تماس با پشتیبانی

09370650982

support@slivertheme.ir

ایمن سازی کامل وردپرس

اگر آخرین نسخه وردپرس را بر روی یک سرور با امنیت خوب، بدون هیچ افزونه و قالبی نصب کنید، امکان هک شدن تقریبا به صفر می رسد. ولی چنین چیزی تقریبا غیر ممکن است و حتما لازم است که از قالب و افزونه های مختلف استفاده کرد.

هسته وردپرس بسیار امن بوده و بر اساس آمارهای سال ۲۰۱۳، ۲۲ درصد از ۱۰ میلیون سایت برتر جهان (از نظر بازدید) و در کل در حدود ۶۰ میلیون وب سایت از سیستم مدیریت محتوای وردپرس استفاده  می کنند.

یادتان نرود که قبل از هر چیز، خرید هاست از شرکت های معتبر نسبت به برقراری امنیت توسط خودتان در اولویت است.

1- همیشه وردپرس را بروز نگه دارید. در هنگام نصب از آخرین ورژن وردپرس استفاده کرده و آن را همیشه بروز نگه دارید. به جرأت می توان گفت که با این کار نیمی از راه امنیت وب سایتتان را طی کرده اید. همچنین تا جایی که امکان دارد از کدهای مسدود کننده آپدیت خودکار استفاده نکنید.

 

2- همیشه و به طور منظم از فایل ها و دیتابیس خود، نسخه پشتیبان تهیه کنید. خرید هاست از شرکت هایی که این کار را برای شما انجام می دهند می تواند کمک بسیار مناسبی به شما بکند. اما در رایانه شخصی خودتان هم نسخه پشتیبان داشته باشید.

 

3- پیش از نصب وردپرس به آدرس api.wordpress.org/secret-key/1.1/salt بروید و کدهای تصادفی ایجاد شده را با کدهای پیشفرض درون فایل wp-config.php که در زیر نشان داده شده است جایگزین کنید.

re-code

4- فایل wp-config.php را به یک سطح بالاتر منتقل کنید. برای این کار از درون کنترل پنل هاست خود بر روی این فایل راست کلیک کرده و گزینه Move را انتخاب کنید. عبارت public_html و هرچیز دیگری که در محل آدرس جابجایی فایل وجود دارد را پاک کرده و گزینه Move File را کلیک کنید.

فایل کانفیگ مانند شکل زیر به یک سطح بالاتر منتقل می شود. با این کار جلوی سرقت اطلاعات حیاتی دیتابیس از طریق Symlink گرفته می شود.

upper-loc

۵- پس از نصب وردپرس، سطح دسترسی یوزر به دیتابیس را محدود کرده و مطابق شکل زیر تنظیم کنید. (دسترسی های بی مورد را حذف کنید)

database-access

 پس از نصب وردپرس و یا هر بار بروز رسانی آن، فایل های readme.html و install.plp را حتما پاک کنید.

 

۷- فایلی با نام robots.txt را در صفحه اصلی هاست خود ایجاد کرده و اجازه ایندکس کردن صفحات اضافی و دایرکتوری های خصوصی را از موتورهای جستجو بگیرید. چرا که اکثر مواقع هکرها از موتورهای جستجو برای یافتن سایت های دارای حفره امنیتی استفاده می کنند.

 

۸- به یاد داشته باشید که نباید از هر قالبی استفاده و یا از هر وب سایتی، قالب دانلود کرد. به طور کلی استفاده از قالب های رایگان و بی نام و نشان ممنوع !

دلیل اول: ممکن است قالب، حفره امنیتی داشته باشد و اگه شما قالب را از یک شرکت معتبر خریده باشید، حتما از آپدیت های بعدی و رفع اشکالات احتمالی بهره مند می شوید.

دلیل دوم: ممکن است قالبی که به صورت رایگان دانلود می کنید، حاوی shell باشد. این موضوع، سرعت هک وب سایت شما را به زیر سی ثانیه کاهش میدهد !!!

دلیل سوم: چون پیدا کردن shell توسط آنتی ویروس ها به راحتی (البته نه برای آدم های مبتدی) انجام می شود، ممکن است شخصی یک سری کد های مخرب را در درون فایل های قالب گنجانده و به اصطلاح یک در مخفی در وب سایت شما جاسازی کند. پیدا کردن چنین کدهای مخربی سخت تر از پیدا کردن shell در قالب است و معمولا با استفاده از افزونه هایی مثل Theme Authenticity Checker انجام میگیرد.

 

۹- تا جایی که می توانید از افزونه های وردپرس استفاده نکنید. اگر یک هکر قصد هک کردن شما را داشته باشد، ۱۰۰ درصد در ابتدا افزونه های شما را بررسی می کند. اگر از افزونه ها استفاده می کنید، موارد زیر را رعایت فرمایید.

الف: افزونه ها را از طریق مخزن افزونه های وردپرس نصب کنید. یعنی مثلا از یک سایت دانلود و روی هاست بارگذاری و نصب نکنید.

ب: از افزونه های بی نام و نشان استفاده نکنید.

ج: قبل از نصب هر افزونه، نام آن را در وب سایت های ثبت باگ مثل exploit-db.com جستجو کنید و ببینید که برای این افزونه، مشکل امنیتی ثبت نشده باشد.

د: افزونه ها را همیشه به روز نگه دارید.

 

۱۰- با استفاده از افزونه Prevent Password Reset بازیابی رمز عبور را برای مدیران غیر فعال کنید. پس از نصب این افزونه به صفحه پروفایل کاربر مربوطه رفته و گزینه Prevent password from being reset via the “lost password” form را انتخاب کرده و به روز رسانی را کلیک کنید.

 

۱۱- از رمز عبور قوی که از حروف، اعداد و نشانه های مختلف تشکیل شده است استفاده کنید. به یاد داشته باشید که طول رمز عبور حداقل باید ده کارارکتر باشد.

 

۱۲- از افزونه Wordpress Firewall استفاده کنید. این افزونه جلوی وارد کردن برخی از دستورات مخرب مثل sql injection را گرفته و در صورت مشاهده چنین حملاتی، از طریق ایمیل به شما اطلاع رسانی می کند.

 

۱۳- برای نام کاربری مدیران، لقب (nickname) انتخاب کنید. با این کار، نام کاربری شما برای ورود به پنل مدیریت به راحتی در اختیار دیگران قرار نمیگیرد. جالب است که بدانید این نکته ساده امنیتی در اغلب موارد رعایت نمی شود و کار هکرها برای حملات Brute Force  ساده تر می شود.

 

۱۴- تعداد بسیار زیادی از دیگر موارد امنیتی را می توانید از طریق افزونه IThemes Security به صورت خودکار انجام دهید. به برخی از امکانات این افزونه در ادامه اشاره شده است:

بک آپ گیری خودکار از دیتابیس
اطلاع رسانی و ذخیره فعالیت های مشکوک کاربران
محدود کردن کاربران در تعداد دفعات مواجهه با خطای ۴۰۴
محدود کردن تعداد دفعات تلاش برای ورود به پنل مدیریت
عوض کردن آدرس پیشفرض ورود به پنل مدیریت
مخفی کردن ورژن وردپرس شما
غیر فعال کردن قابلیت نوشتن بر روی فایل های php و یا آپلود فایل های php از درون پنل مدیریت وردپرس
بلاک کردن رشته های طولانی در قسمت آدرس url
تغییر پیشوند جداول دیتابیس

و …

 

۱۵-  پس از انجام تنظیمات افزونه IThemes Security، سطح دسترسی فایل ها را به این صورت تغییر دهید.

htaccess : 404
wp-config.php : 400
index.php : 400
wp-blog-header.php : 400
wp-admin: 705
wp-includes : 705
wp-content : 705

 

۱۶- محتوای فایل wp-config را با استفاده از وبسایت phpencode.org به صورت کد شده درآورید و جایگزین محتوای قبلی آن کنید. فقط یادتان باشد که قبل از این کار از فایل wp-config یک بک آپ تهیه کنید. با این کار از اطلاعات دیتابیس شما محافظت بیشتری می شود.

درباره مسعود درویشی

مسعود درویشی هستم، 6 سال در زمینه طراحی وب فعالیت دارم و به سیستم مدیریت محتوای وردپرس مسلط هستم. تیم سلیورتم نه تنها در زمینه طراحی وب، بلکه در زمینه های گرافیک، ابزارهای وبمستران نیز فعالیت دارد. آموزش های ویدیویی سایت توسط بنده تهیه می شود.

دسته بندی و برچسب ها


دسته ها:هک وردپرس


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *