افزایش امنیت وردپرس

امنیت وردپرس از مهم‌ترین دغدغه‌های هر مدیر وب‌سایت است. طبق آمار گوگل، روزانه بیش از ۱۰٬۰۰۰ وب‌سایت به‌دلیل وجود بدافزار و هر هفته حدود ۵۰٬۰۰۰ وب‌سایت به‌دلیل فیشینگ در لیست سیاه قرار می‌گیرند.
اگر وب‌سایت شما با وردپرس راه‌اندازی شده، باید بدانید که امنیت آن تنها با چند اقدام ساده قابل افزایش است.

وردپرس به دلیل رایگان بودن، حجم کم، تنوع افزونه‌ها و سازگاری بالا با سئو یکی از بهترین سیستم‌های مدیریت محتوا برای سایت‌های فروشگاهی، وبلاگی و خبری است. بااین‌حال، درست مانند هر نرم‌افزار محبوب دیگری، هدف حملات سایبری هم قرار می‌گیرد. در این مقاله از وب‌پویان، روش‌های مؤثر برای افزایش امنیت وردپرس را مرور می‌کنیم تا از اطلاعات و اعتبار وب‌سایتتان محافظت کنید.

چرا امنیت وردپرس اهمیت دارد؟

یک سایت وردپرسی هک‌شده می‌تواند خسارت‌های سنگینی به کسب‌وکار وارد کند.
هکرها ممکن است اطلاعات کاربران را سرقت کرده، رمزهای عبور را لو بدهند یا حتی بدافزارهایی را بین بازدیدکنندگان توزیع کنند.
به گفته گوگل، تنها در یک بازه زمانی کوتاه بیش از ۵۰ میلیون کاربر هشدار دریافت کردند که سایتی که بازدید می‌کنند، آلوده است.

برای جلوگیری از چنین خطراتی، لازم است نکات امنیتی وردپرس را جدی بگیرید.

اگر می‌خواهید سرعت سایت وردپرسی خود را نیز افزایش دهید، پیشنهاد می‌کنیم مقاله چطور با سرور مجازی سرعت وب‌سایت خود را افزایش دهیم؟
را مطالعه کنید.

۱. وردپرس و افزونه‌های آن را همیشه به‌روز نگه دارید

وردپرس یک نرم‌افزار متن‌باز (Open Source) است که مرتب به‌روزرسانی می‌شود.
این بروزرسانی‌ها شامل رفع باگ‌ها و ارتقای امنیت سیستم هستند.
حتماً وردپرس، افزونه‌ها و قالب‌ها را در کوتاه‌ترین زمان ممکن به آخرین نسخه به‌روزرسانی کنید تا حفره‌های امنیتی بسته شوند.

۲. نصب افزونه CXS برای افزایش امنیت سرور

پلاگین ConfigServer Exploit Scanner (CXS) یکی از مؤثرترین ابزارها برای محافظت از سایت وردپرسی است.
این افزونه فایل‌های سرور را به‌صورت زمان‌بندی‌شده اسکن می‌کند و در صورت وجود کد مخرب، آن را حذف یا قرنطینه می‌نماید.
CXS به FTP و وب‌سرور متصل می‌شود و هنگام آپلود فایل نیز از ورود بدافزار جلوگیری می‌کند.
هرچند به‌صورت رسمی فقط از cPanel پشتیبانی می‌کند، اما قابلیت نصب روی DirectAdmin را هم دارد.
برای استفاده از این افزونه، به لایسنس CXS نیاز دارید که گروه وب‌پویان آن را ارائه می‌دهد.

۳. نصب افزونه پشتیبان‌گیر وردپرس

پشتیبان‌گیری منظم، نخستین خط دفاعی شما در برابر حملات است.
هیچ سایتی ۱۰۰٪ امن نیست، بنابراین داشتن نسخه پشتیبان می‌تواند در صورت بروز مشکل، نجات‌بخش باشد.
افزونه‌هایی مثل UpdraftPlus و VaultPress گزینه‌های قابل‌اعتمادی هستند که به‌صورت خودکار از سایت شما بک‌آپ تهیه می‌کنند.

۴. فعال‌سازی فایروال برنامه وب (WAF)

استفاده از فایروال وب (WAF) یکی از مؤثرترین روش‌ها برای جلوگیری از حملات است.
فایروال، ترافیک ورودی را پیش از رسیدن به وب‌سایت بررسی کرده و درخواست‌های مخرب را مسدود می‌کند.
فایروال سطح DNS نسبت به فایروال سطح Application عملکرد بهتری دارد، زیرا پیش از رسیدن داده‌ها به سرور، آن‌ها را فیلتر می‌کند.

۵. فعال‌سازی SSL و انتقال سایت به HTTPS

پروتکل SSL داده‌های بین سرور و مرورگر کاربران را رمزگذاری می‌کند تا از سرقت اطلاعات جلوگیری شود.
با فعال کردن SSL، آدرس سایت شما از HTTP به HTTPS تغییر می‌کند و قفل امنیتی در مرورگر نمایش داده می‌شود.
می‌توانید گواهینامه SSL را با هزینه مناسب از وب‌پویان تهیه کنید یا از نسخه رایگان آن توسط پروژه Let’s Encrypt استفاده کنید.

۶. تغییر نام کاربری پیش‌فرض "admin"

در نسخه‌های قدیمی وردپرس، نام کاربری پیش‌فرض "admin" بود که ورود هکرها را آسان‌تر می‌کرد.
اکنون در نسخه‌های جدید می‌توانید هنگام نصب، نام کاربری دلخواهی انتخاب کنید.
اگر هنوز از نام کاربری "admin" استفاده می‌کنید، حتماً آن را تغییر دهید.

۷. غیرفعال کردن ویرایش فایل‌ها از پنل وردپرس

وردپرس دارای ویرایشگر داخلی برای تغییر کد قالب و افزونه‌هاست.
برای جلوگیری از دسترسی افراد غیرمجاز، بهتر است این قابلیت را غیرفعال کنید.
کافی‌ست کد زیر را به فایل wp-config.php اضافه کنید:

<Files *.php>
deny from all
</Files>

۹. فعال‌سازی تأیید هویت دو مرحله‌ای

احراز هویت دو مرحله‌ای (2FA) لایه‌ای اضافه بر رمز عبور ایجاد می‌کند.
با نصب افزونه Two Factor Authentication می‌توانید ورود کاربران را از طریق پیامک یا اپلیکیشن تأیید کنید و امنیت سایت را افزایش دهید.

۱۰. تغییر پیشوند جداول پایگاه داده

به‌صورت پیش‌فرض، وردپرس از wp_ برای نام‌گذاری جداول دیتابیس استفاده می‌کند.
با تغییر این پیشوند، کار هکرها برای حدس زدن مسیر جداول سخت‌تر می‌شود و خطر SQL Injection کاهش می‌یابد.

۱۱. غیرفعال کردن XML-RPC

قابلیت XML-RPC می‌تواند در برخی موارد باعث افزایش حملات brute force شود.
اگر از این ویژگی استفاده نمی‌کنید، بهتر است آن را غیرفعال کنید تا از ارسال درخواست‌های مشکوک جلوگیری شود.

جمع‌بندی

با رعایت این نکات ساده، می‌توانید تا حد زیادی امنیت وردپرس را تقویت کرده و از هک شدن سایت جلوگیری کنید.
به‌روزرسانی منظم، پشتیبان‌گیری، استفاده از SSL و افزونه‌های امنیتی قوی از مهم‌ترین اقدامات محافظتی هستند.
به یاد داشته باشید، امنیت هیچ‌گاه صددرصدی نیست، اما هر قدم کوچک می‌تواند تفاوت بزرگی در حفظ داده‌ها و اعتبار سایت شما ایجاد کند.