همانطور كه مي دانيد WordPress يكي از سيستم هاي مديريت محتواي قوي و بسيار محبوب مي باشد كه گرچه عموما براي راه اندازي وبلاگ بوجود آمد ولي به دليل انعطاف پذيري فوق العاده ي خود تقريبا مي توانيد هر سايتي را از فتوبلاگ گرفته تا فروشگاه آنلاين ،بوسيله ي آن پياده سازي كنيد.اگر تا به حال با آن كار نكرده ايد،پيشنهاد مي كنيم حتما آخرين نسخه ي فارسي آن را از سايت wp-persian.com دانلود كرده و امتحان كنيد.ارزشش را دارد!

در اين مقال،خواهيم ديد كه چگونه از طريق راه ihdd ساده،مي توان امنيت وردپرس خود را بالا ببريم.

1.حتما وردپرس و افزونه ها(plugins) را بروز نگه داريد.معمولا مهمترين كاري كه شما بايد انجام بدهيد،بروز كردن نسخه ي فعلي به جديدترين ورژن موجود است.البته نگران نباشيد،خود وردپرس شما را از ارائه ي نسخه ي جديد مطلع كرده و اين امكان را مي دهد كه با يك كليك به صورت اتوماتيك سيستم را بروز كنيد.همين كار را مي توان در مورد افزونه ها نيز انجام داد.

2.از نام كاربري متفاوت براي مدير استفاده كنيد.وردپرس به صورت پيش فرض نام كاربري(username) مدير اصلي را admin انتخاب مي كند و بدين ترتيب فقط زحمت پيدا كردن كلمه ي عبور به گردن هكرها مي افتد.براي تغيير اين وضعيت و سخت تر كردن حدس نام كاربري بايد يك كاربر جديد منتهي با مجوز هاي مدير ،ايجاد كنيد.حالا با كاربر جديد وارد بخش مديريت شده و ضمن انتقال پست هاي admin به حساب جديد،مدير قديمي وردپرس را پاك كنيد.

3.ايجاد كاربرصرفاُ پست كننده(posting user) كه مجوزهاي مديريتي ندارد،در اين صورت علاوه بر اينكه شما وبلاگ خود را در برابر هكرها محافظت كرده ايد،آن را از تغييرات ناخواسته ي خودتان هم محافظت نموده ايد.

4.در هر جايي كه نياز هست،از ابزار ضد ربات(captcha) استفاده كنيد.مخصوصا براي بخش نظرات و ورود مدير و كاربران.]براي اين كار با كمي جستجو در سايت wordpress.org مي توانيد افزونه هاي متعددي را بيابيد.[

5.پسوند پيش فرض جداول وردپرس را تغيير دهيد.اگر براي اولين بار مي خواهيد وردپرس را نصب كنيد،مي توانيد اين كار را هنگام نصب انجام دهيد .اگر قصد انجام اين كار روي سيستم از قبل نصب شده را داريد راهنماي زير مي تواند شما را راهنمايي كند.

http://www.lildude.co.uk/howto-change-wordpress-table-prefix

با افزونه ي ذيل نيز مي توانيد به راحتي اين كار را انجام دهيد:

http://blogsecurity.net/wordpress/tool-130707

6.دسترسي به دايركتوري wp-admin را محدود كنيد.براي اين كار سه راه حل وجود دارد:يكي از طريق IP ، ديگري با استفاده از رمز عبور(Password) و سومي افزونه ي AskApache Password Protect .اگر شما ip معيني نداشته و از مكانهاي مختلف مثل منزل و محل كار به وردپرس دسترسي داريد اين گزينه پاسخگو نخواهد بود و بايد از روش دوم يا سوم استفاده كرد.در هر صورت مجبوريم مقداري با فايل .htaccess بازي كنيم.

1.محافظت دايركتوري wp-admin از طريق آدرس :ip

1.يك فايل با نام “.htaccess” در دايركتوري فوق ايجاد كنيد.البته اگر قبلا وجود نداشته باشد.

2.محتويات زير را جايي كه XXX.XXX.XXX.XXX مساوي همان ip شماست،اضافه كنيد.براي چند ip مجزا،بايد چند بار خط Allow from را اضافه كنيد.

Order deny,allow

Deny from all

Allow from XXX.XXX.XXX.XXX

2.محافظت دايركتوري wp-admin با رمز عبور:

1.يك فايل با نام “.htaccess” در دايركتوري فوق ايجاد كنيد.البته اگر قبلا وجود نداشته باشد.

2.يك فايل جديد بيرون از دايركتوري public_html با نام “.htpasswd” ايجاد كنيد.دقت كنيد كه فايل را خارج از پوشه ي فوق و در مسير بالاي آن ايجاد كنيد وگرنه همه خواهند توانست پسورد شما را به راحتي ببينند.

3.محتويات ذيل را به فايل “.htpasswd” اضافه كنيد.

Xxxx:yyyy

در اينجا xxxx به معناي نام كاربري و yyyy به معناي رمز عبور آمده است.

4.حالا مي بايست كدهايي كه در زير آمده است ،به فايل “.htaccess” كه در دايركتوري wp-admin ساخته ايم،اضافه كنيم.

AuthName EnterPassword

AuthType Basic

AuthUserFile /path/to/your/directory/.htpasswd

require xxxx

بايد مطمئن شويد كه به جاي /path/to/your/directory/، مسيري ثابت و درست را به فايل “.htpasswd” قرار داده ايد.اگر در اين مورد اطلاعي نداريد،مي توانيد از ميزبان وب تان سوال كنيد.همانطور كه مشاهده مي كنيد،xxxx همان نام كاربري است كه در فايل “.htpasswd” قرار داديم.

3.با افزونه ي AskApache Password Protect:

اين افزونه در واقع از روش هاي فوق استفاده مي كند ولي مزيت آن سادگي آن است!

http://www.askapache.com/wordpress/htaccess-password-protect.html

7.اطلاعات ورود(login) را كدگذاري كنيد.هرگاه شما سعي در لاگين به وبسايت خود را داشته باشيد،پسورد شما بدون كدگذاري ارسال مي شود.اگر شما در يك شبكه ي عمومي باشيد،هكر به راحتي مي تواند با به اصطلاح گوش كردن(sniff) به شبكه،اطلاعات ورود شما را بدست آورد.بهترين راه،كدگذاري لاگين با استفاده از افزونه ي Chap Secure Login مي باشد.اين افزونه يك hash تصادفي با رمز عبور اضافه كرده و با استفاده از پروتكل CHAP ورود شما را اعتبارسنجي مي كند.

دانلود افزونه :Chap Secure Login

http://tinyurl.com/chap-secure-login

اطلاعات بيشتر در مورد پروتكل :CHAP

http://tinyurl.com/jl844

8.استفاده از كلمه ي عبور مطمئن.يكي از مواردي كه به آساني مي تواند باعث بالا رفتن امنيت هر سيستمي شود،استفاده از كلمه ي عبوري است كه به راحتي قابل حدس زدن نباشد.براي اين كار توصيه مي شود از تركيب كلمات بزرگ و كوچك،حروف ويژه مثل @ يا & و اعداد استفاده كنيد.هنگام ورود كلمه ي عبور ،وردپرس به شما مي گويد كه رمز انتخابي در چه حدي از امنيت قرار دارد.

9.نسخه ي وردپرس را لو ندهيد.تعداد زيادي از پوسته(theme) هاي وردپرس،اطلاعات مربوط به نسخه ي نرم افزار را در ابر تگ هايشان قرار مي دهند.بدين ترتيب هكرهاي عزيز با داشتن نسخه ي دقيق وردپرس،مي توانند اقدام به پايه گذاري حملات سخت بر پايه ي حفره هاي امنيتي آن نسخه را انجام دهند.براي حذف اين مشخصه ي غير ضروري به داشبورد وردپرس لاگين كرده و به بخش ويرايش پوسته (Design->Theme Editor) رفته و روي فايل header كليك كنيد.حالا در بخش چپ و داخل كدها،تكه كدي شبيه اسكريپت زير را پيدا كرده و پاك كنيد:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

و دكمه ي Update File را بفشاريد.

نكته:در وردپرس نسخه ي 2.6 به بعد ،اين كار به صورت اتوماتيك توسط ورپرس انجام مي گيرد و براي حل آن مي بايست افزونه ي WP-Security Scan plugin را از آدرس زير نصب كنيد.

http://wordpress.org/extend/plugins/wp-security-scan

10.دايركتوري مربوط به افزونه ها را مخفي كنيد.اگر به آدرس http://yourwebsite.com/wp-content/plugins برويد،مي توانيد ليست تمام افزونه هايي را كه استفاده مي كنيد،ببينيد و ببينند.براي مخفي كردن اين دايركتوري مي توانيد يك فايل خالي با نام index.html آپلود كنيد.ويرايشگر متن(مثل Notepad) را باز كرده و فايل خالي را با نام index.html ذخيره كنيد.حالا با استفاده از يك برنامه ي ftp(مثل Filezilla) فيل فوق را به پوشه ي plugins آپلود كنيد.حل شد!

11.از پايگاه داده ، نسحه ي پشتيبان تهيه كنيد.گرچه رعايت موارد بالا،امنيت وردپرس را تا حد قابل قبولي افزايش مي دهد،ولي بهترين راه داشتن نسخه ي پشتيبان از داده هاي مان است تا در صورت بروز هرگونه مشكل،امكان بازگشت به حالت قبل را داشته باشيم.پيشنهاد ما افزونه ي wp-database-backup مي باشد.مي توانيد آن را طوري برنامه ريزي كنيد كه از پايگاه داده به صورت روزانه،پشتيبان تهيه كند.

http://wordpress.org/extend/plugins/wp-db-backup