وردپرس به عنوان محبوب ترین پلت فرم نشر وب بر روی اینترنت شناخته میشود و به همین جهت یک هدف محبوب برای هکرها و اسپمرها است. با توجه به گزارش WP White Security، بیش از 70 درصد از وبسایتهای وردپرسی آسیب پذیر به حملات هکرها هستند.
چرا یک هکر باید به وبسایت من علاقهمند شود؟
یکی از سوالاتی که صاحبان وبسایتهای کوچک و کسبوکارهای کوچک در زمان برخورد با مسئله امنیت به ذهنشان میرسد این است که چرا یک هکر باید به وبسایت من علاقهمند شود و آن را هک کند!؟ برای پاسخ به این سوال باید گفت دلایل مختلفی وجود دارد از جمله اینکه وب سایت هک شده میتواند به عنوان یک پراکسی برای اسپمرها استفاده شود تا هویت آنها در اینترنت مخفی بماند و یا آنها میتوانند از وبسایت ایمیلهای جعلی ارسال کنند و یا صفحههای جعلی ایجاد کنند و به سرقت اطلاعات کاربران بپردازند! از همه بدتر آنکه در صورتی که موتورهای جستجو از این وضعیت باخبر شوند به احتمال زیاد سایت را به عنوان سایت مخرب علامت گذاری میکنند و ممکن است از نتایج خود آن را حذف کنند.
چکونه یک هکر وبسایت من را پیدا میکند؟
شاید به اشتباه تصور کنید که با وجود سایت بسیار زیادی که وجود دارد چگونه ممکن است یک هکر متوجه سایت شما و مشکل موجود امنیتی در آن شود!؟ برای پاسخ به این سوال باید گفت که هکر ها معمولا از اسکریپتهای خودکاری جهت خزیدن در میان وبسایتها و بررسی اشکال ها در آنها استفاده میکنند. همچنین یکی از رایجترین روش در میان هکر ها استفاده از Google Dork است.
Google Dork چیست؟
گوگل دورک به جستجوی پیشرفته کاربران برای پیدا کردن موضوعی خاص در اینترنت از طریق گوگل اطلاق میشود.
۱۲ نکته جهت بهبود امنیت وردپرس
امنیت هیچگاه مطلق نیست و نمیتوان %۱۰۰ آن را تضمین کرد اما در ادامه به ۱۲ نکته که میتواند تاثیر بسیار زیادی بر روی امنیت وردپرس داشته باشد اشاره میکنیم.
نکته ۱: همیشه نسخه وردپرس خود را بروز نگهدارید
بسیاری از افراد به علت ترس از اینکه ممکن است با بروز رسانی وردپرس باعث مشکلی در سایت بشوند (برای مثال قالب سایت یا افزونه ای در سایت با نسخه جدید سازگار نباشد)، وردپرس را بروز رسانی نمیکنند و حتی بروز رسانی خودکار وردپرس را غیر فعال میکنند. تیم پشتیبانی وردپرس همواره سعی میکند هر گونه مشکلات امنیتی به تازگی کشف شده را به سرعت رفع کند اما اگر نرم افزار هسته وردپرس خود را به روز نکنید، با این کار وب سایت خود را آسیب پذیر به این مشکلات خواهید کرد.
نکته ۳: افزونهها و قالبها را تنها از منابع معتبر نصب کنید
یکی از ویژگی های وردرس که موجب محبوبیت آن شده وجود افزونه ها و قالب های بسیاری است که برای آن توسط افراد مختلف توسعه داده میشود. اما باید به این موضوع توجه کرد که در صورتی که از منابع غیر امن افزونهها و قالبها را تهیه کنید، وب سایت خود را در معرض خطر بزرگی قرار دادید! شما با نصب یک افزونه و قالب عملا کد مورد نظر توسعه دهنده آن را مستقیما روی سایت خود اجرا میکنید و در صورتی که توسعه دهنده مورد اطمینان نباشد این موضوع میتواند باعث رخنه امنیتی بزرگی در سایت شما شود.
نکته ۴: افزونهها و پوستههای غیر فعال و بلااستفاده را حذف کنید
بسیار اتفاق می افتد که افزونه ها و پوسته های گوناگون را روی سایت آزمایش کنیم اما معمولا تنها چند مورد از آنها در نهایت فعال می مانند. بهتر است این افزونه و قالب های بلا استفاده را حذف کنید تا در صورتی که اشکال امنیتی در آنها وجود داشته باشد برای شما در آینده مشکلی ایجاد نکند.
نکته ۵: مطمئن شوید تمامی افزونهها و پوستهها بروز هستند
بدلیل اینکه افراد گوناگون و با سطح های مختلف اطلاعات برنامه نویسی و امنیتی افزونه و قالب ها را طراحی میکنند، اصلا عجیب نیست که اشکال های امنیتی در آنها مشاهده شود. خوشبختانه به علت محبوبیت وردپرس و متن باز بودن بیشتر افزونه ها این رخنه ها به سرعت کشف میشوند و در صورتی که پوسته و افزونه ها را بروز رسانی کنید میتوانید از مشکلات احتمالی این رخنه ها جلوگیری کنید.
نکته ۶: از نام کاربری و کلمه عبور مطمئن برای مدیریت استفاده کنید
اشتباه رایجی که بسیار رخ میدهد استفاده از نام کاربری و کلمه عبور غیر مطمئن مانند admin/admin
برای اطلاعات ورود به پنل مدیریت است. هکر ها از ضعف انسان ها در به خاطر سپردن عبارت های پیچیده مطلع هستند و از همین ضعف برای نفوذ استفاده میکنند!
نکته ۷: مطمئن شوید کلید احراز هویت وردپرس تایین شده باشد
شاید شما تا به امروز درباره کلید احراز هویت وردپرس که از طریق فایل wp-config.php تنظیم شده باشد چیزی نشنیده باشید. ورودپرس برای امن کردن کوکیهای تنظیم شده توسط خود از این کلیک ها استفاده میکند تا از دزدیده شدن آنها جلوگیری کند.
برای تنظیم آنها کافی است آدرس https://api.wordpress.org/secret-key/1.1/salt/
را باز کنید. و مقادیر نمایش داده شده را در فایل wp-config.php
جایگزین مقادیر قبلی کنید.
نکته ۸: دسترسی به مستقیم به فایل های PHP را در پوشههایی که نیاز نیست محدود کنید
یک ترفند بسیار کاربردی مسدود کردن دسترسی به فایل های php افزونه ها و قالب ها است که با این کار در صورتی که اشکالی در آنها وجود داشته باشد که هکر ها با دسترسی مستقیم (باز کردن آنها در مرورگر، مانند هک به روش LFI) به آن فایل بتوانند از آن بهره برداری کنند از آن جلوگیری میشود. برای این کار کافی است در فایل .htaccess
پوشه wp-content
دستورات زیر را قرار دهید.
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / # RewriteRule ^plugins/wordpress-seo/(.*)\.php$ - [S=3] # RewriteRule ^plugins/wp-postviews/(.*)\.php$ - [S=2] # RewriteRule ^plugins/w3-total-cache/(.*)\.php$ - [S=1] RewriteRule ^plugins/(.*)\.php$ - [F,L] </IfModule>
در نمونه دستورات قرار داده شده ۳ خط را مشاهده میکنید که در ابتدای آنها علامت #
وجود دارد. این خط دستوران به علت وجود این علامت در ابتدای آنها به صورت پیشفرض غیر فعال است که با حذف علامت #
فعال خواهد شد. اما کاری که این خط ها انجام میدهند خارج کردن پوشه های ذکر شده در هر خط از شرط اصلی ما یعنی مسدود کردن دسترسی به فایل های PHP است. دلیل قرار دادن این خط ها این است که برخی افزونه ها و قالب ها ممکن است برای انجام عملیات خاصی نیاز به دسترسی مستقیم به برخی از فایل های PHP موجود در بسته خود را داشته باشند. که در مثال ما ۳ افزونه که به این دسترسی نیاز دارند قرار داده شده است. با توجه به این موضوع باید بر اساس نیاز خود این دستورات را ویرایش کنید.
نکته ۹: بر روی وردپرس یک دیوار آتشین نصب کنید
پیشنهاد میشود که بر روی وردپرس یک افزونه دیوار آتشین نصب کنید. این گونه از افزونه ها علاوه بر ثبت وقایع امنیتی از برخی از آنها جلوگیری میکنند. یکی از محبوبترین افزونه های امنیتی وردپرس افزونه Wordfence Security
است. این افزونه علاوه بر ثبت و جلوگیری از حملات امکاناتی مانند ورود ۲ مرحله ای را به سایت شما اضافه میکند. با این ویژگی حتی اگر اطلاعات ورود به مدیریت توسط هکر به دست آورده شود به علت وجود مرحله دیگری از اعتبار سنجی نمیتواند به مدیریت دسترسی پیدا کند.
نکته ۱۰: امکان ویرایش فایل را ببنید
یکی از امکانات وردپرس امکان ویرایش فایلهای قالب و افزونه از بخش مدیریت است. این ویژگی به علت ارتباط داشتن با مباحث فنی معمولا توسط کاربران نهایی این سیستم استفاده نمیشود. با غیر فعال کردن این ویژگی در صورتی که هر علتی هکر بتواند به پنل مدیریت وارد شود. نمیتواند از این امکان وردپرس برای قرار دادن کدهای مخرب خود در بین فایل های سایت استفاده کند. برای غیر فعال کردن این ویژگی کافی است کد زیر را به فایل wp-config.php
اضافه کنید.
define('DISALLOW_FILE_EDIT', true);
نکته ۱۱: مطمئن شوید سایت شما بر روی آخرین نسخه PHP فعال است
وردپرس به زبان PHP نوشته شده است. PHP زبان برنامه نویسی محبوب و متن باز است که هر روز در حال توسعه و بروز رسانی است. هر نسخه اصلی از PHP تا مدت زمان مشخصی بروز رسانی های اصلاحی دریافت میکند. معمولا هر نسخه اصلی PHP برای ۳ سال از زمان انتشار بروز رسانی های امنیتی را دریافت میکند.
با توجه به اینکه وردپرس سیستمی است که همواره در حال بروز رسانی است. معمولا طی چند ماه بعد از انتشار نسخه جدید PHP خود را با آن سازگار میکند. همواره پیشنهاد میشود که از آخرین نسخه PHP استفاده کنید. لازم به ذکر است که امکان تغییر PHP باید توسط میزبان سایت مهیا شده باشد در غیر این صورت امکان تغییر نسخه توسط کاربر نهایی وجود نخواهد داشت.
آیا میدانید؟
سرویسهای میزبانی وب لینوکس وبآلفا علاوه بر امکان انتخاب نسخه PHP دلخواه، دارای قابلیت فعال/غیر فعال سازی ماژول های PHP است.
نگته ۱۲: میزبانی امن برای وبسایت انتخاب کنید
هر مقدار که به امنیت سایت خود اهمیت بدهید در صورتی که میزبان سایت شما، میزبان امنی نباشد، سایت شما قابل نفوذ خواهد بود. خوشبختانه امروزه با پیشرفت تکنولوژیهای میزبانی وب و توسعه راهکارهایی مانند سیستم عامل CloudLinux باعث شده است که با استفاده از این تکنولوژیها، امنیت سرور میزبانی در سطح بالایی قرار بگیرد. وجود اجزایی مانند CageFs در سیستم عامل CloudLinux باعث شده است که حساب های کاربر مختلف به خوبی از هم جدا شوند و محیط امنی را برای هر یک به وجود آورد. با توجه به تجاری بودن این سیستم عامل برخی سرویس دهنده ها برای ارائه سرویس با هزینه پایینتر از آنها استفاده نمیکنند. به همین جهت پیشنهاد میشود قبل از تهیه میزبانی این مورد را بررسی نمایید.
آیا میدانید؟
سرویسهای میزبانی وب لینوکس وبآلفا از سیستم عامل CloudLinux و آخرین اجزای امنیتی آن مانند CageFs بهره میبرد.
باید به این نکته توجه داشت که با انجام تمامی موارد فوق باز هم نمی توان گفت که امنیت به صورت کامل تضمین شده است به همین خاطر همواره پیشنهاد میکنیم که به صورت مکرر از سایت خود نسخه پشتیبان تهیه کنید. در مقاله فوق سعی شد به نکاتی که باعث افزایش امنیت وردپرس میشود اشاره شود. البته برخی از این موارد در مورد سیستم های مدیریت محتوای دیگر نیز صادق است. امنیت موضوع ای مهم است که همواره باید به آنها توجه شود. امید است این مقاله گامی مفید در جهت افزایش امنیت وب سایت برداشته باشد.