اگر قصد انتخاب وردپرس را دارید اما برای امنیت شک دارید؛ نگران نباشید هر سال توسعه دهندگان وردپرس از سراسر دنیا بر روی امنیت وردپرس و کشف حفره های امنیتی کار می کنند همچنین راهکارهای بسیار ساده ای وجود دارد که به افزایش امنیت وردپرس کمک می کند و مانع از حملات احتمالی هکرها شوید.
سایت های معروفی با وردپرس ساخته شده اند شما هم به وردپرس اعتماد کنید و به جمع 43 درصد سایت های طراحی شده با وردپرس بپیودندید. در این جا قصد داریم به آموزش امنیت وردپرس، با ارائه یک چک لیست کامل بپردازیم.
روش های افزایش امنیت وردپرس
ما به شما کمک می کنیم تا با انجام دادن راه هایی ساده بتوانید امنیت وردپرس خود را افزایش دهید، تا انتهای مقاله همراه ما باشید:
1- نصب وردپرس از سایت مرجع
فایل وردپرس را حتما از سایت اصلی وردپرس با آدرس wordpress.org دانلود کنید. برخی از مواردی که باعث هک وبسایت می شود نصب نسخه دانلود شده وردپرس از سایر سایت هاست و ممکن است فایل دستکاری شده باشد.
2- محدودیت دسترسی برای کاربران با ایجاد نقش کاربری متفاوت
در وردپرس امکان ایجاد نقش های کاربری متفاوت با میزان دسترسی های متفاوت را دارید فقط به مدیران که واقعا نیاز به دسترسی به مدیریت را دارند نقش admin را بدهید، احتمال دستکاری سایت و ورود هکرها به پیشخوان را کاهش دهید.
3- امنیت صفحه لاگین با راهکارهای متنوع
یکی از مهمترین قسمت ها در افزایش امنیت وردپرس جلوگیری از ورود هکرها و تضمین امنیت صفحه ورودتان است برای این قسمت مراحل زیر را انجام دهید:
یکی از مواردی که همواره باید بررسی کنید، امنیت سایت است. برای چک کردن امنیت سایت ابزار های آنلاین وجود دارد که می توانید در مقاله
تست امنیت سایت، آن ها را مشاهده کنید.
– به هیچ وجه از نام کاربری admin استفاده نکنید!
هکرها با دانستن uername یک مرحله جلو می افتند و نیاز به پیدا کردن password دارند اگر نام کاربری admin استفاده کرده اید قبل از خواندن ادامه روش های افزایش امنیت وردپرس حتما به پیشخوان تان برگردید و نام کاربری تان را تغییر دهید.
– از رمز های قوی و پیچیده استفاده کنید
استفاده از رمز قوی نه تنها برای افزایش امنیت وردپرس که برای امنیت سایت همه انواع پلتفرم ها اهمیت دارد. هکر ها وب سایت هایی با کلمات کلیدی آسان و قابل حدس را در اولویت خود قرار می دهند رمز عبور شما باید ترکیبی از اعداد، حروف بزرگ و کوچ و کاراکتر باشد البته از نام شرکت و یا اسامی قابل حدس مانند P@ssw0rd استفاده نکنید. استفاده از پلاگین Force Strong Passwords می تواند به شما در تولید رمزعبور های قدرتمند کمک کند.
– احرا هویت دو مرحله ای را فعال کنید
در احراز هویت دو مرحله ای کاربران باید ورودشان را با یک روش دیگر تایید کنند مثلا ابتدا شماره موبایل را وارد می کنند سپس رمز عبور یکبار مصرف برای ان ها پیامک یا ایمیل می شود برای ورود دو مرحله ای ابزارهای زیادی وجود داد مثلا با افزونه دیجیتس ثبت نام و ورود کاربر با شماره موبایل انجام می شود( می توانید سری به آموزش دیجیتس بزنید و نحوه فعالسازی را ببیند) برای تایید اعتبار دوسطحی یا 2AF، از پلاگین های بسیار زیادی می توانید استفاده کنید که برخی از این موارد عبارتند از: iThemes Security, Google Authenticator for WordPress, Duo Two-Factor Authentication و یا افزونه رایگان WP Google Authenticator استفاده کنید.
– حذف اکانت های پیش فرض
معمولا با نصب برخی قالب های وردپرس و درون ریزی کامل دمو تعدادی کاربر پیش فرض وجود دارد پیشنهاد می شود برای افزایش امنیت وردپرس اکانت های پیش فرض را حذف کنید.
– تعداد دفعات ورود را محدود کنید
برخی از هکر ها بعد از رسیدن به صفحه ورود شما، شروع به تست انواع رمز با ربات ها می کنند علاوه بر استفاده از کپچا با محدودیت در تعداد ورود می توانید مانع از عملکرد این ربات ها شوید.
از آنجایی که هر شخصی با آدرس ip خاصی به سایت شما مراجعه می کند، با استفاده از پلاگین هایی مانند Login Lockdown و Limit Login Attempts می توانید این آدرس ها را در لیست سیاه خود قرار دهید و یا مسدودشان کنید.
با محدود کردن تعداد دفعات ورود از لو رفتن نام کاربری و رمز عبورتان جلوگیری کنید.
– استفاده از کپچا
استفاده از CAPTCHA که در ورژن بالاتر ریکپچا reCaptcha نامیده می شود، از حمله هکرها جلوگیری می کند. در این روش علاوه بر کادر نام کاربری و رمز عبور، از کادری برای وارد کردن اعداد و یا حروف استفاده می کنید که احتمالا این موارد را در قسمت کامنت های سایت های دیگر دیده باشید استفاده از کپچا و ریکپچا کمک می کند شما به عنون یک انسان شناخته شده شوید نه یک ربات و مانع از حملات sql injecton می شود همین اقدام ساده به بالا بردن امنیت وردپرس کمک می کند.
برای امنیت صفحه لاگین شما می توانید افزونه آیتم سکیورتی را نصب کنید.
4- غیر فعال کردن ویرایشگر افزونه و پوسته در وردپرس
در ادامه آموزش امنیت وردپرس به نحوه ویرایش قالب و افزونه ها از طریق پیشخوان می رسیم البته فعال بودن این گزینه هم ممکن است برای شما دردسر ساز باشد ویرایشگر افزونه و قالب را به صورت پیش فرض غیر فعال کنید و زمانی که نیاز داشتید این امکان را فعال کنید. برای غیر فعال کردن ویرایشگر قالب و افزونه کافیست کد زیر را به فایل wp-config اضافه کنید
define( 'DISALLOW_FILE_EDIT', true );
5- غیر فعال کردن اجرای فایل PHP برای افزایش امنیت وردپرس
از آنجایی که وردپرس با php نوشته شده هکرها می توانند کدهای تخریبی را با این زبان نوشته و به سایت اضافه کنند برای غیر فعال کردن اجرای فایل های php به بالا بردن امنیت سایت وردپرس برای این کاربرای این کار کدهای زیر را به .htaccess اضافه کنید
<Files *.php>
deny from all
</Files>
6- تغییر پیشوند جدول های وردپرس
هنگام نصب وردپرس از به صورت پیش فرض پیشوند جدول ها را wp- قرار می دهد استفاده از پیشوند پیش فرض، وبسایت شما را در قبال حملات sql injection آسیب پذیر میکند. این حمله را میتوان با عوض کردن پیشوند wp- به چیز دیگری مانند mywp- و wpnew- و … کنترل و پیشگیری کرد.
اگر الان وبسایت وردپرسی خود را با پیشوند پیش فرض نصب کرده اید، می توانید از این افزونه هایی مانند WP-DBManager و Itheme Security استفاده کنید (حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ بگیرید)
7- حذف افزونه های اضافی و بدون استفاده وردپرس
نصب افزونه های زیاد علاوه بر اینکه سایت را سنگین می کند و سرعت سایت را کاهش می کند می تواند بر روی امنیت هم تاثیر بگذازد به خصوص افزونه های نال شده و یا افزونه هایی که از تاریخ آپدیت شان زمان زیادی می گذرد. برای بالا بردن امنیت سایت افزونه هایی که نصب دارید را بررسی کنید و موارد بی استفاده را حذف کنید. برای نصب افزونه های جدید ابتدا تحقیق کنید و امنیت آن را بررسی کنید و ببینید آیا نسخه به روز رسانی ارایه کرده است یا خیر که در آینده با این پلاگین به مشکل بر نخورید و چند پلاگین را برای یک کار مشابه نصب کنید.
8- آپدیت قالب، پلاگین ها و وردپرس
یکی از مهمترین و راحت ترین اقدامات برای افزایش امنیت وردپرس آپدیت وردپرس و به روزرسانی افزونه و قالب های وردپرس است. وردپرس مدام در حال بروز رسانی و شناسایی حفره های امنیتی است به خصوص که در نسخه اخیر با نام Arturo تعداد 500 بهبود و 400 باگ رفع شدند. آپدیت وردپرس به صورت خودکار از پیشخوان وردپرس قابل انجام است.
9 – نصب قالب و افزونه های معتبر
از نصب افزونه های نال شده جدا پرهیز کنید و از سایت های معتبر مانند راست چین افزونه و قالب ها را دانلود و نصب کند تا علاوه بر کیفیت محصولات از آپدیت و امنیت محصولات مطمئن شوید.
10- انتخاب یک هاست قوی
متاسفانه بیشتر صاحبان کسب و کار به دنبال هزینه های کم برای سایت خود هستند و توجهی به امنیت هاست ندارد هر چند صرفا قیمت بالا تضمین امنیت سایت نیست اما معمولا هاست های ارزان قیمتی که به درستی پیکربندی نشده اند امنیت سایتت را به خطر می اندازند با خرید یک هاست مطمئن خیالتان از بسیاری از مشکلات راحت می شود و صرف کمی هزینه بیشتر به افزایش امنیت وردپرس کمک زیادی می کند.
امنیت هاست مهمترین قدم در بالا بردن امنیت سایت است در راهنمای انتخاب هاست معیارها و نکات مهم برای خرید هاست را بخوانید.
11- استفاده از افزونه های امنیتی
همیشه یک راه حل برای انجام یک کار این است که کار را به کاردان بسپارید با افزونه های امنیتی وردپرس مانند Wordfence و iThemes Security اقداماتی مانند اسکن سایت، ساخت رمز عبور قوی، شناسایی اسپم ها، ایجاد فایروال، بلاک آی پی های مشکوک، محافظت از سایت در برابر بدافزار ها، تهیه بک آپ از دیتابیس، ورود دو مرحله ای و… به صورت خودکار انجام می شوند.
افزونه امنیتی وردفنس هم امنیت سایت وردپرس را تضمین می کند.
هر دو افزونه آیتم سکیورتی وردفنس دارای امکانات کاملی هستند به همین دلیل کاربران همیشه بین انتخاب این دو افزونه مردد هستند پیشنهاد می کنیم مقایسه Wordfence با iThemes Security را مطالعه کنید تا خودتان یکی را انتخاب کنید.
نصب افزونه های امنیتی را جدی بگیرید آموزش کار با افزونه وردفنس و آموزش افزونه آیتم سکوریتی را در وبلاگ راست چین مطالعه کنید.
12- افزایش امنیت پایگاه داده وردپرس
قلب حیاتی یک وب سایت که همواره مورد توجه هکرها قرار می گیرد دیتابیس است کارهایی مانند پنهان کردن دیتابیس، تغییر پیشوند دیتابیس، پنهان کردن دیتابیس و استفاده از نام کاربری و رمز عبور قوی از جمله مواردی است که در امنیت دیتابیس باید به آن ها توجه کنید اگر تمامی موارد برای بهینه سازی دیتابیس وردپرس را رعایت کنید به امنیت سایت وردپرس نزدیک می شوید.
با سایر روش ها برای افزایش امنیت پایگاه داده وردپرس آشنا شوید
نکته: ما در راست چین انواع روش های هک سایت و راه های مقابله با آن ها صحبت کردیم با خواندن مقالات زیر با انواع حمله آشنا شوید و سایتتان را در برار حملات مختلف ایمن کنید.
انواع حملات هکرها
13- تغییر آدرس صفحه ورود
یکی دیگر از مواردی که سایت ها اغلب به آنها توجه نمی کنند آدرس URL صفحه ورود است. بسیاری از هکر ها با زدن عبارت wp-admin یا اضافه کردن عبارت wp-login.php وارد صفحه ورود می شوند و شروع به وارد کردن رمز های احتمالی می کنند به آسانی با تغییر آدرس صفحه ورود وردپرس یک گام مهم برای افزایش امنیت سایت وردپرس بردارید.
افزونه آیتم سکوریتی اعتبار دو سطحی، امنیت رمز عبور، کپچای گوگل و تغییر آدرس ورود را فراهم می کند.
14- حفاظت از فایل Wp-config.php و htaccess
شما باید از فایل wp-config و htaccess بخوبی محافظت کنید چرا که این فایل تمامی اطلاعات محرمانه شما در باره سایت شما را در بر دارد و منظور ما از حفظ امنیت آن، حفاظت از هسته و تامین امنیت وردپرس است تا هکر ها به راحتی نتوانند به سایت شما دسترسی داشته باشند.
در مقاله افزایش امنیت وردپرس با فایل wp-config.php راهکارهای اساسی حفظ امنیت را ببینید
کد زیر هم دسترسی به فایل wp-config را امن می کند.
<files wp-config.php>
order allow,deny
deny from all
</files>
کد زیر هم مانع دسترسی به فایل htaccess می شود
<files .htaccess>order allow,denydeny from all</files>
این کار مانع از دسترسی به این فایل ها می شود و به افزایش امنیت سایت وردپرس کمک می کند.
15- از SFTP امن استفاده کنید
FTP با همان File Transfer Protocol همان پروتکل انتقال اطلاعات است که برای انتقال اطلاعات با سرعت بالا استفاده می کنیم، ولی بهتر است از نسخه امن آن که همان SFTP است استفاده کنید. پروتکل FTP یکی از محبوب ترین پروتکل ها برای ریموت سرور و انتقال اطلاعات است ولی مشکل بزرگی که دارد این است که فاقد موارد امنیتی است و اگر می خواهید اتصال و انتقال اطلاعات امنی داشته باشید این پروتکل داده های شما را رمزنگاری کرده و در هیچ زمان از نمی توان رمز عبور و طلاعات انتقالی را تشخیص داد. بسیاری از شرکت های امروزه برای انتقال اطلاعات خود از SFTP استفاده می کنند.
برای رمزنگاری داده ها از پروتکل SFTP استفاده کنید.
16- تعیین سطح دسترسی به فایل ها
شما می توانید برای میزان دسترسی به فایل ها برای سطح های دسترسی را 3 سطح محدودیت Read ، Write، Excute را ایجاد کنید برای این کار هر سطح دسترسی با یک عدد مشخص می شود
- سطح دسترسی 755: فایل مورد نظر را برای عموم قابل خواندن و اجرا شدن می کند
- سطح دسترسی 644: فایل مورد نظر را برای عموم قابل خواندن می کند
مجوز دایرکتوری خود را به 775 و فایل های خود را به 644 تغییر دهید تا در یک سطح هوشمند و عالی از اطلاعات شما محافظت کند.
17- مخفی کردن نسخه وردپرس
یکی از اولین کار هایی که هکر ها بر روی سایت شما انجام می دهند، شناسایی CMS و ورژن آن است و زمانی که شما این اطلاعات را از سایت خود پاک نکنید، عملا به راحتی این اطلاعات را در اختیار آنها قرار داده اید.
در قسمت هد سایت با استفاده از تگ Generator می توانید به راحتی نسخه وردپرس خود را مخفی نمایید.
18- امنیت سیستم (لپ تاپ یا کامپیوتر)
امنیت لپ تاپ یا سیستمی که برای ورود به پیشخوان وردپرس استفاده می کنید از اهمیت بالایی برخوردار است انواع مختلفی از ربات ها، ویروس ها و تروجان ها هستند که بر روی سیستم ها از طرق مختلف انتقال پیدا می کنند و هر چند به سیستم شخصی شما آسیبی نمی رسانند اما هدف آنها سایت ها هستند مثلا ممکن است هنگام آپلود یک عکس یا یک فایل سایت شما را آلوده کنند بنابراین حتما بر روی لپ تاپ و کامپیوتر و هر دستگاهی که برای ورود به سایتتان استفاده می کنید یک آنتی ویروس قوی نصب کنید.
19- فعالسازی SSL
با فعالسازی SSL با ایجاد اتصال ایمن امنیت سایت خود را بهبود بدهید و از سرقت اطلاعات جلوگیری کنید. به علاوه کاربران با خیال راحت از درگاه های بانکی خرید را انجام می دهند. روش های زیادی برای فعالسازی SSL وجود دارد یکی از آنها فعالسازی SSL در کلودفلر بوده و دیگری استفاده از افزونه های وردپرسی است.
20- بکاپ از وبسایت
تمام موارد بالا را رعایت کنید اما برای اطمینان از نسخه پشتیبان خود بکاپ بگیرید، به دلیل تغییرات زیاد در دنیای اینترنت و انجام تمام اقدامات برای افزایش امنیت سایت هیچ چیز 100 درصد نیست و احتمال هک شدن همیشه وجود دارد، به همین دلیل تهیه نسخه بک آپ از سایت هر چندا رهکاری برای جلوگیری از هک به شمار نمی آید ولی در صورت هک در کمترین زمان ممکن می توانید اطلاعات خود را بازیابی کنید تا آسیب بیشتری را متحمل نشوید.
با استفاده از افزونه updraftplus به صورت خودکار از سایتتان بک آپ تهیه کنید
21- غیر فعال کردن فایل xmlrpc.php
XML-RPC یا XML Remote Procedure Call امکان انتقال داده ها را فراهم می کند این قابلیت باعث ورود هکرها به سابت شما و خطر حملات BrutForce و حملات ddos را ایجاد می کند برای افزایش امنیت وردپرس و غیر فعال کردن این امکان کد زیر را به فایل htaccess اضافه کنید.
Block WordPress xmlrpc.php requests#
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
برای تامین امنیت وردپرس انجام قسمتی از این چک لیست کافی نیست و باید تمامی نکات برای بالا بردن امنیت سایت وردپرس را انجام دهید. یک هکر در چند دقیقه می تواند زحمات چندساله شما را نابود کند.
در این آموزش امنیت وردپرس سعی کردیم تمام موارد برای برای افزایش امنیت سایت وردپرس را در این مقاله بیاوریم اگر شما موضوع و یا دیدگاه خاصی برای افزایش امنیت وردپرس دارید با ما به اشتراک بگذارید.
توجه: اگر سایت شما هک شد حتما به مقاله: با سایت هک شده چه کنیم؟ مراجعه کنید تا بهترین راهکارها برای برگرداندن سایت را مشاهده کنید.
