امنیت در وردپرس - security in wrdpress

[P0S3ID0N]

به نام خدا

امنیت در فضای مجازی همواره یکی از دغدغه های مدیران سایت ها و سرورها است. وردپرس به عنوان یکی از محبوب ترین سیستم های مدیریت محتوا در وب است که مورد استفاده طراحان و مدیران وب سایت ها قرار می گیرد وچه بسا همواره توسط هکرها و تهدیدات امنیتی مورد حمله قرار گرفته است.

اگر از وردپرس به عنوان سیستم مدیریت محتوای وب سایت خود استفاده می کنید برای اینکه بتوانید سایت خود را در برابر اینگونه حملات امن نگه دارید و امنیت سایت خود را به حد قابل قبولی برسانید پس تا پایان این آموزش همراه ما باشید. دقت کنید که امنیت صد درصد نیست و نکاتی که در ادامه گفته خواهند شد اقداماتی هستند که قبل و بعد از نصب وردپرس به عنوان مدیر وب سایت خود باید انجام دهید.

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

اقدامات قبل از نصب وردپرس

حذف کردن فایل های readme.html و license.txt

بعد از اینکه فایل نصبی وردپرس را در هاست از حالت zip خارج کردید اقدام به حذف فایل های readme.html و license.txt کنید. این فایل ها اطلاعاتی ازجمله نسخه نگارش وردپرس و پلاگین ها را در خود دارند پس برای اینکه اطلاعات اولیه را از دسترس اسکنرهای وردپرسی خارج کنید حتما این دوتا فایل را حذف کنید.

 

تنظیمات دسترسی به دیتابیس MySQL در فایل wp-config.php

1- فایل wp-config درابتدا با اسم wp-config-sample است که باید از حالت sample خارج شود و به wp-config  تغییرنام داده شود. در قسمت DB_NAME نام دیتابیسی که ساخته اید را واردکنید، درقسمت DB_USER نام یوزردیتابیس و در قسمت DB_PASSWORD هم نام پسورد دیبتابیس را وارد کنید دقت کنید که نباید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید.

2- مورد بعدی که در تنظیمات فایل wp-config باید به آن توجه شود Authentication Unique Keys and Salts است که کلیدهای امنیتی قابل قبولی را در فایل wp-config  فعال می کند . برای فعال کردن کد های Salts از لینک https://api.wordpress.org/secret-key/1.1/salt/ که خود وردپرس در اختیار ما قرار داده است استفاده می کنیم با مراجعه به این آدرس کلید هایی را مشاهده می کنید که باید با کلید های پیشفرض خود فایل wp-config  جایگزین شوند. 

3- آخرین مورد برای این قسمت WordPress Database Table prefix یا پیشوند جدول پایگاه داده وردپرس است که باید تغییر نام داده شود دلیل این کارهم این است که  پیشوند جدول ها در پایگاه داده وردپرس درحالت عادی روی _wp است که تمامی فیلدهای جدول ما با این پشوند شروع می شوند و یقیناً برای هکرها قابل حد هست که تمامی فیلد های جدول با _wp شروع میشوند و با تغییر نام _wp به اسمی دیگر جلوی حمله های نرم افزاری را میگیریم و به مراتب کار را برای دوستان هکر سخت می کنیم.

 

توجه: مورد 1 و 3 در هنگام نصب وردپرس قابل تغییر هستند.

 

انتخاب یوزر و پسورد مناسب

بعد از انجام تغییرات بالا اقدام به نصب وردپرس می کنیم در آدرس site.com/wp-admin/install.php نام کاربری پنل مدیریت و پسورد را وارد می کنیم دقت کنید که از یوزر admin به هیچ عنوان استفاده نکنید و همچنین پسورد قوی و مناسبی استفاده کنید .می -توانید از سایت های آنلاین که به صورت رندم پسورد generate میکنند استفاده کنید..اقداماتی برای جلوگیری از حملات بروت فورس است که در ادامه گفته خواهد شد.

 

اقدامات بعد از نصب وردپرس

حذف کردن فایل های نصبی وردپرس

بعد از نصب وردپرس فایل های install.php و install-helper.php را پاک کنید.

 

تغییرمسیر url صفحه ی لاگین

url صفحه لاگین به صورت پیشفرض با آدرس site.com/wp-login.php قابل مشاهده است. برای تغییر این مورد ابتدا فایل wp-login.php را به عنوان مثال به guardiran.php تغییر نام داده و فایل را باز کرده و درون فایل هرجایی wp-login.php بود به جای آن guardiran.php قرار می دهیم.

 

امن سازی پوشه wp-admin

برای این کار ابتدا در کنترل پنل هاست خود برای دایرکتوری wp-admin پسورد قرار دهید . نکته ای دیگری که باید به آن توجه شود این است که بعد از log out از پنل مدیریت وارد آدرس wp-login.php نشویم در پوشه wp-includes  به دنبال فایل general-template.php می گردیم. فایل را ویرایش کرده و هرجایی wp-login.php بود به جای آن مثلا guardiran.php قرار میدهیم.

 

انتقال فایل wp-config از مسیر اصلی سایت

فایل wp-config.php را از مسیر public_html به یک مسیرقبل تر در هاست خود انتقال دهید. مشکلی خاصی هم پیش نخواهد آمد.

 

 تغییرنام لقب مدیرسایت

 لقبی که به عنوان پیشفرض در سایت نمایش داده می شود به صورت پیشفرض یوزر اصلی است که در قسمت 3 انتخاب کردیم و به همین راحتی نفوذگر متوجه این موضوع خواهد شد . بنابراین در پنل مدریریت وردپرس در قسمت کاربران لقب پیشفرض را تغییر داده و در نمایش عمومی نام ، نامی که تعیین کردید را انتخاب کنید.

 

 خارج کردن لینک های غیرضروری از دسترس جستجوگر گوگل

برای اینکه لینک هایی که بعضا مهم هستند و نمیخواهید در دسترس همه قرار گرفته شود را از گوگل پاک کنید کافی است به آدرس 

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

 رفته و در قسمت وب سایت آدرس سایت خود را به عنوان مثال guardiran.org  است را وارد کنید بعد از تایید وارد تب Recommended method شده و فایل HTML verification را دانلود کنید و فایل رو در مسیر اصلی سایت خود آپلود کنید سپس به صفحه ی Search Console بازگشته و بر روی verified کلیک کنید بعد از تایید به قسمت google index > Remove urls رفته و لینک های غیرضروری را پاک کنید.

 

آپدیت کردن لحظه ای پلاگین ها و افزونه ها

سعی کنید همواره افزونه هایی که نصب کردید را به روز نگه دارید البته تا جایی که امکان دارد از افزونه های غیرضروری و نامعتبر استفاده نکنید.

 

 محدود کردن ثبت نام در سایت 

اگر واقعا سایت شما نیازی به ثبت نام ندارد عملیات ثبت نام در سایت رو از قسمت "تنظیمات > همگانی" محدود کنید و نقش پیشفرض کاربرتازه را روی "مشترک" قرار دهید.

 

عدم index شدن و نمایش دادن محتویات درون یک دایرکتوری

برای این کار فایل htaccess. در مسیر اصلی سایت را ویرایش کرده و Options –Indexes را به آخر آن اضافه کنید. با این کار فایل ها و پوشه هایی که اجازه ایندکس شدن ندارد نمایش داده نمیشوند.

 

امن سازی پوشه include

فایل htaccess. را ویرایش کرده و به آخر آن کدهای زیر را اضافه کنید.

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

 

محافظت از فایل های wp-config و htaccess.

با اضافه کردن این کد به فایل htaccess.  عملیات خواندن را برای همه ی کاربران محدود می کند.

secure wp-config.php#

This is the hidden content, please

• ورود
• یا
• ثبت نام

secure .htaccess#

This is the hidden content, please

• ورود
• یا
• ثبت نام

همچنین برای اینکه دسترسی به فایل htaccess. محدود تر کنیم سطح دسترسی این فایل رو روی 0444 قرارمی دهیم.

 

 مخفی کردن ورژن و نسخه وردپرس

وقتی در صفحه ی اصلی بر روی view page surce کلیک کنیم میتوان ورژن وردپرس رو در سورس مشاهده کرد برای جلوگیری از این مورد می توان کد زیر را در قسمت پوسته ها > ویرایش پوسته > functions.php اضافه کرد.

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

جلوگیری از حملات بروت فورس (Brute Force)

1- استفاده از افزونه limit login attempts : با نصب این افزونه یک گزینه با اسم limit login attempts به تنظیمات اضافه خواهد شد که در تنظیمات این این افزونه میتوان تعداد رمز های استباه را محدود کنیم و از حملات صفحه لاگین محافظت کرد  

 با اضافه کردن کد زیر به functions.php می توان پیغام ارور صفحه لاگین را عوض کرد

This is the hidden content, please

• ورود
• یا
• ثبت نام

2- استفاده از افزونه معادله امنیتی یا Captcha

این افزونه از ربات ها و اسکریپت ها جهت بروت فورس جلوگیری می کند.

 

3- غیرفعال کردن چند منو و همچنین اپدیت اتوماتیک وردپرس

با اضافه کردن کد زیربه فایل wp-config.php می توان منوهای "افزودن ، ویراشگر" را در قسمت افزونه ها و "ویرایشگر" در قسمت نمایش و همچنین آپدیت خودکار وردپرس را غیرفعال کرد.

This is the hidden content, please

• ورود
• یا
• ثبت نام

 تهیه نسخه پشتیبان بک آپ از سایت

از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است.سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید.

تمامی حقوق این مقاله متعلق به تیم امنیتی گاردایران و نویسنده مطلب می باشد.

موفق باشید.