با امنیت وردپرس آشنا شویم – امنیت وردپرس (قسمت 1)
در این مقاله خواهیم خواند :
- ورود به وردپرس
- امنیت رمزعبور
- ایجاد نوشته ها و برگه ها به شیوه امن
- اسپم دیدگاه
- جستجو و نصب قالب ها
- جستجو و نصب افزونه ها
- از کدها و ابزارک های خطرناک دور بمانیم
- ساخت کاربر جدید به شیوه امن
- استفاده از FTP بصورت امن
- نتیجه گیری
اگر به تازگی وارد مباحث مدیریت وردپرس و امنیت وردپرس شده اید، بنابراین مقاله مناسبی را برای خواندن انتخاب کرده اید. در این مقاله راجع به موارد پایه ای امنیت وردپرس و مدیریت امن وردپرس صحبت خواهیم کرد. مباحث ساده ای همچون به روزرسانی مداوم افزونه ها، انتخاب رمزعبورهای قوی برای کاربرانتان و دیگر مباحث مختلف در این زمینه، پایه و اساس امنیت وردپرس هستند.اگر این مطالب برای شما بسیار ساده به نظر می رسند، پیشنهاد می کنم تیترها را مرور کرده و سپس به سراغ مطالب بعدی ما در همین زمینه مراجعه کنید.
ورود به وردپرس
ورود به وردپرس تقریبا اولین کاری است که قبل از هرگونه کار مدیریتی انجام می دهیم. ورود به بخش مدیریت وبسایت ممکن است یک کار ساده و غیرمرتبط به نظر بیاید، ولی در واقعیت اینطور نیست. اقدامات امنیتی مشخصی وجود دارد که باید در هنگام ورود به وردپرس رعایت کنید تا از امنیت وردپرس تان حفاظت کنید.
امنیت وردپرس : قربانی فیشینگ نشوید
امنیت وردپرس از لحظه ای که می خواهید وارد وبسایت شوید تا کارهای مدیریتی را انجام دهید، شروع می شود. نام دامنه ای که وارد آن می شوید را چک کنید. یکی از تاکتیک های معمول هکرها این هست که یک ایمیل حاوی یک لینک را برای شما می فرستند و از شما می خواهند تا برای استفاده از یک سرویس وارد آن شوید. صفحه ورود این سرویس احتمالا بسیار شبیه به صفحه ورود وردپرس شماست ولی با یک تفاوت که این وبسایت مخرب است و برای این تهیه شده است تا شما را گول بزند.در این شرایط نه بر اساس ظاهر، بلکه براساس نام دامین در مورد وبسایت قضاوت کنید.
زمانی که شما نام کاربری و رمزعبور خود را وارد صفحه ی جعلی می کنید، آنها این اطلاعات را ذخیره می کنند و از آن برای ورود به وبسایت شما استفاده می کنند.این تکنینک “فیشینگ” نامیده می شود.
راه حلی که برای اجتناب از افتادن در تله فیشینگ وجود دارد، این است که قبل از وارد کردن اطلاعات ورود، نام دامنه را در مرورگر خود چک کرده و اطمینان حاصل کنید که در حال ورود به وبسایت خودتان هستید.
امنیت وردپرس : تا حد امکان فقط از HTTPS استفاده کنید
استفاده از یک ارتباط امن، بخش مهمی از امنیت وردپرس را تشکیل می دهد. قبل از ورود به وبسایت، قسمت آدرس مرورگرتان را چک کنید تا مطمئن شوید که از پروتکل HTTPS استفاده می کنید، به اینصورت که قبل از نام دامنه باید https:// باشد و در اکثر مرورگرها با رنگ سبز نشان داده می شود. معمولا یک آیکن قفل هم وجود دارد که برای نشان دادن امن بودن ارتباط به کار می رود. ورود به وردپرس از بستر HTTPS ما را از این مهم آگاه می سازد که اطلاعاتمان رمزنگاری شده است و در صورتی که یک نفر در شبکه مشغول شنود باشد، نمی تواند به نام کاربری و رمزعبور ما بصورت نوشتار واضح و غیررمز دسترسی پیدا کند.
بسیاری از وبسایت های ورپرسی از HTTPS استفاده نمی کنند و اگر احتمالا شما هم یکی از آنها هستید، با مدیر وبسایت خود تماس بگیرید و از او بخواهید که به HTTPS ارتقا پیدا کنید. اینکار معمولا نیازمند دریافت گواهینامه HTTPS از مراجع صادر کننده گواهینامه های دیجیتالی است. هزینه گواهینامه ها از بازه ی رایگان تا ۱۰۰۰ دلار است و بستگی به این دارد که چه نوع گواهینامه ای و از چه کسی دریافت می کنید.
امنیت رمزعبور
امنیت وردپرس : رمزعبور قوی انتخاب کنید
دلایل مختلفی برای انتخاب یک رمزعبور قوی وجود دارد. اولین دلیل جلوگیری از حدس زدن رمزعبورتان توسط هکرها از طریق حمله ی brute-force است. دلیل دوم این است که اگر به نحوی وبسایت شما هک شد، کرک کردن یا همان شکستن رمزعبورتان آسان نباشد. در مقاله دیگری در آینده، به طور مفصل در مورد رمزعبورها و نحوه کرک شدن آنها به طور کامل توضیح خواهیم داد.
معمولا شما باید یک رمزعبور با حداقل طول ۱۲ کاراکتر و متشکل از حرف ها، عددها و سمبل ها داشته باشید و ترجیحا حروف انگلیسی نیز کمتر استفاده کنید. قدرت رمزعبور یکی از مهمترین عوامل در امنیت وردپرس به شمار می رود.
امنیت وردپرس : رمزعبور را به شیوه ای امن ذخیره کنید
یکی از مشکلات انتخاب رمزعبورهای قوی این است که به سختی به یاد سپرده می شوند. در این قسمت روش های مختلفی برای ذخیره رمزعبورهایتان پیشنهاد خواهیم داد و در مورد مزایا و معایب هرکدام از آنها خواهیم گفت. یکی از این روشها که برای شما مناسب است را انتخاب کنید و به یاد داشته باشید که هیچکدام عالی نیستند:
- از سرویس های password wallet که به فارسی می توان کیف رمزعبور نامید مانند 1password استفاده کنید.این سرویس به شما اجازه می دهد رمزعبورهای خود را بصورت رمز شده ذخیره کرده و برای حفاظت از آن یک رمزعبور اصلی استفاده کنید. این سرویس نیز ممکن است مورد نفوذ قرار بگیرد و تمام رمزعبورهای شما یکجا به سرقت برود. مزیت استفاده از این روش این است که شما دیگر نیاز به حفظ کردن رمزهای عبورتان ندارید.
- رمزعبورهایتان را در جایی یادداشت کنید. این کار آسان ولی بسیار پر ریسک است. اگر شخصی مثلا بتواند وارد محل کار شما شود، رمزهای عبورتان را قطعا سرقت خواهد کرد.
- رمزعبورها را حفظ کنید. این روش بسیار امن است چون فعلا نمی توان مغز شما را هک کرد اما امکان فراموشی رمزعبورها وجود دارد و در صورت بروز، برای بازنشانی مراحل مشخصی را باید طی نمایید.
- از فرمول خودساخته برای رمزعبور استفاده کنید. برای مثال : بعضی از حروف دامین خود را انتخاب کنید و به اول و آخر رمزعبوری که همیشه در یاد دارید اضافه کنید و در نهایت شما یک رمزعبور خاص برای هر وبسایت خواهید داشت و می توانید به راحتی آن را به یاد داشته باشید. این روش بسیار امن است، البته در صورتی که فرمول مورد استفاده برای تولید رمزعبور، خروجی با رمزعبور قوی داشته باشد.
روش های ذخیره سازی رمزعبورهایتان را خواندید. یکی از آنها که برای شما مناسب است را انتخاب کنید و استفاده کنید. به یاد داشته باشید که رمزعبور قوی برای وبسایت وردپرسی تان انتخاب کنید، مخصوصا برای سطح دسترسی ادمین.
ایجاد برگه ها و نوشته ها بصورت امن
انتشار برگه و نوشته ی جدید شاید کار خیلی روتین و بدیهی ای به نظر بیاد و ریسک امنیتی مهمی تو این فرآینده دیده نشود، اما چند نکته مهم وجود دارد که برای جلوگیری از سرقت اطلاعات باید از آنها آگاه بود.
امنیت وردپرس : کدهای غیرقابل اطمینان را embed نکنید
جاسازی کردن کدهای جاوا اسکریپت و یا دیگر کدها در نوشته ها و یا برگه ها که به آن embed کردن می گوییم، ممکن است باعث شود تا نویسنده کد به اطلاعات حساس شما دست یابد. اطلاعاتی همچون کوکی های بازدید کننده های وبسایت که البته خود شما هم به عنوان ادمین بخشی از این جامعه هستید. دزدیده شدن کوکی های شما می تواند دسترسی شما را تقدیم هکر کند.
قبل از آنکه هر کدی را به راحتی وارد نوشته یا برگه هایتان بکنید تا مثلا یک ویدیو نشان دهید و یا از یک ابزارک جاوا اسکریپتی بهره ببرید، اول مطمئن شوید که منبع قابل اعتماد است. آیا به شرکتی که این کد را به شما ارائه می دهد اطمینان دارید؟ مثلا اگر ویدیو پخش می کنید و از یوتیوب، آپارات استفاده می کنید، خیالتان راحت خواهد بود.اما اگر از سایت های غیرمعروف و مشکوک قرار است برای اینکار استفاده کنید، احتمالا بخاطر امنیت، باید در تصمیمتان تجدید نظر کنید. بررسی کد قبل از embed کردن آن در سایتتان بخش جدایی ناپذیری از امنیت وردپرس است.
امنیت وردپرس : آگاهی از شرایط نویسندگی بصورت مهمان
وقتی که وبسایت شما شروع به جذب بازدید کننده از موتورهای جستجو می کند، شاید به فردی پیشنهاد دهید تا به عنوان مهمان در وبسایتتان بنویسد و مقاله منتشر نماید.اگر چنین فردی را به عنوان نویسنده مهمان انتخاب کردید، پیشنهاد می کنیم که برای نوشتن مقاله ها از ابزارهای دیگری مانند Google docs استفاده کنند.در این شرایط شما هم می توانید به راحتی محتوا را کپی و سپس محتوا را با نام نویسنده و به اعتبار و نام ایشان منتشر کنید.
اگر شما اجازه نگارش و تغییر نوشته و برگه ها را به نویسنده مهمان بدهید، در واقع سطح بالاتری از مجوزها را به او می دهید. در اینصورت باید نوشته های تولید شده توسط ایشان را با کلیک کردن برروی تب “متن” ملاحظه کنید تا مطمئن شوید هیچ کدی توسط آنان Embed نشده و یا لینکهایی به سمت وبسایت هایی که به آنها علاقه ای ندارید، وجود ندارد.
یادتان نرود که نوشته های منتشر شده توسط هر فردی بجز شما را برای کدهای غیرامن آنالیز کنید تا از عدم وجود لینک های اسپم و یا embed کدهای مخرب مطمئن شوید.
اسپم دیدگاه و بدافزارها
امنیت وردپرس : فیلترینگ اتوماتیک اسپم
شاید تعجب کنید که ما موضوع مقابله با اسپم ها را در امنیت وردپرس مطرح می کنیم. بعد از راه اندازی اولیه وبسایت وردپرسی، متوجه دیدگاه های اسپم در زباله دان خواهید شد که حاوی لینک هایی هستند که شما را به سمت وبسایت هایی پر از مزخرف هدایت می کنند. برای فیلتر کردن دیدگاه های اسپم ما به شما دو افزونه وردپرسی خوب را پیشنهاد می کنیم :
- Akismet – این افزونه بصورت عادی برروی وردپرس شما نصب است و برای فیلتر کردن دیدگاه های اسپم عالی کار می کند.
- Wordfence – وردفنس که یک افزونه امنیتی کامل است دارای چند ویژگی برای فیلتر کردن دیدگاه های اسپم دارد و می تواند آنها را شناسایی و وارد پوشه اسپم کند.
بعد از اینکه فیلتر اتوماتیک اسپم را راه اندازی کردید، متاسفانه متوجه این مساله خواهید شد که هنوز هم دیدگاه های اسپم از فیلترها عبور می کنند و نیاز دارید که بصورت دستی آنها را فیلتر کنید.
امنیت وردپرس : توسعه خط مشی فیلترینگ دستی اسپم
ما پیشنهاد می کنیم این مسیرها را دنبال کنید :
- هیچ دیدگاه حاوی کدهای embed شده و جاوا اسکریپتی را منتشر نکنید.
معمولا این مساله توسط وردپرس فیلتر شده و حل می شود، ولی آسیب پذیری هایی گاها رخ می دهد که اجازه می دهد کدها از این فیلتر عبور کنند.اگر کد را دیدید فقط کافیست آن را به عنوان اسپم نشانه کنید.مگر اینکه وبسایت مربوط به توسعه نرم افزار داشته باشید و اجازه دهید تا افرادی که دیدگاه ارسال می کنند کدهای نمونه خود را وارد نمایند. - به دیدگاه هایی که بدون لینک هستند، بیشتر از آنهایی که با لینک هستند اعتماد کنید. در حالت عادی، اسپمرها همیشه لینک وبسایت خود را در دیدگاه ها درج می کنند. افراد واقعی نیز همین کار را انجام می دهند، ولی معمولا وقتی دیدگاهی را بدون لینک می بینید به این معنی است که کسی که آن را گذاشته است علاقه زیادی به تبلیغ خود ندارد و اسپمرهای بسیار اندکی ممکن است چنین خصلتی داشته باشند.
- دیدگاه هایی که زبان آن را متوجه نمی شوید قبول نکنید.بدلایل مختلفی ممکن است دیدگاه هایی با زبان های مختلف از فیلترهای شما عبور کنند.از آنجایی که نمی دانید این دیدگاه ها چه می گویند، آن ها پاک کنید.زیرا ممکن است این دیدگاه ها در مورد مسائل سیاسی و یا صحبت هایی در مورد مسائل بزرگسالان باشد.
- دیدگاه هایی با تعداد لینک طولانی را با دقت بررسی کنید.معمولا این دسته از دیدگاه ها اسپم هستند.احتمال بسیار اندکی وجود دارد که شخصی دیدگاهی با لینک های بسیار بگذارد و این معمولا عادت اسپمرهاست.
امنیت وردپرس : بخش تنظیمات دیدگاه خود را چک کنید
داخل وردپرس به بخش “تنظیمات > گفتوگوها” بروید و در آنجا تنظیماتی که بخش دیدگاه های شما را کنترل می کنند را خواهید یافت.برایتان چند توصیه در مورد این بخش دارم:
- از نویسنده دیدگاه بخواهید تا نام و ایمیلش را وارد کند.
- احتمالا علاقه خواهید داشت از گذاشتن دیدگاه در نوشته هایتان آگاه باشید مگر اینکه ترافیک دیدگاه هایتان بسیار زیاد باشد و یا اینکه روزانه به وبسایت لاگین کنید.
- دیدگاه هایی که بیشتر از یکی دوتا لینک دارند را در صف بررسی نگه دارید تا آن را ملاحظه کنید، اسپمرها معمولا تعداد لینک های بیشتری در دیدگاهایشان دارند.
تنظیمات دیدگاه ها را با دقت بررسی کنید و سیاست هایی را که با شیوه ی مدیریت شما هماهنگ است را برگزینید. بدین گونه می توانید اسپم ها را محدودتر نمایید.
جستجو و نصب قالب ها
قالب به وبسایت وردپرسی شما ظاهری زیبا و روح می بخشد.برای نصب قالب از منو نمایش > پوسته ها استفاده کنید.
امنیت وردپرس: قالب های نال شده نصب نکنید
پوسته های نال شده تاثیر بسیاری در امنیت وردپرس دارند.زمانی که برای وبسایت وردپرسی خود پوسته ای را انتخاب می کنید، به طور کلی بیخیال وبسایت هایی که پوسته های نال شده ارائه می کنند، شوید. معمولا این منابع غیرقابل اعتماد هستند و تعداد اینگونه وبسایت ها در وب بسیار است.پوسته های نال شده مطمئنا شامل کدهای مخربی هستند و امنیت وبسایت شما را تهدید خواهند کرد. پوسته ها را فقط از منابع قابل اطمینان نصب کنید.
[irp posts=”624″ name=”فروش قالب های نال شده و حاوی کد های مخرب توسط مارکت های ایرانی”]
محبوبترین منبع برای پوسته های وردپرس، سایت اصلی وردپرس و مخزن پوسته آن است که از wordpress.org می توانید آن را بیابید. پوسته هایی که بصورت مشارکتی توسعه داده شده اند، پوسته های متن باز و عموما قابل اعتمادی را می توانید در آن بیابید.
پوسته های غیر رایگان را می توانید از منابع مهمی در وب فارسی و همچنین از وبسایت خودمان نیز تهیه کنید. وقتی که از پوسته ای استفاده می کنید که منبع آن را نمی شناسید، کافیست دامین آن را گوگل کنید تا ببینید که چه گزارشاتی در مورد قابل اعتماد بودن و یا نبودن آن سایت وجود دارد.
امنیت وردپرس: پوسته ی خود را بطور منظم بروزرسانی کنید
گهگاه ممکن است یک آسیب پذیری امنیتی در پوسته ای که شما برروی وبسایت وردپرسی خود نصب کرده اید کشف شود که به هکر اجازه دسترسی می دهد. توسعه دهندگان قابل اطمینان، راه حل های این آسیب پذیری ها را به شکل به روزرسانی نسخه جدیدی از پوسته ارائه می دهند. حتما مطمئن شوید که پوسته ای که نصب کردید، آخرین نسخه ی ارائه شده از طرف طراح آن است.در این صورت خیالتان تا حدودی از مشکلات پوسته راحت خواهد بود.
نکته : معمولا بسیاری از توسعه دهندگان تغییراتی را در پوسته های وردپرسی می دهند و آنها را شخصی سازی می کنند.مانند وبسایت های فارسی وردپرسی که اکثرا قالب ها را فارسی می کنند تا کاربران به راحتی از آن استفاده کنند.قبل از به روزرسانی این پوسته ها با توسعه دهنده ای که پوسته را شخصی سازی کرده است مشورت نمایید تا مطمئن شوید با به روزرسانی این پوسته، شخصی سازی های انجام شده از بین نخواهند رفت و شما به مشکل برنخواهید خورد.یکی از گزینه هایی که می تواند شخصی سازی هایتان را برایتان نگه دارد استفاده از child themes است.
جستجو و نصب افزونه ها
همانطور که همه ما می دونیم افزونه های وردپرس خیلی به دردبخور هستند و یکی از قدرتمندترین ویژگی های وردپرس به حساب می آیند.ده ها هزار افزونه متن باز در مخزن افزونه وبسایت wordpress.org وجود دارد که می توانیم به راحتی هرکدام از این افزونه ها را از با رفتن به بخش افزونه ها، جستجوی افزونه مورد نظر و انتخاب آن و در نهایت با یک کلیک نصب کنیم.
دقیقا به مانند پوسته ها، از نصب کردن افزونه های نال شده که توسط منابع غیرقابل اعتماد توزیع می شوند و دارای کدهای مخرب هستند، باید به شدت دوری کنیم. افزونه هایی که توسط منابع رسمی تولید شده و انتشار پیدا می کنند عموما برای نصب امن هستند.تیم وردپرس به دقت افزونه ها را مورد بررسی قرار می دهد تا کد مخربی در آنها وجود نداشته باشد.همچنین افزونه های این مخزن دارای مشارکت کننده های بسیاری هستند که آسیب پذیری های گوناگونی را در افزونه ها کشف کرده و به توسعه دهندگان اطلاع می دهند.
امنیت وردپرس: آسیب پذیری افزونه ها و حل و فصل آنها
آگاهی از آسیب پذیری های افزونه ها یکی از حیاتی ترین بخش های امنیت وردپرس را تشکیل می دهد. زیرا که معمولترین راه برای هک کردن وبسایت های وردپرسی استفاده از این آسیب پذیری ها بوده است.
از آنجایی که افزونه ها یکی از قدرتمندترین ویژگی های وردپرسی هستند، می توانند یکی از مهمترین چالش های امنیتی وبسایت های وردپرسی نیز باشند. افزونه ها به طور چشمگیری حجم کد PHP بیشتری نسبت به پوسته ها دارند و این کدها بسیار پیچیده تر هستند.این مساله فرصت حضور آسیب پذیری های بیشتری را در کدها مهیا می کند.
باید به این نکته توجه داشته باشیم که وردپرس ذاتا پلتفرم غیر امنی نیست.فقط اینکه این سیستم مدیریت محتوا بسیار محبوب است و تعداد زیادی افزونه آماده برای آن وجود دارد.وردپرس بیش از ۴۰۰۰۰ هزار افزونه آماده با بیش از ۱ میلیارد دانلود دارد که باعث می شود هدف جذابی برای هکرها به نظر بیاید.به همین دلیل قبل از انتخاب و نصب افزونه، بهتر است از چند مورد آگاه باشید که در اینجا ما توصیه های کوچکی در این باره به شما ارائه خواهیم کرد:
- افزونه ها را فقط از وبسایت های معتبر نصب کنید.مخزن رسمی افزونه ها بهترین مکان برای پیدا کردن آنهاست.
- فقط افزونه ها مورد نیاز را نصب کنید.هرچه قدر تعداد کمتری افزونه روی وبسایت شما باشد، میزان کد وبسایت تان قاعدتا کمتر است و درواقع بستر حمله کمتری برای هکر وجود دارد.
- افزونه ها را “غیرفعال” رها نکنید.آنها را حتما پاک کنید.افزونه های غیرفعال همچنان مستعد ایجاد راهی برای دسترسی برای هکرها هستند به این دلیل که کد بصورت عمومی ممکن است در دسترس باشد.
- فقط از افزونه هایی که به خوبی توسعه داده شده اند استفاده کنید.اگر افزونه ای در طی یکسال و یا بیشتر به روزرسانی نشده است، احتمالا به خوبی توسعه داده نشده است.منظورم این است که مثلا اگر یک نفر مشکل امنیتی در افزونه را به توسعه دهنده گزارش داده باشد، احتمالا آنها این مشکل را رفع نمی کنند.
- وقتی که نسخه ی جدیدی از افزونه ارائه گردید، ابتدا جزئیات تغییرات به وجود آمده را بخوانید و بعد سریعا آن را به روزرسانی کنید.مخصوصا اگر این بروزرسانی شامل حل مشکلات امنیتی باشد.
بروز و امن نگه داشتن افزونه های وردپرسی، یکی از اثربخش ترین راه های اطمینان از این موضوع است که وبسایت تان تا حد زیادی امن است.
از کدها و ابزارک های خطرناک دور بمانیم
در بخش های بالایی که در مورد نوشته ها و برگه ها صحبت کردیم، گفتیم که نباید از کدهای غیرقابل اعتماد استفاده کنیم. وردپرس قابلیت بسیار مفیدی به نام ابزارک ها دارد که به ما اجازه می دهد تا ویژگی هایی را در نوار کناری یا پانوشت،نمایش دهیم و از آنها استفاده کنیم.
برای دسترسی به این بخش از منو نمایش > ابزارک ها را انتخاب کنید.
ابزارک ها ویژگی های کاربردی و مفیدی را در اختیار ما می گذارند.بعضی از سایت ها و سرویس ها کد جاوا اسکریپتی را به ما ارائه می دهند که با جاگذاری یا همان embed کردن آن می توانیم از سرویس های آنان به عنوان ابزارک در وبسایت استفاده کنیم. معمولا یک ابزارک متن انتخاب کرده و کد را داخل آن قرار می دهیم.
وقتی که نیاز به embed کردن کد برای استفاده از ابزارک خاصی را دارید، در انتخاب منبع کد با احتیاط و دقت عمل کنید.همانطور که قبلا گفتیم، ممکن است embed کردن یک کد از طرف شما، دسترسی مستقیم به اطلاعاتتان را به صاحب کد تقدیم کند.اطلاعاتی همچون کوکی های بازدید کننده ها و ادمین ها.
اگر کدی که در ابزارک از آن استفاده می کنید از وبسایت شما بارگذاری می شود، در اینصورت می توانید این کد را تغییر دهید.اگر کد از سمت وبسایت دیگری بارگذاری می شود، آنها می توانند کد را هر زمانی که مایل بودند تغییر دهند.
برای مثال، فرض کنید اسم وبسایت شما example.com است.اگر کدی که شما به عنوان ابزارک از آن استفاده می کنید از http://example.com/mycode.js بارگذاری می شود، در اینصورت شما دسترسی کامل به کد دارید.تنها راهی که فایل mycode.js می تواند تغییر کند این است که شما تغییرش دهید.
اما اگر example.com متعلق به فرد دیگری است و شما کدتان را از روی وبسایت ایشان بارگذاری می کنید. در اینصورت آنها به راحتی می توانند محتویات فایل mycode.js را تغییر دهند. به شکلی که کوکی های شما را بدزدند و یک مشکل جدی در امنیت شما بوجود آورند.
بعضی از کدهای جاوا اسکریپتی که از وبسایت های دیگر بارگذاری می شوند قابل اطمینان هستند. گوگل آنالیتیکز و یا گوگل ادسنس از جمله مثال های کدهای جاوا اسکریپتی هستند که از دیگر وبسایت ها برروی وبسایتمان بارگذاری می شوند. بنابراین اگر نیاز دارید تا از کدی به عنوان ابزارک استفاده کنید که از وبسایت دیگری بارگذاری می شود، حتما مطمئن شوید که این وبسایت قابل اعتماد است.
ساخت کاربر جدید به شیوه امن
برای ایجاد کاربر جدید در وردپرس، به بخش کاربران > افزودن بروید.
در کنار افزودن دستی کاربران، راه حل دیگری برای ساخت حساب کاربری در وردپرس وجود دارد.متاسفانه بسیاری از صاحبان وبسایت های وردپرسی این مساله را نمی دانند.اگر به بخش تنظیمات > همگانی بروید.در آنجا خواهید که می توانید ویژگی “هرکسی می تواند نام نویسی کند” را فعال کنید. بدین شکل شما به کاربران اجازه خواهید داد تا حساب کاربری با سطح دسترسی مشترک بسازند.قسمت پایین راه مشاهده کنید تا بدانید این نقش کاربری به چه چیزهایی دسترسی دارد.
وقتی که ویژگی “هرکسی می تواند نام نویسی کند” فعال می شود، لیست کاربران شما طولانیتر خواهد شد و حساب های اسپم نیز ساخته خواهند شد.این ویژگی بصورت پیشفرض غیرفعال است. این گزینه را تا زمانی که به آن نیاز ندارید فعال نکنید.
امنیت وردپرس: رمزعبورهای کاربران جدید
امنیت وردپرس در گرو امنیت حساب های کاربری تمام کاربران است. زمانی که یک کاربر جدید می سازیم، وردپرس بصورت اتوماتیک یک رمزعبور به این حساب اختصاص می دهد. شما می توانید بصورت دستی نیز رمزعبور را خودتان انتخاب کنید.
پیشنهاد ما این است که به وردپرس اجازه دهید تا برایتان رمزعبور انتخاب کند. نسخه ی فعلی وردپرس یک ترتیب تصادفی از حروف کوچک و بزرگ و عددها و سمبل ها را به طول تقریبا ۱۶ کاراکتر تولید می کند.این رمزعبور جز دسته رمزعبورهای بسیار قوی محسوب می شود و شکستن آن اصلا آسان نیست.
وقتی که وردپرس به صورت اتوماتیک رمزعبوری را به حساب کاربر اختصاص می دهد، بعد از تکمیل ساخت حساب، ایمیلی حاوی یک لینک به ایمیل کاربر جدید فرستاده می شود.این ایمیل حاوی لینک بازنشانی رمزعبور است که کاربر را به صفحه ای از وردپرس هدایت می کند و به او این اختیار را می دهد که یا رمزعبور بسیار قوی وردپرس را انتخاب کند و یا اینکه خودش رمزعبورش را بسازد.
این متد از ساخت حساب کاربری امن است و باعث می شود تا حساب های کاربری وبسایتتان با رمزعبورهای قوی ساخته شوند.ما اصلا به شما پیشنهاد نمی کنیم که رمزعبورهای کاربران را بصورت دستی و بر اساس کلمات بسازید، زیرا در اینصورت یک مشت حساب کاربری با رمزعبورهایی که به راحتی حدس زده یا شکسته می شوند ساخته اید.
امنیت وردپرس: سطح دسترسی کاربر وردپرس
وردپرس از مفهموم “نقش” برای تعیین سطح دسترسی کاربران در سایت استفاده می کند. این به نظر درست و کافی میاد، چون میزان سطح دسترسی شما در واقع نقشی که در سازمان بازی می کنید را نمایش می دهد.
وقتی که نقش های کاربران را به آنان می دهید ممکن است وسوسه شوید که سطح دسترسی بالایی را فقط “محض احتیاط” به آنها بدهید.لطفا اینکار را انجام ندهید. در مباحث امنیت اطلاعات یکی از تمرین های خوب این است که پایین ترین سطح دسترسی که کاربر برای انجام وظایفش نیاز دارد را بیابید.اگر آنان نیاز به دسترسی بیشتری دارند، اجازه بدهید تا از شما دسترسی بالاتری را بخواهند.در اینصورت مطمئن خواهید شد که همه افراد دسترسی ای بالاتر از چیزی که نیاز دارند را نخواهند داشت.
اصل کمترین مجوز و یا بهتر بگیم Principle of least privilege یکی از تئوری های امنیت اطلاعات است.بنا به این اصل، مجوزهایی که نیازی به آن ها نیست نباید ارائه شوند و در صورت انجام چنین کاری امنیت به خطر می افتد.
دراین قسمت توضیح مختصری در مورد نقش های کاربری در وردپرس می گوییم و مجوزهای هر نقش را شرح می دهیم:
- Super Admin – کاربر با این دسترسی می تواند هر کاری در وردپرس انجام دهد.این بالاترین سطح دسترسی است. در شبکه ای از سایت ها در وردپرس که به آن multi-site و یا وردپرس شبکه هم می گوییم، این سطح دسترسی می تواند تمام سایت های زیرشاخه را کنترل کند.شما باید یک یا حداکثر دو Super Admin در سایت داشته باشید.
- مدیرکل – در سایت های وردپرسی غیرشبکه که بطور معمول نصب می شود و اکثر سایت های وردپرسی به این شکل هستند، مدیرکل همان super admin است. این نقش تمام مجوزها را دارد.در وردپرس شبکه، مدیرکل تمام مجوزها را برای یک سایت دارد در حالی که super admin به پنل مدیریت شبکه دسترسی دارد. نقش مدیرکل نیز مانند super admin باید به یک یا حداکثر دو حساب داده شود و البته درصورتی که کاملا نیاز باشد.
- ویرایشگر – این نقش می تواند نوشته و برگه را منتشر کرده و همچنین نوشته ها و برگه هایی که توسط دیگر نویسنده ها منتشر شده است را مدیریت کند.آنها قابلیت ساخت و ذخیره نوشته ها و برگه ها و انتشار آنها را به طور کامل دارند.
- نویسنده – نویسنده می تواند نوشته ها و برگه های خودش را منتشر کند ولی نمی تواند نوشته ها و یا برگه های دیگران را مدیریت کند.
- مشارکت کننده – با این دسترسی، کاربر می تواند نوشته و برگه هایی را تولید و بصورت پیشنویس ذخیره کند ولی مجوز انتشار آنها را ندارد.این نقش برای نویسندگان مهمان مناسب است.شما می توانید به نویسندگان مهمان سایت تان دسترسی مشارکت کننده بدهید تا آنها نوشته هایشان را بنویسند و پیشنویس شان را ذخیره کنند، بعد از بررسی این نوشته ها با دسترسی بالاتر، می توانید آنها را منتشر کنید.
- مشترک – این نقش پایین سطح دسترسی را در وردپرس دارد.وقتی که شما ویژگی “هرکسی می تواند نام نویسی کند” را در قسمت تنظیمات > همگانی فعال کردید، هر کاربری که ثبت نام کند بصورت پیشفرض با این سطح دسترسی خواهد بود.مشارکت کننده می تواند پروفایل کاربری خود را مدیریت کند و در صورتی که دیدگاه ها را فعال کرده باشید اقدام به افزودن دیدگاه با نام کاربری خود بکند.
برای داشتن وبسایتی امن تر، اصل کمترین مجوز را اجرا کنید.کاربران شما همیشه می توانند برای دسترسی بالاتر از شما درخواست کنند و حل کردن این مشکل بسیار راحت تر از این مساله است که کاربر مخرب و یا حساب دزدیده شده ای با دسترسی بالا داشته باشیم.
استفاده از FTP بصورت امن
FTP مخفف File Transfer Protocol و بطور ساده راهی برای ارسال فایل ها از سمت و یا به سمت سرور برروی اینترنت است. FTP به یک استاندارد مشترک بین صاحبان وبسایت ها برای مدیریت و ارسال فایلهایشان تبدیل شده است.
یک وبسایت عمدتا از فایل تشکیل شده است و از آنجاییکه FTP یک راه عالی برای مدیریت فایلها است، بهترین راه برای مدیریت وبسایت های وردپرسی نیز به شمار می رود.
امنیت وردپرس: sFTP, FTPS و FTP ساده قدیمی
امنیت وردپرس شما تنها وابسته به امنیت خود وردپرس نیست، بلکه به روش های دسترسی به وردپرس نیز وابسته است.FTP برای انتقال فایلها از سمت و به سمت وبسایت استفاده می شود و قاعدتا باید امن باشد.
FTP اصالتا یک پروتکل plain-text است. به این معنی که نام کاربری و رمزعبور شما را در قالب رشته ی رمز نشده در طول شبکه انتقال می دهد.در این شرایط کسی که به شبکه شما گوش می دهد می تواند به راحتی نام کاربری و رمزعبور شما را دریافت کرده و به آسانی دسترسی کافی را داشته باشد.
اگر هکری به حساب FTP شما دسترسی داشته باشد، کارهای خیلی خطرناک تری نسبت به یک حساب کاربری وردپرسی می تواند انجام دهد.درواقع هکر به تمامی وبسایت شما دسترسی دارد، تمام فایل ها و فولدرها و حتی دایرکتوری های قبل تر از نرم افزار وردپرس. به همین دلیل مهم است که از اطلاعات FTP خود به شدت محافظت کنید.
sFTP یکسری بهبودهایی نسبت به FTP دارد به این دلیل که اطلاعات نام کاربری و رمزعبور شما را در طول شبکه بصورت رمزشده انتقال می دهد.این پروتکل از پروتکل رمزنگاری سرویس SSH برای رمز کردن نام کاربری و رمزعبور استفاده می کند.
پروتکل جایگزین دیگری به نام FTPS نیز وجود دارد که آن نیز امن است. این یکی کمی متفاوت تر از sFTP عمل می کند و از TLS برای رمزنگاری استفاده می کند و با سرور FTP بجای SSH استفاده می کند. هر دو این پروتکل ها یعنی sFTP و FTPS امن هستند.
امنیت وردپرس: امن کردن فایلهای ارسال شده با FTP
بخشی از کار روزانه تان با FTP احتمالا دانلود کپی بعضی یا کل فایل های وبسایت تان است.این فایل ها حاوی اطلاعات بسیار مهمی و گاها نام کاربری ها و رمزعبورها هستند.مثلا فایل wp-config.php حاوی نام کاربری و رمزعبور دیتابیس شماست.
به همین دلیل، این مساله مهم است که رفتارتان با این فایلها همانقدر امن و جدی باشد که با فایل های اصلی وردپرس تان رفتار می کنید.این فایل ها ممکن است فایل های زیپ پشتیبان وبسایت تان باشد و یا فایل هایی که به تنهایی دانلود شده اند.اگر این فایلها را در سیستم شخصی و لپتاپ ذخیره می کنید، مطمئن شوید که لپتاپتان را گم نخواهید کرد. شما باید هارد سیستم تان را رمزنگاری کنید و یا حداقل به آن بخش از فایل ها با رمزعبور دسترسی پیدا کنید.
فایل های وبسایت تان را برروی فلش دیسک ها و یا هاردهای اکسترنال و کلا هر سخت افزار قابل حمل غیرامنی نگه ندارید.
نتیجه گیری
در این مقاله مباحث ابتدایی و پایه ای از امنیت وردپرس را مطرح کردیم تا به عنوان مدیر و یا نویسنده وبسایت، از آنها آگاه باشید. شما را با اتفاقاتی که ممکن است برای مدیران بیفتد، اصل پایین ترین مجوز، نقش کاربران و سطح دسترسی ها آشنا کردیم. در مورد دیدگاه ها اسپم و کدهای مخرب و ذخیره سازی امن تر فایل های پشتیبان نیز بحث کردیم.
موارد گفته شده تنها بخش آغازینی از مباحث تامین امنیت وبسایت های وردپرسی هستند.با رعایت نکات گفته شده در این مقاله می توانید تا حدودی خیال خود را از برخی آسیب های احتمالی که ممکن است به وبسایت شما زده شود، راحت کنید.
برای کسب آگاهی بیشتر در مورد بحث امنیت وردپرس، پیشنهاد می کنم بخش های بعدی این سری از مقالات را مطالعه نمایید.لطفا در صورت وجود هرگونه پیشنهاد در مورد محتوای آموزش ها ما را از آن مطلع سازید.
مقالات امنیت وردپرس
- با امنیت وردپرس آشنا شویم – امنیت وردپرس-(قسمت 1)
- محافظت از وردپرس در مقابل تهدیدات و مشکلات امنیتی – امنیت وردپرس-(قسمت 2)
- انتخاب هاست مناسب برای وردپرس – امنیت وردپرس-(قسمت 3)
- امن کردن محیط کار وردپرس – امنیت وردپرس-(قسمت 4)
- قوی تر کردن سایت وردپرسی در مقابل حملات – امنیت وردپرس-(قسمت 5)
- چگونه بفهمیم سایتمان هک شده؟ – امنیت وردپرس-(قسمت 6)
- بازیابی سئو سایت بعد از هک شدن – امنیت وردپرس-(قسمت 7)