حفاظت از امنیت کد افزونه ها و پوسته ها
  • جواد مرادی
  • ۸ام, آبان ۱۳۹۷

از آنجایی که دنیای آنلاین جذاب به نظر می‌رسد، نباید این واقعیت را فراموش کنید که چقدر هم می‌تواند خطرناک باشد.
اگر مالک وبسایت وردپرسی هستید،می دانید که باید سایت خود را ایمن نگه دارید همچنین می دانید چه تعداد تلاش از سمت هکرها برای دسترسی به وب سایت‌های مختلف از طریق حملاتی چون فیشینگ، ایجاد بدافزار و برخی تکنیک‌های دیگر می شود.
صرف نظر از باگ های معمولی کدهای افزونه ها و پوسته ها، هکرها تکامل یافته اند و روش هایی را که از طریق آنها می توانند اقدامات امنیتی را از بین ببرند، کشف کردند. بدین ترتیب، قبل از اینکه وضعیت بدتر شود، مهم است که همه چیز را در دست بگیریم.

در اینجا برخی از ترفندهایی که از طریق آن می توانید پوسته وردپرس و کد افزونه خود را امن نگه دارید،بیان میکنیم.

• در انتخاب پوسته ها و افزونه ها دقت کنید
• دریافت تاییدیه قبل از وارد شدن
• به روز رسانی منظم پوسته ها و افزونه ها
• حذف پوسته و افزونه های اضافی و غیر قابل استفاده
• غیر فعال کردن ویرایشگر پوسته ها و افزونه ها
• استفاده از فایروال وردپرس
• قطع دسترسی به پوشه افزونه ها
• به نقش های تعریف شده کاربران دقت کنید
• غیرفعال کردن گزارش پیغام خطای php
• دریافت پوسته ها و افزونه ها از یک منبع قابل اعتماد

۱٫ پوسته ها و افزونه ها را با دقت انتخاب کنید

درست مانند برنامه ها، پوسته ها و افزونه های وردپرس نیز توسط توسعه دهندگان مختلف مورد بررسی و نظارت قرار می گیرند.
در چنین سناریویی، هنگام انتخاب پوسته ها و افزونه ها، باید به اندازه کافی محتاط باشید. هنگامی که توسعه دهنده این موارد را به طور مرتب به روز می کند، بدین معنی است که به شدت اشکالات را جستجو می کند و آنها را نیز حذف می کند.
به این ترتیب، علاوه بر حفط امنیت پوسته ها و افزونه های خود با به روز رسانی منظم، می توانید جنبه های نظیر بهبود عملکرد، طرح های ابتکاری، ویژگی های پیشرفته و … را تجربه کنید.

۲٫ دریافت تاییدیه قبل از وارد شدن

اگر فرم تماس یا هر نوع فرم دیگری در وب سایت خود داشته باشید، شانس تزریق کد مخرب به افزونه یا پوسته می تواند افزایش یابد. بنابراین، بدون تایید اعتبار ، فرم ها نباید هیچ نوع ورودی را قبول کنند.

۳٫ به روز رسانی منظم پوسته ها و افزونه ها

زمانیکه که شما یک وبسایت وردپرس را ایجاد می کنید، امنیت کامل آن ، بستگی به نحوه نگهداری داده ها در پشت صحنه دارد، از جمله افزونه ها، پوسته ها، وبلاگ ها و غیره. اگر می خواهید کل وب سایت خود را بدون آسیب نگه دارید، مهم است که آن را از زمان ایحاد به بعد ارتقا دهید.
یکی از بهترین ویژگی هایی پلتفرم وردپرس این است که هر زمان نیاز به بروزرسانی دارید، به شما اطلاع می دهد. چنین بروزرسانی نه تنها امنیت وب سایت را تقویت می کند بلکه حتی می تواند آسیب پذیری ها و اشکالات را نیز حل کند.

۴٫ حذف پوسته و افزونه های اضافی و غیر قابل استفاده

نگه داشتن قالب های غیر ضروری و ناخواسته در سایت می تواند تهدیدی برای داده های شما باشد. حتی اگر از آنها استفاده نکنید و آنها را غیرفعال نگه داشته باشید.
بنابراین، بهتر است این پلاگین ها و پوسته های ناخواسته را حذف کنید تا راه نفوذ هکرها را کمتر کنید.از طرف دیگر شما می توانید فضای بیشتری برای دانلود موارد مفید تر داشته باشید.

۵٫ غیر فعال کردن ویرایشگر پوسته ها و افزونه ها

اگر ویژگی های راحتری در وب سایت خود داشته باشید، مسئولیت های آن نیز به نسبت بالاتر خواهد بود. همچنین، باید توجه داشته باشید که ویژگی های پیشرفته خطرات را کاهش نمی دهند بلکه ممکن هست افزایش دهد.

بنابراین، شما می توانید عملکرد ویرایشگر پوسته و ویرایشگر افزونه را غیر فعال کنید. برای انجام این کار، شما باید کد زیر را در انتهای فایل wp-config.php خود اضافه کنید:


// define (‘DISALLOW_FILE_EDIT’, true);

 

۶٫ از فایروال وردپرس استفاده کنید

به طور کلی، چیزی که یک افزونه را به شدت آسیب‌پذیر می‌سازد و نسبت به حملات هکرها شکننده است ، آسیب‌پذیری روز اول است. چه اینکه به تازگی این پلاگین را نصب کرده اید یا آن را بروزرسانی کرده‌اید، هیچ چیز جلوی آن را نخواهد گرفت.
اگر هکرها چنین آسیب پذیری را شناسایی کنند، زمان زیادی را برای نفوذ به سایت شما نخواهد داشت. بنابراین، برای جلوگیری از چنین تهدیداتی ، می توانید از فایروال وردپرس استفاده کنید. این دیواره آتش به عنوان یک فیلتر عمل می کند و تمام تهدیدات ناخوشایند را در خفا می گذارد.

۷٫ قطع دسترسی به پوشه افزونه ها

یکی از بهترین اقداماتی که می توانید برای تضمین امنیت پوسته ها و کد افزونه ها انجام دهید، قطع دسترسی به پوشه افزونه ها است. (اگر کاربران دیگری نیز داشته باشید نباید این بخش را با هر کسی به اشتراک بگذارید)

اگر پوشه افزونه ها را باز نگه دارید، هکرها دسترسی راحت تری به پلاگین ها و همچنین پوسته ها خواهند داشت. بنابراین، برای انجام این کار، این مراحل را دنبال کنید:

یک فایل index.html خالی ایجاد کنید.
آن فایل را به پوشه افزونه ها آپلود کنید.
این روش اطمینان حاصل خواهد کرد اطلاعاتی که در وبسایت شما وجود دارد، به طور ناگهانی مشاهده نمی شود.

۸٫ به نقش های تعریف شده کاربران دقت کنید

اگر شما در سایت خود از کاربران مختلفی نظیر نویسنده، ویرایشگر، مدیر، مشارکت کننده، مشترک و غیره استفاده کرده باشید، باید مراقب باشید. اول، اطمینان حاصل کنید که افرادی که شما این نقش ها را اختصاص داده اید، قابل اعتماد هستند.
شما همچنین باید هر نوع فعالیتی که در وب سایت اتفاق می افتد و این کاربران وارد سیستم می شوند را کنترل کنید. افزونه های خاصی وجود دارد که می توانند به شما کمک کنند که یک بررسی را بر روی فعالیت آنها داشته باشید، مانند Activity Log، WP Security Audit Log، و …
این افزونه ها به شما کمک می کند تا بررسی کنید که چه اتفاقی در سایت شما می افتد، از جمله تغییرات اخیر که در پست ها، صفحات، دسته ها، برچسب ها، به روزرسانی ها، رسانه ها، دسته بندی ها، نظرات، ویجت ها، پوسته ها، منوها و غیره… رخ داده است.

۹٫ غیرفعال کردن گزارش پیغام خطای php

موردی که شما باید در سایت خود غیرفعال کنید تا پوسته و کد پلاگین های خود را امن نگه دارید خطای PHP است. از آنجایی که این ویژگی هر زمان که مشکلی در پلت فرم شما رخ می دهد، اطلاع می دهد، این می تواند فرصت خوبی برای هکرها باشد.

از این رو شما می توانید این خطا را غیر فعال کنید برای انجام این کار:

به فایل wp-config.php بروید
فایل زیر را کپی کنید و در فایل قرار دهید


error_reporting(0);

@ini_set(display_errors’,۰)

۱۰٫ دریافت پوسته ها و افزونه ها از یک منبع قابل اعتماد

اطمینان حاصل کنید که فقط یک منبع قابل اعتماد را انتخاب می کنید، مانند انجمن وردپرس یا فروشگاه افزونه / پوسته. این به شما کمک خواهد کرد که وب سایت خود را به نحوی خوب حفظ کنید.
ممکن است پوسته ها و پلاگین ها رایگان باشند و جایگزین خوبی برای گزینه های پولی ، اما گاهی اوقات آنها از یک منبع قابل اعتماد نمی آیند. از این رو می توانند تهدیدی برای سایت شما باشند.

این نکات راه هایی بودند که می توانید کدها را به صورت امن نگه دارید. آن ها را امتحان کنید و از نفوذ هکرها در وب سایت خود جلوگیری کنید.
پیروز و سربلند باشید.


ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

کد امنیتی Time limit is exhausted. Please reload CAPTCHA.

گروه ماهدیس وب از سال 1390 فعالیت خود را در زمینه طراحی و توسعه نرم افزارهای تحت وب با توجه به استانداردها و متدولوژی های روز دنیا و مد نظر قرار دادن ارزش ها و باورهای حرفه ای و نیز مطالعات کیفی و کمی در زمینه سیستم های یکپارچه مدیریت تحت وب , به منظور طرح,توسعه کاربرد نرم افزارهای مبتنی بر وب اغاز نمود.

logo-samandehi
تهران
ساعت 8 الی 18
09128364674
09128364675
© 2018 کلیه حقوق مادی و معنوی برای ماهدیس وب محفوظ میباشد.