موضوع حفظ امنیت وردپرس و تلاش برای بالابردن آن یک مسئله بسیار ضروری است. چون در صورتی که هکرها بتوانند وب سایت شما را هک کنند، نه تنها به دارایی شما که اطلاعات روی سایتتان است دسترسی پیدا خواهند کرد، بلکه به اعتبار و برند شما نیز لطمه وارد خواهند کرد. کافی است افراد بدانند که سایت شما یک بار مورد حمله هکرها واقع شده است، امکان دارد برای خرید کردن یا دریافت سایر انواع خدمات دیگر به شما اعتماد نکنند.
اگر سایت شما یکی از داراییهای با ارزشتان محسوب میشود، پس باید امنیت سایت وردپرس شما نیز برایتان در اولویت باشد. در این مطلب که به آموزش افزایش امنیت وردپرس میپردازد ما ۱۰ راهکار ساده و عملی به شما خواهیم نشان خواهیم داد که برای تأمین امنیت وردپرس خود از آنها استفاده کنید.
چرا باید امنیت وردپرس خود را بالا ببریم؟
هک شدن یک سایت آسیبهای جدی به آن وارد میکند. بخشی از این آسیبها عبارتند از:
- دزدیده شدن اطلاعات کاربران
- نصب کردن نرمافزارهای مخرب روی سایت توسط هکرها
- احتمال آسیب رساندن به کاربران به دلیل لو رفتن بخشی از اطلاعات شخصی آنها
- افت رتبه سایت و وارد شدن لطمه به سئوی سایت
به همین دلیل مهم است که امنیت وردپرس خود را حفظ کنید تا کمترین احتمال حمله هکرها برای سایت شما وجود داشته باشد. یکی از اولین اقدامات انتخاب هاست از یک مرجع معتبر می باشد. برای خرید هاست مناسب وردپرس می توانید به ایران هاست مراجعه کنید.
برای بالا بردن امنیت وردپرس چه باید بکنیم؟
بالا بردن امنیت سایت وردپرس به معنی حذف کامل تمام خطراتی که آن سایت را تهدید میکند، نیست. امنیت، بیش از هر چیز به معنی کاهش ریسک حمله هکرهاست.
حتی اگر شما در جایگاه یک مدیر یا صاحب سایت، اطلاعات چندانی در این حوزه ندارید بازهم باید بدانید که کارهای زیادی وجود دارد که میتوانید برای حفظ امنیت وردپرس خود انجام دهید. به این منظور باید همه موارد زیر را در نظر بگیرید. قابل ذکر است که هک کردن در سراسر دنیا جرم است و می توانید مجازات هک را از مقاله ی مجازات هک کردن و جرم هکر چیست؟ مطالعه کنید.
۱) وردپرس خود را به روز نگه دارید
وردپرس یک نرم افزار منبع بازopen source است. این نرم افزار همیشه توسط تیم تولید و توسعه آن نگهداری و به روز رسانی میشود. خود این نرم افزار به روز رسانیهای جزئی را به شکل اتوماتیک انجام میدهد. اما شما برای ارتقای امنیت وردپرس خود لازم است بهطور منظم آن را به روز رسانی کنید.
بهجز این وردپرس هزاران افزونه و تم دارد که شما میتوانید در وب سایت خود نصب کنید. این افزونهها و تم ها توسط توسعه دهندگان در شرکتهای مختلف نگهداری میشوند که آنها به شکل منظم نسخههای بهروزرسانی شده را منتشر میکنند. اینکه شما نسخههای به روز رسانی شده افزونهها و تمها را روی وردپرس خود نصب کنید نیز در بالابردن امنیت سایت وردپرس شما نقش پررنگی خواهد داشت.
۲) نام کاربری و رمز عبور بسیار قوی و پیچیده انتخاب کنید
هنوز هم رایجترین شیوه هک وردپرس استفاده از رمز عبور آن است. حتماً برای حفظ امنیت در وردپرس از رمز عبوری استفاده کنید بهشدت قوی و کاملاً منحصر به فرد باشد. این کار نه فقط برای بخش مدیریت وردپرس که باید برای حسابهای FTP، پایگاه داده، حساب میزبانی وردپرس و آدرسهای ایمیل سفارشی شما نیز انجام شود.
راه دیگر برای کاهش خطر و افزایش امنیت در وردپرس این است که به هیچ کس اجازه دسترسی به حساب سرپرست یا مدیر وردپرس خود را ندهید؛ مگر اینکه واقعاً مجبور باشید. اگر تیم شما بزرگ است یا نویسنده مهمان دارد باید قبل از افزودن حساب کاربری و نویسندگان جدید به سایت وردپرس خود، از نقشها و قابلیتهای کاربران در وردپرس اطمینان حاصل کنید.
۳) با احراز هویت ۲ گانه امنیت سایت وردپرسی خود را بالا ببرید
معرفی کردن احراز هویت ۲ گانه در صفحه ورود، یک راهکار دیگر برای امنیت صفحه ورود وردپرس است. در این مورد، جزئیات ورود را برای دو جزء مختلف وارد می کنید. دارنده وبسایت تعیین می کند که این دو جزء باید چه چیزی باشند. به این صورت که می تواند یک رمز عبور عمومی به همراه یک سوال محرمانه، یک کد محرمانه و یا جمله ای از کاراکترها و … باشد.
۴) نقش هاست وردپرس را خیلی جدی بگیرید
سرویس هاست وردپرس مهمترین نقش را در امنیت سایت وردپرسی شما ایفا میکند. هاست بهطور مداوم شبکه را زیر نظر داشته و هرگونه فعالیت مشکوک را رصد میکند. شرکتهایی که میزبانهای خوب و امنی هستند به ابزارهای قدرتمندی برای جلوگیری از حملات گسترده DDOS مجهز می باشند.
این شرکتها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه میدارند تا مانع از سوء استفاده هکرها از آسیب پذیری امنیتی شناخته شده در نسخه قدیمیشوند. هاست خوب، آماده استفاده از برنامههای بازیابی پس از بروز حادثه هک هستند. یعنی این امکان را دارند که از دادههای شما در صورت هک شدن سایت محافظت کنند.
استفاده از سرویس هاست وردپرس، بستر مطمئن تری برای وب سایت شما فراهم میکند. شرکتهای ارائه دهنده هاست وردپرس پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفتهتری را برای محافظت از وب سایت شما ارائه میدهند.
۵) تهیه منظم نسخه پشتیبان را فراموش نکنید
برای بالا بردن امنیت وردپرس، پشتیبان گیری منظم از دادههای سایت اولین دفاع شما در برابر هرگونه حمله وردپرسی است. البته این نکته را فراموش نکنید که هیچ سورسی ۱۰۰ درصد امن نیست. یعنی اگر وب سایتهای دولتی میتوانند هک شوند این امکان برای سایت شما هم وجود دارد. بنابراین لازم است همیشه نسخه پشتیبان قوی و به روز رسانی شده داشته باشید.
افزونههای پشتیبان رایگان و پولی وردپرس زیادی وجود دارد که میتوانید از آنها استفاده کنید. مهمترین نکتهای که هنگام تهیه نسخه پشتیبان باید بدانید این است که باید بهطور منظم و کامل از سایت خود پشتیبان گیری کنید و این اطلاعات را در یک مکان امن مثل یک حافظه جانبی مطمئن (نه حساب میزبانی خود) ذخیره کنید.
پشتیبان گیری را میتوان با استفاده از افزونههایی مانند UpdraftPlus یا BlogVault بهراحتی انجام داد. هر دوی این افزونهها قابل اعتماد هستند و مهمتر از آن اینکه استفاده از آنها برای همه آسان بوده و نیازی به کد نویسی ندارد.
۶) نصب یک افزونه امنیتی وردپرس
بعد از تهیه منظم نسخه پشتیبان، نصب یک افزونه امنیتی وردپرسی است که در افزایش امنیت وردپرس نقش دارد. افزونه امنیتی در واقع یک سیستم حسابرسی و نظارت است که همه اتفاقاتی که در وب سایت شما میافتد را پیگیری میکند. این موضوع شامل نظارت بر یکپارچگی فایلها، تلاش ناموفق برای ورود به سیستم ، اسکن بدافزار و غیره میشود.
بهترین افزونه امنیتی رایگان وردپرس، Sucuri Scanner است که میتواند به همه این موارد توجه کند. پس از فعال سازی این افزونه باید به منوی Sucuri در بخش مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته میشود این است که یک کلید API رایگان ایجاد کنید. به این ترتیب امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگیهای مهم برای شما فعال میشود.
سپس باید از منوی تنظیمات روی برگه “Hardening” کلیک کنید. همه گزینهها را مرور کرده و روی دکمه “Apply Hardening” کلیک کنید.
این گزینهها به شما کمک میکند مناطق کلیدی را که هکرها اغلب در حملات خود از آنها استفاده میکنند را قفل کنید.
بهطور کلی تنظیمات پیش فرض این افزونه برای اکثر وبسایتها به اندازه کافی خوب بوده و نیازی به هیچ گونه تغییری ندارد. اما بهتر است بخش Email Alerts را نیز در این افزونه فعال یا سفارشی سازی کنید. به این ترتیب بابت هر تغییری اعم از تغییر در افزونهها، ثبت نام کاربر جدید و غیره هشدار دریافت خواهید کرد. برای این منظور طبق تصویر زیر مسیر مشخص شده را پیگیری کنید.
قدرت این افزونه امنیتی را دست کم نگیرید. بهتر است به بخشهای مختلف آن مراجعه کرده و هر چیزی را که فکر میکنید به بالا بردن امنیت سایت وردپرس شما کمک میکند را انجام دهید.
۷) افزایش امنیت وردپرس با تعویض URL صفحه ورود
به طور پیش فرض، صفحه ورود وردپرس به آسانی با اضافه کردن wp-lohgin.php و یا wp-admin به URL اصلی وبسایت قابل دسترسی است. وقتی هکرها آدرس اصلی صفحه ورود شما را پیدا کنند، آنها میتوانند حملات بروت فورس خود را شروع کنند و آنها این کار را با GWDb(Guess Work Database) خود شروع می کنند.
این حقه کوچک دسترسی غیر متعارف به صفحه ورود را میبندد. فقط کسانی که آدرس اصلی آن را دارند می توانند این کار را انجام دهند. افزونه iThemes Security میتواند به شما در این کار کمک کند.
- تغییر wp-login.php به یک چیز اختصاصی همانند my_new_login
- تغییر /wp-admin/ به چیزی اختصاصی شبیه my_new_admin
- تغییر /wp-login.php?action=registerبه چیزی شبیه my_new_registration
۸) فعال سازی SSL / HTTPS در سایت وردپرسی خود
Ssl پروتکلی است که انتقال دادهها را بین وب سایت شما و مرورگر کاربران رمزگذاری میکند. این رمزگذاری باعث میشود که کسی نتواند اطلاعات مهم سمت سایت شما را بشناسد و آنها بدزدد.
پس از آنکه گواهی SSL را روی سایت خود فعال میکنید، وب سایت شما به جای HTTP از HTTPS استفاده میکند. ضمن آنکه در مرورگر علامت قفل را در کنار آدرس وب سایت خود مشاهده خواهید کرد.
گرچه در ابتدا فعال سازی SSl هزینه داشت اما امروز بسیاری از شرکتهای میزبانی گواهی SSL رایگان را برای وب سایت وردپرسی ارائه میدهند.
۹) گزینه ویرایش فایل وردپرس خود را غیر فعال کنید
حتماً میدانید که وردپرس دارای یک ویرایشگر کد داخلی است. این ویرایشگر این امکان را به شما میدهد که قالب و افزونههای خود را مستقیماً از قسمت مدیریت وردپرس ویرایش کنید. گرچه شما به این ویژگی نیاز دارید اما استفاده نادرست از آن میتواند یک خطر امنیتی محسوب شود؛ بنابراین توصیه میکنیم آن را خاموش کنید. برای این منظور مراحل زیر را دنبال کنید:
البته همین کار را با افزودن کد زیر در فایل wp-config.php نیز میتوانید انجام دهید.
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
۱۰) اجرای فایل PHP را در برخی از فهرستهای وردپرس غیرفعال کنید
یکی دیگر از روشهای بالا بردن امنیت سایت وردپرس غیرفعال کردن اجرای فایل PHP در فهرستهایی است که نیازی به آنها نیست. فهرستهایی مانند/wp-content/uploads/.
برای این کار یک ویرایشگر متنی مانند نوت پد را باز کنید و این کد را در آن بنویسید:
<Files *.php>
deny from all
</Files>
بعد از این باید این فایل را به عنوان .htaccess ذخیره کرده و با استفاده از یک سرویس گیرنده FTP در/wp-content/uploads/پوشه های وب سایت خود بارگذاری کنید.
۱۱) محدود کردن تلاش برای ورود به وردپرس
وردپرس به کاربران اجازه میدهد تا هر زمان که میخواهند وارد سیستم مدیریت شوند. این امکان باعث میشود سایت وردپرس شما در برابر حملات بیرحمانه هکرها که مدام تلاش میکنند بانام کاربری و رمز ورودهای مختلف وارد بخش مدیریت سایت شما شوند، آسیبپذیر باشد.
برای این کار ابتدا باید افزونه Login LockDown را نصب و فعال کنید. سپس مراحل زیر را دنبال کنید.
۱۲) پیشوند جدولهای وردپرس را عوض کنید
اگر شما تا به حال وردپرس نصب کرده باشید، پس حتما با پیشوند جدولی wp- که توسط پایگاه داده وردپرس استفاده می شود آشنا هستید. پیشنهاد می شود که آن را به چیز دیگری تغییر دهید.
استفاده از پیشوند پیش فرض، وبسایت شما را در قبال حملات sql injection شکننده میکند. این حمله را میتوان با عوض کردن پیشوند wp- به چیز دیگری مانند mywp- و wpnew- و … کنترل و پیشگیری کرد.
اگر شما الان وبسایت وردپرسی خود را با پیشوند پیش فرض نصب کرده اید، می توانید از این افزونه ها برای تغییر آن استفاده کنید. افزونه هایی مانند WP-DBManager و Itheme Security میتواند به شما در این پروسه با چند کلیک کمک کنند. (حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ بگیرید)
آنچه در این مطلب خواندید ۹ راه عملی، ساده و کاربردی به منظور آموزش امنیت وردپرس بود. گرچه اگر بخواهیم به این پرسش پاسخ دهیم که چگونه امنیت وردپرس را بالا ببریم؟ باید چند کار بیش از این انجام دهیم. اما تأمین امنیت وردپرس با توجه و عمل کردن به این ۹ راه نیز امکان پذیر خواهد بود.