وردپرس یکی از معروف ترین ابزار های راه اندازی وب سایت است. در این مطلب ۸ نکته برای بهبود امنیت وردپرس را بررسی می کنیم.
سیستم مدیریت محتوای وردپرس به عنوان یکی از پرکاربرد ترین ابزار ها برای راه اندازی وب سایت شناخته می شود. به همین دلیل نیز هکر های زیادی بر روی آن تمرکز می کنند. وردپرس به صورت کلی از امنیت خوبی برخوردار است. از طرفی به عنوان یک نرم افزار متن باز، همواره بروزرسانی می شود. در بیشتر این آپدیت ها نیز، مشکلات امنیتی آن رفع می شوند. به صورت کلی بیشتر مشکلات در امنیت وردپرس به نحوه استفاده کاربران از آن باز می گردد. در این مطلب با بررسی ۸ نکته مهم، امنیت وردپرس را بهبود می دهیم.
بهبود امنیت وردپرس
در دنیای نرم افزار واژه امنیت به شکل ۱۰۰ درصدی معنایی ندارد. اما نکات مختلفی برای نزدیک شدن به این عدد وجود دارد. در ادامه به بررسی ۸ نکته مهم و کلیدی برای بهبود امنیت وردپرس می پردازیم:
۱. بروزرسانی مرتب وردپرس، افزونه و قالب ها
یکی از جذاب ترین قابلیت های وردپرس، انتشار بروزرسانی مرتب برای آن است. این مورد باعث رفع مشکلات امنیتی و بهبود آن می شود. از طرف دیگر افزونه ها و قالب ها نیز معمولا بروزرسانی های مختلفی را دریافت می کنند. با آپدیت وردپرس به صورت مرتب جلوی حفره های امنیتی را می گیریم. متاسفانه برخی کاربران به دلیل عدم وجود دانش فنی و یا آموزش های اشتباه در فضای اینترنت، وردپرس خود را بروز نمی کنند. این کار علاوه بر عدم برخورداری از امکانات جدید، مشکلات امنیتی بسیار خطرناکی را نیز ایجاد می کند. پس اولین و مهم ترین نکته، بروزرسانی مرتب هسته وردپرس، قالب ها و افزونه ها است.
۲. اهمیت کلمه عبور قوی
یکی از مرسوم ترین مشکلات امنیتی در تمام فضای اینترنت، انتخاب کلمه عبور نامناسب است. وردپرس نیز به عنوان یک نرم افزار اینترنتی شامل این مشکل می شود. برخی کاربران به دلایل مختلف از کلمه عبور های ساده و یا تکراری استفاده می کنند. این مورد احتمال هک وب سایت ما را بیشتر می کند. برخی هکر ها از روشی تحت عنوان Brute Force Attack برای دسترسی به اطلاعات ورود استفاده می کنند. قبلا در یک پست اینستاگرامی درباره این مورد صحبت کردیم. روش کار این حمله، استفاده از یک لیست کلمه عبور به صورت پیاپی و یافتن آن است. طبیعتا استفاده از کلمه عبور ساده و قابل پیش بینی احتمال موفقیت این روش حمله را بیشتر می کند.
برای مثال دیگر، در صورت استفاده از کلمه عبور تکراری، با هک یک سامانه دیگر، احتمال بروز خطر برای امنیت وردپرس ما نیز وجود دارد. پس استفاده از یک رمز قوی و غیر تکراری بسیار اهمیت دارد. به عنوان مورد آخر نیز باید به تغییر دوره ای رمز وردپرس اشاره کنیم. در این صورت نیز احتمال بروز مشکلات امنیتی در وردپرس کمتر خواهد شد.
۳. پلاگین ها و قالب ها
یکی از مرسوم ترین دلایل مشکلات امنیتی در وردپرس، استفاده از قالب و افزونه بی کیفیت و یا مخرب است. متاسفانه در ایران بیشتر کاربران به بهانه هایی مانند عدم دسترسی به پرداخت بین المللی و موارد دیگر اقدام به نصب افزونه ها و قالب های غیر رسمی می کنند. پیش تر در مطلب «قالب و افزونه نال وردپرس» درباره اهمیت این موضوع و خطرات آن صحبت کردیم. این افزونه ها و قالب ها اکثرا دستکاری شده اند. به همین دلیل احتمال وجود حفره های امنیتی در آن ها بسیار زیاد است. مورد دیگر نیز استفاده از موارد بی کیفیت است. برخی افزونه ها به صورت اصولی پیاده سازی نشده اند. به همین دلیل پیشنهاد می کنیم تنها از مخزن وردپرس و یا صفحه رسمی توسعه دهنده برای نصب قالب و افزونه بر روی وردپرس خود استفاده کنید.
۴. کاربران و سطوح دسترسی
بخش مهم بعدی، مدیریت کاربران و بررسی سطح دسترسی آن ها است. به صورت کلی باید تعداد افراد و دسترسی آنها به پنل وردپرس و سرور را به حداقل برسانیم. در این صورت احتمال بروز مشکل در امنیت وردپرس کمتر می شود. ایجاد دسترسی بی دلیل برای افراد مختلف به پیشخوان وردپرس فقط احتمال بروز مشکل امنیتی را بیشتر می کند. دسترسی کاربران به هر بخش از وردپرس تنها در صورت نیاز باید ایجاد شود. به صورت کلی به شکل مرتب لیست کاربران را از منوی وردپرس بررسی کنید. در صورت مشاهده هرگونه مورد اضافی آن را حذف کنید.
برای تغییر در سطح دسترسی کاربران نیز از نقش های وردپرس استفاده کنید. وردپرس در این بخش سطوح دسترسی مختلفی را برای کاربران ایجاد کرده است. افزونه های مختلفی برای ایجاد و شخصی سازی این نقش ها نیز در مخزن وجود دارد.
۵. لایه امنیتی بیشتر برای داشبورد
طبیعتا مهم ترین بخش در وردپرس، داشبورد آن است. در صورت ایجاد لایه امنیتی محافظ برای آن، امنیت وردپرس نیز بهبود می یابد. برای این کار از قابلیت های سرور هاستینگ خود استفاده می کنیم. در بیشتر پنل های هاستینگ گزینه ای با نام «محافظت با کلمه عبور» وجود دارد. این قابلیت در بهبود امنیت وردپرس تاثیر بسیار زیادی دارد. روش کار آن نیز ساده است. برای دسترسی به این پوشه باید یک کلمه عبور وارد کنیم. در غیر این صورت خطای عدم دسترسی را دریافت خواهیم کرد.
برای این کار پس از ورود به این بخش در پنل هاست، پوشه wp-admin را انتخاب کنید. سپس یک کلمه عبور امن و قوی برای آن انتخاب کنید. از این پس برای ورود به تمام بخش های مدیریت وردپرس باید از کلمه عبور جدید در مرورگر خود استفاده کنید. تنها مشکل در استفاده از این لایه امنیتی، اختلال در فعالیت ajax وردپرس است. دلیل آن نیز نیاز به این فایل برای اجرای ajax در فرانت اند سایت است. اما به دلیل وجود آن در دایرکتوری wp-admin و رمزنگاری آن، امکان دسترسی به این فایل دیگر وجود نخواهد داشت. برای حل این مشکل از فایل htaccess استفاده می کنیم:
<Files "admin-ajax.php">
Satisfy Any
Allow from all
</files>با افزودن کد بالا به ابتدای این فایل، آن را از قوانین امنیتی خود مستثنا می کنیم. به همین سادگی یک لایه امنیتی به پیشخوان و بخش مدیریتی سایت وردپرسی خود اضافه کردیم.
۶. تاثیر سرور و هاست در امنیت وردپرس
در امنیت وردپرس به سرور و هاستینگ کمتر توجه می شود. به زبان ساده سرور نیز یک کامپیوتر همواره روشن با دسترسی دائمی به اینترنت است. این سیستم باید از امنیت خوبی در لایه های شبکه برخوردار باشد. در صورت وجود هرگونه مشکل در کانفیگ سرور احتمال بروز هک بر روی وب سایت ما نیز وجود دارد. پس انتخاب هاستینگ مناسب نیز در امنیت وردپرس تاثیر بسیار زیادی خواهد داشت.
۷. محافظت از اطلاعات حساس
تا اینجا سعی در ایجاد لایه های مختلف امنیتی در وردپرس داشتیم. سطح دسترسی کاربران مختلف را بررسی کردیم. هم چنین امنیت صفحه های مهم در وردپرس را بهتر کردیم. اما خودمان نیز باید مراقب اطلاعات حساب مدیر وردپرس باشیم. یکی از این موارد عدم استفاده از اطلاعات حساب کاربری در کامپیوتر ها و مرورگر های غریبه است. در صورت ورود در یک سیستم ناشناس و ذخیره اطلاعات حساس در آن، افراد ناشناسی نیز به حساب ما دسترسی خواهند داشت. این مورد شاید بسیار ساده و بدیهی به نظر برسد. اما مشکلات امنیتی زیادی را در وردپرس ایجاد می کند.
۸. پشتیبان گیری مرتب
در ابتدای این مطلب به یک جمله اشاره کردیم. امنیت صد درصد در نرم افزار وجود ندارد. رعایت تمام موارد بالا امنیت وردپرس را بهبود می بخشد. اما به هر حال احتمال هک وب سایت ما وجود دارد. پس باید به عنوان یکی از مهم ترین نکات امنیت وردپرس، برای آن نیز آماده باشیم. ایجاد نسخه پشتیبان به صورت مرتب از تمام وب سایت، یک مورد مهم و حیاتی است. برای این کار از سیستم پشتیبان گیری هاستینگ خود استفاده کنید. برای مثال از ترکیب پشتیبانی روزانه دیتابیس و هفتگی از فایل های روی سرور استفاده کنید.
همواره چند نسخه پشتیبان خود را دریافت و در محلی امن نگه دارید. در صورت ذخیره این فایل ها تنها بر روی سرور خود و بروز مشکل برای سرور، دیگر دسترسی به فایل های پشتیبان خود را نخواهیم داشت. پس دانلود و ذخیره آن در محل امن الزامی است. در این صورت پس از بروز هرگونه مشکل امنیتی بر روی وب سایت، تمام اطلاعات ما به صورت یکجا قابل بازیابی خواهد بود.