تبلیغات
طراحی وب سایت | وب سایت اختصاصی | آموزش طراحی سایت - امنیت در وردپرس

طراحی وب سایت | وب سایت اختصاصی | آموزش طراحی سایت

دوشنبه 23 شهریور 1394

امنیت در وردپرس

نویسنده: مهرداد محمدی   طبقه بندی: طراحی وب سایت، 

مدتی پیش برای مصاحبه به یکی از شرکت های تبلیغاتی و طراحی وب سایت مراجعه کردم، در مورد زرومه من سوال پرسیده شد یکی از مواردی که بیان کردم توسعه وب سایت با استفاده از وردپرس بود که مدیر این شرکت پس از شنیدن این مطلب فرمودند که ما با وردپرس کار نمیکنیم و نیاز داریم که سیستم مدیریت محتوایی خودمان را توسعه دهیم.

از ایشان پرسیدم که دلیل استفاده نکردن از وردپرس چیست؟ در پاسخ اشاره به ...

مدتی پیش برای مصاحبه به یکی از شرکت های تبلیغاتی و طراحی وب سایت مراجعه کردم، در مورد زرومه من سوال پرسیده شد یکی از مواردی که بیان کردم توسعه وب سایت با استفاده از وردپرس بود که مدیر این شرکت پس از شنیدن این مطلب فرمودند که ما با وردپرس کار نمیکنیم و نیاز داریم که سیستم مدیریت محتوایی خودمان را توسعه دهیم.

از ایشان پرسیدم که دلیل استفاده نکردن از وردپرس چیست؟ در پاسخ اشاره به امنیت کم وردپرس شد و اینکه سیستم مدیریت محتوای وردپرس از امنیت کمی برخوردار میباشد به همین جهت تصمیم گرفتم مطلبی در مورد “امنیت وردپرس” بنویسم در این مطلب به مشکلات و روش های امن کردن هر چه بیشتر وردپرس اشاره خواهد شد.

قبلا بیان کردن راه های افزایش امنیت وردپرس بهتر است این مطلب را که در مورد “چرا وردپرس را انتخاب کنیم؟” که در همین وبلاگ منتشر شده است را مطالعه فرمایید. در این مطلب اشاره کوتاهی به دلایل استفاده از سیستم مدیریت محتوای وردپرس و اینکه چرا امنیت وردپرس در خطر می باشد صحبت شده است.

به روز نگه داشتن وردپرس

یکی از بهترین روش های محافظت از وردپرس در برابر هکرها به روز رسانی وردپرس به آخرین نسخه موجود می باشد. به دلیل متن باز بودن سیستم مدیریت محتوایی وردپرس این سیستم مدیریت محتوا علاوه بر اینکه در اختیار کابران به صورت رایگان قرار میگیرد، هکرها نیز میتوانند با دسترسی به آن، حفره های امنیتی موجود در آن را کشف کرده و از طریق این حفره ها به وب سایت شما آسیب برسانند. و چون وردپرس یک سیستم مدیریت محتوایی بسیار محبوب می باشد هکرهای بیشتری به آن هجوم می آورند تا بتوانند از یک وب سایت و اطلاعات آن سوء استفاده کنند. از طرف دیگر به دلیل اینکه وردپرس دارای یک community بسیار قوی می باشد، حفره های متعدد که از سوی کاربران کشف شده و یا خود تیم وردپرس کشف می کنند را برطرف کرده و سریعا نسخه تازه ای از وردپرس را انتشار میدهند.

پس به روز نگه داشتن وردپرس اولین قدم برای حفظ امنیت آن میباشد.

طراحی وب سایت توجه توجه: در صورتی که نسخه وردپرس شما قدیمی میباشد و بیش تر از ۶ ماه از به روز رسانی آن میگذرد شدیدا توصیه می شود که قبل از به روز رسانی حتما حتما از وب سایت خود نسخه پشتیبانی تهیه فرمایید تا در صورت بروز مشکل امکان بازگشت آن وجود داشته باشد.

به روز نگه داشتن پلاگین ها

وردپرس یک سیستم مدیریت محتوایی بسیار قوی میباشد، ولی میتوان مهمترین علت محبوبت آن را توانایی ایجاد تم و پلاگین های اختصاصی دانست که توسط توسعه دهندگان ایجاد شده اند.

متاسفانه یا خوشبختانه این پلاگین ها توسط تیم توسعه دهنده وردپرس ایجاد نشده اند و دیگر افراد توسعه دهنده آنها را ایجاد کرده اند بنابراین امکان به وجود آمدن حفره در اثر توجه نکردن به نکات امنیتی که از طرف تیم توسعه دهنده وردپرس توصیه شده است، وجود دارد.

این افراد در ورژن های مختلف اصلاحاتی را انجام میدهند و در صورت موجود بودن هر مشکلی از جمله مشکلات امنیتی آنها را برطرف ساخته و نسخه جدید را منتشر می کنند. پس باید توجه داشت که باید پلاگین هایی را که به وب سایت خود اضافه کرده ایذ را به روز نگه دارید و دقت داشته باشید که این پلاگین ها در اختیار هکرها نیز میباشند و در صورتی که نسخه بروز شده نصب نشده باشد و در نسخه فعلی حفره ای وجود داشته باشد هکر به راحتی میتواند از طریق آن حفره وب سایت را هک و تخریب کند.

عدم استفاده از قالب ها و پلاگین های نال شده

توسعه دهندگان بسیار زیادی قالب ها و پلاگین هایی با امکانات فرآوان و کاربردی را توسعه میدهند و برای فروش در اختیار دیگران میگذارند. در این بین افرادی این قالب ها و پلاگین ها را خریداری کرده و سورس آنها را با کمی دست کاری ( برای جلوگیری از باطل شدن لایسنس خریداری شده ) به صورت رایگان در وب سایت خود در اختیار دیگران قرار میدهند و یا حتی وب سایت هایی برای این منظور ساخته شده اند که قالب ها و پلاگین های پولی را به صورت رایگان منتشر میکنند.

کسی که اسکریپت پریمیم، که منبع درآمد یک توسعه دهنده می باشد را به صورت رایگان با دستکاری کد عرضه میکند آیا توانایی افزودن کدهای مخرب به این محصولات را ندارد؟ یک هکر حرفه ای به گونه ای کدهای مخرب را به سورس کد اضافه می کند که به راحتی و برای کاربران عادی و یا حتی بعضی ابزارها که ادعا می کنند کدهای مخرب را شناسایی می کنند قابل شناسایی و تشخیص نباشند. و هکر درموقعیتی مناسب از مطالب و اطلاعات وب سایت شما از طریق همین کدها سوء استفاده کرده و یا وب سایت شما را تخریب می کند.

در صورتی که قصد آشنایی بیشتر با این موضوع را دارید به مطلبی در همین وبلاگ با موضوع “چرا نباید از قالب های پریمیم رایگان استفاده کرد” مراجعه کنید.

استفاده از پلاگین های امنیتی

در بین پلاگین های موجود در وب سایت رسمی وردپرس پلاگین هایی وجود دارند که از محبوبت بالایی در بین کاربران برخوردار هستند و همین محبوبیت نشان دهنده کاربردی بودن و امنیت قابل قبول این پلاگین ها می باشد. با کمی گشت و گذار در این پلاگین ها، مواردی را میتوان مشاهده کرد که خود وظیفه تامین امنیت وردپرس را بر عهده دارند و برای رسیدن به این هدف گزینه های متعددی را در اختیار کاربر قرار می دهند. این پلاگین ها توانایی مقابله با حملات مرسوم به خصوص حملات brute force، SQL Injection، XSSرا دارا می باشند. البته تمامی آن ها برای تامین نیازهای مالی خود نسخه های pro که به صورت پولی عرضه می شوند را نیز ایجاد کرده اند که در این نسخه ها امکانات بیشتری برای محافظت در اختیار کاربر قرار می گیرد.

محبوب ترین پلاگین های امنیتی وردپرس iThemes Security، Sucuri Security، Wordfence Security، BulletProof Security

توجه: تکیه کردن به این پلاگین ها به تنهایی و تصور نادرست به اینکه آن ها تمامی امنیت سایت را تامین میکنند کاملا نادرست است و همین طور که در این مطلب خوانده اید و خواهید خواند موارد دیگری هم برای تامین امنیت الزامی می باشد.

استفاده از پروتکل امن وب ( https )

https به چه معنی است؟

برای توضیح این مفهوم یک مثال ساده برای شما زده خواهد شد.

فرض کنید که شما قصد برقراری ارتباط با دوست خود از طریق تلفن را دارید و در این بین تلفن دیگری در خانه شما به همان خطی که شما از آن با دوست خود تماس گرفته اید، متصل می باشد. حال اگر در هنگامی که شما در حال صحبت کردن هستید، شخص دیگری تلفن دیگر را بردارد می تواند به مکالمه بین شما و دوستتان گوش دهد و این مسئله می تواند به ضرر شما تمام شود.

چنین اتفاقی می تواند در ارتباط عادی http هم اتفاق بیفتد. مثلا زمانی که شما در حال ارتباط با بانک خود هستید و قصد انجام یک تراکنش بانکی را دارید یک هکر می تواند با دریافت اطلاعات در بین راه که بین شما و سرور بانک رد و بدل می شود به اطلاعات حساب شما دسترسی پیدا کرده و از آن سوء استفاده کند.

نقش پروتکل https  که بسیاری از بانک ها از آن استفاده میکنند، جلوگیری از همین لو رفتن اطلاعات می باشد به این شکل که اطلاعات به صورت رمزگذاری شده از سوی شما به بانک ارسال شده و به صورت رمز گذاری شده نیز از سرور بانک به مرورگر شما ارسال میشود و اگر هکر به اطلاعات در بین راه دسترسی پیدا کند برای او بی فایده خواهد بود چرا که تمامی داده ها رمز نگاری شده هستند.

برای این رمز نگاری نیاز به یک SSL Certification است، این Certification بر روی سرور مقصد یعنی همان سرور بانک نصب می شود.

با توجه به توضیحات بالا شما میتوانید با اتصال SSL Certification بر روی سرور و سایت خود از داده هایی که در حال رد و بدل شدن هستند، محافظت کنید. به عنوان مثال در صورتی که صفحه لاگین وردپرس از پروتکل https استفاده کند دیگر هکرها از طریق دزدیدن اطلاعاتی که بین کامپیوتر admin و server در زمان لاگین کردن رد و بدل می شود، توانایی پیدا کردن نام کاربری و رمز عبور شما را نخواهند داشت.

تغییر دادن پیش فرض های وردپرس

سیستم مدیریت محتوای وردپرس از یک سری صفحات و فولدربندی پیش فرض استفاده می کند به عنوان مثال آدرس صفحه لاگین http://example.com/wp-login.php. با تغییر پیش فرض ها شما می توانید امنیت وب سایت خود را بالاتر ببرید، البته پیدا کردن آدرس های جدید برای هکرهای حرفه ای زحمت زیادی در بر نخواهد داشت ولی حداقل شما را از شر هکرهای تازه وارد خلاص می کند.

بعضی از پیش فرض هایی که میتوانید تغییر دهید:

  • تغییر آدرس پیش فرض صفحه لاگین
  • تغییر آدرس فولدر wp-content به ادرس دیگر
  • تغییر آدرس فولدر پیش فرض برای فایل های آپلودی
  • انتقال دادن فایل wp-config.php به فولدر root سرور
  • پاک کردن فایل های html، license.txt که در فولدر root وب سایت شما قرار دارند و اطلاعاتی راجع به ورژن وردپرس در آنها وجود دارد
  • و ….

البته پلاگین هایی که در مورد چهارم معرفی شدند، پیشنهادهایی برای تغییر این پیش فرض ها به شما ارائه می کنند.

تهیه نسخه پشتیبانی

حتی اگر ساعت ها برای تامین امنیت وب سایت خود وقت بگذارید بازهم کفایت نمی کند و هر چه محبوبیت و بازدید وب سایت شما بیشتر شود، امکان خطر هجوم از سوی هکرها برای تخریب سایت شما بیشتر خواهد شد. بهترین راه در مقابله با هکرها تهیه نسخه پشتیبانی است، که اگر احیانا وب سایت شما به هر شکلی هک شد، شما توانایی بازگشت به حالت قبلی را داشته باشید.

تشخیص حفره امنیتی و اینکه یک وب سایت چگونه هک شده است با آنالیز و بررسی لاگ های سرور امکان پذیر است اما تشخیص کدهای مخربی که هکر برای دسترسی آسان در آینده به وب سایت در سورس سایت قرار می دهد، کار مشکلی است که اصطلاحا به این کدها back door هم می گویند.

با بازگرداندن نسخه پشتیبانی سالم و رفع حفره امنیتی، می توان یک قدم به سمت امن تر کردن وب سایت نزدیکتر شد.

از نظر بسیاری از کاربران حرفه ای تهیه نسخه پشتیبانی یکی از مهمترین مراحل برای تامین امنیت وب سایت می باشد به همین دلیل در بسیاری از وب سرورها این عمل به صورت اتوماتیک و زمانبندی شده انجام میگیرد.

هفت  مورد بیان شده در این مطلب موارد حیاتی و مورد نیاز برای تامین امنیت وردپرس هستند. گزینه های متعدد دیگری برای امنیت هر چه بیشتر وردپرس وجود دارد که با کمی جستجو در اینترنت میتوانید آنها را پیدا کرده و پیاده سازی کنید.

طراحی وب سایت با وردپرس با رعایت کلیه نکات امنیتی

طراحی وب سایت شرکتی با وردپرس


نظرات() 
What do you do for a strained Achilles tendon?
سه شنبه 28 شهریور 1396 03:26 ق.ظ
At this time I am going away to do my breakfast, afterward having my breakfast coming yet again to read other news.
Can you stretch to get taller?
شنبه 31 تیر 1396 01:35 ب.ظ
Nice post. I learn something new and challenging on sites I
stumbleupon on a daily basis. It's always interesting to read articles from other authors and practice a little something from other web sites.
manicure
یکشنبه 20 فروردین 1396 12:47 ب.ظ
This page really has all of the information I needed
concerning this subject and didn't know who to ask.
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر