گام به گام امنیت وردپرس(قسمت دوم)

فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس، استفاده از فایروال برنامه وب (WAF) است.

فایروال وب ، قبل از اینکه به وب سایت شما برسد، همه بازدیدهای مخرب را مسدود می کند.

Application Level Firewall – این افزونه های فایروال پس از اینکه به سرور شما رسید ، قبل از بارگذاری اکثر اسکریپت های وردپرس و میزان بازدید را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

سایت وردپرس خود را به SSL / HTTPS منتقل کنید

SSL (لایه سوکت های امن) پروتکلی است که انتقال داده را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود که سرقت اطلاعات و هک را دشوار کند.

هنگامی که SSL را فعال کردید ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، همچنین علامت قفل در کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد.

گواهینامه های SSL معمولاً توسط شرکت های صادر کننده گواهینامه فعال می شوند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع می شود. با توجه به هزینه ی بالای گواهی نامه ها ، بیشتر دارندگان وب سایت تصمیم گرفتند از پروتکل HTTP  استفاده کنند.

برای رفع این مشکل ، یک سازمان غیر انتفاعی به نام Let’s Encrypt تصمیم گرفت گواهی SSL رایگان را به دارندگان وب سایت ارائه دهد. پروژه آنها توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکتهای دیگر پشتیبانی می شود.

اکنون ، شروع به استفاده از SSL برای همه وب سایت های وردپرس، از همیشه آسان تر است. بسیاری از شرکت های میزبانی وب، گواهی SSL رایگان برای وب سایت وردپرس شما ارائه می دهند.

امنیت وردپرس برای کاربران DIY

اگر همه کارهایی را که تاکنون ذکر کردیم انجام دهید ، سایت شما بدون مشکل می باشد.

اما مثل همیشه ، کارهای سخت دیگری وجود دارد که می توانید برای تقویت امنیت وردپرس خود انجام دهید.

برخی از این مراحل ممکن است به دانش کدگذاری نیاز داشته باشند.

نام کاربری پیش فرض “admin” را تغییر دهید.

در زمان های قدیم ، نام کاربری مدیر پیش فرض وردپرس “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند ، این حملات را برای هکرها آسان تر می کند.

خوشبختانه ، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس می کند.

با این حال ، برخی از نصب کنندگان وردپرس با یک کلیک، هنوز نام کاربری مدیر پیش فرض را روی “admin” تنظیم می کنند. اگر چنین موردی را مشاهده کردید ، احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید.

از آنجا که وردپرس به شما اجازه تغییر نام کاربری را به طور پیش فرض نمی دهد، سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.

نام کاربری مدیر جدید ایجاد کنید و نام قدیمی را حذف کنید.

از افزونه تغییر نام کاربری استفاده کنید.

نام کاربری را از phpMyAdmin به روز کنید.

ما در راهنمای دقیق خود در مورد چگونگی تغییر صحیح نام کاربری وردپرس (گام به گام) ما به این سه مورد پرداخته ایم.

توجه: ما در مورد نام کاربری به نام “Admin” صحبت می کنیم  و دقت داشته باشید نقش مدیر متفاوت است.

ویرایش فایل را غیرفعال کنید.

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و پرونده های پلاگین خود را از قسمت ادمین  وردپرس ویرایش کنید. این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را غیر فعال کنید.

با افزودن کد زیر در پرونده wp-config.php به راحتی می توانید این کار را انجام دهید.

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

در برخی از دایرکتوری های وردپرس اجرای فایل PHP را غیرفعال کنید

روش دیگر برای تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوری هایی است که نیازی به آن نیست مانند / wp-content / uploads /.

می توانید این کار را با استفاده از باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را جای گذاری کنید:

<Files *.php>

deny from all

</Files>

در مرحله بعدی ، باید این فایل را به صورت .htaccess ذخیره کرده و با استفاده از FTP آن را در / wp-content / uploads / پوشه ها در وب سایت خود بارگذاری کنید.

تلاشهای ورود به سیستم را محدود کنید

به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند. این باعث می شود سایت وردپرسی شما در برابر حملات brute force آسیب پذیر شود. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی می کنند رمزهای عبور را بشکنند.

با محدود کردن تلاشهای ناموفق برای ورود به سیستم ، کاربر می تواند به راحتی مسدود شود. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، به طور خودکار از آن مراقبت می شود.

با این حال ، اگر امکان نصب فایروال را ندارید ، مراحل زیر را دنبال کنید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید. پس از فعال سازی ، برای تنظیم افزونه به تنظیمات »ورود به صفحه LockDown مراجعه کنید.

تأیید اعتبار دو مرحله ای اضافه کنید

احراز هویت دو مرحله ای، با استفاده از روش احراز هویت دو مرحله ای ، به کاربران جهت ورود نیاز دارد.

اولین مورد نام کاربری و رمز عبور است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد.

اکثر وب سایت های آنلاین برتر مانند Google ، Facebook ، Twitter به شما امکان می دهند آن را برای حساب های خود فعال کنید. همچنین می توانید همان عملکرد را به سایت وردپرس خود اضافه کنید.

ابتدا باید پلاگین Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی ، باید روی پیوند “Two Factor Auth” در نوار کناری مدیریت وردپرس کلیک کنید.

در مرحله بعدی ، باید برنامه تأیید اعتبار را در تلفن خود نصب و سپس باز کنید. چندین مورد از آنها مانند Google Authenticator ، Authy و LastPass Authenticator در دسترس است.

ما توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود پشتیبان گیری کنید. درصورت گم شدن تلفن ، تنظیم مجدد یا خرید تلفن جدید ، این بسیار مفید است. تمام ورود به سیستم حساب شما به راحتی بازیابی می شود.

ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد. با این حال ، دستورالعمل ها برای همه برنامه ها مشابه هستند. برنامه احراز هویت خود را باز کنید و سپس روی دکمه افزودن کلیک کنید.

از شما سوال می شود که آیا می خواهید سایتی را به صورت دستی اسکن کنید یا بارکد آن را اسکن کنید. گزینه بارکد اسکن را انتخاب کنید و سپس دوربین تلفن خود را بر روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

در این مرحله، برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه دیگر که وارد وب سایت خود می شوید ، پس از وارد کردن رمز ورود ، کد auth دو سطحی از شما خواسته می شود.

به سادگی برنامه تأیید اعتبار را در تلفن خود باز کنید و کدی را که روی آن می بینید وارد کنید.

طبقه بندی شده در:

عمومی,

آخرین به روز رسانی: 5 شهریور 1403