صفحه اصلی پورتال > مرکز آموزش > هاستینگ > Scripts > WordPress > افزایش امنیت وردپرس


افزایش امنیت وردپرس




در این نوشته به معرفی دو پلاگین امنیتی کاربردی برای افزایش وب سایت های وردپرسی می پردازیم . اگر وب سایت وردپرسی دارید که ترافیکش رو به افزایش هست حتما جهت جلوگیری از هک شدن و از بین رفتن زحمات و اعتبار وب سایتتان این دو پلاگین را به کار بگیرید : 

1- wordpress all in one security and firewall 
پلاگین افزایش امنیت وردپرس
این پلاگین با داشتن بیش از 20 عملکرد امنیتی مختلف و با داشبورد و اینترفیس زیبایی که دارد در بالا بردن امنیت وب سایت شما به طور چشم گیری موثر هست و نصب آن به کلیه دارندگان وب سایت های وردپرسی بسیار توصیه می شود . در زیر به معرفی برخی از عملکردهای مفید این پلاگین می پردازیم :
1- کنترل یوزرهای ساخته شده در وردپرس و کنترل عدم وجود کاربران پیش فرض که قابل حدس زدن برای هکرها می باشند مثلا کاربر admin
2-قابلیت بک آپ گیری از دیتابیس ، فایل کانفیگ وردپرس و فایل .htaccess
3-قابلیت بررسی پیشوند جداول دیتابیس وردپرس : به طور پیشفرض جداول دیتابیس وردپرس پیشوند wp_ را دارند که توسط همین خیلی راحت هکرها می توانند اطلاعات به دیتابیس شما تزریق کنند و توسط این پلاگین می توانید پیشوند جداول پایگاه داده وردپرس را به پیشوند غیرپیشفرض تغییر بدهید.
4-اسکن دیتابیس برای کدهای خطرناک تزریق شده به آن از طریق کامنت ها و یا نصب پلاگین های مخرب مثل کدهای جاوااسکریپت و یا اف تی پی و پی اچ پی خطرناک و حذف آنها
5-جلوگیری از تزریق کدهای خطرناک از طریق کامنت ها و سایر حملات XSS attacks
6-فعال سازی captcha code برای صفحات ورود به سایت و ارسال کامنت برای جلوگیری از بات های مخرب و ارسال کننده کامنت های تبلیغاتی 
7-مسدود سازی اتوماتیک آی پی های بات ها و افرادی که بیش از حد تعیین شده سعی در ورود به سایت با ارسال رمز و کدهای اشتباه را دارند.
8-اسکن دایرکتوری ها و ارسال گزارش تغییر در فایل ها ( برای تشخیص حالتی که هکر فایل های سایت شما را تغییر می دهد و یا فایل جدیدی به هاست شما آپلود می کند ) 
9-کنترل سطح دسترسی صحیح به فایل ها و دایرکتوری های شما
10- جلوگیری از دسترسی به فایل های شناخته شده وردپرس : یکی از راه های هک وب سایت ها استفاده از آدرس فایل های شناخته شده در اسکریپت های معروف می باشد مثلا فایل wp-login.php در همه سایت های وردپرسی وجود دارد و یک هکر به راحتی می تواند با تزریق کد به فایل هایی که همواره همراه اسکریپت های معروف وجود دارند برای خودش دسترسی به سرور باز کند و shell code های مخرب به سرور آپلود کند. 
11-پیش گیری از دسترسی به فایل های کانفیگ سایت و تنظیم سطوح دسترسی صحیح برای فایل های کرنل وردپرس 
12- فعال سازی فایروال نرم افزاری برای جلوگیری از حملات Ddos و ریدایرکت کردن آنها به خود آی پی های حمله کننده ( جلوگیری از حملات Ddos واقعی توسط فایروال های نرم افزاری تقریبا غیرممکن است اما به هر حال تا جایی که منابع سخت افزاری سرور و تنظیمات نرم افزاری آن اجازه می دهد به رفع دیداس کمی کمک خواهد کرد.)
13-جلوگیری از حملات BruteForce , Dictionary attacks که در آن هکرها با امتحان نام های کاربری و پسوردهای مختلف سعی در پیداکردن رمز ادمین و ورود به پنل مدیریت و در اختیار گرفتن کنترل وب سایت شما خواهند داشت . 
14-قابلیت حذف meta tag wordpress که در هدر تمامی سایتهای وردپرسی قرارداده می شود و به راحتی به هکرها نشان می دهد که سایت شما از اسکریپت وردپرس استفاده می کند !
15-امکان بستن کلیک راست و کپی متن صفحات شما
و ...

باز هم نصب این پلاگین ها را به شدت توصیه می کنیم . ممکن است برخی از تنظیمات و کدهایی که توسط این پلاگین در htaccess سایت شما قرارداده می شود توسط تنظیمات سرور شما مجاز نباشد و باعث اختلال در عملکرد سایت شما بشود در نتیجه قبل از اعمال تغییرات در تنظیمات سایتتان از فایل wp-config.php , .htaccess بک آپ بگیرید که در صورت بروز مشکل بتوانید فایل های اصلی را جایگزین کنید و سایتتان را مجدد تنظیم نمایید. 
کاربران هاستینگ انفورماتیک رویای پارسیان می توانند با ارسال تیکت فایل تنظیمات آماده این پلاگین که با سرور مطابقت دارد را از ما دریافت کنند و به راحتی در پلاگین import کنند و امنیت وب سایتشان را بالا ببرند.

2- wordpress lockdown wp admin
یکی از راه های نفوذ به وب سایت ها حملات دیکشنری بات ها به صفحات پیش فرض پنل های مدیریت اسکریپت های معروف و شناخته شده هست . بدین ترتیب که آدرس پیش فرض ورود به سایت شما را زیر dictionary attack می گذارند و ترکیب کلمات مختلف را روی ورود به وب سایت شما آزمایش می کنند و در صورتی که امنیت تنظیم رمزعبور سخت را رعایت نکرده باشید به راحتی رمز عبور شما را پیدا کرده و به پنل مدیریت وب سایت شما وارد میشوند و بعد حالا یا از وب سایت شما سوء استفاده می کنند و فایل های مخرب به سرور آپلود می کنند و سایر وب سایت های روی آن سرور را هم هک می کنند و یا اینکه از سایت شما برای صفحات Phishing و دزدیدن اطلاعات کارت های اعتباری استفاده می کنند و یا ایمیل های انبوه تبلیغاتی می فرستند و یا کلا سایت شما را deface می کنند و یک قالب موقت روی سایت شما بالا می آورند و با عکس و screenshot گرفتن از سایت هک شده شما در سایت های گزارش نفوذ اعتبار سایت شما را زیر سوال می برند . 
توسط این پلاگین می توانید آدرس wp-admin , wp-login.php را به یک آدرس که خودتان می خواهید تغییر دهید . مثلا http://domain.com/users  

تفاوت این اسکریپت با اسکریپت های مشابه و حتی قابلیتی که برای چنین عملکردی در پلاگین قبلی وجود دارد این هست که زمانی که شما آدرس پنل مدیریت را تغییر می دهید دسترسی به دایرکتوری wp-admin و یا فایل wp-login.php واقعا از بین میرود و تشخیص اینکه سایت شما وردپرس هست اندکی برای هکرها سخت می شود . در پلاگین های مشابهی که تست کرده ام زمانی که شما آدرس ورود به پنل مدیریت را عوض می کنید عملا فقط یک آدرس جدید به آدرس های قبلی اضافه می شود و وقتی شما wp-admin را وارد می کنید به آدرس جدید که ثبت کرده اید مثلا domain.com/users ریدایرکت می شوید و عملا باز هم آدرس های پیش فرض کار می کنند و خوب برای هکر تشخیص اینکه سایت شما وردپرس هست و آدرس پیش فرضش به چه صورت هست عملا سخت نیست و تغییر آدرس مدیریت و صفحه ورود کاربران فقط در شخصی سازی وب سایتتان موثر واقع می شود ! 

هر دو پلاگین تا وردپرس 3.8 و 3.9.1 تست شده اند و به خوبی کار می کنند .




3 - کنترل پروسس های Word Press CronJob : 
    یکی از مواردی که خیلی مصرف سی پی یو وردپرس را بالا می برد پروسس های کران جاب وردپرس هست که توسط wp-cron.php انجام می شوند. برای کنترل این پروسس ها می توانید از پلاگین زیر استفاده کنید :
    http://wordpress.org/plugins/wp-crontrol/

4 - کنترل مصرف پلاگین های Word Press  : 
توسط این پلاگین ها می توانید بررسی کنید که کدام پلاگین بیشترین مصرف رم و زمان اجرای کوئری دیتابیس را دارد : 
http://wordpress.org/plugins/p3-profiler/

5- پلاگین کنترل کوئری های وردپرس : 
http://wordpress.org/plugins/memory-viewer/

6-پلاگین دیباگر وردپرس wordpress debugger plugin  : 
http://wordpress.org/plugins/debug-bar/


آخرین به روز رسانی نوشته : 1393.04.18


آیا این پاسخ مفید بود؟

افزودن به علاقه مندی ها افزودن به علاقه مندی ها    چاپ این مقاله چاپ این مقاله

خوانده شده

زبان: