همانطور که می دانید WordPress یکی از سیستم های مدیریت محتوای قوی و بسیار محبوب می باشد که گرچه عموما برای راه اندازی وبلاگ بوجود آمد ولی به دلیل انعطاف پذیری فوق العاده ی خود تقریبا می توانید هر سایتی را از فتوبلاگ گرفته تا فروشگاه آنلاین ،بوسیله ی آن پیاده سازی کنید.اگر تا به حال با آن کار نکرده اید،پیشنهاد می کنیم حتما آخرین نسخه ی فارسی آن را از سایت wp-persian.com دانلود کرده و امتحان کنید.ارزشش را دارد!

در این مقال،خواهیم دید که چگونه از طریق راه ihdd ساده،می توان امنیت وردپرس خود را بالا ببریم.

۱.حتما وردپرس و افزونه ها(plugins) را بروز نگه دارید.معمولا مهمترین کاری که شما باید انجام بدهید،بروز کردن نسخه ی فعلی به جدیدترین ورژن موجود است.البته نگران نباشید،خود وردپرس شما را از ارائه ی نسخه ی جدید مطلع کرده و این امکان را می دهد که با یک کلیک به صورت اتوماتیک سیستم را بروز کنید.همین کار را می توان در مورد افزونه ها نیز انجام داد.

۲.از نام کاربری متفاوت برای مدیر استفاده کنید.وردپرس به صورت پیش فرض نام کاربری(username) مدیر اصلی را admin انتخاب می کند و بدین ترتیب فقط زحمت پیدا کردن کلمه ی عبور به گردن هکرها می افتد.برای تغییر این وضعیت و سخت تر کردن حدس نام کاربری باید یک کاربر جدید منتهی با مجوز های مدیر ،ایجاد کنید.حالا با کاربر جدید وارد بخش مدیریت شده و ضمن انتقال پست های admin به حساب جدید،مدیر قدیمی وردپرس را پاک کنید.

۳.ایجاد کاربرصرفاُ پست کننده(posting user) که مجوزهای مدیریتی ندارد،در این صورت علاوه بر اینکه شما وبلاگ خود را در برابر هکرها محافظت کرده اید،آن را از تغییرات ناخواسته ی خودتان هم محافظت نموده اید.

۴.در هر جایی که نیاز هست،از ابزار ضد ربات(captcha) استفاده کنید.مخصوصا برای بخش نظرات و ورود مدیر و کاربران.]برای این کار با کمی جستجو در سایت wordpress.org می توانید افزونه های متعددی را بیابید.[

۵.پسوند پیش فرض جداول وردپرس را تغییر دهید.اگر برای اولین بار می خواهید وردپرس را نصب کنید،می توانید این کار را هنگام نصب انجام دهید .اگر قصد انجام این کار روی سیستم از قبل نصب شده را دارید راهنمای زیر می تواند شما را راهنمایی کند.

http://www.lildude.co.uk/howto-change-wordpress-table-prefix

با افزونه ی ذیل نیز می توانید به راحتی این کار را انجام دهید:

http://blogsecurity.net/wordpress/tool-130707

۶.دسترسی به دایرکتوری wp-admin را محدود کنید.برای این کار سه راه حل وجود دارد:یکی از طریق IP ، دیگری با استفاده از رمز عبور(Password) و سومی افزونه ی AskApache Password Protect .اگر شما ip معینی نداشته و از مکانهای مختلف مثل منزل و محل کار به وردپرس دسترسی دارید این گزینه پاسخگو نخواهد بود و باید از روش دوم یا سوم استفاده کرد.در هر صورت مجبوریم مقداری با فایل .htaccess بازی کنیم.

۱.محافظت دایرکتوری wp-admin از طریق آدرس :ip

۱.یک فایل با نام “.htaccess” در دایرکتوری فوق ایجاد کنید.البته اگر قبلا وجود نداشته باشد.

۲.محتویات زیر را جایی که XXX.XXX.XXX.XXX مساوی همان ip شماست،اضافه کنید.برای چند ip مجزا،باید چند بار خط Allow from را اضافه کنید.

Order deny,allow

Deny from all

Allow from XXX.XXX.XXX.XXX

۲.محافظت دایرکتوری wp-admin با رمز عبور:

۱.یک فایل با نام “.htaccess” در دایرکتوری فوق ایجاد کنید.البته اگر قبلا وجود نداشته باشد.

۲.یک فایل جدید بیرون از دایرکتوری public_html با نام “.htpasswd” ایجاد کنید.دقت کنید که فایل را خارج از پوشه ی فوق و در مسیر بالای آن ایجاد کنید وگرنه همه خواهند توانست پسورد شما را به راحتی ببینند.

۳.محتویات ذیل را به فایل “.htpasswd” اضافه کنید.

Xxxx:yyyy

در اینجا xxxx به معنای نام کاربری و yyyy به معنای رمز عبور آمده است.

۴.حالا می بایست کدهایی که در زیر آمده است ،به فایل “.htaccess” که در دایرکتوری wp-admin ساخته ایم،اضافه کنیم.

AuthName EnterPassword

AuthType Basic

AuthUserFile /path/to/your/directory/.htpasswd

require xxxx

باید مطمئن شوید که به جای /path/to/your/directory/، مسیری ثابت و درست را به فایل “.htpasswd” قرار داده اید.اگر در این مورد اطلاعی ندارید،می توانید از میزبان وب تان سوال کنید.همانطور که مشاهده می کنید،xxxx همان نام کاربری است که در فایل “.htpasswd” قرار دادیم.

۳.با افزونه ی AskApache Password Protect:

این افزونه در واقع از روش های فوق استفاده می کند ولی مزیت آن سادگی آن است!

http://www.askapache.com/wordpress/htaccess-password-protect.html

۷.اطلاعات ورود(login) را کدگذاری کنید.هرگاه شما سعی در لاگین به وبسایت خود را داشته باشید،پسورد شما بدون کدگذاری ارسال می شود.اگر شما در یک شبکه ی عمومی باشید،هکر به راحتی می تواند با به اصطلاح گوش کردن(sniff) به شبکه،اطلاعات ورود شما را بدست آورد.بهترین راه،کدگذاری لاگین با استفاده از افزونه ی Chap Secure Login می باشد.این افزونه یک hash تصادفی با رمز عبور اضافه کرده و با استفاده از پروتکل CHAP ورود شما را اعتبارسنجی می کند.

دانلود افزونه :Chap Secure Login

http://tinyurl.com/chap-secure-login

اطلاعات بیشتر در مورد پروتکل :CHAP

http://tinyurl.com/jl844

۸.استفاده از کلمه ی عبور مطمئن.یکی از مواردی که به آسانی می تواند باعث بالا رفتن امنیت هر سیستمی شود،استفاده از کلمه ی عبوری است که به راحتی قابل حدس زدن نباشد.برای این کار توصیه می شود از ترکیب کلمات بزرگ و کوچک،حروف ویژه مثل @ یا & و اعداد استفاده کنید.هنگام ورود کلمه ی عبور ،وردپرس به شما می گوید که رمز انتخابی در چه حدی از امنیت قرار دارد.

۹.نسخه ی وردپرس را لو ندهید.تعداد زیادی از پوسته(theme) های وردپرس،اطلاعات مربوط به نسخه ی نرم افزار را در ابر تگ هایشان قرار می دهند.بدین ترتیب هکرهای عزیز با داشتن نسخه ی دقیق وردپرس،می توانند اقدام به پایه گذاری حملات سخت بر پایه ی حفره های امنیتی آن نسخه را انجام دهند.برای حذف این مشخصه ی غیر ضروری به داشبورد وردپرس لاگین کرده و به بخش ویرایش پوسته (Design->Theme Editor) رفته و روی فایل header کلیک کنید.حالا در بخش چپ و داخل کدها،تکه کدی شبیه اسکریپت زیر را پیدا کرده و پاک کنید:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

و دکمه ی Update File را بفشارید.

نکته:در وردپرس نسخه ی ۲.۶ به بعد ،این کار به صورت اتوماتیک توسط ورپرس انجام می گیرد و برای حل آن می بایست افزونه ی WP-Security Scan plugin را از آدرس زیر نصب کنید.

http://wordpress.org/extend/plugins/wp-security-scan

۱۰.دایرکتوری مربوط به افزونه ها را مخفی کنید.اگر به آدرس http://yourwebsite.com/wp-content/plugins بروید،می توانید لیست تمام افزونه هایی را که استفاده می کنید،ببینید و ببینند.برای مخفی کردن این دایرکتوری می توانید یک فایل خالی با نام index.html آپلود کنید.ویرایشگر متن(مثل Notepad) را باز کرده و فایل خالی را با نام index.html ذخیره کنید.حالا با استفاده از یک برنامه ی ftp(مثل Filezilla) فیل فوق را به پوشه ی plugins آپلود کنید.حل شد!

۱۱.از پایگاه داده ، نسحه ی پشتیبان تهیه کنید.گرچه رعایت موارد بالا،امنیت وردپرس را تا حد قابل قبولی افزایش می دهد،ولی بهترین راه داشتن نسخه ی پشتیبان از داده های مان است تا در صورت بروز هرگونه مشکل،امکان بازگشت به حالت قبل را داشته باشیم.پیشنهاد ما افزونه ی wp-database-backup می باشد.می توانید آن را طوری برنامه ریزی کنید که از پایگاه داده به صورت روزانه،پشتیبان تهیه کند.

http://wordpress.org/extend/plugins/wp-db-backup