در این آموزش به معرفی ترفندهای مختلف افزایش امنیت وردپرس میپردازم که به کمک این روشهای می توانید سایت خود را ایمن کنید.
با رشد بالا و محبوبیتی که سیستم مدیریت محتوای وردپرس در سال های اخیر به دست آورده است و همچنین متن باز و رایگان بودن آن، موجب شده است تا بیش از ۵۰ درصد وب سایت های جهان با وردپرس ایجاد شوند.
این محبوبیت و استفاده فراوان همچنین باعث شده است تا سایت های وردپرسی به هدف اول هکرها برای حمله و نفوذ به این سایت ها تبدیل شوند و از این رو بالا بردن امنیت وردپرس برای جلوگیری از نفوذ هکرها و صدمه دیدن کسب و کارهای اینترنتی، به یک موضوع مهم و حیاتی تبدیل شده است.
البته همانطور که بارها گفته ایم، هیچ سایتی ۱۰۰ درصد از دست هکرها در امان نیست، اما می توان با رعایت برخی موارد و در پیش گرفتن اقداماتی مسیر نفوذ هکرها را با موانع سخت مواجه کرد.
ترفندهای افزایش امنیت وردپرس چیست؟
در ادامه مطلب ترفندهای افزایش امنیت وردپرس را به شما آموزش خواهبم داد که تا حد زیادی امنیت وردپرس را افزایش می دهد. با انجام کارهای زیر می توانید امنیت وردپرس خود را افزایش دهید.
از هاست های مطمئن و ایمن استفاده کنید
یکی از مهم ترین اقداماتی که باید قبل از راه اندازی سایت به آن دقت کند و تاثیر بسزایی در امنیت، سرعت و میزان بازدید و افزایش رتبه سایت شما دارد، انتخاب یک هاست مطمئن و خوب است.
هاستی که قرار است میزبان سایت شما باشد، از همه لحاظ خصوصا موضوع امنیت آن دارای اهمیت ویژه ای است. جالب است بدانید که بسیاری از سایت های وردپرسی به دلیل ضعف امنیتی سرویس دهنده خود هک شده اند.
همه سرویس دهنده های هاست خدمات و امکانات یکسان و مشابهی به شما ارائه نمی دهند. در نتیجه هاستِ سایت خود را از شرکت های مطمئن و دارای اعتبار تهیه کنید.
بطور خلاصه یک سرویس دهنده ایمن دارای سیستم های امنیتی آنتی اسپم، آنتی شل، آنتی ویروس، فایروال نرم افزاری و سخت افزاری و کانفیگ حرفه ای سرور است.
برای مشاهده و خرید سرویس های کیمیاهاست وارد شوید
استفاده از قالب ها و افزونه های با کیفیت و مطمئن
پس از هاستینگ، شایع ترین روش هکرها برای نفوذ به سایت های وردپرسی، استفاده از قالب ها و افزونه های وردپرس می باشد.
سعی کنید افزونه های فعال زیادی در سایت خود نداشته باشید و افزونه هایی را که واقعا به آنها نیاز دارید، نصب کنید، چرا که داشتن افز.نه های فراوان نتنها سرعت را پایین می آورد، بلکه امنیت سایت شما را نیز کاهش می دهد.
افزونه هایی که مدت زمان زیادی است که آپدیت نشده اند، بسیار خطرناک هستند، چرا که مشکلات امنیتی آنها که به مرور زمان شناسایی می شوند، برطرف نمی شوند. یک نکته دیگر در خصوص افزونه ها این است که هرگز افزونه ها را از منابع ناشناخته دانلود نکنید.
در خصوص قالب های وردپرسی نیز، بهتر است از قالب های رایگان وردپرس استفاده نکنید، به خصوص اگر توسط یک توسعه دهنده ی معتبر ساخته نشده باشند. دلیل اصلی آن این است که قالب های رایگان اغلب شامل چیزهایی مانند رمز گذاری base64 هستند که ممکن است به شکل نامحسوسی برای وارد کردن لینک های اسپم در سایت شما و یا کدهای مخرب دیگری که می توانند همه نوع مشکلی ایجاد کنند، مورد استفاده قرار گیرند. اگر در گوگل به دنبال پوسته های رایگان بگردید شاید از هر ۱۰ پوسته ۷ تای آنها پر از کد های base64 باشند.
اگر واقعاً نیاز به استفاده از یک قالب رایگان دارید، فقط باید از آنهایی استفاده کنید که توسط شرکت های سازنده ی مورد اعتماد توسعه یافته اند، و یا از آنهایی که در مخزن رسمی قالب های WordPress.org در دسترس هستند.
استفاده از آخرین نسخه وردپرس و انجام برورزسانی های مداوم
مهم ترین مسئله در تامین امنیت سایتهای وردپرسی به روز بودن ورپرس و افزونهها و قالبهایی هست که ازشون استفاده میکنید. تیم وردپرس مدام در حال افزودن قابلیتهای جدید و رفع مشکلات و باگهای امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت میشود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونهها و قالبهای استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.
رمزهای عبور قوی ایجاد و سطح دسترسی کاربران به پنل مدیریت مشخص کنید
یکی دیگر از ترفندهای افزایش امنیت وردپرس استفاده از رمزهای عبور قوی و ترکیبی است. چراکه یکی از شیوه هایی که بسیار مورد استفاده هکرها برای هک سایت و نفوذ صورت می گیرد، استفاده از کلمات عبور به سرقت رفته است. با استفاده از کلمه عبور قوی تر و منحصربفرد، می توانید این کار را برای هکرها دشوارتر کنید. رمزعبور قوی و منحصر بفرد نه فقط برای منطقه مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس ایمیل حرفه ای شما هم باید وجود داشته باشد.
یکی دیگر از راه های کاهش ریسک این است که هرگز به منطقه مدیریت وردپرس خود هیچ کسی دسترسی نداشته باشد، مگر اینکه به طور کامل آن را تحت کنترل داشته باشید . اگر شما یک تیم بزرگ نویسنده یا نویسنده مهمان دارید، قبل از اضافه کردن آنها به سایتتان، مطمئن شوید که نقش و قابلیت های کاربر در وردپرس را می دانید.
پیشوند جدول های پایگاه داده وردپرس را تغییر دهید
یکی دیگر از روش های بالا بردن امنیت سایت و نکات امنیتی هنگام نصب وردپرس، عدم استفاده از پیشوند پیش فرض هنگام نصب وردپرس است. به طور پیش فرض، وردپرس از _wp به عنوان پیشوند جداول پایگاه داده وردپرس استفاده می کند . اگر دیتابیس پایگاه داده از پیشوند پیشفرض استفاده می کند، هکرها می دانند نام جداول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید.
تعداد دفعات تلاش برای ورود به وردپرس را محدود کنید!
از دیگر ترفندهای افزایش امنیت وردپرس محدود کردن تعداد دفعات ورود به سایت می باشد. به طور پیش فرض، وردپرس به کاربران اجازه میدهد تا هر تعداد که میخواهند تلاش ناموفق برای ورود به سایت داشته باشند. این موضوع باعث میشود سایت وردپرس شما در برابر حملات brute force آسیب پذیر شود.
هکرها با تلاشها زیاد برای ورود به سایت با ترکیبات مختلف گذرواژه، سعی میکنند رمزهای عبور را بشکنند. شما با محدود کردن تلاشهای ناموفق برای ورود به سیستم، می توانید این مشکل را به راحتی برطرف کنید. البته امروزه بیشتر افزونه امنیتی وردپرس اینکار را برای شما انجام میدهند و نیازی به نصب افزونه جداگانه نیست. به هرحال شما میتوانید برای محدود کردن تلاشهای ناموفق در به سیستم از افزونه Login LockDown استفاده نمایید.
امنیت فایل wp-config.php را افزایش دهید
فایل wp-config.php یکی از مهمترین فایلهای هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.
احراز هویت دو مرحله ای هنگام لاگین را پیاده سازی کنید
احراز هویت دو مرحله ای به معنی گذاشتن یک گام دیگر در جلوی پای افرادی است که قصد لاگین کردن به سایت را دارند و امنیت در وردپرس را به میزان بیشتری افزایش می دهد. با انجام این کار جلوی حملات خودکار هر چقدر هم که زیاد باشد، گرفته می شود.
بسیاری از افزونه های امنیتی وردپرس تأیید هویت دو مرحله ای را در نسخه Pro خود ارائه می دهند. اما شما با استفاده از بهترین افزونه های تأیید هویت دو مرحله ای وردپرس که رایگان نیز هستند می توانید این ویژگی را در سایت خود پیاده سازی کنید.
مخفی کردن صفحه لاگین (صفحه ورود به وردپرس) برای افزایش امنیت وردپرس
راه دیگری که می توان صفحه لاگین وردپرس را امن نگه داشت و امنیت در وردپرس را بالا برد، مخفی کردن صفحه لاگین است. هرکسی که با وردپرس کار کرده باشد می داند که وردپرس به صورت پیشفرض از آدرس wp-login.php برای صفحه ورود استفاده می کند که با مراجعه کردن به آدرس wp-admin هم به صورت خودکار به این صفحه هدایت خواهد شد.
انتقال آدرس پیش فرض https://example.com/wp-admin به یک آدرس دیگر به این معنی است که اسکریپت های خودکار، صفحه اشتباهی را هدف قرار می دهند. بسیاری از افزونه های امنیتی این کار را برای شما انجام می دهند.
غیرفعال کردن اجرای فایل PHP در وردپرس
هاست به شما این اجازه میده تا هر فایلی را در هر جایی قرار داده و با دستورات PHP هر کاری که میخواهید در سایت انجام دهید. برخی دایرکتوریها هستند که اصلا نیازی به اجرای فایلهای PHP در اونها نخواهید داشت که مهمترین این بخش پوشه uploads وردپرس هست که فایلهای چند رسانهای مثل تصویر، ویدئو، صوت و… در این مسیر قرار میگیرد. بنابراین لازمه اجرای دستورات PHP را در این مسیر با استفاده از روش زیر غیرفعال کنید.
وارد هاست خود شده و به مسیر public_html/wp-content/uploads مراجعه کنید.
یک فایل با نام htaccess. بسازید و کدهای زیر را در آن قرار دهید.
<Files *.php>
deny from all
</Files>
بعد از قرار دادن کد بالا در فایل htaccess. که در این پوشه قرار داره به صورت کلی امکان اجرای PHP در این مسیر غیرفعال خواهد شد.
غیر فعال کردن اجرای فایل PHP در دایرکتوری های خاص وردپرس
راه دیگری برای بالا بردن امنیت وردپرس و قوی تر کردن امنیت سایت وردپرس شما این است که از اجرای فایل PHP در دایرکتوری هایی که نیازی به PHP نیست مانند /wp-content/uploads/ را غیرفعال کنید.
۱. فایل Notepad را بازکرده و متن زیر را درون آن قرار می دهیم:
<Files *.php>deny from all</Files>
۲. سپس فایل را با نام .htacess ضخیره می کنید.
۳. سپس آن را در مسیر /wp-content/uploads/ و /wp-includes/ آپلود کنید.
هرگز از نام کاربری admin استفاه نکنید
در نسخه های قبلی وردپرس admin نام کاربری پیش فرض برای مدیر بود. هکرها دریافتند که بسیاری از افراد از همین نام کاربری استفاده می کنند. بنابراین برای افزایش امنیت در وردپرس این نام کاربری پیش فرض حذف شد. اما هنوز افرادی هستند که این نام کاربری را به صورت دستی ایجاد می کنند. هرگز این کار را نکنید. این از اولین مواردی است که هکرها آن را بررسی می کنند.
امیدوارم که این آموزش هم مورد توجه و پسند شما قرار گرفته باشه و با استفاده از راهکارهای معرفی شده در این مقاله بتونید امنیت وردپرس را افزایش داده و اقدام به جلوگیری از هک وردپرس و نفوذر در سایت خودتون بکنید.
استفاده از افزونه های امنیتی وردپرس مانند سوکوری و ورددفنس
آخرین ترفند از ترفندهای افزایش امنیت وردپرس استفاده از افزونه های امنیتی مانند Sucuri Security و Wordfence Security می باشد. افزونه های افزایش امنیت وردپرس با تکنیکهایی مثل تغییر صفحه ورود به مدیریت وردپرس که اجازه نمیدهد کسی آدرس ورود به بخش مدیریت شما را پبدا کند. این پلاگین ها همچنبن با جلوگیری از حملات بروت فورس، یا مخفی کردن نام کاربری نویسندگان سایت، یا تغییر پیشوند جداول وردپرس، فعال سازی ورود دو مرحله ای ، و تکنیک های دیگر باعث افزایش امنیت سایت وردپرسی شما میشوند.
افزونه Sucuri Security
یکی از پرچم داران پلاگین های امنیتی وردپرس ، افزونه معروف و رایگان Sucuri Security هست. این افزونه مساویه با تقویت تمام جوانب امنیتی و وضعیت امنیت وبسایت رو از هر لحاظ بهبود میبخشه.
از مزایای اصلی این افزونه، اسکن بدافزارها و جلوگیری از ترافیک مخرب سایت هست. Sucuri Security با عبور ترافیک سایت از CloudProxy و کاهش بار سرور، از مشکلات مرتبط با ترافیک مخرب جلوگیری میکنه. امکانات این پلاگین همگی تو نسخه رایگان در دسترس هستند، اما اگر دنبال برقراری فایروال هستید یا اگر میخواید تعداد دفعات اسکن رو افزایش بدید، باید سراغ نسخه premium این افزونه برید. تعداد نصب فعال Sucuri Security تابحال بیش از ۶۰۰ هزار نفر بوده.
افزونه امنیتی Sucuri توسط شرکت معتبر و قدیمی Sucuri نوشته شده که کار اصلی این شرکت تامین امنیت وبسایت ها و نرم افزارها است.
برای دانلود افزونه Sucuri Security اینجا کلیک کنید.
افزونه Wordfence Security
این پلاگین با بیش از۳ میلیون نصب فعال در مخزن وردپرس یکی از بهترین افزونه ها برای افزایش امنیت وردپرس می باشد. افزونه Wordfence Security امتیاز ۴.۸ از ۵ را کسب کرده ، استفاده میلیون ها کاربر در جهان و کسب امتیاز های کامل در مارکت ها مهر تاییدی بر عملکرد این افزونه است.
وردفنس به دو بخش اسکنر و فایروال تقسیم میشود. . اسکنر فایلهای هسته سایت را بررسی میکند. فایلهای پوسته و پلاگین سایت را چک کرده و با حملاتی مانند بدافزار، لینکهای مخرب، درهای پشتی (Backdoors)، سئو اسپم، ریدایرکتهای خطرناک، تزریق کد و غیره مقابله میکند.
این افزونه امنیتی وردپرس، با سایتهای چندگانه نیز سازگار است و شامل گزینه ورود با تلفن همراه نیز می باشد. این افزونه دارای امنیت ورود به سیستم که تأیید هویت دو مرحله ای نامیده میشود، نیز می باشد. در نهایت بدانید که این پلاگین، توسط نیروهای نظامی و انتظامی در سراسر جهان مورد استفاده قرار میگیرد.
برای دانلود افزونه Wordfence اینجا کلیک کنید.