هک های وردپرس

۹ نکته و ترفند برای محافظت از وردپرس در برابر حملات

تبلیغات
کانال تلگرام فتولیا
4 سوالی شهرداری

سلام ;

همانطور که می دانید ، وردپرس محبوب ترین سیستم مدیریت محتوای وب با بیش از ۶۰,۰۰۰,۰۰۰ کاربر است .اکثر کمپانی ها و سازمان های معتبر بین المللی مانند TechCrunch, Mashable ,NBC, CNN, CBS و لیگ فوتبال ایالات متحده از این سیستم استفاده می کنند.در کل حدود ۲,۵۰۰,۰۰۰,۰۰۰ صفحه ی وردپرسی در وب وجود دارد که روزانه توسط بیش از ۳۰۰,۰۰۰,۰۰۰ نفر در سراسر جهان خوانده می شوند .همچنین هر روز ۵۰۰,۰۰۰ پست جدید توسط وبلاگ نویسان وردپرسی ارسال می شود و نیز ۴۰۰,۰۰۰ نظر به پست ها داده می شود.

این آمار و ارقام ،گستره استفاده از وردپرس و قدرت آن را نشان می دهد و با توجه به اینکه در آینده نزدیک، سیر نزولی برای آن متصور نیست ، باید در آینده منتظر بالا رفتن زیاد این آمارها هم باشیم.بنابراین ما باید یاد بگیریم که چگونه باید خودمان را در برابر حملات محافظت کنیم.زیرا هیچ تکنولوژی محبوب و گسترده وب نیست که مورد توجه هکرها و روبوت ها قرار نداشته باشد.

امروز می خواهیم در مورد نکته ها ، ترفندها و افزونه هایی برای محاظت از سایت و بالا بردن امنیت آن صحبت کنیم.البته این به این معنی نیست که شما باید از تک تک آنها استفاده کنید.

۱٫همیشه بروز باشید !

اینکه وردپرس شما همیشه بروز باشد ، نکته بسیار مهمی است ، زیرا توسعه دهندگان آن روی حفره های امنیتی و باگ ها کار می کنند و آنها را در قالب اصلاحیه هایی منتشر می کنند که وقتی سیستم بروز می شود ، اعمال شده و مشکلات را رفع می کند.این پروسه فقط چند ثانیه طول می کشد ولی کمک می کند تا وردپرس به خوبی و روانی اجرا شده و با افزونه های جدید نیز بیشترین هماهنگی را داشته باشد.

 

۲٫رمز عبور پیچیده ، کلید اسرار !

این نباید چیز جدیدی برای شما باشد . اگر مدتی در محیط وب فعالیت کرده باشید حتما می دانید که انتخاب یک رمز پیچیده همیشه توصیه شده است.رمزی که شامل حروف بزرگ و کوچک ، اعداد و سمبل های مختلف مثل & و @ باشد تا نتوان به راحتی آن را حدس زد.

 

۳٫نگاهی هم به سطوح دسترسی فایل ها

فکر بدی نیست که به سطح دسترسی فایل های وردپرس نگاهی بیندازید . در انتهای این مطلب لینک یک مقاله قرار دارد که به صورت کامل شما را در مورد سطوح دسترسی و چگونگی کار با آنها آشنا می کند.به علاوه اینکه با استفاده از برنامه های FTP مثل برنامه رایگان filezilla تغییر سطوح دسترسی به راحتی امکانپذیر است ، پس ما هم همین رو پیشنهاد می کنیم .

 

۴٫استفاده از htaccess

فایل htaccess  در پوشه اصلی هاست شما موجود است.با استفاده از آن می توانید IP های مختلف را محدود کنید و برای این کار و نحوه انجام آن ، لینک یک مطلب کامل در پایین همین پست موجود است.

 

۵٫رمز گذاری SSL

رمز نگاری SSL برای کد کردن داده های ارسالی از وبلاگ شما کاربرد دارد.این به این معنی است که اگر کسی بین سایت و کاربر ، مسیر را شنود یا قطع کند و به داده ها دسترسی پیدا کند ، باز هم نخواهد توانست آنها را بخواند زیرا کدگذاری شده اند.ولی  خبر بد این است که SSL یه سرویس پولی است ولی با این حال فعال کردن آن در وردپرس کار بسیار آسانی است . کافیست کد زیر را به فایل wp-config.php اضافه کنید :

 

۶٫همیشه پشتیبان بگیرید !

هر هفته یکبار پشتیبان گیری از سایت چیز بسیار خوبیست که من همیشه پیشنهاد می کنم. مهم نیست شما چقدر از وبلاگ تان محافظت می کنید ، زیرا هر اتفاقی ممکن است رخ دهد. اساسا شما نمی توانید جلوی همه اتفاقات را بگیرید ( به فرض منفجر شدن سرور یا hijack) بنابراین با داشتن یک بک آپ می توانید اوضاع را به حالت قبل برگردانید.

 

۷٫فایل wp-config.php را اسکورت کنید !

این یکی از فایل های بسیار مهم و حیاتی وردپرس شماست و باید تمام تلاش خود را برای حفاظت از آن انجام دهید .با قرار دادن چند خط کد زیر در فایل htaccess می توانید آن را از دسترس عموم خارج کنید :

حالا فایل مورد نظر از دید کاربران عمومی مخفی شده و دسترسی هکرها و روبوت ها به آن نیز سخت تر می شود.

 

۸٫هرگز از نام کاربری “admin” برای ورود استفاده نکنید

یک اشتباه فراگیر این است که از همان نام کاربری پیش فرض “admin” برای مدیریت استفاده می شود.با این کار یکی از دو کلید ورود را تقدیم مهاجمان کرده اید و فقط رمز عبور باقی می ماند. پس اگر تازه می خواهید وردپرس را نصب کنید ، در همان مراحل نصب می توانید آن را به یک نام دیگر تغییر دهید و اگر از قبل نام کاربری شما همین است ، با phpmyadmin می توانید آن را در دیتابیس تغییر دهید ( توجه کنید که مسئولیت دستکاری و تغییر دیتابیس متوجه خود شماست و ما مسئولیتی در این مورد نداریم)

 

۹٫استفاده از SFTP به جای FTP

بسیاری اوقات فایل هایمان را با استفاده از FTP آپلود می کنیم اما می توانیم از گزینه امن آن (SFTP) استفاده کنیم تا فایل ها به صورت رمزنگاری شده به هاست ارسال شوند.راهنمای کامل این کار را می توانید در این لینک مشاهده کنید.

 

Login Lockdown

شما همچنین می توانید از پلاگین Login Lockdown نیز استفاده کنید ولی قبل از آن مطمئن شوید که رمز عبور را حفظ کرده اید.این پلاگین هر ورود نا موفق را به همراه IP آن شخص ذخیره می کند و اگر تعداد این ورود های ناموفق از تعدادی که شما قبلا مشخص کرده اید بیشتر شد ، همان IP تا ۱ ساعت قادر به ورود نخواهد بود به صورت پیش فرض ، افزونه IP را که در عرض ۵ دقیقه ، ۳ ورود نا موفق داشته باشد را ۱ ساعت محروم می کند.همچنین IP های مسدود شده را می توانید از پنل افزونه در داشبورد وردپرس حذف کنید .نیاز به گفتن نیست که با این کار کسانی که می خواهند رمز شما را حدس بزنند ، نمی توانند ! :)

login lock down

امیدواریم با استفاده از این ترفندها توانسته باشید امنیت سایت خود را بالاتر برده و کار را برای هکر ها و روبوت ها سخت تر کنید .

 

منابع بیشتر برای مطالعه 

 

 آموزش سطوح دسترسی فایل ها در WordPress.org

 امنیت وردپرس در WordPress.org

مسدود کردن دسترسی IP ها با htaccess. در htaccesstools

هک ها و ترفندهای افزایش امنیت وردپرس در Noupe

۱۱ تا از بهترین ها برای افزایش امنیت وردپرس در ProBlogDesign

امنیت وردپرس 

منبع

19 Comments

  1. سلام, نمیدونم چرا قسمت ۷ واس سایت من مشکل داره و ارور ۵۰۰ میده
    بجز این میخام فایل کانفیگ رو سطح دسترسی رو تغییر بدم بازم ارور ۵۰۰ میده و مجبورم بذارم رو ۶۵۵ بمونه
    میشه راهنمایی کنید این فایل رو چیکار کنم؟

  2. با سلام و تشکر بخاطر این آموزش مفید
    با اجازه شما این مطلب در “انجمن وردپرس فارسی گوگل پلاس” قرار گرفت.

  3. بازتاب: پارسی وب – نکته و ترفند ها برای آنکه هک نشویم(وردپرس)
  4. بازتاب: نکته و ترفند برای محافظت از وردپرس در برابر حملات | شتاب دانلود
  5. هو،
    سلام علیکم،

    مورد۱,۲,۳,۶,۸ و Login Lockdown موارد کارسازی هستن و باید رعایت بشن.
    ۹ بهتره رعایت شه،۴ هم استفاده های زیادی داره،نه تنها برای امنیت بلکه برای سئو و…(این و Login Lockdown و مورد ۷ بعضی چیزاشون مشابه،نمیدونم چرا تو گزینه
    های مختلف آورده!)
    ۵که عملا استفاده نمیشه :) ولی اگه وضعتون خوبه و همچنین سایتتون،حتما استفاده کنید.
    مورد هفت هم تقریبا بی مورده،چون علتی براش نمیبینم!
    برای تشخیص نوع سیستم که بعید میدونم،برای حمله ی مستقیم هم که ممکن نیست،نمیدونم علت این حرفش چی بوده!!

    یا حق ج

    1. سلام Goback جان

      این ساختار منبع بود ما هم ذکر کردیم . مورد هفت رو منم دلیل دقیقش رو نمی دونم ولی تو بعضی از cms ها دیدم که دسترسی مستقیم به بعضی از فایل ها رو محدود می کنن حالا با برنامه نویسی ، htaccess یا هرچی

      ممنون از توضیحات خوبتون

      موفقیت :)

  6. مطلب بسیار ضروری ای بود علی جان،
    کاش در مورد افزونه ای هم که تصویرشو گذاشتی (اولین تصویر) توضیحی نوشته بودی.
    افزونه WSD security بسیار افزونه ی خوبیه.کلا وردپرس و هاست رو زیر نظر داره و کوچکترین تغییری که در فایلها بوجود بیاد از طریق ایمیل خبر میده.

    ممنون ;)

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مقالات فتولیا در ایمیل شما

در خبرنامه ما عضو شوید و آخرین مطالب و مقالات آموزشی را اول شما دریافت کنید