چگونه می توان از یک سایت وردپرس در برابر هکرها محافظت کرد

وردپرس یک هدف مکرر برای هک است. هکرها موضوع ، پرونده های اصلی وردپرس ، پلاگین ها و حتی صفحه ورود را هدف قرار داده اند.

اینها مراحلی است که باید انجام شود تا احتمال هک شدن آن کمتر شود و در صورت بروز مجدد ، بتوانید راحت تر بهبود یابید.

حمله هکرها به وردپرس

تمام سایت های وب تحت حمله مداوم قرار می گیرند – چه یک انجمن phpBB یا یک سایت وردپرسی – همه سایت ها توسط هکرها بررسی می شوند. غیر معمول نیست که یک هکر روزانه هزاران صفحه را اسکن کند یا صدها بار وارد سیستم شود.

و این فقط یک هکر است. سایت ها به طور همزمان مورد حمله چندین هکر قرار می گیرند.

به طور معمول این شخصی نیست که می خواهد شما را هک کند. هکرها برای جستجوی نقاط ضعف خاص در وب سایت ، از نرم افزارهای خودکار برای جستجوی وب استفاده می کنند.

به این برنامه های نرم افزاری خودکار که در اینترنت خزنده هستند ربات گفته می شود. من آنها را ربات های هکر می نامم تا آنها را از ربات های scraper (نرم افزاری که سعی در کپی کردن مطالب دارد) متمایز کنم.

سایت وردپرس خود را با فایروال امن کنید

فایروال یک برنامه نرم افزاری است که یک متجاوز را مسدود می کند. به نظر من بهترین فایروال وردپرس افزونه ای به نام Wordfence است.

آنچه Wordfence انجام می دهد این است که بررسی کند آیا یک بازدید کننده وب سایت با یک ربات سوus استفاده کننده مطابقت دارد یا خیر. اگر ربات قوانین خاصی را نقض کند ، مانند درخواست بیش از حد صفحات وب در مدت زمان کوتاه ، Wordfence سپس ربات را به طور خودکار مسدود می کند.

Wordfence همچنین برای رباتهای قانونی مانند Google و Bing در سایت برنامه ریزی شده است.

ویژگی های پیشرفته ای وجود دارد که به ناشر اجازه می دهد ببیند چه ربات هایی به یک سایت حمله می کنند و از کجا می آید ربات ، مثلاً اگر یک ربات بد از آمازون وب سرویس یا Bluehost است. Wordfence به ناشر این امکان را می دهد تا ربات را توسط آدرس IP خود ، کل دامنه آدرس IP یا حتی توسط یک عامل کاربر جعلی مرورگر که ربات از آن استفاده می کند ، مسدود کند.

درباره نمایندگان کاربر (UA)

آ عامل کاربر در حال شناسایی اطلاعاتی است که یک مرورگر می فرستد و به وب سایت می گوید چه مرورگری است (Chrome ، Firefox ، Vivaldi) و روی چه سیستم عاملی کار می کند (ویندوز 10 ، Mac OS X).

به عنوان مثال ، این یک رشته عامل کاربر برای یک مرورگر Safari 11 در رایانه Mac OS X است:

Mozilla / 5.0 (Macintosh؛ Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML ، مانند Gecko) نسخه / 11.1.2 Safari / 605.1.15

رباتها از عوامل مختلف کاربر استفاده می کنند تا وب سایتها را گول بزنند و دزدکی حرکت کنند. به عنوان مثال ، برخی از رباتها ویندوز XP را به عنوان مرورگر معرفی می کنند.

مقدار واقعی کاربران واقعی در Win XP نزدیک به صفر است ، من می توانم با Wordfence قانونی ایجاد کنم که تمام عاملهای کاربر را با ویندوز XP به عنوان سیستم عامل مسدود کند و با این یک قانون ، می توانم هزاران ربات بد را مسدود کنم ، بدون توجه به آنچه کشوری که از آن می آیند یا آدرس IP.

ربات های بد بعضی اوقات با تغییر به عامل کاربری دیگر پاسخ خواهند داد ، بنابراین با ترکیب این قوانین ، ناشری شانس جلوگیری از طیف وسیعی از ربات های هکر بد را دارد.

و این با نسخه رایگان Wordfence است.

نسخه پولی می تواند کل کشورها را مسدود کند. بنابراین اگر بازدید کننده قانونی سایت از کشورهای خاص ندارید ، می توانید هر بازدید کننده ای را که از آن کشورها می آید مسدود کنید.

دفاع وردپرس در برابر بهره برداری

علاوه بر این ، نسخه پولی Wordfence پیش از رفع این افزونه ها از شما در برابر بسیاری از مضامین و پلاگین های به خطر افتاده محافظت می کند.

هنگامی که محققان Wordfence از سو explo استفاده ای آگاه شدند ، نسخه برتر فایروال را به روز می کنند تا از مشترکین در برابر این سوits استفاده ها محافظت کند ، گاهی اوقات هفته ها قبل از اینکه بهره برداری توسط موضوع یا سازنده پلاگین به خطر بیفتد ، رفع شود.

سخت افزار امنیت وب سایت

پلاگین رایگان دیگری که یک لایه محافظت اضافی ایجاد می کند ، Sucuri Security نام دارد. Sucuri (متعلق به GoDaddy) به سخت گیری امنیت وردپرس کمک می کند تا ربات های بد از استفاده از انواع خاصی از حملات جلوگیری کنند. همچنین دارای یک ویژگی اسکن بدافزار است که همه پرونده ها را بررسی می کند تا ببینید آیا آنها تغییری کرده اند.

Sucuri هر زمان که شخصی به سایت شما وارد می شود به شما هشدار می دهد و به ناشران کمک می کند تا در صورت ورود هکر وارد سیستم شوند. Sucuri همچنین می تواند در صورت تغییر پرونده ، ناشری را هشدار دهد ، کاری که هکرها انجام می دهند.

این ویژگی های نسخه رایگان Sucuri است:

• حسابرسی فعالیت امنیتی.
• نظارت بر یکپارچگی پرونده.
• اسکن بدافزار از راه دور.
• نظارت بر لیست سیاه.
• تقویت امنیت موثر.
• اقدامات امنیتی پس از هک.
• اعلان های امنیتی

نسخه پولی Sucuri شامل فایروال وب سایت است.

ورود به سایت خود را محدود کنید

WordFence قادر است رباتهایی را که به طور مکرر در صفحه ورود به وردپرس نام کاربری و رمز عبور را پر می کنند ، مسدود کند.

اما اگر می خواهید روی محدود کردن ورود به سیستم متمرکز شوید ، افزونه ای به نام Limit Login Attacks Reloaded وجود دارد که به ناشران اجازه می دهد تا به طور خودکار تمام هکرهایی را که تعداد مشخصی ترکیب نام و رمز عبور را وارد نمی کنند ، مسدود کنند.

به عنوان مثال ، می توانید پس از سه بار حدس زدن رمز عبور ، آن را برای مسدود کردن هکرها تنظیم کنید.

این ویژگی های مسدود کننده ورود به سیستم است:

• هنگام ورود به سیستم (در هر IP) تعداد تلاشهای مجدد را محدود کنید. این کاملا قابل تنظیم است.
• کاربر را در مورد زمان انجام مجدد تلاش یا زمان قفل در صفحه ورود به سیستم مطلع می کند.
• ورود به سیستم اختیاری و اعلان ایمیل اختیاری.
• امکان قرار دادن IP ها و نام های کاربری در لیست سفید / لیست سیاه وجود دارد.
• سازگاری فایروال وب سایت Sucuri.
• محافظت از دروازه XMLRPC.
• محافظت از صفحه ورود به سیستم Woocommerce.
• سازگاری چند سایته با تنظیمات اضافی MU.
• سازگار با GDPR. با روشن شدن این ویژگی ، تمام IP های ثبت شده مبهم می شوند (md5-hashed).
• پشتیبانی از مبدا IP سفارشی (Cloudflare ، Sucuri و غیره)

افزونه Limit Login Reloaded راهی سریع برای خاموش کردن ربات های هک است که سعی می کنند رمز عبور را حدس بزنند.

از سایت وردپرس خود پشتیبان تهیه کنید

مهم است که به طور خودکار از وب سایت خود یک نسخه پشتیبان تهیه کنید. هر رویداد فاجعه باری که سایت را خراب کند با یک نسخه پشتیبان قابل بازیابی است.

راه حل های پشتیبان گیری زیادی وجود دارد اما یکی از راه حل هایی که به نظر من بسیار مفید است ، افزونه پشتیبان گیری وردپرس UpdraftPlus نام دارد. بیش از دو میلیون کاربر UpdraftPlus مورد اعتماد هستند ، این یک انتخاب کاملاً مورد توجه است.

می توان آن را پیکربندی کرد تا هر روز نسخه پشتیبان را از طریق ایمیل ارسال کنید یا آنها را به یک مکان ذخیره سازی ابری مانند Dropbox ارسال کنید.

من یکبار به طور تصادفی تمام پرونده های طرح زمینه را از یک سایت حذف کردم ، ظاهر سایت را کاملاً پاک کردم. اما من با استفاده از نسخه پشتیبان تهیه UpdraftPlus توانستم سایت را دقیقاً به همان شکل قبلی برگردانم. انجام آن آسان بود و من بسیار سپاسگزار بودم.

همه مضامین و پلاگین ها را به روز کنید

همیشه مهم است که همه تم ها و پلاگین ها را به روز کنید. وردپرس راهی برای به روزرسانی خودکار همه افزونه ها فراهم می کند ، که برای ناشران یا مشاغلی که به سیستم وارد نمی شوند و اغلب به روزرسانی می کنند مناسب است.

با فعال کردن ویژگی به روزرسانی خودکار ، ناشر می تواند به روزترین نرم افزار را داشته باشد. داشتن افزونه قدیمی از مهمترین دلایل هک شدن است.

دلایلی برای فعال نکردن ویژگی به روزرسانی خودکار وجود دارد ، اما موارد منفی به ندرت اتفاق می افتد. به عنوان مثال ، یک افزونه به روز شده ممکن است با افزونه های دیگر ناسازگار باشد.

اما برای سایتهایی که مرتباً تغییر نمی کنند ، احتمالاً قابلیت به روزرسانی خودکار چیز خوبی است.

مراقب افزونه های متروکه باشید

اخطار نهایی در مورد پلاگین های رها شده. برخی از افزونه ها می توانند سالها پس از کنار گذاشته شدن توسط توسعه دهنده خود ، به کار خود ادامه دهند. اتفاقی که می تواند بیفتد این است که این افزونه های قدیمی ممکن است آسیب پذیر باشند. اما چون رها شده اند ، هرگز برطرف نخواهند شد.

مسئله دیگر این است که هکرها گاهی اوقات پلاگین های قدیمی را خریداری می کنند و آنها را با بدافزار و ویروس به روز می کنند.

تمام افزونه های وردپرس خود را بررسی کنید تا مطمئن شوید که آنها کنار گذاشته نشده اند و به نظر می رسد به صورت کاملاً مکرر به روز می شوند.

از سایت وردپرس خود در برابر هکرها محافظت کنید

برای بسیاری از سایت ها ، صرف انجام این اقدامات کوچک برای تأمین امنیت یک وب سایت ، برای جلوگیری از هک شدن سایت ها کافی است. نسخه های رایگان این پلاگین ها میزان فوق العاده ای از حفاظت را ایجاد می کنند و نسخه های برتر از آن حتی بیشتر محافظت می کنند.

پلاگین های امنیتی زیادی وجود دارد و برخی از آنها در واقع خود آسیب پذیری هایی دارند. Wordfence و Sucuri به نظر من گزینه های برتر برای امنیت وردپرس هستند.

استناد

WordFence Security

آب میوه های امنیتی

محدود کردن تلاشهای ورود مجدد

UpdraftPlus

اعتبار تصویر: پائولو بوبیتا