تهران سرویسکار
October 16th, 2018, 11:28
توجه به این نکات، در افزایش امنیت وردپرس بسیار موثر می باشد:
1) بهره بردن از هاستینگ امن
در موقع انتخاب هاستینگ، همیشه ارزانترین آن را انتخاب نکنید. تحقیق کنید و اطمینان حاصل کنید که از برندی که به خوبی اثبات شده و حد نصاب مطلوبی از الگوریتم امنیتی قوی دارد، خرید نمایید. پس با کمی هزینه سایت خود را ایمن تر نمایید.
2) همیشه آپدیت باشید
هر ورژن جدید وردپرس حاوی برچسب ها و تعمیراتیست که لطمه پذیری های حقیقی یا مجازی را نشان خواهد داد.اگر شما سایت خود را با آخرین ورژن وردپرس آپدیت ننمایید، خواهید توانست سایت خود را در دسترس نفوذ ها بگذارید.
اغلب هکرها به قصد ، ورژن های قبلی وردپرس که آسیب های امنیتی واضح تری دارند را مورد هدف می گذارند، در نتیجه اکثر اوقات توجهتان به آلارم های پیشخوانتان باشد و از پیغام های “لطفا به روز رسانی کنید” بی توجهی ننمایید.
همین فعل در رابطه با قالب ها و افزونه ها هم درست است. مطمئن شوید که به در لحظه نشر آخرین ورژن ، وب سایت خود را آپدیت نمایید. زمانی که همه چیز وب سایتتان آپدیت باشد امکان هک شدن آن بسیار کمتر است.
3) رمز عبورتان را تقویت کنید
با دقت به infographic، میزان ۸% از سایت های هک شده ی وردپرس، به دلیل داشتن پسورد ساده بوده است.
اگر واژه ی پسورد وردپرس شما چیزی مثل ‘let me in’ یا ‘abc123’ و یا ‘password’ باشد ، بایستی هر چه سریع تر آن را عوض کنید.
برای یک پسورد از واژه هایی استفاده کنید که به راحتی به خاطر بسپاریدشان، اما هک شدن آن بسیار دشوار، توصیه ی ما اینست که از یک الگوریتم رمز عبور مناسب استفاده نمایید.
اگر بی حوصله هستید، می توانید یک مدیر پسورد، مثل LastPass که تمامی واژه های عبور شما را به یاد داشته باشد، استفاده نمایید. اگر از این روند بهره میبرید، اطمینان حاصل کنید که پسورد اصلی شما مناسب و قویست.
4) به هیچ عنوان واژه رایج "Admin" را به عنوان نام کاربری انتخاب نکنید
اگر از واژه “admin” به عنوان یوزر نیم خود استفاده مینمایید، و پسورد شما به حد لازم قوی نیست پس وبسایت شما در مقابل حملات آسیب زا، بسیار آسیب پذیر خواهد بود.
تا قبل از ورژن سه وردپرس که بطور خودکار نام کاربری آن admin بود . اما از این ورژن به بعد می توانید از قسمت بروز رسانی کاربر این قسمت را ویرایش کنید . بعضی از وبسایت هایی که از اسکریپت auto-install میزبانی می کنند هنوز هم نام کاربری پیش فرض آن ها admin است که برای رفع این مشکل یک ادمین جدید ایجاد کرده با نام و واژه کاربری جدید ، با این اکانت وارد شده و اکانت قبلی یا همان admin را حذف کنید.
توجه داشته باشید که تمام مطالب ادمین قبلی را در هنگام حذف به اکانت جدید اختصاص دهید.
5) نام کاربری خود را از URL بایگانی پنهان نمایید
روش دیگری که هکر به صورت نهفته می تواند یوزر نیم شما را پیدا کند، از طریق پیج آرشیو نویسنده در وبسایت شماست.
وردپرس به صورت دیفالت یوزر نیم شما را درURL پیج آرشیو نویسنده نشان خواهد داد. به عنوان نمونه، اگر یوزر نیم شماonliner باشد ، آرشیو نویسنده شما چیزی بمانند http://yoursite.com/author/onliner خواهد شد.
این فعل بسیار هم مورد تایید نخواهد بود. در نتیجه فکر مناسبیست که با بهره از تغییر ورودی user_nicename خود در مرکز دیتا، که در اینجا داده شده است، واژه کاربری خود را پنهان کنید.
6) تعداد دفعات تلاش برای ورود را کم کنید
در دفعاتی که یک مهاجم با بهره از ربات و با بهره از هجوم brute-force بواسطه رد شدن از پسوردتان تلاش میکند، محدود کردن ip افراد شکست خورده بسیار تاثیر گذار خواهد بود.
البته مهاجم ها ترفندهایی برای خنثی نمودن این مسئله نیز دارند مثل استفاده از ip های مختلف ، اما انجام دادن این فعل ارزشش را دارد.
7) ادیت قسمت ها (فایل ها) از طریق پیشخوان را لغو نمایید
در نصب قالب وردپرس بصورت دیفالت، شما می توانید به نمایش » ویرایشگر رفته و هر کدام از قسمت های قالب خود را دقیقا در داخل پیشخوان ادیت نمایید.
هنگامی که یک مهاجم به پنل مدیریت شما دست می یابد میتواند فایلهای شما را ادیت کند و هر نوع کد مخربی را که میخواهد داخل آنها بکار ببرد.
8) سعی کنید از قالب های رایگان استفاده نکنید
آنلاینر به کیفیت قالب های خود ایمان دارد ولی در کل بهتر است از قالبهای رایگان استفاده ننمایید.
دلیل حقیقی برای انجام ندادن این فعل است که قالب های رایگان بیشتر می تواند حاوی چیزهایی مثل رمز گذاری base64 باشند، که احتمال دارد به شیوه مخفی برای وارد کردن لینک های اسپم در وبسایت شما، و یا کدهای آسیب زا دیگری که می تواند هر نوع آسیبی ایجاد نماید، مورد بهره برداری قرار گیرد، همانگونه که در این تست مشاهده شده است، اکثر سایتهایی از قالبهایی رایگان استفاده میکنند در آن از الگوریتم base64 استفاده شده است.
در زمانی که چاره ای ندارید، فقط باید از آنهایی که در مخزن رسمی قالب های وردپرس در دسترس هستند ، استفاده کنید.
9) بک آپ گیری کنید
حتی اگر برترین تدابیر امنیتی را در دست داشته باشید، هرگز نمی دانید که چه لحظه رویداد پشیگیری نشده ای رخ خواهد داد که امکان دارد وبسایت شما را بواسطه یک هجوم آماده نماید.
در صورتی که که این واقعه رخ دهد، بایستی اطمینان حاصل کنید که همه مطالب شما به راحتی باز می گردد، به شکلی که بتوانید به آسانی وبسایت خود را به زیبایی قبلش برگردانید.
Codex وردپرس به شما میرساند که بطور دقیق چطور از وبسایتتان back up بگیرید، و به شکلی که این امر بیشتر از حد ،دشوار دیده میشود. می توانید از یک افزونه مثل WordPress Backup to Dropbox بهره ببرید که به شکل مرتب و اتوماتیک از وبسایت شما back up میگیرد
10) از افزونه های امنیتی استفاده کنید
قیقا مثل همه اقدامات بالا پلاگین های بسیاری موجود است که شما می توانید از آنها بواسطه بهبود امنیت وبسایت خود و کم کردن احتمال هجوم، بهره ببرید.
در زیر تعدادی از محبوب ترین افزونه های امنیتی وردپرس معرفی شده است:
http://wordpress.org/plugins/better-wp-security/ – دامنه زیادی از خصوصیت های امنیتی را عرضه میکند.
http://wordpress.org/plugins/bulletproof-security/ – وبسایتتان را بواسطه .htaccess مورد حفاظت قرار دهید.
http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – یک فایروال به وبسایتتان افزوده میشود.
http://wordpress.org/plugins/sucuri-scanner/ – وبسایتتان را برای نرم افزارهای آسیب زا اسکن مینماید.
http://wordpress.org/plugins/wordfence/ – افزونه امنیتی با خصوصیت های اکمل.
http://wordpress.org/plugins/websitedefender-wordpress-security/ – اسباب گسترده امنیتی.
http://wordpress.org/plugins/exploit-scanner/ – مرکز دیتاهایتان را برای هر کد مرموز پیدا می نماید.
https://www.tehran-servicekar.com (https://www.tehran-servicekar.com)
1) بهره بردن از هاستینگ امن
در موقع انتخاب هاستینگ، همیشه ارزانترین آن را انتخاب نکنید. تحقیق کنید و اطمینان حاصل کنید که از برندی که به خوبی اثبات شده و حد نصاب مطلوبی از الگوریتم امنیتی قوی دارد، خرید نمایید. پس با کمی هزینه سایت خود را ایمن تر نمایید.
2) همیشه آپدیت باشید
هر ورژن جدید وردپرس حاوی برچسب ها و تعمیراتیست که لطمه پذیری های حقیقی یا مجازی را نشان خواهد داد.اگر شما سایت خود را با آخرین ورژن وردپرس آپدیت ننمایید، خواهید توانست سایت خود را در دسترس نفوذ ها بگذارید.
اغلب هکرها به قصد ، ورژن های قبلی وردپرس که آسیب های امنیتی واضح تری دارند را مورد هدف می گذارند، در نتیجه اکثر اوقات توجهتان به آلارم های پیشخوانتان باشد و از پیغام های “لطفا به روز رسانی کنید” بی توجهی ننمایید.
همین فعل در رابطه با قالب ها و افزونه ها هم درست است. مطمئن شوید که به در لحظه نشر آخرین ورژن ، وب سایت خود را آپدیت نمایید. زمانی که همه چیز وب سایتتان آپدیت باشد امکان هک شدن آن بسیار کمتر است.
3) رمز عبورتان را تقویت کنید
با دقت به infographic، میزان ۸% از سایت های هک شده ی وردپرس، به دلیل داشتن پسورد ساده بوده است.
اگر واژه ی پسورد وردپرس شما چیزی مثل ‘let me in’ یا ‘abc123’ و یا ‘password’ باشد ، بایستی هر چه سریع تر آن را عوض کنید.
برای یک پسورد از واژه هایی استفاده کنید که به راحتی به خاطر بسپاریدشان، اما هک شدن آن بسیار دشوار، توصیه ی ما اینست که از یک الگوریتم رمز عبور مناسب استفاده نمایید.
اگر بی حوصله هستید، می توانید یک مدیر پسورد، مثل LastPass که تمامی واژه های عبور شما را به یاد داشته باشد، استفاده نمایید. اگر از این روند بهره میبرید، اطمینان حاصل کنید که پسورد اصلی شما مناسب و قویست.
4) به هیچ عنوان واژه رایج "Admin" را به عنوان نام کاربری انتخاب نکنید
اگر از واژه “admin” به عنوان یوزر نیم خود استفاده مینمایید، و پسورد شما به حد لازم قوی نیست پس وبسایت شما در مقابل حملات آسیب زا، بسیار آسیب پذیر خواهد بود.
تا قبل از ورژن سه وردپرس که بطور خودکار نام کاربری آن admin بود . اما از این ورژن به بعد می توانید از قسمت بروز رسانی کاربر این قسمت را ویرایش کنید . بعضی از وبسایت هایی که از اسکریپت auto-install میزبانی می کنند هنوز هم نام کاربری پیش فرض آن ها admin است که برای رفع این مشکل یک ادمین جدید ایجاد کرده با نام و واژه کاربری جدید ، با این اکانت وارد شده و اکانت قبلی یا همان admin را حذف کنید.
توجه داشته باشید که تمام مطالب ادمین قبلی را در هنگام حذف به اکانت جدید اختصاص دهید.
5) نام کاربری خود را از URL بایگانی پنهان نمایید
روش دیگری که هکر به صورت نهفته می تواند یوزر نیم شما را پیدا کند، از طریق پیج آرشیو نویسنده در وبسایت شماست.
وردپرس به صورت دیفالت یوزر نیم شما را درURL پیج آرشیو نویسنده نشان خواهد داد. به عنوان نمونه، اگر یوزر نیم شماonliner باشد ، آرشیو نویسنده شما چیزی بمانند http://yoursite.com/author/onliner خواهد شد.
این فعل بسیار هم مورد تایید نخواهد بود. در نتیجه فکر مناسبیست که با بهره از تغییر ورودی user_nicename خود در مرکز دیتا، که در اینجا داده شده است، واژه کاربری خود را پنهان کنید.
6) تعداد دفعات تلاش برای ورود را کم کنید
در دفعاتی که یک مهاجم با بهره از ربات و با بهره از هجوم brute-force بواسطه رد شدن از پسوردتان تلاش میکند، محدود کردن ip افراد شکست خورده بسیار تاثیر گذار خواهد بود.
البته مهاجم ها ترفندهایی برای خنثی نمودن این مسئله نیز دارند مثل استفاده از ip های مختلف ، اما انجام دادن این فعل ارزشش را دارد.
7) ادیت قسمت ها (فایل ها) از طریق پیشخوان را لغو نمایید
در نصب قالب وردپرس بصورت دیفالت، شما می توانید به نمایش » ویرایشگر رفته و هر کدام از قسمت های قالب خود را دقیقا در داخل پیشخوان ادیت نمایید.
هنگامی که یک مهاجم به پنل مدیریت شما دست می یابد میتواند فایلهای شما را ادیت کند و هر نوع کد مخربی را که میخواهد داخل آنها بکار ببرد.
8) سعی کنید از قالب های رایگان استفاده نکنید
آنلاینر به کیفیت قالب های خود ایمان دارد ولی در کل بهتر است از قالبهای رایگان استفاده ننمایید.
دلیل حقیقی برای انجام ندادن این فعل است که قالب های رایگان بیشتر می تواند حاوی چیزهایی مثل رمز گذاری base64 باشند، که احتمال دارد به شیوه مخفی برای وارد کردن لینک های اسپم در وبسایت شما، و یا کدهای آسیب زا دیگری که می تواند هر نوع آسیبی ایجاد نماید، مورد بهره برداری قرار گیرد، همانگونه که در این تست مشاهده شده است، اکثر سایتهایی از قالبهایی رایگان استفاده میکنند در آن از الگوریتم base64 استفاده شده است.
در زمانی که چاره ای ندارید، فقط باید از آنهایی که در مخزن رسمی قالب های وردپرس در دسترس هستند ، استفاده کنید.
9) بک آپ گیری کنید
حتی اگر برترین تدابیر امنیتی را در دست داشته باشید، هرگز نمی دانید که چه لحظه رویداد پشیگیری نشده ای رخ خواهد داد که امکان دارد وبسایت شما را بواسطه یک هجوم آماده نماید.
در صورتی که که این واقعه رخ دهد، بایستی اطمینان حاصل کنید که همه مطالب شما به راحتی باز می گردد، به شکلی که بتوانید به آسانی وبسایت خود را به زیبایی قبلش برگردانید.
Codex وردپرس به شما میرساند که بطور دقیق چطور از وبسایتتان back up بگیرید، و به شکلی که این امر بیشتر از حد ،دشوار دیده میشود. می توانید از یک افزونه مثل WordPress Backup to Dropbox بهره ببرید که به شکل مرتب و اتوماتیک از وبسایت شما back up میگیرد
10) از افزونه های امنیتی استفاده کنید
قیقا مثل همه اقدامات بالا پلاگین های بسیاری موجود است که شما می توانید از آنها بواسطه بهبود امنیت وبسایت خود و کم کردن احتمال هجوم، بهره ببرید.
در زیر تعدادی از محبوب ترین افزونه های امنیتی وردپرس معرفی شده است:
http://wordpress.org/plugins/better-wp-security/ – دامنه زیادی از خصوصیت های امنیتی را عرضه میکند.
http://wordpress.org/plugins/bulletproof-security/ – وبسایتتان را بواسطه .htaccess مورد حفاظت قرار دهید.
http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – یک فایروال به وبسایتتان افزوده میشود.
http://wordpress.org/plugins/sucuri-scanner/ – وبسایتتان را برای نرم افزارهای آسیب زا اسکن مینماید.
http://wordpress.org/plugins/wordfence/ – افزونه امنیتی با خصوصیت های اکمل.
http://wordpress.org/plugins/websitedefender-wordpress-security/ – اسباب گسترده امنیتی.
http://wordpress.org/plugins/exploit-scanner/ – مرکز دیتاهایتان را برای هر کد مرموز پیدا می نماید.
https://www.tehran-servicekar.com (https://www.tehran-servicekar.com)