یازده نکته ی امنیتی در وردپرس
دوشنبه, ۱۵ اسفند ۱۳۹۰، ۰۲:۱۰ ب.ظ
وردپرس اگر بهترین سیستم های مدیریت محتوای دنیا نباشه(که قطعن نیست) بدون اغراق شاید بشه گفت که محبوب ترین سیستم مدیریت محتواست و این کاملن طبیعیه اگر چشم همه به قدوبالای رعناش باشه :دی (حتی هکرها) بنابراین کاملن طبیعیه که بیشتر مورد حمله قرار می گیره و خوب بدون هیچ تعصبی باید عرض کنم که همیشه یکی از بزرگترین مشکلات وردپرس امنیتشه (هرچند شاید از خیلی از کدهایی که ما می نویسیم امن تر باشه :P) اما در این پست قصد داریم به راه هایی بپردازیم که با کارای کوچولویی می تونید امنیت سایتتون رو خیلی بالا ببرید. یـــــه برنامه ببینید... یـــــــه برنامه ببینید (اسمایلی مجید قناد :P)
وردپرس در هر آپدیتی که توی پیشخوان پیشنهادش رو به شما می ده همراه با فیکس کردن و برطرف کردن مشکلات امنیتیه. بنابراین هیچوقت از کنار این هشدارها بی خیال رد نشید (شاید خیری در آن باشد که شما نمی دانید :دی ). اگر دیدید که وردپرس نیاز به بروزرسانی داره بدون شک روش کلیک کنید و همیشه آخرین نسخه رو داشته باشید.
بدون اغراق باید عرض کنم خدمتتون که مهمترین نکته ی امنیتی برای شما و وردپرس شما همینه. اینکه همیشه به روز باشید. اما خوب مشکل دیگه ای هم توی این به روز بودن هست و اون اینه که ممکنه که افزونه ی خاصی استفاده کرده باشید که با نسخه ی جدید دیگه کار نکنه.
اولین سوالی که باید از خودتون بپرسید اینه که آیا افزونه ی جایگزین دیگه ای می تونید براش پیدا کنید؟ اگر پاسختون آره ست که بلافاصله افزونه رو نصب کنید و وردپرس رو به روز کنید. در غیر این صورت باید منتظر باشید تا توسعه دهنده های افزونه اون رو با نسخه ی جدید سازگار بکنن (البته اگه خودتون توسعه دهنده نیستید و نمی تونید گلیم خودتون رو از آب بکشید بیرون :دی) حداقل باید نکته های دیگه ی امنیتی رو رعایت کنید تا کمتر مورد حمله قرار بگیرید.
تمامی اطلاعات حساس و مهم شما در فایل wp-config.php در شاخه root قرار داره و کلید رمز هایی هم تعریف شده که برای امنیت بیشتر در هنگام لاگین و ثبت اطلاعات در وردپرس استفاده می شه که در همین فایل ذخیره می شه. مطمئن شید که اون ها رو از حالت پیش فرض خارج کردید و تغییرشون دادید. اما از اونجایی که ماها به رمز مقدس ۱ تا ۶ هیچ وقت خیانت نمی کنیم (یا گشادبازی یا بی خیالی :دی ) جنابان توسعه دهندگان وردپرس خودشون یه ابزاری رو در اختیار ما قرار می دن برای تولید تصادفی و امن این کلید ها. می تونید به این آدرس مراجعه کنید و نتیجه رو ببینید.
پیشوند جدول های پایگاه داده به طور پیشفرض wp_ هستش که این رو می تونید خودتون تغییر بدید. برای امنیت بهتر می تونید در هنگام نصب وردپرس این بخش رو تغییر بدید یا در فایل wp-config.php هم می تونید به صورت دستی قبل از نصب انجامش بدید.
من توصیه می کنم که حتمن این کارو انجام بدید.
برای نصب این افزونه می تونید به این آدرس برید.
WordPress Security Scan
افزونه های دیگه ای هم برای این کار وجود دارن که می تونید از اونها هم استفاده کنید که یکی از بهترین هاشون هم VaultPress هستش که رنکینگ خوبی هم داره.
برای نصب این افزونه به این صفحه مراجعه کنید :
Ask Apache Password Protect
لطفاً علاوه بر انتخاب نام کاربری مناسب دقت کنید که گذرواژه ی خوب و مطمئنی هم انتخاب کنید. یه گذرواژه ی مناسب تشکیل شده از حروف کوچک، حروف بزرگ، اعداد و علائم. برای نمونه به این گذرواژه دقت کنید :
اگر نمی دونید که گذرواژه ای که انتخاب کردید به اندازه ی کافی امن هست یا نه می تونید به این سایت برید و یه گذرواژه ی مناسب ازش بگیرید :D
خوب خوشبختانه برای وردپرس تقریبن هر کاری رو براتون ممکن می کنه و خیلی راحت می تونید با استفاده از افزونه هایی که نوشته شدن برای خودتون بدون دردسر پشتیبان تهیه کنید. برای مثال می تونید از این دو افزونه استفاده کنید :
این رو هم باید عنوان کنم که امنیت یک سایت فقط به کدنویسی و سیستمش نیست. خود سرور هم بخشی از امنیت رو به عهده داره. بنابراین در انتخاب سرورهاتون هم باید دقت کنید.
براتون آرزوی سایتی امن و خیالی راحت دارم.
شاد باشید
منبع: nettuts
نکته ی نخست: همیشه به روز باشید
وردپرس در هر آپدیتی که توی پیشخوان پیشنهادش رو به شما می ده همراه با فیکس کردن و برطرف کردن مشکلات امنیتیه. بنابراین هیچوقت از کنار این هشدارها بی خیال رد نشید (شاید خیری در آن باشد که شما نمی دانید :دی ). اگر دیدید که وردپرس نیاز به بروزرسانی داره بدون شک روش کلیک کنید و همیشه آخرین نسخه رو داشته باشید.
بدون اغراق باید عرض کنم خدمتتون که مهمترین نکته ی امنیتی برای شما و وردپرس شما همینه. اینکه همیشه به روز باشید. اما خوب مشکل دیگه ای هم توی این به روز بودن هست و اون اینه که ممکنه که افزونه ی خاصی استفاده کرده باشید که با نسخه ی جدید دیگه کار نکنه.
اولین سوالی که باید از خودتون بپرسید اینه که آیا افزونه ی جایگزین دیگه ای می تونید براش پیدا کنید؟ اگر پاسختون آره ست که بلافاصله افزونه رو نصب کنید و وردپرس رو به روز کنید. در غیر این صورت باید منتظر باشید تا توسعه دهنده های افزونه اون رو با نسخه ی جدید سازگار بکنن (البته اگه خودتون توسعه دهنده نیستید و نمی تونید گلیم خودتون رو از آب بکشید بیرون :دی) حداقل باید نکته های دیگه ی امنیتی رو رعایت کنید تا کمتر مورد حمله قرار بگیرید.
نکته ی دوم: کلیدهای رمز در wp-config.php
تمامی اطلاعات حساس و مهم شما در فایل wp-config.php در شاخه root قرار داره و کلید رمز هایی هم تعریف شده که برای امنیت بیشتر در هنگام لاگین و ثبت اطلاعات در وردپرس استفاده می شه که در همین فایل ذخیره می شه. مطمئن شید که اون ها رو از حالت پیش فرض خارج کردید و تغییرشون دادید. اما از اونجایی که ماها به رمز مقدس ۱ تا ۶ هیچ وقت خیانت نمی کنیم (یا گشادبازی یا بی خیالی :دی ) جنابان توسعه دهندگان وردپرس خودشون یه ابزاری رو در اختیار ما قرار می دن برای تولید تصادفی و امن این کلید ها. می تونید به این آدرس مراجعه کنید و نتیجه رو ببینید.
نکته ی سوم: پیشوند پایگاه داده
پیشوند جدول های پایگاه داده به طور پیشفرض wp_ هستش که این رو می تونید خودتون تغییر بدید. برای امنیت بهتر می تونید در هنگام نصب وردپرس این بخش رو تغییر بدید یا در فایل wp-config.php هم می تونید به صورت دستی قبل از نصب انجامش بدید.
من توصیه می کنم که حتمن این کارو انجام بدید.
نکته ی چهارم: محافظت از wp-config.php
این فایل مهمترین فایل شماست. تمامی اطلاعات مهم شما در این فایل ذخیره می شه مثل نام کاربری و گذرواژه ی اتصال به دیتابیس. بنابراین باید مراقب این فایل باشید. برای این کار می تونید این تکه کد رو در فایل htaccess. اضافه کنید :
order allow,deny
deny from all
نکته ی پنجم: محافظت از htaccess.
با روش بالا تونستیم از فایل wp-config.php محافظت کنیم. اما خود فایل htaccess. چی؟ برای این کار هم می تونید از همون روش استفاده کنید. به کد زیر دقت کنید :
order allow,deny
deny from all
نکته ی ششم: مخفی کردن نگارش وردپرس
اگر نمی تونید وردپرس خودتون رو آپدیت کنید بهتره حداقل شماره ی نگارش اون رو مخفی کنید. هر نگارش از وردپرس راه ها و درزهای خودش رو داره برای هک کردن و با این کار هکرهای گرامی دیگه نمی تونن درز موردنظر رو پیدا کنن و از همون روش اقدام کنن. بنابراین فکر می کنم ایده خوبی باشه اینکه نگارش رو نمایش ندید. برای این کار فایل function.php رو در قالب جاری باز کنید و این کدها رو اضافه کنید :
remove_action('wp_header', 'wp_generator');
همچنین با این کدها علاوه بر این بخش می تونید در بخش RSS سایت هم اطلاعات مربوطه رو پاک کنید :
function wpt_remove_version() {
return '';
}
add_filter('the_generator', 'wpt_remove_version');
نکته ی هفتم: نصب افزونه WordPress Security Scan
این افزونه وردپرس شما رو اسکن می کنه و پیشنهادهای امنیتی خودش رو بر اساس وردپرسی که نصب کردید بهتون می ده. این افزونه می تونه :- پسوردها
- مجوزهای دسترسی برای فایل ها
- امنیت پایگاه داده
- محافظت بخش مدیریت
برای نصب این افزونه می تونید به این آدرس برید.
WordPress Security Scan
افزونه های دیگه ای هم برای این کار وجود دارن که می تونید از اونها هم استفاده کنید که یکی از بهترین هاشون هم VaultPress هستش که رنکینگ خوبی هم داره.
نکته ی هشتم: محدود کردن تعداد دفعات ورود
ممکنه هکر ها ربات هایی رو برای این کار بنویسن که با پرکردن فرم لاگین و ارسال اون سایت رو دان کنن یا ... برای جلوگیری از این کار می تونید از افزونه ای برای مدیریت این بخش استفاده کنید. نام این افزونه login lockdown هستش که می تونید برای دانلودش به اینجا مراجعه کنید.نکته ی نهم: Ask Apache Password Protect
یه افزونه ی خوب دیگه برای محافظت از سایتتون اینه که این افزونه ی خوب رو نصب کنید. این افزونه با استفاده از اجازه ی دسترس 401 می تونه کاربران سایت رو محدودتر کنه. این افزونه در بخش مدیریت برای اعمال تنظیمات تغییرات ساده ای رو انجام می ده که می تونید پس از نصب یه نگاهی بهش بندازید.برای نصب این افزونه به این صفحه مراجعه کنید :
Ask Apache Password Protect
نکته ی دهم: admin نام مناسبی برای مدیر نیست
به طور پیشفرض وردپرس نام کاربری مدیر رو admin قرار داده که شما می تونید در هنگام نصب این نام رو عوض کنید. این قابلیت از ودرپرس3 به بعد اضافه شده و میتونید یه نام کاربری دیگه برای خودتون انتخاب کنید.لطفاً علاوه بر انتخاب نام کاربری مناسب دقت کنید که گذرواژه ی خوب و مطمئنی هم انتخاب کنید. یه گذرواژه ی مناسب تشکیل شده از حروف کوچک، حروف بزرگ، اعداد و علائم. برای نمونه به این گذرواژه دقت کنید :
abcABC123!@#اینگونه گذرواژه ها از لحاظ امنیتی خیلی خوب و مطمئن هستن پس تو انتخاب گذرواژه هم دقت کنید.
اگر نمی دونید که گذرواژه ای که انتخاب کردید به اندازه ی کافی امن هست یا نه می تونید به این سایت برید و یه گذرواژه ی مناسب ازش بگیرید :D
نکته ی یازدهم: پشتیبان گیری
نسخه پشتبان گرفتن (backup) از اطلاعاتتون همیشه به دردتون می خوره. نه تنها در زمانی که سایتتون هک بشه. حتی ممکنه مشکلی برای سرورتون پیش بیاد. یا حتی بخواید سرورتون رو عوض کنید یا هزار مشکل دیگه. نباید فراموش کنید که پس از هر بار به روزرسانی سایتتون یک نسخه ی پشتیبان تهیه کنید.خوب خوشبختانه برای وردپرس تقریبن هر کاری رو براتون ممکن می کنه و خیلی راحت می تونید با استفاده از افزونه هایی که نوشته شدن برای خودتون بدون دردسر پشتیبان تهیه کنید. برای مثال می تونید از این دو افزونه استفاده کنید :
سخن آخر :
چیزی که در اون هیچ شکی نیست اینه که قطعن راه های افزایش امنیت وردپرس فقط همین گزینه هایی که عنوان کردیم نیستند و شما می تونید کارهای دیگه ای هم انجام بدید. مثل نصب کردن کپچا (captcha) برای جلوگیری از حمله ی ربات ها و خیلی چیزهای دیگه. اما با انجام این کارها می تونید مطئن شید که تا حدودی امنیت سایتتون خوبه و کمی از نگرانی تون کم می کنه.این رو هم باید عنوان کنم که امنیت یک سایت فقط به کدنویسی و سیستمش نیست. خود سرور هم بخشی از امنیت رو به عهده داره. بنابراین در انتخاب سرورهاتون هم باید دقت کنید.
براتون آرزوی سایتی امن و خیالی راحت دارم.
شاد باشید
منبع: nettuts
باتشکر