۱۱ قدم فاصله تا سرقت اطلاعاتی از سایت!
امنیت یک مسئله مهم و حیاتی در هر وب سایت به شمار می رود. اگرچه تیم توسعه وردپرس همواره در تلاش بوده که امنیت این سیستم مدیریت محتوا را افزایش بدهد. امامعمولا سایتهایی که با وردپرس طراحی شدهاند مورد هجوم هکران و حملات سایبری قرار میگیرند.
افزایش امنیت وبسایت
حتما میدانید که یکی از بزرگترین نگرانی مدیران هر سایت، حملات سایبری است. بیشتر این حملات از بیتوجهی و سهلانگاری کاربران رخ میدهد. نکته جالب این است که به تازگی یک شرکت امنیتی متوجه شده که حدود ۲۰٫۰۰۰ بوتنت توسط هکرها کنترل میشوند که بیشترین حملات با وارد کردن نام کاربری و رمز عبور از طریق صفحه ورود به وردپرس بوده است. بعد از کمی تحقیق متوجه شد که تمام بوتنتها به یک وبسایت مخرب متصل هستند! که به اینصورت اطلاعات همه کاربران به اسکریپت سایتهای مخرب منتقل میشود.
بهطور مثال فرض کنید فردی نام کاربری خود را *Ali* گذاشته و رمزعبور خود را ali 2019 یا Ali 1 و یا حتی سایر رمزهای قابل تشخیص که امنیت سایت را پایین آورده است مسلما هکر خیلی زود رمز عبور را شناسایی و وارد سایت شما میشود.
اما چهطور امنیت سایت را افزایش و از حمله هکران جلوگیری کنیم؟
اغلب کاربران فکر میکنند که تنها با تغییر url سایت خود می توانند از حمله هکران جلوگیری کنند. اما سخت در اشتباه هستند. آنها میتوانند به XML-RPC سایت وردپرسی شما حمله کنند. که در ادامه برای افزایش امنیت سایت چند راهکار ساده ذکر خواهیم کرد. با افزایش امنیت سایت میتوانید از سرقت رفتن اطلاعات جلوگیری و امنیت سایت و کاربران خود را افزایش دهید.
افزایش امنیت سایتهای وردپرسی
تکنیک اول: امنیت صفحه ورود به سایت
یکی از صفحات بسیار مهم در هر سایت وردپرسی، صفحه ورود به سایت است. هکرها معمولا تلاش میکنند تا وارد این صفحه شوند اما اگر امنیت سایت را افزایش دهید این اتفاق نخواهد افتاد.
- اولیناقدام برای افزایش امنیت، تغییر url صفحه و سفارشی سازی آن است که هکرها نتوانند به سادگی این صفحه را پیدا کنند.
- دومینراه این است که از تلاشهای زیاد ورود به سیستم جلوگیری کنید و اجازه ندهید که فعالیتهای غیرمجاز انجام شود.
برای جلوگیری از ورود بیشازحد کاربران به سایت، میتوانید از افزونههای امنیتی مانند iTemes Security و یا loginizer و یا افزونههای خوب دیگر مانند کپچا استفاده کنید.
به فرض مثال افزونه iTemes Security آیپی هایی که تلاش های ورود بیش از حد مجاز داشته اند و چندین مرتبه رمز یا نام کاربری را اشتباه وارد نموده اند را بلاک خواهند کرد.
- نکته ۱: هرگز نگذارید هکران به راحتی صفحه ورود به سایت شما را پیدا کنند.
- نکته ۲: از نام کاربری admin و رمز ساده استفاده نکنید.
تکنیک دوم: بروزرسانی مداوم نسخه افزونه و وردپرس
تنها داشتن یک وبسایت و نصب افزونههای مختلف امنیتی بر روی آن دلیل خوبی برای افزایش امنیت یک سایت نیست!!! برای بهبود امنیت سایت باید همواره وردپرس و افزونههای مختلف نصب شده بر روی سایت را به آخرین نسخه بروزرسانی کنید.
اگر اینکار را انجام ندهید:
- هکران راحتتر میتوانند وارد سایت شما شوند و اطلاعات کاربران را سرقت کنند.
- کاربران غیرمجاز به راحتی به اطلاعات سایت دسترسی پیدا میکنند.
- استفاده از افزونه بروز نشده میتواند باعث مشکلات امنیتی شود.
- به علت امنیت پایین در نسخههای قدیمی وردپرس سایت مورد حمله قرار میگیرد.
تکنیک سوم: رمزهای هکر پسند استفاده نکنید!
یکی از سادهترین راههای حمله به سایت تست رمز عبور است. اگر در سایت خود از رمز عبور پیجیده استفاده نکنید هکران با چند بار جابهجا کردن حروف مانند رمز کارت بانکی سریعا آن را پیدا و وارد سیستم شما میشوند پس همیشه از رمز قوی استفاده و به طور مداوم آن را تغییر دهید.
۴ تکنیک کاربردی برای ساخت پسورد قوی
در این زمان هکران از زدن رمز ورود بیشازحد معمولا خسته و وقت و زمان خود را صرف سایت دیگر با امنیت پایینتر میکنند.
تکنیک چهارم: فعال سازی گواهینامه SSL
اگر آدرس سایتتون با http شروع می شود باید بدانید که سایت شما امنیت بسیار پایینی دارد و ممکن است مورد سرقت اطلاعاتی قرار گیرد چون اطلاعات رمزنگاری نشده و دو دستی آن را تقدیم هکر خواهید کرد!
آغاز شدن آدرس سایت با پروتکل https به این معنی است که دادههای سایت به دلیل رمز نگاری قفل شده و از سرقت اطلاعات توسط هکران محافظت میکند.
- sslیک گواهی با تبدیل پروتکل http به پروتکل امنیتی رمزنگاری https است و از داده های موجود در سایت محافظت میکند.
معمولا سایتهای بانکی، فروش محصول، سایتی که مشخصات کاربران دورن آن ذخیره شده و حتی انتقال داده نیز از SSL برای امنیت بیشتر استفاده می کنند.
- سایتی که آدرس آن با https شروع شده باشد رتبه بهتری در نتایج خواهد داشت.
تکنیک پنجم: هرگز بکاپ گیری را فراموش نکنید چون…
پشتیبانگیری منظم از سایت از بروز مشکلات زیر جلوگیری کند:
- مانع حملات به سایت میشود.
- در صورت وجود مشکل در نصب افزونه و قالب اطلاعات سایت شما پاک نمیشوند.
- در صورت بروز سایت به نسخههای جدید و بازگرداندن به نسخههای قبل نگران هیچ موضوعی نیستید.
- در صورت بکآپگیری توسط هاست، شما هم اینکار را انجام دهید چراکه پس از حمله بدون صبر کردن، میتوانید فایل و داده را بازگردانید.
- با بکاپ گیری هیچ وقت نگران از بین رفتن اطلاعات نیستید.
- در صورت تزریق کد مخرب نیاز به پاکسازی ندارید تنها کافیست آخرین نسخه را ریستور کنید.
- و…
تکنیک ششم: انتخاب هاستینگ معتبر و امن
اگر قصد راهاندازی یک سایت امن را دارید ابتدا باید از یک شرکت هاستینگ معتبر، پلن خود را تهیه کنید. در ثانی با توجه به مبلغ مورد نظر خودتون میزبانی را انتخاب کنید که قابلیت اجرا ویژگی امنیتی همراه با پشتیبانگیری منظم از فایل و دادههای سایت را داشته باشد.
تکنیک هفتم: اسکن منظم سایت
اگر قسمت یا بخشی از سایت خود را تغییر دادید فراموش نکنید ممکن است راهی برای حمله هکر شود. با اینکه برخی از شرکتهای هاستینگ اسکن امنیتی را انجام میدهند اما در صورت فراموشی آنها و جلوگیری از هک، کافی است یک اسکن امنیتی از تمام قسمتهای سایت بگیرید. اگر تمام دادههای سایت به طور منظم اسکن شوند میتواند اتفاقات خوب زیر رخ دهد:
- افزایش ترافیک و رتبه در نتایج گوگل
- داشتن یک سایت امن برای کاربران
- جلوگیری از تهدیدات امنیتی هنگام اضافه کردن مورد جدید به سایت یا تغییر
- رفع ایرادات و مشکلات موجود در سایت
- اطلاع از کدهای مخرب
تکنیک هشتم: مخفی کردن نسخه وردپرس
اگر سایت خود را به طور مداوم بروز نکنید ممکن است درگیر چالش باگ های امنیتی شوید. البته این مشکل بیشتر برای کسانی رخ میدهد که از نسخههای قدیمی وردپرس استفاده میکنند. چرا که ضعفهای امنیتی موجود در هر نسخه معمولا پس از گذشت مدت زمانی گزارش و در نسخههای جدید برطرف میشود.
برای پنهان کردن نسخه وردپرس باید چهکاری انجام دهیم؟
با نصب افزونههای مختلف میتوانید از این قابلیت مخفی کردن نسخه استفاده کنید. یا حتی با وارد کردن کدهای مخفی کردن ورژن وردپرس در فایل function.php مشکل حل میشود.
دقت کنید این قبیل کدها یک روش کامل برای بهبود امنیت سایت نیستند و تنها باعث می شوند در نظر برخی مخفی بمانید.
تکنیک نهم: مسدود کردن hotlinking
اگر هات لینکینگ* را نبندید افراد به سادگی می توانند از تصاویر سایت شما در سایت خود استفاده کنند. علاوه بر اینکه ممکن است جایگاه خود را در نتایج گوگل از دست دهید باعث می شود از پهنای باند سرور میزبان سایت شما استفاده نمایند. دوست دارید سایت امنی داشته باشید پس همین الان hotlinking را مسدود کنید.
* hotlinking یعنی سرقت عکسها از سایت اصلی و استفاده در سایتی دیگر.
تکنیک دهم: اهمیت فایروال
برای محافظت از سایت خود از فایروال استفاده کنید چرا که علاوه بر اسکن فایلها و افزایش امنیت سایت باعث جلوگیری از هرزنامه در سایت میشود.
تکنیک یازدهم: همواره از افزونههای مطمئن استفاده کنید.
اگر در سایت خود از افزونههای نال شده و یا نامطمئن استفاده کنید هکران راحتتر میتوانند به سایت شما نفوذ پیدا کنند. چرا که ممکن است این موارد با کد مخرب یا اصطلاحا بک دور همراه باشند!
جمع بندی نهایی
با نصب یک افزونه نمیتوان امنیت کلی سایت را تامین نمود! بلکه راهکارهای دیگری من جمله بروزرسانی نیز لازم است. امیدوارم این مطلب برای شما مفیده باشد. مثل همیشه تجربیات خود را در قسمت نظرات با ما و دوستان خود به اشتراک بگذارید.