چک لیست امنیت وردپرس

امروزه سایتهای زیادی از قالب وردپرس آنلاین استفاده می کنند. پشتیبان وردپرس باید برای محافظت ااز اطلاعات سایت،کلیدی برای امنیت داشته باشند. چک لیست امنیت وردپرس همانند قفل این کلید عمل می‌کند و از سایت در مقابل حمله هکرها و سود جویی رقبا محافظت می‌کند. پیام آوا پردازش با سالها تجربه در زمینه طراحی سایت انواع سایتهای متنوع در حوزه های مختلف، با نشر مقالات علمی مبنی بر محافظت و ارتقای انواع سایتها سعی داشته، سطح آگاهی هم میهنان عزیز را ارتقا بخشد. با ما باشید تا با شگردهای ارائه شده در این مقاله یک چک لیست امنیت وب سایت معتبر برای خود فراهم سازیم.

آسیب‌پذیری‌های WordPress که منجر به هک شدن می‌شوند.

برای تهیه چک لیست امنیت وب سایت لازم است ابتدا رایج‌ترین آسیب‌‌ها که تهدیدات امنیتی وردپرس محسوب می‌شوند  را بشناسیم و سپس شروع به پیدا کردن راه حل نماییم. این آسیبها عبارتند از:

دستکاری SQL Injection

حمله‌ی تزریق SQL با تزریق کد مخرب به ورودی‌های آسیب‌پذیر سایت انجام ‌می‌شود. اگر هکر موفق به ایجاد اختلال درکوئری پایگاه داده شود می ‌تواند به جای اطلاعات مورد انتظار، کدهای مخرب مورد نظر خود را جایگزین کند. فرد هکر با تزریق SQL حتی می‌تواند داده‌های غلط را به پایگاه داده تزریق کند.

حمله‌ی Cross-site Scriptingیا ( XSS)

دراسکریپت‌های cross-site یا XSS مهاجمان اسکریپت‌های مخرب را روی وب‌سایت قرار می‌دهند.در این روش مهاجمین کاربران را بطور غیر مستقیم مورد هدف قرار داده و اطلاعات آن‌ها را بدون اطلاع خودشان به سرقت می‌برند.

حمله‌ی Brute Force

حملهBrute Force  روشی  دیگر برای هک کردن است که هکر با آزمون و خطا راهی برای ورود به وب‌سایت، شبکه یا سیستم رایانه‌ای می یابد. این بار درخواستهای ارسالی از طریق ربات خودکار اطلاعاتی نظیررمزهای عبور یا کدهای PIN را بطور تصادفی تخمین می‌زنند و یا از آدرس آی پی که از کاربران بدست آورده اند شروع به شناسایی و مسدود کردن این فعالیت‌ها می‌کنند.

حمله‌ی Denial of service)) یا DDoS

این روش برای از کار انداختن سرورهای هدف استفاده می‌شود. DDoS با اشباع پورت‌ها از جریان اطلاعات، باعث می‌شود سرور(ها) بیش از حد بارگیری کنند و از کار بیافتند. با این روش سرور نمی‌تواند پاسخ تمامی درخواست‌ها را تامین کند و هنگ می‌کند. هکر با این کار به کاربران قانونی اجازه دسترسی نمی‌دهد و باعث از بین رفتن اتصال شبکه، به دلیل مصرف پهنای ب‍اند  اضافی شبکه‌ می‌شود.

چرا امنیت وردپرس مهم است؟

امنیت یک سایت یعنی جلوگیری ازتعرض هکرها به اطلاعات  و کدهای سایت و جلوگیری از سرقت منابع . همه سایتها به دلیل آنلاین بودن با ریسیک های امنیتی زیادی روبرو هستند. بعصی سایتها چون نکات امنیتی را رعایت نمی کنند، بیشتر در معرض خطر هک قرار می‌گیرند. اگر نگذاریم اطلاعات سایت ما مثل کد های سایت، اطلاعات شخصی، آمار فروش وبسایت، لیست ایمیل های کاربران، افزونه ها و قالب ها، نوشته ها و برگه هاو … به دست هکرها و افراد دیگر بیفتد باید بتوانیم با تهیه یک چک لیست امنیت وردپرس امنیت سایت را تضمین کنیم.

یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار وارد کند. هکرها می توانند اطلاعات زیادی را سرقت کنند و حتی می توانند بدافزار را به دستگاه کاربران شما وارد کنند. بدتر از همه، ممکن است شما تنها در ازای پرداخت باج به هکرها قادر باشید که به وب سایت خود دسترسی پیدا کنید. درحالی که همه افراد  بدون استثنا برای کسب درآمد به راه اندازی  سایت اقدام کرده اند. حال اگر اطلاعات این کسب و کار دست رقبا یا هکرها بیفتد، صاحبان سایت متحمل ضرر وزیان ‌های غیر قابل جبرانی خواهند بود.

علائم سایت وردپرس هک شده چیست؟

1. زمانی که اکانت گوگل کونسول یا اسکنر بد افزار به شما اعلان آلوده بودن می‌دهد و مرورگر شما هنگام بازدید از سایت، اخطار می دهد.
2. از دیگر نشانه های هک شدن این است که اطلاعات سایت بطور ناگهانی پاک می شوند.
3. برای تهیه چک لیست امنیت ورد پرس به سرعت سایت توجه ویژه داریم .کند شدن ناگهانی سرعت وب سایت، یکی دیگر از علائم هک شدن سایت است.
4. ارسال ایمیل اسپم زمانی که ایمیل های شما تبدیل به اسپم می شوند.
5. اضافه شدن یا ایجاد پاپ آپ در سایت بطوری که وقتی وارد سایت می شوید، تبلیغات Popup برای شما به نمایش در می آید.
6. ریدایرکت کردن بازدید کننده ها به صفحه دیگریکی دیگر از نشانه های هک شدن است، بطوری که وقتی صفحه ای باز می‌کنید به سایت های دیگر ریدایرکت می شوید.
7. به هنگام بررسی، اوج ترافیک را در صفحاتی که واقعی نیستند مشاهده می‌کنید.
8. برای تهیه چک لیست امنیت ورد پرس لازم است راههای هک شدن را بدانیم. یکی از این راهها این است که خود بخود لینکهایی به سایتتان اضافه می‌شود که از آنها هیچ اطلاعی ندارید.
9. شرکت میزبان، کدهای مخرب را در داخل سایت شناسایی کرده و وب سایت را غیرفعال کرده است.
10. شکایات مشتری درباره کارت های اعتباری زمانی که مدعی است از کارت اعتباری خود در سایت شما استفاده کرده و اکنون هک شده است.
11. زمانی که وب سایت شما به سایت های هک شده دیگر هدایت می شود خود نشان از هک شدن سایت شما می‌دهد.این هم از مواردی است که در چک لیست امنیت ورد پرس جای بحث دارد.
12. اگر با بررسی سایت در فواصل روتین، متوجه کد های عجیب JavaScript در وب سایت خود شدید به این سایت شک کنید.
13. با ورود به پنل کاربری متوجه شوید که پسورد ورود سایت شما تغییر کرده است  و رمز عبور شما با نام کاربری مطابقت ندارد.
14. نمایش حروف ژاپنی و چینی در نتایج جستجو، وجود یکسری اکانت های مشکوک، وجود محتوای انگلیسی به صورت ناگهانی در یک سایت فارسی،وجود داشتن اسکریپت و فایل های ناشناس در هاست، هشدار مرورگر و آنتی ویروس از دیگر نشانه های هک شدن سایت ورد پرس هستند.
15. در چنین مواردی شما باید پیام های خطای غیر قابل توضیح در گزارش های خطا را چک کنید و سایت را برای تشخیص ویروس اسکن نمایید.
16. در تهیه چک لیست امنیت وردپرس به اخطارها دقت میکنیم. هشدار مرورگر زمانی که پیام خطای Deceptive site ahead می دهد می‌تواند نشان از هک شدگی سایت داشته باشد.

روش های افزایش امنیت وب سایت های وردپرسی

به‌روز رسانی مداوم وردپرس

برای  تامین امنیت سایت‌های وردپرسی، افزونه‌ها و قالب‌های ورد پرسی همیشه باید به روز شوند. آپدیت وردپرس باعث افزودن قابلیت‌های جدید و رفع باگ‌های امنیتی این سیستم می شود. از طرفی برخی از سایت‌های فروش قالب،  بجای خرید محصولات اورجینال آنها را از منابع نامعتبر کپی یا دانلود می کنند. پلتفرم هاستینگ همراه با افزونه ها و قالب ها دلیل نیمی از حمله های وردپرسی به شمار می روند. بنابراین تا جای ممکن حتما قالب و افزونه‌ای که استفاده می‌کنید را از منبع اصلی خریداری کنید.

پیام آوا پرذازش بدلیل مسائل امنیتی سایت های وردپرسی پیاده سازی طراحی سایت صرافی را بر بستر cms های غیر وردپرسی انجام میدهد لذا پنل کاربری سایت های ارزهای دیجیتال نیاز به تکنولوژی های بروز تر میباشد.

تهیه نسخه پشتیبان یا بک‌آپ گیری منظم

پشتیبان گیری منظم از داده‌های سایت یکی از اقدامات اساسی چک لیست امنیت ورد پرس است. هیچ سورسی صد درصد امن نیست. بعد از هک شدن یک سایت ممکن است کدهای مخربی در سایت قربانی تزریق شود که کل سیستم را با مشکل مواجه سازد. پس سعی کنید همیشه از سایت نسخه بک آپ تهیه کنید تا اگر مشکلی رخ داد یا سایت هک شد بتوانید از فایل بک‌آپ برای ادامه فعالیت خود استفاده کنید. برای پشتیبان گیری می‌توانید از افزونه‌های قابل اعتمادی مانندUpdraftPlus یا BlogVault  استفاده نمایید. کاربرد این افزونه ها بسیار راحت بوده و نیازی به کد نویسی ندارند.

تغییر سطح دسترسی فایل wp-config.php

فایل wp-config.php یکی از مهم‌ترین فایل‌های هر سایت وردپرسی است. توصیه می‌شود که برای تنظیم سطح دسترسی روی این فایل راست کلیک کرده، گزینه‌ی Change Permissions را انتخاب کنید و سطح دسترسی این فایل را روی ۶۰۰ تنظیم کنید تا تنها مدیران اصلی قادر به ویرایش کردن آن باشند. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که یافته اید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.

غیر فعال کردن گزارش خطای PHPورد پرس

خطاهای PHP اعلان ها و هشدارهایی هستند که وقتی افزونه ها یا قالب ها باعث ایجاد خطایی روی سایت وردپرسی شما می شوند، نشان داده می شوند. فعال‌سازی حالت دیباگ به شما در یافتن خطاهای ممکن و مسیر دقیق وقوع خطا کمک می‌کند. شما می‌توانید این حالت را برای یافتن خطاها فعال و پس از رفع خطا، آن را غیر فعال کنید. هکر با توجه به پیام نمایش داده شده تشخیص می‌دهد که کدام یکی از اطلاعات ورودی اشتباه است، در نهایت بعد از یافتن یکی از اطلاعات درست می‌تواند روی مورد بعدی تمرکز کرده و در زمان کوتاه‌تری سایت را هک کند . این خطاها باعث عدم بارگذاری صحیح وب سایت شما می‌شوند. پس این اقدام چک لیست امنیت ورد پرس را جدی بگیرید.

افزایش امنیت پوشه wp-admin

پوشه wp-admin کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده دارد که با دسترسی به این پوشه می توان فایل‌های موجود در آن را بکلی به هم ریخت. برای افزایش امنیت این پوشه می‌توانید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید. برای اینکه بتوانید مسیر صفحه‌ی ورود به پنل پیشخوان وردپرس را تغییر دهید از افزونه‌ی Hide login page, Hide wp admin – stop attack on login page استفاده کنید.

فعال سازی پروتکل امن SSL / HTTPS در سایت وردپرسی

یکی از اساسی ترین قدم های چک لیست امنیت ورد پرس توجه به پروتکل است. Ssl پروتکلی است که انتقال داده‌ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می‌کند. این رمزگذاری باعث می‌شود که کسی نتواند اطلاعات مهم سمت سایت شما را بشناسد و آن‌ها بدزدد. اگر Ssl را روی سایت خود فعال می‌کنید، وب سایت شما به جای HTTP از HTTPS استفاده می‌کند. پروتکل امن HTTPS با استفاده از رمزنگاری داده‌هایی که بین کاربران و سرور سایت رد و بدل می‌شود، امنیت آن‌ها را افزایش می‌دهد. استفاده از HTTPS رتبه‌ی سایت شما در موتورهای جست‌وجو و اعتماد کاربران به شما را افزایش می دهد.

گزینه  Web Application Firewall را  فعال کنید

یکی دیگر از موارد موجود در چک لیست امنیت وردپرس، استفاده از فایروال است. این قابلیت کلیه‌ی ترافیک‌های مخرب را قبل از رسیدن به وب‌سایت شما، مسدود می‌کند. فایروال سطح DNS  ترافیک اصلی را به سرور شما ارسال می کند و ترافیک مخرب را از طریق سرورهای پروکسی مدیریت می‌کند و فایروال سطح اپلیکیشن پلاگین‌های فایروال، ترافیک را قبل از بارگذاری اسکریپت‌های وردپرس آزمایش می‌کنند. در هر صورت فایروال وب اپلیکیشن Sucuri  تضمین می‌کند که در صورت هک شدن وب‌سایت شما را تعمیر می‌کند.

تغییر پیشوند جداول پایگاه داده

در حالت پیش‌فرض، وردپرس از _wp به‌عنوان پیشوند جداول در پایگاه داده وردپرس استفاده می‌کند. این موضوع باعث می‌شود تا کار هکرها ساده‌تر شود. بنابراین لازم است هنگام نصب وردپرس پیشوند را تغییر دهید.  حالا در صورتی که هنگام نصب وردپرس اقدام به تغییر دادن آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد. استفاده از پیشوند پیش فرض، وبسایت شما را در قبال حملات sql injection شکننده می‌کند. این حمله را می‌توان با عوض کردن آن کنترل و پیشگیری کرد.

استفاده از افزونه‌های امنیتی وردپرس

از مهمترین اقدامات چک لیست امنیت ورد پرس  اضافه کردن افزونه‌های امنیتی در وردپرس است. افزونه wordfence وردپرس یکی از پرطرفدارترین افزونه‌های امنیتی در وردپرس هست که بیشتر راهکارهای ذکر شده فوق را به خودی خود امکان پذیر می‌سازد. افزونه امنیت وردپرس iThemes Security هم امکاناتی مثل بک آپ گیری خودکار از دیتابیس وردپرس را به شما اهدا می‌کند که بتوانید از مزایای نسخه پشتیبان بهره مند شوید.

20 نکته طلایی درچک لیست امنیت ورد پرس که رعایت آنها می‌تواند امنیت وردپرس را افزایش دهد.

1. غیرفعال کردن اجرای فایل PHP ، مشاهده پوشه‌های هاست ، ویرایشگر قالب و افزونه و XML-RPC در وردپرس
2. تغییر یا اضافه کردن کلیدهای امنیتی وردپرس SALT
3. محدود کردن تلاش برای ورود به وردپرس
4. امن نگه داشتن کامپیوتر برای افزایش امنیت وردپرس
5. افزایش امنیت وردپرس با تعویض URL صفحه ورود
6. از هاست ایمن و با کیفیت استفاده کنید
7. استفاده از یک شرکت هاستینگ خوب
8. افزایش امنیت فایل htaccess
9. استفاده از قالب ها و افزونه های با کیفیت
10. غیر فعال کردن ویرایشگر قالب و افزونه‌های خود
11. غیر فعال کردن گزینه ویرایش فایل وردپرس
12. از رمزهای عبور  و سطح دسترسی ایمن استفاده کنید
13. از قالب‌ها و افزونه‌های رایگان با تعداد نصب پایین استفاده نکنید
14. غیر فعال سازی اجرای فایل PHP  در برخی از فهرست‌ها
15. تنها قالب ها و افزونه هایی را نگه دارید که از آنها استفاده می کنید
16. با احراز هویت ۲ گانه امنیت سایت وردپرسی خود را بالا ببرید
17. مخفی کردن نام کاربری وردپرس
18. دنبال افزونه ها و قالب هایی باشید که به خوبی پشتیبانی شده اند
19. تغییر دوره‌ای رمز کلیه کاربران در وردپرس
20. افزایش امنیت صفحه ورود به وردپرس

جمع بندی لیست امنیت وردپرس

تامین امنیت وردپرس کار سختی نیست و تنها با رعایت نکات امنیتی ساده‌ای که در مورد آن‌ها صحبت کردیم، می‌توانید چک لیست امنیت وردپرس خود را تهیه و امنیت آن را تضمین کنید. پیام آواپردازش در کنار شماست تا در تمام مراحل پشیبان گرمتان باشد. این شرکت قدم به قدم با شما حرکت نموده و در لحظات پر مخاطره با تیم مجرب خود از شما حمایت خواهد نمود.