۲۵ پلاگین ضروری + نکات مهم در رابطه با بالابردن امنیت وردپرس

۲۵ پلاگین ضروری + نکات مهم در رابطه با بالابردن امنیت وردپرس
  • ۱۳۹۰/۰۷/۲۸
  • محمدرضا ارجمندی
  • 9

اگر شما یک وب سایت یا وبلاگ دارید که از قالب مدیریت محتوای وردپرس (WordPress) در آن استفاده می شود، حفظ و بالابردن امنیت آن باید از جمله نگرانی های اولیه شما  به شمار رود. در اغلب موارد، وبلاگ های وردپرس در خطر هک شدن و دسترسی به اطلاعات مدیریتی قرار می گیرند، زیرا فایل های اصلی برنامه و / یا پلاگین های نصب شده روی آن منسوخ و غیر ایمن اند؛  فایل های منسوخ شده نیز قابل ردیابی توسط هکرها بوده و با استفاده از آن کاربر هکر را به نوعی دعوت به حمله به سایت یا وبلاگ خود نموده است.

اما چگونه وب گاه وردپرس خود را برای همیشه می توانیم به دور از کاربران با نیت بد نگهداری کنیم؟ برای کاربران مبتدی و متوسط، اطمینان حاصل کنید که همیشه نسخه وردپرس خود را با آخرین نسخه به روز رسانی کرده اید. اما نکات بیشتری نیز در همین زمینه وجود دارد. در مقاله امروز، من می خواهم با شما برخی پلاگین های مفید و همچنین برخی راهنمایی ها برای سخت تر کردن حصار امنیتی وردپرس به اشتراک بگذارم.

لیست کامل در ادامه!

پلاگین هایی برای امنیت بهتر

WP DB Backup

پلاگین پشتیبان گیری از وردپرس DB پلاگینی با قابلیت استفاده آسان است که اجازه می دهد تا فقط با چند کلیک ناقابل از هسته جداول پایگاه داده وردپرس خودد پشتیبان گیری نمایید. علاوه بر استفاده بسیار آسان، این افزونه یکی از معروف ترین و پر استفاده ترین پلاگین ها برای ایمن سازی وب سایت تحت وردپرس به شمار می آید.

WP Security Scan

با استفاده از این افزونه، اسکن سایت وردپرس شما کار ساده ای خواهد شد. این افزونه قادر به اسکن محتوا برای یافتن موارد آسیب پذیری در سایت شما و ارائه راهنمایی های مفید در مورد از بین بردن آنهاست.

Ask Apache Password Protect

این افزونه، قرار نیست وردپرس را کنترل  کرده یا پایگاه داده را به هم بریزد، در عوض با بهره گیری از ویژگی های امنیتی سریع ، آزمایش شده و به اثبات رسیده درون خود لایه های چندگانه امنیتی را به وبلاگ یا وب سایت شما اضافه خواهد نمود.

Stealth Login

پلاگین «ورود مخفی» آدرس های URL سفارشی ایجاد می کند که برای ورود به سیستم وردپرس، ثبت و خروج ایمن از وردپرس به کاربر یاری می رساند.

Login Lockdown

پلاگین «قفل ورود» به شما کمک خواهد کرد که ورود به پنل مدیریت سایت شما پس از یک تعداد معین تلاش ناموفق برای ورود به حساب مدیریتی به مدت زمان معینی که تعیین می کنید قفل شود.

WP-DB Manager

این یکی دیگر از پلاگین های عالیست که به شما اجازه می دهد به مدیریت پایگاه داده WP خود بپردازید. این افزونه را می توان به عنوان جایگزین مدیریت پشتیبان گیری وردپرس (WordPress Backup Manager) مورد استفاده قرار داد.

Admin SSL Secure Plugin

یکی دیگر از پلاگین هایی که به امن نگه داشتن پنل مدیریت شما کمک می کند. افزونه به شیوه رمزنگاری SSL عمل می کند و واقعا در برابر هکرها و یا افرادی که در تلاش برای بدست آوردن دسترسی غیر مجاز به پنل شما هستند مفید می باشد. رقیبی برای پلاگین Chap Secure Login  نیز هست.

User Locker

اگر می خواهید از هک شدن سایت خود به روش brute-force  (آزمون و خطا) جلوگیری کنید در آنصورت پلاگین «قفسه کاربر» برای شما مناسب است. این پلاگین به همان شیوه Login Lockdown کار می کند ، با این حال، یک پلاگین  ورد پرس با امتیاز ۵ ستاره است که شهرت زیادی در میان کاربران خود دارد.

Limit Login Attempts

این پلاگین موسوم به «محدودیت تلاش های ناموفق برای ورود» آدرس اینترنتی تحت حفاظت خود را از تلاش های بیشتر هکر ها پس از یک تعداد مشخص شده توسط مدیر مسدود خواهد ساخت، که این امر حمله هکرها به شیوه brute-force را دشوار یا غیر ممکن می سازد.

Login Encryption

«رمز گذار ورود» یک افزونه امنیتی می باشد که از یک ترکیب پیچیده از DES و RSA برای رمزگذاری و امن کردن فرآیند ورود به پنل مدیریتی استفاده می کند.

One Time Password

این پلاگین منحصر به فرد به شما کمک خواهد کرد که یک رمز عبور یک بار مصرف برای ورود خود را به حساب admin ایجاد کنید، به منظور جلوگیری از ورود ناخواسته کاربران هنگامی که در کافی نت ها یا مراکز عمومی قصد ورود به سیستم وردپرس خود را دارید.

Antivirus

آنتی ویروس پلاگین امنیتی بسیار محبوبیست که به شما کمک خواهد کرد که وب گاه خود را در برابر رباتها ، ویروس ها و مخرب افزارها (Malware) در حالت امن حفظ نمایید.

Bad Behavior

«رفتار بد» پلاگینی است که به شما کمک می کند تا با فرستندگان اسپم های مزاحم مبارزه کنید. این افزونه نه تنها به شما در جلوگیری از ارسال پیام های اسپم در وب گاه تان کمک می کند، بلکه سعی خواهد کرد دسترسی به وب گاه شما را برای چنین افزادی محدود کند، به طوری که آنها قادر به خواندن آن نخواهند بود.

Exploit Scanner

این پلاگین به جستجو در فایل ها و فایل های نصبی پایگاه داده وردپرس برای یافتن نشانه هایی که ممکن است نشان دهد که فایل ها و یا پایگاه داده قربانی هکرهای مخرب شده اند می پردازد. حتی اگر آن را یکی دیگر از پلاگین های اسکن کننده و تکراری بشماریم، ارزش امتحان کردن دارد.

User Spam Remover

نام پلاگین کاربرد آن را مشخص می سازد، افزونه محبوبی که به شما کمک می کند از پیام های هرزنامه ناخواسته جلوگیری و آنها را حذف کنید.

Block Bad Queries

این افزونه تلاش می کند از تمام درخواست های مخرب افزارها  که در تلاش برای دسترسی به سرور وبلاگ وردپرس شما هستند جلوگیری به عمل آورد. پلاگین در پس زمینه کار می کند، و به دنبال درخواست هایی با رشته های بیش از حد طولانی است (به عنوان مثال ، بیشتر از ۲۵۵ کاراکتر) ، و همچنین حضور عبارت ” eval” (یا “base64”) در URI درخواستی.

۸ نکته ضروری

۱- پیشوندهای پیش فرض “_ wpرا تغییر دهید!

اگر از پیشوندهای قابل پیش بینی _  wp در پایگاه داده خود استفاده کنید وب سایت شما ممکن است به سادگی به خطر بیافتد. این آموزش به شما می آموزد که چگونه می توانید آنها را از طریق phpMyAdmin  در ۵ مرحله ساده تغییر دهید:

شما همچنین می توانید این کار را با نصب پلاگین WP Security Scan به انجام رسانید.

۲- پیغام های خطای ورود را مخفی کنید!

پیام های خطا در ورود به سایت (که راهنمایی در خود دارند) ممکن است در معرض دید هکرها قرار گرفته و به انها ایده هایی در مورد که اینکه نام کاربری درست یا نادرست است و بالعکس بدهد. عاقلانه این است که این پیام های راهنمایی کننده را از دید کاربر غیر مجاز مخفی کنید.

جهت مخفی کردن پیغام های خطا ورود به سیستم ، کافیست کد زیر را در functions.php قرار دهید:

(سورس)

۳- دایرکتوری wp – admin را حفاظت شده نگه داری کنید!

حفظ کردن  پوشه با عنوان wp – admin  به صورت محافظت شده (protected) یک لایه اضافی از حفاظت به امنیت شما می افزاید. در این صورت هر کسی که در تلاش برای دسترسی به فایل ها و یا پوشه های دایرکتوری” wp – admin  ” باشد به صفحه ورود هدایت خواهد شد.

حفاظت از فولدر  wp-admin  با نام کاربری و رمز عبور را می توان به راه های مختلفی انجام داد:

استفاده از پلاگین وردپرس: با استفاده از پلاگین ویژه ورد پرس در این زمینه با عنوان AskApache Password Protect

cPanel : اگر هاست شما از ورود به سیستم مدیریتی به فرم cPanel پشتیبانی می کند ، شما می توانید محافظت را بر روی هر پوشه ای از طریق رابط کاربر گرافیکی رمز عبور cPanel اعمال کنید. در این زمینه اطلاعات بیشتر را از اینجا می توانید کسب کنید.

.htaccess + htpasswd : ایجاد یک پوشه حفاظت شده با رمز عبور نیز می تواند به راحتی تنظیم پوشه هایی باشد که قصد محافظت  از انها را دارید. .htaccess برای این منظوز کافیست تا کاربر مجاز  قادر به دسترسی به داخل پوشه ها باشند.این  آموزش به شما نشان می دهد که چگونه این کار را در ۷ مرحله انجام دهید.

۴- پشتیبان گیری را به صورت مداوم انجام دهید!

نگه داشتن نسخه پشتیبان از کل وبلاگ وردپرس شما به همان اندازه مهم است که ایمن نگه داشتن سایت از هکرها. اگر سناریوی دوم شکست بخورد، حداقل شما هنوز هم فایل های پشتیبان دست نخورده را برای بازیابی در اختیار خواهید داشت.

ما قبلا لیستی از راه حل های این منظور را در پشتیبان گرفتن از فایل ها و پایگاه داده وردپرس شما منتشر کرده ایم، که حاوی پلاگین های مفید و خدمات پشتیبان گیری می باشد. برای اطلاعات بیشتر در این خصوص به آن مقاله مراجعه کنید.

۵- از امکان بروزینگ در دایرکتوری ها جلوگیری به عمل آورید

یکی دیگر از اشتباهات بزرگ امنیتی آن است که بگذارید دایرکتوری های سیستم وردپرس شما(و تمام فایل های آن) در معرض و دسترس عموم قرار داشته باشد. در اینجا یک تست ساده برای بررسی اینکه آیا دایرکتوری وردپرس شما به خوبی حفاظت شده یا خیر خدمتان معرفی می کنیم:

آدرس URL روبرو را در مرورگر  خود وارد کنید:   http://www.domain.com/wp-includes/

اگر مرورگر صفحه خالی را نشان داد یا تغییر مسیر به صفحه خانه مروگر شما داد، شما در امن و امان هستند. با این حال ، اگر روی صفحه نمایش شبیه به تصویر زیر را مشاهده کردید، امنیت نخواهید داشت.

برای جلوگیری از دسترسی به تمامی دایرکتوری ها ، کد زیر را در داخل فایل  .htaccess ورد پرس خود قرار دهید:

۶- فایلهای هسته ی وردپرس و پلاگین ها را مرتبا به روز رسانی کنید

یکی از مطمئن ترین روشها برای امن نگه داشتن سایت های تحت وردپرس، آن است که مطمئن شوید که فایل های شما همیشه با آخرین نسخه به روز رسانی شده اند. در اینجا چند راه (روش) که می توانید انجام دهید را می آوریم:

سعی کنید اغلب به داشبورد وارد شوید: اگر به روز رسانی در دسترس باشد یک کادر هشدار دهنده رنگ زرد در بالای داشبورد ظاهر می شود. پس سعی کنید اغلب داشبورد را چک کرده و خودتان آخرین نسخه از فایل های هسته وردپرس را به روز رسانی کنید.

پلاگین های بلا استفاده را  غیر فعال یا حذف  کنید: پلاگین های بلا استفاده  در نهایت منسوخ شده و ممکن است یک خطر امنیتی را به وجود آورد. پس توصیه می کنیم اگر شما از پلاگین (هایی) استفاده نمی کنید ، آن (ها) را حذف کنید.

مشترک فید خبری WordPress Releases RSS شوید.

۷- یک رمز عبور قوی انتخاب کنید

آیا فکر می کنید رمز عبور خود را قوی و امن برگزیده اید؟ رمز عبور قوی و امن چیزی بیش از  یک کلمه عبور به یاد ماندنی در ذهن  به همراه اعداد است (به عنوان مثال ، john123). برای افراد مبتدی و متوسط عرض می کنیم که رمز عبور قوی باید بیش از ۱۲ کاراکتر با ترکیبی از اعداد و حروف کوچک  و بزرگ تشکیل یافته باشد.

در اینجا برخی از برنامه های کاربردی که به شما اجازه می دهد برای رمز عبور قوی تولید کنید را یادآور می شویم:

GoodPassword

Multicians

KeePass

LastPass

PcTools

1Password

به طریق دیگر و همچنین می توانید  میزان امنیت رمز عبور فعلی خود را با مراجعه به سایت howsecureismypassword.net بررسی کنید.

۸- کاربر admin را حذف کنید

هنگام نصب معمول وردپرس یک نام کاربر پیش فرض به نام ” admin ” به وجود می آید. در صورتی که نام کاربری سایت وردپرس شما آن باشد، به سادگی  ۵۰ ٪ راه هکر برای نفوذ به سایت خود را هموار کرده اید. پس باید در تمام اوقات از استفاده از نام کاربر ” admin ” اجتناب شود.

روش امن تر برای ورود به  حساب مدیریتی خود، ایجاد یک حساب مدیریتی جدید و سپس حذف حساب کاربری  admin است. و در اینجا به شما  می گوئیم چگونه این کار را انجام دهید:

۱- به پانل مدیریتی (admin) وردپرس لاگ-این کنید.

۲- به بخش Users  و سپس  Add New بروید.

۳- یک کاربر جدید با اختیارات مدیر اضافه کرده ، اطمینان حاصل کنید که از یک رمز عبور قوی استفاده می کنید.

۴- از سیستم وردپرس  خارج شوید (Log out) ، این بار با نام کاربری و رمز عبور جدید وارد شوید.

۵-  دوباره به بخش Users بروید.

۶- حساب با نام  کاربری admin را حذف کنید.

۷- اگر  حساب admin پست هایی داشته باشد ، به یاد داشته باشید که همه پست ها و لینک ها را به کاربر جدید منتقل کنید پیش از حذف « ادمین».

مطالب مفید تکمیلی:

سخت کردن حفاظ امنیتی وردپرس (WordPress)

پرسش های متداول در خصوص امنیت در وردپرس (WordPress)

اگر سایت ما هک شد چه کنیم؟ (WordPress)

آشنایی با .htaccess و .htpasswd (Apache)

آشنایی با .htaccess و .htpasswd ((Javascriptkit.com

حفاظت از پوشه فایل wp – admin . (nicolaskuttler.com)

پاک سازی سایت تحت وردپرس هک شده(Blogsblogsblogs.com)

منبع:HONGKIAT

دیدگاه خود را وارد کنید
تعداد دیدگاه ها : 9 دیدگاه
  1. با سلام و خسته نباشید خدمت آقا محمد.ساییتون خیلی خوبه.دمتون گرم.داشتم مطالب رو میخوندم که چشمم به اطلاعاتی که از خودتون گذاشتین افتاد که مالزی زندگی میکنید.راستش من برای یه شرکت که تو مالزی هستش و web-hosting ارائه میده کار میکنم.کاره خیلی خوبیه.پتانسیل در آمدیه خوبی هم داره.این سایته شرکت هستش میتونید برید ببینید.
    https://www.megaholdings.org
    اینم آدرسه فیس بوک هستش که اگه مایل بودید در موردش صحبت میکنیم.

  2. سلام داداش اگه ورژن جدید وردپرس بیاد بعدش سایتتو بروز کنی مطالب سایت پاک میشه افزونه ها چی اونا پاک میشن یا نه فقط به روز میشه مشکلیم پیش نمیاد

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *