از موارد الزامی و مهمی که برای راه اندازی هر سایت وردپرسی میبایست انجام گردد جلوگیری از حملات امنیتی به وردپرس است یکی از مخرب ترین آنها اسپم ها هستند که ترافیک را مصرف کرده و باعث پر شدن حجم سرور ها میشوند.
روش های جلوگیری حملات امنیتی به وردپرس :
فعالسازی کد امنیتی Captcha در وردپرس
استفاده از کدهای امنیتی در وبسایت ها همیشه توصیه می شود. زیرا اگر از آن ها استفاده نکنید گرفتار اسپمرهایی می شوید که به مرور زمان شما را کلافه کرده و وبسایت شما را تخریب می کند. سیستم مدیریت محتوای وردپرس در بخشهای مختلفی دارای فرم هایی مانند فرم ورود ، فرم ثبت نام ، ارسال نظرات و ... میباشد نبود تصویر امنیتی کپچا ، بدون شک باعث ایجاد مشکلات امنیتی برای وب سایت شما خواهد شد.
برای فعال سازی کد کپچا دو روش وجود دارد که روش اول استفاده از سایت گوگل و استفاده از کپچای گوگل هست.
آموزش فعالسازی کد امنیتی Captcha در وردپرس از طریق گوگل
آموزش فعالسازی کد امنیتی Captcha در جوملا
آموزش فعال سازی کد Captcha در کامپوننت K2
روش دوم فعال سازی از طریق افزونه No CAPTCHA reCAPTCHA
دانلود افزونه No CAPTCHA reCAPTCHA
پس از نصب و فعال سازی این افزونه‚ گزینه این با این نام “No CAPTCHA reCAPTCHA” به قسمت تنظیمات پیشخوان وردپرس شما اضافه میشود. که با کلیک بر روی آن با تصویری مشابه تصویر زیر روبرو میشوید.
حالا برای دریافت کد های API روی کلمه “Here” کلیک کنید تا به صفحه Google reCaptcha هدایت شوید. در این قسمت برای هرکدام از گزینه های روبرو از دستورهای زیر استفاده کنید:
Label: در این بخش برای کپچا خود یک نام بنویسید.
reCAPCHA Types: نوع کپچا را مشخص میکند که شامل دو بخش است:
reCaptcha v3: با فعال کردن این گزینه‚ حالت ریکپچا از کل سایت شما محافظت خواهد کرد و با نمره دهی به کاربران افراد واقعی را از ربات تشخیص میدهد.
reCaptcha v2: اما برای فعال کردن ریکپچا تنها برای بخش های مشخصی از سایت خود‚ این گزینه را باید انتخاب کنید.
Domains: در این قسمت نام دامنه های خود که مایل به استفاده از کپچا در آن هستید را وارد کنید. با کلیک بر روی + دامنه شما اضافه میشود.
دقت کنید که در هر خط فقط یک دامنه را میتوانید بنویسید.
Accept the reCAPTCHA terms of Service: با فعال کردن این گزینه قوانین مربوطبه کپچا را بپذیرید.
SUMIT: در انتها روی این گزینه کلیک کنید تا کد های ساخته شده برای شما نمایش داده شود.
کدهارا کپی کنید و در قسمت مربوطه در صفحه افزونه reCaptcha وارد کنید سپس برای اعمال تغییرات “Save All Changes” را کلیک کنید.
در این بخش میتوانید کپچا را برای گزینه های تعریف شده فعال یا غیرفعال کنید که شامل:
Login Form: برای صفحه ورودی وردپرس
Registration Form: برای صفحه های ثبت نام و عضویت
Comment Form: برای فرم نظرات
در انتها با کلیک بر روی “Save All Changes” تغییرات را اعمال کنید.
حملات XMLRPC در وردپرس :
مشکل از جایی شروع میشود که فایل xmlrpc.php در وردپرس با ارسال درخواست از طریق post مورد حمله ی دیداس (DDOS – Denial of Service Attak ) قرار میگیرد.در فایل XML-RPC حفره امنیتی موجود نیست اما بسیاری از هکرها با استفاده از این فایل حملات بسیاری روی سایت های وردپرسی ایجاد میکنند و موجب از دسترس خارج شدن سایت ها می شوند.برای مقابله با XMLRPC بر روی آموزش زیر کلیک کنید.
⇐ آموزش مقابله با حملات XMLRPC در وردپرس
آپدیت قالب و افزونه وردپرس :
بروز نگهداشتن همیشگی تمامی افزونه ها و قالب وردپرس یکی از راه های جلوگیری از ایجاد اختلال در حملات امنیتی است.اگر هنگام بروز رسانی با خطا مواجه شدید آموزش زیر را مطالعه نمایید.
⇐ آموزش رفع خطای بروزرسانی وردپرس
تغییر آدرس ورود به مدیریت وردپرس :
هماهنطور که میدانید برای ورود به پنل مدیریت وردپرس از آدرس yourdomain.com/wp-admin استفاده میشود.برای امنیت بیشتر شما میتوانید این آدرس را تغییر دهید.برای آموزش نحوه تغییر آدرس ورود به مدیریت وردپرس بر روی آموزش زیر کلیک کنید.
⇐ آموزش تغییر آدرس ورود به مدیریت وردپرس
استفاده از قالب و افزونه های اورجینال و اصل :
توجه داشته باشیدکه بسیاری از سایت های ارائه دهنده قالب یا افزونه رایگان قصد تخریب سایت شمارا دارند و باعث ایجاد اختلال در سایت یا سیستم شما میشوند برای جلوگیری از این امر تمامی افزونه و قالب های خود را از سایت های معتبر تهیه کنید برای مثال بهترین سایت معتبر برای وردپرس همان سایت Wordpress.com است که بدون ویروس و کد های مخرب خدمات رایگان ارائه میدهد.
تعیین رمز سطح قوی :
برخی از ربات ها تمامی رمز های احتمالی را بر روی سایت شما امتحان کرده و اگر گذرواژه شما سطح قوی نداشته باشد امکان شناسایی رمز عبور شما برای ربات کار آسانی بوده و به راحتی وارد محیط مدیریتی شما خواهد شد.برای ساخت رمز سطح قوی میتوانید از سایت های معتبر رمزساز مانند سایت Secure Password Generator نمونه ای از رمز سطح قوی : $FSH*%6p3gwZU7xh
محدود کردن تعداد دفعات تلاش برای ورود :
همانطور که در بالا توضیح داده شده ربات یا هکر میتواند مکرر رمز های مختلفی را تست کند و ممکن است یکی از آنها درست باشد و موفق به هک کردن سایت شما شود پس میتوانید با فعال کردن محدودیت برای دفعات ناموفق ورود به پنل وردپرس احتمال هک شدن از این روش هم به صفر برسانید.برای فعال کردن این مورد نیاز به نصب افزونه WP Limit Login Attempts دارید.برای دانلود افزونه بر روی لینک دانلود زیر کلیک کنید.
⇐ دانلود افزونه WP Limit Login Attempts برای وردپرس
بررسی یوزر یا کاربرهای موجود از طریق wp-users :
یوزر یا کاربرهای موجود در وردپرس را میتوان از طریق جدول wp-users موجود در دیتابیس بررسی کرد و در صورت مشاهده هرگونه یوزر اضافی و نامربوط آن را بلافاصله حذف کنید.
جهت انجام این کار ابتدا وارد هاست سیپنل خود شوید و سپس از بخش Databases گزینه phpMyAdmin را انتخاب کنید.
⇐ آموزش نحوه ورود به هاست سیپنل CPanel
سپس دیتابیس مربوطه را انتخاب کرده و از بین جداول آن, جدول wp-users را بیابید و روی آن کلیک کنید.
پس از بازکردن این جدول تمامی یوزر های موجود در وردپرس خود را میتوانید مشاهده کنید و در صورت لزوم برای حذف آن بر روی دکمه Delete کلیک کنید.
نکته : تمامی مراحلی که درج شده برای راه اندازی سایت الزامی میباشد و انجام دادن آنها باعث جلوگیری هر گونه مشکل و مسدود شدن اکانت هاست شما میشود.
حذف فایل پس از نصب وردپرس :
پس از نصب وردپرس بر روی هاست لازم است برخی فایل های ایجاد شده را حذف کنید. فایل های موردنظر جهت حذف با نام های installer-backup.php , installer-data.sql , installer-log.txt و database.sql میباشند که در پوشه وردپرس نصب شده در هاست شما قرار دارند.
تعیین نام دیتابیس:
یکی از راه های حفظ امنیت وردپرس تعیین نامی غیرقابل حدس برای دیتابیس میباشد. این کار از نفوذ هکر ها به وردپرس شما جلوگیری میکند.
رمزگذاری روی پوشه ادمین:
از دیگر راه های حفاظت از وردپرس رمزگذاری بر روی پوشه ادمین موجود در هاست است. جهت انجام این کار میتوانید از آموزش های زیر بهره بگیرید.
⇐ آموزش رمز گذاری بر روی فولدر ادمین در cPanel
⇐ آموزش رمز گذاری بر روی فولدر ادمین در Direct Admin
عیب یابی فایل ایجکس:
یکی از علل مصرف بالای CPU فایل admin-ajax.php است که باعث کاهش سرعت سایت و بعضا قطعی آن میشود. مصرف بالای CPU توسط این فایل میتواند دلایل متعددی داشته باشد. پس یکی دیگر از راه های حفاظت از وردپرس خود , عیب یابی این فایل است که در آموزش زیر راجع به آن توضیحات تکمیلی را داده ایم.
⇐ Ajax چیست؟ و نحوه عیب یابی فایل Ajax
استفاده از پلاگین های امنیتی:
میتوانید با استفاده از پلاگین های امنیتی مانند افزونه iThemes فعالیت ها و تلاش های ورود ناموفق که غیرمجاز هستند را پیگیری کنید. همچنین این افزونه امکان مسدود کردن IP ها را نیز برای شما فراهم کرده است. پس از هر تلاش برای ورود ناموفق این افزونه به صورت خودکار سایت را قفل میکند و شمارا از این ورود غیرمجاز مطلع میسازد.
⇐ دانلود افزونه iThemes Security
استفاده از احراز هویت دو مرحله ای:
افزونه ای طراحی شده توسط گوگل به نام Authenticator Google جهت احراز هویت دو مرحله در مخزن وردپرس وجود دارد که با استفاده از آن در هربار که وارد وردپرس خود میشوید نیاز به تایید هویت خواهید داشت. جهت یادگیری کار با این افزونه آموزش زیر را دنبال کنید.
⇐ آموزش کار با افزونه تایید هویت دومرحله ای در وردپرس
تغییر نام کاربری Admin:
معمولا نام کاربری پیشفرض وردپرس admin است. اگر هنوز از این نام کاربری استفاده میکنید بلافاصله آن را تغییر دهید. زیرا این نام کاربری آسان و به راحتی قابل حدس است. استفاده از این نام کاربری وردپرس شما را بیشتر در معرض هک شدن قرار میدهد.
امیدواریم این آموزش برای شما مفید واقع شده باشد و به وسیله آن توانسته باشید از حملات امنیتی به وردپرس خود جلوگیری کنید. درصورت بروز هرگونه سوال یا مشکل میتوانید آن را در بخش دیدگاه بیان کنید.
آموزش های مرتبط:
آموزش بهینه سازی دیتابیس وردپرس
آموزش فعالسازی کد امنیتی Captcha در وردپرس
بهینه سازی دیتابیس وردپرس با افزونه Wp-optimize
