امنیت وردپرس

امنیت وردپرس، آیا وردپرس امن است؟

طراحی سایت تیکو – بسیاری از افراد که مخالف استفاده از وردپرس هستند، اولین چیزی که زیر سوال می‌برند، امنیت آن است. این افراد معتقدند وردپرس به علت متن باز بودن، از امنیت کافی برخوردار نیست. چراکه کدهای آن در اختیار همه قرار دارد و هکرها می‌توانند به راحتی راه‌های نفوذ به آن را پیدا کنند. بیایید در کنار من ابوالفضل انصاری، موضوع امنیت وردپرس را بررسی کنیم و ببینیم آیا وردپرس امن است یا خیر؟

هکرها به طور متوسط ​​روزانه 30 هزار وب‌سایت را هک می‌کنند. یعنی تقریبا هر 3 ثانیه یک وب‌سایت. دانستن این آمار باعث می‌شود که حتما فکری برای امنیت سایت خود کنیم. زیرا هیچ تضمینی نیست که سایت شما هدف حمله بعدی هکرها نباشد.

چرا باید به فکر امنیت سایت خود باشیم؟

  • تنها در سال جاری، حملات سایبری 300 درصد افزایش یافته است. زیرا هکرها تلاش خود را برای سوءاستفاده از وب‌سایت‌هایی که آسیب‌پذیرند یا امنیت ضعیف‌تری دارند، افزایش می‌دهند.
  • تقریباً شکار نیمی از حملات سایبری مشاغل کوچک تا متوسط ​​است. زیرا هکرها می‌دانند که اکثر آنها تدابیر امنیتی محکمی ندارند.
  • تقریباً نیمی از صاحبان وب‌سایت‌ها می‌گویند که تدابیر امنیتی لازم برای دفاع از سایت خود در برابر حملات ندارند.

آمارهای ناگوار بالا نشان می‌دهد که صاحبان وب‌سایت‌ها تا چه مقدار به اتخاذ تدابیر امنیتی فعال نیاز فوری دارند. به نظرم نیازی به توضیح بیشتر نیست و آمارها گویای همه چیز هستند.

آیا وردپرس امنیت دارد؟

در حال حاضر که این مقاله را می‌نویسم بیش از 43% سایت‌ها به وسیله وردپرس ایجاد شده‌اند. با اینکه وردپرس به خودی خود امنیت بسیار خوبی دارد اما با توجه به متن باز بودن آن و آشکار بودن کدهایش، این‌گونه سایت‌ها جزو اهداف پرتکرار هکرها قرار دارند.

البته این به معنی ناامن بودن وردپرس نیست. چرا که هر سایتی همواره در معرض آسیب و هک شدن قرار دارد. فراموش نکنید امنیت یک مقوله 100درصدی نیست. همیشه احتمال نفوذ و هک شدن وجود دارد و این ربطی به زبان برنامه‌نویسی سایت ندارد. اگر بخواهیم به صورت منطقی به امنیت نگاه کنیم باید بگوییم که امنیت کاهش آسیب و خطر است، نه حذف کامل آن. زیرا حذف و از بین بردن کامل خطر، مسلما ممکن نیست. ولی می‌توان با رعایت یک سری نکات احتمال نفوذ هکرها را کاهش داد.

سایت وردپرسی هم مانند تمامی سایت‌ها نیاز به یک استراتژی امنیتی دارد. هکرهای حرفه‌ای همیشه به دنبال راه‌های نفوذ هستند که ما به عنوان مدیر سایت باید این راه‌ها را شناسایی کرده و ببندیم تا بتوانیم امنیت سایت‌مان را افزایش دهیم.

آیا وردپرس امن است؟

روش‌های افزایش امنیت وردپرس

مسلما دیر یا زود به سایت شما هم حمله خواهد شد. اما اگر الزامات امنیتی را رعایت کرده باشید، مهم نیست که چه زمانی سایت شما به یک هدف تبدیل می‌شود. شما به یک استراتژی امنیتی نیاز دارید تا با آن افراد خرابکار را از سایت خودتان دور نگه دارید. همه این استراتژی‌های امنیتی در سه چیز خلاصه می‌شود: آماده‌سازی، پیشگیری و شناسایی.

ابتدا باید بستر امنیتی را برای سایت خود آماده کنید و با رعایت نکات ایمنی، به پیشگیری از هک شدن سایت بپردازید. در هر حال باز هم ممکن است سایت شما مورد حمله قرار گرفته و هکرها هم به موفقیت‌هایی دست پیدا کنند. پس نیازمند شناسایی آسیب‌ها و رفع آنها هستید. در ادامه با ما باشید تا با اتخاذ روش‌هایی امنیت سایت وردپرسی خود را افزایش دهیم. با این کارها 99.9درصد سایت شما غیرقابل هک خواهد شد.

استفاده از رمزهای عبور قوی

همیشه اولین قدم در تامین امنیت داشتن یک رمز عبور قوی و غیرقابل حدس است. بسیاری از کاربران متاسفانه به این امر توجه کافی نمی‌کنند و به سراغ رمزهایی می‌روند که حفظ کردن آنها آسان است. رمزهایی مانند تاریخ تولد، شماره شناسنامه، تلفن همراه، کدملی، تاریخ ازدواج و … بدترین انتخاب برای هر پنلی است که نیازمند رمز عبور است.

استفاده از رمزهای عبور قوی

در تامین امنیت وردپرس برای ورود به سی‌پنل هاست و پیشخوان وردپرس از رمزهای عبور مستحکم که شامل ترکیبی از حروف بزرگ، حروف کوچک، علائم و اعداد هستند، استفاده کنید. استفاده از اعداد ساده یا حروف معنادار به شدت به امنیت سایت‌تان آسیب می‌زند. هکرها با استفاده از نوشتن برنامه‌های مختلف، شروع به تست رمزها با سرعت بسیار بالا می‌کنند و اگر این رمز ساده باشد خیلی راحت به آن دسترسی پیدا خواهند کرد.

از نام کاربری admin استفاده نشود

اولین نام کاربری که توسط هکرها چک و امتحان می‌شود admin است. اگر از این نام کاربری استفاده نشود، کار آنها برای پیدا کردن اطلاعات ورود چندین برابر سخت‌تر می‌شود. چرا که علاوه بر رمز عبور باید به دنبال نام کاربری هم باشند.

تغییر پیشوند جداول وردپرس

وردپرس یک سیستم مدیریت محتوای متن‌باز است که تمام تنظمیات و اطلاعات آن در جداول دیتابیس یا پایگاه‌داده MySql ذخیره می‌شود. جداول وردپرس هم به صورت پیش‌فرض با پیشوند wp_ در این دیتابیس ثبت می‌شوند. این پیشوند نامی آشنا و کاملا قابل حدس برای هکرهاست و کمک زیادی به آنها می‌کند تا بتوانند راحت‌تر به دیتابیس شما دسترسی داشته باشند. هکرها پس از دسترسی به دیتابیس می‌توانند کدهای مخرب را در جداول پایگاه داده تزریق کنند و امنیت سایت‌تان را به خطر بیندازند. پیشنهاد می‌کنیم در اولین قدم هنگام نصب وردپرس این پیشوند را تغییر داده و پیشوند پیچیده‌تری برای جداول وردپرس خود انتخاب کنید. اگر هم جداول وردپرس خود را ایجاد کرده‌اید و پیشوند آن را تغییر نداده‌اید، نگران نباشید زیرا این کار با افزونه‌هایی قابل انجام است. از جمله این افزونه‌ها که در انتهای همین مقاله به آن اشاره کرده‌ایم، افزونه امنیتی iThemes Security است.

تاثیر ssl بر امنیت وردپرس

 استفاده از SSL و HTTPS

فناوری امنیتی استاندارد SSL مخفف عبارت Secure Sockets Layer به معنی «لایه سوکت‌های امن» است. وجود این فناوری به این معنی است که اطلاعات مبادله شده با وب‌سایت امن و رمزگذاری شده است. به عبارت دیگر داده‌هایی که بین سایت و مرورگر رد و بدل می‌شود محرمانه باقی می‌ماند و دیگر توسط هکرها قابل مشاهده نیست. وب‌سایت‌هایی که به فناوری SSL مجهز هستند در url خود به جای http با https آغاز می‌شوند. بسیاری از شرکت‌های هاستینگ این گواهینامه را به صورت رایگان در اختیار شما قرار می‌دهند. پس در انتخاب هاست دقت کنید که این امکان را برای شما فراهم کرده باشد.

به خطر افتادن امنیت وردپرس با استفاده از قالب‌ها و افزونه‌های نامعتبر

قالب‌ها و افزونه‌های نال شده امکان دارد دارای کدهای مخربی باشند که اطلاعات ورود سایت‌تان را برای هکرها ارسال کنند. بنابراین سعی شود افزونه‌ها و قالب‌ها از منابع معتبر و به‌ویژه از منبع اصلی آن خریداری شود. در ایران هم سایت ژاکت در این راه پیش‌قدم است.

معرفی بهترین قالب‌های وردپرس

بروزرسانی مرتب هسته وردپرس، نسخه PHP هاست، قالب‌ها و افزونه‌ها

معمولا اگر ارائه دهندگان هسته وردپرس، نسخه PHP هاست، قالب‌ها یا افزونه‌ها قصد داشته باشند امکانات جدیدی به آنها اضافه کنند یا مشکلی از آنها را حل کنند، یک نسخه جدید ارائه می‌دهند. لازم است در اولین فرصت نسبت به بروزرسانی آنها اقدام کنیم. چرا که رفع باگ‌های امنیتی اولین دلیل ارائه نسخه جدید هسته وردپرس، نسخه PHP هاست، قالب‌ها و افزونه‌هاست. نکته‌ای که باید یادآور شوم این است که قبل از اقدام به بروزرسانی حتما از سایت خودتان یک نسخه پشتیبان یا بکاپ تهیه کنید. زیرا ممکن است ناهماهنگی و تداخلی به وجود آید و کارکرد صحیح سایت شما را از کار بیندازد.

استفاد از هاستینگ‌های معتبر برای امنیت وردپرس

در انتخاب شرکت هاستینگ برای سایت خود بسیار دقت کنید. اگر هاستی از نظر کانفیگ امنیتی دچار ضعف باشد و توسط هکرها هک شود، مطمئنا سایت شما نیز هک خواهد شد.

انواع هاست و تفاوت‌های آنها

فایل‌های بلااستفاده به امنیت وردپرس آسیب می‌زند

گاهی اوقات ما مجبور هستیم فایل‌هایی را در سایت خود آپلود کنیم که بعدا دیگر نیازی به آنها نیست. به عنوان مثال برخی از سرویس دهنده‌ها برای انجام احراز هویت از شما می‌خواهند فایل تکستی را در هاست خود آپلود کنید. مانند سایت گوگل یا اینماد. این فایل‌ها را پس از انجام احراز هویت از سایت خود پاک کنید. چرا که این فایل‌ها می‌تواند مورد هدف حمله هکرها قرار بگیرد.

به فکر امنیت ایمیل مدیریت سایت هم باشید

همان‌طور که می‌دانید شرکت‌های هاستینگ اطلاعات ورود به هاست را برای شما ایمیل می‌کنند. همچنین مدیران سایت برای ثبت‌نام در وردپرس نیازمند اعلام یک ایمیل هستند. به همین دلیل گاهی اوقات هکرها با هک کردن ایمیل مدیریت سایت، اقدام به کسب اطلاعات ورود به سایت می‌کنند. پس علاوه بر توجه به موارد امنیتی سایت، باید موارد امنیتی لازم برای ایمیل هم تامین شود.

برای تامین امنیت ایمیل علاوه بر انتخاب رمزهای عبور قوی، حتما از باز کردن ایمیل‌های ناشناس و کلیک بر روی لینک‌های مشکوک هم خودداری کنید.

عدم اعتماد به افراد دیگر

گاهی مشاهده شده سایت برخی از افراد توسط دوستان و آشنایان خودشان مورد حمله قرار گرفته است. دلیل این مورد هم این است که برخی افراد نام کاربری و رمز عبور سایت خود را در اختیار دیگران قرار می‌دهند که به آنها اعتماد دارند. با گذشت زمان ممکن است مشکلاتی بین این افراد به وجود آید و فردی که اطلاعات سایت را دارد برای انتقام‌گیری، اقدام به انجام اقدامات خرابکارنه در سایت کند. پس به هر کسی اعتماد نکنید و در دادن اطلاعات ورود به دیگران بسیار مراقب و سخت‌گیر بوده و آینده را نیز پیش‌بینی کنید.

از سایت خود به طور مرتب بکاپ یا پشتیبان تهیه کنید

داشتن بکاپ و پشتیبان از سایت موجب می‌شود اگر به هر دلیل سایت‌تان هک شد، بتوانید در اولین فرصت آن را به حالت قبل برگردانده و خسارت‌های احتمالی را کاهش دهید.

از افزونه‌های امنیتی وردپرس استفاده کنید

با انجام تمام اقداماتی که در این مقاله به آن اشاره کردیم، باز هم وردپرس نقص‌های امنیتی دارد که باید آنها را برطرف کرد. به عنوان مثال وردپرس فعالیت ورود کاربر را ردیابی نمی‌کند. اگر شخصی 1000 بار تلاش برای ورود به سایت کند و ورودش ناموفق باشد بازهم می‌تواند به کار خود ادامه دهد.

نصب افزونه‌های امنیتی کمک زیادی به تامین امنیت سایت‌های وردپرسی می‌کنند. این افزونه‌ها با تغییر صفحه ورود، عدم دسترسی به فایل‌های مهم سایت مثل .htaccess و wp-config، بلاک کردن کاربرانی که با نام کاربری Admin سعی در ورود به سایت دارند یا تعداد تلاش ناموفق نامتعارفی برای ورود داشته‌اند، جلوگیری از حملات brute force، تغییر پیشوند جداول وردپرس و … وظیفه حفاظت از سایت را بر عهده می‌گیرند.

بهترین افزونه امنیت وردپرس

iThemes Security با ارائه بیش از 30 ماژول امنیتی را به جرات می‌توان به عنوان بهترین افزونه تامین امنیت سایت معرفی کرد. این افزونه بر تمام مهم‌ترین فعالیت‌های امنیتی که در سایت شما اتفاق می‌افتد و شما نمی‌توانید آنها را ببینید، نظارت می‌کند.

iThemes Security حدس و گمان را از امنیت وردپرس حذف می‌کند تا امنیت و محافظت از وب‌سایت وردپرس شما را آسان کند. اگر شخصی موفق به هک کردن سایت شما هم شد، در اسرع وقت آسیبی که می‌تواند وارد کند را محدود می‌کند. شناسایی بخش کلیدی یک استراتژی امنیتی کلی است که به انعطاف‌پذیری بیشتر در برابر حمله موفقیت‌آمیز کمک می‌کند و این افزونه این امکان را برای شما فراهم کرده است.

افزونه iThemes Security برای امنیت وردپرس

افزونه iThemes Security عملکرد فوق‌العاده‌ای در برابر حملات Brute Force دارد. این حملات به روش آزمون و خطای مورد استفاده برای کشف نام کاربری و رمز عبور برای هک کردن یک وب‌سایت اشاره دارد. با توجه به اینکه در وردپرس چیزی برای مقابله با این حملات تعبیه نشده است ضرورت استفاده از افزونه چند برابر می‌شود.iThemes Security  با مسدود کردن این حملات خودکار، برای ایمن‌سازی و محافظت بیشتر ورود به سیستم وردپرس، کار می‌کند.

البته این افزونه قابلیت‌های بسیار زیاد دیگری هم دارد. احراز هویت دو‌مرحله‌ای با استفاده از نرم‌افزار‌های تلفن همراه، اسکن زمان‌بندی شده تروجان‌ها، ایجاد کلمات عبور قوی از طریق پنل‌کاربری، قابلیت افزودن کد reCAPTCHA برای مقابله با اسپم، غیر‌فعال کردن قابلیت ویرایش فایل‌ها از طریق پنل مدیریتی وردپرس، تغییر آدرس‌های صفحه ورود و مدیریت، تغییر نام کاربری admin، تغییر پیشوند جداول وردپرس، تغییر مسیر پوشه wp-content، بلاک کردن IPهای مشکوک، خارج از دسترس کردن پیشخوان وردپرس در ساعات خاصی از شبانه روز و … از مهمترین امکانات این افزونه است.

سخن پایانی

در پاسخ به افرادی که امنیت وردپرس را زیر سوال می‌برند، باید بگویم این باور کاملا اشتباه است. زیرا در دنیای اینترنت وب‌سایت‌های زیادی وجود دارند که همیشه در معرض خطر هک شدن و نفوذ هستند. فرقی هم نمی‌کند این سایت‌ها با سیستم مدیریت محتوا ساخته شده‌اند یا به صورت کدنویسی اختصاصی. اکثر سایت‌ها به دلیل مشکلاتی که کاملا قابل پیشگیری هستند، هک می‌شوند. مثل استفاده از کلمه عبور ساده و ناامن.

با مطالعه این مقاله دیگر باید متوجه شده باشید که امنیت سایت کاملا به خودمان بستگی دارد. با رعایت کردن اصولی که در این مقاله به آن اشاره شد، می‌توانیم تا حدود زیادی (نه 100درصد) خیال‌مان را از امنیت سایت راحت کنیم.

این مطالب را هم حتما بخوانید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این پیشنهاد یکبار برای شما نمایش داده می‌شود.

پیشنهاد شگفت‌انگیز و تکرار نشدنی برای شما!

از گوگل، مدرک معتبر و قابل استعلام بگیر! اونم رایگان!

اول کد تخفیف 100درصدی زیر رو یادداشت کن …

googlefree