آموزش امنیت وردپرس و جلوگیری از هک سایت

امنیت وردپرس برای مدیران وبسایتی که از این پلتفرم استفاده می‌کنند اهمیت بالایی دارد. گوگل روزانه هزاران سایت را به دلیل ناامن بودن در لیست سیاه خود قرار می‌دهد. از طرف دیگر، وجود حفره‌های امنیتی در وبسایت می‌تواند موجب هجوم هکرها، اخاذی و از دست رفتن زحمات مدیران وبسایت شود.

هسته اصلی وردپرس کاملاً امن است و صدها توسعه‌دهنده به صورت روزانه بر روی آن کار می‌کنند. اما ما معمولاً در سایت وردپرسی فقط با هسته اصلی کار نداریم و ده‌ها افزونه، قالب و گجت‌های مختلف به وبسایت وردپرسی خود اضافه می‌کنیم. هر کدام از این‌ها ممکن است مشکلاتی به وجود آورد. ضمن این که امنیت پسوردهای وبسایت نیز ممکن است به دلیل سهل انگاری به خطر بیفتد.

اگر وبسایتتان برایتان مهم است، باید اهمیت زیادی نیز برای امنیت آن و نکات امنیتی قائل شوید. در این مقاله‌ی آموزشی سعی می‌کنیم تا مهم‌ترین نکات در رابطه با امنیت وردپرس را ذکر کنیم و اینکه چگونه می‌توانید وبسایت خود را در مقابل بدافزارها و هکرها با آموزش افزونه های امنیتی وردپرس محافظت نمایید.

چرا امنیت وردپرس اهمیت دارد؟

اگر وبسایت شما هک شود، ضربه‌ی سهمگینی به درآمد کسب و کارتان و همچنین اعتبار شما وارد خواهد شد. هکرها می‌توانند اطلاعات کاربران و پسوردها را بدزدند و بدافزارهایی روی وبسایتتان نصب کنند که به کامپیوتر یا موبایل کاربران نیز انتقال می‌یابد. در حالت بدتر، شما ممکن است مورد اخاذی قرار بگیرید و مجبور شوید برای کسب دسترسی دوباره به وبسایت، به هکرها پول پرداخت کنید.

گوگل در مارس ۲۰۱۶ گزارش داد که به ۵۰ میلیون کاربر اینترنت هشدار داده که وبسایتی که در حال بازدید از آن هستند، ممکن است حاوی بدافزار باشد یا ممکن است اطلاعات آن‌ها را بدزدد. ضمن این که گوگل به صورت هفتگی ۲۰ هزار سایت را به دلیل داشتن بدافزار و همچنین ۵۰ هزار وبسایت را به دلیل فیشینگ، در لیست سیاه خود قرار می‌دهد. گوگل قوانین سختگیرانه‌ای در قبال امنیت وبسایت‌ها دارد و سعی می‌کند به کاربران خود نیز در مورد وبسایت‌های ناامن هشدار دهد.

وبسایت‌هایی که در زمینه کسب و کار و تجارت فعالیت می‌کنند، باید اهمیت دوچندانی برای امنیت وردپرس قائل باشند. چرا که اطلاعات ارزشمندی دارند و در خطر قرار گرفتن آن‌ها می‌تواند برای آن‌ها ضرر سنگینی داشته باشد.

نکات مرتبط با امنیت وردپرس

در ادامه نکاتی را در رابطه با امنیت وردپرس بیان می‌کنیم.

آپدیت وردپرس و تاثیر آن بر امنیت سایت

وردپرس یک نرم افزار متن‌باز است که مرتباً آپدیت می‌شود. معمولاً آپدیت‌های کوچک وردپرس به صورت خودکار انجام می‌شود و نیازی نیست که در قبال آن‌ها کاری انجام دهید. اما برای آپدیت‌های بزرگ که تغییرات مهمی را در ساختار به وجود می‌آورند، خودتان باید اقدام به به‌روزرسانی کنید.

همچنین وردپرس دارای صدها افزونه و قالب است که ممکن تعداد بسیاری زیادی از آن‌ها بر روی سایت وردپرسی شما نصب باشد. این افزونه‌ها نیز توسط توسعه‌دهندگانی خارج از وردپرس طراحی و ساخته می‌شوند و به صورت منظم نیز آپدیت می‌شوند. برای این که مشکل امنیتی خاصی برای هیچ کدام از افزونه‌ها پیش نیاید، پیشنهاد می‌شود که هر کدام از آن‌ها را به محض انتشار نسخه جدید، آپدیت کنید.

برای آپدیت وردپرس و یا افزونه‌ها، همان گونه که در تصویر مشخص شده، می‌توانید در پیشخوان وردپرس به قسمت به‌روزرسانی‌ها مراجعه کنید. همچنین افزونه‌های سایت را نیز می‌توانید از قسمت افزونه‌ها در پیشخوان هم به‌روزرسانی نمایید.

استفاده از پسوردهای قوی

یکی از معمول‌ترین روش‌های هک وردپرس، استفاده از پسوردهای دزدیده شده است. شما با انتخاب پسوردهای قوی می‌توانید جلوی نفوذ هکرها به وبسایت خود را بگیرید و امنیت وردپرس را بالا ببرید. انتخاب پسورد قوی فقط شامل وردپرس نمی‌شود و شما باید برای اکانت‌های هاستینگ خود، دیتابیس و ایمیل‌های ساخته شده بر روی دامنه خود نیز پسوردهای قوی انتخاب کنید.

بسیاری از افراد انتخاب پسوردهای خوب و قوی را ترجیح نمی‌دهند چرا که برایشان حفظ این پسوردها دشوار است. اما شما خیلی راحت می‌توانید از برنامه‌های مدیریت پسورد استفاده کنید و دیگر نیازی به خاطر سپردن همه پسوردها نیست.

یک مسئله‌ی دیگر در رابطه با امنیت وردپرس این است که نباید به هیچ وجه دسترسی ادمین به شخص دیگری بدهید، مگر این که کاملاً از او مطمئن باشید و چاره دیگری وجود نداشته باشد. شما از طریق پیشخوان وردپرس نیز می‌توانید دسترسی دیگر کاربران و نویسندگان سایت را کنترل کنید و به حد نیاز، به دیگر همکاران خود در تیم، دسترسی بدهید.

نقش هاستینگ در امنیت وردپرس

سرویس هاستینگی که برای وبسایت خود انتخاب می‌کنید، نقش بسیار مهمی را در امنیت سایتتان ایفا می‌کند. معمولاً بهترین شرکت‌های هاستینگ، خدمات ویژه‌ای را برای تأمین امنیت وبسایتتان ارائه می‌کنند.

ویژگی‌هایی که یک سرویس هاستینگ خوب را از بقیه از نظر امنیتی متمایز می‌کند، در ادامه آمده است:

• کنترل بی‌وقفه شبکه و رصد کوچک‌ترین فعالیت‌های مشکوک
• داشتن ابزارهای لازم برای جلوگیری از حملات بزرگ DDOS
• به‌روز نگهداشتن نرم افزاراهای سرور، نسخه‌های php و سخت افزارها برای این که هکرها نتوانند از حفره‌های امنیتی موجود در نسخه‌های قدیمی استفاده کنند.
• داشتن برنامه برای ریکاوری و جبران خسارت در صورت به وجود آمدن مشکل، به این معنا که در هر حالت از دیتا و اطلاعات شما حفاظت بشود.

در هاست‌های اشتراکی، شما یک سرور را با چند وبسایت دیگر شریک می‌شوید. در چنین شرایطی در صورتی که مشکلی برای یکی از این وبسایت‌ها پیش بیاید، وبسایت شما نیز در معرض خطر قرار می‌گیرد، چون همگی از یک سرور استفاده می‌کنید. بهترین سرویس‌هایی هاستینگ آن‌هایی هستند که خدمات بکاپ مرتب و به‌روزرسانی خودکار وردپرس را ارائه می‌دهند و از تنظیمات پیشرفته امنیتی برای حفظ امنیت سایت شما استفاده می‌کنند.

اقدامات برای حفظ امنیت وردپرس

حفظ امنیت وردپرس در ابتدا بسیار دشوار به نظر می‌آید، خصوصاً برای آن‌ها که به تازگی کار با وردپرس را آغاز کرده‌اند. اما واقعیت این است که امنیت وردپرس می‌تواند با چند کلیک و به سادگی و بدون نیاز به هیچ گونه دانش برنامه نویسی می‌تواند تأمین شود. در ادامه اقدامات لازم برای حفظ امنیت وردپرس را به شما نشان می‌دهیم.

معرفی افزونه‌های امنیتی وردپرس

اولین قدم برای بالا بردن امنیت وبسایت وردپرسی و جلوگیری از هک سایت، نصب و استفاده از افزونه‌های امنیتی لازم است.

بکاپ یا پشتیبان گرفتن از سایت، نخستین لایه دفاعی وبسایت شما در برابر حملات است. به خاطر داشته باشید که هیچ وبسایتی هیچ وقت نمی‌تواند به صورت کامل و صد در صدی امن باشد. امن‌ترین و بهترین وبسایت‌های دنیا هم هک شده‌اند و وبسایت شما نمی‌تواند در بین آن‌ها استثنا باشد.

پس اولین قدم شما باید نصب یک افزونه پشتیبان‌گیری است. سپس باید به صورت مرتب از سایت خود پشتیبان بگیرید و آن را در محلی امن ذخیره نمایید. همیشه به خاطر داشته باشید که از سایت خود پشتیبان کامل (فول بکاپ) بگیرید و آن را در جایی به جز هاست خود ذخیره نمایید. پیشنهاد می‌کنیم بکاپ‌های خود را در سرویس‌های ابری مانند دراپ باکس یا گوگل درایو ذخیره کنید.

زمان پشتیبان‌گیری از سایت بیشتر به نحوه به‌روزرسانی سایتتان بستگی دارد. اما در ایده‌آل‌ترین حالت بهتر است تا هر روز یک پشتیبان کامل از سایت خود بگیرید. لازم هم نیست نگران وقت باشید، چرا که بسیاری از پلاگین‌های پشتیبان‌گیری دارای تنظیمات پشتیبان‌گیری خودکار هستند و می‌توانند در سر ساعت به صورت خودکار پشتیبان بگیرند و نیازی به اقدام شما نیست.

دوتا از بهترین افزونه‌ها برای پشتیبان‌گیری از سایت، افزونه‌های UpdraftPlus و BlogVault هستند که رابط کاربری شفافی دارند و استفاده از آن‌ها بسیار آسان است.

علاوه بر افزونه پشتیبان‌گیری، به یک افزونه امنیتی نیز احتیاج دارد که فعالیت‌های سایت را به دقت زیر نظر بگیرد و جلوی ورود بدافزار به سیستم را بگیرد. در این زمینه می‌توان افزونه Sucuri را معرفی کرد که در این زمینه یکی از بهترین‌هاست.

استفاده از گواهی SSL یا HTTPS

گواهی SSL یک پروتکل امنیتی است که اطلاعات رد و بدل شده میان وبسایت و مرورگر کاربر را رمزگذاری می‌کند. این گواهی کار هکرها را برای دزدیدن اطلاعات کاربران و سایت، بسیار دشوار و تقریباً ناممکن می‌کند.

زمانی که پروتکل HTTPS بر روی وبسایت شما فعال شود، در ابتدای آدرس وبسایت شما https قرار خواهد گرفت. ضمن که برخی مرورگرها با سبز کردن رنگ https و همچنین نشان دادن عکس یک قفل بسته در کنار آن، امن بودن وبسایت را نشان می‌دهند.

برای خریدن گواهی SSL بهتر است با تأمین کننده هاست و دامنه خود تماس بگیرید. سرویس‌های هاستینگ معمولاً خدمات ارائه و نصب SSL نیز دارند. همچنین ممکن است در برخی از پلن‌های هاستینگ، گواهی SSL به صورت رایگان ارائه شود. پیش از تهیه هاست باید به این موارد نیز دقت کرد.

فعال کردن تأیید دو مرحله‌ای

تأیید دو مرحله‌ای تکنیکی است که در آن، عملیات ورود به پیشخوان در دو مرحله صورت می‌پذیرد. در مرحله‌ی اول شما نام کاربری و پسورد خود را وارد می‌کنید. در مرحله‌ی بعدی لازم است تا یک کد یک‌بار مصرف را از یک دستگاه یا اپ دیگر بخوانید و وارد کنید تا بتوانید وارد شوید.

بسیاری از وبسایت‌ها مانند گوگل، فیس بوک، توییتر و تلگرام امکان ورود دو مرحله‌ای را فراهم کرده‌اند. در وردپرس نیز می‌توانید تأیید دو مرحله‌ای را فعال کنید. برای این کار کافی است تا افزونه مربوطه یعنی Two Factor Authentication را نصب کنید. همچنین باید یک اپ تأییدکننده یا Authenticator App نیز بر روی گوشی همراه خود نصب کنید. از بهترین این اپ‌ها می‌توان به Google Authenticator و LastPass Authenticator اشاره کرد.

بعد از نصب اپ و افزونه و مرتبط کردن این دو به هم، شما کافی است تا برای هر بار ورود، کد به وجود آمده بر روی اپ را وارد کنید تا بتوانید وارد سایت شوید. به این ترتیب هیچ شخصی جز شما نخواهد توانست به سایتتان وارد شود. این کدها نیز هر ۶۰ یا ۱۲۰ ثانیه عوض می‌شوند.

محدود کردن تعداد دفعات تلاش برای لاگین

به صورت پیش فرض، کاربران می‌توانند به تعداد بی‌نهایت برای ورود به وردپرس تلاش بکنند. به این معنی که اگر پسورد را چندین بار اشتباه وارد کنند، هیچ محدودیتی برایشان به وجود نمی‌آید. این ویژگی باعث شده تا اکانت‌های وردپرس در برابر هکرهای فورس آسیب پذیر باشند. هکرهای فورس هکرهایی هستند که با استفاده از برنامه‌های کامپیوتری، پسوردهای مختلف را در تمام حالات ممکن امتحان می‌کنند تا بتوانند به پسورد درست برسند.

چنین مشکلی به راحتی می‌تواند با محدود کردن تعداد تلاش‌های ناموفق برای ورود به پیشخوان وردپرس رفع شود. برای این کار ابتدا باید افزونه Login LockDown را بر روی وردپرس خود نصب کنید.

بعد از نصب و فعال سازی این افزونه، می‌توانید تعداد تلاش‌های ناموفق برای ورود به پیشخوان وردپرس را محدود کنید. ضمناً می‌توانید محدودیتی تعیین کنید که بعد از چند بار تلاش ناموفق، کاربر برای چند دقیقه اجازه تلاش دوباره نداشته باشد. در نهایت نیز می‌توانید آی‌پی شخصی را به تعداد زیاد برای ورود به سایت تلاش کرده را برای مدت بلندتری مسدود کنید.

با استفاده از این افزونه همچنین می‌توانید آی‌پی افرادی را که نام کاربری اشتباهی وارد می‌کنند را نیز مسدود کنید. چرا که افرادی که ندانند نام کاربری‌های موجود در سایت چیست، به احتمال زیاد جزو نویسندگان و همکاران سایت نیستند.

افزونه‌های قفل شکسته و تاثیر آن در امنیت سایت وردپرسی

همان طور که پیش از این نیز اشاره کردیم، وردپرس دارای هزاران افزونه مختلف رایگان و غیر رایگان است. برای استفاده از نسخه پریمیوم یا غیر رایگانِ افزونه‌ها باید پول پرداخت کرد و نسخه کامل را خریداری نمود. اما گاهی می‌بینیم که برخی وبسایت‌ها یا کانال‌های تلگرامی، نسخه پریمیوم بعضی از افزونه‌های معروف را به صورت رایگان قرار می‌دهند و شما می‌توانید بدون پرداخت پول از نسخه پریمیوم این افزونه‌ها استفاده کنید. سوال بسیار مهمی که در اینجا پیش می‌آید این است که آیا این افزونه‌ها امنیت وردپرس را دچار مشکل نمی‌کنند؟

همان طور که می‌دانید این نوع افزونه‌ها کرک شده یا اصطلاحاً قفل شکسته هستند و توسط توسعه‌دهنده اصلی منتشر نشده‌اند و طبعاً توسعه‌دهنده اصلی از آن‌ها پشتیبانی نمی‌کنند. این افزونه‌ها توسط شخص ثالث، قفلشان شکسته شده و در این بین اگر مشکل و حفره‌ی امنیتی در آن‌ها به وجود آمده باشد، توسط توسط توسعه‌دهنده اصلی رفع نخواهند شد.

بنابراین افزونه‌های کرک شده یا قفل شکسته می‌توانند دارای حفره‌های امنیتی باشند که در نسخه‌های رسمی آن‌ها، این حفره‌ها وجود ندارد. شما هم راهی برای شناسایی و برطرف کردن این حفره‌های امنیتی ندارید. بنابراین توصیه‌های ما این است که تا جایی که ممکن است از این افزونه‌ها استفاده نکنید و در شرایطی که چاره‌ی دیگری نداشتید، از نسخه‌هایی استفاده کنید که توسط وبسایت‌هایی منتشر می‌شوند که اعتماد بیشتری به آن‌ها وجود دارد.