Site Loader

امنیت سایت یکی از مهم ترین مواردیه که باید سر لوحه کار و کاسبی تون کنین. امنیت پایین شاید در بعضی از موارد بسیار مشکل ساز باشه. بعضی مواقع به وسیله امنیت پایین وب سایتا اطلاعات پنهونی و در عین حال مفیدی در اختیار هکرها قرار میگیره. در این مطلب روشای افزایش امنیت وردپرس رو میگیم.

هک

شاید اطلاعات مشتریان شما یکی از مهم ترین چیزهاییه که شما در کار و کاسبی خود دارین. شما دوست دارین این اطلاعات دست کسی بیفته؟ پس باید با راه کارایی که هست به فکر بالا بردن امنیت سایت خود باشین.

دوست دارین سایتی که واسه اون بسیار زجمت کشیده اید به لجظه ای از دست بدین و به اصطلاح سایت شما داون شه.

چون بیشتر کار و کاسبیای نوپا و هم اینکه قدیمی براساس وردپرس سایت خود رو راه اندازی کردن در این مقاله می خوام درباره بالا بردن امنیت وب سایتای وردپرسی نکات و راه کارایی رو به شما دوستان عزیزم بدهم.

قبل اینکه مواردی رو واسه ایمن سازی وردپرس عنوان کنیم می خوایم به چند نکته مهم اشاره کنیم.

اول اینکه حتما از هاست امن واسه راه اندازی سایت خود استفاده کنین. میزبانی که حتما Protection یا Anti-DDoS رو روی سروهای خود داشته باشن.

از افزونها و پوسته های رایگان اصلا استفاده نکنین. خواهش می کنم این مورد رو حتما رعایت کنین. منظور از افزونه های رایگان افزونه هاییه که نسخه پولی اون هست ولی بعضی از سایتا اونا رو رایگان واسه دانلود قرار میدن.

این جور افزونها دارای باگای امنیتیه که ممکنه در آینده سایت شما رو نابود کنن. پس هیچ وقت از افزونه های کرک شده و رایگان به این صورت استفاده نکنین.

سرفصل محتوا

  • موقع نصب وردپرس به دو نکته زیر توجه کنین
  • چیجوری سایت وردپرسی خود رو ایمن کنیم؟
  • ۱- تغییر صفحه مدیریت وردپرس
  • ۲- رمز گذاری روی صفحه مدیریت وردپرس
  • ۳- بروزرسانی وردپرس
  • ۴- واسه رمزگذاری داده ها از SSL استفاده کنین
  • ۵- اعمال محدودیت در تعداد دفعات ورود به مدیریت سایت
  • ۶- حسابای کاربری رو با دقت اضافه کنین
  • ۷- استفاده ایمیل واسه ورود به سیستم
  • ۸- غیر فعال کردن ویرایش فایل در ویرایشگر وردپرس
  • ۹- مخفی کردن پیغام خطا در صفحه ورود وردپرس
  • ۱۰- مراقبت از فایل wp-config.php
  • ۱۱- غیر فعال کردن دیدن دایرکتوری سایت به وسیله کاربران
  • ۱۲- تغییر نمایش نام عمومی
  • ۱۳-به کار گیری CAPTCHA
  • ۱۴- به طور منظم از سایت خود بکاپ بگیرین
  • کلام آخر

موقع نصب وردپرس به دو نکته زیر توجه کنین

موقع نصب وردپرس نام کاربری ورود شما به صورت پیش فرض Adminه. در ورژنای قبلی وردپرس موقع نصب اون امکان تغییر نام کاربری نبود و به صورت خودکار نام کاربری ادمین واسه کاربر ثبت می شد.

ولی در ورژنای جدید این امکان به وجود اومد که موقع نصب هم امکان تغییر نام کاربری باشه. حتما از نام کاربری دیگری به جز Admin واسه سایت خود استفاده کنین. اگه هم نام کاربری شما ادمینه همین الان از راه دیتابیس Phpmyadmin در قسمت User مبادرت به عوض کردن نام کاربری سایت خود کنین.

وقتی که شما می خواین وردپرس خود رو نصب کنین پیشوند جداول دیتابیس WPه که پیشنهاد می کنم واسه امنیت بیشتر حتما نام دیگری واسه پیشوند جداول دیتابیس خود انتخاب کنین.

اگه پیشوند جداول شما همون WPه می تونین با به کار گیری افزونه Change DB اونو تغییر بدین. فقط قبل از به کار گیری این افزونه حتما از کل دیتابیس خود بک آپ بگیرین.

هنگام انتخاب پسورد به این نکته توجه کنین که هیچ وقت از پسوردهای ساده استفاده نکنین. ۱۲۳۴۵۶۷۸۹ پسوردی نیس که بشه واسه رمز عبور سایت خود بذارین.

مطمئن باشین با انتخاب پسوردهای ساده سایت شما خیلی راحت هک می شه. با به کار گیری سایت strongpasswordgenerator می تونین رمزهای قوی واسه سایت خود بسازین.

چیجوری سایت وردپرسی خود رو ایمن کنیم؟

۱- تغییر صفحه مدیریت وردپرس

اولین کاری که بعد از نصب وردپرس خود باید انجام بدین تغییر دادن صفحه ورود به مدیریت وردپرسه که به صورت پیش فرض wp-login.phpه. با به کار گیری افزونه امنیتی Lockdown WP Admin یا All in one WP security می تونین مبادرت به تغییر صفحه ورود به مدیریت وردپرس خود کنین.

۲- رمز گذاری روی صفحه مدیریت وردپرس

دومین کاری که بعد از نصب وردپرس خود باید انجام بدین رمز گذاری روی پوشه Adminه. واسه این کار وارد کنترل پنل هاستینگ خود شید و روی Directory Privacy کلیک کنین.

در صفحه باز شده تموم پوشها میشه دید. با کلیک روی هر پوشه ای به فایلای داخلی اون دسترسی پیدا می کنین. پوشه ادمین رو انتخاب کنین و در صفحه باز شده تیک گزینه password protect this directory رو بزنین و درون کادر زیر نام فایل wp-login.php رو وارد کنین.

در قسمت پایین همون صفحه می تونین یوزر نیم و پسورد دلخواه خود رو وارد کنین و روی Save کلیک کنین. با این کار واسه وارد شدن به مدیریت وردپرس باید دو بار یوزر نیم و پسورد وارد شه.

۳- بروزرسانی وردپرس

تلاش کنین همیشه از آخرین نسخه وردپرس استفاده کنین. هنگاهی که بروزرسانی جدید وردپرس به شما پیشنهاد می شه همون موقع اونو به نسخه جدید بروزرسانی کنین.

بعد از بروزرسانی نسخه جدید ورپرس خود خیلی از باگای موجود در اون از بین میره. خیلی از هکرها با به کار گیری باگایی که در نسخه های قدیمی تر وردپرس هست مبادرت به حمله به سایتای وردپرسی می کنن.

بروزرسانی افزونها و پوسته ای که استفاده می کنین هم الزامیه. همیشه تلاش کنین از افزونه س ایی که با نسخه وردپرس شما سازگاری دارن استفاده کنین.

البته پیشنهاد می کنیم قبل از هر بروزرسانی از سایت بکاپ بگیرین.

۴- واسه رمزگذاری داده ها از SSL استفاده کنین

اجرای گواهی SSL (لایه سوکت امن) یه حرکت هوشمند واسه ایمن کردن پنل مدیریته. SSL انتقال داده های امن بین مرورگرهای کاربر و سرور رو تضمین می کنه، و نفوذ در اتصال یا جعل اطلاعات شما رو واسه هکرها مشکل می کنه.

دریافت گواهی SSL واسه سایت وردپرس شما مشکل نیس. می تونین گواهی رو از بعضی شرکتای اختصاصی بخرین و یا از شرکت میزبانی وب خود بخواین که واسه شما اینجور گواهی رو انتخاب کنه (بیشتر وقتا بسته های میزبان وب اختیاریه).

گواهی SSL هم اینکه بر رتبه بندی سایت شما در گوگل تاثیر میذاره. رتبه سایتای گوگل با SSL ، بالاتر از اونائیه که بدونSSL هستن که به معنی بیشتر بودن این سایتا هستش. حالا کی این رو نمی خواد؟

۵- اعمال محدودیت در تعداد دفعات ورود به مدیریت سایت

در حالت عادی ورپرس محدودیتی واسه تعداد وارد کردن پسوردهای اشتباه نداره. هکرها با به کار گیری این نقطه ضعف می تونن به تعداد خیلی بالایی پسوردهای جور واجور رو واسه ورود به مدیریت وردپرس شما امتحان می کنن.

در این روش که brute force اسمشه فرد مهاجم پسوردای مختلفی رو واسه ورود به مدیریت سایت امتحان می کنه تا وقتی که به رمز مورد نظر برسه.

واسه جلوگیری از این کار می تونین از افزونه Limit Login Attempts جهت اعمال محدودیت در تعداد لاگینای اشتباه استفاده کنین.

با به کار گیری این افزونه می تونین مشخص کنین هر نام کاربری مجاز به چند بار تلاش واسه ورود به بخش مدیریت سایت باشه. مثلا بعد از ۵ بار تلاش واسه ورود و وارد کردن تکراری رمزای اشتباه، کاربر دیگه قادر نیس صفحه لاگین رو ببینه.

البته همونجوریکه در بالا گفتیم تموم موارد امنیتی گفته شده با افزونه All in one WP security قابل اجراست.

۶- حسابای کاربری رو با دقت اضافه کنین

اگه یه وبلاگ وردپرس یا یه وبلاگ چند-نویسنده ایی رو اداره می کنین پس باید با این چند نفری که به پنل مدیریت شما دسترسی دارن سروکار داشته باشین. این وضعیت می تونه سایت شما رو به تهدیدات امنیتی آسیب پذیرتر کنه.

اگه می خواین از ایمن بودن تموم گذرواژهای کاربران مطمئن شین، می تونین از یه پلاگین مانند Force Strong Passwords  واسه اونا استفاده کنین. این فقط یه اقدام احتیاطیه.

۷- استفاده ایمیل واسه ورود به سیستم

به طور پیشفرض از نام کاربری واسه ورود به سیستم استفاده می شه. به کار گیری یه شناسه ایمیل به جای بکاربردن نام کاربری امن تره که دلایل اون به طور کامل روشنه. پیش بینی کردن نام کاربری آسونه، در حالی که شناسه ایمیل اینطور نیس.

هم اینکه همه حسابای کاربری وردپرس با یه نشانی ایمیل منحصر به فرد درست می شن، که واسه ورود به سیستم یه شناسه معتبریه.

پلاگین WP Email Login واسه این منظور خارج از قانون کار می کنه. این پلاگین درست بعد از فعال شدن شروع به کار می کنه و هیچ احتیاجی به تنظیمات نداره.

واسه آزمایش پلاگین فقط از سایت خود خارج شید و بعد دوباره وارد شید، اما این بار از نشانی ایمیل حساب کاربری خود استفاده کنین.

۸- غیر فعال کردن ویرایش فایل در ویرایشگر وردپرس

اگه به هر دلیلی فرد مورد نظر تونست به کنترل پنل مدیریت وردپرس شما دسترسی پیدا کنه می تونه با ویرایش صفحات سایت شما از راه ویرایشگر فایلای وردپرس کدهای مورد نظر خودشو اجرا کنه و چه بسا ممکنه به سایت شما آسیب بزرگی وارد کنه.

واسه جلوگیری از این کار شما باید وارد فایل wp-config.php شید و کد زیر رو در اون بذارین.

;(define( ‘DISALLOW_FILE_EDIT’, true

با این کار ویرایش فایلاتون از راه ویرایشگر وردپرس غیر فعال می شه.

۹- مخفی کردن پیغام خطا در صفحه ورود وردپرس

وقتی که رمز عبور ناصحیح واسه نام کاربری در صفحه لاگین وردپرس وارد می شه پیغام خطایی مبنی بر اینکه رمز وارد شده واسه فلان نام کاربری اشتباهه ظاهر می شه. با ظاهر شدن این پیام فرد مورد نظر امیدوار می شه و می دونه که یوزر رو درست حدس زده.

ولی اگه این پیغام واسه اون نشون داده نشه نمی تونه بفهمه یوزر رو درست وارد کرده یا نه! واسه جلوگیری از نمایش این پیغام باید کد زیر رو در فایل Functions.php بذارین که دیگه پیغامی جهت اشتباهی رمز عبور نشون داده نشه.

;((;”add_filter(‘login_errors’,create_function(‘$a’, “return null

۱۰- مراقبت از فایل wp-config.php

همونطور که میدونید فایل wp-config.php فایل بسیار مهم و پنهونی ایه که اطلاعات دیتابیس وردپرس شما در اون قرار داره.

واسه ایمن سازی این فایل راه های زیادی هست که یکی از این راه ها مراقبت از این فایل از راه فایل .htaccessه. واسه این کار وارد کنترل پنل هاستینگ خود و وارد فایل .htaccess شید و در انتهای اون جایی که دیگه کدی وجود نداره کد زیر رو بذارین.

<Files wp-config.php>

order allow,deny

deny from all

</Files>

هم اینکه می تونین فایل wp-config.php رو وارد یه فولدر دیگری در public_html هاست خود کنین. نگران نباشین وردپرس به صورت خودکار قادر به تشخیص محل فایل wp-config.php شما هستش و واسه سایت شما مشکلی پیش نمیاد.

مشکلی

۱۱- غیر فعال کردن دیدن دایرکتوری سایت به وسیله کاربران

به طور پیش فرض در تموم هاستینگا مرور دایرکتوری سایت واسه تموم افراد بازه. به طور مثال کسی که وارد نشانی hamyareweb.co/images شه می تونه تموم عکسای سایت رو ببینه.

و هم اینکه اگه به آدرسای دیگه مراجعه کنه می تونه به دیگر فایلای سایت دسترسی داشته باشه. واسه جلوگیری از این کار باید وارد فایل .htaccess شید و کد Options -Indexes رو درون اون بذارین.

۱۲- تغییر نمایش نام عمومی

اگه نام نمایش خود رو تغییر ندین خیلی راحت با مطالبی که در سایت خود درج می کنین همه می تونن نام کاربری شما رو بدونن. هکرها از این روش بدون هیچ زحمتی می تونن یوزر نیم ورود به بخش مدیریت وردپرس شما رو پیدا کنن.

واسه جلوگیری از بروز این مشکل می تونین از راه قسمت ویرایش شناسنامه و وارد کردن نام و نام خانوادگی خود نام نمایشی خود رو تغییر بدین. با این کار نام و نام خانوادگی شما در مطالب و جاهای دیگه سایت نشون داده می شه.

۱۳-به کار گیری CAPTCHA

CAPTCHA یا همون کپچا نرم افزاری آنلاین واسه تولید سوالات و آزمون هاییه که آدم بدون هیچ سختی ای قادر به جواب گویی به اونا هستش ولی کامپیوترها الان قادر به تشخیص و جواب به اونا نیستن.

نمونه ای از اونو در تصویر زیر می تونین ببینین.

به کار گیری CAPTCHA در قسمتای جور واجور سایت خیلی می تونه به بالا بردن امنیت سایت وردپرسی شما کمک کنه.

تلاش کنین در قسمتایی مثل صفحه ورود به پنل مدیریتی وردپرس و قسمت درج نظرات و فرم عضویت در سایت از CAPTCHA استفاده کنین. با به کار گیری افزونه Captcha by BestWebSoft می تونین در قسمتای جور واجور سایت خود CAPTCHA بذارین.

۱۴- به طور منظم از سایت خود بکاپ بگیرین

مهم نیس که سایت شما چقدر امنه، همیشه فرصتی واسه بهبود هست. اما در آخر روز، نسخه بکاپ رو خارج از سایت ذخیره کنین یعنی جاهایی که شاید بهترین مکان امن هستن.

اگه بکاپ داشته باشین، می تونین سایت وردپرس خود رو هر وقت که خواستین به حالت فعالیت برگردونین. بعضی پلاگینا می تونن در این رابطه به شما کمک کنن.

اگه به دنبال یه راه حل عالی هستین، پس VaultPress از شرکت Automattic که فوق العاده س رو پیشنهاد می کنیم. این افزونه هر نیم ساعت بکاپ میگیره و هر اتفاق بدی که واسه سایت اتفاق افتاده رو خیلی راحت میشه با یه کلیک به حالت اول بازگرداند. مهمتر از همه، سایت رو از وجود بدافزار بررسی می کنه و هرچیز مشکوکی پیدا کرد اونو اعلام می کنه.

راه حل

البته این افزونه واسه سایتایی کاربرد داره که تغییرات همیشگی در اون صورت میگیره و بازدیدکننده بسیار داره و البته واسه سایتای فروش آنلاین هم مناسبه.

واسه سایتای معمولی همون بکاپ روزانه کافیه.

کلام آخر

سخن آخر اینه که مواردی که در این مقاله واسه افزایش امنیت در وردپرس به اونا اشاره کردم تعدادی از کارهاییه که جهت بالا بردن امنیت وردپرس خود میشه از اونا استفاده کرد.

ولی باید بدونین با همین موارد کوچیکی که به اون اشاره کردم که واسه انجام دادن اونا واقعا وقت زیادی رو از شما نمی گیره تا حدود خیلی بالایی می تونین امنیت سایت خود رو بالا ببرین.

در مقاله های بعدی حتما در مورد

منبع:  joomaria.ir – hamyareweb.co

میهمان