آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )Reviewed by امیرمحمد غیور on Mar 18Rating: 5.0آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )-امنیت سایت - امنیت وردپرس - سایت وردپرسی - افزایش امنیت - آموزش امنیت وب سایت - امنیت سایت وردپرس در سال 2018 - سایت وردپرس در سال 2018

برای مشاهده بخش اول این مقاله اینجا کلیک کنید

فایروال وب برنامه را فعال کنید (WAF)

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

ساده ترین راه محافظت از وب سایت شما و اطمینان از امنیت وردپرس شما با استفاده از فایروال وب برنامه (WAF) است.

فایروال قبل از اینکه حتی به وب سایت شما برسد، تمام ترافیک مخرب را متوقف می کند.

ما Sucuri را به عنوان بهترین فایروال وب برنامه برای وردپرس استفاده می کنیم و توصیه می کنیم.

بهترین بخش در مورد فایروال Sucuri این است که آن را نیز با ترویج حذف تروجان و حذف لیست سیاه.

اساسا اگر شما زیر ساعت خود هک می کنید، آنها تضمین می کنند که وبسایت شما را تعمیر می کنند (مهم نیست چند صفحه ای وجود دارد).

این یک ضمانت بسیار ضعیف است زیرا تعمیر وب سایت های هک شده گران است.

کارشناسان امنیتی معمولا ۲۵۰ دلار در ساعت هزینه می کنند.

در حالی که شما می توانید تمام پشته امنیتی Sucuri را برای ۱۹۹ دلار در سال دریافت کنید.

بهبود وردپرس خود را با فایروال Sucuri 

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

Sucuri تنها ارائه دهنده فایروال نیست. رقیب محبوب دیگر Cloudflare است. مقایسه ما با Sucuri vs. Cloudflare (مزایا و معایب) را ببینید.

وردپرس امنیت برای کاربران DIY اگر همه چیزهایی را که تا کنون ذکر کرده ایم، انجام دهید، پس شما در شکل بسیار خوبی هستید.

اما همانطور که همیشه، بیشتر می توانید امنیت وردپرس خود را سخت تر کنید.

برخی از این مراحل ممکن است نیاز به دانش برنامه نویسی داشته باشد.

نام کاربری پیش فرض “admin” را تغییر دهید

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

 

در روزهای گذشته مدیر نام کاربری مدیریت پیش فرض وردپرس “admin” بود.

از آنجا که نام کاربری نیمی از اعتبار ورود را تشکیل می دهد، این امر هکرها را ترغیب به حملات خشونت آمیز می کند.

خوشبختانه وردپرس از آن زمان به بعد تغییر کرده است و در حال حاضر نیاز به انتخاب یک نام کاربری سفارشی در هنگام نصب وردپرس دارد.

با این حال، برخی از نصب کنندگان وردپرس با یک کلیک، هنوز نام کاربری admin admin را به عنوان “admin” تنظیم می کنند.

اگر متوجه شدید که این مورد است، احتمالا ایده خوبی است که میزبانی وب خود را تغییر دهید.

از آنجا که وردپرس به شما اجازه تغییر نام کاربری ها را به طور پیش فرض نمی دهد، سه روش برای تغییر نام کاربری وجود دارد.

یک نام کاربری جدید مدیریت ایجاد کنید و یکی از آنها را حذف کنید.از پلاگین تغییر نام کاربری استفاده کنید
بهروزرسانی نام کاربری از phpMyAdmin
ما تمام این سه مورد را در راهنمای دقیق ما در مورد نحوه درست تغییر نام کاربری وردپرس خود (گام به گام) را پوشش داده ایم.

توجه: ما در مورد نام کاربری به نام “admin” صحبت می کنیم، نه نقش مدیر.

غیر فعال کردن ویرایش فایل

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

وردپرس همراه با یک ویرایشگر کد ساخته شده است که به شما اجازه می دهد که تم و فایل های پلاگین خود را از قسمت مدیریت وردپرس خود ویرایش کنید.

در این حالت، این ویژگی می تواند خطر امنیتی باشد، چرا که ما توصیه می کنیم آن را خاموش کنید.

محدود کردن تلاش های ورود

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا زمانیکه می خواهند وارد شوند.

این سایت سایت وردپرسی شما را آسیب پذیر میکند به حملات خشونتآمیز.

هکرها سعی می کنند رمزهای عبور را با تلاش برای ورود با ترکیب های مختلف سعی کنند.

این می تواند به راحتی با محدود کردن تلاش ورودی ناموفق که کاربر می تواند انجام دهد.

اگر از فایروال وب برنامه استفاده می کنید که قبلا ذکر شد، این به طور خودکار مراقبت می کند.

با این حال، اگر شما تنظیم دیوار آتش را ندارید، با مراحل زیر ادامه دهید.

اول، شما باید پلاگین Login LockDown را نصب و فعال کنید. برای جزئیات بیشتر، مراحل گام به گام راهنمای نحوه نصب پلاگین وردپرس را ببینید.

پس از فعال سازی، از تنظیمات »ورود به صفحه LockDown برای راه اندازی پلاگین بازدید کنید.

برای دستورالعمل های دقیق، نگاهی به راهنمای ما در مورد چگونگی و چرا باید تلاش های ورود در وردپرس را محدود کنید.

تغییر پیشوند پایگاه داده وردپرس

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده می کند.

اگر سایت وردپرس شما از پیشوند دیتابیس پایگاه داده استفاده می کند، هکرها می توانند حدس بزنند که کدام نام جدول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید.

شما می توانید پیشوند پایگاه داده خود را با دنبال کردن گام به گام در مورد نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت، تغییر دهید.

نکته: این می تواند سایت شما را شکست دهد در صورتی که به درستی انجام نشود. اگر با مهارت های برنامه نویسی خود احساس راحتی کنید، ادامه دهید.

حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

به طور معمول، هکرها می توانند پوشه wp-admin خود و صفحه ورود را بدون محدودیت درخواست کنند.

این اجازه می دهد تا هکرها هشدار هک خود را انجام دهند و یا حملات DDoS را اجرا کنند.

شما می توانید حفاظت از رمز عبور اضافی را در یک طرف سرور اضافه کنید که به طور موثر این درخواست ها را مسدود می کند.

دستورالعمل های گام به گام ما در مورد چگونگی محافظت از دایرکتوری وردپرس admin (wp-admin) ما را دنبال کنید.

مرورگر دایرکتوری می تواند توسط هکرها مورد استفاده قرار گیرد تا فایلی را که دارای آسیب پذیری شناخته شده است شناسایی کند تا بتواند از این فایل ها برای دسترسی استفاده کند.

مرورگر دایرکتوری همچنین می تواند توسط افراد دیگر مورد استفاده قرار گیرد تا فایل های خود را بررسی کنند، تصاویر کپی کنند، ساختار دایرکتوری شما و سایر اطلاعات را پیدا کنند. به همین دلیل است که به شدت توصیه می شود که نمایه سازی و مرور صفحات را غیرفعال کنید.

شما باید با استفاده از FTP یا مدیر فایل cPanel به وب سایت خود وصل شوید.

بعد، فایل .htaccess را در دایرکتوری ریشه وب سایت خود قرار دهید.

اگر شما نمیتوانید آن را ببینید، به راهنمای ما در مورد دلیل اینکه شما نمیتوانید فایل .htaccess را در وردپرس ببینید.

پس از آن، شما باید در خط زیر در پایان فایل htaccess باید خط زیر را اضافه کنید:

گزینه های -Indexes

فراموش نکنید که فایل .htaccess را به سایت خود ذخیره و آپلود کنید.

غیر فعال کردن XML-RPC در وردپرس

XML-RPC به طور پیش فرض در وردپرس ۳٫۵ فعال شده است زیرا به شما کمک می کند که سایت وردپرس خود را با برنامه های وب و تلفن همراه متصل کنید.

با این حال به دلیل ماهیت قدرتمند آن، XML-RPC می تواند حملات بیرحمانه را به طور قابل توجهی تقویت کند.

به عنوان مثال، به طور سنتی اگر یک هکر بخواهد ۵۰۰ کلمه عبور متفاوت را در وب سایت خود امتحان کند، باید ۵۰۰ اقدام به ورود مجدد را انجام دهد که توسط افزونه ورود به سیستم قفل شده است.

اما با استفاده از XML-RPC، یک هکر می تواند از تابع system.multicall برای تست هزاران کلمه عبور با ۲۰ یا ۵۰ درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیر فعال کنید.

۳ راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در گام به گام با آموزش مرحله ای در مورد چگونگی غیر فعال کردن XML-RPC در وردپرس قرار داده ایم.

نکته: روش .htaccess بهترین است زیرا کمترین منابع فشرده است.

اگر شما از فایروال وب برنامه استفاده می کنید که قبلا ذکر شده است، می توانید از طریق فایروال مراقبت کنید.

 

به صورت خودکار از کاربران در وردپرس وارد شوید

گاهی اوقات از کاربرانی که وارد سیستم شده اند می توانند از صفحه نمایش دور بمانند و این امر یک خطر امنیتی است.

کسی می تواند جلسه خود را ربوده، گذرواژهها را تغییر دهد یا تغییرات را در حساب خود انجام دهد.

به همین دلیل است که بسیاری از بانک های بانکی و سایت های مالی به طور خودکار از کاربر غیر فعال خارج می شوند.

شما می توانید قابلیت های مشابه را در سایت وردپرسی خود نیز اجرا کنید.

شما نیاز به نصب و فعال کردن پلاگین خروج بیدار کاربر. پس از فعال شدن، از تنظیمات »صفحه ورود به سیستم غیر فعال بپرسید تا تنظیمات پلاگین را پیکربندی کنید.

به سادگی مدت زمان را تنظیم کرده و کادر کنار گزینه «غیرفعال کردن در wp admin» را برای امنیت بهتر کنار بگذارید.

فراموش نکنید که دکمه Save Change را کلیک کنید تا تنظیمات خود ذخیره شود.

برای دستورالعمل های دقیق تر، راهنمای ما را در مورد چگونگی به صورت خودکار از کاربران بی روح در وردپرس بیرون بکشید.

اضافه کردن یک سوال امنیتی به صفحه ورود به سیستم شما وردپرس باعث می شود حتی برای کسی که دسترسی غیر مجاز به آن سخت تر باشد.

شما می توانید سؤالات امنیتی را با نصب WP Security Questions plugin اضافه کنید. پس از فعال سازی، برای تنظیم پلاگین تنظیمات باید از صفحه تنظیمات «صفحه امنیت» دیدن کنید.

برای دستورالعمل های دقیق تر، آموزش ما در مورد چگونگی اضافه کردن سوالات امنیتی به صفحه ورود به وردپرس را ببینید.

رفع یک سایت وردپرس هک شده

بسیاری از کاربران وردپرس اهمیت پشتیبان گیری و امنیت وب سایت را تا زمانی که وبسایتشان هک شده است، درک نمی کنند.

تمیز کردن یک سایت وردپرس می تواند بسیار دشوار و وقت گیر باشد. اولین توصیه ما این است که یک حرفه ای بتواند از آن مراقبت کند.

هکرها نصب مجدد درب ها را در سایت های آسیب دیده نصب می کنند و اگر این بدافزار به درستی نصب نشده باشند، وب سایت شما احتمالا مجددا هک شده است.

اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای رفع وب سایت شما اطمینان حاصل خواهد کرد که سایت شما برای استفاده مجدد از امنیت استفاده می کند. همچنین شما را در برابر حملات آینده محافظت خواهد کرد.

برای کاربران ماجراجو و DIY، ما یک راهنمای گام به گام در جهت حل یک سایت وردپرس هک شده ایجاد کرده ایم.

همه اینها، ما امیدواریم که این مقاله به شما کمک کند بهترین شیوه های امنیتی وردپرس را بیاموزید و بهترین پلاگین های امنیتی وردپرس را برای وب سایت خود بیابید.

 

ترجمه شده  : آموزش امنیت وردپرس | گام به گام در سال ۲۰۱۸ (پارت دوم )

طراحی سایت در تبریزطراحی سایت شرکتی در تبریزطراحی ساایت فروشگاهی در تبریزشرکت طراحی سایت در تبریزسایت شرکتی در تبریزسایت فروشگاهی در تبریز

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.

فهرست