8 نکته امنیتی برای امنیت وردپرس:
امنیت وبسایت نگرانی بزرگ هر مدیر وبسایت و وبلاگنویس است. وبلاگهایی که روی هاست شخصی هستند از وبلاگهای میزبانی شده در سرویسهایی مانند بلاگر آسیپپذیرترند. برای راه اندازی و مدیریت سایت و وبلاگ روی هاست های شخصی، معمولا از برنامه های مدیریت محتوا یا CMS استفاده می شود. سیستم های مدیریت محتوا، نرم افزارهای تحت وبی هستند که همزمان کار ادیتور متن، دیتابیس و مدیریت مطالب و محتوای یک سایت را بر عهده دارند. وردپرس یکی از پر کاربردترین سیستمهای مدیریت محتوا است. بنابراین این سیستم مدیریت محتوا مبدل به هدف اصلی حملات به وبسایتها شده است. اگر وبسایت شما ترافیک بالایی دارد، هکرها چنین سایتهایی را در نظر میگیرند تا اطلاعات شخصی حساس را سرقت کنند.
بنابراین به عنوان مدیر یا سردبیر یک وبلاگ وردپرسی، بسیار ضروری است تا نکات امنیتی لازم را دانسته و با استفاده از آن، دست هکرها را از اطلاعات تان کوتاه کنید. اینجا نکاتی وجود دارد که شما میتوانید با استفاده از آنها از وبلاگتان در برابر هکرها حفاظت کنید. این نکات امنیت 100% را برای تان به ارمغان نمی آورند. اما میتوانند کمک بسیاری در دور نگه داشتن یک هکر ایفا نموده و کار آنها را برای نفوذ به حریم خصوصیتان سختتر کنند.
1. وردپرس را به آخرین نسخه آن بهروزرسانی نمایید
به محض اینکه نسخه جدیدی انتشار یافت، وبلاگتان را ارتقا دهید. شما میتوانید از پلاگین Wordpress Automatic Upgrade برای ارتقا به نسخه آخر استفاده کنید. معمولا مسائل و باگ های امنیتی بزرگ در نسخه های ارتقا داده شده، برطرف میشوند.
2. پلاگینهایتان را پس از بررسی روند تغییرات آن بهروزرسانی نمایید
پلاگینهایی که شما استفاده میکنید تماما توسط دیگر برنامهنویسها تهیه و توسعه داده میشوند. بنابراین پلاگینها در برابر هک،ا بیشتر از خود وردپرس آسیپپذیرند. توصیه میشود که پیش از اینکه از یک پلاگین استفاده کنید، صفحه مربوط به آن را با دقت بررسی کرده و نظرات و آمارها را بخوانید. همچنین، پلاگینهایتان را به شکل منظم بهروزرسانی نمایید.
3. همانند پشتیبانگیری کامل از وبسایت، به طور کامل و منظم از پایگاهدادهتان (database) پشتیبانگیری کنید
احتمالا این مهمترین نکته است. از سایتتان به صورت منظم پشتیبانگیری نموده و آن را در مکانی امن ذخیره نمایید. این رفتار باعث می شود که اگر حتی وبسایتتان به خطر بیافتد، بتوانید سریعا آن را به آخرین نسخه پشتیبان سالم برگردانید. بدون پشتیبانگیری، شما همه چیز را از دست خواهید داد.
برای اطلاعات بیشتر در خصوص پشتیبان گیری، در دوره «مبانی پشتیبان گیری از اطلاعات» سایت درسنامه شرکت کنید.
4. نام پیشفرض کاربر مدیر (Admin) را حذف کرده یا تغییر دهید.
به صورت پیشفرض، تمام وردپرس های نصب شده، با یک کاربر ادمین همراه است. این موضوع اولین چیزی است که یک هکر هنگام حمله به سایت شما، دنبال آن خواهد بود. شما باید این کاربر را حذف نمایید. ابتدا یک کاربر جدید با نام کاربری منحصر به فرد و سطح دسترسی کامل ایجاد کنید. سپس با استفاده از کاربر جدید لاگین نموده و آنگاه کاربر مدیر را حذف نمایید. هکر اکنون بایستی هر دوی نام کاربری و رمز عبورتان را کشف کند.
5. از رمزعبور امن استفاده کنید
این یک نکته امنیتی اساسی است: از نام یا تاریخ تولدتان به عنوان رمزعبور استفاده نکنید. این باعث آسان شدن کشف رمز میشود. از ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نشانهها در رمزعبور استفاده کنید و اطمینان حاصل نمایید که آن رمزعبور منحصر به فرد است.
6. پلاگینهای امنیتی نصب نمایید
پلاگینهای امنیتی بسیاری وجود دارد که شما میتوانید با نصب آنها سایتتان را امن نگاه دارید. مانند WP Security Scan و WP Exploit Scanner. همچنین میتوانید از WP Firewall یا WP Antivirus استفاده کنید.
7. پوستههایتان (theme) را بررسی و بهروزرسانی نمایید
اگر خودتان پوسته را ساختهاید، پیش از استفاده از قالب، ایرادهای امنیتی معمول و حفرههای امنیتی PHP آن را بررسی کنید. برای این منظور میتوانید از پلاگین WP Theme Scanner استفاده کنید. پوستههایتان را بهروزرسانی نمایید، مخصوصا برای پوستههای مجانی به محض اینکه بهروزرسانی توسط توسعهدهنده در دسترس قرار گرفت این کار را انجام دهید.
8. از پوشه WP Admin حفاظت کنید
شاید بهتر باشد که فایل .htaccess را به پوشه WP admin تان بیافزایید؛ با این کار با مسدودسازی تمام آدرسهای IP به جز آیپی خودتان، دسترسی به این پوشه و بخش مدیریت سایت را محدود خواهید ساخت. در زیر، کد .htaccess برای این کار وجود دارد. اطمینان حاصل نمایید که فایل .htaccess را در پوشه وردپرستان میافزایید. اگر این فایل را در پوشه ریشه وبلاگ وردپرستان قرار دهید در این صورت تنها شما قادر به دسترسی به سایت هستید. بنابراین در سر و کار داشتن با دستورات htaccess مراقب باشید.
اجازه دهید پوشه WP Admin تنها توسط یک آیپی خاص قابل دسترس باشد
Order deny,allow
deny from all
allow from 1.1.1.1
آدرس آیپی 1.1.1.1 را به آدرس آیپی کامپیوتر خودتان تغییر دهید. اگر وبلاگتان گروهی است، یا چندین مالک دارد، در این صورت دستور allow دیگر با آیپی وبلاگنویس میهمان یا همکارتان اضافه نمایید. من میدانم بسیاری از کاربران آیپی دینامیک و متغیری دارند. بنابراین اگر شما اجازه دسترسی به آیپی ثابت فعلیتان را دهید، پس از اینکه دوباره متصل شده و سعی به دسترسی به وبلاگتان داشته باشید، دسترسی شما قطع خواهد شد.
برای اجتناب از چنین موقعیتی لازم است به آیپیهای دینامیک هم اجازه دسترسی دهید. اما این میتواند بدین معنا باشد که برخی افراد همراه با شما میتوانند به پوشه WP Admin دسترسی داشته باشند.
اجازه دسترسی به یک مجموعه آیپی پویا یا دینامیک
Order deny,allow
deny from all
allow from 1.1.1.*
ما در اینجا از کاراکتر * استفاده کردیم. این بدین معنا است که هرشخصی با آیپی 1.1.1.0 تا 1.1.1.225 میتواند به پوشه WP Admin دسترسی یابد.
دیگر راه برای محافظت از پوشه WP Admin رمزدار کردن خود پوشه است. اغلب سرویس های هاستینگ یا میزبانی، امکان Password Protect Directories را دورن سیپنل برای تان فراهم مینمایند.
- بازدید: 1904