وردپرس یک سیستم مدیریت محتوا آزاد و متنباز بر پایه مجوز GPL است. هدف سازندگان وردپرس راحتی کاربر در کار با این سیستم است. به همین دلیل امکاناتی که در یک سیستم مدیریت محتوای یکپارچه انتظار میرود به صورت تمام و کمال در وردپرس دیده نمیشود. برای رفع این مشکل توسعهدهندگان میتوانند اقدام به ساخت و توسعه افزونه برای وردپرس کنند.
وجود افزونههای مختلف امکان به خطر افتادن تارنما را تا حد زیادی بالا میبرد، همچنین خطرهای دیگری نیز در کمین تارنماهای مبتنی بر وردپرس است. در این نوشته که مبتنی بر نوشتهای از تونی پرز است سعی میکنم پس از معرفی خطرهای در کمین تارنماهای قدرت گرفته از وردپرس، شیوههای رفع آنها را بررسی کنم.
محدودکردن دسترسی
مفیدترین گزینه برای بالابردن امنیت تارنمای مبتنی بر وردپرس محدود کردن دسترسی است.
در این روش دسترسی همه بازدیدکنندگان برای ورود به تارنما محدود میشود و تنها IPهای خاصی امکان ورود به بخش مدیریت تارنما (wp-admin) را دارند.
این روش یک روش کارا و مفید است و این روزها بسیاری از باروها (فایروال) دسترسی بازدیدکنندگان به بخش مدیریت تارنما را محدود میکنند. این محدودیت مانعی برای حمله به این صفحه برای استفاده از شیوههای مختلف هک میشود.
هرچند استفاده از بارو (فایروال) برای تارنما، یک گزینه قوی و کاراست اما همیشه امکانپذیر نیست. در این حالت بهترین راه استفاده از افزونههایی است که امنیت را در سطح نرمافزاری برای تارنمایتان مهیا میکند. یکی از این افزونههای iTheme Security است. البته راههای دیگری نیز وجود دارد که در زیر به آنها پرداخته میشود:
محدودیت تلاش برای ورود کاربران به بخش مدیریت
یکی از روشهای پراستفاده برای بالابردن امنیت تارنما محدود کردن تعداد تلاشهای کاربران برای ورود به تارنما است.
افزونههای مختلفی وجود دارند که این محدودیت را فراهم میکنند اما تعداد کمی از آنها این کار را به درستی انجام میدهند. چنین افزونههایی برای مقابله با حملههای متوسط به کار میرود اما حملههای پیچیده به روشهای مقابلهٔ خلاقانهتری نیاز دارند.
همچنین استفاده از چنین افزونههایی به بررسیهای همیشگی و بهروزرسانی متناوب نیاز دارد تا بتواند به خوبی در مقابل حملههای جدید واکنش نشان دهد.
استفاده از ورود چند مرحلهای برای بخش مدیریت تارنما
ورود چند مرحلهای به معنی افزودن لایههایی غیر از وارد کردن رمز و شناسه برای ورود به یک سامانه است. برای نمونه فرض کنید که کسی بخواهد به بخش مدیریت تارنمای خود وارد شود، پس از واردکردن شناسه و رمز ورود بایستی کدی که برای تلفن همراهش فرستاده میشود را نیز وارد کند.
بسیاری از افزونههای امنیتی نمونهای از ورود دو یا چند مرحلهای را پیادهسازی میکنند.
اما پیشنهاد میشود به جای استفاده از آنها از افزونه تایید اعتبار گوگل (Google Second-Step Authentication) استفاده کنید. بد نیست بدانید که این افزونه کارایی زیادی در جلوگیری از حملههای Brute Force دارد؛ حملههایی که برای امتحان کردن ترکیبهای مختلف نام کاربری و رمز طراحی شده است و با بررسی رمزهای مختلف به بخش مدیریت تارنمایتان دسترسی پیدا میکند.
از تارنمای خود نسخهٔ پشتیبان تهیه کنید
حتا اگر بهترین تدابیر امنیتی را در نظر گرفته باشید، نمیدانید که چه اتفاقی برای تارنمای شما میافتد.
در صورتی که اتفاق ناخوشآیندی رخ دهد باید مطمئن باشید که تمام محتوای تارنمایتان قابل بازگشت خواهد بود. برای این کار افزونههای بسیاری وجود دارد اما BackWPup گزینهٔ مناسبی برای این کار است
بهروزرسانی متناوب افزونهها و هسته وردپرس
هر نسخه جدید وردپرس وصلههایی را شامل میشود که مشکلها و آسیبپذیریهای وردپرس را برطرف میکند. از سوی دیگر به هکرها نشان میدهد که در نسخههای پیشین چه مشکلهای امنیتی وجود داشته است.
به این ترتیب اگر شما وب سایت خود را با آخرین نسخهٔ وردپرس بهروزرسانی نکنید، تارنمای خود را در معرض حملات قرار دادهاید.
چنین رخدادی برای قالبها و افزونههای وردپرس نیز صادق است. مطمئن شوید که به محض انتشار آخرین نسخه افزونه، قالب یا هسته وردپرس، آن را بهروزرسانی میکنید.
استفاده از رمز پیچیده، طولانی و یکتا برای شناسههای تارنما
در میزان کنترل دسترسی، سادهترین کاری که به عنوان یک کاربر نهایی میتوان انجام داد، داشتن رمزی پیچیده و یکتا است. این روش کارا اما ساده با سادهانگاری و بیتوجهی کاربران به دردسرهای پیچیده منجر میشود.
بسیاری از کاربران فکر میکنند رمزی قوی را برگزیدهاند اما در عمل بسیاری از رمزهای مبتنی بر کلمهها، به راحتی قابل حدس زدن یا شکسته شدن میباشند. راه حل ساده داشتن رمز قوی بدون فکر کردن و مشکل به خاطر سپردن، استفاده از نرمافزارهای مدیریت رمز است.
Lastpass سرویسی قابل قبول است اما برای تضمین بیچون و چرای امنیت KeePass گزینه بهتری است چون نرمافزاری آزاد و متنباز است. چنین سرویسهایی هم رمز طولانی و پیچیده تولید میکنند و هم در به خاطر سپردن آن به ما یاری میرسانند.
استفاده از میزبانی امن برای تارنما
در هنگام انتخاب سرویسدهندگان میزبانی وب، تنها به قیمت آن توجه نکنید. یکی از معیارهایی که برای انتخاب شرکت در نظر میگیرید باید بالابودن امنیت آن باشد. این کار ارزش پرداخت کمی هزینه اضافی را دارد.