وردپرس یک سیستم مدیریت محتوا آزاد و متن‌باز بر پایه مجوز GPL است. هدف سازندگان وردپرس راحتی کاربر در کار با این سیستم است. به همین دلیل امکاناتی که در یک سیستم مدیریت محتوای یک‌پارچه انتظار می‌رود به صورت تمام و کمال در وردپرس دیده نمی‌شود. برای رفع این مشکل توسعه‌دهندگان می‌توانند اقدام به ساخت و توسعه افزونه برای وردپرس کنند.

logo plugin ideal wordpress

وجود افزونه‌های مختلف امکان به خطر افتادن تارنما را تا حد زیادی بالا می‌برد، همچنین خطرهای دیگری نیز در کمین تارنماهای مبتنی بر وردپرس است. در این نوشته که مبتنی بر نوشته‌ای از تونی پرز است سعی می‌کنم پس از معرفی خطرهای در کمین تارنماهای قدرت گرفته از وردپرس، شیوه‌های رفع آن‌ها را بررسی کنم.

محدودکردن دسترسی

مفید‌ترین گزینه برای بالابردن امنیت تارنمای مبتنی بر وردپرس محدود کردن دسترسی است.

در این روش دسترسی همه بازدیدکنندگان برای ورود به تارنما محدود می‌شود و تنها IPهای خاصی امکان ورود به بخش مدیریت تارنما (wp-admin) را دارند.

این روش یک روش کارا و مفید است و این روز‌ها بسیاری از بارو‌ها (فایروال) دسترسی بازدیدکنندگان به بخش مدیریت تارنما را محدود می‌کنند. این محدودیت مانعی برای حمله به این صفحه برای استفاده از شیوه‌های مختلف هک می‌شود.

ithemes-security-logos

هرچند استفاده از بارو (فایروال) برای تارنما، یک گزینه قوی و کاراست اما همیشه امکان‌پذیر نیست. در این حالت بهترین راه استفاده از افزونه‌هایی است که امنیت را در سطح نرم‌افزاری برای تارنمایتان مهیا می‌کند. یکی از این افزونه‌های iTheme Security است. البته راه‌های دیگری نیز وجود دارد که در زیر به آن‌ها پرداخته می‌شود:

محدودیت تلاش برای ورود کاربران به بخش مدیریت

یکی از روش‌های پراستفاده برای بالابردن امنیت تارنما محدود کردن تعداد تلاش‌های کاربران برای ورود به تارنما است.

افزونه‌های مختلفی وجود دارند که این محدودیت را فراهم می‌کنند اما تعداد کمی از آن‌ها این کار را به درستی انجام می‌دهند. چنین افزونه‌هایی برای مقابله با حمله‌های متوسط به کار می‌رود اما حمله‌های پیچیده به روش‌های مقابلهٔ خلاقانه‌تری نیاز دارند.

هم‌چنین استفاده از چنین افزونه‌هایی به بررسی‌های همیشگی و به‌روزرسانی متناوب نیاز دارد تا بتواند به خوبی در مقابل حمله‌های جدید واکنش نشان دهد.

limit-login-attempts

استفاده از ورود چند مرحله‌ای برای بخش مدیریت تارنما

ورود چند مرحله‌ای به معنی افزودن لایه‌هایی غیر از وارد کردن رمز و شناسه برای ورود به یک سامانه است. برای نمونه فرض کنید که کسی بخواهد به بخش مدیریت تارنمای خود وارد شود، پس از واردکردن شناسه و رمز ورود بایستی کدی که برای تلفن همراهش فرستاده می‌شود را نیز وارد کند.

بسیاری از افزونه‌های امنیتی نمونه‌ای از ورود دو یا چند مرحله‌ای را پیاده‌سازی می‌کنند.

اما پیشنهاد می‌شود به جای استفاده از آن‌ها از افزونه تایید اعتبار گوگل (Google Second-Step Authentication) استفاده کنید. بد نیست بدانید که این افزونه کارایی زیادی در جلوگیری از حمله‌های Brute Force دارد؛ حمله‌هایی که برای امتحان کردن ترکیب‌های مختلف نام کاربری و رمز طراحی شده است و با بررسی رمزهای مختلف به بخش مدیریت تارنمایتان دسترسی پیدا می‌کند.

1388690892-e1398457557864

از تارنمای خود نسخهٔ پشتیبان تهیه کنید

حتا اگر بهترین تدابیر امنیتی را در نظر گرفته باشید، نمی‌دانید که چه اتفاقی برای تارنمای شما می‌افتد.

در صورتی که اتفاق ناخوش‌آیندی رخ دهد باید مطمئن باشید که تمام محتوای تارنمایتان قابل بازگشت خواهد بود. برای این کار افزونه‌های بسیاری وجود دارد اما BackWPup گزینهٔ مناسبی برای این کار است

backwpup

به‌روزرسانی متناوب افزونه‌ها و هسته وردپرس

هر نسخه جدید وردپرس وصله‌هایی را شامل می‌شود که مشکل‌ها و آسیب‌پذیری‌های وردپرس را برطرف می‌کند. از سوی دیگر به هکر‌ها نشان می‌دهد که در نسخه‌های پیشین چه مشکل‌های امنیتی وجود داشته است.

به این ترتیب اگر شما وب سایت خود را با آخرین نسخهٔ وردپرس به‌روزرسانی نکنید، تارنمای خود را در معرض حملات قرار داده‌اید.

چنین رخدادی برای قالب‌ها و افزونه‌های وردپرس نیز صادق است. مطمئن شوید که به محض انتشار آخرین نسخه افزونه، قالب یا هسته وردپرس، آن را به‌روزرسانی می‌کنید.

wp19

استفاده از رمز پیچیده، طولانی و یکتا برای شناسه‌های تارنما

در میزان کنترل دسترسی، ساده‌ترین کاری که به عنوان یک کاربر نهایی می‌توان انجام داد، داشتن رمزی پیچیده و یکتا است. این روش کارا اما ساده با ساده‌انگاری و بی‌توجهی کاربران به دردسرهای پیچیده منجر می‌شود.

بسیاری از کاربران فکر می‌کنند رمزی قوی را برگزیده‌اند اما در عمل بسیاری از رمزهای مبتنی بر کلمه‌ها، به راحتی قابل حدس زدن یا شکسته شدن می‌باشند. راه حل ساده داشتن رمز قوی بدون فکر کردن و مشکل به خاطر سپردن، استفاده از نرم‌افزارهای مدیریت رمز است.

Lastpass سرویسی قابل قبول است اما برای تضمین بی‌چون و چرای امنیت KeePass گزینه بهتری است چون نرم‌افزاری آزاد و متن‌باز است. چنین سرویس‌هایی هم رمز طولانی و پیچیده تولید می‌کنند و هم در به خاطر سپردن آن به ما یاری می‌رسانند.

LastPassLogo_390

استفاده از میزبانی امن برای تارنما

در هنگام انتخاب سرویس‌دهندگان میزبانی وب، تنها به قیمت آن توجه نکنید. یکی از معیارهایی که برای انتخاب شرکت در نظر می‌گیرید باید بالابودن امنیت آن باشد. این کار ارزش پرداخت کمی هزینه اضافی را دارد.