راهنمای افزایش امنیت وردپرس

امنیت وب سایت یکی از مهم ترین مواردی است که باید سر لوحه کسب و کارتان کنید. امنیت پایین شاید در بعضی از موارد بسیار مشکل ساز باشد. بعضی مواقع توسط امنیت پایین وب سایت ها اطلاعات محرمانه و در عین حال مفیدی در اختیار هکرها قرار می گیرد. در این مطلب روش های افزایش امنیت وردپرس را بیان می نماییم.

شاید اطلاعات مشتریان شما یکی از مهم ترین چیزهایی است که شما در کسب و کار خود دارید. آیا شما دوست دارید این اطلاعات دست کسی بیافتد؟ پس باید با راه کارهایی که موجود است به فکر بالا بردن امنیت وب سایت خود باشید.

آیا دوست دارید سایتی که برای آن بسیار زجمت کشیده اید به لجظه ای از دست بدهید و به اصطلاح سایت شما داون شود.

چون اکثر کسب و کار های نوپا و همچنین قدیمی بر پایه وردپرس وب سایت خود را راه اندازی کرده اند در این مقاله قصد دارم درباره بالا بردن امنیت وب سایت های وردپرسی نکات و راه کارهایی را به شما دوستان عزیزم بدهم.

قبل از اینکه مواردی را برای ایمن سازی وردپرس عنوان کنیم می خواهیم به چند نکته مهم اشاره کنیم.

اول اینکه حتما از هاست امن برای راه اندازی وب سایت خود استفاده کنید. میزبانی که حتما Protection یا Anti-DDoS را روی سروهای خود داشته باشند.

بیشتر بخوانید: تاثیر هاست بر سئو؛ ویژگی های هاست با کیفیت

از افزونه ها و پوسته های رایگان به هیچ وجه استفاده نکنید. خواهش می کنم این مورد را حتما رعایت کنید. منظور از افزونه های رایگان افزونه هایی است که نسخه پولی آن موجود است ولی بعضی از سایت ها آن ها را رایگان برای دانلود قرار می دهند.

این گونه افزونه ها دارای باگ های امنیتی است که ممکنه در آینده وب سایت شما را نابود کنند. پس هیچگاه از افزونه های کرک شده و رایگان به این صورت استفاده نکنید.

موقع نصب وردپرس به دو نکته ی زیر توجه کنید

راهنمای افزایش امنیت وردپرس

موقع نصب وردپرس نام کاربری ورود شما به صورت پیش فرض Admin است. در ورژن های قبلی وردپرس موقع نصب آن امکان تغییر نام کاربری نبود و به صورت خودکار نام کاربری ادمین برای کاربر ثبت می شد.

ولی در ورژن های جدید این امکان به وجود آمد که موقع نصب هم امکان تغییر نام کاربری باشد. حتما از نام کاربری دیگری به جز Admin برای سایت خود استفاده کنید. اگر هم نام کاربری شما ادمین است همین الان از طریق دیتابیس Phpmyadmin در قسمت User اقدام به عوض کردن نام کاربری وب سایت خود کنید.

هنگامی که شما می خواهید وردپرس خود را نصب کنید پیشوند جداول دیتابیس WP است که پیشنهاد می کنم برای امنیت بیشتر حتما نام دیگری برای پیشوند جداول دیتابیس خود انتخاب کنید.

اگر پیشوند جداول شما همان WP است می توانید با استفاده از افزونه Change DB آن را تغییر دهید. فقط قبل از استفاده از این افزونه حتما از کل دیتابیس خود بک آپ بگیرید.

هنگام انتخاب پسورد به این نکته توجه کنید که هیچ گاه از پسوردهای ساده استفاده نکنید. ۱۲۳۴۵۶۷۸۹ پسوردی نیست که بشود برای رمز عبور وب سایت خود بگذارید.

مطمئن باشید با انتخاب پسوردهای ساده وب سایت شما خیلی راحت هک خواهد شد. با استفاده از سایت strongpasswordgenerator می توانید رمزهای قوی برای وب سایت خود بسازید.

بیشتر بخوانید: آشنایی با وردپرس و ویژگی های آن

چگونه وب سایت وردپرسی خود را ایمن کنیم؟

۱- تغییر صفحه مدیریت وردپرس

اولین کاری که بعد از نصب وردپرس خود باید انجام دهید تغییر دادن صفحه ورود به مدیریت وردپرس است که به صورت پیش فرض wp-login.php است. با استفاده از افزونه امنیتی Lockdown WP Admin یا All in one WP security می توانید اقدام به تغییر صفحه ورود به مدیریت وردپرس خود کنید.

۲- رمز گذاری روی صفحه مدیریت وردپرس

دومین کاری که بعد از نصب وردپرس خود باید انجام دهید رمز گذاری روی پوشه Admin است. برای این کار وارد کنترل پنل هاستینگ خود شوید و روی Directory Privacy کلیک کنید.

در صفحه باز شده تمام پوشه ها قابل مشاهده است. با کلیک روی هر پوشه ای به فایل های داخلی آن دسترسی پیدا می کنید. پوشه ادمین را انتخاب کنید و در صفحه باز شده تیک گزینه ی password protect this directory را بزنید و درون کادر زیر نام فایل wp-login.php را وارد کنید.

در قسمت پایین همان صفحه می توانید یوزر نیم و پسورد دلخواه خود را وارد کنید و روی Save کلیک کنید. با این کار برای وارد شدن به مدیریت وردپرس باید دو بار یوزر نیم و پسورد وارد شود.

۳- به روز رسانی وردپرس

به روز رسانی وردپرس

سعی کنید همیشه از آخرین نسخه وردپرس استفاده کنید. هنگاهی که آپدیت جدید وردپرس به شما پیشنهاد می شود همان موقع آن را به نسخه جدید بروزرسانی کنید.

بعد از آپدیت نسخه جدید ورپرس خود بسیاری از باگ های موجود در آن از بین خواهد رفت. بسیاری از هکرها با استفاده از باگ هایی که در نسخه های قدیمی تر وردپرس وجود دارد اقدام به حمله به سایت های وردپرسی می کنند.

آپدیت افزونه ها و پوسته ای که استفاده می کنید هم الزامی است. همیشه سعی کنید از افزونه هایی که با نسخه وردپرس شما سازگاری دارند استفاده کنید.

البته پیشنهاد می کنیم قبل از هر آپدیت از سایت بکاپ بگیرید.

بیشتر بخوانید: راهکارهای افزایش سرعت سایت وردپرس

۴- برای رمزگذاری داده ها از SSL استفاده کنید

اجرای گواهی SSL (لایه سوکت امن) یک حرکت هوشمند برای ایمن کردن پنل مدیریت است. SSL انتقال داده های امن بین مرورگرهای کاربر و سرور را تضمین می کند، و نفوذ در اتصال یا جعل اطلاعات شما را برای هکرها دشوار می سازد.

دریافت گواهی SSL برای وب سایت وردپرس شما مشکل نیست. می توانید گواهی را از برخی شرکت های اختصاصی خریداری کنید و یا از شرکت میزبانی وب خود بخواهید که برای شما چنین گواهی را انتخاب کند (اغلب اوقات بسته های میزبان وب اختیاری است).

گواهی SSL همچنین بر رتبه بندی وب سایت شما در گوگل تاثیر می گذارد. رتبه سایت های گوگل با SSL ، بالاتر از آنهایی است که بدونSSL هستند که به معنای بیشتر بودن این سایت ها است. حالا چه کسی این را نمی خواهد؟

بیشتر بخوانید: SSL و Https چیست؟ تاثیر آن بر سئو

۵- اعمال محدودیت در تعداد دفعات ورود به مدیریت سایت

در حالت عادی ورپرس محدودیتی برای تعداد وارد کردن پسوردهای اشتباه ندارد. هکرها با استفاده از این نقطه ضعف می توانند به تعداد بسیار بالایی پسوردهای مختلف را برای ورود به مدیریت وردپرس شما امتحان می کنند.

در این روش که brute force نام دارد فرد مهاجم پسورد های مختلفی را برای ورود به مدیریت وب سایت امتحان می کند تا زمانی که به رمز مورد نظر دست یابد.

برای جلوگیری از این کار می توانید از افزونه Limit Login Attempts جهت اعمال محدودیت در تعداد لاگین های اشتباه استفاده کنید.

با استفاده از این افزونه می توانید تعیین کنید هر نام کاربری مجاز به چند بار تلاش برای ورود به بخش مدیریت سایت باشد. به عنوان مثال بعد از ۵ بار تلاش برای ورود و وارد کردن مکرر رمز های اشتباه، کاربر دیگر قادر نخواهد بود صفحه لاگین را ببیند.

البته همان طور که در بالا بیان نمودیم تمام موارد امنیتی گفته شده با افزونه All in one WP security قابل اجراست.

۶- حساب های کاربری را با دقت اضافه کنید

راهنمای افزایش امنیت وردپرس

اگر یک وبلاگ وردپرس یا ترجیحا یک وبلاگ چند-نویسنده ایی را اداره می کنید پس باید با این چند نفری که به پنل مدیریت شما دسترسی دارند سروکار داشته باشید. این وضعیت می تواند وب سایت شما را به تهدیدات امنیتی آسیب پذیرتر کند.

اگر می خواهید از ایمن بودن تمام گذرواژه های کاربران اطمینان حاصل کنید، می توانید از یک پلاگین مانند Force Strong Passwords  برای آنها استفاده کنید. این فقط یک اقدام احتیاطی است.

۷- استفاده ایمیل برای ورود به سیستم

به طور پیشفرض از نام کاربری برای ورود به سیستم استفاده می شود. استفاده از یک شناسه ایمیل به جای بکاربردن نام کاربری امن تر است که دلایل آن کاملا واضح است. پیش بینی کردن نام کاربری آسان است، در حالی که شناسه ایمیل اینطور نیست.

همچنین همه حساب های کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می شوند، که برای ورود به سیستم یک شناسه معتبری است.

پلاگین WP Email Login برای این منظور خارج از قاعده کار می کند. این پلاگین درست بعد از فعال شدن شروع به کار می کند و هیچ نیازی به تنظیمات ندارد.

برای آزمایش پلاگین فقط از وب سایت خود خارج شوید و سپس دوباره وارد شوید، اما این بار از آدرس ایمیل حساب کاربری خود استفاده کنید.

بیشتر بخوانید: ۷ نکته ساده سئو وردپرس

۸- غیر فعال کردن ویرایش فایل در ویرایشگر وردپرس

اگر به هر دلیلی فرد مورد نظر توانست به کنترل پنل مدیریت وردپرس شما دسترسی پیدا کند می تواند با ویرایش صفحات سایت شما از طریق ویرایشگر فایل های وردپرس کدهای مورد نظر خودش را اجرا کند و چه بسا ممکن است به سایت شما لطمه بزرگی وارد کند.

برای جلوگیری از این کار شما باید وارد فایل wp-config.php شوید و کد زیر را در آن قرار دهید.

  ;(define( ‘DISALLOW_FILE_EDIT’, true

با این کار ویرایش فایل های شما از طریق ویرایشگر وردپرس غیر فعال می شود.

۹- پنهان کردن پیغام خطا در صفحه ورود وردپرس

پنهان کردن پیغام خطا در صفحه ورود وردپرس

زمانی که رمز عبور ناصحیح برای نام کاربری در صفحه لاگین وردپرس وارد می شود پیغام خطایی مبنی بر اینکه رمز وارد شده برای فلان نام کاربری اشتباه است ظاهر می شود. با ظاهر شدن این پیام فرد مورد نظر امیدوار می شود و می داند که یوزر را درست حدس زده است.

ولی اگر این پیغام برای او نمایش داده نشود نمی تواند بفهمد یوزر را صحیح وارد کرده است یا نه! برای جلوگیری از نمایش این پیغام باید کد زیر را در فایل Functions.php قرار دهید که دیگر پیغامی جهت اشتباهی رمز عبور نمایش داده نشود.

;((;”add_filter(‘login_errors’,create_function(‘$a’, “return null

۱۰- محافظت از فایل wp-config.php

همانطور که می دانید فایل wp-config.php فایل بسیار مهم و محرمانه ای است که اطلاعات دیتابیس وردپرس شما در آن قرار دارد.

برای ایمن سازی این فایل راه های زیادی وجود دارد که یکی از این راه ها محافظت از این فایل از طریق فایل .htaccess است. برای این کار وارد کنترل پنل هاستینگ خود و وارد فایل .htaccess شوید و در انتهای آن جایی که دیگر کدی وجود ندارد کد زیر را قرار دهید.

<Files wp-config.php>

order allow,deny

deny from all

</Files>

همچنین می توانید فایل wp-config.php را وارد یک فولدر دیگری در public_html هاست خود کنید. نگران نباشید وردپرس به صورت خودکار قادر به تشخیص محل فایل wp-config.php شما است و برای سایت شما مشکلی پیش نخواهد آمد.

۱۱- غیر فعال کردن دیدن دایرکتوری وب سایت توسط کاربران

به طور پیش فرض در تمام هاستینگ ها مرور دایرکتوری وب سایت برای تمام افراد باز است. به طور مثال کسی که وارد آدرس hamyareweb.co/images شود می تواند تمام عکس های سایت را ببیند.

و همچنین اگر به آدرس های دیگر مراجعه کند می تواند به دیگر فایل های سایت دسترسی داشته باشد. برای جلوگیری از این کار باید وارد فایل .htaccess شوید و کد Options -Indexes را درون آن قرار دهید.

بیشتر بخوانید: ۱۹ قابلیت مخفی وردپرس

۱۲- تغییر نمایش نام عمومی

اگر نام نمایش خود را تغییر ندهید به راحتی با مطالبی که در سایت خود درج می کنید همه می توانند نام کاربری شما را بدانند. هکرها از این طریق بدون هیچ زحمتی می توانند یوزر نیم ورود به بخش مدیریت وردپرس شما را پیدا کنند.

برای جلوگیری از بروز این مشکل می توانید از طریق قسمت ویرایش شناسنامه و وارد کردن نام و نام خانوادگی خود نام نمایشی خود را تغییر دهید. با این کار نام و نام خانوادگی شما در مطالب و جاهای دیگر سایت نمایش داده می شود.

۱۳-استفاده از CAPTCHA

CAPTCHA یا همان کپچا نرم افزاری آنلاین برای تولید سوالات و آزمون هایی است که انسان براحتی قادر به پاسخ گویی به آنها است ولی کامپیوترها در حال حاضر قادر به تشخیص و پاسخ به آنها نیستند.

نمونه ای از آن را در تصویر زیر می توانید مشاهده نمایید.

استفاده از CAPTCHA

استفاده از CAPTCHA در قسمت های مختلف سایت خیلی می تواند به بالا بردن امنیت وب سایت وردپرسی شما کمک کند.

سعی کنید در قسمت هایی مثل صفحه ورود به پنل مدیریتی وردپرس و قسمت درج نظرات و فرم عضویت در سایت از CAPTCHA استفاده کنید. با استفاده از افزونه Captcha by BestWebSoft می توانید در قسمت های مختلف سایت خود CAPTCHA قرار دهید.

بیشتر بخوانید: کپچا CAPTCHA چیست؟ و چه کاربردهایی دارد؟

۱۴- به طور منظم از سایت خود بکاپ بگیرید

مهم نیست که وب سایت شما چقدر امن است، همیشه فرصتی برای بهبود وجود دارد. اما در پایان روز، نسخه بکاپ را خارج از سایت ذخیره کنید یعنی جاهایی که شاید بهترین مکان امن هستند.

اگر بکاپ داشته باشید، می توانید وبسایت وردپرس خود را هر وقت که خواستید به حالت فعالیت بازگردانید. بعضی پلاگین ها می توانند در این رابطه به شما کمک کنند.

اگر به دنبال یک راه حل عالی هستید، پس VaultPress از شرکت Automattic که فوق العاده است را توصیه می کنیم. این افزونه هر ۳۰ دقیقه بکاپ می گیرد و هر اتفاق بدی که برای سایت رخ داده را به راحتی می توان با یک کلیک به حالت اول بازگرداند. مهمتر از همه، سایت را از وجود بدافزار بررسی می کند و هرچیز مشکوکی پیدا کرد آن را اعلام می کند.

البته این افزونه برای سایت هایی کاربرد دارد که تغییرات مداوم در آن صورت می گیرد و بازدیدکننده بسیار دارد و البته برای سایت های فروش آنلاین نیز مناسب است.

برای سایت های معمولی همان بکاپ روزانه کافی است.

بیشتر بخوانید: آموزش افزونه Yoast و بهینه سازی سئو وردپرس

کلام آخر

سخن آخر این است که مواردی که در این مقاله برای افزایش امنیت در وردپرس به آنها اشاره کردم تعدادی از کارهایی است که جهت بالا بردن امنیت وردپرس خود می توان از آن ها استفاده کرد.

ولی باید بدانید با همین موارد کوچکی که به آن اشاره کردم که برای انجام دادن آنها واقعا وقت زیادی را از شما نمی گیرد تا حدود بسیار بالایی می توانید امنیت وب سایت خود را بالا ببرید.

در مقاله های بعدی حتما در مورد

منبع:  joomaria.ir – hamyareweb.co

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *