سامانه مراقبت از خانواده SPY24 نظارت بر فرزندان، برنامه ردیابی و کنترل نامحسوس هک گوشی موبایل و تبلت از راه
جلوگیری از هک وردپرس | هک شدن سایت
فکر کنین یک روز صبح از خواب بلند میشین و سایت زیبای خودتون رو به شکل دیگهای میبینین. هک شده، پر از لینکهای متعدد و مطالب نامربوط به سایت. میتونم اولین واکنش شما رو حدس بزنم! روزانه نزدیک به ۹۰ هزار وبسایت هک میشن. همه میخوان کارهایی برای جلوگیری از هک وردپرس و سایت خودشون انجام بدن. چون بازیابی وبسایت، زمان و تلاش جدی رو به خودش اختصاص میده. برای جلوگیری از حملات هکرها، تلاش مستمر نیازه تا شما از این سرنوشت وحشتناک در امان باشید.
میدونیم که سیستمهای مدیریت محتوای زیادی وجود دارن اما هیچ کدوم به اندازه سایت وردپرس، عظیم نیستن. وردپرس با بیش از ۵۱.۶ میلیون سایت (که هر روز در حال افزایشه) به شما میگه که این سیستم تا چه حد برتر و محبوب هست. من میخوام به شما کمک کنم تا سایت وردپرس خودتون رو از حملات و هک شدن در امان نگه دارین. قطعاً تا حالا شنیدین که پیشگیری بهتر از درمانه. پس جلوگیری از هک وردپرس خیلی ارزونتر از درست کردن سایت بعد از هک برای شما تموم میشه. راه و روشهای زیادی برای هک کردن وجود داره. اما از طرفی راههای زیادی هم برای حفظ امنیت هست. این نکاتی که قراره در ادامه برای شما بگم رو مطمئن شین که انجام دادین یا انجام میدین تا سایت وردپرس خودتون رو ایمن نگه دارین.
۱۳ گام امنیتی برای جلوگیری از هک وردپرس
۱. از کامپیوتر خودتون شروع کنین
این اولین و راحتترین کار ممکنه. شما همیشه باید سیستم خودتون رو از نرم افزارهای مخرب و ویروسها در امان نگه دارین. به خصوص اگر به اینترنت دسترسی دارین (که قطعاً دارین!). حفاظت از ایستگاه کاری یا همون کامپیوتر، حتی در مقایسه با انجام و اداره یک عملیات و یا داشتن وب سایت، از اهمیت بیشتری برخورداره. چون تنها چیزی که لازمه یک کیلاگر(Keylogger) هست تا سختترین وب سایت ها رو هم از پا دربیاره. یک کیلاگر تمام نامهای کاربری و رمزهای عبور شما رو میخونه و برای هکرها ارسال میکنه. با این کار مجموعهای از مشکلات برای وبسایت شما ایجاد میشه.
امنیت کامپیوتر خودتون رو تأمین کنین. سیستم عامل، نرم افزار و مرورگرهای خودتون رو در رایانه به روز نگه دارین. از آنتی ویروس خوب استفاده کنین. مراقب هرگونه آسیب پذیری باشین و از موارد احتمالی، تا به مشکل بزرگتری تبدیل نشدن جلوگیری کنین. اگر کامپیوتر شما عملکردهای عجیب غریبی از خودش نشون داد، بهتره کامپیوتر رو بررسی کنین تا قبل از اینکه هکرها دسترسی کامل به سیستم شما پیدا کنن خودتون بتونین مشکل کار رو پیدا کنین.
۲. وردپرس رو به روز نگه دارین
هر بار که نسخه جدیدی از وردپرس منتشر میشه، باید اون رو نصب کنین. بیشتر ما هیجان زده میشیم که نسخه جدید وردپرس روونه بازار شده. هکرها هم هیجان زده میشن! چون بلافاصله به بررسی قسمت یادداشتهای امنیتی و نگهداری(The Security and Maintenance Release) میپردازن. متأسفانه هر به روز رسانی وردپرس همراه با کشف تعدادی از آسیب پذیریهای امنیتی وردپرس در نسخه قدیمی هست. ما با هر به روز رسانی جدید وردپرس، هم ویژگیهای نسخه جدید دستمون میاد و هم نقایص امنیتی نسخه قبلی. البته در نسخه جدید تمامی نقایص برطرف شدن. اگر وب سایت شما هک بشه در حالتی که نسخه جدید رو نداشتین، دیگه متأسفانه برای اقدام خیلی دیره. پس به هکرها فرصت ندین و نسخه آخر رو نصب کنین. اگر میترسین که با به روز رسانی وبسایت شما بهم بریزه، از قبل یک نسخه پشتیبان از سایت تهیه کنین.
پیشنهاد برای مطالعه
آپدیت نشدن وردپرس – رفع مشکل آپدیت نشدن WordPress با چند روش امتحان شده
۳. مطمئن بشین که سرور میزبان شما امنه
میدونستین که تا سال ۲۰۱۹ تقریباً ۵۴ درصد از وبسایت ها هنوز از PHP 5 استفاده میکردن؟! این یعنی هیچ به روز رسانی دریافت نمیشده و سایت به شدت آسیب پذیر بوده. حتی نسخه ۷.۱ PHP هم از اول دسامبر ۲۰۱۹ منقضی شده. نسخههای قدیمی مثل اینها، دیگه پشتیبانی نمیشن و مستعد هک شدن هستن. اگر میدونین که وب سایت شما نسخه قدیمیه، از هاست خودتون بخواین تا در صورت امکان سایت شما رو به نسخه جدیدتر منتقل کنه. اساساً، صرف نظر از امنیت بالا سایتها، اگه یک سایت در یک سرور مشترک آلوده بشه، هر سایت دیگهای در اون سرور در معرض خطره. اگر چیزی در سرور به مشکل بربخوره، حالا حالاها از بین نمیره، تازه بخشی از سرور میشه و به بقیه هم آسیب میزنه.
قبل از اشتراک، امنیت اون رو بررسی کنین. اطمینان حاصل کنین که اونها سرورهای خودشون رو به طور منظم نگهداری میکنن و به جدیدترین نسخههای نرم افزار دسترسی دارن. اگر میخواین در جلوگیری از هک شدن WordPress موفق عمل کنین، این مورد یکی از کارهای کلیدی هست که باید انجام بدین.
پیشنهاد برای مطالعه
انتخاب هاست … کلیدی ترین نکات در انتخاب سرویس میزبانی Hosting
4. برای جلوگیری از رهگیری رمز عبور و داده از انتقال امن استفاده کنین
از طریق اتصال بدون امنیت، دادهها قابل رهگیری هستن. یعنی قبل از اینکه بگین “رمز گذاری نشده(Unencrypted)”، میتونین هک بشین. به همین دلیله که شما باید روی اتصلات و شبکههای امن رمزگذاری شده تمرکز کنین. از سمت سرور، از سمت کلاینت و از همه جهات. میزبانی رو پیدا کنین که با رمزگذاری SSH/SFTP از دادهها و اطلاعات شما در برابر رهگیریهای مخرب محافظت کنه. همچنین در سایت شما باید یک گواهی ایمن نصب و راه اندازی شده باشه تا هنگام ورود به سیستم، اعتبار شما به طور ایمن منتقل بشه.
پیشنهاد برای مطالعه
انواع هاست … معرفی و معیارهای انتخاب هاست مناسب برای سایت
۵. جلوگیری از هک شدن وردپرس با رمزهای عبور پیچیده
هشدار
یک رمز عبور قوی ایجاد کنین و هرگز از رمزهای عبور قبلی استفاده مجدد نکنین.
گذر واژهها گام بعدی ما در مورد چگونگی محافظت از وردپرس در برابر هکرها است. تعداد قابل توجهی از مردم ترجیح میدن تا از گذر واژههای کوتاهتر و راحتتر به نسبت گذر واژههای طولانی و پیچیده استفاده کنن. به این دلیل که یادآوری رمز عبور کوتاه، راحتتره. اما واقعیت اینه که هکرها این موضوع رو میدونن و از اون بهره میبرن. یک رمز عبور قوی متشکل از حروف، اعداد و سایر کاراکترهای معتبر هست. این کار یکی بهترین روش برای جلوگیری از هک وردپرس شما است. هر چی رمز عبور شما سادهتر و کوتاهتر باشه، شکستن اون راحتتره. پس هر چقدر رمز عبور با کاراکترهای بیشتر استفاده کنین، هک کردن مدت زمان بیشتری طول میکشه.
شکستن رمزی که حاوی هرگونهاطلاعات شخصی یا گذر واژههایی مبتنی بر اونها مثل تولد یا نام افراد باشه، به راحتی امکان پذیره. از کلمه عبوری که صرفاً متشکل از فقط حروف، فقط عدد باشه استفاده نکنین. همیشه سعی کنین ترکیبی از حروف و اعداد و کاراکترهای معتبر دیگه باشه (صرف نظر از طول اون). رمز عبوری ایجاد کنین که به راحتی به خاطر بسپارین ولی از طرفی حدس زدن اون دشوار باشه.
مثال
enterSOMEwords753@andNUMBERS59!$
6. پایگاه دادههای خودتون رو امن و جداگونه نگه دارین
پایگاه داده شما چیزیه که تمامی اطلاعات سایت شما و هر چیزی که تا به حال در سایت اتفاق افتاده رو داره و ذخیره کرده. یعنی یک منبع واقعی از اطلاعات و چیزی که همیشه هکرها دنبال اونن. کدهای اتوماتیک برای تزریق SQL به پایگاه داده و وبسایت شما، میتونه به طور کامل هک بشه. اگر شما چندین سایت و وبلاگ رو از یک سرور واحد و پایگاه داده اجرا میکنین، تمام سایت های شما در معرض خطر هستن. بهتره که از یک سرور مشترک استفاده نکنین. به عبارت ساده تر، هر وبسایتی که شما میزبانی میکنین، باید پایگاه داده و کاربر پایگاه داده جداگونهای داشته باشه.
هشدار
فقط کاربر پایگاه داده باید به پایگاه داده دسترسی داشته باشه.
شما همچنین میتونینتمام امتیازات پایگاه داده رو لغو کنین به جز خوندن و نوشتن داده برای کاربرانی که با پست کردن، آپلود و نصب پلاگینها کار میکنن.
شما حتی باید پایگاه داده خودتون رو تغییر نام بدین (با تغییر پیشوند) تا از حمله هکرها تا حد الامکان جلوگیری کنین. البته در بعضی مواقع این باعث جلوگیری از هک WordPress نمیشه ولی مطمئن باشین که اگر پایگاه داده به خطر بیفته، هکرها نمیتونن وردپرس بعدی رو نصب کنن.
۷. اطلاعات ورود به سیستم و نام Admin رو مخفی کنین
حالتهای پیش فرض وردپرس رو عوض کنین و همینجوری رهاش نکنین. تمام چیزی که هکرها نیاز دارن اضافه کردن author=1? بعد از URL شما و شخصی که به نظر میره ادمین باشه، هست. تصور کنین وقتی که هکرها نام کاربری ادمین رو بدونن چقدر کارشون راحت میشه. راه حل برای جلوگیری از هک شدن وردپرس ،مخفی کردن تمام نامهای کاربری با کد در فایل functions.php هست.
صفحه ورود شما به راحتی قابل دسترسیه. اگر شما به سادگی wp-admin یا wp-login.php رو بعد از URL صفحه اصلی خودتون قرار بدین، تنها چیزی که باقی میمونه، کمی تلاش برای حدس کلمه عبوره. URL صفحه ورود به سیستم خودتون رو تغییر بدین تا کار رو برای هکرها دشوار کنین. پلاگینهای امنیتی مثل iThemes Security دارای تنظیماتی برای مخفی کردن اطلاعات ورود هستن تا از دسترسی راحت برای ورود به سیستم جلوگیری کنن.
۸. پلاگینهای امنیتی وردپرس و ترفندهایی برای محافظت از wp-admin
قسمت wp-admin مهمترین بخش نصب وردپرس شما است. متأسفانه صفحه ورود به سیستم و دایرکتوری ادمین برای همه در دسترس هست. از جمله برای کسایی که با هدف مخرب کار میکنن. برای محافظت و جلوگیری از حمله هکرها، باید کمی سختتر کار کنین.
iThemes Security
یک رمز عبور قوی، یک حساب کاربری متفاوت (چیزی به جز admin) و استفاده از پلاگینهای امنیتی برای تغییر نام لینکهای ورود به سیستم، قطعاً به جلوگیری از هک شدن وردپرس کمک میکنه.
Malcare
شما میتونین محافظت از پنل ادمین و سایت خودتون رو با Malcare قویتر کنین. اسکن پرونده، تمیز کردن اضطراری، فایروال ساخته شده برای جلوگیری از ترافیک مخرب، به روز رسانی تمها و پلاگینها به طور مستقیم از داشبورد اونها و گرفتن نسخه پشتیبان تنها با یک کلیک از جمله کارهایی هست که میتونین انجام بدین.
محدود کردن تلاشهای مجدد برای ورود به سیستم
با تلاش برای ورود به سیستم به صورت نامحدود، هر هکری نهایتاً نفوذ میکنه. میتونین با استفاده از افزونه Limit Login Attempts Reloaded، میزان تلاش برای ورود به سیستم رو برای هر کاربری محدود کنین.
پیشنهاد برای مطالعه
معرفی چند افزونه امنیتی وردپرس – Plugin های امنیتی برای محافظت از سایت WordPress
9. از وبسایت خودتون نسخه پشتیبان تهیه کنین
تهیه نسخه پشتیبان یکی از اولین مواردی هست که در صورت هک شدن برای بازیابی سایت خودتون بهش نیاز دارین. هیچ بهونهای برای سهل انگاری در این مورد پذیرفته نیست چون افزونههایی وجود دارن که به صورت خودکار بازیابی سایت رو انجام میدن. بعضی از افزونهها که میتونیم بهتون پیشنهاد کنیم عبارتند از:
VaultPress
UpdraftPlus
WP-DB-Backup
BackupBuddy
یک فهرست و زمان بندی ایجاد کنین و به افزونه اجازه بدین تا بقیه کارها رو انجام بده. برخی از این افزونهها دارای گزینههای بازگردانی آسون هستن. بررسی کنین که پلاگینها از کل سایت از جمله تمام پایگاه دادهها و دایرکنوریها نسخه پشتیبان تهیه میکنن. اگر چه این کار از هک وردپرس جلوگیری نمیکنه اما به شما آرامش میده در صورت اتفاق غیرقابل تصور، سایت خودتون رو بازیابی کنین.
۱۰. از منابع معتبر برای بارگیری استفاده کنین
اگر با بودجه محدود برای کار کردن سر و کار دارین، ممکنه دنبال گزینهای باشین که تمام ویژگیهای پلاگین و تمها رو به صورت رایگان دریافت کنین. اگر چیزی از منابع نامعتبر یا غیرقانونی دانلود کنین، باید همیشه منتظر یک حمله هکری باشین؛ پلاگینهای کرک شده.
افزونهها یا تمهای کرک شده حاوی درهای مخفی هستن که به اونها امکان میده تا به راحتی کنترل سایت شما رو در دست بگیرن. این باعث نفوذ بدافزار میشه. سایت شما در صورت داشتن بدافزار، به سرعت در لیست سیاه قرار میگیره حتی از موتورهای جستجو و مرورگرها هم حذف میشه. این یک روش شناخته شده و بسیار محبوب هکرها است.
۱۱. امنیت خوب وردپرس با مجوزهای خوب پرونده
قانون کلی برای دایرکتوریها ۷۵۵ و برای فایلها ۶۴۴ هست. اگر چه این ممکنه بسته به نوع سرور و نوع پرونده مورد نظر متفاوت باشه. در اکثر موارد شما باید کار کردن با این مجوزها رو بلد باشین. بهترین کار اینه از میزبان خودتون بخواین بررسی کنه یا اگر دسترسی مستقیم دارین، میتونین خودتون انجام بدین.
۱۲. هرگز مجوزهای پرونده رو روی ۷۷۷ تنظیم نکنین
اگر واقعاً میخواین برای جلوگیری از هک شدن وردپرس اقدام کنین، هرگز مجوز پروندهها و دایرکتوری رو روی ۷۷۷ قرار ندین. مگر اینکه بخواین کنترل کامل اون رو برای همه از جمله هکرها اعمال کنین. این کار بین مبتدیها مرسومه. چون فکر میکنن این کار راحتتره یا بعداً قابل درست کردن و تغییره. این کار بسیار خطرناکه. ۷۷۷ به این معنی که هر کسی در اینترنت میتونه محتوا پرونده رو تغییر بده. با تنظیم این مجوز، در وب سایت شما به روی همه بازه. دسترسی به یک پرونده، موجب دسترسی به پروندههای دیگه و سایر موارد ناخوشایندی برای شما میشه. مجوزهای صحیح به جلوگیری از هک WordPress کمک میکنه.
۱۳. از پیکربندی وردپرس برای بهبود امنیت سایت، محافظت کنین
این یکی از موضوعاتی هست که کمی بحث برانگیزه. همه موافق انجام این کار نیستن. خواه ناخواه، واقعیت اینه که، انتقال wp-config.php به خارج از پوشه Root و کمی تغییر کد در این فایل، به سخت شدن وبسایت شما کمک میکنه. با سخت شدن وبسایت، کار هکرها هم دشوارتر میشه و این همون چیزی هست که همه میخوان.
اگه وردپرس هک شد چه کار باید کرد؟
حتی اگر تمام این موارد رو انجام بدین، باز هم ممکنه که قربانی هکرها بشین. وحشت نکنین و مراحل زیر رو دنبال کنین.
۱. نوع هک رو شناسایی کنین
راه حل بازگردانی سایت شما به نوع هک وردپرس بستگی داره. یعنی اولین قدم همین تعریف نوع هک هست.
۲. بازیابی از نسخه پشتیبان رو امتحان کنین
وقتی مرتباً پشتیبان گیری میکنین، بازیابی سایت هک شده خودتون رو راحتتر میکنین. در این حین باید مطمئن باشین که پلاگینها و تمها یا هر چیز دیگهای به روز هست.
۳. از ارائه دهنده میزبان خودتون کمک بگیرین
بیش از ۴۰ درصد از وبسایتهای هک شده، از نظر امنیتی در سیستم عامل میزبان آسیب پذیر بودن. پس زمانی که وب سایت شما هک شد، یک راه خوب اینه که از ارائه دهنده میزبان خودتون بخواین در برگردوندن سایت به شما کمک کنه.
۴. برای پیدا کردن بدافزار شروع به اسکن کنین
در بسیاری از موارد هکرها با استفاده از در پشتیBackdoor به وبسایت شما دسترسی پیدا میکنن. هکرها بدون نیاز به هیچگونه اطلاعات ورود به وب سایت شما میان و تا مدتی که نمیدونیم چقدره، میمونن.
۵. کاربران وردپرس رو بررسی کنین
به احتمال زیاد شما چندین کاربر در وبسایت دارین. اونها بر اسای تواناییهایی که دارن از قابلیتهای مختلفی برخوردار هستن. گاهی هکرها کاربران جدیدی رو برای سایت شما تعریف میکننو مجوزهایی رو به کاربران ساخته شده میدن.
۶. کلیدهای مخفی رو تغییر بدین
کلیدهای مخفی از ویژگیهای مفید وردپرس هستن. این کلیدها حاوی متن ایجاد شده تصادفی هستن که به رمزگذاری اطلاعات ذخیره شده در کوکیها کمک میکنن. اگر اونها رو ندارین باید ایجاد کنین. اگر هم دارین و سایت شما هک شده باید اونها رو تغییر بدین.
۷. تمامی رمزهای عبور رو تغیر بدین
این کار یک مرحله معمول اما حیاتی در بازیابی وبسایت هک شده هست. تمام رمزهای عبور خودتون رو دوباره تنظیم کنین. رمزهای عبور معمول شامل Admin، cPanel، MySQL، FTP و غیره هستن.
این موارد برای زمان بعد از هک به طور خلاصه گفته شده. اگر تمایل دارین بیشتر اطلاعات کسب کنین، میتونین مقاله مرتبط سایت ما رو مطالعه کنین.
پیشنهاد برای مطالعه
دلیل هک شدن سایت چیه + نکات امنیتی قبل، در حین و بعد از هک شدن!
جلوگیری از هک وردپرس
قربانی شدن توسط هکرها تجربه وحشتناکیه، به خصوص اینکه اگر اولین بار باشه. با این حال، حالا که این مقاله رو خوندین، باید دید روشن تری در مورد اقدامات لازم برای بازگردادن وبسایت هک شده خودتون داشته باشین. همچنین دید روشنی نسبت به اقدامات پیشگیرانه برای جلوگیری از هک شدن WordPressباید براتون ایجاد شده باشه. در صورت تمایل این مقاله رو ذخیره کنین تا در مواقع مورد نیاز بتونین اون رو بخونین. همینطور به اشتراک گذاشتن این مقاله با دیگران، میتونه بقیه رو از این خطر مطلع کنه و راهکارهای لازم رو بهشون منتقل کنه.