نکاتی برای پشتیبانی امنیت سیستم مدیر محتوا وردپرس
تمامیی وبسایتها، حتی وب سایتهایی که از صفر نوشته میشوند، درمعرض خطر میباشند. حقیقت دنیای نت این میباشد که تک تک وب سایتها، حتی در شرایطی که کلیه استانداردهای امنیتی را رعایت کرده باشند، بازهم ممکن میباشد هک شوند یا این که اطلاعاتشان سرقت گردد. نکتهی اساسی این میباشد که امنیت تارنماها می بایست پیوسته طراحی سایت اخصاصی بررسی گردد.
پیش از پرداختن به آن ۵ نکته، بایستی خاطرنشان کرد که بخش اعظمی از این نکات برای مدد امنیت کلیه سایتها کاربرد داراهستند و صرفا منحصربهفرد به وب سایتهای وردپرسی نیستند. رعایت بخش اعظمی از این نکات امنیتی درواقع به عبارتی ترفندهای خاص پرهیز از هک سایت بهشمار میاید. پس مدیران تارنماهای وردپرسی دو مجموعه نکات امنیتی را بایستی درنظر داشته باشند: نکات امنیتی مشترک و نکات امنیتی مخصوص وردپرس.
درمیان نکات امنیتی و استانداردها نیز برخیها اصلیخیس از برخی دیگر می باشند. یعنی در رعایت این نکات حق تقدمبندی وجود دارااست و نمی شود برخی مورد ها را نادیده گرفت. دلیلش هم این میباشد که :
To some extent, a website is like the human body. If a certain part is damaged, it affects the whole system.
تاحدی، یک وب سایت مشابه تن بشر میباشد. در شرایطی که قسمتهای مشخصی زخم ببینند، تک تک سیستم متاثر میشود.
۵ نکته کاربردی برای دفاع امنیت وردپرس (WordPress CMS)
درمیان این ۵ نکته، به نصبکردن پلاگینی امنیتی و داشتن پروتکل HTTPS اشارهای نشده میباشد. اولا، به دلیل آنکه در نوشتهی علمیهای دیگری ( ۱۰تا از مهم ترین و کاربردیترین پلاگینهای وردپرس [2022] ) ضروریترین پلاگینی امنیتی وردپرس معرفی گردیده و راجع به پروتکل نیز در محتوای ترفندهای خاص خودداری از هک وب سایت که تا قبل از این به آن پیوند داده شدهاست بهشرح مشاجره گردیده. دوما، این مورد ها در همه محتواهای مرتبط بیان شده و تمامیی افرادیکه با سیستمهای رئیس محتوا فعالیت مینمایند بهنیکی با آنها آشنا میباشند. درادامه، ترجیح داده شد تا بهترتیب مهمترین و کاربردیترین نکات امنیتی تارنماهای وردپرسی معرفی گردد:
۱. هاست مطمئن و امن
اولین گام در مدد امنیت تارنما وردپرسی این میباشد که از شرکتی دارای اعتبار و مطمئن هاست تنظیم فرمایید. هواخواهیکنندگان مطمئن هاست خودشان استانداردهای امنیتی بالا و ابزارهای مختلفی برای حفاطت از سرورهایشان دارا هستند. بههمینبرهان، دادههای شما و وبسایت شما تاحد بسیار متعددی ایمن میگردد، مخصوصا دربرابر حملههای DDoS . مزیت دیگر این میباشد که این مجموعهها پیوسته سیستم و کانالی خویش را ذیل لحاظ دارا هستند و بهروز نگه میدارا هستند.
۲. تنظیمی ورژنی پشتوانه (Back up) از وب سایت
می بایست در فواصل هنگامی مشخص و معلوم از کلیه دادهها و کدهای تارنما ورژنی پشتوانه تهیه و تنظیم خواهد شد. اعتنا فرمائید کهاین ورژن بایستی درجای امنی حفظ گردد. در صورتی اتفاقی بیفتد یا این که حملهای هکری به وبسایت خواهد شد، با امداد همین ورژن میگردد وبسایت را مجدد تجدید بنا کرد. وب سایتهای وردپرسی پلاگینهای مختلفی دارا هستند که خودشان بهشکل خود کار از تارنما و کلیه مطالب و دادههای نو پکآپ میگیرند. بههمینبرهان، علاوهبر افزونههای امنیتی، بایستی پلاگینهایی که ورژنی حامی تنظیم مینمایند هم بر روی وبسایت وردپرسی نصب خواهد شد.
۳. به روز منظم سیستم، پلاگینها و پوستههای وردپرس
خیر و خوبی دیگر سیستمهای رئیس محتوا و مخصوصا وردپرس این میباشد که خویش سیستم به مدیریت وب سایت اخطار می دهد که سیستم، پلاگینها یا این که پوسته وردپرس نیاز به آپ تو دیت دارااست. بهاین نکته اعتنا داشته باشید که عالی میباشد ورژنی وردپرس وبسایت خویش را پنهان فرمایید. این قسمت سهل وآسان میباشد و مشکلی پیش نمیآورد. البته نکتهی اصلی دیگری در ارتباط افزونهها و پوستهها وجود دارااست. خوب میباشد پلاگینها و پوستههای بدون پول را نصب نکنید. بایستی پلاگینها و افزونهها را از وبسایت وردپرس بگیرید یا این که دیگر وب سایتهای مطمئن. انذار امنیتی دراینباره برای اینترنت فارسی و ورژنی فارسی پوستهها دورازشوخیخیس میباشد. زیرا پوستهها و پلاگینها اکثر وقت ها بدونپول نیستند و هیچکدام برای لهجه فارسی نیستند. افرادی آنهارا فارسی مینمایند و سپس برای به کار گیری در اینترنت فارسی عرضه مینمایند.
۴. محدودکردن دسترسیها و تغییر تحول منظم رمزعبور
تاجاییکه میشود و ممکن میباشد بایستی ورود (Login) به پیشخوان وردپرس و حیطهی مدیریتی آن را محصور کرد. تارنماهای وردپرسی که به یکسری نفر (User) اذنی دسترسی و انجام تغییرات و بار گذاری محتوا و فولدر را میدهند، می بایست بر شغل آنها بررسی داشته باشند. رمزعبور ادمین و یوزرها می بایست توانا باشد و منظم تغییرو تحول داده گردد. وردپرس این قابلیت و امکان را آماده کرده تا اسم ادمین وب سایت را تغییر تحول دهید. بدین ترتیب از اسم ادمین استعمال نکنید. چیز دیگری که عالی میباشد تغییر تحول داده گردد Login URL میباشد. نشانی ورود به حیطهی مدیریتی وردپرس یکی این دو میباشد: YOURSITE.com/wp-login.php یا این که YOURSITE.com/ wp-admin . هکرها هم بهخیر این دو نشانی را می شناسند و از آن برای ورود به وب سایت شما سوءاستفاده مینمایند. برخی پلاگینهای امنیتی وردپرس هم به شما قابلیت تغییر تحول این نشانی را می دهند.
۵. حفظ از wp-config.php و غیرفعالکردن File Editing
از مهم ترین و درعیندرحال حاضر حساسترین و زخمپذیرترین پوشهها در تارنما وردپرسی wp-config.php میباشد. این پوشه هستهی تارنما وردپرسی شماست و درصورتیکه اتفاقی برای آن بیفتد، عمل وبسایت شما با اخلال مواجه می شود. از بی آلایشترین شیوهها برای مراقبت از این فولدر نهفتهکردن (Hide) آن میباشد. یعنی می توانید این پوشه را در فولدرای بهغیر از public _ html ذخیره نمائید. علاوهبراین، وردپرس بهشکل پیشفرض اذنی ادیتکردن کدهای پلاگینها و پوستهها را در حوزهی مدیریتی می دهد. یعنی هر کاربری که میتواند وارد این حیطه خواهد شد، قادر است تغییراتی در وبسایت ساخت نماید. برای غیرفعالکردن این خصوصیت می بایست کد تحت را به فولدر wp-config.php اضافه فرمایید:
// Disallow file edit
define ( \'DISALLOW_FILE_EDIT\', true );
گردآوریبندی و فیضگیری
۱. هواخواهی امنیت وردپرس تیمای از امور را دربرگیرنده می شود. برخی از آن ها مشترک با سایری وبسایتها و برخی مختص به سیستم مدیر محتوای وردپرس میباشد.
۲. امان امنیت تارنماهای وردپرسی (مخصوصا وب سایتهای فروشگاهی) برای گوگل هم بسیار اصلی میباشد و اثر دارااست بر رنک تارنما در گوگل و بقیه موتورهای کاوش.
۳. بررسی و مانیتور منظم وبسایت وردپرسی برای یافتن حفرههای امنیتی و بدافزارها را نباید فراموش کرد.
۴. علاوهبر کلیهی مفاد اورده شده خوب میباشد هم روی کامپیوتر و هم روی تارنما وردپرسی فایروال (Firewall) نصب نمایید.
۵. جانبداری امنیت تارنما و سیستمهای رئیس محتوا بخشی از پیاده سازی و طراحی وب میباشد. بههمین عامل، مباحث جانبداری امنیت از سرفصلهای اصلی فراگیری ساخت سایت هم است.
نکاتی برای پشتیبانی امنیت سیستم مدیر محتوا وردپرس
تمامیی وبسایتها، حتی وب سایتهایی که از صفر نوشته میشوند، درمعرض خطر میباشند. حقیقت دنیای نت این میباشد که تک تک وب سایتها، حتی در شرایطی که کلیه استانداردهای امنیتی را رعایت کرده باشند، بازهم ممکن میباشد هک شوند یا این که اطلاعاتشان سرقت گردد. نکتهی اساسی این میباشد که امنیت تارنماها می بایست پیوسته طراحی سایت اخصاصی بررسی گردد.
پیش از پرداختن به آن ۵ نکته، بایستی خاطرنشان کرد که بخش اعظمی از این نکات برای مدد امنیت کلیه سایتها کاربرد داراهستند و صرفا منحصربهفرد به وب سایتهای وردپرسی نیستند. رعایت بخش اعظمی از این نکات امنیتی درواقع به عبارتی ترفندهای خاص پرهیز از هک سایت بهشمار میاید. پس مدیران تارنماهای وردپرسی دو مجموعه نکات امنیتی را بایستی درنظر داشته باشند: نکات امنیتی مشترک و نکات امنیتی مخصوص وردپرس.
درمیان نکات امنیتی و استانداردها نیز برخیها اصلیخیس از برخی دیگر می باشند. یعنی در رعایت این نکات حق تقدمبندی وجود دارااست و نمی شود برخی مورد ها را نادیده گرفت. دلیلش هم این میباشد که :
To some extent, a website is like the human body. If a certain part is damaged, it affects the whole system.
تاحدی، یک وب سایت مشابه تن بشر میباشد. در شرایطی که قسمتهای مشخصی زخم ببینند، تک تک سیستم متاثر میشود.
۵ نکته کاربردی برای دفاع امنیت وردپرس (WordPress CMS)
درمیان این ۵ نکته، به نصبکردن پلاگینی امنیتی و داشتن پروتکل HTTPS اشارهای نشده میباشد. اولا، به دلیل آنکه در نوشتهی علمیهای دیگری ( ۱۰تا از مهم ترین و کاربردیترین پلاگینهای وردپرس [2022] ) ضروریترین پلاگینی امنیتی وردپرس معرفی گردیده و راجع به پروتکل نیز در محتوای ترفندهای خاص خودداری از هک وب سایت که تا قبل از این به آن پیوند داده شدهاست بهشرح مشاجره گردیده. دوما، این مورد ها در همه محتواهای مرتبط بیان شده و تمامیی افرادیکه با سیستمهای رئیس محتوا فعالیت مینمایند بهنیکی با آنها آشنا میباشند. درادامه، ترجیح داده شد تا بهترتیب مهمترین و کاربردیترین نکات امنیتی تارنماهای وردپرسی معرفی گردد:
۱. هاست مطمئن و امن
اولین گام در مدد امنیت تارنما وردپرسی این میباشد که از شرکتی دارای اعتبار و مطمئن هاست تنظیم فرمایید. هواخواهیکنندگان مطمئن هاست خودشان استانداردهای امنیتی بالا و ابزارهای مختلفی برای حفاطت از سرورهایشان دارا هستند. بههمینبرهان، دادههای شما و وبسایت شما تاحد بسیار متعددی ایمن میگردد، مخصوصا دربرابر حملههای DDoS . مزیت دیگر این میباشد که این مجموعهها پیوسته سیستم و کانالی خویش را ذیل لحاظ دارا هستند و بهروز نگه میدارا هستند.
۲. تنظیمی ورژنی پشتوانه (Back up) از وب سایت
می بایست در فواصل هنگامی مشخص و معلوم از کلیه دادهها و کدهای تارنما ورژنی پشتوانه تهیه و تنظیم خواهد شد. اعتنا فرمائید کهاین ورژن بایستی درجای امنی حفظ گردد. در صورتی اتفاقی بیفتد یا این که حملهای هکری به وبسایت خواهد شد، با امداد همین ورژن میگردد وبسایت را مجدد تجدید بنا کرد. وب سایتهای وردپرسی پلاگینهای مختلفی دارا هستند که خودشان بهشکل خود کار از تارنما و کلیه مطالب و دادههای نو پکآپ میگیرند. بههمینبرهان، علاوهبر افزونههای امنیتی، بایستی پلاگینهایی که ورژنی حامی تنظیم مینمایند هم بر روی وبسایت وردپرسی نصب خواهد شد.
۳. به روز منظم سیستم، پلاگینها و پوستههای وردپرس
خیر و خوبی دیگر سیستمهای رئیس محتوا و مخصوصا وردپرس این میباشد که خویش سیستم به مدیریت وب سایت اخطار می دهد که سیستم، پلاگینها یا این که پوسته وردپرس نیاز به آپ تو دیت دارااست. بهاین نکته اعتنا داشته باشید که عالی میباشد ورژنی وردپرس وبسایت خویش را پنهان فرمایید. این قسمت سهل وآسان میباشد و مشکلی پیش نمیآورد. البته نکتهی اصلی دیگری در ارتباط افزونهها و پوستهها وجود دارااست. خوب میباشد پلاگینها و پوستههای بدون پول را نصب نکنید. بایستی پلاگینها و افزونهها را از وبسایت وردپرس بگیرید یا این که دیگر وب سایتهای مطمئن. انذار امنیتی دراینباره برای اینترنت فارسی و ورژنی فارسی پوستهها دورازشوخیخیس میباشد. زیرا پوستهها و پلاگینها اکثر وقت ها بدونپول نیستند و هیچکدام برای لهجه فارسی نیستند. افرادی آنهارا فارسی مینمایند و سپس برای به کار گیری در اینترنت فارسی عرضه مینمایند.
۴. محدودکردن دسترسیها و تغییر تحول منظم رمزعبور
تاجاییکه میشود و ممکن میباشد بایستی ورود (Login) به پیشخوان وردپرس و حیطهی مدیریتی آن را محصور کرد. تارنماهای وردپرسی که به یکسری نفر (User) اذنی دسترسی و انجام تغییرات و بار گذاری محتوا و فولدر را میدهند، می بایست بر شغل آنها بررسی داشته باشند. رمزعبور ادمین و یوزرها می بایست توانا باشد و منظم تغییرو تحول داده گردد. وردپرس این قابلیت و امکان را آماده کرده تا اسم ادمین وب سایت را تغییر تحول دهید. بدین ترتیب از اسم ادمین استعمال نکنید. چیز دیگری که عالی میباشد تغییر تحول داده گردد Login URL میباشد. نشانی ورود به حیطهی مدیریتی وردپرس یکی این دو میباشد: YOURSITE.com/wp-login.php یا این که YOURSITE.com/ wp-admin . هکرها هم بهخیر این دو نشانی را می شناسند و از آن برای ورود به وب سایت شما سوءاستفاده مینمایند. برخی پلاگینهای امنیتی وردپرس هم به شما قابلیت تغییر تحول این نشانی را می دهند.
۵. حفظ از wp-config.php و غیرفعالکردن File Editing
از مهم ترین و درعیندرحال حاضر حساسترین و زخمپذیرترین پوشهها در تارنما وردپرسی wp-config.php میباشد. این پوشه هستهی تارنما وردپرسی شماست و درصورتیکه اتفاقی برای آن بیفتد، عمل وبسایت شما با اخلال مواجه می شود. از بی آلایشترین شیوهها برای مراقبت از این فولدر نهفتهکردن (Hide) آن میباشد. یعنی می توانید این پوشه را در فولدرای بهغیر از public _ html ذخیره نمائید. علاوهبراین، وردپرس بهشکل پیشفرض اذنی ادیتکردن کدهای پلاگینها و پوستهها را در حوزهی مدیریتی می دهد. یعنی هر کاربری که میتواند وارد این حیطه خواهد شد، قادر است تغییراتی در وبسایت ساخت نماید. برای غیرفعالکردن این خصوصیت می بایست کد تحت را به فولدر wp-config.php اضافه فرمایید:
// Disallow file edit
define ( \'DISALLOW_FILE_EDIT\', true );
گردآوریبندی و فیضگیری
۱. هواخواهی امنیت وردپرس تیمای از امور را دربرگیرنده می شود. برخی از آن ها مشترک با سایری وبسایتها و برخی مختص به سیستم مدیر محتوای وردپرس میباشد.
۲. امان امنیت تارنماهای وردپرسی (مخصوصا وب سایتهای فروشگاهی) برای گوگل هم بسیار اصلی میباشد و اثر دارااست بر رنک تارنما در گوگل و بقیه موتورهای کاوش.
۳. بررسی و مانیتور منظم وبسایت وردپرسی برای یافتن حفرههای امنیتی و بدافزارها را نباید فراموش کرد.
۴. علاوهبر کلیهی مفاد اورده شده خوب میباشد هم روی کامپیوتر و هم روی تارنما وردپرسی فایروال (Firewall) نصب نمایید.
۵. جانبداری امنیت تارنما و سیستمهای رئیس محتوا بخشی از پیاده سازی و طراحی وب میباشد. بههمین عامل، مباحث جانبداری امنیت از سرفصلهای اصلی فراگیری ساخت سایت هم است.