عمومی

نکاتی جهت امن سازی wordpress

مسئله ی امنیت در wordpress موضعی جدی است و در صورتیکه برخی نکات در آن رعایت نگردد باعث بروز مشکلات فراوانی برای سایت می شود. سروری امن است که در آن موضوعاتی  مانند حریم شخصی ، حامعیت و در دسترس یودن منابع مطرح بوده و کارها زیر نظر مدیر سرورانجام پذیرد.

images

در ابتدا از مهمترین اقدامات جهت امن سازی وبلاگ یا سایت طراحی شده با وردپرس شروع کرده و سپس برخی برنامه های مرتبط با این موضوع معرفی خواهد شد.

۴ مهم اقدام در امن سازی سایت طراحی شده با wordpres

موارد زیر بایستی به طور کلی در سایت شما رعایت شود :

محدود بودن دسترسی :

 سطح دسترسی در سایت بایستی هوشمندانه انتخاب شود تا احتمال نفوذ برنامه های malicious کاهش یابد.

نگهداری:

سیستم بایستی به شکلی پیکربندی شده باشد تا میزان آسیب پذیری کاهش یابد.بایستی از سایت در بازه های زمانی مشخص بک آپ تهیه نمایید تا در مواقع نیاز با سرعت بیشتری به اطلاعات خود دسترسی داشته باشید.

همچنین داشتن آخرین نسخه ی WORDPRESS که جدیدترین موارد امنیتی در آنها گنجانیده  شده است مهم می باشد.

به روز آوری WordPress :

آخرین نسخه ی این برنامه به صورت دائمی از طریق سایت http://wordpress.org قابل دانلود می باشد و بهتر از سایت های دیگر استفاده نکنید.

از نسخه ی ۲.۷ به بعد آن قابلیت به روز آوری خودکار اضافه گردیده که در صورت فعال شدن به روزسانی به صورت اتوماتیک اضافه می شود.

در صورتیکه با باگ یا یک موضوع امنیتی در wordpress مواجه شدید می توانید طبق راهنمای موجود در لینک زیر آن را گزارش دهید :

http://codex.wordpress.org/Security_FAQ

نگهداری کلمه های عبور :

انتخاب کلمه ی عبور مناسب نیز نقش مهمی در امنیت WORDPRESS ایفا می کند پسوردها بایستی به حدی قوی باشند که حدس زدن آنها مشکل و مانع موفق شدن عملیات brute force گردند.در لینک زیر تعدادی ابزار ساخت پسورد معرفی کردیده است :

https://www.google.com/?q=password+generator

البته هنگام تغییر پسورد در wordpress ویژگی در آن وجود داشته که میزان قوی بودن پسورد را نشان می دهد

درصورتیکه هاست شما سرویس sftp را ارائه می دهد از آن به جای Ftp استفاده کنید . همچنین تنها به فلدرهایی که نیاز به نوشتن در آنها را دارید مجوز write اعطا نمایید.

در صورتیکه بر روی یک سرور از چندین بلاگ استفاده می کنید بهتر است که برای هر کدام یک دیتابیس جداگانه طراحی نمایید.

نحوه ی امن سازی wp-admin :

دادن قابلیت password protection از سمت سرور به فلدر /wp-admin/ باعث می شود تا لایه ی دوم امنیتی بر روی آن فعال شده و صفحه ی ورود و فایل های مدیریتی امن شوند.

غیر فعالسازی ویرایش فایل :

داشبورد wordpress به طور پیش فرض به مدیران اجازه می دهد تا فایل های php را ویرایش کنند. درصورتیکه وبلاگ مورد حمله ی هکرها قرار بگیرد فایل ها ویرایش شده و سایت بااختلال مواجه خواهد شد.بنابراین بایستی امکان ویرایش را غیرفعال کنیم.

WordPress ثابتی برای  این ویژگی دارد که کافی است در فایل wp-config.php قرار گیرد :

define(‘DISALLOW_FILE_EDIT’, true);

معرفی blueproof security :

این پلاگین وب سایت طراحی شده توسط wordpress را در مقابل حملاتی مانند  XSS, RFI, CRLF, CSRF, Base64, Code Injection و SQL Injection محافظت می کنند. همچنین اقدامات امنیتی در مورد  فایل های مهم wordpress مانند wp-config.php, bb-config.php, php.ini, php5.ini, install.php and readme.html را نیر اعمال می کند.

این پلاگین ساده در لینک زیر قابل دانلود می باشد.

http://wordpress.org/extend/plugins/bulletproof-security/

نکته : بعد از دانلود آن بایستی فایل zip را از حالت فشرده خارح و در مسیر /wp-content/plugins آپلود کنید.

قوانین Ngin rewrite برای wp-admin :

یادگیری این نوع قوانین بسیار اسان و قابل فهم است. .هنگامی که در سایت خود از SSL استفاده کرده اید بایستی این قوانین را مورد استفاده قرار دهید.

مسئله ی موجود این است که با تغییر فایل wp-config.php،  بازدیدکنندگان سایت را توسط پروتکل امن بازدید نخواهند گرد حتی اگر بر روی سایت SSL نصب شده باشد. راه کار آن استفاده از قوانین Ngin rewrite  است.

این قانون که در قالب کد زیر می باشند باعث می شوند تا بازدیدکنندگان و موتورهای جستجو از پورت ۸۰ برای post استفاده کنند. کافی است این کد را در فایل پیکربندی خود قرار دهید :

server {

listen 443;

server yourdomain.com;

 

### Regular rules to manage WordPress over SSL such as

location /wp-admin {

# proxy_pass or fastcgi_pass rule/s

}

 

### Put this as the last line

### To redirect regular pages to HTTP

location / { rewrite ^ http://$host$request_uri permanent; }

}

فعالسازی قابلیت wordpress administration  secure:

بعداز نصب و یا فعالسازی ssl بر روی سایت خود می توانید از این ویزگی بهره ببرید تا مطمئن شوید که پسوردها از کانالی امن عبور می کنند. جهت فعالسازی آن کافی است خط زیر را در فایل wp-config.php  اضافه کنید :

define(‘FORCE_SSL_ADMIN’, true);

همچنین پلاگنینی وجود دارد که جهت فعالسازی این قابلیت مورد استفاده قرار می گیرد که می توانید آن را از لینک زیر دانلود نمایید:

http://codex.wordpress.org/Administration_Over_SSL

در انتها چند اقدام فنی مهم دیگر که به افزایش امنیت سایت طراحی شده با wordpress کمک می کند توضیح داده می شود :

به طور پیش فرض مشاهده ی نسخه ی wordpres برای همگان امکان پذیر است .درصورتیکه شما نسخه ی قدیمی  آن را داشته باشید و هکرها این موضوع را متوجه شوند می توانند به راحتی سایت را هک نمایند. برای رفع این موضوع می توانید محلی که این اعداد وجود دارند را به گونه ای مدیریت کنید تا  نمایش داده نشوند.این اطلاعات در تگ meta و یا فایل readme.html ذخیره می شوند.

کافی است کد زیر را در فایل function.php قرار دهید :

function remove_wp_version() {

     return ”;

}

add_filter(‘the_generator’, ‘remove_wp_version’);

همچنین فایل readme.html را تغییر نام دهید.

یکی دیگر از قسمتهایی که امکان نفوذ توسط هکرها در آن وجود دارد plugin file editors  است . بنابراین بهتر است آن را غیر فعال کرده و theme و قالب ها را ازطریق ftp ویرایش کنید. برای غیر فعالسازی کافی است کد زیر را در فایل function.php قرار دهید :

  1. define(‘DISALLOW_FILE_EDIT’, true);

محدود کردن کاربرانی که در سایت ثبت نام می کنند :

بعد از ورود به قسمت Admin وارد setting شده و در قسمت general گزینه ی subscriber را انتخاب کنید.

یکی دیگر از روش های نفود،  اشتباه وارد شدن مشخثات کاربری admin است. هکرها می توانند در صورت اشتباه بودن نام کاربری یا کلمه ی عبور به راحتی username را بیابندبرای جلوگیری از انجام این کار کدزیر را در فایل function.php قرار دهید.

  1. function failed_login() {
  2.      return ‘The login information you have entered is incorrect.’;
  3. }
  4. add_filter(‘login_errors’, ‘failed_login’);

همچنین برای محدود کردن تعداد لاگین ها می توانید از پلاگین Limit login attempt استفاده نمایید.

انجام کلیه ی اقدامات بالا باعث می شود تا سایت شما پتانسیل بالایی در مقابل تهدیدات اینترنتی داشته باشد.

منابع :

http://codex.wordpress.org/Hardening_WordPress

https://www.tinywp.in/category/security/

https://managewp.com/wordpress-security-threats

با کارت بانکی باشگاه ایران هاست پولتان به حسابتان باز می گردد.

همین حالا رایگان عضو شوید

مدیر بلاگ

مشخصات مدیر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن
بستن