سبد خرید شما خالی است.
15 روش افزایش امنیت وردپرس و جلوگیری از هک وردپرس
افزایش امنیت وردپرس مهمترین موضوع برای مدیران وبسایتهای وردپرسی است. هر هفته، گوگل فهرست حدود 20،000 وبسایت آلوده به بدافزار و حدود 50،000 وبسایت فیشینگ را منتشر میکند. اگر به امنیت وبسایتتان اهمیت میدهید، باید با بهروزترین روشهای امنیتی وردپرس آشنایی داشته باشید. ما در سایبریت قصد داریم بهترین روشهای افزایش امنیت وردپرس را به اشتراک بگذاریم تا از وبسایت خود، در برابر حمله هکرها و بدافزارها محافظت کنید.
وردپرس دارای تیمی متشکل از صدها برنامهنویس است که هرروز در حال بهروزرسانی و توسعه وردپرس هستند. به همین خاطر هستهی وردپرس، امنیت پایداری دارد. امنیت وردپرس، فقط برطرف کردن خطر نیست بلکه کاهش خطر احتمالی است و شما بهعنوان یک مدیر وبسایت، باید این 15 روش مهم را برای تأمین امنیت وردپرس انجام دهید.
چرا افزایش امنیت وردپرس مهم است؟
زمانی که سایت هک میشود، آسیب جدی به کسب درآمد و شهرت شما وارد میکند. هکرها میتوانند اطلاعات کاربران و رمزهای عبور را سرقت کنند و با نصب بدافزارهای مخرب روی سایت باعث ترویج بدافزار بین کاربران شود که نمونهی بارز آن ترویج باج افزارها است.
بدتر از همه، ممکن است هکر از شما بخواهد برای اینکه به سایت خود دسترسی پیدا کنید مبلغی را به او پرداخت کنید؛ بنابراین اگر وبسایت شما دارای یک کسبوکار است، باید توجه بیشتری به امنیت وردپرس خود داشته باشید.
۱. بهروز نگهداشتن وردپرس
وردپرس مرتباً در حال بهروزرسانی و فیکس کردن باگهای امنیتی است و شما باید علاوه بر آپدیت وردپرس، به آپدیت پلاگین ها و قالبهای وردپرس بسیار توجه کنید. این بهروزرسانیها برای امنیت و ثبات سایت بسیار ضروری است.
برای امنیت وردپرس باید پلاگین ها و پوستههای وردپرس را از منابع معتبر دانلود کنید. بسیاری از وبسایتهای خارجی پوستهها و پلاگین های پولی را بهصورت رایگان منتشر میکنند که تعدادی از مدیران آن سایتها با اضافه کردن قطعه کدی مخرب به پلاگین های منتشرشده، باعث هک شدن سایت شما در صورت نصب آن میشود.
۲. رمزهای عبور قوی و توجه به مجوز کاربران
رایجترین روش هک وردپرس به دست آوردن رمز عبور مدیریت وردپرس است. با انتخاب رمز عبور قوی و پیچیده این کار را برای هکران دشوار کنید. و نهفقط برای مدیریت وردپرس، بلکه برای حسابهای FTP، پایگاه داده، حساب میزبانی وردپرس و حساب ایمیلهای خود این کار را انجام دهید پس بدون هیچ معطلی وارد این سایت شوید و پسوردهای قوی و اتفاقی ایجاد کنید و از آن استفاده کنید.
اصلاً لازم نیست رمز عبور خود را به یاد داشته باشید، یک رمز عبور قوی انتخاب کنید و آن را جایی دور از دسترس دیگران یادداشت کنید و از آن استفاده کنید.
یکی دیگر از راههای کاهش ریسک هک شدن سایت این است که در انتخاب نقشهای کاربری وردپرس دقت کافی را داشته باشید و دسترسی بیشازحد به کاربران عادی ندهید.
۳. نقش میزبانی وب وردپرس
سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا میکند. اگر از هاست های اشتراکی استفاده میکنید، سرور منابع خود را با بسیاری از مشتریان دیگر به اشتراک میگذارد. این امر خطر هک شدن سایت را افزایش میدهد، هکر میتواند یکی از سایتهای آسیبپذیر روی سرور را هک کند و بعد از آن بهراحتی به سایت شما و دیگر سایتهای روی سرور حمله کند.پس در انتخاب سرور خود دقت لازم را بهکارگیرید.
۴. نصب پلاگین Backup وردپرس
تهیه نسخه پشتیبان از سایت، اولین دفاع شما در برابر حملات هکرها است. به یاد داشته باشید هیچچیز 100٪ امن نیست. وقتی وبسایتهای دولتی را میتوان هک کرد، پس هک کردن سایت شما کار سختی نیست.
پلاگین های بسیاری برای بکاپ از وردپرس وجود دارد. پیشنهاد سایبریت، پلاگین BackupBuddy و Duplicator است. تنظیمات ایده آل برای بکاپ گرفتن از وردپرس، دو روز یکبار از دیتابیس و هفتهای یکبار از کل سایت است.
پشتیبان گیری به شما اجازه میدهد تا بهسرعت سایت وردپرسی خود را در صورت بروز هر عامل ناخوشایندی نجات دهید. پس باید بهطور منظم و کامل از سایت نسخه پشتیبان تهیه کنید و در یک مکان خارج از هاست خود، مانند Dropbox و فضاهای ابری ذخیره کنید. که پلاگین های معرفیشده این کار را بهراحتی انجام میدهند.
۵. نصب بهترین پلاگین امنیتی وردپرس
یک پلاگین امنیتی وردپرس خوب باید شامل، فایروال وب (WAF) ، نظارت بر صحت و سلامت کامل فایلها و تعداد تلاش ناموفق برای ورود به سیستم، اسکن بدافزار، تغییر پیشوند جداول دیتابیس، تغییر نام کاربری مدیریت و اطلاعرسانی هشدارها به ایمیل مدیر سایت و … باشد.
سادهترین راه محافظت از وبسایت و اطمینان از امنیت وردپرس استفاده از فایروال وب (WAF) است. فایروال قبل از اینکه حملهای از طرف هکر به وبسایت شما برسد، تمام ترافیک مخرب را متوقف میکند.
سایبریت، بعد از بررسی و مقایسه بهترین پلاگین های امنیتی وردپرس ازنظر دفع حملات و عدم فشار بر روی سرور و هر آنچه باید یک سایت برای امنیت خود داشته باشد، پلاگین Shield Security for WordPress را بهشدت پیشنهاد میکند.
از CDN هم میتوانید استفاده کنید که باعث افزایش سرعت بارگذاری سایت، صرفهجویی در پهنای باند سایت و دفع ترافیک مخرب میشود. کلودفلر cloud flare بهترین CDN رایگان است.
۶. نام کاربری پیشفرض “admin” را تغییر دهید
بسیاری از سایتهای وردپرسی از نام کاربری پیشفرض “admin” استفاده میکنند که به هکرها این فرصت را میدهد تنها با به دست آوردن رمز عبور مدیریت، آسانترین نفوذ خود را تجربه کنند. بنابراین برای افزایش امنیت وردپرس، ازآنجاکه در پنل مدیریت وردپرس اجازه تغییر نام کاربری را بهطور پیشفرض دارید، سه روش برای تغییر نام کاربری وجود دارد.
- از پلاگینهای تغییر نام کاربری استفاده کنید
- بهروزرسانی نام کاربری از طریق phpMyAdmin
- یک نام کاربری جدید مدیریت ایجاد کنید و یکی از آنها را حذف کنید.
۷. مخفی کردن نام کاربری مدیر سایت
اولین نویسنده سایت، مدیر آن هست. پس فقط کافی است بعد از لینک سایت خود عبارت ?autor=1 وارد کنید (http://yoursite.com?autor=1) تا بهراحتی نام کاربری مدیر سایت نمایش داده شود.
بهترین روش برای جلوگیری از نمایش نام کاربری مدیر سایت، ریدایرکت کردن صفحه مربوط به نویسندگان سایت به صفحه اصلی سایت است. بدین منظور فایل .htaccess موجود در فولدر public_html هاست خود را جهت ویرایش بازکنید و کدهای زیر را در انتهای این فایل قرار داده و آن را ذخیره کنید.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* – [F]
# END block author scans
۸. غیرفعال کردن ویرایش فایلهای پلاگین و قالبهای وردپرس
وردپرس همراه با یک ویرایشگر کد ساختهشده است که به شما اجازه میدهد که قالب و فایلهای پلاگین خود را از قسمت مدیریت وردپرس خود ویرایش کنید. در این حالت، این ویژگی میتواند خطر امنیتی بزرگی باشد، چراکه شما میتوانید کدهای php قالب و پلاگین های خودتان رو از طریق پنل ویرایش کنید.
نفوذ گر بعد از ورود به مدیریت سایت تنها کافی است از طریق این ویرایشگر، با اضافه کردن کد مخرب، بکدور Backdoor ایجاد کند. برای غیرفعال کردن ویرایشگر، فایل wp-config.php وردپرس را بازکنید و کد زیر را به آن اضافه کنید.
// Disallow file edit define
( 'DISALLOW_FILE_EDIT', true );
۹. غیرفعال کردن اجرای فایل Php
از اجرای فایل PHP در دایرکتوریهایی که نیازی به اجرای آن نیست مانند /wp-content/uploads/ غیرفعال کنید. کد زیر را در یک فایل با عنوان .htaccess ذخیره کنید و در فولدر uploads آپلود کنید.
<Files *.php>
deny from all
</Files>
۱۰. محدود کردن تعداد تلاشها برای ورود
بهطور پیشفرض، وردپرس به کاربران اجازه میدهد بدون محدودیت برای ورود پسوردهایی را امتحان کنند. این ویژگی سایت وردپرسی شمارا آسیبپذیر میکند بنابراین هکرها سعی میکنند رمزهای عبور مختلفی را با تلاشهای متعدد امتحان کنند و اقدام به Brute Force کنند.
سه روش برای جلوگیری از این حملات وجود دارد.
- استفاده از reCAPTCHA
- محدود کردن دفعات مجاز برای واردکردن پسورد
- ورود دومرحلهای
۱۱. حذف پیام خطا در صفحهی ورود وردپرس
هنگامیکه نام کاربری یا رمز عبور اشتباهی در صفحه ورود وارد کنید به شما پیام (نام کاربری xxx اشتباه است و یا شناسه معتبر نیست) نمایش میشود. هکر با توجه به پیام نمایش دادهشده تشخیص میدهد کدام قسمت را درست وارد کرده است و راهنمای نفوذ بیدردسر او میشود. برای حذف پیام کد زیر را به فایل Functions.php قالب وردپرس خود اضافه کنید.
// Remove error message on login screen
add_filter('login_errors', create_function('$a', 'return null;'));
۱۲. تغییر پیشوند (prefix) جداول دیتابیس وردپرس
بهطور پیشفرض، وردپرس از wp_ بهعنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده میکند. اگر سایت وردپرس شما از پیشوند پیشفرض استفاده میکند، هکرها میتوانند بهراحتی آن را حدس بزنند. به همین دلیل توصیه میکنیم برای امنیت وردپرس پیشوند جداول را با استفاده از پلاگین db prefix change تغییر دهید.
۱۳. از پوشه wp-admin محافظت کنید
بهطورمعمول، هکرها میتوانند با رفتن به آدرس (http://yoursite.com/wp-admin) صفحه ورود مدیریت سایت را مشاهده کنند و اقدام به شروع Brute Force و یا حملات DDoS را اجرا کنند.
افزایش امنیت وردپرس بدین منظور از طریق cpanel هاست بر روی پوشه wp-admin رمز عبور بگذارید و یا بهصورت دستی این کار را انجام دهید و از این حملات جلوگیری کنید.
۱۴. جلوگیری از ایندکس شدن دایرکتوریها
بزرگترین ریسک امنیتی سایت، فعال بودن مرور دایرکتوری روی هاست بهطور پیشفرض است. نفوذ گر با مرور دایرکتوری سایت میتوانند به فایلهای موجود در هاست شما دسترسی داشته باشند. برای جلوگیری از مرور دایرکتوری کد زیر را در فایل .htaccess قرار دهید.
Options -Indexes
۱۵. غیرفعال کردن XML-RPC در وردپرس
XML-RPC بهطور پیشفرض در وردپرس 3.5 فعالشده است و به شما کمک میکند که سایت وردپرس خود را با برنامههای وب و تلفن همراه متصل و اقدام به ارسال مطالب کنید.
مشکل از جایی شروع میشود که با فعال بودن XML-RPC، هکر میتواند از تابع system.multicall برای تست هزاران رمز عبور با ارسال 20 درخواست استفاده کند و بدتر از آن اقدام به اجرای حملات DDOS کند.
به همین دلیل است که اگر از XML-RPC استفاده نمیکنید، توصیه میکنیم آن را غیرفعال کنید. کد php زیر را به فایل function.php قالب خود اضافه نمایید.
add_filter( 'xmlrpc_enabled', '__return_false' );
وقتی سایت وردپرسی هک شد چه کنیم؟
بسیاری از کاربران وردپرس اهمیت تهیه نسخه پشتیبان و امنیت وبسایت را تا زمانی که وبسایتشان هک شده است، درک نمیکنند.
قدم اول: از امن بودن کامپیوتر خود اطمینان داشته باشید که آلوده به کیلاگر Keylogger و تروجان RAT نباشد.
قدم دوم: سایت وردپرسی خود را در مقابل بدافزارها malware اسکن کنید.
قدم سوم: تمام فایلهای وردپرس سایت خود را (بهجز فولدر wp-content) با پروندههای اصلی وردپرس جایگزین کنید.
قدم چهارم: نام کاربری و رمز عبور دیتابیس را تغییر دهید.
قدم پنجم: اطلاعات دیتابیس (نام کاربری و رمز عبور) در فایل wp-config.php وردپرس را تغییر دهید.
قدم ششم: رمز هاست، ایمیل، FTP و … را تغییر دهید.
به پایان مقاله افزایش امنیت وردپرس رسیدیم. منتظر آموزش بعدی باشید و اگر سوالی دارید در نظرات زیر بپرسید.
دانلود PDF مقاله2+
سلام. من یه سایت وردپرسی دارم الان دیدم تو پوشه wp-content یک فولدر به نام mu-plugins و داخلش یک فایل با نام rms_unique_wp_mu_pl_fl_nm.php ایجاد شده. برنامه نویس نیستم لطفا کمک کنید. فایلش رو پیوست کردم.
من از چند نفر پرسیدم ولی جواب های متفاوتی گرفتم. یکی گفت مخربه، یکی گفت نگرانش نباش. تو سایت های خارجی هم گشتم نوشته بود افزونه های لازم الاجرا میاد تو این پوشه. اما کدهای داخلش لامصب یجوریه که انگار سایت رو دو دستی تقدیم هکره کردی.
اگر اطلاعی راجع بهش دارید، اینا سوالای منه.
آیا کد مخربه و یا یوزر و پسوورد رو ارسال میکنه ؟
آیا امکان داره مربوط به پلاگین ultimate member و قسمت بازیابی رمز عبور باشه؟
اگر کد مخربه، فقط با پاک کردن پوشه و تغییر یوز و پسوورد ادمین، مشکل حل میشه؟
(ضمنا اختلالی هم در سایت به وجود نیاورده)
خیلی ممنونم
این هم فایل کدها
http://s13.picofile.com/file/8401748584/mu_plugins.zip.html
سلام دوست عزیز
متاسفانه این یک فایل بکدور هست که دسترسی ریموت به هکر میده
این فایل به نظر با استفاده از یک پلاگین null شده به وجود امده
موارد زیر را انجام بدید
1. سایت را در حالت maintenance قرار بدید
2. تمام دایرکتوری ها و فایل هایی که تاریخ انها جدید هست و احتمال بکدور دارد را بررسی کنین
3. تمام پلاگین های سایت را اپدیت کنید
4. هسته وردپرس را اپدیت کنید
5. دایرکتوری های بالای public_html را بررسی کنید
6. دیتابیس و لیست کاربران admin را بررسی کنین
اگر نیاز به پشتیبانی دارید در تیکت با ما درمیان بگذارید