با اینکه وردپرس محبوب‌ترین سیستم مدیریت محتوا با 43 درصد وبسایت های جهان است، اما همواره دغدغه‌هایی درباره امنیت آن وجود دارد. البته وردپرس کاملا امن است ولی نحوه مدیریت آن ممکن است شکاف‌های امنیتی ایجاد کند، تیم توسعه دهنده وردپرس در هر بروزرسانی‌ حفره‌های امنیتی را شناسایی و برطرف می‌کنند. در کنار این شکاف‌های امنیتی، هک شدن ناشی از ناآگاهی کاربران و دقت نکردن به موارد ساده امــا مهم است. در این مقاله به طور جامع درباره آموزش افزایش امنیت وردپرس صحبت می‌کنیم و کلیه اقدامات مهم برای امنیت وردپرس را بررسی می‌کنیم.

روش های افزایش امنیت در وردپرس

40 راهکار عملی و تجربی برای بالابردن سرعت وردپرس را آماده کرده‌ایم و نکات مهم برای حفاظت از حیاتی‌ترین فایل‌ها و پوشه‌های WP-Config، WP-Admin، WP-Content، دیتابیس، امنیت قالب، افزونه‌ها و هاست را در ادامه آموزش می‌دهیم.

اقدامات مهم امنیتی برای محافظت از فایل wp-config:

• انتقال  wp-config به پوشه دیگر

فایل wp-config.php به صورت پیش فرض در (public_html) قرار دارد. برای تغییر مکان این فایل کافیست در هاست خود روی فایل wp-config.php کلیک و گزینه Move را انتخاب کنید و فایل را به یک پوشه بالاتر انتقال دهید.

• تغییر دسترسی به فایل wp-Config

در سی‌پنل این امکان وجود دارد که مجوز دسترسی برای خواندن، نوشتن یا تغییر در فایل‌ها را برای کاربران تعریف کنید. برای افزایش امنیت وردپرس دسترسی را روی خواندن قرار دهید تا کاربران نتوانند تغییری در فایل‌ها ایجاد کنند. روی فایل wp-config.php راست کلیک کنید و Permission را روی Read فعال کنید.

• تغییر کلیدهای امنیتی

کلیدهای امنیتی یا SALT وردپرس که به صورت خودکار در زمان نصب ایجاد می‌شوند را هر چند وقت یکبار عوض کنید؛ این کلیدها در فایل wp-config قرار دارند.

• مسدود کردن دسترسی به فایل wp-config

یک راه دیگر در آموزش افزایش امنیت وردپرس مسدود کردن دسترسی به فایل wp-config است که کافیست قطعه کد زیر را درون فایل htaccess. قرار دهید.

<files wp-config.php>
order allow,deny
deny from all
</files>

اقدامات مهم امنیتی برای محافظت از فایل WP-Admin:

•  فعالسازی احراز هویت دومرحله‌ای

در این قسمت از آموزش افزایش امنیت وردپرس به احراز هویت دو مرحله‌ای می‌رسیم؛یکی از دلایل فعالسازس رمز دو مرحله ای حملات بروت فورس است، در این حملات هکرها با نصب اسکریپت، نام کاربری و رمز عبور سایت شما را حدس می زنند. به این ترتیب به قسمت مدیریت سایت شما دسترسی پیدا می‌کنند و کارهای مخربی مانند نصب بدافزار، دستکاری اطلاعات مهم و حیاتی و حتی سرقت اطلاعات مشتریان را انجام می‌دهند. با فعال کردن احراز هویت دو مرحله‌ای، پس از وارد کردن نام کاربری و رمز عبور، کد جدیدی به تلفن همراه یا ایمیل شما ارسال می‌شود و در مرحله دوم دسترسی به سایت باید این کد را وارد کنید. به این ترتیب احراز هویت واقعی کاربر حاصل و باعث افزایش امنیت وردپرس می‌شود.

توجه کنید که احراز هویت دو عاملی با استفاده از کد تایید موبایل، امنیت بالاتری نسبت به لینک تاییدی در ایمیل دارد. برای فعالسازی احراز هویت دو مرحله‌ای می‌توانید از افزونه‌های امنیتی مانند آیتم سکوریتی استفاده کنید.

محصول پیشنهادی

سامانه شاهکار؛ افزونه پنل کاربری حرفه‌ای

دسته بندی : افزونه پنل کاربری

1025

فروش

88%

رضایت

مشاهده و خرید

• تغییر آدرس ورود به پیشخوان

یکی از راه‌های هک سایت از طریق آدرس ورود به پیشخوان سایت (wp-admin) است. یکی از اقدامات برای افزایش امنیت وردپرس در برابر حملات هکری تغییر آدرس ورود به پیشخوان است. برای این کار کافیست یک افزونه امنیت وردپرس مانند افزونه WPS Hide Login نصب کنید یا از هاستتان نام فایل wp-login.php را تغییر دهید.

• محدودیت تعداد ورود کاربران

یکی دیگر از روش های افزایش امنیت وردپرس جلوگیری از حملات بروت فورس است، هکرها سعی می‌کنند نام کاربری و رمز عبور شما را حدس بزنند و وارد بخش مدیریت سایت شوند. برای این‌کار با یک ربات، نام کاربری‌ها و رمزهای مختلف را تست می‌کنند. با محدود کردن تعداد ورود کاربران اگر کاربر چند بار نام کاربری و رمزعبور را اشتباه وارد کند به صورت موقت یا دائم IP او مسدود می‌شود.

برای محدود کردن ورود کاربران دو راه وجود دارد:

• استفاده از افزونه هایی مانند Limit Login Attempts Reloaded؛ این افزونه با شناسایی ربات‌ها، قفل کردن کاربران پس از چندین بار تلاش ناموفق، مسدود کردن موقت آدرس‌های IP و اطلاع‌رسانی در صورت قفل شدن کاربر به امنیت وب سایت شما می‌کند.
•  ادیت فایل function.php: قبل از اصلاح این فایل حتما از ساییتان بکاپ بگیرید؛ برای این منظور نیز افزونه های زیادی وجود دارد که می توانید برای بک اپ از آنان استفاده کنید، مثال بارز از آنان افزونه داپلیکیتور است.

• استفاده از نام کاربری و پسورد قوی

استفاده از پسورد قوی را در بالا بردن امنیت نادیده نگیرید، اگرچه یکی از ساده ترین مراحل در آموزش افزایش امنیت وردپرس انتخاب رمز عبور قوی است، اما آنقدر مهم است که می توان یکی از ضروری ترین مراحل به شمار آورد.

کلماتی مانند admin یا test و رمز عبوری مانند 1234 بسیار ساده هستند و احتمال هک شدن سایت را بسیار بالا می‌برد. رمز عبورد باید ترکیبی از حروف بزرگ و کوچک، اعداد و حروفی مانند # @ %%Amin&* باشد.

• مخفی کردن ورژن وردپرس

در ورژن‌های وردپرس مشکلات امنیتی شناسایی و برطرف می‌شوند، هکرها با دانستن ورژن وردپرس و شناختن حفره‌های امنیتی در هسته می‌توانند سایتتان را هک کنند. اگر به هر دلیلی نمی‌خواهید وردپرس را بروز کنید بهتر است ورژن آنرا مخفی کنید چون هکرها با پیدا کردن باگ‌های نسخه‌های قدیمی وردپرس اقدامات هکری انجام می‌دهند، ولی اگر ورژن وردپرس خود را مخفی کنید یک راه نفوذ به سایت خود را می‌بندید و امنیت سایت را بالا می برید.

• غیر فعال کردن Rest Api

هرچند استفاده از API مزایای زیادی برای توسعه دهندگان سایت دارد و اجازه ادغام وردپرس با اپلیکیشن های موبایلی و نرم افزارهای دسکتاپ را دارد اما  REST API به برنامه‌های خارجی اجازه می‌دهد به داده‌های وردپرس دسترسی داشته باشند که ممکن است برای امنیت وردپرس مشکل ساز شود، برای افزایش امنیت وردپرس اگر نیاز به این قابلیت ندارید به راحتی آن را غیرفعال کنید.

برای غیرفعال کردن REST API دو روش وجود دارد؛ روش اول این است که کد زیر را به فایل functions.php قالب خود اضافه کنید:

روش دوم هم استفاده از افزونه‌‌های امنیتی یا افزونه‌های مخصوص غیرفعال کردن این قابلیت مانند پلاگین Disable REST API است که می‌توانید از مخزن وردپرس دانلود و نصب کنید.

• دانلود وردپرس از سایت رسمی

اگر کلمه دانلود وردپرس را سرچ کنید علاوه بر سایت wordpress.org نتایج دیگری هم می‌بینید. برای اطمینان از اینکه نسخه دستکاری شده وردپرس را دانلود نکنید و مشکلات امنیتی بعدی برای سایتتان ایجاد نشود، حتما وردپرس را از سایت وردپرس دانلود و نصب کنید.

• بروزرسانی وردپرس

آپدیت وردپرس با اینکه به راحتی از پیشخوان سایت امکان پذیر است اما 50% از سایت‌های وردپرس بر روی نسخه قدیمی وردپرس اجرا می‌شوند و امنیت سایت به خطر می‌افتد. با هر بار انتشار نسخه جدید، حتما وردپرس را آپدیت کنید.

• محدود کردن دسترسی‌های کاربران

نقش‌های کاربری در وردپرس مانند مدیر، نویسنده، مشترک و… سطح دسترسی‌های متفاوتی دارند مثلا نویسنده امکان نوشتن و انتشار پست‌ها را دارد و نمی‌تواند افزونه‌ای نصب یا حذف کند و نقش مدیر امکان تغییر تمام بخش‌های سایت را دارد. برای افزایش امنیت سایت همین الان یک قدم مهم در چک لیست امنیت بردارید و بررسی کنید چه تعداد کاربر با نقش مدیر دارید و دسترسی‌هایی که نمی‌شناسید را حذف کنید.

• نصب یک افزونه‌ امنیتی

هر چند بسیاری از اقدامات امنیتی سایت را می‌توانید، خودتان انجام دهید اما برای افزایش امنیت وردپرس نیاز به یک سپر امنیتی قوی دارید که 24 ساعت شبانه روز از شما در برابر حملات هکرها محافظت کند. دو افزونه امنیتی Wordfence و Ithemes با جلوگیری از حملات بروت فورس، شناسایی و مسدود کردن IPهای مشکوک، شناسایی بدافزارها، احراز هویت دو مرحله‌ای، اجبار رمز عبور قوی، غیرفعال کردن آپلود کد و… تاثیر زیادی در امنیت سایت دارند.

افزونه وردفنس را با کد تخفیف WPPLUGIN30MAG دانلود کنید تا خیالتان راحت شود.

• فعالسازی SSL

SSL یک پروتکل امنیتی است که داده های بین مرورگر و سرور را رمزگذاری می‌کند و یکی از فاکتورهای نشان دهنده سایت ایمن است. SSL نشان دهنده اعتبار دامنه است و باعث اعتماد بیشتر کاربران به سایت می‌شود. همه سایت‌‎ها نیاز به فعالسازی SSl رایگان دارند و در غیر این صورت در نوار آدرس مرورگر با برچسب not secure نشان داده می‌شوند. مراحل دریافت و نصب گواهینامه SSL یکی از مراحل آموزش افزایش امنیت سایت است که با فعال کردن SSL یک اتصال امن بین شما و کاربران ایجاد می‌شود و افزایش امنیت و تاثیر مثبت در سئو را به همراه دارد. اگر سایت شما با نسخه http راه‌اندازی شده نگران نباشید، تبدیل http به https به سادگی انجام می‌شود.

• غیرفعال سازی ویرایش تم و پلاگین‌ها

زمانی که امکان ویرایش قالب و افزونه‌ها فعال باشد، هر کسی می‌تواند بدون محدودیت کدهایی اضافه یا حذف کند ولی پیشنهاد می‌شود برای افزایش امنیت وردپرس غیر فعال کردن ویرایشگر پوسته و افزونه را انجام دهید. برای غیر فعال کردن ویرایشگر افزونه و پوسته مراحل زیر را انجام دهید:

• وارد پنل هاستتان شوید
• از قسمت File manager فایل public_html را انتخاب کنید
• فایل wp-config.php را انتخاب کنید
• برای ویرایش فایل wp-config.php روی این فایل راست کلیک کنید و edit را بزنید
• این کد کوتاه را به فایل اضافه کنید

define( 'DISALLOW_FILE_EDIT', true );

در نهایت save change را بزنید تا تغییرات ذخیره شوند.

• تغییر دوره‌ای رمز ورود به پیشخوان

برای بالابردن امنیت وردپرس علاوه بر استفاده از نام کاربری و رمز عبور قوی، به صورت دوره‌ای نام کاربری و رمز عبورتان را تغییر دهید تا در صورتی که در سیستم‌های دیگر وارد شده‌اید، سایر افراد نتوانند به سایت شما دسترسی داشته باشند.

•  غیر فعالسازی XML-RPC

XML-RPC یا XML Remote Procedure Call یکی از ویژگی‌های وردپرس است که امکان انتقال داده‌ها را فراهم و از HTTP برای انتقال و از XML به عنوان مکانیزم رمزگذاری استفاده می‌کند؛ اما این امکان باعث ورود هکرها به سیستم شما شده و آن را در معرض خطر حملات BrutForce و حملات ddos قرار می دهد. در مقاله غیرفعال کردن XML-RPC را ببینید و یک اقدام مهم دیگر در چک لیست امنیت را برای سایتتان انجام دهید.

برای افزایش امنیت وردپرس در برابر حملات XML-RPC بزرگ اگر هاست شما آپدیت باشد و یک فایروال ساده یا یک افزونه امنیتی خوب داشته باشید که تعداد ریکوست ها را کنترل نمایند مشکلی به صورت جدی پیش نخواهد آمد ولی برای جلوگیری از بروز مشکلات امنیتی باید ریزترین نکات رعایت شوند تا آثار مخرب و بزرگتری بوجود نیاید. برای بررسی اینکه این قابلیت برای شما فعال است یا نه در مرورگر درانتهای آدرس سایتتان xmlrpc.php را اضافه کنید.
برای جلوگیری از دسترسی به XML-RPC در وردپرس وارد هاستتان شوید و از قسمت File Manager پوشه Public-html را باز کنید و htaccess را انتخاب کنید و ویرایش کنید و کد زیر را به فایل htaccess کپی کنید.

Block WordPress xmlrpc.php requests# 
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

• استفاده از Captcha

فعال بودن کپچا از پر شدن فرم توسط ربات و هکرها جلوگیری می‌کند. ارسال درخواست‌های زیاد و پشت سر هم گاهی منجر به از کار افتادن سرور و در اصطلاح دان شدن سایت می‌شود بنابراین با فعال کردن کپچا مانع از هک صفحاتی مانند عضویت و فرم‌ها شوید. ساخت گوگل کپچا به راحتی و با افزونه‌های وردپرس امکان‌پذیر است.

• تغییر پیشوند جداول

به صورت پیش فرض پیشوند جدول ها در وردپرس روی wp_ تنظیم شده است تنظیمات پیش فرض سایت شما را در برابر حملات آسیب پذیر می کند زیرا هکرها پیشوند را می دانند و می توانند به راحتی آن را هدف قرار دهند. اگر می خواهید به افزایش امنیت سایت خود کمک کنید، حتما باید پیشوند جداول پیش فرض را تغییر دهید.

• بکاپ گیری روزانه از سایت

معمولا شرکت‌های هاستینگ از سایت‌ها روزانه یا هفتگی بکاپ می‌گیرند اما در صورتی که مشکلی ایجاد شود معلوم نیست که نسخه‌ای که شرکت‌های هاستینگ دارند سالم است یا خیر. برای اطمینان حتما از سایتتان بکاپ بگیرید تا در صورتی که مشکلی ایجاد شد به سرعت سایتتان را برگردانید. بکاپ گرفتن از سایت وردپرس از طریق پنل هاست و هم با استفاده از افزونه‌ها امکان پذیر است.

•  دانلود قالب وردپرس از منابع معتبر

در ادامه آموزش افزایش امنیت وردپرس به انتخاب و دانلود قالب وردپرس از یک سایت معتبر می‌رسیم، قالب نال شده نسخه دستکاری شده از قالب اورجینال است که در خوشبینانه‌ترین حالت لایسنس محصول برداشته می‌شود؛ اما اگر توسط یک هکر دستکاری شود حاوی کدهای مخرب و بدافزار یا تبلیغات مزاحم می‌شود. بهتر است با پرداخت هزینه و خرید قالب از یک سایت معتبر باعث بالا رفتن امنیت وردپرس‌تان شوید. قالب‌های نال شده حتی اگر نسخه سالم باشند شما به فایل بروزرسانی شده آن دسترسی ندارید.

• بروزرسانی قالب سایت

قالب‌های معتبر به طور مرتب توسط طراح و توسعه دهندگان برای رفع اشکالات، افزودن ویژگی‌های جدید، رفع مسائل امنیتی و سازگار با نسخه های جدید PHP و وردپرس بروز می‌شوند. قالب سایتتان را بروزرسانی کنید تا مشکلات امنیتی بعدی ایجاد نشود.

• حذف قالب‌های بدون استفاده

این واقعیت را نمی‌توان انکار کرد که فراوانی قالب‎‌‌ها بسیار جذاب است و احتمالا بخواهید امکانات قالب‌های مختلف را بررسی کنید. اگر چند قالب را نصب کردید و غیرفعال هستند، آن‌ها را حذف کنید تا در را بروی هکرها ببندید. با جذف قالب‌های بدون استفاده هاست شما فضای بیشتری خواهد داشت و امنیت وردپرس هم بالاتر می‌رود.

نکته: تمام افزونه‌های سایت راست چین توسط واحد کنترل کیفی بررسی می‌شوند تا مشکلی برای امنیت سایت شما ایجاد نکنند.

• آپدیت افزونه‌های نصب شده

افزونه‌های نصب شده بر روی سایتتان را بروزرسانی کنید. معمولا در نسخه‌های جدید علاوه بر رفع مشکلات سازگاری، مشکلات امنیتی هم شناسایی و برطرف می‌شوند.

• دانلود افزونه‌ها از منابع معتبر

خرید از سایت‌های معتبر این اطمینان را می‌دهد افزونه‌ای که نصب می‌کنید دستکاری نشده و دارای کدهای مخرب و تبلیغات مزاحم نیست که امنیت وردپرس شما را به خطر بیاندازد. همچنین با داشتن محصولات اورجینال آخرین نسخه بروز شده محصولات را به همراه پشتیبانی آنها دارید.

• جایگزینی افزونه ها قدیمی با افزونه های جدید

همیشه تاکید شده که افزونه‌هایی با آخرین نسخه بروزرسانی شده در افزایش امنیت وردپرس موثرند. افزونه‌هایی که مدت‌ها بروز نشده‌اند و در حال حاضر به آن‌ها نیاز ندارید، حذف کنید و نسخه قدیمی این افزونه‌ها را با افزونه مشابه جایگزین کنید.

• خرید از شرکت‌ هاستینگ مطمئن

با انتخاب یک هاستینگ اشتباه تمام تلاش شما برای اقدامات امنیتی بی‌نتیجه می‌شود. هنگام خرید هاست دقت کنید که شرکت هاستینگ اقدامات امنیتی را جدی بگیرد و افزونه‌های امنیتی مانند فایروال، CDN و آنتی ویروس را داشته باشند و قبل از اینکه شما بخواهید کاری کنید از سایت شما در برابر حملاتی مانند DDos و Brute-Force محافظت کند.

یکی از بهترین شرکت های هاستینگ ایرانی راست چین کلود است که با تکیه بر تجربه 11 ساله و با بررسی دغدغه مشتریان تصمیم به راه اندازی سرویس های میزبانی وب گرفت. هاست وردپرس یک سرویس میزبانی وب باکیفیت بهینه شده برای سایت‌هایی با سیستم مدیریت محتوای وردپرس و کاملا سازگار با محصولات راست چین است.

• بکاپ روزانه هاستینگ

اولین فکری که بعد از به وجود آمدن هر مشکل در سایت به ذهن افراد می‌رسد، استفاده از بکاپ هاست است. تهیه بکاپ از سایت اهمیت زیادی دارد و شرکت‌های هاستینگ معمولا به صورت روزانه از سایت‎‌ها بکاپ می‌گیرند تا در صورتی که مشکلی برای سرورها ایجاد شود دیتای کاربران را برگردانند. اگر شرکت هاستینگ یک بکاپ سالم از سایت داشته باشد، می‌تواند هر لحظه سایت خود را به نسخه سالم برگرداند.

• ارایه SSL رایگان

در آموزش افزایش امنیت وردپرس در مورد اهمیت SSL و تاثیر بر اعتماد، امنیت و سئو را توضیح دادیم. هنگام انتخاب هاست با کیفیت دقت کنید که شرکت‌های هاستینگ SSL رایگان ارائه دهند چون فعالسازی آن ساده‌تر است و در زمان کمتری نصب می‌شود.

• نصب Firewall نرم افزاری و سخت افزاری قوی

هنگام خرید یک هاست دقت کنید که فایروال نرم‌افزاری و سخت‌افزاری را بر روی سرورهای خود فعال کنند. معمولا این ویژگی در معرفی امکانات یک شرکت هاستینگ توضیح داده شده است.

• فعالسازی تنظیمات مختلف در هاست Cpanel

برای افزایش امنیت وردپرس در پنل سی پنل دقت کنید که مواردی مانند Viruse Scanner و IP Block یا Mod Security فعال باشد.

• فعال بودن آنتی اسپم‌ و آنتی ویروس‌‌

شرکت‌های هاستینگ با فعال کردن نرم افزارهای مختلف برای جلوگیری از اسپم و ویروس‌ها می‌توانند تاثیر زیادی در جلوگیری از حملات هکرها و افزایش امنیت وردپرس داشته باشند.

• جلوکیری از حملات Ddos

حملات Ddos ترافیک قابل‌توجهی به سمت سایت قربانی ارسال می‌کنند و منابع سرور با کمبود فضا مواجه و سیستم از دسترس خارج می‌شود. برای جلوگیری از این حملات شرکت‌های هاستینگ باید Anti Ddos داشته باشند.

• خرید هاست اختصاصی در صورت امکان

بسیاری از کاربران به خاطر هزینه پایین هاست‌های اشتراکی را خریداری می‌کنند ولی در این نوع هاست معمولا 5-6 تا سایت قرار گرفته و در صورتی که برای یکی از سایت‌ها مشکلی ایجاد شود، ممکن سایت شما هم درگیر شده و هک شوید. بهتر است یک هاست اختصاصی بخرید تا علاوه بر امنیت سایتتان سرعت و عملکرد بهتری داشته باشد.

• ارایه پشتیبانی قوی

شاید بپرسید که پشتیبانی یک هاست چگونه در افزایش امنیت وردپرس موثر است؟ شاید پشتیبانی تاثیر مستقیمی در امنیت نداشته باشد اما باید مطمئن شوید در صورت بروز مشکل کسی پاسخگوی شما هست و آیا اقدامات خاصی برای برگرداندن سایت انجام می‌دهد؟ آیا یک تیم متخصص دارند که به سوالات شما پاسخ دهند یا خیر.

• تغییر و مخفی کردن نام WP-Content

با توجه به اهمیت فایل‌های موجود در wp-content بهتر است نام و محل این فایل را تغییر دهید تا هکرها به راحتی به این فایل دسترسی پیدا نکنند.

• جلوگیری از اجرای فایل php

در دایرکتوری‌هایی که نیازی به اجرای کدهای PHP نیست اجرای کد را غیر فعال کنید. به عنوان مثال در wp-content/uploads/. کد deny from all را در فایل htaccess اضافه کنید. توضیحات بیشتر را در غیر فعال کردن Directory Browsing ببینید.

• غیرفعال کردن Directory Browsing

اگر بعد از آدرس سایتتان /wp-content/uploads وارد کنید و پوشه‌های سایت نمایش داده شوند یک زنگ خطر برای امنیت سایت است. با فعال بودن دسترسی به این پوشه هکرها می‌توانند اطلاعات بسیاری را در مورد قالب، افزونه‌ها و کد‌های وب‌سایت شما پیدا و حفره‌های در سایتتان کشف کنند. برای غیرفعال کردن نمایش دایرکتوری در هاست سی‌پنل در قسمت advanced گزینه indexes را انتخاب کنید، تا تمام پوشه‌ها و فایل‌های موجود در public_html را ببینید. برای هر پوشه روی گزینه edit کلیک کنید و no indexing را انتخاب کنید.

امیدوارم مطالب گفته شده برای شما مفید باشد و با آموزش افزایش امنیت وردپرس یک سایت قوی داشته باشید. در انتها تمام موارد برای افزایش امنیت سایت را در لینک زیر دانلود کنید و همیشه همراه تان داشته باشید.