محافظت از سایت وردپرسی در برابر هکرها

یکی از بزرگترین دغدغه های طراحان وب سایت محافظت از سایت وردپرسی در برابر هکرها است. در این مطلب راهنمایی هایی درباره چگونه امن کردن یک سایت وردپرسی از هک شدن، شامل پلاگین های امنیتی توصیه شده را با هم مرور می کنیم.

وردپرس هدفی مستمر برای هک شدن می‌باشد. هکرها مضمون، پرونده های اصلی وردپرس و حتی صفحه ی ورود به سایت را مورد هدف قرار می دهند. اینجا مراحلی برای احتمال کمتر هک شدن وجود دارد.

 

چگونه هکرها به وردپرس حمله می کنند؟

تمام سایتهای روی وب تحت تاثیر حملات پی در پی هکرها هستند، چه انجمن phpBB باشد و چه یک سایت وردپرسی. تمام سایتها بصورت روزمره بوسیله هکرها در حال بررسی شدن هستند. برای هکرها این غیر عادی نیست تا هزاران صفحه را اسکن کنند یا سعی کنند صدها مرتبه در روز وارد سیستم یک سایت شوند.

و این فقط یک هکر است. ممکن است که سایتها در یک زمان بوسیله چندین هکر تحت حمله قرار بگیرند.

معمولا یک شخص نیست که شما را هک می‌ کند. هکرها نرم افزارهای خودکاری را برای نفوذ در وب برای بررسی نقاط ضعف خاص در وب سایت ها بکار می‌ گیرند.

این برنامه های نرم افزاری خودکار برای نفوذ در وب، بات ها هستند. من آنها را بات های هکری می نامم که با بات های اسکرپر (نرم افزاری که تلاش برای کپی کردن متن می‌ کند) متفاوت هستند.

 

 

سایت وردپرس را با یک فایروال محافظت کنید.

فایروال برنامه نرم افزاری است که جلوی ربات ها و اشخاص مزاحم را می‌گیرد. به نظر من، بهترین فایروال وردپرس یک پلاگین است که ورد فنس ( wordfence ) نامیده می‌شود.

آنچه ورد فنس انجام می‌دهد این است که بررسی کند که آیا رفتار بازدید کننده وب سایت با بات سوء استفاده کننده مطابقت دارد یا خیر. اگر باتی که وارد وب سایت می شود قوانین قطعی را نقض می کند، مثل جستجو برای یافتن تعداد زیادی از صفحات وب در زمان کوتاه، ورد فنس بطور خودکار بات را مسدود می‌ کند.

ورد فنس همچنین برنامه ریزی می‌ کند تا به بات های قانونی مثل گوگل و بینگ روی سایت اجازه دهد تا داده های مد نظرشان را بتوانند استخراج کنند.

خصوصیات پیشرفته ای وجود دارد که به یک ناشر اجازه می‌ دهد تا ببیند چطور باتها به یک سایت حمله می‌کنند و ببیند باتها از کجا می‌آیند، مثلا اگر یک بات بد که از سرویس وب آمازون یا بلو شات می‌آید، ورد فنس ناشری را فراهم می‌ کند با توانایی مسدود کردن بات بوسیله آدرس آی پی، کل دامنه آدرس آی پی یا حتی با عامل کاربری مرورگر جعلی که بات استفاده می‌ کند.

 

درباره نمایندگان کاربر (UA)

نماینده کاربری اطلاعاتی را مشخص می‌کند که توسط مروگر وب بدست می آید، تا بگوید یک وب سایت دارای چه مرورگری است (Chrome،Firefox،Vivaldi)، و چه سیستم عاملی روی آن وجود دارد ( Windows 10،Mac OS X).

برای مثال، این یک رشته عامل کاربری برای مرورگر سافاری 11 ( Safari 11 ) است که بر روی یک کامپیوتر مک او اس ایکس ( Mac OS X ) بدست آمده است :

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

 

باتها از مقدار زیادی عوامل کاربری متفاوت در مورد دست انداختن وب سایت ها و دزدکی حرکت کردن در آنها استفاده می‌ کنند. برای مثال، بعضی باتها وانمود به مرورگر بودن در ویندوز ایکس پی می‌ کنند.

در واقع در حال حاضر، تعداد کاربران حقیقی که از ویندوز XP استفاده می کنند، تقریبا نزدیک به صفر است. پس با دانستن این موضوع من می توانم با کمک وردفنس قانونی ایجاد کنم تا تمام کاربرانی که توسط سیستم شناسایی می شوند که از ویندوز XP استفاده کنند را مسدود کند. در واقع با یک قانون ( رول ) می توانم هزاران ربات مخربی که وارد سایت من می شوند را مسدود کنم، بی اعتنا به اینکه از چه کشوری و با چه آدرس آی پی ای می آیند.

گاهی اوقات باتهای بد با تغییر به عامل کاربری دیگر عکس العمل نشان خواهد داد، بطوری که با تجمیع این قوانین، یک ناشر شانس مسدود کردن میزان گسترده ای از باتهای هکر بد را دارد.

و آن با نسخه رایگان ورد فنس است.

نسخه پولی این پلاگین می‌تواند کل کشورها را مسدود کند. بطوری که اگر بازدید کنندگان سایت، قانونی از کشورهای مشخصی نداشته باشند، شما می‌ توانید هر بازدید کننده ای که از آن کشورها می‌آیند را مسدود کنید.

 

 

وردپرس در مقابل سوء استفاده دفاع می‌کند

به علاوه، در نسخه پولی یا پریمیوم وردفنس، در صورتی که باگ یا ایراد امنیتی در یک پلاگین یا قالب را مشاهده کنند، قبل از اینکه ناشر آن پلاگین یا قالب، ایراد را رفع کند، اقدام به بالاتر بردن امنیت سایت شما در برابر آن حفره ی امنیتی می کنند.

این کار به این صورت انجام می شود که محققان وردفرنس زمانی که از یک سوء استفاده از باگ های پلاگین ها و قالب ها آگاه شوند، بلافاصله نسخه اولیه فایروال خودشان را بروز رسانی می کنند تا برای وب سایت مشترک مشکلی پیش نیاید. چرا که ممکن است یک ایراد امنیتی در پلاگین ها و قالب ها، تا هفته های متمادی، توسط توسعه دهنده آن برطرف نشود.

 

 

سخت کردن امنیت وب سایت

دیگر پلاگین رایگان که یک لایه اضافی از حفاظت را فراهم می‌کند پلاگین امنیتی سکوری ( Sucuri ) نامیده می‌ شود.

 سکوری (متعلق به GoDaddy) به سخت شدن امنیت وردپرس کمک می‌ کند تا باتهای بد را از گرفتن امتیاز انواع حمله های مشخص مسدود کند. همچنین دارای ویژگی اسکن کردن بد افزار است که تمام پرونده ها را بررسی می‌ کند تا بررسی کند آیا آنها دستکاری شده اند یا خیر.

سکوری هر زمان که کسی به سایت شما وارد شود هشدار می‌دهد و به ناشران کمک می‌کند تا مشخص کنند آیا یک هکر وارد شده است یا خیر. سکوری همچنین می‌ تواند به یک ناشر هشدار دهد که اگر یک پرونده تغییر کرده بود، ممکن است آن را هکرها انجام داده باشند.

 

در اینجا ویژگی های نسخه رایگان سکوری را مشاهده می نمایید :

 

• بررسی دقیق فعالیت های امنیتی
• نظارت بر یک دستی پرونده
• اسکن بد افزار از راه دور
• نظارت بر لیست سیاه
• سخت کردن تاثیر امنیتی
• عملکرد امنیتی بعد از هک
• اخطاریه های امنیتی

 

نسخه پولی سکوری شامل فایروال وب سایت می‌ باشد.

 

 

محدود کردن ورودی ها به سایت شما

ورد فنس قادر است تا بات هایی که در صفحه ورود به سایت بطور تکراری از یک نام کاربری و رمز عبور استفاده می کنند را مسدود کند.

اما اگر می‌خواهید روی محدود کردن آن ورودی ها تمرکز کنید، یک پلاگین وجود دارد به نام Limit Login Attempts Reloaded ( محدود کردن بارگذاری تلاشهای ورودی ) که به ناشران اجازه می‌ دهد بطور خودکار تمام هکرهایی که یک مجموعه عدد از تلفیق رمز و نام های مردود شده را وارد می‌کنند مسدود ‌کند. برای مثال، شما می‌توانید آنرا تنظیم کنید تا هکرها را بعد از سه مرتبه تلاش برای حدس زدن رمز مسدود نماید.

 

ویژگی های مسدود کننده ورودی:

محدود کردن تعداد تلاشهای مجدد وقتی وارد سیستم می‌شوید (در مورد هر IP). این تنظیمات کاملا قابل سفارشی سازی است.

• اطلاع دادن به کاربر درباره تلاشهای مجدد باقیمانده یا زمان قفل روی صفحه ورودی
• ورود اختیاری و اخطاریه ایمیل
• نام کاربری و IP های لیست سیاه/ لیست سفید
• سازگاری فایروال وب سایت سکوری
• محافظت مدخل XMLRPC
• محافظت از صفحه ورود به سایت ووکامرس
• سازگاری چندین سایت با تنظیمات اضافی MU
• پذیرا بودن GDPR
• پشتیبانی از منبع های آی پی سفارشی( Cloudflare،سکوری، وغیره)

این پلاگین روشی سریع را فراهم می‌کند تا باتهای هک را که تلاش می‌کنند رمز عبور را حدس بزنند خاموش کند.

 

 

پشتیبانی از سایت وردپرس شما

این خیلی مهم است تا بطور خودکار یک پشتیبانی روزانه از وب سایتتان ایجاد نمایید. هر اتفاق مصیبت باری که سایت شما را با مشکل مواجه کند، در صورت وجود بک آپ روزانه، به سادگی قابل حل شدن است.

چندین راه حل پشتیبانی وجود دارد اما آن موردی که من پیدا کرده ام که بی اندازه موثر است پلاگین پشتیبانی وردپرس UpdraftPlus نامیده می‌شود. UpdraftPlus یک پلاگین بک آپ گیری مورد اعتماد است که توسط بیش از دو میلیون کاربر مورد استفاده قرار گرفته است و آپشن های بی نظیری را در اختیار شما قرار می دهد.

می‌توان آنرا برنامه ریزی کرد تا بک آپ وب سایت شما را هر روز برایتان ایمیل کند یا آنها را به محل ذخیره سازی ابری مثل دراپ باکس بفرستد.

من یک مرتبه بطور تصادفی تمام فایلهای صفحه آرایی محتوا از یک سایت را برداشتم، که این مسئله باعث شد تا بطور کامل ظاهر صفحات وب سایت از بین برود، اما با استفاده از بک آپ روز قبل توانستم در مدت زمان بسیار کوتاهی، همه ی چیزهایی که خراب شده بود را دوباره درست کنم.

 

 

به روز رسانی تمام محتواها و پلاگین ها

مهم است که همیشه تمام محتواها و پلاگین ها به روز رسانی شود وردپرس روشی را برای بروز رسانی تمام پلاگین ها بطور خودکار ایجاد کرده است. زمانی که شما وارد بخش پلاگین ها ( افزونه ها ) در سایت خود می شوید، کنار نام هر یک از آنها، گزینه فعال سازی بروز رسانی خودکار را مشاهده می کنید. با فعال سازی آن گزینه، حتی اگر برای مدت های طولانی به سایت خود سر نزنید هم بطور خودکار پلاگین های شما به آخرین نسخه ی موجود بروز رسانی می شود.

یکی از عمده ترین دلایل هک شدن وب سایت ها، بروز نبودن پلاگین ها و قالب های آنهاست، چرا که زمانی که شرکت سازنده آن پلاگین یا قالب، مشکل یا ایراد فنی و امنیتی در آن پیدا می کند، برای جلوگیری از نفوذ هکرها به وب سایت، آپدیتی ارائه می کند که در صورتی که شما با تاخیر پلاگین ها یا قالب خود را آپدیت کنید، ممکن است مورد هدف هکرها قرار بگیرید.

یکی از مشکلات بروز رسانی خودکار پلاگین ها در وردپرس این است که ممکن است نسخه ی جدید یک پلاگین، با سایر پلاگین ها کانفلیکت ایجاد کند و سازگار نباشد و باعث مختل شدن فعالیت های وب سایت شما شود. اما این اتفاق خیلی به ندرت می افتد و اگر شما از آن دسته از افرادی نیستید که بطور مکرر پلاگین های سایتتان را تغییر دهید، می توانید خیالتان از بابت این موضوع راحت باشد.

 

مراقبت از پلاگین های رها شده

برخی از پلاگین ها ممکن است ماه ها یا سال ها توسط توسعه دهندگان رها شده باشند و دیگر بروز رسانی ای برای آنها صورت نگرفته باشد، این پلاگین ها ممکن است با دیگر پلاگین ها سازگار نباشند یا در نسخه های جدید هسته ی وردپرس، آسیب پذیر تر شوند و هدف هکرها قرار بگیرند.

پیشنهاد ما این است که پلاگین هایی که بر روی سایت خود نصب می کنید را به دقت بررسی کنید و این را در نظر داشته باشید که پلاگینی که سالهاست آپدیت نشده و رها شده، گزینه ی مناسبی برای شما نخواهد بود. چرا که هیچ ایراد فنی یا امنیتی در آن ترمیم نمی شود.

 

 

محافظت سایت وردپرس تان از هکرها

با استفاده از این دو پلاگینی که معرفی کردیم و با همین چند قدم کوچک، به سادگی می توانید امنیت سایت خود را بالا ببرید و جلوی دسترسی هکر ها به آن را بگیرید. نسخه های رایگان این پلاگین ها نیز، میزان زیادی از امنیت و محافظت را بر روی سایت شما اعمال می کنند و لازم نیست نگران این باشید که چرا آنها را خریداری نکرده اید.

هرچند پلاگین های بسیار زیادی برای امنیت وردپرس وجود دارد، ولی با بررسی هایی که کردیم متوجه شدیم برخی از آنها حتی شامل خود آسیب پذیری هستند و وجودشان بر روی سایت شما بیشتر از آنکه امنیت شما را بالا ببرد، ممکن است باعث سست شدن بحث امنیتی تان شود. وردفنس و سکوری، به نظر ما بهترین گزینه ها برای امنیت وردپرس هستند

 

 

دانلود پلاگین های امنیتی معرفی شده

برای دانلود پلاگین هایی که در بالا معرفی کردیم، می توانید توسط لینک های زیر وارد مخزن وردپرس شوید و اقدام به دانلود رایگان آنها نمایید.

 

WordFence Security
https://wordpress.org/plugins/wordfence/

Sucuri Security
https://wordpress.org/plugins/sucuri-scanner/

Limit Login Attempts Reloaded
https://wordpress.org/plugins/limit-login-attempts-reloaded/

UpdraftPlus
https://wordpress.org/plugins/updraftplus/

 

منبع مطلب : How to Protect a WordPress Site from Hackers نوشته شده توسط Roger Montti ترجمه شده توسط روشا وب