برای تأمین امنیت سایت، داده‌ها و کاربران، باید توجه ویژه‌ای به امنیت هاست وردپرس داشته باشید. خیلی‌ها فکر می‌کنند فقط محافظت از سایت کافی است؛ اما خب حقیقتاً، ایمن نگه داشتن هاست حتی می‌تواند مهم‌تر هم باشد.

در این مقاله، نگاهی می‌اندازیم به تهدیدات رایجی که این نوع هاست‌ها را تهدید می‌کنند؛ همچنین، نکاتی را بررسی خواهیم کرد که برای مقابله با این تهدیدات کاربرد دارند. در آخر هم نگاهی می‌اندازیم به افزونه‌های کاربردی برای بالا بردن امنیت هاست وردپرس.

آشنایی با تهدیدات رایج هاست وردپرس + راه‌حل‌هایی برای افزایش امنیت

بدون مقدمۀ اضافی، برویم سراغ تکنیک‌هایی که برای افزایش حداکثری امنیت هاست وردپرسی به کار گرفته می‌شوند.

۱) انتخاب هاست امن برای سایت وردپرسی

خرید هاست از ارائه‌دهنده‌ای که مسائل امنیتی را جدی نمی‌گیرد، می‌تواند مشکلات بسیار خطرناکی را به وجود بیاورد.

هاست مطمئن، هاستی است که به‌صورت مداوم توسط ارائه‌دهنده به‌روزرسانی شود، از فایروال‌های درست‌وحسابی برخوردار باشد، به‌طور منظم برای پیدا کردن هرگونه بدافزار اسکن شود و….

هاستی که دائماً توسط هاستینگ مانیتور نشود و موارد مشکوک آن با جدیت مورد بررسی قرار نگیرند، زیرساخت خوبی برای نگهداری سایتتان نخواهد بود.

بنابراین، دنبال ارائه‌دهنده‌ای باشید که هاستی با کیفیت، برخوردار از جدیدترین سخت‌افزارها و به‌روزترین نرم‌افزارها را ارائه می‌کند؛ هاستی مجهز به قابلیت‌های امنیتی حرفه‌ای (مثل WAF، سیستم‌های به‌روزرسانی خودکار، سازوکارهای مقابله با حملات DDoS، بکاپ‌گیری روزانه و…) که زیربنای محکمی برای سایت وردپرسی ایجاد می‌کند.

wp-hosting-cta هاست وردپرس لیموهاست با بهترین عملکرد میزبان سایت وردپرسی شما هستیم. بهینه‌سازی شده برای بالاترین سطح سرعت!

شروع قیمت از
۲۹۰ هزار تومان

خرید هاست وردپرس

۲)‌ افزونه‌ها و تنظیمات اولیه امنیتی هاست

یکی از اقدامات اولیه و ضروری، قفل کردن فایل‌هایی مثل wp-config.php است. برای این منظور، می‌توانید فایل را از دایرکتوری root خارج کرده و دسترسی آن را روی ۴۰۰ یا ۴۸۰ بگذارید تا جلوی دسترسی‌های غیرمجاز گرفته شود. جلوتر بیشتر راجع‌به این موضوع صحبت می‌کنیم.

همچنین، اعمال تغییرات درست روی فایل htaccess. هم می‌تواند کمکتان کند تا امکان دسترسی و دستکاری فایل‌های حساس از افراد غیرمجاز بگیرید. استفاده از گواهی SSL (یا TLS که نسخۀ پیشرفته‌تر آن است) و جایگزینی پروتکل HTTP با HTTPS هم جزو دیگر اقدامات اولیه در پیکربندی به حساب می‌آیند که امنیت هاست وردپرس را بالاتر می‌برند.

چفت‌وبست کردن فایل‌های حساس و سختگیری بیشتر در رابطه با دسترسی‌های کاربران، یک زیرساخت مستحکم می‌سازد که حداقل در برابر رخنه‌های رایج مقاومت خیلی خوبی دارد.

مثلاً استفاده از WAF و اسکن برنامه‌ریزی‌شده برای شناسایی بدافزارها (و تحرکات مشکوک)، با پیش‌بینی خطرات از بروز فاجعه جلوگیری خواهد کرد؛ یا مثلاً تنظیم سیستم‌های ورود دو مرحله‌ای و تغییر صفحۀ ورود، مثل تعویض دروازه‌های چوبی با دروازه‌های فولادی است که خب مسلماً استحکام خیلی بیشتری دارند.

⭐ محتوای مرتبط: ۹ مزیت هاست وردپرس که باید بدانید!

۳) استفاده از پروتکل‌های امنیتی HTTPS و SSL

SSL یا TLS، تمام اطلاعات ردوبدلی بین سرور سایت و مرورگر بازدیدکننده را رمزنگاری می‌کند؛ بنابراین، هکرهایی که بین راه نشسته‌اند و امید دارند در این وسط به اطلاعات محرمانه دست پیدا کنند، به هیچ دستاوردی نمی‌رسند.

HTTP هم یک پروتکل ارتباطی است که داده‌ها را بدون رمزنگاری منتقل می‌کند؛ با استفاده از SSL، پروتکل HTTP جایش را به نسخۀ ایمن‌ترش، یعنی HTTPS می‌دهد که این یکی تمام اطلاعات را رمزنگاری می‌کند تا امنیت تأمین شود.

برای هرکدام از این دو مفهوم، مقاله‌های جداگانه داریم که اگر دوست دارید اطلاعات بیشتری داشته باشید، می‌توانید آن‌ها را بخوانید:

  • «گواهی SSL چیست و چه کاربردی دارد؟»
  • «پروتکل https چیست؟ چه فرقی با HTTP دارد و چرا به آن نیاز داریم؟»

جالب است بدانید که استفاده از SSL و HTTPS نه‌تنها به افزایش امنیت هاست وردپرس کمک می‌کنند، بلکه از منظر گوگل و سئوی سایت هم مهم هستند! چون گوگل وزن زیادی برای ایمن بودن سایت‌ها قائل می‌شود، اگر سایتتان SSL نداشته باشد و از پروتکل ارتباطی HTTP (که گفتیم ایمن نیست) استفاده کند، شانس زیادی برای قرارگیری در رتبه‌های برتر نتایج جست‌وجو نخواهید داشت.

خلاصۀ کلام اینکه تأمین امنیت بدون گواهی SSL و HTTPS کاری است نشدنی!

⭐ محتوای مرتبط: قیمت هاست وردپرس به چه عواملی بستگی دارد؟

۴) پیکربندی فایروال و WAF در هاست وردپرس

قرار دادن یک فایروال در داخل هاست به معنای ساخت اولین سنگر دفاعی در برابر ترافیک مخرب است. هدف همۀ بدافزارها، لزوماً خود سایت نیست و شاید بخواهند نقشه‌های پلید خود را داخل سرور پیاده کنند؛ اینجا است که یک WAF حرفه‌ای (مثلاً ModSecurity یا OWASP) کارتان را راه می‌اندازند.

البته که نصب این فرایروال‌ها یک بحث است و پیکربندی درست آن‌ها، بحثی دیگر! باید از متخصصی کمک بگیرید تا قوانین لازم را برای WAF تعریف و آن‌ را طوری تنظیم کند که عملکردی دقیقاً باب میلتان از خود نشان دهد.

این مقاله را بخوانید: مقالۀ «فایروال چیست؟ نحوۀ کار، مزایا و انواع Firewall» را بخوانید تا با این سیستم محافظتی به‌دردبخور آشنا شوید.

اینجا باید باز هم به پلاگین‌های امنیتی وردپرس اشاره کنیم. برخی از پلاگین‌ها (مثل All In One WP Security) فایروال هم ارائه می‌کنند و نمی‌گذارند ترافیک مخرب به سایت برسد.

توصیۀ ما چیست؟

استفادۀ هم‌زمان از پلاگین‌های امنیتی که فایروال را جلوی سایت می‌گذارند و البته WAFهایی که روی سرور تنظیم می‌شوند و یک دیوارۀ آتشین در دروازۀ ورودی هاست وردپرس می‌سازند.

۵) مدیریت دسترسی و سطوح دسترسی کاربران

بالاتر گفتیم که کنترل سطح دسترسی، یک راهکار خیلی ساده برای جلوگیری از وقوع اتفاقات ناخوشایند است!

قانونی بین متخصصان وجود دارد که به آن Principle of Least Privilege می‌گویند؛ این قانون تأکید می‌کند سطح دسترسی هر فرد باید به میزانی باشد که بتواند وظایفش را انجام دهند و نه بیشتر. به همین خاطر است که هرکسی نباید به فایل wp-config.php یا htaccess. دسترسی با اختیار اعمال تغییر داشته باشد!

ترجیحاً اختیار تام در نقش ادمین را فقط به یک نفر واگذار کنید؛ ضمناً، بد نیست هرازگاهی سطح دسترسی‌ها را بررسی و تصمیمات جدید را براساس وظایف هر فرد بگیرید.

⭐ محتوای مرتبط: انواع هاست وردپرس: راهنمای جامع

۶)‌ بکاپ‌گیری منظم و بازیابی اطلاعات روی هاست

هرچقدر هم جانب احتیاط را رعایت کنید، باز هم ممکن است اسیر مشکلات امنیتی شوید؛ بنابراین، بکاپ‌گیری منظم هم جزو راهکارهایی به حساب می‌آید که برای بالا بردن امنیت هاست وردپرس ضروری به نظر می‌رسد.

اگر از سیستم‌های بکاپ‌گیری خودکار استفاده می‌کنید که چه بهتر؛ اگر نه، برای بکاپ‌گیری دستی به‌صورت منظم برنامه بریزید؛ مثلاً هر هفته یک بار.

پیشنهاد می‌کنیم از فایل‌های بکاپ در سروری دیگر نگهداری کنید؛ چون تهدیدات سایبری ممکن است هم سایت، هم تمام اطلاعات سرور را از بین ببرند. در این صورت، دیگر چیزی برای بازیابی باقی نمی‌ماند!

دقت کنید که اگر امکان بازیابی داده‌های بکاپ‌ها را نداشته باشید، داشتن آن‌ها به هیچ دردی نخواهد خورد! اگر بتوانید گاهی اوقات امکان بازیابی فایل‌های بکاپ را در محیط‌های امن و ایزوله تست کنید، عالی می‌شود.

در مجموع، بهتر است از همان اول سراغ هاستینگ‌هایی بروید که بکاپ‌گیری و امکان بازیابی را روی سرویس‌هایی که می‌فروشند، ارائه می‌کنند؛ ولی اگر احیاناً ارائه‌دهنده چنین امکانی را فراهم نمی‌کند، خودتان به‌صورت دستی (یا خودکار) از تمام داده‌های سایت (شامل همۀ فایل‌ها و کل دیتابیس)، به‌شکلی که امکان بازیابی اطلاعات وجود داشته باشد، بکاپ‌ بگیرید.

۷)‌ پایش و مانیتورینگ امنیتی سایت وردپرس

همان‌طور که توضیح دادیم، مانیتورینگ دائمی (ترجیحاً هوشمند) تمام بخش‌های سایت و هاست، می‌تواند شما را از مشکلات احتمالی مطلع کند؛ به این ترتیب، قبل از اینکه اتفاقی بیفتد، می‌توانید برای جلوگیری از آن برنامه بریزید.

رصد وضعیت سلامت سرور (بررسی چیزهایی مثل چگونگی عملکرد CPU، رم، فضای ذخیره‌سازی و…)، اطلاعات مفیدی در اختیارتان قرار می‌دهد که در نهایت به افزایش امنیت هاست وردپرس منجر خواهد شد.

ابزارهایی مثل Netdata و Icinga که متن‌باز هستند در این راستا به کمکتان می‌آیند؛ فقط کافی است یکی از آن‌ها را روی سرور نصب کنید تا تمام پارامترهای ضروری زیر ذره‌بین بروند.

در داخل سایت وردپرسی هم می‌توانید از افزونه‌های مخصوص مانیتورینگ مثل Jetpack استفاده کنید تا چیزهایی مثل آپتایم، تلاش برای حملات بروت‌فورس، عملکرد سایت و… را زیر نظر بگیرید.

⭐ محتوای مرتبط: آموزش پشتیبان‌گیری از هاست وردپرس (بکاپ خودکار و دستی)

۸) به‌روزرسانی نرم‌افزارها و افزونه‌های هاست

خیلی وقت‌ها، رخنه‌های امنیتی به‌خاطر آپدیت نکردن نرم‌افزارها و افزونه‌ها رخ می‌دهد؛ بگذارید این‌طوری بگوییم:

معمولاً هر آپدیتی که برای هستۀ وردپرس و افزونه‌های این CMS عرضه می‌شود، بخشی از حفره‌های امنیتی شناخته‌شده را هم پوشش می‌دهد؛ یغنی خطر را از بین می‌برد!

خوب است بدانید براساس آمار منتشرشده در سایت Nexter، دلیل اصلی هک شدن بیشتر از نیمی از سایت‌ها، استفاده از نرم‌افزارها و افزونه‌های به‌روزرسانی‌نشده است!

پس در یک جمله:

اگر امنیت هاست وردپرس برایتان اهمیت دارد، حتماً نرم‌افزارها، قالب‌ها، افزونه‌ها و هستۀ وردپرس را بلافاصله بعد از عرضۀ نسخۀ جدیدتر، آپدیت کنید.

۹) مقابله با حملات Brute Force و DDoS

حملات بروت فورس و دیداس دو نوع نسبتاً سادۀ هک هستند که متأسفانه خیلی از افراد به‌خاطر سهل‌انگاری‌هایشان قربانی آن‌ها می‌شوند؛ مقالات زیر جهت ارائۀ اطلاعات کامل‌تر در رابطه با این دو نوع هک، تقدیم به شما:

  • «حمله بروت فورس چیست و چگونه جلوی آن را بگیریم؟»
  • «حمله DDoS چیست و چگونه انجام می‌شود؟»

جابه‌جایی صفحۀ لاگین وردپرس، کاهش دفعات مجاز برای تلاش به ورود، استفاده از CAPTHA و reCAPTCHA، پیاده‌سازی سازوکارهای احراز هویت دومرحله‌ای (2FA) و…، راهکارهایی هستند که در مقابله با حملات Brute Force مؤثر هستند.

برای مقابله با حملات DDoS هم می‌توانید از انواع فایروال‌ها که بالاتر مفصل راجع‌به آن‌ها صحبت کردیم کمک بگیرید؛ یادآوری می‌کنیم که WAF نمی‌گذارد ترافیک مخرب وارد سرور شود و به این ترتیب، تلاش هکرها برای آسیب رساندن از طریق حملات DDoS خنثی خواهد شد.

اگر می‌خواهید نهایت توانتان را در مقابله با این نوع حملات به کار بگیرید، بلاک کردن تمام آیپی‌ها از مناطق مکانی مشخص (مثلاً پاکستان)، کش آنلاین و استفاده از هاست توسعه‌پذیر، دیگر راهکارهایی هستند که به کمکتان می‌آیند.

۱۰) تنظیم محدودیت‌های امنیتی پوشه‌ها و فایل‌ها

یکی از مؤثرترین راه‌ها برای بالا بردن امنیت هاست وردپرس، تنظیم محدودیت روی فایل‌ها و پوشه‌های حساس است.

یک پیشنهاد کلی این است که دایرکتوری‌ها را روی ۷۵۵ بگذارید و فایل‌ها را روی ۶۴۴؛ این‌طوری، ادمین اجازۀ دستکاری فایل‌ها و پوشه‌ها را خواهد داشت و دیگران فقط می‌توانند اطلاعات را بخوانند. البته همان‌طور که بالاتر هم گفتیم، ترجیحاً فایل‌های خیلی حساس‌تر مثل wp-config.php و htaccess. را روی ۴۰۰ یا ۴۴۰ (و حتی ۶۰۰) بگذارید تا دیگران حتی نتوانند محتویات آن‌ها را ببینند!

علاوه‌بر این‌ها، محدود کردن دسترسی به پوشه‌هایی مثل /uploads/ را هم توصیه می‌کنیم. ضمناً، اگر برایتان مقدور است، گشت‌وگذار در دایرکتوری‌ها را هم برای کاربرانی که نیازی به این کار ندارند، مسدود کنید.

⭐ محتوای مرتبط: هاست وردپرس آلمان چیست و چه ویژگی‌هایی دارد؟

۱۱)‌ استفاده از ابزارهای اسکن آسیب‌پذیری

حتماً از ابزارهای تخصصی برای اسکن هاست کمک بگیرید. افزونه‌هایی مثل Sucuri و MalCare به درد این کار می‌خورند. این ابزارها می‌توانند هرگونه آسیب‌پذیری در هستۀ وردپرس، قالب‌ها و افزونه‌های دیگر را تشخیص دهند.

عقل حکم می‌کند به قسمت‌های عمیق‌تر هم بروید و دایرۀ کندوکاوتان را گسترش دهید؛ پس استفاده از ابزارهایی مثل OWASP ،Burp Suite ،Nikto و OpenVAS را هم به شما پیشنهاد می‌کنیم. این ابزارها می‌توانند:

  • ترافیک HTTP را اسکن کنند؛
  • وجود احتمالی SQLi و XSS را بررسی کنند؛
  • نقص‌های احتمالی در پیکربندی سرور را تشخیص دهند.

تأکید می‌کنیم که استفادۀ همه‌جانبه از ابزارهای کاربردی هم روی سایت، هم روی هاست، برای تأمین امنیت ایدئال ضرورت دارد.

۱۲) بررسی لاگ‌های امنیتی و تشخیص رفتار مشکوک

بهینه‌ترین روش برای ثبت و بررسی‌ لاگ‌های امنیتی، استفاده از ابزارهای مخصوص این کار است؛ ابزارهایی مثل:

  • WP Activity Log
  • Simple History
  • WP White Security

این‌ها اتفاقات مهم مثل ورود و خروج کاربران، تلاش‌های ناموفق برای ورود به سایت، تغییرات احتمالی در سطح دسترسی‌ها، دستکاری فایل‌ها و… را ثبت می‌کنند.

البته که امکان تغییر تنظیمات و سفارشی‌سازی نحوۀ عمکلرد آن‌ها و نوع اطلاعاتی که ثبت می‌کنند هم وجود دارد. حتی می‌توانید برای برخی اتفاقات مهم و تأثیرگذار، هشدار تنظیم کنید تا به محض وقوع در جریان قرار بگیرید.

همیشه لاگ‌ها را بررسی کنید تا الگوها و رفتارهای مشکوک را در سریع‌ترین زمان ممکن شناسایی کنید؛ مثلاً تلاش‌های ناموفق ورود (در تعداد زیاد) از یک آدرس آیپی، می‌تواند نشان‌دهندۀ حملۀ بروت فورس باشد! یا مثلاً هجوم غیرطبیعی ترافیک از یک موقعیت مکانی بدنام، احتمالاً یعنی سایت با حملۀ DDoS مواجه شده است.

اینجا به پایان لیست راهکارهای مفید برای افزایش امنیت هاست وردپرس می‌رسیم. حالا بیایید ببینیم چه افزونه‌هایی در این مسیر به دردتان می‌خورند.

⭐ محتوای مرتبط: مقایسه هاست وردپرس ارزان و هاست وردپرس حرفه‌ای لیموهاست

معرفی بهترین افزونه‌های امنیتی ویژه هاست وردپرس

جدا از پلاگین‌هایی که روی سایت وردپرسی نصب می‌شوند، برخی پلاگین‌ها مختص سرور هستند و برای افزایش ایمنی هاست طراحی شده‌اند. در این بخش، ۵ مورد از این افزونه‌ها را بررسی خواهیم کرد.

مقالۀ «بهترین افزونه امنیتی وردپرس» را هم بخوانید تا با بهترین پلاگین‌های این حوزه آشنا شوید.

۱. ModSecurity (OWASP CRS)

یک فایروال تحت وب (WAF) قدرتمند و متن‌باز که با بیشتر وب‌سرورها سازگاری کامل دارد. ModSecurity ترافیک عبوری را با استفاده از هستۀ OWASP فیلتر می‌کند و نمی‌گذارد بدافزارها و کدهای مخرب وارد هاست شوند؛ چه برسد به اینکه بخواهند به سایت برسند!

۲. Fail2Ban

این افزونه برای اسکن لاگ‌های ثبت‌شده به کار گرفته می‌شود؛ همان‌طور که حدس می‌زنید، هدف پیدا کردن الگوها و رفتارهای مشکوک و عجیب‌غریب است؛ مثلاً تلاش‌های ناموفق برای ورود به سایت در دفعات زیاد.

البته که Fail2Ban قابلیت‌های بیشتری دارد و می‌تواند بعد از تشخیص رفتار غیرعادی، آدرس آیپی مبدأ را بلاک کند.

۳. DenyHosts

این ابزار برای مقابله با حملات SSH Brute Force طراحی شده است. مشابه Fail2Ban، این ابزار هم تلاش‌های ناموفق ورود به سایت را شناسایی می‌کند و اگر تعداد دفعاتشان زیاد شده باشد، آدرس آیپی مبدأ را بلاک و کمک بزرگی به افزایش امنیت هاست وردپرس می‌کند.

نکتۀ جذاب اینکه DenyHosts می‌تواند با شبکه‌های خارجی یکپارچه شود تا در مقابل حملات بروت فورس غیرمتمرکز هم عملکرد خوبی از خود نشان بدهد.

۴. CrowdSec

CrowdSec جایگزین مدرن Fail2Ban است؛ یعنی این افزونه هم لاگ‌های ثبت‌شده را تجزیه‌وتحلیل می‌کند تا به ردپای رفتارهای مشکوک برسد.

سازگاری با اکثر وب‌سرورهای معروف، جزو نقاط قوت این پلاگین محسوب می‌شود.

۵. Imunify360 / cPGuard (Commercial Suites)

این پلتفرم‌های تجاری چندین سازوکار امنیتی را در اختیار کاربرانشان قرار می‌دهتد؛ از جمله:

  • WAF حرفه‌ای
  • اسکنر بدافزار
  • مانیتورینگ لحظه‌ای سرور
  • ابزارهای مقابله با حملات بروت فورس

این پلتفرم‌ها بیشتر برای محیط‌هایی مثل VPSها مناسب هستند که به‌صورت هم‌زمان از چند سایت میزبانی می‌کنند.

وقت جمع‌بندی است.

جمع‌بندی

ایمن کردن هاست یعنی آماده‌سازی خط مقدم برای نبرد جانانه با انواع خطرات. وقتی امنیت سرور تأمین باشد، سازوکارهای امنیتی سایت هم می‌توانند عملکرد مؤثرتری از خود نشان بدهند؛ چون بار وظایفشان سبک‌تر می‌شود و با مشکلات کمتری دست‌وپنجه نرم خواهند کرد.

در این مقاله، نکات و راهکارهای مختلف برای بالا بردن امنیت هاست وردپرس را کردیم.

سؤالی دارید؟ در قسمت نظرات منتظرتان هستیم.

Irnhost

وبلاگ

فیسبوکتوئیترپینترستواتس اپتلگرامایمیل

Related Posts ...

No comment

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *