امنیت در وردپرس، چقدر با این مفهوم آشنا هستید و چقدر بهش اهمیت میدید؟ بیاید با یک مثال شروع کنیم فکر کنید یک روز صبح که از خواب بیدار می شویم و سایت طراحی سایت و اپلیکیشن وبلینو را باز می کنیم با پیغام هایی مواجه می شویم که از نحوه ایجاد شدنشان بی خبریم و محتوایی روی صفحه سایت میبینیم که نویسنده آن مشخص نیست.
خب طبیعتا باید به کنترل پنل سایت لاگین کنیم تا ببینیم چه اتفاقاتی در سایت عزیزمان افتاده ! این موضوع آنجایی بدتر خواهد شد که ببینیم حتی دسترسی برای ورود به پیشخوان سایت هم نداریم. قطعا نه ما و نه شما دوست نداریم هرگز این سناریو را ببینیم.
با این مقدمه قصد دارم تا در مقاله امروز بهترین افزونه امنیتی وردپرس را به شما معرفی کنم. من مهراد مظاهری هستم و در مقاله امروز وبسایت وبلینو با معرفی انواع افزونه های امنیتی وردپرس بهترین را از میان چندنی افزونه برتر امنیت وردپرس انتخاب کرده و در انتهای مقاله هم نگاهی جامع به مفهوم امنیت در وردپرس خواهم داشت. پس تا انتهای این مقاله همراه من باشید.
افزونه امنیتی وردپرس و فایروال
بهترین افزونه امنیتی وردپرس شاید لقبی برازنده برای این افزونه باشد. این پلاگین به عنوان اولین گزینه برای معرفی انتخاب شده است. پلاگین all in one wp security and firewall یا همان امنیت کامل وردپرس و فایروال یک پلاگین امنیتی رایگان با تنظیمات بسیار متعدد و البته جامعی بوده که به تنهایی بدون هیچ افزونه ی اضافی می تواند امنیت سایت شمارا تا حد بسیار بالایی تامین کند.
این افزونه امنیتی وردپرس در شاخه های فایروال، امنیت حساب های کاربری، امنیت پایگاه داده، امنیت پایگاه داده، و امنیت در ثبت نام کاربران نقش کلیدی ایفا میکند و دارای تنظیمات کاربردی ای می باشد که در ادامه به چند مورد از آنها اشاره می کنیم.
محافظت صفحه ورود از حملات BruteForce
حملات بروت فورس یکی از قدیمی ترین انواع حملات در وردپرس بوده که در آنها فرد هکر که اقدام برای هک وردپرس می کند نام های کاربری و رمزعبور های گوناگونی که تعداد آنها بسیار بالاست ( و قالبا در یک لیست به نام پسورد لیست ذخیره شده اند ) را با استفاده از ابزارهای مخصوص این حوزه با سرعت بالا برروی وبسایت شما امتحان کرده تا در نهایت به رمز عبور شما دست پیدا کند.
طبیعتا هر افزونه امنیتی وردپرس که بخواهید انتخاب بکنید باید وبسایت وردپرسی شمارا در مقابل این حمله ایمن کند.
شاید در نگاه اول این نوع حمله و هک وردپرس خنده دار بنظر برسد اما باید بدانید که کامپیوتر می تواند در هر چند ثانیه تعداد زیادی رمز عبور را برروی وبسایت شما امتحان کند ( البته در صورت پاسخ دهی منظم سروری که سایت وردپرسی شما برروی آن هاست شده است. )
حال هرچه رمز عبور شما ساده تر باشد زمان حدس زدن آن برای کامپیوتر کوتاه تر خواهد بود به طوریکه یک رمز عبور ساده متشکل از حروف تنها در چندین ساعت توسط کامپیوتر قابل حدس زدن است.
یک راه ساده برای جلوگیری از این نوع حمله تغییر آدرسی که با آن به پیشخوان وردپرس لاگین می کنید و اضافه کردن یک کد امنیتی به فرم ورود است که هر ۲ این موارد در تنظیمات افزونه امنیت کامل وردپرس وجود دارد.
داشبورد افزونه امنیتی وردپرس All in one WordPress Security
این افزونه امنیتی وردپرس داشبوردی بسیار قدرتمند دارد که در آن امتیازاتی که در حوزه امنیت وردپرس بدست می آورید را در یک نمودار مشخص کرده و به هرکدام هم یک ضریب داده است. بدین ترتیب شما متوجه می شوید هرکدام از اقداماتتان دقیقا چه میزان برروی امنیت سایتتان تاثیر گذاشته است.
به عنوان مثال انتخاب کردن نام کاربری admin برای سایت امتیاز امنیتی شمارا به شدت کاهش می دهد، اما مثلا جلوگیری از دسترسی روبات های جعلی گوگل یک تنظیم پیشرفته در این پلاگین بوده و فعال کردن آن شاید آن اندازه که باید به امنیت سایت شما ( چه در جهت افزایش چه در جهت کاهش ) کمک شایانی نکند.
این افزونه امکانات فراوان دیگری هم دارد که شاید توضیح و آموزش تمامی آنها در یک مقاله امکان پذیر نباشد. اگر به این افزونه علاقه مند شده اید یک خبر خوب برایتان دارم و آن این که به زودی مقالات جدیدی در حوزه آموزش افزونه های امنیتی وردپرس در وبلینو و در قسمت آکادمی آموزشی برای استفاده شما قابل دسترس خواهد بود.
افزونه امنیتی وردپرس وردفنس
افزونه ضدهک امنیتی وردپرس وردفنس یا همان Wordfence Security Pro یک انتخاب دیگر برای بهترین افزونه امنیتی وردپرس و یک لژیونردر حوزه امنیت در وردپرس می باشد. این افزونه امکانات فراوانی را به همراه خود دارد اما برخلاف رقیب سرسخت خود این افزونه امنیتی وردپرس رایگان نبوده و برای استفاده از تمامی قابلیت های آن می بایست نسخه Pro آن را از مارکت های معتبر فروش محصولات وردپرس خریداری کنید.
افزونه امنیتی وردپرس وردفنس تقریبا هر نوع حمله هکری را در وبسایت شما خنثی می کند. ( و به بیان بهتر شاید حتی نگذارد کسی به سایت شما چپ نگاه کند ). این افزونه در ۲ نسخه رایگان و غیر رایگان قابل دسترس بوده و هر ۲ نسخه هم کاربرد های خاص خود را دارد. امکانات نسخه رایگان به نسبت نسخه پرمیوم کمتر و معطوف به این موارد است.
- فایروال تحت وب برای بلاک کردن ترافیک های مشکوک
- اسکنر قدرتمند برای باج افزارها در سطح هسته وردپرس، قالب ها و پلاگین ها
- امکانات قدرتمند برای جلوگیری از حملات بروت فورس
- قابلیت تعمیر فایلهای هسته وردپرس با استفاده از بکاپ گیری اتوماتیک از فایل های هسته وردپرس
- اضافه کردن ورود با تایید ۲ مرحله ای به صفحه ابتدایی وردپرس
این افزونه امنیتی وردپرس در نسخه غیر رایگان خود قابلیت های Real Time را به امکانات بالا اضافه کرده تا در لحظه بتواند تهدیداتی که برای سایت شما اتفاق می افتد را شناسایی و خنثی کند.
این افزونه امنیتی وردپرس قدرتمند در مخزن وردپرس بیش از ۳ میلیون بار دانلود شده است. اما چرا در لیست بهترین افزونه های امنیتی وردپرس در وبلینو، WordFence جایگاه دوم را کسب کرده است؟ پاسخ به این پرسش روشن است. غیر رایگان بودن این افزونه و استفاده فراوان از قابلیت های تبلیغاتی ( نسبتا هم آزار دهنده ) در نسخه رایگان آن، به شخصه اگر بخواهم برای امنیت در وردپرس برای سایت خودم اقدام کنم و هزینه ای هم برای افزونه امنیتی پرداخت نکنم به سراغ وردفنس نمی روم چرا که تبلیغاتی که در صفحات این افزونه وجود دارد و یا ایمیل های خبرنامه آن گاهی اوقات واقعا وبمستران وردپرس را کلافه می کند.
افزونه امنیتی سوکوری Sucuri Security
این افزونه امنیتی وردپرس تمرکز بیشتر خود را برروی باج افزار ها قرار داده است.در سطح کلان بدافزارها و مالور هایی (Malware) که وبسایت هارا به خود آلوده می کنند جنبه های تبلیغاتی دارند و هدف آنها دزدیدن ترافیک وبسایت شما و حق بازدید مشتریانتان است.
این وبسایت ها با استفاده از تزریق کد به فایل های درون هاست شما و یا حمله SQL Injection به دیتابیسی که پشت وبسایت شماست کدهای جاوا اسکریپتی را در سایت شما آپلود می کنند که برای دزدیدن ترافیکتان و هدایت کاربرانتان به مقصد خاص خودشان مورد استفاده قرار می گیرد. این مقصد می تواند یک سایت فریب دهنده برای دزدیدن اطلاعات بیشتر ( حتی در مواردی اطلاعات بانکی و شخصی ) و یا صرفا یک صفحه ی تبلیغاتی با موضوعی مثل رای دادن به خلیج فارس باشد. هرچه که باشد ویروسی شدن سایت ( یا به اصطلاح فنی تر malicious site ) اتفاقی بد و فرسایشی برای شماست.
حمله باج افزار به وردپرس گاهی محتوایتان را خراب میکند ، گاهی به اعتماد مشتریان و بازار هدفتان ضربه می زند و در بهترین حالت صرفا وقت و زمان خودتان و بازدید کنندگان سایتتان را تلف می کند.در چنین شرایطی شاید استفاده از افزونه ای که بیشتر از پرداختن به فاکتور های کلی امنیت در وردپرس، به مبحث باج افزارها پرداخته باشد شاید انتخاب عقلانی به نظر برسد.
Sucuri برای اکثر پلتفرم ها و سیستم های مدیریت محتوای معروف پلاگین نوشته است از جمله افزونه امنیتی وردپرس سوکوری. شما می توانید این پلاگین هارا براساس سیستم مدیریت محتوای خود تهیه کنید و به واسطه آن اسکن دقیقتری برروی فایل های درون هاست خود انجام دهید. ما در وبلینو این کار را برای یکی از مشترکین طراحی سایت خود انجام داده و نتایج استفاده از Sucuri malware scanner در سایتشان عالی بود.
سوکوری ویژگی های مختلف و نسبتا زیادی دارد اما اصلی ترین آنها شامل این موارد است.
- به راحتی و به رایگان وبسایت وردپرسی شما از باج افزارها پاک می شود.
- فایروال تحت شبکه سوکوری می تواند بدون هیچگونه بار برروی هاست وردپرسی شما از طریق سرویس ابری سوکوری سایت را اسکن کند.
- سطح امنیت در وبسایت شما افزایش می یابد
- از وبسایت شما دربرابر حملات گوناگون مانند بروت فورس و تزریق کد SQL جلوگیری می کند.
ما در وبلینو آموزشی ویدیویی و اختصاصی برای کار با افزونه Sucuri Security تولید کردیم که می توانید از طریق این لینک آن را مشاهده نمایید : جلسه سوم آموزش مدیریت وردپرس وبلینو : آشنایی با Sucuri Malware Scanner
افزونه امنیتی Ithemes Security Pro
برای اکثر ادمین های وردپرسی این افزونه به علت تیم سازنده اش آشناست. تیم Ithemes که افزونه معروف BackupBuddy را در گذشته به همراه قالب ها و پلاگین های متنوع وردپرسی تولید کرده بود از این تجریات استفاده کرده و یک پلاگین امنیتی نسبتا جامع تولید کرد.
این افزونه امنیتی وردپرس هم تقریبا مشابه دیگر رقیبان خود قابلیت های معادل آنها را دارد اما بازهم رایگان نیست و برای استفاده از آن می بایست حق اشتراک خریداری نمایید. تعدادی از قابلیت های این افزونه امنیتی وردپرس به این ترتیب است:
- ورود با استفاده از تایید ۲ مرحله ای با الگوریتم اختصاصی افزونه امنیتی Ithemes
- اجبار برای انتخاب رمز عبورهای قدرتمند برای کاربران وبسایت
- اسکن صفحات ۴۰۴ و پلاگین های معیوب وردپرس
- بکاپ گیری به صورت دوره ای از هسته وردپرس و قالبها و افزونه های آن
- مسدود سازی آدرس های آی پی که فعالیت مشکوک دارند
اما شاید یکی از مهم ترین قابلیت های این افزونه که آن را در لیست افزونه های امنیتی وردپرس مورد تایید وبلینو قرار داده است قابلیت حفاظت از سرقت نشست های کاربری یا Session Hijacking است. ( البته به شرط آنکه افزونه خود را به نسخه ۵.۵.۰ آپدیت کنید.)
دزدی سشن ها یا نشست های کاربری باعث می شود که هکر وردپرس شما بتواند خود را در موقعیت “مرد میانی” (Man in the Middle) قرار دهد و از ابزارهای شنود کننده پکت (Packet sniffer) استفاده کند.
اگر ترافیک سایت شما که ارسال میشود رمز شده نباشد، مهاجم میتواند براحتی ترافیک را بسمت هاست خود هدایت کرده و در آنجا با تحلیل پکت ها، sessionID را بدست آورد.
ترافیک های رمز نشده، session ID را با خود حمل میکنند حتی در مواردی علاوه بر session ID، شناسه های کاربری و پسوردها را بصورت plain text را نیز در خود دارند. بنابراین برای مهاجم چندان سخت نخواهد بود تا با تحلیل این پکت ها، اطلاعات مورد نیاز خود را از آن ها بدست آورد.
بنابراین حفاظت از این نشست های کاربری هم در نوع خود اهمیت فراوانی دارد. اهمیتی که با پرداخت ۸۰ دلار بابت لایسنس این افزونه امنیتی وردپرس می تواند خیال شمارا تا حد بسیار زیادی راحت کند.
افزونه امنیتی وردپرس جت پک Jetpack Security
این افزونه یکی دیگر از افزونه های بسیار کاربردی و چندمنظوره برای محافظت از سایت های وردپرسی، افزایش امنیت در وردپرس، و بهینه سازی وردپرس می باشد که قابلیت هایی به شرح زیر دارد.
- ایمیل های هشدار در هنگام از دسترس خارج شدن و داون شدن وبسایت شما
- محافظت از وبسایت شما در مقابل حملات بروت فورس و XSS
- بکاپ گیری منظم از وبسایت و ریستور این بکاپ ها تنها با ۱ کلیک در ۱ دقیقه
- ابزارهای مارکتینگ و آنالیز محتوا به همراه ابزارهای طراحی سایت که در پکیج این افزونه گنجانده شده.
- قابلیت مسدود سازی دیدگاه هایی که حاوی کلمات غیرمجاز هستند.
- اتصال شما به هسته اصلی وردپرس در WordPress.com
متاسفانه این افزونه امنیتی علی رغم کاربرد های فراوانی که دارد نمی تواند بهترین افزونه امنیتی وردپرس باشد و به عنوان گزینه آخر وبلینو توسط من معرفی می شود. زیرا در نسخه رایگانش قابلیت های بسیار کمی دارد و برای فعالسازی قابلیت های مورد اشاره در بالا باید ماهانه ۹ دلار بپردازید.
این موضوع زمانی بی استفاده تر بنظر می رسد که بدانید دسترسی به هسته وردپرس ( مشابه بلاگ هایی که با آدرس yoursite.wordpress.com هستند ) در ایران مسدود بوده و به همین دلیل تعدادی از قابلیت های این افزونه برروی هاستینگ های وردپرسی که در سرور های داخل ایران هستند فعال نمی گردد.
سخن پایانی و انتخاب بهترین افزونه امنیتی وردپرس
از نظر من بهترین افزونه امنیتی وردپرس کماکان ۲ افزونه امنیت کامل وردپرس و افزونه ضدهک وردفنس هستند. اگر به دنبال افزایش بسیار زیاد امنیت سایت وردپرسی خود هستید گزینه اول برایتان مناسب است و اگر با پرداخت هزینه برای خرید افزونه امنیتی مشکلی ندارید قطعا وردفنس بهترین انتخاب برای شما خواهد بود.
نکته دیگری که باید بدانید این است که هسته وردپرس با اپدیت های منظم تا حد بسیار زیادی ایمن است و امنیت در وردپرس تا بیش از ۵۰ درصد بدون هیچ اقدام خاصی صرفا با رعایت نکات بسیار ساده مثل رمزعبور قدرتمند و استفاده از قالب ها و افزونه های مورد اعتماد تامین می گردد.
بنابراین شاید مهم تر از انتخاب بهترین افزونه امنیتی برای یک وبمستر وردپرسی انتخاب هاست وردپرس ایمن، انتخاب قالب اورجینال وردپرس و پلاگین های قابل اعتماد باشد.
ولی اگر به هردلیلی این امکانات برای شما فراهم نیست ( خصوصا اگر قالب ها و پلاگین های وردپرسی خود را از مارکت های داخلی و با قیمت های بسیار ارزان نسبت به نسخه اورجینال آن خریداری کرده اید. ) قطعا یک افزونه امنیتی خوب را نیاز خواهید داشت.
امیدوارم مقاله امروز از تیم طراحی سایت وب لینو مورد توجه شما عزیزان قرار گرفته باشد. صمیمانه خوشحال خواهیم شد اگر با نظرات خود مارا در تولید مقالات تخصصی بهتر در حوزه های طراحی سایت یاری نمایید.