عمومی

چند نکته برای افزایش امنیت وردپرس

ورد پرس امروزه به یکی از پرکاربردترین پلتفرم های متن باز برای طراحی و ساخت هر نوع وب سایتی ( به عنوان بلاگ یا به عنوان CMS و یا به عنوان هر راهکار دیگری) مورد استفاده وسیعی قرار می گیرد. ورد پرس به طبع با زبان PHP طراحی و نوشته شده است.

به عنوان یک طراح PHP همواره باید نکات خاصی را مورد توجه قرار داد تا همیشه وب سایی امن، پرسرعت و بدون مشکل داشته باشید. در این مقاله برخی از نکات مفید، برای افزایش امنیت وردپرس و همچنین بهینه سازی آن را مشاهده خواهید نمود.

این قسمت از مقاله شامل مطالبی در مورد محافظت از فایلها، محدودیت در لاگین، محدودیت در قسمت مدیریت، محافظت از دیتابیس و … می باشد.

 ۱ – همیشه بروز باشید :

مهمترین نکته در حفظ امنیت سایت های وردپرس بروزرسانی مداوم آنها می باشد. مشخصا شرکت ورد پرس در هریک از بسته های Update خود، تعداد مشکلات و حفره های امنیتی خود را به حداقل می رساند. بنابراین زمانی که در پنجره امنیتی با پیغام توصیه بروزرسانی مواجه می شوید، به هیچ وجه آن را ندیده نگیرید. این روش یکی از موثرترین راهکارهای مقابله با هکرها برای نفوذ می باشد، اما متاسفانه هنوز بسیاری از افراد برای ترس از از دست دادن پوسته ها افزونه های خود، هیچ گاه وب سایت خود را به نسخه های جدیدتر ارتقا نمی دهند.

_________________________________________________________________________________

 ۲ –   یک کلید محرمانه سفارشی (Custom Secret Key) برای فایل wp-config.php خود ایجاد نمایید.

تمام اطلاعات محرمانه مربوط به سایت وردپرس شما در فایلی به نام wp-config.php در پوشه مبدا root directory میزبانی شما ذخیره می گردد. کلید محرمانه (Secret Key) یکی از اطلاعات اطلاعات بیتی ذخیره شده در این فایل می باشد، بنابراین حتما باید نسبت به تغییر آن به کد دیگری اقدام نمایید.

اگر از مقداری که باید در قسمت secret key  وارد نمایید، مطمئن نیستید، می توانید به این لینک مراجعه نمایید. لینک مذکور در هر زمان، مجموعه ای کدها را به صورت تصادفی برای شما ایجاد نمایید.

_________________________________________________________________________________

۳ – پیشوند جداول دیتابیس خود راتغییر نمایید.

بسیاری از تنظیمات پیش فرض نصب ورد پرس ، مخصوصا در زمانی که از ویزارد نصب ساده آن استفا ده می نمایید، در تمامی سایت ها یکسان هستند. گرچه که نصب نرم افزار از طریق این ویزارد فوق العاده ساده و سریع انجام می پذیرد، اما بسیاری از مقادیر پیش فرض که در مراحل نصب برای وب سایت شما تنظیم می گردند، برای اکثر هکرها آشنا هستند. یکی از این مقادیر پیشوند جداول دیتابیس (Prefix_database) می باشد. اگر پیشوند جداول دیتابیس خود را بعد از نصب نرم افزار تغییر ندهید، نام تمامی جداول شما برای هکرهای شناخته شده بود و در واقع امکان نفوذ آن ها نیز بیشتر خواهد شد.

_________________________________________________________________________________

۴ – نسخه ورد پرس خود را مخفی نمایید.

یکی دیگر از راه های حفظ امنیت وب سایت، منع کردن ورد پرس از ایجاد اطلاعات Meta می باشد. این اطلاعات نمایش دهنده نسخه نرم افزار ورد پرس استفاده شده در وب سایت شما می باشد. اگر نسخه ورد پرس در وب سایت شما نمایش داده شود، هکرها قادر خواهند بود از حفره های امنیتی نسخه مذکور اطلاع پیدا کرده و با استفاده از آنها به وب سایت شما نفوذ پیدا کنند. این امر زمانی که شما به هر دلیلی قادر به بروز رسانی و ارتقای نسخه وردپرس خود نیستید نیز به مراتب اهمیت ویژه ای پیدا می کند تا با این کار نسخه مورد استفاده خود را از عموم مخفی نمایید.

برای اینکار می بایست کد زیر را در فایل function.php پوسته (Theme) مورد استفاده خود قرار دهید.

[pre] remove_action(‘wp_header’, ‘wp_generator’);[/pre]

شما همچنین می توانید یک قدم پیش تر رفته و اطلاعات مذکور را از RSS feed نیز با استفاده از کد زیر حذف نمایید :

[pre] function wpt_remove_version() {

   return ”;

}

add_filter(‘the_generator’, ‘wpt_remove_version’);[/pre]

_______________________________________________________________________________

۵ – افزونه WordPress Security Scan  را برروی وب سایت خود نصب نمایید.

افزونه فوق یکی از ابزارهای بسیار مفید می باشد که تمامی پروسه نصب وردپرس مورد استفاده شما را اسکن نموده و در صورت یافتن مشکلات امنیتی، راهکارهای اصلاح مناسب را پیشنهاد می دهد.

این افزونه گزینه های زیر را بررسی و اسکن می نماید :

–    پسووردها

–  سطح دسترسی فایلها

–  امنیت دیتابیس

–  سطح امنیتی قسمت مدیریتی ورد پرس

شما می توانید افزونه فوق را از این لینک دانلود نمایید.

ابزارهای امنیتی دیگری مانند VaultPress نیز در این زمینه وجود دارند که سرویس های امنیتی متفاوت و مفیدی را عرضه می نمایند.

_________________________________________________________________________________

۶ – تعداد تلاش های ناموفق برای لاگین قسمت مدیریتی را محدود سازید.

این افزونه پرکاربرد می تواند تعداد تلاش های ناموفق برای لاگین به قسمت مدیریتی وب سایت شما را محدود سازد. برای مثال اگر تا ۳ بار پسورد حساب مدیریتی مربوطه اشتباه  وارد شود، فرد مذکور تا ۳۰ دقیقه امکان لاگین مجدد را نخواهد داشت. این ابزار در زمان هایی که شخصی به طور دستی و یا توسط روبات های تحت وب اقدام به حدس زدن رمز عبور شما از طریق امتحان تعداد زیادی از رمز های می نماید، موثر و بازدارنده خواهد بود.

شما می توانید افزونه مذکور را از اینجا دانلود نمایید.

_________________________________________________________________________________

۷ – هرگز از کلمه پیش فرض “Admin” به عنوان نام کاربری خود استفاده نکرده و از رمز های عبور پیچیده استفاده نمایید.

این نکته قاعدتا یکی از آسان ترین موارد امنیتی است که رعایت آن میتواند به افزایش ضریب امنیتی وب سایت کمک کند. از آنجایی که وردپرس به صورت پیش فرض نام کاربری Admin را برای حساب کاربری مدیریتی شما در نظر می گیرد، بنابراین هکر ها نیز اولین username را که برای نفوذ به وب سایت امتحان خواهند کرد، admin خواهد بود، لذا حتما در زمان نصب ورد پرس برای وب سایت خود، نسبت به تغییر نام کاربری خود اقدام فرمایید.

همچنین انتخاب رمز های پیچیده و دشوار در حدس زدن برای تمامی مراحل وب سایت خود مانند قسمت مدیریتی، دیتا بیس، کنترل پنل هاست و … نیز یکی از موارد ضروری برای افزایش امنیت می باشد. شما همچنین می توانید از ابزار Strong Password Generator برای ساختن رمزهای پیچیده و مناسب استفاده نمایید.

_________________________________________________________________________________

۸ –  و آخرین نکته… تهیه نسخه پشتیبانی به صورت مداوم

قرار گرفتن گزینه تهیه نسخه پشتیبان (Backup) در آخر این لیست به معنای اهمیت کمتر آن نسبت به سایر گزینه ها نمی باشد، بلکه دارا بودن یک نسخه پشتیبان کامل از وب سایت، به شما احساس امنیت بیشتری نسبت به سایر موارد اعطا می کند. در حال حاضر افزونه های متفاوتی برای ورد پرس وجود دارند که به شما اجازه تهیه و مدیریت Backup های وب سایت خود را می دهند.

دونمونه از این افزونه های عبارتند از:

–  Backup WordPress

–  WP DB Backup

همچنین در صورتی که تمایل به داشتن راهکار قوی تر و مطمئن تری برای تهیه پشتیبان وب سایت خود می باشید، باید از ابزارهای تجاری و قابل خرید مانند Backup Buddy  و VaultPress استفاده نمایید.

_________________________________________________________________________________

منابع :

http://wp.tutsplus.com//

با کارت بانکی باشگاه ایران هاست پولتان به حسابتان باز می گردد.

همین حالا رایگان عضو شوید

مدیر بلاگ

مشخصات مدیر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن
بستن