یکی از مهمترین نگرانی های مدیران وردپرس امنیت وردپرس است که به راحتی نمی توان از آن عبور کرد. وردپرس به دلیل محبوبیت در بین سیستم های سایت سازی همیشه هک و نفوذ می کند و استفاده از وردپرس در بسیاری از سایت ها باعث شده است که موضوع هک سایت وردپرس بیشتر شود. از آنجا که بحث امنیت امری نسبی است و نمی توان گفت که از یک سیستم امنیتی کامل برخوردار است ، بنابراین برای افزایش امنیت در وردپرس لازم است از تمام راه حل های موجود استفاده کنید.
در این مقاله قصد دارم راه های ایمن سازی وردپرس را از پایگاه دانش میزبان معرفی کنم که می توانید با استفاده از آنها امنیت سایت خود را افزایش داده و از بروز هرگونه نفوذ و هک در سایت تا حد بسیار بالایی جلوگیری کنید. بنابراین اگر در امنیت سایت خود مشکلی دارید و مورد حمله برخی افراد قرار گرفته اید، در پایان این مقاله با ما همراه باشید تا با فعال سازی و افزودن روش های امنیتی که در این مقاله بررسی می کنیم ، امنیت وردپرس را افزایش دهیم.
نحوه ایمن سازی وردپرس و جلوگیری از هک وردپرس
وقتی سایتی هک می شود ، کلیه اطلاعات سایت به سرقت می رود. در بدترین حالت ، برخی از افراد پس از مشاهده هر چیزی ، با قرار دادن کد مخرب در قسمت های مختلف سایت ، اقدام به استخراج دائمی اطلاعات سایت شما می کنند. از نظر ظاهری ، همه موارد موجود در سایت شما به درستی کار می کنند و مشکلی مشاهده نمی کنید ، اما اطلاعات مهم سایت شما و کاربرانی که در سایت شما هستند دائماً از جایی درز می کنند.
از همان ابتدا ، هنگام شروع نصب وردپرس ، باید از همه روش ها برای افزایش امنیت وردپرس و جلوگیری از هک سایت و هک شدن وردپرس استفاده کنید. از طرف دیگر امنیت یک سایت تنها به سیستم مدیریت محتوا محدود نمی شود و همچنین به هاست و سرور شما اشاره دارد که از نظر امنیت باید در سطح بالایی باشد. بنابراین در اولین قدم سعی کنید از هاستی استفاده کنید که امنیت بالایی داشته باشد. در مقالات بعدی ، من در مورد چگونگی افزایش امنیت در میزبان بحث خواهم کرد.
تهیه پشتیبان به عنوان پشتیبان گیری کامل از هاست یکی از مهمترین مواردی است که باید هنگام امنیت وردپرس به آن توجه کنید. با استفاده از پشتیبان گیری کاملاً پشتیبان وردپرس ، هر زمان که مشکلی از نظر امنیتی برای سایت ایجاد شود ، می توانید با بازیابی نسخه پشتیبان در کمترین زمان ممکن به راحتی مشکل خود را برطرف کنید. بنابراین همیشه سعی کنید حداقل در هر دو روز یکبار از C Panel یا Direct Admin میزبان خود نسخه پشتیبان تهیه کنید. برای این منظور می توانید از آموزش نحوه تهیه نسخه پشتیبان کامل از میزبان میزبان C استفاده کنید که در مقالات بعدی نحوه تهیه نسخه پشتیبان در Direct Admin Hosting را به شما آموزش می دهیم.
1. به روز رسانی مداوم وردپرس
مهمترین مسئله در امنیت سایت های وردپرس به روز بودن وردپرس و افزونه ها و قالب هایی است که استفاده می کنید. تیم وردپرس به طور مداوم در حال اضافه کردن ویژگی های جدید و رفع مشکلات و اشکالات امنیتی در این سیستم مدیریت محتوا است. بنابراین هنگام به روزرسانی وردپرس ، باید در اسرع وقت وردپرس را به روز کنید. برای پلاگین ها و الگوهای استفاده شده نیز باید همین کار را انجام دهید و آنها را به روز کنید.
مسئله دیگر در بروزرسانی وردپرس ، استفاده از افزونه ها و الگوهای وردپرس از منابع رسمی و معتبر است. متأسفانه ، به دلیل مشکلات تحریم ها و نرخ بالای ارز برای خرید محصولات اصلی ، سایت های زیادی در فروش قالب و افزونه های وردپرس وجود دارند که محصولات خریداری شده را بدون خرید از منابع و با بارگیری از سایت هایی منتشر کرده اند که مشخص نیست به چه منظور است. آنها به سایت نفوذ کرده و هک می کنند. بیشتر کلمات مربوط به هک وردپرس به همین دلیل است ، بنابراین سعی کنید تا حد امکان الگو و افزونه ای را که استفاده می کنید از منبع اصلی خریداری کنید.
2. پشتیبان گیری منظم از وردپرس
پس از هک شدن سایت وردپرس ، معمولاً کد مخربی به سایت قربانی تزریق می شود که در اکثر موارد ممکن است متوجه آن نشوید. از طرف دیگر ، نمی توانید از نسخه پشتیبان تهیه شده توسط میزبان خود خیلی مطمئن باشید. از آنجا که برای چندین میزبان ، این مشکل پیش آمده است که به دلیل ضبط هارد دیسک های سرور توسط پلیس آلمان ، بسیاری از سایت ها به طور کامل از اینترنت حذف شدند و هیچ توضیحی برای مشتریان قابل هضم نبود و تمام زحمتی که آنها برای رشد سایت به دلیل سهولت. به نظر می رسد نسخه پشتیبان تهیه کنندگان سایت از بین رفته است.
بنابراین همیشه سعی کنید از سایت خود یک نسخه پشتیبان تهیه کنید تا در صورت بروز چنین مشکلاتی یا هک شدن سایت ، بتوانید فعالیت خود را از پرونده پشتیبان ادامه دهید تا از ایمن بودن همه پرونده های سایت اطمینان حاصل کنید. تهیه نسخه پشتیبان از سایت همیشه بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است. با استفاده از آموزش پشتیبان گیری از پایگاه داده وردپرس می توانید نحوه تهیه نسخه پشتیبان از پایگاه داده وردپرس و فایلهای آن را بیاموزید.
3- امنیت فایل wp-config.php را افزایش دهید
پرونده wp-config.php یکی از مهمترین پرونده های هر سایت وردپرسی است که حاوی اطلاعات پایگاه داده است. بنابراین ، باید در حفظ
افزایش امنیت فایل htaccess.
یکی دیگه از پرونده های مهم در وردپرس htaccess. هست که با استفاده از آن می تواند کار متنوعی را انجام دهد که روی هر سایت اعمال کرد. این فایل با استفاده از دستورالعمل هایی که میتونه اجرا کنه در محافظت از پرونده ها و پوشاک وردپرس نقش بهسزایی را داره که میتونید با استفاده از دستورالعمل های فایل htaccess. امنیت سایت را افزایش می دهد.
برای افزایش امنیت در وردپرس با htaccess. هم میتونید از دستوراتی که در مقاله آموزش کار با htaccess. در وردپرس به اوها پرداخت کنید استفاده کنید.
5. افزایش امنیت پوشه wp-admin
پوشه wp-admin هم یکی از مهمترین پوشاکهای وردپرس هست که همونطور که از اسم این پوشه مشخصه کار می کنه برای مدیریت پیشخوان وردپرس را به عنوان داره که امکان دسترسی به این پوشه رو داره می تونید به راحتی تزئین کنید در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.
6. استفاده از رمز عبور قوی و سطح دسترسی
ساده ترین راه و شایع ترین روش برای هک و نفوذ در سایت های وردپرسی به دلیل استفاده از رمز عبور برای وجود میاد. موضوع از رمز عبور استفاده نکرده و رمز عبور صرفاً محدود به وردپرس نیست و اگر پیگیر اخبار فناوری شما باشد ، هر ساله گزارشات بسیار زیاد مبنی بر استفاده از ایمیل های الکترونیکی امکان پذیر است که در صورت رمزگذاری سیستم و معماری استفاده می شود.
استفاده از رمز عبور فقط محدود به رمز استفاده شده در وردپرس نیست. باید برای هر بخش از سایت خودتون مثل ورود به هاست ، اکانت FTP ، سایت دیتابیس و… هم از رمز عبور قوی استفاده کنید.
انتخاب سطح مناسب برای کاربران هم یکی دیگه از نکاتی هست که باید توجه داشته باشید. فقط در سایت استفاده می کنید که به صورت تیمی عمل می کند بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که به همین دلیل باعث می شود امنیت وردپرس در صورت قرار گرفتن در معرض خطر باشد. باید این نکته را به خاطر داشته باشید که هیچ لزومی نداره شما که تیم تشکیل دادید حتما باید همه قدرت را داشته باشد مدیر کل را حفظ می کند ، چرا که رمز عبور یکی دیگر از کاربران باعث می شود تا کل سایت هک بشه. کافیه یکی از اعضا که مسئولیت کدنویسی و طراحی بخش سایت را داره این نقش کاربری را داشته باشه و بقیه اعضای تیم را به عنوان نمونه نویسنده و ویرایشگر استفاده کنید.
افزایش امنیت صفحه ورود به سیستم وردپرس
7. افزایش امنیت صفحه ورود به وردپرس
ورود به صفحه در وردپرس یکی از صفحات مهمی است که نگهداری از او هم برای جلوگیری از هک سایت و هم برای جلوگیری از حمل DDOS بسیار مهم و کلیدی هست. استفاده از وجود ایمن روش ایمنی مانند قرار دادن سوال امنیتی ، استفاده از ورود دو مرحله ای باعث می شود گوگل و… این روش ها هم به وردپرس راه را باز می کنند که با استفاده از اشون میتونه حسابی سایت ایمن بکنه و در ادامه به معرفی برخی دیگر از این روش های موجود بپردازید.
تغییر آدرس صفحه ورود به وردپرس
وردپرس به صورت پیشفرض از آدرس wp-login.php برای صفحه ورود استفاده می کنید که با مراجعه به آدرس wp-admin هم به صورت خودکار به این صفحه هدایت می شود. اگر شخصاً نام کاربری و رمز شما را بد می کند به راحتی می توانید وارد کنید پیشخوان وردپرس شده و کارهایی را که شما انجام داده اید. برای همین میتونید این آدرس و آدرس wp-admin را تغییر دهید و از آدرس دلخواه استفاده کنید که در مقاله آموزش تغییر آدرس ورودی به پیشخوان یا مدیریت وردپرس و آموزش تغییر آدرس ورود به مدیریت وردپرس برای معرفی مجاز برای این کار پرداخت.
محدودیت در تعداد دفعات ورود به وردپرس
وردپرس به صورت پیشفرض هیچ محدودیتی برای تعداد دفعات جستجو برای ورود به سایت قرار نداده است. اما راهکاری وجود داره که میتونید تعداد دفعات را در ورود به وردپرس محدود کنید تا اگر بیش از تعداد دفعات مشخص شده شخصی در صدد ورود به سایت بودجه برای مدت مشخص شده است اگر شما حتی با رمز و نام کاربری به طور صحیح قادر به ورود به وردپرس هستید نباشند. که در مقاله آموزش محدود کردن تعداد دفعات ورود در وردپرس به این موضوع پرداخت.
محدودیت در ورود با ایمیل در وردپرس
از نسخه 3 به بعد وردپرس قابلیتی به این سیستم مدیریت محتوا اضافه می شود که بیش از نام کاربری بتونید با ایمیلی است که شما هم در وردپرس وارد می شوید. استفاده از اونجایی که با استفاده از ایمیل با استفاده از افراد در ارتباط برقرار می شود ، بنابراین اگر نفوذ کنید در سایت به نام نامناسب کاربری ادامه خواهد داد. برای غیرفعال کردن این امکان ، هاست خودتون شده و سپس به مسیر / public_html / wp-content / themes / مراجعه کنید. حالا وارد پوشه قالبی که استفاده از آن استفاده می شود و کد قطره زیر را در فایل فانکشن (توابع.php) قرار داده و ذخیره کنید.
remove_filter ("تأیید اعتبار" ، "wp_authenticate_email_password" ، 20)؛
بعد از قرار دادن کد بالا دیگه امکان ورود با ایمیل در وردپرس را نخواهید داشت و فقط با استفاده از نام کاربری میتونید وارد وردپرس شوید.
استفاده از کپچا وردپرس
یکی از راههای حمله به وردپرس با استفاده از تلاش برای ورود به سایت یا ارسال دیدگاه اسپم صورت میگیره که حتما هم لزومی نداره فرد وارد سایت بشه و هدفش هم اینه که مدام درخواستی به سایت شما ارسال شده و پردازنده و منابع شماست درگیر می تواند و در نهایت سایت از دسترسی خارج خواهد شد. برای استفاده از این کار میتونید از کپچا وردپرس استفاده کنید. استفاده از کپچا میتونه از نظرات اسپم هم بکنه که با استفاده از مقاله آموزش ساخت کپچا در وردپرس میتونید این امکان را در وردپرس فراهم کنید.
ورود به مرحله دو گوگل در وردپرس
فقط دو سالی هست که گوگل برنامه Google Authenticator را برای استفاده از امکان ورود به مرحله دو برابر اعمال می کند. در این پروژه دیگه نیازی نیست که حتما کد را برای ورود به اکانت را از طریق پیام کوتاه برای شماره تلفن ، برنامه میتونید مخصوص اندرو
ید و IOS را روی گوشی خودتون نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید میشه برای کد ورود استفاده کنید. این سیستم محدود به محصولات گوگل نیست و با استفاده از این توانایی میتونید امکان ورود به مرحله دو را فراهم کنید گوگل در وردپرس شما را نیز فعال کنید.
افزودن سوال امنیتی در صفحه ورود وردپرس
یکی دیگه از راه حل افزایش امنیت در وردپرس استفاده از امکان سوال و جواب امنیتی است. در این روش هر کاربر میتونه با مراجعه به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب کنید و با تعیین جواب وقتی اقدام به ورود به سایت می کنید تا زمانی که جواب آن را گذاشته اید وارد نشده در ورود به سیستم وردپرس بودجه. برای استفاده از این توانایی هم میتونید از مقاله آموزش افزودن پرسش و پاسخ امنیتی در وردپرس استفاده کنید.
غیرفعال کردن پیغام خطاهای وردپرس
وقتی نام کاربری یا رمز عبور اشتباه در صفحه ورود وردپرس وارد کنید پیام "نام کاربری xxx اشتباه است و یا شناسه معتبر نیست" نمایش داده می شود. هکر با توجه به پیام نمایش داده شده تشخیص داده می شود که کدوم یکی از اطلاعات ورود اشتباه است و در نهایت بعد از یافتن یکی دیگر از اطلاعات صحیح میتونه در صورت نیاز به دیگر تمرکز انجام شده و در زمان کوتاه تری اقدام به یک سایت بکند.
// حذف پیام خطا در صفحه ورود به سیستم
add_filter ('login_errors'، create_function ('$ a'، 'return null؛'))؛
برای غیر فعال کردن این کد کد بالا را در پرونده فانکشن (توابع.php) قالب خودتون قرار داده و ذخیره کنید.
افزایش امنیت صفحه ورود به سیستم وردپرس
8. مخفی کردن نام کاربری وردپرس
در اکثر قالب های وردپرس وقتی نام نویسنده یک بار کلیک کنید به صفحه نویسنده هدایت شود که در نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده می شود. اگر شما میبینید که نیازی به این توانایی را ندارد که میتونید چنین امکانی را در قالب خودتون غیرفعال کنید یا اینکه با استفاده از روش موجود در سایت قرار دهید نویسنده را بر اساس آی دی نویسنده تعیین کنید که نام کاربری را مشخص کنید که در مقالات بعدی معرفی این راهکار خواهم است پرداخت.
با قرار دادن کد بالا در پرونده htaccess. هاست خودتون میتونید صفحات مربوط به نویسندگان را در وردپرس به صفحه اصلی ریدایرکت کنید.
9. تغییر پیشوند جداول وردپرس
در حالت پیشفرض ، وردپرس از _wp به بهانعوان پیشوند جداگانه در پایگاه داده وردپرس استفاده می کند. حالا در صورتی که نصب وردپرس اقدام به تغییر می کند اگر شما امنیت سایت خود را نداشته باشید اگر بخش دیتابیس را کاهش دهد اگر لازمه اقدام به تغییر پیشوند جداگانه بکنید. برای این منظور میتونید از مقاله آموزش تغییر پیشوند جداول وردپرس و آموزش تغییر پیشوند جداول وردپرس استفاده کنید.
10. استفاده از SSL در وردپرس
استفاده از پروتکل امن HTTPS این امکان را برای سایت شما فراهم می کند که تمام داده ها را در محیط امن رد کنید و بد کنید. استفاده از SSL در وردپرس میتونید امنیت سایت را در حالت مختلفی افزایش می دهد. پیشنهاد می کنید حتماً از SSL استفاده کنید و امنیت وردپرس را بیشتر کنید.
11. غیرفعال کردن مشاهده پوشه های هاست
یکی از نکاتی که کاربران کم توجه می کنند توجه خود را نشان می دهد و بر اساس کانفیگ هاست ممکن است این ویژگی در هاست غیرفعال شود ، اما هنوز در پوشه ها مرور نشده است. فهرست دایرکتوری میتونه توسط هکرها مورد استفاده قرار می گیرد و پرونده های موجود در هر پوششی به راحتی بررسی می شود و با پیدا کردن راه حل های نفوذ به راحتی سایت شما انجام می شود. این مورد به هینجا محدود نمی شود و افراد میتونند با پیدا کردن پوشه شما پرونده های موجود در هاست را که مورد نیاز سرقت قرار می دهند. اگر لازمه این قابلیت را غیرفعال کنید. برای این منظور کارهای زیر را طی کنید.
واردات خود را انجام داده و به مسیر public_html مراجعه کنید.
فایل htaccess. را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
گزینه های دستور -Indexes در انتهای پرونده .htaccess دوباره اضافه کنید.
در نهایت پرونده را ذخیره کنید.
در صورتی که از وردپرس برای ساخت فروشگاه اینترنتی استفاده می شود باید بدانید که فروشگاه ساز ووکامرس این کار را انجام می دهد تا صورت خودکار را انجام دهد و باعث می شود تا اگر عملیاتی شود که اگر حتی لینک مستقیم فایل بارگذاری شده برای یک محصول را در اختیار کاربری قرار دهید ، تا زمانی که وارد نشده است قادر به دانلود فایل نخواهند بود.
12. غیرفعال کردن قالب ویرایشگر و افزایش
یکی از قابلیت های وردپرس استفاده از کد ویرایشگر در پیشخوان وردپرس وجود دارد که در منوهای شما نمایش داده می شود و باعث قرار دادن داره و با استفاده از این دو منو به ترتیب میتونید به تمام پرونده های قالب وردپرس و وردپرس دسترسی داشته باشید و ویرایش کنید. اگر شخصی بتونه وارد پیشخوان وردپرس بشه به راحتی میتونه با وارد کردن کدهای مخلوط کار خراب کارانه در سایتتون ایجاد بکنه که برای غیرفعال کردن این امکان میتونید به ترتیب زیر عمل کنید.
واردات خود را انجام داده و به مسیر public_html مراجعه کنید.
پرونده wp-config.php را که در ریشه قرار دهید قرار دارد انتخاب کنید و به صفحه ویرایش پرونده مراجعه کنید.
حالا قطعه کد زیر را در بخش تعریف کنید این پرونده را قرار داده و ذخیره کنید.
// ویرایش پرونده را ممنوع کنید
define ('DISALLOW_FILE_EDIT' ، درست است)؛
بعد از قرار دادن کد بالا امکان ویرایش پرونده های قالب و افزایش از طریق ویرایشگر پیشخوان وردپرس غیرفعال خواهد شد.
13. غیرفعال کردن اجرای فایل PHP در وردپرس
هاست به شما این اجازه میده تا هر فایلی را در هر جایی قرار داده و با دستورالعمل PHP هر کاری که میخواهید در سایت انجام دهید. برخی دایرکتوری ها هستند که به هیچ وجه نیازی به اجرای پرونده های PHP در آن ها ندارند که مهمترین آپلودهای این بخش پوشه وردپرس هس را دارد.
در این مسیر پرونده های چند رسانه ای مانند تصویر ، ویدئو ، صوت و ای در این مسیر استفاده می شود. استفاده از دستورالعمل های PHP را برای اجرای این روش بدون استفاده از آن انجام دهید.
15. بررسی فعالیت کاربران در وردپرس
یکی دیگه از راههای امنیتی وردپرس این هست که رفتار کاربران سایت خودتون را زیر نظر بگیرید. این رفتار میتونه توسط سیستم آمار گیرنده سایت و یا باعث تقویت صورت بشه که در صورت عیب یابی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای انجام کار خرابکارانه محدود کنید. برای این منظور هم میتونید از مقاله آموزش مدیریت و کنترل فعالیت کاربران در وردپرس استفاده کنید.
تغییر دوره رمزگذاری همه کاربران در وردپرس
استفاده کاربرانی که در سایت ثبت نام می کند هیچ اقدامی برای تغییر دوره کنترل رمز عبور خود را انجام نمی دهد. این مشکلات برای هر سایتی ممکن است مهم باشد و به چشم نیاد ، اما برای سایت های فروشگاه فایل که از ووکامرس یا باعث می شود استفاده کنید بسیار مهم است. پس از خودتون باید دست به کار شوید و در بازه زمانی چند ماهه کاری کنید که کاربران خودشون اقدام به تغییر رمز در وردپرس بکنند. در مقاله آموزش تغییر رمز عبور همه کاربران در وردپرس به این مورد پرداخت.
افزایش امنیت صفحه ورود به سیستم وردپرس
16. استفاده از امکانات امنیتی وردپرس
گزینه های امنیتی ویژه برای وردپرس ساخته شده است که باعث می شود بتواند در صورت وردپرس بتواند امنیت شما را فراهم کند. افزونه wordfence وردپرس یکی از پرترفدارترین تقویت امنیت در وردپرس وجود دارد که شما می توانید امنیت وردپرس را افزایش دهید و از سایت هک سایت را خواستار شوید. با استفاده از این افزونه میتونید بیشتر راهکارهایی که در بالا به معرفی اونها پرداختم را فقط با این تقویت کنید. در مقاله افزایش امنیت وردپرس و اسکن امنیتی وردپرس با Wordfence Security به معرفی کامل این افزونه پرداخت می کنید که میتونید استفاده کنید.
یکی از مواردی است که امنیت شما را افزایش می دهد و امنیت وردپرس را افزایش می دهد iThemes Security این امکان را دارد که مثل بک آپ خودکار از دیتابیس وردپرس را برای شما فراهم کند که هر زمان که سایت مورد نظر قرار داده شود ، بتونید با استفاده از نسخه پشتیبان وردپرس مشکلات را برطرف کنید.
امیدوارم که این آموزش هم مورد توجه قرار گرفته و پسند شما قرار گرفته و با استفاده از راهکارهای معرفی شده در این مقاله امنیت وردپرس افزایش داده و عمل می کند تا از هک وردپرس و نفوذ در سایت خودتون استفاده کنید. در صورتی که در رابطه با این سوال آموزشی یا مشکلی داشتید در بخش دیدگاه ها اعلام می کنید تا در کوتاه ترین زمان ممکن پاسخگوی شما باشم. همچنین اگر راهکار امنیتی دیگه برای وردپرس سراغ اعلام کنید با اضافه کردن به این آموزش کمکی به کاربران وردپرسی انجام داده اید.
- ۰۰/۰۴/۰۸