امید اسد زاده ۰۷ تیر ۱۳۹۷ بدون نظر 123 بازدید مطالب عمومی
آموزش امنیت در وردپرس

مقدمه ای بر امنیت در وردپرس :

چنانچه شما در  مدیریت وردپرس و امنیت در وردپرس فرد تازه کاری هستید،
این اولین مقاله از مرکز یادگیری ما است که در اختیار شما قرار داده میشود که میتونید مطالعه بفرمایید.این مقاله، مبانی امنیت در وردپرس و فرایند وردپرس را به صورت امن مدیریت می کند.
این به شما  کمک خواهد کرد که به سرعت با چیزهایی مانند ارتقاء پلاگین به طور منظم، انتخاب کلمات عبور امن برای اعضای خود و مدیران و همچنین مفاهیم مختلف که برای امنیت در وردپرس لازم و ضروری است را فرا بگیرید.

وارد شدن (Signing In)

ورود به وب سایت وردپرس شما،اولین کاری است که قبل از انجام هر کار اداری ای انجام می دهید.ورود به یک سایت وردپرس ممکن است به عنوان یک کار ساده و بی اهمیت به نظر برسد،اما در هنگام ورود به سایت خود برای حفظ امنیت در وردپرس احتیاجات و ملزومات خاصی وجود دارد.

امنیت در وردپرس : فریب نخورید

امنیت در وردپرس از زمانیکه شما به سایت وردپرسی خود لاگین می شوید برای مدیریت آن شروع می شود
نام دامنه ای  را که وارد آن میشید را ابتدا بررسی کنید.ممکن است این سرویس سایت وردپرس خود شما باشد، اما در حقیقت این یک وب سایت مخرب است.
هنگامی که به آنچه تصور میکنید  وب سایت وردپرس خود شماست ویا به آن شباهت زیادی دارد  وارد شوید، نام کاربری و رمز عبور شما را ذخیره می کنند و از آن برای هک کردن سایت واقعی وردپرس شما استفاده می کنند!
این روش فیشینگ نامیده می شود.(phishing)
 راهی برای جلوگیری از «فیشینگ» این است که اطمینان حاصل کنید هنگام ورود به یک سایت، نام دامنه خود را در نوار محل سکونت مرورگر خود چک کنید تا مطمئن شوید که این وبسایت شماست.
یک نمونه از فیشینک را در زیر میتوانید مشاهده نمایید.

سعی کنید فقط از HTTPS استفاده کنید

استفاده از یک اتصال امن بخش مهمی از امنیت در وردپرس است.

قبل از ورود به سیستم، نوار مرورگر خود را بررسی کنید تا مطمئن شوید که سایت شما با https: // شروع شده و سبز است (در اکثر مرورگرها) به رنگ سبز میباشد.
همچنین ممکن است یک آیکون قفل نشان دهد که یک صفحه امن است. ورود به سیستم از طریق HTTPS اطمینان می دهد که اطلاعات ورود شما در سراسر شبکه رمزگذاری می شوند و کسی که در حال گوش دادن نمی تواند نام کاربری و رمز عبور شما را سرقت کند.
بسیاری از سایتهای وردپرس از HTTPS استفاده نمی کنند و اگر شما یکی از آنها هستید، با مدیر سایت خود تماس بگیرید و از آنها بخواهید شما را به HTTPS ارتقا دهند.

امنیت در وردپرس : رمز عبور

رمز عبور قوی انتخاب کنید
مهم است که رمز عبور قوی را به دلایل مختلفی انتخاب نمایید.
یکی از دلایل این است که هکرها نتوانند رمزعبور شما را حدس بزنند و یا اینکه نتوانند آن به حافظه خود بسپارند.
دوم این که که مطمئن شوید که اگر سایت شما هک شده باشد، رمز عبور شما دشوار است.
به طور کلی شما باید رمز ورودی را حداقل 12 کاراکتر طولانی انتخاب کنید و از حروف، اعداد و نمادها و با عنوان کلمات انگلیسی چندگانه و ترکیبی تشکیل شده باشد
قدرت رمز عبور یکی از پایه های امنیت در وردپرس است.

رمز عبور خود را به صورت امن ذخیره کنید

یکی از مشکلات با انتخاب یک رمز عبور قوی این است که آنها سخت است که به حافظه خود پسپارید
درادامه چندین روش برای ذخیره کلمات عبور شما وجود دارد و هر یک از آنها  مزایا و مشکلاتی را به همراه دارد.
انتخاب کنید که کدام یک برای شما کار می کند و می دانید که هیچ کدام از آنها کامل نیستند:
-از یک سرویس کیفی رمز عبور مانند 1password استفاده کنید که رمزهای عبور شما رمزگذاری شده است و برای دسترسی به آنها از رمز عبور اصلی استفاده می کند.
این سرویس ها همچنین می توانند هک شوند که تمام گذرواژه های شما را یک بار به خطر می اندازد. مزیت استفاده از آنها این است که شما هرگز نباید رمز عبور دیگری را به یاد داشته باشید.
-رمز عبور خود را پایین بیاورید. انجام این کار آسان است، اما اگر کسی دسترسی فیزیکی به دفتر شما داشته باشد، گذرواژههای شما به خطر افتاده است.
رمز عبور خود را پایین بیاورید. آسان برای انجام، اما اگر کسی دسترسی فیزیکی به دفتر شما داشته باشد، گذرواژههای شما به خطر افتاده است.
از یک فرمول رمز عبور استفاده کنید. به عنوان مثال: حروف را از نام دامنه ای که وارد می کنید وارد کنید، آنها را به ابتدای و پایان یک رمز عبور که با استفاده از فرمول حفظ کرده اید، اضافه کنید و برای هر سایت ای که وارد کرده اید، یک رمز عبور منحصر به فرد با راه یاد آوری هر یک از آنها داشته باشید. اگر فرمول شما با ایجاد کلمات عبور قوی، می تواند بسیار امن باشد.

یک مکانیزم ذخیره سازی رمز عبور را انتخاب کنید که برای شما کار می کند و اطمینان حاصل کنید که گذرواژه های قوی خود را برای سایت وردپرس خود، مخصوصا برای حساب های مدیریت سطح وردپرس خود انتخاب کرده باشید.

ایجاد پست ها و صفحات جدید به صورت ایمن

انتشار صفحات و پست های جدید با استفاده از وردپرس ممکن است به عنوان یک کار بی اهمیت با خطرات امنیتی بسیار اندکی به نظر برسد، اما مواردی وجود دارد که باید از آن آگاه باشید تا  امنیت سایت خود را بهبود ببخشید.
قبل از گرفتن برخی از کدها و اضافه کردن آنها به یک صفحه یا پست به طوری که شما می توانید ویدجت ویدئو یا جاوا اسکریپت شامل، ابتدا منبع را در نظر بگیرید.
قبل از گرفتن برخی از کد و اضافه کردن آن به یک صفحه یا پست ابتدا منبع آن را در نظر بگیرید.
آیا به شرکتی که این کد را به شما ارائه می دهد اعتماد دارید؟ اگر YouTube.com یا Vimeo باشد، احتمالا به آنها اطمینان دارید.
با دقت ارزیابی کردن کد قبل از اعمال آن در سایت خود، بخش جدایی ناپذیر از امنیت در وردپرس میباشد.

مراقب باشیدنسبت به پوستر مهمان

هنگامی که سایت شما شروع به گرفتن ترافیک از موتورهای جستجو می کند، ممکن است شخصی که برای ارسال یک پست مهمان ارائه می دهد، نزدیک شود.

اگر انتخاب کنید که آنها را به پست مهمان بگذارید، توصیه میکنیم آنها با استفاده از یک پلت فرم شخص ثالث مانند Google Docs.

در صورتی که انتخاب کنید، به پوستر مهمان اعتباری بدهید. شما می توانید محتوا را به یک پست کپی و بچسبانید و آن را منتشر نمایید.
اگر به پوستر مهمان اجازه دهید که یک پست یا صفحه را به طور مستقیم در سایت خود ویرایش کند، باید سطح دسترسی بیشتری برای ایجاد یک پیشنویس سند داشته باشید.

همچنین لازم است که منبع پست یا صفحه را با کلیک روی برگه «متن» در بالای مقاله مشاهده کنید تا اطمینان حاصل شود کدام کد را در پست قرار ندهید یا شامل پیوندهایی با وبسایتهایی شوید که ممکن است آنها را تأیید نکنید.
اطمینان حاصل کنید که شما هر مقاله مهمان پست را با دقت برای لینک های هرزنامه و کد جاسازی شده تجزیه و تحلیل کرده اید.

هرزنامه و تروجان

فیلتر اسپم اتوماتیک
ممکن است شما تعجب کنید که یاد بگیریم که هرزنامه به عنوان یک تابع امنیتی وردپرس شناخته شده است.
تقریبا بلافاصله پس از اولین سایت وردپرسی خود را راه اندازی می کنید، نظراتی را مطرح می کنند که کم ارزش هستند.
با پیوند به وبسایتهایی که با مطالب بی ارزش پر شده اند،برای کمک به فیلتر کردن  نظرات اسپم، دو پلاگین توصیه می کنیم که میتونید برای وردپرس از آنها استفاده نمایید.
1-افزونهAkismet : این افزونه کار بسیار خوبی را برای کمک به فیلتر کردن هرزنامه ها به صورت خودکار انجام می دهد و حجم کار شما را کاهش می دهد.
2-افزونه Wordfence :پلاگین امنیتی وردپرس  است و شامل چندین ویژگی دیگر فیلتر کردن هرزنامه است که به طور خودکار پرچم spam را پر می کند و آن را به پوشه هرزنامه تقسیم می کند.
زمانی که شما تنظیم خودکار فیلتر هرزنامه را انجام می دهید، متاسفانه متوجه خواهید شد که هرزنامه هنوز با وجود فیلتر ها ارسال  می شود و شما باید آن را به صورت دستی فیلتر کنید.

خط مشی برای فیلتر کردن هرزنامه ایجاد نمایید

توصیه می کنیم در زیر این دستورالعمل ها را دنبال کنید:

*اجازه ندهید که نظرات حاوی کد جاوااسکریپت و یا جاسازی شده باشد.معمولا این اجازه داده نمی شود و توسط WordPress فیلتر می شود.

اگر کد را مشاهده کردید، فقط آن را به عنوان هرزنامه پرچم کنید مگر اینکه شما یک وبسایت توسعهدهنده را دارید اجرا میکنید و میخواهید commenters های خود را به نمونه های کد اضافه کنید.
به طور کلی، اسپم ها همیشه URL سایت خود را همراه با یک  نظر نیز  همراه میکنند. مفسران واقعی هم همین  کار را انجام می دهند، اما به طور کلی هنگامی که نظر بدون نشانی اینترنتی را مشاهده می کنید، به این معنی است که هر کسی که آن را نوشته علاقه خاصی به تبلیغ خود ندارد و شما به ندرت اسپم های این چنینی پیدا میکنید.
به نظراتی که با زبان های دیگرارسال شده اند و شما آن ها را متوجه نمیشید اجازه ندهید.برای مثال ؛ ما با نظرات با زبان ژاپنی از طریق فیلتر هرزنامه ما مشکل داریم. ما نمی دانیم که این نظر واقعا چیست و چه معنی ای میدهد این موارد راد فیلتر کنید.
دقت داشته باشید یک نظر با آدرس های متنوع و زیاد یک اسپم است که این مورد در اسپم ها یک رویداد طبیعی است .

تنظیمات نظرات را بررسی کنید

در وردپرس، به «تنظیمات> بحث» یا همان نظرات  بروید و تنظیماتی را که به سیاست ای  نظر شما مربوط می شود را پیدا خواهید کرد. در این باره چند توصیه مفید وجود دارد:
شما ممکن است بخواهید پینگ بک ها و پیگیری ها را غیرفعال کنید
این مورد می تواند منبع مناسبی برای هرزنامه هاباشد، و مگر اینکه شما لینک ها را به صورت خودکار به سایت هایی که به شما لینک می شوند اضافه کنید،شما میتوانید این ویژگی را نیز غیرفعال کنید.
فعال کردن و اجازه دادن به افراد برای ارسال نظرات در مورد مقالات جدید باعث میشود این مورد زنده نگه داشته شود.
ضروری است که نویسنده کامنت، نام و ایمیل را حتما پر کند.
شما احتمالا تمایل داشته باشید  هر زمان که نظر ارسال می شود، یک ایمیل نیز دریافت کنید، مگر اینکه ترافیک نظرات سایت شما بسیار سنگین باشد و شما هر روز در حال ثبت نام باشید.

ارائه  نظرات اگر حاوی یک یا دو پیوند باشد، یک ویژگی مفید محسوب میشود، زیرا هرزنامه ها معمولا پیوندهای موجود در بدنه را شامل می شوند.

تنظیمات نظرات خود را با دقت مرور کنید، سیاستی را مطابق با وبسایت و نیازهای جامعه بسازید و به محدود کردن هرزنامه کمک کنید.

پیدا کردن و نصب تم ها

یک تم در سایت های وردپرس شما، احساسات و سایت شمارا را ایجاد می کند. یک تم جدید را در منوی Appearance> Themes تنظیم نمایید.

اجتناب از تم های ناسازگار و مخرب

تم های مخرب تا به حال تاثیر گسترده ای بر امنیت در وردپرس داشته است. هنگام انتخاب یک تم برای سایت وردپرسی خود، از دانلود تم ها از منابع نامشخص جلوگیری کنید. متاسفانه بسیاری از وبسایت هایی در وب وجود دارند که تم های مخرب را توزیع می کنند. این تم ها “nulled” themes نامیده می شوند و حاوی کد های مخرب هستند که از قبل نصب شده اند. فقط تم ها را از منابع قابل اعتماد نصب کنید.
محبوب ترین منبع برای تم های وردپرس رسمی تم وردپرس است که شما می توانید در WordPress.org پیدا کنید.
تم های تجاری را می توان در سایت های شناخته شده مانند Themeforest.net و ElegantThemes یافت. هنگام استفاده از یک تم از یک منبع که نمیشناسید و مشخص نیست،  نام دامنه سایت رادر نقل قول ها امتحان کنید و ممکن است گزارش هایی راپیدا کنید که آیا سایت قابل اعتماد است و یا در یک برنامه مخرب مشغول به کار میباشد یا خیر.

تم خود را به صورت منظم ارتقا دهید
گاهی اوقات یک آسیب پذیری امنیتی ممکن است در موضوع سایت شما کشف شود، که هکرها می توانند به آن دست پیدا کنند. هر تم ساز قابل اعتماد، رفع باگ ها وآسیب پذیری ها را در قالب نسخه های تم جدید را توزیع خواهد داد. اطمینان حاصل کنید که اگر یکی پس از بررسی تغییرات منتشر شود، قالب خودبه جدیدترین نسخه  ارتقا دهید. این اطمینان حاصل خواهد کرد که هر گونه اصلاح در موضوع شما گنجانده شده است.
توجه: این روش در میان توسعه دهندگان وردپرس، سفارشی کردن تم ها نامیده میشود. اگر تم خود را میخواید ارتقا دهید، ممکن است برخی از تغییرات ایجاد شده توسط یک توسعه دهنده را از دست بدهید. اگر ازقالبی  استفاده می کنید که سفارشی شده است  و متوجه شدید که برای قالب مورد استفاده شما نسخه جدیدی منتشر شده است، با توسعه دهنده سایت خود تماس بگیرید تا اطمینان حاصل کنید که شما هیچ تغییری در سایت شما در هنگام ارتقای رخ نمیدهد. یک گزینه برای حفظ سفارشی شما این است که از چایلد تم استفاده کنید.

پیدا کردن و نصب پلاگین ها

پلاگین های WordPress بسیار مفید هستند و یکی از قوی ترین ویژگی های وردپرس محسوب میشوند. دهها هزار پلاگین منبع باز موجود در  WordPress.org در مخزن پلاگین رسمی وردپرس وجود دارد. شما به راحتی می توانید پلاگین های جدیدی را با وارد شدن به پنل کاربری وردپرس خود، از قسمت افزونه ها> افزودن جدید و استفاده از قابلیت جستجو برای پیدا کردن افزونه هایی که نیاز دارید را، نصب و سپس فعال کنید.
به این نکته مهم توجه داشته باشید که از نصب پلاگین های nulled  مخرب پرهیز نمایید.. پلاگین ها از مخزن پلاگین رسمی به طور کلی برای نصب امن هستند.
چگونه از آسیب پذیری های پلاگین جلوگیری کنیم
درک آسیب پذیری های پلاگین بخش مهمی از امنیت در وردپرس است، زیرا پلاگین های آسیب پذیر رایج ترین شیوه ای است که سایت وردپرس هک شده است.

پلاگین ها دارای کدهای PHP به مراتب بیشتری نسبت به تم ها هستند و کدها نیز پیچیده تر است. این فرصت  بیشتری را برای آسیب پذیری ایجاد می کند .

مهم است که در اینجا توجه داشته باشید که وردپرس یک پلت فرم ناامنی نمیباشد. این یک پلت فرم بسیار محبوب است و تعداد زیادی افزونه را موجود دارد. وردپرس دارای بیش از 40،000 پلاگین در دسترس است (با بیش از 1 میلیارد بارگیری) که باعث می شود که این پلتفرم  یک هدف جذاب برای هکرها باشد. و به این دلیل مهم است که در هنگام انتخاب، نصب و حفظ پلاگین های وردپرس خود، چند دستورالعمل را در نظر داشته باشید. چند نکته مهم وجود دارد:
*فقط پلاگین ها را از یک سایت معتبر نصب کنید مخزن پلاگین رسمی، شروع خوبی است.
*فقط پلاگین هایی را که نیاز دارید نصب کنیداگر  پلاگین های کمتری در دسترس داشته باشید، سطح دسترسی هکرها برا ی هک کردن کمتر میشود، زیرا شما کد کمتری برای حمله به سایت خود دارید.
*پلاگین های غیر فعال را در سایت خود قرار ندهید. آنها را پاک کنید پلاگین های غیرفعال شده هنوز می توانند یک راه برای هکر برای به دست آوردن ورودی ارائه دهند، زیرا کد ممکن است هنوز در دسترس عموم باشد.

*هنگامی که یک نسخه جدید از یک افزونه منتشر می شود، تغییرات را بررسی کنید و در اسرع وقت به جدیدترین نسخه ارتقا دهید، به خصوص اگر آن شامل یک رفع امنیتی است.

اجتناب از ویجت های خطرناک و کد شده
در بخش بالا در مورد پست ها و صفحات، ما به اجتناب از نصب کد غیر قابل اعتماد اشاره می کنیم. وردپرس شامل یک ویژگی مفید است که به شما اجازه می دهد تا “ویجت ها” را نصب کنید که مواردی هستند که در نوار کناری یا قسمت فوتر سایت  شما ظاهر می شوند.

شما می توانید به این ویژگی از طریق نمایش > ابزارک ها دسترسی پیدا کنید.

اکثر ویدجت ها مفید هستند و ویژگی های مفیدی را ارائه می دهند. برخی از سایت ها و خدمات کد جاوا اسکریپت یا کد دیگری را ارائه می دهند که می توانید به عنوان یک ویجت در سایت خود جاسازی کنید. معمولا ویجت متن را اضافه می کنید و شامل کد ای است که آنها ارائه می دهند.
در هنگام تعبیه کد از یک سایت یا منبع دیگر در سایت خود، دقت کنید. اگر کد شخص دیگری را نصب کنید، به آنها اجازه دسترسی به اطلاعات حساس در سایت خود از جمله کوکی بازدید کننده سایت و کوکی های اداری خود را می دهد.
اگر کد شما در بارگیری ویجت از وبسایت خود بارگیری شود، پس شما توانایی حفظ این کد را دارید. اگر کد از وبسایت شخص دیگری بارگیری شود، می توانند هر زمانی که میخواهند، کد را تغییر دهند.
به عنوان مثال، اجازه می دهد که سایت شما example.com باشد. اگر کد شما را به عنوان یک ویجت از http://example.com/mycode.js بگذارید، کنترل آنچه کد در سایت شما بارگذاری می شود را کنترل می کنید. تنها راهی که فایل mycode.js می تواند تغییر کند این است که اگر آن را تغییر دهید.
برخی از کد های جاوا اسکریپت هم که از یک سایت خارجی بارگذاری می شوندمیتوانند  قابل اعتماد باشند برای مثال. Google Analytics و Google AdSense نمونه هایی از کد جاوا اسکریپت هستند که از یک وب سایت دیگر بارگذاری می شوند . بنابراین اگر شما تصمیم به نصب یک ویجت در سایت خود دارید که کد را از جایی دیگر بارگیری می کند، مطمئن شوید که از یک وب سایت معتبر ادارید استفاده مینمایید.
ایجاد کاربران جدید به صورت امن
برای ایجاد یک کاربر جدید در وردپرس، به کاربران > افزودن جدید بروید.
 هنگام ایجاد یک کاربر جدید، وردپرس به صورت خودکار یک رمز عبور را به کاربر اختصاص می دهد. شما همچنین می توانید به صورت دستی رمز عبور را مشخص نمایید.
توصیه می کنیم که وردپرس را مجاز به انتخاب رمز عبور برای خود بگذارید. نسخه فعلی وردپرس از یک دنباله ای تصادفی از حروف بزرگ و حروف کوچک، اعداد و نمادها استفاده می کند و یک رمز عبور تقریبا با 16 حرف طول ایجاد میکند. این یک رمز عبور بسیار قوی است.
سطح دسترسی کاربر وردپرس
وردپرس از مفهوم “نقش ها” برای تعیین سطوح دسترسی به امنیت به اعضای سایت استفاده می کند. این امر مفید است زیرا سطح امنیتی که به آن دسترسی دارید، نشان دهنده نقش شما در سازمان شما است.
هنگام اختصاص دادن نقش های امنیتی به کاربران خود، ممکن است وسوسه شوید که به آنها دسترسی به سطوح بالاتری بدهید. این کار را نکنید. در امنیت اطلاعات، تمرین خوبی است که حداقل سطح دسترسی مورد نیاز برای کاربر برای انجام وظایف خود را فراهم کنید. اگر آنها به دسترسی بیشتری نیاز داشته باشند، بگذارید از شما درخواست دسترسی لازم را بکنند. به این ترتیب شما اطمینان داریدکه افراد، سطح دسترسی بیشتری نسبت به نیاز خود ندارند.
این یک اصل معتبر در نظریه امنیت اطلاعات است که محیطی امن تر را فراهم می کند که اجتناب از اعطای دسترسی که در آن مورد دسترسی لازم نیست.
در زیر  خلاصه ای کوتاه از نقش ها در وردپرس و ذسترسی ای که هرکدام به کاربر میدهند را برای شما توضیح میدهیم  :
مدیرکل : 
کاربر با این دسترسی می تواند همه چیز را در یک وب سایت وردپرس انجام دهد.این بالاترین سطح دسترسی است. پ. شما فقط باید یک یا دو سوپر admin را در یک سایت داشته باشید.
 مدیر : این نقش تقریبا همانند مدیر کل است .
ویرایشگر :ویرایشگر می تواند پست ها و صفحات را منتشر کند و همچنین می تواند پست ها و صفحات منتشر شده توسط نویسندگان دیگر را مدیریت کند. آنها توانایی ایجاد و ذخیره پیش نویس ها و صفحات و نیز انتشارمطالب را دارند.
نویسنده :نویسنده میتواند پستها و صفحات خود را منتشر کند، اما نمیتواند پستها و صفحات متعلق به دیگران را مدیریت کند یا منتشر کند.
مشارکت کننده :با دسترسی مشارکت کننده، کاربر می تواند پست های پیشنهادی و صفحات را ایجاد کند، اما نمی تواند آنها را منتشر کند. این یک نقش مفید برای پوستر مهمان در سایت شماست. شما می توانید دسترسی مشارکت کننده مهمان را به آنها بدهید، آنها می توانند پیش نویس را ایجاد کنند، و سپس می توانید پست را با سطح بالاتری از دسترسی بازبینی کرده و آن را در زمانی که آماده هستید منتشر کنید.
مشترک : این نقش با پایین ترین سطح دسترسی در وردپرس است. یک اشتراک کننده می تواند پروفایل خود را مدیریت کند و همچنین می تواند نظرات خود را (اگر نظر داشته باشد) به عنوان یک کاربر امضا شده ارسال کند.
در این مقاله مقدمه ای برای امنیت در وردپرس به عنوان یک مدیر سایت یا ناشر وردپرس ارائه شد. ما در مورد چندین مشکل رایج که مدیران وردپرس مواجه میشدند صحبت هایی کردیم، شما را به اصل دست کم دسترسی و نقشهای کاربر یا سطوح دسترسی معرفی کرده است. ما همچنین درباره هرزنامه نظر گذاشتهایم، اجتناب از کد مخرب و نحوه ذخیره پشتیبان خود را با خیال راحت.

نظرات کاربران (۰)