بررسی و بهبود امنیت سایت وردپرسی

27 فروردین 1399
wpsecurityaudit-og

آیا می خواهید که یک بازرسی امنیتی را برای اطمینان از امنیت وردپرس و وب سایت وردپرسی خود اجرا کنید؟

وردپرس در حالت کلی امن است. اما اگر زمانی به امنیت وب سایت وردپرسی خود شک کردید، آنگاه می توانید که یک بازرسی امنیتی را بر روی وب سایت خود انجام دهید تا از صحت عملکرد امنیتی آن مطمئن شوید.

در این آموزش به شما نشان خواهیم داد که چگونه بدون پایین آوردن (یا قطع) وب سایت خود، یک پروتکل امنیتی را بر روی وب سایت خود اجرا کنید.

تست امنیت وب سایت وردپرسی

بازرسیِ امنیتیِ وردپرس چیست؟

بازرسی امنیت وردپرس فرآیند بررسی وب سایت شما برای علائم نقض امنیتی است. شما می توانید یک فرایند بررسی امنیتی را بر روی وب سایت خود اجرا و بدین وسیله مشکلات امنیتی وب سایت را پیدا کنید. مشکلات امنیتی ای مثل کدهای مخرب، فعالیت های مشکوک، درگیری های فعالیتی غیرمعمول و غیره.

ایمن سازی اولیه ی وردپرس دارای مراحلی است که می توانید قدم به قدم، و به صورت دستی آن ها را انجام دهید. اما برای یک بازرسی کامل تر، می توانید از یک ابزار امنیت سنج وردپرسی استفاده کنید. این ابزارها به صورت اتوماتیک وب سایت شما را بازرسیِ امنیتی خواهند کرد. همچنین خدمات بازرسیِ امنیتیِ آنلاین برای وردپرس نیز وجود دارد که می توانید از آن ها برای ارزیابی امنیت وب سایت خود استفاده کنید.

اگر چیز مشکوکی در سایت خود پیدا کردید می توانید آن را ایزوله، حذف و تعمیر نمایید.

چه زمانی باید یک بازرسی امنیتی را بر روی سایت خود اجرا کنیم؟

باززرسی امنیتی برای وب سایت وردپرسی را باید حداقل هر سه ماه یک بار انجام دهید. این کار باعث می شود که همیشه در راس میزان امنیت قرار داشته باشید و نقاط ضعفِ وب سایتِ خود را قبل از ایجاد مشکل برطرف کنید.

با این وجود اگر خارج از زمان مقرر برای اجرای بازرسی امنیتی، شاهد مشکلی در سایت خود بودید، باید فورا بازرسی را انجام دهید.

برخی از علائمی که حاکی از وجود نقض امنیتی هستند و با مشاهده ی آن ها نیاز به بازرسی امنیتی احساس خواهد شد:

  • به طور ناگهانی وب سایت شما ضعیف، آهسته و کند شود.
  • به طور ناگهانی شاهد کاهش ترافیک سایت شوید.
  • اکانت های جدید و مشکوکی یا تلاش های ناموفق مکرر برای ورود به سایت و درخواست های مکرر فراموشی پسورد را روی سایت خود دیدید.
  • اگر لینک های مشکوکی را دیدید که بر روی وب سایت شما ظاهر می شوند.
  • و...

خب! برویم سراغ چگونگی پیاده سازی یک بازرسی امنیتی بر روی وب سایت وردپرسی خود.

مراحل بازرسی امنیتی در وردپرس

مراحل زیر برخی از گام های پیاده سازی یک بازرسی امنیت وردپرس می باشد:

1. بروزرسانی ها را بررسی کنید

بروزرسانی های وردپرس به شدت برای ایمن سازی وب سایت شما لازم هستند. این بروزرسانی ها، آسیب پذیری های امنیتی را رفع می کنند، امکانات جدیدی را فراهم می سازند و عملکرد سایت را بهبود می بخشند. بنابراین حتما از بروز بودن افزونه ها، وردپرس، قالب سایت و... اطمینان حاصل کنید. برای بررسی این موضوع می توانید از منوی موجود در پنل مدیریت وردپرس به بخش Updates مراجعه کنید.

منوی بروزرسانی وردپرس

در این برگه، وردپرس تمام بروزرسانی های موجود را پیدا کرده و برای شما لیست می کند تا بتوانید آن ها را نصب کنید.

2. اکانت های کاربران و پسوردهایشان را بررسی کنید

برای بررسی اکانت های اعضای سایت خود باید در پنل وردپرس به بخش Users مراجعه کنید. به دنبال اکانت مشکوک یا غیرمعمولی بگردید. اکانتی که نباید وجود داشته باشد اما هست.

اگر وب سایت کاربرمحوری مثل وب سایت «همکاری در فروش» داشته باشید، بررسی کمی سخت است اما اگر وب سایت شما یک وبلاگ شخصی یا یک سایت شرکتی باشد، آنگاه باید به جز اکانت های خودتان، اکانت دیگری در این بخش وجود نداشته باشد.

اکانت های اعضای وردپرس

اگر اکانت مشکوکی را مشاهده کردید می توانید سریعا اقدام به حذف آن نمایید.

توجه داشته باشید که اگر وب سایت شما نیاز به عضو و ثبت نام ندارد، حتما امکان ثبت نام را در تنظیمات وردپرس غیر فعال کنید. در تنظیمات پنل وردپرس، به بخش General بروید و از غیر فعال بودن امکان ثبت نام همه (هرکسی می تواند ثبت نام کن) اطمینان حاصل نمایید.

هر کسی می تواند ثبت نام کند در وردپرس

محض احتیاط، پسورد خود را (به عنوان ادمین سایت) تغییر دهید. حتما از پسوردهای بسیار قوی برای ورود به سایت خود استفاده نمایید.

3. یک اسکن امنیتی برای سایت وردپرسی خود انجام دهید

اسکن امنیتی وردپرس

در این مرحله باید یک اسکن خودکار امنیتی را بر روی وب سایت خود اجرا کنید. خوشبختانه ابزارهای آنلاین زیادی برای انجام این کار وجود دارند. ما استفاده از ابزار آنلاین IsItWP Security Scanner را پیشنهاد می کنیم. این ابزار بسیاری از بدافزار ها و نقاط ضعف وب سایت شما را بررسی و نمایان خواهد کرد.

این ابزار کاربردی صرفا توانایی بررسی سطحی برگه های اصلی وب سایت شما را دارد. برای یک اسکن عمیق تر و دقیق تر، روش های بهتری را در ادامه آموزش معرفی خواهیم کرد.

4. تجزیه و تحلیل آماری وب سایت وردپرس

تجزیه و تحلیل آمار های وب سایت (Website analytics) به شما این امکان را می دهد تا ترافیک وب سایت خود را به دقت زیر نظر داشته باشید. این ابزارها نشانگرهای خوبی برای بررسی صحت عملکرد وب سایت شما هستند.

اگر وب سایت شما توسط مرورگرها در لیست سیاه قرار گرفته باشند، آنگاه یک افت شدید و ناگهانی را در ترافیک سایت خود مشاهده خواهید کرد. همچنین اگر وب سایت شما کند یا غیررسپانسیو هم باشد، ترافیک سایت شما پایین خواهد بود.

ما برای بررسی ترافیک سایت، ابزار MonsterInsights را پیشنهاد می کنیم. این ابزار نه تنها برای بررسی بازدیدهای سایت شما مناسب است، بلکه می توانید از آن برای ردیابی کاربران ثبت نام شده، ردیابی و بررسی مشتریان ووکامرس، بررسی عملکرد فرم های تماس و موارد دیگر نیز استفاده کنید.

5. بررسی یا راه اندازی سیستم پشتیبان گیری (back up) وردپرس

اگر تاکنون سیستمی را برای گرفتن پشتیبان از سایت وردپرسی راه اندازی نکرده اید، همین حالا یک پلاگین مخصوص بک‌ آپ را بر روی سایت خود نصب و فعالسازی کنید. این کار باعث می شود همیشه یک نسخه ی پشتیبان از سایت خود داشته باشید تا در صورت خراب شدن یا هک شدن سایت بتوانید دوباره آن را راه اندازی کنید.

از طرف دیگر، بسیاری از وردپرس کاران مبتدی بعد از نصب این پلاگین ها، دیگر آن ها را بررسی نمی کنند. گاهی اوقات پلاگین های پشتیبان گیری بدون هیچ گونه اطلاعی از کار می افتند. پس بهتر است هر چند وقت یک بار از صحت عملکرد این افزونه ها نیز اطمینان حاصل کنید.

اتوماتیک سازی بازرسی امنیتی در وردپرس

روش ها و گام هایی که تا اینجا بررسی کردیم، مهم ترین و ابتدایی ترین مفاهیم و گام ها در بررسی امنیت وب سایت وردپرسی بودند. با این حال این مراحل و اقدامات هنوز کامل به نظر نمی آیند و شاید نقاط ضعفی در وب سایت شما باقی مانده باشد.

برای مثال، بررسی دستی و چشمی فعالیت کاربران بسیار مشکل و وقت گیر است. همچنین بررسی تک تک فایل ها و کدهای مشکوک و غیره نیز پروسه ای سخت و طاقت فرسا می باشد. این مشکل ما را به سمت استفاده از پلاگین هایی سوق خواهد داد. بله! پلاگین هایی وجود دارند که بازرسی امنیت وردپرس را به صورت خودکار انجام و در پایان یک گزارش از تمام بررسی ها را ارائه می دهند.

1. پلاگین WordPress Security Audit Log

پلاگین 1. WordPress Security Audit Log

افزونه ی WordPress Security Audit Log یکی از بهترین افزونه های بررسی سطح امنیت در وب سایت های وردپرسی است.

این افزونه به شما این امکان را می دهد تا فعالیت های همه ی کاربران وب سایت خود را پیگیری کنید. با این افزونه می توانید لیست همه ی لاگین ها، آدرس های آی‌پی و کار هایی که کاربران انجام داده اند را ببینید.

لیست های افزونه ی WordPress Security Audit Log

همچنین می توانید فعالیت های اعضای ووکامرسی سایت خود را نیز پیگیری کنید. حتی نویسندگان دیگر سایت، اعضای مسئول ویرایش سایت و اعضای دیگر پلاگین ها را که بر روی سایت شما هستند نیز می توانید پیگیری و بررسی کنید. حتی می توانید مواردی را که دوست ندارید به شما گزارش شود، غیرفعال نمایید.

غیر فعال کردن گزارش ها در افزونه ی WordPress Security Audit Log

این افزونه لیستی از تمام کاربران لاگین شده در سایت را به شما نمایش می دهد و می توانید اعضای لاگین شده و حاضر در سایت را در لحظه ببینید. اگر اکانت یا مورد مشکوکی را دیدید می توانید همانجا او را بلاک کرده و اکانتش را حذف نمایید.

2. پلاگین Sucuri

پلاگین Sucuri

افزونه ی Sucuri یک از بهترین افزونه های فایروال برای وردپرس است. این افزونه بسیاری از امکانات امنیتی برای یک وب سایت وردپرسی را یکجا دارد. این افزونه یک سیستم حفاظتی را در مقابل حملات DDoS به وجود می آورد و با انجام این کار مانع از رسیدن فعالیت های مشکوک روی سایت می شود (یعنی حتی قبل از رخ دادن فعالیت ها و ویروس های مشکوک، جلوی رسیدن آن ها به سایت را می گیرد). این کار باعث بهبود عملکرد وب سایت در دراز مدت می شود.

این پلاگین یک ابزار درونی دارد که همواره فایل های سایت را بررسی می کند و به دنبال کدهای مشکوک و مخرب می گردد. همچنین مثل پلاگین قبلی امکان بررسی جزئیات کاربران را نیز فراهم می آورد. از همه مهم تر این که ارائه ی سیستم حذف بدافزار در این پلاگین کاملا رایگان است.

خب دوستان و همراهان گرامی به پایان یکی دیگر از آموزش ها رسیدیم. امیدواریم که آموزش بررسی و بهبود امنیت وردپرس برای شما مفید واقع شده باشد. سوالات و نظرات خود را در زیر همین مطلب با ما به اشتراک بگذارید. موفق و سربلند باشید.


منبع: سایت WP Beginner

نویسنده شوید

دیدگاه‌های شما

در این قسمت، به پرسش‌های تخصصی شما درباره‌ی محتوای مقاله پاسخ داده نمی‌شود. سوالات خود را اینجا بپرسید.