was successfully added to your cart.

جلوگیری از حملات هکرها

توسط اسفند ۱۹, ۱۳۹۴دسته‌بندی نشده

مشکلی که گاها افراد با آن مواجه هستند هک شدن سایتشان بعد از مدت ها تلاش و کار زیاد می باشد و این مسئله ناراحت کننده ای می باشد. تحقیقات نشان داده اند که روزانه تعداد ۳۷۰۰۰ وب سایت مورد حمله هکرها قرار می گیرند و با آمار تقریبی که وب ۲۵٫۴ وب سایت های موجود از سیستم مدیریت محتوای وردپرس استفاده می کنند  می توان گفت که روزانه تعداد بسیار زیادی وب سایت وردپرسی مو رد حمله قرار می گیرند.

امنیت وردپرس یکی از مسایل بسیار مهم در طراحی می باشد. امروزه دیگر انتخاب یک نام کاربری برای وب سایت و یا انتخاب یک رمز عبور سخت به تنهایی کافی نمی باشد. مشکلات باگ در تم ها ، نصب افزونه های نامناسب و یا فایل های how much does a viagra prescription cost مخرب می تواند موجبات هک شدن سایت شما را فراهم نماید.

در این مقاله برای افرادی که مدت ها از وردپرس استفاده می کنند و یا حتی برای اولین بار می باشد که با این سستم مدیریت محتوایی کار میکنند راهکارهای خوبی برای جلوگیری از حملات هکرها جمع آوری کرده ایم. با خوندنی ها همراه باشید.

۱- غیرفعال نمودن ویراستار قالب و افزونه ها

وردپرس قابلیتی بسیار کاربردی برای راحتی بیشتر کاربران فراهم نموده است و آن اجازه ویرایش فایل های قالب و افزونه ها از طریق خود سیستم مدیریت محتوا می باشد ولی این قابلیت اکثر مواقع موجب هک شدن سایت و از دست رفتن اطلاعات می گردد.

با وجود این قابلیت یک ارور کوچک می تواند موجب شکسته شدن سیستم امنیتی سایت شما و هک شدن سایت گردد. هکر ها به راحتی کدهایی مخرب را وارد قالب شما نموده و در را به روی کارهای مخرب و ویران کننده شان باز می نمایند. آنها می توانند با در دست گرفتن یک دسترسی کاربری از وب سایت شما و تغییر دادن مجوز های دسترسی آن کل سایت شما را به ویرانی بکشند.

شما می توانید این قابلیت را از وردپرس بردارید و در صورت لزوم تغییرات را از طریق افزودن فایل های مورد نظرتان و آپلود مستقیم آنها به وب سایت انجام دهید. شما تنها کافی است که کد زیر را به فایل wp-config.php اضافه نمایید.

define( ‘DISALLOW_FILE_EDIT’, true );

۲- ورود و تایید دو مرحله ای

این قابلیت موجب می شود تا یک لایه امنیتی جدید برای سایت شما فراهم گردد و حتما تاکید میکنیم که از این قابلیت استفاده نمایید. اما متاسفانه خود وردپرس این قابلیت را بصورت پیش فرض ندارد و برای افزودن آن لازم است تا افزونه مناسب جهت اجرای فرآیند نصب گردد. می توانید از افزونه های زیر استفاده نمایید:

  • Google Authenticator
  • Authy
  • Clef
  • Rublon

۳- محدود کردن تعداد دفعات ورود ناموفق به حساب کاربری

راه های زیادی برای ورود هکرها به سایت شما وجود دارد و یکی از رایج ترین آنها روش حمله Bruteforceمی باشد که در آن هکر با ترکیبات نام کاربری های مختلف و رمزعبورهای مختلف به دفعات مختلف و در حلقه های بی نهایت از آن استفاده می نماید تا در نهایت بتواند به سایت شما نفوذ کند.

در حالت عادی وردپرس از این حمله در امان نیست و قابلیت قفل کردن ورود پس از چندین دفعه ورود ناموفق وجود ندارد. با نصب افزونه های محدود کننده تعداد دفعات ورود ناموفق می توانید این قابلیت را به سیستم خود اضافه نمایید و افزونه ها بدین صورت عمل می نماید که آی پی شخص را ذخیره می نماید و حداکثر تعداد خاصی برای دفعات ورودی ذخیره نمایید و راه را برای هکرها سخت تر نمایید.

افزونه Jetpack Protect Module برای این منظور بسیار مناسب می باشد.

۴- اسکن مداوم وب سایت

فایل های نظیر قالب ها، افزونه ها ، لینک ها و دیگر المان هایی از این قبیل می تواند موجب هک شدن سیستم امنیتی شما باشند. گاها  می توان قبل از بین رفتن اطلاعات از نفوذ هکرها جلوگیری نمود. راهکار مناسب برای مانیتورینگ تغییر فایل ها این است که افزونه ای جهت اسکن فایل های سیستمی باشد که تغییرات فایل ها را به شما اعلام دارد.

یک مثال خوب از افزونه حمایت شما از این طریق افزونه Wordfence می باشد. این افزونه علاوه براینکه به شما این قابلیت را میدهد که وب سایت را بصورت اتوماتیک و یا بصورت دستی اسکن نمایید ، همچنین قابلیت اعلام فعالیت های مشکوک را در وب سایت نیز می دهد.

همچنین این افزونه کامنت های مشکوک را برای شما گزارش می دهد و فایل های قالب و یا افزونه های شما را با منابع رسمی وردپرس مقایسه می نماید و در صورت نامعتبر بودن کد ها و ساختار به شما مغایرت های احتمالی را اعلام می نماید.

دیگر افزونه هایی که برای این قابلیت ها به شما کمک می نمایند در زیر آوردیم :

  • Sucuri Security Scanner
  • Acunetix WP Security
  • iThemes Security

۵- تغییر هاست

با اینکه این توصیه به نظر ساده می آید ولی گاها مهم ترین راه حل می باشد. تحقیقات نشان داده اند که حدود ۴۱ درصد از وب سایتهایی که موردحملات هکرها قرار گرفه اند از طریق نقود به سیستم های میزبانی وب آن سایت ها انجام شده است. هاست شما یک مورد بسیار مهم در وب سایتتان می باشد و توصیه می شود از هاست های امن جهت انجام طراحی ها و پیاده سازی کدهای وب سایتتان استقاده نمایید.

۶- حذف نمودن شماره نسخه وردپرس

در حالت پیش فرض وردپرس به شما شماره نسخه موجود و فعال وردپرس را نشان می دهد و این یکی از مشکلات موجود در وب سایت ها می باشد و کار هکرها را راحت تر می تماید. هکرها و یا روبوت ها در وب به دنبال نسخه خاصی از وردپرس می گردند تا سایت هایی با این نسخه را به راحتی هک کنند زیرا تمام نقطه ضعف های این وب سایت های با این نسخه وردپرس را می شناسند و این عمل وب سایت شما را تبدیل به یک طعمه بسیار آسان می نماید. شما می توانید به آسانی با تغییر کدهای وردپرس این قابلیت را حذف نمایید.

فایل functions.php را باز نموده و کد زیر را در داخل آن وارد نمایید.

add_filter( ‘the_generator’, ‘__return_null’ );

۷- غیرفعال نمودن قابلیت گزارش دهی ارورها

هنگامیه یک افزونه ویا تم در سیستم وردپرس به درستی کار نکند کزارش ارور php به شما یک پیامی حاوی ارور مربوط می دهد. هرچند این قابلیت مهم یک نقص هم به همراه دارد و برای هکرها کمک دستی برای راحتی کارشان می باشد و آن این است که ارور به همراه مسیر فایلی که باعث این ارور شده نشان داده خواهد شد. شما می توانید به راحتی با افزودن کدی به فایل wp-config.php خود از این خطر احتمالی جلوگیری نمایید.

۱۲ error_reporting(0);@ini_set(‘display_errors’, ۰);

۸- تغییر دسترسی به فایل ها

وقتی مسئله امنیت وردپرس مطرح می شود یکی دیگر از مسائل بسیار مهم قراردادن دسترسی به فایل ها می باشد. این عملیات باعث می گردد یک لایه امنیتی درمقابل هکرها بوجود آید و نتوانند به راحتی به فایل های سیستمی ، پلاگین ها و یا فایل های قالب شما دسترسی داشته باشند.

برای این منظور مطمعن شوید که دسترسی پوشه وردپرس خود را به ۷۵۵ یا ۷۵۰، فایل ها رابه دسترسی ۶۴۰ یا ۶۴۴ و همچنین فایل wp-config.php را به ۶۰۰ تغییر دهید.

۹- بک آپ گیری

حتی در صورت دارا بودن بهترین سیستم امنیتی و تیم حرفه ای، وب سایت ها همچنان در معرض هک شدن قرار دارند و با بکارگیری تمام این مسایل امنیتی باز هم احتمال بسیارزیادی برای هک شدن اکثر وب سایت ها وجود دارد.

بهترین راهکاری که شما در مقابل حملات هکرها دارید گرفتن یک بک آپ خوب از وب سایت می باشد. حتی الامکان بک آپ هایی منظم و طبق زمان بندی از وب سایت خود تهیه نمایید. اگر می توانید روزانه این کار را انجام دهید بسیار عالی است. با داشتن این فایل های بک آپ می توانید در صورت هک شدن و از دست رفتن اطلاعات به سرعت فایل های خود را به سرعت بازگردانی نمایید.

در زیر لیست چندین افزونه مناسب برای گرفتن فایل های پشتیبان برای شما توسط گروه خوندنی ها فراهم شده است.

  • BackUpWordPress
  • Ready! Backup
  • VaultPress
  • BackupBuddy

۱۰- محدود کردن دسترسی به صفحه ورودی

یک راهکار مناسب برای جلوگیری از حملات هکرها بلاک کردن کامل دسترسی به صفحه wp-admin و wp-login.php می باشد.

این روش تنها در صورتی استفاده نمایید که از یک آی پی ثابت جهت ورود به وب سایت خود استفاده می نمایید. زیرا در صورت متغیر بودن آی پی دیگر خود شما هم نمی توانید به وب سایت وارد شوید! ولی می توانید در صورتی که از چندین آی پی مختلف استفاده می کنید آنها را مانند همین روش به سیستم خود اضافه نمایید اما آی پی های وارد شده را تحت کنترل داشته باشید.

به منظور بستن دسترسی دیگر آی پی ها به جز آی پی ها مدنظرتان کدهای زیر را در فایل htaccess خود وارد نمایید:

۱۲

۳

۴

۵

۶

۷

۸

۹

۱۰

۱۱

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteCond %{REMOTE_ADDR} !^Your IP address 1$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$

RewriteRule ^(.*)$ – [R=403,L]

مطمعن شوید که در کد بالا آی پی مورد نظرتان را در محل های تعیین شده وارد کنید و می توانید در صورت لزوم آنها را اضافه و یا کم کنید و بدین روش دسترسی به وب سایت خود را کنترل نمایید.

نتیجه گیری

هرچند بعد از پیاده سازی روش های مذکور همچنان باید پایه های امنیتی و مسایل آن مانند انتخاب نام کاربری غیررایج و انتخاب رمزعبور سخت را رعایت کنیدو همچنین وردپرس خود را بطور مداوم بروزرسانی نمایید. روش های مذکور در این قسمت روش های رایجی می باشد که اکثر افراد و کاربران از آنها اطلاع دارند اما در بالا روش هایی توسط گروه خوندنی ها برای شما ارایه شده است که اکثر افراد از آنها بی خبر هستند.