در نوشته پیش، نکاتی درباره افزایش امنیت و همچنین فوت و فن هایی را در این زمینه گفتیم تا بتوانید پروژه ای ایمن تر را اداره کنید؛ ولی در این نوشته میخواهیم افزونه هایی را برای ایمن تر کردن وردپرس معرفی کنیم و چند نکته هم در این مورد بگوییم!
برای نخستین روش میخواهیم یک افزونه را معرفی کنیم.
این آموزش افزایش امنیت وردپرس – بخش دو است، اگر بخش نخست آن را نخوانده اید، میتوانید از پیوند “افزایش امنیت وردپرس – بخش یک” آن را بخوانید!
جدای از نکاتی که درباره ایمن کردن فایل های .htaccess و wp-config در نوشته پیشین گفتیم باید بگوییم که ایمن سازی این دو فایل به تنهایی چاره کار نیستند و کافی هم نیستند!
برای نمونه برای جلوگیری از حملات brute-force که بدر صفحه ورود به پیشخوان وردپرس صورت میگیرد یا حتی برای رد گیری درخواست ها یا همان Request های مخرب نیاز است که از افزونه ها بهره بگیرید!
با معرفی چند افزونه در این زمینه کار را آغاز میکنیم.
این افزونه یکی از بهترین افزونه ها و افزونه ای رایگان در زمینه افزایش امنیت مدیریت محتوای وردپرس است؛ این افزونه نسخه پولی هم دارد ولی میتوانیم بگوییم نسخه رایگان آن کاستی ندارد!
این افزونه روند نصب و پیکربندی سیستم مدیریت محتوای شما را بررسی میکند و اگر حفره و مشکلی امنیتی در آن وجود داشته باشد به شما پیشنهاد میدهد تا آن حفره ها را بگیرد.
افزون بر آن شماری امکانات جذاب دیگر هم مانند مسدود سازی بعضی Agent های کاربران، جلوگیری از حملات بروت فورس، نظرت بر فایل ها برای بررسی تغییرات تایید نشده بروی آن و ثبت خطا های 404 که به معنای عدم وجود یک برگه درخواستی است را دارد.
نکته : Agent به معنای مامور است اما در بحث برنامه نویسی Agent همان درخواست کننده سرویس از سرویس دهنده است برای نمونه Mozilla FireFox یک Agent است که برگه های وب را از سرویس دهندگان آن درخواست میکند و به کاربر خود نشان میدهد.
نکته : حملات Brute Force حملاتی هستند که با بکار گیری گونه های مختلف رمز نگاری به یک سرور یا یک سرویس دهنده حمله مینند؛ برای نمونه حمله ای که بدست یک ربات انجام میگیرد تا در چند ثانیه چندین گذرواژه را بروی یک فرم ورود یک وبسایت بررسی کند و در واقع آزمون و خطا کند، یک حمله بروت فورس است.
Wordfence Security یکی از محبوبترین افزونه های امنیت وردپرس است که رایگان هم میباشد(4.9 ستاره از 5 ستاره را دریافت کرده است)؛ همچنین در مخزن افزونه های وبسایت WordPress.org به عنوان بهترین افزونه تامین امنیت وردپرس انتخاب شده است.
این افزونه دریایی از امکانات و قابلیت های کاربردی را در خود جای داده است؛ از نظارت و مسدود سازی گرفته تا پویش (Scanning) و حتی Caching !
نسخه پولی این افزونه قابلیت های بیشتری هم دارد که وبسایت شما را از همه نظر ایمن میکند.
این افزونه هم مانند افزونه های پیشینی که معرفی کردیم امتیاز بسیار خوبی را گرفته است ولی کمتر دانلود شده است! این افزونه هم قابلیت های خوبی برای تامین امنیت وردپرس شما را دارد و از جمله این قابلیت ها میتوان به تامین امنیت ورود کاربران و ثبت نام کاربران، حافظت از File System و عملکرد هایی که میتوان از یک فایروال یا دیوار آتشین انتظار داشت، اشاره کرد.
نکته : در محاسبات و تجریه و تحلیل، File System ها برای مدیریت چگونگی ذخیره و بازیابی داده ها استفاده میشوند؛ بدون یک File System داده هایی که بروی یکفضای ذخیره سازی نگهداری میشوند میتواند به یک توده بزرگی از داده ها تبدیل شود که مشخص نیست که در چه جایی یک تکه اطلاعات تمام میشود و در کدام بخش اطلاعات دیگری آغاز میشود(کمی تخصصی شد! 😀 ).
Sucuri یکی از شناخته شده ترین برند ها در زمینه امنیت وردپرس است؛ یکی از دلایل این محبوبیت گزارش های دسته اولی است که درباره حفره ها و کاستی های امنیتی هسته وردپرس و افزونه های محبوب منتشر میکند، است.
این برند به بسیاری از گسترش دهندگان کمک کرد تا کاستی های محصولات خودشون رو برطرف کنند؛ همچنین با افزونه Sucuri Security به کاربران وردپرسی برای افزایش امنیت وبسایتشان کمک میکند.
در نهایت پس از معرفی افزونه هایی که مکمل تنظیمات امنیتی بروی فایل .htaccess و wp-config خواهند بود؛ وقت آن رسیده تا این نوشته را با افزودن چند نکته دیگر کامل کنیم!
اتصال ایمن HTTP به هر چه ایمن تر شدن رفت و آمد داده ها و اطلاعات بروی وردپرس کمک میکند؛ اتصال رمزگذاری شده خواهد بود، بنابراین آسیب وارد کردن به این اتصال و سعی در نفوذ به آن کار بی بیهوده ای خواهد بود.
همچنین بکارگیری SSL برای ایجاد یک اتصال ایمن بین کاربر و وبسایت شما خبر خوبی برای کاربری است که میخواهد از وبسایت شما خریدی انجام دهد و باید اطلاعات بانکی خود را وارد کند؛ همین کار باعث افزایش اعتماد کاربران به وبسایت شما میشود.
کرک کردن و پیدا کردن گذرواژه ها به مرور ساده و ساده تر میشود؛ بنابراین هیچوقت نمیتوانید 100 درصد به یک گذرواژه حتی طولانی و از دیدگاه بسیاری از اتساندارد ها، قدرتمند اعتماد کنید؛ خوشبختانه روش هایی وجود دارد که با تایید هویت بیش از یکبار درخواست گذرواژه امنیت وبسایت شما، تنها وردپرس را تامین میکند.
نکته : منظور از Two-Factor در Two-Factor Authentication روشی از تایید هویت کاربر است که با دو روش مختلف تایید هویت یک کاربر انجام میشود؛ سامانه بانک ملت را برای نمونه معرفی میکنیم که افزون بر گذرواژه ای که از کاربران برای ورود به پنل وبسایت میخواهد، نوعی تایید هویت دیگر با نام “یکبار رمز” دارد که گذرواژه دومی هم از روش SMS برای شما فرستاده میشود تا حتی اگر گذرواژه اصلی شما دزدیده شود، به یک گذرواژه دومی هم برای ورود نیاز باشد.
اگر شما هم میخواهید از همین روش برای تایید هویت کاربران خود بهره ببرید، افزونه های Google Authenticator و Clef Two-Factor Authentication همین کار را برای شما انجام میدهند!
در برخی مواقع هکر به دلیل ضعیف بودن ایمنی یک سرور میزبانی وبسایت میتواند وبسایت یکی از کاربران آن سرور را هک کند و شما فکر میکنید که مشکل از وردپرس بیچاره است! 🙁
بنابراین انتخاب یک سرویس دهنده هاستینگ که به امنیت سرور اهمیت ویژه ای میدهد بسیار در ایمن ماندن وبسایت شما کمک میکند؛ نمیخواهیم سرویس دهنده ای را معرفی کنیم ولی سرویس دهنده ای خوب است که سرور را همیشه از دیدگاه نرم افزاری بروز نگه دارد و فعالیت های مشکوک و غیرمعمول را با فایروال نظارت کند و بدون دریافت بهای اضافی در دوره های کوتاه مدت از سرویس شما فایل پشتیبانی یا همان Backup آماده کند.
تکلیف شما : بهترین سرویس دهنده میزبانی وب (هاستینگ) را پیدا و انتخاب کنید! 🙂
آیا میدونستید که FileZilla یکی از محبوب ترین و کلاینت های سرویس FTP در جهان، داده ها و اطلاعات امنیتی سرور های ذخیره شده را در یک فایل کد نشده و نا امن نگهداری میکند؟! آیا میدونستید که هر کاربری در شبکه WiFi شما میتواند به اتصال های HTTP دسترسی داشته باشد؟!
بنابراین بهتر است افزون بر نکاتی که پیش از این گفتیم که چگونه فایل های مهم وردپرس خود را ایمن کنید یا چه افزونه هایی نصب و پیکربندی کنید، کمی هم مراقب کارهایی که میکند و باعث کاهش امنیت وبسایت شما میشود باشید!
این نوشته هم به انتهای خود رسید! امیدوارم نکاتی که گفته شد برای شما سودمند باشد؛ اگر شما هم در این مورد چیزی میدانید آن را با ما در میان بگذارید!