آموزش امنیت وردپرس و جلوگیری از هک سایت
امنیت وردپرس برای مدیران وبسایتی که از این پلتفرم استفاده میکنند اهمیت بالایی دارد. گوگل روزانه هزاران سایت را به دلیل ناامن بودن در لیست سیاه خود قرار میدهد. از طرف دیگر، وجود حفرههای امنیتی در وبسایت میتواند موجب هجوم هکرها، اخاذی و از دست رفتن زحمات مدیران وبسایت شود.
هسته اصلی وردپرس کاملاً امن است و صدها توسعهدهنده به صورت روزانه بر روی آن کار میکنند. اما ما معمولاً در سایت وردپرسی فقط با هسته اصلی کار نداریم و دهها افزونه، قالب و گجتهای مختلف به وبسایت وردپرسی خود اضافه میکنیم. هر کدام از اینها ممکن است مشکلاتی به وجود آورد. ضمن این که امنیت پسوردهای وبسایت نیز ممکن است به دلیل سهل انگاری به خطر بیفتد.
اگر وبسایتتان برایتان مهم است، باید اهمیت زیادی نیز برای امنیت آن و نکات امنیتی قائل شوید. در این مقالهی آموزشی سعی میکنیم تا مهمترین نکات در رابطه با امنیت وردپرس را ذکر کنیم و اینکه چگونه میتوانید وبسایت خود را در مقابل بدافزارها و هکرها با آموزش افزونه های امنیتی وردپرس محافظت نمایید.
چرا امنیت وردپرس اهمیت دارد؟
اگر وبسایت شما هک شود، ضربهی سهمگینی به درآمد کسب و کارتان و همچنین اعتبار شما وارد خواهد شد. هکرها میتوانند اطلاعات کاربران و پسوردها را بدزدند و بدافزارهایی روی وبسایتتان نصب کنند که به کامپیوتر یا موبایل کاربران نیز انتقال مییابد. در حالت بدتر، شما ممکن است مورد اخاذی قرار بگیرید و مجبور شوید برای کسب دسترسی دوباره به وبسایت، به هکرها پول پرداخت کنید.
گوگل در مارس ۲۰۱۶ گزارش داد که به ۵۰ میلیون کاربر اینترنت هشدار داده که وبسایتی که در حال بازدید از آن هستند، ممکن است حاوی بدافزار باشد یا ممکن است اطلاعات آنها را بدزدد. ضمن این که گوگل به صورت هفتگی ۲۰ هزار سایت را به دلیل داشتن بدافزار و همچنین ۵۰ هزار وبسایت را به دلیل فیشینگ، در لیست سیاه خود قرار میدهد. گوگل قوانین سختگیرانهای در قبال امنیت وبسایتها دارد و سعی میکند به کاربران خود نیز در مورد وبسایتهای ناامن هشدار دهد.
وبسایتهایی که در زمینه کسب و کار و تجارت فعالیت میکنند، باید اهمیت دوچندانی برای امنیت وردپرس قائل باشند. چرا که اطلاعات ارزشمندی دارند و در خطر قرار گرفتن آنها میتواند برای آنها ضرر سنگینی داشته باشد.
نکات مرتبط با امنیت وردپرس
در ادامه نکاتی را در رابطه با امنیت وردپرس بیان میکنیم.
آپدیت وردپرس و تاثیر آن بر امنیت سایت
وردپرس یک نرم افزار متنباز است که مرتباً آپدیت میشود. معمولاً آپدیتهای کوچک وردپرس به صورت خودکار انجام میشود و نیازی نیست که در قبال آنها کاری انجام دهید. اما برای آپدیتهای بزرگ که تغییرات مهمی را در ساختار به وجود میآورند، خودتان باید اقدام به بهروزرسانی کنید.
همچنین وردپرس دارای صدها افزونه و قالب است که ممکن تعداد بسیاری زیادی از آنها بر روی سایت وردپرسی شما نصب باشد. این افزونهها نیز توسط توسعهدهندگانی خارج از وردپرس طراحی و ساخته میشوند و به صورت منظم نیز آپدیت میشوند. برای این که مشکل امنیتی خاصی برای هیچ کدام از افزونهها پیش نیاید، پیشنهاد میشود که هر کدام از آنها را به محض انتشار نسخه جدید، آپدیت کنید.
برای آپدیت وردپرس و یا افزونهها، همان گونه که در تصویر مشخص شده، میتوانید در پیشخوان وردپرس به قسمت بهروزرسانیها مراجعه کنید. همچنین افزونههای سایت را نیز میتوانید از قسمت افزونهها در پیشخوان هم بهروزرسانی نمایید.
استفاده از پسوردهای قوی
یکی از معمولترین روشهای هک وردپرس، استفاده از پسوردهای دزدیده شده است. شما با انتخاب پسوردهای قوی میتوانید جلوی نفوذ هکرها به وبسایت خود را بگیرید و امنیت وردپرس را بالا ببرید. انتخاب پسورد قوی فقط شامل وردپرس نمیشود و شما باید برای اکانتهای هاستینگ خود، دیتابیس و ایمیلهای ساخته شده بر روی دامنه خود نیز پسوردهای قوی انتخاب کنید.
بسیاری از افراد انتخاب پسوردهای خوب و قوی را ترجیح نمیدهند چرا که برایشان حفظ این پسوردها دشوار است. اما شما خیلی راحت میتوانید از برنامههای مدیریت پسورد استفاده کنید و دیگر نیازی به خاطر سپردن همه پسوردها نیست.
یک مسئلهی دیگر در رابطه با امنیت وردپرس این است که نباید به هیچ وجه دسترسی ادمین به شخص دیگری بدهید، مگر این که کاملاً از او مطمئن باشید و چاره دیگری وجود نداشته باشد. شما از طریق پیشخوان وردپرس نیز میتوانید دسترسی دیگر کاربران و نویسندگان سایت را کنترل کنید و به حد نیاز، به دیگر همکاران خود در تیم، دسترسی بدهید.
نقش هاستینگ در امنیت وردپرس
سرویس هاستینگی که برای وبسایت خود انتخاب میکنید، نقش بسیار مهمی را در امنیت سایتتان ایفا میکند. معمولاً بهترین شرکتهای هاستینگ، خدمات ویژهای را برای تأمین امنیت وبسایتتان ارائه میکنند.
ویژگیهایی که یک سرویس هاستینگ خوب را از بقیه از نظر امنیتی متمایز میکند، در ادامه آمده است:
- کنترل بیوقفه شبکه و رصد کوچکترین فعالیتهای مشکوک
- داشتن ابزارهای لازم برای جلوگیری از حملات بزرگ DDOS
- بهروز نگهداشتن نرم افزاراهای سرور، نسخههای php و سخت افزارها برای این که هکرها نتوانند از حفرههای امنیتی موجود در نسخههای قدیمی استفاده کنند.
- داشتن برنامه برای ریکاوری و جبران خسارت در صورت به وجود آمدن مشکل، به این معنا که در هر حالت از دیتا و اطلاعات شما حفاظت بشود.
در هاستهای اشتراکی، شما یک سرور را با چند وبسایت دیگر شریک میشوید. در چنین شرایطی در صورتی که مشکلی برای یکی از این وبسایتها پیش بیاید، وبسایت شما نیز در معرض خطر قرار میگیرد، چون همگی از یک سرور استفاده میکنید. بهترین سرویسهایی هاستینگ آنهایی هستند که خدمات بکاپ مرتب و بهروزرسانی خودکار وردپرس را ارائه میدهند و از تنظیمات پیشرفته امنیتی برای حفظ امنیت سایت شما استفاده میکنند.
اقدامات برای حفظ امنیت وردپرس
حفظ امنیت وردپرس در ابتدا بسیار دشوار به نظر میآید، خصوصاً برای آنها که به تازگی کار با وردپرس را آغاز کردهاند. اما واقعیت این است که امنیت وردپرس میتواند با چند کلیک و به سادگی و بدون نیاز به هیچ گونه دانش برنامه نویسی میتواند تأمین شود. در ادامه اقدامات لازم برای حفظ امنیت وردپرس را به شما نشان میدهیم.
معرفی افزونههای امنیتی وردپرس
اولین قدم برای بالا بردن امنیت وبسایت وردپرسی و جلوگیری از هک سایت، نصب و استفاده از افزونههای امنیتی لازم است.
بکاپ یا پشتیبان گرفتن از سایت، نخستین لایه دفاعی وبسایت شما در برابر حملات است. به خاطر داشته باشید که هیچ وبسایتی هیچ وقت نمیتواند به صورت کامل و صد در صدی امن باشد. امنترین و بهترین وبسایتهای دنیا هم هک شدهاند و وبسایت شما نمیتواند در بین آنها استثنا باشد.
پس اولین قدم شما باید نصب یک افزونه پشتیبانگیری است. سپس باید به صورت مرتب از سایت خود پشتیبان بگیرید و آن را در محلی امن ذخیره نمایید. همیشه به خاطر داشته باشید که از سایت خود پشتیبان کامل (فول بکاپ) بگیرید و آن را در جایی به جز هاست خود ذخیره نمایید. پیشنهاد میکنیم بکاپهای خود را در سرویسهای ابری مانند دراپ باکس یا گوگل درایو ذخیره کنید.
زمان پشتیبانگیری از سایت بیشتر به نحوه بهروزرسانی سایتتان بستگی دارد. اما در ایدهآلترین حالت بهتر است تا هر روز یک پشتیبان کامل از سایت خود بگیرید. لازم هم نیست نگران وقت باشید، چرا که بسیاری از پلاگینهای پشتیبانگیری دارای تنظیمات پشتیبانگیری خودکار هستند و میتوانند در سر ساعت به صورت خودکار پشتیبان بگیرند و نیازی به اقدام شما نیست.
دوتا از بهترین افزونهها برای پشتیبانگیری از سایت، افزونههای UpdraftPlus و BlogVault هستند که رابط کاربری شفافی دارند و استفاده از آنها بسیار آسان است.
علاوه بر افزونه پشتیبانگیری، به یک افزونه امنیتی نیز احتیاج دارد که فعالیتهای سایت را به دقت زیر نظر بگیرد و جلوی ورود بدافزار به سیستم را بگیرد. در این زمینه میتوان افزونه Sucuri را معرفی کرد که در این زمینه یکی از بهترینهاست.
استفاده از گواهی SSL یا HTTPS
گواهی SSL یک پروتکل امنیتی است که اطلاعات رد و بدل شده میان وبسایت و مرورگر کاربر را رمزگذاری میکند. این گواهی کار هکرها را برای دزدیدن اطلاعات کاربران و سایت، بسیار دشوار و تقریباً ناممکن میکند.
زمانی که پروتکل HTTPS بر روی وبسایت شما فعال شود، در ابتدای آدرس وبسایت شما https قرار خواهد گرفت. ضمن که برخی مرورگرها با سبز کردن رنگ https و همچنین نشان دادن عکس یک قفل بسته در کنار آن، امن بودن وبسایت را نشان میدهند.
برای خریدن گواهی SSL بهتر است با تأمین کننده هاست و دامنه خود تماس بگیرید. سرویسهای هاستینگ معمولاً خدمات ارائه و نصب SSL نیز دارند. همچنین ممکن است در برخی از پلنهای هاستینگ، گواهی SSL به صورت رایگان ارائه شود. پیش از تهیه هاست باید به این موارد نیز دقت کرد.
فعال کردن تأیید دو مرحلهای
تأیید دو مرحلهای تکنیکی است که در آن، عملیات ورود به پیشخوان در دو مرحله صورت میپذیرد. در مرحلهی اول شما نام کاربری و پسورد خود را وارد میکنید. در مرحلهی بعدی لازم است تا یک کد یکبار مصرف را از یک دستگاه یا اپ دیگر بخوانید و وارد کنید تا بتوانید وارد شوید.
بسیاری از وبسایتها مانند گوگل، فیس بوک، توییتر و تلگرام امکان ورود دو مرحلهای را فراهم کردهاند. در وردپرس نیز میتوانید تأیید دو مرحلهای را فعال کنید. برای این کار کافی است تا افزونه مربوطه یعنی Two Factor Authentication را نصب کنید. همچنین باید یک اپ تأییدکننده یا Authenticator App نیز بر روی گوشی همراه خود نصب کنید. از بهترین این اپها میتوان به Google Authenticator و LastPass Authenticator اشاره کرد.
بعد از نصب اپ و افزونه و مرتبط کردن این دو به هم، شما کافی است تا برای هر بار ورود، کد به وجود آمده بر روی اپ را وارد کنید تا بتوانید وارد سایت شوید. به این ترتیب هیچ شخصی جز شما نخواهد توانست به سایتتان وارد شود. این کدها نیز هر ۶۰ یا ۱۲۰ ثانیه عوض میشوند.
محدود کردن تعداد دفعات تلاش برای لاگین
به صورت پیش فرض، کاربران میتوانند به تعداد بینهایت برای ورود به وردپرس تلاش بکنند. به این معنی که اگر پسورد را چندین بار اشتباه وارد کنند، هیچ محدودیتی برایشان به وجود نمیآید. این ویژگی باعث شده تا اکانتهای وردپرس در برابر هکرهای فورس آسیب پذیر باشند. هکرهای فورس هکرهایی هستند که با استفاده از برنامههای کامپیوتری، پسوردهای مختلف را در تمام حالات ممکن امتحان میکنند تا بتوانند به پسورد درست برسند.
چنین مشکلی به راحتی میتواند با محدود کردن تعداد تلاشهای ناموفق برای ورود به پیشخوان وردپرس رفع شود. برای این کار ابتدا باید افزونه Login LockDown را بر روی وردپرس خود نصب کنید.
بعد از نصب و فعال سازی این افزونه، میتوانید تعداد تلاشهای ناموفق برای ورود به پیشخوان وردپرس را محدود کنید. ضمناً میتوانید محدودیتی تعیین کنید که بعد از چند بار تلاش ناموفق، کاربر برای چند دقیقه اجازه تلاش دوباره نداشته باشد. در نهایت نیز میتوانید آیپی شخصی را به تعداد زیاد برای ورود به سایت تلاش کرده را برای مدت بلندتری مسدود کنید.
با استفاده از این افزونه همچنین میتوانید آیپی افرادی را که نام کاربری اشتباهی وارد میکنند را نیز مسدود کنید. چرا که افرادی که ندانند نام کاربریهای موجود در سایت چیست، به احتمال زیاد جزو نویسندگان و همکاران سایت نیستند.
افزونههای قفل شکسته و تاثیر آن در امنیت سایت وردپرسی
همان طور که پیش از این نیز اشاره کردیم، وردپرس دارای هزاران افزونه مختلف رایگان و غیر رایگان است. برای استفاده از نسخه پریمیوم یا غیر رایگانِ افزونهها باید پول پرداخت کرد و نسخه کامل را خریداری نمود. اما گاهی میبینیم که برخی وبسایتها یا کانالهای تلگرامی، نسخه پریمیوم بعضی از افزونههای معروف را به صورت رایگان قرار میدهند و شما میتوانید بدون پرداخت پول از نسخه پریمیوم این افزونهها استفاده کنید. سوال بسیار مهمی که در اینجا پیش میآید این است که آیا این افزونهها امنیت وردپرس را دچار مشکل نمیکنند؟
همان طور که میدانید این نوع افزونهها کرک شده یا اصطلاحاً قفل شکسته هستند و توسط توسعهدهنده اصلی منتشر نشدهاند و طبعاً توسعهدهنده اصلی از آنها پشتیبانی نمیکنند. این افزونهها توسط شخص ثالث، قفلشان شکسته شده و در این بین اگر مشکل و حفرهی امنیتی در آنها به وجود آمده باشد، توسط توسط توسعهدهنده اصلی رفع نخواهند شد.
بنابراین افزونههای کرک شده یا قفل شکسته میتوانند دارای حفرههای امنیتی باشند که در نسخههای رسمی آنها، این حفرهها وجود ندارد. شما هم راهی برای شناسایی و برطرف کردن این حفرههای امنیتی ندارید. بنابراین توصیههای ما این است که تا جایی که ممکن است از این افزونهها استفاده نکنید و در شرایطی که چارهی دیگری نداشتید، از نسخههایی استفاده کنید که توسط وبسایتهایی منتشر میشوند که اعتماد بیشتری به آنها وجود دارد.