۱۷ راه ساده برای بالا بردن امنیت وردپرس
درود
توی این مقاله ۱۴ راه خیلی ساده رو بهتون معرفی می کنم که امنیت وردپرس شما را بیش از پیش بالا برده و از هک شدن سایت شما جلوگیری می کند . بدون مقدمه میریم سراغ آموزش …
۱ – فایل wp-config.php را از تیررس هکر ها مخفی نگه دارید !
 |
اطلاعات داخل این فایل بسیار حائز اهمیت است زیرا شامل نام، نام کاربری و رمز پایگاه داده ای (دیتابیس) است که شما برای نصب و راه اندازی وردپرس خود این اطلاعات را در این فایل وارد کرده اید. مسیر پیش فرض این فایل در public_html که مسیر تقریبا عمومی ای می باشد قرار دارد که برای افزایش امنیت باید از این مسیر به مسیر دیگری منتقل شود. با تغییر مسیر و تغییر نام فایل wp-config.php وردپرس می توان یک گام بلند در جهت افزایش امنیت این سیستم مدیریت محتوا برداشت. |
جهت جابجایی این فایل کار سختی در پیش ندارید زیرا مدیریت محتوای وردپرس به راحتی یک مسیر بالاتر را شناسایی می کند یعنی شما به راحتی می توانید بدون هیچ تغییری فایل wp-config.php را از مسیر public_html خارج کرده و به یک شاخه بالاتر یعنی home ببرید اما برای افزایش امنیت بیشتر پیشنهاد می شود علاوه بر تغییر مسیر، نام این فایل را نیز تغییر دهید زیرا هکر می داند که به صورت پیش فرض نام این فایل wp-config.pnp می باشد و دنبال چنین فایلی خواهد گشت. برای اینکار پس از move کردن فایل wp-config.php نام آن را به یک نام دلخواه به عنوان مثال onescript.php تغییر دهید و سپس وارد public_html هاست خود شوید و یک فایل با نام wp-config.php ایجاد نمایید و کد زیر را داخل آن قرار دهید:
|
1 |
<?php include(‘/home/public_html/onescript.php’); ?> |
به جای /home/usersite/onescript.php مسیر فایل wp-config اصلی را که نام آنرا تغییر داده اید قرار دهید. شما به همین راحتی توانسته اید از این فایل مهم محافظت کنید .
جهت تعمین امنیت و جلوگیری از دسترسی به فایل wp-config.php دوم که داخل public_html ایجاد کرده اید می توانید کد های زیر را داخل فایل htaccess. اصلی قرار دهید.
|
1 2 3 4 |
<Files .wp-config.php> order allow,deny deny from all </Files> |
۲ – خالی کردن متن خطاهای صفحه ورودی مدیریت وردپرس
 |
حتما هنگام کار با وردپرس دوست داشتنی , هنگام ورود به محیط مدیریت , زمانی که شناسه کاربری یا رمز عبور را اشتباه وارد میکنید با پیغام های متفاوتی رو به رو میشوید که این پیغام ها متن های متفاوتی دارند که متن های متفاوت میتواند یک کلید راهگشا برای هکران وردپرس باشند. خب امروز به شما آموزش میدهیم که به سادگی متن این پیغام ها را خالی کنید تا یکی از راههای نفوذ هکران کنجکاو را ببندید.پس امروز هم همیار ما باشید…برای انجام این کار لازم به اعمال قانون خاصی نیست فقط کافیست کد زیر را در آخر کد های functions.php قالب خود قرار دهید |
توجه : قبل از هرکاری از این فایل بک آپ تهیه نمائید و در صورت وجود نداشتن این فایل آن را بسازید
|
1 |
<?php add_filter('login_errors', create_function('$a', "return null;")); ?> |
۳ – هرگز از نام کاربری “admin” استفاده نکنید
در اوایل سال ۲۰۱۳ موج حمله بزرگی از سوی هکرها به سایت های وردپرسی با استفاده از روش تکرار تلاش به ورود بخش مدیریت با نام کاربری “admin” و پسوردهای متنوع رخ داد.
اگر شما از نام کاربری “admin” و کلمه عبور ضعیف استفاده می کنید، وب سایت شما به شدت در برابر حملات هکرها آسیب پذیر خواهد بود و می بایست در اسرع وقت اقدام به تغییر آن به کلمه غیر قابل پیش بینی کنید.
تا قبل از نسخه ۳ وردپرس بعد از نصب بصورت اتوماتیک نام کاربری مدیر را “admin” تعریف می کرد ولی از نسخه ۳ به بعد در هنگام نصب می توانید نام کاربری مدیریت را با نام دلخواه خود تعیین کنید.
در صورتی که قبلا از نام کاربری “admin” استفاده کرده اید هم اکنون می توانید یک کاربر جدید با دسترسی مدیر و نام کاربری دیگری ایجاد کنید و تمامی مطالب منتشر شده را به کاربر جدید اطلاق دهید و سپس کاربر قبلی را حذف نمائید.
۴ – ویرایشگر وردپرس را غیر فعال کنید !
در حالت پیشفرض وردپرس شما می توانید از مسیر نمایش > ویرایشگر تمامی فایل های قالب خود را ویرایش نمایید.
مشکل اینجاست که اگر هکر موفق به ورود به مدیریت محتوا سایت گردد، می توانید هر کدی را داخل فایل های قالب اجرا نمایید.
در نتیجه غیر فعال کردن ویرایشگر ایده بسیار خوبی به نظر میرسد، به همین منظور کد زیر را در داخل فایل wp-config.php وردپرس خود قرار دهید:
|
1 |
define('DISALLOW_FILE_EDIT', true); |
۵ – فایل readme.html را نابود کنید !
جدا از این که این فایل می توانید یک جایگاه مناسب برای کد های مخرب و … هکر ها باشد ، درون آن اطلاعات ورژن وردپرس شما نیز قرار دارد ،نبودش بهتره ! تازه اصلا نیازی بهش نیست .
۶ – INSTAL.PHP را یا تغییر نام دهید یا حذف کنید !
فایل INSTALL.PHP فقط برای نصب وردپرس مورد نیاز هست ، بعد از اون اصلا هیچ نیازی بهش نیست پس نبودش هیچ تاثیر منفی ندارد ! اما بودنش می تواند برای هکر ها مفید باشد ، پس اینم حذف کنید . ( داخل پوشه wp-admin هستش )
۷ – upgrade.php هم باید حذف بشه !
شرایط فایل upgrade.php چه از نظر مکان قرارگیری و چه از نظر خطر آن برای وب سایت شما دقیقا مشابه فایل install.php می باشد ، پس این فایل را نیز حذف کرده و یا نام آن را تغییر دهید .
۸ – حذف ورژن فعلی وردپرس از سورس صفحات سایت
اگر همین الان سورس وب سایت خود را مشاهده کنید ، به احتمال زیر خط زیر را پیدا خواهید کرد :
|
1 |
<meta name="generator" content="WordPress 4.0" /> |
برای حذف کردن این خط از سورس صفحات سایت کد زیر را به فایل functions.php قالب اضافه کنید :
|
1 2 3 4 |
function remove_version() { return ''; } add_filter('the_generator', 'remove_version'); |
۹ – کاربر با شناسه “۱” را حذف کنید
داشتن یک کاربر با دسترسی ادمین و شناسه کاربری “۱″ در بعضی شرایط نادر راهنمای هکرها برای هک کردن وب سایت شما محسوب می شود . اگر نمی خواهید در این شرایط نادر گیر کنید ، به راحتی یک کاربر جدید با دسترسی ادمین ایجاد کنید و توسط آن وارد سایت شوید ، سپس از بخش کاربران ، کاربر با شناسه “۱″ را حذف کنید .
۱۰ -گزینه “هر کسی میتواند نامنویسی کند” را غیر فعال کنید
اگر احتیاجی ندارید که کاربران در وب سایت شما عضو شوند ، گزینه “هر کسی میتواند نامنویسی کند” را غیر فعال کنید . این گزینه در بخش تنظیمات > همگانی قابل دسترسی است .
۱۱ – استفاده از کلمه عبور قوی
حدود ۸% از وب سایت های وردپرس هک شده به دلیل استفاده از کلمه عبور ضعیف است.
اگر شما برای اکانت مدیریت وب سایت خود از کلمه های عبور همچون onescript123 یا asd123 و مشابه این استفاده می کنید باید هر چه سریعتر اقدام به تغییر پسورد خود با یک پسورد قوی تر اقدام کنید، برای اینکار می توانید یک جمله ای که هیچگاه فراموش نمی کنید را بصورت مخفف و خلاصه شده تبدیل به رمز عبور خود کنید و یا برای ایجاد کلمه عبور قوی از وب سایت passwordsgenerator استفاده کنید.
۱۲ – از قالب های رایگان دوری کنید
بهتر است از قالب های رایگان دوری کنید مخصوصا مواقعی که توسعه دهنده قالب معتبر نمی باشد.
دلیل اصلی این است که در قالب های رایگان بطور متوسط از هر ۱۰ قالب، ۸ قالب از کدگذاری base64 استفاده می کنند که ممکن است مورد استفاده قرار گیرد برای لینک های اسپم و یا سایر کدهای مخرب.
۱۳ – از پیشوند “wp_” برای جداول دیتابیس استفاده نکنید
تغییر این پیشوند پس از نصب وردپرس یک مقدار وقت گیر و سخت می باشد ، پس به شما توصیه می کنیم که هنگام نصب وردپرس از یک پیشوند دیگر به جای “wp_” برای جداول وردپرس در دیتابیس استفاده کنید . مثلا می توانید از پیشوند “onescript_” استفاده کنید .
۱۴ -مطمئن شوید قابلیت خطایاب وردپرس غیر فعال باشد
خطایاب وردپرس علاوه بر اینکه باعث کند شدن وب سایت شما می گردد ، باعث گیج شدن کاربران و ارائه اطلاعات مهم به هکر ها نیز می شود . پس مطمئن شوید که این قابلیت کاربردی در مواقعی که از آن استفاده نمی کنید غیر فعال باشد . برای این کار فایل wp-config.php را برای ویرایش باز کنید و خط زیر را در آن پیدا کرده و مطمئن شوید که مقدار آن برابر false باشد .
|
1 |
define('WP_DEBUG', false); |
همچنین در این فایل خطایاب جاوااسکریپت را نیز چک کنید و مطمئن شوید که مقدار آن نیز برابر false باشد :
|
1 |
define('SCRIPT_DEBUG', false); |
۱۵ -پوسته ها و افزونه های بدون استفاده را حذف کنید
اگر از آن استفاده نمی کنید ، حذفش کنید ! رها کردن این فایل ها برای هکر ها شرایط مفیدی را ایجاد می کند ، بعضا دیده شده که این پوسته ها و افزونه های بدون استفاده ، باعث آلوده شده قالب اصلی و افزونه های سالم شده اند .
۱۶ – استفاده از افزونه های امنیتی
در زیر لینک دانلود برخی از افزونه های امنیتی وردپرس ارائه می شود که می تواند تا حد زیادی در امنیت وب سایت شما تاثیر گذار باشند:
- http://wordpress.org/plugins/better-wp-security/
- http://wordpress.org/plugins/bulletproof-security/
- http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
- http://wordpress.org/plugins/sucuri-scanner/
- http://wordpress.org/plugins/wordfence/
- http://wordpress.org/plugins/websitedefender-wordpress-security/
- http://wordpress.org/plugins/exploit-scanner/
۱۷ -مطمئن باشید که همه چیز به روز باشد
آخرین نکته این مطلب هم به نکته ای مهم اشاره می کند : همیشه همه چیز (مثل هسته وردپرس ، قالب ها و افزونه ها) را به روز نگه دارید .
دیدگاهتان را بنویسید