۲۵ پلاگین ضروری + نکات مهم در رابطه با بالابردن امنیت وردپرس
اگر شما یک وب سایت یا وبلاگ دارید که از قالب مدیریت محتوای وردپرس (WordPress) در آن استفاده می شود، حفظ و بالابردن امنیت آن باید از جمله نگرانی های اولیه شما به شمار رود. در اغلب موارد، وبلاگ های وردپرس در خطر هک شدن و دسترسی به اطلاعات مدیریتی قرار می گیرند، زیرا فایل های اصلی برنامه و / یا پلاگین های نصب شده روی آن منسوخ و غیر ایمن اند؛ فایل های منسوخ شده نیز قابل ردیابی توسط هکرها بوده و با استفاده از آن کاربر هکر را به نوعی دعوت به حمله به سایت یا وبلاگ خود نموده است.
اما چگونه وب گاه وردپرس خود را برای همیشه می توانیم به دور از کاربران با نیت بد نگهداری کنیم؟ برای کاربران مبتدی و متوسط، اطمینان حاصل کنید که همیشه نسخه وردپرس خود را با آخرین نسخه به روز رسانی کرده اید. اما نکات بیشتری نیز در همین زمینه وجود دارد. در مقاله امروز، من می خواهم با شما برخی پلاگین های مفید و همچنین برخی راهنمایی ها برای سخت تر کردن حصار امنیتی وردپرس به اشتراک بگذارم.
لیست کامل در ادامه!
پلاگین هایی برای امنیت بهتر
پلاگین پشتیبان گیری از وردپرس DB پلاگینی با قابلیت استفاده آسان است که اجازه می دهد تا فقط با چند کلیک ناقابل از هسته جداول پایگاه داده وردپرس خودد پشتیبان گیری نمایید. علاوه بر استفاده بسیار آسان، این افزونه یکی از معروف ترین و پر استفاده ترین پلاگین ها برای ایمن سازی وب سایت تحت وردپرس به شمار می آید.
با استفاده از این افزونه، اسکن سایت وردپرس شما کار ساده ای خواهد شد. این افزونه قادر به اسکن محتوا برای یافتن موارد آسیب پذیری در سایت شما و ارائه راهنمایی های مفید در مورد از بین بردن آنهاست.
این افزونه، قرار نیست وردپرس را کنترل کرده یا پایگاه داده را به هم بریزد، در عوض با بهره گیری از ویژگی های امنیتی سریع ، آزمایش شده و به اثبات رسیده درون خود لایه های چندگانه امنیتی را به وبلاگ یا وب سایت شما اضافه خواهد نمود.
پلاگین «ورود مخفی» آدرس های URL سفارشی ایجاد می کند که برای ورود به سیستم وردپرس، ثبت و خروج ایمن از وردپرس به کاربر یاری می رساند.
پلاگین «قفل ورود» به شما کمک خواهد کرد که ورود به پنل مدیریت سایت شما پس از یک تعداد معین تلاش ناموفق برای ورود به حساب مدیریتی به مدت زمان معینی که تعیین می کنید قفل شود.
این یکی دیگر از پلاگین های عالیست که به شما اجازه می دهد به مدیریت پایگاه داده WP خود بپردازید. این افزونه را می توان به عنوان جایگزین مدیریت پشتیبان گیری وردپرس (WordPress Backup Manager) مورد استفاده قرار داد.
یکی دیگر از پلاگین هایی که به امن نگه داشتن پنل مدیریت شما کمک می کند. افزونه به شیوه رمزنگاری SSL عمل می کند و واقعا در برابر هکرها و یا افرادی که در تلاش برای بدست آوردن دسترسی غیر مجاز به پنل شما هستند مفید می باشد. رقیبی برای پلاگین Chap Secure Login نیز هست.
اگر می خواهید از هک شدن سایت خود به روش brute-force (آزمون و خطا) جلوگیری کنید در آنصورت پلاگین «قفسه کاربر» برای شما مناسب است. این پلاگین به همان شیوه Login Lockdown کار می کند ، با این حال، یک پلاگین ورد پرس با امتیاز ۵ ستاره است که شهرت زیادی در میان کاربران خود دارد.
این پلاگین موسوم به «محدودیت تلاش های ناموفق برای ورود» آدرس اینترنتی تحت حفاظت خود را از تلاش های بیشتر هکر ها پس از یک تعداد مشخص شده توسط مدیر مسدود خواهد ساخت، که این امر حمله هکرها به شیوه brute-force را دشوار یا غیر ممکن می سازد.
«رمز گذار ورود» یک افزونه امنیتی می باشد که از یک ترکیب پیچیده از DES و RSA برای رمزگذاری و امن کردن فرآیند ورود به پنل مدیریتی استفاده می کند.
این پلاگین منحصر به فرد به شما کمک خواهد کرد که یک رمز عبور یک بار مصرف برای ورود خود را به حساب admin ایجاد کنید، به منظور جلوگیری از ورود ناخواسته کاربران هنگامی که در کافی نت ها یا مراکز عمومی قصد ورود به سیستم وردپرس خود را دارید.
آنتی ویروس پلاگین امنیتی بسیار محبوبیست که به شما کمک خواهد کرد که وب گاه خود را در برابر رباتها ، ویروس ها و مخرب افزارها (Malware) در حالت امن حفظ نمایید.
«رفتار بد» پلاگینی است که به شما کمک می کند تا با فرستندگان اسپم های مزاحم مبارزه کنید. این افزونه نه تنها به شما در جلوگیری از ارسال پیام های اسپم در وب گاه تان کمک می کند، بلکه سعی خواهد کرد دسترسی به وب گاه شما را برای چنین افزادی محدود کند، به طوری که آنها قادر به خواندن آن نخواهند بود.
این پلاگین به جستجو در فایل ها و فایل های نصبی پایگاه داده وردپرس برای یافتن نشانه هایی که ممکن است نشان دهد که فایل ها و یا پایگاه داده قربانی هکرهای مخرب شده اند می پردازد. حتی اگر آن را یکی دیگر از پلاگین های اسکن کننده و تکراری بشماریم، ارزش امتحان کردن دارد.
نام پلاگین کاربرد آن را مشخص می سازد، افزونه محبوبی که به شما کمک می کند از پیام های هرزنامه ناخواسته جلوگیری و آنها را حذف کنید.
این افزونه تلاش می کند از تمام درخواست های مخرب افزارها که در تلاش برای دسترسی به سرور وبلاگ وردپرس شما هستند جلوگیری به عمل آورد. پلاگین در پس زمینه کار می کند، و به دنبال درخواست هایی با رشته های بیش از حد طولانی است (به عنوان مثال ، بیشتر از ۲۵۵ کاراکتر) ، و همچنین حضور عبارت ” eval” (یا “base64”) در URI درخواستی.
۸ نکته ضروری
۱- پیشوندهای پیش فرض “_ wp” را تغییر دهید!
اگر از پیشوندهای قابل پیش بینی _ wp در پایگاه داده خود استفاده کنید وب سایت شما ممکن است به سادگی به خطر بیافتد. این آموزش به شما می آموزد که چگونه می توانید آنها را از طریق phpMyAdmin در ۵ مرحله ساده تغییر دهید:
شما همچنین می توانید این کار را با نصب پلاگین WP Security Scan به انجام رسانید.
۲- پیغام های خطای ورود را مخفی کنید!
پیام های خطا در ورود به سایت (که راهنمایی در خود دارند) ممکن است در معرض دید هکرها قرار گرفته و به انها ایده هایی در مورد که اینکه نام کاربری درست یا نادرست است و بالعکس بدهد. عاقلانه این است که این پیام های راهنمایی کننده را از دید کاربر غیر مجاز مخفی کنید.
جهت مخفی کردن پیغام های خطا ورود به سیستم ، کافیست کد زیر را در functions.php قرار دهید:
(سورس)
۳- دایرکتوری wp – admin را حفاظت شده نگه داری کنید!
حفظ کردن پوشه با عنوان wp – admin به صورت محافظت شده (protected) یک لایه اضافی از حفاظت به امنیت شما می افزاید. در این صورت هر کسی که در تلاش برای دسترسی به فایل ها و یا پوشه های دایرکتوری” wp – admin ” باشد به صفحه ورود هدایت خواهد شد.
حفاظت از فولدر wp-admin با نام کاربری و رمز عبور را می توان به راه های مختلفی انجام داد:
استفاده از پلاگین وردپرس: با استفاده از پلاگین ویژه ورد پرس در این زمینه با عنوان AskApache Password Protect
cPanel : اگر هاست شما از ورود به سیستم مدیریتی به فرم cPanel پشتیبانی می کند ، شما می توانید محافظت را بر روی هر پوشه ای از طریق رابط کاربر گرافیکی رمز عبور cPanel اعمال کنید. در این زمینه اطلاعات بیشتر را از اینجا می توانید کسب کنید.
.htaccess + htpasswd : ایجاد یک پوشه حفاظت شده با رمز عبور نیز می تواند به راحتی تنظیم پوشه هایی باشد که قصد محافظت از انها را دارید. .htaccess برای این منظوز کافیست تا کاربر مجاز قادر به دسترسی به داخل پوشه ها باشند.این آموزش به شما نشان می دهد که چگونه این کار را در ۷ مرحله انجام دهید.
۴- پشتیبان گیری را به صورت مداوم انجام دهید!
نگه داشتن نسخه پشتیبان از کل وبلاگ وردپرس شما به همان اندازه مهم است که ایمن نگه داشتن سایت از هکرها. اگر سناریوی دوم شکست بخورد، حداقل شما هنوز هم فایل های پشتیبان دست نخورده را برای بازیابی در اختیار خواهید داشت.
ما قبلا لیستی از راه حل های این منظور را در پشتیبان گرفتن از فایل ها و پایگاه داده وردپرس شما منتشر کرده ایم، که حاوی پلاگین های مفید و خدمات پشتیبان گیری می باشد. برای اطلاعات بیشتر در این خصوص به آن مقاله مراجعه کنید.
۵- از امکان بروزینگ در دایرکتوری ها جلوگیری به عمل آورید
یکی دیگر از اشتباهات بزرگ امنیتی آن است که بگذارید دایرکتوری های سیستم وردپرس شما(و تمام فایل های آن) در معرض و دسترس عموم قرار داشته باشد. در اینجا یک تست ساده برای بررسی اینکه آیا دایرکتوری وردپرس شما به خوبی حفاظت شده یا خیر خدمتان معرفی می کنیم:
آدرس URL روبرو را در مرورگر خود وارد کنید: http://www.domain.com/wp-includes/
اگر مرورگر صفحه خالی را نشان داد یا تغییر مسیر به صفحه خانه مروگر شما داد، شما در امن و امان هستند. با این حال ، اگر روی صفحه نمایش شبیه به تصویر زیر را مشاهده کردید، امنیت نخواهید داشت.
برای جلوگیری از دسترسی به تمامی دایرکتوری ها ، کد زیر را در داخل فایل .htaccess ورد پرس خود قرار دهید:
۶- فایلهای هسته ی وردپرس و پلاگین ها را مرتبا به روز رسانی کنید
یکی از مطمئن ترین روشها برای امن نگه داشتن سایت های تحت وردپرس، آن است که مطمئن شوید که فایل های شما همیشه با آخرین نسخه به روز رسانی شده اند. در اینجا چند راه (روش) که می توانید انجام دهید را می آوریم:
سعی کنید اغلب به داشبورد وارد شوید: اگر به روز رسانی در دسترس باشد یک کادر هشدار دهنده رنگ زرد در بالای داشبورد ظاهر می شود. پس سعی کنید اغلب داشبورد را چک کرده و خودتان آخرین نسخه از فایل های هسته وردپرس را به روز رسانی کنید.
پلاگین های بلا استفاده را غیر فعال یا حذف کنید: پلاگین های بلا استفاده در نهایت منسوخ شده و ممکن است یک خطر امنیتی را به وجود آورد. پس توصیه می کنیم اگر شما از پلاگین (هایی) استفاده نمی کنید ، آن (ها) را حذف کنید.
مشترک فید خبری WordPress Releases RSS شوید.
۷- یک رمز عبور قوی انتخاب کنید
آیا فکر می کنید رمز عبور خود را قوی و امن برگزیده اید؟ رمز عبور قوی و امن چیزی بیش از یک کلمه عبور به یاد ماندنی در ذهن به همراه اعداد است (به عنوان مثال ، john123). برای افراد مبتدی و متوسط عرض می کنیم که رمز عبور قوی باید بیش از ۱۲ کاراکتر با ترکیبی از اعداد و حروف کوچک و بزرگ تشکیل یافته باشد.
در اینجا برخی از برنامه های کاربردی که به شما اجازه می دهد برای رمز عبور قوی تولید کنید را یادآور می شویم:
به طریق دیگر و همچنین می توانید میزان امنیت رمز عبور فعلی خود را با مراجعه به سایت howsecureismypassword.net بررسی کنید.
۸- کاربر admin را حذف کنید
هنگام نصب معمول وردپرس یک نام کاربر پیش فرض به نام ” admin ” به وجود می آید. در صورتی که نام کاربری سایت وردپرس شما آن باشد، به سادگی ۵۰ ٪ راه هکر برای نفوذ به سایت خود را هموار کرده اید. پس باید در تمام اوقات از استفاده از نام کاربر ” admin ” اجتناب شود.
روش امن تر برای ورود به حساب مدیریتی خود، ایجاد یک حساب مدیریتی جدید و سپس حذف حساب کاربری admin است. و در اینجا به شما می گوئیم چگونه این کار را انجام دهید:
۱- به پانل مدیریتی (admin) وردپرس لاگ-این کنید.
۲- به بخش Users و سپس Add New بروید.
۳- یک کاربر جدید با اختیارات مدیر اضافه کرده ، اطمینان حاصل کنید که از یک رمز عبور قوی استفاده می کنید.
۴- از سیستم وردپرس خارج شوید (Log out) ، این بار با نام کاربری و رمز عبور جدید وارد شوید.
۵- دوباره به بخش Users بروید.
۶- حساب با نام کاربری admin را حذف کنید.
۷- اگر حساب admin پست هایی داشته باشد ، به یاد داشته باشید که همه پست ها و لینک ها را به کاربر جدید منتقل کنید پیش از حذف « ادمین».
مطالب مفید تکمیلی:
سخت کردن حفاظ امنیتی وردپرس (WordPress)
پرسش های متداول در خصوص امنیت در وردپرس (WordPress)
اگر سایت ما هک شد چه کنیم؟ (WordPress)
آشنایی با .htaccess و .htpasswd (Apache)
آشنایی با .htaccess و .htpasswd ((Javascriptkit.com
حفاظت از پوشه فایل wp – admin . (nicolaskuttler.com)
پاک سازی سایت تحت وردپرس هک شده(Blogsblogsblogs.com)
منبع:HONGKIAT
محمدرضا خیلی باحالی
دمت گرم
یاعلی
سلام
دستت درد نکنه
خیلی مفید بود
بسیار عالی و مفید بود – ممنون
با سلام و خسته نباشید خدمت آقا محمد.ساییتون خیلی خوبه.دمتون گرم.داشتم مطالب رو میخوندم که چشمم به اطلاعاتی که از خودتون گذاشتین افتاد که مالزی زندگی میکنید.راستش من برای یه شرکت که تو مالزی هستش و web-hosting ارائه میده کار میکنم.کاره خیلی خوبیه.پتانسیل در آمدیه خوبی هم داره.این سایته شرکت هستش میتونید برید ببینید.
https://www.megaholdings.org
اینم آدرسه فیس بوک هستش که اگه مایل بودید در موردش صحبت میکنیم.
نکات بسیار ضروری ای رو ذکر کردید.
بسیار ممنون
فوق العاده بود
خیلی چیز ها یاد گرفتم
ممنون
دمت گرم. خیلی بدرد خورد
جالب و آموزنده
مرسی
سلام داداش اگه ورژن جدید وردپرس بیاد بعدش سایتتو بروز کنی مطالب سایت پاک میشه افزونه ها چی اونا پاک میشن یا نه فقط به روز میشه مشکلیم پیش نمیاد