طراحی سایت سیستم های امنیتی و حفاظتی

حملات XSS چیست؟ یکی از تهدیدهای سایبری به وبسایت‌ها یا اپلیکیشن‌ها، حملات XSS می‌باشد. XSS خلاصه عبارت Cross-Site Scripting است به معنای اسکریپت‌نویسی متقابل.

در دنیای امروز برنامه‌های کاربردی تحت وب بسیار محبوب هستند. از آنجا که تقریبا تمامی کاربران به شبکه اینترنت متصل هستند و به وب دسترسی دارند، پیدا کردن مشتری و کاربر برای اپلیکیشن‌ها در وب، بسیار آسان‌تر است.

طبق آمار منتشر شده در BroadbandSearch در سال 2021 تقریبا 4.93 میلیارد نفر در سراسر جهان به اینترنت متصل هستند که این عدد 63.2% از جمعیت کل را تشکیل می‌دهد. آمار فوق مهر تایید محکمی بر اهمیت توسعه برنامه‌های تحت وب در صنعت فناوری اطلاعات و ارتباطات می‌باشد.

از سوی دیگر این تکنولوژی محبوب، توجه عناصر مخرب فراوانی را نیز به خود جلب می‌کند. حملات امنیتی برنامه‌های تحت وب مکرراٌ تکرار می‌شوند. حملات تحت وب بالغ بر 128 گروه اصلی می‌باشند، که هر گروه به چندین زیرگروه دسته‌بندی می‌گردند.

جالب است بدانید که این عناصر مخرب از دو طریق موجب اخلال در روند سرویس‌دهی و خدمت‌رسانی می‌گردند؛ در شیوه اول با آسیب رساندن به وب سایت پذیرنده، موجبات اختلال را فراهم می‌آورند و در شیوه دوم کاربرانِ برنامه‌های تحت وب را مورد هدف قرار می‌دهند.

در این مقاله به جزییات حملات XSS که از طریق تزریق کد (code injection) عمل می‌کند، می‌پردازیم و به سوالات زیر پاسخ می‌دهیم:

هدف از XSS Attacks چیست؟

انواع مختلف XSS Attacks کدام است؟

چگونه می‌توان از سایت‌ها و اپلیکیشن‌ها در مقابل XSS Attacks جلوگیری کرد؟

حمله XSS چیست؟

حمله اسکریپت‌نویسی متقابل (XSS) یک نوع رایج از حمله تزریق کد (code injection) است که برنامه‌های تحت وب را با تشخیص آسیب‌پذیری آن‌ها و تزریق کد مخرب، هدف قرار می‌دهد.

در این حمله، برنامه‌های تحت وب تحت تأثیر مستقیم قرار نمی‌گیرند و در عوض، کاربرانی که با چنین سایت‌ها یا برنامه‌هایی ارتباط برقرار می‌کنند، هدف بالقوه هستند.

حملات XSS زمانی رخ می‌دهد که یک هکر با استفاده از سبکِ اسکریپت سمت مرورگر‌، یک کد مخرب را از طریق یک برنامه تحت وب برای قربانی ارسال می‌کند. مهاجمان از آسیب پذیری برنامه‌های تحت وب، که باعث ایجاد حمله موفق می‌شوند، استفاده می‌کنند.

در اینجا توجه شما را به یک مثال جلب می‌نمایم؛

تصور کنید فردی پشت کامپیوتر نشسته است. صفحه نمایش یک File manager ، Text editor ، Spreadsheet و Music player را در گوشه سمت راست پایین نشان می‌دهد.

تا اینجا همه چیز عادی و آشنا است. اما چیزی هست که در این تصویر دیده نمی‌شود، یک مرورگر اینترنت با ده‌ها Tab که به طور همزمان باز شده‌اند!!!

این Tabها پر از عناوین جالب، فیلم‌های خنده دار‌، تبلیغات کالاهای ورزشی‌، فروشگاه‌های آنلاین و یک سایت پرداخت با رسید پرداخت شده برای یک بلیط سریع هستند. همه این سایت‌ها یک ویژگی مشترک دارند: بدون جاوا اسکریپت به سختی امکان پذیر خواهند بود.

سپس یک کلیک ساده روی بنر تبلیغاتی صفحه دیگری را فعال می‌کند. این صفحه حاوی اسکریپتی است که به یک سایت بانکی آنلاین متصل می‌شود و بی سر و صدا پول را از حساب کاربر به کارت مهاجم منتقل می‌کند.

خوشبختانه امروزه مرورگرها به لطف SOP (Same-Origin Policy) این امکان را حذف می‌کنند. SOP تضمین می‌کند که اسکریپت‌های اجرا شده در یک صفحه وب به داده‌های اشتباه دسترسی ندارند.

اگر اسکریپت‌ها از دامنه دیگری بارگیری شده باشند، مرورگر نمی‌تواند آنها را اجرا کند. اما آیا داستان همینجا به پایان می‌رسد؟!

اگر چنین بود که دیگر این مقاله وجود نداشت. مجرمان سایبری از روش‌های مختلفی برای دور زدن SOP و سوء استفاده از آسیب پذیری‌های برنامه استفاده می‌کنند و در صورت موفقیت، باعث می‌شوند مرورگر کاربر، یک اسکریپت دلخواه را در یک صفحه مشخص اجرا کند.

پایه ریزی یک حمله برای آلوده کردن یک وب‌سایت به چه طریق انجام می‌شود؟

قرار است SOP به اسکریپت‌ها تنها زمانی اجازه دهد، که بارگیری اسکریپت از همان دامنه صفحه ای که کاربر در حال مشاهده آن است باشد و در حقیقت، مهاجمان دسترسی مستقیم به سرورِ مسئول صفحه ی نمایش داده شده توسط مرورگر، ندارند.

مهاجمان چگونه این کار را انجام می‌دهند؟ آسیب پذیری‌های برنامه می‌تواند با استفاده از درج قطعات و کدهای مخرب در محتوای صفحه به مهاجمان کمک کند.

به عنوان مثال ، یک موتور جستجوی معمولی هنگام نمایش نتایج جستجو، درخواست کاربر را تکرار می‌کند. اگر کاربر سعی کند رشته “

” را پیدا کند، آیا محتویات صفحه نتایج جستجو منجر به اجرای این اسکریپت می‌شود و آیا کادر محاوره‌ای با پیام “1” ظاهر می‌شود؟

این بستگی به این دارد که توسعه دهندگان برنامه وب چگونه ورودی کاربر را تأیید کرده و آن‌ را به یک قالب امن تبدیل کنند.

مشکل اصلی در این است که کاربران طیف گسترده‌ای از نسخه‌های مرورگر را اجرا می‌کنند، از آخرین پیش آلفا تا نسخه‌هایی که دیگر پشتیبانی نمی‌شوند. هر مرورگر صفحات وب را به شیوه ای متفاوت مدیریت می‌کند.

در برخی موارد، حملات XSS می‌تواند زمانی موفقیت آمیز باشد که ورودی‌ها به اندازه کافی فیلتر نشده باشند. بنابراین اولین قدم در حمله اسکریپت‌نویسی متقابل (XSS) تعیین نحوه جاسازی داده‌های کاربر در یک صفحه وب است.

حملات اسکریپت نویسی متقابل (XSS) - ستاک فناوری ویرا

پایه ریزی یک حمله XSS برای آلوده کردن یک وب‌سایت

انواع حمله XSS

حملات اسکریپت‌نویسی متقابل (XSS) بر سه نوع هستند:

1-XSS ذخیره شده

XSS ذخیره شده مخرب‌ترین آسیب پذیری است. این حمله زمانی رخ می‌دهد که بار اطلاعات مخرب ارائه شده توسط مهاجم در سرور ذخیره شود. این محموله دائماً در معرض صفحه وب قرار می‌گیرد و هنگامی که کاربر عملیات مرور معمولی را انجام می‌دهد فعال می‌شود.

2- XSS منعکس شده

این آسیب پذیری متداول اسکریپت نویسی زمانی ایجاد می‌شود که داده‌های ارائه شده توسط کاربران‌، معمولاً از طریق پارامترهای درخواست HTTP (به عنوان مثال؛ ارسال فرم) در صفحه بدون فیلتر یا ذخیره مناسب، نمایش داده شود.

3- XSS بر اساس DOM (Document Object Model)

حملات XSS بر اساس DOM یک نوع آسیب‌پذیری اسکریپت‌نویسی بین سایت‌ها است که هنگامی رخ می‌دهد که جاوا اسکریپت داده‌ها را از منبع کنترل شده مهاجم دریافت کرده و برای اصلاح محیط DOM ارسال می‌کند. این باعث می‌شود مرورگر قربانی به طور غیر منتظره اجرا شود.

پیشگیری از حملات XSS

برنامه‌های کاربردی از نظر پیچیدگی اسکریپت‌نویسی متقابل می‌توانند چالش برانگیز باشند. بنابراین، ایمن‌سازی آن‌ها در برابر حملات اسکریپت‌نویسی متقابل (XSS) دشوار است. اما با اقدامات پیشگیرانه مناسب، می‌توانید برنامه وب خود را از این حملات محافظت کنید.

– باید ورودی دریافت شده از سمت کاربر را فیلتر کنید.

– در خروجی، داده‌های خروجی را کدگذاری کنید تا با پیاده‌سازی ترکیبی از کدگذاری HTML ، URL ، جاوا اسکریپت و CSS ، آن‌ها را از فعالیت بازدارید.

– با استفاده از ابزارهای اسکنر آسیب پذیری وب‌، می‌توانید برنامه وب خود را برای آسیب‌پذیری‌های احتمالی XSS اسکن کنید.

– پیاده‌سازی header مناسب و مسدود کردن XSS در پاسخ‌های HTTP که انتظار نمی‌رود شامل HTML یا JavaScript باشد و مطمئن شوید که مرورگرها پاسخ مورد نظر را اجرا می‌کنند.

– همچنین می‌توانید سیاست امنیت محتوا (CSP: Content Security Policy) را برای مهار تأثیر مخرب هر گونه آسیب‌پذیری دیگر XSS پیاده‌سازی کنید.

منبع

https://www.setakit.com/

طراحی سایت و امنیت سایت

این یک. چیزی خودمونی بگم با ایرانی ها تا وقتی مشکلی برایمان پیش نیاد به دنبال آن نمی رویم تا وقتی دندان هایم درد نکند دکتر نمیرویم تا دندان ها را چک کند ولی در خارج کشور پیشگیری بهتر از درمان است ولی در ایران بر عکس

پس حداقل برای سایت خودمان امنیت را رعایت کنید امروز می خواهیم چند تکنیک را نام ببریم که می تواند امنیت سایت شما را بالا ببرد سعی کنید از طراحان سایتی که طراحی سایت ارزان انجام می دهند سرویس نگیرید

طراحی سایت و امنیت سایت

مراحل زیر را انجام دهید تا شما هم بتوانید امنیت سایت خود را بالا ببرید تا هکرها به سایت شما نفوذ نکنند 

آپدیت کردن سایت

سعی کنید سایت خود را از لحاظ افزونه و امکاناتی که دارید آپدیت کنیم اگر از سیستم های مدیریت محتوا استفاده می کنید اگر نمی دانید سیستم های مدیریت محتوا چیست این مطلب را بخوانید سعی کنید همیشه آنها را به روز نگه دارید تا هکرها از آن باگ به سایت شما نفوذ نکنند

کنترل دسترسی برنامه ها

سعی کنید همه چیزهایی که برای شما از اول بوده است را عوض کنید مثل نام کاربری و پسوند پایگاه داده را عوض کنید محدود کردن ورود کاربران اگر کاربری سعی داشت به سایت شما وارد شود و چند بار این کار را کرد آن را بلاک کنید سایت روی اطلاعات اولیه را بارگذاری نکنید

به روز کردن نرم افزار طراحی سایت

سعی کنید با آخرین ورژن مدیریت محتوا کار کنید حتی اگر لازم باشد برای بروز رسانی پول پرداخت کنید چون اگر یک باگ و یک راه نفوذ در یک برنامه کشف شود همه هکرها از همین راه به سایت شما نفوذ می کنند پس سعی کنید با به روز رسانی برنامه امنیت طراحی سایت خود را بالا ببرید

امنیت شبکه سیستم خود

وقتی شما از سیستم خود در سایت خود لاگین می کنید اگر دسترسی شبکه به درستی تنظیم نشده باشد یک هکر می تواند از طریق شبکه به سیستم شما نفوذ کند پس سعی کنید هر چند وقت یکبار

رمز پنل مدیریتی خود را عوض کنید

یک نرم افزار اسکن فایل ها بر روی سیستم خود داشته باشید

نصب فایروال بر روی سایت

سعی کنید از ادمین سایت خود بخواهید بر روی سایت شما یک فایروال نصب کند تا از شر هکرها و اسپم ها و فایل های مخرب که باعث مشکلات امنیتی در سایت می شود راحت شوید تا امنیت شما در طراحی سایت بالاتر برود این کار انجام دهید حتی اگر بخواهید بابت نصب فایروال هزینه بدهید

نصب برنامه های امنیتی

در سایت خود از برنامه و افزونه های امنیتی استفاده کنید اگر از وردپرس یا جوملا استفاده می کنید حتما در وب به دنبال افزونه هایی برای امنیت سایت شما هست اگر چه بیشتر پولی هستن ولی ارزش دارن که امنیت سایت شما بالاتر برود اگر با وردپرس آشنایی کافی را ندارید حتما این مطلب را مطالعه کنید

مخفی کردن صفحه ادمین سایت

سعی کنید با تنظیمات و بستن دسترسی ها یا پسورد گذاشتن روی پوشه ادمین به راحتی هکر به قسمت ادمین سایت شما دسترسی پیدا نکند صفحه ادمین خود به آدرس دیگری انتقال دهید اگر مثلا wp-admin است که برای وردپرس هست آن را عوض کنید این آموزش می تواند به شما بیشتر کمک کند SEObook.com

آپلود کردن فایل ها

سعی کنید با تنظیمات و کدنویسی دسترسی کاربران به آپلود کردن فایل ها را بسته نگه دارید یا اینکه هر فایلی را مجاز نکنید تا در سایت شما آپلود شود یکی از این فایل های پسوند فایل های فشرده است .zip .rar

استفاده از SLL در طراحی سایت

استفاده از SLL در طراحی سایت

SLL یک پروتکل رمز نگاری هست برای کاربران سایت که با خیال راحت تر در سایت شما ثبت نام کنند برای همین بیشتر سایت ها از پروتکل SLL استفاده می کنند

امنیت فرم های طراحی سایت

سعی کنید در هنگام فرم پر کردن برای کاربر یک تکنیک استفاده کنید که سایت بفهمد یک آدم دارد سایت را پر می کند این مطلب را در مورد اصول طراحی فرم های سایت را مطالعه کنید نه یک ربات این گونه تکنیک ها زیاد هست کد کپچا گوگل ، من روبوت نیستم ،

گرفتن پک آپ از سایت

سعی کنید حداقل دو روزی یکبار از سایت خود یک پک آپ بگیرید تا در صورت لزوم از آن استفاده کنید و سایت خود را دوباره بازگردانید این مطلب را در مورد انتخاب هاست خوب را مطالعه کنید

کد نویسی سایت

سعی کنید در برنامه نویسی سایت خود امنیت را رعایت کنید و کدنویسی اصولی انجام دهید از قالب های وارز استفاده نکنید

راهکارهای موثر برای افزایش امنیت سایت وردپرس

و روزانه چندین هزار سایت وردپرسی راه اندازی می‌شوند. امنیت سایت‌ وردپرس یکی از دغدغه‌های مالکان سایت‌ها می‌باشد. درست است که وردپرس جوانب امنیتی را اعمال کرده است اما همچنان هکرها و ربات‌هایی هستند که بتوانند به سایت نفوذ کرده و در روند کاری آن اختلال ایجاد کنند. این مشکلات به دلیل نقطه ضعف سایت نیست بلکه به دلیل عدم مدیریت صحیح آن می‌باشد. طبق پیش بینی‌های ارائه شده، در سال ۲۰۲۱ مردم دنیا بیش از ۶۸ بیلیون دلار برای امنیت سیستم‌ها و کسب و کار خود هزینه خواهند کرد. در ادامه با راهکارهایی که به افزایش امنیت وردپرس کمک می‌کند و بیشتر آشنا می‌شویم.

چگونه امنیت وردپرس را بالا ببریم؟

اگر تا کنون سایت خود را نصب نکرده‌اید بهتر است از همین ابتدا جوانب امنیتی را اعمال کنید تا خیالتان راحت بماند. اگر هم سایتتان را تا کنون راه اندازی کرده‌اید، نگران نباشید، با راهکارهایی که در ادامه ارائه شده است می‌توانید امنیت سایت وردپرس خود را تضمین کنید.

وردپرس خود را به صورت مداوم بروز رسانی کنید

بک آپ وردپرس

۱. وردپرس خود را به صورت مداوم بروز رسانی کنید

متأسفانه بعضی از سایت‌ها به این موضوع توجه نمی‌کنند و با اینکه هر روز پیام بروز رسانی وردپرس را دریافت می‌کنند اما بی توجه از آن می‌گذرند. تیم وردپرس همواره در تلاش است که قابلیت‌های جدید را اضافه و مشکلات قبلی را رفع کنند. زمانی که وردپرس آپدیت می‌شود، در اولین فرصت آن را بروز رسانی کنید تا باگ‌های امنیتی قبلی برطرف گردند.

۲. به صورت منظم از وردپرس بک‌آپ بگیرید

برای چندین میزبان این مشکل رخ داد که پلیس آلمان هاردهای سرورها را گرفته بود و همین امر منجر به محو شدن بسیاری از سایت‌ها از صفحه اینترنت شد، سایت‌هایی که صاحبان آن در حال تلاش برای رشد کسب و کار خود بودند و در مقابل هیچ توضیحی هم برای مشتریان قابل توجیه نبود. یک سهل انگاری کوچک می‌تواند منجر به ضرر بزرگی شود. برای امنیت سایت وردپرس خود منتظر هیچ کس نباشید و جانب احتیاط را رعایت کنید، در فواصل منظم از سایت خود بک‌آپ بگیرید و خیال خود را از این مشکلات راحت کنید.

۳. رمز عبور خود را قوی‌تر و سطح دسترسی تعریف کنید

اولین و ساده‌ترین دیوار امنیت سایت وردپرس، رمز عبور آن است. به همان اندازه که رمز عبور سست برای شما راحت است، کشف و نفوذ آن برای هکران راحت‌تر است! در اخبار مربوط به اخبار فناوری، سالانه گزارشات زیادی مبنی بر هک شدن ایمیل کاربران ارائه می‌شود که دلیل آن رمز عبور سست و ساده بوده است. بنابراین هم رمز عبور ایمیل و سایت وردپرسی خود را قوی‌تر کنید تا نفوذ هکرها به سایتتان بسته شود. با توجه به نقش کاربران در سایت، برای هر کدام سطح دسترسی تعریف کنید اینکه کدام مجاز به پاک کردن، ویرایش اطلاعات، رمز سایت و… هست یا نیست. رفتار کاربران خود را آنالیز کنید تا بدانید کدام یک فعالیت مشکوک دارند و از قبل از امنیت سایت وردپرس، محافظت کنید. یک نکته دیگر به امنیت سایت وردپرس کمک می‌کند و کمتر سایتی به آن توجه می‌کند این است که رمز عبور خود و کاربران را به صورت دوره‌ای تغییر دهید. این موضوع برای سایت‌های فروشگاهی ووکامرسی خیلی مفید است.

ابزار امنیت وردپرس

پلاگین امنیت وردپرس

ابزار امنیت وردپرس

اقدامات گفته شده در بالا، از ساده‌ترین اقدامات برای تأمین امنیت سایت وردپرس است اما خودتان هم باید داخل سایت کارهایی انجام دهید:

۱. غیرفعال کردن دسترسی به Directory Browsing

Directory Browsing یکی از راه‌های نفوذ هکران به زیر ساخت سایت است و باید غیر فعال شود، امکان دارد هنگام راه اندازی سایت، این مورد غیر فعال نشده باشد. بدانید که اگر فردی به این قسمت دسترسی یابد می‌تواند فایل‌های آن را سرقت کند و کل امنیت سایت وردپرس را به خطر اندازد. برای غیرفعال کردن این قسمت کارهای زیر را انجام دهید:

وارد هاست شوید.

در مسیر public_html فایل .htaccess را جستجو کنید.

در انتهای این فایل دستور Options-indexs را وارد و ذخیره کنید.

۲. غیرفعال کردن ویرایشگر پوسته و افزونه

وردپرس امکان ویرایش کردن قالب را فراهم نموده است و شما با مراجعه به ویرایشگر پوسته می‌توانید تغییرات دلخواه را در قالب وارد نمایید. اما اگر شخصی به این قسمت راه یابد می‌تواند با جاسازی کدهای مخرب، سایت را به فنا بکشاند. برای پیشگیری از این اتفاق می‌توانید ویرایشگر قالب و افزونه‌ها را غیر فعال کنید:

در مسیر public_html فایل .wp-config.php را جستجو کنید.

در بخش define این فایل، کد زیر را وارد و ذخیره کنید.

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

برخی دایرکتوری‌ها مانند قسمت رسانه که جای آپلود عکس، صوت و فیلم است، نیازی به اجرای کد php ندارند و بهتر است برای تامین امنیت سایت وردپرس، اجرای کد php را در آن غیر فعال کنید.

به مسیر public_html/wp-content/uploads بروید.

خودتان یک فایل با پسوند .htaccess و نام دلخواه، بسازید و کد زیر را در آن درج کنید:

deny from all5.

۳. غیر فعال کردن فایل XML-PRC

یک امکان دیگر که ورد پرس فراهم نموده است، مدیریت از راه دور وردپرس است. با این قابلیت شما می‌توانید از طریق ویندوز، اندروید یا سرویس‌هایی مانند iftt، از راه دور سایت خود را مدیریت کنید. اما هکرها معمولاً با استفاده از تابع system.multicall، می‌توانند به صورت همزمان ۲۰ درخواست به سایت شما ارسال کنند و رمز عبور را پیدا کنند. برای غیر فعال کردن این فعالیت باید فایل XML-PRC را غیر فعال کنید.

به مسیر public_html/wp-content/themes بروید.

فایل php را پیدا کرده و دستور زیر را در آن درج کنید.

۳- add_filter(‘xmlrpc_enabled’, ‘__return_false’); این راهکارها، اقدامات اولیه برای تأمین امنیت سایت وردپرس است، اما برای فراهم نمودن امنیت کامل و پیشرفته‌تر بهتر است از افزونه‌های امنیتی برای وردپرس بهره ببرید.

افزونه های امنیتی برای وردپرس

۸ افزونه وجود دارد که به امنیت سایت وردپرسی شما کمک شایانی می‌کند:

Sucuri Security

این افزونه یکی از معروف‌ترین افزونه‌های امنیتی وردپرس می‌باشد. دانلود و نصب آن نیز رایگان است و تا کنون ۶۰۰ هزار نفر آن را دانلود و نصب کرده‌اند. کارکرد افزونه Sucuri Security به این صورت است که ترافیک سایت را از cloudProxy عبور می‌دهد تا هم بار سرور کاهش یابد و هم با اسکن ترافیک، از سایت در برابر ترافیک مخرب محافظت کند. اگر می‌خواهید تعداد دفعات اسکن افزایش یابد، باید نسخه پریمیوم آن را نصب کنید.

Wordfence Security

همیشه نام Wordfence Security، در بین افزونه‌های امنیتی می‌درخشد. این افزونه تاکنون ۳ میلیون نصب داشته است. این افزونه با Sucuri Security تفاوت دارد، بر خلاف Sucuri Security، در نسخه رایگان افزونه Wordfence Security، قابلیت فایروال فعال است. همچنین با استفاده از این افزونه می‌توانید روند ترافیک، نحوه و تعداد هک‌ها را چک کرده و از آن‌ها جلوگیری کنید. این افزونه خاصیت ضد اسپم دارد و سایت را در برابر اسپم‌های سئو، محافظت می‌کند. در نسخه پریمیوم این افزونه امکان مشاهده امضا بدافزار، بلاک کردن IPهای کشور و لیست سیاه IP بلادرنگ، وجود دارد. ممکن است برایتان سوال پیش آید که منظور از لیست سیاه IP بلادرنگ این است که ترافیک‌هایی که از سمت IPهایی که اخیراً فعالیت بدافزاری داشتند، شناسایی و بلاک شود.

iThemes Security

نام قدیمی این افزونه، Better WP Security است. هم نسخه رایگان و هم نسخه پریمیوم دارد. و تاکنون ۱ میلیون نصب فعال داشته است. در نسخه رایگان این افزونه به شما ۳۰ راه حل برای برطرف کردن مشکلات امنیتی ارائه می‌هد. در نسخه رایگان این افزونه شما می‌توانید کمربند سایت خود را در برابر حملاتی مانند بروت فرس محکم‌تر کنید تا هیچ کاربری بدون رمز عبور نتواند وارد سایت شود همچنین می‌توانید دسترسی به پیشخوان وردپرس را زمانبندی کنید. در نسخه پریمیوم این افزونه، امکانات و قابلیت‌های پیشرفته‌تری تعبیه شده است، مانند: احراز هویت به صورت دو مرحله‌ای، بک‌آپ گیری از پایگاه داده و همچنین شناسایی کاربرهای مشکوک، تولید رمز عبور قوی، اسکن روزانه بدافزارها. این افزونه یکی از بهترین افزونه‌های تامین امنیت سیات وردپرس است.

All In One WP Security & Firewall

این افزونه کاملاً رایگان است و نسخه پریمیوم ندارد و نزدیک به ۹۰۰ هزار نفر آن را نصب و فعال کرده‌اند. یکی از مشکلات امنیت وردپرس، عدم کنترل ثبت نام و نظرات کاربران است. با نصب این افزونه، کد امنیتی به بخش نظرات افزوده می‌شود تا از ورود ربات‌های اسپم جلوگیری شود. یکی دیگر از ویژگی‌های بارز این افزونه این است که با تغییر پیشوند جدول‌های دیتابیس یعنی “_WP”، از دستکاری و نفوذ هکرها جلوگیری می‌کند.

SecuPress 

این افزونه از سال ۲۰۱۶ عرضه شد و موفق شده که تا کنون ۲۰ هزار نصب فعال داشته باشد و دو نسخه رایگان و پولی دارد. از مکانات و قابلیت‌های این افزونه می‌توان موارد زیر را برشمرد: تغییر دادن آدرس ورود به پیشخوان، تنظیمان امنیت ورود به وردپرس، مدیریت کردن داده‌های حساس، جلوگیری از انتخاب نام کاربری و پسورد آسان و ساده، شناسایی افزونه‌ها و قالب‌های مشکوک و خطرناک، بک‌آپ گیری از پایگاه داده، احراز هویت دو مرحله‌ای، مجبور کردن کاربر باری ساخت پسورد قوی.

MalCare Security & Firewall

این افزونه تا کنون ۱۰ هزار نصب فعال داشته و برندهای معتبری مانند intel, Dolby, True HD آن را نصب کرده‌اند. این افوزنه ضعف‌های افزونه‌هایی مانند iThemes Security و Wordfence را پوشش می‌دهد و بدافزارهایی که این افزونه‌ها قادر به شناسایی نیستند را شناسایی می‌کند. متخصصان زیادی این افزونه را پیشنهاد می‌دهند. مهم‌ترین ویژگی بارز این افزونه، امکان شناسایی پیچیده‌ترین بدافزارهاست و در کمر از ۶۰ ثانیه آن‌ها را پاکسازی می‌کند.

بیشترین نقش در امنیت وردپرس

برقراری امنیت وردپرس همواره یکی از چالش برانگیزترین و نگران کننده‌ترین موضوعات برای صاحبان وب سایت‌ها می‌باشد. لازم به ذکر است که تمامی راهکاری گفته شده برای تأمین امنیت وردپس الزامی می‌باشند، شاید نصب آسان افزونه‌های وردپرسی برای شما راحت باشد اما این به معنای امنیت ۱۰۰ درصد نیست و باید تمامی راهکارهای امنیتی را اعمال کنید. خود شما و مدیریت شما، نقش اصلی را در امنیت وردپرس تضمین می‌کند.

منبع

https://www.signwebdesign.ir