چگونه نمی توان وب سایت وردپرس خود را ایمن کرد

چگونه نمی توان سایت وردپرس خود را ایمن کرد

اولین کاری که می خواهید در هنگام تأمین امنیت سایت وردپرس خود انجام دهید چیست؟ پنج پلاگین امنیتی بالا را دریابید ، در نظر بگیرید که قیمت آنها در دسترس است و سپس به جلو بروید و یکی را نصب کنید. این کار تمام شد ، حالا می توانید بنشینید و استراحت کنید ، درست است؟ اشتباه!


استفاده از افزونه امنیتی امنیت را تضمین نمی کند. امنیت یک امر مطلق نیست و هیچ کس نمی تواند امنیت کامل را تضمین کند. بهترین کاری که می توانیم بکنیم کاهش خطر هک است. و برخلاف تصور رایج ، صاحب سایت باید در ایمن سازی وب سایت دخیل باشد. دانستن آنچه باید انجام دهید و نباید بدان معنی است.

در حالی که چندین راهنما وجود دارد که باید برای ایمن نگه داشتن سایت وردپرس خود چه کاری انجام دهید ، ما به شما راهنمایی می دهیم که در عوض از چه کاری باید خودداری کنید. توجه داشته باشید که توصیه‌ها در اینجا با اعتقاد عمومی مغایر است. اما از تجربه ما ، بسیاری از توصیه ها در آنجا منسوخ شده است و احساس امنیت کاذب را ارائه می دهد.

اگر موضوع امنیت وردپرس شما را به همان اندازه که از ما استفاده می کند غافل می شود ، به موارد زیر توجه کنید.

1. از پلاگین های امنیتی زیادی استفاده نکنید

با توجه به طیف گسترده ای از افزونه های موجود در آنجا ، با مجموعه ویژگی های مختلف ، استفاده از بیش از یک افزونه امنیتی وردپرس وسوسه انگیز است. راستش ، خیلی زیاد است نگرانی از امنیت سایت شما امری طبیعی است اما باید از خود بپرسید که آیا واقعاً به بیش از یک افزونه امنیتی احتیاج دارید؟ ویژگی های ضروری مورد نیاز سایت شما چیست؟ آیا این ویژگی ها روی انگشتان پا روی یکدیگر قرار می گیرند?

به عنوان مثال ، هنگامی که افزونه ها شروع به تغییر پرونده هایی مانند wp-config.php یا htaccess می کنند ، یک درگیری ایجاد می شود. پلاگین ها می توانند به راحتی با این پرونده ها کج شوند ، اما آنها را به روشی متفقاً اصلاح نمی کنند. این می تواند درگیری ایجاد کرده و وب سایت شما را کند کند.

با سایت های وردپرس ، همه چیز می تواند اکنون و پس از آن اشتباه پیش برود. همه از صفحه سفید وحشتناک مرگ متنفر هستند. داشتن چندین پلاگین که عمیقاً روی وب سایت شما تأثیر می گذارد می تواند مشکلات اشکال زدایی را دشوار کند. اگر فقط یک افزونه وجود داشته باشد ، پیدا کردن و رفع علت این خطا آسان تر و پیچیده تر خواهد بود.

2. پیشوند DB را تغییر ندهید

روش های مختلفی وجود دارد که یک سایت وردپرس را به خطر می اندازد. هکر ممکن است از طریق حمله تزریق SQL به بانک اطلاعاتی سایت دسترسی پیدا کند. از آسیب پذیری در افزونه یا موضوع می توان برای ورود به پایگاه داده سایت استفاده کرد (به همین دلیل پیشنهاد می کنیم به جای آن از افزونه پشتیبان بانک اطلاعاتی وردپرس برای جلوگیری از مشکلات مشابه) یک روش محبوب برای جلوگیری از عمیق تر شدن هکرها در سایت شما ، تغییر دادن پیشوند جدول پیش فرض است. همانطور که در تصویر زیر مشاهده می کنید ، در WordPress پیشوند جدول پیش فرض ‘wp_ است. وردپرس به شما امکان می دهد تا پیشوند جدول (مثلاً‘ xzy_) را تغییر دهید تا مخفی شود..

پیشوندهای پایگاه داده وردپرس

روی سطح ، این مانند یک ایده خوب به نظر می رسد. اگر هکرها نام جدول را نمی دانند ، نمی توانند داده ها را از آن بازیابی کنند. اما این یک استدلال دروغین است. هنگامی که کسی وارد پایگاه داده شما شد ، هنوز روش هایی برای یافتن جداول وجود دارد. از این رو تغییر نام پیشوند فایده ای ندارد. علاوه بر این ، تغییر پیشوند پیش فرض می تواند باعث شود چندین پلاگین نادرست عمل کنند.

علاوه بر این ، تغییر میانی پرواز پیشوند دیتابیس دشوار است و می تواند باعث خرابی وب سایت شما شود. دلیل این امر تغییرات بسیاری است که باید در هر سطح انجام شود. هرگونه خطایی در روند کار ، فاجعه بار سایت شما خواهد بود.

3. از مخفی کردن صفحه ورود خود خودداری کنید

همیشه شخصی وجود دارد که می خواهد با ترک کردن رمز ورود ، وارد سایت شما شود. در طول حملات وحشیانه ، هکرها سعی می کنند با استفاده از ترکیبی از نام های کاربری و رمزهای عبور محبوب ، وارد وب سایت شما شوند. پس اگر صفحه ورود را پنهان کنیم چه می شود؟ این باعث می شود دو پرنده با یک سنگ بکشند ، درست است؟ هکر قادر به یافتن صفحه ورود نیست و بار روی سرور شما کاهش می یابد.

وردپرس دارای صفحه ورود به طور پیش فرض است. نشانی اینترنتی صفحه معمولاً شبیه این مثال.com.com/wp-login.php است. یکی از راه های شناخته شده برای نجات وب سایت شما در برابر حمله بی رحمانه ، مخفی کردن یا تغییر صفحه پیش فرض ورود به چیز دیگری مانند shembull.com/mylogin.php است. اگرچه این به نظر می رسد مانند یک طرح خنثی ، بیایید دریابیم که چقدر این روش در حفظ امنیت سایت وردپرس شما مؤثر است.

کاهش بار سرور

بعد از مخفی کردن یا تغییر مکان صفحه ورود به سیستم ، هر بار که شخصی سعی در باز کردن آن کرد ، با خطای 404 روبرو می شوید. با این حال ، تلاش برای ورود به سیستم یک فرایند سنگین است. هر وقت صفحه خطای 404 بارگیری می شود ، بسیاری از منابع سرور شما را می خورد. و در نهایت کند کردن وب سایت شما است. از این رو ، این باور رایج مبنی بر پنهان کردن صفحه ورود به سیستم باعث کاهش بار روی سرور نادرست می شود.

حدس زدن URL جایگزین کار سختی نیست

بخشی از موفقیت WordPress به عنوان CMS به دلیل افزونه هایی است که اصلاحات در وب سایت را آسان تر می کنند. جای تعجب نیست که یک روش محبوب پنهان کردن صفحه ورود به سایت با استفاده از یک افزونه است. این افزونه ها با مجموعه ای از URL های جایگزین پیش فرض مانند xzy.com/wplogin.php و غیره ارائه شده اند. ما آموزش داده ایم که فقط با تنظیمات پیش فرض بروید. پس از نصب افزونه و تغییر URL ، فکر زیادی به آن نمی کنیم. اما فقط تعداد URL های زیادی وجود دارد که یک افزونه می تواند ارائه دهد. پیدا کردن این URL از پیش تعیین شده ورود خیلی دشوار نیست. بنابراین ، استفاده از URL جایگزین ممکن است در بیشتر موارد بی اثر باشد.

مشکلات قابلیت استفاده

زیبایی وردپرس این است که استفاده از آن بسیار آسان است. این یک بستر آشنا است برای سایتی که تعداد زیادی کاربر دارد ، تغییر یا مخفی کردن صفحه ورود می تواند موارد خاصی را ایجاد کند. چندین بار در سایت های وردپرس به پست هایی رسیده ایم که کاربران به دلیل تغییر در URL ورود به سیستم ، از یک سایت قفل شده اند. در بیشتر موارد ، این تغییرات با استفاده از افزونه ایجاد شده اند و کاربران از وضعیت ایجاد هرج و مرج آگاه نبودند.

4- آدرس های IP را به صورت دستی مسدود نکنید

اگر یک افزونه امنیتی در سایت خود نصب کرده اید ، هر زمان که شخصی سعی در ورود به وب سایت شما داشته باشد ، به شما اطلاع داده می شود. به راحتی می توانید IP را ارسال کنید و آن درخواست های مخرب را ارسال می کند آنها را با استفاده از پرونده .htaccess مسدود کنید. این یک کار دستی فشرده است و یک عمل خیلی راحت نیست.

کاربر پسند نیست

یک فرد غیر فنی که سعی در تغییر پرونده های .htaccess دارد ، دستور العمل فاجعه است. یک سیستم مدیریت محتوا مانند WordPress دارای قالب بندی بسیار دقیق است. حتی استفاده از محبوب ترین ابزارهایی مانند FTP / SFTP بسیار خطرناک است. یک خطای جزئی یا قرار دادن نادرست فرمان می تواند باعث خرابی سایت شود.

خیلی از IP ها برای مسدود کردن

برای جلوگیری از لیست سیاه ، هکرها از آدرسهای IP از سراسر جهان استفاده می کنند. پیش از این ، در مورد مسدود کردن دستی آدرس های IP که دائماً سعی در ورود به سایت شما دارند ، بحث کردیم. این کار (همانطور که قبلاً نیز به آن اشاره کردیم) نیاز به وقت و تلاش زیادی دارد ، اما دقیقاً استفاده از وقت بسیار مناسب نیست. اما اگر از هر یک از افزونه های امنیتی وردپرس برتر ، به عنوان مثال Malcare استفاده می کنید ، می توانید فرایند مسدود کردن را خودکار کنید. این افزونه های امنیتی از تمام نقاط ضعف امنیتی WP مراقبت می کنند.

5- مخفی کردن وردپرس

یک فرض کلی وجود دارد که پنهان کردن CMS شما را برای افرادی که قصد نادرستی دارند وارد سایت شما شوند ، سخت تر می کند. چه می توانیم واقعیت اجرای وب سایت شما در وردپرس را پنهان کنیم. این امر باعث می شود سایت شما از هکرهایی که مایل به سوءاستفاده از آسیب پذیری های رایج هستند محافظت کند. یک راه آسان برای انجام این کار با استفاده از افزونه (شما حدس زده اید) است. اما وقتی هکرها اهمیتی نمی دهند وب سایت شما در حال اجرا است ، این روش از بین می رود. علاوه بر این ، روش های زیادی وجود دارد که می دانید سایتی در وردپرس در حال اجرا است یا خیر.

علاوه بر استفاده از افزونه ، می توانید کار را به صورت دستی انجام دهید. اما این یک فرایند وقت گیر است. یک بروزرسانی وردپرس تنها می تواند ظرف چند ثانیه کار شما را خنثی کند. این بدان معناست که ، باید مجدداً این روند را تکرار کنید یا از به روزرسانی WP خودداری کنید. جستجوی به روزرسانی های وردپرس مانند باز کردن درب جلو برای یک هکر است که بتواند درست به خانه شما راه یابد.

6. محافظت از رمز عبور wp-admin کار نمی کند

صفحه پیش فرض ورود به سیستم WordPress (به نظر می رسد مانند این – مثال.com/wp-admin) دروازه ای برای ورود به سایت شما است. یک صفحه ورود به سیستم معمولی مانند تصویر زیر است.

در اینجا برای دسترسی به داشبورد وردپرس باید از اعتبار خود استفاده کنید. رمز عبور محافظت از صفحه ورود به سیستم باعث پنهان یا محافظت از این دروازه به داشبورد می شود. این ایده خوبی است اما بدون شکاف آن نیست.

به عنوان مثال از رمز عبور LookLinux محافظت کنید

حسن نیت ارائه می دهد: LookLinux

در مرحله اول ، در صورت از دست دادن آن ، حفظ یا حتی تغییر رمز عبور دشوار است. علاوه بر عدم تأمین امنیت اضافی ، چنین تغییراتی در سایت شما می تواند بسیار خطرناک باشد. به عنوان مثال ، هنگامی که از صفحه سرپرست رمز عبور خود را محافظت می کنید ، درخواستی مانند /wp-admin/admin-ajax.php نمی تواند محافظت کند. افزونه هایی وجود دارد که می توانند به عملکرد آژاکس سایت شما وابسته باشند. و هنگامی که آنها قادر به دسترسی به این عملکرد نیستند ، شروع به سوء رفتار می کنند. از این رو ، این می تواند باعث خراب شدن وب سایت شود.

بیش از شما

اگر سؤال یا پیشنهادی در رابطه با آنچه باید برای تأمین امنیت سایت وردپرس از آن جلوگیری کند ، دارید ، در نظرات به ما اطلاع دهید.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map