امنیت و ضد هک

نکات اصلی امنیت وردپرس

سپرآتشین بالای سر سایت شما

1matn.com

امنیت سایت از همه چیز مهم تر است. پس بصورت نمادین و برای بیان اهمیت موضوع، سلام و مقدمه و هر حرفی باشد برای آخر! امنیت از همه چیز مهمتر است! پس بدون هیچ حرفی برویم برای ایجاد سپر آتشین وردپرس بالای سر سایتمان.

در این مقاله از ساده ترین تا مهمترین و پیچیده ترین را خواهیم گفت البته ترتیب مطالب از روی اهمیت آنها نیست. شما همه را انجام دهید. پس سایتتان را دست خدا نسپارید، که هر چه من یکی سایت دیدم که به دستان پر قدرت خدا سپرده شده بود، اغلب هک شدند😁 و کمی جدی تر اینکه امنیت واقعا مهم است. در صورت انجام دستورات این مقاله تقریبا امنیت سایت شما تضمین نسبی خواهد داشت…👊

وردپرس را بروز رسانی کنید

اگر شما وب سایت خود را با آخرین نسخه وردپرس به روز رسانی نکنید، می توانید وب سایت خود را در معرض حملات قرار دهید. بسیاری از هکرها عمدا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبورد تان باشد و از پیام های “لطفا به روز رسانی کنید” چشم پوشی نکنید.

قالب و افزونه های سایت را بروزرسانی کنید

نکته بالا درباره ی تم ها و پلاگین ها هم صدق می کند. اطمینان حاصل کنید که به محض انتشار آخرین نسخه سایت خود را به روز رسانی کنید. اگر همه چیز را به روز رسانی شده نگه دارید، کمتر امکان دارد که سایت شما هک شود.

از هاست معتبر استفاده کنید

همه ی ارائه دهندگان خدمات میزبانی وب همسان ایجاد نشده اند و در واقع، اکانتهای آسیب پذیر میزبانی در درصد زیادی از سایت های وردپرس که از آنها استفاده کرده اند، هک شده اند.

در هنگام انتخاب ارائه دهندگان میزبانی وب، به سادگی به سراغ ارزانترین آنها نروید. تحقیقات خود را انجام دهید و مطمئن شوید که از شرکتی که به خوبی تثبیت شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید.

پسورد رو از شماره های متوالی استفاده نکنید

با توجه به infographic، حدود ۸% از وب سایت های هک شده ی وردپرس، به علت داشتن کلمات عبور ضعیف بوده است.
اگر کلمه عبور وردپرس شما چیزی مانند ‘۱۲۳۴۵۶۷۸ ‘abc123’ یا ‘password’ باشد (این رمز عبور ها از آنچه شما فکر می کنید، شایع تر هستند!)، باید آن را در اسرع وقت به چیز امن تری تغییر دهید.

نام کاربری قابل حدس مثل admin نگذارید!

اوایل سال جاری، موجی از حملات brute-force بر روی وب سایت های وردپرس در سراسر وب راه اندازی شده بود، که شامل تلاش های مکرر برای ورود با استفاده از نام کاربری ‘admin’ همراه با یک سری کلمات عبور مشترک، می شد.

اگر از کلمه ی “admin” به عنوان نام کاربری خود استفاده می کنید، و رمز عبور شما به اندازه کافی قوی نیست.

تا قبل از نسخه ی ۳٫۰، نصب خودکار وردپرس، کاربری ایجاد می کرد که نام کاربری آن “admin” بود. در نسخه ۳٫۰ این بخش به روز رسانی شد، بنابراین در حال حاضر می توانید نام کاربری خود را انتخاب کنید. بسیاری از کاربرها هنوز هم از “admin” به عنوان نام کاربری استفاده می کنند زیرا که به یک نوع استاندارد تبدیل شده، و به خاطر داشتن آن آسان است. برخی از وب سایت های میزبان از اسکریپت های auto-install که هنوز هم نام کاربری ‘admin’ را به طور پیش فرض تنظیم می کنند، استفاده می کنند.

برای رفع کردن این مشکل، به سادگی یک حساب کاربری مدیر جدید برای خودتان با استفاده از یک نام کاربری مختلف، ایجاد کنید، با نام کاربری جدید وارد شوید و و حساب “admin” اصلی را حذف کنید.

اگر پست هایی دارید که توسط حساب “admin” منتشر شده اند، بعد از حذف کردن، می توانید تمام پست های قبلی را به حساب کاربری جدید خود اختصاص دهید.

نام کاربری را از URL بایگانی نویسنده مخفی کنید

راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.

وردپرس به طور پیش فرض نام کاربری شما را در URL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شما joe bloggs است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/joebloggs خواهد بود.

به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها، که در اینجا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.

تعداد دفعات ورود را مخفی کنید

در مواردی که یک هکر یا یک ربات با استفاده از حمله ی brute-force برای شکستن رمز عبور شما تلاش می کند، محدود کردن تعداد دفعات تلاش های شکست خورده از یک آدرس IP مشخص برای ورود به سیستم، مفید خواهد بود.

محدود کردن تعداد دفعات تلاش برای ورود فقط این کار را انجام می دهد: به شما اجازه می دهد که مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش های مجدد شکست خورده برای ورود به سیستم، قفل خواهد شد.

راه هایی هم برای دور زدن این کار وجود دارد، زیرا که برخی از حمله کننده ها، از تعداد زیادی از آدرس های IP مختلف استفاده می کنند، اما هنوز هم به عنوان احتیاط بیشتر ارزش انجام دادن را دارد.

ویرایش فایل از ویرایشگر را محدود کنید

در یک نصب وردپرس به طور پیش فرض، شما می توانید به نمایش / ویرایشگر رفته و هر یک از فایل های تم خود را دقیقا در داخل داشبورد ویرایش کنید.

مشکل این است که اگر یک هکر موفق به دسترسی به پنل مدیریت شما شد، آنها نیز می تواند فایل های شما را به این ترتیب ویرایش کنند، و هر کدی را که می خواهند اجرا کنند.

پس ایده ی خوبی است که این روش ویرایش فایل ها را با اضافه کردن موارد زیر به فایل wp-config.php خود، غیر فعال کنید:

define( ‘DISALLOW_FILE_EDIT’, true );

تم رایگان مطمئن استفاده کنید، کلا تم پولی هم همینطور!
به عنوان یک قاعده کلی، در صورت امکان، بهتر است از تم های رایگان استفاده نکنید، به خصوص اگر که آنها توسط یک توسعه دهنده ی معتبر هم ساخته نشده باشند.

دلیل اصلی برای انجام ندادن این کار است که تم های رایگان اغلب می تواند شامل چیزهایی مانند رمز گذاری base64 باشند، که ممکن است به شکل نامحسوسی برای وارد کردن لینک های اسپم در سایت شما، و یا کدهای مخرب دیگری که می تواند همه نوع مشکلی ایجاد کند، مورد استفاده قرار گیرد،

از تم هایی استفاده کنید که توسط شرکت های سازنده ی تم مورد اعتماد توسعه یافته باشند، و یا از آنهایی که در مخزن رسمی تم هایWordPress.org در دسترس هستند، استفاده کنید.

افزونه هم همینطور، مراقب رایگان ها باشید

همان منطق در مورد پلاگین ها هم صدق می کند. فقط از پلاگین هایی که در لیستWordPress.org ذکر شده اند، و یا توسط یک توسعه دهنده معتبر ساخته شده اند، استفاده کنید.

بک آپ گیری، بک آپ ، پشتیبان!

من نمی توانم اهمیت پشتیبان گیری منظم از وب سایتتان را بیش از این تاکید کنم. این چیزی است که بسیاری از مردم تا زمانی که دیگر خیلی دیر شده است، انجام نمی دهند.

حتی اگر بهترین تدابیر امنیتی را در اختیار داشته باشید، هیچ وقت نمی دانید که چه وقت اتفاق غیر منتظره ای رخ خواهد داد که ممکن است سایت شما را برای یک حمله آماده کند.

در صورتی که این اتفاق بیافتد، باید مطمئن باشید که تمام محتوای شما به آسانی باز خواهد گشت، به طوری که بتوانید به راحتی سایت خود را به شکوه سابق آن بازگردانید.

Codex وردپرس به شما می گوید که دقیقا چگونه از سایت خود پشتیبان گیری کنید، و در صورتی که این کار بیش از حد سخت به نظر می رسد، می توانید از یک پلاگین مانند WordPress Backup to Dropbox استفاده کنید که به طور منظم و خودکار از سایت شما پشتیبان گیری کند.

از افزونه امنیتی خوب استفاده کنید

درست مانند تمام اقدامات فوق، افزونه های زیادی وجود دارد که شما می توانید از آنها برای تشدید امنیت سایت خود و کاهش احتمال هک شدن، استفاده کنید. در اینجا تعداد انگشت شماری از گزینه های محبوب وجود دارد:

• http://wordpress.org/plugins/better-wp-security/ – طیف گسترده ای از ویژگی های امنیتی را ارائه می دهد.

• http://wordpress.org/plugins/bulletproof-security/ – سایت خود را از طریق .htaccess محافظت می کند.

• http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – یک فایروال به سایت شما می افزاید.

• http://wordpress.org/plugins/sucuri-scanner/ – سایت شما را برای نرم افزارهای مخرب و غیره اسکن می کند.

• http://wordpress.org/plugins/wordfence/ – پلاگین امنیتی با وژگی های کامل.

• http://wordpress.org/plugins/websitedefender-wordpress-security/ – ابزارهای جامع امنیتی.

• http://wordpress.org/plugins/exploit-scanner/ – پایگاه داده های شما را برای هر کد مشکوکی جستجو می کند.

بدنبال منابع خوب امنیتی باشید

آدرس های زیر به عنوان دو منبع خوب به شما معرفی می شود. امنیت را همیشه جدی بگیرید.

منبع امنیتی نخست

منبع امنیتی دوم

همچنین این سایت امنیتی نیز توصیه شده است. Sucuri می تواند برای نظارت بر سایتتان به شما کمک کند، فعالیت های مشکوک را هشدار دهد و حتی برای پاک کردن سایتتان در مورد حمله های نرم افزاری مخرب، شما را یاری دهد.

Edit Author Slug هم می توانید نصب کنید
در ارتباط با انچه بالا تر گفته شد به شناسنامه تان در وردپرس مراجعه کنید و در بخش edit author slug لینک جدیدی به یوزرتان اختصاص دهید.

به این شکل دیگر نام کاربری واقعی شما در لینک نویسنده به نمایش در نخواهد آمد و کسی به این سادگی ها قادر نخواهد بود نام کاربری واقعی شما را پیدا کند.

سیستم مدیریت محتوای سایتتان را مخفی کنید

اگر از سایت وردپرسی استفاده میکنید پس در مرحله اول بهتر است سایت خود را از شر هکرها در امان نگه دارید. و تمام نشانه ها و اطلاعاتی حاوی اینکه با سیستم مدیریت محتوا وردپرس، سایت خود را راه اندازی کرد‌ه‌اید، از دید کاربران و هکرها مخفی سازی نمایید.

یکی از روشهایی که میتوانید امنیت سایت تان را بالا ببرید استفاده از افزونه Hide My WordPress است که به راحتی وردپرس را از دید کاربران و هکرها مخفی مینمایید. و یک افزونه امنیتی وردپرس به شمار می آید.

برای مخفی کردن تمامی مسیرهای مشترک وردپرس باید از نسخه پرمیوم افزونه استفاده کنید، با این افزونه میتوان آدرس های ورود به پنل مدیریت wp-admin و wp-login.php را تغییر و یا مخفی کرد. آدرس پنل مدیریت رایج ترین مسیری است که هکرها برای شکستن سایت وردپرسی استفاده می کنند. مخفی کردن این مسیرها باعث میشود امنیت سایت افزایش یابد. و کار هکران را دشوار خواهد کرد.

در صورت محافظت نکردن از سایت خود به راحتی در مقابل هکرها شکست میخورید. با مخفی کردن و تغییر آدرس ها هیچ چیز دیگر وردپرس اعم از تابع قالب و افزونه تغییر نخواهند کرد.

کار کردن با افزونه مربوطه

خب مثل همیشه افزونه را نصب و فعالسازی کنید. بعد سربرگ جدیدی به نام Hide My WP به بخش تنظیمات پیشخوان وردپرس اضافه میشود.

وارد صفحه تنظیمات شوید و برای شروع کار روی تنظیمات> پیوند یکتا بروید و نام نوشته را انتخاب و ذخیره کنید. و بقیه را انجام دهید مشکل داشتید در نظرات برسید یا از گوگل عزیز کمک بگیرید!

XML-RPC وردپرس را غیرفعال کنید

این امر باعث جلوگیری خیلی از موارد امنیتی بر روی وب سایت وردپرسی شما می شود، چرا که نرم افزارها می توانند با وب سایت وردپرسی شما ارتباط برقرار کنند و درخواست های ورود و … بدون بررسی و نیاز به Captcha برای وب سایت شما ارسال کنند!

در این مواقع، نفوذگرها تلاش می کنند تا اطلاعات کاربران و محتوای وب سایت شما را بدون هیچ محدودیتی در ارسال درخواست ها به وب سایت شما، استخراج کنند.

آدرس ورود به پنل مدیریت را تغییر بدهید

این کار به راحتی با Rename wp-login.php قابل انجام است. همیشه هنگامی که وارد پنل مدیریت خود میشوید به صورت اتوماتیک با wp -admin وارد میشوید اما در اینجا با معرفی این افزونه میتوانید آدرس ورود به سایت را به آدرس دلخواه خود تغییر دهید، این عملکرد امنیت سایت شما را بالا میبرد و یکی از مطرح ترین افزونه ها در بین سایر افزونه ها است. و یک افزونه امنیتی نیز میباشد، دیگر هکرها به راحتی نمی توانند نام کاربری و رمز عبور شما را حدس بزنند.

کار با افزونه گفته شده

در مرحله اول نوبت به نصب افزونه میرسد، افزونه را نصب و فعالسازی کنید. پس از فعالسازی به منو تنظیمات/پیوند یکتا در پنل مدیریت وردپرس بروید و مشاهده میکنید که گزینه Rename wp-login.php در اخر اضافه شده است.

اکنون عبارت دلخواه خود را جایگزین کلمه login کنید. به فرض مثال vorod را وارد کنید و روی ذخیره تغییرات کلیک کنید.

سپس وارد بخش لاگین سایت خود شوید و خواهید دید که با عبارت wp-admin دیگر وارد پنل مدیریت خود نمی شوید و باید کلمه vorod را بنویسید تا وارد پنل مدیریت شود.

حال نام کاربری و رمز عبور را نوشته و وارد پنل مدیریت شوید. یک نکته هم قابل توجه است که با غیر فعال کردن ابن افزونه تنظیمات لاگین به صورت پیش فرض بر میگردد و دوباره با wp-admin وارد پنل مدیریت می شوید.

تنظیمات این افزونه خیلی ساده و آسان است، توسط این افزونه شما میتوانید فایل wp-login.php را به هر آدرسی که می خواهید دسترسی داشته باشید تغییر دهید. سپس صفحه wp-login.php از دسترس خارج میشود و باید آدرس جدید خود را به یاد داشته باشید که بتوانید به صفحه ورود به پنل مدیریت وردپرس دسترسی داشته باشید.

از کجا بفهمیم سایت ما هک شده است
نه آسمان تیره و تار می شود و نه پرندگان بق بق می کنند😁 خب کمی استراحت بخاطر اینکه کارهای بالا را مورد انجام قرار دادید است😍

  1. ۱٫ افت ناگهانی در ترافیک وب سایت
  2. ۲٫اضافه شدن لینک های بد به وبسایت
  3. ۳٫ دیفیس شدن صفحه اصلی وبسایت
  4. ۴٫ وارد نشدن به پنل مدیریت وردپرس
  5. ۵٫ حساب کاربری مشکوک در وردپرس
  6. ۶٫ فایل ها و اسکریپت های ناشناخته روی سرور شما
  7. ۷٫ کند بودن و واکنش گرا نبودن وبسایت
  8. ۸٫ فعالیت های غیرمعمول در Log سرور
  9. ۹٫ خطا در ارسال یا دریافت ایمیل های وردپرس
  10. ۱۰٫ وظایف زمانبندی شده مشکوک
  11. ۱۱٫ ربوده شدن نتایج جستجو
  12. ۱۲٫ تبلیغات پاپ آپ در وبسایت

بلاک کردن آدرس آی پی در وردپرس یک راه حل است برای جلوگیری از اسپم و حملات هک در وب سایت شما. در این مقاله ما به شما نشان خواهیم داد که چگونه آدرس آی پی در وردپرس را بلاک کنید و همچنین به شما خواهیم گفت که چگونه آدرس آی پی هایی که نیاز به بلاک شدن دارند را پیدا کنید.

همه بازدیدکنندگان وب سایت شما یک آدرس آی پی دارند که در فایل ورود دسترسی به سیستم وب سایت ذخیره می شود. این بدان معناست که همه وب سایت هایی که شما از آن بازدید می کنید همچنین آدرس آی پی شما را ذخیره می کنند. شما می توانید این اطلاعات را با استفاده از VPN پنهان کنید. که به شما اجازه ی پنهان کردن آدرس آی پی و سایر اطلاعات را می دهد.

بلاک کردن آدرس آی پی، چرا و چگونه!

بلاک کردن آدرس آی پی در وردپرس یک راه موثر است برای مقابله با بازدید کننده های ناخواسته، کامنت های اسپم، ایمیل های اسپم، تلاش برای هک و حملات DDOS. شایعترین علامت که نشان می دهد وب سایت شما تحت حملات DDOS است این است که وب سایتتان اغلب غیر قابل دسترس خواهد شد یا صفحات سایتتان همیشه در حال بارگذاری خواهند بود. حملات دیگر بیشتر زمانی مشاهده می شوند که شما نظرات اسپم و یا تعداد زیادی ایمیل اسپم از طریق فرم تماس دریافت می کنید. ما یک لیست از راه هایی برای مبارزه با نظرات اسپم داریم، اما آخرین راه حل بلاک کردن آدرس آی پی است.

آی دی را از کجا پیدا کنم؟

وردپرس یک آدرس آی پی را برای کاربرانی که یک کامنت در وب سایت شما می گذارند ذخیره می کند. شما می توانید آدرس آنها را با مشاهده صفحه ی کامنت ها در پنل مدیریت وردپرس خودتان ببینید.

اگر وب سایت شما تحت حملات DDOS است، پس بهترین راه قرار دادن آدرس آی پی است با چک کردن ورود دسترسی به سیستم سرورتان. برای دیدن این ورود ها شما باید وارد پیشخوان سی پنل هاست وردپرس خود شوید و در بخش ‘Logs’ روی آیکون ‘Raw Access Logs’ کلیک کنید.

این شما را به صفحه ورود دسترسی به سایتتان می برد جایی که در آن شما با کلیک بر روی نام دامنه خود فایل ورود دسترسی به سایتتان را می توانید دانلود کنید.

فایل دسترسی ورود به سیستم شما داخل یک فایل آرشیو .gz است. بالاتر رفته و برای اکسترکت آن کلیک کنید. اگر سیستم شما برنامه ای برای مدیریت فایل های آرشیو .gz ندارد، شما نیاز دارید که آن را نصب کنید. Winzip و ۷zip دو تا برنامه محبوب برای این کار هستند.

در داخل آرشیو، شما فایل دسترسی ورود به سیستم فایل خود را خواهید دید که می توانید آن را در یک ویرایشگر متنی ساده مانند Notepad یا TextEdit ویرایش کنید. فایل دسترسی ورود به سیستم حاوی داده های خام از تمام درخواست هایی است که به وب سایت شما می رسد. هر خط با آدرس آی پی یک درخواست می سازد.

شما باید مطمئن شوید که کاربران مجاز و موتورهای جستجو از دسترسی به سایت شما منع نشده باشند. آدرس آی پی که مشکوک به نظر می رسد را کپی کرده و با استفاده از ابزار آنلاین پیدا کردن آی پی در مورد آن اطلاعات بیشتری بدست آورید. شما باید آدرس ها را در فایل های متنی جداگانه ای قرار دهید.

بلاک کردن آدرس آی پی در وردپرس

این نکته از آنجایی که مهم است توضیح آن را مبسوط درج می کنیم. اساسا هکر ها یا شما را می شناسند یا نمی شناسند، گاهی هک هایی با انگیزه شخصی هم صورت می گیرد که در این صورت شما احتمال می دهید از جانب چه شخص یا اشخاصی ممکن است هگ شوید و در این صورت این مبحث ، یعنی بلاک کردن آی پی به کارتان می آید.

اگر شما فقط می خواهید که کاربرانی با آدرس خاصی رو از گذاشتن کامنت در سایتتان منع کنید، می توانید در بخش مدیریت وردپرس خودتان این کار را انجام دهید. به بخش تنظیمات > گفتگوها رفته و در پایین صفحه در قسمت جعبه سیاه، آدرس آی پی هایی که می خواهید بلاک کنید را در این جعبه کپی پیست کنید و تغییرات را ذخیره کنید.

در حال حاضر وردپرس کاربرانی با این آدرس آی پی ها را از گذاشتن کامنت در سایت شما منع می کند. این کاربران هنوز هم می توانند سایت شما را ببینند اما موقع گذاشتن کامنت با خطا مواجه می شوند.

بلاک کردن آدرس آی پی با استفاده از سی پنل

این روش به طور کامل آدرس آی پی های بلاک شده را از دسترسی و مشاهده سایت شما منع می کند. شما باید از این روش برای مواقعی استفاده کنید که می خواهید سایتتان را از حملات DDOS و هک محافظت کنید.

در ابتدا شما باید به پیشخوان سی پنل خود وارد شوید. در قسمت ‘security’ روی ‘IP Address Deny Manager’ کلیک کنید.

شما رو به بخش بلاک آدرس آی پی می برد. در اینجا شما می توانید آدرس آی پی هایی را که می خواهید بلاک شوند را اضافه کنید. می توانید تنها یک آدرس آی پی اضافه کنید و یا محدوده ای از آدرس آی پی ها را و بعد روی دکمه add کلیک کنید.

وقتی یک آدرس آی پی بلاک می شود به طور خودکار کار نمی کند

بلاک کردن آدرس آی پی در وردپرس زمانی کار می کند که شما تنها برخی از تلاش های اساسی هک، کاربران خاص و یا کاربران از مناطق یا کشورهای خاص را بلاک کرده باشید. با این حال که بسیاری از تلاش ها برای هک و حملات هک با استفاده از یک محدوده ای از آدرس آی پی های تصادفی از سراسر دنیا انجام می شود. این تقریبا برای شما غیر ممکن است که همه ی آدرس آی پی های تصادفی را حفاظت کنید. این جایی است که شما به یک برنامه فایروال (WAF) برای وب سایت خود نیاز دارید. Sucuri یک سرویس امنیتی وب سایت است که وب سایت شما را در برابر حملات با استفاده از همین برنامه فایروال برای وب سایت محافظت می کند. این سرویس امنیتی به طور اساسی تمام آدرس آی پی های مشکوک را از دسترسی به وب سایت شما منع می کند.

مطالب دیگر درباره نکات اصلی سئو یامباحث دیگر را دنبال کنید. خب امیدوارم امنیت سایتتان را تامین کنید سلام! و لطفا این سایت نوپا را حمایت و لینک این مطلب را اشتراک بگذارید. سپاس

برچسب ها
نمایش بیشتر
شهر مجازی اهواز

تحریریه

توسعه دهنده وب، کارشناس هنری و متخصص تولید محتوا

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *