خانه / وردپرس / آموزش وردپرس / ۱۷راه برای جلوگیری از هک شدن وردپرس(بخش دوم)

راه اندازی سایت فروشگاهی دیجی کالا و بامیلو

مهندس فاطمه درخشان

تاریخ بروزرسانی: ۳۰ آذر ۱۳۹۷ تعداد بازدید : 96 بازدید بدون دیدگاه

۱۷راه برای جلوگیری از هک شدن وردپرس(بخش دوم)

با سلام به ادامه مقاله مان با عنوان ۱۷ راه حل برای جلوگیری از هک شدن وردپرس می پردازیم، ما در بخش اول مقاله جلوگیری از هک وردپرس به بررسی این شش مورد پرداختیم:

جلوگیری از هک شدن وردپرس با ایستگاه کاری شما آغاز می شود
با به روز رسانی WordPress آن رادر برابر آخرین تهدیدها محافظت کنید
اطمینان حاصل کنید که سرویس میزبانی تان ایمن است
استفاده از امنیت شبکه(Network Security)برای جلوگیری از هک شدن وردپرس
جلوگیری از هک شدن وردپرس از طریق کلمه عبور پیچیده
امنیت بوسیله انزوا، پایگاه‌های اطلاعاتی خود را منزوی و ایمن نگه دارید
آنچه در ادامه خواهید آموخت عبارتند از:
مخفی کردن نام کاربری و نام مدیر وب سایت شما
جلوگیری از هک شدن وردپرس از طریق افزونه های امنیتی و ترفندهایی برای محافظت از ‌‌‌wp-admin
چگونگی امن کردن WordPress از طریقwp-includes
محافظت از wp – config برای امنیت وب سایت بهبود یافت
از وب سایت خود پشتیبان بگیرید
صرفا از منابع مورد اعتماد برای دانلود استفاده کنید

۷٫ مخفی کردن نام کاربری و نام مدیر وب سایت شما

جلوگیری از هک شدن وردپرس-حفاظت از رمزها — جلوگیری از هک شدن وردپرس-مخفی کرد نام مدیر

نکته بعد به چگونگی حفاظت وردپرس از حمله هکرها به مدیریت WordPress مربوط می شود.

برای اینکه بخش مدیریت را از حمله هکرها محفوظ نگه دارید در درجه اول باید از نام مدیر و پسورد آن محافظت کنید. اگر به طور فعال آن را پنهان نکنید برای هکرها بسیار ساده است که نام مدیر سایتتان را پیدا کنند. چیزی که همه هکرها نیاز دارند، این است که ?author=1 را بعد از URL شما و فرد / عضوی ، که به نظر می آید به احتمال زیاد مدیر است، اضافه کنند. تصور کنید که برای هکرها پس از پیدا کردن نام کاربری admin، چقدر آسان خواهند بود که به پایگاه داده تان دستبرد بزنند . اگر شما اطلاعات زیادی را به آسانی در دسترس قرار داده اید، چگونه می توان از حمله هکرها جلوگیری کرد؟؟؟

راه حل پیشنهادی

راه حل برای جلوگیری از هک مدیریت وردپرس مخفی کردن همه نامهای کاربری با این کد در فایل functions.php:

add_action(‘template_redirect’, ‘bwp_template_redirect’);

function bwp_template_redirect()

{

  if (is_author())

  {

    wp_redirect( home_url() ); exit;

  }

}

add_action(‘template_redirect’, ‘bwp_template_redirect’);

function bwp_template_redirect()

{

if (is_author())

{

wp_redirect( home_url() ); exit;

}

دسترسی به صفحه ورود شما نیزخیلی آسان است ،البته نه فقط برای شما.من می توانم به سادگی wp-admin و یا wp-login.php را پس از آدرس صفحه اصلی تان اضافه کنم،برای پر کردن نام کاربری هم من حالا می دانم که ?author=1 را باید وارد کنم و به همین راحتی با یک الگوریتم رمز عبور شما را هک می کنم، می بینید آنقدرها سخت و دور از دسترس نیست.

چکار باید کرد؟از تکنیک قدیمی «دود و آینه» استفاده کنید و نشانی اینترنتی صفحه ورود به سیستم خود را تغییر دهید تا کار هکرها بسیار دشوار شود. افزونه های امنیتی مانند Login Stealth این کار را براحتی برای شما انجام می دهند – و بار دیگر انجام این گام ساده در جلوگیری از هک شدن وردپرس کاری فوق العاده انجام می دهد.البته افزونه iThemes Security Pro هم می تواند در این باره مفید باشد.

همین حالا ببینید: بهترین روش افزایش حجم آپلود XAMPP

۸. جلوگیری از هک شدن وردپرس ازطریق افزونه های امنیتی و ترفندهایی برای حفاظت از wp-admin

جلوگیری از هک شدن وردپرس- رمزگزاری قوی — جلوگیری از هک شدن وردپرس- پسورد قوی

wp-admin شما یک صندلی قدرت است . صفحه ورود به سیستم و دایرکتوری admin برای همه در دسترس هستند : از جمله آن‌هایی که قصد خرابکاری دارند. برای حفاظت در برابر آنها و توقف حملاتشان ، شما باید کمی سخت‌تر کار کنید .
یک گذرواژه قوی ، یک حساب کاربری پیچیده ( با نام کاربری که هر چیزی جزadminباشد ) و استفاده از افزونه ورود به سیستم برای تغییر نام لینک‌های ورودی شما ، قطعا ً می‌تواند به جلوگیری از حملات هکرها کمک کند .

همچنین می‌توانید با افزونه های مربوط به امنیت وب سایت محافظت اطراف admin خود را تقویت کنید، به عنوان مثال :

افزونه Malcare

این سرویس دارای امتیاز ۵ ستاره است که به تازگی کشف شده‌است . Malcare توسط تیم پشت Blogvault توسعه داده می‌شود ، که قبلا ً از آن استفاده کردیم. آخرین پیشنهاد آن‌ها یک سرویس امنیت و مدیریت وب سایت را ارائه می‌دهد.

این سرویس همچنین پرسنلی را برای اسکن کردن پرونده برای تغییرات اساسی ( برای شناسایی هک ها ) ، تمیز کردن اضطراری ، یک دیواره آتش ساخته‌شده در دیواره آتش برای متوقف‌کردن ترافیک مخرب ، به روز رسانی تم‌ها و متصل شونده‌های مستقیم از داشبورد و یک پشتیبان گیری click، ارایه می‌دهد . بهترین بخش این است که شما می‌توانید تمام سایت‌های خود را از یک داشبورد بردارید ، بدون اینکه بخواهید به هر کدام از آن‌ها وارد شوید .

اقدامات ورود به سیستم را محدود کنید

با کمی کد همراه با تلاش‌های نامحدود ، هر هکری در نهایت به سیستم وارد خواهد شد . شما می‌توانید میزان آزادی فردی را که مجاز به ورود به سیستم با استفاده از تلاش‌ از طریق صفحه ورود به سیستم است، محدود کنید . این کار تعداد تلاش‌های ورود به سیستم برای هر آدرس IP، از جمله خودتان ( با auth cookies ) را محدود خواهد کرد .این به این معناست که اگر کسی در صفحه ورود به سیستم بیش از تعدادی که شما تعیین می کنید رمز ورود غلط وارد کند، سیستم به طور خود کار جلوی فعالیت بیشترش را خواهد گرفت.

SSL – این ارتباطات شما را رمزگزاری می کند

استفاده از قدرت SSL برای تضمین ورود به سیستم ، ناحیه ، پست‌ها و غیره . این به رمزنگاری در جلسات ورود به سیستم شما کمک می‌کند ، به این معنی که رهگیری آن دشوار است . باید گواهی SSL بگیرید و آن را بر روی سرور میزبان خود نصب کنید . InMotion گواهی SSL را برای برنامه‌های میزبانی خود ارائه می‌کند – بنابراین ممکن است وقت آن رسیده باشد که به InMotion برای دریافت SSL خود نیز بروید.

زمانی که با تامین‌کننده میزبان خود تایید کردید که SSL مشترک دارید و سپس این کد را در wp-config.php بچسبانید :

define(’FORCE_SSL_ADMIN’, true);

1	define(’FORCE_SSL_ADMIN’, true);

Acunetix Secure WordPress

این متصل شونده به طور کلی یک راه‌حل امنیتی عالی است، اما برخی ویژگی‌های کلیدی آن را حتی بهتر می‌کنند. اول از همه، یک اسکن امنیتی، وب سایت را اداره می‌کند . همچنین توجه زیادی به اقدامات پیشگیرانه می‌کند، بنابراین شما در ابتدا از جلوگیری از هک شدن وردپرس می کنید. برای محافظت از منطقه مدیریت، اطلاعات خطا را از صفحه ورود حذف خواهد کرد.
این ممکن است زیاد خاص به نظر نرسد، اما پیغام خطا در واقع به هکرها کمک می‌کند بفهمند که آیا چیزی درست کرده‌اند یا نه . حذف پیغام ( hint) این مزیت را برطرف می‌کند . اگر می‌خواهید از حملات هکری اجتناب کنید، حداقل تعدادی از این افزونه ها را به تنظیم و اجرا کنید.

همین حالا ببینید: انتقال تنظیمات سئو با افزونه SEO Data Transporter

۹. چگونگی امن کردن WordPress از طریق wp-includes

باید بدانید که wp-includes هسته وردپرس و در واقع قلب وردپرس است. و به همین خاطر باید دور از دسترس و دستکاری همه از جمله خود شما باشد. بنابراین برای جلوگیری ازحملات هکری باید از ارسال هرگونه متن ناخواسته به آن جلوگیری کنید. این کد را در فایل .htaccess قبل از BEGIN# کپی کنید.

# Block the include-only files.

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

</IfModule>

# BEGIN WordPress

# Block the include-only files.

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

</IfModule>

# BEGIN WordPress

توجه داشته باشید که اگر میخواهید کد را روی Multisite کار کنید، باید RewriteRule سوم را حذف کنید.

۱۰. محافظت از wp – config برای امنیت وب سایت بهبود یافته

این یکی از موضوعاتی است که کمی بحث برانگیز است.همه با این کار موافق نیستند.
این که آیا در واقع فایل wp-config.php را در خارج از پوشه ریشه قرار می دهید یا نه، نمی شود انکار کرد که کمی بهبود کد در این فایل می تواند وبسایت شما را محکم تر کند و سبب جلوگیری از هک شدن وردپرس شود.
مطمئن نیستید که آیا شما می توانید تمام این نکات تکنیکی را درست انام دهید؟ یک پافزونه امنیتی برای همه آنها وجود دارد.
با غیر فعال کردن ویرایش فایل های PHP از داشبورد شروع می کنیم، چراکه آنجا جایی است که مهاجم پس از هک کردن از طریق یک نقطه، برای دسترسی به آن متمرکز خواهد شد. این کد را به wp-config.php اضافه کنید

define('DISALLOW_FILE_EDIT', true);

1	define('DISALLOW_FILE_EDIT', true);

$ table_prefix قبل از تمام جداول پایگاه داده شما قرار دارد. شما می توانید از حملات مبتنی بر تزریق SQL با تغییر ارزش آن،از حالت پیش فرض وردپرس، جلوگیری کنید.

$table_prefix = 'r235_';

1	$table_prefix = 'r235_';

با استفاده از این کدها پوشه wp-content را از موقعیت پیش فرضش جابجا کنید.

define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' );

define( 'WP_CONTENT_URL', 'http://example/blog/wp-content');

define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins');

define( 'WP_PLUGIN_URL', 'http://example/blog/wp-content/plugins');

define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' );

define( 'WP_CONTENT_URL', 'http://example/blog/wp-content');

define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins');

define( 'WP_PLUGIN_URL', 'http://example/blog/wp-content/plugins');

همین حالا ببینید: ۱۷راه برای جلوگیری از هک شدن وردپرس(بخش سوم)

در حال حاضر اگر یک سازنده developer نیستید ، قاعدتا زیاد از log های خطا استفاده نمی‌کنید، شما می‌توانید بوسیله این قطعه کدآن‌ها را از دسترس بودن دور نگاه دارید :

error_reporting = 4339

display_errors = Off

display_startup_errors = Off

log_errors = On

error_log = /home/example.com/logs/php_error.log

log_errors_max_len = 1024

ignore_repeated_errors = On

ignore_repeated_source = Off

html_errors = Off

error_reporting = 4339

display_errors = Off

display_startup_errors = Off

log_errors = On

error_log = /home/example.com/logs/php_error.log

log_errors_max_len = 1024

ignore_repeated_errors = On

ignore_repeated_source = Off

html_errors = Off

شما می توانید جزئیات بیشتری را در مورد پیکربندی ورود به سیستم خطا (و نحوه پنهان کردن سیاهه های مربوط به عموم) پیدا کنید، اما شما واقعا نیازی به کاوش عمیق آن ندارید.

۱۱.از وب سایت خود پشتیبان بگیرید

پشتیبانBackup یکی از اولین چیزهایی است که در صورت هک شدن سایتتان به آن نیاز خواهید داشت.سایت خود را حداقل تا چندین بار نگهداری یا به روزرسانی کنید.

جلوگیری از هک شدن وردپرس-back up — جلوگیری از هک شدن وردپرس- گرفتن پشتیبان

در این مورد هیچ بهانه ای برای اهمال کاری قابل پذیرش نیست چرا که خدمات کامل و افزونه های کاملی وجود دارد که پشتیبان گیری را به صورت خودکار برایتان انجام خواهند داد . VaultPress ،UpdraftPlus, WP-DB-Backup, BackupBuddy، و غیره وجود دارد .

یک برنامه را ایجاد کرده و اجازه دهید افزونه بقیه کار را انجام دهد . بررسی کنید که افزونه از کل سایت پشتیبان تهیه کند ، از جمله تمام پایگاه‌های داده و دایرکتوری . اگر چه این کار سبب جلوگیری از هک شدن وردپرس نمی شود،اما به شمااین آرامش را می‌دهد که اگر اتفاق پیش‌بینی‌ نشده ای رخ دهد ،راهی برای جبران وجود دارد .

۱۲. صرفا از منابع مورد اعتماد برای دانلود استفاده کنید

اگر به لحاظ مالی مشکل دارید ویا حتی اگر مشکلی در این زمینه ندارید، ممکن است وسوسه شوید که تمام ویژگی ها و قابلیت های افزونه ها/ تم های حق بیمه را به صورت رایگان دریافت کنید.به هیچ وجه این کار را نکنید.اگر در حال بارگیری محصولات ویژه از منابع نامعتبر یا غیرمجاز هستید ، باید بدانید که این سبب خواهد شد شما از هکرها ضربه بخورید. زیرا یکی از کارهایی که هکرها می کنند این است که افزونه های قانونی را با بدافزار پر می‌کنند و اجازه می‌دهند که افراد احمق بقیه کارها را انجام دهند .

این یک تاکتیک مشهور و محبوب هکرها است . تم های پویا و افزونه ها با backdoors و بدافزارها پر شده‌اند. این یکی از آسان‌ترین مسائل امنیتی WordPress است که باید آن را حل کرد . بهتر است از یک منبع مورد اعتماد برای دانلود افزونه های مورد نیازتان استفاده کنید.

ادامه این مقاله را اینجا بخوانید…

بخش اول مقاله را اینجا بخوانید…

منبع:www.collectiveray.com

بخش اول مقاله

بخش سوم مقاله