چگونه میتوان از هک شدن وبلاگ های ورد پرسی جلو گیری کرد؟

در این مقاله قصد داریم تغییراتی کوچک اما بسیار تاثیر گذار در زمینه امنیت وبلاگ های وردپرس را به شما اموزش دهیم. با رعایت موارد ذکر شده در این متن می توانید امنیت وبلاگ خود را تا حد زیادی بالاتر برده و راه را برای نفوذ هکرها ببندید.

تهیه نسخه پشتیبان

این اولین و مهم ترین قدم در راه افزایش امنیت شما می باشد. قبل از اعمال هرگونه تغییرات در پایگاه داده بهتر است از کل اطلاعات خود یک نسخه بک آپ تهیه کنید. می توانید این کار را به صورت دستی و یا با استفاده از افزونه ها انجام دهید. پیشنهاد می شود از Backup Buddy استفاده کنید که قادر است از کل وبلاگ یک نسخه پشتیبان تهیه کند. بر خلاف دیگر افزونه های رایگان که تنها از پایگاه داده شما پشتیبان می گیرند، Backup Buddy از تمامی فایل ها و مطالب موجود در وبلاگ نیز یک نسخه پشتیبان تهیه می کند.

به روز رسانی نسخه وردپرس

قدم بعدی پس از تهیه نسخه پشتیبان به روز رسانی نسخه وردپرس می باشد. همیشه باید مطمئن شوید که نسخه بلاگ شما به روز می باشد. تیم وردپرس دائما در حال طراحی به روزرسانی هایی هستند که نقاط نفوذ را بسته و حاوی بهبود های امنیتی می باشند. پیشنهاد می شود برای اطلاع از عرضه به روز رسانی ها عضو feed وردپرس شده و یا به روز رسانی ها را به صورت هفتگی چک کنید.

نام کاربری و رمز عبور خود را عوض کنید

نام کاربری پیش فرض وردپرس admin بوده و هکرها به خوبی از این موضوع آگاه هستند. بهتر است که این نام کاربری را حذف کرده و از نامی که حدس زدن آن برای دیگران دشوار باشد استفاده کنید. در خصوص رمز عبور نیز پیشنهاد می شود از رمزی استفاده کنید که حاوی حروف بزرگ و کوچک، اعداد و سمبل ها باشد برای مثال “rockSTAR@22” می تواند رمز عبور خوبی باشد.

بیسشتر هکرها برای شکستن پسورد شما از روش Brute Force استفاده می کنند که در صورت داشتن یک گذر واژه قوی مشکلی برای شما پیش نخواهد آمد.

نکته: هرگز از نام اشخاص نزدیک، نام حیوانات خانگی، تاریخ های مهم و یا اطلاعات شخصی برای رمز عبور استفاده نکنید. افراد نزدیک به شما و همچنین هکرهای حرفه ای قادر خواهند بود با صرف کمی زمان رمز عبور شما را به راحتی حدس بزنند.

کلیدهای وردپرس در wp-config.php

اکثر کاربران اطلاعات کافی در مورد کلیدهای وردپرس ندارند. این کلیدها برای وردرس حکم نمک غذا را داشته (!) و کمک می کنند که داده های کاربری بهتر رمزنگاری شوند. برای تولید این کلیدها از WordPress Key Generator استفاده کنید. س از تولید کلیدهای مورد نظر فایل wp-config.php را باز کرده، کدهایی که همانند نمونه های زیر هستند را یافته و کلیدهای خود را جایگزین کلیدهای پیش فرض کنید:

define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);

سپس تغییرات را ذخیره کنید.

نصب WP Security Scan

این افزونه بسیار کاربردی و مفید می باشد. با کمک ویژگی های ساده و خودکار آن می توانید وبلاگ وردپرس خود را اسکن کرده و نقاط آسیب پذیر و کدهای مخرب را بیابید. اگر رنگ متون در پنل مدیر سبز رنگ باشد هیچ مشکلی وجود ندارد اما در غیر این صورت می بایست اقدامات امنیت مناسب لحاظ شوند.

تغییر پیشوند جدول ها

پیشوند پیش فرض جدول های وردپرس wp_ می باشد. هم من، هم شما و هم هکرها همه این موضوع را می دانیم! در صورتی که این پیشوند عوض نشود نفوذ از طریق حملات تزریقی SQL بسیار راحت تر خواهند بود. برای تغییر پیشوند جدول دو روش وجود دارد. روش دستی نیازمند انجام برخی تغییرات بوده که مناسب افراد مبتدی نیست. اما با کمک WP Security Scan می توان این کار را به سادگی انجام داد. در این افزونه سربرگی به نام Database وجود دارد که در آن می توانید پیشوند کل جدول ها را تغییر دهید. با انجام این کار و انتخاب یک پیشوند مناسب (که بهتر است شامل عدد نیز باشد) شما یک قدم به برقراری امنیت کامل وبلاگ خود نزدیک تر خواهید شد.

پیشگیری از هک شدن وردپرس با جلوگیری از فهرست شدن بخش مدیریت توسط موتورهای جستجو

موتورهای جستجو به وسیله spider های خود تمام بخش های وبلاگ شما را فهرست می کنند و تنها به مکان هایی که اجازه دسترسی ندارند وارد نمی شوند. از آن جا که بخش مدیریت حاوی تمامی اطلاعات مهم می باشد نباید فهرست شود. راحت ترین روش برای جلوگیری از فهرست شدن این بخش ساخت یک فایل robots.txt در پوشه root می باشد. فایل robots.txt باید حاوی کد زیر باشد:

#

User-agent: *

Disallow: /cgi-bin

Disallow: /wp-admin

Disallow: /wp-includes

Disallow: /wp-content/plugins/

Disallow: /wp-content/cache/

Disallow: /wp-content/themes/

Disallow: */trackback/

Disallow: */feed/

Disallow: /*/feed/rss/$

Disallow: /category/*

هک های .htaccess

.htaccess مخفف Hypertext acces (دسترسی به ابرمتن) نام پیش فرض فایل تنظیمات سطح فهرست بوده که زمانی که در درخت وب قرار گیرد کار مدیریت غیرمتمرکز تنظیمات را بر عهده می گیرد. معمولا از این فایل ها برای تعریف محدودیت های امنیتی در یک آدرس استفاده می شود. در ادامه به بررسی چند مورد از کاربردهای .htaccess برای جلوگیری از هک شدن می پردازیم.

محافظت از .htaccess

پس از اعمال تنظیمات امنیتی در فایل .htaccess نمی توانید آن را به حال خود رها کنید. با استفاده از هک زیر می توانید دسترسی خارجی به فایل های .hta را قطع کنید. کافیست کد زیر را در فایل .htaccess موجود در پوشه root قرار دهید:

# STRONG HTACCESS PROTECTION</code>

<Files ~ “^.*\.([Hh][Tt][Aa])”>

order allow,deny

deny from all

satisfy all

</Files>

ممانعت از مرور دایرکتوری

اینکه به کاربران خود اجازه دهید به دایرکتوری شما دسترسی داشته باشند اصلا ایده خوبی نیست. این کار باعث می شود معماری و ساختار پوشه های شما برای هکرها نمایان گشته و کار پیدا کردن نقاط نفوذ بسیار آسان تر شود. برای جلوگیری از این موضوع این دو خط کد را در فایل .htaccess در پوشه root کپی کنید:

# disable directory browsing

Options All –Indexes

ایمن کردن wp-config.php

Wp-config.php از این نظر که حاوی تمام داده های حساس و تنظیمات بلاگ شما می باشد حائز اهمیت بوده و به همین دلیل باید از طریق .htaccess ایمن شود. برای این کار کافیست کد زیر را در فایل .htaccess موجود در پوشه root کپی کنید:

# protect wp-config.php

<files wp-config.php>

Order deny,allow

Deny from all

</files>

محدود کردن دسترسی به دایرکتوری Wp-content

Wp-content حاوی همه چیز است. این پوشه اهمیت بسیار زیادی داشته و به همین دلیل باید به شدت ایمن شود. کاربران نباید اجازه دسترسی به محتوای این پوشه داشته باشند. دسترسی کاربران باید تنها به برخی فایل ها مانند فایل های عکسی، Javascript، css و XML محدود شود.

با کپی کردن کد زیر در فایل .htaccess می توانید این محدودیت ها را اعمال کنید:

Order deny,allow

Deny from all

<Files ~ “.(xml|css|jpeg|png|gif|js)$”>

Allow from all

</Files>

محافظت از فایل های ادمین وردپرس

دسترسی به پوشه Wp-admin باید مختص مدیران وبلاگ باشد. شما باید با استفاده از .htaccess دسترسی به این بخش را با تعریف IP های مجاز محدود کنید.

اگر IP شما استاتیک بوده و تنها از یک رایانه برای کار با وبلاگ استفاده می کنید این کار گزینه خوبی برای شما خواهد بود در غیر این صورت می توانید یک رنج IP برای دسترسی تعریف کنید. برای اطلاعات بیشتر در این زمینه می توانید به مقالات Apache در خصوص mod_access مراجعه کنید.

کد زیر را در فایل .htaccess موجود در پوشه wp-admin (نه در پوشه root) کپی کنید:

# deny access to wp admin

order deny,allow

allow from xx.xx.xx.xx # This is your static IP

deny from all

این کد از دسترسی دیگر Ip ها به جز آدرس IP که در قسمت xx.xx.xx.xx وارد می کنید خواهد شد.

روش دیگر محدود کردن دسترسی به وسیله تعریف یک گذرواژه در .htaccess می باشد.

جلوگیری از تزریق اسکریپت

با استفاده از کد زیر می توانید جلوی تزریق اسکریپت ها و تغییرات ناخواسته _REQUEST و یا GLOBALS را بگیرید.

کافیست کد زیر را در .htaccess پوشه root کپی کنید:

# protect from sql injection

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

دیگر روش ها

از دیگر اقدامات امنتی که می توانید برای بهبود ضریب امنیت خود اتخاذ کنید استفاده از افزونه WordPress Firewall 2 می باشد که از وبلاگ شما در مقابل هکرها و بدافزار ها محافظت می کند. البته استفاده از این افزونه پیشنهاد نمی شود چرا که برخی اوقات باعث مزاحمت شخص مالک وبلاگ نیز شده و دسترسی وی را مختل می کند. به همین دلیل تنها در صورت نیاز از این افزونه استفاده کنید.