راهنمای جامع افزایش امنیت وردپرس (20 اقدام مهم + راه حل پس از هک)

اگر کسب و کار شما بر بستر سایت می باشد باید امنیت آن را در اولویت قرار دهید. از طرفی اگر سایت خود را با وردپرس (WordPress) راه اندازی کرده اید، باید با تدابیر مختلف برای افزایش امنیت وردپرس آشنا باشید.

وردپرس یک سیستم مدیریت محتوا (CMS) با امنیت بالاست اما به دلیل ماهیت متن باز بودن آن، آسیب‌پذیری‌های جدی در آن وجود دارند که باید توسط شما برطرف شوند. خوشبختانه به‌راحتی می‌توانید با استفاده از یکسری راهکار سطح امنیت وردپرس را افزایش دهید. پس در این مطلب تا انتها همراه ما باشید تا 20 اقدام مهم برای افزایش امنیت وردپرس را به شما عزیزان آموزش دهیم.

 

چرا وردپرس به امنیت بیشتری نیاز دارد؟

دلایلی که در ادامه مطرح می‌کنیم برای هر سایتی که با وردپرس ساخته شده است صادق است. تمامی کسب‌وکارها بدون توجه به وسعت و شهرت خود باید به نکات زیر دقت داشته باشند.

 

1- امنیت حافظ اطلاعات و شهرت شماست.

اگر هکرها به اطلاعات شخصی شما یا بازدیدکنندگان سایتتان دست پیدا کنند، هرکاری را که دوست داشته باشند می‌توانند با آن انجام دهند. حفره های امنیتی باعث خواهد شد داده‌های شما برای عموم افشا شود و در معرض خطرات دیگری مانند سرقت هویت، باج‌خواهی و مشکلات دیگر قرار بگیرید. نیازی به گفتن نیست که تمام این اتفاق‌ها به برند و شهرت شما لطمه می‌زند و در نتیجه انرژی، زمان و سرمایه شما هدر خواهد رفت.

 

2- بازدیدکنندگان سایت شما انتظار امنیت را دارند.

هرچه کسب‌وکار شما توسعه بیشتری پیدا می کند، تعداد مشکلاتی را که باید حل کنید و همچنین انتظار مشتریانتان از شما افزایش می یابد. یکی از این مشکلات ایمن نگه داشتن اطلاعات مشتریانتان است.

اگر نتوانید از همان ابتدا اقدامات لازم برای افزایش امنیت سایت وردپرسی خود را انجام دهید، اعتماد مشتریان را خدشه‌دار خواهید کرد. بدون شک اگر مشتری متوجه امنیت پایین یک سایت شود، دیگر به آن بازنخواهد گشت.

 

3- گوگل سایت‌های امن را دوست دارد.

افزایش امنیت سایت شما به معنای تثبیت جایگاه شما در رتبه‌های بالاتر نتایج جستجو است. چرا؟ چون گوگل سایت های با امنیت بالا را دوست دارد. در واقع امنیت یک سایت تاثیر مستقیمی بر روی سئو یک سایت و رتبه آن در موتورهای جستجو دارد. بنابراین نیاز است تا نکات امنیتی لازم را جهت افزایش رتبه سایت خود در نتایج موتورهای جستجو جدی بگیرید.

 

 

وردپرس چقدر امن است؟

وردپرس یک سیستم مدیریت محتوای امن است اما مانند هر CMS دیگری می‌تواند در مقابل حملات آسیب‌پذیر باشد. نمی‌توان این حقیقت را انکار کرد که سایت‌های وردپرسی یک هدف محبوب برای حملات سایبری هستند.

یک شرکت خدمات فایروال به اسم Wordfence در گزارش امنیت وردپرس خود اشاره کرده که تاکنون 18.5 میلیارد درخواست رمز عبور در سایت‌های وردپرسی با هدف هک انجام شده است. این آمار واقعا وحشتناک است.

 

موضوع افزایش امنیت وردپرس به ویژه زمانی اهمیت پیدا می‌کند که بدانید 42.7 درصد سایت‌ها از این پلتفرم استفاده می‌کنند. گرچه متاسفانه براساس آمار از هر 10 سایت وردپرسی، 10 مورد از آن‌ها از نظر شدت آسیب‌پذیری امتیاز «متوسط» یا «بالا» را می‌گیرند!

 

 

جا دارد همین‌جا بگوییم نباید خود وردپرس را مسئول چنین مشکلاتی بدانیم. توسعه‌دهندگان وردپرس با استفاده از تیم امنیتی بزرگی که از محققان و مهندسان ممتاز جهانی تشکیل شده، به طور مستمر در تلاش برای پیدا کردن آسیب‌پذیری‌های داخلی این سیستم هستند و به‌صورت منظم آپدیت‌های امنیتی را برای وردپرس منتشر می‌کنند.

مشکل در واقع نوع دسترسی کاربران به وردپرس است. وردپرس یک نرم‌افزار متن باز است، یعنی کد منبع برای تغییر و توزیع در دسترس همگان قرار دارد. به‌همین دلیل هر کسی می تواند در کدهای آن تغییراتی را به وجود آورد و این موضوع امنیت را به شدت تهدید می کند.

در واقع می توان در کدهای تمامی تم ها، افزونه ها و ابزارهای وردپرس تغییر ایجاد کرد و این ویژگی در عین حال که یک مزیت محسوب می شود و انعطاف پذیری وردپرس را افزایش می دهد، امنیت آن را نیز تهدید می کند.

 

مشکلات امنیتی وردپرس

وردپرس نیز مانند هر سیستم مدیریت محتوای دیگر دارای نقاط قوت و ضعف هایی است و با هر آپدیت سعی می کند تا حفره های امنیتی که شناسایی شده است را برطرف کند. اما رایج ترین حملاتی که به وردپرس می شود شامل موارد زیر هستند:

 

1- حملات بروت فورس (Brute force)

حملات بروت فورس یکی از ساده‌ترین انواع حمله به وردپرس است. این حمله زمانی رخ می‌دهد که هکرها سریعا و به‌صورت خودکار از ترکیب یوزرنیم و پسوردهای زیادی برای لاگین به سایت شما استفاده کنند تا در نهایت بتوانند شناسه و رمز کاربری صحیح را حدس بزنند. هک با حملات بروس فورس می‌تواند برای دسترسی به هر نوع اطلاعاتی که رمز دارد، استفاده شود و فقط مختص به اطلاعات ورود نیست.

 

 

2- حملات تزریق اسکریپت (XSS)

حملات XSS زمانی رخ می‌دهد که یک مهاجم کدهای مخرب خود را به بک اند سایت هدف با هدف استخراج اطلاعات، تزریق کند و عملکرد آن سایت را مختل کند. این کدها به روش‌های به مراتب پیچیده تر ممکن است به بک اند سایت هدف اضافه شوند. این تزریق کد حتی می تواند از طریق فرم های نظرسنجی و یا فرم های ورود و ثبت نام انجام شود!

 

3- حملات تزریق به دیتابیس

حمله تزریق به دیتابیس که به اسم تزریق به SQL نیز شناخته می‌شود، مربوط به زمانی است که یک هکر رشته‌ای از کدهای مخرب را از طریق راه‌هایی مانند فرم تماس، در یک سایت ثبت می‌کند. سایت مورد نظر این کد را در دیتابیس خود ذخیره خواهد کرد.

این نوع حمله مشابه با مورد قبل در سایت مورد نظر یک کد مخرب را اجرا می‌کند که هدف از آن به‌دست آوردن اطلاعات محرمانه ذخیره شده در دیتابیس است. با توجه به همین سه نوع حمله باید اهمیت افزایش امنیت وردپرس سایت خود را درک کرده باشید اما حملات دیگری نیز وجود دارد که در ادامه توضیح خواهیم داد.

 

 

4- حملات درب پشتی (backdoor)

یک درب پشتی یا بکدور (backdoor) یک فایل حاوی کدی است که به هکر اجازه می‌دهد فرآیند استاندارد لاگین به وردپرس را دور بزند و در هر زمانی به سایت شما دسترسی داشته باشد.

هکرها معمولا درب‌های پشتی را بین سایر فایل‌های منبع وردپرس قرار می‌دهند تا پیدا کردن آن‌ها برای کاربران بدون تجربه سخت باشد. حتی زمانی که این بکدور حذف شود، هکرها می‌توانند چندین نسخه از آن را بنویسند و به استفاده از آن‌ها برای عبور از مرحله لاگین به سایت شما، ادامه دهند.

گرچه وردپرس برای کاهش احتمال استفاده از بکدورها، انواع فایل‌هایی را که کاربران می‌توانند آپلود کنند کاهش می‌دهد ولی همچنان این حمله در سایت‌های زیادی مشکل‌آفرین است.

 

5- حملات DDoS

حملات DDoS باعث ایجاد اختلال در سایت هدف و در نهایت عدم دسترسی کاربران به آن سایت می شوند. این حملات یک دلیل دیگر تاکید ما برای افزایش امنیت وردپرس هستند. در این نوع حملات ترافیک فیک و سنگینی به سمت سایت روانه می شود تا سرور یا هاست آن سایت از دسترس خارج شود. در واقع هدف اصلی هکر در این نوع حملات ایجاد اختلال در سرویس دهی سایت هدف است.

 

 

6- حملات فیشینگ (Phishing)

در حملات فیشینگ هدف به دست آوردن اطلاعات محرمانه مثل نام کاربری و رمز عبور است. در این روش هکر با ارسال یک فایل، بد افزار یا لینک یک سایت سعی در گول زدن فرد مورد نظر دارد تا اطلاعات محرمانه او را به سرقت ببرد.

اگر یک هکر به اکانت وردپرس شما دسترسی داشته باشد، می‌تواند با هویت شما و برنامه‌ریزی برای فیشینگ، اطلاعات مشتریانتان را نیز به سادگی به دست آورد.

 

7- حملات هات لینکینگ (Hotlinking)

حملات هات لینکینگ نوعی سرقت پهنای باند محسوب می شوند. فرض کنید شما در حال تماشای یک ویدئو در سایت X باشید اما این سایت این ویدئو را مستقیما از سایت Y به شما نمایش می دهد. بنابراین این سایت با این کار میزان مصرف پهنای باند و منابع مصرفی سرور خود را به حداقل رسانده است. هر بار که در سایت X این ویدئو نمایش داده می شود بخشی از پهنای باند و منابع سرور سایت X مصرف می شود و به همین سادگی نوعی سرقت انجام می شود.

با توجه به تمام این حملات مرسوم به وردپرس باید اهمیت افزایش امنیت وردپرس را درک کرده باشید. هکرها برای استفاده از روش‌های بالا باید حفره‌هایی را در امنیت یک سایت کشف کنند. آن‌ها زمان هدف قرار دادن سایت‌های وردپرسی دنبال آسیب‌پذیری‌های رایجی می‌گردند که آنها را در بخش های مختلفی می توانند پیدا کنند. ما این حفره های امنیتی را در ادامه به شما معرفی خواهیم کرد.

 

 

حفره های امنیتی وردپرس

1- پلاگین‌ها

پلاگین‌های شخص ثالث مقصر اصلی اکثر رخنه‌های امنیتی وردپرس به‌شمار می‌روند. چون شرکت‌ها یا افراد شاخص ثالث سازنده این افزونه‌ها هستند و به بک اند سایت شما دسترسی دارند، یک راه نفوذ برای هکرها محسوب می‌شوند تا عملکرد سایتتان را به راحتی مختل کنند و یا از آن با هدف های مختلف سوء استفاده کنند.

 

2- نسخه‌های قدیمی وردپرس

وردپرس همیشه نسخه‌های جدیدی از نرم‌افزار خود را برای برطرف کردن آسیب‌پذیری‌های امنیتی شناسایی شده منتشر می‌کند. پس از ارائه آپدیت جدید وردپرس آسیب‌پذیری های کشف شده را به همه اعلام می کند و هکرها از آن حفره های امنیتی برای حمله به سایت هایی با نسخه های قدیمی وردپرس استفاده می‌کنند! بنابراین برای افزایش امنیت وردپرس خود آن را باید همیشه به‌روزرسانی کنید.

 

3- صفحه لاگین

صفحه لاگین هر سایت وردپرسی در حالت پیش‌فرض آدرس اصلی سایت است که پس از آن عبارت «/wp-admin» یا «/wp-login.php» می‌آید. هکرها به‌سادگی می‌توانند این صفحه را پیدا کرده و برای یک حمله بروت فورس برنامه‌ریزی کنند. شما باید با استفاده از کدنویسی و یا استفاده از پلاگین این مسیر را تغییر دهید تا کار هکر را چند مرحله دشوار کنید.

 

4- تم‌ها

حتی تم یا پوسته وردپرس شما می‌تواند درب های سایت شما را به روی هکرها باز کند. تم‌های قدیمی ممکن است با جدیدترین نسخه وردپرس شما سازگار نباشند و همین باعث دسترسی به فایل‌های منبع شما می شود. همچنین برخی از تم‌های شخص ثالث از استانداردهای وردپرس پیروی نمی‌کنند که نتیجه آن ایجاد مشکلات سازگاری و آسیب‌پذیری‌های مشابه است.

 

 

بهترین اقدامات ابتدایی برای افزایش امنیت وردپرس

حالا که اهمیت این موضوع را درک کردید، به شما تدابیری را معرفی خواهیم کرد که با استفاده از آن‌ها می‌توانید خطر حملات سایبری به سایت وردپرسی خود را کمتر کنید.

بعضی از این تدابیر به‌طور کلی در مورد خود سایت هستند (مانند استفاده از رمز عبور قدرتمند، فعال کردن قابلیت احراز هویت دو عاملی، استفاده از SSL و فایروال). اما تعدادی دیگر مخصوص خود وردپرس در نظر گرفته شده اند. (مانند استفاده از افزونه‌ها و تم‌های امن).

برای حداکثر افزایش امنیت وردپرس پیشنهاد می‌کنیم تا جای ممکن تمامی اقداماتی که در ادامه به آنها اشاره می کنیم را به کار بگیرید. ما از موارد ساده شروع می‌کنیم و سپس راهکارهای پیشرفته‌تری را آموزش می‌دهیم تا امنیت سایت خود را به مراتب بیشتر کنید.

 

1- فرآیند لاگین به وردپرس را امن کنید.

اولین کاری را که باید برای افزایش امنیت وردپرس خود انجام دهید، جلوگیری از حملات بروت فورس (Brute force) است که برای دستیابی به اطلاعات اکانت های کاربران انجام می شوند. راه‌حل‌های زیر در این راستا مفید هستند:

 

 

– از رمزهای عبور قوی استفاده کنید.

شاید باورتان نشود که همچنان افرادی وجود دارند که از رمز عبور «123456» استفاده می کنند. حتما حداقل سختی رمز عبورها را افزایش دهید تا مطمئن شوید که تمام کاربران شما برای ثبت نام در سایتتان از رمزهای عبور قوی استفاده می‌کنند.

 

– احراز هویت دو عاملی را فعال کنید.

قابلیت احراز هویت دو عاملی (2FA) کاربران را ملزم خواهد کرد با استفاده از یک دستگاه ثانویه، لاگین خود به سایتتان را تایید کنند. شما می توانید به سادگی این قابلیت را با نصب یکی از بهترین افزونه های ورود دو مرحله ای وردپرس پیاده سازی کنید. انجام این کار یکی از ساده‌ترین و موثرترین تدابیر برای افزایش امنیت وردپرستان است. البته این روش برای افزونه ووکامرس قابل انجام نیست و شما امکان ورود دو عاملی را فقط برای لاگین ادمین می توانید فعالسازی کنید.

 

– نام کاربری هیچ اکانتی را Admin نگذارید.

اولین یوزرنیمی که هکرها برای حملات بروت فورس به وردپرس انتخاب می‌کنند، admin است. اگر کاربری به این نام دارید، یک حساب ادمین دیگر با یک نام کاربری متفاوت ایجاد کنید.

 

– تعداد تلاش‌ها برای لاگین را محدود کنید.

تعیین محدودیت برای تعداد دفعاتی که یک کاربر می‌تواند رمزعبور و نام کاربری را برای لاگین کردن به اشتباه وارد کند، جلوی مهاجمان را برای انجام حملات بروت فورس می‌گیرد. بعضی از شرکت‌های ارائه‌دهنده خدمات هاستینگ و فایروال این کار را برای شما انجام می‌دهند، اما همچنین می‌توانید از افزونه‌هایی مانند Limit Login Attempts یا وردفنس و یا Sucuri استفاده کنید.

 

– به فرم ها کپچا اضافه کنید.

یکی از اقدامات مهم برای افزایش امنیت وردپرس، اضافه کردن کپچا به فرم های ورود و ثبت نام است. کپچا یک لایه امنیتی بیشتر را به فرم های شما اضافه می‌کند و از خیال شما را از حمله ربات های مهاجم راحت می کند. برای افزودن کپچا به سایت خود می‌توانید از افزونه‌های زیادی استفاده کنید که ما reCaptcha by BestWebSoft را پیشنهاد می‌کنیم. البته می توانید لیست بهترین آنها را در مطلب بهترین افزونه های کپچا وردپرس مشاهده کنید.

 

– خروج خودکار از وردپرس را فعال کنید.

شما باید همیشه پس از اتمام کارتان از داشبورد وردپرس خارج شوید اما اگر آن را فراموش می کنید، فعال کردن قابلیت خروج خودکار جلوی سوء استفاده های احتمالی را می‌گیرد. برای فعال کردن این قابلیت می توانید افزونه Inactive Logout را نصب کنید.

 

 

2- استفاده از یک سرویس هاستینگ امن

زمانی که می‌خواهید برای سایت وردپرسی خود یک هاست پیدا کنید، باید عوامل زیادی را در نظر بگیرید که در راس آن‌ها امنیت قرار دارد. شرکت‌هایی را انتخاب کنید که برای حفاظت از اطلاعات شما راه‌حل‌هایی دارند و در صورت بروز حملات هک، اقدامات لازم را انجام می‌دهند. برخی از سرویس های هاستینگ بر روی سرورهای خود از فایروال هایی استفاده می کنند که می توانند به افزایش امنیت سایت شما کمک زیادی کنند.

 

3- نسخه وردپرس سایت خود را آپدیت کنید.

نسخه های قدیمی وردپرس یک هدف بسیار رایج برای هکرها هستند. برای افزایش امنیت وردپرس خود به‌صورت منظم به‌روزرسانی‌های وردپرس را انجام دهید تا آسیب‌پذیری‌های نسخه‌های قبلی را از بین ببرید. برای آپدیت وردپرس به جدیدترین نسخه، از سایت خود بکاپ بگیرید و بررسی کنید پلاگین‌هایتان با نسخه جدید سازگار باشند و در صورت لزوم آن‌ها را نیز به‌روزرسانی کنید.

 

 

4- به جدیدترین نسخه PHP به‌روزرسانی کنید.

یکی از مهم‌ترین کارهایی که برای افزایش امنیت سایت وردپرسی خود می‌توانید انجام دهید، ارتقاء به جدیدترین نسخه PHP است. زمانی که نسخه جدیدی از PHP در دسترس است، نوتیفیکیشن لازم را در داشبورد وردپرس خود خواهید دید.

پس از آن باید به کنترل پنل هاست خود بروید و جدیدترین نسخه PHP را انتخاب کنید. اگر خودتان این کار را نمی توانید انجام دهید از پشتیبانی هاست یا سرور خود کمک بگیرید.

 

5- یک یا چند افزونه امنیتی را نصب کنید.

اکیدا پیشنهاد می‌کنیم یک یا چند افزونه امنیتی معتبر و مشهور را روی سایت خود نصب کنید. این پلاگین‌ها کارهای زیادی را به‌صورت خودکار برای شما انجام می‌دهند. مانند اسکن سایتتان برای بررسی تلاش‌های مخرب برای لاگین، تغییر کدهای منبع که ممکن است سایت شما را مستعد به نفوذ کنند، ریست و بازگردانی سایت وردپسی شما و جلوگیری از سرقت محتوا مانند حملات هات لینکینگ (hotlinking).

این پلاگین های امنیتی بخش عمده ای از امنیت وردپرس شما را می توانند تامین کنند. ما در همین راستا مطالب جامعی را برای انتخاب بهترین افزونه امنیتی منتشر کرده ایم. برای شروع می توانید مطلب بهترین افزونه های امنیتی وردپرس را مطالعه کنید. در ادامه می توانید دو مطلب مقایسه وردفنس و Sucuri و همچنین مقایسه وردفنس و iThemes Security را مطالعه کنید.

 

 

6- از تم‌های امن برای وردپرس استفاده کنید.

همان‌طور که برای افزایش امنیت وردپرس سایت خود نباید پلاگین‌های مشکوک را نصب کنید، در نصب تم‌ها نیز باید محتاط باشید. برای جلوگیری از آسیب‌پذیری‌هایی که تم‌های وردپرس در آن نقش دارند، تنها آن‌هایی را نصب کنید که سازگار با استانداردهای وردپرس باشند.

برای اینکه بررسی کنید تم فعلی شما با پیش‌نیازهای وردپرس همخوانی دارد، آدرس سایت وب‌سایت خود یا لینک هر سایت وردپرسی دیگر یا دمو زنده تم موردنظرتان را در این لینک وارد کنید. اگر تم شما با وردپرس سازگار نبود باید به دنبال یک تم معتبر باشید.

تمامی تم‌های موجود در مخزن وردپرس و مارکت های فروش تم وردپرس از نظر امنیت با نرم‌افزار وردپرس سازگار هستند. بنابراین می توانید برای اینکه خیال خود را از نظر سازگاری تم با وردپرس راحت کنید، از این گزینه ها برای خرید و دانلود تم استفاده کنید.

 

7- SSL و HTTPS را فعال کنید.

SSL (لایه سوکت‌های امن) فناوری است که ارتباطات بین سایت شما و مرورگر بازدیدکنندگانتان را رمزنگاری می‌کند. هدف از انجام آن این است که ترافیک بین سایت شما و کامپیوترهای بازدیدکنندگانتان از خطرات احتمالی ایمن باشد.

SSL باید در سایت وردپرسی شما فعال شده باشد. این کار را می‌توانید به‌صورت دستی یا با استفاده از یک پلاگین اختصاصی SSL انجام دهید. انجام این کار نه تنها به سئو سایت شما کمک می‌کند، بلکه نقش مستقیمی روی اولین برداشت بازدیدکنندگان از سایت شما دارد. امروزه کاربران به سایت هایی که از SSL استفاده نمی کنند اعتماد ندارند.

نکته جالب توجه در این باره این است که مرورگر گوگل کروم اگر سایتی از پروتکل SSL استفاده نکرده باشد، این قضیه را به بازدیدکنندگان هشدار می‌دهد که نتیجه آن کاهش مستقیم ترافیک سایت مورد نظر خواهد بود. برای آن‌که ببینید سایت وردپرسی شما از این پروتکل پیروی می‌کند یا نه، به صفحه اصلی سایت خود بروید. اگر لینک صفحه اصلی با https:// (حرف s به معنای امن است) شروع شود، ارتباط شما با SSL امن شده است و اگر این لینک با http:// شروع شود، باید در اولین فرصت یک گواهینامه SSL برای سایت خود تهیه کنید. (این گواهی از سوی سرویس های میزبانی هاست به صورت رایگان ارائه می شود و کافی است با ارسال تیکت درخواست فعالسازی ارسال کنید.)

 

 

8- یک فایروال نصب کنید.

یک فایروال بین شبکه‌ای که میزبانی سایت وردپرسی‌تان را به‌ عهده دارد و سایر شبکه‌ها قرار می‌گیرد و مانع ورود ترافیک مشکوک به شبکه شما می‌شود. فایروال‌ها یا دیواره‌های آتش با از بین بردن اتصال مستقیم بین شبکه شما و سایر شبکه‌ها، فعالیت‌های مخرب را بیرون از سایتتان نگه می‌دارد.

به عقیده ما بهتر است افزونه Web Application Firewall (WAF) را برای محافظت از سایتتان و افزایش امنیت وردپرس آن نصب کنید. البته بسیاری از افزونه های امنیتی مشهور وردپرس مثل وردفنس، Sucuri و iTheme Security دارای فایروال های مطمئن و قوی هستند و با نصب آنها دیگر نیاز به نصب جداگانه یک فایروال دیگر نخواهید داشت.

 

9- از سایت خود نسخه پشتیبان بگیرید.

هک شدن واقعا بدترین اتفاقی است که می تواند برای یک سایت بیافتد. اما بدتر از آن این است که تمام اطلاعات سایت خود را از دست بدهید! بنابراین مطمئن شوید که به طور مستمر اطلاعات سایتتان توسط وردپرس و هاستتان بکاپ گرفته می شود. بنابراین در صورت وجود یک حمله (یا هر نوع آسیب دیگر) که باعث از دست دادن اطلاعاتتان شود، می توانید یک نسخه بدون مشکل از سایت خود را بازگردانی کنید. (بهتر است گرفتن نسخه پشتیبان از سایت خود را به‌صورت خودکار انجام دهید. برای این کار افزونه‌های زیادی موجود است.)

 

10- به صورت منظم وردپرس سایت خود را از نظر امنیتی اسکن کنید.

انجام منظم اسکن‌های امنیتی برای بررسی سلامت سایت شما بسیار مهم است. اکثر افزونه های امنیتی به طور خودکار و در بازه های زمانی مشخص اسکن را انجام می دهند و نتیجه را به شما گزارش می کنند.

 

 

بهترین اقدامات پیشرفته برای افزایش امنیت وردپرس

پس از انجام اقدامات بالا برای افزایش امنیت وردپرس خود، می‌توانید به کمک تدابیر پایین با خطر هک شدن سایتتان بیشتر مقابله کنید.

 

1- بعضی از کاراکترهای خاص را فیلتر کنید.

اگر سایت شما به‌نحوی است که کاربران در آن می‌توانند کارهایی مانند پر کردن یک فرم پرداخت، یک فرم تماس یا گذاشتن نظر را انجام دهند، در واقع شما فرصتی را برای یک حمله XSS یا تزریق به دیتابیس فراهم کرده اید.

هکرها به راحتی می‌توانند کد مخربی را در هر کدام از این کادرهای متنی وارد کنند تا به سایت شما آسیب بزنند. بهترین کار برای جلوگیری از این اتفاق این است که قبل از اینکه سایتتان این کاراکترهای خاص را پردازش و در دیتابیس خود ذخیره کند، اجازه ندهید کاربران آن‌ها را بتوانند وارد کنند.

برای جلوگیری از ورود کاراکترهای مخرب می‌توانید از افزونه‌های امنیتی وردپرس استفاده کنید. همچنین یک راهکار دیگر استفاده از یک افزونه ایجاد فرم برای فیلتر کردن خودکار این کاراکترهاست.

 

 

2- مجوزهای کاربری وردپرس را محدود کنید.

اگر سایت وردپرسی شما چندین حساب کاربری دارد، پیشنهاد می‌کنیم نقش‌های هر کاربر را تغییر دهید تا دسترسی آن‌ها را به آن‌چه فقط نیاز دارند، محدود کنید.

وردپرس 6 نقش کلی دارد که برای هر کاربر می‌توانید انتخاب کنید. با محدود کردن تعداد کاربران دارای مجوزهای ادمین، این احتمال را که یک هکر بتواند با حملات بروت فورس و توسط حساب ادمین وارد سایتتان شود، کاهش می‌دهید. بنابراین پیشنهاد می شود فقط یک اکانت ادمین داشته باشید و کل تیم از همین اکانت برای ورود و انجام کارها استفاده کنند.

 

3- از سیستم نظارت بر وردپرس استفاده کنید.

داشتن یک سیستم نظارت بر وردپرس اجازه می‌دهد به دنبال بروز هر فعالیت مشکوک در سایتتان، یک هشدار دریافت کنید. در حالت ایده‌آل سایر تدابیر شما برای افزایش امنیت وردپرس باید جلوی چنین فعالیت هایی را بگیرد، اما همیشه بهتر است زودتر متوجه هر نوع عمل مشکوک شوید تا فرصت برای جلوگیری از آن را داشته باشید.

شما می‌توانید از یک افزونه نظارت به وردپرس مانند SiteAlert استفاده کنید که وقوع هر نوع رخنه امنیتی را فورا به شما اطلاع رسانی می کند. البته افزونه های امنیتی معروف این کار را نیز برای شما انجام می دهند.

 

 

4- از فعالیت کاربران گزارش بگیرید.

یک راه دیگر برای افزایش امنیت وردپرس و پیشگیری قبل از وقوع، ایجاد یک گزارش از فعالیت تمام کاربران سایت است. این گزارش را به‌صورت دوره‌ای برای وجود هر نوع فعالیت مشکوک بررسی کنید. با این بررسی متوجه کارهای مشکوکی مانند تلاش برای تغییر رمز عبور وردپرس، تغییر فایل‌های پلاگین یا تم، نصب یا غیرفعالسازی بدون اجازه افزونه‌ها، خواهید شد.

اگر سایت شما هک شد می‌توانید از این گزارش‌ها استفاده کنید تا ببینید چه چیزی و در چه زمانی رخ داده است. البته باید دقت کنید تمام گزارشات مربوط به تغییر رمز عبور یا تغییر فایل، نشانه وجود یک هکر در تیم شما نیست.

اما اگر کارکنان خارجی یا فریلنسر زیادی دارید که به آن‌ها دسترسی‌هایی داده اید، بهتر است همیشه حواستان به همه چیز باشد. وردپرس افزونه‌های متعددی برای تهیه گزارش از فعالیت‌های کاربر دارد. از بین پلاگین‌های تخصصی می توانیم WP Activity Log و افزونه رایگان Activity Log را نام ببریم.

 

5- آدرس پیش‌فرض صفحه لاگین به وردپرس را تغییر دهید.

همان‌طور که قبل تر به آن اشاره کردیم، پیدا کردن صفحه لاگین وردپرس بسیار ساده است. شما می توانید با استفاده از پلاگین‌هایی مانند WPS Hide Login آدرس صفحه لاگین وردپرس خود را تغییر دهید تا کار هکرها چند مرحله برای انجام حملاتی مثل بروت فورس دشوارتر شود.

 

 

6- برای افزایش امنیت وردپرس امکان ویرایش فایل در داشبورد آن را تغییر دهید.

به‌صورت پیش‌فرض وردپرس به ادمین‌ها اجازه می‌دهد مستقیما در ادیتور کد آن، کد فایل‌ها را ویرایش کنند. چنین اختیاری به هکرها، اگر به حساب ادمین شما دسترسی پیدا کنند، اجازه می‌دهد فایل‌های شما را خیلی راحت ویرایش کنند.

امکان ویرایش فایل ها از طریق پیشخوان وردپرس را می توانید به دو روش بگیرید. هم می توانید از افزونه های مرتبط استفاده کنید و هم می توانید از تکه کد زیر به سادگی استفاده کنید. برای انجام روش دستی کافیست تا کد زیر را به انتهای فایل wp-config.php اضافه کنید:

// Disallow file edits

define( ‘DISALLOW_FILE_EDIT’, true );

 

7- پیشوند فایل های دیتابیس وردپرس خود را تغییر دهید.

به‌صورت پیش‌فرض نام فایل‌هایی که دیتابیس شما را تشکیل می‌دهند با «wp_» شروع می‌شوند. هکرها با استفاده از این تنظیمات می‌توانند براساس نام فایل‌ها، دیتابیس شما را پیدا کنند و حملات تزریق به SQL را انجام دهند.

یک راه ساده برای جلوگیری از این اتفاق و افزایش امنیت وردپرس، استفاده از یک پیشوند متفاوت مانند «wpdb_» یا «wptable_» است. زمان نصب وردپرس امکان انجام این تغییرات به سادگی وجود دارد.

ما پیشنهاد می‌کنیم برای این کار حتما از یک افزونه استفاده کنید، چون دیتابیس شما تمام محتویات سایتتان را ذخیره می‌کند و هر تنظیم اشتباهی می‌تواند عملکرد سایتتان را با مشکل روبرو کند.

اگر تنظیمات افزونه‌ای را که برای افزایش امنیت وردپرس نصب کرده اید بررسی کنید، در بین قابلیت‌های آن باید گزینه‌ای برای تغییر پیشوند جداول دیتابیس وجود داشته باشد.

 

 

8- فایل xmlrpc.php را غیرفعال کنید.

XML-RPC  یک پروتکل ارتباطی است که به وردپرس اجازه می‌دهد با اپلیکیشن‌های خارجی موبایل و وب تعامل داشته باشد. از زمان اضافه شدن WordPress REST API، پروتکل XML-RPC در مقایسه با گذشته کمتر استفاده می‌شود.

با این‌حال، همچنان تعدادی از حملات قدرتمند برای نفوذ به سایت‌های وردپرسی با استفاده از این پروتکل انجام می‌شوند. به این علت که فناوری XML-RPC به هکرها اجازه ثبت درخواست‌هایی را که حاوی صدها فرمان هستند، می‌دهد. بنابراین آن‌ها راحت‌تر می‌توانند حملات بروت فورس را انجام دهند.

امنیت XML-RPC در مقایسه با REST کمتر است چون درخواست‌های آن حاوی شناسه‌ها و رمزهای عبوری است که از آن‌ها می‌توان سوء استفاده کرد.

اگر از XML-RPC استفاده نمی‌کنید می‌توانید فایل xmlrpc.php file را غیرفعال کنید. اما باید ابتدا بررسی کنید که سایت شما از این فایل استفاده می‌کند یا خیر.

اگر پاسخ منفی بود، ساده‌ترین راه برای غیرفعال کردن این فایل نصب افزونه‌ای مانند Disable XML-RPC-API است. البته معمولا افزونه‌ های افزایش امنیت وردپرس نیز می توانند این کار را برای شما انجام دهند.

 

9- اکانت ادمین پیش‌فرض وردپرس را پاک کنید.

در بالا اشاره کردیم یک راه افزایش امنیت وردپرس تغییر نام کاربری اکانت پیش‌فرض ادمین آن است اما اگر می‌خواهید بیشتر محکم‌کاری کنید، به‌طور کلی این اکانت را پاک کنید. پس از آن می‌توانید یک اکانت جدید با مجوزهای ادمین بسازید.

 

10- نسخه وردپرس سایت خود را مخفی کنید.

مخفی کردن نسخه وردپرس سایتتان باعث می شود تا هکرها نتوانند متوجه نسخه وردپرس شما شوند و به همین دلیل نمی توانند از حفره های امنیتی احتمالی آن برای حمله استفاده کنند. همان‌طور که قبل تر گفته شد، همیشه باید وردپرس خود را به جدیدترین نسخه آن به‌روزرسانی کنید. اما اگر هنوز فرصت انجام این کار را نداشته اید، بسیار مهم است که نسخه وردپرس خود را از دید عموم پنهان کنید.

 

 

بعد از هک وردپرس چه کار کنیم؟

در بالا انواع روش‌های افزایش امنیت وردپرس را توضیح دادیم. اما شاید بپرسید اگر سایتمان هک شد چه کار کنیم؟ اگر نگران این موضوع هستید و می خواهید برای چنین روزی آماده باشید، ما در ادامه یکسری اقدامات مهم بعد از هک شدن وردپرس را به شما آموزش داده ایم:

 

1- آرامش خود را حفظ کنید.

طبیعی است در چنین شرایطی مضطرب شوید. فقط به یاد داشته باشید که این مشکل برای هر کسی می‌تواند رخ دهد. مهم است که آرامش خود را حفظ کنید تا بتوانید محل نفوذ را تشخیص دهید و آسیب پذیری را برطرف کنید.

 

2- سایت خود را روی حالت تعمیرات و نگهداری قرار دهید.

محدود کردن دسترسی به سایت، درست است که از موجب عدم دسترسی کاربران به سایت می شود، اما شما با این کار از مورد حمله قرار گرفتن آنها جلوگیری می کنید. بنابراین تنها زمانی دسترسی به سایت خود را باز کنید که مطمئن شوید همه چیز را تحت کنترل دارید.

 

3- یک گزارش از حمله انجام شده بنویسید.

تمام جزئیات مربوطه‌ای را که می‌توانند به حل مشکل کمک کنند، ضبط و ثبت کنید. این اطلاعات می تواند برای متخصصی که قرار است در حل مشکل به شما کمک کند بسیار مفید باشد. از جمله این گزارشات باید به موارد زیر اشاره کنیم:

• چه زمانی متوجه این مشکل شدید.
• چه چیزی باعث شد باور کنید سایتتان هک شده است.
• نام تم، پلاگین‌های فعال، شرکت ارائه‌دهنده خدمات میزبانی و… را بنویسید.
• قبل از این حادثه چه تغییراتی را در سایت وردپرسی خود اعمال کردید.
• خلاصه کارهایی که از زمان مطلع شدن از هک انجام می دهید.

 

 

4- دسترسی‌ها و مجوزها را ریست کنید.

رمز عبور تمام اکانت‌های سایت وردپرسی خود را تغییر دهید تا جلوی هر نوع تغییرات بیشتر در سایتتان را بگیرید. ممکن است کاربرانی که با حملات بروت فورس وارد سایتتان شدند، همچنان داخل آن باشند.

به تمام کاربران اکیدا بگویید رمز عبورشان را در دستگاه‌های خود به‌روزرسانی کنند. تغییر رمز را برای حساب های کاربری دیگر خود نیز انجام دهید، چون نمی‌توانید مطمئن باشید هکر به جز سایت وردپرسی شما به چه چیزهایی توانسته است دسترسی پیدا کند. بنابراین رمز عبور ایمیل، حساب کاربری میزبانی هاست، اطلاعات ورود کنترل پنل هاست و… را نیز تغییر دهید.

 

5- مشکل را عیب‌یابی کنید و تشخیص دهید.

اگر یک افزونه امنیتی بر روی سایت خود دارید، می توانید با مرور گزارشات آن سرنخ هایی را پیدا کنید. اگر حمله در مقیاس بزرگتری است یا شما دانش زیادی ندارید، حتما از یک متخصص امنیت برای شناسایی مشکل سایتتان و رفع آن کمک بگیرید.

بدون توجه به هر تصمیمی که می‌گیرید، سایت و فایل‌های لوکال خود را از نظر وجود مشکلات امنیتی اسکن کنید تا هر نوع فایل یا کد مخرب باقیمانده ای که هکرها ممکن است به‌جا گذاشته باشند حذف شود.

 

6- کانال‌ها و وب‌سایت متصل به سایتتان را بررسی کنید.

اگر در هر پلتفرم آنلاین دیگری که به سایتتان متصل است اکانتی دارید، مانند یک اکانت در شبکه های اجتماعی یا سایت وردپرسی دیگر، این پلتفرم‌ها را بررسی کنید تا مشکل به آن‌جا نیز راه پیدا نکرده باشد. رمز عبور خود برای آن‌ها را نیز تغییر دهید.

 

7- تم‌ها و پلاگین‌ها و را مجددا نصب کنید.

تم‌ها و افزونه‌های سایت خود را مجددا نصب کنید. (قبل آن چند مرتبه امن بودن آن‌ها را بررسی کنید.) همچنین اگر بکاپ دارید، جدیدترین نسخه مربوط به قبل از وقوع هک را بازگردانید.

 

8- مجددا رمزهای عبور سایت خود را عوض کنید.

درست است که تمام رمزهای عبور خود را قبلا ریست کرده اید، اما احتمال لو رفتن آن‌ها در زمانی که در تلاش برای رفع مشکل بودید، وجود دارد. احتیاط شرط عقل است و پس از مدتی مجددا رمزهای عبور خود را تغییر دهید.

 

9- مشکل را به تمام مشتریان خود اطلاع دهید.

پس از آن‌که وضعیت سایتتان به حالت عادی بازگشت، حتما از طریقی با مشتریان خود تماس بگیرید و آن‌ها را در جریان این حمله بگذارید. به‌ویژه اگر هکرها به اطلاعات شخصی دسترسی یافته باشد. انجام این کار کاملا درست و حرفه ای است و حتما خودتان را برای واکنش منفی مشتریانتان و شنیدن سرزنش ها آماده کنید!

 

10- بررسی کنید سایتتان در لیست سیاه گوگل قرار نگرفته باشد.

اگر سایت شما به علت حمله مورد نظر در لیست سیاه گوگل قرار گرفته باشد، گوگل خیلی آشکار به کاربران در مورد ورود به سایت شما هشدار خواهد داد:

با آن‌که قرار دادن سایت‌ها در لیست سیاه جلوی ورود کاربران به سایت‌های مخرب را می‌گیرد، اما ترافیک سایت شما را کم خواهد کرد. با استفاده از این ابزار رایگان، بررسی کنید سایت شما در لیست سیاه گوگل قرار دارد یا نه.

در پایان با توجه به تمام تدابیر مهمی که برای افزایش امنیت وردپرس سایتتان در بالا گفتیم، احتمال وقوع حمله ای دیگر را به شدت کم خواهید کرد. امیدواریم این مشکل مجددا برایتان رخ ندهد اما اگر اتفاق افتاد، این مرتبه وضعیت به‌مراتب بهتری خواهید داشت.

 

سخن نهایی

هکرهای سایبری دائما در حال بررسی روش‌های جدید برای نفوذ به سایت شرکت‌ها هستند و از طرف دیگر مهندسان امنیت نیز سعی دارند آن‌ها را متوقف کنند. این روند همیشه در اینترنت وجود داشته و وجود خواهد داشت و شما به‌عنوان صاحب یک کسب‌وکار اینترنتی یا وب‌مستر باید همیشه امنیت مشتریان یا بازدیدکنندگان سایت خود را در اولویت قرار دهید. بنابراین با استفاده از نکاتی که در بالا برای افزایش امنیت وردپرس گفتیم، می‌توانید در راستای ایمن‌تر کردن سایت خود گام های محکم بردارید و از هک احتمالی سایت وردپرسی خود جلوگیری کنید.