امنیت وردپرس: قدم به قدم تا امنیت کامل سایت وردپرسی

دسته بندی ها : وردپرس ۲۱ اردیبهشت ۱۳۹۸ فرشته آقامیری 25 بازدید
راه های افزایش امنیت وردپرس

 

سیستم مدیریت محتوای وردپرس محبوبیت زیادی در بین کاربران و وب مستران دارد و همین مساله باعث شده تا بیشتر مورد توجه هکرها قرار بگیرد. البته نمی توان ادعا کرد یک سیستم امنیت کامل دارد و به عنوان یک وب مستر عاقل باید از تمام راه حل های موجود برای افزایش امنیت سایت وردپرسی تان استفاده کنید. ما در دامون وب تمام راهکارهای ارائه شده را بررسی کرده و کامل ترین مطلب را در اختیارتان قرار داده ایم. امیدوار هستیم قدمی در راستای امنیت کامل وب سایت شما برداریم. جالب است بدانید، در هر ساعت ۱۲۵۰ سایت مورد حمله هکرها قرار می گیرند و هر لحظه ممکن است امنیت وب سایت شما نیز به خطر بیفتد.

با استفاده از راهکارهای ارائه شده می توانید امنیت سایت تان را افزایش داده و از هر گونه نفوذ و هک در سایت تان جلوگیری به عمل آورید. با دامون وب همراه باشید.

از نام کاربری و رمز عبور قوی استفاده کنید

هیچ وقت از نام کاربری پیش فرض وردپرس (admin) استفاده نکنید. انتخاب نام کاربری مناسب کار بسیار آسانی است و مطمئن باشید به نفع تان خواهد بود. همچنین از رمز عبور قوی ، ترکیبی از اعداد و کاراکترها، استفاده کنید. شایع ترین روش هک و نفوذ به سایت های وردپرسی به دلیل استفاده از رمز عبور سست هست. البته استفاده از رمز عبور مناسب تنها محدود به پنل وردپرس نیست. بلکه باید برای تمام بخش های سایت مانند ورود به هاست، دیتابیس، اکانت FTP و … نیز از رمز عبور قوی استفاده کنید.

به افراد مطمئن دسترسی سایت را بدهید

شاید وب سایت تان چند مدیر، نویسنده، طراح، ویرایشگر و … داشته باشد یا بخواهید سایتی را به صورت تیمی راه اندازی کنید. در این صورت حفظ امنیت وردپرس با چالش های بیشتری رو به رو خواهد بود. ابتدا باید مطمئن شوید تمام افراد تیم مطمئن هستند و از اطلاعات کاربری قوی استفاده می کنند. همچنین نیاز است دسترسی افراد را براساس عملکردی که در سایت دارند محدود کنید. برای این منظور می توانید از افزونه Advanced Access Manager استفاده کنید.

بخش تنظیمات دیدگاه را مدیریت کنید

در صفحه پیشخوان وردپرس به تنظیمات >>گفت و گوها بروید و تنظیمات دیدگاه خود را بررسی کنید. اکنون چند توصیه برای شما داریم:

  • از کاربرانی که اقدام به درج دیدگاه می کنند بخواهید نام و ایمیل شان را وارد کنند.
  • ارسال ایمیل خودکار بعد از گذاشتن دیدگاه را فعال کنید مگر اینکه ترافیک دیدگاه هایتان خیلی زیاد باشد یا هر روز به بخش مدیریت سایت تان سر بزنید.
  • دیدگاه هایی که لینک زیادی دارند را منتشر نکنید تا آن را ببینید، چرا که اسپمرها معمولا تعداد لینک های بیشتری را در دیدگاه هایشان درج می کنند.

آدرس صفحه ورود به وردپرس را تغییر دهید

سیستم مدیریت محتوا وردپرس برای ورود به طور پیش فرض از آدرس domain.wp-login.php استفاده می کند ، البته با تایپ آدرس wp-admin نیز به طور خودکار وارد همین صفحه خواهید شد. پس اگر فردی نام کاربری و رمز عبور شما را به دست آورد به راحتی می تواند وارد پیشخوان وردپرس شود و سایت تان را دچار مشکل کند. پس بهتر است آدرس صفحه ورود به وردپرس را تغییر دهید.

تعداد دفعات ورود به وردپرس را محدود کنید

هیچ محدودیتی برای تعداد دفعات تلاش برای ورود به پیشخوان وردپرس وجود ندارد. پس هکر می تواند به راحتی رمز عبورهای زیادی برای ورود به پنل مدیریتی وب سایت شما را امتحان کند. لازم است بدانید، راهکاری وجود دارد که می توانید دفعات ورود به وردپرس را محدود کنید. در مقاله ی دیگری در دامون وب، محدود کردن تعداد دفعات ورود به وردپرس را آموزش داده ایم. البته می توانید از برخی افزونه های امنیتی برای ایجاد محدودیت در تلاش برای ورود به سایت نیز استفاده کنید که یکی از آنها افزونه Brute Force Login Protection است.

ورود دو مرحله ای گوگل برای صفحه مدیریتی وردپرس

شرکت گوگل برنامه Google Authenticator را برای فراهم کرن ورود دو مرحله ای به صفحه پیشخوان وردپرس ارائه کرده است. برای این منظور نیاز نیست حتما کد تائید را از طریق SMS دریافت کنید، بلکه می توانید نسخه اندروید یا ios این برنامه را روی گوشی تان نصب کرده و کدهایی که به طور خودکار تولید می شود را برای ورود استفاده کنید. پس با استفاده از این برنامه می توانید امکان ورود دو مرحله ای را در سایت خود فعال کنید و جلوی حمله هکرها را بگیرید.

از کپچا وردپرس استفاده کنید

یکی دیگر از کارهایی که هکرها انجام می دهند تلاش مداوم برای ورود به سایت یا ارسال دیدگاه اسپم است، با این کار نیاز نیست فرد حتما وارد سایت شود بلکه به دلیل اینکه درخواست های مکرر برای سایت ارسال می شود ، CPU و منابع هاست درگیر شده و در نهایت سایت از دسترس خارج خواهد شد. برای جلوگیری از این کار می توانید از کپچا وردپرس استفاده کنید. در مقاله ای آموزش ساخت کپچا در وردپرس را آموزش داده ایم.

ورود با ایمیل در وردپرس را غیرفعال کنید

وردپرس از نسخه ۳ به بعد امکانی ارائه داد تا علاوه بر نام کاربری بتوانید با ایمیل تان نیز وارد صفحه مدیریتی شوید. به دلیل اینکه از طریق ایمیل تان با افراد زیادی در ارتباط هستید ، امکان نفوذ و هک سایت تان با ورود ایمیل و هک رمز عبور فراهم خواهد شد. برای غیرفعال کردن این قابلیت وارد هاست شوید و به مسیر public_html/wp-content/themes شوید. اکنون وارد پوشه قالبی که روی سایت تان نصب است شده و کد زیر را در فایل فانکشن (functions.php) بنویسید و ذخیره کنید. بدین ترتیب امکان ورود با ایمیل در وردپرس غیرفعال خواهد شد و تنها با استفاده از نام کاربری می توانید وارد صفحه پیشخوان سایت تان شوید.

نام کاربری وردپرس را مخفی کنید

در اغلب سایت های وردپرسی وقتی روی نام نویسنده یک مقاله کلیک کنید به صفحه نویسنده وارد می شوید که در آن نام کاربری نویسنده در آدرس نمایش داده می شود. پیشنهاد می کنیم برای امنیت سایت وردپرسی تان، چنین امکانی را در قالب خودتان غیر فعال کنید یا آدرس صفحه نویسنده را براساس ID نویسنده مشخص کنید تا نام کاربری نویسنده ها نشان داده نشود.

کد زیر را در فایل htaccess. هاست تان قرار دهید تا صفحه مربوط به نویسنده را در وردپرس به صفحه اصلی ریدایرکت کنید.

به طور منظم از سایت تان بک آپ بگیرید

ارائه دهندگان هاست به طور منظم اقدام به بک آپ گیری می کنند اما ممکن است هکرها به سراغ هاستینگ ها بروند. پس سعی کنید همیشه خودتان از سایت نسخه ی بک آپ داشته باشید تا اگر مشکلی بوجود آمد بتوانید از فایل بک آپ استفاده کنید و به فعالیت تان ادامه دهید. در مقاله آموزش بک آپ گیری از سایت وردپرسی با نحوه ی این کار آشنا می شوید.

قالب و افزونه های وردپرسی را مدام به روزرسانی کنید

تا جای ممکن از قالب و افزونه های رایگان استفاده نکنید. گاهی یک باگ امنیتی در پوسته ای که روی سایت وردپرسی تان نصب کرده اید وجود دارد که به هکر اجازه ی دسترسی می دهد و امنیت سایت شما را به خطر می اندازد. توسعه دهندگان مطمئن، این آسیب پذیری ها را کشف کرده و راه حل های آنها را در قالب به روزرسانی جدید ارائه می دهند. افزونه های وردپرسی نیز دائما در حال به روزرسانی هستند و بهتر است قبل از سوء استفاده هکرها از این حفره های امنیتی آنها را به روزرسانی کنید.

از هاست ایمن برای سایت تان استفاده کنید

برای اینکه امنیت سایت وردپرسی تان به خطر نیفتد، از هاست ایمن استفاده کنید و به سراغ هاست های ارزان قیمت نروید. شاید به خاطر اینکه هزینه ی بالایی نپردازید یک هاست معمولی را انتخاب کنید، اما می دانید با این کار چطور امنیت سایت خود را به چالش می اندازید؟ باید از هاستی قدرتمند که برای وردپرس هم مناسب باشد استفاده کنید.

حتما از HTTPS استفاده کنید

پیش از ورود به وب سایت، آدرس مرورگرتان را چک کنید تا مطمئن شوید از پروتکل HTTPS استفاده می کنید. برای این منظور حتما باید قبل از نام دامنه https:// باشد که در اغلب مرورگرها سبز رنگ بوده و یک آیکن قفل نیز در کنار آن وجود دارد که امن بودن ارتباط را نشان می دهد. استفاده از HTTPS حاکی از آن است که اطلاعات رمزنگاری شده و اگر یک نفر در شبکه مشغول شنود باشد، نمی تواند به نام کاربری و رمز عبور ما دسترسی پیدا کند. خیلی از وب سایت های وردپرسی از HTTPS استفاده نمی کنند و اگر سایت شم نیز اینچنین است، با مدیر سایت خود تماس گرفته و از او بخواهید به HTTPS ارتقا پیدا کنید.

از htaccess. و wp-config.php محافظت کنید

wp-config.php از فایل های مهم سایت وردپرسی است که اطلاعات دیتابیس در آن قرار می گیرد. یکی دیگر از فایل های مهم در وردپرس htaccess. است که با استفاده از آن می توان کارهای مختلفی در سایت انجام داد. باید از این دو فایل مهم محافظت کنید و دسترسی به آنها را محدود کنید تا کسی جز خودتان امکان مشاهده آنها را نداشته باشد، با این کار به امنیت سایت وردپرسی تان کمک شایانی خواهید کرد.

البته مخفی کردن این دو فایل ممکن است دردسرساز شود. پس ابتدا یک نسخه پشتیبان تهیه کرده و بعد عملیات را انجام دهید. با افزونه Yoast SEO می توانید دو فایل wp-config,php و htaccess. را پنهان کنید. برای این منظور وارد پیشخوان وردپرس شوید و به بخش ابزارها>>ویرایشگر شوید و دو قطعه کد زیر را وارد کنید:

 

به امنیت پوشه wp-admin توجه کنید

پوشه wp-admin یکی دیگر از پوشه های مهم وردپرس است و کارهای مربوط به بخش مدیریت وردپرس را برعهده دارد. هکرها با ورود به این پوشه می توانند کدهایی را در فایل های موجود در wp-admin وارد کرده و پیشخوان وردپرس را بهم بریزند. پس لازم است به امنیت این پوشه توجه نشان دهید. برای افزایش امنیت wp-admin می توانید به سراغ رمزگذاری روی این پوشه در هاست سی پنل بروید.

ویرایشگر فایل را غیرفعال کنید

پیشنهاد می کنیم حالت ویرایشگر را در وردپرس تان غیرفعال کنید، چرا که اگر هکر وارد پیشخوان وردپرسی تان شود به راحتی می تواند از بخش نمایش >>ویرایشگر به کدهای سایت تان دسترسی یافته و تغییراتی در آن ایجاد کند. پس بهتر است این بخش را غیرفعال کنید و تغییرات خود را با استفاده از FTP یا ورود به هاست انجام دهید. برای این منظور کد زیر را در فایل wp-config.php بنویسید:

مشاهده پوشه های هاست را غیرفعال کنید

مدیران سایت ها توجه زیادی به نمایش دایرکتوری های هاست ندارند و معمولا تمام پوشه های هاست قابل مشاهده است. ممکن است هکر از این قابلیت استفاده کند و با بررسی فایل های موجود در هر پوشه، راه های نفوذ را پیدا کرده و به راحتی سایت تان را هک کند.

برای اینکه مشاهده پوشه های هاست را غیرفعال کنید:

  • وارد هاست شوید و به مسیر public_html بروید.
  • فایل htaccess. را باز کنید و دستور Options-Indexes را در انتهای این فایل وارد کرده و فایل را ذخیره کنید.
  •  

اجرای فایل PHP در وردپرس را غیرفعال کنید

هاست به شما این امکان را می دهد با استفاده از دستورات PHP هر کاری که می خواهید در وب سایت تان انجام دهید. البته برخی از دایرکتوری های وردپرس مانند پوشه uploads، نیاز به اجرای php ندارند و درون آن فایل های چندرسانه ای مانند صدا، تصویر، ویدئو و … قرار می گیرد.

با استفاده از روش زیر می توانید اجرای دستورات PHP را غیرفعال کنید:

  • وارد هاست شده و به مسیر public_html/wp-content/uploads بروید.
  • فایلی با نام htaccess. بسازید و کد زیر را در آن قرار دهید.

 

از افزونه امنیت وردپرس استفاده کنید

افزونه های زیادی برای وردپرس ارائه شده اند که قابلیت های امنیتی زیادی را در اختیار شما قرار می دهند. یکی از پرطرفدارترین افزونه های امنیتی در وردپرس، افزونه wordfence است که به شما امکان افزایش امنیت وردپس و جلوگیری از هک وب سایت را می دهد. با نصب این افزونه می توانید خیلی از راهکارهای ارائه شده را تنها با این افزونه فراهم کنید. یکی دیگر از افزونه های امنیتی در وردپرس افزونه iThemes Security است که امکان بک آپ گیری خودکار از دیتابیس وردپرس را فراهم می کند تا هر زمان سایت تان مورد حمله قرار گرفت با استفاده از نسخه پشتیبان وردپرس بتوانید به فعالیت تان ادامه دهید و مشکلات را برطرف کنید.

در این مقاله از دامون وب سعی کردیم با ارائه راهکارهای امتحان شده به امنیت سایت وردپرسی شما کمک کنیم. نظرات خود را درباره امنیت وردپرس تان با ما در میان بگذارید. امیدواریم با خواندن این مقاله از دامون وب، بتوانید امنیت سایت خود را تامین کنید و از هر گونه نفوذ و هک در سایت خود جلوگیری به عمل آورید.

فرشته آقامیری
فرشته آقامیری

مطالب زیر را حتما بخوانید:

نظرات کاربران

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!