در جلسات قبل در مورد بالا بردن امنیت قسمت های مختلف وردپرس صحبت کردیم و نکاتی را برای امنیت بیشتر یادآور شدیم. در این جلسه قصد داریم روش هایی را برای افزایش امنیت اطلاعات کاربران که در وب سایت وردپرسی شما به ثبت رسیده است بیان کنیم. درست است که محافظت از پوشه های سایت بسیار مهم است اما اهمیت آن بیشتر از داده های کاربران نیست.
به بیان دیگر اگر هکری به پوشه ها ی وب سایت شما دسترسی پیدا کند و بتواند آنها را بخواند و اصلاح کند به راحتی میتواند به اطلاعات کاربران شما نیز دسترسی داشته باشد. پس امنیت بخش های مختلف وردپرس و اطلاعات کاربران به یک اندازه مهم است.
- 1 امنیت اطلاعات کاربران یا محافظت از وب سایت؟
- 2 استفاده از نرم افزارهای معتبر
- 3 چطور از خطرات اسکریپت های نال شده در امان باشیم؟
- 4 به روزرسانی هسته ، پوسته ها و پلاگین ها
- 5 فقط از SSH و SFTP استفاده کنید
- 6 امنیت پایگاه داده
- 7 فایل wp-config.php خود را از دسترسی غیر مجاز محافظت کنید
- 8 نسخه پشتیبان تهیه کنید
- 9 وب سایت را فقط با HTTPS اجرا کنید
- 10 نصب فایروال امنیتی وردپرس
امنیت اطلاعات کاربران یا محافظت از وب سایت؟
محافظت از اطلاعات مشتریان و داده های وب سایت وردپرسی دو موضوع جدا از هم نیستند. بلکه حفاظت از هر کدام به معنی امنیت مورد دیگر است.
فراموش نکنید که کاربران شما اطلاعات خود را (مانند مشخصات فردی, ایمیل, شماره کارت های اعتباری و رمزهای عبور آنها) در اختیار وب سایت شما قرار می دهند تا خرید خود را ثبت کنند یا خدماتی دریافت کنند. در نتیجه شما موظف هستید محیطی فراهم کنید تا خیال آنها بابت امنیت اطلاعاتشان راحت باشد.
این محیط ایمن زمانی به وجود خواهد آمد که شما از وب سایت و پوشه های آن با رعایت تمام موارد امنیتی محافظت کنید. پس این دو مورد به اندازه ی هم دارای اهمیت هستند و اولویتی در کار نیست.
استفاده از نرم افزارهای معتبر
یک روش معمول برای هک کردن وب سایت ها استفاده از نرم افزارهای آلوده است. یعنی مدیر وب سایت خود آلودگی را وارد سیستم می کند.
پیشگیری از این اتفاق راه حل بسیار ساده ای دارد و آن اینکه فقط نرم افزارهایی را در وب سایت خود نصب کنید که از منابع معتبر دانلود کرده اید.
در مخزن وردپرس تعداد زیادی پلاگین و پوسته های کاربردی وجود دارد که برای استفاده در اختیار کاربران قرار گرفته است. نکته ی مهم این است که این نرم افزارهای کاربردی منبع باز هستند و همین موضوع باعث میشود که افراد سودجو بتوانند با دسترسی به منابع این نرم افزارها و تبدیل آنها به برنامه های مخرب به دنبال اهداف سودجوانه ی خود باشند.
در واقع این افراد افزونه ها و پوسته های ایمن را به چیزی مخرب تبدیل می کنند که در اصطلاح به آن اسکریپت نال شده گفته میشود.
چطور از خطرات اسکریپت های نال شده در امان باشیم؟
راه جلوگیری از اسکریپت پوچ این است که افزونه های سایت خود را ازفقط منابع معتبر دانلود کنید. WordPress.org معتبر ترین پلاگین ها و پوسته ها را برای وردپرس ارائه میدهد.
در ادامه لیستی از سایت های معتبری را قرار داده ایم که با خیال آسوده میتوانید برای دانلود افزونه ها و پوسته ها به آنها اعتماد کنید؛
- 99٪ افزونه های مورد نیاز خود را میتوانید در مخزن وردپرس به راحتی پیدا کنید.
- CodeCanyon.net یک منبع عالی برای افزونه های تجاری وردپرس است.
- Themeforest.net منبع معتبری برای پوسته های تجاری است.
- ElegantThemes یکی دیگر از سایت های معتبر است.
- Themify.me دارای بسیاری از پوسته های ریسپانسیو تجاری است.
اگر نیاز داشتید تا از سایت دیگری برنامه ی مورد نیاز خود را نصب کنید برای اطمینان از اعتبار آن میتوانید نام دامنه را در گوگل جستجو کنید و ببینید آیا کسی از آن سایت به عنوان یک سایت معتبر یاد کرده است یا خیر. همچنین می توانید کد مورد نظر را دانلود کنید و از یک برنامه نویس بخواهید کد PHP آن را بررسی کند تا در صورت داشتن مشکل به شما اطلاع دهد.
به روزرسانی هسته ، پوسته ها و پلاگین ها
همانطور که در جلسات قبل به آن پرداختیم به روز نگه داشتن نسخه وردپرس مهمترین کاری است که می توانید برای امنیت سایت وردپرس خود انجام دهید.
معمولا به روزرسانی های جدید در نوار مدیریت نمایش داده میشوند که با مشاهده ی آن میتوانید به روزرسانی را انجام دهید. اما مورد دیگری برای به روزرسانی بی دغدغه ی وردپرس , پوسته ها و افزونه های وجود دارد و آن استفاده از به روزرسانی خودکار است.
نحوه به روزرسانی خودکار وردپرس
با ارائه ی وردپرس 3.7 ، که در اکتبر 2013 منتشر شد، به روزرسانی خودکار نیز رو نمایی شد. در نسخه فعلی وردپرس ، به روزرسانی خودکار هسته ی وردپرس برای آپدیت های امنیتی جزئی و فایل های ترجمه فعال است.
یک مزیت به روزرسانی خودکار این است که تیم امنیتی وردپرس در صورت مشاهده آسیب پذیری شدید امنیتی ، امکان به روزرسانی خودکار افزونه های سایت شما را دارد.
البته به روزرسانی خودکار برای پوسته ها انجام نمیشود چون ممکن است پوسته ای ویرایش شده باشد که با به روزرسانی, این ویرایش ها حذف می شوند و عملا کمکی به امنیت بیشتر وردپرس نخواهد کرد.
فقط از SSH و SFTP استفاده کنید
هنگام انتقال فایل ها و مدیریت وب سایت ، بیشتر مدیران از FTP یا sFTP استفاده می کنند . Plain FTP یک پروتکل بسیار قدیمی است که به اوایل استفاده از اینترنت برمی گردد. این پروتکل برای اعتبار ورود به سیستم از هیچ نوع رمزگذاری استفاده نمی کند. پوشه ها را نیز رمزگذاری نمی کند. بنابراین همه فایل ها از طریق شبکه به صورت متن ساده ارسال می شوند.
اگر از کافی نت یا سیستم های عمومی دیگری استفاده می کنید و با استفاده از FTP ساده و قدیمی وارد سایت خود می شوید، باید بدانید یک هکر به راحتی می تواند نام کاربری و رمز عبور شما را به دست بیاورد و به سایت شما دسترسی داشته باشد.
تصویر بالا نشان دهنده پروتکل های ارتباطی FTP و sFTP در نرم افزار Filezilla است.
بنابراین به عنوان یک قانون کلی ، همیشه از sFTP استفاده کنید که از رمزگذاری قوی برای ورود به سیستم و انتقال فایل و سایر دستورات استفاده می کند. گزینه های دیگری برای sFTP مانند SCP (کپی امن از طریق SSH) و FTPS وجود دارد که از TLS برای ایجاد رمزگذاری قوی استفاده می کند.
اکثر مدیران سایت وردپرس از sFTP استفاده می کنند زیرا سیستمی که به آن متکی است ( SSH ) قبلاً در اکثر وب سرورها نصب شده است و sFTP فقط می تواند از آن برای ارتباط با سرور استفاده کند.
تصویر بالا نشان دهنده انواع رمز گذاری انتقال داده ها در نرم افزار Filezilla است.
امنیت پایگاه داده
وردپرس از پایگاه داده MySQL برای ذخیره داده های خود استفاده می کند. این داده ها شامل پست ها ، صفحات ، نظرات و از همه مهمتر داده های کاربران شما است که شامل آدرس های ایمیل و رمز های عبور و سایر اطلاعات آنهاست.
معمولاً این پایگاه داده MySQL بر روی سرور جداگانه ای اجرا می شود و وب سرور شما از طریق یک لینک شبکه با پایگاه داده MySQL ارتباط برقرار می کند.
معمولاً مسئولیت امنیت سرورMySQL بر عهده شما نیست. ارائه دهنده میزبانی شما این کار را انجام می دهد. سروری که MySQL را اجرا می کند باید فقط از وب سرور سایت شما قابل دسترس باشد و نباید از اینترنت قابل اجرا و دسترسی باشد.
وردپرس برای نصب نیازمند دسترسی نامحدود به داده ها و جداول موجود در پایگاه داده MySQL است. با اتصال به پایگاه داده MySQL ، وردپرس می تواند جدول ایجاد کند ، آنها را حذف کند و تمام جداول متعلق به وب سایت شما را بخواند و داده ها را اضافه یا تغییر دهد.
مقاله ی پیشنهادی؛ چگونه خطای پایگاه داده را برطرف کنیم؟
فایل wp-config.php خود را از دسترسی غیر مجاز محافظت کنید
فایل wp-config.php وردپرس شما ، که در دایرکتوری اصلی وردپرس قرار دارد ، شامل نام کاربری و رمز عبور پایگاه داده شما است. همچنین به هرکسی که آن فایل را می خواند اطلاع می دهد که پایگاه داده شما با چه دستگاهی کار می کند. با این اطلاعات ، یک هکر می تواند به پایگاه داده وب سایت شما متصل شود و هر تغییری که دوست دارد در دیتای سایت شما ایجاد کند.
انتقال فایل wp-config.php به دایرکتوری اصلی روت
برای امنیت بیشتر می توانید فایل wp-config.php خود را به دایرکتوری یک سطح بالاتر از ریشه نصب وردپرس خود(public_html) منتقل کنید. اگر نصب وردپرس شما دایرکتوری ریشه وب شما باشد ، این کار فایل wp-config.php شما را از فهرست های وب قابل دسترسی عمومی خارج می کند.
صاحب نظران بسیاری این را یک پیشرفت امنیتی قابل توجه می دانند زیرا اگر به دلایلی PHP شما کار نکند و وب سرور شما فایل های .php را به عنوان متن ساده ارائه دهد ، فایل wp-config.php قابل دسترسی و اجرا نخواهد بود.
غیرفعال شدن مفسر PHP در یک وب سایت چیزی است که به ندرت اتفاق می افتد ، بنابراین این راه حل در واقع به عنوان یک راه حل نهایی استفاده میشود.
نسخه پشتیبان تهیه کنید
اغلب تهیه Backup یا نسخه پشتیبان سایت خیلی مورد توجه مدیران سایت ها قرار نمیگیرد. سایت شما علاوه بر اینکه حاوی تمام فایل های وب سایت شما است ، حاوی کل داده های پایگاه داده سایت شما نیز می باشد پس پشتیبان گیری از آن بسیار مهم است.
بهتر است پشتیبان گیری خود را در فضایی غیر از سرور اصلی خود انجام دهید ( برای مثال یک USB یا هارد داخلی سیستم و یا یک سرور دیگر) البته باید از امنیت آن مطمئن باشید.
در زمینه ی پشتیبان گیری پیشنهاد ما این است که به مقالات زیر مطالعه کنید.
- مقایسهی مزایا و معایب ۷ تا از بهترین افزونه بکآپگیری از وردپرس
- بک آپ گیری از سایت وردپرسی با افزونه BackWPup
وب سایت را فقط با HTTPS اجرا کنید
پروتکل برنامه ای که مرورگرها برای ارتباط با سرورهای وب از آن استفاده می کنند HTTP نام دارد و در سال 1989 توسط تیم برنرز لی اختراع شد. HTTP در ابتدا به عنوان یک پروتکل متن ساده طراحی شد. یک مرورگر به سادگی به یک وب سرور متصل می شود و درخواست و پاسخ را به عنوان متن دریافت می کند.
در سال 1994 ، Netscape برای اولین بار HTTPS را اختراع کرد که ارتباط رمزگذاری شده بین مرورگر و وب سرور را فعال می کند. چندین دهه است که از HTTPS برای معاملات تجارت الکترونیکی استفاده می شود ، اما تنها در چند سال گذشته پیشنهاد شده است که همه ارتباطات در وب باید رمزگذاری شوند.
نصب فایروال امنیتی وردپرس
اکیداً توصیه می کنیم علاوه بر ایمن سازی قسمت های مختلف سایت خود ، یک فایروال نیز نصب کنید.
به طور کلی یک فایروال خوب شامل ویژگی های زیر است:
- اسکن بدافزار – این محصول باید شامل شناسایی بدافزارهای نصب شده توسط یک هکر در وب سایت شما از جمله توانایی دیدن تغییرات و رفع آنها باشد.
- محافظت در برابر ورود به سیستم توسط افراد ناشناس
- محافظت در برابر تکنیک های شناسایی هکرها.
- احراز هویت دو مرحله ای – امکان ورود به سیستم با استفاده از تلفن همراه یا دستگاه فیزیکی دیگر برای تأیید هویت .
- تکنیک های پیشرفته مسدود کردن از جمله مسدود کردن دامنه های IP و مسدود کردن عوامل کاربر.
فایروال های زیادی برای وردپرس موجود است. بهتر است امکانات و ویژگی های هرکدام از آنها را بررسی کنید و سپس متناسب با نیاز خود یکی از آنها را انتخاب کنید.مطمئن شوید فایروالی که انتخاب کرده اید امکانات خوبی دارد و به طور مداوم به روزرسانی میشود.
مقاله ی پیشنهادی برای آشنایی با اسکنرها؛ معرفی بهترین اسکنرهای امنیتی وردپرس برای شناسایی بدافزارها
از بقیه ی جلسات آموزش رایگان امنیت وردپرس جا نمونید
منبع؛ www.wordfence.com
