با سلام به ادامه مقاله مان با عنوان ۱۷ راه حل برای جلوگیری از هک شدن وردپرس می پردازیم، ما در بخش اول مقاله جلوگیری از هک وردپرس به بررسی این شش مورد پرداختیم:
- جلوگیری از هک شدن وردپرس با ایستگاه کاری شما آغاز می شود
- با به روز رسانی WordPress آن رادر برابر آخرین تهدیدها محافظت کنید
- اطمینان حاصل کنید که سرویس میزبانی تان ایمن است
- استفاده از امنیت شبکه(Network Security)برای جلوگیری از هک شدن وردپرس
- جلوگیری از هک شدن وردپرس از طریق کلمه عبور پیچیده
- امنیت بوسیله انزوا، پایگاههای اطلاعاتی خود را منزوی و ایمن نگه دارید
آنچه در ادامه خواهید آموخت عبارتند از:
- مخفی کردن نام کاربری و نام مدیر وب سایت شما
- جلوگیری از هک شدن وردپرس از طریق افزونه های امنیتی و ترفندهایی برای محافظت از wp-admin
- چگونگی امن کردن WordPress از طریقwp-includes
- محافظت از wp – config برای امنیت وب سایت بهبود یافت
- از وب سایت خود پشتیبان بگیرید
- صرفا از منابع مورد اعتماد برای دانلود استفاده کنید
۷- مخفی کردن نام کاربری و نام مدیر وب سایت شما
نکته بعد به چگونگی حفاظت وردپرس از حمله هکرها به مدیریت WordPress مربوط می شود.
برای اینکه بخش مدیریت را از حمله هکرها محفوظ نگه دارید در درجه اول باید از نام مدیر و پسورد آن محافظت کنید، اگر آن را پنهان نکنید برای هکرها بسیار ساده است که نام مدیر سایتتان را پیدا کنند. چیزی که همه هکرها نیاز دارند، این است که کد ?author=1 را بعد از URL سایت شما و فرد / عضوی ، که به نظر می آید به احتمال زیاد مدیر است، اضافه کنند. تصور کنید که برای هکرها پس از پیدا کردن نام کاربری admin، چقدر آسان خواهند بود که به پایگاه داده تان دستبرد بزنند.
راه حل پیشنهادی
راه حل جلوگیری از هک مدیریت وردپرس مخفی کردن همه نامهای کاربری با این کد در فایل functions.php است:
۱ ۲ ۳ ۴ ۵ ۶ ۷ ۸ ۹ ۱۰ ۱۱ ۱۲ ۱۳ ۱۴ ۱۵ | add_action(‘template_redirect’, ‘bwp_template_redirect’); function bwp_template_redirect() { if (is_author()) { wp_redirect( home_url() ); exit; } } |
دسترسی به صفحه ورود نیزخیلی آسان است ،البته نه فقط برای شما. من می توانم به آسانی کد های wp-admin و یا wp-login.php را پس از آدرس صفحه اصلی سایتتان اضافه کنم، برای پر کردن نام کاربری هم من حالا می دانم که ?author=1 را باید وارد کنم و به همین راحتی با یک الگوریتم رمز عبور شما را هک می کنم، می بینید آنقدرها سخت و دور از دسترس نیست.
راه حل چیست و حالا چکار باید کرد؟ لازم نیست کار خیلی سختی انجام دهید، نشانی اینترنتی صفحه ورود به سیستم خود را تغییر دهید تا کار هکرها بسیار دشوار شود. افزونه های امنیتی مانند Login Stealth این کار را براحتی برای شما انجام می دهند – و با انجام این گام ساده در جلوگیری از هک شدن وردپرس کاری فوق العاده انجام می دهد. البته افزونه iThemes Security Pro هم می تواند در این باره مفید باشد.
۸- جلوگیری از هک شدن وردپرس ازطریق افزونه های امنیتی و ترفندهایی برای حفاظت از wp-admin
wp-admin یک نقطه قوت برای شما است. صفحه ورود به سیستم و دایرکتوری admin برای همه در دسترس هستند : از جمله آنهایی که قصد خرابکاری دارند. برای حفاظت در برابر آنها و توقف حملاتشان ، شما باید بیشتر دقت کنید.
یک گذرواژه قوی، یک حساب کاربری پیچیده ( با نام کاربری که هر چیزی جزadminباشد ) و استفاده از افزونه ورود به سیستم برای تغییر نام لینکهای ورودی، قطعا ً میتواند به جلوگیری از حملات هکرها کمک کند .
همچنین میتوانید با استفاده از افزونه های مربوط به امنیت وب سایت، محافظت wp-admin خود را تقویت کنید، به عنوان مثال :
افزونه Malcare
این یک سرویس دارای امتیاز ۵ ستاره است که توسط تیم پشت صحنه Blogvault توسعه داده شده. این سرویس همچنین پرسنلی را برای اسکن کردن پرونده برای تغییرات اساسی (برای شناسایی هک ها)، تمیز کردن اضطراری، یک دیواره آتش ساختهشده در دیواره آتش برای متوقفکردن ترافیک مخرب، به روز رسانی تمها و متصل شوندههای مستقیم از داشبورد و یک پشتیبان گیری click، ارائه میدهد. شما میتوانید تمام سایتهای خود را از یک داشبورد بردارید، بدون اینکه بخواهید به هر کدام از آنها وارد شوید .
اقدامات ورود به سیستم را محدود کنید
با کمی کد و البته تلاش زیاد، هر هکری در نهایت به سیستم وارد خواهد شد. شما میتوانید میزان آزادی افرادی را که مجاز به ورود به سیستم هستند با استفاده از محدود کردن تعداد تلاش برای ورود به سایت از طریق صفحه ورود به سیستم، محدود کنید. با انجام این کار تعداد تلاشهای ورود به سیستم برای هر آدرس IP، از جمله خودتان ( با auth cookies ) را محدود خواهید کرد. این به این معناست که اگر کسی در صفحه ورود به سیستم بیش از تعدادی که شما تعیین می کنید رمز ورود غلط وارد کند، سیستم به طور خود کار جلوی فعالیت بیشترش را خواهد گرفت.
SSL – این ارتباطات شما را رمزگزاری می کند
استفاده از قدرت SSL برای تضمین ورود به سیستم ، ناحیه ، پستها و غیره . این به رمزنگاری در جلسات ورود به سیستم شما کمک میکند ، به این معنی که رهگیری آن دشوار است . باید گواهی SSL بگیرید و آن را بر روی سرور میزبان خود نصب کنید . InMotion گواهی SSL را برای برنامههای میزبانی خود ارائه میکند – بنابراین ممکن است وقت آن رسیده باشد که به InMotion برای دریافت SSL خود نیز بروید.
زمانی که با تامینکننده میزبان خود تایید کردید که SSL مشترک دارید و سپس این کد را در wp-config.php بچسبانید :
۱ | define(’FORCE_SSL_ADMIN’, true); |
Acunetix Secure WordPress
این متصل شونده به طور کلی یک راهحل امنیتی عالی است، اما برخی ویژگیهای کلیدی آن را حتی بهتر میکنند. اول از همه، یک اسکن امنیتی، وب سایت را اداره میکند . همچنین توجه زیادی به اقدامات پیشگیرانه میکند، بنابراین شما در ابتدا از جلوگیری از هک شدن وردپرس می کنید. برای محافظت از منطقه مدیریت، اطلاعات خطا را از صفحه ورود حذف خواهد کرد.
این ممکن است زیاد خاص به نظر نرسد، اما پیغام خطا در واقع به هکرها کمک میکند بفهمند که آیا چیزی درست کردهاند یا نه . حذف پیغام ( hint) این مزیت را برطرف میکند . اگر میخواهید از حملات هکری اجتناب کنید، حداقل تعدادی از این افزونه ها را به تنظیم و اجرا کنید.
۹- چگونگی امن کردن WordPress از طریق wp-includes
باید بدانید که wp-includes هسته وردپرس و در واقع قلب وردپرس است. و به همین خاطر باید دور از دسترس و دستکاری همه از جمله خود شما باشد. بنابراین برای جلوگیری ازحملات هکری باید از ارسال هرگونه متن ناخواسته به آن جلوگیری کنید. این کد را در فایل .htaccess قبل از BEGIN# کپی کنید.
۱ ۲ ۳ ۴ ۵ ۶ ۷ ۸ ۹ ۱۰ ۱۱ ۱۲ ۱۳ ۱۴ ۱۵ ۱۶ ۱۷ ۱۸ ۱۹ ۲۰ ۲۱ | # Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=۳] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # BEGIN WordPress |
توجه داشته باشید که اگر میخواهید کد را روی Multisite کار کنید، باید RewriteRule سوم را حذف کنید.
۱۰- محافظت از wp – config برای امنیت وب سایت بهبود یافته
این یکی از موضوعاتی است که کمی بحث برانگیز است.همه با این کار موافق نیستند.
این که آیا در واقع فایل wp-config.php را در خارج از پوشه ریشه قرار می دهید یا نه، نمی شود انکار کرد که کمی بهبود کد در این فایل می تواند وبسایت شما را محکم تر کند و سبب جلوگیری از هک شدن وردپرس شود.
مطمئن نیستید که آیا شما می توانید تمام این نکات تکنیکی را درست انام دهید؟ یک پافزونه امنیتی برای همه آنها وجود دارد.
با غیر فعال کردن ویرایش فایل های PHP از داشبورد شروع می کنیم، چراکه آنجا جایی است که مهاجم پس از هک کردن از طریق یک نقطه، برای دسترسی به آن متمرکز خواهد شد. این کد را به wp-config.php اضافه کنید
۱ | define('DISALLOW_FILE_EDIT', true); |
$ table_prefix قبل از تمام جداول پایگاه داده شما قرار دارد. شما می توانید از حملات مبتنی بر تزریق SQL با تغییر ارزش آن،از حالت پیش فرض وردپرس، جلوگیری کنید.
۱ | $table_prefix = 'r235_'; |
با استفاده از این کدها پوشه wp-content را از موقعیت پیش فرضش جابجا کنید.
۱ ۲ ۳ ۴ ۵ ۶ ۷ | define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' ); define( 'WP_CONTENT_URL', 'http://example/blog/wp-content'); define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins'); define( 'WP_PLUGIN_URL', 'http://example/blog/wp-content/plugins'); |
در حال حاضر اگر یک سازنده developer نیستید ، قاعدتا زیاد از log های خطا استفاده نمیکنید، شما میتوانید بوسیله این قطعه کدآنها را از دسترس بودن دور نگاه دارید :
۱ ۲ ۳ ۴ ۵ ۶ ۷ ۸ ۹ ۱۰ ۱۱ ۱۲ ۱۳ ۱۴ ۱۵ ۱۶ ۱۷ | error_reporting = ۴۳۳۹ display_errors = Off display_startup_errors = Off log_errors = On error_log = /home/example.com/logs/php_error.log log_errors_max_len = ۱۰۲۴ ignore_repeated_errors = On ignore_repeated_source = Off html_errors = Off |
شما می توانید جزئیات بیشتری را در مورد پیکربندی ورود به سیستم خطا (و نحوه پنهان کردن سیاهه های مربوط به عموم) پیدا کنید، اما شما واقعا نیازی به کاوش عمیق آن ندارید.
۱۱- از وب سایت خود پشتیبان بگیرید
پشتیبانBackup یکی از اولین چیزهایی است که در صورت هک شدن سایتتان به آن نیاز خواهید داشت.سایت خود را حداقل تا چندین بار نگهداری یا به روزرسانی کنید.
در این مورد هیچ بهانه ای برای اهمال کاری قابل پذیرش نیست چرا که خدمات کامل و افزونه های کاملی وجود دارد که پشتیبان گیری را به صورت خودکار برایتان انجام خواهند داد . VaultPress ،UpdraftPlus, WP-DB-Backup, BackupBuddy، و غیره وجود دارد .
یک برنامه را ایجاد کرده و اجازه دهید افزونه بقیه کار را انجام دهد . بررسی کنید که افزونه از کل سایت پشتیبان تهیه کند ، از جمله تمام پایگاههای داده و دایرکتوری . اگر چه این کار سبب جلوگیری از هک شدن وردپرس نمی شود،اما به شمااین آرامش را میدهد که اگر اتفاق پیشبینی نشده ای رخ دهد ،راهی برای جبران وجود دارد .
۱۲- صرفا از منابع مورد اعتماد برای دانلود استفاده کنید
اگر به لحاظ مالی مشکل دارید ویا حتی اگر مشکلی در این زمینه ندارید، ممکن است وسوسه شوید که تمام ویژگی ها و قابلیت های افزونه ها/ تم های حق بیمه را به صورت رایگان دریافت کنید.به هیچ وجه این کار را نکنید.اگر در حال بارگیری محصولات ویژه از منابع نامعتبر یا غیرمجاز هستید ، باید بدانید که این سبب خواهد شد شما از هکرها ضربه بخورید. زیرا یکی از کارهایی که هکرها می کنند این است که افزونه های قانونی را با بدافزار پر میکنند و اجازه میدهند که افراد احمق بقیه کارها را انجام دهند .
این یک تاکتیک مشهور و محبوب هکرها است . تم های پویا و افزونه ها با backdoors و بدافزارها پر شدهاند. این یکی از آسانترین مسائل امنیتی WordPress است که باید آن را حل کرد . بهتر است از یک منبع مورد اعتماد برای دانلود افزونه های مورد نیازتان استفاده کنید.
ادامه این مقاله را اینجا بخوانید…
بخش اول مقاله را اینجا بخوانید…
منبع:www.collectiveray.com
سوالی دارید؟ در نظرات سوالتون رو مطرح کنید 🙂
مطالب مرتبط:
جلوگیری از دسترسی هکرها به نام کاربری در وردپرس
محافظت از فایل wp-config.php وردپرس
اشتباهاتی که باعث هک سایت های وردپرسی می شود
منبع: تیک تم– ارائه دهنده مقالات: افزونه تجاری وردپرس– ویدیو آموزشی– قالب Business Inn وردپرس
هنوز دیدگاهی برای این مطلب ثبت نشده است.