14 تکنیک طلایی برای افزایش امنیت وردپرس

دلیل اهمیت امنیت وردپرس چیست؟

همانطور که می دانید حمله به یک سایت به دلیل باگ امنیتی، تبعات بدی به همراه خواهد داشت از جمله: آسیب به سئو و افت رتبه سایت، سرقت اطلاعات کاربران و احتمال آسیب به آن ها، کاهش اعتبار برند شما، احتمال نصب نرم افزارهای مخرب توسط هکرها روی سایت، سرقت دائمی اطلاعات سایت با قرار دادن کدهایی در بخش های مختلف سایت و… به همین دلیل بر اهمیت امنیت وردپرس تاکید می شود تا هکرها نتوانند به سایت نفوذ کنند و در عملکرد سایت اختلال ایجاد کنند.

 

روش های افزایش امنیت وردپرس

به آمار پایین نگاهی بیندازید تا با مهم ترین حفره های امنیتی وردپرس آشنا شوید.

41% سایت به دلیل هاست ضعیف هک شده اند.

29% سایت های وردپرس به دلیل امنیت پایین قالب یا همان پوسته سایت مورد حمله قرار گرفته اند.

22% از هک شدن سایت های وردپرس به دلیل نصب افزونه های نامعتبر و آلوده بوده است.

8% از موارد هک سایت وردپرس به دلیل انتخاب نام کاربری و رمز عبور ضعیف بوده است.

چهار موردی که به آن ها اشاره شد، از مهم ترین عوامل هک سایت های وردپرسی بوده اند. از زمانی که مراحل طراحی سایت با وردپرس را شروع می کنید، باید از تمام راهکارهای امنیتی برای جلوگیری از ورود هکرها به سایت را استفاده کنید. در ادامه شما را با تمام تکنیک هایی که برای ارتقا امنیت وردپرس باید انجام دهید، آشنا می کنیم.

 

1. از هاست مطمئن استفاده کنید

همانطور که در بالاتر اشاره کردیم یکی از عوامل مهم هک شدن سایت، هاست ضعیف است. هاست به صورت پیوسته شبکه را بررسی می کند و متوجه فعالیت های مشکوک می شود. بنابراین به هیچ عنوان سراغ هاست های ارزان نروید، قبل از خرید هاست از اعتبار شرکت ارائه دهنده مطمئن شوید. شرکت های معتبر ارائه دهنده هاست، از ابزارهای قدرتمندی برای جلوگیری از نفوذ هکر ها استفاده می کنند و نرم افزارهای سرور، سخت افزارها و نسخه های php خود را دائما به روز می کنند تا مانع حمله هکرها شوند. قبلا در مطلب بهترین شرکت های هاستینگ معتبرترین شرکت های هاستینگ را معرفی کرده ایم.

 

2. افزونه امنیتی برای وردپرس نصب کنید

نصب افزونه های امنیتی وردپرس نقش مهمی در ارتقای امنیت وردپرس دارد. افزونه های امنیتی بر تمام اتفاقاتی که در سایت شما می افتد مثل: تلاش های ناموفق برای ورود به سایت، تلاش بدافزارها و .. نظارت می کنند. نکته قابل توجه این است که دانلود هر افزونه ای از هر منبعی خوب نیست. بعضی از سایت ها افزونه ها را به اصطلاح null می کنند و به صورت رایگان در اختیار شما قرار می دهند. گاهی استفاده از این افزونه ها بدترین کار ممکن است زیرا در آن ها کدهایی جایگذاری می شود که امنیت سایتتان را تهدید می کند. بهترین راه برای نصب افزونه های معتبر خرید مستقیم از مارکت های خارجی البته با قیمت دلاری و یا خرید از مارکت های ایرانی مثل راستچین یا ژاکت با صورت ریالی است.

 

 

3. وردپرس خود را بروزرسانی کنید

دومین مرحله از چک لیست امنیت وردپرس، بروزرسانی سیستم وردپرس است. وردپرس یک سیستم مدیریت محتوای اپن سورس است که دائما توسط تیم رسمی وردپرس پشتیبانی و آپدیت می شود. در هر بار بروزرسانی، مشکلات امنیتی و باگ های نسخه قبلی برطرف می شود، حال اگر وردپرس خود را به روز نکنید، ممکن است سایت شما در معرض حمله هکرها قرار گیرد.

 

4. از سایت خود به صورت منظم پشتیبان گیری کنید

شرکت های ارائه دهنده هاست در حالت عادی باید به صورت دوره ای از اطلاعات سایت شما بک آپ بگیرند، اما گاهی اوقات کوتاهی می کنند. بنابراین بهتر است به صورت مداوم از هاست خود بک آپ بگیرید و فایل آن را در خارج سرور نگه دارید. افزونه های زیادی وجود دارند که می توانید با کمک آن ها نسخه پشتیبان تهیه کنید. گاهی اوقات هکرها با حمله به سایت شما اطلاعات هاست خودتان را هم از بین می برند، به همین دلیل می گوییم، فایل پشتیبان خود را در حساب هاست خود نگه ندارید. با استفاده از افزونه هایی مثل UpdraftPlus یا BlogVault نسخه پشتیبان تهیه کنید و آن را روی رایانه خود ذخیره کنید.

 

5. از نام کاربری و رمز عبور قوی استفاده کنید

همانطور که گفتیم، 8% از موارد هک سایت، مربوط به انتخاب نام کاربری و رمز عبور ضعیف است. برای افزایش امنیت وردپرس از رمز عبور منحصر بفرد و قوی استفاده کنید. همچنین استفاده از رمز هایی که وردپرس به صورت خودکار می سازد، انتخاب خوبی است. مورد دیگر در این باره حساس بودن در رابطه با دسترسی سایر اعضا به سایت است، لزومی ندارد تمام اعضا به عنوان مدیرکل بتوانند به سایت دسترسی داشته باشند، افرادی که نویسنده یا ویرایشگر هستند در همین نقش ها بمانند و تنها فردی که بخش کد نویسی را برعهده دارد، دسترسی مدیر کل را داشته باشد.

 

 

6. آدرس صفحه ورود وردپرس را عوض کنید

آدرس صفحه ورود به پنل ادمین وردپرس به صورت پیش فرض  wp-login.php است  که به مراجعه به آدرس wp-login هم به این صفحه منتقل می شوید. هکرها با یافتن آدرس صفحه شما راحت تر می توانند حملات خود را شروع کنند. با تغییر آدرس این صفحه می توانید امنیت سایت وردپرس خود را بالا ببرید. از طریق افزونه های زیر می توانید آدرس صفحه خود را تغییر دهید.

Hide My WordPress

 HC Custom WP-Admin URL

 Lockdown WP Admin 

iThemes Security  

 

7. بروزرسانی افزونه ها را مدنظر قرار دهید

اگر افزونه های خود را آپدیت نکنید، مانند این است که از یک افزونه فاسد شده استفاده می کنید. زیرا آپدیت ها با هدف رفع مشکلات امنیتی، بهبود تجربه کاربری و … انجام می شوند. حال اگر از نسخه های به روز افزونه ها استفاده نکنید، به هکر ها اجازه می دهید از همان باگ های امنیتی سایت شما را تهدید کنند.

 

8. احراز هویت دوگانه را فعال کنید

یکی از مهم ترین راهکارهای بالابردن امنیت وردپرس، احراز هویت دو مرحله ای است. با فعال کردن این مورد در واقع به مراحل ورد به سایت به مرحله دیگر اضافه می شود. احراز هویت دوگانه در برخی از افزونه های امنیتی وردپرس وجود دارند اما علاوه بر این ها از برنامه Google Authenticator هم می توانید استفاده کنید.

 

9. پروتکل امنیتی ssl را فعال کنید

پروتکل امنیتی ssl آدرس سایت شما را از http به https تغییر می دهد و باعث می شود انتقال داده ها در امنیت انجام شود و از سرقت اطلاعات سایت جلوگیری شود. علاوه بر این فعال سازی ssl تاثیر بسیار خوبی در بهبود سئو سایت شما دارد. اگر نمی دانید چطور ssl را فعال کنید، مطلب چگونه ssl را در وردپرس فعال کنیم را مطالعه کنید.

 

10. ویرایش فایل وردپرس را غیرفعال کنید

 

وردپرس این قابلیت را دارد که بتوان افزونه ها و قالب سایت را از قسمت مدیریت وردپرس ویرایش کرد. اگر شخصی بتوانند وارد سایت شما شود با مراجعه به این فایل ها می تواند، کدهای مخرب را در سایتتان قرار دهد. برای غیرفعال کردن این قابلیت قطعه کد زیر را در فایل wp-config.php قرار دهید

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

 

11. دفعات تلاش برای ورود به صفحه را محدود کنید

به صورت پیش فرض هیچ محدودیتی برای دفعات تلاش برای ورود به صفحه وجود ندارد. به همین دلیل ربات ها می توانند مدام تلاش کنند تا با نام کاربری و پسورد های مختلف وارد سایت شما شوند. با استفاده از افزونه هایی مثل  Login LockDown می توانید تعداد تلاش برای ورود به سایت را محدود کنید، مثلا روی 3 یا 5 بگذارید.

 

12. پیشوند جدول های وردپرس را در دیتابیس تغییر دهید

بخش مهم هر وبسایتی، دیتابیس یا پایگاه داده آن است. یکی از راهکارهایی که برای افزایش امنیت دیتابیس و در نتیجه افزایش امنیت وردپرس انجام می شود، تغییر پیشوند جدول ها است. به صورت پیشفرض پیشوند جداول وردپرس wp است. برای ارتقای امنیت وردپرس باید این پیشوندها را تغییر دهید. تغییر پیشوند ها از طریق افزونه های WP-DBManager و Itheme Security به سادگی قابل انجام است.

 

13. اجرای فایل php را در وردپرس غیر فعال کنید

با دستور php هر کاری می توانید در سایت انجام دهید، اما اجرای فایل php در برخی فایل ها مثل فایل های چندرسانه ای مثل عکس، صوت، ویدیو نیاز نیست. بنابراین باید اجرای دستورات php را در این فایل ها غیر فعال کنید. برای این کار مسیر زیر را دنبال کنید:

کد زیر را در فایل ویرایشگر متنی مثل نوت پد به نام htaccess. قرار دهید 

<Files *.php>

deny from all

</Files>

وارد هاست شوید، و مسیر public_html/wp-content/uploads دنبال کنید و این فایل را در آن قرار دهید.

 

14. نام کاربری مدیر و اعضا را تغییر دهید

در حالت پیش فرض نام کاربری شما با نامی که در سایت به کاربران نمایش داده می شود، یکی است. یعنی اگر شما مقاله ای در سایت منتشر کنید با همان نام کاربری که وارد پنل ادمین می شوید، نشان داده می شود. بدین ترتیب هکر ها به نام کاربری شما دسترسی دارند و فقط نیازمند پسورد هستند. برای تغییر نام کاربری در بخش پیشخوان وردپرس وارد منو کاربران شوید و با کلیک روی اکانت هر شخص در بخش نمایش عمومی نام ، اسمی را اضافه کنید که متفاوت با نام کاربری شما باشد.

 

 

کلام آخر

در این مطلب شما را با راهکارهای افزایش امنیت وردپرس آشنا کردیم. با استفاده از موارد چک لیست امنیت وردپرس سایت خود را از حمله هکرها و مشکلات امنیتی وردپرس در امان نگه می دارید. امنیت وردپرس یکی از مهم ترین قدم هایی است  که حتما باید در طراحی سایت به آن توجه کنید، اگر زمان و دانش کافی برای بررسی سایت وردپرسی خود ندارید می توانید از خدمات سئو وردپرس تیم وب پویا استفاده کنید.