امنیت وردپرس و مخفی کردن اطلاعات با افزونه Hide My WP

اگر تنها در دنیای فناوری خبر ها را بخوانید و نگاهی به اطراف خود بیندازید متوجه خواهید که روز به روز امنیت به مقوله ای مهم در عرصه اطلاعات تبدیل شده است. امنیت سایت ها در دنیای فناوری یکی از مهمترین نقاط است. جامعه ی وردپرسی ها هم نگاه ویژه ای به امنیت وردپرس دارند.

این نگاه ویژه با بروزرسانی های متعدد هسته ی وردپرس همراه هست و همینطور اینکه مخزن اصلی افزونه و قالب های وردپرسی همیشه بررسی می شوند تا خالی از کدهای مخرب و هک باشه.

در این مطلب نگاهی به امنیت وردپرس به عنوان یکی از محبوبترین سیستم های مدیریت محتوا داریم و می خواهیم بررسی کنیم که چگونه می توان امنیت سایت وردپرسی مان را بهبود بدهیم تا کسی متوجه اطلاعات و ساختار آن نشود. پس با کدنویسی به زبان ساده همراه باشید.

اگر نگاهی بیاندازید خواهید دید که روزانه ده‌ها هزار وب‌سایت مورد حمله قرار می‌گیرند و بیشتر آن‌‌ها حتی هیچگاه متوجه این عمل نمی‌شوند و نمی‌دانند که مثلا وب‌ سایت آن‌ ها در حال پخش کد‌های مخرب ‌است.

به عنوان یک کاربر WordPress، شما در حال استفاده از یکی از امن‌ ترین سیستم‌ های مدیریت منابع موجود هستید. اما هیچ CMS ای بطور ۱۰۰% شکست‌ناپذیر نیست، و هکر‌ها به همان سرعتی که سازندگان در حال اختراع امنیت‌ های جدید هستند، در حال تغییر متود‌های خود هستند.

مخفی کردن WordPress بهترین راه برای حفاظت از سایت در مقابل هکر‌ها و بات‌ هاست.

هر چند در این مورد، در میان برنامه‌ نویس‌ها و متخصصان امنیت، بحث و جدال وجود دارد.

در این مقاله از کنار دلایل مختلفی که هر دو گروه بیان می‌کنند می گذریم و انتخاب این که پنهان کردن CMS برای وب‌ سایت شما خوب است یا نه را بر عهده خودتان می‌گذاریم. سپس در مورد “پنهان کردن حقیقت اجرای وب‌سایت” بر روی WordPress صحبت خواهیم کرد.

امنیت وردپرس جوابگوی ما هست؟

از وردپرس همیشه به عنوان یک سیستم مدیریت منابع (CMS) بسیار امن یاد می‌شود.

مشکلات امنیتی همیشه در مرکز توجه سازندگان هسته wp قرار داشته، و نرم‌افزار آن بصورت پیاپی برای مقابله با هر گونه ضعف‌ ها بروز می‌شود.

امنیت WordPress یکی از دلایل محبوبیت آن است. هم اکنون WordPress یکی از محبوب‌ترین “سیستم مدیریت منابع” در اینترنت است، که میلیون‌ ها وب‌ سایت از سراسر دنیا از آن استفاده می‌کنند. حتی سایت‌ هایی نظیر CNN، eBay، و Mashable از WordPress برای بخش بلاگ‌ های خود استفاده می‌کنند.

اما در کل، اینکه شما از وردپرس استفاده می‌کنید، دلیلی بر آن نیست که سایت شما در مقابل هکر‌ها مصون است.

در حقیقت محبوبیت این CMS، دلیلی است بر بالاتر رفتن شانس آن برای هک شدن!

هکر‌ها می‌ دانند میلیون‌ ها کاربرانی که از وب سایت وردپرسی استفاده می‌کنند، از میزان کافی امنیت برای سایت‌ های خود استفاده نمی‌کنند. خیلی از آن‌ ها از پسورد های ساده، ورژن‌ های قدیمی WordPress که ضعف‌ های آن‌ها شناخته شده، و یا پلاگین‌ های تاریخ گذشته و نا‌امن استفاده می‌کنند.

بدین وسیله هکر‌ها هدف‌ های زیادی را در اختیار داشته و با شناسایی آن‌ها سعی در نفوذ دارند.

رایج‌ترین راه‌ هایی که هکرها برای نفوذ انتخاب می‌کنند، استفاده از ورود اجباری که اصطلاحا Brute Force گفته می‌شود، یا با استفاده از درخواست‌های مکرر HTTP است.

هکرهای Brute-Force، از نرم‌ افزارهایی استفاده می‌کنند که پیاپی سعی در حدس زدن رمز عبور شما را دارد، تا جایی که شانس بیاورند و وارد سایت شوند. معمولا اقدام‌ های متقابل ساده‌ ای مثل استفاده از CAPTCHA و تاییدیه‌ های دو مرحله‌ای در ورود (Login)، به راحتی می‌تواند عمل Brute Force را سرکوب کند.

راه دیگری که هکرها استفاده می‌کنند، فرستادن درخواست‌ های مخصوص HTTP به سرورهای شماست.

این روش سعی در پیدا کردن نقطه‌ های ضعف سرور را دارد که معمولا در ورژن‌ های قدیمی برنامه‌ ها، پلاگین‌ ها و پوسته‌ ها یافت می‌شود. هر محتوایی که در شاخه wp-content شما قرار دارد، چه فعال چه غیرفعال، می‌توانند ضعفی در سرورهای شما را برای هکر معرفی کند که از آن طریق هکر ورود خود به سرور را تضمین می‌کند.

آیا لازم است وردپرس را مخفی کنیم؟

اینجا به دلایل این کار اشاره خواهیم کرد؛ اما اول بگذارید در مورد اصطلاحات این کار صحبت کنیم. مردم وقتی در مورد مخفی کردن صحبت می‌کنند، حرف‌ های مختلفی می‌ زنند.

معنی “مخفی کردن WordPress” این است که شما نام و حقیقت اینکه سایت شما بر روی وردپرس اجرا می‌شود را از دید هکر‌ها و بات‌ هایی که سعی در شناخت CMS شما را دارند، محو می‌کنید. اما مخفی کردن به این معنی نیز می‌تواند باشد که شما، شماره نسخه استفاده شده از WordPress، نام فایل ها و فولدرها و … را تغییر دهید تا برای بات‌ها قابل شناسایی نباشد.

اما این همه تلاش برای مخفی کردن ارزشش را دارد؟ بستگی دارد که از چه کسی بپرسید.

واقعیت این است که شما هیچ‌ گاه به طور کامل نمی‌ توانید حقیقت اینکه سایت شما برروی WordPress اجرا می‌شود را محو کنید. یک شخص حرفه‌ای که در این کار علم کاملی دارد و وردپرس را به خوبی می‌شناسد، می‌تواند از راه‌ های مختلف CMS شما را تشخیص دهد.

حتی اگر شما سعی در مخفی کردن نسخه استفاده شده از وردپرس را داشته باشید، اگر هکر مورد نظر آشنایی کامل با تمامی ورژن‌ ها و تفاوت‌ های آن‌ ها، داشته باشد می‌تواند تشخیص این امر را به راحتی انجام دهد.

حرفه‌ای ها در این باره می‌گویند، اگر بدانید که که راه‌ های برای تشخیص CMS وجود دارد، پس مخفی کردن آن‌ ها کار بیهوده‌ای است.

راس اندرسون، متخصص امنیت در این باره می‌گوید:

امنیت یک سیستم باید تکیه بر کلید آن باشد، نه مخفی کردن مدل طراحی شده آن.

پس، آیا مخفی کردن WordPress کار بیهوده‌ ای است؟

شاید بله، شاید نه. مطمئنا این کار جلوی یک معتاد به هک، که مخصوصا سایت شما را هدف قرار داده است را نخواهد گرفت.

اما این کار جلوی هکر‌هایی که از بات‌ ها برای شناسایی استفاده می‌کنند را خواهد گرفت. فقط با تغییر یک سری پیوند‌های یکتا (Permalinks) شما خواهید توانست از سایت خود در برابر Brute-Force، SQL-Injection و درخواست‌ های PHP، محافظت کنید.

راهکارهای ساده برای افزایش امنیت وردپرس

مخفی کردن یک سری پیوند‌ یکتا و فایل‌‌ ها در WordPress راه حل خوبی برای بالا بردن میزان امنیت است اما این تمام کاری نیست که می‌توانید انجام دهید و البته تمام کاری نیست که باید انجام بگیرد.

کارهای خیلی ساده‌ ای با کمک از روش‌های امنیت WordPress، برای بالا بردن سطح امنیت وجود دارند:

✅  همیشه از رمزعبور‌های قدرتمند استفاده کنید

✅  همیشه هسته WordPress خود را با آخرین نسخه‌ها بروز نگاه دارید

✅ پوسته‌ها و پلاگین‌های خود را همیشه بروز کنید و نسخه‌هایی که دیگر استفاده نمی‌کنید را پاک کنید. از آن‌هایی که دیگر بروز نمی‌شوند استفاده نکنید.

✅  برای مقابله با Brute-Force، از ورودهایی با استفاده از CAPTCHA و تاییده‌های ۲ مرحله‌ای استفاده کنید.

✅  از پلاگین‌های امنیتی همه کاره مثل iThemes Security یا Bullet Proof Security استفاده کنید.

چگونه حقیقت استفاده از وردپرس را مخفی کنیم؟

آموزش‌های زیادی برای مخفی کردن شماره نسخه استفاده شده از این سیستم مدیریت محتوا وجود دارند، اما اینجا ما یک سری از آن‌ ها را بازگو خواهیم کرد.

اگر امنیت هدف اصلی شماست، پس شما باید در هر صورت آخرین نسخه را نصب کنید.

شماره نسخه wp در بسیاری از مکان‌ های مختلف و فایل‌ ها ثبت شده‌اند، و مخفی کردن آن‌ ها کاری زمانبر و پر دردسر خواهد بود و ارزش کار را هم نخواهد داشت.

حتی اگر موفق شوید تمامی ردپاها در مورد شماره نسخه را محو کنید، هنوز هم راه‌های زیادی وجود دارند تا کسی بتواند نسخه شما را حدس بزند.

محو کردن شماره نسخه، گاها حتی شما را از بات‌ها هم در امان نگاه نمی‌دارد. بات‌ها مستقیما بدنبال ضعف‌ ها خواهند گشت، پس اگر هسته WordPress خود را بروز نگاه دارید، بات‌ها نخواهند توانست به آن نفوذ کنند.

از طرف دیگر اگر یک بات متوجه مخفی شدن نسخه شما شود، احتمال خواهد داد که شما از یک ورژن قدیمی استفاده می‌کنید که سعی در مخفی کردن شماره نسخه را دارید.

شاید برای کسی کار می‌کنید که از شما این عمل را می‌خواهد؟ یا شاید هم از نظر خودتان، نشان داده شدن اینکه شما از بلاگری مثل WordPress برای سایت خود استفاده می‌کنید، کلاس کاری تجارتتان را پایین ‌می‌آورد؟

در این حالت پیشنهاد ما به شما استفاده از یک پلاگینی به نام Hide My WP است. این پلاگین به خوبی کارهای امنیتی را انجام می‌دهد و بدون دستکاری در فایل‌ های شما، حقیقت استفاده از WordPress را در پیوند‌‌های یکتا (Permalinks) سایت را مخفی می‌کند که با اینکار امنیت وردپرس شما را بیشتر خواهد کرد.

Hide My WP  قابلیت‌های زیادی دارد که امنیت وردپرس شما را افزایش خواهند داد:

• پیوند‌های یکتا و فایل‌ها (مثل admin-wp) را برای بات‌ها مخفی می‌کند
• اطلاعات متا مثل ورژن استفاده شده را از Header ها و Feed ها حذف می‌کند
• دسترسی به فایل‌های PHP را کنترل می‌کند
• حالت پیشفرض مکانی پوشه‌ها و زیرشاخه‌ها مثل wp-content را تغییر می‌دهد
• حالت جستار URLها را برای جلوگیری از تزریق SQL تغییر می‌دهد
• فایل‌هایی نظیر readme.html و lincense.txt را، که به هکر‌ها اطلاعاتی در مورد WordPress نصب شده را می‌دهند، را مخفی می‌کند
• قابلیت غیرفعال کردن بخش‌های انتخابی از آرشیو‌ها، پست‌ها، صفحه‌ها، طبقه‌بندی‌ها و تگ
• خبر دهی در مورد ریسک‌های احتمالی با استفاده از سیستم تشخیص دخول غیرمجاز (Intrusion Detected System)

دانلود افزونه : برای دانلود آخرین نسخه برای افزایش امنیت وردپرس تان به لینک زیر مراجعه کنید :