ارتباط ناشناخته. ارتباط بدون سانسور. ارتباط برقرار نمی‌شود. سایت اصلی احتمالاً زیر سانسور است. ارتباط با سایت (های) موازی برقرار شد. ارتباط برقرار نمی‌شود. ارتباط اینترنت خود را امتحان کنید. احتمال دارد اینترنت به طور سراسری قطع شده باشد. ادامه مطلب

جلوگیری از هک شدن تارنمای مبتنی بر وردپرس

علی نیکویی − وجود افزونه‌های مختلف امکان به خطر افتادن تارنما را تا حد زیادی بالا می‌برد، همچنین خطرهای دیگری نیز در کمین تارنماهای مبتنی بر وردپرس است.

علی نیکویی

۴ دقیقه

وردپرس یک سیستم مدیریت محتوا آزاد و متن‌باز بر پایه مجوز GPL است. هدف سازندگان وردپرس راحتی کاربر در کار با این سیستم است. به همین دلیل امکاناتی که در یک سیستم مدیریت محتوای یک‌پارچه انتظار می‌رود به صورت تمام و کمال در وردپرس دیده نمی‌شود. برای رفع این مشکل توسعه‌دهندگان می‌توانند اقدام به ساخت و توسعه افزونه برای وردپرس کنند.

وجود افزونه‌های مختلف امکان به خطر افتادن تارنما را تا حد زیادی بالا می‌برد، همچنین خطرهای دیگری نیز در کمین تارنماهای مبتنی بر وردپرس است. در این نوشته که مبتنی بر نوشته‌ای از تونی پرز است سعی می‌کنم پس از معرفی خطرهای در کمین تارنماهای قدرت گرفته از وردپرس، شیوه‌های رفع آن‌ها را بررسی کنم.

محدودکردن دسترسی

مفید‌ترین گزینه برای بالابردن امنیت تارنمای مبتنی بر وردپرس محدود کردن دسترسی است.

در این روش دسترسی همه بازدیدکنندگان برای ورود به تارنما محدود می‌شود و تنها IPهای خاصی امکان ورود به بخش مدیریت تارنما (wp-admin) را دارند.

این روش یک روش کارا و مفید است و این روز‌ها بسیاری از بارو‌ها (فایروال) دسترسی بازدیدکنندگان به بخش مدیریت تارنما را محدود می‌کنند. این محدودیت مانعی برای حمله به این صفحه برای استفاده از شیوه‌های مختلف هک می‌شود.

هرچند استفاده از بارو (فایروال) برای تارنما، یک گزینه قوی و کاراست اما همیشه امکان‌پذیر نیست. در این حالت بهترین راه استفاده از افزونه‌هایی است که امنیت را در سطح نرم‌افزاری برای تارنمایتان مهیا می‌کند. یکی از این افزونه‌های iTheme Security است. البته راه‌های دیگری نیز وجود دارد که در زیر به آن‌ها پرداخته می‌شود:

محدودیت تلاش برای ورود کاربران به بخش مدیریت

یکی از روش‌های پراستفاده برای بالابردن امنیت تارنما محدود کردن تعداد تلاش‌های کاربران برای ورود به تارنما است.

افزونه‌های مختلفی وجود دارند که این محدودیت را فراهم می‌کنند اما تعداد کمی از آن‌ها این کار را به درستی انجام می‌دهند. چنین افزونه‌هایی برای مقابله با حمله‌های متوسط به کار می‌رود اما حمله‌های پیچیده به روش‌های مقابلهٔ خلاقانه‌تری نیاز دارند.

هم‌چنین استفاده از چنین افزونه‌هایی به بررسی‌های همیشگی و به‌روزرسانی متناوب نیاز دارد تا بتواند به خوبی در مقابل حمله‌های جدید واکنش نشان دهد.

استفاده از ورود چند مرحله‌ای برای بخش مدیریت تارنما

ورود چند مرحله‌ای به معنی افزودن لایه‌هایی غیر از وارد کردن رمز و شناسه برای ورود به یک سامانه است. برای نمونه فرض کنید که کسی بخواهد به بخش مدیریت تارنمای خود وارد شود، پس از واردکردن شناسه و رمز ورود بایستی کدی که برای تلفن همراهش فرستاده می‌شود را نیز وارد کند.

بسیاری از افزونه‌های امنیتی نمونه‌ای از ورود دو یا چند مرحله‌ای را پیاده‌سازی می‌کنند.

اما پیشنهاد می‌شود به جای استفاده از آن‌ها از افزونه تایید اعتبار گوگل (Google Second-Step Authentication) استفاده کنید. بد نیست بدانید که این افزونه کارایی زیادی در جلوگیری از حمله‌های Brute Force دارد؛ حمله‌هایی که برای امتحان کردن ترکیب‌های مختلف نام کاربری و رمز طراحی شده است و با بررسی رمزهای مختلف به بخش مدیریت تارنمایتان دسترسی پیدا می‌کند.

از تارنمای خود نسخهٔ پشتیبان تهیه کنید

حتا اگر بهترین تدابیر امنیتی را در نظر گرفته باشید، نمی‌دانید که چه اتفاقی برای تارنمای شما می‌افتد.

در صورتی که اتفاق ناخوش‌آیندی رخ دهد باید مطمئن باشید که تمام محتوای تارنمایتان قابل بازگشت خواهد بود. برای این کار افزونه‌های بسیاری وجود دارد اما BackWPup گزینهٔ مناسبی برای این کار است

به‌روزرسانی متناوب افزونه‌ها و هسته وردپرس

هر نسخه جدید وردپرس وصله‌هایی را شامل می‌شود که مشکل‌ها و آسیب‌پذیری‌های وردپرس را برطرف می‌کند. از سوی دیگر به هکر‌ها نشان می‌دهد که در نسخه‌های پیشین چه مشکل‌های امنیتی وجود داشته است.

به این ترتیب اگر شما وب سایت خود را با آخرین نسخهٔ وردپرس به‌روزرسانی نکنید، تارنمای خود را در معرض حملات قرار داده‌اید.

چنین رخدادی برای قالب‌ها و افزونه‌های وردپرس نیز صادق است. مطمئن شوید که به محض انتشار آخرین نسخه افزونه، قالب یا هسته وردپرس، آن را به‌روزرسانی می‌کنید.

استفاده از رمز پیچیده، طولانی و یکتا برای شناسه‌های تارنما

در میزان کنترل دسترسی، ساده‌ترین کاری که به عنوان یک کاربر نهایی می‌توان انجام داد، داشتن رمزی پیچیده و یکتا است. این روش کارا اما ساده با ساده‌انگاری و بی‌توجهی کاربران به دردسرهای پیچیده منجر می‌شود.

بسیاری از کاربران فکر می‌کنند رمزی قوی را برگزیده‌اند اما در عمل بسیاری از رمزهای مبتنی بر کلمه‌ها، به راحتی قابل حدس زدن یا شکسته شدن می‌باشند. راه حل ساده داشتن رمز قوی بدون فکر کردن و مشکل به خاطر سپردن، استفاده از نرم‌افزارهای مدیریت رمز است.

Lastpass سرویسی قابل قبول است اما برای تضمین بی‌چون و چرای امنیت KeePass گزینه بهتری است چون نرم‌افزاری آزاد و متن‌باز است. چنین سرویس‌هایی هم رمز طولانی و پیچیده تولید می‌کنند و هم در به خاطر سپردن آن به ما یاری می‌رسانند.

استفاده از میزبانی امن برای تارنما

در هنگام انتخاب سرویس‌دهندگان میزبانی وب، تنها به قیمت آن توجه نکنید. یکی از معیارهایی که برای انتخاب شرکت در نظر می‌گیرید باید بالابودن امنیت آن باشد. این کار ارزش پرداخت کمی هزینه اضافی را دارد.

این مطلب را پسندیدید؟ کمک مالی شما به ما این امکان را خواهد داد که از این نوع مطالب بیشتر منتشر کنیم.

آیا مایل هستید ما را در تحقیق و نوشتن تعداد بیشتری از این‌گونه مطالب یاری کنید؟

.در حال حاضر امکان دریافت کمک مخاطبان ساکن ایران وجود ندارد

توضیح بیشتر در مورد اینکه چطور از ما حمایت کنید

نظر بدهید

در پرکردن فرم خطایی صورت گرفته

نظرها

نظری وجود ندارد.

اخبار ما به شما می‌رسد حتی وقتی که وبسایت در دسترس نیست

در صورت قطع اینترنت یا سانسور شدید، ایمیل شما ممکن است هنوز در دسترس باشد و کار کند. در این صورت، ما آخرین خبرها را از طریق خبرنامه در ایمیل به شما می‌رسانیم.

برای دسترسی به خبرها در صورت قطع اینترنت، لطفاً نگاه کنید به فهرست راه‌های دور زدن سانسور .

آیا اطلاعات بیشتری لازم دارید؟ بخوانید درباره لایحه شبکه ملی اطلاعات یا اینترنت ملی .