آموزش افزایش امنیت وردپرس با افزونه sucuri security

امنیت وب‌سایت‌ها برای مدیران آن‌ها یک دغدغه بزرگ است و حتما باید به این موضوع توجه داشت که کسی نتواند در سایت نفوذ پیدا کند و یا به اصطلاح آن‌را هک کند. با اینکه سیستم مدیریت محتوای وردپرس از امنیت بسیار خوبی برخوردار است؛ اما برای داشتن امنیت بالا؛ کافی نیست. باید یک سری اقدامات دیگر هم مانند نصب افزونه های امنیتی در وردپرس که تعدادشان هم زیاد است و شما می‌توانید آن‌ها را نصب کنید، باید انجام شود.

در این مقاله می‌خواهیم به افزونه امنیتی Sucuri Security بپردازیم که از بهترین افزونه های امنیتی موجود در وردپرس است و می‌تواند در این امر به کمک کاربران آید.

‌

افزونه امنیتی Sucuri Security در وردپرس

این افزونه در وردپرس تا کنون توانسته بیش از ۶۰۰٫۰۰۰ هزار نصب داشته باشد. برای استفاده از این افزونه کافی است به مخزن وردپرس مراجعه کرده و نام این افزونه را جستجو کرده به سادگی آن‌را نصب کنید.

‌

بعد از نصب افزونه، در منوی پنل مدیریت وردپرس شما یک گزینه با نام Sucuri Security اضافه می‌شود. با استفاده از این گزینه می‌توانید امنیت سایت خود را مدیریت کنید و اقدامات لازم برای بالا بردن امنیت سایت را انجام دهید.

بر روی گزینه اضافه شده در منو کلیک کنید تا به بخش تنظیمات این افزونه منتقل شوید.

‌

بعد از وارد شدن به بخش تنظیمات، پیش از هر کاری، از دکمه های بالا، روی دکمه خاکستری رنگ با نام Generate API key کلیک کنید، تا بتوانید یک API برای سایت خود ایجاد کنید تا در اسکن امنیت سایت به مشکل بر نخورید.

بعد از کلیک کردن بر روی این دکمه یک صفحه برای شما نمایان می‌شود که باید ایمیل و آدرس سایت خود را در کادرهای این صفحه وارد کنید.

‌

‌

بعد از انجام این مراحل، اگر با پیام پایین مواجه شدید به این معنا است که به درستی کار خود را انجام داده اید و می‌توانید امنیت سایت خود را افزایش دهید. برای ادامه کار بر روی گزینهdashboard  کلیک کنید.

‌

‌

‌

بررسی فعالیت کاربران از طریق افزونه Sucuri Security در وردپرس

یکی از قابلیت‌های بسیار ویژه این افزونه، این است که شما از طریق داشبورد افزونه می‌توانید فعالیت و آی‌پی کاربران خود را مشاهده کنید و هر مورد مشکوکی که در سایت خود پیدا کردید، آن‌را به سادگی بررسی کنید.

برای مشاهده این قابلیت می‌توانید به داشبورد افزونه مراجعه نمایید، در کادری که مشخص کردیم، تمامی فعالیت‌های کاربران خود را در همان روز مشاهده کنید.

در قسمتی که مشخص شده می‌توانید زمان هر بازدید و آی پی هر بازدید را مشاهده کنید. این قسمت به شما کمک کند که دید خوبی نسبت به امنیت سایت خود داشته و همیشه سایت‌تان پایدار باقی بماند .

‌

حذف دیتا و فایل های مشکوک در وردپرس

یکی از ویژگی‌های جالب این افزونه حذف فایل های مشکوک در سایت است. هسته سایت و تمامی فایل هایی که در سایت شما وجود دارد را مورد بررسی قرار می‌دهد و هر فایل و دیتای مشکوکی که در سایت یافت شود، آن ‌را در داشبورد به نمایش می‌گذارد. شما می‌توانید به سادگی آن‌را حذف کنید و یا با آنتی ویروس بررسی کرده و ویروس‌های موجود در فایل را از بین ببرید.

فایل های ویروسی اغلب از افزونه های “نال شده” در سایت ایجاد می‌شوند. این افزونه‌ها باید اورجینال تهیه شده باشند و اگر نال شده آن‌را از یک منبع نا معتبر تهیه کنیم، ممکن سایتمان ویروسی و هک شود.

همیشه افزونه های که در سایت خود نصب می‌کنید را از مخزن وردپرس دریافت کنید و یا اگر آن افزونه‌ها غیررایگان هستند، آن‌ها را حتی المقدور اورجینال تهیه کنید که به مشکلات امنیتی بر نخورید. البته برخی از سایت‌ها و افراد هم هستند که به صورت اصولی به دلیل اینکه قیمت افزونه‌ها بالا هستند، آن‌ها را را نال می‌کنند و در اختیار مردم قرار می‌دهند. این نوع افزونه که در ایران هم رواج دارد، از مشکلات امنیتی برخوردار نیستند و فقط طوری نال شده‌اند که قابل استفاده باشند.

از بین بردن کد‌های مخرب در وردپرس

یکی دیگر از دلایلی که گفتیم امنیت سایتمان را به خطر می‌اندازد، کد‌های مخرب است که ممکن است از قالب و افزونه‌ها در سایت تزریق شود. برای این‌که از تزریق این کد‌ها جلوگیری کنید، این افزونه خیلی برای شما موثر خواهد بود.

برای فعال کردن این قابلیت از منو بر روی گزینه Setting کلیک کنید و از زبانه Scanner به پایین صفحه بیایید در بخش WordPress Integrity Diff Utility بر روی گزینه Enable کلیک کنید تا افزونه کد‌های سایت شما را مورد بررسی قرار دهد. در صورت وجود کد‌های مشکوک آن‌ها را به شما گزارش دهد.

با مراجعه به منو و انتخاب گزینه Last Logins می‌توانید جزئیات ورود و خروج کاربران را در سایت خود ببینید، این به شما کمک می‌کند که ربات‌ها به سایت شما حمله نکنند و سریعا آن‌ها را متوقف کنید.

‌

‌

این بخش ۴ زبانه دارد که با انتخاب هر کدام می‌توانید فعالیت‌های مختلفی از سایت را مشاهده کنید.

All User: این بخش تمامی کاربران بر اساس نقش‌های کاربری و نام کاربری، آخرین ورود، زمان عضویت، آی‌دی و آدرس آی پی را به نمایش می‌گذارد.

Admins: با رفتن به زبانه می‌توانید تمامی مدیران سایت را مشاهده کنید و فعالیت‌های آن‌ها را زیر نظر داشته باشید.

Logged-in Users : در این زبانه می‌توانید کاربرانی که وارد سایت شده و هنوز خارج نشده‌اند را مشاهده کنید و فعال‌ترین کاربران خود را علامت گذاری کنید.

Failed Logins : در این قسمت هم می‌توانید کاربرانی که خواسته‌اند به پنل خود دسترسی پیدا کنند و موفق نشده‌اند، را مشاهده کنید، این قسمت بیشتر برای مواقعی به کار می‌رود که چند ربات نتوانسته‌اند کپچا را رد کنند و موفق به ورود سایت نبوده‌اند.

‌

شناسایی آدرس آی‌پی کاربر در وردپرس

یکی دیگر از روش هایی که می‌توانید گزارشات امنیتی که در وردپرس انجام می‌گیرد را پیگیری کنید، بررسی ip کاربران است که این افزونه می‌تواند به سادگی این‌کار را برای شما انجام دهد. برای فعال کردن این قابلیت باید به قسمت Ip Address Discoverer مراجعه کنید و گزینه آبی رنگ را بر روی Enable قرار دهید، تا افزونه اجازه بررسی آی‌پی‌های کاربرانتان را از سمت شما داشته باشد.

‌

Proxy در وردپرس

شما با این قابلیت می‌توانید، درخواست‌های کاربران خودتان را از اینترنت دریافت کرده و به سرور‌های مورد نظر که در شبکه داخلی وجود دارند هدایت کنید. این قابلیت که قبل از فایروال قرار می‌گیرد، باعث می‌شود درخواست کنندگانی که به سایت شما مراجعه می‌کنند، از سمت Reverse Proxy احزار هویت شوند و سایت شما مورد هجوم ربات‌ها قرار نگرفته و اسپم نشود. این قابلیت می‌تواند رشد چشم‌گیری در امنیت سایت شما داشته باشد.

برای فعال‌سازی این قابلیت حرفه‌ای،  از منو Settings را انتخاب کرده و از زبانه General به سمت قسمت Reverse Proxy رفته و بر روی دکمه آبی رنگ Enable کلیک کنید. بعد از فعال‌سازی این افزونه کار خود را به خوبی انجام داده و دیگر نیاز نیست شما کاری انجام دهید.

‌

‌

تغییر کلمه عبور کاربران در وردپرس

این قابلیت امکان می‌دهد که شما همه کاربران را انتخاب کرده و آن‌ها را مجبور به تغییر رمز عبور خود کنید. بر این اساس کاربر تا زمانی که رمز عبور خود را در سایت تغییر نداده باشد، نمی‌تواند وارد پیشخوان سایت شود. این کار برای زمانی قابل استفاده است که به سایت شما نفوذ شده و همه اطلاعات کاربران فاش شده باشد و شما باید از همه آن‌ها بخواهید که رمز عبور خود را تغییر دهند تا حساب کاربری آنها در سایت مورد هجوم هکر‌ها قرار نگیرد.

برای استفاده از این قابلیت می‌توانید در منو Settings افزونه بر روی زبانه  post-hack کلیک کنید. به پایین صفحه بروید و در قسمت Rest User Password می‌توانید کاربران مورد نظر خود را انتخاب کرده و بر روی دکمه Submit کلیک کنید تا درخواست تغییر رمز عبور را برای آنها ارسال شود.

‌

ریست کردن افزونه های موجود در سایت

بعضی مواقع کد‌های مخرب آن‌قدری زیاد می‌شوند که در تمامی افزونه های سایت تزریق می‌شوند. افزونه‌ها کاملا یا از کار می‌افتند و یا استفاده از آن‌ها برای سایت خطرناک خواهد بود. این افزونه می‌تواند به شما کمک کند که تمام فایل های افزونه های مخرب خود را ریست کنید. ریست کردن افزونه‌ها از طریق این افزونه تمامی داده‌ها را از دیتابیس پاک نمی‌کند؛ بلکه فقط فایل های افزونه‌ها را از مخزن وردپرس دانلود کرده و جایگزین فایل های مخرب کنونی می‌کند.

برای اینکار باید به بخش Rest Installed Pligins مراجعه کنید، بعد از انتخاب افزونه های مورد نظر خود بر روی دکمه سبز رنگ Submit کلیک کنید تا افزونه های مورد نظر در سریع ترین زمان ممکن ریست شوند.

‌

‌

اگر از آلوده بودن افزونه های خود مطمئن نیستید و نمی‌دانید که کدام افزونه‌ها به کد‌های مخفی مخرب آلوده شدند، سایت های زیادی برای پیدا کردن این کد‌ها وجود دارد. یکی از بهترین سایت های موجود که با نام virustotal شناخته شده و شما می‌توانید فایل های خود را فشرده کنید و یک‌جا در این سایت بارگذاری کنید. بعد از اسکن فایل، اگر فایل‌ها هر نوع ویروسی داشته باشند، سایت به شما هشدار می‌دهد و نام ویروسی که در این فایل‌ها وجود دارد را برای شما نمایش می‌دهد. پس از این اسکن، اگر فایل هایتان آلوده بود، آن‌ها را ریست کنید و اگر باز هم درست نشدند، بهتر است آن‌ها را برای همیشه از سایتتان حذف کنید، به این دلیل که ممکن است امنیت سایت شما در خطر است.

‌

غیرفعال کردن ویرایشگر وردپرس

یکی دیگر از اقدامات برای بالا بردن امنیت وردپرس، غیر فعال کردن ویرایشگر مخصوص وردپرس است که اگر یک فرد به سایت شما نفوذ پیدا کند می‌تواند با استفاده از ویرایشگر وردپرس تمامی کدها را مشاهده کند و یا به صورت دستی کد‌های مخرب را در فایل های سایت شما اضافه کند. این افزونه به شما کمک می‌کند که این ویرایشگر را به سادگی غیر فعال کنید تا دیگر از طریق پنل مدیریت ویرایش فایل ها انجام نگرفته و تنها از طریق هاستینگ و یا سرور این فایل مورد ویرایش قرار بگیرد.

برای غیر فعال کردن ویرایشگر باید از منو به بخش Settings رفته در زبانه‌ها، Hardening را انتخاب کنید.

‌

‌

در زبانه Hardening گزینه‌های مختلفی وجود دارد که شما با فعال و یا غیر فعال کردن هر گزینه می‌توانید امنیت سایت خود را کنترل کنید. اکنون می‌خواهیم کاربرد این گزینه ها را برای شما بیان کنیم که بدانید کدام بخش‌ها برای سایت تان خوب است و باید فعال و یا غیر فعال کنید.

Website Firewall Protection: این گزینه برای فعال کردن فایروال در سایت است. شما برای استفاده از این قابلیت حتما باید نسخه پولی این افزونه را تهیه کنید و برای سایت خود یک فایروال فعال کنید. دیواره آتش می‌تواند به امنیت سایت شما بسیار کمک کند و آن را تا حدودی غیر قابل نفوذ کند.

Verify WordPress Version: این گزینه به شما اطلاع می‌دهد که وردپرس شما نسخه بروز است و آیا نسخه اصلی است یا خیر.

Verify PHP Version: این گزینه به شما اطلاع می‌دهد که نسخه php هاست شما بروز است و برای سایت شما مناسب است یا خیر.

Remove WordPress Version: شما با استفاده از این قابلیت می‌توانید نسخه وردپرس فعلی خود را حذف نمایید.

Block PHP Files in Uploads Directory: از این قسمت می‌توانید تعیین کنید که فایل های php در دایرکتوری آپلود وردپرس اجرا نشوند. (پیشنهاد می‌کنیم استفاده کنید)

Block PHP Files in WP-CONTENT Directory: از این قسمت می‌توانید آپلود کردن فایل های php در وردپرس را غیر فعال کنید تا فایل های ویروسی و آلوده به کد‌های مخرب در سایت آپلود نشوند.

Block PHP Files in WP-INCLUDES Directory :  در این بخش می‌توانید اجرا شدن فایل‌ها در دایرکتوری WP-lncludes را غیر فعال کنید.

Information Leakage: این گزینه که بسیار مهم است، می‌تواند از پخش شدن اطلاعات جلوگیری کند و درصد زیادی از امنیت سایت را بالا ببرد. حتما این گزینه را فعال کنید و از نشت اطلاعات سایت خود جلوگیری نمایید.

Default Admin Account: از این قسمت هم می‌توانید مشخص کنید که مدیر اصلی سایت کدام اکانت است.

Plugin and Theme Editor: همان‌طور که گفتیم غیر فعال کردن ویرایشگر وردپرس مهم است. از این گزینه هم می‌توانید ویرایشگر را غیر فعال کنید.

خب مراحلی که به امنیت سایت کمک می‌کنند را در این گزینه‌ها بررسی کردیم.

‌

اطلاع رسانی ایمیل از تغییرات وردپرس

تغییراتی که در وردپرس انجام می‌شود بسیار مهم است. گاهی اوقات به سیستم خود دسترسی ندارید و نمی‌توانید سایت را چک کنید و می‌خواهید از کارهایی که در سایت انجام می‌شود خبر داشته باشید. در این قسمت می‌توانید تغییراتی که در وردپرس انجام می‌گیرد را با ایمیل دریافت کنید و هر تغییر کوچک و بزرگ را در ایمیل خود داشته باشید.

برای فعال کردن این قابلیت باید از منو بر روی Settings کلیک کنید و بعد از زبانه‌ها، Alerts را انتخاب کنید تا ایمیل خود را برای اطلاع رسانی ست کنید.

امیدواریم که با این آموزش توانسته باشید امنیت سایت خود افزایش دهید و آن را تا حدی غیر قابل نفوذ کنید. امنیت سایت به هاستینگ شما هم مرتبط است که اگر هاستینگ خود را از سرویس دهنده‌های نا معتبر خریداری کنید، امکان اینکه سایت شما مورد نفوذ قرار بگیرد، زیاد است.

میزبان وردپرس ارائه دهنده هاستینگ و سرور های قدرتمند برای میزبانی وب وردپرس است که می‌توانید با خرید هاستینگ از میزبان وردپرس امنیت سایت خود را بالا ببرید و با بیشتری سرعت سایت خود را در گوگل ایندکس کنید.