آموزش امنیت وردپرس
مراقب فیشرها ( Phisher ) باشید !
مسئله امنیتی وردپرس از زمانی آغاز می شود که شما وارد پنل مدیریتی وردپرس می شوید. هنگام ورود به پنل مدیریتی نام دامنه ای که وارد آن می شوید را در نوار مرورگر چک کنید. یکی از تکنیک های معمولی که هکرها استفاده می کنند فرستادن ایمیل برای شما است این ایمیل شامل لینکی است که به ظاهر سرویس سایت وردپرس شما است ولی در واقعه یک وب سایت مخرب به شمار می آید. وقتی که به آنچه به وب سایت وردپرس شما شبیه است وارد می شوید. با وارد کردن یوزر و پسورد در پنل ورودی سایتی که به ظاهر وردپرس وب سایت شما است، اطلاعات هویتی شما توسط هکر ذخیره می شود. این روش phishing نام دارد. با استفاده از اطلاعات هویتی ذخیره شده شما سایت وردپرسی شما هک می شود.
سعی کنید از Https استفاده کنید؟
استفاده از ارتباطات امن یکی از مسائل مهم در امنیت وردپرس محسوب می شود. دقت کنید که سایت شما در نوار موقعیت مرورگر با https شروع شود . بسیاری از سایتها که از نوع https نمی باشند می توانند با خرید مجوز آن سایت را ارتقا دهند . اطلاعات شما در این سایت ها رمزگذاری شده است و مانع از سرقت اطلاعات شما توسط هکرها می شود.
کد غیر قابل اعتماد وارد نکنید
کدهای جاوااسکریپت یا دیگر کدهای جاگذاری شده در سایت راه دسترسی صاحب کد را به داده های حساس سایت شما هموار می کند. هکرها با استفاده از این روش می توانند اطلاعات کوکی شما را سرقت کنند. با استفاده از این کدهای جاگذاری شده هکر ها می توانند در سطح مدیر به سایت شما دسترسی داشته باشند. برای جلوگیری از این نوع هک مراقب اضافه کردن ویدیو ها یا ویجت های جاوا اسکریپت که درمیان پست های خود وارد می کنید باشید و به هنگام استفاده از این نوع ویجت ها به منبع ان دقت کنید اگر مربوط به سایت های YouTube.com یا Vimeo و یا دیگر سرویس دهنذه های مجاز مانند آپارات و … باشد ، می توان با اطمینان استفاده کرد ولی اگر مربوط به سایت های چون weStealCookies.com یا knownBadGuys.com استفاده نکردن آن عاقلانه تر است. دقت در ارزیابی کد قبل از جایگذاری در سایت از موارد مهم در امنیت وردپرس است.
مراقب پست میهمان باشید
هنگامی سایت شما شروع به گرفتن ترافیک از موتورهای جستجو می کند ، کاربرانی هستند که به عنوان میهمان می خواهند در سایت شما پست بگذارند. بهتر است با استفاده از افزونه های امنیتی ابتدا این پست به طور مستقیم در سایت قرار نگیرد و پس از بررسی توسط مدیر سایت در نهایت در سایت نهائی شود.
فیلتر کردن اتوماتیک هرزنامه و تروجان
نظرات و کامنت های که در سایت ها از سوی کاربران نوشته می شوند با استفاده از برخی پلاگین ها بررسی می شود. درمیان برخی از نظرات برخی تقلبی هستند و دربردارنده لینک ها و یا اطلاحات ناشایستی هستند پلاگین های وردپرس این امکان را به ما می دهند تا ابتدا ان نظرات مشکوک در اسپم ذخیره شود. پس از تایید مدیر این نظرات در سایت گنجانده یا حذف می شود.
پلاگین Akismet این افزونه به طور اتوماتیک هرزنامه های شما را فیلتر می کند. Wordfence افزونه ای که کامنت ها را بررسی کرده و نظرات هرز را به پوشه spam انتقال می دهد.
امنیت وردپرس
پیدا کردن و نصب پلاگین ها
پلاگین ها نیز مانند تم ها هستند ، هزارن افزونه سورس باز قابل اعتماد در سایت وردپرس وجود دارد . وردپرس به ذات خود یک پلتفرم ایمن است اما هزاران افزونه قابل دسترس است که می تواند مورد حمله هکرها قرار بگیرد. برای آسیب پذیری کمتر ، تاحد ممکن پلاگین های موردنیاز خود را نصب کنید. افزونه های غیرفعال را از سایت خود حذف کنید. هنگامی که یک پلاگین بروز می شود تغیییرات آن را بررسی کنید و نسبت به ارتقاء آن اقدام کنید. از افزونه هایی استفاده کنید که توسعه دهندگان آن به طور منظم در حال ارتقا و بروز رسانی آن هستند.
اجتناب از ابزارهای خطرناک widgets
در بخش بالا در مورد پست ها و صفحات، ما به منع از نصب کد غیر قابل اعتماد اشاره می کنیم. وردپرس دارای یک ویژگی مفید است که به شما اجازه می دهد تا “ویجت ها” را نصب کنید که مواردی هستند که در نوار کناری یا پاورقی شما ظاهر می شود.
شما می توانید به این ویژگی از طریق Appearance> Widgets ( در زبان فارسی وارد مسیر نمایش > ابزارک ها ) دسترسی پیدا کنید.
اکثر ویدجت ها مفید هستند ویژگی های مفیدی را ارائه می دهند. برخی از سایت ها و خدمات کد جاوا اسکریپت یا کد دیگری را ارائه می دهند که می توانید به عنوان ویجت در سایت خود جاسازی کنید. معمولا ویجت متن را اضافه می کنید و شامل کد ای است که آنها ارائه می دهند. در هنگام جاسازی کد از یک وب سایت یا منبع دیگر در سایت خود، دقت کنید. اگر کد شخص دیگری را نصب کنید، به آنها اجازه دسترسی به اطلاعات حساس در سایت خود از قبیل کوکی بازدید کننده سایت و کوکی های اداری خود را می دهید.اگر کدها را از سایت خود بارگذاری می کنید مشکلی پیش نمی آید ولی اگر قصد بارگذاری ازسایت دیگری را دارید از سایت های معتبری بارگیری کنید. Google Analytics و Google AdSense دو نمونه از سایت های هستند که نمونه هایی از کد جاوا اسکریپت هستند که از یک وب سایت دیگر بارگذاری می شوند.
ایجاد یک کابر جدید به صورت امن
در وردپرس سلسله مراتب امنیتی جایگذاری شده است که شما می توانید به هر کاربر یک سطح دسترسی محدود بدهید . نقش ها در وردپرس به ترتیب زیر است
ادمینAdministrator: مدیریت سایت را برعهده دارد
ویرایشگرEditor:به تمام پستها و صفحات منتشر شده دسترسی دارد
نویسنده Author: پست ها و نوشته های خود را می تواند ویرایش و منتشر کند.
مشارکت کننده Contributor: سطح دسترسی پوستر میهمان است که کاربر می توان نوشته خود را قرار دهد اما اجازه انتشار آن را ندارد.
Subscriber: پایین ترین سطح دسترسی می باشد که کاربر با ثبت نام کردن در سایت می تواند نظر خود را با امضا ارسال کند.
برای نوشتن دیدگاه باید وارد بشوید.