امنیت وردپرس : این مجموعه ایمیل برای کاربران وردپرس برای آموزش تکنیک های امنیتی اولیه و مراحل عملی برای کمک به بهبود موقعیت امنیتی خود و کاهش خطر مصالحه ایجاد شده است.آمار اخیر نشان می دهد که بیش از ۳۲ درصد از مدیران وب در سراسر وب از WordPress استفاده می کنند.
این محبوبیت بهای سنگینی دارد . وردپرس اغلب توسط هکرهای مخرب و اسپم هایی که به دنبال سایت های آسیب پذیر هستند هدف قرار می گیرد.
درس اول : وردپرس را به روز نگه دارید
تیم امنیت وردپرس با دقت به ارائه بروز رسانی مهم امنیتی و تکه های آسیب پذیری می پردازد. با این حال، استفاده از افزونه ها و تم های شخص ثالث کاربران را تهدید به تهدید امنیتی بیشتر می کند.با مرتب سازی آخرین نسخه های اصلی وردپرس و پرونده ها می توانید اطمینان حاصل کنید که وب سایت شما دارای تمام پچ های امنیتی عمومی است.
ممیزی قالب ها و افزونه های شما !
مرحله ۱: ارزیابی امنیت افزونه شما
چندین شاخص مهم را مرور کنید:
- آیا بخش افزونه از مخزن وردپرس رسمی یا یک منبع قابل اعتماد ؟
- آیا تعداد زیادی از بررسی های کاربر وجود دارد و امتیاز متوسط بالا است؟
- آیا توسعه دهندگان به طور فعال در انجمن پشتیبانی پاسخ می دهند؟
- آیا توسعه دهندگان به صورت منظم و به موقع بروزرسانی را منتشر می کنند ؟
- آیا فروشنده لیست شرایط خدمات، سیاست حفظ حریم خصوصی، و یا آدرس تماس فیزیکی است؟
مرحله ۲ : حذف افزونه و قالب های استفاده نشده
کم یا بیش. ذخیره افزونه های ناخواسته در نصب وردپرس شما احتمال مصالحه را افزایش می دهد، حتی اگر آنها غیرفعال و فعال نیستند.
- بروز رسانی وردپرس، افزونه ها و تم ها!
- بروز رسانی هسته وردپرس، افزونه ها و قالب ها هر زمان که پچ در دسترس است.
- شما از بروز رسانی های وردپرس در منوی Dashboard> Updates مطلع خواهید شد.
- اطمینان حاصل کنید که پایگاه داده های خود و فایل های وردپرس را پشتیبان گیری کنید.
- افزونه ها را می توان به صورت دستی از طریق FTP یا با بروز رسانی اضافه شده بروز رسانی کرد.
- اگر از یک قالب کودک یا پدر استفاده می کنید، تغییرات را در یک پوشه تم جدید کپی کنید و آن را از طریق FTP بروز کنید.
شما می توانید دستورالعمل های دقیق در مورد بروز رسانی وردپرس در کدکس رسمی پیدا کنید.
درس دوم : کنترل دسترسی در امنیت وردپرس
اکثریت زیادی از حملات هدف wp-admin ، wp-login. php و xmlrpc. php نقاط دسترسی با استفاده از ترکیبی از نام کاربری و کلمه عبور مشترک.با استفاده از یک نام کاربری منحصر به فرد و از بین بردن حساب پیش فرض مدیر در نصب وردپرس خود، شما برای حمله کنندگان به حدس زدن (نیروی بی رحم) راه خود را به وب سایت خود بسیار مشکل می سازید.
نکات امنیتی وردپرس
یک نام مستعار که از نام کاربری موجود شما متفاوت است و آن را به عنوان نام نمایش عمومی خود ایجاد کنید.با این کار ورود برای هکر بسیار سخت تر خواهد شد.
نقش ها و قاعده کمترین امتیاز
اصل کمترین امتیاز از دو مرحله بسیار ساده تشکیل شده است:
- حداقل مجموعه ای از امتیازات مورد نیاز کاربر برای انجام یک عمل را اعطا کنید.
- مزایای گرانت فقط برای مدت زمان دقیق لازم است.
وردپرس شامل نقش های ساخته شده برای مدیران، نویسندگان، ویراستاران، مشارکت کنندگان و مشترکین است که مشخص می کند که چه کاری می تواند و نمی تواند انجام شود..
برای کاهش خطرات امنیتی خود این توصیه های کنترل دسترسی را دنبال کنید:
- ایجاد حساب کاربری جدید در پایین ترین سطح مجوز.
- مجوز های موقت را اعطا می کند و زمانی که آنها دیگر مورد نیاز نیست دسترسی را لغو کنند.
- حذف حسابهایی که دیگر استفاده نمی شوند.
- اطمینان حاصل کنید که نقش پیش فرض کاربر به Subscriber تنظیم شده است.
آموزش امنیت وردپرس به زبان فارسی
۲۵,۰۰۰ تومان
|
رمز عبور ها
شما همیشه باید کلمات کلیدی قوی و منحصر به فرد خود را برای حساب های خود ایجاد کنید. مهاجمان اغلب از لیست های رمز عبور برای وب سایت های وردپرس و پنل های مدیریتی استفاده می کنند.
رمزهای عبور قوی باید استانداردهای زیر را داشته باشند:
- حداقل ۱ کاراکتر بزرگ
- حداقل ۱ کاراکتر کوچک
- حداقل ۱ رقم
- حداقل ۱ کاراکتر خاص
- حداقل ۱۰ کاراکتر
نکته : استفاده از یک تولید کننده رمز عبور برای تولید یک رشته تصادفی از حروف و اعداد یکی از ساده ترین راه های ایجاد یک رمز عبور امن است.
درس سوم : محدود کردن دسترسی در امنیت وردپرس
احراز هویت دو عامل سطح حفاظت از حساب شما را پس از ورود به سیستم شما فراهم می کند. این ویژگی نیاز به یک کاربر برای تأیید ورود به سیستم و محافظت از حساب شما را دارد اگر کسی رمز ورود شما را حدس بزند.
محدود کردن تلاش ورود به سایت شما
وردپرس به کاربران اجازه می دهد تا به طور پیش فرض زمان ورود نامحدود را امتحان کنند، اما این باعث می شود که سایت شما آسیب پذیر باشد به حملات بورت فورث به عنوان هکرها سعی در ترکیب های مختلف رمز عبور می کنند.
شما می توانید یک لایه امنیتی اضافی را با محدود کردن تعداد تلاش های ورود به حساب از طریق یک افزونه یا با استفاده از فایروال Web Application (WAF) اضافه کنید.برخی از افزونه های محبوب که به شما این امکان را می دهند عبارتند از محدود کردن تلاش های ورود، تلاش های ورود به سیستم محدود کردن WP و Loginizer.
CAPTCHA در پیش ورود
مخفف عبارت برای تست کامل تئوری عمومی تورینگ برای گفتن کامپیوتر و انسانها جداهم.این ویژگی بسیار مفید است که متوقف کردن ربات های خودکار از دسترسی به داشبورد وردپرس و همچنین ارسال اسپم ناخواسته از طریق فرم ها.افزونه های محبوب که CAPTCHA را به صفحه ورود به وردپرس اضافه می کنند عبارتند از Login No Captcha reCAPTCHA و پیشرفته noCaptcha و Captcha نامرئی.
محدود کردن دسترسی به URL های تأیید شده
محدود کردن دسترسی به صفحه ورود شما به تنها مجاز IP باعث جلوگیری از ورود غیر مجاز خواهد شد.افزونه هایی وجود دارد که می توانند این کار را انجام دهند. اگر شما از WAF مبتنی بر ابر مانند فایروال Sucuri استفاده می کنید، می توانید از طریق داشبورد خود دسترسی به این URL ها را محدود کنید و بدون نیاز به فایلی با پسوند .htaccess قرار دهید.
درس چهارم : افزونه های امنیتی وردپرس
اگر شما به مخزن رسمی وردپرس بروید و یک جستجوی سریع برای امنیت انجام دهید، شما بیش از ۴،۲۹۸ افزونه را با دسته بندی های متمایز و مجموعه های ویژگی پیدا خواهید کرد.ما دسته بندی ها را دسته بندی می کنیم و اهمیت آنها را توضیح می دهیم، بنابراین شما می توانید راه حل های مناسب برای نیازهای خود را پیدا کنید.
گروه پیشگیری
این افزونه ها برای محافظت از محیط شما برای وب سایت شما فراهم می شود. هدف آنها جلوگیری از هک شدن با فیلتر کردن ترافیک ورودی است.حملات علیه نرم افزار سرور با افزونه های امنیتی قابل جلوگیری نیست، به همین دلیل توصیه می کنیم با توجه به WAF مبتنی بر ابر، به جای آن.
دسته تشخیص
این افزونه ها به دنبال شناسایی نفوذ کنندگان از طریق چک های یکپارچگی فایل، اسکن برای شاخص های سازش، یا ترکیبی از دو مکانیزم هستند.اگر افزونه براساس چکهای یکپارچگی باشد، باید بر روی یک محیط تازه و شناخته شده برای نصب به عنوان پایه استفاده شود.
ممیزی دسته
امنیت آن تنظیم نشده است و آن را فراموش کرده اید. شما باید زمان را به فرایند سرمایه گذاری کنید و با آنچه که در حال انجام است متصل شوید، چه کسی وارد سیستم می شود، چه چیزی تغییر می کند و چه زمانی تغییرات انجام می شود.
افزونه های حسابرسی می تواند به شما در پاسخ به این سوالات کمک کند با ارائه ویژگی های مدیریت پایه ای که به شما کمک می کند تا شناسایی، خنثی کردن یا پاسخ دادن به یک سازش را بیابید.
نکات امنیتی وردپرس
افزونه های شناسایی در شناسایی موارد مهم در وب سایت شما مهم هستند. این ابزار اطمینان حاصل می کند که شما هنگام وقوع یک حادثه امنیتی مطلع هستید.
دسته سودمند
- این شاید متنوع ترین سطل از کل اکوسیستم افزونه امنیت وردپرس است.
- این افزونه ها می توانند در گزینه های پیکربندی امنیتی خود، جامع باشند.
- آنها هر پیکربندی احتمالی را که می توانید هروقت بخواهید استخدام کنید.
افزونه های مفید برای افرادی که مایل به چابک شدن هستند و یا می خواهند توانایی پیکربندی گزینه های خاصی را برای برآورده ساختن نیازهای خود دارند، مناسب است. به عنوان مثال، برخی از افزونه های امنیتی به سادگی XML-RPC را غیر فعال یا صفحه ورود به سیستم خود را جابجا می کنند.
ما همچنین این دسته را برای مجموعه ابزارهایی نظیر پشتیبان گیری یا افزونه های نگهداری که به کارکردهای امنیتی خاص مربوط می شوند، رزرو می کنیم.
درس پنجم : میزبانی و پشتیبان گیری در امنیت وردپرس
چهار محیط میزبان اصلی وجود دارد که می تواند برای نصب وردپرس شما استفاده شود:
- محیط های میزبانی مشترک
- سرور اختصاصی سرور مجازی (VPS)
- محیط میزبانی مدیریت شده
- سرور های اختصاصی
در تئوری، محیط هایی که بیشترین وابستگی را از کاربر حذف می کنند، بیشترین امنیت را ارائه می دهند.اگر زمان و مهارت خود را برای اطمینان از محیط خودتان داشته باشید، گزینه های بیشتری نیز دارید، همچنین مسئولیت بیشتری خواهید داشت.
نوع محیط میزبانی که انتخاب می کنید باید با نیازها و تخصص های شما تعریف شود:
- اگر شما کمی درک کنید که چگونه وب سایت ها کار می کنند، با یک محیط مدیریت شده بروید
- اگر شما یک سازمان با مرکز عملیات شبکه خود (NOC)، مرکز عملیات امنیت اطلاعات (SOC) یا sysadmins اختصاصی هستید، سپس VPS یا سرور اختصاصی، انزوا بیشتری از محیط شما را فراهم می کند.
شما همچنین می توانید با ارائه دهنده ی میزبانی خود مکالمه را شروع کنید تا بتوانید در مورد امنیت آنها چه نظری بدهید.
نکات امنیتی وردپرس
برای جلوگیری از آلودگی متقابل سایت ها از FTP و حساب های کاربری با دقت جدا شده در محیط های سرور مشترک استفاده کنید.
اتصالات SFTP / SSH
انتقال فایل امن به و از سرور شما یک جنبه مهم امنیت وب سایت در محیط میزبانی شماست. رمزگذاری تضمین می کند که هر گونه داده ارسال شده از چشمان کنجکاو محافظت می شود که ممکن است ترافیک شبکه شما را خراب کند.
SSH : Secure Socket Shell یک پروتکل شبکه امن است و رایج ترین راه مدیریت سرورهای از راه دور است. هر گونه احراز هویت، از جمله احراز هویت رمز عبور و انتقال فایل، کاملا رمزگذاری شده است.
SFTP : پروتکل انتقال پرونده SSH یک برنامه افزودنی SSH است و امکان تایید بر روی یک کانال امن را فراهم می کند. اگر از یک سرویس گیرنده FTP استفاده می کنید، به جای FTP رمزگذاری نشده
SFTP توصیه می شود : پورت پیش فرض برای SFTP 22 است.
پشتیبان گیری
نگهداری پشتیبان گیری وب سایت باید یکی از مهم ترین وظایف تکراری برای یک مدیر وب سایت باشد.
مجموعه خوبی از پشتیبان گیری می تواند وب سایت شما را نجات دهد زمانی که کاملا همه چیز دیگر اشتباه می رود. اگر یک مهاجم مخرب تصمیم می گیرد تمام پرونده های سایت شما را پاک کند یا فایل های سایت خود را با اسکریپت های حشره دار خود خراب کند، می توانید با بازگرداندن سایت خود از پشتیبان گیری خود، آسیب را از بین ببرید.
درس ششم : نظارت جامع، حسابرسی و هشدارها
تعدادی از ابزارهایی وجود دارد که می توانید آنها را برای شناسایی زمانی که چیزی در وب سایت شما اشتباه است، شناسایی کنید.
نظارت جامع
چک یکپارچه یک جنبه مهم حسابرسی نصب وردپرس شماست و می تواند به شما هشدار اولیه ای از نفوذ در وب سایت شما بدهد.
ابزار پیاده سازی یکپارچه فایل به طور معمول بر روی یک سرور نصب می شود که در آن آنها یک مقدار پایه رمزنگاری فایل های بحرانی را ایجاد می کنند و رجیستری اگر فایل یا رکورد اصلاح شده باشد، هرگونه تغییری را دریافت خواهید کرد.
شما می توانید افزونه Sucuri Scanner رایگان برای وردپرس را برای استفاده از سیستم مانیتورینگ یکپارچه فایل اصلی ما نصب کنید.
حسابرسی / هشدارها
ابزار حسابرسی به شما قابلیت مشاهده فعالیت کاربر در وب سایت را می دهد.از ابزارهایی استفاده کنید که از هر گونه اقداماتی که در وب سایت شما انجام شده است، به شما هشدار میدهد، از جمله موفقیت و خرابی تأیید هویت کاربر، ایجاد کاربر، آپلود فایل ، و و هر گونه اصلاح سایت دیگر.
طرح پاسخ و بازیابی
پاسخ و بازیابی تنها در مورد پاسخ دادن به یک مصالحه یا حادثه نیست.این در مورد تجزیه و تحلیل اثرات حمله به درک آنچه اتفاق افتاده است، سپس کنترل های لازم را برای جلوگیری از وقوع دوباره آن انجام دهید.ما به طور فعال یک افزونه امنیتی رایگان وردپرس داریم که شامل تمام ویژگی های ذکر شده در بالا برای افزایش امنیت و شناسایی شاخص های سازش.
درس هفتم : SSL، HTTPS در امنیت وردپرس
SSL در چند سال گذشته به طور فزاینده ای اهمیت یافته است، نه تنها برای انتقال ایمن اطلاعات به وب سایت شما، بلکه همچنین برای افزایش دید و کاهش احتمال جریمه.SSL اجازه می دهد تا یک وب سایت توسط HTTPS قابل دسترسی باشد، که رمزگذاری داده ها بین بازدید کننده ها و سرورهای وب را رمزگذاری می کند.
از سال ۲۰۱۴، SSL یک نشانه رتبه بندی برای جستجوگرها بوده است. در حال حاضر، گوگل شروع به پرچم های غیر HTTPS وب سایت هایی کرده است که رمز عبور و اطلاعات کارت اعتباری را انتقال می دهند.
ما یک راهنمای رایگان در مورد چگونگی پیاده سازی SSL را در وب سایت خود قرار داده ایم. اگر به کمک نیاز دارید، می توانید با ما ارتباط برقرار کنید و یاد بگیرید که چگونه می توانیم از طریق WAF مبتنی بر ابر ما SSL / HTTPS را فعال کنیم.