امنیتوردپرس (wordpress)

آموزش بالابردن امنیت وردپرس

موضوع حفظ امنیت وردپرس و تلاش برای بالابردن آن یک مسئله بسیار ضروری است. چون در صورتی که هکرها بتوانند وب سایت شما را هک کنند، نه تنها به دارایی شما که اطلاعات روی سایتتان است دسترسی پیدا خواهند کرد، بلکه به اعتبار و برند شما نیز لطمه وارد خواهند کرد. کافی است افراد بدانند که سایت شما یک بار مورد حمله هکرها واقع شده است، امکان دارد برای خرید کردن یا دریافت سایر انواع خدمات دیگر به شما اعتماد نکنند.

اگر سایت شما یکی از دارایی‌های با ارزشتان محسوب می‌شود، پس باید امنیت سایت وردپرس شما نیز برایتان در اولویت باشد. در این مطلب که به آموزش افزایش امنیت وردپرس می‌پردازد ما ۱۰ راهکار ساده و عملی به شما خواهیم نشان خواهیم داد که برای تأمین امنیت وردپرس خود از آن‌ها استفاده کنید.

بالا بردن امنیت وردپرس

چرا باید امنیت وردپرس خود را بالا ببریم؟

هک شدن یک سایت آسیب‌های جدی به آن وارد می‌کند. بخشی از این آسیب‌ها عبارتند از:

  • دزدیده شدن اطلاعات کاربران
  • نصب کردن نرم‌افزارهای مخرب روی سایت توسط هکرها
  • ‌احتمال آسیب رساندن به کاربران به دلیل لو رفتن بخشی از اطلاعات شخصی آن‌ها
  • افت رتبه سایت و وارد شدن لطمه به سئوی سایت

به همین دلیل مهم است که امنیت وردپرس خود را حفظ کنید تا کمترین احتمال حمله هکرها برای سایت شما وجود داشته باشد.

برای بالا بردن امنیت وردپرس چه باید بکنیم؟

بالا بردن امنیت سایت وردپرس به معنی حذف کامل تمام خطراتی که آن سایت را تهدید می‌کند، نیست. امنیت، بیش از هر چیز به معنی کاهش ریسک حمله هکرهاست.

حتی اگر شما در جایگاه یک مدیر یا صاحب سایت، اطلاعات چندانی در این حوزه ندارید بازهم باید بدانید که کارهای زیادی وجود دارد که می‌توانید برای حفظ امنیت وردپرس خود انجام دهید.

به این منظور باید همه موارد زیر را در نظر بگیرید.

۱) وردپرس خود را به روز نگه دارید

وردپرس یک نرم افزار منبع بازopen source است. این نرم افزار همیشه توسط تیم تولید و توسعه آن نگهداری و به روز رسانی می‌شود. خود این نرم افزار به روز رسانی‌های جزئی را به شکل اتوماتیک انجام می‌دهد. اما شما برای ارتقای امنیت وردپرس خود لازم است به‌طور منظم آن را به روز رسانی کنید.

به‌جز این وردپرس هزاران افزونه و تم دارد که شما می‌توانید در وب سایت خود نصب کنید. این افزونه‌ها و تم ها توسط توسعه دهندگان در شرکت‌های مختلف نگهداری می‌شوند که آن‌ها به شکل منظم نسخه‌های به‌روزرسانی شده را منتشر می‌کنند. این‌که شما نسخه‌های به روز رسانی شده افزونه‌ها و تم‌ها را روی وردپرس خود نصب کنید نیز در بالابردن امنیت سایت وردپرس شما نقش پررنگی خواهد داشت.

در مقاله آپدیت دستی وردپرس بیشتر در این مورد بخوانید.

اپدیت وردپرس

۲) نام کاربری و رمز عبور بسیار قوی و پیچیده انتخاب کنید

هنوز هم رایج‌ترین شیوه هک وردپرس استفاده از رمز عبور آن است. حتماً برای حفظ امنیت در وردپرس از رمز عبوری استفاده کنید به‌شدت قوی و کاملاً منحصر به فرد باشد. این کار نه فقط برای بخش مدیریت وردپرس که باید برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی شما نیز انجام شود.

راه دیگر برای کاهش خطر و افزایش امنیت در وردپرس این است که به هیچ کس اجازه دسترسی به حساب سرپرست یا مدیر وردپرس خود را ندهید؛ مگر اینکه واقعاً مجبور باشید. اگر تیم شما بزرگ است یا نویسنده مهمان دارد باید قبل از افزودن حساب کاربری و نویسندگان جدید به سایت وردپرس خود، از نقش‌ها و قابلیت‌های کاربران در وردپرس اطمینان حاصل کنید.

برای انتخاب رمز عبور پیچیده می توانید از مقاله چگونه گذرواژه بسازیم کمک بگیرید.

۳) با احراز هویت ۲ گانه امنیت سایت وردپرسی خود را بالا ببرید

معرفی کردن احراز هویت ۲ گانه در صفحه ورود، یک راهکار دیگر برای امنیت صفحه ورود وردپرس است. در این مورد، جزئیات ورود را برای دو جزء مختلف وارد می کنید. دارنده وبسایت تعیین می کند که این دو جزء باید چه چیزی باشند. به این صورت که می تواند یک رمز عبور عمومی به همراه یک سوال محرمانه، یک کد محرمانه و یا جمله ای از کاراکتر‌ها و … باشد.

برای این کار می توانید با چند کلیک، از افزونه WP Google Authenticator استفاده کنید.

احراز هویت دوگانه

۴) نقش هاست وردپرس را خیلی جدی بگیرید

سرویس هاست وردپرس مهم‌ترین نقش را در امنیت سایت وردپرسی شما ایفا می‌کند. هاست به‌طور مداوم شبکه را زیر نظر داشته و هرگونه فعالیت مشکوک را رصد می‌کند. شرکت‌هایی که میزبان‌های خوب و امنی هستند به ابزارهای قدرتمندی برای جلوگیری از حملات گسترده DDOS مجهز می باشند.

این شرکت‌ها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می‌دارند تا مانع از سوء استفاده هکرها از آسیب پذیری امنیتی شناخته شده در نسخه قدیمی‌شوند. هاست‌ خوب، آماده استفاده از برنامه‌های بازیابی پس از بروز حادثه هک هستند. یعنی این امکان را دارند که از داده‌های شما در صورت هک شدن سایت محافظت کنند.

استفاده از سرویس هاست وردپرس، بستر مطمئن تری برای وب سایت شما فراهم می‌کند. شرکت‌های ارائه دهنده هاست وردپرس پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته‌تری را برای محافظت از وب سایت شما ارائه می‌دهند.

برای خرید هاست مناسب وردپرس می توانید به ایران هاست مراجعه کنید.

۵) تهیه منظم نسخه پشتیبان را فراموش نکنید

برای بالا بردن امنیت وردپرس، پشتیبان گیری منظم از داده‌های سایت اولین دفاع شما در برابر هرگونه حمله وردپرسی است. البته این نکته را فراموش نکنید که هیچ سورسی ۱۰۰ درصد امن نیست. یعنی اگر وب سایت‌های دولتی می‌توانند هک شوند این امکان برای سایت شما هم وجود دارد. بنابراین لازم است همیشه نسخه پشتیبان قوی و به روز رسانی شده داشته باشید.

افزونه‌های پشتیبان رایگان و پولی وردپرس زیادی وجود دارد که می‌توانید از آن‌ها استفاده کنید. مهم‌ترین نکته‌ای که هنگام تهیه نسخه پشتیبان باید بدانید این است که باید به‌طور منظم و کامل از سایت خود پشتیبان گیری کنید و این اطلاعات را در یک مکان امن مثل یک حافظه جانبی مطمئن (نه حساب میزبانی خود) ذخیره کنید.

پشتیبان گیری را می‌توان با استفاده از افزونه‌هایی مانند UpdraftPlus یا BlogVault به‌راحتی انجام داد. هر دوی این افزونه‌ها قابل اعتماد هستند و مهم‌تر از آن این‌که استفاده از آن‌ها برای همه آسان بوده و نیازی به کد نویسی ندارد.

در مقاله پشتیبان گیری از وردپرس به طور کامل به این مبحث پرداخته ایم.

۶) نصب یک افزونه امنیتی وردپرس

بعد از تهیه منظم نسخه پشتیبان، نصب یک افزونه امنیتی وردپرسی است که در افزایش امنیت وردپرس نقش دارد. افزونه امنیتی در واقع یک سیستم حسابرسی و نظارت است که همه اتفاقاتی که در وب سایت شما می‌افتد را پیگیری می‌کند. این موضوع شامل نظارت بر یکپارچگی فایل‌ها، تلاش ناموفق برای ورود به سیستم ، اسکن بدافزار و غیره می‌شود.

بهترین افزونه امنیتی رایگان وردپرس، Sucuri Scanner است که می‌تواند به همه این موارد توجه کند. پس از فعال سازی این افزونه باید به منوی Sucuri در بخش مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته می‌شود این است که یک کلید API رایگان ایجاد کنید. به این ترتیب امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی‌های مهم برای شما فعال می‌شود.

استفاده از افزونه های امنیتی

سپس باید از منوی تنظیمات روی برگه “Hardening” کلیک کنید. همه گزینه‌ها را مرور کرده و روی دکمه “Apply Hardening” کلیک کنید.

نصب افزونه امنیتی

این گزینه‌ها به شما کمک می‌کند مناطق کلیدی را که هکرها اغلب در حملات خود از آن‌ها استفاده می‌کنند را قفل کنید.

به‌طور کلی تنظیمات پیش فرض این افزونه برای اکثر وب‌سایت‌ها به اندازه کافی خوب بوده و نیازی به هیچ گونه تغییری ندارد. اما بهتر است بخش Email Alerts را نیز در این افزونه فعال یا سفارشی سازی کنید. به این ترتیب بابت هر تغییری اعم از تغییر در افزونه‌ها، ثبت نام کاربر جدید و غیره هشدار دریافت خواهید کرد. برای این منظور طبق تصویر زیر مسیر مشخص شده را پیگیری کنید.

تنظیمات افزونه امنیتی

قدرت این افزونه امنیتی را دست کم نگیرید. بهتر است به بخش‌های مختلف آن مراجعه کرده و هر چیزی را که فکر می‌کنید به بالا بردن امنیت سایت وردپرس شما کمک می‌کند را انجام دهید.

برای آشنایی با دیگر پلاگین های امنیتی وردپرس می توانید مقاله افزونه امنیتی وردپرس را بخوانید.

۷) افزایش امنیت وردپرس با تعویض URL صفحه ورود

به طور پیش فرض، صفحه ورود وردپرس به آسانی با اضافه کردن wp-lohgin.php و یا wp-admin به URL اصلی وبسایت قابل دسترسی است. وقتی هکرها آدرس اصلی صفحه ورود شما را پیدا کنند، آن‌ها می‌توانند حملات بروت فورس خود را شروع کنند و آن‌ها این کار را با GWDb(Guess Work Database) خود شروع می کنند.

این حقه کوچک دسترسی غیر متعارف به صفحه ورود را می‌بندد. فقط کسانی که آدرس اصلی آن را دارند می توانند این کار را انجام دهند. افزونه iThemes Security  میتواند به شما در این کار کمک کند.

  • تغییر wp-login.php به یک چیز اختصاصی همانند my_new_login
  • تغییر /wp-admin/ به چیزی اختصاصی شبیه my_new_admin
  • تغییر /wp-login.php?action=registerبه چیزی شبیه my_new_registration

۸) فعال سازی SSL / HTTPS در سایت وردپرسی خود

Ssl پروتکلی است که انتقال داده‌ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می‌کند. این رمزگذاری باعث می‌شود که کسی نتواند اطلاعات مهم سمت سایت شما را بشناسد و آن‌ها بدزدد.

فعال سازی ssl

پس از آن‌که گواهی SSL را روی سایت خود فعال می‌کنید، وب سایت شما به جای HTTP از HTTPS استفاده می‌کند. ضمن آن‌که در مرورگر علامت قفل را در کنار آدرس وب سایت خود مشاهده خواهید کرد.

گرچه در ابتدا فعال سازی SSl هزینه داشت اما امروز بسیاری از شرکت‌های میزبانی گواهی SSL رایگان را برای وب سایت وردپرسی ارائه می‌دهند.

به شما پیشنهاد می شود مقاله ما را برای کسب اطلاعات در حوزه تفاوت http و https مطالعه نمایید.

۹) گزینه ویرایش فایل وردپرس خود را غیر فعال کنید

حتماً می‌دانید که وردپرس دارای یک ویرایشگر کد داخلی است. این ویرایشگر این امکان را به شما می‌دهد که قالب و افزونه‌های خود را مستقیماً از قسمت مدیریت وردپرس ویرایش کنید. گرچه شما به این ویژگی نیاز دارید اما استفاده نادرست از آن می‌تواند یک خطر امنیتی محسوب شود؛ بنابراین توصیه می‌کنیم آن را خاموش کنید. برای این منظور مراحل زیر را دنبال کنید:

غیرفعال کردن ویرایشگر وردپرس

البته همین کار را با افزودن کد زیر در فایل  wp-config.php نیز می‌توانید انجام دهید.

// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

۱۰) اجرای فایل PHP را در برخی از فهرست‌های وردپرس غیرفعال کنید

یکی دیگر از روش‌های بالا بردن امنیت سایت وردپرس غیرفعال کردن اجرای فایل PHP در فهرست‌هایی است که نیازی به آن‌ها نیست. فهرست‌هایی مانند/wp-content/uploads/.
برای این کار یک ویرایشگر متنی مانند نوت پد را باز کنید و این کد را در آن بنویسید:

<Files *.php>
deny from all
</Files>

بعد از این باید این فایل را به عنوان .htaccess ذخیره کرده و با استفاده از یک سرویس گیرنده FTP در/wp-content/uploads/پوشه های وب سایت خود بارگذاری کنید.

۱۱) محدود کردن تلاش برای ورود به وردپرس

وردپرس به کاربران اجازه می‌دهد تا هر زمان که می‌خواهند وارد سیستم مدیریت شوند. این امکان باعث می‌شود سایت وردپرس شما در برابر حملات بی‌رحمانه هکرها که مدام تلاش می‌کنند بانام کاربری و رمز ورودهای مختلف وارد بخش مدیریت سایت شما شوند، آسیب‌پذیر باشد.

برای این کار ابتدا باید افزونه Login LockDown را نصب و فعال کنید. سپس مراحل زیر را دنبال کنید.

نصب افزونه login lockdown

۱۲) پیشوند جدولهای وردپرس را عوض کنید

اگر شما تا به حال وردپرس نصب کرده باشید، پس حتما با پیشوند جدولی wp- که توسط پایگاه داده وردپرس استفاده می شود آشنا هستید. پیشنهاد می شود که آن را به چیز دیگری تغییر دهید.

استفاده از پیشوند پیش فرض، وبسایت شما را در قبال حملات sql injection شکننده میکند. این حمله را میتوان با عوض کردن پیشوند wp- به چیز دیگری مانند mywp- و wpnew- و … کنترل و پیشگیری کرد.

اگر شما الان وبسایت وردپرسی خود را با پیشوند پیش فرض نصب کرده اید، می توانید از این افزونه ها برای تغییر آن استفاده کنید. افزونه هایی مانند WP-DBManager  و Itheme Security میتواند به شما در این پروسه با چند کلیک کمک کنند.(حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ  بگیرید)

آنچه در این مطلب خواندید ۹ راه عملی، ساده و کاربردی به منظور آموزش امنیت وردپرس بود. گرچه اگر بخواهیم به این پرسش پاسخ دهیم که چگونه امنیت وردپرس را بالا ببریم؟ باید چند کار بیش از این انجام دهیم. اما تأمین امنیت وردپرس با توجه و عمل کردن به این ۹ راه نیز امکان پذیر خواهد بود.

اگر سایت شما وردپرسی نیست می توانید از مقاله چگونه امنیت سایت را بالا ببریم استفاده کنید.

با کارت بانکی باشگاه ایران هاست پولتان به حسابتان باز می گردد.

همین حالا رایگان عضو شوید

مدیر بلاگ

مشخصات مدیر

یک دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته های مشابه

دکمه بازگشت به بالا