاده از فناوری SSL (Secure Sockets Layer) است که ارتباط بین وبسایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری میکند و اطمینان میدهد که ترافیک بین سایت شما و سیستم بازدیدکنندگان در مقابل مداخلههای ناخواسته ایمن است و جلوی نفوذ رباتها را میگیرد. برای فعال سازی ssl هم میتوانید به صورت دستی اقدام کنید و هم افزونه ssl را نصب کنید.
بیشتر بدانیم: چگونه یک گواهی SSL رایگان در وردپرس تنظیم کنیم
تامین امنیت وردپرس توسط فایروال
تامین امنیت وردپرس توسط فایروال یکی دیگر از موارد چک لیست امنیت وردپرس است. استفاده از فایروال یک روش در دسترس و ایمن است. فایروال بین شبکه میزبان وردپرس شما و سایر شبکههایی که با سایت شما در ارتباط هستند قرار میگیرد و به صورت خودکار از ورود ترافیک غیرمجاز به سایت شما جلوگیری میکند. فایروالها با از بین بردن ارتباط مستقیم سایت شما با سایر سایتها فعالیتهای مخرب را دور نگه میدارد. برای این کار میتوانید افزونه Web Application Firewall (WAF) را نصب کنید.
افزایش امنیت wordpress: نسخه پشتیبان سایت خود را تهیه کنید
نسخهی پشتیبان ناجی سایتهای هک شده است و امنیت سایت وردپرسی شما را تضمین میکند. هک شدن و از دست دادن تمام اطلاعات سایت یکی از بدترین اتفاقاتی است که میتواند برای هرسایتی رخ دهد. حتما از سایت وردپرس خود نسخه پشتیبان تهیه کنید تا در زمان هک شدن یک نسخه از اطلاعات خود را داشته باشید. بهتر است که بکآپ گیری خودکار را برای سایت خود فعال کنید.
اسکنهای امنیتی وردپرس را به طور منظم انجام دهید
انجام اسکنهای امنیتی وردپرس به صورت معمولی و حداقل یک بار در ماه میتواند به تامین امنیت سایت شما کمک زیادی کند و از مهمترین موارد چک لیست امنیت وردپرس است. شما میتوانید این کار را از طریق افزونهها انجام دهید.
بیشتر بدانیم: آموزش بکاپ گیری و بازگردانی بک آپ در وردپرس و معرفی افزونه
اقدامات پیشرفته افزایش امنیت وردپرس
بعد از انجام اقدامات پایهای تامین امنیت وردپرس، میتوانید اقدامات پیشرفتهتری انجام دهید تا از آسیب به سایت جلوگیری کنید. این اقدامات شامل موارد زیر هستند:
برای ورودیهای کاربر کاراکترهای خاصی را محدود کنید
اگر بخشی از سایت خود برای پاسخ بازدیدکنندگان به صورت تکمیل فرم یا هر فرمتی که اجازه ورود اطلاعات را میدهد، مشخص کردهاید باید چک لیست امنیت وردپرس را به صورت کامل در مورد آن رعایت نمایید. به این معنی که اعمال فیلتر برای ورودیهای سایت ضروری است. محل ثبت ورودی سایت فرصت مناسبی برای حملههای XSS است که هکرها بتوانند کدهای مخرب را به سایت تزریق کنند.
برای انجام این کار هم میتوانید کاراکترهای خاصی را در قسمت ورودی سایت فیلتر کنید، هم از افزونههایی که کد مخرب را شناسایی میکنند، استفاده نمایید. استفاده از افزونه فرم وردپرس که به صورت خودکار این کاراکترها را فیلتر میکند نیز میتواند از این حملات جلوگیری نماید.
همچنین بخوانید: آموزش ساخت فرم تماس در وردپرس
سطوح دسترسی کاربران را محدود کنید
برای تامین و تضمین امنیت وردپرس سطح دسترسی متفاوتی به کاربران سایت بدهید. وردپرس شش نقش برای هر کاربر دارد. به عنوان مثال اگر سه کاربر با سطح دسترسی ویرایشگر داشته باشید، احتمال هک شدن سایت بالا میرود و آن را آسیبپذیر میکند. با محدود کردن سطح دسترسی ادمین از حملات brute-force جلوگیری کنید تا حتی اگر هکری اطلاعات ورود کاربر admin را درست حدس زده باشد، میزان آسیبی که وارد میشود را محدود کرده باشید.
از مانیتورینگ وردپرس استفاده کنید
استفاده از سیستم مانیتورینگ برای سایت شما را از هرگونه فعالیت مشکوکی که در سایت انجام میشود، آگاه میکند. در حالت ایدهآل، به مرور زمان متوجه فعالیت غیرطبیعی داخل سایت وردپرس خود میشوید، اما بهتر است با نصب افزونه مانیتورینگ زودتر از آن آگاه شوید.
ثبت فعالیت کاربر
با ثبت فعالیت کاربران میتوانید از تمام تغییراتی که در سایت رخ میدهد و فردی که آن را انجام میدهد، مطلع شوید. در نتیجه، میتوانید متوجه وقوع فعالیت مشکوک شده و از آن جلوگیری نمایید، مانند تلاش برای تغییر رمز عبور، تغییر قالب یا افزونهها و یا نصب و غیر فعال کردن افزونه، این افزونه به پاکسازی بعد از هک شدن نیز کمک میکند، زیرا نشان میدهد که چه فعالیت اشتباهی در چه زمانی رخ داده است.
البته تمام فعالیتهای تغییر رمز عبور یا اصلاح فایل نشانه هکر نیست، اما اگر تعداد کاربران سایت شما زیاد است، بهتر است که بررسی درست و دقیقی از فعالیت آنها داشته باشید.
URL پیشفرض ورود به وردپرس را تغییر دهید.
URL پیشفرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی ثابت و مشخص است. افزونههایی مانند WPS Hide Login URL صفحه ورود را برای شما تغییر میدهند.
ویرایش فایل را در داشبورد وردپرس غیرفعال کنید
به طور پیشفرض، سطح دسترسی مدیرکل در وردپرس اجازه ویرایش کد فایل را دارد. اگر هکرها با دسترسی مدیرکل، وارد سایت شوند به راحتی میتوانند از این طریق به سایت آسیب برسانند. برای این کار میتوانید از راه های زیر اقدام نمایید:
-
افزونهای که ویرایش کد را غیرفعال میکند نصب کنید
-
هنگام دادن دسترسی به کاربر این امکان را غیرفعال کنید
-
اگر کاربری دسترسی ویرایش دارد، از طریق سی پنل (cpanel) هاست سایت، آن را غیرفعال کنید.
همچنین بخوانید: آموزش نصب وردپرس در سی پنل راهنمای تصویری
پیشوند فایل دیتابیس خود را تغییر دهید
اسم فایلهایی که پایگاه داده سایت وردپرس هستند به طور پیشفرض با "wp_" شروع میشوند و هکرها به راحتی میتوانند با تشخیص آن، حمله SQL انجام دهند. برای جلوگیری از این آسیب به سایت، نام فایلهای دیتابیس خود را تغییر دهید. این کار را میتوانید هنگام نصب وردپرس انجام دهید. دیتابیس تمام محتوای سایت را ذخیره میکند و آسیب به آن میتواند ضربههای غیرقابل جبرانی وارد کند. در نتیجه بهتر است تمام تلاش خودتان را برای حفاظت از دیتابیس انجام دهید. برای این کار میتوانید از افزونه نیز استفاده کنید.
فایل xmlrpc.php خود را غیر فعال کنید.
XML-RPC یک پروتکل ارتباطی است که به وردپرس اجازه میدهد با وب خارجی و برنامههای تلفن همراه تعامل داشته باشد. البته از زمان ظهور WordPress REST API، استفاده از XML-RPC بسیار کمتر شدهاست. اما بعضی افراد هنوز هم از آن برای راهاندازی حمله استفاده میکنند.
تکنولوژی XML-RPC به هکرها اجازه میدهد که بتوانند صدها دستور به سایت ارسال کنند و حمله brute force را آسانتر میکند. بعلاوه، XML-RPC در مقایسه با REST API امنیت کمتری دارد. بهتر است اگر سایت شما از XML-RPC استفاده نمیکند، آن را غیرفعال کنید تا احتمال آسیب سایت در برابر حملات را کمتر کنید.
افزایش امنیت وردپرس با حذف حساب پیشفرض ادمین
با حذف حساب پیشفرض ادمین یک قدم گام دیگر به ایمنسازی وردپرس نزدیک میشوید. یکی از اقدامات امنیتی که میتواند تا حد زیادی جلوی آسیب به سایت شما را بگیرد، حذف حساب پیشفرض ادمین و ایجاد یک حساب کاربری دیگر با همان سطح دسترسی است.
نسخه وردپرس خود را مخفی کنید
مخفی کردن نسخه وردپرس یکی دیگر از مراحل ایمنسازی سایت وردپرسی است. البته این اقدام برای نسخههای 5 به بعد وردپرس خیلی ضروری نیست. همانطور که پیشتر گفته شد وردپرس بعد از هر بهروزرسانی مشکلهایی که در نسخه قبل وجود داشت را اعلام میکند، اما از نسخه 5 به بعد مشکلات امنیتی اعلام نمیشود. در نتیجه جای نگرانی نیست.
چرا باید از افزونه امنیتی وردپرس استفاده کنیم؟
میلیونها وبسایت در هر زمانی در هفته به بدافزار آلوده میشوند. یک وب سایت به طور متوسط روزانه 94 بار مورد حمله قرار میگیرد، که این حملهها شامل وب سایتهای غیر وردپرسی هم میشود. یک نقض امنیتی در وبسایت شما میتواند آسیب جدی به کسب و کار وارد کند. در اینجا چند نمونه از نقصهای امنیتی قرار شده است:
-
هکرها میتوانند دادههای شما یا دادههای متعلق به کاربران و مشتریان شما را بدزدند.
-
یک وبسایت در معرض خطر میتواند برای توزیع کدهای مخرب بین کاربران ناآگاه و سایر وبسایتها استفاده شود.
-
ممکن است شما برای همیشه دادهها را از دست بدهید، دسترسی به وب سایت خود را از دست بدهید، یا ممکن است دادههای شما گروگان گرفته شوند.
-
هر زمان که بخواهید میتوانید سایت وردپرس خود را از نظر نقض امنیتی اسکن کنید. با این حال، تمیز کردن یک سایت وردپرس هک شده بدون کمک تیم حرفهای برای کاربران غیر فنی دشوار است.
افزونههای امنیت وردپرس
افزونههای امنیتی وردپرس را میتوان کاربردیترین افزونه برای مدیران سایت، کارشناسان و برنامه نویسان دانست. در هر دقیقه چیزی بالغ بر 90 هزار حمله مخرب و هکری به وبسایتهای وردپرسی انجام میشود. حملات همیشه در کنار کار افشای اطلاعات مهم میتواند خسارتهای مالی بسیار زیادی به مدیران وبسایتها وارد نماید. همچنین به زیرساختهای سایت از جمله سئو که بر رنکینگ سایت تاثیرگذار است، نیز آسیب برساند. اما تیم وردپرس برای رفع این مشکلات راهحلی را پیش روی مدیران سایتها قرار دادهاست و آن استفاده از افزونههای امنیتی است.
از جمه رایجترین دلایل حملات هکرها به سایتها میتوان استفاده از نام کاربری پیش فرص، گذرواژههای ضعیف و ناامن و تکراری و قدیمی بودن ورژن وردپرس دانست. که وردپرس با بروزرسانیهای مکرر و همچنین ارائه افزونهها توانسته تا حد زیادی این مشکلات را رفع نماید. در ادامه چند مورد از بهترین افزونههای امنیتی ورد پرس را بررسی خواهیم نمود.
افزونه امنیتی وردپرس MalCare
-
امتیاز : 4.1 از 5
-
تعداد نصب: بیش از 200 هزار نصب فعال
-
نسخه وردپرس مورد نیاز: 4.0 یا بالاتر
توضیحات
افزونه امنیتی MalCare سریعترین افزونه شناسایی و حذف بدافزار است که توسط آژانسها و developer های زیادی مورد استفاده قرار میگیرد. این افزونه بالاترین کارآیی را دارد، قابل اعتماد است و استفاده راحتی دارد. بعلاوه، از الگوریتمهای خودآموز (Self-learn algorithms) استفاده میکند تا بهروزترین تکنولوژیهای امنیتی را تامین کند. این افزونه 7 لایه قدرتمند امنیتی ایجاد میکند تا بتواند هر گونه حملهای را دفع نماید. افزونه MalCare بر اساس تعداد لایههای امنیتی که ایجاد میکند، در سه سطح عرضه میشود. اگر سایت وردپرسی از کار بیافتد، این افزونه به شما اطلاع میدهد تا قبل اینکه بازدیدکنندگان خود را از دست بدهید، نسبت به بازیابی آن اقدام کنید.
از مزایای این افزونه میتوان به این موارد اشاره کرد:
-
مبتنی بر ابر است
-
سرعت سایت را کند نمیکند
-
همه نوع بدافزار را شناسایی و آثار آن را حذف میکند
-
ورود رباتهای هکر به صفحه را مسدود میکند
-
ترافیک مخرب را شناسایی و مسدود میکند
-
استفاده آسانی دارد
-
به کاربران اجازه میدهد ورود از تمام کشورها را مسدود کنند
-
پاکسازی نامحدود دارد
لینک دانلود افزونه: https://fa.wordpress.org/plugins/malcare-security/
افزونه امنیتی وردپرس Wordfence Security – Firewall & Malware Scan
-
امتیاز : 4.7 از 5
-
تعداد نصب: بیش از 4 میلیون نصب فعال
-
نسخه وردپرس مورد نیاز: 3.9 یا بالاتر
توضیحات
افزونه امنیت وردپرسی وردفنس از جدیدترین قوانین فایروال برای شناسایی هرگونه آثار بدافزار و آدرسهای IP مخرب استفاده میکند تا سایت را ایمن نگه دارد. همچنین احراز هویت دو مرحلهای دارد که امنیت بیشتری برای وردپرس ایجاد میکند. از جمله مزایایی که این افزونه دارد میتوان به این موارد اشاره کرد:
-
وب-اپلیکیشن برای شناسایی ترافیک مخرب و مسدود کردن آن
-
از سایت در نقطه پایانی محافظت میکند که باعث یکپارچه سازی عمیق با وردپرس میشود. برخلاف همتاهای مبتنی بر ابر، امکان شکستن رمزگذاری آن و افشای دادهها وجود ندارد
-
با محدود کردن تلاشهای ورود به سیستم از حملات brute force جلوگیری میکند
-
اسکنر مرکزی آن فایلها، قالبها و افزونهها را اسکن میکند تا هرگونه URL مخرب، اسپمهای سئو ، ردایرکتهای مخرب و تزریق کد را شناسایی کند.
-
فایلها، قالبها و افزونههای اصلی و مرکزی را با مخازن وردپرس مقایسه میکند تا یکپارچگی آن را چک کند. در صورت وجود هرگونه مغایرت آن را گزارش میدهد
-
سایت را چک میکند و در صورت وجود هرگونه احتمال آسیب، اطلاع رسانی میکند
در نسخه پریمیوم:
-
آیپی سایت را چک میکند تا هرگونه فعالیت مخرب، قرار گرفتن در بلک لیست، ایجاد اسپم و یا هرگونه مشکلات امنیتی را گزارش کند
-
درخواستهایی که از آیپیهای مخرب ارسال میشوند را در بلک لیست قرار میدهد تا از سایت محافظت کند
لینک دانلود افزونه: https://fa.wordpress.org/plugins/wordfence/
افزونه امنیتی وردپرس Sucuri Security
-
امتیاز : 4.2 از 5
-
تعداد نصب: بیش از 800 هزار نصب فعال
-
نسخه وردپرس مورد نیاز: 3.6 یا بالاتر
توضیحات
افزونه امنیتی وردپرس Sucuri Security یکی از پلاگینهای رایگان است که وضعیت امنیتی فعلی را تکمیل میکند. از جمله ویژگیهای امنیتی که این افزونه به وبسایت ارائه میدهد میتوان به موارد زیر اشاره نمود:
-
بررسی فعالیتهای امنیتی
-
نظارت بر یکپارچگی فایل
-
اسکن بدافزار از راه دور
-
نظارت بر بلک لیست
-
ایجاد امنیت سفت و سخت
-
اقدامات امنیتی پس از هک
-
اطلاعیههای امنیتی
-
فایروال وبسایت (با پرداخت هزینه)
لینک دانلود افزونه: https://fa.wordpress.org/plugins/sucuri-scanner/
امنیت کامل وردپرس و فایروال
-
امتیاز : 4.8 از 5
-
تعداد نصب: بیش از 1 میلیون نصب فعال
-
نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
-
"این افزونه با زبان فارسی سازگار است"
توضیحات:
افزونه امنیت کامل وردپرس و فایروال در سه سطح "پایه"، "متوسط" و "پیشرفته" طبقهبندی میشود و با بررسی آسیبپذیریها، پیادهسازی و اجرای آخرین شیوهها و تکنیکهای امنیتی توصیه شده وردپرس، خطر امنیتی را کاهش میدهد. از ویژگیهای این افزونه میتوان به موارد زیر اشاره نمود:
-
میتوانید با استفاده از آن نام حساب کاربری admin را تغییر دهید.
-
حساب کاربری که نام نمایشی و نام کاربری یکسان داشته باشد را شناسایی میکند. یکسان بودن نام کاربری و نام نمایشی یکی از نقاط ضعف سایت محسوب میشود که به هکرها اجازه ورود راحتتر را میدهد.
-
امکان ایجاد رمز عبود قوی را میدهد.
-
برای جلوگیری از حملات Brute Force از ویژگی Login Lockdown استفاده میکند. در این سیستم کاربرانی که از یک محدوده آدرس آی پی خاصی هستند برای زمان تعیین شدهای بلاک میشوند. همچنین میتواند تلاشهای مکرر یک کاربر برای ورود به سایت را از طریق ایمیل اطلاع رسانی کند.
-
به عنوان مدیر سایت، میتوانید فهرست کاربرانی که بلاک شدهاند را مشاهده کنید و آدرسهای آیپی انبوه یا فردی را باز کنید.
-
امکان قفل کردن خودکار محدودههای آدرس IP که تلاش میکنند با نام کاربری نامعتبر وارد سیستم شوند.
-
امکان مشاهده لیست تمامی کاربرانی که در حال حاضر وارد سایت شما شدهاند.
-
اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم ورود به وردپرس
-
اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم رمز عبور فراموش شده سیستم WP Login
لینک دانلود افزونه: https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
افزونه امنیتی وردپرس BulletProof Security
-
امتیاز : 4.8 از 5
-
تعداد نصب: بیش از 40 میلیون نصب فعال
-
نسخه وردپرس مورد نیاز: 3.8 یا بالاتر
توضیحات:
فزونه امنیتی وردپرس BulletProof Security مشکلاتی که برای سایر افزونهها به وجود آمدهاست را به صورت اتوماتیک برطرف میکند. از جمله ویژگیهای این افزونه میتوان به موارد زیر اشاره نمود:
-
نصب برنامه با استفاده از یک کلیک
-
رفع خودکار مشکلات نصب
-
پوشه پنهان افزونهها
-
امنیت ورود و نظارت
-
خروج از جلسه خودکار
-
تهیه پشتیبان
-
حالت نگهداری بکاند و فرانتاند
-
زمانیکه بهروزرسانیهای قالب و یا افزونههای جدید وجود داشته باشد، از طریق ایمیل اطلاعرسانی میکند.
-
سیستم مانیتورینگ ورود به دیتابیس
-
ابزار مقایسه اطلاعات دیتابیس
لینک دانلود افزونه: https://fa.wordpress.org/plugins/bulletproof-security/
افزونه امنیتی وردپرس iThemes Security
-
امتیاز : 4.6 از 5
-
تعداد نصب: بیش از 1 میلیون نصب فعال
-
نسخه وردپرس مورد نیاز: 5.8 یا بالاتر
-
"این افزونه با زبان فارسی سازگار است"
توضیحات:
افزونه امنیتی وردپرس iThemes Security یکی از بهترین پلاگینهای ایمنسازی wordpress است، که میتواند در کمتر از 10 دقیقه امنیت کامل برای سایت شما برقرار کند. این افزونه 6 نوع قالب امنیتی ارائه میکند که میتوانید بر اساس نوع سایت خود، قالب مناسب را انتخاب کنید که شامل موارد زیر میشوند:
-
تجارت الکترونیک
-
شبکه
-
بلاگ
-
نمونه کار (Portfolio)
-
بروشور (Brochure)
-
Non-Profit
تمام فعالیتهای امنیتی سایت را در تمام ساعات شبانهروز بررسی میکند و بر آن نظارت دارد و آمار تمام فعالیت های امنیتی سایت از جمله حملات brute force، کاربران بلاک شده، قفلهای فعال و نتایج اسکن سایت را در قسمت داشبورد نشان میدهد.
این افزونه ورود ایمن را با لایههای امنیتی زیر تامین میکند:
-
احراز هویت دو مرحلهای: با وارد کردن کد امنیتی و رمز عبور، ورود به وردپرس را در برابر حمله کاربران تقریبا غیرقابل نفوذ میکند. این افزونه با تامین کردن چند روش احراز هویت، ورود به حساب کاربری را ایمن میکند.
-
نیازمندیهای رمز عبور: در کمتر از یک دقیقه میتوانید خط مشی مخصوص خود را برای ورود به حساب کاربری ایجاد کنید.
-
ری کپچا (در نسخه pro)
-
ورود بدون رمز عبور (در نسخه pro)
-
دستگاههای مورد اعتماد (در نسخه pro)
لینک دانلود افزونه: https://fa.wordpress.org/plugins/better-wp-security/
افزونه امنیتی وردپرس Inactive Logout
-
امتیاز : 4.7 از 5
-
تعداد نصب: بیش از 10 هزار نصب فعال
-
نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
توضیحات:
افزونه امنیتی وردپرس Inactive Logout پس از مدت زمان خاصی که کاربر فعالیتی داخل حساب کاربری خود ندارد، آن را از حساب کاربری خارج میکند. پیکربندی و استفاده از این افزونه بسیار آسان است. پس از نصب و فعال کردن افزونه، میتوانید بازه زمانی مجاز غیرفعال بودن کاربر را از قسمت تنظیمات به سادگی تنظیم کنید. به علاوه میتوانید تنظیمات را به گونهای ثبت کنید که قبل از خارج شدن از حساب کاربری، اتمام جلسه را از طریق یک پیام اطلاع رسانی کند. از جمله ویژگیهای این افزونه میتوان به موارد زیر اشاره نمود:
-
تغییر زمان غیرفعال بودن
-
قبل از خارج شدن از حساب کاربری، 10 ثانیه شمارش معکوس نشان دهد
-
بعد از مدت زمان مشخصی که کاربر غیرفعال بود، به جای خارج شدن از حساب کاربری پیامی به صورت پاپ آپ نشان دهد تا کاربر را هوشیار کند.
-
امکان ورود همزمان دو نفر به حساب کاربری را نمیدهد
-
کاربری ساده
-
اگر کاربر در پنجرههای متفاوتی وارد حساب کاربری خود شدهاست، از حساب کاربری خارج نکند.
در نسخه پیشرفته پس از 2 دقیقه غیرفعال بودن کاربر، صفحه مرورگر را می بندد.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/inactive-logout/
افزونه امنیتی وردپرس SSL واقعاً ساده
-
امتیاز : 5 از 5
-
تعداد نصب: بیش از 5 میلیون نصب فعال
-
نسخه وردپرس مورد نیاز: 4.9 یا بالاتر
-
"این افزونه با زبان فارسی سازگار است"
توضیحات:
SSL Really Simple تنظیمات را به صورت خودکار شناسایی میکند و وبسایت را برای اجرا بر روی HTTPS پیکربندی میکند. در نسخه Pro امکانات بیشتری دارد که میتوان به بهبود امنیت، امنیت محتوا و سیاستهای سایت و امنیت پیشرفته سرتیترها اشاره کرد.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/really-simple-ssl/
افزونه وردپرس All-In-One WP Security
-
امتیاز : 4.5 از 5
-
تعداد نصب: بیش از 1 میلیون نصب فعال
-
نسخه وردپرس مورد نیاز: 5 یا بالاتر
-
"این افزونه با زبان فارسی سازگار است"
توضیحات:
All-in-One WordPress Security یا AIOS یک افزونه قدرتمند نظارت و فایروال امنیت وردپرس است. این افزونه به شما امکان می دهد تا به راحتی بهترین شیوههای امنیتی وردپرس را در وب سایت خود اعمال کنید.
دارای ویژگیهایی مانند قفل ورود به سیستم برای جلوگیری از حملات brute force، فیلتر IP، نظارت بر یکپارچگی فایل، نظارت بر حساب کاربری، اسکن الگوهای مشکوک در پایگاه داده و موارد دیگر است. همچنین دارای یک فایروال پایه در سطح وب سایت است که میتواند الگوهای رایج را شناسایی کرده و آنها را برای شما مسدود کند. همچنین میتوانید IPهای مشکوک را به صورت دستی در لیست سیاه قرار دهید.
AIOS برای چه کسانی بهتر است؟
AIOS گزینه خوبی برای سایتهای پر محتوا است که باید از کار خود محافظت کنند. AIOS با جلوگیری از iFrame، غیرفعال کردن هرزنامه نظرات و همچنین امکان کنترل فیدهای RSS و Atom ، میتواند سایت شما را ایمن نگه دارد. همچنین توسط این افزونه میتوانید به راحتی راست کلیک را بر روی سایت خود غیرفعالی نمایید.داین کار باعث میشود رباتها و کاربران نتوانند مطالب روی سیات شما را کپی کنند.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
داشتن کپچا برای امنیت وردپرس واجب است ؟ در صورت نبودن احتمال هک شدن بالا خواهد رفت ؟
کپچا برای جلوگیری از حملات ربات ها استفاده میشه و امنیت صد در صد رو هم القا نمیکنه بهتره از توکن csrf در کنار کپچا استفاده کنید تا امنیت بیشتری در سایت ایجاد کنید
اگر امکانش هست آموزش کامل افرونه Wordfence Security را منتشر کنید
این افزونه به فارسی ترجمه شده اما ما آموزشی تا الان برای این افزونه تدارک ندیدیم در برنامه کار قرار میدیم