ترفند های امنیت در وردپرس

محمد رضا آهنچیان

چرا امنیت در ورد پرس مهم است؟

طراحی سایت با استفاده از وردپرس و از آن مهم تر ساخت یک وبسایت قدرتمند در زمان کم می تواند، دلیلی بر اهمیت امنیت در ورد پرس باشد.  البته ناگفته نماند که ابزارهای مفیدی در وردپرس وجود دارد که می تواند در قرن 21 به شما کمک زیادی کند. شایان ذکر است که دیجیتال مارکتینگ در وردپرس کار پیچیده ای نیست و استفاده از آن آسان است و از همه مهم تر به کسب و کار شما رونق می بخشد. این ویژگی ها  امنیت در وردپرس را به یکی از چالش های مهم مدیران سایت ها تبدیل کرده است و اگر نسبت به آن بی تفاوت باشند، تبعات فراوانی به همراه خواهد داشت. از آن جایی که وردپرس بین سیستم‌ های مدیریت وبسایت محبوبیت بسیار زیادی دارد، همواره در معرض هک و نفوذ می باشد و کد باز بودن آن سبب می شود همه افراد به کدهای آن دسترسی پیدا کنند که این مورد نیز عاملی برای نفوذ محسوب می شود. امنیت یک مسئله نسبی است و در مورد یک سیستم  نمی توان به طور کامل  امنیت را بیان و تعریف کرد اما می توان آن را با فاکتورهایی مورد بررسی قرار داد، یا مقاسه کرد.

چگونه امنیت در وردپرس را تامین کنیم؟

تجربه نشان داده است، هنگامی که وبساتی مورد حمله قرار می گیرد، کلیه اطلاعات موجود نیز به سرقت می رود و در بدترین شرایط برخی افراد بعد از نفوذ عمل خاصی انجام نمی دهند که مدیر سایت متوجه نفوذ نشود و سپس با قرار دادن کدهای مخرب در بخش‌ های مختلف سایت کاری می‌ کنند که اطلاعات سایت، به صورت دائمی استخراج شود. مدیران و وبمستران وبسایت باید از ابتدای راه اندازی وبسایت یعنی زمانی که شروع به نصب وردپرس می‌ کنند، کلیه روش‌ های افزایش امنیت در وردپرس را نیز به کار ببندند و از هک سایت و نفوذ در وردپرس جلوگیری کنند. از طرفی هم تامین امنیت یک سایت صرفا محدود به سیستم مدیریت محتوا نبوده و به هاست و سرور شما هم بر می گردد، بنابراین برای این که در سطح بالایی از نظر امنیتی قرار داشته باشید باید همه چیز آماده و محیا باشد. بنابراین در این مقاله فرض شده که هاست و دامنه شما از نظر نفوذ به آن مشکلی ندارد، به همین علت به بررسی راهکارهای امنیت در وردپرس می پردازیم.

بررسی راهکارهای امنیت در وردپرس

حال که به اهمیت امنیت در وردپرس پی بردیم می توانیم از راهکارهای مناسبی که در ادامه بیان شده است، استفاده کنیم.

استفاده از SSL در وردپرس

با استفاده از افزونه آموزش تنظیمات افزونه Really Simple SSL می توانید گواهی SSL را در وردپرس راه اندازی کنید، یکی از راهکارهای  امنیت در وردپرس، نصب و فعال کردن ssl وردپرس است. اگر بر روی سایتی گواهی اس اس ال راه اندازی شده باشد ایکون قفل کنار آدرس سایت در نوار آدرس مرورگر به شکل سبز رنگ نمایش داده می شود که به معنی تبدیل پروتکل سایت از http به https و فعال شدن گواهینامه ssl certificate است.

بک‌آپ گیری روزانه

باید به صورت روزانه بک آپ گیری از وبسایت را انجام دهید. معمولا بعد از هک شدن یک سایت وردپرسی، کدهای مخرب در سایت قربانی تزریق می شود که در بیشتر اوقات متوجه این مسئله نمی شوند، از سوی دیگر نمی توان به بک آپ گیری که هاست شما تهیه می کند، اعتماد کرد. بنابراین برای آن که مشکلات احتمالی پیش نیاید، به طور مداوم خودتان از سایت نسخه بک آپ تهیه و دانلود کنید تا اگر مشکلات این چنین رخ داد یا سایت هک شد بتوانید از فایل بک‌ آپ برای اطمینان از سالم بودن کلیه فایل‌ ها موجود در سایت به ادامه فعالیت بپردازید.

استفاده از کپچا

در سیستم مدیریت محتوای وردپرس که دارای بخش هایی همچون  فرم ورود ، فرم ثبت نام ، ارسال نظرات است از قسمت های مورد علاقه هکرها می باشد . بنابراین از نقاط ضعف امنیتی در هر سیستم مدیریت محتوایی، فرم ها می باشند که بدون داشتن تصویر امنیتی کپچا ، بدون شک باعث ایجاد مشکلات امنیتی برای وبسایت شما خواهد شد.
شما به راحتی می توانید با اضافه کردن افزونه invisible reCaptcha for wordpress در پنل مدیریتی خود در فرم ها و قسمت ها ذکر شده کپچا اضافه کنید.

افزایش امنیت فایل htaccess. و wp-config.php

یکی دیگر از فایل‌ های مهم در وبسایت های لینکوسی، فایلی به نام htaccess می باشد که وردپرس از آن استفاده می کند. با استفاده از فایل htaccess می شود کار های مختلفی از جمله اعمال دسترسی ها را روی هر سایت انجام داد. این فایل با  اجرا کردن دستورهایی در محافظت از فایل‌ ها و پوشه‌ های وردپرس نقش به‌ سزایی دارد که می توانید با استفاده از دستورات فایل htaccess امنیت در رودپرس سایت را افزایش دهید. امنیت در این فایل نیز کار ساده ای است. کافی است از کدهای دسترسی به درستی استفاده کنید تا مشکلی پیش نیاید. یکی از فایل های با اهمیت از نظر امنیت در مدیریت محتوای وردپرس wp-config.php می باشد، بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که می دانید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.

رمز عبور خود را پیچیده انتخاب کنید

حدس زدن رمز عبور وبسایت یکی از تکنیک های نفوذ است به همین دلیل ساده‌ ترین راه و شایع‌ ترین روش برای هک و نفوذ در سایت‌ های وردپرسی به دلیل استفاده از رمز عبور ساده  به وجود می آید. موضوع استفاده نکردن از رمز قوی صرفا محدود به وردپرس نیست و اگر پیگیر اخبار فناوری بوده باشید، هر ساله گزارشات بسیار زیادی مبنی بر هک ایمیل کاربران نیز منتشر می شود که در آن ها از رمز های معمولی و قابل پیش بینی، استفاده کرده بودند. سطح های دسترسی در مدیریت محتوای وردپرس برای کاربران نکته بعدی می باشد که باید به آن توجه داشته باشید. معمولا در سایت‌ های زیادی که به صورت تیمی عمل می‌ کنند بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که همین مسئله باعث می شود امنیت در وردپرس در معرض خطر قرار گیرد.

مخفی کردن نام کاربری وردپرس

یکی از قابلیت های مدیریت محتوای وردپرس این است که زمانی که روی نام نویسنده یک نوشته کلیک کنید به صفحه نویسنده هدایت خواهید شد که در آن نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده می‌ شود. بنابراین اگر نیازی به این قابلیت ندارید می توانید چنین امکانی را از قالب خودتان غیر فعال کنید یا این که با استفاده از روش‌ های موجود آدرس صفحه نویسنده را بر اساس آی‌ دی نویسنده تعیین کنید که نام کاربری نویسنده‌ ها مشخص نشود.

تغییر آدرس صفحه ورود به وردپرس

آدرس ورود به پنل مدیریتی وردپرس به صورت پیشفرض wp-login.php می باشد، همچنین با مراجعه کردن به آدرس wp-admin  به صورت خودکار به این صفحه هدایت خواهید شد. بنابراین اگر شخصی نام کاربری و رمز شما را به هر طریقی بدست بیاورد به راحتی می تواند وارد پنل مدیریتی وردپرس شما شده و وبسایت شما را بدست بگیرد. به همین منظور شما می توانید این آدرس و آدرس wp-admin را تغییر داده و به آدرسی تغییر دهید که به غیر از مدیران سایت افراد دیگری به آن دسترسی نداشته باشند.

محدودیت در تعداد دفعات ورود به وردپرس
تعداد دفعات ورود در وردپرس دارای محدودیت خاصی نیست و شما می توانید این حالت پیش فرض را تغییر دهید. راهکاری وجود دارد که شما می توانید تعداد دفعات را در ورود به وردپرس محدود کنید به طوری که اگر بیش از تعداد دفعات مشخص شده شخصی در صدد ورود به سایت بود برای مدت مشخص شده‌ای دیگر حتی با رمز و نام کاربری درست هم قادر به ورود در وردپرس نباشند.

ورود دو مرحله‌ای در پیشخوان وردپرس

تقریبا می توان گفت تمامی اینترنت بانک ها در ایران برای افزایش امنیت کاربران خود از روش تایید دو مرحله ای استفاده می کنند، در چند سال گذشته گوگل نیز برنامه Google Authenticator را برای فراهم کردن قابلیت ورود دو مرحله‌ای فراهم کرده است. در این پروژه دیگر نیازی نیست که حتما کد تایید برای ورود به اکانت را از طریق SMS روی شماره دریافت کنید، بلکه می توانید برنامه مخصوص اندروید و IOS را روی گوشی خودتان نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید می شود، برای کد ورود استفاده کنید. این سیستم محدود به محصولات گوگل نیست و با استفاده از این قابلیت می توانید امکان ورود دو مرحله‌ای گوگل در وردپرس را هم فراهم کنید.

آپدیت به آخرین نسخه وردپرس

در تامین امنیت وبسایت ها مخصوصا وبسایت هایی که با وردپرس راه اندازی شده اند، به روز بودن، مسئله مهمی است. هسته وردپرس و افزونه‌ ها و قالب‌ هایی که از آن ها استفاده می‌ کنید، به طور مداوم باید به روز رسانی شوند. تیم وردپرس مدام در حال افزودن قابلیت‌ های جدید و رفع مشکل ها و باگ‌ های امنیتی این سیستم مدیریت محتوا است. پس هنگامی که هسته وردپرس آپدیت می‌ شود باید در اولین فرصت اقدام به آپدیت آن نمایید. افزونه‌ ها و قالب‌ های استفاده شده هم از  این قاعده مستثنا نیستند.

تغییر پیشوند جدول های وردپرس

اگر شما حالت پیش‌ فرض جدول های مدیریت محتوای وردپرس را تغییر ندهید، _wp به‌عنوان پیشوند جدول ها در پایگاه داده وردپرس استفاده می شود. در صورتی که هنگام نصب وردپرس اقدام به تغییر دادن آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد. بنابراین لازم و ضروری است که اقدام به تغییر پیشوند جدول ها کنید. البته نام جدول ها به تنهایی، خود عامل نفوذ نمی باشد اما برای استفاده از کدهایی تحت عنوان sql injection یا تزریق به پایگاه داده ها از آن استفاده می شود.

جمع بندی پایانی

امنیت یک عملیات نسبی است که در سیستم های مختلف کاربردهای مختلفی دارد. برای این که بتوان راه های نفوذ در سیستم های مختلف را کنترل کرد باید نقاط ضعف یک سیستم را شناسایی کنیم و با محاسبه ریسک به مقابله با آن بپردازیم. چندین راهکار امنیت در رودپرس در این مقاله ذکر شد که اهمیت ندادن به هرکدام از عوامل بالا ممکن است مشکلات جبران ناپذیری برای وبسایت شما به وجود بیاورد اما  این عوامل تا زمانی برای شما کاربرد دارد که کارایی وبسایت شما را مختل نکند. در صورت مشکل در کارایی وبسایت، شما باید گزینه های دیگر را برای امنیت در وردپرس بررسی کنید.