چک لیست جامع امنیت وردپرس 2023
با وجود اخطارهای زیاد جهت افزایش امنیت سایت، همچنان روزانه بیش از 5000 سایت هک میشود و تنها 14% سایتها اقدامات اولیه امنیتی را انجام دادهاند. اگر یک سایت وردپرسی دارید، همین حالا چک لیست امنیت ارائه شده را برای حفاظت سایت خود انجام دهید.
وردپرس یکی از CMSهای امن دنیاست و در هر بروزرسانی نیز حفرههای امنیتی شناسایی و برطرف میشوند. در کنار این حفرهها، هک سایت اغلب به خاطر ناآگاهی کاربران و دقت نکردن به موارد ساده امــا مهم است.
لیست اقدامات امنیت وردپرس
در این مقاله یک چک لیست امنیت شامل 40 راهکار عملی و تجربی را آماده کردهایم و نکات مهم برای حفاظت از حیاتیترین فایلها و پوشههای WP-Config، WP-Admin، WP-Content، دیتابیس، امنیت قالب، افزونهها و هاست را در ادامه آموزش میدهیم.
wp-config یکی از مهمترین فایلها در زمان نصب وردپرس است و جزئیات پیکربندی دیتابیس و سایر اطلاعات ضروری را شامل میشود. در این فایل اطلاعات مهمی مانند پیشوند جداول، نام کاربری و رمز عبور پایگاه داده، زبان وردپرس، کلیدهای امنیتی و… قرار گرفته است. اقدامات مورد نیاز برای اولین تیک چک لیست امنیت را مفصلا و به صورت تصویری در مقاله امنیت فایل wp-config بخوانید.
-
wp-config را به پوشه دیگری انتقال دهید
فایل wp-config.php به صورت پیش فرض در ریشه (root) قرار دارد. برای تغییر مکان این فایل کافیست روی فایل wp-config.php کلیک و گزینه Move را انتخاب کنید و فایل را به پوشه دیگر انتقال دهید.
-
مجوز دسترسی به فایل wp-Config را تغییر دهید
در سیپنل این امکان وجود دارد که مجوز دسترسی برای خواندن، نوشتن یا تغییر در فایلها را برای کاربران تعریف کنید. برای امنیت بیشتر دسترسی را روی خواندن قرار دهید تا کاربران نتوانند تغییری در فایلها ایجاد کنند. روی فایل wp-config.php راست کلیک کنید و Permission را روی Read فعال کنید.
-
کلیدهای امنیتی را تغییر دهید
کلیدهای امنیتی یا SALT وردپرس که به صورت خودکار در زمان نصب ایجاد میشوند را هر چند وقت یکبار عوض کنید؛ این کلیدها در فایل wp-config قرار دارند.
WP -Admin یا داشبورد مدیریت وردپرس محل مدیریت و انتشار نوشتهها، برگهها، نصب افزونه، مدیریت دیدگاهها، مدیریت کاربران و تنظیمات مختلف سایت است. در حفاظت از پیشخوان باید دقت زیادی کنید و اگر کسی به پیشخوان دسترسی داشته باشد، میتواند تمام بخشهای سایت را تغییر داده و خسارت جبران ناپذیری را به بارآورد.
-
احراز هویت دومرحلهای را فعال کنید
نام کاربری و رمز عبور مختص یک فرد است و نباید کسی به آن دسترسی داشته باشد. برای امنیت بیشتر ورود کاربران را دو مرحلهای کنید تا علاوه بر وارد کردن رمز عبور، کدی که به ایمیل یا تلفن همراهتان ارسال میشود، وارد کنید. با فعال کردن ورود دو مرحلهای اگر کسی به گوشی یا رمز عبور شما دسترسی داشته باشد، نمیتواند وارد پیشخوان سایتتان شود.
-
آدرس ورود به پیشخوان را تغییر دهید
یکی از راههای ورود هکرها به سایت wp-admin است. اولین اقدام محافظت از سایت، تغییر آدرس ورود به پیشخوان برای جلوگیری از نفوذ هکرهاست. برای این کار کافیست یک افزونه امنیتی مانند آیتم سکوریتی نصب کنید یا از هاستتان نام فایل wp-login.php را تغییر دهید.
مقاله پیشنهادی: تغییر آدرس ورود به پیشخوان وردپرس
-
تعداد ورود کاربران را محدود کنید
در حملات بروت فورس هکرها سعی میکنند نام کاربری و رمز عبور شما را حدس بزنند و وارد بخش مدیریت سایت شوند. برای اینکار با یک ربات، نام کاربریها و رمزهای مختلف را تست میکنند. با محدود کردن تعداد ورود کاربران اگر کاربر چند بار نام کاربری و رمزعبور را اشتباه وارد کند به صورت موقت یا دائم IP او مسدود میشود.
-
از نام کاربری و پسورد قوی استفاده کنید
کلماتی مانند admin یا test و رمز عبوری مانند 1234 بسیار ساده هستند و احتمال هک شدن سایت را بسیار بالا میبرد. رمز عبورد باید ترکیبی از حروف بزرگ و کوچک، اعداد و حروفی مانند # @ %%Amin&* باشد.
-
ورژن وردپرس را مخفی کنید
در ورژنهای وردپرس مشکلات امنیتی شناسایی و برطرف میشوند، هکرها با دانستن ورژن وردپرس و شناختن حفرههای امنیتی در هسته میتوانند سایتتان را هک کنند. اگر به هر دلیلی نمیخواهید وردپرس را بروز کنید بهتر است ورژن آنرا مخفی کنید.
-
Rest Api را غیرفعال کنید
REST API به برنامههای خارجی اجازه میدهد به دادههای وردپرس دسترسی داشته باشند. این ابزار به توسعه دهندگان امکان ادغام وردپرس با اپلیکیشن و وب سایتهای دیگر (third-party) را فراهم میکند. اگر نیاز به این قابلیت ندارید به راحتی و با افزونههای وردپرس REST API را غیرفعال کنید.
برای امنیت وردپرس نیاز نیست یک متخصص و یا برنامه نویس باشید. در چک لیست امنیت موارد سادهای مانند نصب نسخه اصلی و اقدامات ساده دیگر برای وردپرس وجود دارد که نیاز به صرف هزینه و زمان ندارند. نکاتی که در ادامه آموزش میدهیم به افزایش امنیت سایت کمک زیادی میکنند.
-
وردپرس را از سایت رسمی دانلود کنید
اگر کلمه دانلود وردپرس را سرچ کنید علاوه بر سایت wordpress.org نتایج دیگری هم میبینید. برای اطمینان از اینکه نسخه دستکاری شده وردپرس را دانلود نکنید و مشکلات امنیتی بعدی برای سایتتان ایجاد نشود، حتما وردپرس را از سایت وردپرس دانلود و نصب کنید.
-
وردپرس همیشه بروز کنید
آپدیت وردپرس با اینکه به راحتی از پیشخوان سایت امکان پذیر است اما 50% از سایتهای وردپرس بر روی نسخه قدیمی وردپرس اجرا میشوند و امنیت سایت به خطر میافتد. با هر بار انتشار نسخه جدید، حتما وردپرس را آپدیت کنید.
-
دسترسیها برای کاربران را محدود کنید
نقشهای کاربری در وردپرس مانند مدیر، نویسنده، مشترک و… سطح دسترسیهای متفاوتی دارند مثلا نویسنده امکان نوشتن و انتشار پستها را دارد و نمیتواند افزونهای نصب یا حذف کند و نقش مدیر امکان تغییر تمام بخشهای سایت را دارد. برای افزایش امنیت سایت همین الان یک قدم مهم در چک لیست امنیت بردارید و بررسی کنید چه تعداد کاربر با نقش مدیر دارید و دسترسیهایی که نمیشناسید را حذف کنید.
-
یک افزونه امنیتی نصب کنید
هر چند بسیاری از اقدامات امنیتی سایت را میتوانید، خودتان انجام دهید اما نیاز به یک سپر امنیتی قوی دارید که 24 ساعت شبانه روز از شما در برابر حملات هکرها محافظت کند. دو افزونه امنیتی Wordfence و Ithemes با جلوگیری از حملات بروت فورس، شناسایی و مسدود کردن IPهای مشکوک، شناسایی بدافزارها، احراز هویت دو مرحلهای، اجبار رمز عبور قوی، غیرفعال کردن آپلود کد و… تاثیر زیادی در امنیت سایت دارند.
افزونه وردفنس را با کد تخفیف WPPLUGIN30MAG دانلود کنید تا خیالتان راحت شود.
-
SSL را فعال کنید
با فعال کردن SSL یک اتصال امن بین شما و کاربران ایجاد میشود و افزایش اعتماد کاربران، افزایش امنیت و تاثیر مثبت در سئو را به همراه دارد. اگر سایت شما با نسخه http راهاندازی شده نگران نباشید، تبدیل http به https به سادگی انجام میشود.
-
ویرایش تم و پلاگینها را غیرفعال کنید
زمانی که امکان ویرایش قالب و افزونهها فعال باشد، هر کسی میتواند بدون محدودیت کدهایی اضافه یا حذف کند. برای غیر فعال کردن ویرایشگر پوسته و افزونه کافیست در فایل wp-config قابلیت DISALLOW_FILE_EDIT را true کنید.
-
به صورت دورهای رمز ورود به پیشخوان را تغییر دهید
علاوه بر استفاده از نام کاربری و رمز عبور قوی، به صورت دورهای نام کاربری و رمز عبورتان را تغییر دهید تا در صورتی که در سیستمهای دیگر وارد شدهاید، سایر افراد نتوانند به سایت شما دسترسی داشته باشند.
-
XML-RPC را غیرفعال کنید
XML-RPC به برنامههای شخص ثالث اجازه میدهد تا هر محتوایی را در سایت شما منتشر کنند، اما اگر این دسترسی به دست هکرها بیفتد به راحتی سایتتان هک میشود. در مقاله غیرفعال کردن XML-RPC را ببینید و یک اقدام مهم دیگر در چک لیست امنیت را برای سایتتان انجام دهید.
-
از Captch استفاده کنید
فعال بودن کپچا از پر شدن فرم توسط ربات و هکرها جلوگیری می کند. ارسال درخواستهای زیاد و پشت سر هم گاهی منجر به از کار افتادن سرور و در اصطلاح دان شدن سایت میشود بنابراین با فعال کردن کپچا مانع از هک صفحاتی مانند عضویت و فرمها شوید. ساخت گوگل کپچا به راحتی و با افزونههای وردپرس امکانپذیر است.
دیتابیس یا پایگاه داده با داشتن اطلاعات حیاتی یک سایت مانند اطلاعات کاربران، آدرسهای اینترنتی، پستها، صفحات، نظرات، فیلدهای سفارشی و… قلب تپنده یک سایت است. اگر از پایگاه داده وردپرس به درستی حفاظت نشود بهترین راه برای نفوذ هکرهاست.
-
پیشوند جداول را تغییر دهید
جداول وردپرس با پیشوند پیشفرض wp ساخته میشوند، هنگام نصب اولیه وردپرس امکان تغییر پیشوند جداول در وردپرس وجود دارد هرچند بعد از نصب نیز امکان تغییر آن وجود دارد.
-
روزانه از سایتتان بکاپ بگیرید
معمولا شرکتهای هاستینگ از سایتها روزانه یا هفتگی بکاپ میگیرند اما در صورتی که مشکلی ایچاد شود معلوم نیست که نسخهای که شرکتهای هاستینگ دارند سالم است یا خیر. برای اطمینان حتما از سایتتان بکاپ بگیرید تا در صورتی که مشکلی ایجاد شد به سرعت سایتتان را برگردانید. بکاپ گرفتن از سایت وردپرس از طریق پنل هاست و هم با استفاده از افزونهها امکان پذیر است.
وردپرس با داشتن قالبهای مختلف به طراحی سریع سایت کمک میکند، برای امنیت سایت از قالبهای مطمئن استفاده کنید تا زحمات شما برای طراحی سایت از بین نرود. در ادامه چند نکته مهم برای افزایش امنیت را ببینید.
-
قالب وردپرس را از منابع معتبر دانلود کنید
دلایل زیادی برای انتخاب قالب از یک سایت معتبر وجود دارد، قالب نال شده نسخه دستکاری شده از قالب اورجینال است که در خوشبینانهترین حالت لایسنس محصول برداشته میشود؛ اما اگر توسط یک هکر دستکاری شود حاوی کدهای مخرب و بدافزار یا تبلیغات مزاحم میشود. بهتر است با پرداخت هزینه و خرید قالب از یک سایت معتبر خیالتان از مشکلات بعدی راحت کنید. قالبهای نال شده حتی اگر نسخه سالم باشند شما به فایل بروزرسانی شده آن دسترسی ندارید.
-
قالب سایتتان را بروز کنید
قالبهای معتبر به طور مرتب توسط طراح و توسعه دهندگان برای رفع اشکالات، افزودن ویژگیهای جدید، رفع مسائل امنیتی و سازگار با نسخه های جدید PHP و وردپرس بروز میشوند. قالب سایتتان را بروزرسانی کنید تا مشکلات امنیتی بعدی ایجاد نشود.
-
قالبهای بدون استفاده را حذف کنید
این واقعیت را نمیتوان انکار کرد که فراوانی قالبها بسیار جذاب است و احتمالا بخواهید امکانات قالبهای مختلف را بررسی کنید. اگر چند قالب را نصب کردید و غیرفعال هستند، آنها را حذف کنید تا در را بروی هکرها ببندید. با جذف قالبهای بدون استفاده هاست شما فضای بیشتری خواهید داشت.
برای اضافه کردن امکانات جدید به سایت کافیست از میان چندین هزار افزونه یکی را انتخاب و نصب کنید. انتخاب افزونهها بر سلامت و عملکرد سایت تاثیر زیادی دارند و نیاز است نکات مهم در امنیت افزونهها را در سایتتان رعایت کنید.
نکته: تمام افزونههای سایت راست چین توسط واحد کنترل کیفی بررسی میشوند تا مشکلی برای امنیت سایت شما ایجاد نکنند.
-
افزونههای نصب شده را آپدیت کنید
افزونههای نصب شده بر روی سایتتان را بروزرسانی کنید. معمولا در نسخههای جدید علاوه بر رفع مشکلات سازگاری، مشکلات امنیتی هم شناسایی و برطرف میشوند.
-
افزونهها را از منابع معتبر دانلود کنید
خرید از سایتهای معتبر این اطمینان را میدهد افزونهای که دارید دستکاری نشده و دارای کدهای مخرب و تبلیغات مزاحم نیست. همچنین با داشتن محصولات اورجینال آخرین نسخه بروز شده محصولات را به همراه پشتیبانی آنها داردید.
-
جایگزینی افزونه ها قدیمی با افزونه های جدید
همیشه تاکید شده که افزونههایی با آخرین نسخه بروزرسانی شده را داشته باشید. افزونههایی که مدت ها بروز نشدهاند و در حال حاضر به آن ها نیاز ندارید، را حذف کنید. نسخه قدیمی این افزونهها را با افزونه مشابه جایگزین کنید.
انتخاب هاست امن برای سایت، یک فرآیند مهم در چک لیست امنیت است. میزبانی وب بر امنیت، در دسترس بودن و عملکرد سایت تأثیر مستقیمی دارد. همان طور که شما باید اقدامات امنیتی را برای سایتتان انجام دهید، شرکتهای هاستینگ هم باید امنیت سایت شما را تامین کنند و اینجاست که انتخاب هاست با کیفیت اهمیت زیادی دارد.
-
از یک شرکت مطمئن هاست بخرید
با انتخاب یک هاستینگ اشتباه تمام تلاش شما برای اقدامات امنیتی بینتیجه میشود. هنگام خرید هاست دقت کنید که شرکت هاستینگ اقدامات امنیتی را جدی بگیرد و افزونههای امنیتی مانند فایروال، CDN و آنتی ویروس را داشته باشند و قبل از اینکه شما بخواهید کاری کنید از سایت شما در برابر حملاتی مانند DDos و Brute-Force محافظت کند.
-
هاستینگ روزانه از سایت کاربران بگیرد
تهیه بکاپ از سایت اهمیت زیادی دارد و شرکتهای هاستینگ معمولا به صورت روزانه از سایتها بکاپ میگیرند تا در صورتی که مشکلی برای سرورها ایجاد شود دیتای کاربران را برگردانند. اگر شرکت هاستینگ یک بکاپ سالم از سایت داشته باشد، میتوانند هر لحظه سایت خود را به نسخه سالم برگردانند.
-
SSL رایگان ارائه دهد
در این چک لیست سئو در مورد اهمیت SSL و تاثیر بر اعتماد، امنیت و سئو را توضیح دادیم. هنگام انتخاب هاست با کیفیت دقت کنید که شرکتهای هاستینگ SSL رایگان ارائه دهند.
-
Firewall نرم افزاری و سخت افزاری قوی نصب کند
هنگام خرید یک هاست دقت کنید که فایروال نرمافزاری و سختافزاری را بر روی سرورهای خود فعال کنند. معمولا این ویژگی در معرفی امکانات یک شرکت هاستینگ توضیح داده شده است.
-
تنظیمات مختلف در هاست Cpanel فعال باشد
در پنل سی پنل دقت کنید که مواردی مانند Viruse Scanner و IP Block یا Mod Security فعال باشد.
-
آنتی اسپم و آنتی ویروس قوی داشته باشد
شرکتهای هاستینگ با فعال کردن نرم افزارهای مختلف برای جلوگیری از اسپم و ویروسها میتوانند تاثیر زیادی در جلوگیری از حملات هکرها داشته باشند.
-
از حملات Ddos جلوگیری کند
حملات Ddos ترافیک قابلتوجهی به سمت سایت قربانی ارسال میکنند و منابع سرور با کمبود فضا مواجه و سیستم از دسترس خارج میشود. برای جلوگیری از این حملات شرکتهای هاستینگ باید Anti Ddos داشته باشند.
-
در صورت امکان هاست اختصاصی خریداری کنید
بسیاری از کاربران به خاطر هزینه پایین هاستهای اشتراکی را خریداری میکنند ولی در این نوع هاست معمولا 5-6 تا سایت قرار گرفته و در صورتی که برای یکی از سایتها مشکلی ایجاد شود، ممکن سایت شما هم درگیر شده و هک شوید. بهتر است یک هاست اختصاصی بخرید تا علاوه بر امنیت سایتتان سرعت و عملکرد بهتری داشته باشد.
-
پشتیبانی قوی ارائه دهد
شاید بپرسید که پشتیبانی یک هاست چگونه در تامین امنیت موثر است؟ پشتیبانی تاثیر مستقیمی در امنیت ندارد اما باید مطمئن شوید در صورت بروز مشکل کسی پاسخگوی شما هست؟ آیا اقدامات خاصی برای برگرداندن سایت انجام میدهد؟ آیا یک تیم متخصص دارند که به سوالات شما پاسخ دهند یا خیر.
پوشه WP-Content یک پوشه اصلی در وب سایت وردپرس است و تمام فایلهای سایت را ذخیره میکند. محتوای این پوشه شامل فایلهای رسانه، پلاگینها و قالبهای نصب شده است. در چک لیست امنیت برای این پوشه اقدامات زیر را انجام دهید.
-
نام WP-Content تغییر و مخفی کنید
با توجه به اهمیت فایلهای موجود در wp-content بهتر است نام و محل این فایل را تغییر دهید تا هکرها به راحتی به این فایل دسترسی پیدا نکنند.
از اجرای فایل php جلوگیری کنید
در دایرکتوریهایی که نیازی به اجرای کدهای PHP نیست اجرای کد را غیر فعال کنید. به عنوان مثال در wp-content/uploads/. کد deny from all
را در فایل htaccess اضافه کنید. توضیحات بیشتر را در غیر فعال کردن Directory Browsing ببینید.
-
غیرفعال کردن Directory Browsing
اگر بعد از آدرس سایتتان /wp-content/uploads وارد کنید و پوشه های سایت نمایش داده شوند یک زنگ خطر برای امنیت سایت است. با فعال بودن دسترسی به این پوشه هکرها میتوانند اطلاعات بسیاری را در مورد قالب، افزونهها و کدهای وبسایت شما پیدا و حفرههای در سایتتان کشف کنند. برای غیرفعال کردن نمایش دایرکتوری در هاست سیپنل در قسمت advanced گزینه indexes را انتخاب کنید، تا تمام پوشهها و فایلهای موجود در public_html را ببینید. برای هر پوشه روی گزینه edit کلیک کنید و no indexing را انتخاب کنید.
امیدوارم مطالب گفته شده برای شما مفید باشد و با چک لیست امنیت وردپرس یک سایت قوی داشته باشید. در انتها تمام موارد برای افزایش امنیت سایت را در لینک زیر دانلود کنید و همیشه همراه تان داشته باشید.

من افزونه وردفنس رو نصب کردم
ولی مصرف منابعش به مقدار زیاد هست
میشه با گرفتن یک هاست خوب و بدون داشتن افزونه امنیت سایت رو تامین کرد.
مثل همین محدودیت هایی که با گذاشتن چند خط کد در بعضی از فایل ها اعمال میشه.
و مورد دوم کاش همه این کد ها رو در یک مقاله میگذاشتید و به صورت مفصل توضیح میدادید