چک لیست امنیت سایت وردپرسی

استفاده از چک لیست امنیت سایت اهمیت زیادی دارد. نمی توانیم میزان اهمیت امنیت در طراحی سایت را با کلمات بیان کنیم. هنگامی که شما به زمان تحویل پروژه نزدیک می شوید، تامین امنیت سایت وردپرسی و بررسی چک لیست امنیت سایت مهم ترین اولویت تان نخواهد بود. در این مقاله ما چک لیست امنیت سایت را برای شما آماده کرده ایم. چک لیستی که به شما اجازه می دهد تا به همه نکات و موارد مهم توجه داشته باشید.

در حال حاضر بیش از 2 میلیارد وب سایت در دنیا وجود دارد. به همین علت هم خیلی از افراد فکر می کنند که به چک لیست امنیت سایت نیاز نداشته و سایتشان به راحتی هک نمی شود. اگر شما تا کنون هک نشده اید، نگران مسائل امنیتی وب سایت خود نخواهید بود. اما با این حال بهتر است که امنیت مناسب را داشته باشید و هیچوقت به آن نیاز پیدا نکنید تا اینکه امنیت نداشته باشید و یک روز با حمله هکر ها مواجه شوید. در ادامه شما می توانید یک چک لیست امنیت سایت 16 مرحله ای را مشاهده کنید که برای ایمن کردن وب سایت مورد استفاده قرار می گیرد.

1. انتخاب هاست ایمن
2. پوشاندن آدرس ورود ادمین
3. استفاده از سیستم مدیریت پسورد
4. روشن کردن احراز دو مرحله ای
5. استفاده از تایم اوت ورود
6. استفاده از یک فایر وال
7. استفاده از افزونه های وردپرس برای امنیت
8. اتوماتیک کردن پروسه ها توسط پلاگین
9. دوری از حملات دیداس
10. بررسی اکانت های راکد
11. ایمن کردن فایل wp-config
12. اضافه کردن مجوز SSL
13. جلوگیری از HotLink
14. جلوگیری از کامنت های اسپم
15. بازدید مرتب سایت
16. استفاده از یک سایت استاتیک

حال بیایید تا هر کدام از آیتم های چک لیست امنیت سایت را با هم بررسی کنیم.

اولین مورد در چک لیست امنیت سایت، انتخاب هاست ایمن

انتخاب هاست ایمن اولین موردی است که در چک لیست امنیت سایت قرار می گیرد. شما می توانید همه مراحل بعدی را طی کنید و از بهترین سورس های کد برای وب سایت خود استفاده نمایید ولی اگر هاست شما ایمن نباشد، با یک مشکل جدی مواجه هستید. استفاده از هاست های ارزان و اشتراکی مثل این شرایط می ماند که در آن شما از یک درب تیتانیومی فوق العاده سنگین و قوی برای خانه خود استفاده می کنید و کلید آن را زیر پادری قرار می دهید.

استفاده از هاست های ارزان و اشتراکی در طراحی سایت می تواند مشکلات خاصی را برای شما به همراه داشته باشد. البته که این مسئله مربوط به مقاله دیگری است. مهم ترین عیب این مدل از انواع هاست، نداشتن امنیت است. هنگامی که سایت یک تیم دیگر با مشکل مواجه شود، کل سرور تحت تاثیر قرار گرفته و وب سایت شما هم با مشکل مواجه خواهد شد. این مسئله اصلا تقصیر شما نیست. البته که شرکت های فعال در زمینه تولید و فروش هاست همه تلاش خود را می کنند تا از این مشکل جلوگیری نمایند ولی این مشکل یکی از بزرگترین مشکل استفاده از هاست های اشتراکی به حساب می آید. اگر شما می خواهید همه نگرانی های خود را از بین ببرید، به راحتی می توانید از یک سرور اختصاصی یا هاست اختصاصی استفاده کنید.

ایمن کردن صفحه ورود در طراحی سایت

دومین مورد موجود در چک لیست امنیت سایت مربوط به ایمن کردن صفحه ورود می باشد. در اکثر مواقع هکر ها هیچ خصومت شخصی با صاحب وب سایت ندارند. مثلا شما می توانید یک وب سایت کوچک برای مدیریت قایق های موجود در روستای خود را به کار گیرید و باز هم با حمله هکر ها مواجه شوید. ربات های آسیب زا همواره در دنیای اینترنت به دنبال آسیب پذیری می گردند. برای آنها فرقی ندارد که وب سایت شما در چه موردی است و شما آن را چگونه طراحی کرده اید. اگر آنها راهی برای پیدا کردن صفحه ورود وردپرس شما پیدا کنند، در سریع ترین زمان ممکن همه فایل های شما را آلوده خواهند کرد. البته که با چند مرحله ساده شما می توانید از این پروسه جلوگیری کنید.

ماسک کردن صفحه ورود

در هنگام طراحی سایت، شما می توانید آدرس صفحه ورود را ماسک کنید یا آن را بپوشانید. شما می توانید از پلاگین هایی همچون Defender در جهت انجام این کار استفاده کنید. این پلاگین کار ربات های خطرناک را خیلی سخت تر می کند. اگر ربات ها نتوانند صفحه ورود را پیدا کنند، آنها از حمله بروت فورس استفاده نکرده و پسورد شما کرک نخواهد شد. البته که فعال سازی این پلاگین خیلی راحت است. فقط کافی است که یک آدرس جدید برای ورود به صفحه مدیریت وارد کنید.

البته که شما می توانید صفحات منسوخ شده را به یک قسمت خاص از سایتتان ریدایرکت کنید. مثلا اگر کسی وارد صفحه ورود قبلی شد، با ارور 404 یا صفحه اول وب سایت مواجه شود.

استفاده از سیستم مدیریت پسورد در طراحی سایت

هنگامی که صحبت از رمز عبور یا پسورد می شود، شما باید دو قانون طلایی را مد نظر خود قرار دهید.

• مطمئن شوید که رمز عبور های انتخابی شما طول مناسبی داشته و از کاراکتر های مختلفی استفاده کرده اند.
• برای دو اکانت از یک رمز عبور استفاده نکنید.

استفاده از این دو قانون باعث می شود تا شما نتوانید هیچکدام از رمز عبور های خود را به خاطر بسپارید. به همین علت هم شما باید از یک سیستم مدیریت رمز عبور استفاده نمایید. پلتفرم هایی همچون LastPass و 1Password به عنوان دو مورد از بهترین سیستم های مدیریت پسورد موجود در بازار شناخته شده اند. آنها به شما کمک می کنند تا رمز عبور های پیچیده ای را طراحی و از آنها استفاده کنید. شما فقط باید یک رمز عبور قوی و دقیق برای ورود به سیستم مدیریت رمز عبور را به خاطر بسپارید. بقیه مراحل توسط این سامانه ها طی می شوند.

پنجمین مورد موجود در چک لیست امنیت سایت، فعال سازی احراز دو مرحله ای

عامل دو مرحله ای یا احراز دو مرحله ای پنجمین مورد موجود در چک لیست امنیت سایت به حساب می آید. شاید در نگاه اول رمز عبور شما خیلی قوی و حرفه ای به نظر برسد ولی، در بهترین حالت فقط یک رشته 15 حرفی میان هکر و همه اطلاعات سایت شما قرار گرفته است. متاسفانه همیشه این مسئله کافی نبوده و شما به راحتی هک می شوید. استفاده از سیستم های احراز هویت دو مرحله به شما اجازه می دهند تا گوشی یا ایمیل خود را به کنترل پنل وردپرس متصل کنید. در نتیجه، هر سری که شما قصد ورود به سایت را دارید، باید یک کد خاص را ثبت کنید.

پلاگین Defender که در مراحل ابتدایی طراحی سایت ورد پرسی به کار می رود می تواند از Google Authenticator، Microsoft Authenticator و Authy در جهت تامین امنیت وب سایت شما استفاده کند. شما به راحتی می توانید آن را بر روی وب سایت خود تنظیم کنید و هنگامی که یک نفر از صفحه نام کاربری و رمز عبور گذر کرد، مجبور می شود تا کد ارسال شده به گوشی شما را وارد کند.

استفاده از این مورد موجود در چک لیست امنیت سایت باعث می شود تا هکر ها هیچگاه نتوانند بدون داشتن دسترسی به گوشی موبایل شما، وارد سایتتان شوند. بیایید تا این مسئله را از یک دید دیگر بررسی کنیم. برخی از وب سایت هایی که توسط تیم طراحی ما برای تست پلاگین و قالب مورد استفاده قرار می گیرد، روزانه 40 ورود نا موفق را ثبت می کند. یعنی روزانه 40 ربات سعی می کنند که به سایت وارد شوند و همه آنها شکست می خورند. آنها رمز عبور و نام کاربری های مختلفی را تست می کنند تا بتوانند ترکیب درست را پیدا نمایند. اگر فقط یکی از این تلاش ها با نتیجه مطلوب مواجه شود، شما برای همیشه سایت خود را از دست می دهید. با استفاده از پلاگین Defender شما می توانید لاگ ورود به کنترل پنل را مشاهده کنید.

با اینکه طراحی سایت گفته شده فقط شخصی بوده و این وب سایت هیچگاه به صورت رسمی منتشر نمی شود، اما باز هم از رادار هکر ها خارج نشده است. حتی با اینکه رمز عبور این وب سایت ایمن است، اما شما باید خیلی بیشتر نگران امنیت سایت خود باشید.

نکات مهم:

• استفاده از یک سیستم مدیریت پسورد به شما اجازه می دهد تا متوجه شوید چه کسی پسورد شما را تغییر داده است.
• استفاده از یک ایمیل پشتیبانی به شما کمک می کند تا خیلی راحت تر به سایت دسترسی پیدا کنید.
• اگر شما آدرس ورود جدید خود را فراموش کردید، می توانید آن را از طریق پایگاه داده دریافت کنید.
• برای امنیت بیشتر شما می توانید قسمت ریست کردن پسورد را از صفحه ورود مدیریت حذف کنید. پلاگین Branda به شما در انجام این کار کمک خواهد کرد.

• 

تامین امنیت ورود در هنگام طراحی سایت

ششمین مورد موجود در چک لیست امنیت سایت وردپرس مربوط به امنیت ورود می باشد. پلاگین Defender یک سری ابزار های اضافی را در کمربند خود قرار داده است که با استفاده از آن شما می توانید راه ورود افراد به سایت را مسدود کنید. شما می توانید از امنیت ورود استفاده کنید تا مطمئن شوید که هکر ها با استفاده از brute force برای ورود به وب سایت و هک رمز عبور استفاده نمی کنند. شما می توانید حداکثر تعداد ورود مورد نظر خود را انتخاب کنید و هنگامی که یک کاربر از حدش عبور کرد به آن یک ارور را نمایش دهید.

شما به صورت مستقیم با استفاده از لاگ ایجاد شده توسط Defender می توانید آدرس آی پی هکر ها را بن کنید. اگر شما مشاهده کردید که یک آی پی ناشناس در حال تلاش برای ورود به وب سایت است، خیلی راحت بر روی گزینه BAN IP کلیک کنید.

فقط در هنگام بررسی امنیت وردپرس، شما باید مطمئن شوید که آی پی خود را مسدود نمی کنید. مسدود کردن آی پی خودتان باعث می شود تا دسترسی تان برای همیشه به وب سایت قطع شود. البته، Defender به شما اجازه می دهد تا با یک سری ابزار های خاص، آی پی های ناشناخته را تحت تاثیر خود قرار دهید.

نکات مهم:

• آی پی خودتان را در لیست سفید قرار دهید تا با هیچ مشکلی مواجه نشوید.
• اگر شما از یک کشور خاص تعداد ورود های زیادی را دریافت می کنید، می توانید کل کشور را مسدود کنید.
• بهتر است که به کاربران اسم های مشتری همچون Admin یا Administrator ندهید. ربات ها معمولا با استفاده از همین نام های ساده نسبت به ورود به وب سایت شما استفاده می کنند. پس اگر شما از یک اسم اشتراکی استفاده می کنید، کار هکر ها را خیلی ساده کرده اید.

راه اندازی فایر وال وب اپلیکیشن یا WAF

هفتمین مورد موجود در چک لیست امنیت سایت مربوط به راه اندازی فایر وال وب اپلیکیشن می باشد. این نوع از انواع فایر وال به علت داشتن یک سری ویژگی های کلیدی و خاص محبوبیت زیادی به دست آورده است. این فایر وال یک سری قوانین از قبل تعریف شده را در جهت تامین امنیت سایت به کار می گیرد. همه درخواست های ورودی سایت و پاسخ هایی که سرور به آنها می دهد توسط WAF مورد بررسی قرار می گیرند. این نوع از انواع فایر وال می تواند برای مانیتور کردن، فیلتر کردن و بلاک کردن ترافیک ناخواسته کاربرد داشته باشد. این پروسه به شما کمک می کند تا از سایت خود در برابر ترافیک ناخواسته و هکر ها محافظت کنید.

البته که WAF در طراحی سایت به عنوان یک رابط عمل می کند. رابطی که درخواست های ارتباطی کاربر و سرور را مورد بررسی قرار می دهد. به صورت عمومی یک WAF برای جلوگیری از حمله های سنتی مورد استفاده قرار می گیرد. SQL Injection و Cross site Scripting از جمله این روش های حمله به حساب می آیند. با استفاده از این فایر وال شما می توانید جلوی دزدیده شدن اطلاعات سایت خود را نیز بگیرید.

استفاده از پلاگین برای تامین امنیت سایت وردپرسی

اگر شما به دنبال تامین صد در صدی امنیت سایت وردپرسی خود هستید، این مورد از چک لیست امنیت سایت کاربرد زیادی برایتان دارد. استفاده از پلاگین های امنیتی می تواند نتایج مطلوبی را برای شما به همراه داشته باشد. به عنوان مثال پلاگین Defender کار های زیادی را برای شما انجام داده و قابلیت های متنوعی دارد. این پلاگین به شما اجازه می دهد تا سایت خود را ضد هک کنید. ما می توانیم یک مقاله کامل در مورد این پلاگین و ویژگی های قرار داده شده در آن نگارش کنیم. در لیست زیر شما می توانید چند مورد از مهم ترین ویژگی های این پلاگین را مشاهده کنید.

• احراز دو مرحله ای
• ماسک کردن صفحه ورود
• قفل ورود
• شناسایی 404
• داشتن فایر وال وردپرس
• قابلیت غیر فعال سازی Ping back و Track back
• ارائه توصیه در جهت آپدیت هسته سایت
• قابلیت غیر فعال کردن ادیتور فایل
• قابلیت مخفی کردن گزارش ارور
• آپدیت کردن کلید های امنیتی
• جلوگیری از نشت اطلاعات
• جلوگیری از اجرای PHP

اکثر امکانات به کار رفته در این پلاگین رایگان هستند. در نتیجه، شما با خیال راحت می توانید آن را دانلود کنید و امنیت سایت خود را تامین نمایید.

اتوماتیک سازی فعالیت های مختلف در طراحی سایت با استفاده از پلاگین

قبل از بررسی این مورد از چک لیست امنیت سایت، شما باید به این مسئله توجه داشته باشید که کامپیوتر ها هیچ چیزی را فراموش نمی کنند. فرقی ندارد که شما به دنبال دریافت بک آپ از اطلاعات سایت یا آپدیت کردن قسمت های مختلف سایت هستید. در هر صورت شما می توانید به پروسه های اتوماتیک اعتماد کنید. در حال حاضر دو پلاگین حرفه ای وردپرس در بازار موجود هستند که به شما در اتوماتیک سازی پروسه های سایتتان کمک می کنند.

اتوماتیک کردن پروسه آپدیت

هکر ها عاشق پیدا کردن آسیب پذیری در پلاگین ها و تم های آماده هستند. آنها از این آسیب پذیری ها در جهت ورود به وب سایت شما استفاده می کنند. هنگامی که یک توسعه دهنده از وجود ایراد مطلع می شود، در سریع ترین زمان ممکن راه حلی را در جهت از بین بردن آن پیدا خواهد کرد. اگر شما بتوانید دقیقا پس از ارائه آپدیت تم ها و پلاگین های خود را بروز رسانی کنید، راه ورود هکر ها را می بندید. به همین علت هم آپدیت سریع یک مسئله پر اهمیت به حساب می آید. پلاگین هایی همچون Automate در این زمینه به شما کمک می کنند.

هنگامی که شما چند سایت وردپرسی مختلف را مدیریت می کنید، بروز رسانی همه این موارد یک مسئله سخت و دشوار به حساب می آید. در نتیجه، شما باید بتوانید این پروسه را به صورت اتوماتیک انجام دهید. افزونه معرفی شده همه پلاگین های قدیمی شما را شناسایی کرده و آپدیت های جدیدی را برای آنها اعمال می کند.

بک آپ همراه با snapshot

هدف اصلی از بررسی امنیت سایت وردپرسی، دوری از هک است. هرچند اگر یک هکر به وب سایت شما نفوذ پیدا کرد، بهترین راه مقابله با آن استفاده از نسخه پشتیبانی می باشد. استفاده از پلاگین های معتبری که در زمینه ارائه بک آپ فعالیت می کنند، بهترین گزینه ای است که در جلوی پای شما قرار گرفته است. فقط کافی است که افزونه هایی همچون SnapShot را نصب کنید و به آنها اعلام کنید که هر چند وقت یک بار به آپدیت نیاز دارید. همه پروسه آپدیت در این قسمت به پایان رسیده است.

نکات مهم:

• همانطور که شما پلاگین ها و تم خود را آپدیت می کنید، باید مطمئن شوید که در حال استفاده از آخرین نسخه SQL و PHP هستید. در غیر این صورت با مشکلات خاصی مواجه خواهید شد.
• بهتر است گاهی اوقات نسخه های بک آپ محلی تهیه کنید و آن را بر روی کامپیوتر شخصی خود قرار دهید. این مسئله به صورت مستقیم بر روی امنیت سایت تاثیر گذار می باشد.

جلوگیری از حملات دیداس در طراحی سایت

مورد بعدی موجود در چک لیست امنیت سایت مربوط به جلوگیری از حملات دیداس می باشد. حملات دیداس یکی از رایج روش های موجود برای حمله به یک وب سایت به حساب می آیند. هنگامی که ترافیک زیادی به سمت سرور شما هدایت شود، شما زیر حمله دیداس هستید. معمولا حمله کننده از چند کامپیوتر مختلف در جهت حمله دیداس استفاده می کند. معمولا همه این کامپیوتر ها توسط ابزاری با نام Botnet مدیریت می شوند. جالب است بدانید که این روش حمله می تواند نتایج متنوعی را برای وب سایت شما به همراه داشته باشد.

تامین امنیت وردپرس یک مسئله مهم به حساب می آید. چرا که مهم ترین دلیل حمله دیداس، پول گرفتن از مدیران می باشد. البته که در زمان های گذشته پرونده های دیداس معروفی در دنیای اینترنت ثبت شده اند. برخی از آنها فقط سرگرم کننده بوده و برخی هم باعث ایجاد یک مشکل بزرگ شده اند. فرقی ندارد که هدف حمله کننده از دیداس چیست. در هر صورت کسی که مورد حمله قرار می گیرد حس بدی خواهد داشت.

شناسایی اکانت های راکد برای تامین امنیت وردپرس

هنگامی که شما در حال بر روی یک سایت وردپرسی هستید، معمولا بین چند صفحه مختلف قرار می گیرد. در این شرایط خیلی ساده مشکلاتی ایجاد می شود که شما قصدی برای ایجاد آنها نداشته اید. به همین علت هم شما باید به صورت دستی امنیت را بررسی کنید و مطمئن شوید که هیچکس به سایت شما دسترسی ندارد. یکی از مواردی که شما باید در مورد آنها مراقب باشید، اکانت های راکد می باشد.

این مورد از چک لیست امنیت سایت فقط مربوط به یک سایت وردپرسی نمی باشد. شما باید این مسئله را در اکانت های FTB و SSH هم بررسی کنید.

ایمن کردن فایل WP-Config

دیگر مورد موجود در چک لیست امنیت سایت مربوط به ایمن کردن فایل WP-Config می باشد. این فایل می تواند حاوی کلید های مهمی باشد که هیچ هکری نباید به آنها دسترسی پیدا کند. در صورتی که اطلاعات موجود در این فایل عمومی شوند، شما با مشکلات متعددی رو به رو خواهید شد. یکی از بهترین راه های موجود در جهت ایمن کردن این فایل، انتقال آن به یک موقعیت دیگر است. اگر شما قصد انتقال آن را ندارید، می توانید دسترسی به آن را از طریق فایل .htaccess محدود کنید.

نکات مهم:

• شما حتی می توانید دسترسی افراد به فایل .htaccess را نیز مسدود کنید. در این پروسه امنیت سایت شما چند برابر خواهد شد.

افزودن گواهی SSL

مورد بعدی موجود در چک لیست امنیت سایت وردپرس مربوط به گواهی SSL می باشد. یک گواهی SSL می تواند اهمیت زیادی داشته باشد. هم از نظر امنیت و هم از نظر سئو، وجود این گواهی به یک مسئله مهم تبدیل شده است. استفاده از این گواهی به شما کمک می کند تا از حمله های خاصی همچون Domain Spoofing جلوگیری کنید. اتصالی که از گواهی SSL پشتیبانی می کند خیلی قابل اعتماد تر، ایمن تر و بهتر و از سایر روش های مربوط به اتصال می باشد. علت این مسئله، نحوه عملکرد SSL می باشد. این گواهی می تواند یک سایت HTTP را به یک سایت HTTPS تبدیل کند. S در این کلمه به معنای Secure یا ایمن می باشد. پس حتی کلمه ایمن در آدرس سایت شما هم ثبت خواهد شد.

امروزه شرکت های زیادی در زمینه فروش گواهی SSL فعالیت می کنند. شما می توانید از خدمات این شرکت ها در جهت افزایش امنیت سایت خود استفاده کنید. جالب است بدانید که برخی از تیم ها گواهی SSL را به صورت رایگان در اختیار کاربران قرار می دهند.

جلوگیری از Hotlink

دیگر مورد موجود در چک لیست امنیت سایت، جلوگیری از Hotlink می باشد. گاهی اوقات یک وب سایت از عکس های موجود در سایت شما استفاده می کند. آنها لینک عکس را به کار می گیرند تا بازدید کنندگانشان بتوانند عکس را مشاهده کنند ولی فشار پردازش تصویر بر روی سرور شما است. نه تنها این مسئله غیر اخلاقی می باشد، بلکه می تواند فشار زیادی را به سرور شما وارد نماید. این مسئله باعث می شود تا سایت شما با مشکلات متعددی رو به رو شود. در ضمن، گاهی اوقات شما مجبور به پرداخت هزینه های اضافی خواهید شد. البته که راه های مختلفی در جهت ایمن کردن عکس ها وجود دارد. به عنوان مثال شما می توانید با استفاده از کد زیر در فایل .htaccess، هات لینک را محدود کنید. این کد مطمئن شود که فقط یک سری سایت های خاص اجازه دسترسی به عکس های شما را دارند.

اگر سرور شما از Apache استفاده می کند، قطعه کد زیر را مورد استفاده قرار دهید.

نکات مهم:

• اگر شما نمی توانید به راحتی با فایل .htaccess کار کنید، می توانید با خیال راحت از پلاگین های فعال در این زمینه استفاده کنید. امروزه توسعه دهندگان زیادی هستند که کار را برای مدیران وب سایت های وردپرسی راحت تر کرده اند. با استفاده از پلاگین های آماده شما می توانید نیاز های خود را به صورت کامل رفع کنید.
• شما می توانید از کپی رایت برای مدیریت سایت خود استفاده کنید. فقط کافی است که در قسمت فوتر سایت خود موارد حاوی کپی رایت را بنویسید.

منبع

wpmudev.com