امنیت در وردپرس ؛ ۱۰ نکته‌ای که باید بدانید

10 نکته حائر اهمیت به منظور برقراری امنیت در وردپرس
Share on twitter
Share on email
Share on linkedin

راهنمای امنیت در وردپرس ؛ آیا وردپرس واقعا اَمن است ؟

زمانی که تصمیم به ورود به دنیای تجارت الکترونیک می‌گیرید و عزم خود را برای طراحی سایت و راه‌اندازی کسب و کار آنلاین جزم می‌نمایید شاید کلمه “امنیت سایت” برای شما تداعی کننده موضوع خاصی نباشد. اما در واقع امنیت یکی از دغدغه های اصلی مدیران و صاحبین کسب و کارهای آنلاین است. در این مقاله به بررسی امنیت در سایت‌های مبتنی بر وردپرس که یکی از موضوعات داغ و پربحث در زمینه وردپرس است می‌پردازیم .
در پاسخ به این سوال که «آیا وردپرس واقعا امن است؟» می توان گفت که بستگی دارد. در صورتی که روش‌های برقراری امنیت  در وردپرس با جدیت مد نظر قرار بگیرد، وردپرس سیستم مدیریت محتوایی امن و قابل اتکا خواهد بود.با توجه به آمار ,به طور میانگین در هر روز ۳۰ هزار وبسایت هک می شوند. وبسایت های وردپرس می توانند بخاطر آسیب پذیری افزونه ها، پسووردهای ضعیف و نرم افزار های منسوخ، هدف به نسبت ساده‌ای برای تهاجم باشند.
ضمن تشکر از جامعه فعال توسعه دهندگان وردپرس بخاطر توسعه منابع غنی، می توان گفت وردپرس به دلیل استفاده آسان، انعطاف پذیری و توسعه مداوم، همچنان یک انتخاب عالی برای انواع مختلفی از وبسایت ها است.شما به عنوان صاحبین کسب و کارهای الکترونیکی, می توانید با پیروی از روش‌های برقراری امنیت در وردپرس نقاط ضعفتان در مقابل خرابکاران و مهاجمان را به صورت چشمگیری کاهش دهید.

۱-بله، وبسایت های وردپرس هدفی برای هکرها هستند.

در حال حاضر بیش از ۳۱ درصد تمام وب سایت های فعال در اینترنت از وردپرس به عنوان سیستم مدیریت محتوا در طراحی سایت استفاده می‌کنند ،بنابراین برای هکرهایی که اهداف مخرب دارند(هکرهای کلاه سیاه)،سایت‌های وردپرسی انتخابی  بسیار خوب با سهم از بازار بسیار قابل توجهی  است.
چرا؟ چون اگر هکری بتواند به ۷۵ میلیون وبسایت ورد پرس در اینترنت راه یابد، پس می تواند وب سایت های دیگری را که به همین شیوه ی ناامن اجرا می شوند را نیز اسکن و هک کند.
متاسفانه برخی از نقاط ضعف اجتناب ناپذیر هستند. زیرا همه مالکان یا کاربران وبسایت ها درباره امنیت آنلاین، محتاط، دقیق و آگاه نیستند.
سهم وردپرس از کل سایت‌های موجود در اینترنتSucuri ، در گزارش اخیر خود ۳۴,۳۷۱ وب سایت آلود را تحلیل کرده تا مشخص نماید چه چیزی در وب سایت های به خطر افتاده باعث ایجاد تمایل به هک گردیده است.بر اساس این گزارش، آلودگی های وردپرس از ۷۴٪ در سال ۲۰۱۶ به ۸۳٪ در سال ۲۰۱۷ افزایش یافته است، بنابراین هوشیاری در هنگام فعالیت های امنیتی بسیار حائز اهمیت است.
«در اغلب موارد در ساز و کارهایی که مورد تجزیه و تحلیل قرار گرفتند، کسی با هسته نرم افزار کاری نداشت، بلکه موضوع نفوذ اکثرا به استقرار نادرست، سهل انگاری در ارتباط با پیکربندی و نگهداری نرم افزار توسط مدیران سایت ها مربوط می شد.»
میزان توزیع آلودگی در سیستم‌های مدیریت محتوای مختلف

۲-وردپرس نقاط ضعف امنیتی شناخته شده ای دارد.

بر اساس گزارش wpscan.org، ورد پرس نزدیک به ۴۰۰۰ نقطه ضعف امنیتی شناخته شده دارد.
استاندارد صنعت توسعه نرم افزار بر این اساس است که نقاط ضعف امنیتی پس از کشف و بلافاصله پس از آنکه راه حل مسئله آشکار شد، برای عموم افشا شوند. با این وجود، برخی از وبسایت ها همچنان  به استفاده از نسخه های ناامن افزونه ها، تم ها و هسته وردپرس با وجود خطری که در پی دارد، ادامه می دهند.
مهم ترین نقاط ضعف امنیتی در وردپرس

۵ موضوع اصلی در امنیت ورد پرس

 

۱٫ حملات BRRUTE FORCE

 

حملات  BRRUTE FORCE به روش آزمون و خطایی اشاره می کند که چندین ترکیب ممکن از نام کاربری و رمز عبور وارد می شود تا یکی از آنها موفقیت آمیز باشد. روش حملات جستجوی فراگیر یکی از ساده ترین راه ها را برای دسترسی به وبسایت شما استفاده می کند: صفحه ورود شما به وردپرس.

 

۲. سوء استفاده از وارد کردن فایل ها

 

سوء استفاده از وارد کردن فایل ها زمانی رخ می دهد که کد ضعیفی برای بارگیری فایل های راه دور استفاده می شود. این کار به مهاجمان امکان دسترسی به wpconfig وب سایت وردپرس شما را می دهد. فایل php، یکی از مهمترین فایل ها در نصب وردپرس شماست.

۳. Injection SQL

 

وب سایت وردپرسی از پایگاه داده MySQL استفاده می‌کنند.حمله هایی از نوع Injection SQL زمانی رخ  می دهد که مهاجم به پایگاه داده وردپرس و تمام اطلاعات وب سایت شما دسترسی پیدا می کند. همچنین Injection SQL می تواند برای وارد کردن داده های جدید، از جمله لینک هایی از  وب سایت های مخرب و یا هرزنامه در پایگاه داده استفاده شود.

 

۴ اسکریپت Cross-Site

 

نقاط ضعف اسکریپتی cross-site شایع ترین نقاط ضعف دیده شده در افزونه های وردپرس هستند. مکانیزم اصلی آن به این شکل عمل می کند: مهاجم با بارگذاری صفحات وبی که اسکریپت های جاوااسکریپت ناامن دارند، راهی برای دستیابی به نرم افزار هدف خود پیدا می کند.

۵.  بدافزارها

 

بدافزار، کوتاه شده کلمه malicious software (نرم افزار مخرب)، کدهایی است که برای رسیدن به دسترسی غیر مجاز به وب سایت و به منظور جمع آوری اطلاعات حساس استفاده می شود. عبارت وب سایت هک شده وردپرس معمولا به این معنی است که بدافزار به فایل های وب سایت شما تزریق شده است.

 

۳-هنگام اجرای یک وب سایت مبتنی بر وردپرس، هاست شما مهم است.

 

همه هاست ها مشابه از لحاظ برقراری کانفیگ‌های امنیتی مشابه نیستند و درصد و میزان برقراری امنیت برای وب سایت‌ها در آن‌ها متفاوت است، و انتخاب هاستی که از لحاظ امنیتی هزینه بردار است و در سطح پایینی قرار دارد، می تواند در طولانی مدت هزینه های شما را  به صورت قابل ملاحظه‌ای افزایش دهد.
چون سروری که وب سایت شما در آن قرار دارد نیز هدفی برای مهاجمان است، استفاده از هاستینگ مشترک کم کیفیت می تواند سایت شما را با نقاط ضعف بیشتری در معرض خطر قرار دهد. همچنین هاستینگ به مشترک می تواند بعث نگرانی باشد، زیرا وبسایت های چندگانه در یک سرور واحد ذخیره می شوند. پس اگر یک وبسایت هک شود، مهاجمان می توانند به وب سایت های دیگر و اطلاعات آنها دسترسی پیدا کنند.
همه هاست ها اقدامات احتیاطی برای ایمن کردن سرورها را انجام می دهند، اما همه آنها هوشیار نیستند و یا آخرین اقدامات امنیتی برای محافظت وب سایت ها را در سطح سرور انجام نمی دهند .

مشخصات فنی هاستینگ وردپرس برای امنیت بهتر وب سایت

فهرست زیر مشخصات فنی را ارائه می دهد که می تواند به عنوان راهنمای انتخاب شرکت هاستینگ برای وب سایت وردپرس شما باشد.

راهنمای امنیتی پیشنهادی برای هاستینگ وردپرس شما:

ð      نصب آسان گواهی SSL *
ð      مدیریت نسخه فعال نرم افزار سرور
ð      پشتیبانی از SFTP (نه فقط FTP)
ð      آخرین نسخه پشتیبانی شده PHP حداقل ۵٫۶ است، اگرچه نسخه ۷٫۰+توصیه میشود.
ð      پشتیبانی از TLS  ۱٫۲ و ۱٫۳
ð      حفاظت فایروال*
ð      حفاظت ورود به وبسایت
ð      بازرسی های امنیتی روزانه
ð      تشخیص فعالیت مخرب

*توجه: بعضی از شرکت های هاستینگ وب ممکن است این خدمات را به عنوان سرویس های جداگانه یا افزونه هایی با هزینه های اضافی ارائه دهند.

۴- افزونه ها و تم هایی که نصب میکنید، مهم هستند

 

افزونه ها و تم های ورد پرس را تنها از منابع معتبر نصب کنید. چرا؟ چون نسخه های تایید نشده ممکن است حاوی کدهای مخرب باشند.
تم ها و افزونه ها را تنها از وبسایت WordPress.org، مراکز تجاری معروف یا بطور مستقیم از توسعه دهندگان قابل اطمینان تهیه و نصب کنید. اگر شما از جمله وبکسترانی هستید که پلاگین های مختلف را از منابع مختلف و غیر قابل اطمینان دریافت و روی سایت خود نصب می‌کنید،واقعا دیگر مهم نیست که چقدر وبسایت ووردپرسی خود را محدود و از آن محافظت می‌کنید. چرا که در این صورت یک طعمه بالقوه برای هکرهای مخرب به شمار می‌روید.
اگر شما افزونه یا تم ممتازی را پیدا کردید که از طرف وبسایت توسعه دهنده یا یک فروشگاه معتبر توزیع نشده است، قبل از دانلود کردن فایل، در موردش تحقیق کنید. با توسعه دهندگان ارتباط برقرار کنید و ببینید که آیا وبسایت ارائه دهنده ی نرم افزار بصورت رایگان یا با بهای کمتر، به هر نحو به شرکت سازنده مرتبط است یا نه .

 

۵ -بروز رسانی بسیار مهم است

 

زمانی که سایت وردپرس شما نسخه های منسوخ افزونه ها، تم ها یا وردپرس را اجرا می‌نماید، شما با خطر در معرض حمله قرار گرفتن بر روی وبسایتتان مواجه خواهید بود .
وردپرس, همانطور که احتمالاً اطلاع دارید, بر روی بستر کد گزاری متن باز اجرا می‌شود و گروه از توسعه دهندگان در سراسر دنیا برای یافتن، شناسایی و تصحیح مسائل امنیتی وردپرس به صورت داوطلبانه فعالیت می‌کنند . همچنان که آسیب پذیری های نرم افزاری مشخص میشوند، فورا نسخه اصلاح شده آنها بصورت پَچ منتشر میشود تا موارد امنیتی یافته شده در وردپرس را برطرف نمایند. و به همین دلیل است که بروز نگه داشتن وردپرس و تمام افزونه ها و قالب‌های آن، جزئی حیاتی از یک راهبرد امنیتی موفق است.

 ۶-کیفیت رمز عبور شما مهم است.

 

بخش ورود (Log in) ورد پرس شما، به احتمال زیاد نقطه ضعفی است که بیشتر از سایر بخش ها مورد حمله قرار میگیرد، چراکه راحتترین راه دسترسی را به صفحه مدیریت وبسایتتان فراهم میکند
حملات جستجوی فراگیر متداول ترین روش سواستفاده از بخش ورود ورد پرس شماست. این روش به روش آزمون و خطا بر میگردد که در آن، هکر ها و ربات ها بدنبال کشف نام کاربری و ترکیبات رمز عبور هستند تا وارد سایت شوند.
از انجا که وردپرس تعداد تلاش های ناموفق برای ورود به وبسایت را محدود نمیکند، اینگونه حملات جستجوی فراگیر میتوانند بسیار موثر واقع شوند. بنابراین بسیار مراقب باشید تا برای ورود به صفحه مدیریت وردپرس از یک رمز عبور قوی و پیچیده استفاده کنید.

۷- اگر شما برنامه ای برای تهیه نسخه پشتیبان در محل ندارید، دچار مشکل خواهید شد.

 

بطو پیشفرض، وردپرس دارای سیستم تهیه نسخه پشتیبان داخلی نیست. خب، شما برای تهیه نسخه پشتیبان از وبسایت خودتان چکار میکنید؟
اگر بدترین اتفاق ممکن رخ دهد و وبسایت شما هک شود، چگونه آنرا بازگردانی میکنید؟ چگونه به نسخه ای پاک از وبسایت خود باز می‌گردید؟ برای این کار، شما به یک فایل پشتیبان – یا یک رونوشت کامل – از وبسایت خود نیاز خواهید داشت.
فایل های پشتیبان وردپرس در یک راهبرد امنیتی کلی بسیار حیاتی اند. در حالیکه میزبان شبکه یا هاست (Host) ممکن است فایل های پشتیبانی را به شما ارائه دهد، اما همه ی موارد بگونه ای تجهیز نشده اند تا پیچیدگی های نصب ورد پرس را مدیریت و اجرا کنند.
مطمئن شوید که نرم افزار پشتیبان گیری شما میتواند تمام پایگاه داده ها و تمام فایل های وبسایت شما را پشتیبان گیری کند و راهی را برای بازگردانی آنها فراهم کند.

۸- شما میتوانید برای امن کردن وبسایت خودتان و به حداقل رساندن خطر، کارهای خاصی را انجام دهید.

 

خبر خوب! در صورتیکه صاحبان وبسایت ها از یکسری بهترین اعمال امنیتی وردپرس پیروی کنند، از وقوع بیشتر مسائل امنیتی مرتبط با وردپرس میتوانند جلوگیری کنند.
درست همانند قفل کردن درهای خانه، وبسایت شما هم باید دارای معیار های امنیتی در محل باشد، که با سرمایه گذاری بر روی یک سیستم هشدار دهنده و پرداخت بیمه محقق میشود. با چند گام ساده میتوان به امنیت بالاتری از وردپرس دست یافت.

یک فهرست تطبیقی ساده در رابطه با امنیت وردپرس:
ð      ۱٫ میزبانی با کیفیت و امتحان پس داده را برای شبکه خود برگزینید.
ð      ۲٫ ورود به وردپرس خود را با رمز عبوری قوی و احراز هویت دو مرحله ای امن سازید.
ð      ۳٫ افزونه ها، تم ها و برنامه وردپرس خود را بروز نگه دارید.
ð      ۴٫ افزونه ها و تم های بلا استفاده را کاملا لغو نصب و حذف کنید.
ð      ۵٫ برای نصب افزونه ها و تم ها تنها از توزیع کنندگان معتبر نرم افزار استفاده کنید.
ð      ۶٫ برنامه پشتیبان گیری از وردپرس  داشته باشید.
ð      ۷٫ پروتکل SSL را به وبسایت خود اضافه کنید.

۹- احراز هویت دو مرحله ای را به قسمت ورود به صفحه مدیریت وردپرس خود بیفزایید.

 

یکی از بهترین راه ها برای محفوظ داشتن سایت وردپرس شما این است تا از احراز هویت دومرحله ای استفاده کنید.
احراز هویت دو مرحله ای یک لایه امنیتی اضافی را به بخش ورود به وردپرس شما می افزاید. بمنظور ورود موفقیت آمیز، علاوه بر رمز عبور، شما نیازمند یک کد حساس نسبت به زمان هستید که برای یک دستگاه دیگر، مانند گوشی هوشمند، ارسال میشود.
احراز هویت دو مرحله ای یکی از بهترین راه ها برای قفل کردن و محدود کردن دسترسی به وردپرس شماست و تقریبا بطور کامل خطر حملات جستجوی فراگیر موفقیت آمیز را به حداقل میرساند.
درحالیکه وردپرس روشی داخلی برای افزودن احراز هویت دو مرحله ای را ارائه نمیدهد، شما میتوانید از افزونه ای مانند iTheme Security استفاده کنید و این کارایی را به وبسایت خود بیفزایید.

۱۰- یک افزونه امنیتی وردپرس میتواند به شما در این امر کمک کند.

 

یک افزونه امنیتی وردپرس مانند iTheme Security Pro  را نصب کنید تا از وبسایت خودتان بیش از پیش محافظت کنید.
Themes Security Pro کاربردهایی نظیر قفل کردن و محدود سازی وردپرس، درست کردن چاله های امنیتی متداول، متوقف سازی حملات خودکار و تقویت اعتبار نامه های کاربر دارد.

5/5 ( 2 بازدید )

این پست را با دوستان خود به اشتراک بگذارید

Share on twitter
Share on linkedin
Share on email

بدون دیدگاه، دیدگاه خود را در زیر اضافه کنید!


افزودن دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مدیرتولز، تلفیق مهندسی و هنر

مدیرتولز چیست؟

مدیرتولز © آژانس تبلیغاتی 360  °   با همکاری و همراهی مجموعه ای از چندین متخصص خبره پیرامون محیطی با تلفیق از مهندسی و هنر با سابقه کاری مرتبط در  توسعه نرم‌افزار , طراحی گرافیک , رابط کاربری و تجربه کاربری , مدیریت خلاقیت و نوآوری , ساخت تیزر , انیمیشن و موشن گرافی در سال 1396 در شهر تهران متولد شد . پایه گذاران مدیرتولز تیمی با انگیزه , جوان و در عین حال با تجربه‌اند که با اعتقادی راسخ به هم‌افزایی و حصول نتایج موثر با اتکا به قدرت تیمی کنار هم جمع شده‌اند تا تعریفی نزدیک‌تر از آژانس تبلیغاتی نسبت به فاصله نسبتاً استانداردهای موجود در کشور با نصاب‌های جهانی به هموطنان و صاحبین کسب و کار عزیز ارائه نمایند.  

لینک های مفید

  • طراحی سایت پزشکی
  • طراحی سایت شرکتی
  • سئو
  • طراحی سایت فروشگاهی
  • عکاسی صنعتی

تمامی حقوق این وبسایت متلق به مجموعه مدیرتولز می باشد.