09108670913 09199912950

نکات افزایش امنیت در وردپرس قدم به قدم

خانه / وردپرس / آموزش وردپرس / نکات افزایش امنیت در وردپرس قدم به قدم
wp-security

نکات افزایش امنیت در وردپرس قدم به قدم

امنیت در وردپرس یکی از مهم ترین مواردی است که تمام صاحبان سایت ها به آن اهمیت بسیاری میدهند. هر هفته گوگل ۲۰۰۰۰سایت را به خاطر بد افزار مسدود میکند. اگر در رابطه با سایت خود جدی هستید در این صورت باید به امنیت سایت خود اهمیت بسیار زیادی بدهید. در این مطلب نکات مهم و بسیار کاربردی در رابطه با امنیت وردپرس به شما توصیه خواهم کرد، با استفاده از این مطلب میتوانید از سایت خود در مقابل هکر ها و بد افزار ها محافظت کنید.

چرا امنیت سایت مهم است؟

در حالی که هسته نرم افزاری وردپرس بسیار امن است اما باز هم احتمال حملات از سوی هکر ها به سایت شما هست و نمیتوان این امر را انکار نمود. یک سایت هک شده میتواند عواقب جدی بر روی کسب و کار شما داشته باشد. هکر ها میتوانند اطلاعات کاربران را بدزدند، میتوانند پسور آنها را تغییر دهند و بد افزار در سایت شما نصب نمایند. و بدترین اتفاقی که ممکن است برای سایت شما بیافتد آن است که هکر دسترسی شما از سایت را بگیرد و در قبال آن از شما مبلغی را درخواست نماید، که در اصطلاح به آن ( باج افزار ) میگویند.

whysecurityisimportant

اگر از سایت خود کسب درآمد مینمایید در این صورت باید به امنیت سایت خود اهمیت بسیار زیادی بدهید و تمام توانایی خود را برای رفع مشکلات امنیتی سایت خود استفاده نمایید. در این آموزش وردپرس نکات لازم برای برای افزایش امنیت سایت وردپرس را با هم بررسی می کنیم.

وردپرس را آپدیت نگه دارید

wpupdates

وردپرس یک نرم افزار متن باز است که هر چند وقت یکبار نیاز به آپدیت دارد. به صورت پیشفرض وردپرس آپدیت های ضروری را به صورت خودکار انجام میدهد اما برای برخی از آپدیتها خودتان باید اقدام نمایید. وردپرس دارای افزونه ها و قالب های بسیار زیادی است که شما میتوانید آنها را بر روی سایت خود نصب نمایید و این قالب ها و افزونه ها نیز پس از مدتی نیازمند به آپدیت خواهند بود که شما نباید آنها را نادیده بگیرید.

آپدیت هایی که مشاهده میکنید و آنها را نادیده میگیرید بسیار مهم هستند زیرا در هر آپدیت وردپرس مشکلات امنیتی خود را رفع مینماید. همچنین افزونه ها و قالب ها نیز در هر آپدیت مشکلات امنیتی خود را رفع میکنند و شما همیشه باید آنها را آپدیت نگه داربد.

پسورد قدرتمند و دسترسی های کاربران

strongpasswords

یکی از بزرگترین اشتباهاتی که مدیران سایت ها مرتکب میشوند استفاده از رمز های بسیار ساده است، زیرا هکر ها میتوانند آنها را به سادگی هک کنند، پس باید سعی کنید تا پسورد قدرتمندی برای سایت خود فراهم کنید. نه فقط برای محیط ادمین وردپرس بلکه برای حساب FTP، حساب هاستینگ، Cpanel، و ایمیل سایت خود باید یک پسورد منحصر به فرد و قدرتمند فرآهم کنید.

دلیل آنکه بیشتر افراد از پسورد های قدرتمند استفاده نمیکنند آن است که ممکن است آن را فراموش کنند در این صورت میتوانید از یک نرم افزار مدیریت کننده پسورد مانند Lastpass استفاده کنید. در صورت استفاده از این نرم افزار دیگر نیازی نیست تا نگران امنیت رمز های خود باشید چون این نرم افزار امنیت کاملی را برای رمز عبور های شما فراهم میکند.

راه دیگری که میتوانید ریسک را کاهش دهید آن است که دسترسی حساب کاربری خود را به هیچ شخصی ندهید و اگر نویسنده های زیادی در سایت خود دارید میتوانید برای آنها حساب کاربری ایجاد نمایید و نقش نویسنده را به او بدهید.

نقش هاست وردپرس

هاست سایت وردپرس شما نقش بسیار زیادی در امنیت سایت شما دارد و یک هاست مناسب تدابیر امنیتی زیادی برای مقابله با حملات باید داشته باشد. داشتن قابلیت ایجاد فایل پشتیبان به صورت خودکار و آپدیت اتوماتیک وردپرس قابلیت هایی هستند که یک هاست مناسب باید داشته باشد. پس حتما در انتخاب هاست برای سایت خود باید دقت زیادی داشته باشید تا امنیت مناسبی  را برای سایت خود فراهم کنید. [ هاست چیست و نحوه انتخاب هاست خوب ]

ایجاد امنیت در وردپرس در چند قدم (بدون کدنویسی)

میدانیم که ایجاد امنیت برای وردپرس میتواند کار مشکلی باشد مخصوصا برای افراد مبتدی. خب نیازی نیست که نگران باشید. ما به هزاران کاربر وردپرس کمک نموده ایم تا امنیت را برای سایت وردپرس خود فراهم نمایند. اکنون به شما کمک خواهیم کرد تا این کار را به سادگی و فقط با چند کلیک انجام دهید.

نصب یک افزونه ایجاد فایل پشتیبان

backup

فایل های پشتیبان اولین دفاع در برابر حملات هستند. به یاد داشته باشید که هیچ چیز ۱۰۰% امن نیست. اگر سایت های قدرتمند قابل هک هستند حتما سایت شما نیز قابل هک است. فایل های پشتیبان به شما کمک میکنند تا به سرعت سایت وردپرس خود را به حالت قبل باز گردانید. با استفاده از این روش به هر مقداری نیز سایت شما آسیب دیده باشد قابل جبران خواهد بود.

افزونه های ایجاد فایل پشتیبانی زیادی وجود دارند که شما میتوانید از آنها استفاده نمایید. باید بدانید که همیشه باید یک فایل پشتیبان کامل از سایت خود در مکانی غیر از هاست خود داشته باشید. میتوانید از سرویس های فضای ذخیره سازی ابری قدرتمندی مانند Dropbox استفاده نمایید. و باید دقت داشته باشید که فایل های پشتیبان شما همیشه باید به روز باشند.

خوشبختانه با استفاده از افزونه های وردپرس مانند VaultPress یا BackupBuddy میتوانید خیال خود را از ایجاد فایل پشتیبان راحت کنید البته این افزونه ها رایگان نیستند. افزونه های رایگان زیادی جهت ایجاد فایل پشتیبان وجود دارند اما این دو افزونه بسیار قدرتمند هستند و تمام نیاز های شما را میتوانند برآورده نمایند.

بهترین افزونه امنیت وردپرس

بعد از فایل پشتیبان مورد بعدی که نیاز دارید یک سیستم امنیتی است که تمام فعالیت های موجود در سایت شما را کنترل نماید. خوشبختانه با استفاده از افزونه امنیتی رایگان Sucuri دیگر نگرانی در این مورد نخواهید داشت و با استفاده از آن میتوانید فعالیت های موجود در سایت را تحت نظر داشته باشبد و بد افزار ها را به سادگی شناسایی کنید. کافیست تا افزونه Sucuri Security plugin را نصب و فعالسازی نمایید.

sucurifreeapi

پس از فعالسازی وارد صفحه افزونه در پیشخوان وردپرس خود شوید و بر روی دکمه Generate API key کلیک کنید تا کلید برای شما ایجاد شود. سپس وارد تب Hardening از منوی sucuri شوید. در تمام گزینه ها دکمه “Harden” را بزنید. با استفاده از این کار نقاط مهم سایت شما که مورد حمله هکر ها قرار میگیرد قفل خواهد شد.

sucuriharden

بخش بعدی که در تنظیمات این افزونه باید تغییر دهید آن است که هشدار های ایمیل را سفارشی سازی نمایید. ما پیشنهاد میدهیم که هشدار ها را برای فعالیت هایی مانند تغییر افزونه ها، ثبت نام های جدید فعال نمایید. شما میتوانید این بخش را آنطور که میخواهید سفارشی سازی نمایید. برا انجام این کار وارد بخش Settings» Alerts در بخش افزونه Sucuri شوید.

sucuriemailalerts

این افزونه امنیتی وردپرس بسیار قدرتمند است و خیالتان را از اکثر حملات هکر ها راحت خواهد کرد. شما میتوانید به بخش های مختلف این افزونه نگاه بیندازید و از قابلیت های گسترده آن استفاده کنید.

فعالسازی اپلیکیشن فایروال وب (WAF) 

راحت ترین راه برای محافظت از سایت شما استفاده از یک اپلیکیشن فایروال وب است. فایروال تمام ترافیک های مزاحم را مسدود میکند قبل از آنکه به سایت شما دست پیدا کنند. ما به شما استفاده از فایروال Sucuri را پیشنهاد میکنیم، این افزونه دارای قدرتمند ترین فایروال وب است و سایت شما را به مکانی امن تر تبدیل خواهد نمود.

sucuriwaf

بهترین نکته در رابطه با این فایروال آن است که دارای قابلیت حذف بد افزار است. و اگر سایت شما هک شده باشد Sucuri به شما این اطمینان را میدهد که سایت شما را نجات خواهد داد.

این یک گارانتی بسیار قدرتمند در برابر حملات اینترنتی است زیرا نجات یک سایت هک شده کار هر شخصی نیست و رفع این مشکل مبلغ بسیار زیادی را به دنبال دارد. شما برای خرید فایروال Sucuri باید مبلغی معادل ۱۹۹ دلار در سال پرداخت نمایید. Sucuri تنها افزونه ای نیست که میتواند یک فایروال قدرتمند را برای شما فراهم کند، Cloudflare نیز دارای یک فایروال بسیار قدرتمند است و در عمل نیز رقیب بزرگی برای فایروال Sucuri به حساب می آید.

تغییر نام کاربری پیشفرض “admin” 

در گذشته نام کاربری پیشفرض در وردپرس admin بود و این موضوع باعث میشد تا هک شدن سایت ها توسط هکر ها کار راحت تری باشد. اما اکنون در وردپرس جدید دیگر باید نام کاربری را در ابتدای راه اندازی سایت خود کاربران وارد کنند. اگر وردپرس شما این قابلیت را نداشته باشد، باید بدانید که هکر ها تنها کار مشکلی که باید برای هک نمودن سایت شما انجام دهند آن است که رمز عبور شما را باید حدث بزنند. که امروزه نرم افزار هایی وحود دارند که به صورت تصادفی رمز های زیادی را ایجاد می نمایند که بسیاری از هکر ها از آنها استفاده میکنند.

اگر شما نمیتوانید نام کاربری خود را تغییر دهید باید بدانید که با استفاده از سه روش زیر میتوانید این کار را انجان دهید:

  1. یک ادمین جدید ایجاد نمایید و ادمین قبل را حذف کنید.
  2. از افزونه تغییر نام کاربری استفاده نمایید.
  3. نام کاربری را از طریق phpmyadmin آپدیت کنید.

غیر فعالسازی ویرایش فایل

وردپرس دارای یک ویرایشگر کد است که به شما کمک میکند تا فایل های قالب وردپرس را ویرایش کنید و اگر این قابلیت در دست یک شخص نا کاربلد باشد میتواند یک عامل نابود کننده باشد و ما به شما پیشنهاد میکنیم که این قابلیت را غیر فعال نمایید.

filediting

شما میتوانید به راحتی کد زیر را به فایل wp-config.php سایت خود اضافه نمایید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

برای دسترسی به این فایل وارد سی پنل سایت خود شوید و از پنل گزینه مدیریت فایل را انتخاب نمایید و در ریشه اصلی فایل های هاست خود فایل wp-config.php را انتخاب نمایید، سپس آن را در سیستم خود دانلود کنید و آن را در نوت پد باز کنید و سپس کد را در انتهای فایل قرار دهید. فایل را ذخیره نمایید و آن را در ریشه اصلی هاست خود آپلود نمایید. البته بدون استفاده از این کد میتوانید با استفاده از گزینه Hardening در افزونه sucuri میتوانید این کار را انجام دهید.

غیر فعالسازی اجرای فایل های php در دایرکتوری های مهم

راه دیگری که میتوانید با استفاده از آن امنیت سایت وردپرس خود را افزایش دهید آن است که اجرای فایل های php را در دایرکتوری های مهم غیر فعال نمایید.

شما میتوانید کد زیر را در نوت پد قرار دهید:

<Files *.php>
deny from all
</Files>

سپس فایل را با نام htaccess. ذخیره نمایید و در پوشه “/wp-content/uploads/” در هاست خود آپلود نمایید. که البته با استفاده از گزینه Hardening موجود در افزونه Sucuri این مشکل نیز بدون کد نویسی رفع خواهد شد.

ایجاد محدودیت برای تلاش در ورود به سایت

به صورت پیشفرض وردپرس به کاربران اجازه میدهد تا به هر تعدادی که میخواهند برای ورود در سایت تلاش کنند. این یک نقطه آسیب پذیر برای سایت شما محسوب میشود و با استفاده از آن هکر ها فرصت زیادی برای دسترسی به سایت شما خواهند داشت.

با ایجاد محدودیت میتوانید به سادگی این مشکل را رفع کنید. اگر از یک فایر وال استفاده میکنید دیگر نیازی به انجام این کار نخواهید داشت و فایروال برای شما این مشکل را رفع خواهد کرد. اگر فایروال نداشته باشید میتوانید افزونه  Login LockDown را نصب و فعالسازی کنید و وارد بخش تنظیمات» Login Lockdown شوید تا تنظیمات مورد نظر خود را اعمال نمایید.

loginlockdown-settings

تغییر پیشوند دیتابیس وردپرس

به صورت پیشفرض وردپرس از پیشوند wp_ برای تمام جداول دیتابیس استفاده می نماید. اگر وردپرس شما نیز از این پیشوند همچنان استفاده میکند در این صورت هک شدن دیتابیس شما کار راحت تری برای هکر ها خواهد بود به همین دلیل ما به شما پیشنهاد میکنیم تا آن پیشوند را تغییر دهید.

محافظت از صفحات ادمین و ورود با استفاده از پسورد

passwordprotected

معمولا هکر ها بدون هیچ محدودیتی پوشه WP-admin و ورود سایت شما را درخواست میکنند، این کار به هکر ها کمک میکند تا با استفاده از حملات DDOS به سایت شما آسیب وارد کنند. شما میتوانید پسورد هایی را برای محافظت از این پوشه قرار دهید تا دیگر از این حملات در امان باشید.

غیر فعالسازی ایندکس نمودن دایرکتوری و مرور آنها

directorybrowsing

مرور دایرکتوری ها میتواند بوسیله هکر ها استفاده شود تا آسیب های سایت شما را بشناسند و دسترسی به سایت شما پیدا کنند. این قابلیت به کاربران دیگر نیز این امکان را میدهد تا به فایل های سایت شما دسترسی پیدا کنند، به همین دلیل است که به شما پیشنهاد میکنیم تا این قابلیت را غیر فعال نمایید. شما باید وارد Cpanel سایت خود شوید و سپس وارد آیتم مدیریت فایل شوید و فایل htaccess. را در ریشه هاست خود پیدا کنید، اگر وجود نداشت میتوانید آن را ایجاد نمایید. سپس کد زیر را به فایل اضافه کنید و آن را مجددا در همان دایرکتوری آپلود کنید.

Options -Indexes

غیر فعالسازی XML-RPC در وردپرس

XML-RPC به سایت شما این قابلیت را میدهد تا به اپلیکیشن های موبایل متصل شود. درست است که این قابلیت بسیار کاربردی است اما ممکن است باعث حملات زیادی شود و با استفاده از این قابلیت یک هکر میتواند با استفاده از تابع system.multicall  به هر مقداری که میخواهد پسورد را در سایت شما آزمایش نماید، حتی اگر از افزونه Login Lockdown استفاده کرده باشید. به همین دلیل است که به شما پبشنهاد میکنیم تا این قابلیت را غیر فعالسازی نمایید.

برای اعمال تغییرات غیر فعال سازی xml rpc از طریف htaccess کافیست تا کد زیر را در فایل htaccess. قرار دهید و آن را دوباره به هاست خود آپلود کنید:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

خروج کاربران بدون فعالیت

کاربرانی که به حساب خود وارد شده اند ممکن است که از یادشان رفته باشد که از حساب خود خارج شوند  و این موضوع باعث میشود که یک ریسک امنیتی در سایت شما ایجاد شود. ممکن است یک شخص بتواند به حساب آن کاربر نفوذ کنید و رمز عبور او را تغییر دهد و تغییراتی را در حساب کاربری او ایجاد نماید. به همین دلیل است که سایت های بانکی پس از یه مدت به صورت اتوماتیک کاربر غیر فعال را از حساب خود خارج میکنند. شما نیز میتوانید برای سایت خود این قابلیت را ایجاد نمایید.

کافیست تا افزونه  Idle User Logout را نصب و فعالسازی نمایید و تنظیمات آن را آنگونه که میخواهید پیکربندی نمایید و یک زمان مشخصی برای خروج کاربران تعیین کنید.

افزودن سوالات امنیتی به صفحه ورود وردپرس

loginsecquest-1-digiwp

افزودن یک سوال امنیتی به صفحه ورود وردپرس میتواند از ورود های نابجا و افراد تایید نشده جلوگیری کند. شما میتوانید سوالات امنیتی را با استفاده از افزونه  WP Security Questions به سایت خود اضافه نمایید. سپس با ورود به بخش تنظیمات»Security Questions میتوانید تنظیمات مورد نظر خود را پیکربندی نمایید.

تعمیر سایت هک شده

بسیاری از کاربران اهمیت فایل پشتیبان و امنیت را نمیدانند البته تا زمانی که سایتشان هک شود. تعمیر و رفع این مشکل میتواند بسیار مشکل و زمانبر باشد. توصیه ما در این شرایط آن است که تعمیر سایت را به یک حرفه ای بسپارید. هکر ها فایل های خود را در سایت ها نصب میکنند و اگر این فایل ها به صورت کامل حذف نشوند سایت شما میتواند به سادگی دوباره هک شود. به همین دلیل است که ما به شما استفاده از افزونه Sucuri را پیشنهاد نمودیم.

با استفاده از این افزونه میتوانید به سادگی از سایت خود در برابر تمام حملات دفاع کنید. اگر سایت شما هک شود Sucuri به سادگی سایت شما را به حالت قبل باز خواهد گرداند.

امیدوارم با استفاده از توصیه های دیجی وردپرس توانسته باشید امنیت سایت وردپرس خود را ارتقاء دهید.

1 ستاره2 ستاره3 ستاره4 ستاره5 ستاره (1 امتیاز, میانگین: 5٫00 از 5)
Loading...

  • دیدگاهتان فقط و فقط در رابطه با همین مطلب باشد.
  • لطفا از تایپ فینگلیش بپرهیزید. در غیر اینصورت دیدگاه شما بررسی نخواهد شد.
  • هدفتان از ارسال دیدگاه تبلیغ یا بک لینک نباشد. در غیر اینصورت دیدگاه حذف می شود.
  • به دیگر توهین و اهانت نکنید.

۶ دیدگاه

  1. ریحانه

    سلام . ممنون از شما به خاطر این مطلب مفید.
    عناوین سایت من در نتایج جستجوی گوگل به صورت حروف ژاپنی ظاهر میشه. آیا سایتم هک شده؟
    میشه راهنمایی کنید؟

    • هادی قربانی

      سلام دوست عزیز
      اگر سایتتون ایندکس هاش به صورت حروف ژاپنی یا چینی نشون داده میشه یعنی اینکه داخل سایتتون malware وجود داره.
      دلیلش می تونه استفاده از افزونه یا قالب نال شده باشه که داخلش کدهای مخرب قرار داده شده.
      برای رفع مشکل :
      ابتدا قالب و افزونه های نصب شده را کامل بررسی کنید در صورت امکان حذفشون کنید و دوباره از منابع معتبر دریافتشون کرده و نصب کنید.
      اگر فایل مشکوکی داخل هاستتون میبینید به صورت دستی حذفشون کنید.
      در پایان به پشتیبان هاستتون بگید یه اسکن روی هاست انجام بدن اگر مشکلی باشه با اسکن پشتیبانی هاستینگ مشخص میشه.

      • ریحانه

        ممنون از پاسخگویی سریعتون. هاست رو اسکن کردند و چیزی پیدا نکردند.
        راستش من تازه قالب سایت رو عوض کردم و البته خریدم. پس احتمالا مشکل از اونه! یعنی نال شدست؟
        بازم ممنون

      • هادی قربانی

        بله تنها دلیلش همین می تونه باشه.
        این مشکل رو بنده خودم تجربه کردم و روی سایت بعضی از مشتریان مشکل رو رفع کردیم .
        ببینید آخرین تغییراتتون چی بوده اونا رو بررسی کنید.
        پیشنهاد می کنم اگر فکر می کنید مشکل می تونه از قالب باشه ابتدا قالب رو تغییر بدید , بعدش در وبمستر تولز بخش Fetch as Google رو بزنید تا گوگل مجددا سایت رو بررسی کنه.
        حتی به خاطر این مشکل ممکنه وبمستر تولز بهتون اخطار بده .

      • هادی قربانی

        می تونید با استفاده از این افزونه که در لینک زیر معرفی شده خودتون اقدام به اسکن سایتتون کنید.
        فایروال قدرتمند برای اسکن امنیتی وردپرس

  2. خرید ممبر

    خیلی عالی بود ممنون

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *