اینکه چرا موضوع امنیت مهم است را همه ما به خوبی می دانیم و نیازی نیست که من چند پاراگراف مقدمه که هر کس می داند بنویسم. پس طبق معمول چیزی خواهم گفت که احتمالآ نمی دانید. هم جالب تر است و هم از آن مقدمه های خشک و خالی که «امنیت خیلی مهم است» و «امنیت خیلی خیلی مهم است» تاثیرش بیشتر است.

پس نگاهی به نمودار تعداد آسیب پذیری های امنیتی وردپرس در طی سال های اخیر بیاندازید:

اطلاعات بیشتر

این به معنی افت کیفیت وردپرس نیست بلکه هیچ نرم افزاری از دست نفوذگر ها در امان نیست و هر روز آسیب پذیری های زیادی کشف یا رفع می شوند. فکر می کنم حالا این مطلب را با دقت و انگیزه بیشتری بخوانید.

در این مطلب نکات و ترفند های امنیتی برای وردپرس (روی فضای شخصی) را معرفی می کنم و نحوه اعمال آنها را شرح می دهم. توصیه می کنم قبل از شروع یک نسخه پشتیبان کامل از بانک اطلاعاتی تان تهیه کنید تا با خیال راحت کار کنید (اگر نمی دانید چطور شماره ۱۴ را ببینید).

- از نام کاربری پیش فرض استفاده نکنید: نام کاربری پیش فرض وردپرس admin است ، عوض کردن آن در خیلی از مواقع کار هکر را سخت تر و گاهی اوقات باعث ایمن شدن وردپرس شما در مقابل بعضی از آسیب پذیری ها می شود. برای تغییر آن از کنترل پنل سایت تان وارد phpmyadmin شوید (؟) و طبق عکس زیر نام کاربری را تغییر دهید.

۲- طبق معمول! یک رمز قوی انتخاب کنید: نیازی به توضیح نیست ، رمزی انتخاب کنید که شامل ترکیب حروف کوچک و بزرگ و عدد و علامت ها باشد.
می توانید از این سایت برای انتخاب رمز استفاده کنید. (چطوری رمز را عوض کنم؟)

۳- اجازه مرور هیچ پوشه ای را ندهید: در اکثر سرور ها به طور پیش فرض اجازه مرور پوشه ها به کاربران داده می شود. یعنی هر کس می تواند با تایپ آدرس فولدر پلاگین های شما نام آنها را ببیند و این یک ضعف بزرگ به حساب می آید چون ممکنه ضعف امنیتی موجود در پلاگین مورد استفاده شما همه چیز را به هم بریزد. راحت ترین راه این است که یک فایل خالی با اسم index.php در پوشه های مورد نظر قرار دهید و بهترین راه این است که خط زیر را به فایل htaccess. کنار wp-config.php اضافه کنید:  Options All -Indexes

۴- نسخه وردپرس را نمایش ندهید: وردپرس نسخه خودش را به صورت metadata در صفحات اضافه می کند و این باعث کاهش امنیت می شود. چون نفوذگر بهتر می تواند حفره مورد نظرش را انتخاب یا پیدا کند. جلوگیری از این کار باعث می شود از دست نفوذگر هایی که با سرچ کردن در گوگل دنبال سایت هایی که از نسخه ای خاص استفاده می کنند هستند در امان می بمانید.

برای این کار خط زیر را به فایل functions.php پوسته تان اضافه کنید (اگر این فایل موجود نیست خودتان بسازیدش):

remove_action('wp_head', 'wp_generator');

۵- دسترسی به پوشه wp-content را محدود کنید: همانطور که می دانید این پوشه شامل تمام عکس ها شیوه نامه ها اسکریپت ها و پلاگین ها است. وردپرس درخواست هایش برای دسترسی به فایل های php را به صورت http ارسال نمی کند پس تنها درخواست هایی که از مرورگر می شود برای فایل های عکس یا اسکریپت یا استایل است. پس ما دسترسی به تمام فایل های غیر از اینها را محدود می کنیم.
(اگر فایلی برای دانلود (مثل mp3 و…) در این پوشه قرار داده باشید بعد از این کار دیگر قابل دانلود نیست)

برای این کار خطوط زیر را به فایل htaccess. داخل پوشه wp-content اضافه کنید:

Order Allow,Deny
Deny from all
<files  ?\.(jpg|gif|png|js|css)$? ~>
	Allow from all
</files>

۶- به روز باشید: مشترک وبلاگ رسمی وردپرس شوید تا از آمدن نسخه های جدید یا وجود باگ های امنیتی سریعآ با خبر شوید. اگر می بینید نسخه جدید حفره های امنیتی را اصلاح می کند آنها را سریعآ نصب کنید. اگر نسخه جدید هیچ حفره امنیتی را رفع نمی کند بهتر است چند روز صبر کنید تا نسخه جدید امتحان کوچکی پس دهد.

۷- از پروتوکول رمز نگاری شده استفاده کنید: اگر سایت تان این قابلیت را داشته باشد می توانید به جای http از https استفاده کنید که ایمنی بیشتری دارد. احتمالآ برای فعال کردن این قابلیت باید با مدیر سرور تان صحبت کنید. این کار خصوصآ اگر از اینترنت وایرلس (بدون سیم) استفاده می کنید یا به شبکه ها محلی وصل هستید (مثل برخی از محیط های کاری) امنیت را بسیار بالا می برد.

با اضافه کردن خط زیر به فایل wp-config.php وردپرس را مجبور می کنید که همیشه از https استفاده کند ، البته از قبل باید این قابلیت را روی سایت تان فعال کرده باشید:

define('FORCE_SSL_ADMIN', true);

۸- دسترسی به بانک اطلاعاتی را محدود کنید: از کنترل پنل سایت وارد MySQL Databases شوید و روی نام کاربری بانک اطلاعاتی وردپرس کلیک کنید و دسترسی کاربر را به شکل زیر محدود کنید:

این کار هر چند باعث افزایش آن چنانی امنیت نمی شود اما ممکن است بعضی از حفره های امنیتی کشف نشده را رفع کند. کسی نمی داند!

۹- wp-config را خوب تنظیم کنید: با ابزار Wordpress secret key generator عبارت های تصادفی مناسب بسازید و به قسمت های مشخص شده در wp-config اضافه کنید. این کار به رمزنگاری تصادفی کوکی ها کمک می کند.
می توانید پیش وند بانک اطلاعاتی را هم از wp به چیز دیگری تغییر دهید. من به mt تغییر دادم! بعضی وقت ها بعضی از هکر های احمق با دیدن mt فکر می کنند شما از Movable Type استفاده می کنید و کمی گیج می شوند. من اسم بانک اطلاعاتی را هم mt گذاشته ام.

۱۰- از wp-admin محافظت کنید: یک ترفند بسیار موثر این است که دسترسی به این پوشه را فقط به آدرس IP خودتان محدود کنید. البته این موقعی به درد بخور است که شما IP اختصاصی داشته باشید و همیشه از یک اینترنت استفاده کنید.

IP اختصاصی؟ دلت خوشه ها…
متاسفانه ISP های ایران آی پی اختصاصی یا نمی دهند یا قیمت های آنها خیلی بالاست ، اگر IP اختصاصی ندارید می توانید ip range تان را قابل قبول کنید یا اینکه یک اکانت VPN با IP اختصاصی تهیه کنید.

برای اعمال این محدودیت خطوط زیر را به فایل htaccess. موجود در پوشه wp-admin اضافه کنید:
(اگر این فایل وجود ندارد خودتان یک فایل خالی با اسم htaccess. بسازید)

Order Deny,Allow
Allow from ww.xx.yy.zz
Deny from all

که باید به جای ww.xx.yy.zz آدرس IP خودتان را قرار دهید. برای اطلاعات بیشتر این صفحه را ببینید.

می توانید برای امنیت بیشتر خود پوشه wp-admin را هم رمز گذاری کنید که این کار را به شدت توصیه می کنم. برای این کار از کنترل پنل سایت وارد قسمت Password Protected Directories شوید و پوشه را رمزگذاری کنید. یعنی از این به بعد باید دو بار رمز وارد کنید ، یک بار رمز پوشه سپس رمز پیش خوان وردپرس.

۱۱- مواظب سطوح دسترسی (Permission) باشید: سطوح دسترسی را به درستی تنظیم کنید و هیچ گاه دسترسی هیچ فایل یا فولدری را به ۷۷۷ تغییر ندهید. برای آگاهی از سطوح دسترسی درست می توانید از پلاگین WP Security Scan کمک بگیرید اما بهتر است بعد از هر بار استفاده آن را غیر فعال کنید. برای تغییر سطح دسترسی ها می توانید از نرم افزار های FTP مثل Filezilla کمک بگیرید.

۱۲- تا جای ممکن از پلاگین های معتبر و ضروری استفاده کنید: در درجه اول سعی کنید فقط پلاگین های مورد نیازتان را فعال کنید و مثلآ اگر یک پلاگین خاص نیاز دارید سعی کنید معتبر ترین پلاگینی که آن کار را برایتان انجام می دهد انتخاب کنید. پلاگین ها ساخته افراد مختلف هستند و هر کدام دارای ضعف های امنیتی مختلف ، اگر باگی در آنها کشف شود ممکن است به خاطر اطلاع رسانی ضعیف سازنده آن سایت شما هک شود و این ابدآ تقصیر وردپرس نیست.
همچنین سعی کنید هر چند وقت یک بار برای آخرین نسخه پلاگین های مورد استفاده تان جستجوی کوچکی انجام دهید تا همیشه از آخرین نسخه استفاده کنید.

۱۳- از ایندکس شدن فایل های مهم جلوگیری کنید: بعضی از هکر ها از موتور های جستجو خصوصآ گوگل برای پیدا کردن طعمه های خود استفاده می کنند. اگر مانع ایندکس شدن فایل های اصلی وردپرس شوید از این روش در امان خواهید بود. برای این کار خط زیر را در فایل robots.txt قرار دهید و آن را داخل پوشه public_html بگذارید. (خط را تایپ نکنید ، کپی پیست کنید (چون علامت خط فاصله باید بعد از wp قرار بگیرد))

Disallow: /wp-

۱۴- زود زود نسخه پشتیبان تهیه کنید: با وجود تمام نکات امنیتی ذکر شده باز هم هرگز نمی توان اطمینان داشت که سایتی نفوذ ناپذیر است. پس یک کار ساده انجام دهید: زود زود نسخه های پشتیبان کامل تهیه کنید تا اگر هم کسی سایت تان را هک کرد آن را سریعآ به حالت اول برگردانید. نسخه های پشتیبان وردپرس حجم بسیار کمی دارند.

برای این کار می توانید از phpMyAdmin بانک اطلاعاتی را به طور یک جا استخراج کنید:

یا از پلاگین های مخصوص این کار مثل WP DB Manager استفاده کنید.

۱۵- ؟؟   این شماره را فردا در یک پست جدا توضیح خواهم داد.

توجه کنید که حتی انجام تمام مراحل بالا شما را «غیرقابل هک» نمی کند. وقتی اینها را روی سایت تان اعمال می کنید حفاظی ایجاد می کنید که کار نفوذگر را سخت می کند. لااقل خیالتان راحت است که در خانه را باز نگذاشته اید!

نکته ای هست که جا افتاده باشد؟ آیا شما از راه های دیگری استفاده می کنید؟ اگر بله ، لطفآ آنها رادر قسمت نظرات با من و دیگران به اشتراک بگذارید.

منبع : zangoole.com

• کاکاپو 1.0 منتشر شد
• افزونه ی کپی رایت برای وردپرس
• قالب زیبای Innox برای وردپرس
• قالب iGames برای سایتهای بازی
• قالب خبری پیشرفته برای وردپرس
• قالب زیبای iMobile برای برای وردپرس
• قالب زیبای سایت دانلودها (downloadha.com) برای وردپرس
• قالب سایت تفریحی برای وردپرس
• قالب وردپرس Manolya برای سایت های موزیک
• افزونه فارسی حراجی دامنه وردپرس