امنیت وردپرس با رعایت ۲۲ نکته (بخش سوم)

اطلاعیه خودکار این مقاله ؛ این پست در ۹ سال پیش نوشته و منتشر شده است و اکنون شاید قوانین و ابزار ها تغییر پیدا کرده باشد. اگر میدانید این نوشته هنوز به کارتان می آید ،به خواندن ادامه دهید.

قطع رشته نسخه وردپرس

<meta content=”Wordpress 2.5″ />

در امنیت وردپرس ،رشته نسخه ای که وردپرس به صورت اتوماتیک به زمینه شما اضافه می کند ، مهم است زیرا به کاربران مخرب این اطلاعات را می دهد که آیا وبلاگ پچ شده است یا خیر ، اگر آن یک نسخه قدیمی باشد مهاجم سریعا شروع به جستجوی حفره های امنیتی خواهد کرد که برای آن نسخه وردپرس مشخص ، عمومی شده اند.
وردپرس معمولا به طور اتوماتیک این رشته نسخه را به زمینه شما اضافه می کند. خط کد زیر به وردپرس فرمان می دهد که رشته نسخه را به هدر شما اضافه نکند. تمام کاری که شما باید انجام دهید اضافه کردن کد به فایل functions.php تان است .

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

حالا نگاهی به کد منبع وب سایتتان بیندازید اگر ایجاد کننده متا تگ شما هنوز هم در آنجا وجود دارد بنابراین شما باید چک کنید که آیا header.php شامل این خط هست یا نه.

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

اگر این مورد برقرار است بنابرین اقدام به پاک کردن آن نمایید.

در هنگام لاگین به داشبوردتان از HTTPS استفاده کنید

https نسخه امن http است .هنگامی که از https استفاده می کنید اطلاعات شما به عنوان مثال پسوردها و نام کاربری ها در متن مشخصی ارسال نمی شوند و به جای آن به صورت رمز نگاری شده هستند . این کار مردم را برای به درستی رمز گشایی کردن پسورد و نام کاربریتان سخت می کند .
اگر شما می خواهید هنگام لاگین به داشبورد وردپرس خود از https استفاده کنید ، بنابراین شما می توانید از یکی از کدهای زیر استفاده کرده و آن را به wp-config.php. اضافه کنید .

define(‘FORCE_SSL_LOGIN’, true);

کد بالا وردپرس را مجبور به استفاده از SSL می کند هنگامی که به پنل مدیریتی تان وارد می شوید ، آن استفاده از ssl را زمانی که از داشبورد تان استفاده می کنید اجبار نمی کند .
به جای انجام این کار به صورت دستی شما می توانید به سادگی پلاگینی مانند (WordPress HTTPS (SSL را اضافه نمایید.

 

جلوگیری از تلاش برای دسترسی به دایرکتوری wp-admin

فولدر wp-admin یکی از مهمترین دایرکتوری ها بر روی وبلاگ شماست ، شما می توانید به داشبوردتان از طریق آن دسترسی یابید . جلوگیری از دسترسی مردم دیگر به این دایرکتوری یک قدم ضروری در امن کردن وبلاگ شماست .
شما می توانید این کار را از طریق ایجاد یک فایل .htaccess در دایرکتوری wp-admin انجام دهید . کد پایین را به آن اضافه کنید اما آدرس های ip را به مال خود تغییر دهید. اگر نمی دانید که آدرس ip تان چیست ، کافیست سایت WhatIsMyIP را مشاهده نمایید .

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200

استفاده از این کد در صورتی که تعداد زیادی از مردم بر روی وبلاگتان می نویسند بی معنی است ، به خصوص اگر آنها مرتبا تغییر می کنند . مشکل اینجاست که شما همیشه بر پایه اینکه چه کسی در حال حاضر نیاز به دسترسی به وبلاگ شما را دارد،نیاز به اضافه / حذف آدرس های ip دارید.
مشکل دیگر این است که هنگامی که ارائه دهنده اینترنت شما یک آدرس ip داینامیک را در اختیار شما می گذارد ، به این معنی است که آدرس ip شما مرتبا تغییر می کند . اگر این مورد برای شما برقرار است بنابراین کد را به فایل .htaccess اضافه نکنید .

محدود کردن تعداد تلاشهای ناموق ورود به وردپرس

محدود کردن تلاشهای ناموفق ورود، کاربران را از استفاده از تکنیک های بوروت فورس بر روی حساب وردپرس شما منع می کند. حمله بوروت فورس تلاشی برای پیدا کردن پسورد کاربر از طریق آزمایش هر پسورد ممکن است .
به عنوان یک اقدام متقابل ، پلاگین هایی وجود دارند که به صورت اتوماتیک کاربر را اگر پسورد را برای سه بار در یک ردیف اشتباه وارد کرده باشد ، برای یک ساعت از ورود منع می کنند.  Login Lockdown  یکی از این پلاگین های وردپرس است .

مخفی کردن خطاهای ورود به داشبورد

آیا تا به حال متوجه شده اید که زمانی که سعی می کنید با یک نام کاربری و پسورد اشتباه وارد شوید شما با پیغامی که خطای زیر را نشان می دهد مواجه می شوید :” پسورد اشتباه” . اگر با یک نام کاربری و پسوردهای متفاوت غیر موجود وارد شوید با این گزارش خطا مواجه می شوید “نام کاربری نامعتبر”.
این به کاربران مخرب اجازه می دهد تا بدانند چه نوع نام های کاربری وجود دارد .

بنابراین من به شما پیشنهاد می دهم که خط زیر را به فایل functions.php خود اضافه نمایید .

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

هر بار که یک خطا رخ می دهد یک خط خالی ظاهر خواهد شد . آن را امتحان کنید.

اقداماتی در سمت تامین امنیت

تامین امنیت یک وب سایت وردپرسی از مهمترین اقداماتی است که صاحبان سایت باید انجام دهند. وردپرس بدلیل اپن سورس بودن مورد علاقه هکرها هستند. بنابراین با پیشگیری و اقدامات امنیتی می توانید از حملات احتمالی جلوگیری کنید. وردپرس اینجا هم کاربران خود را تنها نمی گذارد.  از طریق پلاگین های امنیتی مانند  ithemes security و وردفنس می توانید اکثر حفره های امنیتی را پوشش دهید. موارد بسیاری وجود دارد که شما می توانید با تنظیم آنها امنیت سایت را تا حد بسیار زیادی تامین کنید. این تنظیمات از بررسی قدرت رمز عبور کاربران تا پیگیری فیشینگ و حفاظت از فایل های حیاتی وردپرس را برای شما به سادگی امکانپذیر می کند.

 

منبع

ترجمه شده توسط : آرزو رنجبرپور

 

امنیت وردپرس با رعایت ۲۲ نکته(بخش اول)

امنیت وردپرس با رعایت ۲۲نکته(بخش دوم)

لینک کوتاه مطلب :

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*