درس سوم- ترفندهای امنیتی وردپرس برای سایت های شخصی

در صورتی که انتخاب شما برای وبلاگ نویسی یکی از سرویس های رایگان عمومی باشند، دیگر مسوولیتی بابت امنیت برنامه های مدیریت محتوا و اپلیکیشن های مورد استفاده بر روی سرور نخواهید داشت و امنیت شما در این بخش به عهده شرکت ارایه کننده این خدمات است و فراموش نکنید که همه آنها در این رابطه با کیفیت خوب و دقت لازم عمل نمی کنند. اما اگر برای استقلال و امکانات بیشتر به سراغ خرید هاست و دامنه رفته و سایت شخصی خودتان را راه اندازی کرده باشید، بخش اعظمی از سنگینی بار امنیتی آن، بر دوش خودتان است.

با توجه به اینکه بسیاری از افرادی که سایت های شخصی را برای وبلاگ نویسی راه اندازی می کنند، به سراغ برنامه مدیریت محتوای وردپرس می روند، در این درس قصد داریم به ذکر برخی نکات مهم و ترفندهای امنیتی ضروری در خصوص این CMS بپردازیم.

به طور کلی وردپرس مشهورترین سیستم وبلاگ نویسی است که به خاطر راحتی کار، امنیت خوب و امکانات متنوع کاربران زیادی را به سوی خود جلب کرده است.

توجه: در صورتی که برخی نکات گفته شده در این مطلب برای تان ناآشنا یا گنگ هستند، قبل از اجرای آنها حتما با یک متخصص، طراح سایت یا مدیر سرورتان مشورت کنید. زیرا در صورت استفاده اشتباه از برخی دستورات ممکن است مشکلاتی برای وبلاگ شما پیش آمده و حتی باعث از بین رفتن برخی اطلاعات یا عدم دسترسی شما به وبلاگ تان شود.

 

الف) نکات و ترفندهای امنیتی
۱- به روز و آپدیت باشید: سعی کنید همیشه آخرین نسخه به روز رسانی وردپرس را بر روی سایت خود داشته باشید و همیشه اخبار آپدیت های آن را دنبال کنید. زیرا توسعه دهندگان و برنامه نویس های آن در کنار افزودن امکانات جدید، در حال کار بر روی کاستی ها و ضعف های امنیتی وردپرس هستند و در هر مرحله با رفع آنها، آپدیت جدیدی را عرضه می کنند.

این کار تنها چند دقیقه وقت شما را می گیرد، به صورت خودکار انجام می شود و کاملا امن است، زیرا وردپرس قبل از انجام آن، بک آپ کاملی از وبلاگ شما می گیرد. تنها کافی است در داشبورد وردپرس بر روی دکمه Update یا به روز رسانی کلیک کنید. پس هیچ گاه در انجام این کار کوتاهی نکنید.

علاوه بر این، دقت کنید که پلاگین ها و تمپلیت (قالب)های  نصب شده بر روی وردپرس هم، همیشه آخرین نسخه به روزرسانی را دریافت کنند. زیرا آنها هم مانند وردپرس دارای نقاط ضعف و باگ هایی هستند که به مرور زمان رفع شده و در آپدیت های جدید عرضه می شوند.

۲- از رمزهای عبور قوی و مطمئن استفاده کنید: احتمالا شما که کاربر حرفه ای اینترنت هستید، این توصیه را زیاد شنیده اید و مطمئنا رمزهای عبور مطمئن و خوبی را هم به کار می برید. اما این موضوع در امنیت مجازی آنچنان مهم است که تکرار آن هیچ گاه اضافی و بیهوده نخواهد بود. از رمز عبور طولانی، حاوی حروف کوچک و بزرگ، اعداد، علائم و سمبل ها استفاده کنید. تعداد کاراکترهای رمز عبورتان کمتر از ۱۴ حرف نباشند. از رمز عبور تکراری استفاده نکنید. باید رمز عبور ایمیل تان، با رمز عبور لاگین وردپرس و رمز عبور کنترل پنل ادمین هاست تان متفاوت باشند.

۳- همیشه نسخه پشتیبان مناسب و مطمئنی از وبلاگ تان داشته باشید: بگذارید که روی این نکته تاکید کنیم که حتما بک آپ و پشتیبان هفتگی مناسبی از سایت تان تهیه کنید. زیرا جدا از اینکه تا چه حد سایت و وبلاگ امن و مطمئنی داشته باشید، هیچ گاه نمی توانید پیش بینی کنید که قرار است چه اتفاقی بیُفتد. برخی اوقات، اتفاقات از اختیار و قدرت شما هم خارج هستند و ممکن است به قیمت از دست دادن تمام اطلاعات تان تمام شوند. مثلا اگر سرورهای شرکت خدمات دهنده هاست شما هک شده و به طور کامل پاک شوند، چه کاری از دست تان بر می آید؟ این شرکت ها معمولا پشتیبان فایل ها را در سروری مجزا هم نگهداری می کنند اما واقعیت این است که نمی توان به صورت ۱۰۰ درصد به آنها اطمینان داشت و ممکن است بعد از نابودی اطلاعات با این پاسخ مواجه بشوید که: ببخشید پشتیبان های اطلاعات هم از دست رفته است.

با کمی جستجو در اینترنت می توانید سرویس های آنلاین رایگان و غیر رایگان فراوانی را برای این کار پیدا کنید. همچنین پلاگین های زیادی برای پشتیبان گیری از وردپرس نوشته شده که به خوبی از پس این کار بر می آیند. در درس مربوط به پشتیبان گیری در این خصوص بیشتر صحبت خواهیم کرد.

۴- از فایل wp-config.php محافظت کنید: این یکی از مهم ترین فایل های درون پوشه وردپرس شما است. زیرا اطلاعات اتصال به پایگاه اطلاعاتی یا دیتابیس سایت/وبلاگ شما، به همراه دیگر اطلاعات امنیتی ضروری وردپرس درون آن ذخیره شده اند. بنابرین باید به خوبی از آن محافظت شود.

راحت ترین کار این است که آن را از پوشه اصلی وردپرس، به پوشه دیگری انتقال دهید. به این شکل تا فردی جای آن را نداند، نمی تواند از این فایل سوء استفاده کند. وردپرس هم از نسخه ۲.۶ به بعد، هوشمند شده و می تواند به صورت خودکار فایل wp-config را جستجو کرده و بیابد. علاوه بر این، شما می توانید با ساخت یک فایل .htaccess و چند خط کد ساده این فایل مهم را از دید عموم مخفی کنید. با این کار دیگر هکرها و ربات های اینترنتی به سادگی نمی توانند این فایل را پیدا کرده و از این طریق به وبلاگ شما حمله کنند.

روی کامپیوترتان، درون یک ادیتور متنی ساده مانند notepad فایل جدیدی باز کرده و کد زیر را درون آن کپی کنید:

# protect wpconfig.php
<Files wp-config.php>
order allow, deny
deny from all
</Files>

حال فایل را با نام .htaccess ذخیره کرده و آن را درون پوشه ای که فایل wp-config.php قرار دارد آپلود کنید. اگر از قبل فایلی با نام .htaccess درون آن پوشه وجود دارد، مراقب باشید که جایگزین نشود. بلکه باید آن را دانلود کرده و این کدها را به انتهای آن اضافه کنید. سپس فایل را در جای خود آپلود کنید.

۵- نام کاربری پیش فرض را تغییر دهید: هنگامی که شما وردپرس را نصب می کنید، اولین اکانتی که به صورت خودکار ایجاد می شود، دارای نام کاربری پیش فرض admin است. استفاده از این نام کاربری و عدم تغییر آن، کار بسیار خطرناکی است زیرا همه ربات های اینترنتی و هکرها از ساخت آن توسط وردپرس آگاه هستند و هنگام حمله به وبلاگ شما، در حقیقت نیمی از راه را رفته اند. زیرا نام کاربری را دارند و تنها باید رمزعبور را پیدا کنند.

در نسخه های وردپرس ۳.۰ و بالاتر شما این امکان را دارید که هنگام نصب وردپرس، نام کاربری پیش فرض (Admin) را به عبارت دلخواه دیگری تغییر دهید. اگر به هر دلیلی وردپرس شما نسخه قدیمی تری است (چیزی که خود خطر بالقوه ای محسوب می شود) یا اینکه وردپرس نسخه ۳.۰ و بالاتر خود را قبلا با نام پیش فرض نصب کرده اید، می توانید از طریق کنترل پنل هاست خود به phpMyAdmin رفته و با اجرای یک Query در بخش SQL‬، اقدام به تغییر نام کاربری پیش فرض از Admin به هر نام دیگری کنید. تنها کافی است نام جدید را به جای عبارت your_new_login جایگزین کنید.

UPDATE wp_users SET user_login = 'your_new_login' WHERE user_login = 'admin';

۶- پیشوند جداول دیتابیس را تغییر دهید: وردپرس هنگام نصب به صورت پیش فرض از پیشوند wp_ برای جداول دیتابیس استفاده می کند. از آنجایی که این برنامه یک سیستم بازمتن است، اگر شما پیشوند جداول را دست نخورده باقی بگذارید، هر کسی می تواند دقیقا بداند که هر table دیتابیس شما چه نامی دارد و هر بخش اطلاعات وبلاگ تان دقیقا در کجا ذخیره شده اند. حال فقط باید به نوعی بتواند به دیتابیس شما دسترسی پیدا کرده و یا اینکه جداول آن را فراخوانی کند، تا همه اطلاعات را خوانده یا دست کاری کند.

شما می توانید هنگام نصب وردپرس جدید، پیشوند جداول دیتابیس را با وارد کردن پیشوند جدید در فایل wp-cofig.php تغییر دهید. اگر هم بعد از نصب وردپرس و اتمام کار به فکر چنین تغییری افتاده اید، می توانید از پلاگینی همچون WP Secure Scan استفاده کنید. هرچند خطر چنین کاری در این مرحله کمی بالا است و بهتر است این کار را هنگام راه اندازی اولیه انجام دهید.

البته توجه داشته باشید که پیشوند انتخابی تان هم چندان قابل حدس زدن نباشد. اگر قرار بود وبلاگ درسنامه را با وردپرس راه اندازی کنیم، پیشوندهای dn_ یا dar_ گزینه های مناسبی به نظر نمی رسند.

۷- کلید های رمز پیش فرض را تغییر دهید: اگر فایل wp-config.php را باز کنید، به راحتی می توانید ۴ خط کد زیر را در آن بیابید که ۴ کلید رمزنگاری پیش فرض وردپرس را در خود جای داده اند:

1
define('AUTH_KEY','');
2
define('SECURE_AUTH_KEY','');
3
define('LOGGED_IN_KEY','');
4
define('NONCE_KEY','');

و جای شگفتی دارد که بسیاری از افراد در سراسر جهان این کلیدها را بدون تغییر می گذارند و هم اکنون همگی از کلید های رمرنگاری یکسانی در حال استفاده هستند. وردپرس از این کلیدهای رمز هش شده با الگوریتم Salt به همراه رمز عبور شما استفاده می کند، تا آن را قوی و ایمن تر گرداند.

برای تغییر این کلیدها، تنها کافی است به این آدرس مراجعه کرده و ۴ کد رمز جدید ساخته شده را در فایل wp-config.php کپی کنید. به همین راحتی مشکل حل می شود. زیرا این صفحه با هر بار باز شدن ۴ کد رمز هش شده جدید را در اختیار شما می گذارد.

۸- هر چیز زائد و غیر کاربردی را حذف کنید: هیچ گاه چیزی را به امید اینکه شاید در آینده به کار آید، بر روی سایت خود نگه ندارید. زیرا همین موارد ممکن است در آینده تبدیل به نقاط ضعف و محل نفوذ به وبلاگ شما شوند. نام های کاربری اضافی و بدون استفاده را حذف کنید. تمپلیت هایی را که لازم ندارید و کاربرد ندارند را پاک کنید. پلاگین های به درد نخور را غیر فعال کرده و حذف نمایید. در یک کلام، همانطور که خرت و پرت های اضافی گوشه حیاط یا انباری می توانند لانه موش ها و موریانه ها شوند، فایل ها و اپلیکیشن ها و دسترسی های بی مورد وبلاگ هم می توانند تبدیل به تله و لنگرگاهی برای نفوذگران و هکرها گردند.

 

ب) پلاگین های امنیتی
۱- WP Security Scan: این پلاگین قابلیت های امنیتی فراوانی دارد که از امکانات اولیه آن می توان به حذف ورژن وردپرس از صفحات آن اشاره کرد. وقتی هکر نسخه دقیق وردپرس شما را بداند، بهتر می تواند ایرادات امنیتی آن را پیدا کرده و برای شیوه حمله تصمیم گیری کند. همان طور که قبلا هم گفتیم، از دیگر امکانات این پلاگین تغییر پیشوند جداول دیتابیس وردپرس است.

علاوه بر این، این پلاگین به صورت دوره ای وردپرس شما را کنترل کرده و نقاط ضعف امنیتی آن را یافته و پیشنهادات لازم برای رفع آنها را ارائه می کند.

۲- BulletProof Security: این پلاگین از وبلاگ شما در مقابل حملات مختلف امنیتی همچون XSS و RFI و CRLF و Base64، تزریق کد و تزریق SQL مراقبت می کند. علاوه بر این امکان حفاظت از فایل های مهم وردپرس از جمله wp-config.php و php.ini و install.php و .htaccess را هم دارد.
این پلاگین می تواند نمایش پیغام های خطای دیتابیس، اخطارهای سیستم و اعلان های سطح دسترسی پوشه و فایل ها را هم خاموش کند.

۳- Better WP Security: این پلاگین یک دستیار امنیتی همه کاره برای شما است که همه چیز را یکجا برایتان جمع کرده است. در عرض چند دقیقه کل سایت را اسکن کرده و نقاط ضعف را پیدا و مشکل را حل می کند. متا تگ های ساخته شده توسط وردپرس را یافته و حذف می کند. پیغام های خطای لاگین را خاموش می کند. آدرس صفحات مهمی همچون لاگین و ادمین را به راحتی تغییر داده و نام دلخواه شما را جایگزین می کند. با این کار یک مانع مستحکم اضافی در برابر فرد خرابکار می کشید. برای زمان های مشخصی که نیازی به دسترسی به سایت را ندارید، امکان لاگین کردن را به طور کامل غیر فعال می کند.

و البته تمام اینها بخشی از امکانات این دستیار همه فن حریف پرکار شما هستند که به تنهایی از پس بسیاری خطرات امنیتی بر می آید.

 

حتما شما با ترفندها و پلاگین های بسیار بیشتری در زمینه امنیت وردپرس آشنایی دارید که در این درس به آنها اشاره ای نشد. شاید این مجال کوتاه جایی برای ذکر تمام نکات لازم در خصوص امنیت وردپرس نباشد و تنها مجبور باشیم به مهمترین نکات اشاره کنیم. البته هنگام استفاده از پلاگین ها این نکته را به یاد داشته باشید که حداقل پلاگین ممکن را نصب کنید و هیچ گاه پلاگینی را که استفاده از آن ضرورت ندارد را بر روی وبلاگ خود نگه ندارید. زیرا هر پلاگین امنیتی امروز، ممکن است فردا تبدیل به یک باگ بزرگ و نقطه ضعفی برای نفوذ گردد. ضمنا به روزرسانی مرتب پلاگین ها به همراه خود وردپرس را هم از یاد نبرید.