بهترین راه تامین امنیت کاربران وردپرس در سال ۲۰۲۰ استفاده از رمزی قوی و احراز هویت دو مرحله ای است. خیلی ساده به نظر میرسد، درست است؟ اما در واقعیت تامین امنیت کاربران در سیستم مدیریت محتوای وردپرس کمی پیچیده تر است.
هر زمان که صحبت از امنیت کاربر به میان می آید، اغلب سوالاتی از این دست میشنویم: آیا امنیت وردپرس برای تمامی کاربران، باید به یک شکل باشد؟ چه میزان از امنیت بیش از حد تلقی میشود؟
نگران نباشید ما به تمامی این سوالات میپردازیم. اما اجازه دهید ابتدا در مورد انواع کاربران وردپرس صحبت کنیم.
همچنین می توانید تاثیر امنیت سایت بر سئو را نیز از وبلاگ ما بخوانید.
انواع کاربران وردپرس
به طور پیش فرض ۵ نوع مختلف از کاربران وردپرس وجود دارد.
- مدیر کل
- ویرایشگر
- نویسنده
- مشارکت کننده
- مشترک
توجه داشته باشید که، وردپرس چند-سایتی کاربر ششمی هم دارد. Super administrator که به تمامی ویژگی های سایت و مدیریت شبکه دسترسی دارد. آن ها می توانند سایت های جدیدی ایجاد کرده یا اینکه از شبکه حذف کنند، همچنین می توانند کاربران، افزونه ها و قالب های شبکه را مدیریت کنند.
هر کاربر قابلیت متفاوتی دارد. این قابلیت ها، میزان توانایی های آنها را هنگام دسترسی به داشبورد تعیین میکنند. درباره تعیین سطح دسترسی کاربران وردپرس این مقاله را مطالعه کنید.
آسیب های احتمالی در نتیجه هک شدن کاربران مختلف وردپرس
قبل از اینکه بفهمیم چگونه امنیت کاربران وردپرس را تامین کنیم، باید سطح تهدید خطرهای احتمالی هر یک از کاربران را درک کنیم. نوع و سطح خساراتی که هر مهاجم (هکری) میتوانید ایجاد کند بسته به نقش و توانایی های هر یک از کاربران، متفاوت است.
مدیر- سطح تهدید بالا
کاربران مدیر، قابلیت هر کاری را دارند.
- ایجاد، حذف و تغییر کاربران
- نصب، حذف و ویرایش قالب ها و افزونه ها
- انتشار و لغو انتشار پست ها و صفحات
- اضافه و حذف رسانه
اگر هکری به یکی از کاربران مدیر سایت شما دسترسی پیدا کند، می تواند از آن برای باج گیری استفاده کند. باج گیری به حالتی گفته می شود که هکری وب سایت شما را تصاحب کرده و تا زمانی که هزینه سنگینی پرداخت نکنید، دسترسی شما را محدود کند.
به طور متوسط زمان خرابی حاصل از باج گیری ۹.۵ روز است. ۱۰ روز بدون فروش چقدر برای شما ضرر به همراه خواهد داشت؟
ویرایشگر- سطح تهدید بالا
ویرایشگر کلیه مطالب وب سایت شما را مدیریت می کند. این کاربر هم از سطح قدرت بالایی برخوردار است.
- ایجاد، حذف و ویرایش تمامی پست ها و صفحات
- انتشار و لغو انتشار تمامی پست ها و صفحات
- بار گذاری پرونده های رسانه ای
- مدیریت پیوندها
- مدیریت نظرات
- مدیریت دسته ها
اگر هکری، کنترل حساب ویرایشگری را در دست بگیرد، می تواند با تغییر یکی از صفحات شما از آن برای حملات فیشینگ استفاده کند. فیشینگ نوعی حمله برای سرقت اطلاعات کاربران، از جمله اعتبار ورود به سیستم و شماره کارت های اعتباری، است.
فیشینگ یکی از راه های ورود نام وب سایت در لیست سیاه گوگل است. روزانه ۱۰۰۰۰ سایت به دلایل مختلف وارد لیست سیاه گوگل میشوند.
توجه داشته باشید افزونه iThemes security site scan به صورت روزانه وضعیت مسدود بودن وب سایت شما در لیست سیاه گوگل را بررس میکند.
نویسنده – سطح تهدید متوسط
کاربر نویسنده به گونه ای طراحی شده که قابلیت طراحی و مدیریت سایت خود را دارد.
- ایجاد، حذف و ویرایش پست ها و صفحات خود
- انتشار و لغو انتشار پست های خود
- بار گذاری پرونده های رسانه ای
اگر هکری، کنترل حساب نویسنده ای را در دست بگیرد، می تواند با ایجاد صفحات و پست هایی بازدیدکنندگان سایت شما را به وب سایت های مخرب بفرستد.
مشارکت کننده و مشترک – سطح تهدید پایین
نقش کاربر مشارکت کننده نسخه ساده ای از کاربر نویسنده است. آنها قابلیت انتشار ندارند.
- ایجاد و ویرایش پست های خود
- حذف پست های منتشر شده شان
مشترک، میتواند مطالبی را که سایر کاربران منتشر می کنند بخواند.
هکر های کاربران مشترک و مشارکت کنند و نمی توانند تغییر مخربی ایجاد کنند. در این حالت آنها می توانند اطلاعات حساس ذخیره شده در حساب کاربری یا صفحه نمایه را بدزدند.
۷ راهکار برای تامین امنیت کاربران وردپرس
همانطور که گفتیم هکرها میتوانند موارد ناخوشایند زیادی را برای وب سایت شما ایجاد کنند. خبر خوب این است که با اندکی تلاش می توانید جلوی حملات این هکرها را به حساب کاربران وردپرس خود بگیرید.
بیایید نگاهی بیندازیم به کارهایی که میتوانید برای امنیت کاربران وردپرس خود انجام دهید. حقیقت این است که این روش های امنیتی به امنیت تمامی کاربران وردپرس کمک میکنند. اما با مرور هر یک از این موارد، بهترین کاربران را برای استفاده از هر یک از این روش ها به شما معرفی خواهیم کرد.
-
فقط قابلیت های مورد نیاز را در اختیار کاربران قرار دهید
ساده ترین راهی که می توانید به وسیله آن، ایمنی سایت خود را تامین کنید این است که فقط قابلیت های مورد نیاز را در اختیار کاربران قرار دهید و نه موارد دیگر را. اگر تنها کاری که کاربری به آن نیاز دارد، توانایی ایجاد و ویرایش پست های وبلاگ خود است، پس نیازی به قابلیت ویرایش پست های دیگران ندارد.
-
تلاش برای ورود به سیستم را محدود کنید
حملات Brute force به روش آزمون خطایی که برای کشف ترکیبات نام کاربری و رمز عبور برای ورود به وب سایت استفاده می شود، گفته میشود. به طور پیش فرض، چیزی برای محدود کردن تعداد این تلاش های ناموفق برای ورود به سایت وجود ندارد.
در صورت عدم وجود محدودیت در تعداد دفعات تلاش های نا موفق برای ورود به سیستم، یک هکر میتواند از تعداد نا محدودی نام کاربری و رمز عبور استفاده کند تا زمانی که موفق شود.
افزونه iThemes Security تلاش های ناموفق برای ورود توسط IP و نام های کاربری را ردیابی میکند. هنگامی که یک IP یا نام کاربری، تلاش های پی در پی ناموفقی انجام دهد، قفل شده و از هرگونه تلاش مجدد برای ورود به سیستم جلوگیری میشود.
-
کاربران وردپرس را با رمزهای قوی ایمن کنید
هرچه رمز ورود برای حساب کاربری وردپرس شما قوی تر باشد، حدس زدن آن دشوار تر است. ۰.۲۹ ثانیه برای هک کردن یک رمز عبور هفت حرفی نیاز است در حالی که برای هک کردن یک رمز دوازده حرفی به دو قرن زمان نیاز است!
در حالت ایده آل، برای امنیت کاربران وردپرس یک رمز عبور قوی شامل رشته ۱۲ حرفی از حروف و اعداد میباشد. رمز باید شامل حروف بزرگ و کوچک و همچنین سایر ویژگی های ASCII باشد.
ممکن است در حالی که همه میتوانند از استفاده از یک رمز عبور قوی بهره ببرند، شما فقط بخواهید کاربرانی که دارای قابلیت های نویسنده و بالاتر هستند را ملزم به استفاده از رمز قوی کنید.
-
از گذر واژه های به خطر افتاده دوری کنید
با اینکه ۹۱٪ مردم استفاده مجدد از گذر واژه ها را عملی نادرست می دانند، همچنان ۵۹٪ مردم از رمز های عبور خود در همه جا استفاده میکنند! بسیاری از این افراد هنوز از گذر واژه هایی استفاده میکنند که می دانند در یک پایگاه داده تخلیه شده است و امنیت کاربران وردپرس را به خطر می اندازند.
هکرها از نوعی نیروی بی رحمانه با نام حمله فرهنگ لغت برای حمله استفاده میکنند. حمله فرهنگ لغت روشی برای نفوذ به یک وب سایت وردپرس با استفاده از گذر واژه های تخلیه شده در پایگاه داده است.
جلوگیری از استفاده از گذر واژه های به خطر افتاده توسط کاربران نویسنده و سطح بالاتر، ضروری است. همچنین ممکن است از کاربران سطوح پایین تر هم بخواهید تا از این گذر واژه های به خطر افتاده استفاده نکنند.
کاملا قابل درک و توصیه شده است که ساخت حساب کاربری جدید برای مشتریان را به آسان ترین روش ممکن انجام دهید. با این حال ممکن است مشتری شما از تخلیه گذر واژه ای که از آن استفاده میکند، اطلاعی نداشته باشد. شما با هشدار دادن به مشتری تان در مورد به خطر افتادن رمز عبورش، خدمات بزرگی را ارائه میدهید. اگر که آنها از این رمز در همه جاهای دیگر استفاده میکنند، با این هشدار میتوانید جلوی خطرات احتمالی آینده را بگیرید.
-
با استفاده از احراز هویت دو مرحله ای، امنیت کاربران وردپرس را تضمین کنید
احراز هویت دو مرحله ای یا 2fa ، فرآیند تایید هویت فرد با استفاده از دو روش تایید جداگانه است. گوگل در یکی از وبلاگ های خود از جلوگیری ۱۰۰٪ حملات خودکار ربات ها توسط احراز هویت دو عاملی خبر داد.
حداقل، باید از مدیران و ویراستار های خود بخواهید تا از احراز هویت دو عاملی استفاده کنند.
ویژگی تایید اعتبار دو عاملی انعطاف پذیری بالایی را هنگام اجرای 2fa در وب سایت تان فراهم میکند. شما میتوانید استفاده از 2fa را برای تمامی کاربران خود فعال کرده یا تنها برخی از کاربران تان را مجبور به استفاده از 2fa کنید.
-
دسترسی دستگاه به داشبورد را محدود کنید
محدود کردن دسترسی مجموعه ای از دستگاه ها میتواند لایه امنیتی قوی ای را به وب سایت شما اضافه کند و امنیت کاربران وردپرس را افزایش دهد. اگر هکر به دستگاه درستی از طریق هیچ یک از کاربران دسترسی نداشته باشد، به وب سایت شما هم نمیتواند آسیب برساند.
شما باید دسترسی دستگاه های مدیران و ویراستار های خود را محدود کنید.
افزونه های امنیتی دستگاه های مورد استفاده ورود به وب سایت وردپرس، شما و سایر کاربران تان را مشخص میکند. در صورتی که هر یک از کاربران از طریق دستگاه ناشناخته ای وارد سیستم شوند، دستگاه های معتمد میتوانند قابلیت های کاربران سطح مدیریت را محدود کنند. این بدان معناست که حتی اگر مهاجمی در حملات به سایت وردپرس شما موفق شود، قادر به ایجاد هیچ گونه تغییر مخربی نخواهد بود.
-
کاربران وردپرس را در مقابل Session Hijacking ایمن کنید
وردپرس در هر بار ورود شما به وب سایت یک session cookie ایجاد میکند. فرض کنید شما از نوعی برنامه افزونه مرورگر استفاده میکنید که توسط توسعه دهنده خود رها شده و دیگر شامل به روز رسانی های امنیتی نمیشود.
متاسفانه همچین چیزی برای شما یک ضعف محسوب میشود. این ضعف شما به مهاجمان این اجازه را میدهد که کوکی های مرورگر شما، از جمله session cookie شما را بدزدند. این نوع از هک به session Hijacking معروف است. بنابراین از این طریق مهاجم میتواند از آسیب پذیری برنامه افزونه مرور گر شما استفاده کرده تا با ورود به سیستم کاربران وردپرس شما تغییرات مخربی ایجاد کند.
شما باید از مدیران و سردبیران خود در برابر session hijacking محافظت کنید.
نتیجه
محبوبیت وردپرس آن را به هدفی بالقوه برای هکرهای سراسر دنیا تبدیل کرده است. همانطور که بحث کردیم، مهاجمان میتوانند حتی با هک کردن پایین ترین سطح کاربران وردپرس، به آن آسیب برسانند. خبر خوب این است که، اگرچه راهی برای جلوگیری از حملات مهاجمان وجود ندارد، میتوان با اندکی تلاش از موفقیت این حملات جلوگیری کرد و امنیت کاربران وردپرس را تضمین کرد.
