آموزش دایرکت ادمین، سی پنل، وب سایت پنل

خانه / آرشیو برچسب: دلیل هک شدن سایت چیست؟

آرشیوهای برچسب : دلیل هک شدن سایت چیست؟

راهکارهای امنیت و ایمن سازی سایت وردپرس

how to ensure WordPress Security and protect your website

امروز با قسمت دوم راهکارهای امن سازی وردپرس در خدمت شما هستیم، برای مطالعه قسمت اول راهکارهای امنیت و ایمن سازی وردپرس کلیک کنید.

در این قسمت با امنیت در تنظیمات و اطلاعات وردپرس در خدمت شما هستیم.

 

  • پاک کردن قالب ها، پلاگین ها بدون استفاده

مطمئنا باید این کار را انجام دهید، اگر از قالب یا پلاگینی استفاده نمیکنید آن ها را حذف کنید زیرا وجود هر گونه المان اضافی بصورت بالقوه میتواند سایت را با مخاطره روبرو کند، بنابراین اگر پلاگین یا قالبی دارید که دیگر قرار نیست از آن ها استفاده کنید، آن ها را پاک کنید.

  • آپدیت مداوم وردپرس، پلاگین ها و قالب

این دقیقا همان کاری است که انجام نمیدهیدم و بزرگ ترین ضربه را به سایت ما وارد میکند، هنوز هم افرادی را مشاهده میکنیم که اصلا آگاهی از بروزرسانی سایت ندارند و این موضوع را نمیدانند یا ندیده میگیرند، حتما از پلاگین های معتبر استفاده کنید که بصورت مداوم بروزرسانی مشوند.

برای بروز رسانی مداوم هسته وردپرس بصورت خود کار کد زیر را به wp-config.php  اضافه کنید.  

define( 'WP_AUTO_UPDATE_CORE', true );
  • بروزرسانی وردپرس و پلاگین ها براحتی از داخل مدیریت وردپرس قابل انجام است، برای دریافت بروزرسانی قالب نیز با شرکت فروشنده قالب در ارتباط باشید.

پلاگین برای بروز رسانی خودکار وردپرس نیز وجود دارد، میتوانید از پلاگین automatic-plugin-updates استفاده کنید.

می توانید با اضافه کردن یک کد زیر به فایل wp-config.php، قالب و پلاگین خود قابلیت بروزرسانی خودکار را بدون نیاز به پلاگین اضافه فراهم کنید.

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

 

  • از قالب ها و پلاگین های متفرقه و نامطمئن استفاده نکنید.

همه دوست دارند برای قالب یا پلاگین هزینه نکنند واین دلیلی برای استفاده از قالب های رایگان با منبع نامعتبر میشود. هر قالب یا پلاگینی را از هر سایتی دانلود و نصب نکنید، رایگان بودن سایت در ابتدا جذاب به نظر برسد اما در آینده به دلیل عدم وجود بروزرسانی و گسترش دهنده باگ هایی پیدا خواهد شد و سایت شما مورد نفوذ هکرها قرار خواهد گرفت. از جایی سرویس بگیرید که دارای پشتیبانی و خدمات پس از فروش باشد.

 

  • دسترسی به فایل های پر اهمیت:

فایل های مهم سایت خود را امن تر کنید. دسترسی به فایل های پراهمیت وردپرس را بسیار محدود کنید و در حالت read-only قرار دهید. (پرمیژن این فایل ها را بروی ۴۴۴ تنظیم کنید)

برخی از فایل های مهم وردپرس: htaccess – wp-config.php – wp-settings.php- wp-blog-header.php و فایل functions.php قالب سایت

 

بهتر است امکان ویرایش فایل ها را از طریق پنل مدیریت وردپرس غیر فعال کنید برای اینکار خط زیر را به فایل wp-config.php  اضافه نمایید.

define( ‘DISALLOW_FILE_EDIT’, true );

 

  • امنیت در دیتابیس:

     در گام اول نام دیتابیس و یوزرهای دیتابیس را پیچیده انتخاب کنید، از استفاده از کلماتی مثل db ، wp، user، sql  و سایر کلمات قابل حدس خودداری کنید، سعی کنید یک نام بی معنی شامل تعدادی کارکتر مختلف استفاده کنید مانند: wlhy

    پسورد دیتابیس را پیچیده انتخاب کنید، شامل حرف کوچک، حرف بزرگ و اعداد و دارای حداقل ۸ کارکتر

    در زمان نصب وردپرس پیشوند table  های دیتابیس را از wp  به نام دلخواه دیگری تغییر دهید. پیشوند پیش فرض کار را برای حملات Sql Injection  بسیار راحت میکند.

    پرمیژن فایل wp-config.php  را بروی ۴۴۴  قرار دهید.

    توجه:
    نام کاربری اکانت های مدیریتی وردپرس براحتی قابل کشف است، کافی است آدرس زیر را در مرورگر وارد کنید

     

    YOURSITE.com/?author=1

    بجای YOURSITE.com نام سایت را وارد کنید. با تغییر عدد ۱ به اعداد بالاتر نام کاربری تمام اعضای سایت مشخص خواهد شد.

    بدست آوردن نام های کاربری (username) به این آسانی راه را برای حملات brute force و بدست آوردن پسورد بسیار راحت میکند.

    برای پنهان کردن این موضوع باید nicename  اکانت کاربری را از طریق phpmyadmin تغییر دهید.

    کافی است به phpmyadmin سایت وردپرس خود وارد شوید و در Table مربوط به wp_users نام درج شده در ستون user_nicename  مقابل user مورد نظر را تغییر دهید.بصورت پیش فرض user_login و user_nicename باهم یکسان است اما شما باید برای امنیت بیشتر user_nicename را به نام غیرمشابه دیگری تغییر دهید.

 

  • امنیت شخصی:
    این موضوع یکی از مهم ترین قسمت های امنیت است که متاسفانه کمتر به آن توجه میشود، شما باید مطمئن باشید سیستمی که از آن به سایت یا هاست متصل میشوید، ویروسی ویا آلوده به تروجان نباشد، از استفاده از نرم افزارهای متفرقه بروی سیستم خود پرهیز کنید، رمزها را بروی مرورگر و یا نرم افزارها ذخیره نکنید،‌ پسوردها را در اختیار سایرین قرار ندهید، از قرار دادن پسوردهای ساده و قابل حدس بروی هاست و دیتابیس سایت خود پرهیز کنید. هرگز از سیستم های غیرمطمئن به سایت خود لاگین نشوید. پس از اتمام کار در صفحه مدیریت وردپرس حتما logout کنید.در پایان اگر نیاز به کمک و راهنمایی بیشتری دارید با سرورستاپ در ارتباط باشید.

دلایل هک شدن سایت و جلوگیری از آن

How to Clean a WordPress Hack

​امروز با دلایل هک شدن سایت ها آشنا میشویم و در ادامه با روش های امن سازی سایت بخصوص سایت های وردپرسی آشنا خواهیم شد.

​مشکلات اصلی:
قالب ها :
استفاده از قالب  های رایگان و بدون گسترش دهنده.  عموما احتمال اینکه محتوای مخرب در قالب های رایگانی  که در سایت های  متفرقه ارائه می شود بسیار زیاد است، بنابراین توصیه ما این است که هرگز از قالب های آماده استفاده نکنید.
همیشه نسبت به بروزرسانی قالب ها اقدام کنید، هر لحظه ممکن است راه نفوذی در کدهای قالب پیدا شود بنابراین اگر تا کنون مشکلی برای سایت و قالب سایت شما رخ نداده است به این معنی نیست که در آینده نیز مشکلی وجود نخواهد داشت.
  • همیشه از یک متخصص کدنویسی یا وردپرس برای سایت خود استفاده کنید!
پلاگین ها:
مکانی بسیار مناسبی برای مخفی کردن کد های آلود است، به سه علت :
– کاربران به پلاگین ها دقت و توجه نمیکنند​ و تنها آن را نصب میکنند.
– کاربران علاقه ای به بروز رسانی پلاگین ها ندارد.
– برخی پلاگین های از کدهای ضعیف و دارای احتمال آسیب پذیری استفاده میکنند.
  • از نصب بیش از اندازه پلاگین ها پرهیز کنید و هر پلاگینی را به صرف رایگان بودن فعال نکنید، همیشه بصورت مداوم پلاگین ها را بروز کنید.
پوشه آپلود:
به عنوان یک مدیر وب سایت هرگز پوشه آپلود را بررسی نمیکنید! تنها فایل های خود را آپلود میکنید. آپلود کردن یک backdoor در این پوشه بسیار راحت است زیرا این فایل در میان هزاران فایل دیگر پنهان میشود. از طرفی دسترسی به این پوشه در حالت write قرار دارد و این نفوذ را برای هکر ها آسان تر میکند.
روش های برای امنیت پوشه آپلود وجود دارد که در مقاله راهکارهای امنیت و ایمن سازی سایت وردپرسمیتوانید مشاهده کنید.
راهکارهایی برای پیدا کردن فایل های آلوده و مخرب:
– استفاده از ابزارهای اسکن فایل های سایت مانند cxs (این ابزار باید از طریق مدیر سرور نصب شود)
– استفاده از WAF بروی سرور برای جلوگیری از باگ های شناخته شده (این ابزار باید از طریق مدیر سرور نصب شود)
– استفاده از ابزارهای اسکن آنلاین سایت مانند:

https://sucuri.net/scanner
https://freescan.qualys.com

– از پلاگین های malware scanner  مانند Sucuri (نسخه پرداخت شده بسیار کارامد است)
– بررسی لاگ های ورود به کنترل پنل و FTP​ و بخش مدیریت سایت
– بررسی کدهای موجود در قالب های و پلاگین های
– بررسی فایل config و محدود کردن دسترسی به این فایل
–  استفاده از پسوردهای قدرتمند و غیر ساده
– استفاده از password protect برای صفحه ورود به بخش مدیریت
– استفاده از پلاگین های محدود کننده لاگین Login Attempts
– غیر فعال کردن Editor قالب ها و پلاگین ها در داخل مدیریت
– محدود کردن دسترسی ها به پوشه ها و فایل های پر اهمیت
– بروز کردن هسته CMS و پلاگین ها بصورت مداوم
– حذف دیتابیس ها، فالب ها، پلاگین های اضافه و بدون کاربرد
  • برای راهنمایی و کمک بیشتر در این موضوع میتوانید با پشتبانی سرورستاپ در تماس باشید.
برای آشنایی با روش های امن سازی وردپرس آموزش راهکارهای امنیت و ایمن سازی سایت وردپرسرا مشاهده نمایید.