5 تهدید امنیتی پیش فرض در وردپرس و چگونگی رفع آنها

امنیت وردپرس

وردپرس نرم افزاری کاملاً پرطرفدار و کاملاً آزاد است. نکته مهم در مورد این امنیت امنیتی ، این است که یک جامعه عظیم وجود دارد که با آن کار می کنید ، که می توانند با یک راه حل CMS داخلی ، سریعاً اشکالات و همچنین خطرات امنیتی را کشف کنند. (وقتی که یکی از راه های کشف این حقیقت استفاده از ضعف است و داشتن یک پایگاه کاربر عظیم ، کشف بیشتر در مورد نقاط ضعف دشوار است.)


نکته منفی این است که هکرها با نیت بد دقیقاً می دانند وب سایت شما چگونه ساخته شده است. آنها قبلاً “طرح” را برای سایت شما دارند. و اگر نقاط ضعفی در هسته ، مضامین یا افزونه هایی که استفاده می کنید وجود دارد ، این چیزی است که آنها می توانند بدون دسترسی به پس زمینه سایت خود بدانند ،.

بنابراین در این پست ، من به شما نشان خواهم داد 5 تهدید امنیتی را که در هر نصب کاملاً پیش فرض وردپرس وجود دارد ، برطرف کنید. (اگر قبلاً اقدامات احتیاطی را انجام داده اید ، ممکن است متوجه شوید که قبلاً یکی یا دو مورد را برطرف کرده اید ، اما مهم است که هر پنج مورد را برطرف کنید تا خطر هک شدن شما به حداقل برسد.)

سایت شما نشان می دهد که از WordPress و Plus نسخه استفاده می کنید

نسخه وردپرس

نسخه پیش فرض وردپرس دارای خطوط کد است که نشان می دهد سایت شما با استفاده از وردپرس ساخته شده است ، حتی به نسخه مربوط به افرادی که می دانند به کجا نگاه کنند. بسته به موضوع ، حتی ممکن است به صورت بصری در هر صفحه وب سایت شما نشان داده شود.

دلیل این امر می تواند یک خطر امنیتی باشد ، این است که افراد ممکن است سایت شما را به هیچ دلیلی غیر از این که در وردپرس ساخته شده است ، هدف قرار دهند. اگر شخصی در هسته وردپرس ، یک موضوع یا افزونه ، یک ضعف امنیتی پیدا کند ، ممکن است راه خود را برای سوء استفاده از سایت شما پیدا کند. در حالی که اگر با موفقیت پنهان کرده اید که سایت شما با وردپرس ساخته شده است ، افرادی که با استفاده از رباتها یا خزنده ها به جستجوی سایتهای وردپرس می پردازند ، فریب می خورند که فکر کنند سایت شما یک هدف مناسب نیست..

چطوری میشه اینو تعمیر کرد:
برای رفع این مشکل می توانید از افزونه Hide My WP استفاده کنید. با استفاده از این افزونه کوچک مفید می توانید از ترافیک غیرضروری روی سرور خود جلوگیری کنید و در عین حال در مقابل حملات که بطور اختصاصی سایتهای وردپرس را هدف قرار می دهند ، در امان باشید.

همه می دانند صفحه ورود به سیستم / سرپرست منطقه شما در کجا قرار دارد

ورود به WordPress

اگر هنوز نشان می دهید که از WordPress استفاده می کنید (مستعار نیست ، به طور مثال آن را با استفاده از افزونه ای مانند Hide My WP مخفی نگه دارید) ، افرادی که قصد بد دارند از قبل می دانند کجا می توانند حمله بی رحمانه به سایت شما انجام دهند.

چطوری میشه اینو تعمیر کرد:
برای برطرف کردن این تهدید و کاهش چشمگیر احتمال هک شدن ، و کاهش استرس سرور ، باید جلوی دستیابی افراد بدخواه و رباتها را به صفحه ورود خود بزنیم.

دو روش اصلی برای این کار وجود دارد. شما می توانید با استفاده از یک افزونه (یا چند خط کد) موقعیت مکانی فیزیکی صفحه ورود خود را به چیز دیگری تغییر دهید ، یا می توانید دسترسی به صفحه ورود به سیستم و سرپرست خود را توسط آدرس های IP محدود کنید. می توانید این کار را با یک افزونه اختصاص داده شده به این مورد خاص یا با یک افزونه امنیتی مانند Sucuri انجام دهید, کلمه, iThemes Security Pro یا همه در یک امنیت و فایروال WP.

WordPress دارای پیشوند جدول پیش فرض است که همه از آن استفاده می کنند

پیشوند جدول وردپرس

پیشوند جدول همان چیزی است که قبل از نام جداول در پایگاه داده شما آمده است. به جای کاربران ، با پیشوند استاندارد وردپرس ، wp_users خواهد بود. اگر از پیشوند جدول پیش فرض استفاده می کنید ، با سوء استفاده از نقاط ضعف تزریق sql ، دسترسی به سایت شما آسانتر می شود. زیرا آنها دقیقاً می دانند که اطلاعات را به پایگاه داده شما تزریق می کنند تا به سایت شما دسترسی پیدا کنند.

من در واقع یکی از وب سایت هایم را بخاطر تزریق sql هک کردم ، بنابراین این یک تهدید بسیار واقعی است که شما باید اقدامات متقابل علیه.

چطوری میشه اینو تعمیر کرد:
خوشبختانه حذف این تهدید بسیار آسان است. اگر WordPress را با استفاده از پیشوند پیش فرض wp_ نصب کرده اید ، می توانید به راحتی با استفاده از افزونه ای مانند Sucuri آن را تغییر دهید. ابتدا باید از بانک اطلاعاتی خود نسخه پشتیبان تهیه کنید ، زیرا احتمال کم کاری در اشتباه است. می توانید این کار را با کلیک یک دکمه انجام دهید. سپس می توانید پیشوند جدیدی را انتخاب کنید ، یا به سادگی اجازه دهید Sucuri به طور تصادفی پیشوند جدید را برای شما تولید کند.

توجه: اگر تازه برای اولین بار WordPress را نصب کرده اید ، می توانید آن را در رابط نصب تغییر دهید.

تم وردپرس و پرونده های افزونه از طریق داشبورد قابل ویرایش هستند

ویرایشگر افزونه وردپرس

مشکل این امر این است که اگر هکر به وب سایت شما دسترسی پیدا کند ، می تواند آسیب های زیادی را وارد کند. آنها می توانند وب سایت شما را به سایر افراد با بدافزار آلوده کنند (این امر می تواند سایت شما را در لیست سیاه Google قرار دهد و از موتورهای جستجو جدا شود) ، وب سایت شما را خنثی کند ، یا به راحتی فضای پشتی را باز کند.

چطوری میشه اینو تعمیر کرد:
می توانید این خط کد را به پرونده wp-config.php خود اضافه کنید:

تعریف ("DISALLOW_FILE_EDIT" ، درست)؛

یا از افزونه امنیتی استفاده کنید تا این کار را برای شما انجام دهد (که اساساً فقط آن خط کد را برای شما درج خواهد کرد). تنها مشکل این است که افزونه هایی وجود دارد که به افراد امکان می دهد این توانایی را فعال یا خاموش کنند ، بنابراین یک هکر بسیار اختصاصی ممکن است بتواند افزونه ای را نصب کند ، افزونه را روشن کرده و سپس به دسترسی به ویرایش کد بدون دسترسی FTP دست یابد..

اگر می خواهید کاملاً دقیق باشید و در مقابل این موارد محافظت کنید ، می توانید با اضافه کردن این خط کد به wp-config.php ، همه به روزرسانی ها و نصب افزونه و موضوع را غیرفعال کنید:

تعریف ("DISALLOW_FILE_MODS" ، درست)؛

اما بدیهی است که این بدان معنی است که شما باید هر بار که می خواهید یک افزونه یا موضوع را به روز کنید یا نصب کنید ، مقدار آن را به اشتباه تغییر دهید (ما واقعاً این گزینه را توصیه نمی کنیم ، زیرا به روز کردن قالب ها و افزونه ها یکی از بهترین راه هاست برای اطمینان از آسیب پذیری سایت شما).

وردپرس دارای تنظیمات فایروال بسیار باز است که می تواند حتی ربات های مخرب شناخته شده را نیز برای انجام حملات مجاز کند

سرویس فایروال وردپرس

تنظیمات پیش فرض فایروال وردپرس در واقع در سمت لیبرال قرار دارد. این بدان معناست که برخی از ربات های غیر حضوری و سایر بازدید کنندگان ناخواسته چراغ سبز دریافت می کنند.

چطوری میشه اینو تعمیر کرد:
می توانید با نصب قوانین فایروال لیست سیاه 5G ، با کپی کردن آن به صورت دستی در پرونده .htaccess خود ، (آن را در اینجا بیابید) یا با نصب آن ، این کار را بهتر کنید. این افزونه, یا از یک افزونه امنیتی برای بهینه سازی قوانین در .htaccess خود استفاده کنید.

نامحدود تلاش های ورود به WordPress

در حالی که تنظیم پیش فرض در واقع تلاشهای نامحدود ورود به سیستم است ، ممکن است شما هنگام نصب وردپرس در سایت خود محدودیت تلاش را برای ورود به سیستم انجام دهید. اگر این کار را نکردید ، این یک مشکل فوق العاده آسان است.

چطوری میشه اینو تعمیر کرد:
به سادگی نصب کنید افزونه ورود به سیستم محدود کنید. یا اگر از میزبان WPEngine استفاده می کنید این ویژگی آنها قبلاً برای شما ساخته شده است – هیچ افزونه ای لازم نیست! اگر فقط با اجازه دادن به آدرس های IP خود اجازه دسترسی به dasbhboard را از قسمت ورود خود محافظت می کنید ، نیازی به این کار ندارید. اما اگر آدرس صفحه ورود خود را پنهان کرده اید ، محافظت مضاعف خوبی در برابر حملات احتمالی بی رحمانه است.

نتیجه

جرم سایبری به سرعت در حال رشد است و اینترنت در حال تبدیل شدن به خانه مجرمان بیشتر از “دنیای واقعی” است. در بعضی از کشورها قبلاً این اتفاق افتاده است. و در حالی که بسیاری از این کارت های اعتباری و کلاهبرداری بانکی است ، تعداد زیادی هکر در آنجا وجود دارد و ما به عنوان صاحبان وب سایت باید خودمان و سایت های خود را به بهترین شکل ممکن محافظت کنیم..

در حالی که نصب پیش فرض وردپرس دارای ضعف هایی است ، زیبایی وردپرس واقعاً در این سهولت است که می توانید هر یک از مشکلات خود را با سایت خود ، از جمله تهدیدات امنیتی ذکر شده در این پست ، تقریباً حل کنید. گذشته از داشتن نام کاربری و رمزعبور قوی ، با نصب افزونه امنیتی ، ویرایش برخی از تنظیمات و شاید درج یک خط کد یا دو ، می توانید خطر هک شدن یا آلوده شدن سایت خود به بدافزار را به میزان قابل توجهی کاهش دهید..

آیا برای بهبود امنیت سایت وردپرس خود اقداماتی انجام داده اید؟ چه نوع؟ ما دوست داریم برخی از نکات و ترفندهای شما را بشنویم! لطفا در قسمت نظرات ما را مطلع کنید.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map