تقریبا یک ماهی میشود که از حمله هکرها به WordPress میگذرد. شرکت web Hosting بیان کرد که این مشکل به دلیل قدیمی بودن ورژن WordPress بوده است. شرکت همچنین بیان کرد هیچ پسوردی دزدیده نشده فقط هسته سرور دچار تداخل شده است. حال اگر از کاربرانی هستید که به امنیت اینترنتی خود اهمیت میدهید چندین راه برای افزایش امنیت به شما پیشنهاد میشود که به آنها نگاهی میآندازیم.
۱ ) ورود از طریق ایمیل
وقتی برای اولین بار وردپرس را نصب میکنید، اولین کاربر admin بعنوان پیش فرض تعیین میشود. برای افزایش امنیت این کاربر را پاک کنید و یک کاربر جدید بسازید و یا اینکه خود را از Admin به نقش administrator تغییر بدهید. اگر این امکان هم برای شما ممکن نمیباشد می توانید از افزونه ایمیل وردپرس استفاده کنید. که با اضافه کردن این افزونه میتوانید به جای نام کاربری از ایمیل برای وارد شدن استفاده کنید.
۲ ) ورژن وردپرس خود را از دیگران مخفی نگه دارید
سایت وردپرس دارای شماره ورژن میباشد و اگر هکر بفهمد که ورژن وردپرس شما از تاریخ گذشته است میتواند از نقطه ضعفهای موجود در ورژن شما استفاده کند و اقدام به حمله کند.
۳ ) اجازه ندهید کسی در مسیر وردپرس شما چیزی بنویسید
وارد وردپرس لینوکس خود شوید و برای دیدن لیست مسیرهای باز دستور زیر را در ترمینال وارد کنید:
find . -type d -perm -o=w
همچنین برای تعیین اجازه مدیر به فایلهای امنیتی دو دستور زیر را وارد کنید:
find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
4 ) اسم tables Prefix وردپرس خود را عوض کنید
اگر وردپرس را با تنظیمات پیش فرض نصب کرده اید اسم Tableهای شما wp_post یا wp_user میباشد. منظور از Prefix همان wp_ اول میباشد. شما با افزونه تغییر Prefix میتوانید آنها را تغییر دهید.
۵ ) جلوگیری از کاربران برای جستجو در مسیرها
این بسیار مهم است که دستور زیر را در htaccess. وردپرس واقع در مسیر Root خود اضافه کنید:
Options -Indexes
با اضافه کردن این دستور کاربران خارج از مدیر نمیتوانند به این فایل دسترسی داشته باشند و html و یا php از آخر آدرس وب شما حذف میشود.
۶ ) کلید های امنیتی وردپرس را به روز کنید
به اینجا مراجعه کنید تا بتوانید شش کلید امنیتی برای وردپرس خود تهیه کنید. از مسیر وردپرس خود wp-config.php را باز کنید و کلید جدید را جایگزین قبلی کنید.
۷ ) پیام های اخطار وردپرس را بایگانی کنید
پیامهای خطا بعضی مواقع میتوانند کمک بزرگی به شما در دادههای مخرب کند. در صورت مشاهده هر نوع خطایی میتوانید به این لینک مراجعه کنید تا بدانید مشکل از کجاست. برای بایگانی پیامهای خطا فایل wp-config.php را باز کرده و دستور زیر را اضافه کنید و در نظر داشته باشید که مسیر پیامهای خطا /path/to/error.log میباشد:
define('WP_DEBUG', true);
if (WP_DEBUG) {
define('WP_DEBUG_DISPLAY', false);
@ini_set('log_errors', 'On');
@ini_set('display_errors', 'Off');
@ini_set('error_log', '/path/to/error.log');
}
9 ) پسورد گزاری بر روی پوشه های مدیر
همیشه این یک ایده خوبی میباشد که بر روی پوشههایی که مدیر بر آن رسیدگی دارد پسورد تعیین شود. از این رو اگر کاربری بخواهد بدن اجازه وارد بخشی شود با پسرد مواجه میشود. از طرف دیگر اگر کسی پسورد هم داشته باشد باید برای وارد شدن پسورد را دوبار وارد کند.
۱۰ ) ردگیری فعالیتهای کاربران بر روی سرور
شما میتوانید با استفاده از دستور last -i لیست تمام کاربران وارد شده به وردپرس خود بعلاوه IP آنها را مشاهده کنید. اگر IP مشکوکی در لیست مشاهده کردید بدانید وقت آن رسیده که پسورد خود را عوض کنید. اگر به دنبال فعالیتها دوره ای کاربران هستید میتوانید از دستور زیر برای مشاهده آن استفاده کنید:
last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c
وردپرس خود را با افزنه تحت نظر داشته باشید
منبع WordPress.org دارای چندین افزونه امنیتی خودب میباشد که به شما کمک میکند وردپرس خود را در طی سپری شدن زمان تحت نظر داشته باشید.
۱ ) Exploit Scanner این افزونه در سریع ترین زمان ممکن وردپرس شما را اسکن میکند و در صورت مشاهده کد، لینک یا فایل مشکوک آن را به شما گزارش میدهد.
۲ )WordFence Security این یک افزونه امنیتی بسیارقوی است که پیشنهاد میشود حتما از آن استفاده کنید. این افزونه فایلهای موجود در هسته وردپرس را با فایلهای پیش فرض هسته مقایسه میکند و اگر تغییر کرده باشد تغییرات را به شما گزارش و در صورت نیاز مشکل را حل میکند.
۳ ) WordPress Sentinel یکی دیگر از افزونههایی امنیتی همانند WordFence Security میباشد اما این افزونه به این صورت کار میکند که میآید هسته وردپرس را تحت نظر میگیرد و در صورتی که فایلی به آن اضافه شود آن را برای شما گزارش میدهد.
۴ ) WP Notifier اگر زیاد به وردپرس وارد نمیشوید این افزونه مخصوص شما میباشد. این افزونه در صورتی که به روز رسانی جدید صورت بگیرد در طی یک ایمیل خبر را به دست شما میرساند.
۵ ) VIP Scanner افزونه اصلی این برنامه تم وردپرس شما را برای مشاهده خطا اسکن میکند. همچنین اگر کد تبلیغاتی به تم تزریق شده باشد آن را حذف خواهد کرد.
شما میتوانید از دستور زیر در لینوکس برای مشاهده تغییرات سه روز قبل وردپرس استفاده کنید:
find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"
صفحه ورودی وردپرس خود را امن کنید
۱ ) Password Protect with .htaccess این فایل حاوی اطلاعاتی مهمی از جمله نام کاربری و رمز عبور میباشد که پیشنهاد می شود برای آن پسورد تعیین کنید.
۲ ) Google Authenticator این افزونه معتبر دو مرحله تایید برای ورود به وردپرس تعیین میکند. مرحله اول پسورد وردپرس شماست و مرحله دوم کد امنیتی است که از طریق جی میل به شما ارسال می شود.
۳ ) Login Dongle این افزونه به صفحه ورودی شما سوال امنیتی اضافه میکند که کاربر باید آن را از قبلا تعیین کرده باشد. سوالی همانند: نام فرزند اول شما چیست؟