آژانس دیجیتال مارکتینگ دیجاکس

31 راهکار افزایش امنیت وردپرس!

امنیت وردپرس یکی از مسائل مهمی است که باید به آن توجه ویژه‌ای داشته باشید. از آنجا که وردپرس یکی از سیستم‌های بسیار رایج برای مدیریت محتوای وبسایت است در این مطلب نکاتی را به شما می‌گوییم که در افزایش امنیت وردپرس بسیار مهم هستند. با ما همراه باشید تا با نکات بالا بردن امنیت در وردپرس آشنا شوید. شما می‌توانید برای مشاوره رایگان با متخصصان وردپرس ما کافی است درخواست مشاوره بدهید و یا با شماره ۰۲۱-۴۴۰۰۰۶۶۹ تماس حاصل نمایید تا به صورت کاملا رایگان وبسایت شما را ارزیابی کنیم!

1. امنیت وردپرس و انتخاب هاست!

یکی از نکات مهم در زمان راه‌اندازی سایت انتخاب هاست مناسب است. باید دقت کنید که هاست شما ایمن باشد چرا که بر اساس آمارها بیش از 40 درصد هک‌ها از طریق هاستینگ رخ داده‌اند. شرکت‌های معتبری در زمینه خدمات هاستینگ فعالیت می‌کنند و باید به آن‌ها مراجعه کنید. شاید انتخاب یک هاست معتبر و ایمن هزینه‌ی بیشتری روی دست‌تان بگذارد اما خیالتان را از بروز مشکلات بعدی راحت می‌کند. هاست نه تنها در امنیت سایت شما موثر است بلکه در میزان افزایش بازدید سایت نیز تاثیردارد.

امنیت وردپرس

شما باید رایانه‌ای را که با آن وارد وردپرس می‌شوید را امن نگه دارید تا بتوانید امنیت سایت را نیز تامین کنید. برای این کار حتما نکات زیر را مدنظر قرار دهید:

2. امنیت رایانه خود را تامین کنید!

  • آنتی‌ویروس و آنتی‌مالور (بدافزار) قوی داشته باشید و نسبت به کوچکترین پیام‌ها و تهدیدات توجه نشان دهید.
  • نصب فایروال را فراموش نکنید.
  • حواس‌تان به مانیتورینگ صفحه باشد و دقت کنید به هنگام ورود کسی، صفحه لاگین را نبیند.
  • از طریق یک وای‌فای امن به وردپرس وارد شوید.
  • از مکان‌های عمومی و سیستم‌های ناشناس و غیرمطمئن، لاگین نکنید.
  • اگر از FTP برای انتقال فایل‌ها از رایانه به سرور استفاده می‌کنید، FTPS را جایگزین آن کنید تا امنیت خود را افزایش دهید.

3. نام کاربری و رمز عبور را با دقت انتخاب کنید!

این ساده‌ترین راه برای تامین امنیت وردپرس است و فقط باید کمی دقت داشته باشید. به جای استفاده از نام کاربری پیش فرض Admin یک اکانت ویرایشگر داشته باشید و برای تولید محتوا و انتشار از آن استفاده کنید.

برای انتخاب رمز عبور قوی نیز باید این نکات را رعایت کنید:

از رمزهای ساده مثل 123456 یا abcd به شدت اجتناب کنید.

  • رمز شما نباید کمتر از 8 کاراکتر باشد.
  • از ترکیب اعداد، حروف کوچک و بزرگ و علائمی مانند (@#$ %^&*) که با ترکیب کلید Sift و کلیدهای دیگر ساخته می‌شوند استفاده کنید.
  • برای انتخاب پسورد مناسب از سایت‌های تولید پسورد استفاده کنید که از میان آن‌ها می‌توان به پسوردز جنریتور اشاره کرد.

4. احراز هویت دو مرحله‌ای و امنیت وردپرس!

برای به حداکثر رساندن امینت به هنگام ورود به اکانت در وردپرس، به جز استفاده از نام کاربری و پسورد قوی، از احراز هویت دو مرحله‌ای نیز استفاده کنید. ترفندی که برای افزایش امنیت اکانت اینستاگرام هم از آن استفاده می‌شود. در این نوع احراز هویت علاوه بر ورود نام کاربری و رمز عبور باید کدی را که از طریق افزونه نیز تولید می‌شود را وارد کنید. برای این کار می‌توانید از افزونه‌های مختلفی بهره ببرید که از جمله آن‌ها می‌توان این موارد را نام برد:

Duo Two-Factor Authentication

Google Authenticator-Two Factor Authentication

OpenID

WP Security Question

5. قالب‌ها و افزونه‌های امن را به کار ببرید!

بر اساس آمارها حدود 29 درصد هک‌ها به خاطر قالب‌های ضعیف و آسیب‌پذیر و حدود 22 درصد موارد نیز ناشی از ناامنی افزونه‌ها بوده است. بنابراین دقت در استفاده از قالب‌ها و افزونه‌ها اهمیت زیادی دارد؛ پس نکات زیر را در مورد آن‌ها مورد توجه قرار دهید:

قالب‌ها و افزونه‌های کاربردی و مورد استفاده را نگه دارید تا هم سرعت سایت را بهینه کنید و هم امنیت را افزایش دهید.

افزونه‌ها و قالب‌های دارای سطح پشتیبانی خوب را استفاده کنید.

این موارد را از منابع ناشناخته و غیرمعتبر دانلود نکنید و آنها را از منابع رسمی به دست آورید.

6. دسترسی‌ها را محدود کنید!

نقش‌های مختلفی را در وردپرس تعریف کنید و به افراد مختلف دسترسی‌های کامل را ندهید. نویسنده ،مدیریت، ویرایشگر و … باید به بخش‌های مربوط به خود دسترسی داشته باشند و فقط آنچه را نیاز است در اختیار آن‌ها قرار دهید. هر چه تعداد افرادی که دسترسی کامل دارند بیشتر باشد، حفظ امنیت سخت‌تر می‌شود.

7. از HTTPS استفاده کنید!

پروتکل HTTPS ) Hypertext Transfer Protocol Secure) پروتکلی برای برقراری ارتباط ایمن است که نقش زیادی در امنیت سایت شما دارد. با این کار اطلاعات حساس خود را امین نگه می‌دارید و میزان خطر را کاهش می‌دهید.

8. همیشه به‌ روز باشید!

یکی از کارهایی که در افزایش امنیت سایت شما نقش دارد، به روزرسانی مداوم وردپرس و افزونه‌ها و قالب‌های مورد استفاده است. شما می‌توانید از به‌ روزرسانی‌های دستی استفاده کنید و اگر فکر می‌کنید این کار برایتان دردسر دارد آپدیت‌های خودکار را فعال کنید. در هر صورت باید در بازه‌های زمانی مشخص آپدیت‌ها را مورد بررسی قرار دهید.

9. نسخه پشتیبان را فراموش نکنید!

بک‌آپ‌گیری یا تهیه‌ی نسخه پشتیبان بسیار اهمیت دارد. اگر به هر دلیل اطلاعات شما از دست رفت و مشکلی برای سایت‌تان پیش آمد با نسخه پشتیبان می‌توانید داده‌ها و اطلاعات خود را بازگردانی کنید.

10. به فایل‌ها و پوشه‌های مهم توجه ویژه داشته باشید!

اطلاعات دیتابیس شما در فایل wp-config.php قرار دارد و با هر ترفندی شده باید آن را از خطرات احتمالی حفظ کنید. این اهمیت را برای فایل htaccess هم  قائل شوید که اعمال تغییرات و انجام کارها بر روی سایت را ممکن می‌کند.  پوشه یا فولدر wp-admin حاوی کارهای مربوط به مدیریت پیشخوان وردپرس است و با حمله به آن می‌توان برنامه پیشخوان را کاملا به هم ریخت. این‌ها نمونه‌هایی از فایل‌ها و پوشه‌های مهم هستند که باید برای امنیت هر کدام وسواس زیادی به خرج دهید.

برای دانلود فایل کامل wp-config.php کلیک کنید!

11. این موارد را غیرفعال کنید!

برای افزایش امنیت لازم است که برخی موارد غیرفعال شوند که مهم‌ترین آن‌ها عبارتند از:

ویرایشگر قالب و افزونه

ویرایشگر فایل که امکان تغییر کدها را به افراد می‌دهد.

اجرای فایل PHP

فایل XML-RPC که امکان مدیریت از راه دور وردپرس را ایجاد می‌کند.

امکان مشاهده پوشه هاست

12. از پرونده wp-config.php محافظت کنید!

پرونده wp-config.php اطلاعات مهمی در مورد نصب وردپرس شما دارد و مهم‌ترین پرونده در فهرست ریشه سایت شماست. محافظت از آن به معنای ایمن‌سازی اصلی وبلاگ وردپرس شما خواهد بود.

از آنجا که فایل wp-config.php برای هکرها غیرقابل دسترسی است، این تاکتیک باعث می‌شود امنیت سایت برای هکرها بالا برود.

برای محافظت می‌توانید، پرونده wp-config.php خود را بردارید و آن را به سطح بالاتر از دایرکتوری ریشه خود منتقل کنید.

حال سوال این است که اگر آن را در جای دیگری ذخیره کنید، چگونه سرور به آن دسترسی پیدا می‌کند؟ در معماری فعلی وردپرس، تنظیمات فایل پیکربندی در بالاترین لیست اولویت قرار گرفته است. بنابراین، حتی اگر یک پوشه بالای دایرکتوری ریشه ذخیره شده باشد، وردپرس همچنان می‌تواند آن را مشاهده کند.

13. ویرایش پرونده را نپذیرید!

اگر کاربری به سرپرست داشبورد وردپرس شما دسترسی داشته باشد، می‌تواند فایلی را که بخشی از نصب وردپرس شما قرار گرفته، ویرایش کند. این شامل تمام پلاگین‌ها و مضامین است.

اگر ویرایش فایل را نپذیرید، هیچ کس نمی‌تواند پرونده‌ها را اصلاح کند، حتی اگر یک هکر دسترسی مدیر به داشبورد وردپرس شما را بدست آورده باشد.

 14.مجوزهای فهرست را با دقت تنظیم کنید!

مجوزهای فهرست اشتباه ممکن است کشنده باشند، به خصوص اگر در یک محیط میزبانی مشترک کار می‌کنید.

در چنین حالتی، تغییر پرونده‌ها و مجوزهای دایرکتوری اقدام خوبی برای ایمن سازی وب سایت در سطح میزبانی است. تنظیم مجوزهای دایرکتوری روی “755” و پرونده ها روی “644” از کل سیستم فایل  دایرکتوری‌ها، زیر شاخه‌ها و پرونده‌های جداگانه محافظت می‌کند.

این کار را می‌توان به صورت دستی از طریق File Manager درون پانل کنترل میزبانی خود انجام داد.

برای اطلاعات بیشتر، می‌توانید در مورد طرح اجازه صحیح برای وردپرس مطالعه کرده یا پلاگین iThemes Security را نصب کنید.

برای دانلود رایگان افزونه امنیت iThemes کافی است کلیک کنید!

امنیت وردپرس با استفاده از پلاگین

15. لیست دایرکتوری را با .htaccess غیرفعال کنید!

اگر به عنوان بخشی از وب سایت خود پوشه جدیدی ایجاد کنید و پرونده index.html را در آن قرار ندهید، ممکن است بازدیدکنندگان شما بتوانند لیست کاملی از فهرست موجود در آن را بدست آورند.

به عنوان مثال، اگر پوشه ای به نام data ایجاد کنید، می‌توانید همه موارد موجود در آن فهرست را با تایپ http://www.example.com/data/  در مرورگر خود مشاهده کنید. بدون رمز عبور و یا هر چیز دیگری که مورد نیاز است. 

با افزودن کد زیر در پرونده .htaccess می توانید از این امر جلوگیری کنید:

گزینه‌های All –Indexes

16. محافظت در برابر حملات DDoS

حمله DDoS نوع متداولی برای حمله به پهنای باند سرور شماست، جایی که مهاجم از چندین برنامه و سیستم برای سربار بیش از حد سرور شما استفاده می‌کند. اگرچه حمله‌ای از این دست پرونده‌های سایت شما را به خطر نمی‌اندازد، اما اگر این مشکل حل نشود، برای مدت طولانی سایت شما را خراب می‌کند. معمولاً فقط وقتی حملات DDoS برای شرکت‌های بزرگی مانند GitHub یا Target اتفاق می‌افتد، اطلاعات حملات DDoS را می‌شنوید.

اگر این مسئله شما را نگران می‌کند، توصیه می‌کنیم برای برنامه‌های برتر Sucuri یا Cloudflare ثبت نام کنید. این راه حل‌ها دارای فایروال‌های برنامه وب برای تجزیه و تحلیل پهنای باند مورد استفاده و جلوگیری از حملات DDoS به طور کامل هستند.

 17. برای تأیید امنیت وردپرس از احراز هویت دو عاملی استفاده کنید!

معرفی یک ماژول احراز هویت دو عاملی در صفحه ورود به سیستم، اقدام امنیتی خوب دیگری است که می‌توانید انجام دهید. در این حالت، کاربر جزئیات ورود به سیستم را برای دو جز مختلف ارائه می‌دهد. صاحب وب سایت تصمیم می گیرد که این دو چه موارد باشند.

18. برای ورود به سیستم از ایمیل خود استفاده کنید!

به طور پیش فرض، برای ورود به وردپرس باید نام کاربری خود را وارد کنید. استفاده از شناسه ایمیل به جای نام کاربری رویکرد ایمن‌تری است. دلایل آن کاملاً واضح است. پیش‌بینی نام‌های کاربری آسان است، در حالی که شناسه‌‎های ایمیل چنین نیستند. همچنین، هر حساب کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می‌شود  و آن را به یک شناسه معتبر برای ورود به سیستم تبدیل می‌کند.

19. برای امنیت وب سایت وردپرس خود URL ورود به سیستم را تغییر نام دهید!

تغییر URL ورود به سیستم کاری آسان است. به طور پیش فرض، از طریق wp-login.php یا wp-admin اضافه شده به URL اصلی سایت، می‌توان به راحتی به صفحه ورود وردپرس دسترسی داشت.

وقتی هکرها آدرس مستقیم صفحه ورود به سیستم شما را می‌دانند، می‌توانند به زور وارد سیستم شوند. آن‌ها سعی می‌کنند با GWDb خود وارد شوند، یعنی یک پایگاه داده از نام‌های کاربری و رمزهای عبور حدس زده شده ؛ در آن میلیون‌ها نام کاربری و رمز عبور تصادفی وجود دارد.

ساده‌ترین راه برای تغییر URL ورود به سیستم، استفاده از پلاگین WPS Hide Login بوده و استفاده از آن بسیار ساده است. فقط URL جدید صفحه ورود خود را وارد کنید و تغییرات را ذخیره کنید. می توانید URL را روی هر چیزی که می‌خواهید تنظیم نمایید.

20. تنظیم رمز عبور و امنیت وردپرس!

با رمزهای عبور خود بازی کنید و مرتباً آن‌ها را تغییر دهید تا وب سایت وردپرس خود را ایمن نمایید. با افزودن کلمات اضافی و طولانی‌تر کردن رمزهای عبور، قدرت آن‌ها را بهبود ببخشید.

توجه داشته باشید که ما لزوماً به شما توصیه نمی‌کنیم که حروف بزرگ و کوچک، اعداد و حروف خاص بیشتری را به گذرواژه خود اضافه کنید. در عوض، بسیاری از افراد عبارت‌های طولانی را انتخاب می‌کنند، زیرا پیش بینی این موارد برای هکرها تقریباً غیرممکن است.

21. به طور خودکار کاربران بیکار را از سایت خود خارج کنید!

کاربرانی که صفحه wp-admin سایت شما را روی صفحه‌های خود باز می‌گذارند می‌توانند تهدیدی جدی برای امنیت وردپرس باشند. هر رهگذری می‌تواند اطلاعات موجود در وب سایت شما را تغییر داده، حساب کاربری شخص را تغییر دهد یا حتی سایت شما را به طور کلی خراب کند. با اطمینان از خروج افراد از سایت برای مدت زمان مشخصی که بیکار هستند، می‌توانید از این امر جلوگیری کنید.

با استفاده از افزونه‌ای مانند BulletProof Security می‌توانید این مورد را تنظیم کنید. این افزونه به شما امکان می‌دهد برای کاربران بیکار محدودیت زمانی سفارشی تعیین کنید، پس از آن به طور خودکار از سیستم خارج خواهند شد.

22. از پوشه wp-admin محافظت کنید!

فهرست wp-admin قلب هر وب سایت وردپرسی است. از این رو، اگر این قسمت از سایت شما خراب شود، کل سایت ممکن است آسیب ببیند.

یک راه ممکن برای جلوگیری از این امر محافظت پوشه از دایرکتوری wp-admin است. با چنین اقدام امنیتی وردپرس، مالک وب سایت می‌تواند با ارسال دو رمز عبور به داشبورد دسترسی پیدا کند. یکی از صفحه ورود  و دیگری منطقه مدیریت وردپرس را محافظت می‌کند.

23. برای رمزگذاری داده‌ها از SSL استفاده کنید!

SSL یک اقدام هوشمند برای ایمن سازی پنل مدیریت است. SSL انتقال داده ایمن بین مرورگرهای کاربر و سرور را تضمین می‌کند  و باعث می شود هکرها نتوانند اتصال شما را قطع کنند یا اطلاعات شما را جعل نمایند.

دریافت گواهی SSL برای وب سایت وردپرس ساده است. شما می‌توانید یکی را از یک شرکت شخص ثالث خریداری کنید یا بررسی کنید که آیا شرکت میزبان شما یکی را به صورت رایگان ارائه می‌دهد یا خیر.

24. حساب‌های کاربری را با دقت اضافه کنید!

اگر یک وبلاگ وردپرس یا بهتر بگوییم یک وبلاگ با چند نویسنده دارید، باید با چندین نفری که به پنل مدیریت شما دسترسی دارند برخورد کنید. این می تواند وب سایت شما را در معرض تهدیدات امنیتی وردپرس قرار دهد.

برای این کار، می‌توانید از افزونه‌ای مانند Force Strong Passwords استفاده کنید. این فقط یک اقدام پیشگیرانه است، اما بهتر از داشتن چندین کاربر با رمزهای عبور ضعیف است.

25. نام کاربری مدیر و امنیت وردپرس!

در هنگام نصب وردپرس، هرگز نباید “مدیر” را به عنوان نام کاربری برای حساب مدیر اصلی خود انتخاب کنید. حدس زدن چنین نام کاربری ساده‌ای برای هکرها قابل دسترسی است. زیرا تنها چیزی که هکرها باید بفهمند رمز ورود است.

26. پیشوند جدول پایگاه داده وردپرس را تغییر دهید!

اگر تاکنون وردپرس را نصب کرده باشید، با پیشوند wp- table که در پایگاه داده وردپرس استفاده می‌شود آشنا هستید. بهتر است این پیشوند را به نامی منحصر به فرد تغییر دهید.

استفاده از پیشوند پیش فرض پایگاه داده سایت شما را مستعد حملات تزریق SQL می‌کند. با تغییر wp-  به اصطلاحات دیگر می‌توان از چنین حملاتی جلوگیری کرد.

اگر قبلاً وب سایت وردپرس خود را با پیشوند پیش فرض نصب کرده اید، می‌توا‌نید از چند افزونه برای تغییر آن استفاده کنید. افزونه‌هایی مانند WP-DBManager یا iThemes Security می‌توانند با فقط کلیک یک دکمه در انجام این کار به شما کمک کنند. (اطمینان حاصل کنید که قبل از انجام هر کاری با پایگاه داده، از سایت خود پشتیبان تهیه کرده اید).

27. پشتیبان گیری به صورت مرتب و امنیت وردپرس!

وب سایت وردپرس شما هر چقدر هم که امن باشد، همیشه جای پیشرفت دارد. یکی از بهترین راه‌حل‌ها برای افزایش امنیت وب سایت شما، تهیه نسخه پشتیبان از سایت است.

اگر نسخه پشتیبان تهیه کرده باشید، می‌توانید وب سایت وردپرس خود را در هر زمان که بخواهید به حالت فعال برگردانید. چند افزونه وجود دارد که می‌تواند در این زمینه به شما کمک کند.

28. رمزعبور های قوی برای پایگاه داده خود تنظیم کنید!

گذرواژه قوی برای کاربر پایگاه داده اصلی ضروری است، زیرا این رمز عبوری است که وردپرس از آن برای دسترسی به پایگاه داده استفاده می‌کند.

مثل همیشه، از حروف بزرگ، کوچک، اعداد و نویسه‌های خاص برای رمز عبور استفاده کنید. عبارات عبور نیز عالی هستند. LastPass برای تولید و ذخیره رمز عبور تصادفی عالی است. ابزاری رایگان و سریع برای ساخت رمزهای عبور قوی، ایجاد رمز ورود امن می‌باشد.

29. برای امنیت وردپرس مرتباً به روز شوید!

هر محصول نرم افزاری، توسط توسعه دهندگان آن پشتیبانی شده و هر از چند گاهی به روز می‌شود. این به روزرسانی‌ها برای رفع اشکالات و گاهی اوقات وصله‌های امنیتی حیاتی هستند.

به روزرسانی نکردن مضامین و افزونه‌ها می‌تواند مشکل ساز شود.

بنابراین، اگر از هر محصول WordPress استفاده می‌کنید، آن را مرتباً به روز کنید. پلاگین‌ها، مضامین و هر چیز دیگری که در سایت خود نصب کرده‎ اید. خبر خوب این است که وردپرس به طور خودکار به روزرسانی‌ها را برای کاربران خود ایجاد می‌کند، بنابراین شما ایمیلی دریافت خواهید کرد که در مورد به روزرسانی و اطلاعات مربوط به اصلاحات داشبورد خود اطلاع می‌دهد.

در مورد پلاگین‌ها، این موارد باید با رفتن به پلاگین ها در داشبورد خود به صورت دستی به روز شوند. وقتی یک افزونه نسخه جدیدی داشته باشد، به شما اطلاع داده و پیوندی را برای به روزرسانی ارائه می‌دهد.

30. افزونه‌های بروزرسانی!

به عنوان یک گزینه جایگزین، می‌توانید یک برنامه میزبانی وردپرس مدیریت شده را انتخاب کنید. همراه با بسیاری از ویژگی‌های دیگر و بهبود امنیت وردپرس شما، میزبانی با کیفیت مدیریت به روز رسانی خودکار را برای تمام عناصر سایت وردپرس شما ارائه خواهد شد.

برخی از ارائه دهندگان میزبان مدیریت شده شامل Kinsta ، SiteGround و Flywheel هستند.

31. شماره نسخه وردپرس خود را حذف کنید!

شماره نسخه فعلی وردپرس شما را می‌توان به راحتی پیدا کرد. این شماره، در واقع همان جا در نمای منبع سایت شما نشسته است. همچنین می‌توانید آن را در پایین داشبورد خود مشاهده کنید.

اگر هکرها بدانند از کدام نسخه از وردپرس استفاده می‌کنید، حمله برای آن‌ها بسیار آسان‌تر خواهد بود.

می توانید شماره نسخه خود را تقریباً با هر پلاگین امنیتی وردپرس که در بالا ذکر کردیم، پنهان کنید.

سخن آخر!

مواردی که به آن‌ها اشاره کردیم بخشی از نکاتی بود که باید برای تامین امنیت وردپرس باید به آن‌ها توجه کنید. برای راه‌اندازی یک کسب و کار به صورت آنلاین نیاز به امنیت بیشتری برای سایت خود دارید و باید حرفه‌ای‌تر عمل کنید و از یک کارشناس در این زمینه کمک بگیرید.

ما در این مطلب سعی کردیم به بررسی انواع تکنیک‌های امنیتی ورد پرس بپردازیم. تکنیک‌هایی که در این مطلب آورده شده است، ساده و کاربردی هستند؛ اما می‌توانند تغییرات شگرفی را در امنیت وبسایت شما به وجود بیاورند. در صورتی که نیاز به راهنمایی بیشتری در این رابطه داشتید، می‌توانید با ما تماس بگیرید.

تیم  آژانس دیجیتال مارکتینگ دیجاکس با نمونه کارهای موفق در حیطه طراحی سایت و سئو و انواع خدمات دیگر  در خدمت شماست تا خدماتی شایسته و با ارزش را برای کسب و کار شما ارائه کند. برای ارتباط بیشتر و دریافت مشاوره به بخش تماس با ما مراجعه نمایید.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سوالی دارید ؟
با واتس اپ در ارتباط باشید