خانه / مقالات / اینترنت و وب / نحوه ایمن کردن سایت وردپرس

نحوه ایمن کردن سایت وردپرس

نحوه ایمن کردن سایت وردپرس
قدرت سایت¬های وردپرس از بسیاری از سایت¬های آنلاین دیگر بیشتر است و این موضوع عجیبی نیست زیرا سایت¬های وردپرس به خوبی پشتیبانی می¬شوند و استفاده آسان دارند و به شدت انعطاف¬پذیر می¬باشند. این سیستم مانند قدیم تنها وظیفه قرار دادن پست¬های ساده را در فضای اینترنت بر عهده ندارد بلکه با سیستم مدیریتی قدرتمندی که دارد قوی¬تر شده و با دارا بودن رابط کاربری عالی، قابلیت اجرای سایت¬های بزرگ و معروف را نیز دارد.
متاسفانه، هرچه یک سیستم معروف¬تر می¬شود-این سیستم می¬تواند Windows، Android یا یک ابزار انتشار مانند WordPress باشد- به میزان کمتری توجه کاربران وسواسی را به خود جلب می¬کند. اگر بخواهیم واضح بگوییم، این سیستم اکنون بیشتر از هر زمان دیگری شاید مورد حمله کاربران و منتقدان قرار گیرد.
اما خبرهای خوبی برای شما داریم. برای رفع این مشکل، دامنه وسیعی از ابزارها و افزونه¬ها طراحی شده¬اند، پس به راحتی و به سرعت می¬توانید سایت وردپرس خود را قوی¬تر و پایدارتر- حتی بهتر از قبل- کنید و به صورت یک کاربر حرفه¬ای از آن استفاده کنید.
در این مقاله ما به شما نحوه قوی¬تر کردن سایت شما را آموزش می¬دهیم. با دنبال کردن این مراحل می¬توانید مطمئن باشید که سایت شما تقریباً در مقابل همه حملات مقاومت می¬کند و باعث می¬شود سایت شما کمتر مورد توجه حمله کنندگان قرار گیرد. حتی اگر مقاومت¬های شما در برابر حملات بی نتیجه باشد و سایت شما فروپاشیده شود، بازهم می¬توانید با استفاده از backup آن را احیا کنید و کمترین میزان خسارت اطلاعات را متحمل شوید.
قبل از شروع این کار یک توصیه ما را در نظر بگیرید، این توصیه¬ای است که ما به کاربر هر سیستم عاملی می¬کنیم: اگر در طول شش هفته گذشته پسورد خود را عوض نکرده¬اید، اکنون این کار را انجام دهید-و همچنین از بقیه کاربرهای دیگری که حساب کاربری خود را بر روی سیستم شما فعال کرده¬اند بخواهید که رمز خود را تغییر دهند. شما باید برای تعیین مدت عوض کردن پسورد و قرار دادن پسوردهای پیچیده¬تر به صورت خودکار به منظور هک نشدن، برنامه WP Password Policy Manager را از سایت pcpro.link/257word دانلود کرده و نصب نمایید.
ما ترجیح می¬دهیم در کار کردن با ابزاری مانند وردپرس از یک پسورد منیجر خارجی استفاده نکنیم، زیرا اولین مزیت استفاده از برنامه¬های آنلاین این است که شما می¬توانید از هرجایی که دوست دارید، و هر زمانی به آنها دسترسی داشته باشید. پس اگر از یک مدیر پسورد خارجی استفاده کنید و پسوردهای پیچیده¬ای برای سایت خود قرار دهید، در صورتی که از لپ تاپ خود دور باشید احتمالاً از ناراحتی فریاد خواهید زد (مگر این که این پسوردها را در یک برنامه بر روی گوشی هوشمند خود ذخیره کرده باشید).
بنابراین ما به قرار دادن پسوردهای منحصر به فرد، و البته با این قابلیت که به آسانی به خاطر می آیند، عادت کرده¬ایم. این پسوردها را ما به صورت زیر بر روی سایت¬های خود قرار می¬دهیم:
• به یک عبارت بامعنی فکرکنید که هیچ کس دیگر نمی¬تواند آن را حدس بزند، این عبارت شامل نام¬ها، شماره¬ها، ترتیب¬ها و نشان¬گذاری¬¬ها می¬باشد. برای مثال: “چرا تو به دومین سگ خود به نام Bob زنگ زدی؟”
• ابتدای هر کلمه را در نظر بگیرید، اعداد نوشته شده را به حروف تبدیل کنید، حروف بزرگ و کوچک را مدنظر قرار دهید. با استفاده از این مثال، ما به عنوان نمونه پسورد “Wdycy2ndpB” را قرار می¬دهیم. این پسورد به راحتی به خاطر سپرده می¬شود اما حدس زدن آن کار خیلی سختی است.
• در هر دامنه¬ای که لاگین می¬شوید تعدادی حروف را برای آن قرار دهید. شما همیشه باید برای همه دامنه¬ها همان حروف را انتخاب کنید. مثلاً برای دامنه alphr.com با دو حرف آخر دامنه یعنی “hr” را انتخاب کنید، یا برای دامنه gmail.com دوحرف “il” و برای bbc.co.uk/news دو حرف آخر یعنی “bc” را انتخاب نمایید. البته باید این واژه¬ها را در جایی در بین عبارت¬های خود قرار دهید. برای مثال، ما باید به گونه¬ای آنها را معکوس کنیم و قبل از “۲” قرار دهیم، پس زمانی که به سایت alphr.com لاگین می¬شویم، پسوردها ما “Wdycyrh2ndpB” خواهد بود، در حالی که برای ورود به سایت Gmail پسورد ما “Wdychli2ndpB” خواهد بود.
• نتیجه مورد نظر حدس زدنش سخت است، ولی برای دسترسی به هر سایتی که می¬خواهیم به آن لاگین شویم، به راحتی به خاطرمان می-آید، به این دلیل که این پسورد با اینکه برای همه شبیه است اما در چند حرف متفاوت هستند. حتی اگر شما بخواهید هر شش هفته یکبار پسورد خود را تغییر دهید، بازهم تنها مجبورید یک عبارت جدید و یک فرمول را برای همه لاگین¬های خود به خاطر بسپارید.
قرار دادن و نگه داشتن یک پسورد ضعیف بیشتر شبیه به یک کار بیهوده است، زیرا این کار به این معنی است که شما ورودی سایت خود را با یک قفل خراب و ضعیف امن کرده¬اید و به راحتی بازشده و می¬شکند. پس، اولین قدم برای مقاوم کردن اطلاعات سری شما همان راه¬هایی است که در بالاتر اشاره کردیم، سپس شما باید گام¬های زیر را دنبال کنید تا ایمنی سایت شما کامل شود.
۱- وردپرس را به روز نگه دارید
وردپرس به دائمی و مرتب آپدیت می¬شود و با بیرون آمدن هر آپدیت، ویژگی ها و قابلیت¬های جدیدی را به شما ارائه می¬دهد و برخی از این آپدیت¬ها بر روی پچ¬ها و امنیت وردپرس تمرکز دارند. مطمئن شوید که شما همیشه از جدیدترین نسخه¬های وردپرس استفاده می¬کنید، به این ترتیب اگر برنامه وردپرس و همچنین تم¬ها و افزونه¬ها و پلاگین¬های مربوط به آن همگی به روز باشند، راحتتر می¬توانید در مقابل نقص¬ها و حملات مقاومت کنید. جدیدترین نسخه عمومی از این ابزار، نسخه ۴٫۳٫۱ است. اگر این نسخه را داشته باشید می¬توانید این شماره نسخه را در پایین صفحه و در قسمت Dashboard آن ببینید. اگر نسخه شما قدیمی است، این خط در داشبود تبدیل به عبارت “Get version x.x.x” خواهد شد. برای روی این عبارت کلیک کنید تا شما را به صفحه آپدیت هدایت کند. توجه داشته باشید که اگر شما وردپرس ۴ یا جدیدتر را بر روی سیستم خود دارید، آپدیت¬ها و اصلاحیات جدید و کوچک به صورت خودکار نصب خواهند شد.
۲- تم¬ها و پلاگین¬ها را آپدیت کنید
به همان اندازه که به روز نگه داشتن برنامه اصلی وردپرس مهم است، به روز نگه داشتن تم¬ها و پلاگین¬ها نیز از اهمیت بالایی برخوردار است. اگر پلاگین¬ها و یا تم¬های شما به روز نباشند، در داشبورد خود و در کنار نام سایت شما در بالا علامتی را خواهید دید (دو فلش که به دور هم چرخیده می¬شوند) و یک عدد را در کنار آنها خواهید دید، این علامت به این معنی است که باید آپدیت کنید. بر روی آن کلیک کرده و هر پچی را موردنیاز برای آپدیت کردن است به کار بگیرید. اگر تم¬های نصب شده خود را ناقص کرده¬اید پس باید بیشتر مواظب باشید زیرا آپدیت¬ها معمولاً بر روی اصلاحیات شما سوار شده و آنها را به هم می¬زنند مگر اینکه شما این تغییرات را توسط یک تم کودک (Child Theme) اعمال کرده باشید. اگر شما از یک child theme استفاده نمی¬کنید، همیشه به یاد داشته باشید که قبل از اعمال کردن آپدیت¬ها یک کپی از backupهای مربوط به تم¬های تنظیم¬شده خود داشته باشید، به این طریق بعد از انجام آپدیت¬ هم می¬توانید تنظیمات خود را بازیابی کنید.
۳- یک نگهبان نصب کنید
شما نمی¬توانید تمام روز را به تماشای هکرهایی که قصد ورود غیرمجاز به حریم خصوصی شما دارند، بنشینید، پس یک برای رفع مشکل ناامنی برنامه Wordfence را از سایت wordfence.com نصب کنید. این برنامه در هر دو حالت رایگان و پولی (۳۹دلار برای هر سال) موجود است. ما توصیه می¬کنیم که با نسخه رایگان آن کار را شروع کرده و سپس اگر مایل به پرداخت هزینه¬ای بودید، ارتقا دهید. بدون پرداخت، شما می¬توانید آدرس¬های IP موردنظر خود را مسدود کنید، به دنبال تغییرات DNS بگردید، بدافزارهای شناخته شده را دفع کنید، دزدان اطلاعات و هکرها را محدود کنید و شاید مهمتر از همه، هر فایلی را که خراب (corrupted) شده یا از فرم اصلی خود درآمده است را ترمیم کنید، که این خرابی فایل¬ها ممکن است براثر نصب کدهای غیرقانونی و غیرمجاز بر روی سرور شما اتفاق افتاده باشد.
با یک نگاه کوتاه به داشبود وردپرس خود و پنل مربوط به برنامه Wordfence می¬توانید جزئیات مربوط به ورودهای غیرمجاز در طول دو هفته گذشته به سایت خود را مشاهده کنید، این جزئیات به شما کمک می¬کند بدانید که کدام یک از حساب¬های کاربران بیشتر از بقیه مورد حمله هکرها قرار گرفته است. همانطور که در تصویر مشاهده می¬کنید، ۹ مورد تلاش برای وارد شدن به یکی از سایت¬های ما با استفاده از یک حساب قلابی به نام “admin” شده است، که همین موضوع ما را وادار به بیان کردن نکته بعدی در مورد امنیت سایت کرد.
۴- Admin user خود را نابود کنید
هکرهای مصمم سعی می¬کنند از طریق حمله brute force (نوعی حمله است که در آن هکر همه احتملات ممکن را امتحان می¬کند تا بتواند به پسورد شما برسد) وارد سیستم شما شوند. با پاک کردن تمامی لاگین¬های “admin” یا راه¬اندازی نکردن این لاگین¬ها، شما گام بزرگی را در سخت¬تر کردن کار این هکرها برداشته¬اید. بسیاری از سیستم¬ها- مخصوصاً سیستم¬هایی که به تازگی از سیستم¬های قدیمی که در آنها نام کاربری به صورت پیش فرض admin بود به نسخه های جدید آپدیت شده¬اند- هنوز این ویژگی را در خود حفظ کرده¬اند. زمانی که شما این حساب¬های admin را پاک می¬کنید به این معنی است که هکر باید یک کادر بیشتر از پسورد را برای باز کردن سیستم شما حدس بزند و این کار تقریباً غیرممکن است، این کار شانس هکرها را برای ورود تقریباً نزدیک به صفر می¬کند. مطمئن شوید که یک حساب ادمین دیگر را از طریق داشبورد و با کلیک کردن بر روی All Users از قسمت لایه Users موجود در نوار کناری، تنظیم می¬کنید، سپس بر روی Edit در زیر یکی از نام¬های کاربران خود کلیک کرده و نام آن را به “Administrator” تغییر دهید. با این کار سیستم شما بدون admin نخواهد بود.
۵- پیشوند جدول خود را تغییر دهید
زمانی که شما یک سایت را راه¬اندازی می¬کنید، وردپرس از شما سوال می¬کند که می¬خواهید از چه پیشوندی برای جدول خود استفاده کنید (جدول جایی است که تمامی اطلاعات مربوط به پست¬ها شما در آن ذخیره می¬شود). این سیستم به صورت پیش¬فرض پیشوند “wp_” را پیشنهاد می¬کند، و بسیاری از هکرها هم فرض خود را بر این قرار می¬دهند که شما همین پیشوند را انتخاب کرده و استفاده می¬کنید. همین موضوع نقطه ضعفی برای شما خواهد شد و به هکرها یک سرنخ برای حمله مستقیم به پایگاه داده MySQL شما می¬دهد. از این به بعد با تغییر این پیشوند برای هرسایتی که راه-اندازی می¬کنید، زندگی را برای این هکرها سخت¬تر کنید. این گزینه، چیزی نیست که نیاز باشد شما بیش از یک مرتبه آن را تایپ کنید، پس یک عبارت مبهم را تایپ کنید تا حدس آن بسیار سخت باشد.
۶- از مصیبت¬های دیگران نفع ببرید
یک مزیت خوبی که تقلید از سایت¬های دیگر در نحوه استفاده از سایت دارد، این است که شما از تجربیات آنها استفاده می¬کنید. افزونه رایگان Jetpack را نصب کنید (برای یافتن آن بر روی Plugins کلیک کنید، و در نوار کناری داشبورد Add New را بزنید) و ابزار Protect را فعال (enable) کنید. این ویژگی آدرس IP تمام کاربران را مقایسه می¬کند و با لیستی که توسط سایت¬های دیگر، که دارای Jetpack هستند و ابزار Protect را فعال کرده¬اند، جمع¬آوری شده است از سایت شما بازدید می¬کند. اگر هریک از این سایت¬ها یک آدرس را به عنوان یک خطر معرفی کرده¬ باشند که از حمله brute-force استفاده کرده است، این آدرس وارد لیست سیاه می¬شود و به همین ترتیب توسط سایت شما هم ممنوع شده و اجازه ورود را نخواهند داشت.
۷- پیام خطاهای کمک کننده را پنهان کنید
گاهی اوقات دانستن دلیل اینکه چرا نمی¬توانید کار خود را با موفقیت انجام دهید، برای هکرها تبدیل به سرنخی می¬شود تا بتوانند امنیت را شکسته و وارد سایت شما شوند. در اینجا غیرفعال کردن خطای مربوط به لاگین (ورود) کمک کننده است زیرا به دیگران اجازه نمی¬دهد که بدانند کلمه عبور یا نام کاربری خود را اشتباه وارد کرده¬اید، و این کار را می¬توانید با به کار گیری یک خط کد در فایل Function.PHP خود انجام دهید. این فایل را در مسیر theme ها می¬توانید پیدا کنید. با هر ویرایشگر کدی که دوست دارید آن را باز کنید و عبارت زیرا را بلافاصله قبل از بستن “?>” در انتهای فایل، وارد نمایید:
add_filter(‘login_errors’,create_function(‘$a’,”return null;”));
این کد به وردپرس می¬گوید که وقتی یک خطا رخ می¬دهد، باید یک نمایش خالی داشته باشد (null) و جزئیات را نشان ندهد.
۸- مجوزهای خود را بررسی و محدود کنید
به هیچ چیز و هیچ کس اجازه ندهید بیش از مقداری که واقعاً نیاز دارند به سرور شما دسترسی داشته باشند. وردپرس مجوز پیش فرض ۷۵۵ برای تمامی پوشه¬ها، و مجوز ۶۴۴ برای فایل ها را به کاربران توصیه می¬کند. شما همچنین می¬توانید این مجوزها را با استفاده از FTP client خود و با راست-کلیک کردن بر روی هرکدام و انتخاب Set Permissions سپس info یا CHMOD از منوی موردنظر، تغییر دهید. اگر اپلیکیشن FTP شما به شما اجازه تایپ کردن اعداد به صورت مستقیم را نمی¬دهد، با استفاده از تیک گذاشتن جعبه¬های زیر می¬توانید این مجوزها را تنظیم کنید:
۷۵۵: خواندن، نوشتن و اعمال تغییرات برای “کاربر”، و خواندن و اعمال تغییرات برای هر دوی “گروه” و “جهان”
۶۴۴: خواندن و نوشتن برای “کاربر”، و فقط خواندن برای هردوی “گروه” و “جهان”
بسته به نحوه پیکربندی شما، شاید نیاز باشد کمی محتاط تر عمل کنید و این مجوزها را به ترتیب به مقادیر ۷۵۵ و ۶۶۴ تغییر دهید. انجام این کار بسیار راحت است زیرا این مجوزها مطابق با هریک از سطوح تعیین شده به وسیله کدهای صفر و یک مشخص شده اند. عدد ۴ برای خواندن، عدد ۲ برای نوشتن و عدد ۱ برای اعمال تغییرات، پس با این اوصاف ۷۵۵ خواندن، نوشتن و اعمال تغییرات برای هردوی “کاربر” و “گروه” خواهد بود (۱+۲+۴) و خواندن و اعمال تغییرات برای “جهان” (۱+۴) می¬باشد.
برای کسب اطلاعات بیشتر در مورد امن کردن مجوز مربوط به فایل¬ها برای راه اندازی مطمئن وردپرس، به سایت pcpro.link/257word1 مراجعه کنید. برای فهم بهتر مجوزها هم به سایت pcpro.link/257word2 مراجعه کنید.
۹- دائماً پشتیبان¬گیری کنید
شما باید از سایت وردپرس خود بک¬آپ¬های منظم بگیرید- واین پشتیبان گیری باید هم از فایل¬های آپلود شده و هم محتوای پایگاه داده شما باید گرفته شود. اما چگونه؟ کمپانی Automattic، کمپانی¬ای که مسئول توسعه وردپرس است، یک راه¬حل برای این کار را ارائه کرده است، این راه حل برنامه پولی VaultPress با قیمت ۹۹ دلار برای یک سال و از آدرس vaultpress.com قابل خریداری است، این برنامه پشتیبان¬گیری های روزانه انجام می¬دهد و برای بازگشت به اطلاعات قبلی محض احتیاط، اطلاعات مربوط به ۳۰ روز گذشته را درخود نگه می¬دارد. اگر شما یک حساب در Dropbox دارید، افزونه رایگان وردپرس به نام BackWPup را نصب کنید. این افزونه یک پشتیبان از سایت شما گرفته و بدون هیچ هزینه¬ای در Dropbox قرار می¬دهد (ما توصیه می¬کنیم که اگر سایت شما پربازدید است، روزانه این کار را انجام دهید).

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*

x

شاید بپسندید

سیستم نورپردازی - ماهنامه رایانه

یک دستگاه نورپردازی خودکار بسازید…

در حال درست کردن یک فایل ارائه، کار کردن روی یک سند ...