قطعا سیستمهای مدیریت محتوای زیادی در دنیا وجود دارند، اما هیچ یک از آنها نمیتوانند به پای WordPress برسند. امنیت وردپرس و راهنمایی های عملی برای جلوگیری از هک شدن سایت وردپرس هر چند یکی از علل این محبوبیت فوق العاده است.
البته باید توجه داشته باشید آن میلیونها سایتی که از آنها یاد کردیم همیشه با پیدا کردن راهی برای در امان ماندن از خطر بالقوه هک شدن از طرف هکرها درگیر هستند چرا که به هر حال هیچ قفلی کاملا و برای همیشه غیر قابل نفوذ نیست، آنچه ما امروز می خواهیم انجام دهیم آموزش نکاتی است که به شما کمک می کند تا وب سایت خود را پیشاپیش امن نگه دارید، قطعا شما هم قبول دارید که پیشگیری بهتر از درمان است. پس مطمئن شوید که شما نکاتی را در این مورد عملی کنید. اگر وب سایت را بدون بهینه سازی امنیت وردپرس انجام دهید. پس مطمئناً دیر یا زود توسط هکرها به راحتی شکسته خواهد شد.
این مقاله به بررسی ۱۷ راه نسبتا ساده برای امن تر کردن و جلوگیری از هک شدن وردپرس می پردازم.
1. از نام کاربری “admin” استفاده نکنید.
در طول نصب و راه اندازی وردپرس، هرگز “admin” را برای حساب مدیر اصلی خود به عنوان نام کاربری استفاده نکنید. حدس چنین نام کاربری برای هکرها آسان است. در این صورت آن چیزی که باید هکرها بدانند تا بتوانند کل سایت شما را دستکاری کنند فقط گذرواژه است. بهتر است از نام کاربری استفاده کنید که حروف و اعداد را با هم ترکیب کند. به عنوان مثال: “s96r2v”. w61sSy.
2. مرتبا به روزرسانی به آخرین نسخه را انجام دهید.
همیشه وب سایتی به روز داشته باشید. برای بستن شکافهایی است که توسط هکرها قابل نفوذ است. به روزرسانی جدید اطلاعات معمولاً در وب سایت اصلی وردپرس [http://wordpress.com/] یا صفحه اول مدیر (wp-admin) در دسترس خواهد بود. بروز رسانی ها که باید انجام دهید: مانند پلاگین ها، تم ها، و هر چیز دیگری، پس آنها را به طور مرتب به روز رسانی کنید.
3. شماره نسخه وردپرس خود را پاک کنید.
شماره نسخه کنونی وردپرس شما به راحتی می تواند فهمیده شود. در واقع، در بخش قابل نمایش و مشاهده ی منبع سایت قرار می گیرد.
در منبع سایت، شماره نسخه وردپرس شما وجود دارد که اگر هکرها بفهمند آسان تر می توانند حمله ایی بی نقص انجام دهند.
می توانید شماره نسخه خود را تقریبا با هر پلاگین امنیتی که در بالا ذکر شد پنهان کنید.
پرونده “readme.html” حاوی نسخه وردپرس شماست. پس از ارتقا وردپرس، بلافاصله فایل را حذف کنید.
4- فایل “install.php” را حذف کنید.
پرونده “wp-admin / install.php” فقط هنگام نصب وردپرس استفاده می شود. اگر وردپرس از قبل در حال اجرا باشد دیگر لازم نیست. بنابراین فایل را از وردپرس خود حذف کنید.
5. از قالب پیش فرض وردپرس استفاده نکنید.
از قالب های پیش فرض وردپرس شامل: “بیست ده” ، “بیست یازده” و “کلاسیک” استفاده نکنیدو آنها را حذف کنید. زیرا بدون هیچ کاربری. هکرها هنوز هم می توانند از آنجا حمله کنند. در نتیجه از یک قالب امن استفاده کنید.
6. از یک رمز عبور یا گذر واژه قوی استفاده کنید.
گذرواژه های سایت را مرتبا عوض کنید. قدرت آنها را با اضافه کردن حروف بزرگ و کوچک، اعداد، و کاراکتر های خاص بهبود دهید اما اگر حداکثر قدرت رمز عبور را داشته باشیم می تواند به ما کمک کند.
7. از فایل “wp-config.php” محافظت کنید.
ما باید کاری کنیم که هیچ کس به این پرونده ها دسترسی نداشته باشد. فایل wp-config.php اطلاعات مهم در مورد راه اندازی وردپرس شما را نگهداری می کند و این در واقع مهم ترین فایل در دایرکتوری ریشه سایت شما است.
محافظت از آن به معنای محافظت از هسته وبلاگ وردپرس شما می باشد. اگر فایل wp-config.php برای هکرها غیرقابل دسترس باشد، از بین بردن امنیت سایت شما برایشان کار دشواری است.
خبر خوب این است که انجام این کار واقعا آسان است. فقط فایل wp-config.php خود را وارد کنید و آن را به سطحی بالاتر از دایرکتوری ریشه خود حرکت دهید.
حالا سوال این است، اگر فایل در جای دیگر ذخیره شود سرور چگونه به آن دسترسی پیدا می کند؟ در معماری وردپرس فعلی، تنظیمات فایل پیکربندی در بالاترین لیست اولویت، تنظیم شده است. بنابراین، حتی اگر یک بار بالای دایرکتوری ریشه ذخیره شده باشد، وردپرس بازهم می تواند آن را بفهمد.
روش دیگر برای بهبود امنیت وردپرس خود، می توانید ویرایش این فایل ها را از طریق ویرایشگر غیرفعال کنید. می توانید این کار را از داخل wp-config.phpپرونده خود با اضافه کردن این خط کد انجام دهید:
define(‘DISALLOW_FILE_EDIT’, true);
8. از احراز هویت دو مرحله ایی استفاده کنید.
قرار دادن احراز هویت 2 مرحله ایی (2FA) در صفحه ورود به سیستم یکی دیگر از اقدامات امنیتی خوب است. کاربر در این حالت جزییات ورود به سیستم را با دو مولفه مختلف ایجاد می کند که صاحب وب سایت تصمیم می گیرد آن دو مولفه چه چیزی باشند. مولفه می تواند یک گذرواژه معمولی با درک سوال مخفی، کد مخفی، مجموعه ای از کاراکترها و غیره باشد.
9. پیشوند جدول پایگاه داده وردپرس را تغییر دهید.
این روش کاملاً موثر است. اما بسیار دشوار است. به خصوص اگر وب سایت از قبل در حال اجرا باشد. ترفند اینست که ابتدا از پایگاه داده خود پشتیبان تهیه کنید. برای مثال هر پیشوند “wp_” را به پیشوند دیگری مانند “newp_” تغییر دهید.
اگر وب سایت وردپرس خود را با پیشوند پیش فرض راه اندازی کرده اید، پس می توانید از چند پلاگین برای تغییر آن استفاده کنید. پلاگین هایی مانند WP-DBManager یا iThemes Security می توانند فقط با یک کلیک به شما کمک کنند. (پیش از اینکه در پایگاه داده کاری انجام دهید اطمینان حاصل کنید که از سایت خود بکاپ گرفته اید)
10. به طور منظم از سایت خود بکاپ بگیرید.
مهم نیست که وب سایت شما چقدر امن است، همیشه فرصتی برای بهبود وجود دارد. اما در پایان روز، نسخه بکاپ را خارج از سایت ذخیره کنید یعنی جاهایی که شاید بهترین مکان امن هستند.
اگر بکاپ داشته باشید، می توانید وبسایت وردپرس خود را هر وقت که خواستید به حالت فعالیت بازگردانید. بعضی پلاگین ها می توانند در این رابطه به شما کمک کنند.
اگر به دنبال یک راه حل عالی هستید، پس VaultPress از شرکت Automattic که فوق العاده است را توصیه می کنم. من این افزونه را نصب کرده ام که هر 30 دقیقه بکاپ می گیرد و هر اتفاق بدی که برای سایت رخ داده را به راحتی می توانم با یک کلیک به حالت اول بازگردانم. مهمتر از همه، سایتم را از وجود بدافزار بررسی می کند و هرچیز مشکوکی پیدا کرد آن را اعلام می کند.
11. به درستی به سرور وصل شوید.
هنگامی که سایت خود را تنظیم می کنید، فقط از طریق SFTP یا SSH به سرور وصل شوید. SFTP همیشه نسبت بهFTP سنتی ترجیح داده می شود، زیرا ویژگی های امنیتی آن با FTP نمی باشد.
اتصال به سرور که بر این منوال است می تواند انتقال امن همه فایل ها را تضمین کند. بسیاری از سرویس دهندگان میزبان وب، این سرویس را به عنوان بخشی از بسته خود ارائه می دهند، اگر این طور نبود می توانید آن را به صورت دستی انجام دهید (گوگل فقط برای آموزش است، ولی در خارج از گوگل زیاد وجود دارد).
12. مجوزهای دایرکتوری را به دقت تنظیم کنید.
مجوزهای دایرکتوری اشتباه، می توانند مخرب باشند به ویژه اگر شما از محیط میزبان وبی که به اشتراک گذاشته شده است استفاده می کنید.
در چنین موردی، تغییر فایل ها و مجوزهای دایرکتوری حرکت خوبی برای ایمن کردن وب سایت در سطح میزبان وب است. تنظیم مجوزهای دایرکتوری به “755” و فایل ها به “644” می تواند از کل فایل های سیستمی، دایرکتوری، زیردایرکتوری و فایل های شخصی محافظت کند.
این تغییر می تواند یا به صورت دستی از طریق مدیر فایل داخل کنترل پنل میزبان وب شما و یا از طریق ترمینال (متصل به SSH) انجام شود که باید از دستور “chmod” استفاده کنید.
برای کسب اطلاعات بیشتر درباره قاعده مجوز وردپرس یا نصب پلاگین امنیتی iThemes مطالعه کنید تا بتوانید تنظیمات مجوز کنونی خود را چک کنید .
13. لیست دایرکتوری را با .htaccess غیرفعال کنید.
اگر دایرکتوری جدیدی برای بخشی از وب سایت خود ایجاد کرده اید و فایل index.html را در آن قرار نداده اید، ممکن است از فهمیدن اینکه بازدیدکنندگان شما می توانند به همه محتویات موجود در فهرست دایرکتوری، دسترسی داشته باشند شوکه شوید.
به عنوان مثال، اگر یک دایرکتوری به نام “data” ایجاد کنید، می توانید با تایپ www.example.com/data همه محتویات آن دایرکتوری را در مرورگر خود ببینید. نه گذرواژه و نه چیز دیگری لازم نیست.
14. فایل های خود را نظارت کنید.
اگر امنیت بیشتری می خواهید، می توانید از طریق پلاگین هایی مانند Wordfence یا باز هم iThemes Security تغییرات فایل های وب سایت را نظارت کنید.
15. حساب های کاربری را با دقت اضافه کنید.
اگر یک وبلاگ وردپرس یا ترجیحا یک وبلاگ چند نویسنده ایی را اداره می کنید پس باید با این چند نفری که به پنل مدیریت شما دسترسی دارند سروکار داشته باشید. این وضعیت می تواند وب سایت شما را به تهدیدات امنیتی آسیب پذیرتر کند.
اگر می خواهید از ایمن بودن تمام گذرواژه های کاربران اطمینان حاصل کنید، می توانید از یک پلاگین مانند Force Strong Passwords برای آنها استفاده کنید. این فقط یک اقدام احتیاطی است.
16. از امنیت شبکه (Network Security) برای جلوگیری از هک شدن وردپرس استفاده کنید.
استفاده از یک اتصال نامطمئن (رمز نگاری نشده)، ممکن است سبب شود داده ها از بین بروند ویا قبل از اینکه شما قادر به گفتن “unencrypted” باشید، ممکن است توسط هکرها، هک شوید. به همین دلیل است که شما باید بر روی ارتباطات شبکه های امن و رمزگذاری شده تمرکز کنید: سمت سرور، طرف مشتری و همه طرف ها. یک میزبان پیدا کنید که اجازه رمزگذاری SFTP / SSH را برای محافظت از اطلاعات می دهد و اطلاعات شما را در برابر intercepts مخرب محافظت کند.
17. کامپیوتر خود را اسکن کنید.
اگر که رایانه های ما وارد بدافزار میزبانی شوند سپس ابزاری برای نویسندگان بدافزار می شود تا بتوانند به وب سایت سیستم / میزبان ما وارد شوند. بنابراین همیشه باید رایانه / لپ تاپ خود را که به طور منظم استفاده می کنید، اسکن کنید.
دهید. به دلیل برنامه هکر در وب سایت شما قرار داده شده است و این کار آسانتر کردن هک برای هکرها است. سپس می توانید هاست خود را در ایالت جدید برای خرید هاست تمیز کنید. لطفاً یک بلیط پشتیبانی برای بخش فنی با موضوع “میزبانی مجدد” ایجاد کنید.
در اینجا بهترین پلاگین های امنیتی برای امنیت وردپرس وجود دارد:
یکی از 3 افزونه زیر را نصب و فعال کنید.
- Better WP Security
- Bulletproof Security
- Automatic Updater
آموزش نحوه ایمن سازی وردپرس از طریق هکرها نمی تواند 100٪ از امنیت وب سایت شما برخوردار باشد. اما اکثر آنها خلا security امنیتی را برطرف نمی کنند. هیچ امنیتی کامل و برای همیشه وجود ندارد. به این معنی که نمی توان همه تنظیمات را پس از آن ذخیره کرد، زیرا ممکن است فردا دیگر امن شناخته شود و دیگر ایمن نباشد.
الان وقتشه!
جهت مشاوره و ساخت طراحی سایت حرفه ای و بهینه سازی سایت و تولید محتوا تماس بگیر
