وردپرس یکی از CMSهای امن دنیاست و در هر بروزرسانی‌ نیز حفره‌های امنیتی شناسایی و برطرف می‌شوند. در کنار این حفره‌ها، هک سایت اغلب به خاطر ناآگاهی کاربران و دقت نکردن به موارد ساده امــا مهم است.

لیست اقدامات امنیت وردپرس

در این مقاله یک چک لیست امنیت شامل 40 راهکار عملی و تجربی را آماده کرده‌ایم و نکات مهم برای حفاظت از حیاتی‌ترین فایل‌ها و پوشه‌های WP-Config، WP-Admin، WP-Content، دیتابیس، امنیت قالب، افزونه‌ها و هاست را در ادامه آموزش می‌دهیم.

•  wp-config را به پوشه دیگری انتقال دهید

فایل wp-config.php به صورت پیش فرض در ریشه (root) قرار دارد. برای تغییر مکان این فایل کافیست روی فایل wp-config.php کلیک و گزینه Move را انتخاب کنید و فایل را به پوشه دیگر انتقال دهید.

• مجوز دسترسی به فایل wp-Config را تغییر دهید

در سی‌پنل این امکان وجود دارد که مجوز دسترسی برای خواندن، نوشتن یا تغییر در فایل‌ها را برای کاربران تعریف کنید. برای امنیت بیشتر دسترسی را روی خواندن قرار دهید تا کاربران نتوانند تغییری در فایل‌ها ایجاد کنند. روی فایل wp-config.php راست کلیک کنید و Permission را روی Read فعال کنید.

• کلیدهای امنیتی را تغییر دهید

کلیدهای امنیتی یا SALT وردپرس که به صورت خودکار در زمان نصب ایجاد می‌شوند را هر چند وقت یکبار عوض کنید؛ این کلیدها در فایل wp-config قرار دارند.

•  احراز هویت دومرحله‌ای را فعال کنید

نام کاربری و رمز عبور مختص یک فرد است و نباید کسی به آن دسترسی داشته باشد. برای امنیت بیشتر ورود کاربران را دو مرحله‌ای کنید تا علاوه بر وارد کردن رمز عبور، کدی که به ایمیل یا تلفن همراه‌تان ارسال می‌شود، وارد کنید. با فعال کردن ورود دو مرحله‌ای اگر کسی به گوشی یا رمز عبور شما دسترسی داشته باشد، نمی‌تواند وارد پیشخوان سایتتان شود.

• آدرس ورود به پیشخوان را تغییر دهید

یکی از راه‌های ورود هکرها به سایت wp-admin است. اولین اقدام محافظت از سایت، تغییر آدرس ورود به پیشخوان برای جلوگیری از نفوذ هکرهاست. برای این کار کافیست یک افزونه امنیتی مانند آیتم سکوریتی نصب کنید یا از هاستتان نام فایل wp-login.php را تغییر دهید.

مقاله پیشنهادی: تغییر آدرس ورود به پیشخوان وردپرس

• تعداد ورود کاربران را محدود کنید

در حملات بروت فورس هکرها سعی می‌کنند نام کاربری و رمز عبور شما را حدس بزنند و وارد بخش مدیریت سایت شوند. برای این‌کار با یک ربات، نام کاربری‌ها و رمزهای مختلف را تست می‌کنند. با محدود کردن تعداد ورود کاربران اگر کاربر چند بار نام کاربری و رمزعبور را اشتباه وارد کند به صورت موقت یا دائم IP او مسدود می‌شود.

• از نام کاربری و پسورد قوی استفاده کنید

کلماتی مانند admin یا test و رمز عبوری مانند 1234 بسیار ساده هستند و احتمال هک شدن سایت را بسیار بالا می‌برد. رمز عبورد باید ترکیبی از حروف بزرگ و کوچک، اعداد و حروفی مانند # @ %%Amin&* باشد.

• ورژن وردپرس را مخفی کنید

در ورژن‌های وردپرس مشکلات امنیتی شناسایی و برطرف می‌شوند، هکرها با دانستن ورژن وردپرس و شناختن حفره‌های امنیتی در هسته می‌توانند سایتتان را هک کنند. اگر به هر دلیلی نمی‌خواهید وردپرس را بروز کنید بهتر است ورژن آنرا مخفی کنید.

• Rest Api را غیرفعال کنید

 REST API به برنامه‌های خارجی اجازه می‌دهد به داده‌های وردپرس دسترسی داشته باشند. این ابزار به توسعه دهندگان امکان ادغام وردپرس با اپلیکیشن‌ و وب سایت‌های دیگر (third-party) را فراهم می‌کند. اگر نیاز به این قابلیت ندارید به راحتی و با افزونه‌های وردپرس REST API را غیرفعال کنید.

• وردپرس را از سایت رسمی دانلود کنید

اگر کلمه دانلود وردپرس را سرچ کنید علاوه بر سایت wordpress.org نتایج دیگری هم می‌بینید. برای اطمینان از اینکه نسخه دستکاری شده وردپرس را دانلود نکنید و مشکلات امنیتی بعدی برای سایتتان ایجاد نشود، حتما وردپرس را از سایت وردپرس دانلود و نصب کنید.

•  وردپرس همیشه بروز کنید

آپدیت وردپرس با اینکه به راحتی از پیشخوان سایت امکان پذیر است اما 50% از سایت‌های وردپرس بر روی نسخه قدیمی وردپرس اجرا می‌شوند و امنیت سایت به خطر می‌افتد. با هر بار انتشار نسخه جدید، حتما وردپرس را آپدیت کنید.

• دسترسی‌ها برای کاربران را محدود کنید

نقش‌های کاربری در وردپرس مانند مدیر، نویسنده، مشترک و… سطح دسترسی‌های متفاوتی دارند مثلا نویسنده امکان نوشتن و انتشار پست‌ها را دارد و نمی‌تواند افزونه‌ای نصب یا حذف کند و نقش مدیر امکان تغییر تمام بخش‌های سایت را دارد. برای افزایش امنیت سایت همین الان یک قدم مهم در چک لیست امنیت بردارید و بررسی کنید چه تعداد کاربر با نقش مدیر دارید و دسترسی‌هایی که نمی‌شناسید را حذف کنید.

• یک افزونه‌ امنیتی نصب کنید

هر چند بسیاری از اقدامات امنیتی سایت را می‌توانید، خودتان انجام دهید اما نیاز به یک سپر امنیتی قوی دارید که 24 ساعت شبانه روز از شما در برابر حملات هکرها محافظت کند. دو افزونه امنیتی Wordfence و Ithemes با جلوگیری از حملات بروت فورس، شناسایی و مسدود کردن IPهای مشکوک، شناسایی بدافزارها، احراز هویت دو مرحله‌ای، اجبار رمز عبور قوی، غیرفعال کردن آپلود کد و… تاثیر زیادی در امنیت سایت دارند.

افزونه وردفنس را با کد تخفیف WPPLUGIN30MAG دانلود کنید تا خیالتان راحت شود.

•  SSL را فعال کنید

با فعال کردن SSL یک اتصال امن بین شما و کاربران ایجاد می‌شود و افزایش اعتماد کاربران، افزایش امنیت و تاثیر مثبت در سئو را به همراه دارد. اگر سایت شما با نسخه http راه‌اندازی شده نگران نباشید، تبدیل http به https به سادگی انجام می‌شود.

• ویرایش تم و پلاگین‌ها را غیرفعال کنید

زمانی که امکان ویرایش قالب و افزونه‌ها فعال باشد، هر کسی می‌تواند بدون محدودیت کدهایی اضافه یا حذف کند. برای غیر فعال کردن ویرایشگر پوسته و افزونه کافیست در فایل wp-config قابلیت DISALLOW_FILE_EDIT را true کنید.

• به صورت دوره‍ای رمز ورود به پیشخوان را تغییر دهید

علاوه بر استفاده از نام کاربری و رمز عبور قوی، به صورت دوره‌ای نام کاربری و رمز عبورتان را تغییر دهید تا در صورتی که در سیستم‌های دیگر وارد شده‌اید، سایر افراد نتوانند به سایت شما دسترسی داشته باشند.

•  XML-RPC را غیرفعال کنید

XML-RPC به برنامه‌های شخص ثالث اجازه می‌دهد تا هر محتوایی را در سایت شما منتشر کنند، اما اگر این دسترسی به دست هکرها بیفتد به راحتی سایت‌تان هک می‌شود. در مقاله غیرفعال کردن XML-RPC را ببینید و یک اقدام مهم دیگر در چک لیست امنیت را برای سایتتان انجام دهید.

• از Captch استفاده کنید

فعال بودن کپچا از پر شدن فرم توسط ربات و هکرها جلوگیری می کند. ارسال درخواست‌های زیاد و پشت سر هم گاهی منجر به از کار افتادن سرور و در اصطلاح دان شدن سایت می‌شود بنابراین با فعال کردن کپچا مانع از هک صفحاتی مانند عضویت و فرم‌ها شوید. ساخت گوگل کپچا به راحتی و با افزونه‌های وردپرس امکان‌پذیر است.

• پیشوند جداول را تغییر دهید

جداول وردپرس با پیشوند پیش‌فرض wp ساخته می‌شوند، هنگام نصب اولیه وردپرس امکان تغییر پیشوند جداول در وردپرس وجود دارد هرچند بعد از نصب نیز امکان تغییر آن وجود دارد.

• روزانه از سایتتان بکاپ بگیرید

معمولا شرکت‌های هاستینگ از سایت‌ها روزانه یا هفتگی بکاپ می‌گیرند اما در صورتی که مشکلی ایچاد شود معلوم نیست که نسخه‌ای که شرکت‌های هاستینگ دارند سالم است یا خیر. برای اطمینان حتما از سایتتان بکاپ بگیرید تا در صورتی که مشکلی ایجاد شد به سرعت سایتتان را برگردانید. بکاپ گرفتن از سایت وردپرس از طریق پنل هاست و هم با استفاده از افزونه‌ها امکان پذیر است.

•  قالب وردپرس را از منابع معتبر دانلود کنید

دلایل زیادی برای انتخاب قالب از یک سایت معتبر وجود دارد، قالب نال شده نسخه دستکاری شده از قالب اورجینال است که در خوشبینانه‌ترین حالت لایسنس محصول برداشته می‌شود؛ اما اگر توسط یک هکر دستکاری شود حاوی کدهای مخرب و بدافزار یا تبلیغات مزاحم می‌شود. بهتر است با پرداخت هزینه و خرید قالب از یک سایت معتبر خیالتان از مشکلات بعدی راحت کنید. قالب‌های نال شده حتی اگر نسخه سالم باشند شما به فایل بروزرسانی شده آن دسترسی ندارید.

• قالب سایتتان را بروز کنید

قالب‌های معتبر به طور مرتب توسط طراح و توسعه دهندگان برای رفع اشکالات، افزودن ویژگی‌های جدید، رفع مسائل امنیتی و سازگار با نسخه های جدید PHP و وردپرس بروز می‌شوند. قالب سایتتان را بروزرسانی کنید تا مشکلات امنیتی بعدی ایجاد نشود.

• قالب‌های بدون استفاده را حذف کنید

این واقعیت را نمی‌توان انکار کرد که فراوانی قالب‎‌‌ها بسیار جذاب است و احتمالا بخواهید امکانات قالب‌های مختلف را بررسی کنید. اگر چند قالب را نصب کردید و غیرفعال هستند، آن‌ها را حذف کنید تا در را بروی هکرها ببندید. با جذف قالب‌های بدون استفاده هاست شما فضای بیشتری خواهید داشت.

نکته: تمام افزونه‌های سایت راست چین توسط واحد کنترل کیفی بررسی می‌شوند تا مشکلی برای امنیت سایت شما ایجاد نکنند.

• افزونه‌های نصب شده را آپدیت کنید

افزونه‌های نصب شده بر روی سایتتان را بروزرسانی کنید. معمولا در نسخه‌های جدید علاوه بر رفع مشکلات سازگاری، مشکلات امنیتی هم شناسایی و برطرف می‌شوند.

• افزونه‌ها را از منابع معتبر دانلود کنید

خرید از سایت‌های معتبر این اطمینان را می‌دهد افزونه‌ای که دارید دستکاری نشده و دارای کدهای مخرب و تبلیغات مزاحم نیست. همچنین با داشتن محصولات اورجینال آخرین نسخه بروز شده محصولات را به همراه پشتیبانی آنها داردید.

• جایگزینی افزونه ها قدیمی با افزونه های جدید

همیشه تاکید شده که افزونه‌هایی با آخرین نسخه بروزرسانی شده را داشته باشید. افزونه‌هایی که مدت ها بروز نشده‌اند و در حال حاضر به آن ها نیاز ندارید، را حذف کنید. نسخه قدیمی این افزونه‌ها را با افزونه مشابه جایگزین کنید.

•  از یک شرکت‌ مطمئن هاست بخرید

با انتخاب یک هاستینگ اشتباه تمام تلاش شما برای اقدامات امنیتی بی‌نتیجه می‌شود. هنگام خرید هاست دقت کنید که شرکت هاستینگ اقدامات امنیتی را جدی بگیرد و افزونه‌های امنیتی مانند فایروال، CDN و آنتی ویروس را داشته باشند و قبل از اینکه شما بخواهید کاری کنید از سایت شما در برابر حملاتی مانند DDos و Brute-Force محافظت کند.

• هاستینگ روزانه از سایت کاربران بگیرد

تهیه بکاپ از سایت اهمیت زیادی دارد و شرکت‌های هاستینگ معمولا به صورت روزانه از سایت‎‌ها بکاپ می‌گیرند تا در صورتی که مشکلی برای سرورها ایجاد شود دیتای کاربران را برگردانند. اگر شرکت هاستینگ یک بکاپ سالم از سایت داشته باشد، می‌توانند هر لحظه سایت خود را به نسخه سالم برگردانند.

• SSL رایگان ارائه دهد

در این چک لیست سئو در مورد اهمیت SSL و تاثیر بر اعتماد، امنیت و سئو را توضیح دادیم. هنگام انتخاب هاست با کیفیت دقت کنید که شرکت‌های هاستینگ SSL رایگان ارائه دهند.

• Firewall نرم افزاری و سخت افزاری قوی نصب کند

هنگام خرید یک هاست دقت کنید که فایروال نرم‌افزاری و سخت‌افزاری را بر روی سرورهای خود فعال کنند. معمولا این ویژگی در معرفی امکانات یک شرکت هاستینگ توضیح داده شده است.

•  تنظیمات مختلف در هاست Cpanel فعال باشد

در پنل سی پنل دقت کنید که مواردی مانند Viruse Scanner و IP Block یا Mod Security فعال باشد.

• آنتی اسپم‌ و آنتی ویروس‌‌ قوی داشته باشد

شرکت‌های هاستینگ با فعال کردن نرم افزارهای مختلف برای جلوگیری از اسپم و ویروس‌ها می‌توانند تاثیر زیادی در جلوگیری از حملات هکرها داشته باشند.

• از حملات Ddos جلوگیری کند

حملات Ddos ترافیک قابل‌توجهی به سمت سایت قربانی ارسال می‌کنند و منابع سرور با کمبود فضا مواجه و سیستم از دسترس خارج می‌شود. برای جلوگیری از این حملات شرکت‌های هاستینگ باید Anti Ddos داشته باشند.

• در صورت امکان هاست اختصاصی خریداری کنید

بسیاری از کاربران به خاطر هزینه پایین هاست‌های اشتراکی را خریداری می‌کنند ولی در این نوع هاست معمولا 5-6 تا سایت قرار گرفته و در صورتی که برای یکی از سایت‌ها مشکلی ایجاد شود، ممکن سایت شما هم درگیر شده و هک شوید. بهتر است یک هاست اختصاصی بخرید تا علاوه بر امنیت سایتتان سرعت و عملکرد بهتری داشته باشد.

• پشتیبانی قوی ارائه دهد

شاید بپرسید که پشتیبانی یک هاست چگونه در تامین امنیت موثر است؟ پشتیبانی تاثیر مستقیمی در امنیت ندارد اما باید مطمئن شوید در صورت بروز مشکل کسی پاسخگوی شما هست؟ آیا اقدامات خاصی برای برگرداندن سایت انجام می‌دهد؟ آیا یک تیم متخصص دارند که به سوالات شما پاسخ دهند یا خیر.

• نام WP-Content تغییر و  مخفی کنید

با توجه به اهمیت فایل‌های موجود در wp-content بهتر است نام و محل این فایل را تغییر دهید تا هکرها به راحتی به این فایل دسترسی پیدا نکنند.

از اجرای فایل php جلوگیری کنید

در دایرکتوری‌هایی که نیازی به اجرای کدهای PHP نیست اجرای کد را غیر فعال کنید. به عنوان مثال در wp-content/uploads/. کد deny from all را در فایل htaccess اضافه کنید. توضیحات بیشتر را در غیر فعال کردن Directory Browsing ببینید.

• غیرفعال کردن Directory Browsing

اگر بعد از آدرس سایتتان /wp-content/uploads وارد کنید و پوشه های سایت نمایش داده شوند یک زنگ خطر برای امنیت سایت است. با فعال بودن دسترسی به این پوشه هکرها می‌توانند اطلاعات بسیاری را در مورد قالب، افزونه‌ها و کد‌های وب‌سایت شما پیدا و حفره‌های در سایتتان کشف کنند. برای غیرفعال کردن نمایش دایرکتوری در هاست سی‌پنل در قسمت advanced گزینه indexes را انتخاب کنید، تا تمام پوشه‌ها و فایل‌های موجود در public_html را ببینید. برای هر پوشه روی گزینه edit کلیک کنید و no indexing را انتخاب کنید.

امیدوارم مطالب گفته شده برای شما مفید باشد و با چک لیست امنیت وردپرس یک سایت قوی داشته باشید. در انتها تمام موارد برای افزایش امنیت سایت را در لینک زیر دانلود کنید و همیشه همراه تان داشته باشید.