راه های افزایش امنیت وردپرس

راه های افزایش امنیت وردپرس

افزایش امنیت وردپرس موضوعی است که ذهن بسیاری از کاربران این سیستم مدیریت محتوا را مشغول کرده است و بر اساس گستردگی استفاده از وردپرس در میان طراحان سایت، لازم دیدیم مهم ترین موارد که می تواند به افزایش امنیت وردپرس منجر شود را بررسی کنیم.

ما در این مقاله راه کار های خود را برای افزایش امنیت وردپرس در پنج بخش ارائه میکنیم که به شرح زیر است:

بخش اول: بروزرسانی مداوم تمام بخش های وردپرس:

بخش دوم: امن کردن راه های ورود به صفحه وردپرس

بخش سوم: امن کردن داشبورد ادمین وردپرس به وسیله محافظت از دایرکتوری ها

بخش چهارم:  امن کردن پایگاه داده وردپرس

بخش پنجم: ایجاد اتصال امن هنگام برقراری ارتباط با سرور

بخش اول: بروزرسانی مداوم وبسایت

بروزرسانی مداوم وبسایت
بروزرسانی مداوم وبسایت به منظور افزایش امنیت سایت

یکی از مهم ترین و ساده ترین راه کارها برای افزایش امنیت وردپرس بروزرسانی مداوم است. توجه داشته باشید که بروزرسانی تنها برای افزایش کارایی و استفاده از ویژگی های جدید نیست بلکه باعث افزایش امنیت نیز می شود.

شما به راحتی می توانید از طریق وردپرس تم ها، پلاگین ها، و نسخه وردپرس خود را بروزرسانی کنید.

برای این کار کافیست در داشبرد وردپرس خود بر بروزرسانی کلیک کنید تا مواردی که نیاز به بروزرسانی دارند به شما نمایش داده شوند.

راهنمای بروزرسانی وردپرس برای افزایش امنیت سایت

نکات مربوط به بروزرسانی وردپرس:

بروزرسانی پلاگین:

قبل از بروزرسانی پلاگین مطمئن شوید که این بروزرسانی با نسخه وردپرس شما سازگار است.

بروزرسانی قالب ها:

هنگامی که شما قالبی را بروزرسانی می کنید تمام تغییرات و سفارشی سازی ای که بر روی قالب خود انجام داده بودید از بین خواهد رفت. برای رفع سریع این مشکل می توانید از child theme یا همان پوسته فرزند استفاده کنید. در واقع با نصب و فعال کردن یک نسخه child theme  از سایتتان شما همزمان 2 نسخه از قالب سایت خود را خواهید داشت و می توانید ابتدا تغییرات و بروزرسانی ها را بر روی child theme اعمال کرده و در صورتیکه باب میل شما بود آنها را بر روی نسخه اصلی نیز اعمال نمایید و یا میتوانید از این نسخه به عنوان یک پشتیبان استفاده کنید.

بروزرسانی قالب ها

بروز رسانی نسخه وردپرس:

حتما قبل از بروز رسانی نسخه وردپرس خود از وب سایت خود نسخه پشتیبان تهیه کنید. افزونه های VaultPress و BackWPup می توانند گزینه مناسبی برای بک آپ گیری سایت شما باشند.

بعد از بروزرسانی وردپرس خود شما باید راه های ورود به صفحه وردپرس خود را امن کنید که در ادامه مقاله شما را با این راه ها آشنا می کنیم.

بخش دوم: امن کردن راه های ورود به صفحه وردپرس

ما برای امن کردن راه های ورود به صفحه وردپرس 7 راه کار را پیشنهاد می کنیم.

1_تغییر نام کاربری ادمین وردپرس

در هنگام نصب وردپرس نام کاربری به طور پیش فرض admin است و بسیاری از صاحبان وب سایت ها از همین نام پیش فرض نام کاربری استفاده می کنند. اگر شما از این نام کاربری پیش فرض استفاده  کنید در واقع به هکر کمک کرده اید که تنها به دنبال پسورد باشد. پس بنابراین باید نام کاربری خود را نیز تغییر دهید. همچنین با استفاده از افزونه iTheme security  میتوانید  IP هایی که چندین بار تلاش برای ورود به سایت شما داشته اند را مسدود کنید.

2_استفاده از رمز ورود پیچیده و دشوار:

امن کردن راه های ورود به صفحه وردپرس

برای کاهش احتمال هک شدن باید از رمزهای ورود پیچیده و دشوار که شامل حروف کوچک و بزرگ، اعداد و علامت ها است استفاده کنید. اگرچه حفظ کردن و وارد کردن چنین رمزهایی در هنگام ورود به وب سایت تان برای خود شما نیز دشوار است اما امنیت باید برای شما مهم تر باشد. برای راحتی کار میتوانید از این مولد رمز عبور استفاده کنید.

3_تغییر آدرس ورود پیشفرض وردپرس (جلوگیری از حملات brute force):

صفحه ورود پیشفرض وردپرس برای ورود به بخش مدیریت آن wp-login.php می باشد، کافیست هکرها  /wp-login.php و یا /wp-admin/ را به انتهای دامین شما بچسبانند و سپس سعی کنند وارد صفحه وردپرس شما شوند. شما با نصب افزونه Stealth Login می توانید آدرس این صفحه را تغییر داده و از هک شدن احتمالی سایت خود از طریق حملات بروت فرس جلوگیری نمایید.

شما همچنین می توانید از افزونه iThemes Security نیز استفاده کنید.

طریقه کار نیز به صورت زیر است: کافی ست آدرس های پیشفرض را به آدرس دلخواه خود تغییر دهید.

  • تغییر wp-login.php به یک چیز اختصاصی همانند new_host_login
  • تغییر /wp-admin/ به چیزی اختصاصی شبیه new_host _admin
  • تغییر /wp-login.php?action=register به چیزی شبیه new_host _registration

4_محدود کردن تعداد تلاش ها برای ورود از طریق یک IP ثابت با نصب  lockdown:

شما می توانید با محدود کردن تعداد تلاش ها برای ورود از طریق یک IP ثابت جلوی بسیار از حمله های هکرها را بگیرید. همچنین شما می توانید با مشاهده IP هایی که به دفعات تلاش داشته اند وارد شوند آن IP ها را مسدود کنید. افزونه iThemes Security یک گزینه ماسب برای انجام این کار است.

5_استفاده از احراز هویت ۲عامله:

شما می توانید برای صفحه ورود از احراز هویت دو گانه استفاده کنید. در این روش شما می توانید همراه با رمز ورود یک سوال محرمانه یا یک کد محرمانه نیز قرار دهید. با این روش جلوی بسیاری از تلاش ها برای ورود به صفحه خود را خواهید گرفت.

برای این کار میتوانید ، از افزونه WP Google Authenticator  استفاده کنید.

6_استفاده از ایمیل برای ورود:

به طور پیش فرض، شما باید نام کاربری خود را برای ورود وارد کنید. اما اگر شما از ایمیل خود برای ورود استفاده کنید امنیت آن بیش تر خواهد بود زیرا حدس زدن ایمیل سخت تر از حدس زدن نام کاربری است. ما افزونه WP Email Login برای این کار به شما پیشنهاد می کنیم.

7_عوض کردن رمزهای عبور هرچند وقت یک بار:

سعی کنید هرچند وقت یک بار رمزهای عبور خود را عوض کنید. برای راحتی کار میتوانید از این مولد رمز عبور استفاده کنید.

تا به اینجای مقاله در خصوص لزوم بروزرسانی مداوم و همچنین راه های امن کردن ورود به صفحه وردپرس صحبت کردیم.

در ادامه مقاله راه های امن کردن داشبورد ادمین وردپرس را بررسی می کنیم.

بخش سوم: امن کردن داشبورد ادمین وردپرس به وسیله محافظت از دایرکتوری ها

امن کردن داشبورد ادمین وردپرس:

داشبورد ادمین یکی از مهم ترین بخش های وب سایت های وردپرسی است و صاحبان وب سایت ها باید توجه ویژه ای به این بخش داشته باشند. برای امن کردن داشبورد ادمین باید از دایرکتوری wp-admin محافظت کنید:

در این بخش 5 راه کار برای امن کردن داشبورد ادمین وردپرس پیشنهاد می گردد.

1_محافظت از دایرکتوری wp-admin

دایرکتوری wp-admin قلب هر وبسایت وردپرس است و اگر هکری به این قسمت دسترسی پیدا کند می تواند به کل وب سایت آسیب وارد کند. بهترین راه کار استفاده از پسورد برای این دایرکتوری است. با این کار شما برای دسترسی به داشبورد به 2 پسورد نیاز خواهید داشت یکی برای محافظت صفحه ورود و دیگری برای محدوده ادمین وردپرس.

ما افزونه AskApache Password Protect را برای امن کردن بخش ادمین وردپرس پیشنهاد می کنیم.

2_محافظت از فایل wp-config

فایل wp-config مهمترین فایل موجود در دایرکتوری وبسایت شما میباشد و اگر بتوانید از این فایل محافظت کنید در واقع از هسته وردپرس خود محافظت کرده اید. برای محافظت از این فایل آن را به سطح بالاتری در دایرکتوری خود ببرید. نگران این موضوع که با تغییر مکان این فایل وب سرور به آن دسترسی ندارد نباشید چرا که معماری کنونی وردپرس به این گونه است که فایل های کانفیگ تنظیمات، در بالا ترین اولویت قرار دارند و بنابراین هیچ مشکلی از این بابت پیش نمی آید.

 3_غیر فعال کردن ویرایش فایل WP-CONFIG

اگر هکری به داشبورد وردپرس شما دسترسی پیدا کند می تواند به تمام فایل ها دسترسی پیدا کند بنابراین برای جلوگیری از  دستکاری فایل هایتان توسط هکر باید فایل WP-CONFIG خود را به گونه ای تنظیم کنید که غیر قابل ویرایش باشد.

برای این کار کافی ست کد زیر را به فایل WP-CONFIG خود اضافه کنید.

define('DISALLOW_FILE_EDIT', true);

4_ست کردن مجوز های دایرکتوری ها به 755 و 644

مجوز اشتباه دایرکتوری میتواند مهلک باشد، مخصوصا وقتی شما از محیط هاستینگ اشتراکی استفاده میکنید.

به عبارت دیگر، تغییر مجوزهای دایرکتوریها قدم خوبی برای امن کردن وبسایت است. ست کردن مجوز دایرکتوری ها به ۷۵۵  و فایل ها به ۶۴۴ برای کل سیستم، بهترین کار است.

دوباره برای این کار نیز میتوانید از افزونه iTheme Security استفاده کنید.

5_غیرفعال کردن Directory listing

اگر شما یک پوشه جدید بسازید و یک فایل index.html در آن وجود نداشته باشد، بازدیدکنندگان میتوانند همه فایل های داخل آن را ببینند، شما می توانید این مسئله را امتحان کنید، یک پوشه دلخواه مثلا my_data ایجاد کنید سپس /my_data را به انتهای دامنه خود اضافه کنید. مشاهده خواهید کرد تمام فایل های داخل این پوشه بدون انکه به پسورد نیاز داشته باشد قابل مشاهده است.

برای رفع این مشکل قطعه کد زیر را به . htaccess خود اضافه کنید.

Options All -Indexes

بخش چهارم:  امن کردن پایگاه داده وردپرس

تمام داده های وبسایت شما و اطلاعات آن در یک پایگاه داده طبقه بندی می‌شوند. مراقبت کردن از آن یک امر حیاتی است. در زیر چند راهکار برای این کار ارائه شده است:

برای امن کردن پایگا داده وردپرس ما به شما دو راه کار پیشنهاد می کنیم.

1_عوض کردن پیشوند جدول های وردپرس

پیشوند جدول های وردپرس به طور پیشفرض با پیشوند جدولی wp-ساخته می شود و همان طور که در بخش دوم نیز اشاره کردیم استفاده از نام های پیش فرض کار را برای هکرها آسان تر می کند وبسایت شما را در قبال حملات sql injection شکننده میکند.

بنابراین بهتر است پیشوند wp- را به چیز دیگری مانند mywp- و wpnew- و … تغییر دهید. شما می اوانید از افزنونه هایی مانند WP-DBManager و Itheme Security برای انجام این کار کمک بگیرید. حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ  بگیرید

2_استفاده از رمز عبور های قوی و پیچیده برای پایگاه داده

همانگونه که در بخش دوم اشاره کردیم استفاده از رمز عبورهای پیچیده می تواند از تعداد حملات هکرها بکاهد.

برای تولید پسوردهای قوی و پیچیده می توانید از password generator  کمک بگیرید.

بخش پنجم: ایجاد اتصال امن هنگام برقراری ارتباط با سرور

به منظور ایجاد اتصال امن هنگام برقراری ارتباط با سرور ما دو راه حل استفاده از SFTP و یا SSH و همچنین استفاده از گواهینامه SSL را پیشنهاد می کنیم که در ادامه به شرح آن ها می پردازیم:

1_اتصال به سرور با استفاده از SFTP  و یا  SSH

استفاده ازSFTP  و یا  SSHبرای اتصال به سرور بسیار امن تر از اتصال از طریق FTP است. بیش تر شرکت های ارائه دهنده خدمات هاست از این این سرویس ها پشتیبانی می کنند اما اگر شرکت هاستینگ شما از این سرویس پشتیبانی نمی کند می توانید با استفاده از مقاله آموزش ایجاد SFTP و SSH در کنترل پنل Cpanel این کار را به صورت دستی انجام دهید.

2_استفاده از گواهی نامه ssl برای رمزگذاری داده‌ها:

گواهینامه SSL با رمزگذاری داده ها ارتباط امنی را بین کاربر و سرور ایجاد می کند بنابراین احتمال اینکه هنگام وارد کردن رمز عبور خود (بین شما و سرور ارتباط برقرار می شود) افراد هکر بتوانند پسورد شما را به دست بیاورند بسیار پایین می آید.

علاوه بر این گواهی نامه SSL مزایای دیگری نیز دارد که در مقاله گواهی نامه SSL چیست به شرح آن پرداخته ایم.

گواهی نامه SSL در حالت کلی دو نسخه رایگان و پولی ارائه می شود. برای کسب اطلاعات بیش تر و انتخاب بهترین نوع گواهینامه SSL متناسب با نیاز خود بر روی انواع گواهی نامه SSL کلیک کنید.

در ادامه نکات دیگری را نیز بیان می کنیم که با استفاده از ان ها می توانید امنیت سایت وردپرس خود را بیش از پیش افزایش دهید.

پاک کردن ورژن وردپرس (مخفی کردن ورژن وردپرس از دید هکرها)

ورژن وردپرس شما به طور معمول در وب سایت ها نشان داده می شود و اگر هکر ها بدانند که شما از کدام ورژن از وردپرس استفاده می کنید راحت تر می توانند به شما حمله کنند.

شما با استفاده از افزونه هایی مانند iThemes Security می توانید ورژن وردپرس خود را مخفی کنید.

حذف کردن تمام افزونه و قالب های غیرفعال: امکان حمله به سایت شما از طریق افزونه ها و قالب های غیر فعال زیاد است بنابراین بهتر است ان ها را حذف کنید.

انتخاب شرکت میزبان مناسب:

امنیت وب سایت شما وابستگی بسیار زیادی به امنیت شرکت ارائه دهنده هاست شما دارد و باید گفت امنیت تمام شرکت های ارائه دهنده هاست یکسان نیست.

بکاپ گیری مداوم و منظم

با وجود تمام راه کارهایی که برای جلوگیری از حملات هکرها ارائه شد اما باز هم امکان هک شدن وجود دارد و هیچ کس هرگز نمی تواند ادعا کند که می شود امنیت را به طور کامل ایجاد کرد بنابراین سعی کنید به طور منظم و حتی الامکان به صورت روزانه از وب سایت خود بک آپ بگیرید. اگر شما بکاپ داشته باشید، میتوانید وب سایت وردپرسی خود را همیشه و همه جا ریستور کنید و از آن در هر زمانی استفاده کنید.

شما می توانید از افزونه های VaultPress و BackWPup برای بک اپ گیری استفاده کنید.

امیدواریم این مقاله برای شما مفید بوده باشد و بتوانید سایت وردپرسی خود را بیش از پیش امن سازید.

به اشتراک گذاری این مطلب

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *