امنیت وردپرس
همانطور که میدانید سیستم مدیریت محتوای وردپرس دائما در حال بروزرسانیست و به خودی خود دارای امنیت بالایی است. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت سایتتان گامی بردارید و امکان سو استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. به همین خاطر ما در این مقاله از آموزش رایگان وردپرس قصد داریم به شما مهمترین و کاربردیترین اقدامات ضروری برای افزایش امنیت وردپرس در سال 2021 را به شما معرفی کنیم. پس حتما تا انتهای این مقاله با ما همراه باشید.
افزایش امنیت وردپرس
آنچه در این مقاله به اختصار خواهید خواند:
- چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟
- 15 اقدام ضروری برای افزایش امنیت وردپرس را یاد بگیرید!
چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟
تامین امنیت سایت و کسبوکار اینترنتی موضوعی است که اهمیت زیادی برای مدیران سایت دارد. چراکه کسب درآمد و امنیت شغلی صاحبان این کسبوکارها وابستگی مستقیم به امنیت سایتشان دارد. به عبارتی دیگر میتوان گفت:
“دقیقا همانطور که یک فروشگاه فیزیکی در یک مکان مشخص از شهر نیاز به تامین امنیت دارد، یک فروشگاه و کسبوکار مجازی نیز نیازمند تامین امنیت و حفاظت است.”
از طرفی دیگر گوگل هر روز در حدود بیش از 10،000 وب سایت را به خاطر بدافزار بودن و حدود 50،000 وب سایت را به خاطر سرقت اطلاعات بانکی (phishing) هر هفته در لیست سیاه قرار میدهد. این بدان معناست گوگل برای تامین امنیت ارزش فوقالعاده زیادی قائل است و سایتهایی که از امنیت کمی برخورد دار باشند از نگاه گوگل سایتهای بیکیفیت تلقی میشوند که قطعا با افت رتبه در موتورهای جستجو مواجه خواهند شد.
پس اگر در مورد امنیت وبسایت خود جدی هستید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این مقاله، ما بهترین نکات امنیتی وردپرس را برای محافظت از وب سایتتان در برابر هکرها و بدافزارها با شما اشتراک خواهیم گذاشت.
15 اقدام ضروری برای افزایش امنیت وردپرس را یاد بگیرید
در حالی که هسته اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعهدهندگان زبده و حرفهای به طور منظم مورد بررسی و بروزرسانی قرار میگیرد، اما بازهم کارهای زیادی میتوان برای ایمن نگهداشتن سایت انجام داد.
ما معتقدیم که امنیت فقط حذف خطر نیست. بلکه کاهش خطر است! به عنوان یک مالک وب سایت، اقدامات ضروری و موثری وجود دارد که میتوانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر اهل فن نیستید).
در ادامه ما تعدادی از اقدامات ضروری برای تامین امنیت کامل وردپرس که میتوانید با انجام آنها از وب سایت خود در برابر آسیب پذیریهای امنیتی محافظت کنید، به شما معرفی خواهیم کرد.
1. همیشه از آخرین نسخه وردپرس، افزونهها و پوستهها در سایتتان استفاده کنید.
وردپرس یک نرم افزار تحت وب منبع باز است که به طور منظم توسط توسعهدهندگان آن بهبود پیدا کرده و بروزرسانی میشود. از طرفی دیگر وردپرس همچنین دارای هزاران افزونه و پوسته است که می توانید روی وب سایت خود نصب کنید. این افزونهها و پوستهها نیز توسط توسعه دهندگانشان مرتباً بروزرسانی میشوند. پس همیشه اطمینان حاصل کنید که جدیدترین نسخه هسته وردپرس، افزونهها و پوستهها در سایت شما نصب شده باشد.
2. گذرواژههای قوی انتخاب کرده و دسترسیهای سایت را کنترل کنید!
یکی از رایجترین راههای هک کردن و ورود غیرقانونی به سایت از طریق حملات بروت فورس یا DDOS است. شما با انتخاب گذرواژههای قوی میتوانید سایتتان را در برابر این حملات ایمن نگهدارید. توجه داشته باشید نه فقط برای قسمت مدیریت وردپرس، بلکه همچنین برای حساب های FTP، پایگاه داده، حساب عضویت سایت و آدرسهای ایمیلی که از نام دامنه سایت شما استفاده می کنند، باید از رمز عبور قوی استفاده کنید.
بسیاری از افراد استفاده از رمزهای عبور قوی را دوست ندارند زیرا به سختی به خاطر سپرده می شوند. اگرشما نیز جز این افراد هستید میتوانید از نرم افزارهای مدیریت رمز عبور استفاده کنید تا اینگونه بهتر گذرواژههای خود حفظ و نگهداری کنید.
از سوی دیگر مجوزها و دسترسی سایتتان را به طور دقیق کنترل و مدیریت کنید. به طوریکه به هرکسی اجازه دسترسی به حساب پیشخوان مدیریت وردپرس را ندهید مگر اینکه کاملاً نسبت به آن فرد کنترل و اطمینان داشته باشید.
اگر یک تیم بزرگ یا چندین نویسنده مهمان دارید، برای آنها حساب کاربری و نقشهایی با دسترسی محدود ایجاد نمایید تا صرفا فقط امکان نگارش محتوا داشته و به دیگر بخشهای سایت دسترسی نداشته باشند.
3. یک سرویس میزبانی(هاست) قوی انتخاب نمایید!
قطعا انتخاب یک سرویس میزبانی مطمئن و مناسب میتواند نقش بسیار مهمی در افزایش امنیت سایت شما ایفا نماید. یک ارائهدهنده میزبانی حرفهای همیشه اقدامات بسیار مهمی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام میدهد و خیال شما را بابت حفظ اطلاعات سایتتان راحت میکند.
اما یک سرویس میزبانی خوب درای چه ویژگیها و بایدهایی میباشد؟
- باید به طور مداوم شبکه خود را از نظر فعالیت مشکوک کنترل و بررسی کند
- باید دارای ابزارهایی باشد که از حملات گسترده DDOS جلوگیری کند
- باید نسخه های php و سخت افزار خود را به روز نگه دارند تا از سو استفاده و آسیب پذیریهای امنیتی در نسخه قدیمی توسط هکرها جلوگیری کنند.
- آنها باید برنامهریزی و پیشبینیهایی بابت بازیابی اطلاعات سرور در زمان حوادثهای مختلف داشته باشند تا از دادههای شما محافظت کنند.
- باید به طور دقیق و مداوم از اطلاعات بر روی سرور در یک مکان امن نسخه پشتیبان تهیه کنند
- باید دارای سرویس میزبانی مناسب و اختصاصی برای وردپرس باشند. به عبارتی دیگر دارای هاست وردپرسی باشند.
- قابلیت پاسخ گویی و پشتیبانی به نیاز و سوالات مشتریان به صورت 24 ساعته در هفت روز هفته را داشته باشد.
- و…
انتخاب بهترین هاست وردپرس نکته بسبار مهم برای امنیت وبسایت میباشد و همیار وردپرس مقاله عالی در این خصوص برای شما قرار داده است. برای مطالعه بهترین هاست وردپرس اینجا کلیک کنید.
4. افزونهها کاربردی و مهم وردپرس بروی سایتتان نصب و فعالسازی کنید!
اگر تسلط کامل بر روی کدنویسیهای وردپرس ندارید حتما باید به سراغ نصب و فعالسازی افزونههای کاربردی و مهم برای افزایش امنیت سایتتان بروید.
1.4. نصب افزونه پشتیبانگیری خودکار
پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست و نمیتوان گفت یک سایت قطعا به صورت 100 درصد دربرابر هک در امان است. چراکه اگر وب سایتهای دولتی و شرکتهای بزرگ میتوانند هک شوند، پس وب سایتهای شما نیز احتمال هک شدن دارد!
بنابراین در صورت بروز هرگونه مشکل، داشتن یک نسخه پشتیبان از سایت به شما این امکان را میدهد به سرعت سایت وردپرس خود را بازیابی کنید و مشکلات را رفع نمایید.
در حال حاضر افزونه های پشتیبانگیری وردپرسی رایگان و پولی زیادی وجود دارند که میتوانید از آنها استفاده کنید. مهمترین نکته ای که باید در مورد تهیه نسخه پشتیبان بدانید این است که شما باید به طور منظم پشتیبانگیری کامل از سایتتان را در یک مکان دیگر (و نه هاست خود) ذخیره کنید. توصیه میکنیم آن را در سرویس ابری مانند گوگل درایو و Dropbox یا هاست اختصاصی دانلود ذخیره کنید.
اگر نیاز به آشنایی و بررسی بهترین افزونه بکاپ وردپرس داشتید حتما به این مقاله مراجعه نمایید.
نکته مهم: در کنار تهیه پشتیبان به کمک افزونه، حتما به صورت دستی نیز از سایت خود به طور کامل پشتیبان تهیه نمایید. برای یادگیری نحوه انجام اینکار این مقاله را مطالعه کنید.
2.4. نصب افزونه امنیتی
پس از تهیه نسخه پشتیبان از سایت، کار بعدی که باید انجام دهید این است که یک سیستم امنیتی و نظارت در سایتتان راه اندازی کنید که همه اتفاقات سایت شما را ردیابی کند.
این نظارت شامل بررسی یکپارچگی پروندهها، تلاشهای ناموفق برای ورود به سیستم، اسکن بدافزار و … است.
خوشبختانه امروزه افزونههای امنیتی قدرتمند زیادی وجود دارند که به شما در تامین امنیت سایتتان به صورت فوقالعادهای کمک میکند. در مقاله “ بهترین افزونههای امنیتی وردپرس” میتوانید با این افزونهها آشنا شوید.
5. گواهی SSL(https) بر روی سایتتان فعال نمایید!
گواهی SSL (Secure Sockets Layer) یک پروتکل است که انتقال داده را بین وبسایت شما و مرورگر کاربران رمزگذاری میکند. این رمزگذاری باعث میشود که امکان سرقت اطلاعات توسط هکرها بسیار دشوار یا تقریبا ازبین برود.
هنگامی که SSL را بر روی سایتتان فعال کنید، وب سایت شما به جای پروتکل HTTP از HTTPS استفاده میکند و در مرورگرتان علامت قفل کنار آدرس وب سایت خود مشاهده خواهید کرد.
در ابتدا گواهینامه های SSL صرفا توسط مقامات صدور گواهینامه (certificate authorities) صادر میشدند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع میشد. به همین خاطر به دلیل هزینهبالا، بیشتر دارندگان وب سایت تصمیم گرفتند از پروتکل ناامن (HTTP) استفاده کنند.
برای رفع این مشکل، یک سازمان غیرانتفاعی و خیرخواهانه به نام Let’s Encrypt تصمیم گرفت گواهینامههای SSL رایگان را به دارندگان وب سایت ارائه دهد. که این پروژه توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکتهای دیگر پشتیبانی میشود.
اکنون، استفاده از SSL برای همه وبسایتهای وردپرس از همیشه آسانتر شده است و شرکتهای هاستینگ معتبر این گواهی را به طور رایگان در اختیار مشتریان خود قرار میدهند.
6. نام کاربری(username) پیشفرض “admin” انتخاب نکنید!
در گذشته، نام کاربری مدیر هنگام نصب وردپرس به صورت پیش فرض “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل میدهد، دانستن آن ورود به سایت را برای هکرها آسانتر میکند.
خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس میکند. با این حال، هنوز هم برخی از نصب کنندگان وردپرس نام کاربری پیش فرض را روی همان “admin” تنظیم میکنند که این موضوع بسیار خطرناک است. پس حتما هنگام نصب وردپرس بر روی سایتتان یک نام کاربری مناسب و سخت برای خود انتخاب نمایید.
نکته مهم: توجه داشته باشید اگر تا به الان به این موضوع توجه نکردهاید و همان نام کاربری admin را برای سایت خود انتخاب کردهاید هرچه سریعتر از طریق راههایی که در مقاله ” آموزش تغییر نام کاربری در وردپرس ” به شما آموزش داده شده است آن را تغییر دهید.
7. قابلیت ویرایش پوسته و افزونه را در پیشخوان وردپرس غیرفعال کنید!
وردپرس دارای یک ویرایشگر کد داخلی است که به شما این امکان را میدهد افزونهها و پوستههای خود را از طریق پیشخوان وردپرس ویرایش کنید. اگر این قسمت به دست هکرها بیوفتد به راحتی میتوانند سایت شما را با کدهای مخرب آلوده کنند. پس بهترست حتما آن را غیرفعال نمایید.
برای غیرفعالسازی آن میتوانید به فایل wp-config.php در هاستتان بروید و کد زیر را در آن قرار دهید:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
8. در برخی از دایرکتوریهای وردپرس اجرای فایل PHP را غیرفعال کنید!
روش دیگر برای تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوریهاست. مانند فایلهای موجود در uploads در پوشه wp-content.
برای انجام اینکار میتوانید یک ویرایشگر متن مانند ++Notepad باز کنید و کد زیر را در آن قرار دهید:
<Files *.php> deny from all </Files>
سپس، شما باید این فایل را به نام htaccess. ذخیره کنید و به صورت مستقیم یا با استفاده از سرویس FTP آن را در پوشه wp-content / uploads / هاست خود بارگذاری کنید.
ضمنا اگر در آن پوشه از قبل فایلی با نام .htaccess وجود دارد، نیازی به ساخت مجدد این فایل نیست و فقط کافیست کدهای بالا را در آن فایل قرار دهید و ذخیره نمایید.
9. تعداد دفعات تلاش برای ورود به وردپرس را محدود کنید!
به طور پیش فرض، وردپرس به کاربران اجازه میدهد تا هر تعداد که میخواهند تلاش ناموفق برای ورود به سایت داشته باشند. این موضوع باعث میشود سایت وردپرس شما در برابر حملات brute force آسیب پذیر شود.
هکرها با تلاشها زیاد برای ورود به سایت با ترکیبات مختلف گذرواژه، سعی میکنند رمزهای عبور را بشکنند. شما با محدود کردن تلاشهای ناموفق برای ورود به سیستم، می توانید این مشکل را به راحتی برطرف کنید. البته امروزه بیشتر افزونه امنیتی وردپرس اینکار را برای شما انجام میدهند و نیازی به نصب افزونه جداگانه نیست. به هرحال شما میتوانید برای محدود کردن تلاشهای ناموفق در به سیستم از افزونه Login LockDown استفاده نمایید.
10. احراز هویت دو مرحلهای (Two Factor Authentication) را فعال نمایید!
با استفاده از روش احراز هویت دو مرحلهای شما میتوانید بعد از گرفتن نام کاربری و پسورد، از کاربرانتان بخواهید برای ورود به سایت یک کد چند رقمی وارد کنند. در بسیاری از افزونههای امنیتی مانند وردفنس و iThemes Security این ویژگی وجود دارد که میتوانید از آن استفاده کنید. البته افزونه Two Factor Authentication نیز میتوانید به صورت جداگانه برای احراز هویت دو مرحلهای مورد استفاده قرار گیرد.
ما در مقاله معرفی بهترین افزونه برای ورود دو مرحله ای وردپرس تمام افزونههای رایگان برای راه اندازی این امکان در وبسایت را معرفی کردیم. برای مطالعه این مقاله اینجا کلیک کنید.
11. تغییر پیشوند جداول وردپرسی
به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در پایگاه داده شما استفاده میکند. به همین خاطر اگر سایت وردپرسی شما از پیشوند پایگاه داده پیشفرض استفاده کند، حدس زدن نام جدول شما برای هکرها بسیار راحت است و میتوانند به دادههای شما در دیتابیس دسترسی پیدا کرده و آنها را تغییر دهند.
به همین خاطر حتما توصیه میکنیم که آن را بر روی سایتتان تغییر دهید. برای یادگیری نحوه انجام اینکار به مقاله ” تغییر پیشوند پایگاه داده برای امنیت بیشتر ” از همیاوردپرس مراجعه نمایید.
12. دسترسی به XML-RPC را در وردپرس غیرفعال نمایید!
فایل XML-RPC به شما کمک میکند تا وردپرس را به برنامههای وب و تلفن همراه متصل کنید و از این طریق آن را مدیریت کنید. اگر شما نمیخواهید از طریق تلفن همراه اینکار را انجام دهید حتما دسترسی به XML-RPC را غیرفعال نمایید. چراکه وجود این قابلیت در وردپرس باعث میشود حملات بروت فورس راحتتر صورت گرفته و تعداد دفعات وارد کردن نام کاربری و رمز عبور توسط هکرها در سایت بیشتر شود و احتمال ورود آنها به سایت افزایش یابد.
برای غیرفعال سازی آن میتوانید از افزونه Disable XML-RPC استفاده کنید و یا در فایل .htaccess هاستتان کد زیر را قرار دهید.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
البته توجه داشته باشید بعضی از افزونههای امنیتی مانند وردفنس این قابلیت را در خود جای دادهاند و از طریق آنها میتوانید این دسترسی را غیرفعال کنید. پس ابتدا بررسی نمایید که آیا افزونه امنیتی شما این قابلیت را دارد یا خیر؟ اگر این قابلیت را نداشت سپس به سراغ نصب افزونه یا فایل.htaccess بروید.
13. افزونهها و پوستههای پولی را از سایتهای معتبر تهیه کنید!
یکی از اشتباهات رایج و بسیار خطرناک تهیه افزونهها و پوستههای پولی به صورت رایگان است. در بسیاری از اینگونه افزونهها کدهای مخربی وجود دارد که میتواند سایت شما را به یکبار با مشکل جدی و حتی جبران ناپذیری مواجه کند. پس حتما ضمنا عدم استفاده از افزونهها و پوستههای پولی به صورت رایگان، آنها را از سایتهای معتبر مانند ژاکت تهیه نمایید.
14. آدرس ورود به پیشخوان وردپرس خود را تغییر دهید!
به طور پیشفرض در سایتهای وردپرسی آدرس ورود به پیشخوان www.example.com/wp-admin است که باید حتما تغییر پیدا کند تا هکرها نتوانند به آن دسترسی داشته باشند.
برای تغییر این مسیر میتوانید از افزونه iThemes Security استفاده کنید که علاوه بر تامین امنیت کامل سایت شما امکان تغییر مسیر آدرس ورود به پیشخوان وردپرس را برای شما مهیا میکند. برای انجام اینکار و آشنایی با دیگر ویژگیهای این افزونه به مقاله تامین امنیت وردپرس با افزونه iThemes Security از همیاروردپرس مراجعه نمایید.
15. از شبکه انتقال محتوا (CDN) استفاده کنید!
یکی از روشها مهم افزایش امنیت وردپرس و سایت شما استفاده از شبکه انتقال محتواست. این روش علاوه بر اینکه باعث افزایش امنیت در برابر حملات DDOS و بروت فورس میشود، میتواند سرعت سایت شما را به طرز چشمگیری افزایش دهد. امروزه سیستمهای مدیریت محتوای مختلفی وجود دارند که بهترین آنها کلودفلر است که رایگان میباشد. برای یادگیری نحوه استفاده از CDN کلودفلر میتوانید به مقاله آموزش نصب cloudflare مراجعه نمایید.
اقدامات ضروری برای افزایش امنیت وردپرس در سال 2021
همانطور که در ابتدای این مقاله اشاره کردیم، هسته اصلی سیستم مدیریت محتوای وردپرس مرتبا در حال بروزرسانیست و به خودی خود دارای امنیت بالایی است. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت سایتتان گامی بردارید و امکان سو استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. در این اموزش 15 اقدام ضروری برای تامین امینت کامل وردپرس را به طور کامل به شما معرفی کردیم. حال نوبت شماست که با انجام این اقدامات امنیت سایتتان را افزایش دهید و از کسبوکارتان اینترنتیتان به خوبی محافظت کنید. در نهایت از توجه شما به این مقاله سپاسگزاریم. لطفا سوالات و نظرات خود را در بخش دیدگاهها با ما به اشتراک بگذارید.
نوید آرین فرد 7 سال عضو همیار وردپرس
سلام.روز بخیر.من دانش اموخته غیر حضوری وب مستران 9 هستم.با استفاده از نرم افزار VirusTotal چند پلاگین را تست کردم.مثلا ووکامرس فارسی که این پیغام می دهد
Bkav
VUL.Webshell
یا گرویتی فرم که این پیغام نمایان می شود.
Jiangmin
TrojanDownloader.JS.bchw
لطفا راهنمایی می فرمایید.ممنون