8 افزونه امنیتی وردپرس برای مقابله با هکرها
8 افزونه امنیتی وردپرس: بزرگترین ایرادی که منتقدان و توسعه دهندگان وردپرس به آن میگیرند،
مربوط به امنیت این سیستم مدیریت محتواست.
هسته وردپرس بسیار امن بوده و نکات امنیتی مختلفی در آن رعایت میشود.
اما یک سری نیازهای امنیتی به صورت پیشفرض
داخل وردپرس تعریف نشدهاند. برای پیاده کردن این تکنیکها از افزونه های امنیت وردپرس استفاده میکنیم.
اینم بخونید بد نیست: معرفی 4 افزونه نظرسنجی در وردپرس
بحث امنیت در سایتها بحث بسیار جدی و مهمی است.
گوگل روزانه ۱۰.۰۰۰ سایت را به خاطر داشتن بدافزار و ۵۰.۰۰۰ سایت
را به خاطر استفاده از صفحات phishing در لیست سیاه (Black List) قرار میدهد.
به عنوان یک مدیر سایت (Web Master) باید همیشه مراقب مشکلات امنیتی سایت خود باشیم
و تا جایی که از دستمان برمیآید با این مشکلات مقابله کنیم.
پیشنهاد میکنیم مقاله آموزش طراحی سایت آکادمی وب30 را بخوانید.
افزونه امنیت کامل وردپرس چیست؟
اگر منظورتان افزونه All In One WP Security & Firewall است، که هیچ مشکلی نیست.
این افزونه بسیار محبوب بوده و کمی جلوتر بیشتر راجع به آن حرف میزنیم.
اما اگر منظورتان افزونهای است که به طور کامل امنیت سایت را تامین کند
باید اعتراف کنم که همچین چیزی وجود ندارد.
با اطمینان میگویم که چیزی به اسم امنیت کامل وردپرس وجود ندارد.
اصلا امنیت کامل معنی ندارد که به وردپرس ربطش بدهیم.
امنیت یک مسئله نسبی بوده و تحت شرایط مختلف تغییر میکند.
هیچ سیستمی ادعا نمیکند ۱۰۰٪ امن است.
هیچ سیستمی کامل و بی نقص نیست. فیس بوک که یک شبکه اجتماعی بسیار مطرح است
مرتب مورد حمله هکرها قرار گرفته و هنوز هم مورد حمله قرار میگیرد. ما نمیتوانیم
کاملا تضمین کنیم که با رعایت مسائل امنیتی، سایت ما هیچوقت هک نمیشود.
پس اگر جایی شنیدید که شخصی یا سایتی ادعا میکند با انجام این کارها سایت شما
کاملا امن شده و به هیچ عنوان هک نمیشود، زیاد آن را جدی نگیرید.
چرا باید از افزونه های امنیت وردپرس استفاده کنیم؟
افزونه های امنیتی وردپرس یک سری قابلیت در اختیار مدیران سایت قرار میدهند.
امکاناتی که از قبل در وردپرس وجود نداشته و به ایمن سازی سایت وردپرسی کمک زیادی میکنند.
با این که این سیستم مدیریت محتوا مرتب در حال بروزرسانی و بهتر شدن هست،
باز هم جای گسترش و پیشرفت دارد.
تکنیکهایی مثل تغییر صفحه ورود به مدیریت وردپرس که اجازه نمیدهد
کسی آدرس ورود به بخش مدیریت سایت شما را پبدا کند.
یا جلوگیری از حملات بروت فورس، یا مخفی کردن نام کاربری نویسندگان سایت،
یا تغییر پیشوند جداول وردپرس، یا بسیاری از قابلیتهای دیگر.
اینم بخونید بد نیست: آموزش حذف نام نویسنده و تاریخ انتشار پست در وردپرس
آیا تکنیکهای امنیت وردپرس به صورت دستی قابل اجرا هستند؟
بله قابل اجرا هستند. هیچ اجباری نیست که از افزونه های امنیتی استفاده کنید.
میتوانید خودتان دست به کار شده و تغییرات مختلفی در وردپرس اعمال کنید.
فایلهای پیکربندی و تنظیمات مثل htaccess یا wp-config برای همین کارها هستند.
با تغییر این فایلها تغییرات جدی در پیکربندی سایت ایجاد میکنید.
- البته انجام این تغییرات به صورت دستی مشکلاتی دارند؛
- امکان بروز خطا و آسیب دیدن سایت بسیار بالا میرود
- نیاز به دانش فنی مناسب و درک نسبی از وردپرس دارد زمان انجام کارها ممکن است طولانی شود
اگر به صورت دستی و بدون کمک افزونه این کارها را انجام دهید مزایایی در پی دارد.
یک افزونه سنگین مثل jetpack با این که امکانات فراوانی دارد
اما بسیاری از این امکانات دست نخورده باقی میمانند.
یعنی کاربر از آنها استفاده نکرده و فقط باعث سنگین شدن سایت میشوند.
شما وقتی کارها را خودتان انجام میدهید خیالتان راحت است که چه کار میکنید
و لازم نیست نگران افزونه های ناامن و غیرقابل اطمینان باشید.
توصیه میکنم اگر دوست ندارید درگیر مباحث فنی شوید و وقت آن را هم ندارید، سراغ افزونه های امنیتی وردپرس بروید
معرفی 8 افزونه امنیتی وردپرس فراموش نکنید که این افزونهها معجزه نمیکنند.
قبلا گفتم با نصب یک افزونه سئو مثل یواست، سایت شما به صفحه اول گوگل نمیآید.
همینطور با نصب یک افزونه امنیتی هم سایت شما در برابر هکرها کاملا امن نمیشود.
پس فراموش نکنید که دارید از یک ابزار استفاده میکنید.
افزونههایی که در پایین معرفی میکنم نیاز به پیکربندی و آمادهسازی دارند.
1- Wordfence Security
این افزونه در مخزن وردپرس بیشتر از 3 میلیون نصب فعال دارد.
Wordfence Security امتیاز 4.8 از 5 را کسب کرده و با PHP ورژن 5.3 به بالا کار میکند.
وردفنس به دو بخش کلی تقسیم میشود, اسکنر و فایروال.
اسکنر فایلهای هسته سایت را بررسی میکند.
فایلهای پوسته و پلاگین سایت را چک کرده و با مواردی مثل بدافزار، لینکهای مخرب،
درهای پشتی(Backdoors)، سئو اسپم،
ریدایرکتهای خطرناک، تزریق کد و غیره مقابله میکند.
پیشنهاد اول من به شما Wordfence Security است
2- iThemes Security
دقت کنید که iThemes Security قبلا با نام WP Security شناخته میشد.
یک افزونه امنیتی بسیار قدرتمند که بیشتر از 30 ابزار برای دفاع در برابر حملات در اختیارتان قرار میدهد.
جالب است بدانید که به طور میانگین هر روز 300.000 سایت هک میشوند.
وردپرس به خاطر محبوبیتی که دارد همیشه در معرض خطر است و هکرها از مواردی مثل آسیبپذیری پلاگینها،
رمزعبور ضعیف و غیره سوء استفاده میکنند.
شاید مدیران سایت با بسیاری از آسیبپذیریها آشنا نباشند.
تا وقتی iThemes Security را نصب داشته باشید خیلی مهم نیست که چقدر با امنیت آشنا هستید.
چون این افزونه حفرههای رایج را شناسایی کرده و برطرف میکند.
جلوی حملات خودکار توسط رباتها را میگیرد.
امنیت اعتبارسنجی کاربران را افزایش میدهد.
و در نسخه پولی آن امکانات بیشتری هم در اختیارتان قرار میدهد.
3- All-In-One WP Security & Firewall
All-In-One به خوبی طراحی شده و برای همه قابل درک است.
کار با آن خیلی دشوار نیست و قابلیتهای مناسبی دارد.
برای این که سایت شما دچار مشکل نشود، قوانین امنیت و فایروال این افزونه به 3 گروه تقسیم شدهاند:
Basic
intermediate
advanced
این افزونه امنیتی وردپرس به همراه 8 افزونه امنیتی وردپرس که معرفی کردیم کاملا رایگان بوده و به ادعای تیم سازنده آن سرعت سایت را کم نمیکند.
بیشتر از 800.000 نصب فعال داشته و امتیاز بسیار خوبی از کاربران دریافت کرده است.
امکانات All-In-One WP Security & Firewall به چند گروه مختلف تقسیم میشود.
- امنیت ورود، ثبت نام و حساب کاربر
- امنیت پایگاه داده
- مراقبت و پشتیبانگیری از دو فایل حساس و مهم HTACCESS و WP-CONFIG.PHP
- داشتن لیست سیاه (Black List)
- جلوگیری از حملات Brute Force
- امنیت بخش نظرات کاربران
- داشتن فایروال و امکانات مناسب آن
و غیره …
4- Sucuri Security
Sucuri Security افزونه خوبی است و عملکرد قابل قبولی دارد.
با این که به اندازه 3 پلاگین قبلی معروف نیست و استفاده نمیشود.
تعداد نصب فعال آن در مخزن وردپرس بیشتر از 500.000 بار گزارش شده و امتیاز قابل قبول 4.4 از 5 را دریافت کرده است.
اسکنر Sucuri Security رایگان بوده و برای استفاده از فایروال و بعضی خدمات دیگر،
باید نسخه Pro را تهیه کرده تا API Key خود را دریافت کنید.
این افزونه به حریم شخصی پایبند بوده و فقط اطلاعاتی مثل Logها را ذخیره میکند.
در حالت کلی این افزونه تاثیر نامطلوبی روی بازدهی سایت ندارد.
البته عملکرد آن رابطه مستقیمی با هاست شما و پیکربندی وب سرور شما دارد.
فراموش نکنید که افزونه وردپرس Sucuri که یک اسکنر مشکلات امنیتی میباشد رایگان است.
برای استفاده از Website Firewall یا WAF باید سرویس Pro را خریداری کنید.
5- BulletProof Security
BulletProof Security یک افزونه امنیتی همه فن حریف وردپرسی است.
با این که فاصله زیادی از لحاظ دانلود و نصب با 4 افزونه معرفی شده قبل دارد، اما از لحاظ کیفیت فرق زیادی با آنها ندارد.
70.000 نفر BulletProof را روی سایت خود نصب کردهاند و امتیاز مناسب 4.8 از 5 را از کاربران گرفته است.
اسکن بدافزار، فایروال، امنیت ورود کاربران، پشتیبانگیری پایگاه داده، مقابله با اسپم
و غیره بخشی از خدمات این افزونه امنیتی وردپرس هستند.
این افزونه یک نسخه رایگان داشته و با خرید نسخه Pro یا حرفهای قابلیتهای بیشتری برایتان آزاد میشود.
6- Block Bad Queries
افزونه BBQ یا Block Bad Queries بیشتر از این که یک افزونه امنیتی وردپرس باشد یک فایروال است.
یک انتخاب عالی برای کسانی که نمیتوانند یک فایروال htaccess قدرتمند روی سایت خودشان پیاده کنند.
BBQ ترافیک ورودی سایت و URLهای واردشده را بررسی میکند و جلوی درخواستهای خطرناک را میگیرد.
مثلا با چیزهای خطرناکی مثل
eval یا رشته درخواستهای بسیار طولانی مقابله میکند.
این افزونه به راحتی یک کلیک کردن نصب میشود و نیاز به هیچ پیکربندیای ندارد.
به صورت سبک طراحی و نوشته شده تا کمترین فشار را روی سرور شما داشته باشد.
نسخه رایگان افزونه به خوبی نیازتان را برطرف میکند، اما اگر دوست داشتید میتوانید نسخه Pro آن را تهیه کنید.
این افزونه 100.000 نصب فعال داشته و امتیاز بسیار جالبی از کاربران گرفته است.
به نظر میرسد که BBQ حریم خصوصی را خیلی جدی گرفته است
آنها هیچ اطلاعات یا فایل LOG از کاربر جمع نمیکنند.
هیچ Cookieای روی مرورگر کاربر تنظیم نمیکنند.
و به هیچ نرمافزار یا موقعیت جغرافیایی واسط وصل نمیشوند.
7 – Shield Security
پلاگین Shield Security
این پلاگینی چیزی دارد که به آن افتخار میکند, نکتهای که در صفحه افزونه به خوبی بولد شده
و در اول صفحه نمایش داده شده است.
Shield Security پرامتیازترین افزونه امنیتی وردپرس است.
از 861 رای کاربران، 814 مورد پنجستاره هستند که یک آمار معرکه است.
تا زمان نگارش این پست، بیشتر از 80.000 نصب فعال داشته و آپدیتهای به موقع و مناسبی ارائه کرده است.
Shield Security نظرات جالب و متفاوتی دارد.
در واقع یک انتقاد به سایر افزونههای امنیتی وردپرس کرده و میگوید که در سال 2019
افزونههای امنیت وردپرس باید باهوشتر باشند.
نه اینکه بابت هر اتفاق سادهای یک ایمیل برای کاربر ارسال کنند.
به نظر آنها افزونه باید خودش کار را دست گرفته و فقط زمانی که نیاز بود شما را خبردار کند
تا آن موقع شما کارهای مربوطه را انجام دهید.
اگر دوست داشتید میتوانید Shield Security را کنار سایر افزونههای امنیتی نصب کرده و امتحانش کنید.
من تجربه خوبی از کار با این پلاگین داشتم.
در 7 مرحله راحت و آسان پیکربندی شده و آماده کار میشود.
در اوایل کار از شما میخواهد برای کمک به بهبود عملکرد افزونه آدرس آی پی خود را وارد کنید.
اگر Ip خود را نمیدانید، احتمالا راحتترین کار پیدا کردن Ip Address به صورت آنلاین است.
در مرحله بعد از شما اجازه کنترل حملات Brute Force را میخواهد.
دقت کنید که در هر مرحله دکمه آبی رنگ را انتخاب کنید تا تغییر شما اعمال شود.
بعد از شما اجازه بررسی و کنترل نظرات را میخواهد تا با کامنتهای اسپم مقابله کند.
کار تمام است و به داشبورد افزونه هدایت میشوید.
به نظر شخصی من این افزونه برای کاربران متبدی انتخاب خیلی خوبی نیست.
چون پنل مدیریتی آن چندان ساده و کاربرپسند طراحی نشده است
8- WP fail2ban
هر چه به آخر لیست نزدیک میشویم تعداد نصب فعال و محبوبیت افزونهها کمتر میشود.
WP fail2ban بیشتر از 30.000 نصب فعال داشته که با توجه به رقبایش عدد جالبی نیست.
در رقابت مقایسه بهترین افزونه های امنیتی وردپرس این افزونه جایگاهی بهتر از این نصیبش نمیشود.
WP fail2ban یک افزونه جامع امنیت وردپرس نیست و کارهای زیادی انجام نمیدهد.
بلکه یک راهحل ساده و موثر برای حملات بروت فورس است.
این افزونه از تمام لاگینها یک LOG تهیه کرده و برای کاربر میفرستد.
افزونه امتیاز بسیار خوب 4.9 از 5 را توسط کاربران دریافت کرده است.
اگر دنبال یک چیز جمع و جور و سبک هستید WP fail2ban به دردتان میخورد.
اما اگر نیازهای بیشتری دارید دوباره به اول لیست برگردید و یکی از 8 افزونه امنیتی وردپرس بالا را انتخاب کنید.