چطوری میشه

چگونه وب سایت وردپرس خود را ایمن نکنیم

تصویر mohammadreza hefzi mohammadreza hefzi ارسال ایمیل 2 روز پیش
0 1 خواندن این مطلب 7 دقیقه زمان میبرد
چگونه وب سایت وردپرس خود را ایمن نکنیم
#image_title

چگونه وب سایت وردپرس خود را ایمن نکنیم

اولین کاری که می خواهید سایت وردپرس خود را ایمن کنید چیست؟ پنج افزونه امنیتی برتر را بیابید، در نظر بگیرید که چقدر مقرون به صرفه هستند و سپس ادامه دهید و یکی را نصب کنید. تمام شد، حالا می توانید بنشینید و استراحت کنید، درست است؟ اشتباه است!

استفاده از افزونه امنیتی امنیت را تضمین نمی کند. امنیت یک چیز مطلق نیست و هیچکس نمی تواند امنیت کامل را تضمین کند. بهترین کاری که می توانیم انجام دهیم کاهش خطر هک است. و برخلاف تصور عمومی، صاحب سایت باید در حفظ امنیت وب سایت مشارکت داشته باشد. دانستن اینکه چه کاری باید انجام دهید و چه کاری نباید انجام دهید بسیار مهم است.

در حالی که چندین راهنما برای آنچه که باید انجام دهید تا سایت وردپرس خود را ایمن نگه دارید وجود دارد، ما به شما راهنمایی می کنیم که در عوض از چه کارهایی باید اجتناب کنید. توجه داشته باشید که توصیه های اینجا با باور عمومی در تضاد است. اما با توجه به تجربه ما، بسیاری از توصیه‌ها قدیمی هستند و احساس امنیت نادرستی را ارائه می‌دهند.

اگر موضوع امنیت WordPress شما را آزار دهد به همان اندازه که برای ما انجام می دهد، به موارد زیر نگاهی بیندازید.

1. از افزونه های امنیتی زیاد استفاده نکنید

با توجه به گستره وسیعی از افزونه های موجود، با مجموعه ویژگی های مختلف، استفاده از بیش از یک افزونه امنیتی وردپرس وسوسه انگیز است. صادقانه بگویم، این کار بیش از حد است. نگرانی در مورد امنیت سایت طبیعی است، اما باید از خود بپرسید که آیا واقعاً به بیش از یک افزونه امنیتی نیاز دارید؟ ویژگی های ضروری برای نیاز سایت شما چیست؟ آیا قرار است ویژگی ها روی انگشتان یکدیگر قرار بگیرند؟

به عنوان مثال، زمانی که افزونه ها شروع به تغییر فایل هایی مانند wp-config.php یا htaccess می کنند، ممکن است درگیری ایجاد شود. پلاگین ها به راحتی می توانند با این فایل ها کمانچه بسازند اما آنها را به یک روش واحد تغییر نمی دهند. این می تواند تضاد ایجاد کند و وب سایت شما را کند کند.

در سایت‌های وردپرسی، همه چیز ممکن است هرازگاهی پیش برود. همه از صفحه نمایش سفید مرگ متنفرند. داشتن چندین افزونه که عمیقاً وب سایت شما را تحت تأثیر قرار می دهد می تواند مشکلات اشکال زدایی را دشوار کند.  اکنون، اگر فقط یک افزونه وجود داشت، پیدا کردن و رفع علت خطا آسان‌تر و پیچیده‌تر بود.

2. پیشوند DB را تغییر ندهید

راه های مختلفی وجود دارد که از طریق آنها می توان یک سایت وردپرس را در معرض خطر قرار داد. هکر ممکن است از طریق حمله تزریق SQL به پایگاه داده سایت دسترسی پیدا کند. یک آسیب پذیری در یک افزونه یا طرح زمینه می تواند برای نفوذ به پایگاه داده سایت مورد استفاده قرار گیرد (به همین دلیل است که ما به شما پیشنهاد می کنیم در عوض از یک افزونه پشتیبان گیری پایگاه داده وردپرس برای جلوگیری از دام مشابه). یکی از روش های محبوب برای جلوگیری از نفوذ هکرها به سایت شما، تغییر پیشوند جدول پیش فرض است. همانطور که در تصویر زیر می بینید، در وردپرس، پیشوند جدول پیش فرض «wp_» است. وردپرس به شما امکان می دهد پیشوند جدول را تغییر دهید (به عنوان مثال، «xzy_») تا جداول خاصی را پنهان کنید.

WordPress Database Prefixes

در ظاهر، این ایده خوبی به نظر می رسد. اگر هکرها نام جدول را ندانند، نمی توانند داده ها را از آن بازیابی کنند. با این حال، این یک استدلال نادرست است. هنگامی که شخصی به پایگاه داده شما هک می کند، هنوز راه هایی برای پیدا کردن جداول وجود دارد. بنابراین تغییر نام پیشوند فایده ای ندارد. علاوه بر این، تغییر پیشوند پیش‌فرض می‌تواند باعث عملکرد نادرست چندین افزونه شود.

علاوه بر این، تغییر پیشوند پایگاه داده midflight دشوار است و می تواند باعث از کار افتادن وب سایت شما شود. این به این دلیل است که تغییرات زیادی در هر سطحی باید ایجاد شود. هر گونه خطایی در این فرآیند برای سایت شما فاجعه بار خواهد بود.

3. از پنهان کردن صفحه ورود خودداری کنید

همیشه شخصی وجود دارد که سعی می کند با شکستن رمز عبور شما به سایت شما نفوذ کند. در طول حملات brute force، هکرها سعی می کنند با استفاده از ترکیبی از نام های کاربری و رمزهای عبور محبوب وارد وب سایت شما شوند. پس اگر صفحه ورود را مخفی کنیم چه؟ که با یک سنگ دو پرنده را می کشد، درست است؟ هکر نمی تواند صفحه ورود به سیستم را پیدا کند و بار روی سرور شما کاهش می یابد.

WordPress یک صفحه ورود به سیستم پیش فرض دارد. URL صفحه معمولاً شبیه این example.com/wp-login.php است. یکی از راه های شناخته شده برای نجات وب سایت خود از حمله brute force مخفی کردن یا تغییر صفحه ورود به سیستم پیش فرض به چیز دیگری مانند example.com/mylogin.php است. اگرچه این یک طرح بی‌خطر به نظر می‌رسد، بیایید دریابیم که این روش چقدر در ایمن نگه داشتن سایت وردپرس شما مؤثر است.

کاهش بار سرور

بعد از اینکه مکان صفحه ورود خود را مخفی یا تغییر دادید، هر بار که شخصی سعی می کند آن را باز کند، با خطای 404 مواجه می شود. با این حال، تلاش برای ورود به سیستم یک فرآیند سنگین است. هر زمان که صفحه خطای 404 بارگیری می شود، بسیاری از منابع سرور شما را می خورد. و در نهایت باعث کاهش سرعت وب سایت شما می شود. بنابراین، این باور رایج مبنی بر اینکه پنهان کردن صفحه ورود به سیستم شما بار روی سرور را کاهش می دهد، نادرست است.

نشانی اینترنتی جایگزین که حدس زدن آن سخت نیست

بخشی از موفقیت وردپرس به عنوان یک CMS به دلیل پلاگین هایی است که تغییرات در یک وب سایت را آسان تر می کنند. جای تعجب نیست که یک راه محبوب برای پنهان کردن صفحه ورود به سایت استفاده از یک افزونه است. این افزونه‌ها با مجموعه‌ای از URLهای ورودی جایگزین پیش‌فرض مانند xzy.com/wplogin.php و غیره ارائه می‌شوند. ما آموزش دیده‌ایم که فقط تنظیمات پیش‌فرض را انجام دهیم. وقتی افزونه را نصب می کنیم و URL خود را تغییر می دهیم، زیاد به آن فکر نمی کنیم. اما فقط تعداد زیادی URL وجود دارد که یک افزونه می تواند ارائه دهد. پیدا کردن این URL از پیش تعیین شده ورود به سیستم خیلی سخت نیست. بنابراین، استفاده از URL جایگزین ممکن است در بیشتر موارد بی اثر باشد.

مشکلات قابلیت استفاده

زیبایی وردپرس این است که استفاده از آن آسان است. این یک پلت فرم آشنا است. برای سایتی با تعداد زیادی کاربر، تغییر یا پنهان کردن صفحه ورود می تواند مشکلات خاصی را ایجاد کند. چندین بار با پست هایی در انجمن های وردپرس مواجه شده ایم که در آن کاربران به دلیل تغییر در URL ورود به سایت، دسترسی به سایت را قفل می کنند. در بیشتر موارد تغییرات با استفاده از یک افزونه انجام شده است و کاربران از وضعیتی که باعث هرج و مرج می شود آگاه نشده اند.

4. آدرس های IP را به صورت دستی مسدود نکنید

اگر یک افزونه امنیتی در سایت خود نصب کرده اید، هر زمان که شخصی بخواهد وارد وب سایت شما شود به شما اطلاع داده می شود. شما به راحتی می توانید IP ارسال این درخواست های مخرب را در دست بگیرید و آنها را با استفاده از فایل .htaccess مسدود کنید. این یک کار فشرده دستی است و تمرین چندان مناسبی نیست.

کاربر پسند نیست

یک فرد غیر فنی که سعی می کند فایل های .htaccess را تغییر دهد، دستوری برای فاجعه است. یک سیستم مدیریت محتوا مانند وردپرس قالب بندی بسیار دقیقی دارد. حتی استفاده از محبوب ترین ابزارها مانند FTP/SFTP بسیار خطرناک است. یک خطای جزئی یا قرار دادن دستور نادرست می تواند باعث خرابی سایت شود.

بیش از حد IP برای مسدود کردن

برای جلوگیری از قرار گرفتن در لیست سیاه، هکرها از آدرس های IP از سراسر جهان استفاده می کنند. قبلاً در مورد مسدود کردن دستی آدرس‌های IP که دائماً سعی در نفوذ به سایت شما دارند صحبت کردیم. کار (همانطور که قبلاً ذکر کردیم) به زمان و تلاش زیادی نیاز دارد اما دقیقاً استفاده کارآمدی از زمان نیست. اما اگر از یکی از افزونه های امنیتی برتر وردپرس استفاده می کنید، برای مثال، Malcare ، می توانید فرآیند مسدودسازی را خودکار کنید. چنین پلاگین های امنیتی از همه حفره های امنیتی WP مراقبت می کنند.

5. پنهان کردن وردپرس

یک فرض کلی وجود دارد که پنهان کردن CMS شما، نفوذ به سایت شما را برای افرادی که قصد شرور دارند دشوارتر می کند. اگر می‌توانستیم این واقعیت را که وب‌سایت شما روی وردپرس اجرا می‌شود پنهان کنیم، چه می‌شد. این امر از سایت شما در برابر هکرهایی که می خواهند از آسیب پذیری های رایج سوء استفاده کنند محافظت می کند. یک راه آسان برای انجام این کار با استفاده از یک افزونه است (شما حدس زدید). اما این روش زمانی شکست می خورد که هکرها اهمیتی نمی دهند که وب سایت شما روی چه پلتفرمی اجرا می شود. علاوه بر این، راه‌های زیادی برای پیدا کردن اینکه آیا سایتی در حال اجرا است وجود دارد وردپرس.

علاوه بر استفاده از یک افزونه، می‌توانید کار را به صورت دستی انجام دهید. اما این یک فرآیند زمان بر است. یک به روز رسانی وردپرس می تواند تمام کارهای شما را در عرض چند ثانیه خنثی کند. به این معنی که یا باید این فرآیند را بارها و بارها تکرار کنید یا از به‌روزرسانی‌های WP اجتناب کنید. نادیده گرفتن به‌روزرسانی‌های وردپرس مانند باز کردن درب ورودی برای یک هکر است که مستقیماً وارد خانه شما شود.

6. حفاظت از رمز عبور wp-admin کار نمی کند

صفحه ورود به سیستم پیش فرض وردپرس (که به نظر می رسد – example.com/wp-admin) دروازه ای به سایت شما است. یک صفحه ورود به سیستم معمولی مانند تصویر زیر است.

da86daafd988d986d987 d988d8a8 d8b3d8a7db8cd8aa d988d8b1d8afd9bed8b1d8b3 d8aed988d8af d8b1d8a7 d8a7db8cd985d986 d986daa9d986db8cd985 6699b6ca4e494

در اینجا باید از اعتبار خود برای دسترسی به داشبورد وردپرس استفاده کنید. محافظت از صفحه ورود با رمز عبور به مخفی کردن یا محافظت از این دروازه به داشبورد کمک می کند. این ایده خوبی است اما بدون خلاء نیست.

در ابتدا، اگر رمز عبور را گم کنید، حفظ یا حتی تغییر آن دشوار است. علاوه بر ناکارآمدی در ارائه امنیت بیشتر، چنین تغییراتی در سایت شما می تواند بسیار خطرناک باشد. به عنوان مثال، هنگامی که از صفحه مدیریت با رمز عبور محافظت می کنید، درخواست هایی مانند /wp-admin/admin-ajax.php نمی تواند از حفاظت عبور کند. افزونه هایی وجود دارند که می توانند به عملکرد Ajax سایت شما وابسته باشند. و هنگامی که آنها قادر به دسترسی به این قابلیت نیستند، شروع به رفتار نادرست می کنند. بنابراین، این می تواند باعث خرابی وب سایت شود.

به شما

اگر سؤال یا پیشنهادی در رابطه با مواردی که باید برای ایمن سازی سایت وردپرس خود اجتناب کنید دارید، در نظرات با ما در میان بگذارید.

برچسب ها
تصویر mohammadreza hefzi mohammadreza hefzi ارسال ایمیل 2 روز پیش
0 1 خواندن این مطلب 7 دقیقه زمان میبرد
تصویر mohammadreza hefzi

mohammadreza hefzi

نوشته های مشابه

چگونه تم های وردپرس خود را بومی سازی و ترجمه کنیم

چگونه تم های وردپرس خود را بومی سازی و ترجمه کنیم

2 روز پیش
قالب‌های پست را از حلقه سفارشی وردپرس حذف کنید

قالب‌های پست را از حلقه سفارشی وردپرس حذف کنید

2 روز پیش
نمایش محتوای صفحه وردپرس و عنوان بر اساس شناسه با Get_Post

نمایش محتوای صفحه وردپرس و عنوان بر اساس شناسه با Get_Post

2 روز پیش
پس زمینه سفارشی در وردپرس کار نمی کند

پس زمینه سفارشی در وردپرس کار نمی کند

2 روز پیش
نظر خود را ارسال کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا