آیا وب سایت وردپرسی شما امن است؟
آیا گذرواژهها، کارتهای اعتباری و اطلاعات شخصی مشتریان و بازدیدکنندگان شما در برابر حملات امنیت سایبری ایمن هستند؟
هکرها تمام تلاش خود را میکنند و این شما هستید که باید امنیت وب سایت خود را قویتر کنید.
در این مقاله، یاد خواهید گرفت که چرا امنیت اهمیت دارد و چه کاری میتوانید برای محافظت از وب سایت وردپرسی خود انجام دهید.
چرا امنیت وردپرس مهم است؟
در نیمه اول سال 2021، بیش از 86 میلیارد حمله رمز عبور، مسدود شد و تخمین زده میشود که هر روز به طور متوسط 30.000 وب سایت جدید هک میشود.
هکرها و انواع مختلف بدافزارها بیوقفه تلاش میکنند که به وب سایتها و دادههای حساس آنها دسترسی پیدا کنند.
در نتیجه ما در حال حاضر شاهد حجم بیسابقهای از حملات امنیت سایبری هستیم.
این مشکل بر هر شغلی در هر سطح و اندازهای، و به تبع آن بر شغل شما هم تأثیر میگذارد.
درواقع 43 درصد از حملات آنلاین در حال حاضر شامل مشاغل کوچک میشود و تنها 14 درصد از این مشاغل آماده دفاع از خود هستند.
بسیاری از هکرها شرکتهای بزرگ را برای کسب سود بیشتر هدف قرار میدهند. با این حال، مشاغل کوچک و متوسط به دلیل کمبود منابع و تخصص امنیتی، هدف آسانتری برای هکرها هستند.
حملات همیشه غیرمنتظره هستند. اگر فعالانه در سطح بالایی از امنیت وردپرس خود نباشید، بازیابی سریع از این حملات دشوار خواهد بود.
خوشبختانه، اقدامات زیادی وجود دارد که میتوانید برای محافظت از وبسایت وردپرس خود از آن استفاده کنید.
از این اصول امنیتی آسان شروع کنید
هنگام تنظیم امنیت سایت وردپرس خود، چند کار اساسی وجود دارد که میتوانید برای تقویت محافظت از خود آنها را انجام دهید.
در اینجا برخی از ابتداییترین چیزهایی که باید برای کمک به محافظت از وب سایت خود پیادهسازی کنید، آوردهایم:
گواهینامههای SSL را پیادهسازی کنید
گواهینامههای لایه سوکت ایمن (SSL)، یک استاندارد صنعتی است که توسط میلیونها وبسایت برای محافظت از تراکنشهای آنلاین خود با مشتریان استفاده میشود.
کسب گواهینامه یکی از اولین قدمهایی است که باید برای ایمنسازی وب سایت خود بردارید.
شما میتوانید گواهی SSL را بخرید، اما اکثر ارائهدهندگان هاستینگ آنها را به صورت رایگان ارائه میکنند.
در مرحله بعد، از یک افزونه برای اجبار تغییر مسیر HTTPS استفاده کنید که اتصال رمزگذاری شده را فعال میکند.
این فناوری استاندارد، یک ارتباط رمزگذاری شده بین یک وب سرور (میزبان) و یک مرورگر وب (کاربر) برقرار میکند.
با افزودن این اتصال رمزگذاری شده، میتوانید اطمینان حاصل کنید که تمام دادههای ارسال شده بین این دو خصوصی و ذاتی باقی میمانند.
لزوم استفاده از رمزهای عبور قوی
در کنار دریافت گواهی SSL، یکی از اولین کارهایی که میتوانید برای محافظت از سایت خود انجام دهید، لزوم استفاده از رمزهای عبور قوی برای همه ورودیهای سایتتان است.
ممکن است از یک رمز عبور آشنا استفاده کنید تا بتوانید آن را راحتتر به خاطر بیاورید، اما انجام این کار شما، کاربران و وبسایتتان را در معرض خطر قرار میدهد.
بهبود قدرت سایت شما، امنیت رمز عبور و احتمال هک شدن شما را کاهش میدهد.
هرچه رمز عبور شما قویتر باشد، احتمال اینکه قربانی یک حمله سایبری شوید، کمتر میشود.
هنگام ایجاد رمز عبور، یکسری شیوههای عالی برای رمز عبور کلی وجود دارد که باید از آنها پیروی کنید.
اگر مطمئن نیستید که از یک رمز عبور واقعاً قوی استفاده میکنید، با استفاده از ابزار رایگانی مانند جستجوگر قدرت رمز عبور مفید، استحکام آن را بررسی کنید.
یک پلاگین امنیتی را نصب کنید
افزونههای وردپرس یک راه عالی برای اضافه کردن سریع ویژگیهای مفید به وب سایت شما هستند و چندین افزونه امنیتی عالی در دسترس قرار دارند.
نصب یک افزونه امنیتی میتواند بدون دردسر، چندین لایه حفاظتی اضافی به وب سایت شما اضافه کند.
برای شروع، موارد زیر را بررسی کنید که به عنوان افزونههای امنیتی وردپرس توصیه شده است.
- Wordfence Security – اسکن فایروال و بدافزار
- All In One WP Security & Firewall
- iThemes Security
- Jetpack – WP Security, Backup, Speed, & Growth
فایلهای اصلی وردپرس را به روز نگه دارید
بهروزرسانی وردپرس بطور مداوم برای حفظ امنیت و ثبات سایت شما بسیار مهم است.
هر بار که یک آسیبپذیری امنیتی در وردپرس گزارش میشود، تیم پشتیبان وردپرس هسته وردپرس را بهروزرسانی میکند تا از مشکلات آتی جلوگیری کند.
اگر وب سایت وردپرس خود را به روز نمیکنید، احتمالاً از نسخهای از وردپرس استفاده میکنید که دارای آسیبپذیریهای شناخته شده است.
حدود 1.3 میلیارد وب سایت در وب وجود دارد که بیش از 455 میلیون عدد از آنها از وردپرس استفاده میکنند.
از آنجایی که وردپرس بسیار محبوب است، آماج هدف اصلی هکرها، توزیعکنندگان کدهای مخرب و سارقان است.
با استفاده از نسخه قدیمی وردپرس، خود را در معرض حمله قرار ندهید. بهروزرسانی خودکار را روشن کنید و آن را فراموش کنید.
اگر راه سادهتری برای مدیریت بهروزرسانیها میخواهید، راهحل میزبانی مدیریت شده وردپرس را در نظر بگیرید که دارای بهروزرسانیهای خودکار داخلی است.
به تمها و پلاگینها توجه کنید
به روز نگه داشتن وردپرس تضمین میکند که فایلهای اصلی شما کنترل میشوند، اما مناطق دیگری نیز وجود دارد که وردپرس از آن قسمتها آسیبپذیر است و ممکن است بهروزرسانیهای اصلی از آنها محافظت نکنند؛ مانند تمها و افزونههای شما.
برای شروع، پلاگینها و تمها را فقط از توسعهدهندگان قابل اعتماد نصب کنید.
اگر یک پلاگین یا تم توسط یک منبع معتبر ایجاد نشده است، بهتر است از آن استفاده نکنید.
علاوه بر این مطمئن شوید که افزونهها و تمهای وردپرس خود را به روز کردهاید.
درست مانند یک نسخه قدیمی وردپرس، استفاده از افزونهها و تمهای قدیمی، وب سایت شما را در برابر حملات آسیبپذیرتر میکند.
پشتیبانگیریهای مکرر را اجرا کنید
یکی از راههای محافظت از وب سایت وردپرسی این است که همیشه یک نسخه پشتیبان از سایت و فایلهای مهم خود داشته باشید.
حتماً نمیخواهید که اتفاقی برای سایت شما بیفتد و شما پشتیبان نداشته باشید.
از سایت خود نسخه پشتیبان تهیه کنید و این کار را در بیشتر مواقع انجام دهید.
به این ترتیب اگر اتفاقی برای وب سایت شما بیفتد، میتوانید به سرعت نسخه قبلی آن را بازیابی کنید و آن را سریعتر راهاندازی و اجرا کنید.
اقدامات امنیتی متوسط برای افزودن حفاظت بیشتر
اگر تمام اصول اولیه را تکمیل کردهاید اما همچنان میخواهید برای محافظت از وب سایت خود کارهای بیشتری انجام دهید، مراحل پیشرفتهتری وجود دارد که میتوانید برای تقویت امنیت خود آنها را به کار ببرید.
هرگز از نام کاربری «Admin» استفاده نکنید
از آنجایی که «admin» نام کاربری بسیار رایجی است، به راحتی قابل حدس زدن است و برای کلاهبرداران کار فریب افراد را برای ارائه اعتبار ورود به سیستم بسیار آسان میکند.
انجام این کار شما را مستعد حملات بیرحمانه و کلاهبرداریهای متعدد میکند.
مانند داشتن یک رمز عبور قوی، استفاده از یک نام کاربری منحصر به فرد هم برای ورود به سیستم ایده خوبی است زیرا شکستن اطلاعات ورود شما را برای هکرها بسیار سختتر میکند.
اگر در حال حاضر از نام کاربری «admin» استفاده میکنید، نام کاربری مدیریت وردپرس خود را تغییر دهید.
صفحه ورود WP-Admin خود را پنهان کنید
بهطور پیشفرض، اکثر صفحات ورود به وردپرس با افزودن «/wp-admin» یا «/wp-login.php» به انتهای URL قابل دسترسی هستند.
این باعث میشود هکرها برای نفوذ به وب سایت شما تلاش کنند.
هنگامی که یک هکر یا کلاهبردار صفحه ورود شما را شناسایی کرد، میتواند برای دسترسی به داشبورد مدیریت شما، نام کاربری و رمز عبور شما را حدس بزند.
پنهان کردن صفحه ورود به وردپرس یک راه خوب برای کاهش سهولت هدف برای هکرها است.
با پنهان کردن صفحه ورود به سیستم مدیریت وردپرس با افزونهای مانند WPS Hide Login از اطلاعات ورود خود محافظت کنید.
غیرفعالسازی XML-RPC
وردپرس از اجرای پروتکل XML-RPC برای گسترش عملکرد به مشتریان خدمات خود استفاده میکند.
این پروتکل فراخوانی از راه دور با دادههایی که به فرمت XML بازگردانده میشوند، اجازه میدهد تا دستورات را اجرا کنند.
اکثر کاربران به عملکرد وردپرس XML-RPC نیازی ندارند و این یکی از رایجترین آسیبپذیریهایی است که سایت کاربران را برای سوءاستفادهگرها باز میکند. به همین دلیل غیرفعال کردن آن ایده خوبی است.
به لطف افزونه امنیت Wordfence ، انجام این کار واقعاً آسان است.
فایل wp-config.php را ایمن کنید
فایل wp-config.php وردپرس شما حاوی اطلاعات بسیار حساسی در مورد نصب وردپرستان است، از جمله آن، کلیدهای امنیتی وردپرس و جزئیات اتصال پایگاه داده وردپرس است و دقیقاً به همین دلیل است که نباید دسترسی به آن آسان باشد.
میتوانید با محافظت از فایل wp-config.php از طریق فایل htaccess وب سایت خود را «محکم» کنید.
این اساساً به این معنی است که شما به سایت خود زره اضافی در برابر هکرها میدهید.
ابزار اسکن امنیتی را اجرا کنید
گاهی اوقات وب سایت وردپرس شما ممکن است نقاط آسیبپذیری داشته باشد که شما از وجود آنها آگاه نبودید.
عاقلانه است که از ابزارهایی استفاده کنید که میتوانند آسیبپذیریها را پیدا کنند و آنها را برای شما برطرف کنند.
افزونه WPScan، آسیبپذیریهای شناختهشده در فایلهای هسته وردپرس، افزونهها و تمها را اسکن میکند.
این افزونه همچنین در صورت یافتن آسیبپذیریهای امنیتی جدید از طریق ایمیل، به شما اطلاع میدهد.
امنیت سمت سرور خود را تقویت کنید
در حال حاضر شما تمام اقدامات فوق را برای محافظت از وب سایت خود انجام دادهاید.
با این حال ممکن است همچنان بخواهید بدانید که آیا کارهای بیشتری وجود دارد که میتوانید انجام دهید تا آن را تا حد امکان ایمن کنید.
سایر اقداماتی که میتوانید برای تقویت امنیت خود انجام دهید باید در سمت سرور وب سایت شما انجام شود.
به دنبال یک شرکت میزبانی باشید که این کار را انجام میدهد
هنگامی که به دنبال یک شرکت میزبانی هستید، میخواهید شرکتی را پیدا کنید که سریع، قابل اعتماد، ایمن باشد و با خدمات مشتری در حد اعلا از شما پشتیبانی کند.
این به آن معنا است که آنها باید منابع خوب و قدرتمندی داشته باشند، حداقل 99.5٪ زمان آنلاین باشند و از تاکتیکهای امنیتی در سطح سرور استفاده کنند.
اگر میزبانی نتواند این کارهای اصلی را انجام دهد، ارزش وقت یا پول شما را ندارند.
یکی از بهترین کارهایی که میتوانید برای محافظت از سایت خود انجام دهید این است که شرکت میزبانی مناسب را برای میزبانی وب سایت وردپرس خود انتخاب کنید.
از آخرین نسخه PHP استفاده کنید
مانند نسخههای قدیمی وردپرس، نسخههای قدیمی PHP هم دیگر برای استفاده امن نیستند.
اگر از آخرین نسخه PHP استفاده نمیکنید، نسخه PHP خود را ارتقا دهید تا از خود در برابر حمله محافظت کنید.
میزبانی روی سرور کاملاً مستقل
سرورهایی دارای سرویس ابری خصوصی، مزایای زیادی دارند.
یکی از این مزایا این است که امنیت شما را بالا میبرد.
همه محیطهای ابری به ترکیبی قوی از آنتیویروس و محافظت از فایروال نیاز دارند، اما یک سرویس ابری خصوصی روی سختافزارهای فیزیکی خاصی اجرا میشود و امنیت فیزیکی آن را افزایش میدهد.
علاوه بر امنیت، یک سرور کاملاً ایزوله دارای مزایای دیگری مانند زمان آنلاین بودن بسیار بالا و ادغام آسان سرویسهای میزبانی است.
از فایروال برنامه وب استفاده کنید
یکی از آخرین کارهایی که میتوانید برای افزودن اقدامات امنیتی بیشتر به وب سایت وردپرس خود انجام دهید، استفاده از Web Application Firewall (WAF) است.
WAFها معمولاً یک سیستم امنیتی ابری است که لایه دیگری از محافظت را در اطراف سایت شما ایجاد میکند.
آن را همچون دروازهای برای سایت خود در نظر بگیرید.
WAF همه تلاشهای هک را مسدود میکند و انواع دیگر ترافیک مخرب را مانند حملات مخرب از خدمات توزیع شده (DDoS) یا ارسالکنندگان هرزنامه را فیلتر میکند.
WAFها معمولاً به هزینه اشتراک ماهانه نیاز دارند، اما اگر برای امنیت وب سایت وردپرس خود حق بیمه قرار دهید، استفاده از آن ارزش هزینه را دارد.
مطمئن شوید که وب سایت و کسب و کار شما بیخطر و امن است.
اگر وب سایت شما ایمن نیست، ممکن است خود را در معرض دنیایی از آسیب قرار دهید.
خوشبختانه تا زمانی که شما دارای ابزارها و برنامه میزبانی مناسب، متناسب با نیازهای خود هستید، ایمنسازی یک سایت وردپرس به دانش فنی زیادی احتیاج نخواهد داشت.
به جای منتظر ماندن برای پاسخ به تهدیدات پس از وقوع آنها، باید فعالانه وب سایت خود را برای جلوگیری از مشکلات امنیتی ایمن کنید.
به این ترتیب اگر کسی وب سایت شما را هدف قرار دهد، شما آمادگی دارید که خطر را کاهش دهید و به جای تلاش برای یافتن یک نسخه پشتیبان جدید، طبق معمول به تجارت خود ادامه دهید.
منبع: