یک راهنمای خودمانی برای هک و امنیت وردپرس + ویدیو

یک راهنمای خودمانی برای هک و امنیت وردپرس + ویدیو

چه در ایران و چه خارج از ایران یک انتقاد همیشگی به وردپرس بحث نا امن بودن آن است و این تصور که سایت های ساخته شده بر وردپرس زیاد هک می شوند.

از دید یک کاربر وردپرس و نه یک کارشناس امنیت چند نکته را مرور می کنم.

هک کردن و هک شدن به هر صورت مثل گل خوردن در فوتبال است، به همان نسبت که هر دروازه بانی گل می خورد هر سایتی هم – البته به تعداد بسیار کمتر – هک می شود و سایت غیرقابل هک به تقریب تخیل است. ولی همیشه می توان احتمال وقوع هک را کاهش داد.

نگاه به امنیت باید دربرگیرنده حداکثر عوامل موثر و یک نگاه هایبریدی و چند لایه باشد. امنیت سایت از کامپیوتری که با آن کار می کنید شروع می شود که در ادامه چند توصیه را به عرض خواهم رساند.

سه علت موثر در راحتی هک کردن سایت های وردپرس

ضعف فنی کاربران وردپرس

وقتی بحث امنیت درورد پرس مطرح می شود، باید توجه کنیم که بسیاری از کاربرهای وردپرس افرادی نا آشنا با فن آوری هستند. کم نیستند افرادی که به مایکروسافت آفیس تسلط ندارند ولی سایت وردپرس راه اندازی می کنند، این هیچ ایرادی ندارد و اصلن وردپرس برای همین افراد هم امکاناتی ایجاد کرده که بتوانند یکی از شعارهای وردپرس یعنی آزادسازی انتشار محتوا را عملی کنند. اما باید توجه کنیم که هیچ وقت این دسته از کاربرهای وردپرس یک سایت نوشته شده با پایتون را خودشان راه اندازی نمی کنند. این عدم آشنایی با فن اوری اولین ایرادی است که به نظرم در هک شدن سایت ها تاثیر گذار است.

ارزان گرایی

از طرفی کسانی سراغ وردپرس می روند که می خواهند هزینه کمتری متحمل شوند. البته “کد باز” رایگان بودن هسته وردپرس و ارزان بودن کار با این سیستم به هیچ عنوان نشانه ضعیف بودن آن نیست، وردپرس ارزان است چون حدود ۶۰ هزار برنامه نویس و طراح وب وقت و استعداد و تخصص خود را وقف آن می کنند، و به همین دلیل که وردپرس دارنده بزرگترین مجموعه از نیروی انسانی متخصص وردپرس بسیار قوی تر از برنامه ها و پلت فرم هایی است که ممکن است برای ساخت یک سایت مشابه تا صد برابر هزینه داشته باشند. به هر روی چون کاربران وردپرس بودجه محدودی دارند از هاست های ارزاتر هم استفاده می کنند. و این ارزان گرایی در همه زمینه ها اعمال می شود.

یک ایراد ایرانی

به طور خاص در ایران هم نرمافزارهای ویندوز و هم بسیاری از تم ها و پلاگین های پولی وردپرس به دلیل تحریم ها و عدم وجود پرداخت الکترونیک برای ارزهای بین المللی، به صورت آپدیت نشده استفاده می شود، این مسئله به تنهایی برای هک شدن سایت ها کافیست چون در بررسی های مختلف در خرج از ایران نیز مهمترین علت هک شدن آپدیت نبودن تم و یا افزونه ها بوده است. راه حل این است که حتما از تم و افزونه های اصل ولو رایگان استفاده شود و در موارد بسیار ضروری  به هر ترتیب ممکن از تم و پلاگین های به روز شده استفاده کنید.

راهنمای امنیت و هک در وردپرس

راهنمای امنیت و پیش‌گیری از هک در وردپرس

 

پیشگیری های عمومی در امنیت وردپرس:

امنیت را از کامپیوتر خود شروع کنید، حتمن ویروس کش و فایروال به روز داشته باشید، نرم افزارهای غیرضرروری را پاک کنید، از گوگل کروم استفاده کنید، دو افزونه کروم SSL EveryWhere و KB SSL Enforcer برای اکثر سایت ها یک پوشش اس اس ال ایجاد می کنند و به این صورت رابطه کامپیوتر شما با آن سایت از یک کانال رمزگزاری شده جریان می یابد حتی اگر سایت مقصد اس اس ال نداشته باشد. در ضمن تولبارهای مرورگرها نیز ممکن است دارای بدافزار باشند و بهتر است همه را پاک کنید.

من برای احتیاط از FTP  و Filezilla استفاده نمی کنم  که مثلا درصورت گم شدن لپ تاپ خطری حاصل شود. وردپرس را از ابتدا روی سرور نصب می کنم و هیچ وقت فایل های بک آپ را روی کامپیوتر شخصی ذخیره نمی کنم، این فایلها حاوی تمامی پسوردهای سایت و کاربران است و یک راه رایگان و مطمئن برای سایت های کوچک بک آپ گیری بر روی دراپ باکس است با این پلاگین UpdraftPlus  یا Backup to Dropbox

خوب مرحله بعد انتخاب رمزعبور قوی است، وبحث پلاگین هاست، تا می توانید از پلاگین های کمتری استفاده کنید برای تست از یک سایت آزمایشی استفاده کنید و تنها پلاگین های امتحان شده و خیلی شروری را در سایت اصلی نصب و فعال کنید، تم ها و پلاگین های غیر فعال را کلا پاک کنید. و در نهایت استفاده از پلاگین زیر که فکر می کنم تا حد زیادی ریسک هک را کاهش می دهند.

بهترین افزونه یا پلاگین امنیت و هک وردپرس؟

All In One WP Security & Firewall

با وجود عرضه پلاگین های مختلف امنیتی، پلاگین فوق یکی از جدیدترین موارد عرضه شده است و کاربری آن ساده و انتخابها و امکانات آن همه چانبه می باشند امتیاز ۴.۹ از ۵ برای یک پلاگین امنیتی امری نیست که بتوان راحت از کنار آن گذشت و نشانه قابل اعتماد بودن این پلاگین است.

برای جلوگیری از ایرادات احتمالی پلاگین های امنیتی دیگر را پیش از نصب این یکی غیرفعال کنید و چنانچه پلاگینی نظیر Bullet Proof Security یا سایر پلاگین هایی که htaccess را تغییر می دهند استفاده می کردید ( لیست این پلاگین ها) بهتر است از راهنمای همان پلاگین برای نحوه پاک کردن آن استفاده کنید.

ویدیوی راهنمای پلاگین All In One WP Security & Firewall لینک در یوتیوب

نظرات و ایده های شما حتما مفید است، بجز لینک این مطلب نظرات خود را نیز به اشتراک بگذارید 🙂

همچنین می توانید سوالات و نظرات خود را برای من توییت @Pooriast کنید.

دیدگاه کاربران

  1. جناب پوریا آسترکی واقعا مقاله آموزنده و جالبی بود. منتظر مقالات بعدی شما هم هستیم.

  2. پوریا آسترکی

    سعید جان من از شما ممنونم که این فضا را ایجاد کردید و مطالب خوبی گذاشتید که من هم هوس کنم در خدمت شما و کاربران باشم.

  3. وحید

    یک سایت وقتی که این نوشته رو نشون میده Hacked By K1nGnCa یعنی که هک شده . برای جلوگیری از این مورد ایا این پلاگین خوبه.راستی اگه بشه در مورد این هک هم توضیح بدید

  4. behnam

    سلام
    اگه از filezila استفاده نمیکنید
    پ چطور اپلود میکنید؟

  5. uploader333

    سلام دوست عزیز خسته نباشید

    من یک مشکلی برای سایتم پیش اومده می دونم جاش اینجا نیست.. ولی واقعا” کسی نیست به ما یک راهنمایی دقیق بده.. لطفا” منو راهنمایی کنید
    من یک اشتباهی کردم که از یک قالب نال شده استفاده کردم که الان مشخص شده که آلوده به یک malware هست… به نام CryptoPHP
    ( این قالب حدود دو روزه نصب شده)
    از چند نفر پرسیدم یک سری می گن باید ورد پرس و دیتا بیس و پلاگین ها را هم از اول نصب کنم… ولی با هاست که تماس گرفتم( هاست معتبره و ایرانی هم نیست).. گفتن هیچ لزومی نداره اونهار ا نصب کنم فقط کافیه قالب جدید(قالبی که اروجینال خریداری شده) را جایگزین قالب الوده کنم می خواستم بدونم از نظر شما کدومشون درسته؟
    و سوال دومم اینه که اگر فقط قالب ها را تعویض کنم امکان داره که آلودگی به قالب اروجینال هم منتقل بشه؟

کاربر گرامی برای ارسال دیدگاه اگر عضو روکش هستید باید سایت شوید در غیر اینصورت باید عضو شوید.