چگونه امنیت وردپرس را در برابر آسیب پذیری ها افزایش دهیم

از آنجایی که وردپرس پر استفاده ترین سیستم مدیریت محتوا در جهان است و منبع باز است، اشخاص ثالث مضر و بدافزارها بیش از هر سیستم مدیریت محتوای دیگری در جهان این CMS را هدف قرار می دهند.

بسیاری از وب سایت ها چندین بار مورد هدف قرار گرفته اند، از حملات غیر مضر تا مضر. اگر وب‌سایت مشتری واقعاً آسیب دیده است، باید علت را شناسایی کند، آن را گزارش کند، اقدامات فوری و طولانی‌مدت برای اطمینان از ایمنی انجام دهد و سپس عملیات را ادامه دهد، که ساده است.

آسیب ناشی از تلاش هک نه تنها بر مدیر وب سایت، بلکه بر کاربری که از وب سایت بازدید کرده است نیز تأثیر می گذارد.
چه نوع حمله ای وجود دارد؟ ضرر بازدیدکنندگان چیست؟

آسیبی که سیستم مدیریت محتوا وردپرس با آن مواجه می شود این است که وقتی می خواهید به وب سایت خود دسترسی پیدا کنید، شما را به وب سایت دیگری هدایت می کند.

این رفتار نه تنها کاربر را گیج می کند، بلکه به ویروس اجازه می دهد تا به رایانه شخصی کاربر در مقصد تغییر مسیر داده شده دسترسی پیدا کند و در نتیجه یک صورت حساب جعلی ایجاد شود. ممکن است اشکالاتی وجود داشته باشد، مانند

این نوع حمله به نام اسکریپت بین سایتی (XSS) شناخته می شود و یکی از رایج ترین آنها است. لطفا برای اطلاعات بیشتر به مقاله زیر مراجعه کنید.
حملات معمولی وردپرس
حمله نیروی بی رحم

این یک تکنیک حمله است که رمز عبور را با تایپ برنامه‌ای آن در سایت‌هایی که به رمز عبور نیاز دارند، مانند صفحه ورود، و تکرار همه الگوها، فاش می‌کند. تنظیمات پیش فرض برای رابط مدیریت وردپرس /wp-admin و /wp-login.php هستند. URL صفحه ورود به سیستم به راحتی قابل حدس زدن است و آن را در برابر سوء استفاده آسیب پذیر می کند.

هنگام مشاهده گزارش ورود به صفحه ورود به سایت در سایتی که واقعا مورد حمله قرار گرفته است، مقدار زیادی از دسترسی از آدرس های IP خارجی قابل ردیابی است.

پس از ورود به سیستم، آنچه می توانید با آن مدیر انجام دهید مورد حمله قرار می گیرید.
تزریق SQL

این یک روش حمله است که در آن نرم افزار مخرب در رشته کاراکتری که به سرور منتقل می شود تعبیه می شود. عملیات پایگاه داده که در ابتدا برنامه ریزی نشده بودند در نتیجه یک حمله اجرا می شوند که منجر به آسیب هایی مانند نشت اطلاعات می شود.

حتی اگر فکر می کنید وردپرس اطلاعات شخصی را مدیریت نمی کند، یک آدرس ایمیل برای ثبت نام کاربر دارد، پس محتاط باشید.
DDos
حمله DDoS

این به وردپرس محدود نمی شود، بلکه روشی برای بارگذاری بیش از حد سرور با دسترسی مکرر به سایت است. همچنین به عنوان حمله F5 شناخته می شود. حمله DDoS یک حمله مخرب تر است که در آن یک ویروس بارگذاری شده بر روی تعداد نامعلومی از دستگاه ها به طور مداوم به سایت حمله می کند بدون اینکه کاربر آن دستگاه از آن مطلع باشد.
برای بهبود امنیت وردپرس چه باید کرد؟

تا به حال، من در مورد حملات صحبت کرده ام، اما وردپرس در برابر حملات آسیب پذیر است، بنابراین دفاعیات دائماً در جای خود هستند. من معتقدم که ممکن است با توجه به موارد واضح هنگام اجرا و نصب، از بسیاری از حملات جلوگیری شود.

بیایید به این فکر کنیم که از اینجا چه کاری می توانیم با اقدامات امنیتی وردپرس انجام دهیم.
بررسی سلامت سایت

لطفا به منوی سمت چپ صفحه مدیریت وردپرس بروید و Tools > Site Health را انتخاب کنید. این یک ویژگی پیش‌فرض وردپرس است که به شما نشان می‌دهد در تنظیمات فعلی خود به چه مواردی باید توجه کنید.

در حال حاضر بهبودهایی پس از نصب وجود دارد. اگر تم ها و پلاگین های غیر ضروری را نصب کنید، در صورت عدم به روز رسانی آنها در معرض آسیب پذیری آسیب پذیر هستید. پس حذفشون کن
به آخرین نسخه wordPress ارتقا دهید

وقتی صحبت از ارتقاء نسخه می شود، تمرکز بر روی ویژگی های جدید آسان است، اما ارتقاء نسخه تعمیر و نگهداری امنیتی رایج ترین آنهاست. در زمان نگارش، نسخه 5.9.3 بود، اگرچه سمت راست ترین عدد "3" نشان دهنده نسخه انتشار امنیت و نگهداری است. رفع اشکال در دسترس است، اما نگرانی های امنیتی نیز وجود دارد، بنابراین در جریان باشید.

همچنین می‌توانید فقط این ارتقاء نسخه امنیتی و نگهداری را خودکار کنید. با رفتن به «داشبورد» > «به‌روزرسانی»، تنظیم را فعال کنید.

نسخه اصلی همچنین می‌تواند خودکار باشد، اگرچه در مورد موضوع اصلی، بهتر است قبل از ارتقاء، صبر کنید تا تأیید کنید نرم‌افزاری که ساخته‌اید کار می‌کند.

از پلاگین های امنیتی استفاده کنید
افزونه های امنیتی وردپرس پلاگین های امنیتی وردپرس

شما می توانید آن را خودتان برنامه ریزی کنید، اما بسته به پلاگین ها، ممکن است به سادگی به شما اجازه نصب اقدامات امنیتی را بدهد. یکی از بهترین افزونه های امنیتی وردپرس بسیار توصیه می شود.

یک افزونه امنیتی وردپرس را انتخاب کنید که حداقل ویژگی های زیر را داشته باشد:

    URL صفحه ورود را تغییر دهید
    با استفاده از احراز هویت تصویر وارد شوید.
    به شما ایمیلی می‌دهد که ورود شما را تأیید می‌کند، همچنین به‌روزرسانی‌های وردپرس، افزونه‌ها و تم‌ها را تأیید می‌کند.

تشخیص آسیب پذیری

هنگامی که یک وب سایت مورد حمله قرار می گیرد، برخی از حملات به سرعت واکنش نشان می دهند، در حالی که برخی دیگر برای مدتی منتظر می مانند و قبل از ایجاد آسیب قابل توجه برای قسمت هایی که قابل مشاهده نیستند آماده می شوند. در نتیجه، حتی زمانی که هیچ اتفاقی نمی‌افتد، ارزیابی مکرر آسیب‌پذیری‌ها بسیار مهم است. برخی از خدمات آنلاین و افزونه‌ها از بیرون بررسی می‌شوند، بنابراین مطمئن شوید که عیب‌یابی را به طور مکرر اجرا کنید.
از سایت وردپرس خود نسخه پشتیبان تهیه کنید

شما می‌توانید با استفاده از این افزونه‌ها، زمان‌بندی پشتیبان‌گیری و موارد ذخیره‌سازی را انتخاب کنید. بهترین افزونه های پشتیبان وردپرس وجود دارد که می توان از آنها استفاده کرد، اما برای اکثر کاربران مبتدی و پیشرفته Updraft Plus به خوبی کار می کند.

 

اقدامات اساسی به وردپرس محدود نمی شود

مهم نیست که از چه سیستمی برای ایجاد و راه اندازی یک وب سایت استفاده می کنید، مواردی وجود دارد که باید از آنها محافظت کنید، بنابراین می خواهم به آنچه در کارم اهمیت می دهم اشاره کنم.
حساب های کاربری را به اشتراک نگذارید

از دادن دسترسی افراد متعدد به یکی از حساب های خود مانند WordPress یا FTP خودداری کنید. باید حساب کاربری خود را طوری تنظیم کنید که فقط یک نفر بتواند از هر حساب کاربری استفاده کند و رمز عبور را فقط آن شخص باید بداند.

اگر از یک حساب مشترک استفاده می‌کنید، زمانی که مشکلی پیش می‌آید، جدا کردن علت ممکن است دشوار باشد یا خطر نشت اطلاعات وجود داشته باشد.
آیا باید رمز عبور خود را مرتباً تغییر دهم؟

بحث های زیادی در مورد تغییر یا عدم تغییر رمزهای عبور وجود داشته است، و این وضعیت از زمانی که ترجیح داده می شد رمزهای عبور را به طور مکرر به روز می کرد، تغییر کرد. به عنوان مثال، در حمله brute force ذکر شده در بالا، حملات علیه همه الگوهای رمز عبور انجام می شود، بنابراین به روز رسانی رمزهای عبور به صورت مکرر بی معنی به نظر می رسد.

آیا حفظ گذرواژه‌ها در چنین شرایطی خطرناک نیست؟ به عنوان یک اقدام متقابل، احراز هویت تصویر و احراز هویت دو مرحله ای در دسترس هستند. با این وجود، احراز هویت مضاعف، که به یک انسان برای کار کردن نیاز دارد، ایمن‌تر از به‌روزرسانی‌های معمول رمز عبور است.
موجودی حساب

در سیستم، همه اقدامات امنیتی اجرا نمی شوند. ساختار حساب های کاربری چیزی است که اغلب نادیده گرفته می شود. داشتن حساب افرادی که قبلاً بازنشسته شده اند یا پروژه را ترک کرده اند خوب نیست. کاربرانی که دیگر استفاده نمی‌شوند باید حذف شوند و حقوق باید حذف و برای تعطیلات طولانی‌تر به حالت تعلیق درآیند. از تنظیمات کاربر وردپرس، می‌توانید اختیارات را با دسترسی سرپرست مدیریت کنید.
محدودیت آدرس IP

می‌توانید با محدود کردن آدرس IP به URL صفحه مدیریت، کار از شبکه‌های غیرمنتظره و حملات خطرناک شخص ثالث را در صفحه مدیریت ممنوع کنید. اگر یک فریلنسر هستید، ممکن است آدرس IP ثابتی در خانه نداشته باشید.

منبع مطلب: How to Increase Security of WordPress Against Vulnerabilities