زمان انتشار:
یکشنبه 27 فروردین 1402
نحوه بالا بردن امنیت در Wordpress
همانطور که می دانید وردپرس پر استفاده ترین CMS حال حاضر دنیا می باشد که بیشترین سهم را در وبسایت های دنیا نسبت به بقیه CMS ها و پلتفرم ها دارد. در این مقاله راهکار هایی جهت افزایش امنیت وردپرس را بررسی می کنیم:
آپدیت بودن وردپرس و پلاگین ها به آخرین نسخه
مهمترین نکته ای که باید در این رابطه در نظر داشت این است که سعی شود همیشه از آخرین نسخه استفاده شود. یکی از رفتار های شرکت های ارائه دهنده سیستم های مدیریت محتوا و ارائه دهندگان افزونه ها این است که بعد از ارائه آخرین نسخه اشکالات و باگ های امنیتی نسخه قبلی که در نسخه جدید برطرف شده است را اعلام می کنند. این کار باعث می شود که هکر ها از نقاط ضعف نسخه هایی که به روز نیستند آگاه شوند و خیلی آسان بتوانند به وبسایت ها نفوذ کنند. پس همیشه بهتر است تا CMS به روز باشد.
ایجاد Custom Key برای فایل wp-config.php
فایل wp-config.php در وردپرس حاوی تمامی تنظیمات و دسترسی های وبسایت ها است . حفاظت از این فایل تاثیر زیادی در جلوگیری از هک شدن وبسایت دارد. قطعه کدی مانند کد زیر در این فایل قرار دارد:
define('AUTH_KEY', 'put yourghj unique phraghjghjse here');
define('SECURE_AUTH_KEY', 'put yourghj unique phraghjghjse here');
define('LOGGED_IN_KEY', 'put your unique phrasghjghjghje here');
define('NONCE_KEY', 'put yourjghj unique phrasehgjghj here');
define('AUTH_SALT', 'put your uniquehgjgfjh phrase here');
define('SECURE_AUTH_SALT', 'put your dghjghuniqufjdje phrase here');
define('LOGGED_IN_SALT', 'put your uniqdghjghjue phrase here');
define('NONCE_SALT', 'put your unique dghjghjphrase here');
این قطعه کد که Secret Key نامیده می شود بایستی تغیر پیدا کند. یک Secret Key مختص هر وب سایت تولید شود و جایگزین گردد .
تغییر Table Prefix از wp_ به متن دیگر
بصورت پیش فرض وردپرس برای ایجاد جداول دیتابیس از Prefix های با نام wp_ استفاده می کند.
یکی از راه های هکر ها برای هک کردن وبسایت های وردپرس استفاده از دیتابیس می باشد. با توجه به این که wp_ بصورت پیش فرض از سمت وردپرس استفاده می شود اولین موردی که از سمت هکر ها هم برسی می شود همین است. پس پیشنهاد میشود حتما اقدامات لازم برای تغییر Table Prefix دیتابیس وبسایت انجام شود .
جهت تغییر Prefix وبسایت , در فایل wp-config.php و کد $table_prefix = 'wp_'; را پیدا کرده . سپس به جای wp از حروف دیگر استفاده می نمایند.
قرار دادن فولدر wp-admin در Secure Folder
همانطور که مشخص است برای ورود به صفحه مدیریت وردپرس از آدرس yourdomain.com/wp-admin استفاده می شود. پیشنهاد میشود این فولدر را در یک Secure Folder قرار دهند.
نصب پلاگین WordPress Security Scan
این پلاگین یک پلاگین امنیتی خوب در زمینه بررسی وبسایت است.
بعد از بررسی کامل پیشنهاد هایی جهت افزایش امنیت ارائه می دهد.
WordPress Security Scan موارد زیر را مورد بررسی قرار می دهد:
پسورد ها - دسترسی فایل ها - امنیت دیتابیس - امنیت مدیریت وردپرس
استفاده از افزونه AntiVirus
با استفاده از این افزونه می توان وبسایت را جهت ورود فایل های مخرب و بد افزار ها محافظت کرد.
جلوگیری از تلاش برای ورود به مدیریت سایت
وردپرس به صورت پیشفرض محدودیتی برای تعداد دفعات لاگین اشتباه در نظر نگرفته است.
با استفاده از افزونه Limit Login Attempts و یا Login Lockdown محدودیت مورد نظر را برای تعداد لاگین های اشتباه به مدیریت وبسایت را اعمال می نمایند.
عدم استفاده از افزونه های نا معتبر
بسیاری از سازندگان افزونه های رایگان با هدف های نفوذ به وبسایت ها افزونه هایشان را طراحی می کنند. در این شرایط بهتر است که حتما افزونه های مورد نیاز از سایت wordpress.org دانلود و نصب شود تا احتمال وجود Back Door در افزونه های نصبی وجود نداشته باشد.