دیگر همه میدانند وردپرس به علت دسترسی راحت به پنل مدیریت و متن باز (open source) بودنش محبوب تمام جهان شده است. موضوع مهمی که در این سیستم وجود دارد، تیم قدرتمندی است که با دقت به بررسی باگهای امنیتی میپردازند تا مشکلات را در هر نسخه از وردپرس برطرف کنند. اما هکرها همیشه منتظر هستند تا شکافی را بیابند و دست به کار شوند. حال این شکاف میتواند در هسته وردپرس باشد، در قالب یا افزونهای که استفاده میکنید یا هر آنچه به وردپرس مربوط است.
در این مطلب 5 تهدید امنیتی در وردپرس را شناسایی کردیم که به احتمال خیلی زیاد میتواند باعث هک شدن و از بین رفتن وبسایت شما شود. این 5 مورد را با هم بررسی میکنیم و راه حل آن را ارائه میدهیم.
تهدید امنیتی در وردپرس
اینکه چگونه بتوان تعدادی تهدید امنیتی در وردپرس را یافت و راه حل آن را نیز پیدا کرد کار سادهای نیست اما به کمک توسعه دهندگان و افراد حرفهای امکانپذیر میشود.
در انتهای این مقاله انتظار میرود این 5 تهدید امنیتی در وردپرس را در وبسایت خود یافته و چنانچه این مشکلات را دارید حتما آن را رفع کرده باشید.
1- مشخص است که در وردپرس از چه نسخهای استفاده میکنید
نسخه وردپرس با کمک یک خط کد ایجاد شده و تعیین میکند وبسایت شما در حال استفاده از کدامین نسخه است و این موضوع قابل مشاهده توسط سایر افراد است حتی با توجه به قالبی که از آن استفاده میکنید شاید در تمامی برگهها و صفحات مشهود باشد و این خود یک تهدید امنیتی در وردپرس محسوب میشود.
اصلا نیازی نیست که دیگران بدانند وبسایت شما با وردپرس ایجاد شده و اینکه دارای چه نسخهای است. این اطلاعات فقط برای خودتان لازم است و بس! اگر شخصی روحیه شیطنت داشته باشد حتما با دانستن این موارد میتواند آسیب جدی به هسته وردپرس، افزونهها و قالب وردپرستان وارد کند.
چگونه این مشکل را حل کنیم؟
برای حل این مشکل اگر توسعه دهنده باشید میتوانید با کمی جستجو در بین کدهای هسته وردپرس آن را پنهان کنید اما اگر توسعه دهنده نیستید نگران نباشید. وردپرس برای این منظور افزونههایی دارد که به کمک آنها میتوانید به راحتی این مسئله را حل کنید. برای این منظور قبلا تدابیری اندیشیده بودیم که میتوانید نتایج آن را در مقاله ” پنهان کردن وردپرس” مطالعه کنید.
2- هر شخصی میداند آدرس ورودی به پیشخوان وردپرس wp-admin است
آدرس پیشفرض وردپرس برای ورود به پیشخوان با نامک wp-admin است. تقریبا هر کسی که تا حدی با وردپرس آشناست این موضوع را میداند بنابراین تا اینجا کار بسیار ساده است و برای افراد مخرب تنها حدس زدن و کشف کردن نام کاربری و رمز عبور باقی میماند.
چگونه این مشکل را حل کنیم؟
باید کاری کنیم که افراد و رباتها امکان دسترسی به این صفحه را به هیچ وجه نداشته باشند. برای این منظور و جلوگیری از این تهدید امنیتی در وردپرس دو روش پیش پای ماست.
1- به صورت دستی یا با کمک افزونهها نام و موقعیت صفحه ورود را تغییر دهیم.
2- دسترسیها را با کمک آدرسهای آیپی محدود کنیم.
برای این منظور میتوان از افزونههای حرفهای Sucuri، Wordfence و… استفاده کرد.
3- وردپرس دارای پیشفرصی در نام جداول پایگاه داده است که همه از آن مطلع هستند
وردپرس دارای یک پیشوند WP در تمامی جداول خود است که یک استاندارد برای آن محسوب میشود و اما یک تهدید امنیتی در وردپرس! اگر این جداول را به حال خود بگذارید دسترسی به آنها را برای افراد، امکانپذیر کردهاید.
چگونه این مشکل را حل کنیم؟
به راحتی میتوان این مسئله را حل کرد. این پیشوندها را با کمک یک افزونه مانند Sucuri میتوان تغییر داد. قبل از انجام هر کاری از پایگاه داده نسخه پشتیبان تهیه کنید و سپس اقدامات خود را انجام دهید.
4- امکان ویرایش قالب و افزونه در پیشخوان وردپرس وجود دارد
وقتی امکان ویرایش قالب و افزونههای شما فراهم باشد، با ورود هر فردی باید احساس خطر کنید زیرا ممکن است آسیبی به وبسایتتان وارد سازد. به راحتی میتوانند با وارد کردن کدهایی اقدام به آلوده کردن وبسایتتان کنند.
چگونه این مشکل را حل کنیم؟
برای حل این تهدید امنیتی در وردپرس، قطعه کد زیر را در فایل wp-config.php وارد کنید:
define( 'DISALLOW_FILE_EDIT', true );
5- امکان تلاشهای پیاپی برای ورود به وردپرس امکانپذیر است
به صورت پیشفرض در وردپرس امکان وارد کردن نام کاربری و رمز عبور به تعداد نامحدود وجود دارد. یعنی اگر شما پسورد خود را فراموش کرده باشید، بارها میتوانید پسوردهای متعددی را تست کنید. شاید به نظر شما بهترین امکان باشد اما یک تهدید امنیتی در وردپرس محسوب میشود که باید از آن پرهیز کرد.
چگونه این مشکل را حل کنیم؟
برای این منظور میتوانید از افزونههای وردپرسی مانند افزونه WP Limit Login Attempts کمک بگیرید. با کمک این مدت افزونهها میتوانید تعداد امتحان کردن ورود کاربران را محدود کنید.
جمعبندی
حملات سایبری روز به روز در حال پیشرفت و رشد هستند و کل اینترنت را در برگرفتهاند. فرقی ندارد یک وبسایت کوچک یا بزرگ هستید، اگر کسی در کمین سایت شما باشد میتواند آن را از پای درآورد.
با اقدامات سادهای که امروز گفتیم میتوانید خیلی از مسائل را حل کنید و تهدید امنیتی در وردپرس را به حداقل برسانید.
سوالات رایج
- آیا با همین 5 روش میتوان امنیت وبسایت وردپرسی را تضمین کرد؟
این 5 روش موارد بنیادی موجود در وردپرس است که پرداختن به آنها ضروری است اما روشهای دیگری برای قویتر کردن امنیت وبسایت را نباید نادیده گرفت و هر لحظه باید بررسی کرد. - چه روشهای دیگری برای حفظ ایمنی وردپرس ضروری است؟
تمامی روشهای حفظ امنیت در وردپرس را طی مقالات قبلی توضیح دادیم و پیشنهاد میکنم حتما آنها را مطالعه کنید.
سحر پرتوی 6 سال عضو همیار وردپرس
سلام…قسمت 4 اگه اون کد وارد کنیم دیگه خودمونم از طریق پیشخوان نمیتونیم قالبو ویرایش کنیم؟
بهاره کوهستانی 11 سال عضو همیار وردپرس
سلام
نه نمیتونید. کلا قفل میشه
amirfathi761762 9 سال عضو همیار وردپرس
سلام . ممنون بابت مطالبی که عنوان کردید در جهت بهبود سایت وردپرسی