بهترین و پیشرفته ترین روش های امنیتی وردپرس

بهترین و پیشرفته ترین روش های امنیتی وردپرس


امنیت وردپرس موضوع بسیار مهم برای هر صاحب وب سایتی است. گوگل هر روز تعداد زیادی وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد.

اگر در مورد وب سایت خود جدی هستید، پس باید به بهترین روش های امنیتی وردپرس توجه کنید. در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای کمک به محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک می گذاریم.

در حالی که نرم افزار اصلی وردپرس بسیار امن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی برای حفظ امنیت سایت شما می توان انجام داد.

در میزبان وب هاست، ما معتقدیم که امنیت فقط حذف ریسک نیست. همچنین در مورد کاهش خطر است. به عنوان یک صاحب وب سایت، کارهای زیادی می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر در زمینه فناوری، اطلاعات کافی نداشته باشید).

ما تعدادی گام عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.

1. کاراکترهای خاص را برای کاربر فیلتر کنید.

اگر در بخشی از وب سایت خود پاسخ کاربر را بپذیرید، چه فرم پرداخت، فرم تماس یا حتی یک بخش نظر در یک پست وبلاگ، این فرصتی برای حمله به XSS یا تزریق پایگاه داده است. مهاجمان می توانند کدهای مخرب را در هر یک از این فیلدهای متنی وارد کرده و وب سایت شما را مختل کنند.

برای جلوگیری از این مشکل، مطمئن شوید که کاراکترهای خاص را برای کاربر قبل از پردازش توسط سایت شما و ذخیره در یک پایگاه داده فیلتر کردید. همچنین می توانید از یک افزونه برای شناسایی کدهای مخرب استفاده کنید . از طرف دیگر، می توانید از یک افزونه وردپرس برای فیلتر کردن خودکار این کاراکترها استفاده کنید.

2. مجوزهای کاربر وردپرس را محدود کنید.

اگر سایت وردپرس شما دارای چندین حساب کاربری است، توصیه می کنیم نقش هر کاربر را تغییر دهید تا دسترسی آنها را فقط به آنچه نیاز دارد محدود کنید. وردپرس شش نقش برای هر کاربر دارد. با محدود کردن تعداد کاربران با مجوزهای سرپرست، احتمال ورود مهاجم به حساب کاربری مدیریت را کاهش می‌دهید و آسیبی را که مهاجم به درستی اعتبار کاربر را حدس بزند، محدود می‌کند.

3. از مانیتورینگ وردپرس استفاده کنید.

وجود یک سیستم مانیتورینگ برای وب سایت شما، هر گونه فعالیت مشکوکی را که در سایت شما اتفاق می افتد به شما هشدار می دهد. در حالت ایده‌آل، اقدامات دیگر شما از چنین فعالیتی جلوگیری می‌کرد، اما بهتر است زودتر متوجه شوید. شما می توانید از یک افزونه نظارت بر وردپرس برای دریافت هشدار در صورت وجود نقض استفاده کنید.

4. ثبت فعالیت کاربر.

راه دیگری برای رهایی از مشکلات قبل از وقوع آنها وجود دارد: گزارشی از تمام فعالیت هایی که کاربران در وب سایت شما انجام می دهند ایجاد کنید و این گزارش را به صورت دوره ای برای فعالیت مشکوک بررسی کنید. به این ترتیب، خواهید دید که آیا کاربر مشکوک عمل می کند (مثلاً تلاش برای تغییر رمز عبور، تغییر موضوع یا فایل های افزونه، نصب یا غیرفعال کردن افزونه ها بدون اجازه). گزارش‌ها همچنین برای پاکسازی پس از هک مفید هستند و به شما نشان می‌دهند چه چیزی و چه زمانی اشتباه رخ داده است.

این بدان معنا نیست که همه تغییرات رمز عبور یا اصلاحات فایل همیشه نشانه وجود یک هکر در تیم شما است. با این حال، اگر مشارکت‌کنندگان زیادی را به کار می‌گیرید و به آن‌ها مجوز دسترسی می‌دهید، همیشه ایده خوبی است که مراقب چیزها باشید.

بسیاری از افزونه‌های وردپرس گزارش‌های در خصوص فعالیت افزونه ها ایجاد می‌کنند و چندین افزونه ثبت‌نام اختصاصی برای وردپرس مانند WP Activity Log یا افزونه رایگان Activity Log وجود دارد.

5. URL پیش فرض ورود به وردپرس را تغییر دهید.

همانطور که اشاره کردم، URL پیش فرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی به راحتی پیدا می شود. افزونه هایی مانند WPS Hide Login آدرس صفحه ورود را برای شما تغییر می دهند.

6. ویرایش فایل را در داشبورد وردپرس غیرفعال کنید.

به طور پیش فرض، وردپرس به مدیران اجازه می دهد تا کد فایل های خود را مستقیماً با ویرایشگر کد ویرایش کنند. این به مهاجمان راه آسانی برای تغییر فایل های شما در صورت دسترسی به حساب کاربری شما می دهد. اگر افزونه‌ای قبلاً این ویژگی را غیرفعال نکرده است، می‌توانید مقداری کدگذاری انجام دهید تا خودتان آن را غیرفعال کنید. کد زیر را به انتهای فایل wp-config.php اضافه کنید:

// Disallow file edits
define( ‘DISALLOW_FILE_EDIT’, true );

7. پیشوند فایل پایگاه داده خود را تغییر دهید.

نام فایل هایی که پایگاه داده وردپرس شما را تشکیل می دهند به طور پیش فرض با “wp_” شروع می شود. هکرها از این تنظیم برای مکان یابی فایل های پایگاه داده شما بر اساس نام و انجام تزریق SQL استفاده می کنند.

پیشوند را به چیزی متفاوت تغییر دهید، مانند “wpdb_” یا “wptable_”. تنظیم این مورد در هنگام نصب سیستم مدیریت محتوا وردپرس امکان پذیر است. اگر سایت شما از قبل با این تنظیمات فعال است، می توانید نام این فایل ها را تغییر دهید. در این مورد، ما به شدت توصیه می کنیم از یک افزونه برای مدیریت این فرآیند استفاده کنید، زیرا پایگاه داده شما تمام محتوای شما را ذخیره می کند و پیکربندی نادرست وب سایت شما را خراب می کند.

8. فایل xmlrpc.php خود را غیر فعال کنید.

XML-RPC یک پروتکل ارتباطی است که CMS وردپرس را قادر می سازد تا با وب خارجی و برنامه های تلفن همراه تعامل داشته باشد. از زمان ادغام WordPress REST API ، XML-RPC بسیار کمتر از گذشته استفاده می شود. با این حال، هنوز هم توسط برخی برای راه اندازی حملات قدرتمند به سایت های وردپرس استفاده می شود.

فناوری XML-RPC به مهاجمان اجازه می‌دهد درخواست‌هایی حاوی صدها فرمان را ارسال کنند و انجام حملات ورود به سیستم brute force را آسان‌تر می‌کند. XML-RPC نیز نسبت به REST از امنیت کمتری برخوردار است زیرا درخواست های آن حاوی اعتبارنامه های احراز هویت هستند که می توانند مورد سوء استفاده قرار گیرند.

اگر از XML-RPC استفاده نمی کنید، می توانید فایل xmlrpc.php را غیرفعال کنید. ابتدا بررسی کنید که آیا سایت شما از فایل استفاده می کند یا خیر. URL خود را به یک اعتبارسنجی XML-RPC وصل کنید تا بررسی کنید که آیا سایت شما در حال حاضر از پروتکل استفاده می کند یا خیر. اگر استفاده می کند، ساده ترین راه برای غیرفعال کردن این فایل با افزونه ای مانند Disable XML-RPC-API است. افزونه امنیتی وردپرس شما نیز ممکن است بتواند این کار را برای شما انجام دهد.

9. حذف حساب پیش فرض مدیریت وردپرس.

اگر می‌خواهید قدمی جلوتر بردارید، به‌کلی از شر این حساب پیش‌فرض خلاص شوید و یک حساب کاربری جدید با همان مجوزهای مدیر ایجاد کنید.

10. نسخه وردپرس خود را مخفی کنید.

مخفی کردن نسخه وردپرس باعث می شود که هکرها از آسیب پذیر بودن سایت شما اطلاعی نداشته باشند.

شما میتوانید برای امنیت بیشتر سایت وردپرسی خود از سرویس های هاست وردپرس میزبان وب هاست نیز استفاده کنید.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.