آموزش رایگان امنیت وردپرس – جلسه 1

امنیت سایت وردپرسی اهمیت بسیار زیادی دارد. اگر شما هم در زمینه طراحی وب سایت فعالیت میکنید و یا وبسایت فروشگاهی یا شرکتی خودتان را اداره میکنید باید امنیت وبسایت را بسیار جدی بگیرید. در این سری از مقالات آموزش امنیت وردپرس قصد داریم مباحث کلیدی و مهمی را در بالا بردن امنیت سایت وردپرسی, به صورت عملی و کاربردی به شما آموزش دهیم تا از مشکلات امنیتی برای وبسایت تان بتوانید به راحتی جلوگیری کنید.

چرا وردپرس؟؟

به نقل از HostingTribunal:

چرا وردپرس؟

طبق آمار منتشرشده توسط HostingTribunal:

• وردپرس بیش از ۴۰ درصد از وب‌سایت‌های دنیا را پشتیبانی می‌کند.

• ماهانه بیش از ۴۰۰ میلیون بازدید از سایت‌های وردپرسی صورت می‌گیرد.

• در سال ۲۰۱۶ حدود ۱۱۸ میلیارد کلمه در وب‌سایت‌های وردپرسی منتشر شد.

• نزدیک به ۲۸ درصد فروشگاه‌های اینترنتی جهان از وردپرس و افزونه WooCommerce استفاده می‌کنند.

• روزانه حدود ۲۸۱ فروشگاه اینترنتی جدید با ووکامرس ساخته می‌شود.

• وردپرس دارای بیش از ۵۰ هزار افزونه و ۳۵۰۰ قالب رایگان در مخزن رسمی است.

این آمارها نشان می‌دهد که وردپرس یک پلتفرم محبوب و گسترده است، اما همین محبوبیت آن را به هدفی جذاب برای مهاجمان و هکرها تبدیل می‌کند. بنابراین، حفظ امنیت در وردپرس امری حیاتی است.

برای جلوگیری از اینگونه مشکلات باید امنیت سایت وردپرسی را بسیار جدی گرفت.

در این مقاله قصد داریم اطلاعات مفیدی را در زمینه ی امنیت وردپرس و نکات مرتبط با آن در اختیار شما قرار دهیم. مواردی مانند به روزرسانی افزونه ها, استفاده از افزونه های ناشناخته با منبع نامعتبر یا استفاده از رمز عبورهای ساده و بسیاری موارد دیگر می تواند به شدت امنیت وردپرس شما را به خطر بیندازد. اما این موارد صرفا و به تنهایی باعث افزایش امنیت سایت شما نخواهند شد. در این دوره قصد داریم مباحث تخصصی تری را نیز به شما آموزش دهیم. با سری مقالات امنیت وردپرس با ما همراه باشید.

امنیت صفحه ورود وردپرس

ورود به سایت وردپرس اولین و ساده ترین کاری است که برای شروع کار خود انجام میدهید. اما بسیاری از هکرها با استفاده از همین ورود میتوانند امنیت وردپرس شما را با خطرات جدی روبه رو کنند, حتما می پرسید چطور؟

1. مقابله با حملات از نوع فیشینگ

امنیت وردپرس از لحظه ورود به سایت وردپرس برای مدیریت آن شروع می شود. نام دامنه ای که وارد آن می شوید بررسی کنید. یک تاکتیک معمول که هکرها از آن استفاده می کنند این است که برای شما ایمیلی ارسال می کنند که حاوی پیوندی برای ورود به یک سرویس است. ممکن است این سرویس سایت وردپرسی خود شما باشد ، اما در واقع این وب سایت مخرب آنها است.

هنگامی که به سیستم وب سایت وردپرس خود از این طریق وارد می شوید ، آنها نام کاربری و رمز ورود را ذخیره می کنند و از آن برای هک سایت واقعی وردپرس شما استفاده می کنند. این تکنیک “فیشینگ” نامیده می شود.

راه حل

راه جلوگیری از “فیشینگ” این است که اطمینان حاصل کنید هنگام ورود به یک سایت ، نام دامنه را در نوار مکان مرورگر وب خود بررسی کنید تا مطمئن شوید وب سایت شماست.

2. سعی کنید فقط از HTTPS استفاده کنید

اتصال ایمن قسمت مهمی از امنیت وردپرس است. قبل از ورود به سیستم ، نوار مکان مرورگر خود را بررسی کنید تا مطمئن شوید سایت شما با “https: //” شروع شده و سبز است (در اکثر مرورگرها). همچنین ممکن است دارای یک نماد قفل باشد که نشان می دهد یک صفحه امن است. ورود به سیستم از طریق HTTPS این اطمینان را می دهد که اطلاعات ورود به سیستم شما به صورت رمزگذاری شده در سراسر شبکه ارسال می شود و شخص دیگری نمی تواند نام کاربری و رمز ورود شما را سرقت کند.

3. رمزعبور قوی انتخاب کنید

چرا اصرار داریم که یک رمز عبور قوی انتخاب کنید؟ به چند دلیل ؛

1. اولین مورد این است که از حدس رمزعبور توسط هکر جلوگیری کنید. شماره ی شناسنامه, شماره موبایل یا موارد مشابه اصلا مورد خوبی برای یک رمز عبور نیستند.
2. مورد دوم این است که در صورت هک شدن سایت، رمز عبور شما به سختی قابل شکست باشد.

به طور کلی باید رمز عبوری انتخاب کنید که حداقل 12 حرف داشته باشد و شامل حروف ، اعداد و علائم با حداقل کلمات انگلیسی باشد. قدرت رمز عبور یکی از ارکان امنیت وردپرس است.

4. احراز هویت دو مرحله ای

سایت های وردپرسی به طور مداوم توسط ربات ها مورد حمله قرار می گیرند. این ربات ها سعی می کنند رمزهای عبور کاربران شما را حدس بزنند.
احراز هویت دو مرحله ای (2FA) در صورت نقض رمز ورود ، یک لایه امنیتی دیگر را ایجاد می کند و از ورود کاربران نا آشنا جلوگیری می کند.

5. رمز ورود قوی را چگونه ذخیره کنیم؟

یک مشکل در انتخاب رمز عبور قوی این است که به سختی میتوان آن را به خاطر سپرد.در ادامه راه حل هایی را برای به خاطر سپردن این نوع رمزها برای شما مطرح می کنیم. البته هر کدام دارای مزایا و معایبی هستند که در نهایت انتخاب با شما خواهد بود؛

•  از یک سرویس “کیف پول رمز” استفاده کنید که گذرواژه های شما را رمزگذاری کرده و از رمز عبور اصلی برای دسترسی به آنها استفاده می کند. البته این سرویس ها می توانند هک شوند و در صورت هک شدن تمام رمز های عبور خود را از دست خواهید داد. در کنار ایراد مطرح شده باید گفت که مزیت این سرویس ها این است که دیگر مجبور به, به خاطر سپردن رمزهای مختلف نخواهید بود.
•  رمز عبور خود را در یک دفتر و به شیوه ای سنتی یادداشت کنید. ایراد این روش این است که اگر در دسترس افراد دیگر قرار بگیرد امنیت وردپرس شما به خطر خواهد افتاد.
•  اگر حاقظه ی خوبی دارید رمزهای خود را به خاطر بسپارید. یکی از ایمن ترین روش ها حفظ کردن رمزهای عبور است. اما اگر فراموش کنید باید برای بازیابی آنها بسیار تلاش کنید.
•  ازیک فرمول رمز عبور استفاده کنید. به عنوان مثال: از نام دامنه ای که وارد آن می شوید حروف را بردارید ، آنها را به ابتدا و انتهای رمز عبوری که با استفاده از برخی فرمول ها به خاطر سپرده اید اضافه کنید. یکی از بهترین و توصیه شده ترین روش ها همین روش است.

مواظب پوسته های مخرب باشید

هنگام انتخاب پوسته برای سایت وردپرس خود ، از بارگیری پوسته های ناشناس از منابع غیر معتبر خودداری کنید. متأسفانه وب سایت های بسیاری وجود دارند که پوسته های مخربی را توزیع می کنند. این پوسته ها را پوسته ی “nulled” می نامند و حاوی کد مخربی هستند که از قبل روی آنها نصب شده است. پس به شدت توصیه می کنیم فقط از منابع معتبر پوسته ها را نصب کنید.

بهترین منبع برای پوسته های وردپرس مخزن رسمی قالب وردپرس است. این پوسته ها کاملا قابل اعتماد هستند و توسط گروه های معتبر طراحی و ارائه شده اند.

به روزرسانی دائمی پوسته ها

گاهی اوقات باگ های امنیتی کوچک در پوسته ها باعث نفوذ و سو استفاده ی هکرها میشود. این باگ ها در نسخه های جدید ارائه شده توسط سازنده ی پوسته برطرف میشود. پس توصیه می کنیم حتما پوسته های مورد استفاده را در اولین فرصت با آخرین نسخه ی ارائه شده به روزرسانی کنید تا این قبیل مشکل ها رفع شود.

یک سوال؟

در صورتی که پوسته ی مورد استفاده ی خود را سفارشی سازی کنید, پس از به روزرسانی تمام تغییرات ایجاد شده حذف میشود!! خب راه حل چیست؟ برای رفع این مشکل چه باید کرد؟؟

افزونه ها آسیب پذیرترین بخش وردپرس از لحاظ امنیتی هستند. افزونه های آسیب پذیر متداول ترین روش هک شدن سایت وردپرس هستند.

پلاگین ها یکی از مواردی هستند که می تواند منجر به آسیب پذیری جدی امنیتی در وب سایت وردپرس شود. آنها به طور قابل توجهی کد PHP بیشتری نسبت به پوسته ها دارند و پیچیده تر هستند و این فرصت بیشتری برای هکرها ایجاد می کند.

تا اینجا شاید به این موضوع فکر می کنید که حتما وردپرس یک پلتفرم نا امن است. اما حقیقت این است که وردپرس دارای 40000 نصب فعال دارد و محبوب ترین پلت فرم طراحی سایت در بین کاربران است و همین محبوبیت سبب شده تا گزینه ی خوبی برای هکرها و سواستفاده های آنها باشد. پس توصیه می کنیم هنگام انتخاب ، نصب و نگهداری افزونه های وردپرس خود ، چند دستورالعمل را دنبال کنید.

در اینجا چند نکته مهم را بیان می کنیم؛

•  افزونه ها را از منابع معتبر مانند مخزن وردپرس نصب کنید.
•  فقط افزونه های مورد نیاز خود را نصب کنید. هرچه افزونه کمتری داشته باشید ، کمتر مورد حمله ی هکرها قرار خواهید گرفت.
•  افزونه های غیرفعال در سایت خود را حذف کنید.
•  اگر برای یکی از افزونه های مورد استفاده ی شما یک سال یا بیشتر است که به روزرسانی ارائه نشده است یعنی از آن نگهداری نمیشود. پس باید آن را حذف کنید و از افزونه های به روزتری استفاده کنید.
•  هنگامی که نسخه جدیدی از افزونه منتشر شد ، تغییرات را بررسی کرده و در سریعترین زمان ممکن به جدیدترین نسخه ارتقا دهید ،خصوصاً اگر شامل یک اصلاح امنیتی باشد.

سخن پایانی

در این مقاله تنها مقدمه ای بر امنیت وردپرس را مطرح کردیم. قطعا موارد امنیتی بیشتری وجود دارد که در این مقاله فرصت نشد به آن بپردازیم . در جلسات آینده بیشتر از امنیت وردپرس و موارد پیشگیرانه برای آسیب های احتمالی صحبت خواهیم کرد. با ما همراه باشید و نظرات و پیشنهادهایتان را در بخش نظرات با ما در میان بگذارید.

در این جلسه با مفاهیم پایه‌ی امنیت وردپرس آشنا شدیم. رعایت همین نکات ابتدایی می‌تواند از بروز بسیاری از حملات جلوگیری کند.
در جلسات آینده، به مباحث پیشرفته‌تری مانند مقابله با حملات هکری، امنیت فایل‌ها، و پشتیبان‌گیری اصولی خواهیم پرداخت.

با ما همراه باشید تا گام‌به‌گام امنیت وردپرس خود را به سطح حرفه‌ای برسانید.

 جلسات بعدی:

• جلسه ۲: مقابله با حمله هکرها

• جلسه ۳: امنیت محیط کار وردپرس

• جلسه ۴: مدیریت دسترسی‌ها و کاربران

• جلسه ۵: پشتیبان‌گیری و بازیابی سایت

• جلسه ۶: تست و پایش امنیت وردپرس

منبع؛ www.wordfence.com