راهکارهای افزایش امنیت وردپرس

همانطور که می‌دانید سیستم مدیریت محتوای وردپرس دائما در حال بروزرسانی‌ست و به خودی خود دارای امنیت بالایی است. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت سایتتان گامی بردارید و امکان سو استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. به همین خاطر ما در این مقاله از آموزش رایگان وردپرس قصد داریم به شما مهمترین و کاربردی‌ترین اقدامات ضروری برای افزایش امنیت وردپرس در سال 2021 را به شما معرفی کنیم. پس حتما تا انتهای این مقاله با ما همراه باشید.

افزایش امنیت وردپرس

آنچه در این مقاله به اختصار خواهید خواند:

• چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟
• 15 اقدام ضروری برای افزایش امنیت وردپرس را یاد بگیرید!

چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟

تامین امنیت سایت و کسب‌وکار اینترنتی موضوعی است که اهمیت زیادی برای مدیران سایت دارد. چراکه کسب درآمد و امنیت شغلی صاحبان این کسب‌وکارها وابستگی مستقیم به امنیت سایتشان دارد. به عبارتی دیگر می‌توان گفت:

“دقیقا همانطور که یک فروشگاه فیزیکی در یک مکان مشخص از شهر نیاز به تامین امنیت دارد، یک فروشگاه و کسب‌وکار مجازی نیز نیازمند تامین امنیت و حفاظت است.”

از طرفی دیگر گوگل هر روز در حدود بیش از 10،000 وب سایت را به خاطر بدافزار بودن و حدود 50،000 وب سایت را به خاطر سرقت اطلاعات بانکی (phishing) هر هفته در لیست سیاه قرار می‌دهد. این بدان معناست گوگل برای تامین امنیت ارزش فوق‌العاده زیادی قائل است و سایت‌هایی که از امنیت کمی برخورد دار باشند از نگاه گوگل سایت‌های بی‌کیفیت تلقی می‌شوند که قطعا با افت رتبه در موتورهای جستجو مواجه خواهند شد.

پس اگر در مورد امنیت وب‌سایت خود جدی هستید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این مقاله، ما بهترین نکات امنیتی وردپرس را برای محافظت از وب سایتتان در برابر هکرها و بدافزارها با شما اشتراک خواهیم گذاشت.

15 اقدام ضروری برای افزایش امنیت وردپرس را یاد بگیرید

در حالی که هسته‌ اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعه‌دهندگان زبده و حرفه‌ای به طور منظم مورد بررسی و بروزرسانی قرار می‌گیرد، اما بازهم کارهای زیادی می‌توان برای ایمن نگه‌داشتن سایت انجام داد.

ما معتقدیم که امنیت فقط حذف خطر نیست. بلکه کاهش خطر است! به عنوان یک مالک وب سایت، اقدامات ضروری و موثری وجود دارد که می‌توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر اهل فن نیستید).

در ادامه ما تعدادی از اقدامات ضروری برای تامین امنیت کامل وردپرس که می‌توانید با انجام آنها از وب سایت خود در برابر آسیب پذیری‌های امنیتی محافظت کنید، به شما معرفی خواهیم کرد.

1. همیشه از آخرین نسخه وردپرس، افزونه‌ها و پوسته‌ها در سایتتان استفاده کنید.

وردپرس یک نرم افزار تحت وب منبع باز است که به طور منظم توسط توسعه‌دهندگان آن بهبود پیدا کرده و بروزرسانی می‌شود. از طرفی دیگر وردپرس همچنین دارای هزاران افزونه و پوسته است که می توانید روی وب سایت خود نصب کنید. این افزونه‌ها و پوسته‌ها نیز توسط توسعه دهندگان‌شان مرتباً بروزرسانی می‌شوند. پس همیشه اطمینان حاصل کنید که جدیدترین نسخه هسته وردپرس، افزونه‌ها و پوسته‌ها در سایت شما نصب شده باشد.

2. گذرواژه‌های قوی انتخاب کرده و دسترسی‌های سایت را کنترل کنید!

یکی از رایج‌ترین راه‌های هک کردن و ورود غیرقانونی به سایت از طریق حملات بروت فورس یا DDOS است. شما با انتخاب گذرواژه‌های قوی می‌توانید سایتتان را در برابر این حملات ایمن نگه‌دارید. توجه داشته باشید نه فقط برای قسمت مدیریت وردپرس، بلکه همچنین برای حساب های FTP، پایگاه داده، حساب عضویت سایت و آدرس‌های ایمیلی که از نام دامنه سایت شما استفاده می کنند، باید از رمز عبور قوی استفاده کنید.

بسیاری از افراد استفاده از رمزهای عبور قوی را دوست ندارند زیرا به سختی به خاطر سپرده می شوند. اگرشما نیز جز این افراد هستید می‌توانید از نرم افزارهای مدیریت رمز عبور استفاده کنید تا اینگونه بهتر گذرواژه‌های خود حفظ و نگه‌داری کنید.

از سوی دیگر مجوزها و دسترسی سایتتان را به طور دقیق کنترل و مدیریت کنید. به طوریکه به هرکسی اجازه دسترسی به حساب پیشخوان مدیریت وردپرس را ندهید مگر اینکه کاملاً نسبت به آن فرد کنترل و اطمینان داشته باشید.

اگر یک تیم بزرگ یا چندین نویسنده مهمان دارید، برای آنها حساب کاربری و نقش‌هایی با دسترسی محدود ایجاد نمایید تا صرفا فقط امکان نگارش محتوا داشته و به دیگر بخش‌های سایت دسترسی نداشته باشند.

3. یک سرویس میزبانی(هاست) قوی انتخاب نمایید!

قطعا انتخاب یک سرویس میزبانی مطمئن و مناسب می‌تواند نقش بسیار مهمی در افزایش امنیت سایت شما ایفا نماید. یک ارائه‌دهنده میزبانی حرفه‌ای همیشه اقدامات بسیار مهمی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می‌دهد و خیال شما را بابت حفظ اطلاعات سایتتان راحت می‌کند.

اما یک سرویس میزبانی خوب درای چه ویژگی‌ها و بایدهایی می‌باشد؟

• باید به طور مداوم شبکه خود را از نظر فعالیت مشکوک کنترل و بررسی کند
• باید دارای ابزارهایی باشد که از حملات گسترده DDOS جلوگیری کند
• باید نسخه های php و سخت افزار خود را به روز نگه دارند تا از سو استفاده و آسیب پذیری‌های امنیتی در نسخه قدیمی توسط هکرها جلوگیری کنند.
• آنها باید برنامه‌ریزی و پیش‌بینی‌هایی بابت بازیابی اطلاعات سرور در زمان حوادث‌های مختلف داشته باشند تا از داده‌های شما محافظت کنند.
• باید به طور دقیق و مداوم از اطلاعات بر روی سرور در یک مکان امن نسخه پشتیبان تهیه کنند
• باید دارای سرویس میزبانی مناسب و اختصاصی برای وردپرس باشند. به عبارتی دیگر دارای هاست وردپرسی باشند.
• قابلیت پاسخ گویی و پشتیبانی به نیاز و سوالات مشتریان به صورت 24 ساعته در هفت روز هفته را داشته باشد.
• و…

4. افزونه‌ها کاربردی و مهم وردپرس بروی سایتتان نصب و فعالسازی کنید!

اگر تسلط کامل بر روی کدنویسی‌های وردپرس ندارید حتما باید به سراغ نصب و فعالسازی افزونه‌های کاربردی و مهم برای افزایش امنیت سایتتان بروید.

1.4. نصب افزونه‌ پشتیبان‌گیری خودکار

پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست و نمی‌توان گفت یک سایت قطعا به صورت 100 درصد دربرابر هک در امان است. چراکه اگر وب سایت‌های دولتی و شرکت‌های بزرگ می‌توانند هک شوند، پس وب سایت‌های شما نیز احتمال هک شدن دارد!

بنابراین در صورت بروز هرگونه مشکل، داشتن یک نسخه پشتیبان‌ از سایت به شما این امکان را می‌دهد به سرعت سایت وردپرس خود را بازیابی کنید و مشکلات را رفع نمایید.

در حال حاضر افزونه های پشتیبان‌گیری وردپرسی رایگان و پولی زیادی وجود دارند که می‌توانید از آنها استفاده کنید. مهمترین نکته ای که باید در مورد تهیه نسخه پشتیبان بدانید این است که شما باید به طور منظم پشتیبان‌گیری کامل از سایتتان را در یک مکان دیگر (و نه هاست خود) ذخیره کنید. توصیه می‌کنیم آن را در سرویس ابری مانند گوگل درایو و Dropbox یا هاست اختصاصی دانلود ذخیره کنید.

نکته مهم: در کنار تهیه پشتیبان به کمک افزونه، حتما به صورت دستی نیز از سایت خود به طور کامل پشتیبان تهیه نمایید.

پس از تهیه نسخه پشتیبان از سایت، کار بعدی که باید انجام دهید این است که یک سیستم امنیتی و نظارت در سایتتان راه اندازی کنید که همه اتفاقات سایت شما را ردیابی کند.

این نظارت شامل بررسی یکپارچگی پرونده‌ها، تلاشهای ناموفق برای ورود به سیستم، اسکن بدافزار و … است.

خوشبختانه امروزه افزونه‌های امنیتی قدرتمند زیادی وجود دارند که به شما در تامین امنیت سایتتان به صورت فوق‌العاده‌ای کمک می‌کند.

5. گواهی SSL(https) بر روی سایتتان فعال نمایید!

گواهی SSL (Secure Sockets Layer)  یک پروتکل است که انتقال داده را بین وب‌سایت شما و مرورگر کاربران رمزگذاری می‌کند. این رمزگذاری باعث می‌شود که امکان سرقت اطلاعات توسط هکر‌ها بسیار دشوار یا تقریبا ازبین برود.

هنگامی که SSL را بر روی سایتتان فعال کنید، وب سایت شما به جای پروتکل HTTP از HTTPS استفاده می‌کند و در مرورگرتان علامت قفل کنار آدرس وب سایت خود مشاهده خواهید کرد.

در ابتدا گواهینامه های SSL صرفا توسط مقامات صدور گواهینامه (certificate authorities) صادر می‌شدند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع می‌شد. به همین خاطر به دلیل هزینه‌بالا، بیشتر دارندگان وب سایت تصمیم گرفتند از پروتکل ناامن (HTTP) استفاده کنند.

برای رفع این مشکل، یک سازمان غیرانتفاعی و خیرخواهانه به نام Let’s Encrypt تصمیم گرفت گواهینامه‌های SSL رایگان را به دارندگان وب سایت ارائه دهد. که این پروژه توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکتهای دیگر پشتیبانی می‌شود.

اکنون، استفاده از SSL برای همه وب‌سایت‌های وردپرس از همیشه آسان‌تر شده است و شرکت‌های هاستینگ معتبر این گواهی را به طور رایگان در اختیار مشتریان خود قرار می‌دهند.

6. نام کاربری(username) پیش‌فرض “admin” انتخاب نکنید!

در گذشته، نام کاربری مدیر هنگام نصب وردپرس به صورت پیش فرض “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می‌دهد، دانستن آن ورود به سایت را برای هکرها آسان‌تر می‌کند.

خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس می‌کند. با این حال، هنوز هم برخی از نصب کنندگان وردپرس نام کاربری پیش فرض را روی همان “admin” تنظیم می‌کنند که این موضوع بسیار خطرناک است. پس حتما هنگام نصب وردپرس بر روی سایتتان یک نام کاربری مناسب و سخت برای خود انتخاب نمایید.

7. قابلیت ویرایش پوسته و افزونه را در پیشخوان وردپرس غیرفعال کنید!

وردپرس دارای یک ویرایشگر کد داخلی است که به شما این امکان را می‌دهد افزونه‌ها و پوسته‌های خود را از طریق پیشخوان وردپرس ویرایش کنید. اگر این قسمت به دست هکرها بیوفتد به راحتی می‌توانند سایت شما را با کدهای مخرب آلوده کنند. پس بهترست حتما آن را غیرفعال نمایید.

برای غیرفعال‌سازی آن می‌توانید به فایل wp-config.php در هاستتان بروید و کد زیر را در آن قرار دهید:

Disallow file edit//	1
define( ‘DISALLOW_FILE_EDIT’, true );	2

8. در برخی از دایرکتوری‌های وردپرس اجرای فایل PHP را غیرفعال کنید!

روش دیگر برای تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوری‌هاست. مانند فایل‌های موجود در uploads در پوشه wp-content.

برای انجام اینکار می‌توانید یک ویرایشگر متن مانند ++Notepad باز کنید و کد زیر را در آن قرار دهید:

<Files *.php>	1
deny from all	2
</Files>	3

سپس، شما باید این فایل را به نام htaccess. ذخیره کنید و به صورت مستقیم یا با استفاده از سرویس FTP آن را در پوشه  wp-content / uploads / هاست خود بارگذاری کنید.

ضمنا اگر در آن پوشه از قبل فایلی با نام .htaccess وجود دارد، نیازی به ساخت مجدد این فایل نیست و فقط کافیست کدهای بالا را در آن فایل قرار دهید و ذخیره نمایید.

9. تعداد دفعات تلاش برای ورود به وردپرس را محدود کنید!

به طور پیش فرض، وردپرس به کاربران اجازه می‌دهد تا هر تعداد که می‌خواهند تلاش ناموفق برای ورود به سایت داشته باشند. این موضوع باعث می‌شود سایت وردپرس شما در برابر حملات brute force آسیب پذیر شود.

هکرها با تلاش‌ها زیاد برای ورود به سایت با ترکیبات مختلف گذرواژه، سعی می‌کنند رمزهای عبور را بشکنند. شما با محدود کردن تلاش‌های ناموفق برای ورود به سیستم، می توانید این مشکل را به راحتی برطرف کنید. البته امروزه بیشتر افزونه امنیتی وردپرس اینکار را برای شما انجام می‌دهند و نیازی به نصب افزونه جداگانه نیست. به هرحال شما می‌توانید برای محدود کردن تلاش‌های ناموفق در به سیستم از افزونه Login LockDown استفاده نمایید.

10. احراز هویت دو مرحله‌ای (Two Factor Authentication) را فعال نمایید!

با استفاده از روش احراز هویت دو مرحله‌ای شما می‌توانید بعد از گرفتن نام کاربری و پسورد، از کاربرانتان بخواهید برای ورود به سایت یک کد چند رقمی وارد کنند. در بسیاری از افزونه‌های امنیتی مانند وردفنس و iThemes Security این ویژگی وجود دارد که می‌توانید از آن استفاده کنید. البته افزونه Two Factor Authentication نیز می‌توانید به صورت جداگانه برای احراز هویت دو مرحله‌ای مورد استفاده قرار گیرد.

11. تغییر پیشوند جداول وردپرسی

به طور پیش فرض ، وردپرس از wp_  به عنوان پیشوند تمام جداول موجود در پایگاه داده شما استفاده می‌کند. به همین خاطر اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش‌فرض استفاده کند، حدس زدن نام جدول شما برای هکرها بسیار راحت است و می‌توانند به داده‌های شما در دیتابیس دسترسی پیدا کرده و آنها را تغییر دهند.

12. دسترسی به XML-RPC  را در وردپرس غیرفعال نمایید!

فایل XML-RPC به شما کمک می‌کند تا وردپرس را به برنامه‌های وب و تلفن همراه متصل کنید و از این طریق آن را مدیریت کنید. اگر شما نمی‌خواهید از طریق تلفن همراه اینکار را انجام دهید حتما دسترسی به XML-RPC را غیرفعال نمایید. چراکه وجود این قابلیت در وردپرس باعث می‌شود حملات بروت فورس راحت‌تر صورت گرفته و تعداد دفعات وارد کردن نام کاربری و رمز عبور توسط هکرها در سایت بیشتر شود و احتمال ورود آنها به سایت افزایش یابد.

برای غیرفعال سازی آن می‌توانید از افزونه Disable XML-RPC استفاده کنید و یا در فایل .htaccess هاستتان کد زیر را قرار دهید.

# Block WordPress xmlrpc.php requests	1
<Files xmlrpc.php>	2
order deny,allow	3
deny from all	4
allow from 123.123.123.123	5
</Files>	6

البته توجه داشته باشید بعضی از افزونه‌های امنیتی مانند وردفنس این قابلیت را در خود جای داده‎‌اند و از طریق آنها می‌توانید این دسترسی را غیرفعال کنید. پس ابتدا بررسی نمایید که آیا افزونه امنیتی شما این قابلیت را دارد یا خیر؟ اگر این قابلیت را نداشت سپس به سراغ نصب افزونه یا فایل.htaccess  بروید.

13. افزونه‌ها و پوسته‌های پولی را از سایت‌های معتبر تهیه کنید!

یکی از اشتباهات رایج و بسیار خطرناک تهیه افزونه‌ها و پوسته‌های پولی به صورت رایگان است. در بسیاری از اینگونه افزونه‌ها کدهای مخربی وجود دارد که می‌تواند سایت شما را به یکبار با مشکل جدی و حتی جبران ناپذیری مواجه کند. پس حتما ضمنا عدم استفاده از افزونه‌ها و پوسته‌های پولی به صورت رایگان، آنها را از سایت‌های معتبر مانند ژاکت تهیه نمایید.

14. آدرس ورود به پیشخوان وردپرس خود را تغییر دهید!

به طور پیش‌فرض در سایتهای وردپرسی آدرس ورود به پیشخوان www.example.com/wp-admin  است که باید حتما تغییر پیدا کند تا هکرها نتوانند به آن دسترسی داشته باشند.

برای تغییر این مسیر می‌توانید از افزونه iThemes Security استفاده کنید که علاوه بر تامین امنیت کامل سایت شما امکان تغییر مسیر آدرس ورود به پیشخوان وردپرس را برای شما مهیا می‌کند.

15. از شبکه انتقال محتوا (CDN) استفاده کنید!

یکی از روش‌ها مهم افزایش امنیت وردپرس و سایت شما استفاده از شبکه انتقال محتواست. این روش علاوه بر اینکه باعث افزایش امنیت در برابر حملات DDOS و بروت فورس می‌شود، می‌تواند سرعت سایت شما را به طرز چشم‌گیری افزایش دهد. امروزه سیستم‌های مدیریت محتوای مختلفی وجود دارند که بهترین آنها کلودفلر است که رایگان می‌باشد.

جهت دریافت اطلاعات بیشتر با ما در تماس باشید

منبع : همیار وردپرس