نکات عمومی و پایه ای برای ارتقای امنیت در وردپرس

نکات عمومی و پایه ای برای ارتقای امنیت در وردپرس

در این مقاله به نکات ابتدایی و پایه برای ارتقای امنیت در وردپرس میپردازیم

1.نکاتی که برای امنیت بیشتر وردپرسباید رعایت کرد:

با ترکیب کاراکترها رمز عبوری شکست ناپذیر بسازید

یکی از رایج ترین دلایل هک شدن رمز عبور کاربران، سادگی آن است.

سادگی به این معنا که رمز عبور فقط شامل اعداد است این را در نظر بگیرید که وقتی تنها از اعداد استفاده می کنید،

به عنوان مثال، رمز ۱۲۳۴۵۶ را انتخاب می کند،

ترکیب این اعداد خارج از شمارش نیست و چنانچه عملیات حدس رمز بر اساس شمارش باشد

(یعنی شمارش از اولین عدد شش رقمی شروع شود تا بی نهایت)

دیر یا زود عدد انتخابی شما آشکار می شود.

اما فرض کنید که فقط چند کاراکتر اضافی مثل @#$& با حروف انگلیسی داخل کلمه عبور شما وجود داشته باشد،

آیا باز هم به راحتی حدس زده خواهد شد؟ مطابق با صحبتی که در مقدمه داشتیم،

در این حالت، آن قدر حدس رمز دشوار خواهد شد که هکر از آن صرف نظر خواهد نمود.

در نتیجه اگر عاشق امنیت بیشتر هستید، حتما از کاراکترهای عجیب استفاده کنید.

به کار گیری لایه دوم امنیتی

یک ورود دومرحله ای بهتر از یک رمز عبور هزار کاراکتری:

فرض را بر این بگیریم که رمزتان هر چند سخت ولی لو رفت،

در اینجا افرادی برنده هستند که

به یک لایه امنیتی اکتفا نکرده و راهکاری چون لایه دوم امنیتی را برای بدترین حالت پیش بینی کرده اند.

لایه دوم امینی به مراتب قوی تر از لایه اول طراحی می شود تا

اگر نفوذگر آنقدر قوی بود که توانست از مرحله اول امنیتی عبور کند،

در مرحله بعدی با مانعی روبرو شود که نامید شده و از پیشروی صرف نظر کند.

به عنوان مثال اگر لایه دوم به این شکل طراحی شده باشد که کد رمز تصادفی را به شماره شما پیامک کند،

آیا هکر به آن دسترسی خواهد داشت؟ طبیعتا خیر، مگر اینکه از دوستان نزدیک شما باشد.

پس چنانچه سایت این امکان را به شما می دهد، حتما از آن استفاده کنید.

ارتقای امنیت در وردپرس با انتخاب پسوردهای ناهمسان:

همیشه به یاد داشته باشید که یک هکر، صرفا دانش فنی ندارد،

بلکه یک مهندس اجتماعی نیز هست. این مهندس اجتماعی چنانچه قصد داشته باشد.

واقعا فردی را به دام بیاندازد،

همه جا به جستجوی رد پایی از آن فرد خواهد بود و در نهایت نیز موفق می شود.

یک هکر استراتژی دارد و به ضعیف ترین سایتی که در آن حضور دارید نفوذ خواهد کرد تا رمزعبور شما را به دست آورد و اگر مانند گذشته فکر می کردید امنیت ۱۰۰% است،

این بار هکر پیروز خواهد بود.

۲- مدیر هوشمند

غیرقابل پیش بینی باشید:

یک مدیر حرفه ای همواره باید یک لایه امنیتی بیشتر از حد معمول تعبیه کند و

حتی ساده ترین نکات را مورد توجه قرار دهد.

به عنوان مثال مسیرهای ورود به پنل مدیریتی سایت نباید به سادگی قابل حدس زدن باشد.

این مورد منجر به ارتقای بسیار زیاد در امنیت سایت می شود چرا که

در این صورت حتی اگر کاربرانتان به امنیت رمز عبور خود توجه چندانی نداشته باشند، باز هم سایت ایمن خواهد بود.

به این دلیل که هکر حتی قادر نخواهد بود صفحه ورود به سایت را پیدا کند،

به این شکل حتی با رمزعبور

ساده ای مانند ۱۲۳۴۵۶، کاربر شما ایمن خواهد بود.

انتخاب میزبان مناسب:

یکی ار موارد مهم برای ارتقای امنیت در وردپرس انتخاب هاست مناسب میباشد.

همان طور که در بالا اشاره کردیم،

در اغلب موارد امنیت سایت در وضعیت مطلوبی قرار دارد،

اما ضعف امنیتی سیستم کاربر است که باعث سرقت اطلاعات و در نتیجه هک شدن سایت می شود.

نمود این ضعف در انتخاب سرور نامناسب است.

اگر قوی ترین CMS را داشته باشید اما کانفیگ امنیتی قوی روی سرور سایتتان اعمال نشده باشد،

بدون شک راه برای نفوذگران به آسانی گشوده خواهد شد.

در نتیجه حتما در انتخاب شرکت هاستینگ از صاحبنظران مشاوره بگیرید و یا در اینترنت به تحقیق بپردازید،

چرا که گاهی میزبان نامناسب می تواند از اطلاعاتتان سو استفاده نیز بکند و

محدود کردن سطح دسترسی به منابع در وردپرس با هر سیستم مدیریت محتوای دیگری که امکان authorize یا تعیین سطح دسترسی وجود دارد،

همواره باید به این نکته توجه داشته باشید.

کاربران عادی که قادرند به عضویت سایت شما در آیند،

چه سطح دسترسی را خواهند داشت،

به عنوان مثال در تنظیمات وردپرس این امکان وجود دارد

که سطح دسترسی کاربری که تازه عضو می شود از کاربر عادی گرفته تا مدير تعیین شود!

چنانچه دقت لازم در دسترسی ها صورت نگیرد، امنیت شما با خطر جدی روبرو خواهد شد.

مانیتورینگ:

فرض کنید در تعیین سطوح دسترسی سهل انگاری رخ داده

و هکر شروع به سو استفاده از اطلاعات و داده های شما نموده است در حالی که شما از این موضوع اطلاعی ندارید.

یک مدیر حرفه ای امنیت،برای ارتقای امنیت در وردپرس همواره از ابزارهای موجود برای مانیتورینگ شبکه و یا سایت خود استفاده می کند تا

اگر احیانا به دلیل بی دقتی در جایی سهل انگاری رخ داده باشد با استفاده از مانیتورینگ و مشاهده گزارش های خودکار سیستمی سریعا به آن پی برده و درصدد رفع آن باشد.

مانیتورینگ یکی از قوی ترین روش های تضمین امنیت است.

استفاده از لایه های امنیتی مختلف:

 در قسمت امنیت کاربران اشاره کردیم که اگر سایت این امکان را فراهم آورده است که از لایه دوم امنیتی استفاده نمایید، حتما این کار را انجام دهید.

در اینجا نیز به عنوان مدیر سایت، باید لایه های امنیتی مختلفی را برای امنیت بیشتر کاربرانتان در نظر بگیرید.

به عنوان مثال در وردپرس پلاگین های بدون هزینه ای، مانند Google Authenticator وجود دارد که لایه دوم امنیتی را می توانید بر اساس ورود به جیمیل تنظیم نمایید. این یک نمونه لایه امنیتی است.

اما با اندکی خلاقیت می توانید از روش های متفاوت دیگری مانند قرار دادن سوال امنیتی، نیز استفاده کنید.

چگونه رمزهای طولانی را فراموش نکنیم

معمولا یکی از دلایلی که کاربران به دنبال رمزهای حرفه ای نیستند، ناتوانی در به خاطر سپاری یا ترس از فراموشی آن است.

در این خصوص قصد داریم دو روش بسیار ساده را معرفی کنیم تا به کمک آنها بتوانید هر گونه رمز سختی مشابه [email protected][email protected]*UGH

را به خاطر بسپارید.

از افزونه های مدیریت پسورد:

یکی از بهترین روش های ذخیره کلمه عبور و ورود خودکار به

سایت هایی که در آن حساب کاربری دارید، استفاده از افزونه های مدیریت پسورد در مرورگر است.

افزونه های مختلفی برای تولید رمزهای سخت و یا ذخیره آنها به وجود آمده است.

مهم ترین آنها افزونه LastPass است که ضمن به خاطر سپاری رمز های شما امکانات امنیتی فراوان دیگری در اختیار قرار می دهند. به عنوان مثال اینکه چه تعداد رمز یکسان دارید و چه چالش امنیتی برایتان به وجود خواهد آورد یا اینکه دسترسی به حساب کاربری شما فقط از رنج آی پی های یک کشور امکان پذیر باشد.

کافی است در قسمت نصب افزونه های مرورگر خود نام این افزونه را جستجو نمایید تا به سرعت پیدا شود و آن را نصب کنید.

سپس باید در آن عضو شوید تا امکان لاگین به حساب LastPass به عنوان اکانت مادر به وجود آید.

هم اکنون کافی است فقط نام کاربری و کلمه عبور حساب لست پس خود را به خاطر سپارید.

تمامی پسوردهای شما هنگام لاگین در سایت ها به صورت خودکار در این حساب کاربری ذخیره می شود 

فارسی بخوانید، انگلیسی بنویسید: 

بدون شک به منظور تولید پسورد خودکار و ذخیره کلمه عبور، استفاده از روش اول به دلیل استاندارد بودن و ماندگاری دائمی توصیه می شود.

اما روش مرسوم دیگری برای به خاطر سپاری رمزهای سخت وجود دارد.

در حالی که صفحه کلید شما روی زبان انگلیسی قرار دارد، یک واژه فارسی را تایپ کنید.

به عنوان مثال صفحه کلید انگلیسی است و می خواهم جمله “ما سال ۹۷ این کتاب را چاپ کردیم” را تایپ کنم، نتیجه به این شکل در خواهد آمد: lh shg 97 hdk ;jhf vh ]h\ ;vndl

که همان پسورد قوی مورد نظر ما است که آن را در هر سایتی وارد کنید با پیغام جذاب Strong Password روبرو خواهید شد!

مشاهده کردید که این رمز پیچیده به راحتی به خاطر سپرده می شود، چرا که کافی است شما جمله فارسی را در ذهن خود داشته باشید و از ظاهر کلمه عبور نیز مشخص است که به هیچ عنوان حدس زده نخواهد شد.

از انتخاب واژه های عبور پیچیده هراسی به خود راه ندهید، وگرنه بدون شک خیلی زودطعمه افراد نفوذگر خواهید شد

همچنین بهتر است بدانید که یک کلمه عبور استاندارد، شامل موارد زیر است:

حداقل یک کاراکتر با حروف بزرگ و یک کاراکتر با حروف کوچک انگلیسی

 حداقل یک عدد 

حداقل یک کاراکتر ویژه (مانند ! ؟ @ & # $) 

حداقل دارای طول ده کاراکتری باشد.

استفاده از پروتکل امن SSL

استفاده از کلودفار یکی دیگر از راهکارهای ارتقای امنیت در وردپرس است.

امنیت باید همه جانبه باشد، نه اینکه یک اسکرییت قدرتمند داشته باشید اما از سرقت داده ها در طول مسیر توسط شخص سوم بی اطلاع باشید!

 در گذشته، اغلب وب سایت ها، به جز سایت های مربوط به بانک ها و مراکز مهم، بر مبنای پروتکل http بودند، اما امروزه تاکید می شود که پروتکل SSL مبنای ارتباطات در هر وب سایتی باشد و تنها از ارتباطات https استفاده شود.

ترویج استفاده از پروتکل https به زمانی برمی گردد که گوگل همگان را به حرکت و تلاش برای داشتن ارتباطات امن تشویق کرد و برای سایت هایی که از پروتکل امن https استفاده می کردند امتیاز مثبتی در نظر گرفت.

پس از آن مرورگرها در نسخه های جدید خود، هر گاه به صفحاتی برخورد می کردند که نیاز بود کاربر فرمی را پر کند. در عین حال آدرس صفحه با https شروع نمی شد، هشداری مبنی بر اینکه این سایت از ارتباط امن استفاده نمی کند، نشان می دادند.

از طرف دیگر مرکز توسعه تجارت الکترونیکی به سایت هایی نماد اعتماد دو ستاره اعطا می کرد که حتما از پروتکل https یکساله استفاده کنند.

از طرف دیگر، برخلاف گذشته که گواهی های اس اس ال به صورت گران قیمت ارائه می شد، شرکت هایی اقدام به فروش گواهی های DV یک ساله با هزینه های بسیار مناسب کردند و به این شکل پروتکل SSL به ویژه در کشور ما به شکل گستردهای ترویج یافت.

ماهیت این پروتکل این است که اطلاعات را برای حرکت در طول مسیر، رمز گذاری می کند.

به زبان ساده تر، آنها را در یک صندوقچه محکم قرار می دهد که کلید این صندوقچه تنها در مبدا و مقصد وجود دارد.

حالا در طول مسیر چنانچه هکر یا شخص سومی توانست دادههای در حال ارسال را سرقت کند به هیچ عنوان قادر به رمزگشایی آن نخواهد بود

در حال حاضر ارائه دهندگان SSL رایگان و معتبر مانند سایت کلودفلر و Let’ s Encrypt وجود دارد.

منبع: کتاب امنیت تمام قوا در وردپرس / دیباگران تهران

درحال ارسال
امتیاز دهی کاربران
0 (0 رای)
برچسب‌ها:, , , , , , , ,

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.