نکات افزایش امنیت در وردپرس قدم به قدم

امنیت در وردپرس یکی از مهم ترین مواردی است که تمام صاحبان سایت ها به آن اهمیت بسیاری میدهند. هر هفته گوگل 20000سایت را به خاطر بد افزار مسدود میکند. اگر در رابطه با سایت خود جدی هستید در این صورت باید به امنیت سایت خود اهمیت بسیار زیادی بدهید. در این مطلب نکات مهم و بسیار کاربردی در رابطه با امنیت وردپرس به شما توصیه خواهم کرد، با استفاده از این مطلب میتوانید از سایت خود در مقابل هکر ها و بد افزار ها محافظت کنید.

چرا امنیت سایت مهم است؟

در حالی که هسته نرم افزاری وردپرس بسیار امن است اما باز هم احتمال حملات از سوی هکر ها به سایت شما هست و نمیتوان این امر را انکار نمود. یک سایت هک شده میتواند عواقب جدی بر روی کسب و کار شما داشته باشد. هکر ها میتوانند اطلاعات کاربران را بدزدند، میتوانند پسور آنها را تغییر دهند و بد افزار در سایت شما نصب نمایند. و بدترین اتفاقی که ممکن است برای سایت شما بیافتد آن است که هکر دسترسی شما از سایت را بگیرد و در قبال آن از شما مبلغی را درخواست نماید، که در اصطلاح به آن ( باج افزار ) میگویند.

اگر از سایت خود کسب درآمد مینمایید در این صورت باید به امنیت سایت خود اهمیت بسیار زیادی بدهید و تمام توانایی خود را برای رفع مشکلات امنیتی سایت خود استفاده نمایید. در این آموزش وردپرس نکات لازم برای برای افزایش امنیت سایت وردپرس را با هم بررسی می کنیم.

وردپرس را آپدیت نگه دارید

وردپرس یک نرم افزار متن باز است که هر چند وقت یکبار نیاز به آپدیت دارد. به صورت پیشفرض وردپرس آپدیت های ضروری را به صورت خودکار انجام میدهد اما برای برخی از آپدیتها خودتان باید اقدام نمایید. وردپرس دارای افزونه ها و قالب های بسیار زیادی است که شما میتوانید آنها را بر روی سایت خود نصب نمایید و این قالب ها و افزونه ها نیز پس از مدتی نیازمند به آپدیت خواهند بود که شما نباید آنها را نادیده بگیرید.

آپدیت هایی که مشاهده میکنید و آنها را نادیده میگیرید بسیار مهم هستند زیرا در هر آپدیت وردپرس مشکلات امنیتی خود را رفع مینماید. همچنین افزونه ها و قالب ها نیز در هر آپدیت مشکلات امنیتی خود را رفع میکنند و شما همیشه باید آنها را آپدیت نگه داربد.

پسورد قدرتمند و دسترسی های کاربران

یکی از بزرگترین اشتباهاتی که مدیران سایت ها مرتکب میشوند استفاده از رمز های بسیار ساده است، زیرا هکر ها میتوانند آنها را به سادگی هک کنند، پس باید سعی کنید تا پسورد قدرتمندی برای سایت خود فراهم کنید. نه فقط برای محیط ادمین وردپرس بلکه برای حساب FTP، حساب هاستینگ، Cpanel، و ایمیل سایت خود باید یک پسورد منحصر به فرد و قدرتمند فرآهم کنید.

دلیل آنکه بیشتر افراد از پسورد های قدرتمند استفاده نمیکنند آن است که ممکن است آن را فراموش کنند در این صورت میتوانید از یک نرم افزار مدیریت کننده پسورد مانند Lastpass استفاده کنید. در صورت استفاده از این نرم افزار دیگر نیازی نیست تا نگران امنیت رمز های خود باشید چون این نرم افزار امنیت کاملی را برای رمز عبور های شما فراهم میکند.

راه دیگری که میتوانید ریسک را کاهش دهید آن است که دسترسی حساب کاربری خود را به هیچ شخصی ندهید و اگر نویسنده های زیادی در سایت خود دارید میتوانید برای آنها حساب کاربری ایجاد نمایید و نقش نویسنده را به او بدهید.

نقش هاست وردپرس

هاست سایت وردپرس شما نقش بسیار زیادی در امنیت سایت شما دارد و یک هاست مناسب تدابیر امنیتی زیادی برای مقابله با حملات باید داشته باشد. داشتن قابلیت ایجاد فایل پشتیبان به صورت خودکار و آپدیت اتوماتیک وردپرس قابلیت هایی هستند که یک هاست مناسب باید داشته باشد. پس حتما در انتخاب هاست برای سایت خود باید دقت زیادی داشته باشید تا امنیت مناسبی  را برای سایت خود فراهم کنید. [ هاست چیست و نحوه انتخاب هاست خوب ]

ایجاد امنیت در وردپرس در چند قدم (بدون کدنویسی)

میدانیم که ایجاد امنیت برای وردپرس میتواند کار مشکلی باشد مخصوصا برای افراد مبتدی. خب نیازی نیست که نگران باشید. ما به هزاران کاربر وردپرس کمک نموده ایم تا امنیت را برای سایت وردپرس خود فراهم نمایند. اکنون به شما کمک خواهیم کرد تا این کار را به سادگی و فقط با چند کلیک انجام دهید.

نصب یک افزونه ایجاد فایل پشتیبان

فایل های پشتیبان اولین دفاع در برابر حملات هستند. به یاد داشته باشید که هیچ چیز 100% امن نیست. اگر سایت های قدرتمند قابل هک هستند حتما سایت شما نیز قابل هک است. فایل های پشتیبان به شما کمک میکنند تا به سرعت سایت وردپرس خود را به حالت قبل باز گردانید. با استفاده از این روش به هر مقداری نیز سایت شما آسیب دیده باشد قابل جبران خواهد بود.

مطلب پیشنهادی  ریدایرکت از HTTP به HTTPS ؛مطئمن ترین راه برای ایمن کردن وردپرس

افزونه های ایجاد فایل پشتیبانی زیادی وجود دارند که شما میتوانید از آنها استفاده نمایید. باید بدانید که همیشه باید یک فایل پشتیبان کامل از سایت خود در مکانی غیر از هاست خود داشته باشید. میتوانید از سرویس های فضای ذخیره سازی ابری قدرتمندی مانند Dropbox استفاده نمایید. و باید دقت داشته باشید که فایل های پشتیبان شما همیشه باید به روز باشند.

خوشبختانه با استفاده از افزونه های وردپرس مانند VaultPress یا BackupBuddy میتوانید خیال خود را از ایجاد فایل پشتیبان راحت کنید البته این افزونه ها رایگان نیستند. افزونه های رایگان زیادی جهت ایجاد فایل پشتیبان وجود دارند اما این دو افزونه بسیار قدرتمند هستند و تمام نیاز های شما را میتوانند برآورده نمایند.

بهترین افزونه امنیت وردپرس

بعد از فایل پشتیبان مورد بعدی که نیاز دارید یک سیستم امنیتی است که تمام فعالیت های موجود در سایت شما را کنترل نماید. خوشبختانه با استفاده از افزونه امنیتی رایگان Sucuri دیگر نگرانی در این مورد نخواهید داشت و با استفاده از آن میتوانید فعالیت های موجود در سایت را تحت نظر داشته باشبد و بد افزار ها را به سادگی شناسایی کنید. کافیست تا افزونه Sucuri Security plugin را نصب و فعالسازی نمایید.

پس از فعالسازی وارد صفحه افزونه در پیشخوان وردپرس خود شوید و بر روی دکمه Generate API key کلیک کنید تا کلید برای شما ایجاد شود. سپس وارد تب Hardening از منوی sucuri شوید. در تمام گزینه ها دکمه “Harden” را بزنید. با استفاده از این کار نقاط مهم سایت شما که مورد حمله هکر ها قرار میگیرد قفل خواهد شد.

بخش بعدی که در تنظیمات این افزونه باید تغییر دهید آن است که هشدار های ایمیل را سفارشی سازی نمایید. ما پیشنهاد میدهیم که هشدار ها را برای فعالیت هایی مانند تغییر افزونه ها، ثبت نام های جدید فعال نمایید. شما میتوانید این بخش را آنطور که میخواهید سفارشی سازی نمایید. برا انجام این کار وارد بخش Settings» Alerts در بخش افزونه Sucuri شوید.

این افزونه امنیتی وردپرس بسیار قدرتمند است و خیالتان را از اکثر حملات هکر ها راحت خواهد کرد. شما میتوانید به بخش های مختلف این افزونه نگاه بیندازید و از قابلیت های گسترده آن استفاده کنید.

فعالسازی اپلیکیشن فایروال وب (WAF) 

راحت ترین راه برای محافظت از سایت شما استفاده از یک اپلیکیشن فایروال وب است. فایروال تمام ترافیک های مزاحم را مسدود میکند قبل از آنکه به سایت شما دست پیدا کنند. ما به شما استفاده از فایروال Sucuri را پیشنهاد میکنیم، این افزونه دارای قدرتمند ترین فایروال وب است و سایت شما را به مکانی امن تر تبدیل خواهد نمود.

بهترین نکته در رابطه با این فایروال آن است که دارای قابلیت حذف بد افزار است. و اگر سایت شما هک شده باشد Sucuri به شما این اطمینان را میدهد که سایت شما را نجات خواهد داد.

این یک گارانتی بسیار قدرتمند در برابر حملات اینترنتی است زیرا نجات یک سایت هک شده کار هر شخصی نیست و رفع این مشکل مبلغ بسیار زیادی را به دنبال دارد. شما برای خرید فایروال Sucuri باید مبلغی معادل 199 دلار در سال پرداخت نمایید. Sucuri تنها افزونه ای نیست که میتواند یک فایروال قدرتمند را برای شما فراهم کند، Cloudflare نیز دارای یک فایروال بسیار قدرتمند است و در عمل نیز رقیب بزرگی برای فایروال Sucuri به حساب می آید.

تغییر نام کاربری پیشفرض “admin” 

در گذشته نام کاربری پیشفرض در وردپرس admin بود و این موضوع باعث میشد تا هک شدن سایت ها توسط هکر ها کار راحت تری باشد. اما اکنون در وردپرس جدید دیگر باید نام کاربری را در ابتدای راه اندازی سایت خود کاربران وارد کنند. اگر وردپرس شما این قابلیت را نداشته باشد، باید بدانید که هکر ها تنها کار مشکلی که باید برای هک نمودن سایت شما انجام دهند آن است که رمز عبور شما را باید حدث بزنند. که امروزه نرم افزار هایی وحود دارند که به صورت تصادفی رمز های زیادی را ایجاد می نمایند که بسیاری از هکر ها از آنها استفاده میکنند.

اگر شما نمیتوانید نام کاربری خود را تغییر دهید باید بدانید که با استفاده از سه روش زیر میتوانید این کار را انجان دهید:

1. یک ادمین جدید ایجاد نمایید و ادمین قبل را حذف کنید.
2. از افزونه تغییر نام کاربری استفاده نمایید.
3. نام کاربری را از طریق phpmyadmin آپدیت کنید.

غیر فعالسازی ویرایش فایل

وردپرس دارای یک ویرایشگر کد است که به شما کمک میکند تا فایل های قالب وردپرس را ویرایش کنید و اگر این قابلیت در دست یک شخص نا کاربلد باشد میتواند یک عامل نابود کننده باشد و ما به شما پیشنهاد میکنیم که این قابلیت را غیر فعال نمایید.

شما میتوانید به راحتی کد زیر را به فایل wp-config.php سایت خود اضافه نمایید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

برای دسترسی به این فایل وارد سی پنل سایت خود شوید و از پنل گزینه مدیریت فایل را انتخاب نمایید و در ریشه اصلی فایل های هاست خود فایل wp-config.php را انتخاب نمایید، سپس آن را در سیستم خود دانلود کنید و آن را در نوت پد باز کنید و سپس کد را در انتهای فایل قرار دهید. فایل را ذخیره نمایید و آن را در ریشه اصلی هاست خود آپلود نمایید. البته بدون استفاده از این کد میتوانید با استفاده از گزینه Hardening در افزونه sucuri میتوانید این کار را انجام دهید.

غیر فعالسازی اجرای فایل های php در دایرکتوری های مهم

راه دیگری که میتوانید با استفاده از آن امنیت سایت وردپرس خود را افزایش دهید آن است که اجرای فایل های php را در دایرکتوری های مهم غیر فعال نمایید.

مطلب پیشنهادی  جلوگیری hotlinking در وردپرس با انجام 5 عمل آسان

شما میتوانید کد زیر را در نوت پد قرار دهید:

<Files *.php>
deny from all
</Files>

سپس فایل را با نام htaccess. ذخیره نمایید و در پوشه “/wp-content/uploads/” در هاست خود آپلود نمایید. که البته با استفاده از گزینه Hardening موجود در افزونه Sucuri این مشکل نیز بدون کد نویسی رفع خواهد شد.

ایجاد محدودیت برای تلاش در ورود به سایت

به صورت پیشفرض وردپرس به کاربران اجازه میدهد تا به هر تعدادی که میخواهند برای ورود در سایت تلاش کنند. این یک نقطه آسیب پذیر برای سایت شما محسوب میشود و با استفاده از آن هکر ها فرصت زیادی برای دسترسی به سایت شما خواهند داشت.

با ایجاد محدودیت میتوانید به سادگی این مشکل را رفع کنید. اگر از یک فایر وال استفاده میکنید دیگر نیازی به انجام این کار نخواهید داشت و فایروال برای شما این مشکل را رفع خواهد کرد. اگر فایروال نداشته باشید میتوانید افزونه  Login LockDown را نصب و فعالسازی کنید و وارد بخش تنظیمات» Login Lockdown شوید تا تنظیمات مورد نظر خود را اعمال نمایید.

تغییر پیشوند دیتابیس وردپرس

به صورت پیشفرض وردپرس از پیشوند wp_ برای تمام جداول دیتابیس استفاده می نماید. اگر وردپرس شما نیز از این پیشوند همچنان استفاده میکند در این صورت هک شدن دیتابیس شما کار راحت تری برای هکر ها خواهد بود به همین دلیل ما به شما پیشنهاد میکنیم تا آن پیشوند را تغییر دهید.

محافظت از صفحات ادمین و ورود با استفاده از پسورد

معمولا هکر ها بدون هیچ محدودیتی پوشه WP-admin و ورود سایت شما را درخواست میکنند، این کار به هکر ها کمک میکند تا با استفاده از حملات DDOS به سایت شما آسیب وارد کنند. شما میتوانید پسورد هایی را برای محافظت از این پوشه قرار دهید تا دیگر از این حملات در امان باشید.

غیر فعالسازی ایندکس نمودن دایرکتوری و مرور آنها

مرور دایرکتوری ها میتواند بوسیله هکر ها استفاده شود تا آسیب های سایت شما را بشناسند و دسترسی به سایت شما پیدا کنند. این قابلیت به کاربران دیگر نیز این امکان را میدهد تا به فایل های سایت شما دسترسی پیدا کنند، به همین دلیل است که به شما پیشنهاد میکنیم تا این قابلیت را غیر فعال نمایید. شما باید وارد Cpanel سایت خود شوید و سپس وارد آیتم مدیریت فایل شوید و فایل htaccess. را در ریشه هاست خود پیدا کنید، اگر وجود نداشت میتوانید آن را ایجاد نمایید. سپس کد زیر را به فایل اضافه کنید و آن را مجددا در همان دایرکتوری آپلود کنید.

Options -Indexes

غیر فعالسازی XML-RPC در وردپرس

XML-RPC به سایت شما این قابلیت را میدهد تا به اپلیکیشن های موبایل متصل شود. درست است که این قابلیت بسیار کاربردی است اما ممکن است باعث حملات زیادی شود و با استفاده از این قابلیت یک هکر میتواند با استفاده از تابع system.multicall  به هر مقداری که میخواهد پسورد را در سایت شما آزمایش نماید، حتی اگر از افزونه Login Lockdown استفاده کرده باشید. به همین دلیل است که به شما پبشنهاد میکنیم تا این قابلیت را غیر فعالسازی نمایید.

برای اعمال تغییرات غیر فعال سازی xml rpc از طریف htaccess کافیست تا کد زیر را در فایل htaccess. قرار دهید و آن را دوباره به هاست خود آپلود کنید:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

خروج کاربران بدون فعالیت

کاربرانی که به حساب خود وارد شده اند ممکن است که از یادشان رفته باشد که از حساب خود خارج شوند  و این موضوع باعث میشود که یک ریسک امنیتی در سایت شما ایجاد شود. ممکن است یک شخص بتواند به حساب آن کاربر نفوذ کنید و رمز عبور او را تغییر دهد و تغییراتی را در حساب کاربری او ایجاد نماید. به همین دلیل است که سایت های بانکی پس از یه مدت به صورت اتوماتیک کاربر غیر فعال را از حساب خود خارج میکنند. شما نیز میتوانید برای سایت خود این قابلیت را ایجاد نمایید.

کافیست تا افزونه  Idle User Logout را نصب و فعالسازی نمایید و تنظیمات آن را آنگونه که میخواهید پیکربندی نمایید و یک زمان مشخصی برای خروج کاربران تعیین کنید.

افزودن سوالات امنیتی به صفحه ورود وردپرس

افزودن یک سوال امنیتی به صفحه ورود وردپرس میتواند از ورود های نابجا و افراد تایید نشده جلوگیری کند. شما میتوانید سوالات امنیتی را با استفاده از افزونه  WP Security Questions به سایت خود اضافه نمایید. سپس با ورود به بخش تنظیمات»Security Questions میتوانید تنظیمات مورد نظر خود را پیکربندی نمایید.

تعمیر سایت هک شده

بسیاری از کاربران اهمیت فایل پشتیبان و امنیت را نمیدانند البته تا زمانی که سایتشان هک شود. تعمیر و رفع این مشکل میتواند بسیار مشکل و زمانبر باشد. توصیه ما در این شرایط آن است که تعمیر سایت را به یک حرفه ای بسپارید. هکر ها فایل های خود را در سایت ها نصب میکنند و اگر این فایل ها به صورت کامل حذف نشوند سایت شما میتواند به سادگی دوباره هک شود. به همین دلیل است که ما به شما استفاده از افزونه Sucuri را پیشنهاد نمودیم.

با استفاده از این افزونه میتوانید به سادگی از سایت خود در برابر تمام حملات دفاع کنید. اگر سایت شما هک شود Sucuri به سادگی سایت شما را به حالت قبل باز خواهد گرداند.

امیدوارم با استفاده از توصیه های دیجی وردپرس توانسته باشید امنیت سایت وردپرس خود را ارتقاء دهید.