
فهرست مطالب برای مطالعه
میزان امنیت وردپرس چقدر است؟
با اینکه وردپرس یک سیستم مدیریت محتوای ایمن محسوب میشود و جایگاه خاصی در برنامه نویسی دارد، اما مانند سایر CMS ها میتواند در برابر حملات آسیب ببیند. سایتهایی که از وردپرس استفاده میکنند همیشه مورد حملههای سایبری قرار میگیرند. این در حالی است که تقریبا 43 درصد سایتها از سیستم مدیریت محتوای وردپرس استفاده میکنند.
وردپرس همواره تیم امنیتی متشکل از محققان و مهندسان مطرح را برای تامین امنیت خود به کار میگیرد. این تیم همواره پشت سیستم هستند و نقاط آسیبپذیری سیستم را بررسی میکنند و بهروزرسانیهای امنیتی وردپرس را انجام میدهند. تا زمانیکه وردپرس فعال است، امنیت کاربران تامین است. اما مشکل از نحوه قرارگیری منابع آن در دسترس کاربران شروع میشود.
وردپرس یک نرمافزار منبع باز است، به این معنی که کد منبع برای تغییر و توزیع در دسترس همه قرار دارد. هرچند این ویژگی برای بهینهسازی و تنظیم خیلی خوب است، اما از نظر امنیتی نقظه ضعف وردپرس محسوب میشود. اگر افردای که از وردپرس برای مدیریت محتوای خود استفاده میکنند، آن را به درستی پیکربندی و یا ایمن نکرده باشند باید انتظار مشکلات امنیتی بی شماری را داشته باشند. اگر امنیت سایت به خوبی تامین نشده باشد، برای هکرها بهترین شرایط فراهم است تا شما را مورد حمله قرار دهند. خود وردپرس همیشه میگوید که امنیت کاهش ریسک است، نه از بین بردن آن! به طور کلی میتوان گفت که وردپرس ایمن است، اما در صورتی که کاربران مسئله امنیت را جدی بگیرند و اقدامات لازم برای تامین امنیت را انجام دهند.
مشکلات امنیتی وردپرس
اگر اقدامات لازم برای تامین امنیت وردپرس را انجام ندهید در معرض تمام مشکلات امنیتی که برای وردپرس ایجاد میشود قرار می گیرید. از جمله رایجترین حملات سایبری که برای وردپرس وجود دارند میتوان به موارد زیر اشاره کرد:
-
حملات Brute-Force
این حمله، سادهترین حمله سایبری است. ورود brute-force زمانی اتفاق میافتد که هکرها ترکیبهای نام کاربری و رمز عبور را به صورت اتوماتیک وارد کنند تا در نهایت یکی از آنها درست باشد و بتوانند وارد حساب کاربری شوند. هک Brute-force فقط امکان ورود به سیستم را نمیدهد، بلکه دسترسی به تمام اطلاعاتی که رمزگذاری شدهاند را ایجاد میکند.
-
حمله Cross-Site Scripting یا XSS
XSS زمانی اتفاق میافتد که مهاجم کد مخرب را از سمت Server Side یا Client Side وبسایت هدف «تزریق» میکند تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند. پرکاربردترین روش نفوذ، افزودن کدهای مخرب به انتهای URL است که در اختیار کاربر قرار میگیرد و به محض کلیک کاربر، کد اجرا میشود. همچنین هکر با دسترسی به دیتابیس وبسایت و قرار دادن اسکریپت، امکان آلودهکردن صفحهی وب را در مقیاسی بزرگتر دارد.
-
Database Injections
این حمله با عنوان تزریق SQL نیز شناخته میشود و زمانی اتفاق می افتد که هکر رشته کد آسیب رسان را از طریق برخی از ورودیهای کاربر مانند فرم تماس، به وبسایت ارسال میکند. سپس وبسایت کد را در پایگاه داده خود ذخیره میکند. این حمله مشابه حمله XSS، کد آسیب رسان برای به دست آوردن یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده روی وبسایت اجرا میشود.
-
درب پشتی (Backdoors)
در پشتی فایلی حاوی کد است که به مهاجم اجازه میدهد تا ورود استاندارد وردپرس را دور بزند و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان درهای پشتی را در میان سایر فایلهای منبع وردپرس قرار میدهند، به طوریکه پیدا کردن آن توسط کاربرانی که تجربه زیادی ندارند دشوار است. حتی اگر فایل Backdoors را حذف کنید، هکرها میتوانند از انواع دیگری از کدها استفاده کنند تا بتوانند وبسایت را دور بزنند. البته باید این نکته را در نظر داشت که وردپرس برای انواع فایلهایی که کاربران میتوانند آپلود کنند محدودیتی ایجاد میکند تا احتمال این نوع حمله را کم کند، اما نباید آن را دست کم گرفت و اقدامات امنیتی لازم برای جلوگیری از آن را انجام داد.
-
حملات انکار سرویس (DoS)
حملات DoS با هدف از دسترس خارج کردن وبسایت انجام میشوند. به این صورت که هکر تعداد زیادی درخواست را به صورت همزمان به سایت ارسال میکند. تعداد این درخواستها بیشتر از ظرفیت پاسخ سایت است. در نتیجه، سایت از دسترس خارج شده و حتی کاربران واقعی نمیتواند به اطلاعات آن دسترسی پیدا کند. نوع دیگر حمله، DDoS است که چندین سیستم با یکدیگر شبکه زامبی تشکیل میدهند و به صورت همزمان درخواستهای خود را به یک سرور ارسال میکنند.
-
فیشینگ (Phishing)
در این حمله، مهاجم تحت عنوان یک شرکت یا خدمت قانونی ارتباط برقرار میکند، هدف را وادار میکند که اطلاعات شخصی خود را در اختیار آنها قرار دهد، از وبسایتهای خطرناک دیدن کند و یا بدافزاری را دانلود کند. اگر هکر بتواند به حساب وردپرس دسترسی پیدا کند، میتواند حملات فیشینگ را علیه مشتریان صاحب حساب نیز انجام دهد و خود را بعنوان نیرویی از سایت هدف جا بزند.
-
Hotlinking
Hotlinking زمانی اتفاق میافتد که وبسایت دیگری محتوای جاسازی شده (embedded content) (معمولاً یک تصویر) را بدون اجازه شما نشان میدهد، به طوری که محتوا متعلق به مهاجم است و میتوان تشخیص داد که برای سایت میزبان نیست. البته هات لینک بیشتر دزدی است تا حمله! صاحب هر سایتی باید به ازای محتوایی که داخل صفحه خود قرار میدهد و حجمی که مصرف میکند، هزینه پرداخت کند. با این نوع حمله، بدون پرداخت هزینه محتوا در سرور دیگری به نمایش گذاشته میشود.
قسمت های آسیبپذیر وردپرس
هکرها برای اینکه بتوانند به یک سایت حمله کنند باید حفرههایی که در امنیت صفحه وجود دارد را شناسایی کرده و هدف قرار دهند. نقاط آسیبپذیر وردپرس که هدف مهاجمین قرار میگیرند شامل موارد زیر هستند:
-
افزونه های null شده
افزونههای تجاری که به صورت رایگان منتشر میشوند را افزونه نال شده میگویند. سازنده این افزونهها را به صورت تجاری و برای فروش منتشر می کند، ولی در منابع نامعتبر به صورت رایگان در اختیار مصرفکنندگان قرار میگیرد. با توجه به اینکه هکرها به کد منبع این افزونهها دسترسی دارند، به راحتی میتوانند از طریق آنها به سایت حمله کرده و عملکرد آن را مختل کنند.
-
نسخه های قدیمی وردپرس
وردپرس نسخههای جدید خود را برای اصلاح آسیبپذیریهای امنیتی منتشر میکند. بعد از اینکه این نقاط شناسایی و رفع میشوند، توسط وردپرس به اطلاع عموم میرسند. در نتیجه، هکرها به خوبی میدانند برای حمله به اشخاصی که از نسخههای قدیمی وردپرس استفاده میکنند، باید از کدام نقاط اقدام کنند.
-
صفحه ورود
صفحه ورود به بک اند (back-end) تمام وبسایتهای وردپرسی به صورت پیشفرض با اضافه کردن /wp-admin یا /wp-login.php به انتهای URL اصلی سایت است. این آدرس مورد حمله مهاجمان قرار میگیرد و سعی میکنند با استفاده از حمله brute force وارد شوند.
-
قالب ها
حتی قالب وردپرس میتواند سایت را در برابر حملات سایبری آسیبپذیر کند. امکان دارد قالبهای منسوخ با نسخههای جدید وردپرس سازگای نداشته باشند و دسترسی آسانی به فایلهای منبع فراهم کنند. بعلاوه، تعداد زیادی از قالبهای شخص ثالث (third-party themes) استاندارهای کد وردپرس را رعایت نمیکنند و مشکلات سازگاری و آسیبهای مشابهی را ایجاد میکنند.
بهترین اقدامات تامین امنیت وردپرس
-
ورود خود را ایمن کنید
اساسیترین گام برای ایمنسازی وبسایت، ایمن نگه داشتن حسابهای کاربری در برابر تلاشهای مخرب برای ورود است. برای ورود ایمن به موارد زیر توجه کنید:
-
رمزعبور قوی داشته باشید
متاسفانه هنوز هم خیلیها از رمز «123456» برای حساب کاربری خود استفاده میکنند. در حالیکه رمزهای قابل حدس به هکرها اجازه میدهد به راحتی به اطلاعات شما دسترسی پیدا کنند و آسیب وارد کنند. اگر از وردپرس برای تامین امنیت خود استفاده میکنید، اطمینان حاصل کنید که تمام کاربران شما از رمزهای ایمن استفاده میکنند.
-
فعال کردن احراز هویت دو مرحلهای
احراز هویت دو مرحلهای (2FA) از کاربران میخواهد تا ورود خود را با دستگاه دوم تأیید کنند. این راه یکی از ساده ترین و در عین حال موثرترین روشها برای ایمن سازی ورود است.
-
هیچ حسابی را با نام کاربری "admin" نسازید
اولین نام کاربری که هکرها برای ورود به سیستم امتحان میکنند، admin است. در نتیجه با انتخاب این نام کاربری، شانس هکرها را برای دسترسی به اطلاعات خود بیشتر میکنید. اگر حساب کاربری با این نام ایجاد کردهاید، یک حساب کاربری جدید با نام دیگری ایجاد کنید. همچنین میتوانید از مدیر یا طراح سایت درخواست کنید که از طریق دیتابیس، نام کاربری را تغییر دهد. این کار را میتوانید با استفاده از افزونه "امنیت کامل وردپرس و فایروال" انجام دهید.
-
محدود کردن تعداد تلاشهای ورود
قرار دادن سقف برای تعداد دفعاتی که کاربر در مدت زمان معینی میتواند وارد سایت شود از حمله هکرها جلوگیری میکند. برخی از سرویسهای هاستینگ و فایروالها این قابلیت را ایجاد میکنند، اما میتوانید افزونههایی مانند Limit Login Attempts را نصب کنید.
-
افزودن کپچا
کپچا یکی از اقدامهای امنیتی بسیار پرکاربرد است که اغلب وبسایتها از آن استفاده میکنند. کپچا با تایید اینکه یک انسان وارد سایت میشود، یک لایه امنیتی جدید به ورود اضافه میکند.
-
فعال کردن خروج خودکار
در جهت اقدامات امنیتی حتما به خاطر داشته باشید که پس از اتمام کار، از حساب کاربری خود خارج شوید. به علاوه میتوانید افزونه Inactive Logout را نصب کنید تا از ورود افراد غریبه به حساب کاربری خود جلوگیری کنید.
-
از هاست امن وردپرس استفاده کنید
وقتی که تامین کننده هاست خود را انتخاب میکنید باید عوامل زیادی را در نظر بگیرید، اما امنیتی که تامین میکند باید در اولویت باشد. سرویسی را انتخاب کنید که اقدامات خوبی برای تامین امنیت شما در نظر گرفته باشند و در صورت بروز حمله، سایت را به سرعت بازیابی کند.
-
نسخه وردپرس خود را بهروز کنید
نسخههای قدیمی وردپرس همیشه هدف هکرها هستند. با توجه به اینکه پس از بهروزرسانی نقاط ضعف نسخه قدیمی وردپرس اعلام میشود، هکرها از این نقطه برای حمله و آسیب رساندن به سایت استفاده میکنند. اطمینان حاصل کنید که وردپرس خود را به طور منظم بهروزرسانی میکنید تا آسیبپذیریهای نسخه قبل را از بین ببرید.
قبل از بهروزرسانی وردپرس، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و حتما بررسی کنید که افزونههای شما با آخرین نسخه سازگاری دارند یا خیر! برای بهروزرسانی افزونهها نیز میتوانید از دستورالعملهایی که در
سایت وردپرس قرار دارد استفاده کنید.
-
آخرین نسخه PHP را استفاده کنید.
ارتقاء به آخرین نسخه PHP یکی از مهمترین اقداماتی است که میتوانید برای حفظ امنیت وبسایت وردپرس خود انجام دهید. وقتی که نسخه جدید PHP آمده باشد، داخل داشبورد وردپرس به شما اطلاع رسانی میشود. برای بهروزرسانی باید وارد حساب کاربری پنل هاست شوید. اگر دسترسی به پنل هاست ندارید از تامین کننده هاست خود درخواست کنید تا این کار را انجام دهد.
-
از افزونه امنیت وردپرس استفاده کنید
یکی از مواردی که برای سایتهای وردپرس به شدت توصیه میشود، نصب افزونههای امنیت وردپرس است. این افزونهها بسیاری از اقدامات دستی مرتبط با امنیت سایت را برای شما انجام میدهند که میتوان به اسکن کردن برای اطلاع از تلاشهای ورود به سایت، تغییر فایلهای منبعی که سایت را در معرض خطر قرار میدهند، بازیابی و تنظیم مجدد سایت وردپرس و جلوگیری از سرقت محتوا، اشاره کرد. برخی از افزونهها تمام این کارها را به تنهایی انجام میدهند و نیاز نیست برای تمام این اقدامات از چند افزونه استفاده کنید. پیش از نصب هر افزونه از قانونی و معتبر بودن آن اطمینان حاصل کنید.
-
استفاده از قالب وردپرس امن
استفاده از قالب، به اندازه افزونههای امنیت وردپرس اهمیت دارند. قبل از نصب قالب اطمینان حاصل کنید که با استانداردهای وردپرس مطابقت دارد تا به سایت شما آسیب نرساند.
-
SSL/HTTPS را فعال کنید
SSL (Secure Sockets Layer) فناوری است که ارتباط بین وبسایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری میکند و اطمینان میدهد که ترافیک بین سایت شما و سیستم بازدیدکنندگان در مقابل مداخلههای ناخواسته ایمن است و جلوی نفوذ رباتها را میگیرد. برای فعال سازی ssl هم میتوانید به صورت دستی اقدام کنید و هم افزونه ssl را نصب کنید.
-
فایروال نصب کنید
فایروال بین شبکه میزبان وردپرس شما و سایر شبکههایی که با سایت شما در ارتباط هستند قرار میگیرد و به صورت خود کار از ورود ترافیک غیرمجاز به سایت شما جلوگیری میکند. فایروالها با از بین بردن ارتباط مستقیم سایت شما با سایر سایتها فعالیتهای مخرب را دور نگه میدارد. برای این کار میتوانید افزونه Web Application Firewall (WAF) را نصب کنید.
-
نسخه پشتیبان سایت خود را تهیه کنید
هک شدن و از دست دادن تمام اطلاعات سایت یکی از بدترین اتفاقاتی است که میتواند برای هرسایتی بیافتد. حتما از سایت وردپرس خود نسخه پشتیبان تهیه کنید تا در زمان هک شدن اطلاعات خود را داشته باشید. بهتر است که بکآپ گیری خودکار را برای سایت خود فعال کنید.
-
اسکن های امنیتی وردپرس را به طور منظم انجام دهید
انجام اسکنهای امنیتی وردپرس به صورت معمولی و حداقل یک بار در ماه میتواند به تامین امنیت سایت شما کمک زیادی کند. شما میتوانید این کار را از طریق افزونهها انجام دهید.
اقدامات پیشرفته تامین امنیت وردپرس
بعدا از انجام اقدامات پایهای تامین امنیت وردپرس، میتوانید اقدامات پیشرفتهتری انجام دهید تا از آسیب به سایت جلوگیری کنید. این اقدامات شامل موارد زیر میشوند:
1. برای ورودی های کاربر کاراکترهای خاصی را محدود کنید
اگر بخشی از سایت خود برای پاسخ بازدیدکنندگان به صورت تکمیل فرم یا هر فرمتی که اجازه ورود اطلاعات را میدهد باشد، اعمال فیلتر برای ورودیهای سایت ضروری است. محل ثبت ورودی سایت فرصت مناسبی برای حملههای XSS است که هکرها بتوانند کدهای مخرب را به سایت تزریق کنند.
برای انجام این کار هم میتوانید کاراکترهای خاصی را در قسمت ورودی سایت فیلتر کنید، هم از افزونههایی که کد مخرب را شناسایی میکنند، استفاده کنید. استفاده از افزونه فرم وردپرس که به صورت خودکار این کاراکترها را فیلتر میکند نیز میتواند از این حملات جلوگیری کند.
2. سطوح دسترسی کاربران وردپرس را محدود کنید
برای تامین و تضمین امنیت وردپرس سطح دسترسی یکسان به کاربران سایت خود ندهید. وردپرس شش نقش برای هر کاربر دارد. بعنوان مثال اگر سه کاربر با سطح دسترسی ویرایشگر داشته باشید، احتمال هک شدن سایت بالا میرود و آن را آسیبپذیر میکند. با محدود کردن سطح دسترسی ادمین از حملات brute-force جلوگیری کنید تا حتی اگر هکری اطلاعات ورود کاربر admin را درست حدس زده باشد، میزان آسیبی که وارد میشود را محدود شود.
3. از مانیتورینگ وردپرس استفاده کنید
استفاده از سیستم مانیتورینگ برای سایت شما را از هرگونه فعالیت مشکوکی که در سایت انجام میشود آگاه میکند. در حالت ایدهآل، به مرور زمان متوجه فعالیت غیرطبیعی داخل سایت وردپرس خود میشوید، اما بهتر است با نصب افزونه مانیتورینگ زودتر از آن آگاه شوید.
4. ثبت فعالیت کاربر
با ثبت فعالیت کاربران میتوانید از تمام تغییراتی که در سایت رخ میدهد و فردی که آن را انجام میدهد مطلع شوید. در نتیجه، میتوانید متوجه وقوع فعالیت مشکوک شده و از آن جلوگیری کنید، مانند تلاش برای تغییر رمز عبور، تغییر قالب یا افزونهها و یا نصب و غیر فعال کردن افزونه. این افزونه به پاکسازی بعد از هک شدن نیز کمک میکند، زیرا نشان میدهد که چه فعالیت اشتباهی در چه زمانی رخ داده است.
البته تمام فعالیتهای تغییر رمز عبور یا اصلاح فایل نشانه هکر نیست، اما اگر تعداد کاربران سایت شما زیاد است، بهتر است که ثبت درست و دقیق از فعالیت آنها داشته باشید.
5. URL پیشفرض ورود به وردپرس را تغییر دهید.
URL پیشفرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی ثابت و مشخص است. افزونههایی مانند WPS Hide Login URL صفحه ورود را برای شما تغییر میدهند.
6. ویرایش فایل را در داشبورد وردپرس غیرفعال کنید
به طور پیشفرض، سطح دسترسی مدیرکل در وردپرس اجازه ویرایش کد فایل را دارد. اگر هکرها به دسترسی مدیرکل سایت وارد شوند به راحتی میتوانند از این طریق به سایت آسیب برسانند. برای این کار میتوانید از راه های زیر اقدام کنید:
- افزونهای که ویرایش کد را غیرفعال میکند نصب کنید
- هنگام دادن دسترسی به کاربر این امکان را غیرفعال کنید
- اگر کاربری دسترسی ویرایش دارد، از طریق سی پنل (cpanel) هاست سایت، آن را غیرفعال کنید.
7. پیشوند فایل دیتابیس خود را تغییر دهید
اسم فایلهایی که پایگاه داده سایت وردپرس هستند به طور پیشفرض با "wp_" شروع میشود و هکرها به راحتی میتوانند با تشخیص آن، حمله SQL انجام دهند. برای جلوگیری از این آسیب به سایت، نام فایلهای دیتابیس خود را تغییر دهید. این کار را میتوانید هنگام نصب وردپرس انجام دهید. دیتابیس تمام محتوای سایت را ذخیره میکند و آسیب به آن میتواند ضربههای غیرقابل جبرانی وارد کند. در نتیجه بهتر است تمام تلاش خودتان را برای حفظ دیتابیس انجام دهید. برای این کار میتوانید از افزونه نیز استفاده کنید.
8. فایل xmlrpc.php خود را غیر فعال کنید.
XML-RPC یک پروتکل ارتباطی است که به وردپرس اجازه میدهد با وب خارجی و برنامههای تلفن همراه تعامل داشته باشد. البته از زمان ظهور WordPress REST API، استفاده از XML-RPC بسیار کمتر شدهاست. اما بعضی افراد هنوز هم از آن برای راهاندازی حمله استفاده میکنند.
تکنولوژی XML-RPC به هکرها اجازه میدهد که بتوانند صدها دستور به سایت ارسال کنند و حمله brute force را آسانتر میکند. بعلاوه، XML-RPC در مقایسه با REST API امنیت کمتری دارد. بهتر است اگر سایت شما از XML-RPC استفاده نمیکند، آن را غیرفعال کنید تا احتمال آسیب سایت در برابر حملات را کمتر کنید.
9. حساب پیشفرض ادمین را حذف کنید
یکی از اقدامات امنیتی که میتواند تا حد زیادی جلوی آسیب به سایت شما را بگیرد، حذف حساب پیشفرض ادمین و ایجاد یک کاربری دیگر با همان سطح دسترسی است.
10. نسخه وردپرس خود را مخفی کنید
البته این اقدام برای نسخههای 5 به بعد وردپرس خیلی ضروری نیست. همانطور که پیشتر گفته شد وردپرس بعد از هر بهروزرسانی مشکلهایی که در نسخه قبل وجود داشت را اعلام میکند، اما از نسخه 5 به بعد مشکلات امنیتی اعلام نمیشود. در نتیجه جای نگرانی نیست.
افزونه های امنیت وردپرس
افزونه امنیتی وردپرس MalCare
- امتیاز : 4.1 از 5
- تعداد نصب: بیش از 200 هزار نصب فعال
- نسخه وردپرس مورد نیاز: 4.0 یا بالاتر
توضیحات
MalCare سریعترین افزونه شناسایی و حذف بدافزار است که توسط آژانسها و developer های زیادی مورد استفاده قرار میگیرد. این افزونه بالاترین کارآیی را دارد، قابل اعتماد است و استفاده راحتی دارد. بعلاوه، از الگوریتمهای خودآموز (Self-learn algorithms) استفاده میکند تا بهروزترین تکنولوژیهای امنیتی را تامین کند. این افزونه 7 لایه قدرتمند امنیتی ایجاد میکند تا بتواند هر گونه حملهای را دفع کند. این افزونه بر اساس تعداد لایههای امنیتی که ایجاد میکند، در سه سطح عرضه میشود. اگر سایت وردپرسی از کار بیافتد، این افزونه به شما اطلاع میدهد تا قبل اینکه بازدیدکنندگان خود را از دست بدهید، نسبت به بازیابی آن اقدام کنید.
از مزایای این افزونه میتوان به این موارد اشاره کرد:
- مبتنی بر ابر است
- سرعت سایت را کند نمیکند
- همه نوع بدافزار را شناسایی و آثار آن را حذف میکند
- ورود رباتهای هکر به صفحه را مسدود میکند
- ترافیک مخرب را شناسایی و مسدود میکند
- استفاده آسانی دارد
- به کاربران اجازه میدهد ورود از تمام کشورها را مسدود کنند
- پاکسازی نامحدود دارد
لینک دانلود افزونه: https://fa.wordpress.org/plugins/malcare-security/
Wordfence Security – Firewall & Malware Scan
- امتیاز : 4.7 از 5
- تعداد نصب: بیش از 4 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 3.9 یا بالاتر
توضیحات
این افزونه از جدیدترین قوانین فایروال برای شناسایی هرگونه اثر از بدافزار و آدرسهای IP مخرب استفاده میکند تا سایت را ایمن نگه دارد. همچنین احراز هویت دو مرحلهای دارد که امنیت بیشتری برای وردپرس ایجاد میکند. از جمله مزایایی که این افزونه دارد میتوان به این موارد اشاره کرد:
- وب-اپلیکیشن برای شناسایی ترافیک مخرب و مسدود کردن آن
- از سایت در نقطه پایانی محافظت میکند که باعث یکپارچه سازی عمیق با وردپرس میشود. برخلاف همتاهای مبتنی بر ابر، امکان شکستن رمزگذاری آن و افشای دادهها وجود ندارد
- با محدود کردن تلاشهای ورود به سیستم از حملات brute force جلوگیری میکند
- اسکنر مرکزی آن فایلها، قالبها و افزونهها را اسکن میکند تا هرگونه URL مخرب، اسپمهای سئو ، ردایرکتهای مخرب و تزریق کد را شناسایی کند.
- فایلها، قالبها و افزونههای اصلی و مرکزی را با مخازن وردپرس مقایسه میکند تا یکپارچگی آن را چک کند. در صورت وجود هرگونه مغایرت آن را گزارش میدهد
- سایت را چک میکند و در صورت وجود هرگونه احتمال آسیب، اطلاع رسانی میکند
در نسخه پریمیوم:
- آی پی سایت را چک میکند تا هرگونه فعالیت مخرب، قرار گرفتن در بلک لیست، ایجاد اسپم و یا هرگونه مشکلات امنیتی را گزارش کند
- درخواستهایی که از آی پی های مخرب ارسال میشوند را در بلک لیست قرار میدهد تا از سایت محافظت کند
لینک دانلود افزونه: https://fa.wordpress.org/plugins/wordfence/
Sucuri Security
- امتیاز : 4.2 از 5
- تعداد نصب: بیش از 800 هزار نصب فعال
- نسخه وردپرس مورد نیاز: 3.6 یا بالاتر
توضیحات
یکی از افزونههای امنیتی رایگان وردپرس است که وضعیت امنیتی فعلی را تکمیل میکند. از جمله ویژگیهای امنیتی که این افزونه به وبسایت ارائه میدهد میتوان به موارد زیر اشاره کرد:
- بررسی فعالیتهای امنیتی
- نظارت بر یکپارچگی فایل
- اسکن بدافزار از راه دور
- نظارت بر بلک لیست
- ایجاد امنیت سفت و سخت
- اقدامات امنیتی پس از هک
- اطلاعیههای امنیتی
- فایروال وبسایت (با پرداخت هزینه)
لینک دانلود افزونه: https://fa.wordpress.org/plugins/sucuri-scanner/
امنیت کامل وردپرس و فایروال
- امتیاز : 4.8 از 5
- تعداد نصب: بیش از 1 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
- "این افزونه با زبان فارسی سازگار است"
توضیحات
این افزونه در سه سطح "پایه"، "متوسط" و "پیشرفته" طبقهبندی میشود و با بررسی آسیبپذیریها، پیادهسازی و اجرای آخرین شیوهها و تکنیکهای امنیتی توصیه شده وردپرس، خطر امنیتی را کاهش میدهد. از ویژگیهای این افزونه میتوان به موارد زیر اشاره کرد:
- میتوانید با استفاده از آن نام حساب کاربری admin را تغییر دهید.
- حساب کاربری که نام نمایشی و نام کاربری یکسان داشته باشد را شناسایی میکند. یکسان بودن نام کاربری و نام نمایشی یکی از نقاط ضعف سایت محسوب میشود که به هکرها اجازه ورود راحتتر را میدهد.
- امکان ایجاد رمز عبود قوی را میدهد
- برای جلوگیری از حملات Brute Force از ویژگی Login Lockdown استفاده میکند. در این سیستم کاربرانی که از یک محدوده آدرس آی پی خاصی هستند برای زمان تعیین شدهای بلاک می شوند. همچنین میتواند تلاشهای مکرر یک کاربر برای ورود به سایت را از طریق ایمیل اطلاع رسانی کند.
- بعنوان مدیر سایت، میتوانید فهرست کاربرانی که بلاک شدهاند را مشاهده کنید و آدرسهای آی پی انبوه یا فردی را باز کنید.
- امکان قفل کردن خودکار محدودههای آدرس IP که تلاش میکنند با نام کاربری نامعتبر وارد سیستم شوند.
- امکان مشاهده لیست تمامی کاربرانی که در حال حاضر وارد سایت شما شدهاند.
- اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم ورود به وردپرس
- اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم رمز عبور فراموش شده سیستم WP Login
لینک دانلود افزونه: https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
BulletProof Security
- امتیاز : 4.8 از 5
- تعداد نصب: بیش از 40 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 3.8 یا بالاتر
توضیحات
این افزونه امنیتی مشکلاتی که برای سایر افزونهها بوجود آمدهاست را به صورت اتوماتیک برطرف میکند. از جمله ویژگیهای این افزونه میتوان به موارد زیر اشاره کرد:
- نصب برنامه با استفاده از یک کلیک
- رفع خودکار مشکلات نصب
- پوشه پنهان افزونهها
- امنیت ورود و نظارت
- خروج از جلسه خودکار
- تهیه پشتیبان
- حالت نگهداری بکاند و فرانتاند
- زمانیکه بهروزرسانیهای قالب و یا افزونههای جدید وجود داشته باشد، از طریق ایمیل اطلاعرسانی میکند.
- سیستم مانیتورینگ ورود به دیتابیس
- ابزار مقایسه اطلاعات دیتابیس
لینک دانلود افزونه: https://fa.wordpress.org/plugins/bulletproof-security/
iThemes Security
- امتیاز : 4.6 از 5
- تعداد نصب: بیش از 1 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 5.8 یا بالاتر
- "این افزونه با زبان فارسی سازگار است"
توضیحات
یکی از بهترین افزونههای امنیت وردپرس است که میتواند در کمتر از 10 دقیقه امنیت کامل برای سایت شما ایجاد کند. این افزونه 6 نوع قالب امنیتی ارائه میکند که میتوانید بر اساس نوع سایت خود، قالب مناسب را انتخاب کنید که شامل موارد زیر میشوند:
- تجارت الکترونیک
- شبکه
- بلاگ
- نمونه کار (Portfolio)
- بروشور (Brochure)
- Non-Profit
تمام فعالیتهای امنیتی سایت را در تمام ساعات شبانهروز بررسی میکند و بر آن نظارت دارد و آمار تمام فعالیت های امنیتی سایت از جمله حملات brute force، کاربران بلاک شده، قفلهای فعال و نتایج اسکن سایت را در قسمت داشبورد نشان میدهد.
این افزونه ورود ایمن را با لایههای امنیتی زیر تامین میکند:
- احراز هویت دو مرحله ای: با وارد کردن کد امنیتی و رمز عبور، ورود به وردپرس خود را در برابر حمله کاربران تقریبا غیرقابل نفوذ میکند. این افزونه با تامین کردن چند روش احراز هویت، ورود به حساب کاربری را ایمن میکند.
- نیازمندی های رمز عبور: در کمتر از یک دقیقه میتوانید خط مشی مخصوص خود را برای ورود به حساب کاربری ایجاد کنید.
- ری کپچا (در نسخه pro)
- ورود بدون رمز عبور (در نسخه pro)
- دستگاه های مورد اعتماد (در نسخه pro)
لینک دانلود افزونه: https://fa.wordpress.org/plugins/better-wp-security/
Inactive Logout
- امتیاز : 4.7 از 5
- تعداد نصب: بیش از 10 هزار نصب فعال
- نسخه وردپرس مورد نیاز: 5.6 یا بالاتر
توضیحات
این افزونه پس از مدت زمان خاصی که کاربر فعالیتی داخل حساب کاربری خود ندارد، آن را از حساب کاربری خارج میکند. پیکربندی و استفاده از این افزونه بسیار آسان است. پس از نصب و فعال کردن افزونه، میتوانید بازه زمانی مجاز غیرفعال بودن کاربر را از قسمت تنظیمات به سادگی تنظیم کنید. به علاوه میتوانید تنظیمات را به گونهای ثبت کنید که قبل از خارج شدن از حساب کاربری، اتمام جلسه را از طریق یک پیام اطلاع رسانی کند. از جمله ویژگیهای این افزونه میتوان به موارد زیر اشاره کرد:
- تغییر زمان غیرفعال بودن
- قبل از خارج شدن از حساب کاربری، 10 ثانیه شمارش معکوس نشان دهد
- بعد از مدت زمان مشخصی که کاربر غیرفعال بود، به جای خارج شدن از حساب کاربری پیامی به صورت پاپ آپ نشان دهد تا کاربر را هوشیار کند.
- امکان ورود همزمان دو نفر به حساب کاربری را نمیدهد
- کاربری ساده
- اگر کاربر در پنجرههای متفاوتی وارد حساب کاربری خود شدهاست، از حساب کاربری خارج نکند.
در نسخه پیشرفته پس از 2 دقیقه غیرفعال بودن کاربر، صفحه مرورگر را می بندد.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/inactive-logout/
SSL واقعاً ساده
- امتیاز : 5 از 5
- تعداد نصب: بیش از 5 میلیون نصب فعال
- نسخه وردپرس مورد نیاز: 4.9 یا بالاتر
- "این افزونه با زبان فارسی سازگار است"
توضیحات
SSL Really Simple تنظیمات را به صورت خودکار شناسایی میکند و وبسایت را برای اجرا بر روی HTTPS پیکربندی میکند. در نسخه Pro امکانات بیشتری دارد که میتوان به بهبود امنیت، امنیت محتوا و سیاستهای سایت و امنیت پیشرفته سرتیترها اشاره کرد.
لینک دانلود افزونه: https://fa.wordpress.org/plugins/really-simple-ssl/
اگر امکانش هست آموزش کامل افرونه Wordfence Security را منتشر کنید
این افزونه به فارسی ترجمه شده اما ما آموزشی تا الان برای این افزونه تدارک ندیدیم در برنامه کار قرار میدیم
داشتن کپچا برای امنیت وردپرس واجب است ؟ در صورت نبودن احتمال هک شدن بالا خواهد رفت ؟
کپچا برای جلوگیری از حملات ربات ها استفاده میشه و امنیت صد در صد رو هم القا نمیکنه بهتره از توکن csrf در کنار کپچا استفاده کنید تا امنیت بیشتری در سایت ایجاد کنید