سرمایه گذاری اولیه بر روی طراحی وب سایت حتی یک سایت وردپرسی می تواند به تنهایی دلیل قانع کننده ای برای محافظت از سایت و اعمال تنظیمات سخت گیرانه امنیتی باشد. هک شدن، malware، حملات backdoor و اسپم های سئو تنها چند مورد از تهدیداتی هستند که برای بهره گیری و سوء استفاده از سرور، داده های بازدیدکنندگان، و زیرساخت های وب سایت تان صف کشیده اند. این تهدیدات امنیتی سود آتی کسب و کار، اعتماد مشتریان، و پایداری کل سایت را به خطر می اندازند؛ به همین دلیل است که باید به دنبال نصب یک افزونه امنیتی قدرتمند و یا استفاده از یک راهکار پیشرفته امنیتی باشید.
افزونه های ( پلاگین ها ) امنیتی وردپرس
در حالت پیش فرض هسته وردپرس دارای تمهیدات امنیتی حداقلی است؛ اما می توان به کمک یک پلاگین امنیتی خوب آنها را ارتقا داد. بهترین پلاگین های امنیتی وردپرس این موارد را برای شما در نظر خواهند گرفت:
- مانیتورینگ فعال امنیتی
- اسکن فایل ها
- اسکن malware ها
- مانیتورینگ بلاک لیست ( Blocklist )
- سخت گیری امنیتی
- اقدامات پس از هک شدن
- فایروال
- محافظت در برابر حملات Brute force
البته برخی از افزونه ها ویژگی های بیشتری نیز ارائه می دهند که ممکن است در ازای فعالسازی آنها از شما بخواهند نسخه پریمیوم را نصب کنید.
اولویت اول امنیتی : هاست امن و مطمئن
امنیت سایت شما ابتدا به اندازه ای قوی است که زیرساختی از آن میزبانی می کند، قوی باشد. پس بهتر است قبل از اینکه به دنبال بهترین پلاگین های امنیتی وردپرس باشید، مطمئن ترین و امن ترین هاست وردپرسی را انتخاب کنید که از قبل تمهیدات امنیتی مناسبی را پیکربندی کرده باشد.
بیشتر این گاردهای دفاعی در سطح سرور نصب می شوند که می توانند بدون آسیب رسانی بر عملکرد سایت، کار خود را به خوبی انجام دهند. به صورتی که بار سنگینی از دوش شما برای اعمال تنظیمات پیچیده افزونه های امنیتی وردپرس برداشته خواهد شد.
بهترین افزونه های امنیتی وردپرس امسال
اگر می خواهید تمام این افزونه های امنیتی را یکجا در گروه بندی مشاهده کنید، بگذارید در زیر ابتدا آنها را لیست کنیم:
بهترین افزونه ها برای محافظت کل سایت همراه با مانیتورینگ فعال
- Sucuri Security – Auditing, Malware Scanner and Security Hardening
- iThemes Security
- Wordfence Security
- All In One WP Security & Firewall
- BulletProof Security
- Patchstack
بهترین افزونه ها از لحاظ اسکن و مسدود سازی Malware ، ویروس و آی پی های مشکوک
- SecuPress
- WPScan – WordPress Security Scanner
- Security Ninja
- MalCare Security
- Security & Malware Scan by CleanTalk
بهترین افزونه ها برای مقابله با بات ها و اسپم ها
- Jetpack
- Astra Web Security
- Stop Spammers Security
- Titan Anti-spam and Security
بهترین افزونه ها برای پنهان سازی فایل ها از مهاجمین
- Hide My WP
- WP Hide & Security Enhancer
بهترین افزونه ها برای اعتبار سنجی و امنیت ورود
- WP fail2ban
- miniOrange’s Google Authenticator
- WP Cerber Security
بهترین افزونه برای بک آپ گیری از سایت
- VaultPress
بهترین افزونه ها برای تعمیر پس از هک
- Shield Security
- Anti-Malware Security and Brute-force Firewall
بهترین افزونه برای اجرای لاگ های امنیتی
- WP Activity Log
بهترین افزونه برای فعالسازی SSL
- Really Simple SSL
بیشتر پلاگین های امنیتی دارای برچسب قیمت هستند، اما برخی از آنها را نیز می توان با ویژگی های محدودتر به صورت رایگان مورد استفاده قرار داد.
البته سرمایه گذاری بر روی امنیت سایت هیچ وقت نباید از روی میز برداشته شود؛ چراکه در صورت نبود تمهیدات امنیتی در آینده ممکن است در صورت عدم مقابله با تهدیدات، هزینه های هنگفتی بر کسب و کار و وبسایت شما وارد شود.
با توجه به تعداد بالای این افزونه ها و طولانی شدن مطلب، ترجیحاً افزونه هایی را با جزئیات بیشتر بررسی خواهیم کرد که قابلیت های خاص تری دارند. سپس برای هر مشکل امنیتی، یک راهکار حرفه ای نیز ارائه خواهیم کرد.
افزونه Sucuri security-auditing,malware scanner
این افزونه هم دارای ویژگی هایی در نسخه رایگان و هم ویژگی هایی در نسخه پولی است، که البته آنچه که لازم دارید را می توانید با نسخه رایگان کسب کنید.
به کمک بخش گزارش گیری این افزونه می توانید ببینید که فعالیت های امنیتی در سایت شما در چه حد از وب سایت محافظت می کنند. این افزونه توانایی مانیتورینگ سالم بودن فایل ها، رصد بلاک لیست ها، نوتیفیکیشن های امنیتی، و سخت گیری های کاربردی را در نسخه رایگان خود دارد.
برخی از ویژگی های جذاب دیگر این افزونه عبارتند از:
- نسخه های چندگانه ای از گواهینامه های SSL را ارائه می دهد.
- پشتیبانی از مشتری از طریق چت، ایمیل و سیستم تیکت به صورت 24 ساعته
- زمانی که چیزی در سایت شما مشکوک باشد یا به توجه شما نیاز داشته باشد، نوتیفیکیشن ارسال می کند.
- در برخی از پلن ها سیستم محافظت در برابر حملات DDoS خوبی دارد.
- از Blocklist monitoring, malware scanning, file integrity monitoring و سخت گیری امنیتی پشتیبانی می کند.
- گزارش دهی پس از پاک سازی، SLA برای حذف سخت افزار، hack patching و غیره...
افزونه iThemes Security
این افزونه که در گذشته با عنوان better WP security فعالیت می کرد، یکی از ابزارهای بسیار تاثیر گذار در بحث محافظت از سایت است. این افزونه بیش از 30 گزینه پیشنهادی دارد که از به خوبی از هک ها و نفوذگران مخرب جلوگیری می کند.
این ابزار می تواند با دقت بالا آسیب پذیری های افزونه های دیگر، نرم افزارهای منسوخ، و پسوردهای ضعیف را شناسایی کرده و شما را در جریان این نقاط ضعف قرار دهد.
اگرچه در نسخه رایگان این افزونه قابلیت های خوبی نهفته، اما پیشنهاد می کنیم برای استفاده از بهترین ویژگی های آن، نسخه پولی را تهیه کنید. این افزونه از پشتیبانی تیکتی، آپدیت های جدید، و محافظت از دو سایت برخوردار است.
برخی از ویژگی های پر کاربرد این افزونه عبارتند از:
- شناسایی تغییرات در فایل ها
- اضافه کردن یک لایه امنیتی اضافی به لاگین با استفاده از ریکپچای گوگل و اعتبار سنجی دو عاملی
- مقایسه فایل های هسته وردپرس شما با نسخه های فعلی وردپرس
- بروز رسانی کلیدهای وردپرس برای افزایش پیچیدگی کلیدهای اعتبار سنجی
- قابلیت تنظیم بر روی Away mode در زمانی که می خواهید آپدیت های پیوسته ای در سایت داشته باشید.
- شناسایی ارورهای 404
- محافظت در برابر حملات brute force، و مسدود سازی برخی از کاربران
- اجبار استفاده از پسوردهای قوی
- بک آپ گیری از سایت و اجبار سایت در استفاده از SSL
افزونه Wordfence Security
این افزونه یکی از محبوب ترین افزونه های امنیتی وردپرس است که دلیل این محبوبیت نیز سادگی و ابزارهای قدرتمند محافظتی آن است.
یکی از مهم ترین مزایای وردفنس این است که می توانید بر مبنای روندهای ترافیکی خود و تلاش های هک، گزارشات و insight های بسیار مناسبی دریافت کنید.
این راهکار فوق العاده از بلاک های فایروال تا محافظت در برابر حملات brute force را شامل می شود. علاوه بر این دارای ویژگی های امنیتی کاربردی دیگری است:
- صرفه جویی در هزینه برای توسعه دهندگان با استفاده از کلیدهای امنیتی چندسایته
- یک فایروال کامل با ابزارهایی برای مسدودسازی کشور، بلاک کردن دستی و محافظت در برابر bruteforce
- داشتن WAF و دفاع لحظه در برابر تهدیدات
- اسکن کامل Malware ها، تهدیدات لحظه ای، و اسپم ها برای تمام فایل های سایت.
- مانیتورینگ زنده از ترافیک و رصد تلاش های ورود و خروج ها، بازدید کنندگان انسانی و بات ها
- قابلیت ورود با تلفن همراه و وارسی وب سایت
- فیلتر کامنت های اسپم
- وارسی افزونه های دیگر و احتمال وجود تهدید امنیتی در آنها با توجه به عدم بروزرسانی طولانی مدت
حال که به ویژگی هایی نظیر WAF و فایروال اشاره کردیم، بد نیست کمی در خصوص این دو قابلیت امنیتی اطلاعات بیشتری کسب کنیم...
فایروال ها و WAF ها در وردپرس
با رشد هک های آنلاین سالانه، ممکن است سایت وردپرسی شما بیش از آنچه تصورش را می کنید در معرض تهدیدات خارجی باشد؛ با این حال حفظ تدابیر امنیتی مناسب می تواند دیوارهای قدرتمندی در برابر انواع حملات سایبری برای سایت شما ایجاد کرده و نیاز شما به برون سپاری این مهم را برطرف کنند.
خبر خوب این است که فایروال های وردپرس می توانند به طور خودکار و در پشت صحنه از سایت شما محافظت کنند؛ به طوری که بلافاصله پس از انجام تنظیمات لازم، فایروال می تواند هکرها و بات هایی که در تلاش برای یافتن دسترسی به سایت و داده های درون آن کنند را مسدود کرده و از کاربران و فایل های شما محافظت کند.
در واقع فایروال وردپرس همانند سدی در برابر کاربران خطرناک و مخرب عمل می کند تا از دسترسی آنها و نفوذ به فایل ها و سرقت داده ها جلوگیری کند.
انواع مختلفی از فایروال ها وجود دارند:
- فایروال وب اپلیکیشن (WAF): WAF ها ترافیک HTTP ورودی را واکاوی کرده تا اشخاص خطرناک را شناسایی، فیلتر و مسدود کند.
- فایروال سیستم نام دامنه (DNS Firewall): یک فایروال DNS از شبکه شما در برابر تهدیدات خارجی محافظت می کند. این ابزار دامنه های مخرب را شناسایی کرده و از ورود کاربران به آنها جلوگیری به عمل می آورد.
- فایروال آپاچی (Apache Firewall): آپاچی یکی از محبوب ترین گزینه های نرم افزاری وب سرورهاست. این ابزار دارای یک ماژول به نام mod_security است که می تواند همانند یک فایروال از سرور شما در برابر تهدیدات محافظت کند.
- فایروال packet-filtering: این فایروال بسته های داده ای را بر اساس آدرس های IP و پروتکل ها کنترل و رصد می کند.
- فایروال Network address translation: این ابزار از تنها با اجازه دسترسی به دستگاه هایی درون شبکه که درخواست دسترسی داده اند، از شبکه های خصوصی محافظت می کند.
ممکن است این اصطلاحات برایتان کمی پیچیده به نظر آیند، اما جای نگرانی نیست؛
شما می توانید تمام این امور و ملاحظات امنیتی را تنها با فعالسازی سرویس امنیت ابری میزبان کلود برای وب سایت خود اعمال کنید.
- فایروال های وردپرس یا سرویس امنیت ابری میزبان کلود می توانند از سایت وردپرسی شما در برابر این حملات امنیتی محافظت کنند:
- SQL injections
- File inclusions
- Distributed Denial-of-Service (DDoS) attacks
- Man in the Middle attacks
- Cross-Site Scripting (XSS)
- Cross-site forgery
برای داشتن یک سایت وردپرسی امن و مقابله در برابر این حملات می توانید از این افزونه ها کمک بگیرید:
-
افزونه Sucuri
اگر دقت کرده باشید، در ابتدای این مطلب نیز، اول به این افزونه اشاره کردیم، پس با توجه به ویژگی هایی که اشاره شد، می توان از این پلاگین برای دفع انواع حملات کمک گرفت. اما با توجه به اینکه با waf ها و فایروال ها آشنا شدید، بد نیست به این ویژگی ها نیز اشاره کنیم:
- Cloud-based WAF
- Usable on one site
- DDoS protection
- SSL encryption
- CDN access
اما در خصوص قابلیت های سرویس امنیت ابری میزبان کلود ، باید به این قابلیت ها اشاره کنیم:
سرویس امنیت ابری میزبان کلود با بهره گیری از آخرین تکنولوژی های امنیتی، سیستم های دفاعی چندلایه و توانمند، و استفاده از قویترین فایروال های سخت افزاری و نرم افزاری (WAF) از حملاتی مانند Brute Force ، DDoS و ... جلوگیری می کند.
میزبان کلود دارای سیستم های امنیتی نظیر فایروال ابری، WAF، Rate limitng و مقابله با حملات DDoS است که با اعمال این تدابیر امنیتی پیشرفته، دیگر هیچ تهدیدی نمی تواند سایت وردپرسی شما را به خطر اندازد. کسب و کار اینترنتی شما به کمک این سرویس در بالاترین سطح دفاعی قرار گرفته و می تواند در برابر جدیدترین حملات سایبری ایستادگی کند.
بهترین افزونه ها برای بلاک کردن malware، ویروس و IP های مشکوک
حال زمان معرفی چند افزونه دیگر برای مسدود سازی malware ها، ویروس ها و آی پی های مشکوک است...
-
افزونه Secupress
این افزونه یک افزونه امنیتی جامع و کامل است که تمرکز خاصی بر مسدود سازی تهدیداتی مثل ویروس ها و malware ها دارد. توسعه دهنده این افزونه Juilo Potier است که افزونه های معروف WP Rocekt و Imagify را نیز طراحی کرده است.
این افزونه دارای رابط کاربری جذاب و ساده ای که در نسخه رایگانش ویژگی هایی نظیر anti-brute-force ، مسدودسازی IP ها و یک فایروال در اختیار شما قرار می دهد.
از ویژگی های خاص این افزونه می توان به این موارد اشاره کرد:
- UI این افزونه بسیار جذاب است و کار کردن برای کاربر را نیز آسان کرده
- این افزونه 35 مورد امنیتی را بررسی می کند.
- یک اسکن کامل از Malware ها
- مسدود سازی کشورها بر اساس موقعیت جغرافیایی
- شناسایی افزونه ها و قالب های آسیب پذیر که با کدهای مخرب دستکاری شده اند.
- تغییر آدرس ورود به وردپرس
- شناسایی و مسدودسازی آی پی های مشکوک
- جلوگیری از ورودهای brute force
- ارائه گزارش های امنیتی با قابلیت ذخیره به شکل pdf یا پرینت
-
افزونه Security Ninja
نسخه اصلی این افزونه (تنها نسخه رایگان) بیش از 50 تست امنیتی را اجرا می کند، از چک کردن فایل ها برای یافتن malware و دسترسی های MySQL تا تنظیمات PHP مختلف.
افزونه Security ninja برای تمام پسورهای کاربران تست brute force می گیرد تا اکانت هایی که پسورد ضعیفی دارند را مسدود کرده و یا به ایجاد پسورد دشوار وادار کند.
برخی از ویژگی های مهم این افزونه عبارتند از:
- ماژول تست امنیتی با بیش از 50 تست از کل سایت
- ماژول auto fixer که برای حل مشکلات شناسایی شده بدون دانش فنی شما طراحی شده
- اسکن هسته وردپرس برای سالم بودن فایل ها
- اسکن کردن افزونه ها و قالب ها برای کشف کدهای مخرب و مشکوک
- بهره مندی از لیستی آماده از IP های مخرب و مسدودسازی خودکار آنها
- لاگ و ردیابی تمام رویدادها روی سایت وردپرس
- قابلیت تنظیم اسکن های برنامه ریزی شده
- بهینه سازی دیتابیس برای افزایش سرعت سایت
- تست ها و اسکن های ریزبینانه تر از پیکربندی های دیتابیس، گزینه های WP برای کشف X-XSS و فولدرهای ناخواسته
بهترین افزونه ضد اسپمی و دفع بات ها
-
افزونه Jetpack
اکثر کسانی که از وردپرس استفاده می کنند با jetpack آشنا هستند، شاید بخاطر قابلیت های متعدد این افزونه!
این افزونه با ماژول هایی همراه است که شبکه های اجتماعی و سرعت سایت شما را نیز تقویت خواهد کرد، اما ویژگی اصلی آن قابلیت دفع بات ها و اسپم هاست.
یکی از کاربردهای پایه ای این ابزار پشتیبانی از محافظت در برابر حملات brure force و ویژگی allowlisting است.
این افزونه به صورت خودکار تمام کامنت های اسپم را پیدا کرده و سپس آنها را حذف می کند. این ویژگی ضد اسپمی با ووکامرس نیز هم خوانی داشته و برای تمام وب سایت های فروشگاهی بسیار مناسب است
برخی از ویژگی های این افزونه عبارتند از:
- پیدا کردن کامنت های اسپم بدون دخالت شما
- اسکن های امنیتی و پشتیبانی از بک آپ گیری
- محافظت در برابر حملات brute force در پلن رایگان
- شبکه توزیع محتوای رایگان برای افزایش سرعت سایت
- مانیتورینگ downtime ها
یک افزونه کاربردی برای پنهان سازی فایل ها از دید هکرها
-
افزونه Hide my WP
این افزونه یک افزونه امنیتی محبوب است که CMS شما یعنی وردپرس را از دید اسپمرها، هکرها و ابزارهای شناسایی CMS مثل Wappalyzer مخفی می کند.
این افزونه از تکنولوژی IDS برای مسدودسازی لحظه ای حملاتی مثل SQL injection ، XSS و غیره استفاده می کند.
در کل این پلاگین برای تغییر نام و پنهان سازی فولدرهای افزونه، فایل های وردپرس، و آدرس های ورود یک گزینه ایده آل بوده و سایت شما را از لحاظ شناسایی CMS در وب نامرئی می کند.
بهترین افزونه برای اعتبار سنجی و امنیت ورود
-
افزونه WP Cerber Security
این افزونه دارای فیچرهای امنیتی متنوعی تنها در یک پلاگین است، از جمله ضد اسپم، اسکن malware، و محافظت از ورود. اما مهمترین ویژگی آن محافظت از صفحه login شماست.
دلیل اینکه این افزونه بهترین گزینه برای این هدف است، این است که به کمک آن می توانید از چندین عنصر مختلف برای مسدود سازی مهاجمین در صفحه ورود استفاده کنید؛
برای مثال می توانید از گزینه هایی مثل google reCAPTCHA، مانیتورینگ ثبت نام، ردیابی کاربران بد، محدودیت در تلاش های ورود، و مسدود سازی حملات Brute force استفاده کنید.
برای استفاده از قابلیت های بیشتر و یا اهداف دیگری نظیر تعمیر سایت پس از هک شدن و یا بک آپ گیری از فایل های سایت می توانید به افزونه های معرفی شده در ابتدای این مطلب مراجعه کنید. البته حتماً پیشنهاد می کنیم که ویژگی های تک تک آنها را با دقت بررسی کنید.
تا به این مرحله چند مورد از بهترین افزونه های امنیتی را معرفی کردیم، اما شاید بخواهید نحوه استفاده از آنها را نیز بدانید؛ پس بگذارید در خصوص نحوه پیکربندی آنها صحبت کنیم...
پیکربندی تنظیمات فایروال در وردپرس
در این مطلب فقط به نحوه تنظیم فایروال به کمک افزونه Wordfence اشاره خواهیم کرد. اما می توانید برای استفاده از سایر افزونه ها به اسناد آموزشی هر کدام مراجعه کرده و تنظیمات امنیتی مناسب سایت خود را پیدا کنید.
ابتدا باید افزونه وردفنس را نصب و فعال کنید.
سپس از منوی وردپرس خود به بخش wordfence رفته و روی گزینه firewall کلیک کنید.
اگر فایروال شما فعال بود، می توانید به سراغ تنظیمات مدیریت waf مراجعه کنید. برای محافظت از سایت در برابر حملات brute force نیز می توانید به بخش associated setting مراجعه کنید. نکته اینجاست که برای مسدود سازی آی پی های خاص و یا اعمال قوانین فایروال باید ابزار خود را به نسخه پولی آپگرید کنید.
جمع بندی
یک فایروال وردپرس می تواند بازدید کنندگان سایت شما را فیلتر کرده و از سایت شما در مقابل تهدیدات امنیتی و حملات رایجی نظیر DDoS محافظت کند. نصب و پیکربندی یک فایروال برای سایت وردپرسی کار چندان دشواری نیست؛ همانطور که در این مطلب نیز اشاره شد، می توانید برای استفاده از بهترین قابلیت های امنیتی از افزونه هایی مثل Sucuri، wordfence یا iThemes security و غیره استفاده کنید. اما همانطور که گفتیم، بهینه ترین و حرفه ای ترین راهکار استفاده از سرویس امنیت ابری میزبان کلود است که برای پیکربندی و بهره گیری از پیشرفته ترین ابزارهای امنیتی از شما هیچ دانش فنی خاصی طلب نمی کند. در این مطلب سعی شد تا مهم ترین مباحث امنیتی برای یک سایت وردپرسی مطرح و به کاربردی ترین و بهترین افزونه های امنیتی اشاره شود. امیدواریم این مطلب برای شما مفید واقع شده باشد.
ارائه دهنده خدمات زیرساخت یکپارچه ابری