امنیت وردپرسامنیت

راهنمای کامل امنیت وب‌سایت (2021)

کامل‌ترین راهنمای برقراری امنیت وب‌سایت شما

بر اساس گزارش آماری زنده اینترنت، هر روز بیش از 100 هزار وب‌سایت هک می شوند و امنیت وب‌سایت ها در خطر جدی قرار دارد! به همین دلیل بسیار مهم است تا کمی بیشتر وقت صرف فراگیری روش های ضروری برای حفظ امنیت وب‌سایت‌ های خودتان یا مشتریانتان کنید. از آنجا که بیش از 41.4 درصد وب‌سایت‌های جهان وردپرسی هستند، و این در حالیست که 64.8 درصد از وب‌سایت‌های دنیا از سیستم های مدیریت محتوا استفاده می کنند (این عدد در روز انتشار این گزارش چنین مقداری دارد و ممکن است در طولگذر زمان تغییر کند). لذا تمرکز این آموزش بر حفظ امنیت وب‌سایت های وردپرسی معطوف شده است.

تعداد وبسایت های هک شده امروز نشان از امنیت وب‌سایت بسیار ضعیف است

تصویر فوق تعداد وب‌سایت‌های هک شده امروز است. نتایج زنده این آمار را در این لینک دنبال کنید. با دوناوب همراه باشید، تا با بهترین روش های حفظ امنیت وب‌سایت (به خصوص وب‌سایت وردپرسی) آشنا شوید.

این مطلب به مرور زمان تکمیل خواهد شد. پیشنهاد می کنیم با عضویت در خبرنامه ایمیلی دوناوب، از آخرین مطالب وبسایت آگاه شوید.

یک میزبانی وب (Web Hosting) امن انتخاب کنید

مهم‌ترین سطح امنیت وب‌سایت، در سمت سرور قرار دارد. پارامترهای زیادی در انتخاب یک‌ هاست مناسب دخالت دارد که مهم‌ترین آن، امنیت سرور است.

خوشبختانه اکثر شرکت‌های میزبانی وب امروزی، تلاش مناسبی در حفظ امنیت سرورهای خود دارند. با این حال، با بررسی سوابق و مشتریان یک شرکت ارائه‌دهنده‌هاست، می‌توان تصمیم بهتری در مورد امنیت آن گرفت. وب‌سایت‌های معروف که غالباً، میزبان وب‌سایت‌های برتر هستند، از امنیت و کیفیت بسیار بالاتری برخوردارند.

یک سرور میزبانی خوب، باید مجهز به جدیدترین سخت افزارها و نرم افزارها (خصوصاً نرم افزارهای امنیتی) بوده و همواره به روز باشد. در چنین شرکت‌هایی، اسکن‌ها و بررسی‌های مستمر و دائمی از تمام سرورها به عمل آمده تا میزان هر نوع ریسکی به صفر برسد.

دیواره‌های آتش سطح سرور و سیستم‌های تشخیص نفوذ امنیتی، باید همواره فعال بوده تا در تمام مراحل (راه‌اندازی و بهره برداری از وب‌سایت) از سایت‌های مشتریان به خوبی محافظت کنند.

با این وجود، تمام نرم‌افزارها باید با آخرین نسخه‌های زبان‌های سمت سرور، پایگاه داده و همچنین با هسته سیستم‌های مدیریت محتوا سازگار باشند تا عملکرد بهینه‌ای داشته باشند.

از دیگر سو، سرور باید به‌گونه‌ای پیکربندی شود که از شبکه‌های امن و پروتکل‌های رمزگذاری انتقال فایل (مانند SFTP به‌جای FTP) برای پنهان کردن محتوای حساس در برابر مهاجمان استفاده کند.

از آخرین نسخه PHP استفاده کنید

PHP زبان برنامه نویسی سمت سرور و ستون فقرات هر وب‌سایت وردپرسی است؛ بنابراین اطمینان از اینکه وب‌سایت شما از آخرین نسخه PHP استفاده می‌کند، بسیار مهم است. هر نسخه اصلی PHP (منظور نسخه‌هایی عدد اول آن‌ها متفاوت است، برای مثال 7.1 و 7.3 هر دو یک نسخه اصلی یعنی نسخه 7 حساب می‌شوند) به طور معمول برای دو سال پس از انتشار کاملاً پشتیبانی می‌شوند. نسخه اصلی فعلی، در زمان نگارش این مقاله، نسخه 8 است.

در طول این مدت دوساله، اشکالات و حفره‌های امنیتی به طور منظم بررسی و رفع می‌شود. از امروز هر کسی که با نسخه 7.1 یا نسخه پایین‌تر کار می‌کند، دیگر پشتیبانی امنیتی ندارد و در معرض آسیب پذیری‎های امنیتی است.

برای اطلاع از اینکه کدام نسخه از PHP در زمان مطالعه شما پشتیبانی می‌شود، از صفحه مخصوص نسخه‌های در حال پشتیبانی در وب‌سایت رسمی PHP بازدید کنید.

آخرین نسخه های پشتیبانی شده PHP

مطابق نتایج صفحه رسمی wordpress stats، نزدیک به 15 درصد کاربران وردپرس هنوز از نسخه PHP 5.6 یا پائین تر استفاده می کنند. این یعنی در حال استفاده نسخه ای از PHP هستند که دیگر پشتیبانی نمی شود. واقعا ترسناک است!

درصد و آمار نسخه PHP سایت های وردپرسی دنیا. امنیت وب‌سایت های وردپرسی در خطر است

شدیدا پیشنهاد می‌کنیم تا از نسخه‌های پشتیبانی شده PHP (نسخه‌های بالاتر از 7.1) استفاده کنید و به راحتی می‌توانید در محیط مدیریت‌هاست خود (Cpanel یا DirectAdmin) نسخه PHP هاست خود را تغییر دهید.

از نام‌های کاربری و رمزهای عبور قوی و هوشمندانه استفاده کنید

به طرز شگفت انگیزی، یکی از بهترین راه ها برای تقویت امنیت وب‌سایت، استفاده از نام های کاربری و رمز عبور قدرتمند و هوشمندانه است. خیلی ساده به نظر می رسد نه؟ خوب، لیست محبوب ترین رمز های سال 2020 و لیست محبوب ترین رمز های به سرقت رفته سال 2019 که همگی بر اساس میزان محبوبیت مرتب شده اند را ببینید. تمام این رمز ها به سرقت رفته اند! یعنی پر استفاده ترین رمز های موجود در دنیا همگی به سرقت رفته اند.

اجازه دهید نگاهی به چند مورد از این رمزها بیندازیم:

  • 123456
  • 1234567
  • 111111
  • 123456789
  • 12345678
  • 123123
  • Password
  • iloveyou

محبوب‌ترین رمز عبور “123456” است. جالب است بدانید همیشه هم رتبه اول را داشته و خواهد داشت! اگر مالک وب‌سایت و یا توسعه دهنده آن است، حتماً از افزونه‌هایی استفاده کنید که کاربر را وادار به انتخاب رمزهای قوی خواهند کرد.

اگر می‌خواهید ببینید هک کردن یک رمز عبور برای هکرها چقدر زمان می‌برد، از ابزار تخمین زمان هک استفاده کنید.

برای مثال، زمان مورد نیاز برای هک رمز “123456” تنها 0.29 میلی ثانیه است!!! برای تولید رمزهای عبور قوی به صورت رندم از ابزارهای تولید تصادفی رمز عبور استفاده کنید. برای مثال رمز عبور “cr?`y{NMGbmMs2:^”زمانی نزدیک به بی نهایت سال طول خواهد کشید تا هک شود. یا رمز عبور “1597As3%” زمانی برابر با 10 سال به طول خواهد انجامید.

ابزار تخمین زمان هک شدن یک رمز عبور

به صورت پیش فرض، وردپرس از واژه “admin” برای نام کاربری مدیر در زمان نصب وردپرس استفاده می‌کند. شنا نباید هرگز و به هیچ وجه اجازه دهید نام کاربری هیچ یک از کاربران یک وب‌سایت، “admin” انتخاب شود. یعنی نه شما و نه دیگر کاربران سایت نباید نام کاربری “Admin” را انتخاب کنند. حتماً و حتماً مطمئن شوید کاربران شما علاوه بر رمز عبور قوی، از نام‌های کاربری کاملاً متفاوت و منحصر به فرد استفاده می‌کنند.

حتما دقت کنید که در هیج دو سایتی، دارای یک رمز عبور نباشید. به عبارتی هرگز از یک رمز عبور، برای ورود به چندین سایت استفاده نکنید. بهترین راه برای ذخیره رمزهای عبور (و جلوگیری از فراموشی آن ها) این است که رمز ها را در یک ابزار ذخیره ساز امن رمز عبور نگه داری کنید. این ابزارها، رمزها را به صورت کدگذاری شده ذخیره و هر زمان که به آن نیاز داشتید در اختیار شما قرار می دهند. ابزار LassPass، Samsung pass، keepass یا google password manager چند ابزار رایگان و چند پلتفرمی برای ذخیره  سازی و نگه داری رمزهای عبور شماست.

برای امنیت وردپرس همیشه از آخرین نسخه وردپرس، قالب‌ها و افزونه‌ها استفاده کنید

یکی دیگر از راه‌های بسیار مهم برای تقویت امنیت سایت شما (امنیت وردپرس) و یا مشتریان شما، این است که همیشه وب‌سایت را به روز نگه دارید. این موضوع شامل هسته وردپرس، افزونه‌ها و قالب‌های وردپرسی است. یکی از مهم‌ترین دلایل به‌روزرسانی هسته وردپرس، افزونه‌ها و قالب‌های آن، رفع مشکلات و حفره‌های امنیتی و بهبود امنیت آن‌هاست.

متأسفانه میلیون‌ها کسب و کار در سطح دنیا در حال کار با نسخه‌های قدیمی هسته یا افزونه و قالب وردپرس هستند و هنوز هم متوجه خطری که آن‌ها را تهدید می‌کنند نشده‌اند. یکی از مهم‌ترین دلایل عدم به‌روزرسانی‌ها، این است که ممکن است وب‌سایت آن‌ها دچار مشکل شده و ممکن است به دلیل عدم سازگاری بین هسته، افزونه و قالب، وب‌سایت آن‌ها دچار مشکل شود. برخی هم صرفاً به این دلیل که نیازی به امکانات جدید در نسخه به‌روز نمی‌بینند، به‌روزرسانی را الزامی نمی‌دانند. خوب درهرصورت، به شدت در خطر هستند.

در حقیقت بیش‌تر وب‌سایت‌ها به دلیل اشکال در نسخه‌های قدیمی وردپرس یا افزونه‌ها و قالب‌های آن خراب می‌شوند. هرگز تغییراتی در هسته وردپرس ایجاد نکنید. این موضوع اصلاً پیشنهاد نمی‌شود و مخاطرات امنیتی به همراه داشته یا حتی ممکن است عملکرد کلی وب‌سایت شما را مختل کند. بیشترین دلیل به‌روزرسانی‌های وردپرس، بحث ارتقای امنیت وب‌سایت است. از به‌روزرسانی غافل نشوید.

آیا می‌دانید که 55.9 درصد نفوذهای امنتی وردپرس از جانب آسیب پذیری های افزونه است؟ این مورددر تحقیقی توسط WordFence، که در آن بیش از 1000 سایت تحت حمله قرار گرفته بودند، مشخص شده است. با به روزرسانی افزونه ها می توانید اطمینان حاصل کنید که وب‌سایت شما قربانی این رخنه های امنیتی نخواهد بود.

بیشترین دلیل هک وردپرس، آسیب پذیری افزونه هاست

با به‌روزرسانی مستمر افزونه‌ها تا ۷۰ درصد می‌توانید وب‌سایت وردپرسی خود را امن‌تر کنید.

همچنین توصیه می‌شود که فقط از افزونه‌های معتبر استفاده کنید. در مخزن وردپرس، افزونه‌هایی در دسته‌های “محبوب” و “برجسته” وجود دارد که در آن بهترین و معتبرترین افزونه‌ها وجود دارد و می‌توانید از آن‌ها استفاده کنید.

نکته بسیار مهم: هرگز و هرگز از نسخه‌های Null شده افزونه‌ها و قالب‌ها استفاده نکنید. این نسخه‌ها، نسخه‌های کرک شده و تحت عنوان رایگان افزونه‌های پریمیوم و پولی هستند که توسط عده‌ای سودجو در اینترنت در اختیار شما قرار می‌گیرد. نصب این افزونه‌ها و قالب‌ها تیر خلاصی به امنیت وب‌سایت شماست.

توسط ابزار آنلاین VirusTotal می توانید قالب ها و افزونه های خود را از نظر بدافزار و ویروس اسکن کنید.

همچنین منابع بسیار زیادی وجود دارد که به شما کمک می‌کند تا در جریان آخرین به‌روزرسانی‌ها امنیتی و آسیب‌پذیری‌های موجود در وردپرس قرار بگیرید. برخی از بهترین‌های آن‌ها عبارت‌اند از:

  • WP Security Bloggers : یک منبع عالی و جذاب از 20 خوراک وب‌سایت‌های امنیتی.
  • WPScan Vulnerability Database : کاتالوگی از 10 هزار آسیب پذیری موجود در هسته، افزونه و قالب های وردپرسی.
  • ThreatPress : پایگاه داده با به روزرسانی روزانه از آسیب پذیری های هسته، قالب ها و افزونه های وردپرسی.
  • Official WordPress Security Archive
این مطلب به مرور زمان تکمیل خواهد شد. پیشنهاد می کنیم با عضویت در خبرنامه ایمیلی دوناوب، از آخرین مطالب وبسایت آگاه شوید.
بهترین پنل پیامکی پنل پیامکی پیشرفته
نمایش بیشتر

تیم تولید محتوا

تیم تولید محتوای دوناوب، با تکیه بر تخصص خود سعی در انتشار مطالب و محتوای کاربردی و آموزشی برای همراهان و مشتریان دوناوب داشته و تمام سعی خود را بر ارائه محتوای با کیفیت و کاربردی معطوف خواهد کرد. پیشنهاد می کنیم با عضویت در خبرنامه ایمیلی دوناوب و یا با دنبال کردن دوناوب در شبکه های اجتماعی، در جریان آخرین مطالب و آموزش های سایت قرار بگیرید.
دکمه بازگشت به بالا