اموزش جلوگیری از حملات امنیتی به وردپرس

 آموزش جلوگیری از حملات امنیتی به وردپرس

از موارد الزامی و مهمی که برای راه اندازی هر سایت وردپرسی میبایست انجام گردد جلوگیری از حملات امنیتی به وردپرس است یکی از مخرب ترین آنها اسپم ها هستند که ترافیک را مصرف کرده و باعث پر شدن حجم سرور ها میشوند.

 

روش های جلوگیری حملات امنیتی به وردپرس : 

 

فعالسازی کد امنیتی Captcha در وردپرس

استفاده از کدهای امنیتی در وبسایت ها همیشه توصیه می شود. زیرا اگر از آن ها استفاده نکنید گرفتار اسپمرهایی می شوید که به مرور زمان شما را کلافه کرده و وبسایت شما را تخریب می کند. سیستم مدیریت محتوای وردپرس در بخشهای مختلفی دارای فرم هایی مانند فرم ورود ، فرم ثبت نام ، ارسال نظرات و ... میباشد  نبود تصویر امنیتی کپچا ، بدون شک باعث ایجاد مشکلات امنیتی برای وب سایت شما خواهد شد.

برای فعال سازی کد کپچا دو روش وجود دارد که روش اول استفاده از سایت گوگل و استفاده از کپچای گوگل هست.

آموزش فعالسازی کد امنیتی Captcha در وردپرس از طریق گوگل

آموزش فعالسازی کد امنیتی Captcha در جوملا

آموزش فعال سازی کد Captcha در کامپوننت K2

 

روش دوم فعال سازی از طریق افزونه No CAPTCHA reCAPTCHA

دانلود افزونه No CAPTCHA reCAPTCHA

پس از نصب و فعال سازی این افزونه‚ گزینه این با این نام “No CAPTCHA reCAPTCHA” به قسمت تنظیمات پیشخوان وردپرس شما اضافه میشود. که با کلیک بر روی آن با تصویری مشابه تصویر زیر روبرو میشوید.

افزونه فعال کردن کپچا

 

حالا برای دریافت کد های API روی کلمه “Here” کلیک کنید تا به صفحه Google reCaptcha هدایت شوید. در این قسمت برای هرکدام از گزینه های روبرو از دستورهای زیر استفاده کنید:

Label: در این بخش برای کپچا خود یک نام بنویسید.
reCAPCHA Types: نوع کپچا را مشخص میکند که شامل دو بخش است:
reCaptcha v3: با فعال کردن این گزینه‚ حالت ریکپچا از کل سایت شما محافظت خواهد کرد و با نمره دهی به کاربران افراد واقعی را از ربات تشخیص میدهد.
reCaptcha v2: اما برای فعال کردن ریکپچا تنها برای بخش های مشخصی از سایت خود‚ این گزینه را باید انتخاب کنید.
Domains: در این قسمت نام دامنه های خود که مایل به استفاده از کپچا در آن هستید را وارد کنید. با کلیک بر روی + دامنه شما اضافه میشود.
دقت کنید که در هر خط فقط یک دامنه را میتوانید بنویسید.
Accept the reCAPTCHA terms of Service: با فعال کردن این گزینه قوانین مربوطبه کپچا را بپذیرید.
SUMIT: در انتها روی این گزینه کلیک کنید تا کد های ساخته شده برای شما نمایش داده شود.

 افزونه کد کپچا

کدهارا کپی کنید و در قسمت مربوطه در صفحه افزونه reCaptcha  وارد کنید سپس برای اعمال تغییرات “Save All Changes” را کلیک کنید.

افزونه فعال سازی کد کپچا

در این بخش میتوانید کپچا را برای گزینه های تعریف شده فعال یا غیرفعال کنید که شامل:
Login Form: برای صفحه ورودی وردپرس
Registration Form: برای صفحه های ثبت نام و عضویت
Comment Form: برای فرم نظرات
در انتها با کلیک بر روی “Save All Changes” تغییرات را اعمال کنید.

افزونه کد کپچا در وردپرس

 

 حملات XMLRPC در وردپرس :

مشکل از جایی شروع میشود که فایل xmlrpc.php در وردپرس با ارسال درخواست از طریق post مورد حمله ی دیداس (DDOS – Denial of Service Attak ) قرار میگیرد.در فایل XML-RPC حفره امنیتی موجود نیست اما بسیاری از هکرها با استفاده از این فایل حملات بسیاری روی سایت های وردپرسی ایجاد میکنند و موجب از دسترس خارج شدن سایت ها می شوند.برای مقابله با XMLRPC بر روی آموزش زیر کلیک کنید.

آموزش مقابله با حملات XMLRPC در وردپرس

 

آپدیت قالب و افزونه وردپرس : 

بروز نگهداشتن همیشگی تمامی افزونه ها  و قالب وردپرس یکی از راه های جلوگیری از ایجاد اختلال در حملات امنیتی است.اگر هنگام بروز رسانی با خطا مواجه شدید آموزش زیر را مطالعه نمایید.

آموزش رفع خطای بروزرسانی وردپرس

 

تغییر آدرس ورود به مدیریت وردپرس :

هماهنطور که میدانید برای ورود به پنل مدیریت وردپرس از آدرس yourdomain.com/wp-admin  استفاده میشود.برای امنیت بیشتر شما میتوانید این آدرس را تغییر دهید.برای آموزش نحوه تغییر آدرس ورود به مدیریت وردپرس بر روی آموزش زیر کلیک کنید.

آموزش تغییر آدرس ورود به مدیریت وردپرس

 

 استفاده از قالب و افزونه های اورجینال و اصل :

توجه داشته باشیدکه بسیاری از سایت های ارائه دهنده قالب یا افزونه رایگان قصد تخریب سایت شمارا دارند و باعث ایجاد اختلال در سایت یا سیستم شما میشوند برای جلوگیری از این امر تمامی افزونه و قالب های خود را از سایت های معتبر تهیه کنید برای مثال بهترین سایت معتبر برای وردپرس همان سایت Wordpress.com است که بدون ویروس و کد های مخرب خدمات رایگان ارائه میدهد.

 

 تایین رمز سطح قوی :

برخی از ربات ها تمامی رمز های احتمالی را بر روی سایت شما امتحان کرده و اگر گذرواژه شما سطح قوی نداشته باشد امکان شناسایی رمز عبور شما برای ربات کار آسانی بوده و به راحتی وارد محیط مدیریتی شما خواهد شد.برای ساخت رمز سطح قوی میتوانید از سایت های معتبر رمزساز مانند سایت Secure Password Generator نمونه ای از رمز سطح قوی : $FSH*%6p3gwZU7xh

 

 محدود کردن تعداد دفعات تلاش برای ورود :

همانطور که در بالا توضیح داده شده ربات یا هکر میتواند مکرر رمز های مختلفی را تست کند و ممکن است یکی از آنها درست باشد و موفق به هک کردن سایت شما شود پس میتوانید با فعال کردن محدودیت برای دفعات ناموفق ورود به پنل وردپرس احتمال هک شدن از این روش هم به صفر برسانید.برای فعال کردن این مورد نیاز به نصب افزونه WP Limit Login Attempts دارید.برای دانلود افزونه بر روی لینک دانلود زیر کلیک کنید.

دانلود افزونه WP Limit Login Attempts برای وردپرس

 

بررسی یوزر یا کاربرهای موجود از طریق wp-users :

 

یوزر یا کاربرهای موجود در وردپرس را میتوان از طریق جدول wp-users موجود در دیتابیس بررسی کرد و در صورت مشاهده هرگونه یوزر اضافی و نامربوط آن را بلافاصله حذف کنید.

جهت انجام این کار ابتدا وارد هاست سیپنل خود شوید و سپس از بخش Databases گزینه phpMyAdmin را انتخاب کنید.

آموزش نحوه ورود به هاست سیپنل CPanel

اموزش جلوگیری از حملات امنیتی به وردپرس

سپس دیتابیس مربوطه را انتخاب کرده و از بین جداول آن, جدول wp-users را بیابید و روی آن کلیک کنید.

پس از بازکردن این جدول تمامی یوزر های موجود در وردپرس خود را میتوانید مشاهده کنید و در صورت لزوم برای حذف آن بر روی دکمه Delete کلیک کنید.

اموزش جلوگیری از حملات امنیتی به وردپرس

نکته : تمامی مراحلی که درج شده برای راه اندازی سایت الزامی میباشد و انجام دادن آنها باعث جلوگیری هر گونه مشکل و مسدود شدن اکانت هاست شما میشود.

 

حذف فایل پس از نصب وردپرس :

پس از نصب وردپرس بر روی هاست لازم است برخی فایل های ایجاد شده را حذف کنید. فایل های موردنظر جهت حذف با نام های installer-backup.php , installer-data.sql , installer-log.txt و database.sql میباشند که در پوشه وردپرس نصب شده در هاست شما قرار دارند.

 

تعیین نام دیتابیس:

یکی از راه های حفظ امنیت وردپرس تعیین نامی غیرقابل حدس برای دیتابیس میباشد. این کار از نفوذ هکر ها به وردپرس شما جلوگیری میکند.

 

رمزگذاری روی پوشه ادمین:

از دیگر راه های حفاظت از وردپرس رمزگذاری بر روی پوشه ادمین موجود در هاست است. جهت انجام این کار میتوانید از آموزش های زیر بهره بگیرید.

آموزش رمز گذاری بر روی فولدر ادمین در cPanel

آموزش رمز گذاری بر روی فولدر ادمین در Direct Admin  

 

عیب یابی فایل ایجکس:

یکی از علل مصرف بالای CPU فایل admin-ajax.php است که باعث کاهش سرعت سایت و بعضا قطعی آن میشود. مصرف بالای CPU توسط این فایل میتواند دلایل متعددی داشته باشد. پس یکی دیگر از راه های حفاظت از وردپرس خود , عیب یابی این فایل است که در آموزش زیر راجع به آن توضیحات تکمیلی را داده ایم. 

 Ajax چیست؟ و نحوه عیب یابی فایل Ajax

 

امیدواریم مطالب مفید واقع شده باشند.

 

آموزش های مرتبط:

آموزش رفع خطای دیتابیس

تغییر پسورد دیتابیس در سیپنل

آموزش نصب وردپرس در سیپنل

آموزش ساخت دیتابیس در cpanel

آموزش بهینه سازی دیتابیس وردپرس

آموزش فعالسازی کد امنیتی Captcha در وردپرس

بهینه سازی دیتابیس وردپرس با افزونه Wp-optimize

 

آموزش های مرتبط