نکاتی درباره نحوه ایمن سازی سایت وردپرس در برابر هک شدن وجود دارد، ماننده افزونه های امنیتی. سایت های وردپرسی به دلیل باگ های زیادی که دارند همیشه مورد حمله قرار میگیرند. هکرها، رونده های اصلی وردپرس، پلاگین ها و حتی صفحه ورود را هدف قرار داده اند. دراین مقاله نحوه محافظت از سایت وردپرس در برابر هکرها را برای شما بیان میکنیم و اینکه نکته را مده نظر داشته باشید که هیچوقت امنیت صد در صد برای وب سایت ها وجود ندارد. فقط با رعایت اصول و نکات می توانیم امنیت بیشتر برقرار کنیم.
حمله هکرها به وردپرس
همه وب سایت ها تحت حمله مداوم قرار می گیرند، چه یک انجمن phpBB یا یک سایت وردپرس، همه سایت ها توسط هکرها مورد کاوش قرار می گیرند. غیر معمول نیست که یک هکر روزانه هزاران صفحه را اسکن کند یا صدها بار وارد سیستم شود.
و همچنین سایت ها به طور همزمان مورد حمله چندین هکر قرار می گیرند.
اینطور نیست که فقط قصد حمله به شما را داشته باشند. هکرها برای جستجوی نقاط ضعف خاص در وب سایت، از نرم افزارهای خودکار برای جستجوی وب استفاده می کنند.
به این برنامه های نرم افزاری خودکار که در اینترنت خزنده هستند ربات گفته می شود. معمولا آن ها را ربات های هکر می نامند تا آن ها را از ربات های scraper (نرم افزاری که سعی در کپی کردن مطالب دارد) متمایز کنند.
با فایروال از سایت وردپرس خود محافظت کنید
فایروال یک برنامه نرم افزاری است که از ورود متجاوزان جلوگیری می کند. یکی از بهترین فایروال های وردپرس افزونه ای به نام Wordfence است.
آنچه Wordfence انجام می دهد این است که بررسی کند آیا یک بازدید کننده وب سایت با یک ربات سو استفاده کننده مطابقت دارد یا خیر. اگر ربات قوانین خاصی را نقض کند، مانند درخواست صفحات وب زیاد در مدت زمان کوتاه، Wordfence به طور خودکار ربات را مسدود می کند.
Wordfence همچنین برای ربات های قانونی مانند Google و Bing در سایت برنامه ریزی شده است.
ویژگی های پیشرفته ای وجود دارد که به ناشر اجازه می دهد ببیند چه ربات هایی به یک سایت حمله می کنند و از کجا می آید. مثلاً اگر ربات بدی از آمازون وب سرویس یا Bluehost است. Wordfence به ناشر این امکان را می دهد تا ربات را توسط آدرس IP خود ، کل دامنه آدرس IP یا حتی توسط یک عامل کاربر جعلی مرورگر که ربات از آن استفاده می کند ، مسدود کند.
درباره نمایندگان کاربر (UA)
نماینده کاربری اطلاعاتی را که یک مرورگر می فرستد و به وب سایت می گوید چه مرورگری (Chrome ، Firefox ، Vivaldi) و چه سیستم عاملی است که در حال کار است (Windows 10، Mac OS X) را شناسایی می کند.
به عنوان مثال، این یک رشته عامل کاربر برای یک مرورگر Safari 11 در رایانه Mac OS X است:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15
ربات ها از عوامل مختلف کاربر استفاده می کنند تا وب سایت ها را گول بزنند و دزدکی حرکت کنند. به عنوان مثال، برخی از ربات ها در ویندوز XP تظاهر می کنند مرورگر هستند.
مقدار واقعی کاربران واقعی در Win XP نزدیک به صفر است، من می توانم با Wordfence قانونی ایجاد کنم که تمام عامل های کاربر را با ویندوز XP به عنوان سیستم عامل مسدود کند و با این یک قانون می توانم هزاران ربات بد را مسدود کنم، بدون توجه به کشور آن ها از آدرس IP وارد می شوند.
ربات های بد بعضی اوقات با تغییر به عامل کاربری دیگر پاسخ خواهند داد، بنابراین با ترکیب این قوانین، ناشری شانس جلوگیری از طیف وسیعی از ربات های هکر بد را دارد.
محافظت سایت وردپرس در برابر هکرها با Wordfence
علاوه بر این، نسخه پولی Wordfence قبل از اینکه این پلاگین ها برطرف نشوند، شما را از بسیاری از مضامین و پلاگین های به خطر افتاده محافظت می کند.
هنگامی که محققان Wordfence از سو استفاده آگاه شدند، نسخه برتر فایروال را به روز می کنند تا از مشترکان محافظت در برابر این سواستفاده ها را انجام دهند، گاهی اوقات هفته ها قبل از اینکه بهره برداری توسط موضوع یا توسعه دهنده پلاگین به خطر بیفتد، رفع شود.
سخت افزار امنیت وب سایت
پلاگین رایگان دیگری که یک لایه محافظت اضافی ایجاد می کند، Sucuri Security نام دارد. Sucuri (متعلق به GoDaddy) به سخت گیری امنیت وردپرس کمک می کند تا ربات های بد از استفاده از انواع خاصی از حملات جلوگیری کنند. این برنامه همچنین دارای یک ویژگی اسکن بدافزار است که همه پرونده ها را بررسی می کند تا ببینید آیا تغییری در آن ها ایجاد شده است.
Sucuri هر زمان که شخصی به سایت شما وارد می شود به شما هشدار می دهد و به ناشران کمک می کند تا در صورت ورود هکر وارد سیستم شوند. Sucuri همچنین می تواند در صورت تغییر پرونده، ناشری را هشدار دهد، کاری که هکرها انجام می دهند.
ویژگی های نسخه رایگان Sucuri :
- حسابرسی فعالیت امنیتی
- نظارت بر یکپارچگی پرونده
- اسکن بدافزار از راه دور
- نظارت بر لیست سیاه
- تقویت امنیت موثر
- اقدامات امنیتی پس از هک
- اعلان های امنیتی ”
ورود به سایت خود را محدود کنید
WordFence قادر است ربات هایی را که به طور مکرر در صفحه ورود به وردپرس نام کاربر و رمز عبور را پر می کنند، مسدود کند.
اما اگر می خواهید روی محدود کردن ورود به سیستم متمرکز شوید، افزونه ای به نام Limit Login Attacks Reloaded وجود دارد که به ناشران اجازه می دهد تا به طور خودکار تمام هکرهایی را که تعداد مشخصی ترکیب نام و رمز عبور را وارد نمی کنند، مسدود کنند. به عنوان مثال، می توانید پس از سه بار حدس زدن رمز عبور، آن را برای مسدود کردن هکرها تنظیم کنید.
ویژگی های مسدود کننده ورود به سیستم :
- هنگام ورود به سیستم ، تعداد تلاش های مجدد را محدود کنید (برای هر IP). این کاملا قابل تنظیم است.
- کاربر را در مورد فرصت های مجدد یا زمان قفل باقی مانده در صفحه ورود به سیستم مطلع می کند.
- ورود به سیستم اختیاری و اعلان ایمیل اختیاری.
- امکان قرار دادن IP ها و نام های کاربری در لیست سفید / لیست سیاه وجود دارد.
- سازگاری فایروال وب سایت Sucuri.
- محافظت از دروازه XMLRPC.
- محافظت از صفحه ورود به سیستم Woocommerce.
- سازگاری چند سایته با تنظیمات اضافی MU.
- سازگار با GDPR. با روشن شدن این ویژگی ، تمام IP های ثبت شده مبهم می شوند (md5-hashed).
- پشتیبانی از IP ریشه های سفارشی (Cloudflare ، Sucuri و غیره) “
افزونه Limit Login Reloaded راهی سریع برای خاموش کردن ربات های هک است که سعی می کنند رمز عبور را حدس بزنند.
از سایت وردپرس خود پشتیبان تهیه کنید
مهم است که به طور خودکار از وب سایت خود یک نسخه پشتیبان تهیه کنید. هر رویداد فاجعه باری که سایت را خراب کند با تهیه نسخه پشتیبان قابل بازیابی است.
راه حل های پشتیبان گیری زیادی وجود دارد اما یکی از راه حل هایی که بسیار مفید است، افزونه پشتیبان گیری وردپرس UpdraftPlus است. بیش از دو میلیون کاربر UpdraftPlus مورد اعتماد هستند، این یک انتخاب کاملاً مورد توجه است.
می توان آن را پیکربندی کرد تا هر روز نسخه پشتیبان را از طریق ایمیل ارسال کنید یا آن ها را به یک مکان ذخیره سازی ابری مانند Dropbox ارسال کنید.
همه مضامین و پلاگین ها را به روز کنید
مهم است که همیشه همه تم ها و پلاگین ها را به روز کنید. وردپرس راهی برای به روزرسانی خودکار همه افزونه ها فراهم می کند که برای ناشران یا مشاغلی که به سیستم وارد نمی شوند و اغلب به روزرسانی می کنند مناسب است.
با فعال کردن ویژگی خودکارسازی، ناشر می تواند به روزترین نرم افزار را داشته باشد. داشتن یک از پلاگین تاریخ یکی از علل منجر به هک شدن است.
دلایلی وجود دارد که ویژگی خودکار را فعال نمی کند، اما موارد منفی به ندرت اتفاق می افتد. به عنوان مثال، یک افزونه به روز شده ممکن است با افزونه های دیگر ناسازگار باشد.
اما برای سایت هایی که مرتباً تغییر نمی کنند، احتمالاً قابلیت خودکار کردن امری خوب است.
مراقب افزونه های متروکه باشید
اخطار نهایی در مورد پلاگین های رها شده. برخی از افزونه ها می توانند سال ها پس از اینکه توسط برنامه نویس خود رها شده اند، به کار خود ادامه دهند. اتفاقی که می تواند بیفتد این است که این افزونه های قدیمی ممکن است آسیب پذیر باشند. اما چون رها شده اند، هرگز برطرف نخواهد شد.
مسئله دیگر این است که گاهی هکرها افزونه های قدیمی را خریداری می کنند و آن ها را با بدافزار و ویروس به روز می کنند.
تمام افزونه های وردپرس خود را بررسی کنید تا مطمئن شوید که آن ها کنار گذاشته نشده اند و به نظر می رسد به صورت کاملاً مکرر به روز می شوند.
امیدوارم این مقاله به شما کمک کرده باشد تا محافظت از سایت وردپرس در برابر هکرها را درک کرده باشید.
بیشتر بدانیم
