اگر شما مالک یک سایتی هستید که از وردپرس برای ایجاد آن استفاده شده، احتمالا دلیل این انتخاب ویژگی ها و امکانات امنیتی فراوانی است که در وردپرس وجود دارد. به روز رسانی های مداوم وردپرس و رفع باگ ها و ایرادات امنیتی یکی از دلایل اصلی انتخاب این CMS برای طراحان سایت محسوب می شود.
علاوه بر این، این پلتفرم بزرگترین و متداول ترین CMS متن باز یا همان open source در اینترنت است و بیش از ۱۵ سال است که امکانات بی نظیر و به روز رسانی های منظم و عالی در اختیار کاربران قرار داده است.
با وجود عناصر محافظتی فراوان موجود در وردپرس، بسیار ساده لوحانه خواهد بود اگر فکر کنید وب سایت شما شکست ناپذیر است.
شاید شنیده باشید که پنهان کردن نسخه وردپرس، یکی از بهترین اقدامات امنیتی در وردپرس است. در این مقاله ، تمام مواردی را که باید در مورد مخفی کردن نسخه وردپرس بدانید، همراه با سایر اقدامات مهم امنیتی که برای ایمن سازی وب سایت خود باید انجام دهید، را توضیح خواهیم داد.
آیا باید شماره نسخه وردپرس خود را مخفی کنید؟
هنگام راه اندازی سایت وردپرسی، باید بدانید که تنظیمات پیش فرض ممکن است “رد پایی” از سایت شما به جا بگذارد. این امر اساسا برای اهداف ردیابی است، اگرچه تیم WP احتمالاً با اهداف برندینگ نیز این کار را انجام می دهد.
وقتی صحبت از افسانه امنیتی وردپرس مبنی بر مخفی کردن شماره نسخه وردپرس می شود، دو نوع اطلاعات عمدتا غلط وجود دارد:
- می توانید شماره نسخه را کاملاً مخفی کنید (نمی توانید)- حتی اگر ربات هایی وجود داشته باشند که فقط به دنبال شماره نسخه در اینترنت باشند، شما نمی توانید تمام آثار شماره نسخه را مخفی کنید.
پوشاندن wp_generator فقط نسخه را از یک مکان حذف می کند. - این کار آسیب پذیری های موجود در سایت را پنهان می کند (اینطور نیست!)- این شماره نسخه وردپرس نیست که آسیب پذیره، اگر نرم افزارهای سایت خود را به روز نکنید، به این معناست که به صورت بالقوه حفره های امنیتی شناخته شده را در سایت خود رها کرده اید. و صرفا با پنهان کردن نسخه وردپرس، هیچ کار پیشگیرانه ای انجام نشده است.
شماره نسخه وردپرس خود را مخفی نکنید
مخفی کردن نسخه وردپرس و در عین حال استفاده از نسخه قدیمی وردپرس بزرگترین اشتباه امنیتی است که می توانید مرتکب شوید.
به یاد داشته باشید که به روزرسانی سایت وردپرسی خود به آخرین نسخه از مهمترین نکات امنیتی وردپرس است. اگر اصرار دارید از نسخه قدیمی وردپرس استفاده کنید، سایت خود را در معرض خطر قرار خواهید داد.
نرم افزار منسوخ شده مقصر شماره ۱ حملات موفق است.
دو دلیلی که باعث شد ویژگی «پنهان کردن نسخه WP» از افزونه امنیتی iThemes حذف شود:
در نهایت، به این دلایل توسعه دهندگان افزونه iThemes Security تصمیم گرفتند ویژگی مخفی کردن نسخه وردپرس یا “Hide WP Version” را از این افزونه امنیتی وردپرس حذف کنند:
- به مردم احساس امنیت کاذب می داد:
مخفی کردن نسخه وردپرس باعث شد افراد احساس امنیت در سایت های خود کنند و آنها را از استفاده از روش های بهتر و موثرتر مانند احراز هویت دو عاملی بازداشت.
۲. این کارآسیب پذیری های موجود در نسخه های منسوخ شده وردپرس را برطرف نمی کند:
حتی اگر یک مهاجم نسخه وردپرس شما را نداند، هنوز هم می تواند از یک آسیب پذیری استفاده کند. همواره اجرای آخرین نسخه از هر نرم افزار، بهترین روش حفظ امنیت است.
چرا مخفی کردن نسخه وردپرس برای امنیت بهتر وردپرس کافی نیست؟
اگر هنوز متقاعد نشده اید و فکر می کنید که مخفی کردن نسخه وردپرس می تواند نقطه شروع امنیت بیشتر وردپرس باشد، قطعاً این کار نباید تنها اقدامی باشد که انجام می دهید. سارقان و مهاجمان سایبری از روش های پیشرفته تری نسبت به گذشته استفاده می کنند و به توسعه ایده های جدید ادامه می دهند.
بنابراین، ضروری است که با اجرای مجموعه ای از ویژگی های امنیتی دیگر، از بازی آنها جلوتر باشید. عدم انجام این کارها می تواند منجر به انبوهی از مشکلات شود، از جمله:
- حملات به سیستم: شما را وادار به بستن موقت وب سایت تا رفع مشکلات می کند.
- حملات به کاربران: که می تواند شما را مسئول خسارات مالی قرار دهد.
- از دست رفتن اعتبار: که می تواند فروش آینده شما را برای سالهای آتی تحت تأثیر قرار دهد.
- آرامش روحی تان را به هم بزند: یعنی دیگر نمی توانید روی شغل موجود تمرکز کنید.
- حملات به کارمندان و سایر کاربران: که می تواند پیامدهای جدی نیز به همراه داشته باشد.
- کنترل امور مالی را از دست بدهید: به دلیل بهره برداری مستقیم آن از طریق هکرها
اساساً، تامین امنیت وردپرس برای سلامت روحی و همچنین به خاطر امور مالی و بازدیدکنندگان سایت مهم است.
بهترین اقدامات امنیتی در سایت های وردپرسی
تنها راه حل ممکن ترکیب چندین اقدام امنیتی مرتبط با وردپرس است که در واقع می تواند وب سایت شما را با قفل کردن دسترسی های غیر مجاز به وب سایت و فایل های آن ایمن کند.
داشتن یک برنامه جامع برای محافظت از وب سایت، شما را در موقعیت بسیار قوی تری قرار می دهد و در عین حال ترس شما (و ترس مشتری های شما) را از بین می برد.
در ادامه ۱۰ مرحله ساده برای کمک به ارتقا سطح امنیت وب سایت وردپرس آورده شده است:
۱- برای تأمین امنیت ورود به پیشخوان سایت، از احراز هویت دو عاملی وردپرس استفاده کنید.
احراز هویت دو عاملی اطمینان می دهد که ربات ها و هکرها نمی توانند از طریق حملات بروت فورس به حساب ها دسترسی پیدا کنند.
۲- استفاده از رمزهای عبور قوی
استفاده از ترکیبی از اعداد، حروف و کاراکترهای خاص در رمزهای عبور. همچنین بخش ورود و ثبت نام سایت را با فناوری captcha ایمن تر سازید.
۳- برای تعداد دفعات مجاز ورود به سیستم محدودیت ایجاد کنید.
این امر احتمال حملات بروت فورس را بسیار کاهش می دهد. دادن فرصت های نامحدود به هکرها برای حدس زدن رمز عبور به طور طبیعی شانس آنها را برای نفوذ به سایت افزایش می دهد.
۴- به هیچ وجه از افزونه ها و قالب های به روز نشده استفاده نکنید.
همچنین، افزونه ها یا قالب ها را از منابع غیر معتبر تهیه و نصب نکنید.
۵- حتما روی سایت خود یک افزونه امنیتی وردپرس مانند iThemes Security را نصب و فعال کنید.
این کار می تواند برای اهداف امنیتی استفاده شود و از قابلیت های آنها برای تامین بهترین پیشگیری های امنیتی بهره مند شد.
۶- انتخاب هاست مناسب
هاست با پشتیبانی مناسب انتخاب کنید که در مواقع ضروری، بلافاصله تهدیدهای بالقوه و حملات احتمالی را از بین ببرد.
۷- مجوزها و تنظیمات را در فایل ها و پوشه های مختلف تغییر دهید.
این کار برای محدود کردن دسترسی غیر مجاز به داده های کلیدی است. برای تنظیم سریع مجوزهای مناسب می توانید از افزونه iThemes Security استفاده کنید.
۸- نظارت بر ترافیک سایت و مسدود سازی بدافزارها
به علاوه دیگر تهدیدهای رایج سایت. سیستمی داشته باشید که گزارش های امنیتی وردپرس (Security Log) را اضافه و در اختیارتان قرار دهد.
۹- تلاشهای زیاد از آدرسهای IP ای که رفتارهای مشکوکی از خود نشان می دهند، مسدود کنید.
تلاش ها و اقداماتی که به نظر می رسد از سمت هکر باشد. برای این کار از ویژگی لیست سیاه و تشخیص خطای ۴۰۴ افزونه iThemes Security استفاده کنید.
۱۰- در همه سایت های وردپرسی خود از SSL استفاده کنید.
گواهینامه های SSL جهت ایمن نگه داشتن اطلاعات در وب سایت شما کاملاً لازم هستند.
آخرین نکته: یک برنامه پشتیبان گیری وردپرس قوی داشته باشید.
با این کار در صورت هک شدن، به راحتی می توانید نسخه تمیز وب سایت خود را بازیابی کنید. از یک افزونه پشتیبان وردپرس مطمئن مانند BackupBuddy استفاده کنید که نسخه های پشتیبان گیری شما را در خارج از سایت ذخیره می کند.
حرف آخر: از استراتژی های امنیتی جامع وردپرس استفاده کنید که در واقع امنیت شما را بهبود می بخشد
تامین امنیت وب سایت یک نیاز اساسی است و همه صاحبان وب سایت ها باید به آن توجه کنند. اگر چه استفاده از وردپرس به دلیل ویژگی های پیشرفته ای که دارد خطرات احتمالی را تا حدودی کاهش می دهد، اما ضروری است برای اطمینان از محافظت سایت در برابر هکرها و ربات ها، تغییرات لازم را اعمال کنید. با انجام اقدامات امنیتی وردپرس برای ایمن سازی سایت خود، می توانید مطمئن شوید که امنیت سایت تحت کنترل شماست.
