محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

6 نکته مهم برای امن کردن وردپرس (WordPress) به زبان بسیار ساده

امروزه امنیت یکی از مسائل اصلی در خصوص استفاده از سیستم های بلاگ و وب سایت ها است ، از این بابت مطمئن هستم باور کنید از خودم این موضوع را در نیاورده ام و امنیت مهم است ( این یعنی خیلی تاکید دارم امنیت مهم هست و خیلی هم مثلا شما این مسئله رو نمیدونید D: ) . همانطور که می دانید هک شدن یک سیستم بلاگ یا وب سایتی که دارای محتوا و ترافیک خوبی است خیلی وحشتناک است و متاسفانه این مورد از تجربیات شخصی من هم بوده است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

با اینکه روش های زیادی برای بازگرداندن وب سایت ها و وبلاگ های هک شده به حالت اولشان وجود دارد اما بهترین راهکار همیشه راهکار پیشگیری کننده است و به قول پزشکان همیشه پیشگیری بهتر از درمان است. در این آموزش می خواهیم به شما روش های معمول امن کردن سیستم بلاگ وردپرس را آموزش بدهیم تا بتوانید تا جای ممکن این سیستم را در بدو نصب تا حد امکان امن کنید بنابراین نکات زیر را بعد از نصب Wordpress بر روی آن انجام دهید :

بالا بردن امنیت وردپرس ، امن کردن وردپرس ، امنیت در وردپرس

1- کاربر admin را از لیست کاربران خود حذف کنید

زمانیکه شما wordpress را بصورت پیشفرض نصب می کنید در بیشتر اوقات نام کاربری پیشفرض شما admin است. همانطور که ملاحظه می کنید حدس زدن این نام کاربری خیلی ساده است. همیشه توجه کنید که برای یک هکر بدست آوردن نام کاربری 50 درصد و بدست آوردن رمزعبور آن 50 درصد دیگر قضیه است . اگر wordpress بصورت پیشفرض نصب شده باشد تنها کاری که هکر نیاز است انجام دهد این است که به دنبال رمز عبور شما بگردد که می تواند بعضا با استفاده از تکنیک های هک ای مثل Brute-Force کردن یا Phishing آن را بدست بیاورد .

با اینکار براحتی هکر می تواند وارد directory ها و فایل های وب سایت شما شود و هر کاری که دوست داشته باشد می تواند انجام دهد. برای جلوگیری از چنین مشکل امنیتی ، شما باید یک کاربر جدید ایجاد کنید و کاربری که با نام admin ایجاد کرده اید را حذف کنید. زمان حذف کاربر شما می توانید تمامی attribute ها ( قابلیت های مدیریتی ) را به کاربر دیگر منتقل کنید. البته کار دیگری که می توانید انجام دهید این است که دسترسی کاربر admin را تا حد امکان پایین بیاورید و بگذارید هکر سر کار باشد.

امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس

2- عوض کردن اسم Table ها یا جداول پایگاه داده

جداول پایگاه داده MySQL ای که برای wordpress طراحی شده اند بصورت پیشفرض بصورت wp__users یا wrdp__users نامگذاری می شوند که این امکان را هکر می دهند که به سادگی نام جداول را برای انجام دادن حملات SQL Injection حدس بزند و احتمال بروز حملات نیز افزایش پیدا می کند. شما می توانید با استفاده از یک پلاگین به نام Change DB Prefix تمامی prefix هایی که بصورت __wp و __wrdp هستند را تغییر نام بدهید و حدس زدن آنها را برای هکر سخت کنید ، شما می توانید پلاگین مورد نظر را از لینک زیر دانلود کنید :

https://wordpress.org/plugins/db-prefix-change/
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس

3- نسخه یا Version وردپرس خود را مخفی کنید

Version ها یا نسخه های مختلف وردپرس آسیب پذیری های امنیتی خاصی برای خود دارند. یک هکر با دانستن نسخه مورد استفاده شما می تواند به دنبال آسیب پذیری های مختص همان نسخه بگردد و به وب سایت یا وبلاگ شما حمله کند. نگذارید همه متوجه شوند که از چه نسخه ای از وردپرس استفاده می کنید. اگر نسخه مورد نظر شما که در پایین صفحات وردپرس معمولا بصورت powered by WordPress X.X.X نمایش داده می شود که X در اینجا یک عدد است ، هکر را گمراه کنید و با ویرایش کردن صفحه عدد X را به نسخه ای پایینتر تبدیل کنید.

  • امنیت وردپرس نیز یکی از تخصص های مربوط به امنیت وب و تست نفوذسنجی است . برای یادگیری و پیشرفت در حوزه امنیت اطلاعات و آموزش هک و نفوذ ، یادگیری دوره آموزش سکیوریتی پلاس Security+ ، دوره آموزش CEH ( دوره آموزشی هک قانونمند ) را حتما به عزیزان توصیه می کنم. اگر می خواهید تبدیل به یک کارشناس حرفه ای تست نفوذ و امنیت اطلاعات شوید ، پیشنهاد می کنم مقاله چگونه هکر شویم را مطالعه کنید. همچنین اگر علاقه مند به مباحث تحلیل بدافزارها و ویروس های کامپیوتری هستید ، یادگیری دوره آموزش تحلیل بدافزار را توصیه می کنم.

البته دقت کنید که در root directory نصب وردپرس یک فایل Read me وجود دارد که داخل ان فایل که در مسیر مثلا www.tosinso.com//readme.html قرار دارد و قابل خواندن هم هست نسخه اصلی وردپرس نمایش داده شده است و ممکن است بصورت عمومی در دسترس باشد ، شما می توانید این فایل را یا حذف کنید ، یا تغییر نام دهید و یا درون فایل را باز کرده و نسخه را مطابق دستورالعملی که گفتیم تغییر دهید.

امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس

4- استفاده از پلاگین Google Authenticator

یکی از پارامترهای بسیار مهم در احراز هویت چند مرحله ای بودن آن است ، هکر ها با استفاده از ربات ها و نرم افزارهای خاصی می توانند برای ورود و دور زدن سیستم احراز هویت وردپرس تلاش کنند ، پلاگین Google Authenticator این قابلیت را به وردپرس می دهد که بتواند از روش Two-Factor Authentication یا احراز هویت دو مرحله استفاده کند که درجه امنیتی بالاتری نسبت به رمز عبور خالی دارد. زمانیکه شما این پلاگین را بر روی وردپرس نصب کردید .

در زمان ورود به وب سایت یا وبلاگ از شما علاوه بر رمز عبور یک کد امنیتی هم درخواست می شود که بصورت تصادفی ایجاد می شود ، این کدهای امنیتی توسط ربات ها قابل شناسایی نیستند و شما می توانید با استفاده از این روش از حملات Brute-Force در امان باشید. قبلا در خصوص اینکه Captcha چیست در انجمن تخصصی فناوری اطلاعات ایران صحبت کرده ایم بد نیست سری هم به این مقاله بزنید ، شما می توانید پلاگین Google Authenticator را از لینک زیر دانلود کنید :

https://wordpress.org/plugins/google-authenticator/
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس

5- استفاده از پلاگین WordFence Security

پیشنهاد می کنم همیشه بعد از نصب کردن وردپرس این پلاگین را بر روی آن نصب کنید. این پلاگین قدرتمند از انجام شدن فعالیت های غیرمجاز در وب سایت و یا فعالیت هایی که مخرب تشخیص داده می شوند جلوگیری می کند. برای مثال این پلاگین کاربرانی را که برای دفعات بسیاری تقاضای Login به وب سایت می کنند و ناموفق هستند را تشخیص و آنها را مسدود می کند ، این پلاگین حملات Brute Force را تشخیص می دهد و جلوی آنها را می گیرد.

اما یکی از کارهای بسیار زیبایی که این پلاگین انجام می دهد این است که به محض نصب شدن از فایل های نصب شده وردپرس یک نمونه برداری می کند و به محض اینکه تشخیص دهد فایلی بصورت غیرمجاز بر روی وردپرس دستکاری شده است ابتدا آن را با پایگاه داده ای که ایجاد کرده است مقایسه می کند و در صورت تایید تغییر غیرمجاز شما را در جریان می گذارد. اینکار در سیستم عامل ها به عنوان راهکار جلوگیری از حملات Rootkit انجام می شود که این پلاگین آن را در وردپرس در اختیار شما قرار می دهد ، توجه کنید که این پلاگین حتی حذف کردن فایل ها را نیز به شما اطلاع می دهد.شما می توانید پلاگین مورد نظر را از لینک زیر دانلود و استفاده کنید :

https://wordpress.org/plugins/wordfence/
امنیت در WordPress ، امن کردن WordPress ، بالا بردن امنیت وردپرس

6- استفاده از پلاگین Exploit Scanner

وردپرس مملو از پلاگین ها و ماژول هایی است که بصورت رایگان و پولی در اینترنت وجود دارند ، برخی از این پلاگین ها مورد تایید و قابل اغتماد هستند اما برخی از آنها ممکن است توسط برنامه نویس های ناشی و یا حتی هکر هایی نوشته شوند که می خواهند برای کاربران وردپرس طعمه گذاری کنند ، این افراد پلاگین هایی را می نویسند و بصورت رایگان در اختیار کاربران قرار می دهند که درون آنها کدهای مخرب و بعضا Backdoor هایی وجود دارد که بعدها می توانند از طریق آنها و کدهای مخفی که درون آنها قرار گرفته است به وب سایت شما حمله کنند. پلاگین Exploit Scanner یک پلاگین بسیار کاربردی است که می تواند این کدهای مخفی و مخرب را از درون این پلاگین ها تشخیص و جلوی اجرا آنها را بگیرد ، شما می توانید پلاگین مربوطه را از لینک زیر دانلود کنید :

https://wordpress.org/plugins/exploit-scanner/

امیدوارم مورد توجه شما کاربران عزیز WordPress قرار گرفته باشد ، اگر شما نیز نکته خاصی در خصوص برقراری امنیت در این سیستم مدیریت محتوا می دانید خوشحال می شویم از تجربیات شما در ادامه همین مقاله استفاده کنیم.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات