×

آموزش افزایش امنیت سایت

وردپرس 26 دی 1400

وقتی مسئولیت وب سایت های وردپرس برای چندین مشتری را بر عهده می گیرید، کار سختی در پیش دارید. اگر سایت یک مشتری خراب شود، ممکن است برای همه سایت های دیگر نیز مشکل ایجاد شود. داشتن مشتری در مناطق مختلف زمانی باعث می شود که دیگر هرگز از نگرانی ایمن کردن وردپرس خلاص نشوید.

هیچ راه مطمئنی برای اطمینان از وب سایت وجود ندارد که هرگز مشکلی نداشته باشد. با این حال، تکیه بر خدمات قابل اعتماد متمرکز بر وردپرس، مانند میزبان و ارائه دهنده قالب شما، می تواند بسیاری از مسائل رایج، از جمله هک وردپرس را حل کرده و یا از آن ها جلوگیری کند.

دانستن یک نقض امنیتی برای اینکه شما را در مسیر خود قرار دهد کافی است. برای آموزش امنیت سایت برای ایجاد یک وب سایت امن تر که توسط یک میزبان قابل اعتماد کنترل می شود با ما همراه باشید. در این مقاله، ما به چگونگی سخت افزار وب سایت وردپرس و ایمن کردن وردپرس خواهیم پرداخت.

امنیت وب سایت چیست؟

امنیت وب سایت به معنای حفاظت از وب سایت های شخصی و سازمانی در برابر حملات سایبری است.

چرا باید به امنیت وب سایت اهمیت بدهم؟

حملات سایبری علیه وب سایت های عمومی-صرف نظر از اندازه-رایج است و ممکن است منجر به موارد زیر شود:

  • خرابی وب سایت ،
  • از دست دادن دسترسی به وب سایت یا شرایط عدم ارائه خدمات (DoS) ،
  • به خطر انداختن داده های حساس مشتری یا سازمان ،
  • مهاجمی که کنترل وب سایت آسیب دیده را در دست می گیرد ، یا استفاده از وب سایت به عنوان نقطه ای برای حمله به سوراخ های آبیاری.

این تهدیدها بر همه جنبه های امنیت اطلاعات – محرمانه بودن ، صداقت و در دسترس بودن – تأثیر می گذارد و می تواند به شهرت وب سایت و صاحب آن آسیب جدی برساند. به عنوان مثال ، وب سایت های سازمانی و شخصی که قربانی تخریب ، DoS یا نقض داده می شوند ، ممکن است به دلیل تضعیف اعتماد کاربران یا کاهش بازدیدکنندگان وب سایت ، دچار خسارت مالی شوند.

سازمان ها برای حفاظت در برابر حملات وب سایت چه اقداماتی می تواند انجام دهد؟

اقدامات متعددی وجود دارد که سازمان ها و متخصصان امنیتی باید برای ایمن سازی مناسب وب سایت های خود انجام دهند. توجه: سازمانها باید با ارائه دهنده میزبانی وب سایت خود یا ارائه دهنده خدمات مدیریت شده صحبت کنند تا در مورد نقشها و مسئولیتهای اجرای اقدامات امنیتی بحث کنند.

1. اکوسیستم های حوزه امن.

  • ثبت رجیستر و سوابق سیستم نام دامنه (DNS) را برای همه دامنه ها بررسی کنید.
  • همه گذرواژه های پیش فرض ارائه شده از ثبت کننده دامنه و DNS خود را تغییر دهید.
  • اعتبارنامه های پیش فرض ایمن نیستند – معمولاً به راحتی در اینترنت در دسترس هستند. تغییر نام کاربری و گذرواژه های پیش فرض از حمله ای که از اعتبارنامه های پیش فرض استفاده می کند جلوگیری می کند. (برای اطلاع از ایجاد رمزهای عبور قوی ، به انتخاب و حفاظت از گذرواژه ها مراجعه کنید.)
  • احراز هویت چند عاملی (MFA). (برای اطلاعات بیشتر به تکمیل گذرواژه ها مراجعه کنید)
  • گزارش های شفافیت گواهی را کنترل کنید.
  • دستورالعمل اضطراری CISA 19-01 و CISA Cyber ​​Insights را بازبینی کنید: برای اطلاعات بیشتر ، دستکاری زیرساخت های DNS را کاهش دهید.

2. امنیت حساب های کاربری.

  • وزارت امور خارجه را در همه حسابهای قابل دسترسی به اینترنت اعمال کنید-اولویت با کسانی است که دسترسی ممتاز دارند.
  • اجرای اصل حداقل امتیاز و غیرفعال کردن حساب ها و امتیازات غیر ضروری.
  • همه نام کاربری و گذرواژه های پیش فرض را تغییر دهید.
  • بینش های سایبری CISA را مرور کنید: ایمیل و امنیت وب را برای اطلاعات بیشتر افزایش دهید.

3. به طور مداوم آسیب پذیری های مهم و بالا را اسکن کرده و برطرف کنید.

  • همه آسیب پذیری های مهم و زیاد را به ترتیب در 15 و 30 روز در سیستم های قابل دسترسی به اینترنت وصله کنید. مطمئن شوید که علاوه بر آسیب پذیری های نرم افزاری ، آسیب پذیری های پیکربندی را نیز اسکن کنید.
  • در صورت امکان به روز رسانی خودکار را فعال کنید.
  • سیستم عامل ها ، برنامه ها و سخت افزارهای پشتیبانی نشده را جایگزین کنید.
  • برای اطلاعات بیشتر ، دستورالعمل اضطراری CISA 19-01 و CISA Cyber ​​Insights را بررسی کنید: آسیب پذیری ها را برای سیستم های قابل دسترسی به اینترنت برطرف کنید.

4. امنیت داده ها در هنگام حمل و نقل.

غیرفعال کردن پروتکل انتقال ابرمتن (HTTP) ؛ اجرای پروتکل انتقال ابرمتن امن (HTTPS) و امنیت حمل و نقل دقیق HTTP (HSTS).

بازدیدکنندگان وب سایت انتظار دارند که از حریم خصوصی آنها محافظت شود. برای اطمینان از رمزنگاری ارتباطات بین وب سایت و کاربر ، همیشه استفاده از HTTPS را اعمال کنید و در صورت امکان استفاده از HSTS را اعمال کنید. برای اطلاعات بیشتر و راهنمایی ، به مدیر اطلاعات ایالات متحده (CIO) و صفحه وب شورای فدرال CIO در استاندارد HTTPS-Only مراجعه کنید. در صورت امکان HSTS را برای همه دامنه ها بارگیری کنید.

سایفرهای ضعیف (SSLv2 ، SSlv3 ، 3DES ، RC4) را غیرفعال کنید.

5. پشتیبان گیری از داده ها.

  • از یک راه حل پشتیبان استفاده کنید که به طور خودکار و پیوسته از داده های مهم و تنظیمات سیستم از وب سایت شما پشتیبان گیری می کند.
  • رسانه پشتیبان خود را در محیطی امن و از نظر فیزیکی دور نگه دارید.
  • سناریوهای بازیابی بلایا را آزمایش کنید.

6. برنامه های تحت وب را ایمن کنید.

  • شناسایی و رفع 10 مورد از مهمترین خطرات امنیتی برنامه های کاربردی وب ؛ سپس به سراغ آسیب پذیری های کمتر بحرانی بروید. (برای فهرست مهمترین خطرات امنیتی برنامه وب به OWASP 10 مراجعه کنید.)
  • ورود را فعال کرده و مرتباً گزارش های وب سایت را بررسی کنید تا رویدادهای امنیتی یا دسترسی نادرست را تشخیص دهید.
  • گزارش ها را به یک سرور ثبت متمرکز ارسال کنید.
  • پیاده سازی MFA برای ورود کاربران به برنامه های وب و زیرساخت های اساسی وب سایت.

7. امنیت سرورهای وب.

  • از چک لیست های امنیتی استفاده کنید.
  • پیکربندی ها را بر اساس چک لیست های امنیتی مخصوص هر برنامه (به عنوان مثال ، Apache ، MySQL) در سیستم بررسی و سخت کنید.
  • استفاده از برنامه امکان فهرست بندی و غیرفعال کردن ماژول ها یا ویژگی هایی را فراهم می کند که قابلیت هایی را ارائه می دهند که برای نیازهای تجاری ضروری نیستند.
  • اجرای تقسیم بندی و جداسازی شبکه.
  • تقسیم بندی و جداسازی شبکه باعث می شود مهاجمان بتوانند جانبی در شبکه های متصل جانبی حرکت کنند. به عنوان مثال ، قرار دادن سرور وب در یک منطقه غیرنظامی مناسب تنظیم شده (DMZ) نوع ترافیک شبکه مجاز بین سیستم های موجود در DMZ و سیستم های موجود در شبکه داخلی شرکت را محدود می کند.
  • بدانید دارایی های شما کجاست.
  • شما باید بدانید که دارایی های شما کجا هستند تا از آنها محافظت کنید. به عنوان مثال ، اگر داده هایی دارید که نیازی نیست در سرور وب وجود داشته باشد ، آن را حذف کنید تا از دسترسی عمومی محافظت شود.
  • اقدامات اضافی برای محافظت در برابر حملات وب سایت چیست؟
  • تمام ورودی های کاربر را ضدعفونی کنید. ورودی کاربر ، مانند نویسه های خاص و نویسه های پوچ را در انتهای سرویس گیرنده و سرور ضدعفونی کنید. ضدعفونی کردن ورودی کاربر هنگامی اهمیت ویژه ای دارد که در اسکریپت ها یا دستورات ساختار یافته زبان جستار گنجانده شود.
  • در دسترس بودن منابع را افزایش دهید. ذخیره سازی وب سایت را برای بهینه سازی در دسترس بودن منابع پیکربندی کنید. بهینه سازی در دسترس بودن منابع وب سایت ، این شانس را افزایش می دهد که در حین حملات DoS ، حجم بالایی از ترافیک را تحمل کند.
  • پیاده سازی محافظت از اسکریپت بین سایت (XSS) و درخواست جعلی درخواست بین سایت (XSRF). با اجرای محافظت از XSS و XSRF ، از سیستم های وب سایت و همچنین بازدیدکنندگان وب سایت محافظت کنید.
  • اجرای سیاست امنیت محتوا (CSP). صاحبان وب سایت همچنین باید پیاده سازی CSP را در نظر بگیرند. پیاده سازی CSP احتمال بارگذاری و اجرای موفقیت آمیز جاوا اسکریپت مخرب توسط مهاجم در دستگاه کاربر نهایی را کاهش می دهد.
  • بررسی کد شخص ثالث خدمات شخص ثالث (به عنوان مثال ، تبلیغات ، تجزیه و تحلیل) را بررسی کنید تا تأیید شود که هیچ کد غیر منتظره ای به کاربر نهایی تحویل داده نمی شود. صاحبان وب سایت باید مزایا و معایب بررسی کد شخص ثالث و میزبانی آن را بر روی سرور وب (برخلاف بارگذاری کد از شخص ثالث) بسنجند.

اقدامات امنیتی اضافی را اعمال کنید. اقدامات اضافی شامل موارد زیر است:

  • اجرای اسکن های امنیتی ایستا و پویا در برابر کد و سیستم وب سایت ،
  • استقرار فایروال های برنامه وب ،
  • استفاده از شبکه های تحویل محتوا برای محافظت در برابر ترافیک مخرب وب ، و
  • ارائه تعادل بار و انعطاف پذیری در برابر حجم زیاد ترافیک.

نکات برجسته آموزشی برای افزایش امنیت سایت

➤ به بیان ساده ، امنیت سایبری حوزه ای است که به مشاغل و سازمان ها در دفاع از دستگاه ها ، ماشین ها و خدمات در برابر حملات الکترونیکی توسط بازیگران شریر مانند هکرها کمک می کند. در حالی که امنیت سایبری می تواند مensiveلفه های توهین آمیز داشته باشد ، اکثر متخصصان امروزی بر تعیین بهترین راه برای دفاع از همه چیز از رایانه ها و تلفن های هوشمند گرفته تا شبکه ها و پایگاه های داده در برابر مهاجمان تمرکز می کنند.

➤ در حالی که تجسم بیت ها و بایت های پشت این تلاش ها دشوار است ، در نظر گرفتن تأثیرات بسیار آسان تر است. بدون متخصصان امنیت سایبری که به طور خستگی ناپذیری کار می کنند ، به دلیل تلاش های همیشگی برای انکار خدمات ، دسترسی به بسیاری از وب سایت ها تقریباً غیرممکن است.

در آموزش امنیت سایبری ما ، شما تمام جنبه های امنیت سایبری را به درستی می آموزید که چرا برای انواع مختلف گواهینامه های امنیت سایبری بسیار مهم است و کدام یک برای شما مناسب است.

➤ این آموزش جنبه های فنی مانند آموزش امنیت و مدیریت ریسک ، هک اخلاقی ، آزمایش نفوذ ، تزریق SQL را نیز در بر می گیرد و همچنین به شما کمک می کند تا برای مصاحبه های مرتبط با امنیت سایبری و موارد دیگر آماده شوید.

یادگیری را با آموزش امنیت سایبری ما شروع کنید و همه را آماده کنید تا هکرها را در بازی خود شکست دهید!

چگونه بفهمیم سایت وردپرس هک شده است؟

آموزش افزایش امنیت سایت

قادر به ورود به سیستم نیستید.

یکی از ساده ترین راه ها برای دسترسی هکرها به حساب وردپرس شما تغییر رمز ورود کاربر است. با این حال، آن ها همچنین ممکن است حساب کاربری شما را به طور کامل حذف کنند. عدم امکان دسترسی به حساب کاربری خود با رمز ورود عادی و عدم امکان تنظیم مجدد رمز ورود خود نشانه بزرگی است که شما هک شده اید، و به این معنی است که حساب کاربری شما از بین رفته است.

محتوای جدید در سایت شما است و شما آن را در آنجا قرار نداده اید.

اگر متوجه شدید که یک صفحه ثابت در جای صفحه اصلی شما قرار دارد و یا قالب وردپرس وب سایت جایگزین شده است، این نشانه هک شدن شماست. با این حال، ممکن است تفاوت های بسیار ظریف تری وجود داشته باشد که برای یافتن آن ها باید سخت تر کار کنید. به عنوان مثال، ممکن است یک پیوند تصادفی در محتوا وجود داشته باشد که به یک سایت سایه برود.

وب سایت شما به وب سایت دیگری هدایت می شود.

هکرها گاهی اسکریپت هایی را اضافه می کنند که بازدیدکنندگان را به سایتی کاملاً متفاوت ریدایرکت می کنند. استفاده از سرور ناامن احتمال وقوع این امر را افزایش می دهد، به همین دلیل مهم است که در انتخاب هاست با کیفیت دقت کنید.

هنگام تلاش برای دسترسی به سایت خود، یک اخطار مرورگر یا Google وجود دارد.

چند دلیل مختلف وجود دارد که ممکن است به شما اخطار مرورگر نشان داده شود که مشکلی در سایت شما وجود دارد و هک کردن تنها یکی از آنهاست. همچنین ممکن است مربوط به یک پلاگین وردپرس یا کد زمینه باشد که باید حذف شود. یا ممکن است مشکلی در دامنه یا گواهی SSL شما باشد که میزبان شما می تواند به آن کمک کند. اگر Google اخطاری را نشان می دهد، این می تواند به هک نقشه سایت اشاره داشته باشد که بر نحوه جستجوی سایت شما توسط Google تأثیر می گذارد و باید در ایمن کردن وردپرس خود به آن توجه کنید.

هر زمان که یک آسیب پذیری امنیتی وجود دارد، افزونه های امنیتی وردپرس یا میزبان وب شما باید این نقض را به شما اطلاع دهد. در نظر گرفتن تدابیر امنیتی جهت آگاه سازی موضوع و حل مشکل و ایمن کردن وردپرس بهترین اقدام است. در ادامه آموزش امنیت سایت روش های به خطر افتادن امنیت سایت را بیان می کنیم.

روش های مختلف کنترل وب سایت توسط هکر ها

جلوگیری از هک شدن سایت

بیشتر هک های وردپرس خودکار هستند و با به روز نگه داشتن سایت وردپرس می توانید به سایت خود را ایمن کنید و  به راحتی از آن ها جلوگیری کنید. اگرچه این احتمال وجود دارد که یک هکر یک سایت خاص را هدف قرار دهد، اما معمولاً وب سایت ها بخشی از یک حمله گسترده تر هستند. در اینجا روش هایی وجود دارد که با آن ها هکرها سایت شما را تسخیر می کنند و باید برای ایمن کردن وردپرس آن ها را در نظر بگیرید:

  • Backdoors  پرونده ها یا اسکریپت های مخفی هستند و یک روش جایگزین برای دسترسی به سایت خود دارید. می توان از یک درب پشتی برای اضافه کردن هدایتی مخرب به سایت دیگری استفاده کرد که نمی خواهید بازدیدکنندگان خود را به آنجا بفرستید.
  • Brute force logins  حملات بروت فورس زمانی است که ابزارهای خودکار رمزهای عبور ضعیف را کشف می کنند.
  • اسکریپت نویسی متقابل – به هکرها اجازه می دهد تا کد مخربی را از طریق اسکریپت موجود در افزونه مورد استفاده برای مرورگر ارسال کنند.
  • Denial of Service (DoS)  – اشکال یا خطایی را به کد وب سایت اضافه می کند تا سایت دیگر به درستی کار نکند.
  • Pharma hacks – وقتی کد به نسخه قدیمی وردپرس وارد می شود.

این حمله ها خیلی ترسناک به نظر می رسند خوشبختانه مراحلی برای ایمن کردن وردپرس وجود دارد که در این آموزش امنیت سایت بیان می کنیم و می توانید در ابتدا از بروز این مشکلات جلوگیری کنید.

مروری سریع بر ایمن کردن وردپرس

ایمن کردن سایت

ایمن کردن وردپرس و سخت شدن ورود به آن زمینه قدرتمند امنیتی را در خود جای داده است. سخت شدن وردپرس شامل موارد زیر است:

  • تغییر URL ورود به سیستم وردپرس
  • مخفی کردن نسخه وردپرس خود
  • استفاده از رمزهای عبور قوی و الزام داشتن کلیه حساب های کاربری به گذرواژه های قوی
  • محافظت از رمز عبور دایرکتوری WP خود
  • غیرفعال کردن ویرایش فایل در داشبورد وردپرس
  • غیرفعال کردن اجرای فایل PHP در پوشه های خاص وردپرس
  • نیاز به تأیید دو مرحله ای در صفحه ورود به وردپرس
  • محدود کردن تلاش برای ورود به سیستم
  • غیرفعال کردن نکات ورود به سیستم
  • محدود کردن دسترسی ورود به برخی آدرس های IP
  • غیرفعال کردن شمارش کاربر
  • غیرفعال کردن XML-RPC

چندین روش برای ایمن سازی وب سایت شما و جلوگیری از هک شدن وردپرس وجود دارد. اگرچه ممکن است بتوانید برخی از این موارد ضروری در آموزش امنیت سایت را به تنهایی مدیریت کنید، اما همیشه بهتر است با یک میزبان اختصاصی کار کنید که اقدامات احتیاطی ایمنی مناسب را انجام دهد، سایت شما را کنترل کند، به هرگونه نقض احتمالی پاسخ دهد و شما را در جریان کارها قرار دهد.

در این آموزش امنیت سایت ، ما برخی از روش هایی را که می توانید به تنهایی برای ایمن کردن وردپرس خود پیاده سازی کنید، به شما معرفی خواهیم کرد، اما توجه داشته باشید که روش های دیگر معمولاً برای یک کاربر متوسط ​​بسیار پیشرفته هستند.اگر بدنبال یک مقاله جامع برای ایمن کردن وردپرس هستید به مقاله امنیت وردپرس مراجعه کنید.

15 نکته برای ایجاد یک وب سایت امن و ایمن وردپرس

امنیت وب سایت

دلایل زیادی برای هک شدن سایت وردپرس شما وجود دارد و شما می توانید چندین روش برای تقویت سایت خود به کار ببرید. اجازه دهید آسیب پذیری های اصلی امنیتی را که هر آژانس، توسعه دهنده و فریلنسر باید در مورد آن بدانند، به علاوه، چگونگی محافظت از سایت خود را در ابتدا بیان کنیم.

همیشه از آخرین نسخه وردپرس استفاده کنید.

هر بار که وردپرس نسخه جدیدی را منتشر می کند، باید وب سایت خود را در اسرع وقت به روز کنید. نسخه های وردپرس اغلب وصله های امنیتی برای رفع مشکلات نسخه قبلی دارند. اگر به روز نکنید، سایت شما آسیب پذیرتر خواهد بود.

با داشتن آخرین نسخه وردپرس، خلا امنیتی را که بالقوه هکرها می توانند از بین ببرند، برطرف می کنید. بهترین گزینه شما برای ایمن کردن وردپرس این است که به روزرسانی های خودکار را تنظیم کنید تا بدون نیاز به تنظیمات دستی انجام شود. به یاد داشته باشید که هر بار که سایت خود را به روز می کنید، باید یک نسخه پشتیبان از سایت خود ذخیره کنید. هر میزبان با کیفیت به طور خودکار سایت شما را به آخرین نسخه وردپرس به روز می کند.

از قوی ترین گذرواژه های ممکن استفاده کنید.

اگر یک وب سایت به اندازه کافی امن ایجاد نکنید، دسترسی هکرها به پنل مدیریت وردپرس شما آسان است و پس از انجام این کار، تقریباً هر کاری که بخواهند می توانند انجام دهند. هکرها از ابزارهای خودکار برای گذر از گذرواژه های احتمالی متعدد استفاده می کنند. سپس آن ها می توانند به حساب مدیریت وردپرس شما وارد شوند و کنترل کامل داشته باشند.

داشتن رمز عبور ضعیف یکی از بزرگ ترین آسیب پذیری های وب سایت است، اما رمزگشایی آسان ترین روش برای شما است. علاوه بر تنظیم رمز ورود امن برای حساب کاربری وردپرس خود و تغییر مرتب آن، اطمینان حاصل کنید که هر سرویس مربوط به وب سایت با یک رمز عبور قدرتمند و منحصر به فرد مانند FTP و ورود به سیستم میزبان شما محافظت می شود.

در اینجا چند نکته برای تنظیم رمزهای عبور قوی وجود دارد:

  • از نام، نام کاربری، نام تجاری یا نام وب سایت خود استفاده نکنید.
  • از یک کلمه واحد در فرهنگ لغت استفاده نکنید، چه در انگلیسی باشد یا به زبان دیگر.
  • هرگز گذرواژه کوتاه ایجاد نکنید، حداقل باید هشت حرف باشد.
  • فقط از حروف یا فقط از اعداد استفاده نکنید. گذرواژه شما باید ترکیبی از حروف، اعداد و نمادها باشد.

برای نکات بیشتر مقاله افزایش امنیت پسورد ها را در بلاگ ژاکت بخوانید.

پلاگین های امنیتی مانند افزونه Wordfence وجود دارد که می توانید همه کاربران را مجبور به ایجاد رمزهای عبور قوی کنید، و گاهی اوقات این سرویس به صورت استاندارد با برنامه های میزبانی ارائه می شود. همچنین، اضافه کردن احراز هویت دو عاملی به وب سایت خود باعث ایمن کردن وردپرس شده و ورود و ایجاد حساب کاربری خود برای هکرها حتی دشوارتر خواهد بود. علاوه بر این، اگر قبلاً این کار را نکرده اید، یک برنامه برای به روزرسانی منظم رمز عبور تنظیم کنید، مانند هر 30، 60 یا 90 روز یک بار.

محدودیت تلاش های ورود به سیستم را تعیین کنید.

پیش فرض وردپرس این است که به کاربران اجازه می دهد به تعداد نامحدود وارد سیستم شوند. با این حال، این باعث می شود سایت شما در برابر هکرهایی که سعی می کنند رمز عبور شما را با استفاده از ترکیبات مختلف پیدا کنند، آسیب پذیر باشد. برای تعیین محدودیت در ورود به سیستم می توانید از یک افزونه اختصاصی مانند وردفنس استفاده کنید.

برای افزایش امنیت سایت وردپرسی از قوی ترین گذرواژه های ممکن استفاده کنید.

دسترسی به سایت خود را محدود کنید.

هرچه تیم شما بزرگ تر باشد، محدود کردن دسترسی به سایت شما دشوارتر است. با این حال، هرچه تعداد افراد کمتر باشد، برای ایمن کردن وردپرس بهتر است، زیرا خطر نقض امنیت تصادفی یا هدفمند را کاهش می دهید. لیست حساب های سرپرست خود را جستجو کنید (به قسمت کاربران در نوار کناری داشبورد بروید) تا ببینید آیا موارد دیگری وجود دارد که دیگر عضوی از تیم نباشند، نیازی به دسترسی به وردپرس نداشته باشند یا باید دسترسی کمتری به سایت شما داشته باشند. همچنین، به هر کاربری که نمی شناسید توجه داشته باشید.

قبل از حذف کاربری که نمی شناسید، با دارندگان حساب خود بررسی کنید که آیا آن ها جزئیات حساب خود را به روز کرده اند. ممکن است یک کاربر یک مدیر واقعی باشد، اما آن ها تغییری ایجاد کرده اند که شما آن را نمی شناسید. در این مرحله، لیست کاربران خود را نیز پاک کنید تا کسی را که دیگر عضوی از وب سایت شما نیست و یا نباید دسترسی داشته باشد، حذف کنید. روی کادر تأیید کنار هر کاربری که می خواهید حذف کنید، کلیک کنید، سپس کادر کشویی Bulk Actions را به Delete تغییر دهید. یا، برای حذف یک کاربر، روی پیوند حذف در زیر نام کاربری وی کلیک کنید.

یک تایمر خروج از سیستم برای کاربران بیکار تنظیم کنید.

اگر افراد زیادی به سایت شما دسترسی دارند، استفاده از یک پلاگین اختصاصی را برای ایمن کردن وردپرس در نظر بگیرید که در هنگام بیکار بودن آنها به طور خودکار از سیستم خارج می شود. اگر کاربر در حالی که هنوز وارد سایت شما نشده است از رایانه خود دور شود، هرکسی می تواند در حساب وردپرس شما تغییراتی ایجاد کند. یک افزونه، مانند افزونه رایگان Inactive Logout ، به شما امکان می دهد مدت زمان را تعیین کنید تا قبل از ورود خودکار کاربر بتواند بیکار باشد. همچنین می توانید پیامی بنویسید که درست قبل از خروج کاربر از صفحه بر روی صفحه ظاهر شود. به این ترتیب، اگر هنوز جلوی رایانه خود هستند، می توانند به سیستم وارد شوند.

سایت خود را با محافظت سمت سرور تقویت کنید.

وقتی بتوانید از سمت سرور سایت خود محافظت کنید، هکرها برای وارد شدن به سایت شما کار سخت تری را در پیش دارند. با افزودن یک لایه محافظ اضافی به wp-admin خود، از صفحه ورود به سیستم، منطقه مدیریت وردپرس و پرونده ها محافظت می کنید. بهترین راه برای انجام این کار و ایمن کردن وردپرس استفاده از HTTPS SSL است که یک اتصال رمزگذاری شده برای محافظت از wp-admin شما است. با میزبان خود مشورت کنید تا ببینید آیا این سطح از امنیت را ارائه می دهند یا خیر.

از فایروال برنامه وب استفاده کنید.

از فایروال استفاده کنید.

یکی از بهترین راه ها در آموزش امنیت سایت برای ایمن نگه داشتن سایت خود استفاده از فایروال برنامه وب (WAF) است. اساساً، WAF  ترافیک مخرب را از سایت شما دور می کند. دو گزینه وجود دارد:

  • فایروال سطح DNS: این نوع فایروال از طریق سرورهای پروکسی ابری خود ترافیک ارسال می کند. تنها ترافیکی که به سایت شما راه پیدا می کند ترافیک با کیفیت و غیر مخرب است.
  • فایروال سطح برنامه: وقتی از یک افزونه به عنوان WAF استفاده می کنید، ترافیک به سرور شما می رسد، اما پلاگین قبل از بارگذاری اسکریپت ها آن را بررسی می کند.

فایروال سطح DNS گزینه امن تری است. افزونه های معروف مانند Wordfence، سرویس هایی مانند Cloudflare و میزبان های ایمن مانند Convesio این موارد را ارائه می دهند.

فقط افزونه ها و قالب های به روز و قابل اطمینان را نصب کنید.

“Nulled” به پلاگین ها و قالب هایی اطلاق می شود که باید برای آنها هزینه پرداخت شود (درصورت خرید از منبع صحیح) اما در عوض در سایت دیگری بصورت رایگان ارائه می شود. این عناصر برای جمع آوری اطلاعات یا بدتر از آن، آسیب رساندن به سایت شما هستند.

هرگز از افزونه یا قالبی که به آن اعتماد ندارید، استفاده نکنید. اگر از منبع خارجی استفاده می کنید، از کتابخانه وردپرس انتخاب کنید یا مطمئن شوید و بررسی های زیادی را بخوانید. علاوه بر این، هر افزونه ای که انتخاب می کنید باید تست شده و با نسخه وردپرس شما سازگار باشد.

دلیل اینکه پلاگین ها و قالب ها باید به روز شوند این است که این به روزرسانی ها شامل ویژگی های امنیتی هستند. اگر آخرین نسخه را نداری ، آخرین اقدامات امنیتی را ندارید. همیشه با استفاده از آخرین نسخه های افزونه ها و قالب های معتبر، به روز باشید. اگر ارائه دهنده میزبانی مناسب را انتخاب کنید، آن ها این به روزرسانی ها را برای شما اجرا می کنند.

از قالب ها و افزونه های بی استفاده خلاص شوید.

اگر افزونه ها و قالب های غیرفعال دارید که دیگر نیازی به آنها نخواهید داشت، آنها را حذف کنید. هرچه اطلاعات بیشتری در وردپرس قرار داشته باشد، سایت شما آسیب پذیرتر می شود. مخصوصاً وقتی صحبت از نسخه های قدیمی وردپرس باشد که به روز نباشند.

حذف فایل های بی استفاده

باید فایلی را که قابل استفاده نیست، کشف کنید و سپس آن ها را حذف کنید. برای انجام این کار، ممکن است لازم باشد یک پلاگین امنیتی نصب کنید. گزینه های محبوب وردفنس، آیتمز سکیوریتی و افزونه سکیوپرس پرو هستند. این نوع افزونه ها می توانند سایت شما را اسکن کرده و در مورد هر چیزی که متعلق به شما نیست، به شما هشدار می دهند.

توجه داشته باشید که یک میزبان وب با کیفیت به طور خودکار این کار را برای شما انجام می دهد، بدین معنی که دیگر نگران نصب پلاگین، اسکن منظم یا حذف پرونده های مشکل ساز نخواهید بود. و اگر احساس می کنید سایت شما در حال حاضر به اسکن دستی نیاز دارد، برای ایمن کردن وردپرس خود می توانید با میزبان خود تماس بگیرید تا این کار را نیز برای شما انجام دهد.

پشتیبان گیری و اسکن منظم را انجام دهید.

به طور مرتب از سایت وردپرس خود پشتیبان تهیه کنید، و مطمئن شوید که در هر نسخه پشتیبان از پایگاه داده، پرونده های رسانه ای و پرونده های پلاگین و قالب استفاده کنید. همچنین، برای یافتن هرگونه فایل مخربی که ممکن است در سرور شما باشد، بدافزار و اسکن یکپارچگی پرونده را به طور مرتب اجرا کنید. چندین افزونه امنیتی وردپرس وجود دارد که می توانید برای خودکار کردن این روند استفاده کنید. با این حال، توجه داشته باشید که اسکن ها بدافزار را از بین نمی برند، آن ها فقط به شما اطلاع می دهند که این برنامه موجود است. شما باید خودتان از شر بدافزار خلاص شوید (یا از میزبان خود بخواهید آن را مدیریت کند).

شما همچنین باید به طور مرتب رایانه خود را از نظر بدافزار، جاسوس افزار و ویروس اسکن کنید. وب سایت شما هر چقدر ایمن باشد، اگر رایانه شما ایمن نباشد، وب سایت شما در معرض خطر قرار می گیرد. بهترین اسکنر های امنیتی وردپرس را در این مقاله معرفی کرده ایم.

نظارت بر تغییرات در پرونده های خود

هر زمان حمله رخ دهد، اثری از آن به جا مانده است. به عنوان مثال، ممکن است شواهدی از حمله در سیاهه های مربوط یا پرونده ها وجود داشته باشد. شما باید تمام مدت پرونده های خود را در جهت ایمن کردن وردپرس تحت نظر داشته باشید، و باید هشدارهایی تنظیم شود تا هر زمان تغییر ایجاد شده را بدانید. به این ترتیب، اگر تغییری رخ داد که از قبل از آن اطلاع نداشتید، می توانید به سرعت ارزیابی کنید که آیا این امر به دلیل نقض امنیت است یا خیر. برخی از افزونه های امنیتی مانندDefender ، می توانند از این امر برای شما مراقبت کنند.

بانک اطلاعات خود را مرتباً تمیز کنید.

وقتی پایگاه داده خود را تمیز می کنید، از اطلاعات اضافی و غیرضروری که سایت شما به مرور زمان جمع کرده است خلاص می شوید، مانند هرزنامه و نظرات حذف شده، تنظیمات قالب هایی که دیگر از آن ها استفاده نمی کنید و غیره. هرچه داده های بی فایده در پایگاه داده شما کمتر باشد، سریع تر سایت شما اجرا می شود بعلاوه، اگر از پلاگین امنیتی هشدار دریافت کرده اید که پایگاه داده شما هک شده است، این مرحله یک مرحله ضروری است. چندین پلاگین برای انتخاب در فهرست وردپرس وجود دارد: افزونه WP Optimize محبوب ترین گزینه اختصاصی است. در روش دیگر، شما می توانید با یک میزبان کار کنید که پاک کردن منظم پایگاه داده را برای شما انجام می دهد.

یک هاست امن انتخاب کنید.

یک هاست امن انتخاب کنید.

هنگامی که با یک شرکت میزبان غیر قابل اعتماد و ناامن مشارکت می کنید، با مشکلات زیادی روبرو خواهید شد، از جمله عدم توانایی در مقیاس بندی، خرابی بیش از حد سرور و نقاط خرابی جداگانه. شما می توانید هنگام افزایش ترافیک، سایت خود را بدون نگرانی از خراب شدن یا آسیب پذیری بیشتر در برابر نقض امنیت، مقیاس بندی کنید.

اگر به یک بسته میزبانی ارزان و بی کیفیت رضایت دهید، یک سرور را با صدها مشتری دیگر به اشتراک خواهید گذاشت. در نتیجه، سرعت سایت شما کم می شود. همچنین، همه سایت های دیگر خطرات امنیتی برای سایت شما به وجود می آورند. هرچه سایت های بیشتری در سرور موجود باشد، ناامنی های بیشتری نیز وجود دارد.

اکثر شرکت های میزبان نوعی سرویس امنیتی ارائه می دهند، اما هرجا که نقش آنها متوقف شود، وظیفه شما شروع می شود و اگر هیچ سرنخی از نحوه مدیریت یا امنیت یک وب سایت ندارید، ممکن است سایت شما بسیار آسیب پذیر باشد. با میزبانی کار کنید که مجموعه ای از ویژگی های امنیتی و نظارت و مدیریت شبانه روزی را ارائه دهد. هاست شما همچنین باید:

  • آخرین نسخه پایدار نرم افزار را ارائه دهند.
  • به طور منظم از وب سایت پشتیبان تهیه کنند.

دو اقدام امنیتی استاندارد که هر سایت باید داشته باشد، پیکربندی دیوار آتش و افزودن گواهینامه SSL برای امنیت بیشتر است. برای هر دو این موارد باید از پلاگین استفاده کنید مثل افزونه SSL وردپرس، اما برای کم حجم نگه داشتن سایت خود، بهتر است میزبانی را پیدا کنید که این ویژگی ها را در برنامه استاندارد خود داشته باشد.

در اینجا دو ملاحظه مهم دیگر هنگام انتخاب میزبان وب وجود دارد:

  • از سرور اشتراکی استفاده نکنید. هرگز نباید میزبانی را انتخاب کنید که سایت شما را در یک سرور مشترک قرار دهد. وقتی در یک سرور مشترک هستید، آن سرور به همراه بسیاری دیگر از سایت شما میزبانی می کند. اگر یک سایت به خطر بیفتد، سایت شما نیز در معرض خطر است.
  • از رمزگذاری SFTP استفاده کنید. میزبان وب شما باید رمزگذاری SFTP را ارائه دهد، این بدان معناست که هنگام اتصال به سرور، داده ها و رمز عبور شما رمزگذاری می شوند. حتی اگر یک هکر در آنجا باشد، آنها نمی توانند رمز ورود شما را ببینند، زیرا هنگام انتقال بین رایانه و وب سایت شما پنهان می شود.

اقدامات امنیتی تکراری را تنظیم کنید.

با افزودن یک افزونه امنیتی به سایت وردپرس خود، به محض وقوع فعالیت مشکوک به شما اطلاع داده می شود. به عنوان مثال، اگر کسی اقدام به ورود غیرمجاز یا اضافه کردن فایلی کند، می توانید اعلانی برای ایمن کردن وردپرس دریافت کنید.

در روش دیگر آموزش امنیت سایت ، شما می توانید با یک ارائه دهنده خدمات امنیتی کار کنید که سایت شما را کنترل کرده و مشکلات پیش آمده را برطرف کند. اگرچه این یک گزینه پرهزینه است، اما برای ایمن بودن سایت وردپرس خود به آن نیاز دارید. میزبانی با کیفیت وردپرس باید دارای نظارت امنیتی 24 ساعته 7 ساعته باشد تا مجبور نشوید یک سرویس دهنده دیگر فقط برای عملکرد سایت خود استخدام کنید.

سایر ویژگی های امنیتی که برای ایمن کردن وردپرس مهم هستند

  • قوانین پیشرفته فایروال
  • مجموعه قوانین پیشرفته مدیریت شده
  • وصله بدافزار خودکار
  • وصله آسیب پذیری خودکار
  • نظر دهید و از محافظت در برابر هرزنامه استفاده کنید.
  • تخفیف DDoS سازمانی
  • تشخیص ربات حضور انسان
  • شناسایی تهدید هوشمند
  • مجموعه قوانین اصلی OWASP
  • محدود کردن نرخ
  • حمایت از تهدید مبتنی بر اعتبار

سخن پایانی درباره امنیت سایت

یک وب سایت ایمن وب سایتی نیست که هرگز هیچ مشکلی در رابطه با امنیت نداشته باشد. در عوض، یک وب سایت امن وب سایتی است که در آن تا حد ممکن کاهش خطر امنیتی ایجاد شده باشد.

برخی اقدامات امنیتی برای جلوگیری از هک شدن وردپرس و ایمن کردن وردپرس در سایت شما بدیهی است و به راحتی قابل کنترل است، مانند ایجاد رمزهای عبور قوی و انتخاب پلاگین ها و قالب های معتبر. مدیریت دیگران دشوارتر است، به خصوص اگر شما مسئول وب سایت های متعددی برای مشتریان باشید.

بسیاری از این موارد در آموزش امنیت سایت می توانند به صورت خودکار و با میزبان مناسب برای شما اداره شوند. آن ها می توانند پشتیبان گیری منظم، اسکن بدافزار، به روزرسانی های امنیتی، رمزگذاری و فایروال ها را بر عهده بگیرند. به روز نگه داشتن وب سایت وردپرس و مشارکت با یک شریک میزبانی با کیفیت می تواند از بروز هک در آینده جلوگیری کند.

ساخت و طراحی توسط ایده پردازان آسمان (پویان آقایی)
preloader