۲۵ نکته طلایی برای ایجاد امنیت کامل در وردپرس

زمان انتشار:
تعداد بازدید: 49
دسته بندی ها: مقالات آموزشی
حالت تمام صفحه:

امنیت کامل در وردپرس

سلام دوستان؛
در عصر حاظر وجود وب‌سایت برای هر کسب‌و‌کاری لازم و ضروری است. وردپرس با فراهم آوردن محیط کار ساده و در عین حال بسیار کار آمد، نظر اکثر مدیران کسب‌و‌کار را به خود جلب کرده است. اما این استقبال گسترده از وردپرس برای راه‌اندازی وب‌سایت باعث شده تا نظر هکر‌ها نیز برای به چالش کشیدن آن جلب شود. بنابراین یکی از مهم‌ترین مسائل در سایت‌های وردپرسی بهبود مستمر امنیت آن است. مدیران وب‌سایت‌ها باید همواره در تلاش باشند تا امنیت وردپرس خود را افزایش دهند.

در این آموزش از وردپرس یاد قصد داریم درباره راهکار‌های افزایش امنیت در وردپرس صحبت نماییم.

چرا باید به فکر افزایش امنیت وردپرس باشیم؟

اگر به فکر ارتقا امنیت وردپرس خود نباشید، سایت شما در مقابل کوچکترین حمله هکر‌ها آسیب‌پذیر بوده و هکرها نیز فرصت خوبی پیدا می‌کنند تا اطلاعات کاربران شما را به سرقت برده و از آن سو‌ءاستفاده نمایند. در مواردی نیز ممکن است هکر کنترل کامل وب‌سایت وردپرسی شما را در دست گیرد و جهت بازگرداندن دوباره آن درخواست هزینه بسیار زیادی را نماید. هک وب‌سایت شما علاوه‌بر موارد بالا آسیب جدی به کسب‌و‌کار، اعتماد کاربران و شهرت شما وارد می‌کند.

ایجاد امنیت کامل در وردپرس با چند اقدام ساده

امنیت کامل وردپرس

برای ایجاد امنیت در سایت وردپرسی نیاز است تمامی مراحل زیر را با دقت انجام دهید تا سایت خود را در برابر حملات هکرها ایمن نگه‌ دارید تا فرصت کمتری برای حمله و نفوذ پیدا کنند.

 نکته: امنیت صرفا برای رفع خطا نیست بلکه گاهی برای کاهش خطا در سایت وردپرسی است.

۱- بروزرسانی مداوم وردپرس

وردپرس یک سیستم مدیریت محتوای محبوب بوده و به طور مداوم بروزرسانی می‌شود و با ارائه نسخه جدید ایرادات و مشکلات نسخه قبلی وردپرس برطرف می‌شود. همچنین امنیت این نسخه نسبت به سایر نسخه‌های قدیمی بالاتر است. در صورت وجود مشکل امنیتی در نسخه گفته شده، سریعا مشکل توسط توسعه‌دهندگان وردپرس برطرف و نسخه جدید منتشر می‌شود.

امنیت کامل وردپرس

۲- بروزرسانی افزونه و قالب وردپرس

با بروزرسانی مداوم قالب و افزونه‌های سایت  خود، از آسیب و مشکلات امنیتی وردپرس جلوگیری نمایید. همچنین اگر از افزونه‌ای در حال حاضر استفاده نمی‌کنید آن را فعلا حذف کنید.

امنیت کامل وردپرس

برای اطلاع از بروزرسانی افزونه‌ها، از بخش افزونه‌ها > افزونه‌های نصب شده، افزونه‌ای را که نیاز به آپدیت دارد را مشاهده کنید.

۳- استفاده از نام‌کاربری و رمزعبور قوی و پیچیده

استفاده نکردن از نام کاربری پیش‌فرض وردپرس

بسیاری از کاربران وقتی سایت وردپرسی خود را راه‌اندازی می‌کنند. نام‌کاربری پیش‌فرض وردپرس یعنی admin را تغیییر نمی‌دهند. امروزه اغلب هکر‌ها اولین نام‌کاربری که به ذهنشان خطور می‌کند، نام‌کاربری پیش‌فرض وردپرس است. پس توصیه می‌شود حتما برای امنیت وب‌سایت خود از نام‌کاربری دیگری استفاده کنید.

 نکته: بهترین نام‌کاربری در وردپرس آدرس ایمیل شما است. همچنین بهتر است با حرف بزرگ، یوزرنیم خود را آغاز کنید.

امنیت کامل وردپرس

استفاده از رمز عبور قوی

برای افزایش امنیت صفحه ورود وردپرس از رمز‌عبور قوی استفاده کنید. یکی از عواملی که می‌تواند در کاهش امنیت سایت شما تاثیر منفی بگذارد، رمز عبور است. اغلب هکرها رمز‌ عبور سست را زود تشخیص داده و به‌راحتی وارد سایت شما می‌شوند. برای جلوگیری از این‌ ضعف امنیتی ابتدا باید رمزعبور قوی ایجاد کنید که این رمز عبور باید تصادفی و متشکل از کاراکتر، عدد، حروف بزرگ، کوچک با حداقل ۱۵ کاراکتر باشد. سپس رمز عبور خود را مانند نام‌کاربری در جایی امن و دور از دسترس دوست، فامیل و…. قرار دهید. باید به طور مداوم رمز عبور خود را تغییر دهید تا هکران فرصت کمتری برای حدس رمزعبور پیدا کنند.

 نکته: به کمک سایت lastpass می‌توانید رمز عبور قوی برای خود ایجاد و ذخیره کنید.

۴- استفاده از احراز هویت

یکی از اقدامات خوب امنیتی غیر از نام‌کاربری و رمزعبور قوی، استفاده از احراز هویت است. به کمک احراز هویت می‌توانید از وب‌سایت خود در برابر نفوذ هکر‌ها محافظت کنید و امنیت سایت وردپرسی خود را افزایش دهید.

۵- محدود کردن دسترسی کاربر به سایت

برای جلوگیری از هک و به خطر افتادن امنیت وردپرس بهترین راه‌ این است که تمامی کسانی که به سایت شما دسترسی دارند نقش مدیرکل ندهید و با توجه به وظایف آن‌ها دسترسی‌های لازم را دهید حتی اگر بهترین دوست شما باشد.

نقش کاربران در سایت وردپرسی
برای تغییر نقش نیاز است به بخش کاربران در پیشخوان وردپرس خود مراجعه کنید و به‌جای نقش مدیرکل از  نویسنده، ویرایشگر و … استفاده کنید.

توجه: به‌یاد‌ داشته باشید که برای کاربران خود حتما از رمز‌عبور قوی استفاده کنید تا امنیت وردپرس به خطر نیفتد.

۶- استفاده از سوالات امنیتی در صفحه ورود سایت

مورد دیگری که در افزایش امنیت صفحه ورود وردپرس بسیار موثر است استفاده از سوالات امنیتی می‎باشد. با اضافه کردن سوالات امنیتی در صفحه ورود سایت خود می‌توانید از دسترسی داشتن افراد غیرمجاز به صفحه ورود جلوگیری کنید. با کمک افزونه WP Security Questions plugin می‌توانید سوالات امنیتی ایجاد کنید.

سوالات امنیتی وردپرس

۷- پیغام خطا ورود را تغییر دهید

امنیت کامل وردپرس

به‌طور پیش‌فرض اگر کاربری وارد سایت شما شود و اطلاعاتی مثل رمزعبور و یا نام‌کاربری را اشتباه وارد کند، وردپرس دقیقا اشتباه را خواهد گفت و این برای امنیت وردپرس شما اصلا خوب نیست. بهتر است کد زیر را در function.php قرار دهید تا کاربران در صورت اشتباه وارد کردن رمزعبور، “پیغام اطلاعات نادرست است” دریافت کند.

Function custom _ wordpress _ error _ message() {
	return 'That was not quite correct...';
}
add _filter( 'login _errors', 'custom _ wordpress _ error _message');

۸- اضافه کردن کلید امنیتی

کلید امنیتی اطلاعاتی که درون کوکی مرورگر ذخیره می‌شود را رمزگذاری می‌کند. به‌طور واضح‌تر یعنی از اطلاعات حساس و رمزعبور محافظت می‌کند و در wp-config.php ذخیره می‌شود.

define('AUTH_KEY', 'عبارت منحصر‌به‌فرد خود را در این قسمت قرار دهید')
define('SECURE_AUTH_KEY', 'عبارت خود را وارد کنید')
define('LOGGED_IN_KEY', 'عبارت مورد‌نظر خود را وارد کنید')
define('NONCE_KEY', 'عبارت خود را وارد کنید')
define('AUTH_SALT', 'عبارت خود را وارد کنید')
define('SECURE_AUTH_SALT', 'عبارت خود را وارد کنید')
define('LOGGED_IN_SALT', 'عبارت خود را وارد کنید')
define('NONCE_SALT', 'عبارت خود را وارد کنید')

برای اضافه کردن کد امنیتی تنها لازم است وارد wp-config.php شوید و کلید امنیتی خود را اضافه کنید.

البته دقت داشته باشید که کلید امنیتی برای هر شخص منحصر به فرد است. و شما باید کلید امنیتی مختص به وردپرس خود را داشته باشید. برای ایجاد و دریافت کلید امنیتی می‌توانید بر روی لینک زیر کلید کنید تا به سایت مقصد هدایت شوید.

 برای دریافت کلید امنیتی وردپرس کلیک کنید.

۹- بک‌آپ گیری و پشتیبانی مداوم از سایت وردپرس

بک‌آپ گیری از وب‌سایت اولین راه‌ برای مقابله در برابر حملات و حفظ امنیت وردپرس می‌باشد. بهتر است به‌طور مرتب از وب‌سایت وردپرسی خود پشتیبان بگیرید که این‌کار هم به صورت دستی و هم به کمک افزونه‌های رایگان و پولی انجام می‌شود. در صورت وجود مشکل در افزونه، قالب و یا حتی آپدیت وردپرس به کمک بک‌آپ‌گیری می‌توانید تمامی اطلاعات سایت‌وردپرسی خود را بدون وجود مشکلی بازگردانید.

امنیت کامل وردپرس

 نکته: وقتی از سایت وردپرس خود بک‌آپ گرفتید آن را در جایی امن مانند ابزار  Dropbox ، گوگل درایو یا آمازون و… قرار دهید.

 نکته: برای بک‌آپ‌گیری از سایت خود می‌توانید از افزونه‌هایی مانند Updraft Plus و یا BakupBuddy استفاده کنید.

علت پشتیبان‌گیری از وب‌سایت

  • ایجاد مشکل در اثر بروزرسانی‌ها
  • وجود نقص امنیتی
  • هک شدن
  • وب‌سرور نا‌امن
  • و ….

۱۰- استفاده از افزونه‌های افزایش امنیت وردپرس

پس از پشتیبان‌گیری، برای حفاظت از وب‌سایت، نظارت کامل بر روی سایت‌ وردپرسی مانند تمام فایل‌ها، تلاش برای ورود به سیستم و اسکن بدافزار‌ها و … نیاز به افزونه امنیتی خوب است که افزونه sucuri scanner، ithemes و یا wordfence از بهترین افزونه‌های برقراری امنیت در وردپرس است.

۱۱- محدود کردن دسترسی به فایل‌های  PHP

برای افزایش امنیت وردپرس خود می‌توانید دسترسی کاربران به فایل‌های PHP را محدود کنید و با اضافه کردن کد زیر از کد‌های PHP  خود محافظت کنید.

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

۱۲- جلوگیری از اجرا شدن فایل‌های PHP

برای جلوگیری از اجرا شدن فایل‌های PHP به پوشه uploades در مسیر wp-content/uploades مراجعه کرده و کد زیر را وارد کنید تا به هکرها اجازه اجرا کردن کد‌های مخرب را ندهد.

<Directory "/var/www/wp-content/uploads/">
    <Files "*.php">
    Order Deny,Allow
    Deny from All
    </Files>
</Directory>

و یا کد زیر را قرار دهید:

deny from all

سپس این فایل را تحت عنوان htaccess ذخیره کنید و آن را در wp-content/uploads/folders آپلود کنید.

۱۳- حفاظت از wp-config.php

یکی از مهم‌ترین فایل‌های آسیب‌پذیر در وب‌سایت شما فایل wp-config.php است که اطلاعات مهم در هنگام نصب وردپرس را در خود نگه‌داری می‌کند. برای حفاظت از این فایل بهتر است جای آن را عوض کنید تا هکرها این فایل را پیدا نکنند و امنیت وردپرس شما به مشکل نخورد.

۱۴- غیرفعال‌سازی ویرایشگر فایل  وردپرس

اگر کاربران به داشبورد دسترسی داشته باشند قادر به ویرایش فایل‌های افزونه، قالب روی وردپرس هستند ولی اگر ویرایش فایل را غیرفعال کنید حتی اگر هکر دسترسی مدیر هم داشته باشد نمی‌تواند آن را ویرایش کند. برای این‌کار نیاز است وارد فایل wp-config.php شوید و کد زیر را وارد کنید.

define (DISALLOW_FILE_EDIT,'true');

۱۵- تغییر URL وب‌سایت وردپرسی

همانطور که می‌دانید برای ورود به صفحه وردپرس می‌توانید از طریق wp-login.php و یا wp-admin که پیش‌فرض وردپرس است استفاده کنید ولی برای جلوگیری از حملات هکر‌ها، جلوگیری از ورود افراد غیرمجاز می‌توانید آدرس url خود را تغییر دهید. به طور مثال:

  • wp-login.php به چیز خاصی مانند my-new-login
  • wp-admin به مورد منحصربه فردی مثل my-new-admin
  • و …

۱۶- حفاظت از پوشه wp-admin

یکی از بخش‌های جذاب از دید هکرها بخش داشبورد وردپرس شما است. اگر هکر به این بخش حمله کند به سایت وردپرسی شما آسیب جدی وارد می‌شود پس باید از آن با روش‌های زیر حفاظت کنید:

  • حفاظت از صفحه ورود به سیستم
  • محدود کردن دسترسی کاربران
  • و …(بازدید شود از سایت)

۱۷- حذف نسخه وردپرس استفاده شده

هرکسی وارد سایت وردپرسی شما شود می‌تواند به راحتی نسخه وردپرسی که استفاده می‌کنید را مشاهده کند. پس بهتر است برای جلوگیری از حمله هکرها، نسخه وردپرس خود را مخفی کنید. برای مخفی کردن آن افزونه‌های زیادی وجود دارد ولی اگر قصد دارید به‌صورت دستی این‌کار را انجام دهید کافی است کد زیر را در function.php قرار دهید:

// حذف نسخه وردپرس از head
remove_action('wp_head', 'wp_generator');

// حذف نسخه وردپرس از rss
add_filter('the_generator', '__return_empty_string');

// حذف نسخه وردپرس از Script و Styles
function shapeSpace_remove_version_scripts_styles($src) {
	if (strpos($src, 'ver=')) {
		$src = remove_query_arg('ver', $src);
	}
	return $src;
}
add_filter('style_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);

۱۸- انتخاب میزبان مناسب برای وب‌سایت

سرویس میزبانی هاست نقش بسیار مهمی در امنیت سایت وردپرسی شما دارد. با انتخاب درست هاست، می‌توانید از سرور در برابر تهدید هکر‌ان محافظت کنید. در نتیجه هاست مناسب را از شرکت‌های معتبر تهیه کنید. امکانات یک میزبان مناسب به صورت زیر است:

  • بک‌آپ‌گیری از سایت به‌طور خودکار
  • بروزرسانی خودکار وردپرس
  • تنظیمات امنیتی پیشرفته برای حفاظت از سایت
  • و …

۱۹- فعال کردن فایروال و اسکن امنیتی (WAF)

ساده‌ترین راه برای حفاظت از وب‌سایت و افزایش امنیت وردپرس، WAF است که می‌تواند ترافیک‌های مخرب را قبل از رسیدن به وب‌سایت متوقف کند. بهترین افزونه‌های رایگان برای فایروال wordfence، ithemes و sucuri است.

امنیت کامل وردپرس

۲۰- دانلود پلاگین، وردپرس، قالب از منابع شناخته شده

یکی ازمشکلات اغلب کاربران این است که افزونه‌های سایت خود را از منابع نامعتبر تهیه می‌کنند و با مشکلات زیادی مواجه می‌شوند. پس اگر قصد دارید افزونه‌ای را بر روی سایت خود نصب کنید از مخزن وردپرس و یا سایت‌های معتبر اقدام کنید.

 نکته: فراموش نکنید بک‌آپ را قبل از نصب یا بروزرسانی هر فایل در وردپرس خود بگیرید تا در صورت مشکل بتوانید اطلاعات خود را بازگردانید.

۲۱- محدودکردن ورود بیش‌از‌حد به وب‌سایت

یکی از بهترین راه‌ها برای افزایش امنیت وردپرس محدود کردن دسترسی افراد به سایت است. همانطور که می‌دانید وردپرس به‌طور پیش‌فرض امکان وارد کردن چندین بار رمز و نام‌کاربری را به کاربران می‌د‌هد. ولی ممکن است هکری وارد سایت شما شود و با چندین بار امتحان، رمز و نام‌کاربری کاربران شما را حدس بزند و به سایت شما آسیب وارد کنند.
برای جلوگیری از این‌کار لازم است تلاش برای ورود کاربران به سایت را محدود کنید. که با کمک افزونه فایروال و در غیر این صورت افزونه Login Lockdown این‌کار به سادگی انجام می‌شود.

۲۲- تغییر پیشوند پایگاه داده وردپرس

وردپرس به‌طور پیش‌فرض از پیشوند wp برای جداول دیتابیس وردپرس خود استفاده می‌کند ولی در نظر داشته باشید که استفاده از این پیشوند باعث می‌شود هکرها به آسانی نام جدول شما را حدس بزنند و حملات SQL رخ دهد. پس برای بهبود امنیت سایت بهتر است آن‌را به mywp، wpnew و … تغییر دهید.

 نکته: اگر با مهارت کدنویسی آشنایی ندارید، این قسمت را دستکاری نکنید زیرا ممکن است سایت شما به مشکل برخورد.

۲۳- استفاده از SSL در وردپرس

به کمک SSL می‌توانید اطلاعات بخش مدیریت خود را رمز‌گذاری کنید و از پنل مدیریت خود محافظت کنید. SSL علاوه بر افزایش امنیت وردپرس، باعث افزایش رتبه‌بندی گوگل هم می‌شود.

 نکته: گوگل به سایت‌هایی که از گواهی SSL  استفاده می‌کنند ارادت زیادی دارد. داشتن این گواهی، به بهبود رتبه‌بندی سایت شما در گوگل بسیار کمک می‌کند و باعث می‌شود تا ترافیک بیشتری دریافت کنید. حالا اگر دوست داشتید استفاده نکنید. 😆

۲۴- غیرفعال کردن XML-PRC در وردپرس

XML-PRC به‌طور پیش‌فرض بر روی وردپرس فعال است و به شما این امکان را می‌دهد تا سایت خود را به تلفن‌همراه و یا هر برنامه دیگری متصل کنید.
فرض کنید هکری قصد دارد ۵۰۰ بار رمزعبور متفاوتی را در وب‌سایت شما امتحان کند یعنی ۵۰۰ بار تلاش مجدد برای ورود به سایت که توسط افزونه‌های ورود به سیستم قفل می‌شود ولی با کمک XML-PRC یک هکر می‌تواند از توابع System.multicall برای تست رمز عبور ۲۰ یا ۵۰ درخواست به سایت ارسال کند. پس اگر از XML-PRC استفاده نمی‌کنید توصیه می‌شود آن را غیرفعال کرده و امنیت وردپرس خود را حفظ کنید.

۲۵- خروج خودکار کاربران را بعد از مدت زمان مشخص از سایت

گاهی اوقات وقتی کاربران وارد سایت وردپرسی شما می‌شوند. پس از مدت زمان کوتاهی کامپیوتر خود را ترک می‌کنند که این یک مشکل بزرگ امنیتی است. در این زمان سودجویان از فرصت استفاده می‌کنند و در بهترین‌ حالت رمز عبور سایت کاربر را تغییر می‌دهند و در غیر این صورت تغییراتی در حساب کاربر ایجاد می‌کنند.
بهترین کار ممکن این است که بعد از چند دقیقه، کاربر به‌طور خودکار از سایت خارج شود تا مشکلات امنیتی کاهش یابد که با کمک افزونه Idle User Logout این‌کار به آسانی انجام می‌شود.

بازسازی سایت وردپرس هک شده

کاربران وردپرس بک‌آپ‌گیری از سایت را تا زمانی که سایت وردپرسی‌شان هک نشده جدی نمی‌گیرند. بازگردانی یک سایت هک شده کار بسیار سخت و پیچیده‌ای است و بهتر است به فردی حرفه‌ای این‌کار واگذار کنید تا هکر‌ها مجددا نتوانند وارد سایت شما شوند.

جمع بندی نهایی

همانطور که متوجه شدید افزایش امنیت وردپرس بسیار پر‌اهمیت است و همواره هکرها سعی در نفوذ سایت شما دارند و اگر به طور مرتب از سایت خود بک‌آپ نگیرید ممکن است مشکلات غیرقابل جبرانی برای سایت شما اتفاق بیفتد.

امیدوارم از این آموزش راضی بوده باشید. لطفا نظرات خود را با ما در میان بگذارید…

درباره نویسنده

24 نوشته تا کنون
فارغ‌التحصیل رشته علوم کامپیوتر
موفقیت در این نیست که چه چیزی در پیش رو داریم، موفقیت در این است که چه چیزی در پشت سر به جا می‌گذاریم :)

پاسخ دهید

دیدگاه شما برای ما ارزشمند است. در کمترین زمان ممکن به آن پاسخ خواهیم داد.

دیدگاه های این نوشته

دیدگاهی برای این نوشته وجود ندارد.