چگونگی افزایش امنیت وردپرس بزرگ ترین دغدغه امروزه مالکین انواع وبسایت ها مخصوصا وبسایت های وردپرسی میباشد. البته اینطور نیست که وردپرس ناامن باشد بلکه نسبت به سایر پلتفرم های طراحی سایت بسیار عملکرد بهتری در بحث ایجاد امنیت داشته اما با اینحال باید اقداماتی را پیاده سازی کرد که امنیت سایت افزایش پیدا کند.
در مقاله افزایش امنیت وردپرس در 16 گام بصورت 100% تضمینی، یک موضوع بسیار مهم برای هر دارنده وبسایت است. روزانه گوگل حدود ۱۰٬۰۰۰ وبسایت را به خاطر برنامه مخرب و هر هفته حدود ۵۰٬۰۰۰ وبسایت را به خاطر فیشینگ در لیست سیاه خود قرار میدهد. ازین رو بر این آمدیم تا برترین راهکار های افزایش امنیت وردپرس را در 16 گام کلیدی برای شما بصورت جزیی و دقیق جمع آوری نماییم.
اگر در راستای فعالیت در شبکه اینترنت بین المللی جدی هستید، در مورد وبسایت خود، باید به بهترین روشهای برقراری امنیت وردپرس توجه کنید. در این راهنمای آموزشی ارایه شده توسط فارسینو، نکات امنیتی وردپرس برتر را با شما به اشتراک میگذاریم تا به شما کمک کنیم تا وبسایت خود را در برابر هکرها و برنامههای مخرب حفاظت کنید.
امنیت وردپرس خود را تضمینی افزایش دهید!
هرچند هسته وردپرس بسیار امن است و به طور دورهای توسط صدها توسعهدهنده بازبینی میشود، اما هنوز هم میتوانید خیلی کارها انجام دهید تا وبسایت خود را ایمن تر نگه دارید.
ما معتقدیم که امنیت فقط در مورد حذف ریسک نیست بلکه در مورد کاهش ریسک است. به عنوان دارنده وبسایت، خیلی کارها هست که میتوانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر توانمندی تکنیکی نداشته باشید میتوانید از خدمات پشتیبانی وردپرس فارسینو بهره مند شده تا این اقدامات را برای شما انجام دهند).
ما چندین مرحله عملی داریم که میتوانید برای محافظت از وبسایت خود در برابر آسیبپذیریهای امنیتی انجام دهید.
آمادهاید؟ بیایید شروع کنیم.
فاصله سایت تا نابودی فقط در چند ثانیه!
یک وبسایت هکشده میتواند به کسب و کار شما آسیب جدی برساند، از جمله آسیب به درآمد و شهرت شما. هکرها میتوانند به اطلاعات کاربران و دسترسی های ایشان در سایت دستبرد بزنند ، نرمافزارهای مخرب را نصب کنند و از همه مهمتر اینکه به هر نحوی سایت را تخریب نمایند که نتوانید به محتویات سایت دسترسی پیدا نمایید.
بدترین اتفاق این است که ممکن است خود را در موقعیتی ببینید که باید به هکرها وجهی پرداخت کنید تا دسترسی به وبسایت خود را بازیابی کنید و در گذشته این اتفاق بارها برای برندهایی چون اسنپ ، تپسی و…. رخ داده است.
چرا امنیت وردپرس مهم است؟
در مارس 2016، گوگل اعلام کرد که بیش از ۵۰ میلیون کاربر وبسایت هشدار دریافت کردهاند که وبسایتی که در حال بازدید از آن هستند ممکن است هک شده باشند و اطلاعات آنها دزدیده شده باشد.
علاوه بر این، گوگل هر هفته حدود ۲۰٬۰۰۰ وبسایت را به همین دلیل و حدود ۵۰٬۰۰۰ وبسایت را به دلیل فیشینگ در لیست سیاه خود قرار میدهد.
اگر وبسایت شما یک کسب و کار است، بهتر است به امنیت وردپرس خود توجه ویژهتری داشته باشید و از ابتدا معتبرسازی سایت خود را جدی بگیرید!
آموزش گام به گام ایمن سازی وردپرس (افزایش امنیت وردپرس تضمینی)
در این مرحله قصد داریم تا 16 گام اساسی در افزایش امنیت وردپرس را برایتان بصورت کامل شرح دهیم. پس تا انتها با ما همراه باشید.
1- بروز رسانی های وردپرس را جدی بگیرید!
وردپرس یک نرمافزار متنباز است که به طور منظم نگهداری و بهروزرسانی میشود. بهطور پیشفرض، وردپرس بهصورت خودکار بهروزرسانیهای کوچک را نصب میکند. برای نسخههای پرمیوم افزونه ها و قالب ، شما باید بهصورت دستی بهروزرسانی را انجام دهید.
وردپرس همچنین با هزاران افزونه و قالب همراه است که میتوانید بر روی وبسایت خود نصب کنید. این افزونهها و قالبها توسط توسعهدهندگان شخص ثالث نگهداری میشوند و بهصورت دوره ای در زمان های متعدد بهروزرسانی میشوند.
به روز رسانیهای وردپرس برای امنیت و پایداری وبسایت شما بسیار حائز اهمیت هستند. شما باید اطمینان حاصل کنید که هسته وردپرس، افزونهها و قالب شما بهروز هستند.
2- استفاده از کلمه عبور (رمز کاربری) قوی
هکر وردپرس پرتکرارترین و ساده ترین رمز های عبور را در گام های اولیه بررسی می نماید و این میتواند یک زنگ خطر برای شما و وبسایت تان باشد. شما میتوانید ورود به پیشخوان کاربری وردپرس را با استفاده از رمزهای پیچیده تر که برای وبسایت شما منحصر به فرد باشند ایمن تر نمایید. این موضوع نه تنها برای منطقه مدیریت وردپرس بلکه برای حسابهای FTP، پایگاه داده، حساب میزبانی وردپرس و حتی آدرسهای ایمیل سفارشی که از دامنه وبسایت شما استفاده میکنند نیز مورد اهمیت میباشد.
بسیاری از کاربران در راستای آسایش و به خاطر سپردن رمز عبور از عباراتی ساده استفاده می نمایند، این درصورتی است که میتوانید رمز عبورهای مربوطه را در مکان های نرم افزاری امن قرار دهید تا درصورت فراموشی به آنها مراجعه نمایید.
یک راه دیگر برای کاهش ریسک امنیتی این است که دسترسی حساب کاربری ادمینی وردپرس را به هیچ شخصی ارسال ننمایید مگر آنکه آن شخص یا مجموعه همچون مجموعه فارسینو که در زمینه خدمات پشتیبانی وردپرس فعالیت می نمایند، مورد اعتماد شما بوده و قصد رفع مشکلات وردپرسی و یا بررسی سایت را داشته باشند. در عین حال پس از اتمام همکاری با این مجموعه و یا هرشخص دیگری بهتر است حتما و مجدداً اطلاعات دسترسی تغییر پیداکند.
اگر سایت وردپرسی شما ، شامل تیمی از نویسندگان و یا سایر اعضایی که به پیشخوان وردپرس دسترسی دارند میباشد، حتماً اطمینان حاصل کنید که قبل از افزودن حساب کاربری جدید و نویسندگان به وبسایت وردپرس ، نقشها و توانمندیهای کاربر در وردپرس بدرستی انتخاب شده باشد و به این کاربران هم تأکید شود که از استفاده رمزهای کوتاه، مختصر و راحت خودداری گردد.
3- انتخاب شرکت هاست معتبر (میزبانی وردپرس مناسب)
سرویس میزبانی وردپرس یا به عبارتی همان شرکت هاستینگ شما نقش بسیار مهمی در امنیت وبسایت وردپرس شما ایفا میکند. ارائه دهنده خدمات میزبانی همچون نت افراز برخی تدابیر اضافی را برای حفاظت از سرورهای خود در برابر تهدیدات متداول انجام میدهند که میتوانید از خدمات این شرکت هاستینگ بهره مند شوید.
در زیر توضیح داده شده است چگونه یک شرکت میزبانی معتبر از وبسایت وردپرسی شما محافظت می نماید:
آنها بهطور مداوم شبکه خود را برای فعالیت مشکوک نظارت میکنند. همه شرکتهای میزبانی معتبر ابزارهایی دارند تا از حملات DDOS بزرگ جلوگیری کنند. آنها نرمافزار سرور، نسخههای PHP و سختافزار خود را بهروز نگه میدارند تا از حملات هکرها جلوگیری کنند که از آسیبپذیری امنیتی معروف در نسخههای قدیمی جلوگیری شود. آنها برنامههایی در راستای آماده سازی برای اجرای اقدامات اضطراری و برنامههای حادثهای دارند که به آنها این امکان را میدهد تا در مواقع حوادث یا رخدادهای امنیتی، دادههای سایت وردپرسی شما محفوظ بماند.
استفاده از یک سرویس میزبانی وردپرس مدیریتشده، یک پلتفرم امنتر برای وبسایت شما فراهم میکند. شرکتهای میزبانی وردپرس مدیریتشده پشتیبانگیری روزانه یا هفتگی بصورت اتوامتیک و تنظیمات امنیتی پیشرفتهتر را برای حفاظت از وبسایت شما ارائه میدهند.
لذا ما نت افراز را به عنوان ارائهدهنده میزبانی وردپرس مدیریتشده ترجیحی خود توصیه میکنیم.
کد تخفیف 10 درصدی نت افراز : UC052LYH
آدرس وبسایت : netafraz.com
4- بکاپ گیری و یا تهیه پشتیبان منظم و دوره ای از سایت وردپرسی
پشتیبانگیری اولین دفاع شما در برابر هر حملهای به وردپرس است. به یاد داشته باشید که هیچ چیز ۱۰۰٪ امن نیست. اگر وبسایتهای بزرگو هک شوند، وبسایت شما هم ممکن است هک شود.
پشتیبانگیری منظم به شما این امکان را میدهد که به سرعت وبسایت وردپرس خود را به آخرین نسخه موجود در صورت بروز مشکل بازگردانی کنید.
افزونههای پشتیبانگیری وردپرس رایگان و پولی زیادی وجود دارند که میتوانید از آنها استفاده کنید. مهمترین چیزی که باید بدانید در مورد پشتیبانگیری این است که باید به طور منظم پشتیبانهای کامل سایت خود را در یک مکان از راه دور (نه حساب میزبانی شما) ذخیره کنید.
توصیه متخصصین پشتیبانی وردپرسی به این سبک است که نه تنها بصورت منظم و هفتگی از سایت خود در هاست بکاپ بگیرید بلکه با افزونه های جانبی در این زمینه همچون افزونه داپلیکیتور پرو، یک نسخه بکاپ از سایت در گوگل درایو یا دراپباکس شخصی خود ذخیره نمایید.
5- نصب و پیکربندی افزونه امنیتی وردپرس
پس از پشتیبانگیری، موضوع بعدی که باید انجام دهیم راهاندازی یک سیستم نظارتی در وردپرس میباشد که هر اتفاقی را که در وبسایت شما اتفاق میافتد را ردیابی کند.
این شامل نظارت بر اصالت فایل، تلاشهای ناموفق برای ورود، اسکن مالور و غیره میشود.
شما میتوانید براساس معرفی افزونه های امنیتی وردپرس که در مقاله زیر انجام گرفته یک افزونه امنیتی وردپرسی را در سایت خود نصب و پیکربندی نمایید.
6- فعالسازی SSL هاست برای دامنه سایت
SSL (لایه سوکت امن) یک پروتکل است که انتقال دادهها بین وبسایت شما و مرورگر کاربران را رمزنگاری میکند. این رمزنگاری باعث میشود که برای کسی که میخواهد اطلاعات را برداشت کند، سختتر شود.
نحوه کار SSL سایت به چه صورت است؟
هنگامی که SSL را فعال میکنید، وبسایت شما از حالت HTTP به جای HTTPS تغییر پیدا میکند، همچنین یک نشان قفل هم کنار آدرس وبسایت شما در مرورگر ظاهر میشود.
گواهینامههای SSL به طور معمول توسط مراکز گواهینامه صادر میشدند و قیمتهای آنها از 80 دلار تا صدها دلار در هر سال شروع میشد. به دلیل هزینه اضافی، بیشتر مالکان وبسایت ترجیح میدهند از پروتکل ناامن استفاده کنند که پیشنهاد نمیکنیم و لذا سعی کنید حتما این قابلیت را فعالسازی نمایید.
و اما برای حل این مسئله، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم به ارائه گواهینامههای SSL رایگان به مالکان وبسایت گرفت. این پروژه توسط Google Chrome، Facebook، Mozilla و بسیاری از شرکتهای دیگر حمایت شده و درصورتی که توان پرداخت SSL را ندارید میتوانید از نسخه رایگان آن استفاده نمایید.
اکنون، استفاده از SSL برای تمام وبسایتهای وردپرس از همیشه آسانتر است. بسیاری از شرکتهای میزبانی اکنون گواهینامه SSL رایگان را برای وبسایت وردپرس شما ارائه میدهند که اگر تسلطی در این زمینه ندارید میتوانید از پشتیبانی شرکت هاستینگ درخواست نمایید تا این امکان را فعالسازی نمایند.
اگر شرکت میزبانی شما گواهینامه رایگان ارائه نمیدهد، میتوانید از همکاران ما در فارسینو استعلام قیمت نمایید تا این خدمت را برای سایت شما فعال نمایند.
7- عدم استفاده از نام کاربری “admin”
در گذشته، نام کاربری مدیر وردپرس بصورت پیش فرض”admin” بود. از آنجا که نام کاربری نیمی از اطلاعات ورود را تشکیل میدهد، این امر باعث سهولت حملات Brute-force توسط هکرها میشد.
خوشبختانه، وردپرس این موضوع را تغییر داده است و اکنون شما را ملزم به انتخاب یک نام کاربری سفارشی هنگام نصب وردپرس میکند.
با این حال، برخی نصبکنندههای وردپرس، هنوز هم نام کاربری مدیر را بر روی کلمه “admin” تنظیم میکنند که این خطر جدی برای سایت شما محسوب خواهد شد.
8- غیرفعال کردن ویرایش فایل ها از طریق هاست
وردپرس دارای یک ویرایشگر کد داخلی است که به شما این امکان را میدهد تا فایلهای قالب و افزونههای خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید. این ویژگی از لحاظ امنیتی کاملا نادرست بوده و ممکن است یک ریسک بزرگ امنیتی باشد، به همین دلیل توصیه میشود که آن را غیرفعال کنید.
شما میتوانید این کار را به سادگی با افزودن کد زیر به فایل wp-config.php انجام دهید.
// اجازه ویرایش فایل نده
define( 'DISALLOW_FILE_EDIT', true );
9- غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوریهای وردپرس
یک راه دیگر برای تقویت امنیت وردپرس ، غیرفعال کردن اجرای فایل PHP در دایرکتوریهایی است که نیازی به آن نیستند، مانند /wp-content/uploads/.
شما میتوانید این کار را با باز کردن یک ویرایشگر متنی مانند Notepad و جستجوی این کد انجام دهید:
<Files *.php>
deny from all
</Files>
سپس، باید این فایل را با نام htaccess. ذخیره کنید و آن را در پوشه مورد نظر همچون /wp-content/uploads/ آپلود نمایید.
10- محدود کردن تعداد تلاشهای ورود به سایت
به طور پیشفرض، وردپرس به کاربران اجازه میدهد که هر تعداد دفعاتی که اطلاعات کاربری خود را اشتباه وارد کردند، میتوانند مجددا تلاش کنند تا وارد سایت شوند. این باعث میشود که وبسایت وردپرس شما در معرض حملات Brute-force قرار گیرد. هکرها تلاش میکنند با تلاشهای متعدد و ترکیب سازی رمزعبور به وارد شدن به سایت بپردازند.
این مسئله به سادگی با محدود کردن تعداد تلاشهای ناموفق ورودی کاربر قابل حل است. این امکان را میتوانید در افزونه های امنیتی فعالسازی نمایید تا سایت شما ایمن تر بماند.
11- اضافه کردن احراز هویت دو مرحلهای
تکنیک احراز هویت دو مرحلهای نیازمند ورود کاربران با استفاده از یک روش احراز هویت دو مرحلهای است. اولین مرحله نام کاربری و گذرواژه است و در مرحله دوم شما باید با استفاده از یک دستگاه یا برنامه جداگانه احراز هویت را تکمیل نمایید.
بیشتر وبسایتهای معتبر آنلاین مانند گوگل، فیسبوک، توییتر، به شما این امکان را میدهند که برای حسابهای خود این ویژگی را فعال کنید. شما همچنین میتوانید همین قابلیت را به وبسایت وردپرس خود اضافه کنید.
برای فعالسازی این امکان میتوانید افزونه ورود و ثبت نام دیجیتس را نصب و فعال کنید و احراز هویت دو مرحله ای با ایمیل و یا با شماره موبایل را به صورت خیلی حرفه ای در سایت پیاده سازی نمایید.
12- تغییر پیشوند پایگاه داده وردپرس
به طور پیشفرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده میکند. اگر وبسایت وردپرس شما از پیشوند پیشفرض پایگاه داده استفاده میکند، این موضوع را برای هکرها آسانتر میکند تا حدس بزنند که نام جدول شما چیست. به همین دلیل توصیه میشود که آن را تغییر دهید.
شما میتوانید پیشوند پایگاه داده خود را با نصب و پیکربندی افزونه های امنیتی ای نظیر افزونه امنیتی سالید سکیوریتی(آیتمز سکیوریتی) وردپرس برای بهبود امنیت انجام دهید.
توجه: اگر این اقدام بصورت دستی و به درستی انجام نشود، ممکن است وبسایت شما را خراب کند و فقط در صورتی که از مهارتهای موردنظر را در این زمینه دارید بصورت دستی این اقدام را انجام دهید.
13- غیرفعال کردن مسیر ایندکس(Indexing) وبسایت
هکرها ممکن است از دایرکتوری یا مسیر ایندکس(Indexing) وبسایت برای کشف وجود فایلهای با آسیبپذیریهای شناخته شده استفاده کنند، تا بتوانند از این فایلها برای دسترسی بهرهمند شوند.
همچنین دیگر افراد ممکن است از این مسیر برای بررسی فایلهای شما، کپی تصاویر، کشف ساختار دایرکتوری شما و دیگر اطلاعات استفاده کنند. به همین دلیل بسیار توصیه میشود که دایرکتوری یا مسیر ایندکس را غیرفعال نمایید.
شما باید از طریق FTP یا مدیریت فایل cPanel وارد پوشه Public_Html سایت شوید. سپس فایل htaccess. را در دایرکتوری اصلی وبسایت خود پیدا کنید. اگر نتواستید آن را در آنجا ببینید، پس این فایل درحالت مخفی بوده که باید به حالت نمایش آن را دربیاورید.
پس از آن، باید خط زیر را در انتهای فایل htaccess. اضافه کنید:
Options -Indexes
فراموش نکنید که فایل htaccess. را باید ذخیره سازی نمایید.
14- غیرفعال کردن XML-RPC در وردپرس
XML-RPC به طور پیشفرض از وردپرس 3.5 فعال شده بود زیرا به اتصال وبسایت وردپرس شما با برنامهها و اپلیکیشنهای موبایل کمک میکند.
به دلیل قدرتمند بودنش، XML-RPC میتواند حملات انبوه به هک را به شدت تقویت کند.
برای مثال، به طور سنتی اگر یک هکر بخواهد 500 گذرواژه مختلف را بر روی وبسایت شما امتحان کند، باید 500 تلاش ورود جداگانه انجام دهد که توسط افزونه قفل ورود کاربر گرفته و مسدود خواهد شد.
اما با استفاده از XML-RPC، یک هکر میتواند از تابع system.multicall برای امتحان هزاران گذرواژه با 20 یا 50 درخواست استفاده کند.
به همین دلیل اگر از XML-RPC استفاده نمیکنید، توصیه میشود که آن را غیرفعال کنید.
این روش برای کاربران پیشرفته مناسب است چرا که نیازمند ویرایش فایل htaccess. وبسایت میشود. به افراد مبتدی توصیه میشود درصورت عدم تسلط به این گونه موارد از خدمات پشتیبانی وردپرس توسط پشتیبان وردپرسی بهره مند شوند.
این راه دارای چندین مزیت است، از جمله قابلیت اختصاص دسترسی از راه دور به خود و تیم شما و ایجاد محدودیت دسترسی برای دیگران. همچنین این راهکار بر عملکرد وردپرس شما تأثیر منفی نخواهد گذاشت، زیرا درخواستهای XML-RPC را قبل از ارسال به وردپرس غیرفعال میکند.
شما باید کد زیر را به فایل htaccess. خود اضافه کنید. شما میتوانید این کار را با استفاده از دسترسی FTP یا مدیریت فایل انجام دهید. .
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
15- خروج خودکار کاربران در وردپرس
کاربران وارد شده در سایت، گاهی اوقات ممکن است وارد سایت شده و بدون خروج از کاربری از سایت خارج شوند و شاید این عامل، خود یک خطر امنیتی ایجاد نماید. لذا شخص دیگری میتواند گذرواژهها را تغییر دهد یا تغییراتی در حساب کاربری کاربر موردنظر ایجاد کند.
به همین دلیل بسیاری از وبسایتهای بانکی و معتبر مرتبط با خدمات مالی به طور خودکار یک کاربر غیرفعال را پس از مدتی از حساب کاربری بیرون می اندازند. شما هم میتوانید چنین قابلیتی را در وبسایت وردپرس خود پیادهسازی کنید.
شما باید افزونه Inactive Logout را نصب و فعال کنید. پس از فعالسازی، به صفحه Settings » Inactive Logout بروید تا تنظیمات افزونه را پیکربندی کنید.
فقط مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید روی دکمه Save Changes کلیک کنید تا تنظیمات ذخیره گردد.
16- بهره مندی از خدمات پشتیبانی وردپرسی تیم فارسینو
بسیاری از کاربران وردپرس اهمیت فایلهای پشتیبان و امنیت وبسایت را تا زمانی که وبسایت آنها هک میشود، متوجه نمیشوند.
پاکسازی یک وبسایت وردپرس ممکن است بسیار دشوار و زمانبر باشد. اولین توصیه ما این است که سایت خود را به پشتیبان وردپرسی حرفه ای بسپارید تا سایت تان دچار وضعیت نامطلوب نگردد و در صورت وجود اشکال، ایراد و یا عدم دسترسی در اسرع وقت پشتیبان وردپرس بتواند سایت را به حالت قبلی بازگردانی نماید و بدین صورت افزایش امنیت وردپرس تضمین خواهد شد و دیگر نیازی به نگرانی نخواهد بود.
سپردن سایت به یک شرکت پشتیبانی وردپرسی حرفهای همچون متخصصان فارسینویی برای رفع مشکلات وبسایت شما، تضمین میکند که وبسایت شما دوباره ایمن برای استفاده خواهد بود. همچنین شما را در برابر هر حملات احتمالی آینده محافظت خواهند نمود.
پیشنهادات فارسینویی : |
فارسینو | فروشگاه آنلاین خدمات وردپرس | طراحی سایت – پشتیبانی – سئوسازی |
بهترین سایت خرید دامنه رند |
مشاوره رایگان وردپرس! |
خرید رپرتاژ آگهی دائمی |
ارتباط با واحد پشتیبانی وردپرس آسان شد! |
خدمات پشتیبانی وردپرس در تهران |