دلیل اهمیت امنیت وردپرس چیست؟
همانطور که می دانید حمله به یک سایت به دلیل باگ امنیتی، تبعات بدی به همراه خواهد داشت از جمله: آسیب به سئو و افت رتبه سایت، سرقت اطلاعات کاربران و احتمال آسیب به آن ها، کاهش اعتبار برند شما، احتمال نصب نرم افزارهای مخرب توسط هکرها روی سایت، سرقت دائمی اطلاعات سایت با قرار دادن کدهایی در بخش های مختلف سایت و… به همین دلیل بر اهمیت افزایش امنیت سایت وردپرس تاکید می شود تا هکرها نتوانند به سایت نفوذ کنند و در عملکرد سایت اختلال ایجاد کنند.
روش های افزایش امنیت وردپرس
به آمار پایین نگاهی بیندازید تا با مهم ترین حفره های امنیتی وردپرس آشنا شوید.
41% سایت به دلیل هاست ضعیف هک شده اند.
29% سایت های وردپرس به دلیل امنیت پایین قالب یا همان پوسته سایت مورد حمله قرار گرفته اند.
22% از هک شدن سایت های وردپرس به دلیل نصب افزونه های نامعتبر و آلوده بوده است.
8% از موارد هک سایت وردپرس به دلیل انتخاب نام کاربری و رمز عبور ضعیف بوده است.
چهار موردی که به آن ها اشاره شد، از مهم ترین عوامل هک سایت های وردپرسی بوده اند. از زمانی که آموزش طراحی سایت با وردپرس را شروع می کنید، باید از تمام راهکارهای امنیتی برای جلوگیری از ورود هکرها به سایت را استفاده کنید. در ادامه با آموزش افزایش امنیت وردپرس با شما هستیم و شما را با تمام تکنیک هایی که برای ارتقا امنیت وردپرس باید انجام دهید، آشنا می کنیم.
-
از هاست مطمئن استفاده کنید
همانطور که در بالاتر اشاره کردیم یکی از عوامل مهم هک شدن سایت، هاست ضعیف است. هاست به صورت پیوسته شبکه را بررسی می کند و متوجه فعالیت های مشکوک می شود. بنابراین به هیچ عنوان سراغ هاست های ارزان نروید، قبل از خرید هاست از اعتبار شرکت ارائه دهنده مطمئن شوید. شرکت های معتبر ارائه دهنده هاست، از ابزارهای قدرتمندی برای جلوگیری از نفوذ هکر ها استفاده می کنند و نرم افزارهای سرور، سخت افزارها و نسخه های php خود را دائما به روز می کنند تا مانع حمله هکرها شوند. قبلا در مطلب بهترین شرکت های هاستینگ معتبرترین شرکت های هاستینگ را معرفی کرده ایم.
-
افزونه امنیتی برای وردپرس نصب کنید
نصب افزونه های امنیتی وردپرس نقش مهمی در ارتقای امنیت وردپرس دارد. افزونه های امنیتی بر تمام اتفاقاتی که در سایت شما می افتد مثل: تلاش های ناموفق برای ورود به سایت، تلاش بدافزارها و .. نظارت می کنند. نکته قابل توجه این است که دانلود هر افزونه ای از هر منبعی خوب نیست. بعضی از سایت ها افزونه ها را به اصطلاح null می کنند و به صورت رایگان در اختیار شما قرار می دهند. گاهی استفاده از این افزونه ها بدترین کار ممکن است زیرا در آن ها کدهایی جایگذاری می شود که امنیت سایتتان را تهدید می کند. بهترین راه برای نصب افزونه های معتبر خرید مستقیم از مارکت های خارجی البته با قیمت دلاری و یا خرید از مارکت های ایرانی مثل راستچین یا ژاکت با صورت ریالی است.
-
وردپرس خود را بروزرسانی کنید
دومین مرحله از چک لیست امنیت وردپرس، بروزرسانی سیستم وردپرس است. وردپرس یک سیستم مدیریت محتوای اپن سورس است که دائما توسط تیم رسمی وردپرس پشتیبانی و آپدیت می شود. در هر بار بروزرسانی، مشکلات امنیتی و باگ های نسخه قبلی برطرف می شود، حال اگر وردپرس خود را به روز نکنید، ممکن است سایت شما در معرض حمله هکرها قرار گیرد.
-
از سایت خود به صورت منظم پشتیبان گیری کنید
شرکت های ارائه دهنده هاست در حالت عادی باید به صورت دوره ای از اطلاعات سایت شما بک آپ بگیرند، اما گاهی اوقات کوتاهی می کنند. بنابراین بهتر است به صورت مداوم از هاست خود بک آپ بگیرید و فایل آن را در خارج سرور نگه دارید. افزونه های زیادی وجود دارند که می توانید با کمک آن ها نسخه پشتیبان تهیه کنید. گاهی اوقات هکرها با حمله به سایت شما اطلاعات هاست خودتان را هم از بین می برند، به همین دلیل می گوییم، فایل پشتیبان خود را در حساب هاست خود نگه ندارید. با استفاده از افزونه هایی مثل UpdraftPlus یا BlogVault نسخه پشتیبان تهیه کنید و آن را روی رایانه خود ذخیره کنید.
-
از نام کاربری و رمز عبور قوی استفاده کنید
همانطور که گفتیم، 8% از موارد هک سایت، مربوط به انتخاب نام کاربری و رمز عبور ضعیف است. برای افزایش امنیت وردپرس از رمز عبور منحصر بفرد و قوی استفاده کنید. همچنین استفاده از رمز هایی که وردپرس به صورت خودکار می سازد، انتخاب خوبی است. مورد دیگر در این باره حساس بودن در رابطه با دسترسی سایر اعضا به سایت است، لزومی ندارد تمام اعضا به عنوان مدیرکل بتوانند به سایت دسترسی داشته باشند، افرادی که نویسنده یا ویرایشگر هستند در همین نقش ها بمانند و تنها فردی که بخش کد نویسی را برعهده دارد، دسترسی مدیر کل را داشته باشد.
-
آدرس صفحه ورود وردپرس را عوض کنید
آدرس صفحه ورود به پنل ادمین وردپرس به صورت پیش فرض wp-login.php است که به مراجعه به آدرس wp-login هم به این صفحه منتقل می شوید. هکرها با یافتن آدرس صفحه شما راحت تر می توانند حملات خود را شروع کنند. با تغییر آدرس این صفحه می توانید امنیت سایت وردپرس خود را بالا ببرید. از طریق افزونه های زیر می توانید آدرس صفحه خود را تغییر دهید.
Hide My WordPress
HC Custom WP-Admin URL
Lockdown WP Admin
iThemes Security
-
بروزرسانی افزونه ها را مدنظر قرار دهید
اگر افزونه های خود را آپدیت نکنید، مانند این است که از یک افزونه فاسد شده استفاده می کنید. زیرا آپدیت ها با هدف رفع مشکلات امنیتی، بهبود تجربه کاربری و … انجام می شوند. حال اگر از نسخه های به روز افزونه ها استفاده نکنید، به هکر ها اجازه می دهید از همان باگ های امنیتی سایت شما را تهدید کنند.
-
احراز هویت دوگانه را فعال کنید
یکی از مهم ترین راهکارهای بالابردن امنیت وردپرس، احراز هویت دو مرحله ای است. با فعال کردن این مورد در واقع به مراحل ورد به سایت به مرحله دیگر اضافه می شود. احراز هویت دوگانه در برخی از افزونه های امنیتی وردپرس وجود دارند اما علاوه بر این ها از برنامه Google Authenticator هم می توانید استفاده کنید.
-
پروتکل امنیتی ssl را فعال کنید
مورد بعدی در آموزش افزایش امنیت وردپرس، فعالسازی گواهی ssl است. پروتکل امنیتی ssl آدرس سایت شما را از http به https تغییر می دهد و باعث می شود انتقال داده ها در امنیت انجام شود و از سرقت اطلاعات سایت جلوگیری شود. علاوه بر این فعال سازی ssl تاثیر بسیار خوبی در بهبود سئو سایت شما دارد. اگر نمی دانید چطور ssl را فعال کنید، مطلب چگونه ssl را در وردپرس فعال کنیم را مطالعه کنید.
-
ویرایش فایل وردپرس را غیرفعال کنید
وردپرس این قابلیت را دارد که بتوان افزونه ها و قالب سایت را از قسمت مدیریت وردپرس ویرایش کرد. اگر شخصی بتوانند وارد سایت شما شود با مراجعه به این فایل ها می تواند، کدهای مخرب را در سایتتان قرار دهد. برای غیرفعال کردن این قابلیت قطعه کد زیر را در فایل wp-config.php قرار دهید
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
-
دفعات تلاش برای ورود به صفحه را محدود کنید
به صورت پیش فرض هیچ محدودیتی برای دفعات تلاش برای ورود به صفحه وجود ندارد. به همین دلیل ربات ها می توانند مدام تلاش کنند تا با نام کاربری و پسورد های مختلف وارد سایت شما شوند. با استفاده از افزونه هایی مثل Login LockDown می توانید تعداد تلاش برای ورود به سایت را محدود کنید، مثلا روی 3 یا 5 بگذارید.
-
پیشوند جدول های وردپرس را در دیتابیس تغییر دهید
بخش مهم هر وبسایتی، دیتابیس یا پایگاه داده آن است. یکی از راهکارهایی که برای افزایش امنیت دیتابیس و در نتیجه افزایش امنیت سایت وردپرس انجام می شود، تغییر پیشوند جدول ها است. به صورت پیشفرض پیشوند جداول وردپرس wp است. برای ارتقای امنیت وردپرس باید این پیشوندها را تغییر دهید. تغییر پیشوند ها از طریق افزونه های WP-DBManager و Itheme Security به سادگی قابل انجام است.
-
اجرای فایل php را در وردپرس غیر فعال کنید
با دستور php هر کاری می توانید در سایت انجام دهید، اما اجرای فایل php در برخی فایل ها مثل فایل های چندرسانه ای مثل عکس، صوت، ویدیو نیاز نیست. بنابراین باید اجرای دستورات php را در این فایل ها غیر فعال کنید. برای این کار مسیر زیر را دنبال کنید:
کد زیر را در فایل ویرایشگر متنی مثل نوت پد به نام htaccess. قرار دهید
<Files *.php>
deny from all
</Files>
وارد هاست شوید، و مسیر public_html/wp-content/uploads دنبال کنید و این فایل را در آن قرار دهید.
-
نام کاربری مدیر و اعضا را تغییر دهید
یکی از روش ها برای بالا بردن امنیت سایت وردپرس، تغییر نام کاربری است. در حالت پیش فرض نام کاربری شما با نامی که در سایت به کاربران نمایش داده می شود، یکی است. یعنی اگر شما مقاله ای در سایت منتشر کنید با همان نام کاربری که وارد پنل ادمین می شوید، نشان داده می شود. بدین ترتیب هکر ها به نام کاربری شما دسترسی دارند و فقط نیازمند پسورد هستند. برای تغییر نام کاربری در بخش پیشخوان وردپرس وارد منو کاربران شوید و با کلیک روی اکانت هر شخص در بخش نمایش عمومی نام ، اسمی را اضافه کنید که متفاوت با نام کاربری شما باشد.
-
امنیت فایل wp-config.php را افزایش دهید
فایل wp-config.php یکی از مهم ترین فایل های امنیتی سایت های وردپرسی است که در فایل های هاست قرار می گیرد. اطلاعات دیتابیس در این فایل قرار می گیرد بنابراین باید از این فایل به خوبی محافظت کنید. برای افزایش امنیت این فایل،می توانید با ایجاد چند کد آن را در هاست جابجا کنید و دیگر اینکه دسترسی به آن را محدود کنید. برای این کار کد زیرا را در فایل htaccess. قرار دهید
<Files wp-config.php>
order allow,deny
deny from all
</Files>
-
از فایل htaccess. محافظت کنید.
فایل htaccess. یکی دیگر از فایل های مهم در وردپرس است که در آن دستوراتی برای محافظت از فایل ها و پوشه های وردپرس قرار دارد. اگر هکرها به این فایل دسترسی پیدا کنند، مشکلات زیادی به وجود می آید. برای افزایش امنیت این فایل می توانید از افزونه WP htaccess Control کمک بگیرید تا سطح دسترسی به آن محدود شود.
-
امنیت پوشه wp-admin را افزایش دهید
پوشه wp-admin در وردپرس مربوط به مدیریت پیشخوان وردپرس است. از طریق دسترسی به این پوشه می توان به راحتی از طریق کد نویسی پیشخوان وردپرس را با مشکل روبه رو کرد. برای امنیت این پوشه می توانید روی این پوشه پسورد قرار دهید.
-
کپچا را در وردپرس فعال کنید
آخرین مورد در آموزش امنیت وردپرس، استفاده از کپچا است. کپچا همان تصاویر یا اعداد بهم ریخته هستند که برای تشخیص ربات ها استفاده می شوند. کپچا، باعث می شود هکرها نتوانند با استفاده از ربات وارد سایت شما شوند.
-
از قالب ایمن و اصولی استفاده کنید
قالب یا پوسته ای که برای سایت خود انتخاب می کنید باید از امنیت بالایی برخوردار باشد تا سایت وردپرسی شما را دچار مشکلات امنیتی نکند. بهتر است از قالب های رایگان استفاده نکنید و قالبی برای سایت خود خریداری کنید که بروزرسانی داشته باشد تا در آینده نیز دچار مشکلات امنیتی نشوید.
-
عدم لاگین در سایت با سیستم های گوناگون
نکته بسیار مهم دیگری که برای افزایش امنیت سایت وردپرس خود باید به آن توجه داشته باشید، عدم لاگین در سایت با سیستم های مختلف و نا مطمئن است. بهتر است تنها با سیستم های شخصی خودتان وارد سایت شوید تا از به خطر افتادن اطلاعات سایت خود جلوگیری کنید.
روش های پیشرفته افزایش امنیت سایت وردپرسی
علاوه بر مواردی که در بالا در رابطه با افزایش امنیت سایت وردپرسی گفتیم، در ادامه روش های پیشرفته افزایش امنیت سایت وردپرس را نیز بررسی می کنیم.
1- محدودیت در مجوز کاربران وردپرس
به منظور افزایش امنیت در سایت وردپرسی خود می توانید محدودیت هایی را برای کاربران در مدیریت سایت در نظر بگیرید. به این ترتیب همه افراد نمی توانند اختیاراتی مانند نصب و حذف افزونه ها، تغییرات اساسی در سایت و ... داشته باشند.
2- فیلتر کردن کاراکترهای خاص از ورودی
شما می توانید با اعمال یک فیلتر از ورود کاراکترهای خاص توسط کاربران جلوگیری کنید. برای این کار می توانید از توابعی مانند wp_kses_post() یا wp_unslash() را برای حذف کاراکترهای ناخواسته استفاده نمایید.
3- ثبت فعالیت کاربران
شما می توانید با ثبت فعالیت کاربران اقدامات آنها را ردیابی کنید و فعالیت های مشکوک آنها را شناسایی کنید.
4- استفاده از سیستم نظارتی در وردپرس
با استفاده از سیستم نظارت داخلی به نام WP Security Audit Log فعالیت کاربران را ردیابی کنید و فعالیت های مشکوک را شناسایی نمایید. به این ترتیب می توانید تهدید های موجود را شناسایی کنید.
❔︎ سوالات متداول
آیا وردپرس امنیت دارد؟
امروزه بسیاری از طراحان سایت و شرکت های مطرح دنیا از سیستم وردپرس برای راه اندازی سایت خود استفاده می کنند، به همین دلیل برنامه نویسان وردپرس دائم در حال بروزرسانی و افزایش امنیت وردپرس هستند. اما با این حال برای افزایش امنیت وردپرس بهتر است راهکارهای گفته شده در این مطلب را اجرا کنید.
راهکارهای افزایش امنیت وردپرس چیست؟
انتخاب هاست مطمئن، بروزرسانی وردپرس، نصب افزونه های امنیتی، انتخاب رمز عبور قوی، پشتیبان گیری از سایت، فعال سازی ssl و موارد بیشتری که در این مطلب گفته شد همگی روش هایی برای بالا بردن امنیت وردپرس است.
کلام آخر
در این مطلب با آموزش افزایش امنیت در وردپرس همراه شما بودیم و شما را با راهکارهای افزایش امنیت وردپرس آشنا کردیم. با استفاده از موارد چک لیست امنیت وردپرس سایت خود را از حمله هکرها و مشکلات امنیتی وردپرس در امان نگه می دارید. امنیت وردپرس یکی از مهم ترین قدم هایی است که حتما باید در طراحی سایت به آن توجه کنید، اگر زمان و دانش کافی برای بررسی سایت وردپرسی خود ندارید می توانید از خدمات سئو وردپرس تیم وب پویا استفاده کنید.
