مقالات

13 نکته حیاتی و مهم برای حفاظت ناحیه مدیریتی وردپرس شما

-


نویسنده: فردین صادقی
منبع: -

1

در ارتباط با تاکيد بر امنيت ناحيه مديريتي WordPress، به دليل حمله اخيري که در سايتمان صورت گرفته بود، به نگارش مقاله‌اي کامل پرداخته‌ايم که در آن به بررسي نکات امنيتي و سنجش ميزان امنيت ناحيه مديريتي Word Press سايت شما مي‌پردازد‌.
تاکيد بر به‌کارگيري کليه اين موارد نيست؛ اما پيشنهاد مي‌کنيم بعضي از آن‌ها را به منظور حصول اطمينان از امنيت سايتتان پياده‌سازي کنيد‌. لازم به ذکر است هر چه در به‌کارگيري اين موارد پيشرفت کنيد، کار را براي هکرها سخت‌تر خواهيد کرد‌.

21 . ايجاد لينک‌هاي ورود سفارشي‌:

امري بديهي است که کليه کاربران براي ورود به پنل کاربري سايت خود از صفحه /wp-login.php استفاده مي‌کنند‌. اکنون اگر از يک کلمه عبور مشابه در نقاط مختلف استفاده کرده باشيد و يکي از آن‌ها به مخاطره افتاده باشد، آنگاه دسترسي به پنل کاربري سايت شما توسط هکرها خيلي ساده مي‌شود‌. پلاگيني به نام ورود نهان (Stealth Login) اين اجازه را به شما مي‌دهد تا از URLهاي سفارشي براي اقدامات مديريتي‌، ورود و خروج به پنل کاربري و انجام تغييرات لازم در صفحه مديريتي WordPress خود استفاده کنيد‌. همچنين مي‌توانيد با فعال‌سازي مد ورود نهان مانع از دسترسي مستقيم کاربران به صفحه /wp-login.php شويد. سپس مي‌توانيد URL ورود خود را به راحتي مخفي نماييد‌. اين امنيت وب سايت شما را قطعا تضمين نمي‌کند؛ اما اگر کسي قصد هک کردن کلمه عبور شما را داشته باشد‌، به راحتي نمي‌تواند تشخيص دهد که صفحه ورود شما واقعا چيست. همچنين اين کار از کليه مقاصد مخرب که قصد دسترسي به فايل /wp-login.php را دارند، جلوگيري مي‌کند و مانع از تلاش‌هاي انجام شده براي هک آن مي‌شود‌.

3 2 . انتخاب يک کلمه عبور قوي:

اين مرحله يک مرحله بديهي است؛ اما پيشنهاد مي‌کنيم که آن را دست کم نگيريد‌. شما نبايد از کلمه‌هاي عبور مشابه در چندين مکان استفاده کنيد‌. سعي کنيد از کلمه‌هاي عبور متفاوت استفاده کنيد؛ به صورتي که حدس آن‌ها فوق‌العاده سخت باشد. براي اينکه اطمينان حاصل کنيد کلمه عبور انتخابي قوي و حدس آن سخت است، از شناسايي کننده قوي بودن کلمه بودن ورد پرس (WPSD) استفاده کنيد‌. نکته ديگر آن است که کلمه عبور خود را به صورت دوره‌اي تعويض کنيد؛ در اين صورت حتي اگر کلمه عبور شما حدس زده شود، با توجه به تغيير داده شدن آن امکان عبور از آن را ندارد. 

43 . محدود کردن تعداد دفعات تلاش براي ورود به پنل مديريتي:

گاهي اوقات هکر‌ها از اسکريپت‌هايي براي حدس کلمه عبور شما استفاده مي‌کنند‌. در اين حالت تنها کاري که مي‌توانيد براي جلوگيري از آن به کار ببريد، محدود کردن تعداد دفعات تلاش براي ورود به پنل مديريتي سايت است. شما مي‌توانيد اين کار را به آساني و با استفاده از پلاگين محدود کردن تلاش براي ورود (Limit Login Attempts) انجام دهيد. در اين صورت با تعيين تعداد دفعات تلاش براي ورود مي‌توانيد بعد از وارد شدن چند بار کلمه عبور غلط، حساب کاربري خود را براي مدت زمان معيني مسدود کنيد. شما مي‌توانيد اين تنظيمات را در پنل مديريتي خود انجام دهيد‌.

54 . از صفحات ورود SSL امن استفاده نماييد‌:

شما مي‌توانيد براي ورود به پنل کاربري خود از کانال‌هاي رمزگذاري شده و ايمن SSL که از URL هاي  https : // استفاده مي‌کنند، سود ببريد. در اين صورت يا بايد تاييديه اين کار را از ميزبان وب خود بگيريد يا اينکه خودتان يک مجوز SSL داشته باشيد. بعد از به دست آوردن اين مجوز با قرار دادن کد زير در فايل  wp-config.php مي‌توانيد از اين ويژگي استفاده کنيد‌.

6
 
همچنين روش ساده‌تري براي اين کار وجود دارد. شما مي‌توانيد از پلاگين Admin SSL استفاده کنيد تا SSL را بر روي تمام صفحات شما اعمال کند‌. اين پلاگين فقط با نسخه 2.7 و بالاتر وردپرس سازگاري دارد.

75 . پوشه مديريتي wp حفاظت کلمه عبور (Password Protect WP-Admin Directory):

داشتن دو کلمه عبور هيچ اشکالي ندارد و مي‌تواند سطح امنيتي ديگري را به پنل مديريتي وردپرس شما اضافه کند‌. اين کار را مي‌توانيد با استفاده از پلاگيني به نامAskApache Password Protect انجام دهيد‌. اين پلاگين کلمه عبور شما را رمز‌گذاري مي‌کند و فايل .htpasswd را نيز مي‌سازد و سپس مجوز‌هاي پيشرفته امنيتي فايل را بر روي آن‌ها اعمال مي‌کند‌. همچنين در صورتي که از يک ميزبان وب Cpanel براي پوشه مديريتي wp حفاظت کلمه عبور استفاده مي‌کنيد، مي‌توانيد از حفاظت کلمه عبور Cpanel نيز بر روي اين پوشه استفاده کنيد‌.

6 . محدوديت دسترسي از طريق IP آدرس:

شما مي‌توانيد اجازه دسترسي به پنل مديريتي خود را به يک يا چند IP اختصاص دهيد‌. کليه اين IP‌ها در فايل .htaccess در پوشه /wp-admin قرار مي‌گيرند؛ البته در صورتي که نمونه‌اي از آن‌ها وجود نداشته باشد، مي‌توانيد کد زير را قرار دهيد:

8
 
IP آدرس را تغيير دهيد و سپس اين کد کار مي‌کند‌. نکته مفيد اين کار آن است که اگر بخواهيد از جايي ديگر به پنل خود دسترسي داشته باشيد، تنها در صورتي مي‌توانيد اين کار را انجام دهيد که IP فعلي را به فايل .htaccess افزوده باشيد‌.

7 . هرگز از نام کاربري admin استفاده نکنيد:

اين نام کاربري اولين نامي است که در هنگام نصب وردپرس ايجاد مي‌شود‌. شما هرگز نبايد از اين نام کاربري استفاده کنيد يا آن را حفظ کنيد؛ چرا که در نقاط ضعف چندگانه قبلي‌، يافته شد که اين مسئله به حمله قدرت بي رحم (BFA ) و نام کاربري ADMIN  مرتبط است؛ بنابراين نبايد از اين نام کاربري استفاده کنيد‌. شما مي‌توانيد در پنل کاربري خود نام کاربري ديگري را ايجاد و نقش مدير را به آن اختصاص دهيد‌. از نامي براي نام کاربري استفاده کنيد که به سادگي توسط هکران قابل حدس زدن نباشد‌. سپس نام کاربري ADMIN  را حذف کنيد‌.

98 . حذف پيغام خطا در صفحه ورود (login):

هنگام وارد کردن نام کاربري يا کلمه عبور نامعتبر‌، شما با پيغام خطا در صفحه ورود روبرو مي‌شويد؛ بنابراين اگر هکري يکي از آن خطاها را به دست آورد‌، پيغام خطاي نشان داده شده مي‌تواند کمکي براي هک سايت شما به او باشد‌. توصيه مي‌کنيم که کليه خطا‌هاي موجود در صفحه ورود را پاک کنيد. فايل functions.php واقع در پوشه تم را باز کنيد و کد زير را در آن قرار دهيد.

10
 
همچنين براي اين کار، راه ساده‌تري به نام پلاگين Secure WordPress وجود دارد که اين کار را انجام مي‌دهد‌.

9 . براي ورود از کلمه عبور رمز‌گذاري شده استفاده کنيد:

اگر SSL را فعال نکرده‌ايد، مي‌توانيد اين کار را به آساني و با استفاده از پلاگيني به نام تصور دوباره ورود نيمه امن (Semisecure Login Reimagined) انجام دهيد‌.
اين پلاگين با استفاده از کليد عمومي RSA، امنيت پروسه ورود را از طريق رمز‌گذاري کلمه عبور در سمت مشتري (هنگامي که اقدام به ورود مي‌کند‌) افزايش مي‌دهد؛ سپس در سرويس دهنده، کلمه عبور رمزگذاري شده را با استفاده از کليد خصوصي رمزگشايي مي‌کند‌. براي فعال‌سازي رمز‌گذاري به جاوا اسکريپت نياز داريد‌.

10 . حفاظت آنتي‌ويروس ورد‌پرس‌:

آنتي ويروس نيز راه‌حلي هوشمندانه و موثر براي حفاظت سايتتان در برابر حملات متعددي است که پاسخ آني به فايل‌هاي مزاحم‌، بررسي خودکار به صورت روزانه و اعلام نتايج از طريق ايميل را براي شما فراهم مي‌کند.

11.  از آخرين نسخه و به‌روز‌ترين نسخه ورد‌پرس استفاده کنيد:

هميشه از آخرين نسخه‌هاي ورد‌پرس استفاده کنيد؛ چراکه در هر نسخه جديد‌، ورد‌پرس اشکلات و خطاهاي نسخه قبلي خود را برطرف مي‌کند‌. پس اگر از نسخه‌هاي به‌روز اين نرم‌افزار استفاده نکنيد، مطمئننا پنل کار بي خود را به مخاطره انداخته‌ايد‌.

12 . پلاگين One Time Password:

اين پلاگين امکاني به شما مي‌دهد که در آن مي‌توانيد از هر کلمه عبور براي يک نشست و ورود به وبلاگ ورد‌پرس استفاده کنيد‌. اين کار سبب مخفي ماندن کلمه عبور اصلي شما در مکان‌هاي پرخطري مثل کافي نت‌ها مي‌شود‌.

13 . پلاگين (WordPress Firewall):

اين پلاگين با بررسي‌هايي که انجام مي‌دهد‌، مانع از به مخاطره انداختن ورد‌پرس شما مي‌شود‌. همچنين اين پلاگين از ساير پلاگين‌هاي ديگر محافظت مي‌کند و از حمله به آن‌ها جلوگيري مي‌کند‌. شما مي‌توانيد از اين پلاگين براي به حداکثر رساندن امنيت وب سايت خود استفاده کنيد‌. همچنين اين پلاگين با ارسال ايميل مي‌تواند شما را از حملاتي که جلوي آن‌ها را گرفته است نيز  باخبر کند‌.

 

 


سایر مقالات

READ ARTICLE

رایانه‌های شخصی قدیمی ویندوز می‌توانند برنامه باجگیر WannaCry را با patch جدید مایکروسافت متوقف کنند

READ ARTICLE

Wanawiki یک راه‌حل برای WannaCry است که ممکن است PCهای آسیب دیده را نجات دهد

READ ARTICLE

13 نکته حیاتی و مهم برای حفاظت ناحیه مدیریتی وردپرس شما

READ ARTICLE

Secure در مرورگر گوگل کروم، به منزله بی خطر و ایمن نیست!