چطور امنیت سایت وردپرسی خود را تامین کنیم؟ استفاده از CDN برای حفظ امنیت

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS- Content Management System)است. در حال حاضر بیش از 30 درصد وب‌سایت‌ها بر پایه وردپرس هستند. همانگونه که سیستم مدیریت محتوای وردپرس رشد می‌کند، توجه هکرها را نیز به سمت خود جلب کرده است. مهم نیست که سایت شما چه محتوایی را ارائه می‌دهد، سایت‌های وردپرس یکی از هدف‌های محبوب هکرهاست. اگر اقدامات امنیتی خاصی را در وبسایت وردپرسی خود رعایت نکنید، احتمال هک شدن وبسایت شما نیز وجود دارد. در این مقاله از تیم تولید محتوای اَبر دِراک نکاتی را جهت امنیت وب‌سایت وردپرسی شما به اشتراک می‌گذاریم.

آنچه در این مقاله می‌خوانید:

یک ارائه‌دهنده میزبانی وب‌سایت مناسب انتخاب کنید

از تم‌های پوچ شده (null) استفاده نکنید

یک افزونه امنیتی وردپرس را نصب کنید

 از یک رمز عبور قوی استفاده کنید

ویرایش فایل را غیرفعال کنید

گواهی SSL را نصب کنید

آدرس WP-login خود را تغییر دهید

محدود کردن تلاش برای ورود (rate limit)

نسخه وردپرس خود را به روزرسانی کنید

استفاده از CDN برای حفظ امنیت وب‌سایت وردپرسی

CDN ایرانی اَبر دِراک

یک ارائه‌دهنده میزبانی وب‌سایت مناسب انتخاب کنید

ساده‌ترین راه برای امنیت وب‌سایت وردپرسی، میزبانی وب‌سایت بر روی یک ارائه‌دهنده میزبانی که چندین لایه امنیتی را فراهم می‌کند، است. ممکن است وسوسه شوید که به سراغ یک ارائه‌دهنده هاست ارزان بروید، اما این صرفه‌جویی در هزینه‌ می‌تواند از نظر امنیتی ضرر و زیان زیادی به شما بزند. پرداخت هزینه بیشتر برای یک شرکت میزبانی باکیفیت به این معنی است که لایه‌های امنیتی اضافی به طور خودکار بر روی وب‌سایت شما فعال می‌شوند. با استفاده از یک ارائه‌دهنده میزبانی خوب، سرعت سایت وردپرسی شما نیز به میزان قابل توجهی افزایش می‌یابد. 

از تم‌های پوچ شده (null) استفاده نکنید

تم‌های اختصاصی وردپرس حرفه‌ای‌تر به نظر می‌رسند و گزینه‌های قابل تنظیم بیشتری نسبت به یک تم رایگان دارند. تم‌های ممتاز  توسط توسعه‌دهندگان کدگذاری و آزمایش می‌شوند و باگ‌های امنیتی آنها برطرف می‌گردد. شما هیچ محدودیتی برای سفارشی کردن تم ندارید و اگر مشکلی در سایت شما پیش بیاید، از پشتیبانی کامل برخوردار خواهید بود. در تم‌های اختصاصی وردپرس شما می‌توانید به‌روزرسانی‌ها را به صورت منظم دریافت کنید.

تم‌های پوچ شده نسخه کرک شده تم‌های ممتاز هستند که از راه‌های غیرقانونی در  دسترس  افراد قرار می‌گیرند. این تم‌ها می‌توانند حاوی کدهای مخرب پنهانی باشند که به وب‌سایت و  پایگاه داده شما آسیب می‌رسانند.

یک افزونه امنیتی وردپرس را نصب کنید

یک افزونه امنیتی وردپرس  از وب‌سایت شما مراقبت می‌کند، بدافزارها را اسکن می‌کند  و به صورت 24 ساعته بر وب‌سایت شما نظارت می‌کند تا آنچه را در سایت شما اتفاق می‌افتد، به طور منظم بررسی کند. افزونه‌های امنیتی بدون نیاز به کدنویسی، ممیزی فعالیت‌های امنیتی، نظارت بر یکپارچگی فایل، اسکن بدافزار از راه دور، نظارت بر لیت سیاه، اعلان‌های امنیتی و … را ارائه می‌دهند.

 از یک رمز عبور قوی استفاده کنید

رمزهای عبور بخش بسیار مهمی از امنیت وب سایت هستند که متاسفانه اغلب نادیده گرفته می شوند. این نکته را در نظر بگیرید که همانگونه که به خاطر سپردن  رمزهای ساده راحت است، حدس زدن آنها نیز کار آسانی است. رمز عبور شما باید ترکیبی از اعداد، حروف و نمادها باشد تا هکرها نتوانند به راحتی وارد سیستم شما شوند.

ویرایش فایل را غیرفعال کنید

هنگامی که سایت وردپرس خود را را‌ه‌ اندازی می‌کنید، یک تابع ویرایشگر کد در داشبورد شما وجود دارد که به شما امکان می‌دهد قالب و افزونه خود را ویرایش کنید. با رفتن به Appearance>Editor می‌توانید به آن دسترسی پیدا کنید. راه دیگری که می توانید ویرایشگر افزونه را پیدا کنید، رفتن به قسمت Plugins>Editor است.

توصیه می‌شود هنگامی که وب‌سایت شما آنلاین شد، این ویژگی را غیرفعال کنید. با فعال بودن این گزینه هر هکری که بتواند به پنل مدیریت وردپرس شما دسترسی پیدا کند، می‌تواند کدهای مخربی را به قالب و افزونه شما اضافه کند. اغلب اوقات کدهای مخرب آنقدر ظریف هستندکه ممکن است تا زمان ایجاد مشکل برای وب‌سایت شما متوجه آن نشوید.

گواهی SSL را نصب کنید

امروزه SSL، برای انواع وب‌سایت ها مفید است. در ابتدا SSL به منظور ایمن سازی سایت برای تراکنش‌های خاص، مانند پردازش پرداخت‌ها، مورد نیاز بود. با این حال، امروزه گوگل اهمیت آن را تشخیص داده و به سایت‌های دارای گواهینامه SSL جایگاه بیشتری در نتایج جستجوی خود می‌دهد. SSL داده‌های ارسالی و دریافتی به وب‌سایت وردپرسی شما را رمزگذاری می‌کند. سرویس امنیت ابری اَبر دِراک نیز با ارائه SSL داده‌های کاربران را رمزگذاری می‌کند.

آدرس WP-login خود را تغییر دهید

به طور پیش‌فرض، آدرس ورود به پنل مدیریت وردپرس yoursite.com/wp-admin ا ست. با رها کردن این آدرس به عنوان پیش‌فرض، ممکن است برای شکستن ترکیب نام کاربری/رمز عبور خود، هدف حمله‌ی brute force قرار بگیرید. اگر کاربران را برای ثبت نام در حساب‌های اشتراک بپذیرید، ممکن است ثبت نام های اسپم زیادی نیز دریافت کنید. برای جلوگیری از این امر، می توانید URL ورود به سیستم ادمین را تغییر دهید یا یک سوال امنیتی به صفحه ثبت نام و ورود اضافه کنید.

محدود کردن تلاش برای ورود (rate limit)

به طور پیش‌فرض، وردپرس به کاربران این امکان را می‌دهد که هر چند بار که می‌خواهند وارد سیستم شوند. این امر شما را در معرض حملات  brute force قرار می‌دهد. با محدود کردن تعداد تلاش‌های ورود به سیستم، کاربران می‌توانند به تعداد دفعات محدودی برای ورود به سیستم تلاش کنند و پس از آن IP آنها به طور موقت توط سایت محدود می‌شود. با این ویژگی یک هکر قبل از اینکه بتواند حمله خود را تمام کند توسط وب‌سایت مسدود می‌شود. این ویژگی به راحتی توسط افزونه‌های امنیتی سایت به وب‌سایت شما افزوده می‌شود. شما می‌توانید تعداد دفعات تلاش مجاز و مدت زمان مسدود شدن یک IP را تعیین کنید. سرویس امنیت ابری اَبر دِراک با استفاده از محدود کردن تلاش برای ورود از برنامه‌ها و وب‌سایت‌ها در برابر حملات brute force محافظت می‌کند.

نسخه وردپرس خود را به روزرسانی کنید

توسعه‌دهندگان با هر به‌روزرسانی تغییراتی را در یک سیستم ایجاد می‌کنند که شامل به‌روزرسانی‌ ویژگی‌های امنیتی نیز می‌شود. به‌روز نگه داشتن وردپرس یک راهکار خوب برای  ایمن نگه داشتن وب‌سایت شماست. با به روز ماندن با آخرین نسخه وردپرس، به محافظت از خود در برابر قرار گرفتن در معرض نقاط ضعف از پیش شناسایی شده که هکرها می‌توانند  از آنها برای دسترسی به سایت شما استفاده کنند، کمک می کنید. به‌روزرسانی افزونه‌ها و قالب‌های وب‌سایت نیز اهمیت زیادی دارد.

استفاده از CDN برای حفظ امنیت وب‌سایت وردپرسی

مانند همه شبکه‌هایی که در معرض اینترنت قرار دارند، CDN‌ها نیز باید در برابر حملاتی مانند DDoS، نقض داده‌ها و … محافظت شوند. یک CDN می‌تواند چندین استراتژی برای کاهش آسیب‌پذیری‌ها از جمله رمزگذاری مناسب SSL/TLS و سخت‌افزار  لازم برای رمزگذاری تخصصی را ارائه دهد.

TLS  (Transport Layer Security) پروتکلی برای رمزگذاری داده‌هایی است که از طریق اینترنت ارسال می‌شوند. TLS یک سطح امنیتی بالاتر از SSL (Secure Sockets Layer) است  که بسیاری از نقص‌های امنیتی پروتکل قبلی را برطرف کرده است. هر وب‌سایتی که بها https://  به جای https://  شروع می‌شود، از TLS/SSL برای ارتباط بین مرورگر و سرور استفاده می‌کند.

شیوه‌های رمزگذاری مناسب برای جلوگیری از دسترسی مهاجمان به داده‌های مهم ضروری است. از آنجایی که اینترنت به گونه‌ای طراحی شده است که داده‌ها در بسیاری از مکان‌ها منتقل می‌شوند، امکان رهگیری بسته‌های اطلاعاتی مهم در حین انتقال در سراسر جهان وجود دارد. از طریق استفاده از یک پروتکل رمزنگاری، فقط گیرنده مورد نظر قادر به رمزگشایی و خواندن اطلاعات است و واسطه‌ها توانایی رمزگشایی محتویات داده‌های منتقل شده را ندارند.

CDN ایرانی اَبر دِراک

یکی از مهم‌ترین آسیب‌پذیری‌های امنیتی در اینترنت، استفاده از حملات انکار سرویس توزیع شده (DDoS) است. با گذشت زمان حملات DDoS از نظر اندازه و پیچیدگی افزایش یافته است و مهاجمان از بات‌نت‌ها برای هدف قرار دادن وب‌سایت‌ها استفاده می‌کنند. CDN ایرانی اَبر دِراک دارای مزایای بالقوه  به عنوان یک عامل محافظتی در برابر DDoS است. CDN اَبر دِراک با داشتن تعداد کافی مراکز داده در مکان‌های مختلف و  پهنای باند قابل‌توجه، می‌تواند در برابر ترافیک حمله ورودی که سرور وب‌سایت هدف را تحت تأثیر قرار می‌دهد، مقاومت کرده و  آنها را کاهش دهد.

سوالات متداول

آیا CDN امنیت وب‌سایت وردپرسی را تامین می کند؟

یک CDN بین وب سرورهای سازمان و کاربران خارجی قرار دارد. این امر CDN ها را برای جلوگیری از تهدیدات امنیتی شناخته شده قبل از رسیدن به دارایی های یک سازمان ایده آل می کند. یک راه متداول برای انجام این کار استفاده از قوانین پروکسی برای جلوگیری از تکنیک های رایج حمله سایبری است.

---

منابع:

https://medium.com/@AmDee_Elyssa/10-wordpress-tips-to-make-your-website-secure-133ffc35f27a

https://www.cloudflare.com/learning/cdn/cdn-ssl-tls-security/