8 نکته امنیتی برای امنیت وردپرس

امنیت وب‌سایت نگرانی بزرگ هر مدیر وب‌سایت و وبلاگ‌نویس است. وبلاگ‌هایی که روی هاست شخصی هستند از وبلاگ‌های میزبانی شده در سرویس‌هایی مانند بلاگر آسیپ‌پذیرترند. برای راه اندازی و مدیریت سایت و وبلاگ روی هاست های شخصی، معمولا از برنامه های مدیریت محتوا یا CMS استفاده می شود. سیستم های مدیریت محتوا، نرم افزارهای تحت وبی هستند که همزمان کار ادیتور متن، دیتابیس و مدیریت مطالب و محتوای یک سایت را بر عهده دارند. وردپرس یکی از پر کاربردترین سیستم‌های مدیریت محتوا است. بنابراین این سیستم مدیریت محتوا مبدل به هدف اصلی حملات به وب‌سایت‌ها شده است. اگر وب‌سایت شما ترافیک بالایی دارد، هکرها چنین سایت‌هایی را در نظر می‌گیرند تا اطلاعات شخصی حساس را سرقت کنند.

بنابراین به عنوان مدیر یا سردبیر یک وبلاگ وردپرسی، بسیار ضروری است تا نکات امنیتی لازم را دانسته و با استفاده از آن، دست هکرها را از اطلاعات تان کوتاه کنید. اینجا نکاتی وجود دارد که شما می‌توانید با استفاده از آنها از وبلاگ‌تان در برابر هکرها حفاظت کنید. این نکات امنیت 100% را برای تان به ارمغان نمی آورند. اما می‌توانند کمک بسیاری در دور نگه داشتن یک هکر ایفا نموده و کار آنها را برای نفوذ به حریم خصوصی‌تان سخت‌تر کنند.

1. وردپرس را به آخرین نسخه آن به‌روزرسانی نمایید
به محض اینکه نسخه‌ جدیدی انتشار یافت، وبلاگ‌تان را ارتقا دهید. شما می‌توانید از پلاگین Wordpress Automatic Upgrade برای ارتقا به نسخه آخر استفاده کنید. معمولا مسائل و باگ های امنیتی بزرگ در نسخه های ارتقا داده شده، برطرف می‌شوند.

2. پلاگین‌های‌تان را پس از بررسی روند تغییرات آن به‌روزرسانی نمایید
پلاگین‌هایی که شما استفاده می‌کنید تماما توسط دیگر برنامه‌نویس‌ها تهیه و توسعه داده می‌شوند. بنابراین پلاگین‌ها در برابر هک،ا بیشتر از خود وردپرس آسیپ‌پذیرند. توصیه می‌شود که پیش از اینکه از یک پلاگین استفاده کنید، صفحه مربوط به آن را با دقت بررسی کرده و نظرات و آمارها را بخوانید. همچنین، پلاگین‌های‌تان را به شکل منظم به‌روزرسانی نمایید.

3. همانند پشتیبان‌گیری کامل از وب‌سایت، به طور کامل و منظم از پایگاه‌داده‌تان (database) پشتیبان‌گیری کنید
احتمالا این مهمترین نکته است. از سایت‌تان به صورت منظم پشتیبان‌گیری نموده و آن را در مکانی امن ذخیره نمایید. این رفتار باعث می شود که اگر حتی وب‌سایت‌تان به خطر بیافتد، بتوانید سریعا آن را به آخرین نسخه پشتیبان سالم برگردانید. بدون پشتیبان‌گیری، شما همه چیز را از دست خواهید داد.
برای اطلاعات بیشتر در خصوص پشتیبان گیری، در دوره «مبانی پشتیبان گیری از اطلاعات» سایت درسنامه شرکت کنید.

4. نام پیش‌فرض کاربر مدیر (Admin) را حذف کرده یا تغییر دهید.
به صورت پیش‌فرض، تمام وردپرس های نصب شده، با یک کاربر ادمین همراه است. این موضوع اولین چیزی است که یک هکر هنگام حمله به سایت شما، دنبال آن خواهد بود. شما باید این کاربر را حذف نمایید. ابتدا یک کاربر جدید با نام کاربری منحصر به فرد و سطح دسترسی کامل ایجاد کنید. سپس با استفاده از کاربر جدید لاگین نموده و آنگاه کاربر مدیر را حذف نمایید. هکر اکنون بایستی هر دوی نام کاربری و رمز عبورتان را کشف کند.

5. از رمزعبور امن استفاده کنید
این یک نکته امنیتی اساسی است: از نام یا تاریخ تولدتان به عنوان رمزعبور استفاده نکنید. این باعث آسان شدن کشف رمز می‌شود. از ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نشانه‌ها در رمزعبور استفاده کنید و اطمینان حاصل نمایید که آن رمزعبور منحصر به فرد است.

6. پلاگین‌های امنیتی نصب نمایید
پلاگین‌های امنیتی بسیاری وجود دارد که شما می‌توانید با نصب آنها سایت‌تان را امن نگاه دارید. مانند WP Security Scan و WP Exploit Scanner. همچنین می‌توانید از WP Firewall یا WP Antivirus استفاده کنید.

7. پوسته‌های‌تان (theme) را بررسی و به‌روزرسانی نمایید
اگر خودتان پوسته را ساخته‌اید، پیش از استفاده از قالب، ایرادهای امنیتی معمول و حفره‌های امنیتی PHP آن را بررسی کنید. برای این منظور می‌توانید از پلاگین WP Theme Scanner استفاده کنید. پوسته‌های‌تان را به‌روزرسانی نمایید، مخصوصا برای پوسته‌های مجانی به محض اینکه به‌روز‌رسانی توسط توسعه‌دهنده در دسترس قرار گرفت این کار را انجام دهید.

8. از پوشه WP Admin حفاظت کنید
شاید بهتر باشد که فایل .htaccess را به پوشه WP admin تان بیافزایید؛ با این کار با مسدودسازی تمام آدرس‌های IP به جز آی‌پی خودتان، دسترسی به این پوشه و بخش مدیریت سایت را محدود خواهید ساخت. در زیر، کد .htaccess برای این کار وجود دارد. اطمینان حاصل نمایید که فایل .htaccess را در پوشه وردپرس‌تان می‌افزایید. اگر این فایل را در پوشه ریشه وبلاگ وردپرس‌تان قرار دهید در این صورت تنها شما قادر به دسترسی به سایت هستید. بنابراین در سر و کار داشتن با دستورات htaccess مراقب باشید.

اجازه دهید پوشه WP Admin تنها توسط یک آی‌پی خاص قابل دسترس باشد

Order deny,allow
deny from all
allow from 1.1.1.1

آدرس آی‌پی 1.1.1.1 را به آدرس آی‌پی کامپیوتر خودتان تغییر دهید. اگر وبلاگ‌تان گروهی است، یا چندین مالک دارد، در این صورت دستور allow دیگر با آی‌پی وبلاگ‌نویس میهمان یا همکار‌تان اضافه نمایید. من می‌دانم بسیاری از کاربران آی‌پی دینامیک و متغیری دارند. بنابراین اگر شما اجازه دسترسی به آی‌پی ثابت فعلی‌تان را دهید، پس از اینکه دوباره متصل شده و سعی به دسترسی به وبلاگ‌تان داشته باشید، دسترسی شما قطع خواهد شد.
برای اجتناب از چنین موقعیتی لازم است به آی‌پی‌های دینامیک هم اجازه دسترسی دهید. اما این می‌تواند بدین معنا باشد که برخی افراد همراه با شما می‌توانند به پوشه WP Admin دسترسی داشته باشند.

اجازه دسترسی به یک مجموعه آی‌پی پویا یا دینامیک

Order deny,allow
deny from all
allow from 1.1.1.*

ما در اینجا از کاراکتر * استفاده کردیم. این بدین معنا است که هرشخصی با آی‌پی 1.1.1.0 تا 1.1.1.225 می‌تواند به پوشه WP Admin دسترسی یابد.

دیگر راه برای محافظت از پوشه WP Admin رمزدار کردن خود پوشه است. اغلب سرویس های هاستینگ یا میزبانی، امکان Password Protect Directories را دورن سی‌پنل برای تان فراهم می‌نمایند.

به نقل از نگهبان دات کام