اگرچه وردپرس به طور کلی فقط به عنوان یک سیستم مدیریت محتوا (CMS) برای مدیریت وبلاگ ها شناخته می شود، اما در واقع پلت فرم بسیار قدرتمندی است که می تواند برای ایجاد کل سایت شما بدون نیاز به برنامه های اضافی استفاده شود. سهولت استفاده از آن، به خاطر وجود منابع آموزشی بسیار متنوع و زیاد است و وجود انواع پلاگین ها، وردپرس را به گزینه ای مناسب و برتر برای بسیاری از مدیران وب، بدل کرده است. در حال حاضر وردپرس حدود ۱۵ تا ۲۰ درصد از بازار وب را در دست دارد. با این حال، صرف نظر از سهولت استفاده، زمانی که موارد امنیتی وردپرس به درستی رعایت نشود، یکی از ضعیف ترین پلتفرم ها از لحاظ امنیتی می باشد.
در این مقاله برخی از مهمترین تغییراتی که به منظور حفاظت از سایت وردپرس خود باید در نظر بگیرید، بررسی می شود:
به روزرسانی مرتب وردپرس
به روز رسانی مرتب نسخه وردپرس و تمام پلاگین های نصب شده در آن اولین و مهمترین اصل در امنیت وب سایت وردپرس می باشد. هنگام انتشار نسخه جدید وردپرس، کاربران از طریق یک پیام خودکار مطلع می شوند و همچنین در پنل مدیریت وردپرس شما نیز یک هشدار جهت وجود نسخه جدید، مشاهده می گردد.
شما می توانید این کار را با چند کلیک از طریق هشدار آپدیت موجود در بالای پنل مدیریت وب سایت خود انجام دهید: لطفا به روز رسانی کنید.
دقت در انتخاب افزونه ها
مزایای یک برنامه Open Source بی پایان است. اما آنچه شما باید بدانید این است که نصب افزونه (پلاگین) های تصادفی می تواند یک تهدید امنیتی برای سایت شما باشد. این مشکل لزوما به دلیل اهداف مخرب خالق افزونه نیست، بلکه اغلب به علت کمبود تجربه و یا دانش امنیتی او است. در نتیجه انتخاب صحیح افزونه برای وردپرس موضوع بسیار مهمی است.
حذف افزونه های غیر فعال و غیر ضروری
اکنون گام بعدی اطمینان از حذف تمام افزونه هایی است که دیگر به آنها نیاز نداشته و غیر فعالشان کرده اید. دقت نمائید که غیرفعال کردن افزونه ها به معنای حذفشان از سرور نیست، بنابراین شما با غیرفعال نمودن یک افزونه، در وب سایت خود یک حفره امنیتی برای حملات احتمالی ایجاد نموده اید. بسته به نسخه وردپرس شما می توانید افزونه را پس از غیرفعال کردن، با استفاده از دکمه DELETE حذف کنید و یا برای نسخه های قدیمی تر می توانید از طریق ورود به FTP سایت خود و سپس ورود به پوشه ای که افزونه در آن نصب شده است با حذف پوشه و تمام فایل های افزونه از سرور، آن را حذف کنید. این موضوع در مورد تم ها نیز صادق است، در صورتی که به یک تم خاص نیاز نداشته باشید، آن را از پنل مدیریت خود (Appearance -> Themes) حذف کنید. توصیه می شود این کار را به صورت منظم انجام دهید زیرا نصب و غیرفعال سازی یک افزونه امری تقریبا روزمره است و به راحتی ممکن است فراموش شود و منجر به آسیب رسانی به سایتتان شود.
انتخاب کلمه های عبور قوی
این امر بسیار ضروری است و مقاله های بسیاری با تمرکز بر نحوه انتخاب کلمه های عبور قوی وجود دارد. شما می توانید برخی نکات در مورد نحوه ایجاد کلمه عبور غیر قابل شکست را در اینجا مشاهده کنید.
محدود کننده تعداد Login ها
شکستن یک حساب کاربری و پیدا کردن کلمه عبور آن از طریق حمله brute force امری بسیار شایع است. این بدان معنی است که در یک دوره بسیار کوتاه، صفحه ورود شما با ترکیبی از نام های کاربری و کلمه های عبور تست خواهد شد تا اطلاعات صحیح ورود به حساب کاربری شما پیدا شود. شما می توانید با محدود کردن تعداد دفعات تلاش برای ورود به سیستم، مانع از این اتفاق شوید. پلاگین های خاصی مانند Limit Login attempts وجود دارند که می توانید برای این موضوع به کار بگیرید.
غیر فعال سازی ثبت نام کاربر
اگر نیازی به ثبت نام کاربران در سایت خود ندارید، مطمئن شوید که این گزینه را غیرفعال کرده اید. شما می توانید این کار را از پنل مدیریت خود انجام دهید. بدین ترتیب که میبایست از منوی تنظیمات، گزینه Anyone can register را غیر فعال نمایید.
محدود سازی IP هایی که می توانند به پنل admin سایت وارد شوند
این اقدام دیگری است که می توانید به منظور ایمن سازی سایت خود انجام دهید. ساده ترین راه برای این کار، استفاده از افزونه های محدود کننده اجازه دسترسی به حساب کاربری مدیر همانند Restricted Site Access است.
حذف اطلاعات نسخه وردپرس از سایت
هنگامی که شما وردپرس را نصب می کنید، نسخه آن به طور خودکار به هدر تمام صفحات وبلاگ شما اضافه می شود. حذف نسخه وردپرس یک اصل امنیتی مهم است، زیرا با انتشار آن در سایت خود، هک کردن وب سایت شما برای هکرهای احتمالی بسیار ساده تر می شود. شما باید نسخه وردپرس را از متای هدر صفحات حذف کنید و از آنجایی که نسخه وردپرس در فایل readme.html نیز موجود است، تغییر نام (حذف) این فایل نیز ممکن است یک راهکار کاربردی باشد. اگر با اعمال این تغییرات نسخه وردپرس هنوز هم نمایش داده شود، این خط را در فایل functions.php تم خود اضافه کنید:
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>
کلید های امنیتی وردپرس
اگر شما چنین کلید هایی ندارید، حتما آنها را به وب سایت خود اضافه کنید. کلید های امنیتی وردپرس که به عنوان کلید های مخفی نیز شناخته می شوند، با افزودن «salt» به کلمه عبور شما، از آن محافظت کرده و شکسته شدنش را بسیار دشوار می کنند. شما می توانید کلید های امنیتی را خودتان ایجاد کنید، اما توصیه می شود برای این کار از ژنراتور تصادفی وردپرس استفاده کنید. هنگامی که این کلیدها را ایجاد کردید، باید به فایل wp_config خود بروید و آنها را به ترتیب قرار دهید:
define(‘AUTH_KEY’, ‘put your key here’);
define(‘SECURE_AUTH_KEY’, ‘put your key here”);
define(‘LOGGED_IN_KEY’, ‘put your key here”);
define(‘NONCE_KEY’, ‘put your key here”);
define(‘AUTH_SALT‘, ‘put your key here’);
define(‘SECURE_AUTH_SALT, ‘put your key here”);
define(‘LOGGED_IN_SALT, ‘put your key here”);
define(‘NONCE_SALT’, ‘put your key here”);
وقتی این کلید ها را عوض می کنید، از تمام کاربران شما خواسته می شود که دوباره وارد سیستم شوند. با استفاده از نسخه های جدید وردپرس، این کلید ها به صورت خودکار اضافه می شوند، اما بهتر است کلیدهای پیش فرض ایجاد شده در هنگام نصب وردپرس را حذف کرده و آنها را با موارد جدید جایگزین کنید.
غیرفعال کردن HTML در نظرات
کدهای HTML خاصی مانند <b> که به وسیله آن می توان نظر خود را bold کرد و یا <a> که برای اشاره به لینک می باشد، به صورت پیش فرض فعال هستند. اگر به این گزینه نیاز ندارید، بهتر است آن را غیر فعال کنید. شما می توانید این کار را با افزودن این خط به فایل functions.php تم خود انجام دهید:
add_filter( ‘pre_comment_content’, ‘wp_specialchars’ )
توقف Crawl کردن (خزیدن) موتورهای جستجو در ناحیه مدیریت سایت
مطمئن شوید که موتورهای جستجو، دایرکتوری های پنل مدیریت سایت شما را crawl و index نمی کنند. این کار به سادگی با اضافه کردن عبارت “disallow” در فایل robots.txt شما انجام می شود. در صورتی که چنین فایلی در سایت خود ندارید، باید آن را ایجاد کرده و در پوشه public_html قسمت مدیریت فایل ها در سرویس میزبانی خود قرار دهید. فایل باید شبیه فرمت زیر باشد:
Disallow: /wp-admin/
Disallow: /wp-includes/
علاوه بر موارد های فوق، ما به شدت توصیه می کنیم از ابزارهای امنیتی زیر که ممکن است هنگام برخورد با مسائل امنیتی مربوط به وردپرس مانند infections و یا ارسال هرزنامه از وب سایت تحت وردپرس، مفید باشند، استفاده کنید.
موارد امنیت عمومی فوق، برای هر وب سایت وردپرس مفید و کاربردی است. برخی از مراحل فوق می توانند در عرض چند دقیقه اجرا شوند، اما اجرای بعضی دیگر ممکن است قدری زمان ببرد و نیاز به دانش فنی بیشتری داشته باشد. حتی اگر شما فقط موفق به اعمال اصول و توصیه های آسان شوید، در پایان شما یک سایت وردپرس امن تر و غیر قابل نفوذتر خواهید داشت.
نظرات خود را در رابطه با این مطلب با ما در میان بگذارید.