15 روش افزایش امنیت وردپرس و جلوگیری از هک وردپرس

افزایش امنیت وردپرس مهم‌ترین موضوع برای مدیران وب‌سایت‌های وردپرسی است. هر هفته، گوگل فهرست حدود 20،000 وب‌سایت آلوده به بدافزار و حدود 50،000 وب‌سایت فیشینگ را منتشر می‌کند. اگر به امنیت وب‌سایتتان اهمیت می‌دهید، باید با به‌روزترین روش‌های امنیتی وردپرس آشنایی داشته باشید. ما در سایبریت قصد داریم بهترین روش‌های افزایش امنیت وردپرس را به اشتراک بگذاریم تا از وب‌سایت خود، در برابر حمله هکرها و بدافزارها محافظت کنید.

وردپرس دارای تیمی متشکل از صدها برنامه‌نویس است که هرروز در حال به‌روزرسانی و توسعه وردپرس هستند. به همین خاطر هسته‌ی وردپرس، امنیت پایداری دارد. امنیت وردپرس، فقط برطرف کردن خطر نیست بلکه کاهش خطر احتمالی است و شما به‌عنوان یک مدیر وب‌سایت، باید این 15 روش مهم را برای تأمین امنیت وردپرس انجام دهید.

 

چرا افزایش امنیت وردپرس مهم است؟

زمانی که سایت هک می‌شود، آسیب جدی به کسب درآمد و شهرت شما وارد می‌کند. هکرها می‌توانند اطلاعات کاربران و رمزهای عبور را سرقت کنند و با نصب بدافزارهای مخرب روی سایت باعث ترویج بدافزار بین کاربران شود که نمونه‌ی بارز آن ترویج باج افزارها است.

بدتر از همه، ممکن است هکر از شما بخواهد برای اینکه به سایت خود دسترسی پیدا کنید مبلغی را به او پرداخت کنید؛ بنابراین اگر وب‌سایت شما دارای یک کسب‌وکار است، باید توجه بیشتری به امنیت وردپرس خود داشته باشید.

 

۱. به‌روز نگه‌داشتن وردپرس

وردپرس مرتباً در حال به‌روزرسانی و فیکس کردن باگ‌های امنیتی است و شما باید علاوه بر آپدیت وردپرس، به آپدیت پلاگین ها و قالب‌های وردپرس بسیار توجه کنید. این به‌روزرسانی‌ها برای امنیت و ثبات سایت بسیار ضروری است.

برای امنیت وردپرس باید پلاگین ها و پوسته‌های وردپرس را از منابع معتبر دانلود کنید. بسیاری از وب‌سایت‌های خارجی پوسته‌ها و پلاگین های پولی را به‌صورت رایگان منتشر می‌کنند که تعدادی از مدیران آن سایت‌ها با اضافه کردن قطعه کدی مخرب به پلاگین های منتشرشده، باعث هک شدن سایت شما در صورت نصب آن می‌شود.

 

۲. رمزهای عبور قوی و توجه به مجوز کاربران

رایج‌ترین روش هک وردپرس به دست آوردن رمز عبور مدیریت وردپرس است. با انتخاب رمز عبور قوی و پیچیده این کار را برای هکران دشوار کنید. و نه‌فقط برای مدیریت وردپرس، بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و حساب ایمیل‌های خود این کار را انجام دهید پس بدون هیچ معطلی وارد این سایت شوید و پسوردهای قوی و اتفاقی ایجاد کنید و از آن استفاده کنید.

اصلاً لازم نیست رمز عبور خود را به یاد داشته باشید، یک رمز عبور قوی انتخاب کنید و آن را جایی دور از دسترس دیگران یادداشت کنید و از آن استفاده کنید.

یکی دیگر از راه‌های کاهش ریسک هک شدن سایت این است که در انتخاب نقش‌های کاربری وردپرس دقت کافی را داشته باشید و دسترسی بیش‌ازحد به کاربران عادی ندهید.

 

۳. نقش میزبانی وب وردپرس

سرویس میزبانی وردپرس شما مهم‌ترین نقش را در امنیت سایت وردپرس شما ایفا می‌کند. اگر از هاست های اشتراکی استفاده می‌کنید، سرور منابع خود را با بسیاری از مشتریان دیگر به اشتراک می‌گذارد. این امر خطر هک شدن سایت را افزایش می‌دهد، هکر می‌تواند یکی از سایت‌های آسیب‌پذیر روی سرور را هک کند و بعد از آن به‌راحتی به سایت شما و دیگر سایت‌های روی سرور حمله کند.پس در انتخاب سرور خود دقت لازم را به‌کارگیرید.

 

۴. نصب پلاگین Backup وردپرس

تهیه نسخه پشتیبان از سایت، اولین دفاع شما در برابر حملات هکرها است. به یاد داشته باشید هیچ‌چیز 100٪ امن نیست. وقتی وب‌سایت‌های دولتی را می‌توان هک کرد، پس هک کردن سایت شما کار سختی نیست.

پلاگین های بسیاری برای بکاپ از وردپرس وجود دارد. پیشنهاد سایبریت،‌ پلاگین BackupBuddy و Duplicator است. تنظیمات ایده آل برای بکاپ گرفتن از وردپرس،‌ دو روز یک‌بار از دیتابیس و هفته‌ای یک‌بار از کل سایت است.

پشتیبان گیری به شما اجازه می‌دهد تا به‌سرعت سایت وردپرسی خود را در صورت بروز هر عامل ناخوشایندی نجات دهید. پس باید به‌طور منظم و کامل از سایت نسخه پشتیبان تهیه کنید و در یک مکان خارج از هاست خود، مانند Dropbox و فضاهای ابری ذخیره کنید. که پلاگین های معرفی‌شده این کار را به‌راحتی انجام می‌دهند.

 

۵. نصب بهترین پلاگین امنیتی وردپرس

یک پلاگین امنیتی وردپرس خوب باید شامل، فایروال وب (WAF) ، نظارت بر صحت و سلامت کامل فایل‌ها و تعداد تلاش ناموفق برای ورود به سیستم، اسکن بدافزار، تغییر پیشوند جداول دیتابیس، تغییر نام کاربری مدیریت و اطلاع‌رسانی هشدارها به ایمیل مدیر سایت و … باشد.

ساده‌ترین راه محافظت از وب‌سایت و اطمینان از امنیت وردپرس استفاده از فایروال وب (WAF) است. فایروال قبل از اینکه حمله‌ای از طرف هکر به وب‌سایت شما برسد، تمام ترافیک مخرب را متوقف می‌کند.

سایبریت، بعد از بررسی و مقایسه بهترین پلاگین های امنیتی وردپرس ازنظر دفع حملات و عدم فشار بر روی سرور و هر آنچه باید یک سایت برای امنیت خود داشته باشد، پلاگین Shield Security for WordPress را به‌شدت پیشنهاد می‌کند.

از CDN هم می‌توانید استفاده کنید که باعث افزایش سرعت بارگذاری سایت، صرفه‌جویی در پهنای باند سایت و دفع ترافیک مخرب می‌شود. کلودفلر cloud flare بهترین CDN رایگان است.

 

۶. نام کاربری پیش‌فرض “admin” را تغییر دهید

بسیاری از سایت‌های وردپرسی از نام کاربری پیش‌فرض “admin” استفاده می‌کنند که به هکرها این فرصت را می‌دهد تنها با به دست آوردن رمز عبور مدیریت، آسان‌ترین نفوذ خود را تجربه کنند. بنابراین برای افزایش امنیت وردپرس، ازآنجاکه در پنل مدیریت وردپرس اجازه تغییر نام کاربری را به‌طور پیش‌فرض دارید، سه روش برای تغییر نام کاربری وجود دارد.

  • از پلاگین‌های تغییر نام کاربری استفاده کنید
  • به‌روزرسانی نام کاربری از طریق phpMyAdmin
  • یک نام کاربری جدید مدیریت ایجاد کنید و یکی از آن‌ها را حذف کنید.

 

۷. مخفی کردن نام کاربری مدیر سایت

اولین نویسنده سایت، مدیر آن هست. پس فقط کافی است بعد از لینک سایت خود عبارت ?autor=1 وارد کنید (http://yoursite.com?autor=1)   تا به‌راحتی نام کاربری مدیر سایت نمایش داده شود.

بهترین روش برای جلوگیری از نمایش نام کاربری مدیر سایت، ریدایرکت کردن صفحه مربوط به نویسندگان سایت به صفحه اصلی سایت است. بدین منظور فایل ‎.htaccess موجود در فولدر public_html هاست خود را جهت ویرایش بازکنید و کدهای زیر را در انتهای این فایل قرار داده و آن را ذخیره کنید.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* – [F]
# END block author scans

 

۸. غیرفعال کردن ویرایش فایل‌های پلاگین و قالب‌های وردپرس

وردپرس همراه با یک ویرایشگر کد ساخته‌شده است که به شما اجازه می‌دهد که قالب و فایل‌های پلاگین خود را از قسمت مدیریت وردپرس خود ویرایش کنید. در این حالت، این ویژگی می‌تواند خطر امنیتی بزرگی باشد، چراکه شما می‌توانید کدهای php قالب و پلاگین های خودتان رو از طریق پنل ویرایش کنید.

نفوذ گر بعد از ورود به مدیریت سایت تنها کافی است از طریق این ویرایشگر، با اضافه کردن کد مخرب، بکدور Backdoor ایجاد کند. برای غیرفعال کردن ویرایشگر، فایل wp-config.php وردپرس را بازکنید و کد زیر را به آن اضافه کنید.

// Disallow file edit define
( 'DISALLOW_FILE_EDIT', true );

 

۹. غیرفعال کردن اجرای فایل Php

از اجرای فایل PHP در دایرکتوری‌هایی که نیازی به اجرای آن نیست مانند /wp-content/uploads/ غیرفعال کنید. کد زیر را در یک فایل با عنوان ‎.htaccess ذخیره کنید و در فولدر uploads آپلود کنید.

<Files *.php>
deny from all
</Files>

 

۱۰. محدود کردن تعداد تلاش‌ها برای ورود

به‌طور پیش‌فرض، وردپرس به کاربران اجازه می‌دهد بدون محدودیت برای ورود پسوردهایی را امتحان کنند. این ویژگی سایت وردپرسی شمارا آسیب‌پذیر می‌کند بنابراین هکرها سعی می‌کنند رمزهای عبور مختلفی را با تلاش‌های متعدد امتحان کنند و اقدام به Brute Force کنند.

سه روش برای جلوگیری از این حملات وجود دارد.

  • استفاده از reCAPTCHA
  • محدود کردن دفعات مجاز برای واردکردن پسورد
  • ورود دومرحله‌ای

 

۱۱. حذف پیام خطا در صفحه‌ی ورود وردپرس

هنگامی‌که نام کاربری یا رمز عبور اشتباهی در صفحه ورود وارد کنید به شما پیام (نام کاربری xxx اشتباه است و یا شناسه معتبر نیست) نمایش می‌شود. هکر با توجه به پیام نمایش داده‌شده تشخیص می‌دهد کدام قسمت را درست وارد کرده است و راهنمای نفوذ بی‌دردسر او می‌شود. برای حذف پیام کد زیر را به فایل Functions.php قالب وردپرس خود اضافه کنید.

// Remove error message on login screen
add_filter('login_errors', create_function('$a', 'return null;'));

 

۱۲. تغییر پیشوند (prefix) جداول دیتابیس وردپرس

به‌طور پیش‌فرض، وردپرس از wp_ به‌عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده می‌کند. اگر سایت وردپرس شما از پیشوند پیش‌فرض استفاده می‌کند، هکرها می‌توانند به‌راحتی آن را حدس بزنند. به همین دلیل توصیه می‌کنیم برای امنیت وردپرس  پیشوند جداول را با استفاده از پلاگین db prefix change تغییر دهید.

 

۱۳. از پوشه wp-admin محافظت کنید

به‌طورمعمول، هکرها می‌توانند با رفتن به آدرس (http://yoursite.com/wp-admin) صفحه ورود مدیریت سایت را مشاهده کنند و اقدام به شروع Brute Force و یا حملات DDoS را اجرا کنند.

افزایش امنیت وردپرس بدین منظور از طریق cpanel هاست بر روی پوشه wp-admin رمز عبور بگذارید و یا به‌صورت دستی این کار را انجام دهید و از این حملات جلوگیری کنید.

 

۱۴. جلوگیری از ایندکس شدن دایرکتوری‌ها

بزرگ‌ترین ریسک امنیتی سایت، فعال بودن مرور دایرکتوری روی هاست به‌طور پیش‌فرض است. نفوذ گر با مرور دایرکتوری سایت می‌توانند به فایل‌های موجود در هاست شما دسترسی داشته باشند. برای جلوگیری از مرور دایرکتوری کد زیر را در فایل ‎.htaccess قرار دهید.

Options -Indexes

 

۱۵. غیرفعال کردن XML-RPC در وردپرس

XML-RPC به‌طور پیش‌فرض در وردپرس 3.5 فعال‌شده است و به شما کمک می‌کند که سایت وردپرس خود را با برنامه‌های وب و تلفن همراه متصل و اقدام به ارسال مطالب کنید.

مشکل از جایی شروع می‌شود که با فعال بودن XML-RPC، هکر می‌تواند از تابع system.multicall برای تست هزاران رمز عبور با ارسال 20 درخواست استفاده کند و بدتر از آن اقدام به اجرای حملات DDOS کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی‌کنید، توصیه می‌کنیم آن را غیرفعال کنید. کد php زیر را به فایل function.php قالب خود اضافه نمایید.

add_filter( 'xmlrpc_enabled', '__return_false' );

 

وقتی سایت وردپرسی هک شد چه کنیم؟

بسیاری از کاربران وردپرس اهمیت تهیه نسخه پشتیبان و امنیت وب‌سایت را تا زمانی که وب‌سایتشان هک شده است، درک نمی‌کنند.

قدم اول: از امن بودن کامپیوتر خود اطمینان داشته باشید که آلوده به کیلاگر Keylogger و تروجان RAT نباشد.

قدم دوم: سایت وردپرسی خود را در مقابل بدافزارها malware اسکن کنید.

قدم سوم: تمام فایل‌های وردپرس سایت خود را (به‌جز فولدر wp-content) با پرونده‌های اصلی وردپرس جایگزین کنید.

قدم چهارم: نام کاربری و رمز عبور دیتابیس را تغییر دهید.

قدم پنجم: اطلاعات دیتابیس (نام کاربری و رمز عبور) در فایل wp-config.php وردپرس را تغییر دهید.

قدم ششم: رمز هاست، ایمیل، FTP و … را تغییر دهید.

2+
معین کاردانی

در دنیای تست نفوذ می‌تونید به هرچیزی که فکرش را بکنید نفوذ کنید، فراموش نکنید تست نفوذ هک غیر قانونی نیست بلکه دانشی برای افزایش امنیت هست. پس قبل از هرچیز تکامل را اولویت قرار میدیم.

قوانین ارسال دیدگاه

  • لطفا قبل از ارسال کامنت، از قسمت سرچ سوالتان را جستجو کنید شاید قبلا پاسخ داده شده باشد.
دیدگاه‌ها

*
*

    میلاد پاسخ

    سلام. من یه سایت وردپرسی دارم الان دیدم تو پوشه wp-content یک فولدر به نام mu-plugins و داخلش یک فایل با نام rms_unique_wp_mu_pl_fl_nm.php ایجاد شده. برنامه نویس نیستم لطفا کمک کنید. فایلش رو پیوست کردم.

    من از چند نفر پرسیدم ولی جواب های متفاوتی گرفتم. یکی گفت مخربه، یکی گفت نگرانش نباش. تو سایت های خارجی هم گشتم نوشته بود افزونه های لازم الاجرا میاد تو این پوشه. اما کدهای داخلش لامصب یجوریه که انگار سایت رو دو دستی تقدیم هکره کردی.

    اگر اطلاعی راجع بهش دارید، اینا سوالای منه.

    آیا کد مخربه و یا یوزر و پسوورد رو ارسال میکنه ؟

    آیا امکان داره مربوط به پلاگین ultimate member و قسمت بازیابی رمز عبور باشه؟

    اگر کد مخربه، فقط با پاک کردن پوشه و تغییر یوز و پسوورد ادمین، مشکل حل میشه؟

    (ضمنا اختلالی هم در سایت به وجود نیاورده)

    خیلی ممنونم
    این هم فایل کدها
    http://s13.picofile.com/file/8401748584/mu_plugins.zip.html

      معین کاردانی

      سلام دوست عزیز
      متاسفانه این یک فایل بکدور هست که دسترسی ریموت به هکر میده
      این فایل به نظر با استفاده از یک پلاگین null شده به وجود امده
      موارد زیر را انجام بدید
      1. سایت را در حالت maintenance قرار بدید
      2. تمام دایرکتوری ها و فایل هایی که تاریخ انها جدید هست و احتمال بکدور دارد را بررسی کنین
      3. تمام پلاگین های سایت را اپدیت کنید
      4. هسته وردپرس را اپدیت کنید
      5. دایرکتوری های بالای public_html را بررسی کنید
      6. دیتابیس و لیست کاربران admin را بررسی کنین

      اگر نیاز به پشتیبانی دارید در تیکت با ما درمیان بگذارید