امنیت وردپرس با رعایت ۲۲ نکته (بخش دوم)

اطلاعیه خودکار این مقاله ؛ این پست در ۹ سال پیش نوشته و منتشر شده است و اکنون شاید قوانین و ابزار ها تغییر پیدا کرده باشد. اگر میدانید این نوشته هنوز به کارتان می آید ،به خواندن ادامه دهید.

محدود کردن دسترسی به دایرکتوری Wp-Content برای امنیت وردپرس

Wp-Content دایرکتوری مهم وردپرس است . کاربران فقط باید قادر به دسترسی به فایل های مشخص در داخل دایرکتوری باشند . این نوع فایل ها شامل عکس ها (.jpeg.gif,.png)، Javascript (.js),، CSS (.css) و XML (.xml) می باشد .
بنابراین ممنوع کردن دسترسی به تمام انواع اطلاعات دیگر قابل لمس است. کد زیر اجازه دسترسی به تصاویر، جاوااسکریپت، CSS و فایل های XML را خواهد داد اما اجازه دسترسی به دیگر اطلاعات را نخواهد داد و امنیت وردپرس شما را افزایش خواهد داد. کد زیر باید در فایل .htaccess داخل فولدر wp-content قرار بگیرد.
Order deny,allow
Deny from all

Allow from all

این کل چیزی است که شما باید انجام دهید.

امن کردن wp-config.php

wp-config.php یک فایل بسیار مهم است از آنجائیکه آن شامل تمام اطلاعات دسترسی و کلیدهایی است که برای تامین امنیت وردپرس شما ضروری هستند. ما می توانیم فایل را توسط اضافه کردن این خط ها به فایل htaccess .در داخل دایرکتوری روت وردپرس (جائیکه فایل wp-config) در آنجا قرار دارد، امن کنیم .
# protect wp-config.php

Order deny,allow
Deny from all

این کد مانع از ورود هر کس به فایل wp-config.php و در نتیجه باعث امنیت وردپرس شما می شود.

حذف مرور دایرکتوری

تغییر ضروری دیگر در رابطه با امنیت وردپرس جلوگیری از مشاهده ساختار دایرکتوری وب سایت شما توسط مردم است.اگر می خواهید ببینید این چگونه است تنها “index of” را در گوگل وارد کنید و گوگل تمام وب سایت هایی را که اجازه مرور دایرکتوری ها را می دهند لیست خواهد کرد.
به منظور متوقف کردن این رفتار ، تمام چیزی که شما باید انجام دهید اضافه کردن کد زیر به فایل htaccess. خود در دایرکتوری روت وردپرس می باشد.
Options All -Indexes
این کد این رفتار را یکبار و برای همه متوقف خواهد کرد.

 

جلوگیری از ایندکس کردن بخش Admin توسط موتورهای جستجو

 

موتورهای جستجو اغلب هر محتوایی را که تا زمانی که به آنها گفته شود به انجام اینکار نیاز نیست ایندکس می کنند. بخش ادمین ایندکس شده شما در موتورهای جستجو می تواند یک تهدید امنیتی بزرگ باشد.
بنابراین خوب است که آنها را ازتمام دایرکتوری های وردپرس در امان نگه دارید . راحت ترین کار برای انجام آن ایجاد فایل robots.txt در داخل دایرکتوری روت شماست. بنابراین کد زیر را در داخل فایل قرار دهید:

Disallow: /wp-*

امن کردن دایرکتوری پلاگین شما

امنیت وردپرس

امنیت وردپرس

پلاگینی که شما استفاده می کنید می تواند به کاربر مخرب چیزهای زیادی در مورد وب سایت شما بگوید و امنیت وردپرس شما را به خطر بیاندازد، بنابراین عاقلانه است که آنها را پنهان کنید.

شما می توانید به راحتی پلاگین ها را پنهان کنید. قبل از همه یک ویرایشگر متن را باز کنید و یک فایل خالی با نام index.html ایجاد کنید. سپس این فایل را به دایرکتوری wp-content/plugins/ آپلود کنید.

حذف اکانت ادمین پیش فرض

با حذف اکانت ادمین، کاربران مخرب، نام کاربری شما را به راحتی نمی توانند بدانند. همانطور که هر نصب وردپرس با یک اکانت ادمین همراه است ، هکرها کار راحت تری را برای شکستن اکانت شما از آنجا که آنها قبلا نام کاربری را می دانند در پیش دارند.
اگر یک اکانت ادمین جدید نداشته باشید، نمی توانید اکانت administrator خود را فورا حذف کنید.بنابراین این مراحل را برای رعایت موارد امنیت وردپرس دنبال نمایید:
۱- یک اکانت administrator جدید ایجاد کنید( با یک نام کاربری که حدس زدن آن سخت باشد)
۲- خارج شوید
۳- با استفاده از اکانت administrator و پسورد جدید وارد شوید
۴- اکانت قبلی را پاک کنید

 

تغییر حقوق دسترسی پیش فرض برای کاربران

حقوق دسترسی پیش فرض بسیار امن هستند اما اگر می خواهید که در سمت امنی باشید و کنترل بیشتری بر روی حقوق هر کاربری که در بلاگتان هست داشته باشید، بنابراین انجام آن ضروری هست .
راه اندازی آن بسیار آسان است، تمام کاری که شما باید انجام دهید اینها هستند:
۱٫ را که یکی از افزونه های امنیت وردپرس می باشد دانلود کنید
۲٫ آن را بر روی وبلاگ وردپرس خود آپلود کنید
۳٫ آن را فعال کنید
سپس به بخش کاربران وبلاگتان بروید .آنجا می توانید پلاگین Role Manager را با توجه به نیازهایتان تنظیم کنید.

حذف حساب های کاربری غیر فعال

حساب های کاربری غیرفعال مزاحم هستند و همچنین یک ریسک امنیتی به حساب می آیند. بعضی از مردم پسوردهای ضعیفی را هنگامی که برای وبلاگ شما ثبت نام می کنند انتخاب می کنند. اگر اکانت غیرفعال باشد اما هنوز در وبلاگ شما باشد،کاربران مخرب می توانند از این حساب برای دسترسی به وبلاگ شما استفاده کنند.
بنابراین بهترین کار برای انجام دادن ،حذف کاربران غیرفعال در وردپرس است.(اگر چه شما نیاز دارید اطمینان حاصل کنید که آن چیزی را از بین نمی برد)برای انجام آن به داشبورد وردپرس خود رفته و بر روی کاربران کلیک کنید. این شما را به صفحه ای که هر کاربر لیست خواهد شد هدایت می کند.
سپس هر کاربری را که می بینید غیرفعال است ،حذف نمایید.

اضافه کردن کلیدهای احراز هویت به wp-config.php

اضافه کردن کلیدهای وردپرس یک اقدام امنیتی مهم دیگر است . این کلیدها باید تصادفی باشند.در نتیجه رمزنگاری بهتری از اطلاعات کاربران در اختیار می گذارد.
از WordPress Key Generator برای ایجاد این کلیدها استفاده کرده و فقط در فایل wp-config.phpخط های زیر را با آنهایی که ایجاد شده اند، جایگزین کنید:
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
این در واقع تمام کاری است که شما باید انجام دهید.

 

نصب یک فایروال وردپرس

امنیت وردپرس

امنیت وردپرس

یک پلاگین با نام WordPress Firewall 2   وجود دارد که حقیقتا وبلاگ شما را از هکرهای مخرب محافظت می کند. کاری که آن انجام می دهد این است که هنگامی که کسی سعی دارد وبلاگ شما را هک نماید به شماهشدار می دهد. آن همچنین تلاش های هکر را بلوک می کند.
مشکل این پلاگین این است که کارش را خیلی خوب انجام می دهد . این به این معنا است که آن معمولا شما را از ایجاد هر تغییری در وبلاگتان منع می کند . اگر فایل تم وردپرس تان را ویرایش کنید و سپس بر روی کلید save کلیک کنید پلاگین فایروال آن را بلاک خواهد کرد . این همچنین برای من ،وقتیکه از پلاگین Smush.it به صورت دستی استفاده کردم،اتفاق افتاد.
این بسیار آزاردهنده است اما حداقل به شما نشان می دهد که پلاگین در واقع کار می کند. تنها کاری که شما می توانید انجام دهید اگر که می خواهید فایل هایی شبیه به این را ویرایش کنید این است که این پلاگین را غیر فعال کرده و دوباره آن را فعال کنید.

 

منبع

ترجمه شده توسط: آرزو رنجبرپور

 

لینک کوتاه مطلب :

۱ دیدگاه

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*