۹ تکنیک ثابت شده برای محافظت از سایت وردپرسی : امروزه یکی از رایج ترین سیستمهای مدیریت محتوا است. به عنوان مشتی نمونه خروار، روی شبکه نوین هاست ، بسیاری از سایتها از وردپرس استفاده میکنند. اما در نظر داشته باشید که وقتی نرمافزاری در میان عموم مردم، رایج شده و استفاده میشود. هکرها علاقه بیشتری به تلاش کردن براین نفود به آن دارند.
نوین هاست برای مقابله با حملات هکرها به سایت شما، ۹ تکنیک ثابت شده برای محافظت از سایت هایی که با وردپرس ساخته شده اند را لیست کرده ایم. با ما همراه باشید!
۹ تکنیک ثابت شده برای محافظت از سایت وردپرسی
۱- رمز عبور قدرتمندی انتخاب کنید
این عبارت را نه برای استفاده از وردپرس که برای استفاده از هر سرویس آنلاینی که نیاز به وارد شدن از طریق رمز عبور دارد را استفاده کنید. یک رمزعبور طولانی که شامل حروف کوچک و بزرگ، اعداد و (اگر سرویسی که استفاده می کنید به شما اجازه میدهد. ) کاراکترهای خاص مثل $ و & باشد انتخاب کنید. وردپرس به صورت Built-in ابزاری برای سنجش میزان قدرتمندی رمزعبور شما دارد. همینطور ابزاری برای تولید رمزهای عبور قدرتمند هم در اختیار شما میگذارد.
۲. یک آدرس اختصاصی برای ورود داشته باشید
هر زمانی که وردپرس را نصب کنید، آدرس ورود به پنل مدیریت، آدرس پیشفرضی است که وردپرس در نظر گرفته است، این کار، باعث میشود تا هکرها خیلی سادهتر آدرس وارد شدن به سایت شما را حدس زده و با انجام حمله Brute-force، به پنل مدیریت سایت شما دسترسی پیدا کنند، شما میتوانید با استفاده از مقالاتی که در وب وجود دارند، یک آدرس ورود شخصی سازی شده برای خودتان درست کنید.
۳. نام کاربری پیشفرض admin را تغییر دهید
وقتی وردپرس را نصب میکنید، نام کاربری پیشفرض سایت شما admin خواهد بود. اگر کسی قصد حمله به سایت شما را داشته باشد و شما هنوز نام کاربری پیشفرض وردپرس را تغییر نداده باشید، هکر نصف راه را بی هیچ زحمتی پیموده است.
برای حل این مشکل، وقتی وردپرس را نصب کردید، یک کاربر جدید با دسترسی های مدیریتی درست کنید. سپس با کاربر کنونی که با آن وارد وردپرس شده اید، خارج شده و با کاربر جدیدی که ساخته بودید وارد هاست وردپرس شوید. سپس کاربر قبلی را پاک کنید. اگر با کاربر قبلی مطلبی نوشته بودید، به کاربر جدید منتقل کنید.
۴. تعداد ورود ناموفق را محدود کنید.
حمله Brute-force بدین صورت است که یک اسکریپت با ترکیب های متعدد برای نام کاربری و رمز عبور، بارها و بارها تلاش میکند تا وارد سایت شود. یک راه حل بسیار ساده برای جلوگیری از این حملات، محدود کردن تعداد ورودهای ناموفق به سایت است. برای اینکارر شما میتوانید از افزونه WP limit login attemp استفاده کنید.
اگر دسترسی به سرور مجازی دارید میتوانید ماژول mod_security در apache را فعال کنید. این ماژول به شما کمک میکند تا تعداد ورود ناموفق از هر IP به تعداد ۱۰ تا در هر دقیقه کاهش یابد.
۵. دسترسی به محیط مدیریت را با استفاده از آدرس IP محدود کنید.
اگر شما تنها کسی هستید که باید به محیط مدیریت سایت وارد شوید و اگر شما از یک IP استاتیک استفاده میکنید. با استفاده از فایل .htaccess میتوانید دسترسی هر کسی جز خودتان را به محیط مدیریت با استفاده از IP را محدود کنید.
برای اینکار میتوانید یک فایل .htaccess ساخته، یا اگر این فایل وجود دارد آن را ویرایش کنید و این خطوط را به آن اضافه کنید
# Block access to wp-admin.
order deny,allow
allow from x.x.x.x
deny from all
در این خطوط x.x.x.x نشاندهنده IP دلخواه شماست که میخواهید از طریق آن به محیط مدیریت وردپرس دسترسی داشته باشید. با استفاده از این پیکره بندی میتوانید هر تعداد IP دلخواه را به لیست سفید دسترسی به محیط مدیریت اضافه کنید.
۶. دسترسی به فایل wp-login.php را با استفاده از آدرس IP محدود کنید.
شما همینطور میتوانید دسترسی به فایل wp-login.php را نیز محدود کنید. برای اینکار میتوانید یک فایل .htaccess ساخته، یا اگر این فایل وجود دارد آن را ویرایش کنید و این خطوط را به آن اضافه کنید.
Order allow,deny
Allow from x.x.x.x
Deny from all
در این خطوط x.x.x.x نشاندهنده IP دلخواه شماست که میخواهید از طریق آن به محیط مدیریت وردپرس دسترسی داشته باشید. با استفاده از این پیکره بندی میتوانید هر تعداد IP دلخواه را به لیست سفید دسترسی به محیط مدیریت اضافه کنید.
۷. محیط مدیریت را از خزنده های موتورهای جستجو مخفی کنید.
در بین فایلهای هاست وردپرس خود به دنبال فایل به نام robots.txt بگردید. اگر این فایل وجود داشت. خطوط زیر را به آن اضافه کنید. در غیر این صورت یک فایل جدید با همین نام و این خطوط بسازید.
User-agent: *
Disallow: /wp-admin
Disallow: /wp-login.php
Disallow: /administrator
این کار، موتور های جستجو را از ایندکس کردن صفحات مدیریت و وارد شدن سایت منع میکند. هکرها با کمک موتورهای جستجو می توانند لیستی بزرگ از سایتهای دنیا به همراه آدرس صفحات ورود و خروج و مدیریت آنها داشته باشند.
این روش پیشگیری برای اعمال شدن زمان زیادی میبرد. چون برای موتورهای جستجو، زمان زیادی طول میکشد تا اطلاعات خود را در مورد سایت شما به روز کنند، ولی حداقل باعث میشود تا در آینده شاد حملات Brute-force کمتری باشید.
۸. در مقابل نظرات جفنگ از سایت خود محافظت کنید.
اگر شما نظرات جفنگ زیادی را زیر هر مطلبی که در سایت خود منتشر میکنید، دارید. خیلی ساده، میتوانید نظرات را برای مطالب خود غیرفعال کنید. به آدرس yoursite.com/wp-admin/options-discussion.php رفته و تیک گزینه ‘Allow people to post comments on new articles’ را بردارید.
سپس به تمام مطالبی که منتشر کرده سر بزنید و گزینه نظرات را برای آنها غیرفعال کنید.
با وجود این اگر دوست دارید که کاربران در مورد مطالب شما نظر بگذارند، بهتر است آنها را مجبور کنید که ابتدا در سایت شما عضو شوند. و سپس این امکان را به آنها اعطا کنید. برای استفاده از این راه حل به تنظیمات رفته و تیک گزینه ‘Users must be registered and logged in to comment instead’ را بزنید
۹. وردپرس و افزونه هایی که استفاده میکنید را به روز نگه دارید.
شاید برای محافظت از سایت وردپرسی این نکته بدیهی به نظر برسد، ولی باید بدانید که بسیاری از کاربران این نکته مهم را فراموش می کنند. هر به روزرسانی شامل بهبودهایی در امنیت وردپرس خواهد بود که به طور قابل توجهی از نسخه قبل امن تر خواهد بود. وردپرس به صورت مداوم توسعه می یابد، به همین دلیل پچ های امنیتی هم مکرر در حال انتشار هستند. شما با استفاده از افزونه WP Updates Notifier میتوانید از انتشار نسخه ها و پچ های امنیتی جدید وردپرس، افزونه ها و قالبهای آن با خبر شوید.