فهرست بستن

راه های افزایش امنیت وردپرس

راه های افزایش امنیت وردپرس

افزایش امنیت وردپرس موضوعی است که ذهن بسیاری از کاربران این سیستم مدیریت محتوا را مشغول کرده است و بر اساس گستردگی استفاده از وردپرس در میان طراحان سایت، لازم دیدیم مهم ترین موارد که می تواند به افزایش امنیت وردپرس منجر شود را بررسی کنیم.

ما در این مقاله راه کار های خود را برای افزایش امنیت وردپرس در هشت بخش ارائه میکنیم که به شرح زیر است:

بخش اول: بروزرسانی مداوم تمام بخش های وردپرس:

بخش دوم: امن کردن راه های ورود به صفحه وردپرس

بخش سوم: امن کردن داشبورد ادمین وردپرس به وسیله محافظت از دایرکتوری ها

بخش چهارم:  امن کردن پایگاه داده وردپرس

بخش پنجم: ایجاد اتصال امن هنگام برقراری ارتباط با سرور

بخش ششم: پاک کردن ورژن وردپرس

بخش هفتم: انتخاب شرکت میزبان مناسب

بخش هشتم: بکاپ گیری مداوم و منظم

بخش اول: بروزرسانی مداوم وبسایت

بروزرسانی مداوم وب سایت وردپرس

یکی از مهم ترین و ساده ترین راه کارها برای افزایش امنیت وردپرس بروزرسانی مداوم است. توجه داشته باشید که بروزرسانی تنها برای افزایش کارایی و استفاده از ویژگی های جدید نیست بلکه باعث افزایش امنیت نیز می شود.

شما به راحتی می توانید از طریق وردپرس تم ها، پلاگین ها، و نسخه وردپرس خود را بروزرسانی کنید.

برای این کار کافیست در داشبرد وردپرس خود بر بروزرسانی کلیک کنید تا مواردی که نیاز به بروزرسانی دارند به شما نمایش داده شوند.

نکات مربوط به بروزرسانی وردپرس:

بروزرسانی پلاگین: قبل از بروزرسانی پلاگین مطمئن شوید که این بروزرسانی با نسخه وردپرس شما سازگار است.

نکات بروزرسانی وردپرس

بروزرسانی قالب ها: هنگامی که شما قالبی را بروزرسانی می کنید تمام تغییرات و سفارشی سازی ای که بر روی قالب خود انجام داده بودید از بین خواهد رفت. برای رفع سریع این مشکل می توانید از child theme یا همان پوسته فرزند استفاده کنید. در واقع با نصب و فعال کردن یک نسخه child theme  از سایتتان شما همزمان 2 نسخه از قالب سایت خود را خواهید داشت و می توانید ابتدا تغییرات و بروزرسانی ها را بر روی child theme اعمال کرده و در صورتیکه باب میل شما بود آنها را بر روی نسخه اصلی نیز اعمال نمایید و یا میتوانید از این نسخه به عنوان یک پشتیبان استفاده کنید.

قالب فرزند در وردپرس

بروز رسانی نسخه وردپرس: حتما قبل از بروز رسانی نسخه وردپرس خود از وب سایت خود نسخه پشتیبان تهیه کنید. افزونه هایVaultPress  وBackWPup  می توانند گزینه مناسبی برای بک آپ گیری سایت شما باشند.

بعد از بروزرسانی وردپرس خود شما باید راه های ورود به صفحه وردپرس خود را امن کنید که در ادامه مقاله شما را با این راه ها آشنا می کنیم.

بخش دوم: امن کردن راه های ورود به صفحه وردپرس

ما برای امن کردن راه های ورود به صفحه وردپرس 7 راه کار را پیشنهاد می کنیم.

1_تغییر نام کاربری ادمین وردپرس

در هنگام نصب وردپرس نام کاربری به طور پیش فرض admin است و بسیاری از صاحبان وب سایت ها از همین نام پیش فرض نام کاربری استفاده می کنند. اگر شما از این نام کاربری پیش فرض استفاده  کنید در واقع به هکر کمک کرده اید که تنها به دنبال پسورد باشد. پس بنابراین باید نام کاربری خود را نیز تغییر دهید. همچنین با استفاده از افزونه iTheme security  میتوانید  IP هایی که چندین بار تلاش برای ورود به سایت شما داشته اند را مسدود کنید.

2_استفاده از رمز ورود پیچیده و دشوار:

رمز عبور پیچیده و دشوار برای امنیت بیشتر وردپرس

برای کاهش احتمال هک شدن باید از رمزهای ورود پیچیده و دشوار که شامل حروف کوچک و بزرگ، اعداد و علامت ها است استفاده کنید. اگرچه حفظ کردن و وارد کردن چنین رمزهایی در هنگام ورود به وب سایت تان برای خود شما نیز دشوار است اما امنیت باید برای شما مهم تر باشد. برای راحتی کار میتوانید از این مولد رمز عبور استفاده کنید.

3_تغییر آدرس ورود پیشفرض وردپرس (جلوگیری از حملات brute force):

صفحه ورود پیشفرض وردپرس برای ورود به بخش مدیریت آن wp-login.php می باشد، کافیست هکرها  /wp-login.php و یا /wp-admin/ را به انتهای دامین شما بچسبانند و سپس سعی کنند وارد صفحه وردپرس شما شوند. شما با نصب افزونه Stealth Login می توانید آدرس این صفحه را تغییر داده و از هک شدن احتمالی سایت خود از طریق حملات بروت فرس جلوگیری نمایید.

شما همچنین می توانید از افزونهiThemes Security    نیز استفاده کنید.

طریقه کار نیز به صورت زیر است: کافی ست آدرس های پیشفرض را به آدرس دلخواه خود تغییر دهید.

  • تغییر wp-login.php به یک چیز اختصاصی همانند new_host_login
  • تغییر /wp-admin/ به چیزی اختصاصی شبیه new_host _admin
  • تغییر /wp-login.php?action=registerبه چیزی شبیه new_host _registration

4_محدود کردن تعداد تلاش ها برای ورود از طریق یک IP ثابت با نصب  lockdown:

شما می توانید با محدود کردن تعداد تلاش ها برای ورود از طریق یک IP ثابت جلوی بسیار از حمله های هکرها را بگیرید. همچنین شما می توانید با مشاهده IP هایی که به دفعات تلاش داشته اند وارد شوند آن IP ها را مسدود کنید. افزونه iThemes Security یک گزینه ماسب برای انجام این کار است.

5_استفاده از احراز هویت ۲عامله:

شما می توانید برای صفحه ورود از احراز هویت دو گانه استفاده کنید. در این روش شما می توانید همراه با رمز ورود یک سوال محرمانه یا یک کد محرمانه نیز قرار دهید. با این روش جلوی بسیاری از تلاش ها برای ورود به صفحه خود را خواهید گرفت.

برای این کار میتوانید ، از افزونه WP Google Authenticator  استفاده کنید.

6_استفاده از ایمیل برای ورود:

به طور پیش فرض، شما باید نام کاربری خود را برای ورود وارد کنید. اما اگر شما از ایمیل خود برای ورود استفاده کنید امنیت آن بیش تر خواهد بود زیرا حدس زدن ایمیل سخت تر از حدس زدن نام کاربری است. ما افزونه WP Email Login برای این کار به شما پیشنهاد می کنیم.

7_عوض کردن رمزهای عبور هرچند وقت یک بار:

سعی کنید هرچند وقت یک بار رمزهای عبور خود را عوض کنید. برای راحتی کار میتوانید از این مولد رمز عبور استفاده کنید.

تا به اینجای مقاله در خصوص لزوم بروزرسانی مداوم و همچنین راه های امن کردن ورود به صفحه وردپرس صحبت کردیم.

در ادامه مقاله راه های امن کردن داشبورد ادمین وردپرس را بررسی می کنیم.

بخش سوم: امن کردن داشبورد ادمین وردپرس به وسیله محافظت از دایرکتوری ها

امن کردن داشبورد ادمین وردپرس:

داشبورد ادمین یکی از مهم ترین بخش های وب سایت های وردپرسی است و صاحبان وب سایت ها باید توجه ویژه ای به این بخش داشته باشند. برای امن کردن داشبورد ادمین باید از دایرکتوری wp-admin محافظت کنید:

در این بخش 5 راه کار برای امن کردن داشبورد ادمین وردپرس پیشنهاد می گردد.

1_محافظت از دایرکتوری wp-admin

دایرکتوری wp-admin قلب هر وبسایت وردپرس است و اگر هکری به این قسمت دسترسی پیدا کند می تواند به کل وب سایت آسیب وارد کند. بهترین راه کار استفاده از پسورد برای این دایرکتوری است. با این کار شما برای دسترسی به داشبورد به 2 پسورد نیاز خواهید داشت یکی برای محافظت صفحه ورود و دیگری برای محدوده ادمین وردپرس.

ما افزونهAskApache Password Protect  را برای امن کردن بخش ادمین وردپرس پیشنهاد می کنیم.

2_محافظت از فایل wp-config

فایل wp-config مهمترین فایل موجود در دایرکتوری وبسایت شما میباشد و اگر بتوانید از این فایل محافظت کنید در واقع از هسته وردپرس خود محافظت کرده اید. برای محافظت از این فایل آن را به سطح بالاتری در دایرکتوری خود ببرید. نگران این موضوع که با تغییر مکان این فایل وب سرور به آن دسترسی ندارد نباشید چرا که معماری کنونی وردپرس به این گونه است که فایل های کانفیگ تنظیمات، در بالا ترین اولویت قرار دارند و بنابراین هیچ مشکلی از این بابت پیش نمی آید.

 3_غیر فعال کردن ویرایش فایل WP-CONFIG

اگر هکری به داشبورد وردپرس شما دسترسی پیدا کند می تواند به تمام فایل ها دسترسی پیدا کند بنابراین برای جلوگیری از  دستکاری فایل هایتان توسط هکر باید فایل  WP-CONFIGخود را به گونه ای تنظیم کنید که غیر قابل ویرایش باشد.

برای این کار کافی ست کد زیر را به فایل WP-CONFIG خود اضافه کنید.

define('DISALLOW_FILE_EDIT', true);

4_ست کردن مجوز های دایرکتوری ها به 755 و 644

مجوز اشتباه دایرکتوری میتواند مهلک باشد، مخصوصا وقتی شما از محیط هاستینگ اشتراکی استفاده میکنید.

به عبارت دیگر، تغییر مجوزهای دایرکتوریها قدم خوبی برای امن کردن وبسایت است. ست کردن مجوز دایرکتوری ها به ۷۵۵  و فایل ها به ۶۴۴ برای کل سیستم، بهترین کار است.

دوباره برای این کار نیز میتوانید از افزونه iTheme Security استفاده کنید.

5_غیرفعال کردن Directory listing

اگر شما یک پوشه جدید بسازید و یک فایل index.html در آن وجود نداشته باشد، بازدیدکنندگان میتوانند همه فایل های داخل آن را ببینند، شما می توانید این مسئله را امتحان کنید، یک پوشه دلخواه مثلا my_data ایجاد کنید سپس /my_data را به انتهای دامنه خود اضافه کنید. مشاهده خواهید کرد تمام فایل های داخل این پوشه بدون انکه به پسورد نیاز داشته باشد قابل مشاهده است.

برای رفع این مشکل قطعه کد زیر را به . htaccess خود اضافه کنید.

Options All -Indexes

بخش چهارم:  امن کردن پایگاه داده وردپرس

تمام داده های وبسایت شما و اطلاعات آن در یک پایگاه داده طبقه بندی می‌شوند. مراقبت کردن از آن یک امر حیاتی است. در زیر چند راهکار برای این کار ارائه شده است:

برای امن کردن پایگا داده وردپرس ما به شما دو راه کار پیشنهاد می کنیم.

1_عوض کردن پیشوند جدول های وردپرس

پیشوند جدول های وردپرس به طور پیشفرض با پیشوند جدولی wp-ساخته می شود و همان طور که در بخش دوم نیز اشاره کردیم استفاده از نام های پیش فرض کار را برای هکرها آسان تر می کند وبسایت شما را در قبال حملات sql injection شکننده میکند.

بنابراین بهتر است پیشوند wp- را به چیز دیگری مانند mywp- و wpnew- و … تغییر دهید. شما می اوانید از افزنونه هایی مانند WP-DBManager  و Itheme Security برای انجام این کار کمک بگیرید. حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ  بگیرید

2_استفاده از رمز عبور های قوی و پیچیده برای پایگاه داده

همانگونه که در بخش دوم اشاره کردیم استفاده از رمز عبورهای پیچیده می تواند از تعداد حملات هکرها بکاهد.

برای تولید پسوردهای قوی و پیچیده می توانید ازpassword generator  کمک بگیرید.

بخش پنجم: ایجاد اتصال امن هنگام برقراری ارتباط با سرور

به منظور ایجاد اتصال امن هنگام برقراری ارتباط با سرور ما دو راه حل استفاده از SFTP و یا SSH و همچنین استفاده از گواهینامه SSL را پیشنهاد می کنیم که در ادامه به شرح آن ها می پردازیم:

1_اتصال به سرور با استفاده از SFTP  و یا  SSH

استفاده ازSFTP  و یا  SSHبرای اتصال به سرور بسیار امن تر از اتصال از طریق FTP است. بیش تر شرکت های ارائه دهنده خدمات هاست از این این سرویس ها پشتیبانی می کنند اما اگر شرکت هاستینگ شما از این سرویس پشتیبانی نمی کند می توانید با استفاده از مقاله آموزش ایجاد SFTP و SSH در کنترل پنل Cpanel این کار را به صورت دستی انجام دهید.

2_استفاده از گواهی نامه ssl برای رمزگذاری داده‌ها:

گواهینامه SSL با رمزگذاری داده ها ارتباط امنی را بین کاربر و سرور ایجاد می کند بنابراین احتمال اینکه هنگام وارد کردن رمز عبور خود (بین شما و سرور ارتباط برقرار می شود) افراد هکر بتوانند پسورد شما را به دست بیاورند بسیار پایین می آید.

علاوه بر این گواهینامه SSL مزایای دیگری نیز دارد که در مقاله گواهینامه ssl چیست؟ معرفی انواع گواهینامه ssl به شرح آن پرداخته ایم.

در ادامه نکات دیگری را نیز بیان می کنیم که با استفاده از ان ها می توانید امنیت سایت وردپرس خود را بیش از پیش افزایش دهید.

بخش ششم: پاک کردن ورژن وردپرس (مخفی کردن ورژن وردپرس از دید هکرها)

ورژن وردپرس شما به طور معمول در وب سایت ها نشان داده می شود و اگر هکر ها بدانند که شما از کدام ورژن از وردپرس استفاده می کنید راحت تر می توانند به شما حمله کنند.

شما با استفاده از افزونه هایی مانند   iThemes Securityمی توانید ورژن وردپرس خود را مخفی کنید.

حذف کردن تمام افزونه و قالب های غیرفعال: امکان حمله به سایت شما از طریق افزونه ها و قالب های غیر فعال زیاد است بنابراین بهتر است ان ها را حذف کنید.

بخش هفتم: انتخاب شرکت میزبان مناسب:

امنیت وب سایت شما وابستگی بسیار زیادی به امنیت شرکت ارائه دهنده هاست شما دارد و باید گفت امنیت تمام شرکت های ارائه دهنده هاست یکسان نیست.

بخش هشتم: بکاپ گیری مداوم و منظم

با وجود تمام راه کارهایی که برای جلوگیری از حملات هکرها ارائه شد اما باز هم امکان هک شدن وجود دارد و هیچ کس هرگز نمی تواند ادعا کند که می شود امنیت را به طور کامل ایجاد کرد بنابراین سعی کنید به طور منظم و حتی الامکان به صورت روزانه از وب سایت خود بک آپ بگیرید. اگر شما بکاپ داشته باشید، میتوانید وب سایت وردپرسی خود را همیشه و همه جا ریستور کنید و از آن در هر زمانی استفاده کنید.

شما می توانید از افزونه هایVaultPress  وBackWPup  برای بک اپ گیری استفاده کنید.

امیدوارم این مقاله برای شما مفید بوده باشد و بتوانید سایت وردپرسی خود را بیش از پیش امن سازید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *