اهمیت امنیت در طراحی سایت اختصاصی

چرا طراحی سایت اختصاصی باید از روز اول با محوریت امنیت انجام شود و چه گام هایی برای محافظت از کسب و کار دیجیتال لازم است

[call-action type="ticket"]

 

تصور کنید یک مدیر شرکت در تهران صبحی ایمیلی دریافت می کند که مشتری بزرگ او دیگر وارد پنل سفارشات نمی شود. بعد از بررسی متوجه می شود سایت شرکت هک شده و اطلاعات سفارشات لو رفته است. آن مدیر پیش از این هرگز اولویت را به امنیت نداده بود چون هزینه طراحی پایین تر از دغدغه امنیت به نظر می رسید. نتیجه خسارت مالی و از دست رفتن اعتماد مشتری بود. این داستان کوتاه نشان می دهد اهمیت امنیت در طراحی سایت اختصاصی چیست و چرا سرمایه گذاری در آن یک هزینه نیست بلکه حفاظت از کسب و کار است.

چرا امنیت باید در طراحی سایت اختصاصی اولویت باشد

سایت اختصاصی به معنی کنترل کامل روی کد و زیرساخت است. این مزیت وقتی با امنیت ترکیب شود تبدیل به برتری رقابتی می شود. در غیر این صورت همان کنترل می تواند به ریسک تبدیل شود چون خطا در پیاده سازی یا غفلت مدیریتی محل نفوذ هکرها می گردد.

مزایای طراحی سایت اختصاصی با امنیت از ابتدا

• کاهش ریسک نشت داده و حفظ اعتبار برند
• قابلیت پیاده سازی سیاست های امنیتی سازمانی
• بهینه سازی عملکرد و کاهش حملات مبتنی بر منابع
• سفارشی سازی مکانیزم های احراز هویت و لاگینگ

اشتباهات رایج که امنیت را تضعیف می کنند

1. انتخاب قالب یا افزونه های نامعتبر یا قابل دسترسی عمومی
2. عدم به روز رسانی منظم سیستم عامل و کتابخانه ها
3. رمزهای ضعیف و عدم مدیریت دسترسی
4. نبود بک آپ و برنامه بازیابی حادثه

تهدیدهای متداول برای سایت های اختصاصی

آشنایی با انواع حمله کمک می کند تا راهکار دقیق تری داشته باشیم

حملات رایج

• SQL Injection برای استخراج یا تغییر داده
• Cross Site Scripting مخرب کردن صفحات و فیشینگ
• حملات بروت فورس علیه فرم های ورود
• Upload تهدیدآمیز فایل های مخرب
• حملات DDoS برای از کار انداختن سرویس
• نفوذ از طریق ماژول ها یا پلاگین های ناامن

مثال عملی

یک فروشگاه آنلاین در تبریز با افزونه قدیمی پرداخت مواجه شد که یک نقطه نفوذ داشت. مهاجم با یک اسکریپت ساده توانست سفارشات جعلی ثبت کند و سپس با استفاده از اطلاعات جانبی به حساب های کاربری دسترسی یابد. اگر افزونه به روز شده و سیاست بررسی ورودی ها اعمال شده بود، این اتفاق رخ نمی داد.

چک لیست عملی و گام به گام برای افزایش امنیت سایت اختصاصی

در ادامه یک راهنمای کاربردی که تیم توسعه و مدیران سایت می توانند اجرا کنند آمده است

پیش از راه اندازی

1. طراحی امن در معماری
   • تفکیک لایه ها presentation business data
   • محافظت از اسرار با vault یا متغیرهای محیطی
   • نصب و پیکربندی WAF برای محافظت سطح ابتدایی
2. برنامه مدیریت وابستگی ها
   • استفاده از نسخه های تاییدشده کتابخانه ها
   • بررسی CVE های مرتبط قبل از به کارگیری هر بسته
3. سیاست کنترل دسترسی
   • ایجاد نقش های دقیق با حداقل امتیاز لازم
   • استفاده از احراز هویت چند عاملی برای حساب های مدیریتی

پس از راه اندازی

1. پچ و به روز رسانی منظم سیستم عامل و پکیج ها
2. نظارت و لاگینگ پیوسته با نگهداری لاگ ها در مکان ایمن
3. تست نفوذ دوره ای و اسکن خودکار کد و محیط
4. آموزش کاربران و مدیران درباره حملات فیشینگ و مهندسی اجتماعی

توصیه های فنی کوتاه مدت که فوری اجرا شوند

• تعویض نام کاربری پیش فرض ادمین و پیشوند دیتابیس
• محدودیت تلاش های لاگین و بلاک شدن IP بعد از چند تلاش
• غیرفعال کردن اجرای کد در پوشه های آپلود
• فعال کردن HTTPS با گواهی معتبر و تنظیم HSTS

دعوت به اقدام

برای بررسی امنیت سایت اختصاصی خود و دریافت گزارش رایگان وضعیت فعلی تماس بگیرید

[call-action type="ticket"]

امنیت در سایت های وردپرس در مقابل سایت های اختصاصی

وردپرس محبوب است اما اگر مدیریت نشود می تواند ریسک ایجاد کند. در این بخش تفاوت ها و راهکارهای ویژه وردپرس را مرور می کنیم

ویژگی های ریسک ساز در وردپرس

• افزونه های غیراستاندارد
• قالب های نال شده یا ویرایش نشده
• بروزرسانی ناپیوسته

[suggest-article keyword="وردپرس"]

راهکارهای موثر برای وردپرس

1. به روز نگه داشتن هسته قالب و پلاگین
2. نصب پلاگین های معتبر امنیتی مانند Wordfence Sucuri iThemes
3. غیرفعال کردن XmlRPC و ویرایشگر فایل در پیشخوان
4. استفاده از سرویس های CDN و WAF برای کاهش حملات

نکته مهم این است که سایت اختصاصی با کدنویسی اصولی می تواند خیلی امن تر و قابل کنترل تر از وردپرس باشد اما این نیازمند تیم فنی مجرب و رعایت استانداردها است.

پیشنهادهای فنی ویژه برای توسعه دهندگان

این موارد برای تیم فنی و توسعه دهنده مهم و اجرایی هستند

کدنویسی امن

• استفاده از پارامتریزیشن در کوئری های دیتابیس
• سنجش و فیلتر ورودی های کاربر در سمت سرور
• عدم نمایش خطاهای تفصیلی در محیط تولید

مدیریت اسرار

• ذخیره کلید ها و پسوردها در vault یا secret manager
• عدم قرار دادن پسورد در کد منبع

پایش و واکنش به حادثه

1. پیاده سازی لاگینگ ساختاریافته و ارسال به SIEM
2. تعریف playbook های واکنش به حادثه
3. آزمون بازیابی از پشتیبان و سناریوهای ریکاوری

انتخاب هاست و زیرساخت مناسب

هاست و سرور محل وقوع بسیاری از حملات هستند یا می توانند اولین خط دفاع باشند

ویژگی های هاست امن

• پشتیبانی از TLS جدید
• فایروال سطح شبکه و برنامه
• بک آپ گیری منظم و امکان بازیابی سریع
• پنل مدیریت با لاگین امن و IP whitelisting

هاست اشتراکی یا اختصاصی

برای سایت های حساس و سازمانی همواره هاست اختصاصی یا کلود اختصاصی پیشنهاد می شود. هاست اشتراکی ممکن است هزینه پایینی داشته باشد اما ریسک اشتراک منابع و دسترسی های کنترلی وجود دارد.

 

[suggest-article keyword="سرور"]

نکات محلی برای کسب و کارهای تهران و تبریز

هر منطقه می تواند نیازهای خاص خود را داشته باشد. در شهرهایی مثل تهران سرعت و دسترسی مهم است و در تبریز اهمیت بهینه سازی منابع و سازگاری با زیرساخت های محلی اهمیت دارد

• استفاده از دیتاسنترهای معتبر داخل کشور برای کاهش تأخیر و رعایت قوانین محلی
• تنظیمات DNS و رکوردهای امنیتی مانند DNSSEC برای حفاظت بیشتر
• بومی سازی پیام های هشدار و آموزش کارمندان به زبان فارسی

خدمات شرکت برنامه نویسان دانش برتر سهند

شرکت برنامه نویسان دانش برتر سهند با بیش از ۲۰ سال سابقه در طراحی و توسعه وب سازمانی خدمات زیر را ارائه می دهد

• طراحی سایت اختصاصی با ASP.NET Core و Vue.js
• پیاده سازی پنل کاربری امن و تجربه کاربری مطلوب
• تست نفوذ و اسکن امنیتی دوره ای
• پیاده سازی سیاست های بک آپ و بازیابی

زمان طراحی از یک ماه آغاز می شود و هزینه اولیه از ۳۰ میلیون تومان است. برای کسب اطلاعات بیشتر و مشاوره رایگان به صفحه خدمات ما مراجعه کنید

[suggest-article keyword="خدمات"]

چک لیست نهایی برای مدیران

این چک لیست را به عنوان تسک های ماهانه در نظر بگیرید

1. بررسی و اجرای به روز رسانی ها
2. چک کردن لاگ ها و هشدارها
3. آزمون بک آپ و ریکاوری
4. مرور سطوح دسترسی و تغییر پسوردها
5. برنامه ریزی تست نفوذ سالانه

[call-action type="ticket"]

اگر می خواهید وضعیت امنیتی سایت شما به صورت حرفه ای بررسی شود درخواست آزمایش نفوذ و گزارش امنیتی را ثبت کنید

[suggest-article keyword="امنیت"]

سوالات متداول

طراحی سایت اختصاصی امن چقدر هزینه دارد

هزینه به نیازهای پروژه بستگی دارد اما برای پروژه های سازمانی طراحی اختصاصی با امنیت بالا از ۳۰ میلیون تومان شروع می شود و ممکن است بسته به سطح حفاظت و خدمات پشتیبانی افزایش یابد.

آیا سایت وردپرس امن تر است یا اختصاصی

هر دو می توانند امن باشند. وردپرس سریع راه اندازی می شود اما وابستگی به افزونه ها دارد. سایت اختصاصی با طراحی امن می تواند کنترل بیشتری بدهد و برای سازمان ها مناسب تر است.

چند وقت یک بار باید بک آپ گرفت

بسته به تغییرات سایت متفاوت است اما پیشنهاد می شود برای سایت های فروشگاهی روزانه و برای سایت های اطلاع رسانی حداقل هفتگی بک آپ گرفته شود.

چگونه می توانم صفحه ادمین را مخفی کنم

می توانید مسیر ورود را تغییر دهید و دسترسی به پوشه مدیریت را با پسورد محافظت یا IP limited کنید. در وردپرس افزونه هایی برای تغییر آدرس ورود وجود دارد.

آیا نصب فایروال کاربردی است

بله فایروال وب اپلیکیشن می تواند حملات شناخته شده را فیلتر کند و بار زیادی از ترافیک مخرب را دفع نماید اما فایروال تنها کافی نیست و باید در کنار دیگر اقدامات استفاده شود.

آیا باید از CDN استفاده کنم

استفاده از CDN به کاهش تاخیر و محافظت در برابر برخی حملات کمک می کند. برای کسب و کارهای در تهران و تبریز توصیه می شود CDN داشته باشید تا کارایی و تحمل خطا افزایش یابد.

چگونه رفتار مشکوک کاربران را تشخیص دهم

با مانیتورینگ لاگ ها و تحلیل رفتار کاربری می توانید IP ها و الگوهای عجیب را شناسایی کنید. ابزارهای SIEM یا افزونه های امنیتی می توانند به شما هشدار دهند.

آیا می توانم امنیت را بعد از طراحی افزایش دهم

بله. اما بهترین نتیجه وقتی حاصل می شود که امنیت از مرحله طراحی در نظر گرفته شده باشد. با این حال می توان با اسکن و پوشش نقاط ضعف فعلی ایمن سازی را انجام داد.

بهترین افزونه های امنیتی وردپرس چیست

افزونه های مطرح شامل Sucuri Wordfence iThemes All In One WP Security MalCare هستند. انتخاب بسته به نیاز و بودجه شما دارد.

در صورت هک شدن اولین قدم چیست

اولین کار قطع دسترسی مهاجم و گرفتن نسخه بک آپ از وضعیت فعلی است سپس لاگ ها بررسی شود و در صورت نیاز سایت از دسترس خارج و اقدامات تعمیراتی آغاز گردد.

نتیجه گیری

امنیت در طراحی سایت اختصاصی الزامی است. سرمایه گذاری زمان و بودجه روی امنیت باعث حفظ درآمد و اعتبار می شود. اجرای چک لیست های فنی، انتخاب زیرساخت مناسب و همکاری با تیمی مانند شرکت برنامه نویسان دانش برتر سهند که تجربه در ASP.NET Core Vue.js MSSQL و Node.js دارد می تواند تضمین کننده مسیر امن برای کسب و کار شما باشد.

تماس برای مشاوره و بررسی امنیتی

برای دریافت مشاوره رایگان بررسی وضعیت فعلی و پیشنهاد راهکار مناسب با ما تماس بگیرید

[call-action type="ticket"]

شرکت برنامه نویسان دانش برتر سهند بیش از ۲۰ سال سابقه دارد زمان طراحی از یک ماه شروع می شود و هزینه از ۳۰ میلیون تومان آغاز می گردد

نکات فنی اضافی برای توسعه دهندگان

فایل هایی که باید در مستندات پروژه ذکر شوند

• سند معماری امنیتی
• فهرست وابستگی ها و نسخه ها
• Playbook های واکنش به حادثه
• فرآیندهای بک آپ و زمان بندی

این روز ها با افزایش وب سایت ها و کاربران اینترنت ، امنیت وب سایت روز به روز احمیت بیشتر می گیرد و برای اینکه این مقوله امنیت وب سایت از خاطر طراحان وب سایت فراموش نشود شاید هر روز ده ها مقاله مختلف نوشته و منتشر میابد اما واقع مشکل کجاست

شاید بشه از مهم ترین مقوله های امنیت به مورد زیر اشاره کرد

• استفاده از سیستم تشخیص هویت
• تنظیم CustomErrors
• Debug در سیستم های تحت توسعه دات نت
• لاگ رویداد ها و مدیریت خطاها
• تنظیمات دیتا بیس
• SQL Injection
  
• xss
• FileUpload
• اعتبار سنجی ViewState
• رمز نگاری اطلاعات (Encryption)
• هش کردن اطلاعات مهم (Hashing)
• رمزکردن متن های اتصال
• انتی ربات ها

و شاید صدها موارد ریز و درشت دیگر که می توانه شرایط هک شدن سایت را برای نفوذ گر فراهم بیاره اما در این میان با برسی بیشتر سایت های هک شده شاید یک مورد دیگر هم جلب توجه می کنه و ان هم بیشتر سایت ها از cms های اماده استفاده می کنند و متاسفانه از نسخه های قدیمی بله درسته جوملا ، وردپرس و ... از جمله این سامانه های مدیریت محتوا هستند که به دلیل سورس باز بودن این سامانه ها همه نفوذگر ها با برسی این سورس ها شاید صدها به خصوص در نسخه های قدیمی راه برای نفوذ بی دردسر و با هزینه کم پیدا می کنند حالا این سوال پیش میاد که ایا رایگان بودن این مدیریت محتوا می ارزند به اندازه امنیت پایدار وب سایت های طراحی اختصاصی ان ؟!؟!

وحال هک شدن بیش از  500 سایت ایرانی در یک روز توسط تیم TeaM System Dz
با یک مرورکوچک می توان پی برد که این سایتها همگی ازمدیریت محتوای  CMS اماده استفاده میکنند و بدون توجه به باگهای مدیریت محتوا همچون جوملا و وردپرس و عدم بروزرسانی به هنگام این سامانه های مدیریت محتوا خودرا اماه هک شدن توسط نفوذگر ها قرار میدهند

اگر نیازمند به یک طراحی وب سایت امن هستید می توانید با ما در تماس باشید

امنیت وردپرس شاخصی است که به امن بودن سایت وردپرسی از لحاظ حفاظت از اطلاعات سایت و جلوگیری از هک و نفوذ اشاره دارد. در بحث امنیت وردپرس علاوه بر پارامترهای فنی و تکنیکال مانند کدها و افزونه های نصب شده، امن بودن سرویس هاستی که استفاده شده است و تست های نفوذ پذیری قالب و رعایت برخی نکات از سمت مدیر سایت نیز زیر ذره بین قرار می گیرد. در ادامه به نقل از ژاکت، مرجع وردپرس ایران، توصیه های امنیتی وردپرس را برای شما لیست می کنیم.

چرا امنیت وب سایت مهم است؟

امنیت وردپرس موضوعی است که از اهمیت زیادی برای هر صاحب وب سایتی برخوردار است. در حالی که نرم افزار اصلی وردپرس بسیار ایمن می باشند و توسط صدها نفر از توسعه دهندگان به طور منظم کنترل می شود، اما کارهای زیادی را می توان برای ایمن نگه داشتن سایت شما انجام داد. امنیت تنها به معنای رفع خطر کردن نمی باشد و همچنین در مورد کاهش خطر است. به عنوان یک مالک وب سایت، موارد زیادی وجود دارد که می توانید برای بهبود امنیت وردپرس خود انجام دهید. نکات امنیتی وردپرس که از ژاکت برای شما نقل می کنیم یک سری اقدامات است که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.

یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربران، رمزهای عبور، نرم افزارهای مخرب را سرقت کنند و حتی می توانند بدافزار را به دستگاه کاربران شما وارد کنند. بدتر از همه، ممکن است شما تنها در ازای پرداخت باج به هکرها قادر باشید که به وب سایت خود دسترسی پیدا کنید.

خود هسته وردپرس بسیار امن است. وردپرس همچنین دارای هزاران افزونه و قالب است که می توانید بر روی وب سایت خود آن را نصب کنید. این افزونه ها و قالب ها توسط توسعه دهندگان شخص ثالث که مرتباً نیز آن را به روزرسانی می کنند، نگهداری می شود. این به روزرسانی های وردپرس برای امنیت و ثبات سایت وردپرسی شما بسیار مهم است. شما باید اطمینان حاصل کنید که هسته وردپرس، افزونه ها و موضوع وردپرس شما به روز باشد. پس لازم است افزونه ها و قالب های خود را از مرجع معتبری مثل zhaket تهیه کرده باشید از از اولین گام امنیت یعنی مخرب نبودن کدها اطمینان داشته باشید. سایر گام هایی که در امنیت وردپرس مهم است را به نقل از ژاکت در ادامه ذکر می کنیم:

WordPress Security: 17 tips for keeping your website secure [2020]

گام های ضروری در امنیت وردپرس

سایت وردپرس خود را به SSL / HTTPS منتقل کنید.

SSL یک پروتکلی است که انتقال داده را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود که سرقت اطلاعات را دشوار شود. هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد. بنابراین امروزه استفاده از SSL برای همه وب سایت های وردپرس خود از همیشه آسان تر است. اکنون بسیاری از شرکت های میزبان گواهی SSL رایگان برای وب سایت وردپرس شما را ارائه می دهند .

نام کاربری پیش فرض “مدیر” را تغییر دهید.

در زمان های قدیم، نام کاربری مدیر پیش فرض وردپرس “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند، این حملات را برای هکرها آسان تر می کند. خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس می کند .با این حال، برخی از نصب کنندگان وردپرس با یک کلیک، هنوز نام کاربری مدیر پیش فرض را روی “admin” تنظیم می کنند.

امکان ویرایشگر پرونده ها را غیرفعال کنید.

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد قالب ها و پرونده های پلاگین خود را از قسمت مدیر وردپرس ویرایش کنید. این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را خاموش کنید و از آن استفاده نکنید.

در برخی از دایرکتوری های وردپرس امکان اجرای فایل PHP را غیرفعال کنید.

روش دیگر برای سخت کردن امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در فهرست هایی است که نیازی به آن نیست مانند / wp-content / uploads /.. در این پوشه لزومی ندارد فایل های دستوری php قابلیت اجرا داشته باشند.

تلاش های ورود به سیستم را محدود کنید.

به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند. این باعث می شود سایت وردپرسی شما در برابر حملات brute force آسیب پذیر شود. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در استفاده از رمز عبور دارند. با محدود کردن تلاش های ناموفق برای ورود به سیستم، کاربر واقعی می تواند به راحتی وارد شود. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، به طور خودکار از آن مراقبت می شود.

رعایت امنیت وردپرس ضامن کسب و کار آنلاین شماست.

WordPress Security Statistics 2020 - WP Manage Ninja

تأیید اعتبار دو عامل را اضافه کنید.

روش احراز هویت دو عاملی، کاربران را با حفظ امنیت مجبور به ورود می کند. اولین مورد نام کاربری و رمز عبور است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد. اکثر وب سایت های آنلاین برتر مانند Google ، Facebook ، Twitter به شما امکان می دهند آن را برای حساب های خود فعال کنید. همچنین می توانید همان عملکرد را به سایت وردپرس خود اضافه کنید.

پیشوند پایگاه داده وردپرس را تغییر دهید.

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در پایگاه داده وردپرس شما استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر است. به همین دلیل است که توصیه می کنیم آن را تغییر دهید. توجه: اگر این کار در سایت شما به درستی انجام نشود، می تواند سایت شما را خراب کند. فقط در صورت احساس راحتی با مهارت رمزگذاری، اقدام کنید.

نقش میزبانی وردپرس و هاست در امنیت یک سایت

سرویس میزبانی وردپرس شما مهم ترین نقش را در امنیت سایت وردپرسی شما دارد. یک ارائه دهنده میزبانی معتبراقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می دهد. در اینجا نحوه کار یک شرکت میزبان وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما ارائه شده است.

آن ها به طور مداوم شبکه خود را از نظر فعالیت مشکوک کنترل می کنند.

همه شرکت های میزبان خوب ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند.

آن ها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوءاستفاده آسیب پذیری های امنیتی در نسخه قدیمی توسط هکرها جلوگیری کنند.

آن ها آماده استفاده از نقشه های بازیابی حوادث هستند که به آن ها این امکان را می دهد که از داده های شما در صورت تصادف بزرگ محافظت کنند.

در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این در صورتی که هکر بتواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند خطر آلودگی بین سایت را باز می کند.

یک نسخه ی پشتیبان گیری از وردپرس نصب کنید.

پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی قابل هک باشند، وب سایت های شما نیز می توانند مورد حمله قرار بگیرند. در صورت بروز اتفاقات بد، پشتیبان گیری به شما امکان می دهد که سرعت سایت وردپرس خود را بازیابی کنید.

نمایه سازی فهرست را غیرفعال کنید.

هکرها می توانند از فهرست دایرکتوری استفاده کنند تا بفهمند آیا پرونده ای با آسیب پذیری های شناخته شده دارید یا خیر، بنابراین آن ها می توانند با استفاده از این پرونده ها به سایت شما دسترسی پیدا کنند. افراد دیگر می توانند از فهرست دایرکتوری برای جستجوی پرونده ها و فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری و سایر اطلاعات استفاده کنند. به همین دلیل توصیه می شود فهرست بندی ها را خاموش کنید.

XML-RPC را در وردپرس غیرفعال کنید.

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به شما کمک می کند سایت وردپرس خود را با وب و برنامه های تلفن همراه متصل کنید. به دلیل ماهیت قدرتمند خود، XML-RPC می تواند حملات brute-force را به میزان قابل توجهی تقویت کند. به عنوان مثال، به طور معمول اگر یک هکر بخواهد 500 گذرواژه مختلف را در وب سایت شما امتحان کند، مجبور است 500 تلاش ورود به سیستم جداگانه انجام دهد که توسط پلاگین logdown lockdown گیر و مسدود می شود.

اما با XML-RPC ، یک هکر می تواند با استفاده از تابع system.multicall هزاران رمز عبور را با 20 یا 50 درخواست درخواست کند. به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.

سه روش مختلف برای غیرفعال کردن XML-RPC در وردپرس وجود دارد که بهترین روش htaccess است زیرا کمترین میزان مصرف منابع را دارد.

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید.

افزودن سوالات امنیتی به صفحه ورود به وردپرس دسترسی غیر مجاز را برای افراد دشوارتر می کند. با نصب افزونه WP Security Questions می توانید سوالات امنیتی را اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به صفحه تنظیمات »سوالات امنیتی بروید.

اسکن وردپرس برای بدافزارها و آسیب پذیری ها

اگر یک افزونه امنیتی وردپرس نصب کرده باشید، آن پلاگین ها به طور منظم سایت را از نظر بدافزار و نشانه های نقض امنیت بررسی می کنند. با این حال، اگر یک افت ناگهانی در بازدید از وب سایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی سایت خود را اسکن کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید.

منبع

https://www.hamyarit