10/28/2020، 01:13 PM
وردپرس یک سیستم پیچیده است که با گذشت زمان توسعه یافته است. به همین ترتیب ، نقاط گوشه وری در کد وجود دارد که آسیب پذیری های احتمالی می توانند در آنها پنهان شوند. به اعتبار آنها ، توسعه دهندگان اصلی وردپرس در مورد اینها بسیار خوب عمل می کنند و آنها را وصله می کنند. هنوز هیچ نرم افزاری ضد اشکال نیست.
از آنجا که هیچ نرم افزاری ضد اشکال نیست ، بنابراین ما ، صاحبان سایت ، وظیفه داریم تمام تلاش خود را برای ایمن سازی وردپرس خود انجام دهیم. خوشبختانه ، سه کار آسان وجود دارد که هر صاحب سایت می تواند انجام دهد - معمولاً بدون کمک توسعه دهنده - برای امنیت بیشتر سایت خود.
1. نام کاربری مدیر را تغییر دهید
این یکی بی فکر است. اگر هنوز هم از مدیر ، سرپرست یا هر چیزی که واقعاً آسان است به عنوان نام کاربری سرپرست خود استفاده کنید ، STOP! ببینید ، برای به خطر انداختن سایت خود ، یک مهاجم به دو چیز نیاز دارد ، یک نام کاربری و یک رمز عبور. اگر از نام کاربری مدیر پیش فرض استفاده می کنید ، نیمی از نیازشان را به آنها داده اید. بگذارید کمی سخت تر شود ، نه؟
برای تغییر نام مدیر ، می توانید آن را به صورت دستی انجام دهید یا می توانید افزونه ای نصب کنید. از آنجا که افزونه ها سرعت سایت شما را کم می کنند و شما فقط برای انجام این کار فقط به آن نیاز دارید ، بیایید این کار را به صورت دستی انجام دهیم.
با استفاده از حساب مدیر موجود خود وارد شوید.
در بخش "کاربران" روی "افزودن جدید" کلیک کنید.
یک حساب کاربری جدید ایجاد کنید و آن را به یک مدیر تبدیل کنید. نام کاربری را هرچه می خواهید بجز برای مدیر ، مدیر یا نام خود قرار دهید. (بله ، مهاجمان احتمالاً می دانند از آنجا که حساب Facebook شرکت شما از صفحه اصلی پیوند داده شده است.
از وردپرس خارج شوید و با استفاده از حساب Admin جدید خود دوباره وارد شوید.
برای لیست کاربران ، بر روی Users کلیک کنید و در زیر حساب سرپرست اصلی خود ، روی "Delete" کلیک کنید تا مطمئن شوید "Attribute content to" را انتخاب کرده و حساب مدیر جدید خود را انتخاب کنید ، تا محتوایی را از دست ندهید.
در آنجا ، اکنون یک حساب سرپرست جدید با نامی دارید که "سرپرست" نیست. سایت شما در حال حاضر کمی امن تر است. همچنین ، برای ارتقا سطح امنیتی در هنگام ورود به سایت ، مطمئن شوید که احراز هویت 2 عاملی را در وردپرس خود فعال کنید.
2. رمزهای عبور قوی را اجرا کنید
بله ، همه دوست دارند از تولد خود به عنوان رمز عبور استفاده کنند. شما می دانید چه کسی بیش از همه آن را دوست دارد؟ مهاجمین ببینید ، رمز عبور ضعیف به راحتی حدس می زند.
"ZOMG، My Little Pony II فیلم مورد علاقه من است! برای تولد من فردا می روم تا ببینمش! "
هر آنچه در رسانه های اجتماعی پست کرده اید ، اطلاعات کمی بیشتری برای کار با مهاجمان فراهم می کند. نکته: l33tsp34k (Leet Speak) یا جایگزینی حروف با اعداد مهاجمان را احمق نمی کند. آنها قبل از اینکه شما این کار را انجام دهید ، آن را کشف کردند.
بنابراین چه چیزی مفید است؟ رمزهای عبور قوی رشته های بلند و تصادفی حروف و نمادها عالی هستند. مشکلی که در این مورد وجود دارد این است که ما تمایل داریم که آنها را بنویسیم زیرا به سختی به خاطر می آوریم. اگر کتابی را که در آن نوشتید گم کنید ، یک مهاجم کلیدهای پادشاهی را دارد. (کتاب فیزیکی یا الکترونیکی است). در سایر مواقع ما رمزهای عبور قوی ایجاد می کنیم اما مرتباً از آنها استفاده می کنیم ، بنابراین دیر یا زود آنها به صورت آنلاین درز می کنند. اگر این کار را انجام می دهید ، اکیداً به شما توصیه می کنم این مقاله را در مورد امنیت رمزهای عبور با Have I Been Pwned بررسی کنید.
وردپرس اکنون قابلیت تولید رمزهای عبور قوی را دارد اما به آنها نیازی ندارد. با این وجود پلاگین هایی وجود دارند که این مورد را برای شما اعمال می کنند. من عادت ندارم پلاگین های امنیتی وردپرس را توصیه کنم ، اما اگر به wordpress.org/plugins بروید و گذرواژه های قوی را وارد کنید ، چندین مورد را پیدا خواهید کرد.
یکی از این افزونه ها را نصب کنید.
اگر کاربران منظم و همچنین مدیر ، نویسنده و ... دارید ، ممکن است بخواهید فقط رمزهای عبور قوی را در حساب های سطح بالاتر خود اعمال کنید تا اصطکاک کاربران در ثبت نام و ورود به سایت شما کاهش یابد.
اوه ، اگر فکر می کنید چگونه با رمزهای عبور قوی بدون نوشتن آنها کنار بیایید ، در یک مدیر رمز عبور سرمایه گذاری کنید. بیشتر مدرن ها روی دسک تاپ و موبایل کار می کنند و داده های شما را در همه دستگاه های شما همگام سازی می کنند.
3. HTTPS را اجرا کنید
صادقانه بگویم ، این یکی را که شما قبلاً باید انجام می دادید. اگر چند سال پیش در زیر صخره ای زندگی می کردید ، Google درست بیرون آمد و گفت اگر سایت شما https اجرا نکند ، سایت شما را نسبت به سایتهای دیگر دارای https پایین تر می کند. اگرچه SEO را کنار بگذارید ، https تمام ترافیک شما را رمزگذاری شده و از چشم کنجکاو دور نگه می دارد و این یک قسمت اساسی از هر استراتژی امنیتی وردپرس است. اگر HTTPS را اجرا نمی کنید ، هر کاربری که در یک کافی شاپ نشسته است همه چیز را برای هر کسی که مراقب تماشا باشد پخش می کند. (از نظر فنی ، "استشمام WiFi") معمولا سایت هایی که از هاست وردپرس استفاده می کنند این ویژگی فعال می باشد
اگر از SiteGround استفاده نمی کنید ، این کار با تهیه کننده میزبان شما برای خرید و نصب یک گواهی امن انجام می شود. سپس باید به وردپرس بگویید تا URL خود را به HTTPS تغییر دهد.
اگر SiteGround شریک میزبان شما است ، تنها کاری که باید انجام دهید این است که از SSL Manager برای دریافت مجوز رایگان "اجازه دهید رمزگذاری کنیم" استفاده کنید. وقتی پنل کنترل SiteGround گواهینامه را برای شما به دست آورد و نصب کرد ، تمام کاری که شما باید انجام دهید این است که روی "Enforce HTTPS" و voila کلیک کنید ، کل سایت شما اکنون رمزگذاری شده است.
از آنجا که هیچ نرم افزاری ضد اشکال نیست ، بنابراین ما ، صاحبان سایت ، وظیفه داریم تمام تلاش خود را برای ایمن سازی وردپرس خود انجام دهیم. خوشبختانه ، سه کار آسان وجود دارد که هر صاحب سایت می تواند انجام دهد - معمولاً بدون کمک توسعه دهنده - برای امنیت بیشتر سایت خود.
1. نام کاربری مدیر را تغییر دهید
این یکی بی فکر است. اگر هنوز هم از مدیر ، سرپرست یا هر چیزی که واقعاً آسان است به عنوان نام کاربری سرپرست خود استفاده کنید ، STOP! ببینید ، برای به خطر انداختن سایت خود ، یک مهاجم به دو چیز نیاز دارد ، یک نام کاربری و یک رمز عبور. اگر از نام کاربری مدیر پیش فرض استفاده می کنید ، نیمی از نیازشان را به آنها داده اید. بگذارید کمی سخت تر شود ، نه؟
برای تغییر نام مدیر ، می توانید آن را به صورت دستی انجام دهید یا می توانید افزونه ای نصب کنید. از آنجا که افزونه ها سرعت سایت شما را کم می کنند و شما فقط برای انجام این کار فقط به آن نیاز دارید ، بیایید این کار را به صورت دستی انجام دهیم.
با استفاده از حساب مدیر موجود خود وارد شوید.
در بخش "کاربران" روی "افزودن جدید" کلیک کنید.
یک حساب کاربری جدید ایجاد کنید و آن را به یک مدیر تبدیل کنید. نام کاربری را هرچه می خواهید بجز برای مدیر ، مدیر یا نام خود قرار دهید. (بله ، مهاجمان احتمالاً می دانند از آنجا که حساب Facebook شرکت شما از صفحه اصلی پیوند داده شده است.
از وردپرس خارج شوید و با استفاده از حساب Admin جدید خود دوباره وارد شوید.
برای لیست کاربران ، بر روی Users کلیک کنید و در زیر حساب سرپرست اصلی خود ، روی "Delete" کلیک کنید تا مطمئن شوید "Attribute content to" را انتخاب کرده و حساب مدیر جدید خود را انتخاب کنید ، تا محتوایی را از دست ندهید.
در آنجا ، اکنون یک حساب سرپرست جدید با نامی دارید که "سرپرست" نیست. سایت شما در حال حاضر کمی امن تر است. همچنین ، برای ارتقا سطح امنیتی در هنگام ورود به سایت ، مطمئن شوید که احراز هویت 2 عاملی را در وردپرس خود فعال کنید.
2. رمزهای عبور قوی را اجرا کنید
بله ، همه دوست دارند از تولد خود به عنوان رمز عبور استفاده کنند. شما می دانید چه کسی بیش از همه آن را دوست دارد؟ مهاجمین ببینید ، رمز عبور ضعیف به راحتی حدس می زند.
"ZOMG، My Little Pony II فیلم مورد علاقه من است! برای تولد من فردا می روم تا ببینمش! "
هر آنچه در رسانه های اجتماعی پست کرده اید ، اطلاعات کمی بیشتری برای کار با مهاجمان فراهم می کند. نکته: l33tsp34k (Leet Speak) یا جایگزینی حروف با اعداد مهاجمان را احمق نمی کند. آنها قبل از اینکه شما این کار را انجام دهید ، آن را کشف کردند.
بنابراین چه چیزی مفید است؟ رمزهای عبور قوی رشته های بلند و تصادفی حروف و نمادها عالی هستند. مشکلی که در این مورد وجود دارد این است که ما تمایل داریم که آنها را بنویسیم زیرا به سختی به خاطر می آوریم. اگر کتابی را که در آن نوشتید گم کنید ، یک مهاجم کلیدهای پادشاهی را دارد. (کتاب فیزیکی یا الکترونیکی است). در سایر مواقع ما رمزهای عبور قوی ایجاد می کنیم اما مرتباً از آنها استفاده می کنیم ، بنابراین دیر یا زود آنها به صورت آنلاین درز می کنند. اگر این کار را انجام می دهید ، اکیداً به شما توصیه می کنم این مقاله را در مورد امنیت رمزهای عبور با Have I Been Pwned بررسی کنید.
وردپرس اکنون قابلیت تولید رمزهای عبور قوی را دارد اما به آنها نیازی ندارد. با این وجود پلاگین هایی وجود دارند که این مورد را برای شما اعمال می کنند. من عادت ندارم پلاگین های امنیتی وردپرس را توصیه کنم ، اما اگر به wordpress.org/plugins بروید و گذرواژه های قوی را وارد کنید ، چندین مورد را پیدا خواهید کرد.
یکی از این افزونه ها را نصب کنید.
اگر کاربران منظم و همچنین مدیر ، نویسنده و ... دارید ، ممکن است بخواهید فقط رمزهای عبور قوی را در حساب های سطح بالاتر خود اعمال کنید تا اصطکاک کاربران در ثبت نام و ورود به سایت شما کاهش یابد.
اوه ، اگر فکر می کنید چگونه با رمزهای عبور قوی بدون نوشتن آنها کنار بیایید ، در یک مدیر رمز عبور سرمایه گذاری کنید. بیشتر مدرن ها روی دسک تاپ و موبایل کار می کنند و داده های شما را در همه دستگاه های شما همگام سازی می کنند.
3. HTTPS را اجرا کنید
صادقانه بگویم ، این یکی را که شما قبلاً باید انجام می دادید. اگر چند سال پیش در زیر صخره ای زندگی می کردید ، Google درست بیرون آمد و گفت اگر سایت شما https اجرا نکند ، سایت شما را نسبت به سایتهای دیگر دارای https پایین تر می کند. اگرچه SEO را کنار بگذارید ، https تمام ترافیک شما را رمزگذاری شده و از چشم کنجکاو دور نگه می دارد و این یک قسمت اساسی از هر استراتژی امنیتی وردپرس است. اگر HTTPS را اجرا نمی کنید ، هر کاربری که در یک کافی شاپ نشسته است همه چیز را برای هر کسی که مراقب تماشا باشد پخش می کند. (از نظر فنی ، "استشمام WiFi") معمولا سایت هایی که از هاست وردپرس استفاده می کنند این ویژگی فعال می باشد
اگر از SiteGround استفاده نمی کنید ، این کار با تهیه کننده میزبان شما برای خرید و نصب یک گواهی امن انجام می شود. سپس باید به وردپرس بگویید تا URL خود را به HTTPS تغییر دهد.
اگر SiteGround شریک میزبان شما است ، تنها کاری که باید انجام دهید این است که از SSL Manager برای دریافت مجوز رایگان "اجازه دهید رمزگذاری کنیم" استفاده کنید. وقتی پنل کنترل SiteGround گواهینامه را برای شما به دست آورد و نصب کرد ، تمام کاری که شما باید انجام دهید این است که روی "Enforce HTTPS" و voila کلیک کنید ، کل سایت شما اکنون رمزگذاری شده است.
داتیس دیتا ارائه دهنده هاست وردپرس