وردپرس به محبوب ترین سیستم مدیریت محتوا برای طراحی وب سایت در جهان تبدیل شده است. از آنجا که بسیار محبوب است، عقلانی تر است اگر شما آن را برای وب سایت خود استفاده میکنید. اکثر مردم میدانند که چگونه صفحه ی خود را امن کنند، اما اگر شما بر روی امنیت سایت وردپرس خود با محدود کردن دسترسی به فایل ها و پوشه های مهم تمرکز نکرده باشید، پس هنوز هم در معرض خطر هستید. برای انجام این کار نباید هرگونه تغییراتی در وردپرس به خودی خود انجام دهید، بلکه با تغییر اینکه چگونه وردپرس روی یک سرور عمل میکند و چقدر کاربران به فایل های آن دسترسی دارند.
مرحله اول: محدود کردن دسترسی به فایل های شامل wp-includes
سایت های وردپرس از یک سری فایل ها و پوشه ها تشکیل شده اند، و هرکدام URL های منحصر به فرد خود را دارند، به معنی اینکه اگر کسی URL درست را تایپ کند می تواند به فایلهای حساسی که سایت شما را اجرا میکنند دسترسی داشته باشد و یا آنها را تغییر دهد. یکی از رایج ترین اهداف برای این نوع از هک، فایل های فولدر wp-includes است، بنابراین ما در حال اضافه کردن برخی از کد های اضافی به فایل پیکربندی سرور هستیم تا امنیت را افزایش دهیم و از این نوع تهدیدات جلوگیری کنیم. هنگامی که این کار را انجام دادیم، هر کسی برای دسترسی به این فایل ها تلاش کند، به عقب هدایت می شود.
برای شروع شما می خواهید فایل .htaccess را برای سایت خودتان باز کنید. می توانید این کار را از طریق هر ویرایشگر متن انجام دهید، مهم نیست کدام، چرا که تمام چیزی که انجام می دهیم اضافه کردن تکه ی کمی از کد به فایل است.
متوجه خواهید شد که فایل در حال حاضر دارای کدی میباشد که توسط وردپرس تولید شده است. در یکی از اولین خط های کد، خطی را پیدا میکنید که می گوید
# BEGIN WordPress
به طور مستقیم بالای این کد، ما میخواهیم خطوط اضافی کد را وارد کنیم، که محافظت سایت را با محدود کردن دسترسی به پوشه ی wp-includes تقویت خواهد کرد.
# Blocking web access to the wp-includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>
پس از آن، شما فقط نیاز دارید تا فایل را دوباره در سرور آپلود کنید تا کارتان انجام شود. اگرچه تغییرات در اینجا جزئی به نظر می رسد اما می تواند تاثیر زیادی در دفاع از سایت شما داشته باشد. زیرا بسیاری از عملکرد های پیشرفته ی وردپرس در داخل پوشه ی فوق قرار دارند، آنها هدف اصلی برای هکرها هستند که به دنبال آنها میروند.
با اجرای این تغییرات، هنگامی که کاربران برای دسترسی به این پوشه تلاش میکنند، در عوض به طور خودکار به صفحه اول سایت شما هدایت می شوند.
مرحله دوم: حفاظت از فایل wp-config.php
گام بعدی ما جهت تقویت امنیت وردپرس و افزایش قیمت طراحی سایت خود محدود کردن دسترسی به فایل فوق است. هنگامی که شما برای اولین بار سایت وردپرس خود را ایجادمیکنید، مجبورید نام پایگاه داده، نام کاربری، رمز عبور و پیشوند جداول را ایجاد کنید، که در فایل wp-config.php موجود است. دلیل اینکه میخواهید از این فایل محافظت کنید، این است که حاوی اطلاعات مورد نیاز وردپرس جهت ارتباط با پایگاه داده است، و در دراز مدت، سایت شما را کنترل میکند. برای محافظت از فایل wp-config.php ، شما فقط نیاز به انجام چند مرحله ساده دارید. اول، باید فایل .htaccess را دوباره باز کنید، بعد، باید تکه کد زیر را کپی کنید و در فایل htaccess وارد کنید.
# Blocking web access to the wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>
در نهایت، ذخیره را زده و فایل دوباره آپلود شود.
مرحله سوم: محافظت از خود فایل .htaccess
همانطور که در مرحله ی 1 و 2 دیدید، فایل .htaccess می تواند به صورت ذاتی از سایت وردپرس شما در برابر تهدیدات مخرب خارجی محافظت کند. به همین دلیل است که باید در این مرحله از فایل .htaccess خود محافظت کنید، تا از حمله ی هکرها برای بین بردن حفاظتی که ایجاد کرده اید جلوگیری کرد. برای این کار باید دوباره فایل htaccess. را باز کرده، در مرحله بعد، کد زیر را در کد موجود درج کنید:
# Securing .htaccess file
<files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>
و با این اضافه کردن ساده، فایل .htaccess شما را از تهدیدات خارجی محافظت می شود.
مرحله چهارم: حذف دسترسی ویرایشگر
در مرحله نهایی دسترسی هکرها را به یکی از مخرب ترین ابزارهایی که می توانند به آن دستبرد بزنند قطع میکنیم.
ویرایشگر داخل داشبورد وردپرس به شما این اجازه را میدهد که فایلهای تم خود را ویرایش کنید، که مفید است اما می تواند خطرناک باشد. اگر فردی، غیر از خودتان به اینها دسترسی پیدا کند، می تواند کد شما را تغییر داده و سایت شما را بشکند.
با این پروژه، ما ویرایشگر را از داشبورد وردپرس برمیداریم. به جای دسترسی به فایل از طریق وردپرس، توصیه میکنیم که از طریق یک سرویس گیرنده FTP نظیر FileZilla به آن دسترسی داشته باشید، که برای یکپارچگی سایت بهتر است. بنابراین برای انجام این پروژه ابتدا میخواهیم فایل wp-config.php. را باز کنیم. زمانی که ما آن را باز کردیم، به انتهای کد میرویم، در اینجا این متن را میبینید “تمام شد ، ویرایش را متوقف کن! وبلاگ نویسی مبارک. “. درست قبل از این متن ما میخواهیم کد را در زیر وارد کنیم تا ویرایش فایل را به طور کامل از وردپرس حذف کنیم.
define(‘DISALLOW_FILE_EDIT’, true);
هنگامی که شما کد را اضافه کردید، فایل را ذخیره کرده و مجددا در سرور آپلود کنید. حالا سایت وردپرس شما از دسترسی هرکس به سایت شما و تلاش برای دستکاری کد ها، ایمن شده است.
میدانید که امنیت در طراحی سایت فروشگاه اینترنتی بسیار حساس است و با انجام این مراحل سایت شما امن خواهد شد با کاهش میزان دسترسی هکرها به فایل های مهم در حال اجرا سایتتان، امنیت کلی سایت وردپرس خود را افزایش داده اید.