امنیت در وردپرس

امنیت در وردپرسReviewed by حسین یوسف زاده on Oct 15Rating: 4.5امنیت در وردپرس-قسمت اولبا سلام خدمت خوانندگان عزیز سایت. در این سلسله نوشته قصد دارم به امنیت در وردپرس و راهکارهای تامین امنیت در وب سایت های وردپرسی بپردازم. در بخش اول توصیه های عمومی مرتبط با امنیت در وردپرس را خواهیم داشت.

با سلام خدمت خوانندگان عزیز سایت. در این سلسله نوشته قصد دارم به امنیت در وردپرس و راهکارهای تامین امنیت در وب سایت های وردپرسی بپردازم. در بخش اول توصیه های عمومی مرتبط با امنیت در وردپرس را خواهیم داشت.

اکثر دارندگان سایت های مبتنی بر CMS ها دارای پیش فرض های اشتباهی در زمینه امنیت وب سایت خود هستند! مسائلی مانند:

  • هک برای من اتفاق نخواهد افتاد!
  • سایت من برای هکرها کم اهمیته.
  • من ترجیح میدم بر محتوا و SEO متمرکز باشم تا مباحث امنیت.
  • امنیت وب سایت من بر عهده سرور و فرد دیگری است.

اما واقعیت این است که مسئول اول و اصلی در تامین امنیت یک وب سایت بر عهده دارنده وب سایت است. اما در این جا برخی توصیه های عمومی برای وب سایت های وردپرسی خواهیم داشت:

  • پوسته ها و پلاگین های غیر ضروری خود را پاک کنید! توصیه بهتر این است که تنها یک قالب و چند پلاگین ضروری را بر روی سرور خود نگه دارید.
  • همواره از به روز بودن وردپرس خود اطمینان داشته باشید. بهتر است به روز رسانی های امنیتی وردپرس را بدون فوت وقت انجام دهید و یا اگر برخی تنظیمات و پلاگین های شما با به روز رسانی از کار نمی افتد به شما توصیه می کنیم حتما قابلیت به روز رسانی خودکار را فعال کنید.
  • پسوردهای خود را طولانی انتخاب کنید. هک کردن پسوردهای کوتاه از عهده هکرهای معمولی هم بر می آید. در انتخاب پسورد حتما از حروف بزرگ و کوچک و علائم خاص مانند @ و یا # استفاده کنید. به جای انتخاب عدد برای پسورد از اسم یک مکان یا یک اتفاق هم می توانید استفاده کنید! با این ترفند پسوردهای طولانی تر و قوی تری خواهید داشت.
  • در مورد حساب های کاربری سایت وردپرسی خود حساس باشید. حساب های کاربری قدیمی را حتما حذف کنید. برای مدیریت سایت نیز از کلمه admin در شناسه استفاده نکنید. برای تغییر این شناسه می توانید یک حساب کاربری با نقش مدیر تعریف کرده و با ورود به آن حساب کاربری admin قبلی را حذف کنید. در مدیریت یک سایت چند کاربره بهتر است که این مورد را جدی بگیرید! برای نقش ها به تصویر زیر دقت کنید:

555

  • از پلاگین های امنیتی برای ارتقا امنیت وب سایت خود استفاده کنید. توصیه بنده bruteprotect است که از این آدرس قابل دست یابی است.
  • از سایت خود همواره پشتیبان تهیه کنید. بهترین پلاگین برای این منظور BackupBuddy است. البته گزینه های دیگری مانند BackWPup نیز در دسترس است.
  • برای دانلود و نصب قالب ها و پلاگین ها حتما از سایت رسمی وردپرس و یا در نهایت از وب سایت های مشخص و با سابقه استفاده کنید. بسیاری از نسخه های به اصطلاح نال شده دارای باگ های مختلف و بعضا خطرناک هستند.
  • بعد از نصب وردپرس فایل های readme.html و license.txt را از پوشه ی اصلی سایت حذف کنید.
  • برای هر سایت پسوردهای متفاوتی داشته باشید!
  • هسته ی اصلی تنظیمات در وردپرس فایل wp-config است که در آن تنظیمات عمومی ذخیره شده است. برای تامین امنیت این فایل می توان با اضافه کردن کد زیر به فایل htaccess. تا حدی امنیت این فایل را افزایش داد.

  • هسته اصلی وردپرس را می توان با کمک تنظیم سطح دسترسی هم کنترل کرد. سطح دسترسی یا همان permission ابل قبول برای این فایل ۶۴۴ است. همان گونه که مشاهده می کنید این سطح دسترسی اجازه اجرایی کردن فایل را حتی به owner یعنی صاحب سایت نمی دهد. توصیه می کنم این کار را بر روی فایل htaccess. هم انجام دهید.

Chpture

  • اگر به فایل wp-config سایت خود نگاهی بیاندازید مجموعه ای از کدها را خواهید دید که با define شروع می شوند. این کدها به secret-key معروف هستند وتنظیم این موارد به امنیت سایت شما کمک می کند. برای این منظور به این آدرس رفته و کدهای موجود در آن را با خطوط کد مشابه جایگزین کنید. نمونه کد جایگزین را در زیر می بینید.

  •  وردپرس به طور پیش فرض برای جداول پایگاه داده کلماتی مانند _wp را در نظر می گیرد. برای تغییر این کلمات می توان در هنگام نصب وردپرس و تنظیم فایل wp-config با مراجعه به قسمت DB prefix name اقدام به تغییر این نام نمود. توصیه بنده این است که این نام را به صورت _***_wp نام گذاری کنید.( به جای * ها از عبارت مورد نظر خود استاده کنید.) این کار به این دلیل است که بعد از نصب برخی پلاگین ها جداولی به پایگاه داده اضافه می شود و شما برای تشخیص پایگاه داده های ابتدایی امکان دارد دچار مشکل شوید. اگر وردپرس را نصب کرده اید پلاگین هایی برای تغییر پیش وند پایگاه داده (DB prefix) موجود است.
  • برای سطح دسترسی فایل ها از ۶۴۴ و برای سطح دسترسی پوشه ها از ۷۵۵ استفاده کنید.
  • فرض کنید که در پوشه ای فایل index حذف شده باشد و هکرها قابلیت دیدن سایر پوشه های موجود را داشته باشند. برای جلوگیری از این مشکل بهتر است در ابتدای فایل htaccess. کد زیر را وارد کنید.

  •  برای تامین امنیت دسترسی نداشتن افراد از راه آدرس به پوشه wp-admin می توان ابتدا یک فایل به نام htaccess. در این پوشه ایجاد کرد و سپس کد زیر را در این فایل ذخیره کرد. به جای آی پی موجود در خط ۵ در این فایل شما بایستی آی پی خود را وارد کنید. اگر آی پی متغیری دارید نگران نباشید. این تنظیم مشکلی در کار سایت شما به وجود نخواهد آورد.

  •  برای حذف تگ های متا و rss که شامل اطلاعاتی راجع به نسخه فعلی وردپرس شما می باشند بایستی است ابتدا وارد پوشه ی حاوی قالب خود شده و فایل function.php را باز کنید. در انتهای فایل کد زیر را وارد کنید. با این کار هکر ها و کدهای اتوماتیک نسخه وردپرس شما را نخواهند دید.