10 نکته برای افزایش امنیت وردپرس

ما به تجربه می دانیم که هک شدن سایتمان اصلا سرگرم کننده نیست. به همین دلیل، اینجا در همیار وردپرس، امنیت را بسیار جدی می گیریم.

در امتداد رویکرد جدی ما نسبت به امنیت، محصولات ما برای امنیت بیشتر با دقت بهینه سازی شده اند. با این حال، زمانی که در حال اجرای یک وب سایت هستیم هنوز هم تعداد انگشت شماری از خطرات امنیتی بالقوه وجود دارد، که ما هیچ کنترلی بر آنها نداریم. شما به عنوان مالک وب سایت، به منظور امن نگه داشتن وب سایت خود، نیاز به توجه به این خطرات امنیتی بالقوه دارید.
با توجه به این، در اینجا 10 رویکرد وجود دارد که شما می توانید برای بهبود بخشیدن به امنیت وردپرس خود انجام دهید.

1. از میزبانی امن استفاده کنید

cloud_server_icon_400x300

همه ی ارائه دهندگان خدمات میزبانی وب همسان ایجاد نشده اند و در واقع، اکانتهای آسیب پذیر میزبانی در درصد زیادی از سایت های وردپرس که از آنها استفاده کرده اند، هک شده اند.
در هنگام انتخاب ارائه دهندگان میزبانی وب، به سادگی به سراغ ارزانترین آنها نروید. تحقیقات خود راانجام دهید و مطمئن شوید که از شرکتی که به خوبی تثبیت شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید.
این کار همیشه ارزش پرداخت کمی هزینه ی اضافه تر برای آرامش ذهن شما را دارد، زیرا که می دانید سایت شما ایمن است.
در اینجا برخی از راه حل های میزبانی که توسط ما توصیه شده است را پیدا می کنید.

تصمیم در همیار وردپرس یک صفحه مخصوص معرفی سرورهای امن و هاستینگ های مناسب وردپرس معرفی کنیم . پس منتظر رونمایی از این صفحه باشید

2. همه چیز را به روز رسانی کنید

upgrade_1x

هر نسخه جدید وردپرس شامل وصله ها و تعمیراتی است که آسیب پذیری های واقعی یا بالقوه را نشان می دهد.اگر شما وب سایت خود را با آخرین نسخه وردپرس به روز رسانی نکنید، می توانید وب سایت خود را در معرض حملات قرار دهید.
بسیاری از هکرها عمدا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “لطفا به روز رسانی کنید” چشم پوشی نکنید.
همین امر درباره ی تم ها و پلاگین ها هم صدق می کند. اطمینان حاصل کنید که به محض انتشار آخرین نسخه سایت خود را به روز رسانی کنید. اگر همه چیز را به روز رسانی شده نگه دارید، کمتر امکان دارد که سایت شما هک شود.

3. رمز عبورتان را تقویت کنید

pribore

با توجه به infographic، حدود 8% از وب سایت های هک شده ی وردپرس، به علت داشتن کلمات عبور ضعیف بوده است.
اگر کلمه عبور وردپرس شما چیزی مانند ‘let me in’ یا ‘abc123’ یا ‘password’ باشد (این رمز عبور ها از آنچه شما فکر می کنید، شایع تر هستند!)، باید آن را در اسرع وقت به چیز امن تری تغییر دهید.
برای یک رمز عبور از چیزی استفاده کنید که به خاطر داشتن آن آسان باشد، اما شکستن آن بسیار سخت، به شما توصیه میکنم از یک دستور العمل رمز عبور خوب استفاده کنید.
اگر احساس تنبلی می کنید، می توانید یک مدیر رمز عبور، مانند LastPass که همه ی کلمات عبور شما را به خاطر داشته باشد، استفاده کنید. اگر از این روش استفاده می کنید، مطمئن شوید که رمز عبور اصلی شما خوب و قوی است.

4. هرگز ازکلمه ی “admin” به عنوان نام کاربری خود استفاده نکنید

noadmin

اوایل سال جاری، موجی از حملاتbrute-force بر روی وب سایت های وردپرس در سراسر وب راه اندازی شده بود، که شامل تلاش های مکرر برای ورود با استفاده از نام کاربری ‘admin’ همراه با یک سری کلمات عبور مشترک، می شد.
اگر از کلمه ی “admin” به عنوان نام کاربری خود استفاده می کنید، و رمز عبور شما به اندازه کافی قوی نیست (#3 را ببینید) پس سایت شما در برابر حمله های مخرب، بسیار آسیب پذیر است. به شدت توصیه می شود که نام کاربری خود را به چیزی که کمتر آشکار است تغییر دهید.
تا قبل از نسخه ی 3.0، نصب خودکار وردپرس، کاربری ایجاد می کرد که نام کاربری آن “admin” بود. در نسخه 3.0 این بخش به روز رسانی شد، بنابراین در حال حاضر می توانید نام کاربری خود را انتخاب کنید. بسیاری از کاربرها هنوز هم از “admin” به عنوان نام کاربری استفاده می کنند زیرا که به یک نوع استاندارد تبدیل شده، و به خاطر داشتن آن آسان است. برخی از وب سایت های میزبان از اسکریپت های auto-install که هنوز هم نام کاربری ‘admin’ را به طور پیش فرض تنظیم می کنند، استفاده می کنند.
برای رفع کردن این مشکل، به سادگی یک حساب کاربری مدیر جدید برای خودتان با استفاده از یک نام کاربری مختلف، ایجاد کنید، با نام کاربری جدید وارد شوید و و حساب “admin” اصلی را حذف کنید.
اگر پست هایی دارید که توسط حساب “admin” منتشر شده اند، بعد از حذف کردن، می توانید تمام پست های قبلی را به حساب کاربری جدید خود اختصاص دهید.

5. نام کاربری خود را ازURL بایگانی نویسنده پنهان کنید

400

راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.
وردپرس به طور پیش فرض نام کاربری شما را درURL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شماjoebloggs است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/joebloggs خواهد بود.
به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها، که در اینخا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.

6. تعداد دفعات تلاش برای ورود را محدود کنید

blog-security

در مواردی که یک هکر یا یک ربات با استفاده از حمله ی brute-force برای شکستن رمز عبور شما تلاش می کند، محدود کردن تعداد دفعات تلاش های شکست خورده از یک آدرس IP مشخص برای ورود به سیستم، مفید خواهد بود.
محدود کردن تعداد دفعات تلاش برای ورود فقط این کار را انجام می دهد: به شما اجازه می دهد که مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش های مجدد شکست خورده برای ورود به سیستم، قفل خواهد شد.
راه هایی هم برای دور زدن این کار وجود دارد، زیرا که برخی از حمله کننده ها، از تعداد زیادی از آدرس های IP مختلف استفاده می کنند، اما هنوز هم به عنوان احتیاط بیشتر ارزش انجام دادن را دارد.

  خطای 429 Too Many Requests در وردپرس + رفع آن

7. ویرایش فایل ها از طریق داشبورد را غیر فعال کنید

edit

در یک نصب وردپرس به طور پیش فرض، شما می توانید به نمایش / ویرایشگر رفته و هر یک از فایل های تم خود را دقیقا در داخل داشبورد ویرایش کنید.

مشکل این است که اگر یک هکر موفق به دسترسی به پنل مدیریت شما شد، آنها نیز می تواند فایل های شما را به این ترتیب ویرایش کنند، و هر کدی را که می خواهند اجرا کنند.

پس ایده ی خوبی است که این روش ویرایش فایل ها را با اضافه کردن موارد زیر به فایل wp-config.php خود، غیر فعال کنید:
define( ‘DISALLOW_FILE_EDIT’, true );

8. سعی کنید از تم های رایگان استفاده نکنید

pixelpress

ما به کیفیت و امنیت تم های رایگان خود اعتماد داریم. اما به عنوان یک قاعده کلی، در صورت امکان، بهتر است از تم های رایگان استفاده نکنید، به خصوص اگر که آنها توسط یک توسعه دهنده ی معتبر هم ساخته نشده باشند.
دلیل اصلی برای انجام ندادن این کار است که تم های رایگان اغلب می تواند شامل چیزهایی مانند رمز گذاری base64 باشند، که ممکن است به شکل نا محسوسی برای وارد کردن لینک های اسپم در سایت شما، و یا کدهای مخرب دیگری که می تواند همه نوع مشکلی ایجاد کند، مورد استفاده قرار گیرد، همانطور که در این آزمایش نشان داده شده است، 8 عدد از 10 عدد سایتی که تم رایگان ارائه می دهند حاوی کد base64 هستند.
اگر شما واقعا نیاز به استفاده از یک تم رایگان دارید، فقط باید از آنهایی استفاده کنید که توسط شرکت های سازنده ی تم مورد اعتماد توسعه یافته باشند، و یا از آنهایی که در مخزن رسمی تم هایWordPress.org در دسترس هستند، استفاده کنید.
توجه: همان منطق در مورد پلاگین ها هم صدق می کند. فقط از پلاگین هایی که در لیستWordPress.org ذکر شده اند، و یا توسط یک توسعه دهنده معتبر ساخته شده اند، استفاده کنید.

9. یک نسخه ی پشتیبان نگه دارید

wordpress-dropbox

من نمی توانم اهمیت پشتیبان گیری منظم از وب سایتتان را بیش از این تاکید کنم. این چیزی است که بسیاری از مردم تا زمانی که دیگر خیلی دیر شده است، انجام نمی دهند.
حتی اگر بهترین تدابیر امنیتی را در اختیار داشته باشید، هیچ وقت نمی دانید که چه وقت اتفاق غیر منتظره ای رخ خواهد داد که ممکن است سایت شما را برای یک حمله آماده کند.
در صورتی که این اتفاق بیافتد، باید مطمئن باشید که تمام محتوای شما به آسانی باز خواهد گشت، به طوری که بتوانید به راحتی سایت خود را به شکوه سابق آن بازگردانید.
Codex وردپرس به شما می گوید که دقیقا چگونه از سایت خود پشتیبان گیری کنید، و در صورتی که این کار بیش از حد سخت به نظر می رسد، می توانید از یک پلاگین مانند WordPress Backup to Dropbox استفاده کنید که به طور منظم و خودکار از سایت شما پشتیبان گیری کند.

10. از افزونه های امنیتی استفاده کنید

wordpress-security

دزست مانند تمام اقدامات فوق، افزونه های زیادی وجود دارد که شما می توانید از آنها برای تشدید امنیت سایت خود و کاهش احتمال هک شدن، استفاده کنید.
در اینجا تعداد انگشت شماری از گزینه های محبوب وجود دارد:
http://wordpress.org/plugins/better-wp-security/ – طیف گسترده ای از ویژگی های امنیتی را ارائه می دهد.
http://wordpress.org/plugins/bulletproof-security/ – سایت خود را از طریق .htaccess محافظت می کند.
http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – یک فایروال به سایت شما می افزاید.
http://wordpress.org/plugins/sucuri-scanner/ – سایت شما را برای نرم افزارهای مخرب و غیره اسکن می کند.
http://wordpress.org/plugins/wordfence/ – پلاگین امنیتی با وژگی های کامل.
• http://wordpress.org/plugins/websitedefender-wordpress-security/ – ابزارهای جامع امنیتی.
http://wordpress.org/plugins/exploit-scanner/ – پایگاه داده های شما را برای هر کد مشکوکی جستجو می کند.

منابع بیشتر

برای کسب اطلاعات بیشتر در مورد سختتر کردن امنیت وب سایتتان، لطفا این دو منبع را بررسی کنید:
http://codex.wordpress.org/Hardening_WordPress
http://wp.tutsplus.com/tutorials/11-quick-tips-securing-your-wordpress-site
اگر شما در مورد این موضوع مطمئن نیستید ما همچنین Sucuri.netرا توصیه می کنیم. Sucuri می تواند برای نظارت بر سایتتان به شما کمک کند، فعالیت های مشکوک را هشدار دهد و حتی برای پاک کردن سایتتان در موارد حمله های نرم افزاری مخرب، شما را یاری دهد.
نگران نشوید!
همه اینها ممکن است بسیار تهدید آمیز به نظر بیایند، به خصوص اگر شما یک مبتدی باشید. می خواهم گوشزد کنم که اینها برای ترساندن کسی نیست، فقط مهم است که مباحث امنیتی را به طور منظم پیگیری کنیم، زیرا که ما می خواهیم مطمئن شویم که شما همیشه یک قدم از هکرها جلوتر هستید!
لازم نیست که شما همه آنچه را که در این لیست است انجام دهید (هر چند که قطعا انجامش صدمه ای نخواهد زد). حتی اگر شما فقط نام کاربری ‘admin’ را حذف کنید و شروع به استفاده از کلمات عبور قویتر نمایید، سایت شما کمی امن تر خواهد شد.

در آخر هم خدمت کاربرای عزیز همیار وردپرس عرض کنم که اگر از این نوع مقالات امنیتی خوشتان آمد اطلاع دهید تا بیشتر در این زمینه برای شما مقاله تهیه کنیم …

wordpress-security-hamyarwp

آیا این مقاله برای شما مفید بود؟
تقریبا
خیر

دیدگاهتان را بنویسید

ارسال دیدگاه به معنی این است که شما ابتدا قوانین ارسال دیدگاه را مطالعه کرده‌اید و با آن موافق هستید.

دیدگاه‌های این نوشته جدید ترین ها شاخص

  1. سلام. مطالب عالی و مفیدی بود
    لطفا برای پنهان کردن نام کاربری ازURL بایگانی نویسنده, بیشتر توضیح بدید

  2. سلام
    من در سایت خودم محصولات دانلودی با ووکامرس میفروشم ، یک نفر به من ایمیل زده میگه امنیت سایت شما پایینه و بدون پرداخت میشه فایل ها را دانلود کرد میخواستم ببینم چنین چیزی ممکنه ؟ برای افزایش امنیت باید چه افزونه ای را نصب کنم ؟ یا فایل های دانلودی خودم را چگونه اپلود کنم ؟

  3. خیلی ممنون/ عالی بود

  4. 8 سال عضو همیار وردپرس

    خیلی ممنون از مطلب خوب و مفیدتون. بسیار آموزنده بود.

  5. سلام . خسته نباشید . ممنون از نطالب بسیار مفید شما . دو تا سوال دارم که ممنون میشم لطف فرموده و پاسخ بنده را بفرمایید (متشکرم) سوال یک ) یکی از موارد امنیتی که فرموده بودید ، پنهان کردن نام کاربری ااز URl بایگاانی نویسنده بود، چطور باید این کار را انجام بدهم ؟ سوال بعدی : بخش ارسال دیگاه ها (همین بخشی که الان در حال تایپ کردن و ارسال نظرات هستم !! ) در ورد پرس بسیار زیبا طراحی شده است. شما از افزونه خاصی استفاده فرمودید ؟ ممنون میشم در این مورد هم راهنمایی بفرمایید

    • 10 سال عضو همیار وردپرس

      سلام
      1- منظور اینه که اگه نام کاربری خودتون رو در بخش بایگانی و پیوندهای یکتا تنظیم کردید کار اشتباهیه و باید حذفش کنید. (این کار در پیوندهای یکتا امکان پذیره)
      2- طراحی شده

  6. سلام خیلی نکات خوبی رو ذکر کردید ولی یک سوال برای تغییر نام کاربری admin
    اینقدر راه دور میرید چرا؟؟
    خیلی راحت میشه از طریق پی اچ پی مای ادمین تیبل یوزرز نام کاربری رو تغییر داد…
    موفق باشید

  7. 9 سال عضو همیار وردپرس

    سلام
    من شنیده بودم بخاطره همین دانلود کردنشه که از پهنای باند میخوره!
    +
    چرا هر دفعه از یکسری فایل که لازمشون ندارم بک آپ بگیرم؟؟ 😐

    • 10 سال عضو همیار وردپرس

      سلام
      خب بستگی به عملکرد خودتون داره! تهیه ی نسخه ی پشتیبان بنا به نوع فعالیت زمانش متغیره

    • 9 سال عضو همیار وردپرس

      من میتونم ی پل ارتباطی دیگه ازتون داشته باشم واسه سوالات خارج از این پست ها؟!
      مثلا من الآن از مشتری پول گرفتم براش فروشگاه بسازم
      فکر کردم ووکامرس مثه قالب هایی هست که قبلا نصب میکردم(یکسری قالب بودن که وردپرس رو به فروشگاه تبدیل میکردن)امّا حالا دیدم خیلی پیچیدست و توش گیر کردم!

      در این حد که مثلا برای وردپرس چندتا لینک مطلب بدید که بخونم و راهنمایی بشم، کافیه…

      این آی دی تلگرام من هست : @tablighaat
      ممنون میشم کمکم کنید و راهنمایی بدید 🙂

    • 10 سال عضو همیار وردپرس

      سلام
      سوالات ووکامرسی رو باید از آقای رحیمی بپرسید
      میتونید به ایمیل من بفرستید تا من بررسی کنم و برای ایشون اساین کنم
      بفرمایید:
      bahar@hamyarwp.com

    • 9 سال عضو همیار وردپرس

      خیلی خیلی ممنون
      بجز ووکامرس سوالات دیگر هم واسه وردپرس دارم…شما چون توی این سایت هستید، با افزونه ها و… بیشتر آشنایی دارید 🙂

    • 10 سال عضو همیار وردپرس

      سلام
      موفق باشید

  8. 9 سال عضو همیار وردپرس

    درباره ی مورد ۹ میخواستم بدونم که من بعد از بک آپ گیری کلّی از فایل ها، از این به بعد با اضافه شدن مطلب، نظر یا… باید از چه بخشی بک آپ بگیرم؟
    اونطور که میدونم بک آپ گرفتن از پهنای باند کم میکنه و گاهی میتونه کمک کنه که سایت بخوابه!
    به علاوه این عاقلانه نیست که مثلا هر ۲روز یکبار از کلّ سایت بک آپ گرفته بشه…

    لطفا راهنمایی کنید
    ممنون

    • 10 سال عضو همیار وردپرس

      سلام
      شما زمانی که نسخه ی پشتیبان رو داخل خود سایت نگه دارید بله پهنای باند شما کم میشه اما میتونید اون رو به کامپیوتر خود و یا دراپ باکس انتقال دهید.

  9. 10 سال عضو همیار وردپرس

    سلام
    داخل سایت دنبال توضیحی در مورد cloudflare گشتم
    اما چیزی پیدا نکردم
    ممنون میشم در موردش توضیحاتی بدید

  10. 9 سال عضو همیار وردپرس

    سلام،بسیار عالی بود !تشکر ! تشکر! تشکر ! فقط چند مساله کوچک !
    ۱-لطفا برای انجام هر مرحله راهنمایی دقیق و یا لینک مربوطع را بگزارید،تا موارد اشاره شده شما را انجام دهیم .
    ۲-چگونه و از کجا کدهای base64 را تشخیص دهیم و از آن مهمترچگونه از شر آنها خلاص شویم (نحوه خذف ! )
    یک سوال دیگه،در مورد سطح دسترسی و اعدادفایلها در Perm. هاستها چیست و به چه درد می خورد ؟