'%3e%3crect%20width='24'%20height='24'%20transform='translate(1568%20947)'%20fill='%23dbdbdb'/%3e%3cg%20transform='translate(1466%20765)'%3e%3cpath%20d='M2.875,5.75A2.875,2.875,0,1,1,5.75,2.875,2.879,2.879,0,0,1,2.875,5.75Zm0-5A2.125,2.125,0,1,0,5,2.875,2.13,2.13,0,0,0,2.875.75Z'%20transform='translate(111.125%20188.625)'%20fill='%230b032d'/%3e%3cpath%20d='M8.965,4.25a.378.378,0,0,1-.375-.375C8.59,2.15,6.83.75,4.67.75S.75,2.15.75,3.875a.378.378,0,0,1-.375.375A.378.378,0,0,1,0,3.875C0,1.74,2.095,0,4.67,0S9.34,1.74,9.34,3.875A.378.378,0,0,1,8.965,4.25Z'%20transform='translate(109.33%20195.125)'%20fill='%230b032d'/%3e%3cpath%20d='M0,0H12V12H0Z'%20transform='translate(108%20188)'%20fill='none'%20opacity='0'/%3e%3c/g%3e%3c/g%3e%3c/svg%3e){kind=small}
ایمن نگاه داشتن سیستم مدیریت محتوای وردپرس بسیار حائز اهمیت است چرا که وبمسترها باید اطمینان حاصل کنند که سایت تا حد ممکن آسیبپذیر نیست، اطلاعات در جای امنی ذخیره شدهاند و وبسایت یا وبلاگ ایشان از پرفورمنس خوبی برخوردار است که در همین راستا در ادامه با یکسری روشهای حفظ امنیت در این سیستم مدیریت محتوای پرطرفدار آشنا خواهیم شد.
امنیت کاربری
یکی از بخش کلیدی که هکرها تلاش میکنند به آن دسترسی پیدا کنند، ادمین پنل وردپرس است. اگر کاربری این امکان را داشته باشد تا با پِرمیشنهای ادمین وارد سایت شود، به تمامی قسمتهای پیشخوان مدیریت سایت دسترسی خواهد داشت که در این ارتباط برخی مجرمین سایبری ممکن است از طریق یک باتنت تلاش کنند تا به طور مکرر با استفاده از ترکیب یوزرنیم و پسوردهای گوناگون وارد سایت شوند. به منظور کاهش میزان آسیبپذیری احتمالی سایت، میتوانید امنیت ادمین پنل وردپرس را با رعایت نکات زیر بهبود ببخشید:
- از نام کاربری و رمزعبور منحصربهفرد و ایمن استفاده کنید: از نام کاربری پیشفرض «admin» هرگز استفاده نکنید و اگر در گذشته این نام کاربری را انتخاب کردهاید، میتوانید با استفاده از پلاگینهایی مانند Username Changer، نام کاربری خود را به یک یوزرنیم امنتر تغییر دهید یا میتوانید یک حساب کاربری دیگر با دسترسیهای ادمین ایجاد کنید و نام کاربری قبلی را محدود کنید. توجه داشته باشید که از به کار بردن سایر یوزرنیمهای مشابه و یا قابلحدس مثل «administrator»، نام سایت و یا نام خودتان نیز اجتناب کنید.
در ارتباط با انتخاب رمزعبور، بهتر است که از پسوردی متشکل از اعداد، حروف و کاراکترهای گوناگون استفاده کنید. از انتخاب رمزعبوری مشابه نام کاربری، نام سایت یا نام خودتان و یا کلماتی ساده با تعداد حروف کم نیز اجتناب کنید مضاف بر اینکه سعی کنید از کلمات فرهنگ لغت استفاده نکنید و ترکیبی از کاراکترها را به صورت اتفاقی به عنوان رمزعبور انتخاب نمایید (همچنین با استفاده از یک ابزار مدیریت پسورد میتوانید رمزعبورهایی ایمن و پیچیده انتخاب کنید و آنها را امن نگاه دارید که در همین رابطه توصیه میکنیم به مقالهٔ چگونه یک پسورد امن انتخاب کنیم؟ مراجعه نمایید.)
- استفاده از فناوری احراز هویت دو مرحلهای: احراز هویت دو مرحلهای یا اصطلاحاً 2FA برای ورود به سایت، علاوه بر نام کاربری و رمزورود، کدی منحصربهفرد را از کاربر درخواست میکند که این کد تنها برای یک بار استفاده تولید شده و به دیوایسی که معمولاً موبایل است از طریق اساماس یا یک اپلیکیشن ارسال میشود.
- هویت کاربر را بررسی کنید: فرمهای reCAPTCHA که از کاربر درخواست میکنند تا نوشتهای که در تصویر میبینند را ارسال کنند، یک روش بسیار مفید برای پیشگیری از حملات Brute-force باتنتها برای ورود به سایت است. باتنتها معمولاً نمیتوانند به طور خودکار این قسمت از مرحلهٔ ورود به سایت را انجام دهند و از همین روی از دسترسی آنها به سایت جلوگیری میشود.
- حفاظت از پسورد با wp-login.php: اگر توسعهدهنده یا کاربر پیشرفتهٔ وردپرس هستید و با تغییرات سمت سرور مشکلی ندارید، میتوانید درخواست لاگین سمت سرور کنید قبل از اینکه صفحهٔ ادمین پنل وردپرس نمایش داده شود.
امنیت کدها
فرقی نمیکند که خودتان در حال توسعهٔ پوسته یا پلاگینی برای وردپرس باشید یا از تِم و پلاگینهای آماده استفاده کنید زیرا تحت هر شرایطی باید مراقب امنیت کدها باشید تا راه را برای ورود هکرها باز نکنید. کدهای ناامن موجب میشوند که هکرها به تمام یا بخشی از سایت وردپرستان دسترسی پیدا کنند اما با استفاده از نکات زیر میتوانید دربارهٔ درستی و امنیت کدها اطمینان حاصل کنید:
- وردپرس را آپدیت نگاه دارید: میتوانید با افزودن کد زیر به فایل wp-config.php، قابلیت آپدیت خودکار نسخههای اصلی را به وردپرس اضافه کنید:
define( 'WP_AUTO_UPDATE_CORE', true );گرچه این کار راهحل و ایدهٔ خوبی به نظر میرسد اما ممکن است شما را با مشکلاتی مانند ناسازگاری قالبها یا پلاگینهایی که پیش از این استفاده میکردید با ورژن جدید وردپرس مواجه سازد که در همین راستا بهتر است همیشه محیطی برای تست و بررسی چنین مواردی در اختیار داشته باشید.
- دقت در انتخاب قالبها و پلاگینها: قالبها و افزونههایی را انتخاب کنید که به طور مرتب بهروزرسانی میشوند. گرچه این استراتژی امنیت سایت شما را به طور کامل تضمین نمیکند اما این اطمینان را میدهد تا در صورت وجود آسیبپذیری امنیتی در یک قالب یا افزونه، به سرعت بهروزرسانی و اصلاح میشود.
- توسعهٔ قالبها و افزونهها: فرقی نمیکند که در استفاده از وردپرس تازهکار باشید یا مدت زیادی است که به توسعهٔ پلاگینها و قالبهای آن مشغول هستید، به هر حال بهتر است که از شیوههای کلیدی حفظ امنیت وردپرس استفاده کنید که برای این منظور میتوانید از Defensive Programming استفاده کنید.
امنیت میزبانی
به غیر از نصب ایمن وردپرس و بهبود مرحلهٔ احراز هویت کاربر و نیز اطمینان حاصل کردن از کیفیت و امنیت کدها، یکی دیگر از موارد مهمی که باید به آن توجه کنید، استفاده از یک میزبانی امن با پشتیبانی خوب است که در این رابطه بهتر است نکات زیر را همواره مد نظر داشته باشیم:
- در انتخاب شرکت هاستینگ دقت کنید: شرکتهای متعددی وجود دارند که میزبانی مدیریت شدهٔ وردپرس را در اختیار شما قرار میدهند. به طور مثال، برخی از این شرکتها به صورت خودکار جلوی حملات DoS و DDoS و دیگر انواع آسیبپذیریها را میگیرند که برای کسب اطلاعات بیشتر در این رابطه، میتوانید به آموزش آشنایی با مفهوم هاستینگ و معیارهای انتخاب یک شرکت وب هاست خوب مراجعه نمایید.
- اجازهٔ دسترسی به فایلها و فولدرها را بررسی کنید: اگر از یک میزبانی حرفهای سایت استفاده کنید، ضروری است که از درستی پِرمیشن فایلها و پوشههای وردپرس اطمینان حاصل کنید به طوری که این کار از سوءاستفادهٔ هکرها از فایلهایی که از امنیت بالایی برخوردار نیستند، جلوگیری به عمل میآورد.
پوشههای وردپرس باید دارای پرمیشن 755 و فایلهای وردپرس باید دارای پرمیشن 644 باشند که این از یک هاست به هاست دیگر متفاوت است. اگر به هنگام نصب افزونهها یا آپلود یک فایل با پیغام خطا مواجه میشوید، هرگز مجوز دسترسی به هیچ پوشهای را به 777 تغییر ندهید و اگر دارای دسترسی شِل هستید، میتوانید با اجرای این دستورات از امنیت وردپرس اطمینان حاصل کنید:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
- ایمنسازی سمت سرور: اگر از کاربران حرفهای وردپرس هستید و میزبانی وب را خودتان مدیریت میکنید، اطمینان پیدا کنید که کاربر دیتابیس شما تنها به پرمیشنهای SELECT ،INSERT ،UPDATE و DELETE دسترسی دارد به علاوه اینکه برای دیتابیس از نامکاربری و رمزعبور قوی استفاده کنید و در نهایت با اضافه کردن کد زیر به فایل wp-config.php، اجازهٔ ویرایش فایل در سمت سرور را از کاربران بگیرید:
define('DISALLOW_FILE_EDIT', true);جمعبندی
در این مقاله با یکسری نکات دربارهٔ روشهای حفظ امنیت در وردپرس، از تشخیص هویت کاربر تا روشهایی با استفاده از کدنویسی و تنظیمات مرتبط با میزبانی، آشنا شدیم اما در عین حال یکی دیگر از راهکارهایی که برای حفظ امنیت وردپرس پیش روی شما است، استفاده از پلاگینهای امنیتی نظیر WordFence یا BulletProof Security است. پلاگینهای متعددی وجود دارند که هر کدام نقاط قوت و ضعف خود را دارند که قبل از انتخاب میبایست تحقیق کنید تا پلاگینی که پاسخگوی نیازهای شما است را بیابید. همچنین نکاتی مطرحشده در مقالات زیر نیز میتواند در این رابطه مفید واقع گردد:
- نکاتی که رعایت آنها در حین توسعهٔ وردپرس الزامی است
- آشنایی با ۶ استراتژی که ضریب امنیتی برنامههای تحت وب را بالا خواهد برد
همواره به یاد داشته باشید که پیشگیری بهتر از درمان است. یک اشتباه کوچک کافی است تا اطلاعاتتان را با نصب یک نسخهٔ هکشده از دست بدهید و از همین روی نصب یک سرویس پشتیبانگیری از وردپرس ضروری است که برای کسب اطلاعات بیشتر میتوانید به مقالهٔ معرفی ۵ پلاگین کاربردی برای بکاپگیری از سایتهای وردپرسی مراجعه نمایید.
حال نوبت به نظرات شما میرسد. به غیر از موارد فوق چه راهکارهای دیگری برای افزایش امنیت وبسایتهایی که با سیستم مدیریت محتوای Wordpress طراحی شدهاند مد نظر دارید؟ نظرات، دیدگاهها و تجربیات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.