طراحی قالب وردپرس با آرتاباز

بیش از 0 پروژه طراحی وب سایت و 0٪ رضایت مشتریان فقط کافیست نمونه کارها را مشاهده کنید.

امنیت سایت های وردپرسی و مخفی کردن وردپرسی بودن سایت!

چگونه می‌توان حقیقت اینکه سایت شما بر روی WordPress اجرا می‌شود را پنهان کرد؟

زمانی که شما دارای یک سایت هستید، امنیت همیشه حرف اول را می‌زند. اما، گاها به نظر می‌رسد که تمامی این دلهره‌ها کمی بیش از اندازه هستند. تمامی داستان‌های ترسناکی که در مورد سایت‌‌های بزرگی مثل eBay، Targert، Adobe، Steam و دیگران که از دزدی اطلاعاتی رنج می‌برده‌اند، می‌تواند باعث ایجاد ترس اقتصادی شود.

در اینجا شاید فکر کنید، تا زمانی که چنین سایت‌های بزرگی هستند، هکر‌ها به دنبال سایت‌های کوچکی مثل سایت شما نمی‌روند؟

متاسفانه اطلاعات بدست آمده، برعکس این حدس را به ما می‌گویند. سایت‌های کوچک به همان اندازه‌ سایت‌های بزرگتر، قربانی هکرها هستند، که بنا به گزارش‌ها، تقریبا نیمی از این سایت‌ها که مبلغی بالغ بر میانگین 8700$ را شامل می‌شوند، مورد هک قرار می‌گیرند.

و این فقط آمار مکان‌هایی است که گزارش‌های هک شدن خود را منتشر کرده‌اند. خیلی از دیگر سایت‌ها به علت از دست ندادن مشتری‌‌ها و اینکه قول حفاظت از اطلاعات شخصی را به آن‌ها داده‌‌اند، از انتشار گزارش‌های هک، جلوگیری می‌کنند.

اگر به گزارش‌ها نگاهی بیاندازید خواهید دید که روزانه ده‌ها هزار وب‌سایت مورد حمله قرار می‌گیرند و بیشتر آن‌‌ها حتی هیچگاه متوجه این عمل نمی‌شوند و نمی‌دانند که مثلا وب‌سایت آن‌ها در حال پخش کد‌های مخرب ‌است.

به عنوان یک کاربر WordPress، شما در حال استفاده از یکی از امن‌ترین سیستم‌های مدیریت منابع موجود هستید. اما هیچ CMSـی بطور 100% شکست‌ناپذیر نیست، و هکر‌ها به همان سرعتی که سازندگان در حال اختراع امنیت‌های جدید هستند، در حال تغییر متود‌های خود هستند.

.

.

احتمالا تا کنون شنیده‌اید، که مخفی کردن WordPress بهترین راه برای حفاظت از سایت در مقابل هکر‌ها و بات‌هاست. هرچند در این مورد، در میان برنامه‌نویس‌ها و متخصصان امنیت، بحث و جدال وجود دارد.

در این مقاله از کنار دلایل مختلفی که هر دو گروه بیان می‌کنند گذر ‌می‌کنیم و انتخاب این که پنهان کردن CMS برای وب‌سایت شما خوب است یا نه را بر عهده خودتان می‌گذاریم. سپس در مورد “پنهان کردن حقیقت اجرای وب‌سایت” بر روی WordPress صحبت خواهیم کرد.

مگر WordPress به اندازه کافی امن نیست؟

از وردپرس همیشه به عنوان یک سیستم مدیریت منابع (CMS) بسیار امن یاد می‌شود. مشکلات امنیتی همیشه در مرکز توجه سازندگان هسته wp قرار داشته، و نرم‌افزار آن بصورت پیاپی برای مقابله با هر گونه ضعف‌ها بروز می‌شود.

امنیت WordPress یکی از دلایل محبوبیت آن است. هم اکنون WordPress یکی از محبوب‌ترین “سیستم مدیریت منابع” در اینترنت است، که میلیون‌ها وب‌سایت از سراسر دنیا از آن استفاده می‌کنند. حتی سایت‌هایی نظیر CNN، eBay، و Mashable از WordPress برای بخش بلاگ‌های خود استفاده می‌کنند.

اما در کل، اینکه شما از وردپرس استفاده می‌کنید، دلیلی بر آن نیست که سایت شما در مقابل هکر‌ها مصون است. در حقیقت محبوبیت این CMS، دلیلی است بر بالاتر رفتن شانس آن برای هک شدن!

هکر‌ها می‌داند میلیون‌ها کاربری که از وب سایت وردپرسی استفاده می‌کنند، از میزان کافی امنیت برای سایت‌های خود استفاده نمی‌کنند. خیلی از آن‌ها از پسووردهای ساده، ورژن‌های قدیمی WordPress که ضعف‌های آن‌ها شناخته شده، و یا پلاگین‌های تاریخ گذشته و نا‌امن استفاده می‌کنند. بدین وسیله هکر‌ها هدف‌های زیادی را در اختیار داشته و با شناسایی آن‌ها سعی در نفوذ دارند.

رایج‌ترین راه‌هایی که هکرها برای نفوذ انتخاب می‌کنند، استفاده از ورود اجباری که اصطلاحا Brute Force گفته می‌شود، یا با استفاده از درخواست‌های مکرر HTTP است.

هکرهای Brute-Force، از نرم‌افزارهایی استفاده می‌کنند که پیاپی سعی در حدس زدن رمز عبور شما را دارد، تا جایی که شانس بیاورند و وارد سایت شوند. معمولا اقدام‌های متقابل ساده‌ای مثل استفاده از CAPTCHA و تاییدیه‌های دو مرحله‌ای در ورود (Login)، به راحتی می‌تواند عمل Brute Force را سرکوب کند.

راه دیگری که هکرها استفاده می‌کنند، فرستادن درخواست‌های مخصوص HTTP به سرورهای شماست. این روش سعی در پیدا کردن نقطه‌های ضعف سرور را دارد که معمولا در ورژن‌های قدیمی برنامه‌ها، پلاگین‌ها و پوسته‌ها یافت می‌شود. هر محتوایی که در شاخه wp-content شما قرار دارد، چه فعال چه غیرفعال، می‌توانند ضعفی در سرورهای شما را برای هکر معرفی کند که از آن طریق هکر ورود خود به سرور را تضمین می‌کند.

چرا WordPress را مخفی کنیم؟

اینجا به دلایل این کار اشاره خواهیم کرد؛ اما اول بگذارید در مورد اصطلاحات این کار صحبت کنیم. مردم وقتی در مورد مخفی کردن صحبت می‌کنند، حرف‌های مختلفی می‌زنند.

معنی “مخفی کردن WordPress” این است که شما نام و حقیقت اینکه سایت شما برروی وردپرس اجرا می‌شود را از دید هکر‌ها و بات‌هایی که سعی در شناخت CMS شما را دارند، محو می‌کنید. اما مخفی کردن به این معنی نیز می‌تواند باشد که شما، شماره نسخه استفاده شده از WordPress، نام فایل ها و فولدرها و … را تغییر دهید تا برای بات‌ها قابل شناسایی نباشد.

اما این همه تلاش برای مخفی کردن ارزشش را دارد؟ بستگی دارد که از چه کسی بپرسید.

واقعیت این است که شما هیچ‌گاه به طور کامل نمی‌توانید حقیقت اینکه سایت شما برروی WordPress اجرا می‌شود را محو کنید. یک شخص حرفه‌ای که در این کار علم کاملی دارد و وردپرس را به خوبی می‌شناید، می‌تواند از راه‌های مختلف CMS شما را تشخیص دهد. حتی اگر شما سعی در مخفی کردن نسخه استفاده شده از وردپرس را داشته باشید، اگر هکر مورد نظر آشنایی کامل با تمامی ورژن‌ها و تفاوت‌های آن‌ها، داشته باشد می‌تواند تشخیص این امر را به راحتی انجام دهد.

حرفه‌ای ها در این باره می‌گویند، اگر بدانید که که راه‌های برای تشخیص CMS وجود دارد، پس مخفی کردن آن‌ها کار بیهوده‌ای است. راس اندرسون، متخصص امنیت در این باره می‌گوید: “امنیت یک سیستم باید تکیه بر کلید آن باشد، نه مخفی کردن مدل طراحی شده آن.”

پس، آیا با این تفاسیر، مخفی کردن WordPress کار بیهوده‌ای است؟

شاید بله، شاید نه. مطمئنا این کار جلوی یک معتاد به هک، که مخصوصا سایت شما را هدف قرار داده است را نخواهد گرفت.

اما این کار جلوی هکر‌هایی که از بات‌ها برای شناسایی استفاده می‌کنند را خواهد گرفت. فقط با تغییر یک سری پیوند‌های یکتا (Permalinks) شما خواهید توانست از سایت خود در برابر Brute-Force، SQL-Injection و درخواست‌های PHP، محافظت کنید.

دیگر واحدهای امنیتی سیستم مدیریت محتوای وردپرس

مخفی کردن یک سری پیوند‌یکتا و فایل‌‌ها در WordPress راه حل خوبی برای بالا بردن میزان امنیت است اما این تمام کاری نیست که می‌توانید انجام دهید و البته تمام کاری نیست که باید انجام بگیرد.

کارهای خیلی ساده‌ای با کمک از روش‌های امنیت WordPress، برای بالا بردن سطح امنیت وجود دارند:

  • همیشه از رمزعبور‌های قدرتمند استفاده کنید
  • همیشه هسته WordPress خود را با آخرین نسخه‌ها بروز نگاه دارید
  • پوسته‌ها و پلاگین‌های خود را همیشه بروز کنید و نسخه‌هایی که دیگر استفاده نمی‌کنید را پاک کنید. از آن‌هایی که دیگر بروز نمی‌شوند استفاده نکنید.
  • برای مقابله با Brute-Force، از ورودهایی با استفاده از CAPTCHA و تاییده‌های 2 مرحله‌ای استفاده کنید.
  • از پلاگین‌های امنیتی همه کاره مثل iThemes Security یا Bullet Proof Security استفاده کنید.

چگونه حقیقت استفاده از WordPress را مخفی کنیم

آموزش‌های زیادی برای مخفی کردن شماره نسخه استفاده شده از این سیستم مدیریت محتوا وجود دارند، اما اینجا ما یک سری از آن‌ها را غلط‌گیری و بازگو خواهیم کرد.

  • اگر امنیت هدف اصلی شماست، پس شما باید در هر صورت آخرین نسخه را نصب کنید
  • شماره نسخه wp در بسیاری از مکان‌های مختلف و فایل‌ها ثبت شده‌اند، و مخفی کردن آن‌ها کاری زمان بر و پردردسر خواهد بود و ارزش کار را هم نخواهد داشت، زیرا…
  • حتی اگر موفق شوید تمامی ردپاها در مورد شماره نسخه را محو کنید، هنوز هم راه‌های زیادی وجود دارند تا کسی بتواند نسخه شما را حدس بزند.
  • محو کردن شماره نسخه، گاها حتی شما را از بات‌ها هم در امان نگاه نمی‌دارد. بات‌ها مستقیما بدنبال ضعف‌ها خواهند گشت، پس اگر هسته WordPress خود را بروز نگاه دارید، بات‌ها نخواهند توانست به آن نفوذ کنند. از طرف دیگر اگر یک بات متوجه مخفی شدن نسخه شما شود، احتمال خواهد داد که شما از یک ورژن قدیمی استفاده می‌کنید که سعی در مخفی کردن شماره نسخه را دارید.

هنوز هم مصمم هستید که ورژن سیستم را مخفی کنید؟ شاید برای کسی کار می‌کنید که از شما این عمل را می‌خواهد؟ یا شاید هم از نظر خودتان، نشان داده شدن اینکه شما از بلاگری مثل WordPress برای سایت خود استفاده می‌کنید، کلاس کاری تجارتتان را پایین ‌می‌آورد؟

در این حالت پیشنهاد ما به شما استفاده از یک پلاگین پرمیوم (پولی) به نام Hide My WP است. این پلاگین به خوبی کارهای امنیتی را انجام می‌دهد و بدون دستکاری در فایل‌های شما، حقیقت استفاده از WordPress را در پیوند‌‌های یکتا (Permalinks) سایت را مخفی می‌کند.

Hide My WP قابلیت‌های زیادی دارد که امنیت شما را افزایش خواهند داد:

  • پیوند‌های یکتا و فایل‌ها (مثل admin-wp) را برای بات‌ها مخفی می‌کند
  • اطلاعات متا مثل ورژن استفاده شده را از Header ها و Feed ها حذف می‌کند
  • دسترسی به فایل‌های PHP را کنترل می‌کند
  • حالت پیشفرض مکانی پوشه‌ها و زیرشاخه‌ها مثل wp-content را تغییر می‌دهد
  • حالت جستار URLها را برای جلوگیری از تزریق SQL تغییر می‌دهد
  • فایل‌هایی نظیر readme.html و lincense.txt را، که به هکر‌ها اطلاعاتی در مورد WordPress نصب شده را می‌دهند، را مخفی می‌کند
  • قابلیت غیرفعال کردن بخش‌های انتخابی از آرشیو‌ها، پست‌ها، صفحه‌ها، طبقه‌بندی‌ها و تگ
  • خبر دهی در مورد ریسک‌های احتمالی با استفاده از سیستم تشخیص دخول غیرمجاز (Intrusion Detected System)

 

——–

این مقاله ترجمه ای بود از وبلاگ سایت الگانت تمز، و به صورت اجمالی به برخی از موارد اشاره شده است. انشاءالله در فرصتی مناسب، به طور مفصل در مورد امنیت وردپرس و راهکار های عملی آن، مجموعه آموزش هایی در آرتاباز قرار خواهد گرفت.

————–

اگر این مطلب را مفید ارزیابی کردید لطفا به اشتراک بگذارید .

۳ دیدگاه

  1. نقابی

    سلام لطفا در صورتی که زمان دارید مقالاتی در رابطه با سئو و بهینه سازی هم قرار بدید.بابت ترجمه این مقاله هم ممنون هستم

  2. بازتاب: نحوه سفارشی سازی سبک های ویرایشگر وردپرس

  3. جواد محمدی

    واقعا عالی بود ترجمه تون من فکر می کردم خودتون نوشتید واقعا حرف ندارید ادامه بدید سپاس

پاسخ دادن به نقابی لغو پاسخ

» دیدگاه تان را فارسی بنویسید ، دیدگاه های انگلیسی و فینگلیش تایید نمی شوند .