مخفی سازی وردپرس
زمانی که یک سایت راه اندازی می کنید، امنیت اولین نگرانی شماست. مخصوصاً اگر ندانید دقیقاً باید از کجا شروع کنید؛ یعنی چه کار باید بکنید! باید دانست که سایت های کوچک هم به اندازه سایت های بزرگ در معرض خطر هک و تخریب قرار دارند. اما از آن جایی که این سایت ها مخاطب کمتری دارند، خبر هک شدن آنها کمتر در رسانه ها منعکس می شود. حتی خیلی از آنها هک می شوند، مالک سایت از این امر مطلع نشده. چرا که هکر از سایت به عنوان ابزار توسعه بدافزار برای آلوده کردن سیستم های دیگر استفاده می کند.
زمانی که از وردپرس به عنوان سیستم مدیریت محتوای سایت خود استفاده می کنید، در حال بهره برداری از امن ترین سیستم دنیا هستید. که البته این امنیت ۱۰۰ درصد نیست. که هکرها همیشه در حال ابداع روش های جدید برای نفوذ هستند. همانطور که توسعه دهنده ها به دنبال عرضۀ وصله های امنیتی هستند.
بر همین اساس حتماً شما هم شنیده اید که مخفی کردن وردپرس از دید دیگر کاربران می تواند امنیت سایت را بالا ببرد و سایت را در برابر هکرها و ربات ها مقاوم کند. در حقیقت راجع به این موضوع بحث هایی میان توسعه دهنده ها و متخصصان امنیتی وجود دارد. موافقان و مخالفانی برای این امر هستند که هر کدام دلایل خاص خودشان را دارند. پس ما در این مقاله راجع به این که چرا باید و یا نباید وردپرس را مخفی کنیم صحبت می کنیم. همچنین در آخر به روش های مخفی سازی وردپرس هم می پردازیم.
وردپرس به اندازه کافی امن هست؟
وردپرس به عنوان پر کاربردترین سیستم مدیریت محتوای حال جهان، امن ترین هم هست. از مهم ترین دغدغه های توسعه دهندگان هسته وردپرس، امنیت آن است و این نرم افزار مدام در حال وصله گیری های امنیتی است و این را از روی بروزرسانی هایی که هر از چند گاهی منتشر می شود می توان فهمید.
از مهم ترین دلایل محبوبیت وردپرس هم همین امنیت آن است که توسط دهها میلیون وبسایت استفاده می شود. هکرها هم از این موضوع اطلاع دارند و می دانند که باید دانش خود را راجع به وردپرس افزایش دهند تا بتوانند سایت هایی که با وردپرس ساخته شدند را هک کنند. یکی از مهم ترین روش هایی که هکر ها برای این منظور استفاده می کنند Brute force یا HTTP requests است. که استفاده از این روش ها روی هر سیستمی امکان پذیر است.
باید به این نکته هم دقت شود که افزونه ها و پوسته های وردپرس هم می تواند رخنه های امنیتی برای سایت ما ایجاد کنند. که امنیت آنها را با امنیت وردپرس نباید گره زد. هر چند که آنها هم روی وردپرس اجرا می شوند.
با توجه به این موارد، می توان فهمید که امنیت وردپرس به قدری هست که نتوان به آن ایرادی وارد کرد. اگر هم تعداد گفته می شود تعداد زیادی از سایت هایی که هک می شوند با وردپرس ساخته شدند، این بدین دلیل است که CMS مغلوب جهان وردپرس است.
چرا باید وردپرس را مخفی کرد؟
اول بهتر است که منظورمان را از مخفی کردن وردپرس روشن کنیم. برخی ها از مخفی کردن وردپرس، مخفی کردن شماره نسخه وردپرس را در نظر دارند. اما مخفی کردن وردپرسی که اینجا مد نظر ماست، منظور مخفی کردن هر گونه ردپایی روی سایت است که نشان دهد سایت ما با وردپرس ایجاد شده است.
اینکه دلیل شما برای مخفی کردن وردپرس چی باشد، ممکن است حتی شخصی باشد. مثلاً دوست نداشته باشید که دیگران بدانند شما سایت تان را با وردپرس ساختید. اما هدف اصلی معمولاً اهداف امنیتی است.
یکی از چیزهایی که معمولاً برخی از کارشناسان امنیت برای بالا بردن امنیت مطرح می کنند، مخفی کردن و پنهان کردن است. البته که این مخفی کردن تا حدی موثر است. اما همۀ داستان به همین جا ختم نمی شود. اگر هکری فقط روی یک سایت متمرکز شود تا نقاط حساس آن را بیابد، دیگر شاید مخفی کردن چندان کارساز نباشد. چرا که به هر حال نشانه ای خواهد یافت که بداند شما از وردپرس استفاده می کنید.
مخفی کردن وردپرس بیشتر در مواقعی می تواند موثر باشد که می خواهیم جلوی ربات های اکتشافگر را بگیریم. ربات های اینترنتی که به دنبال سایت هایی می گردند که دارای رخنه های امنیتی شناخته شده هستند. به همین دلیل است که خیلی از متخصصان امنیتی می گویند که مخفی کردن وردپرس و هر چیز دیگر، نمی تواند به اندازۀ بالا بردن امنیت واقعی سایت موثر باشد. چرا که اگر شما خیلی از چیزها را مخفی کنید، اما همچنان برخی از موارد مثل رمزهای عبور قوی را رعایت نکرده باشید، هیچ تاثیری در بالا بردن امنیت سایت شما نخواهد داشت.
پس آیا مخفی کردن وردپرس کاری بیهوده است؟ شاید. شاید هم نه! اما از این جهت که مخفی کردن وردپرس می تواند جلوی حمله هایی مثل حملۀ brute-force یا SQL-injection تا حد زیادی بگیرد، مخفی کردن وردپرس کار بیهوده ای نیست. اما اگر فقط به همین اکتفا کنید و دیگر مسائل امنیتی را رعایت نکنید، حتماً کاری بیهوده خواهد بود.
چطور وردپرس را مخفی کنیم؟
به هر حال الان که به این نتیجه رسیده اید که وردپرس را هم از دید کاربران و هم از دید هکرها مخفی کنید، باید موارد زیر را در نظر بگیرید:
- هر چند که خواسته باشید وردپرس را مخفی کنید، اما همیشه از آخرین نسخه آن استفاده کنید.
- شماره نسخه وردپرس در جاهای مختلفی از اسناد وردپرس نوشته شده است. پس کار سختی است اگر خواسته باشید نسخه وردپرس را به طور کامل پنهان کنید.
- حتی اگر تمام ردپاهای نسخه وردپرس و دیگر اجزا وردپرس را هم مخفی کنید، ممکن است باز هم افرادی باشند که به آنها پی ببرند. بالاخره با بررسی نوع کدهای سایت و بخش های مختلف، خبره ها متوجه وردپرسی بودن سایت می شوند.
- مخفی کردن نسخه وردپرس برای جلوگیری از حمله های ربات ها موثر نیست. اصولاً ربات ها به نسخه وردپرس کاری ندارند و به دنبال آسیب پذیری های سایت میگردند. هر چند که اگر نسخه وردپرس شما قدیمی باشد، نشان دهنده عدم وجود وصله های امنیتی است.
حالا باید بدانید که وردپرس در کجاها از خودش رد پا بر جای می گذارد. باید یک کدهای یک صفحه را بررسی کنید که حتماً عبارت wp را در جای جای آن خواهید دید. مثلاً پوشه wp-content که حاوی تمامی محتویات سایت از قبیل عکس و فایل ها و افزونه ها و قالب های سایت است، باید تغییر نام داده شود که البته این تغییر نام باید به همراه تغییر در بخشی از کدها هم هست.
به این روش مخفی کردن، مخفی کردن دستی می گویند. به نظر می رسد که مخفی کردن دستی نیاز به دانش برنامه نویسی و وردپرس دارد. کسی می تواند این کار را انجام دهد که خبره باشد. پس راه کار ساده تر آن چیست؟
افزونه ای به نام Hide My WP وجود دارد که کارش مخفی کردن رد پای وردپرس از جای جای سایت است. می توانید این افزونه را تهیه کرده و روی سایت خود نصب نمایید. البته Hide My WP رایگان نیست و باید هزینه آن را بپردازید. اما سایت های اسکریپت ایرانی نسخه رایگان آن را عرضه کردند. هر چند که استفاده از این دست افزونه ها از منابع نامعتبر کار صحیحی نیست. اما اگر خیلی مشتاق هستید، قادرید بدون هزینه به این صورت از این افزونه استفاده کنید. حداقل مطمئن باشید که افزونه حاوی فایل های کدشده نیست! چون اگر در وردپرس فایلی کد شده باشد، حتماً مخرب است!! و احتمال هک شدن سایت شما وجود دارد.
افزونه Hide My WP کارهای زیر را روی وردپرس شما انجام میدهد:
- پیوندیکتای فایل ها مثل wp-admin را تغییر میدهد.
- اطلاعات متا مثل همین نسخه وردپرس را از سرصفحه کدها و خوراک سایت حذف می کند.
- دسترسی به فایل های PHP شما را کنترل می کند.
- تغییر زیرپوشه های پیش فرض پوشه های آسیب پذیر مثل wp-content
- تغییر query URL برای بالا بردن امنیت SQL injection
- حذف فایل هایی که می تواند اطلاعاتی راجع به سایت شما بدهد. مثل readme.html و license.txt
- گزینه هایی به شما میدهد که بتوانید دسته بندی ها، برچسب ها، نوشته ها و برگه های خاصی را غیر فعال کنید.
- هشدار به شما راجع به خطرات امنیتی با سامانه جدید کشف ورود بدون اجازه
همچنین Hide My WP با بسیاری از افزونه های امنیتی دیگر هماهنگ است.
جمع بندی
پس در این مقاله یاد گرفتید که اصولاً مخفی سازی وردپرس چه منافعی می تواند برای ما داشته باشید و آیا این کار شدنی هست یا خیر. و اینکه از چه روش هایی می توان به این هدف رسید. با دیگر آموزش های امنیتی وردپرس از سایت WPTutorial.ir همراه ما باشید.
امنیت وردپرس
بدون دیدگاه
امنیت در وردپرس، امنیت سایت وردپرس، کانفیگ امنیتی وردپرس، نسخه های وردپرس