امنیت وردپرس موضوعی است که برای هر دارنده وب سایت اهمیت زیادی دارد. گوگل هر روز بیشتر از 10،000 وب سایت را برای بدافزار و هر هفته حدود 50،000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.
شما می توانید برای راه اندازی سایت روی سرور مجازی خود، از وردپرس استفاده کنید. از دلالیل پیشنهاد ما برای به کار بردن وردپرس در سرور مجازی، میتوان به حجم کم، رایگان بودن، پلاگینهای مختلف و بهینه بودن وردپرس برای موتورهای جستجو اشاره کرد. وردپرس برای سایت های فروشگاهی، مطلب محور، بلاگ و وبسایت خبری میتواند بهترین گزینه باشد.
اگر برای وب سایت ورد پرسی خود اهمیت قائل هستید، باید به امنیت وردپرس توجه کنید. در این مقاله، ما بهترین نکات امنیتی را برای کمک به شما در محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک خواهیم گذاشت.
یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر و رمزهای عبور را سرقت کنند و حتی می توانند بدافزار را به سمت سیستم های کاربران شما توزیع کنند.
در مارس 2016، گوگل اعلام کرد که به بیش از 50 میلیون کاربر وب سایت هشدار داده است که ممکن است وب سایتی که از آن بازدید می کنند حاوی بدافزار باشد. اگر وب سایت شما یک سایت تجارتی است، باید نکات راجع بهئ افزایش امنیت وردپرس را مورد توجه قرار دهید.
وردپرس یک نرم افزار open source است که به طور منظم به روز می شود. به طور پیش فرض، وردپرس به طور خودکار بروزرسانی های جزئی را نصب می کند. وردپرس همچنین دارای هزاران افزونه و تم است که می توانید روی وب سایت خود نصب کنید. این به روزرسانی های وردپرس برای امنیت وردپرس و ثبات سایت وردپرسی شما بسیار مهم است.
راه های افزایش امنیت وردپرس
ما می دانیم که افزایش امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. با این حال ما در این مقاله به شما نشان خواهیم داد که چگونه فقط با چند کلیک می توانید امنیت وردپرس خود را ارتقا دهید.
پلاگین cxs را نصب کنید
cxs مخفف ConfigServer Exploit Scanner (کانفیگ سرور اکسپلویت اسکنر) می باشد. cxs یک پلاگین برای امنیت وردپرس است که از آن برای بررسی فایل های سرور و هاست کاربران استفاده می شود، که با توجه به تنظیمات اعمال شده، بصورت زمان بندی شده کلیه فایل ها را بررسی می کند.
در صورتی که فایلی شامل اطلاعات مخرب باشد آنرا حذف یا قرنطینه می کند. همچنین با اتصال cxs به ftp و وب سرور امکان شناسایی اکسپلویت در زمان آپلود هم فراهم می شود و جلوی آپلود فایل مخرب را می گیرد.
cxs بصورت رسمی فقط cPanel را پشتیبانی می کند اما امکان نصب آن روی Directadmin هم هست. برای استفاده از این پلاگین شما نیاز به تهیه لایسنس cxs دارید که گروه وب پویان با افتخار این محصول را ارائه می دهد.
یک پشتیبان گیر وردپرس نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی می توانند هک شوند ، برای وب سایت های شما نیز می توانند این این اتفاق رخ دهد.
در صورت بروز این مشکلات، پشتیبان گیری به شما امکان را می دهد که به سرعت سایت وردپرس خود را بازیابی کنید. افزونه های پشتیبان وردپرس رایگان و پولی زیادی وجود دارد که می توانید از آنها استفاده کنید. مهمترین نکته ای که باید در مورد تهیه نسخه پشتیبان بدانید این است که شما باید به طور مرتب از سایت خود پشتیبان گیری کنید.
خوشبختانه این کار با استفاده از افزونه هایی مانند VaultPress یا UpdraftPlus به راحتی قابل انجام است. هر دو پشتیبان گیر قابل اطمینان هستند و از همه مهم تر استفاده از آنها آسان است.
فایروال برنامه وب (WAF) را فعال کنید
ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس، استفاده از فایروال برنامه وب (WAF) است. فایروال وب سایت همه بازدیدهای مخرب را قبل از اینکه به وب سایت شما برسد مسدود می کند. فایروال وب سایت سطح DNS فقط ترافیک اصلی را به وب سرور شما ارسال می کند.
افزونه Application Level Firewall ترافیک را، پس از رسیدن به سرور و قبل از بارگذاری کثر اسکریبت های وردپرس، بررسی می کنند. البته این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.
پروتکل های SSL و HTTPS را فعال کنید
SSL پروتکلی است که انتقال داده را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری سرقت اطلاعات را دشوار می کند. هنگامی که SSL را فعال کنید، وب سایت شما به جای HTTP از HTTPS به عنوان یک استاندارد برای تبادل اطلاعات در شبکه اینترنت استفاده می کند، از این پس در مرورگر علامت قفل کنار آدرس وب سایت خود را مشاهده خواهید کرد.
قیمت گواهینامه های SSL از 80 دلارشروع می شود و تا صدها دلار در هر سال ادامه دارد. با توجه به هزینه های اضافه شده، بیشتر دارندگان وب سایت تصمیم گرفتند از همان پروتکل نا امن استفاده کنند. با این حال شما می توانید این گواهینامه های SSL را با قیمت بسیار مناسب از وب پویان تهیه کنید.
برای رفع این مشکل، یک سازمان غیر انتفاعی به نام Let’s Encrypt تصمیم گرفت گواهی SSL رایگان را به دارندگان وب سایت ارائه دهد. پروژه آن ها توسط Google Chrome ،Facebook ،Mozilla و بسیاری از شرکت های دیگر پشتیبانی می شود.
اکنون بسیاری از شرکت های میزبان گواهی SSL رایگان برای وب سایت وردپرس شما ارائه می دهند. با شروع به استفاده از SSL برای وب سایت های وردپرسی خود از امنیت وردپرس اطمینان پیدا خواهید کرد.
نام کاربری پیش فرض “admin” را تغییر دهید
در گذشته، نام کاربری پیش فرض وردپرس “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند، این حملات را برای هکرها آسان تر می کند. خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون هنگام نصب شما را ملزم به انتخاب نام کاربری سفارشی می کند.
توجه: ما در مورد نام کاربری به نام “admin” صحبت می کنیم ، نه نقش مدیر.
ویرایش فایل را غیرفعال کنید
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و فایل های پلاگین خود را از قسمت مدیر وردپرس ویرایش کنید. این ویژگی اگر دست فرد اشتباهی بیافتد، از نظر امنیت وردپرس می تواند یک خطر باشد به همین دلیل توصیه می کنیم این ویژگی را خاموش کنید.
با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
اجرای فایل PHP را در برخی از دایرکتوری ها غیرفعال کنید
روش دیگر برای تقویت امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در دایرکتوری هایی است که نیازی به آن نیست مانند / wp-content / uploads /.
می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را جای گذاری کنید:
<Files *.php>
deny from all
</Files>
در مرحله بعدی ، باید این فایل را در .htaccess ذخیره کرده و با استفاده از پروتکل FTP آن را در / wp-content / uploads / در وب سایت خود بارگذاری کنید.
تأیید اعتبار دو مرحله ای را اضافه کنید
در روش احراز هویت دو مرحله ای، اولین مورد نام کاربری و گذرواژه است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد.
اکثر وب سایت های آنلاین برتر مانند Google ،Facebook ،Twitter به شما امکان می دهند این ویژگی را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.
برای اعمال این روش امنیت وردپرس، ابتدا باید پلاگین Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی، باید روی پیوند “Two Factor Auth” در نوار کناری مدیریت وردپرس کلیک کنید.
پیشوند دیتابیس وردپرس را تغییر دهید
به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در دیتابیس وردپرس شما استفاده می کند. در این صورت حدس زدن نام جدول شما برای هکرها آسان است. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.
XML-RPC را در وردپرس غیرفعال کنید
XML-RPC به دلیل ماهیت قدرتمندی که دارد ممکن است حملات brute-force را به میزان قابل توجهی تقویت کند. به طور معمول اگر یک هکر بخواهد 500 گذرواژه مختلف را در وب سایت شما امتحان کند ، باید 500 تلاش ورود به سیستم جداگانه انجام دهد که توسط پلاگین ورود به سیستم قفل شده مسدود می شود.
اما با XML-RPC، یک هکر می تواند هزاران رمز عبور را با 20 یا 50 درخواست درخواست کند، به همین دلیل است که اگر از XML-RPC استفاده نمی کنید ، توصیه می کنیم آن را غیرفعال کنید.
امیدواریم این مقاله به شما کمک کند تا بهترین روش های افزایش امنیت وردپرس را یاد بگیرید و همچنین بهترین پلاگین های امنیتی وردپرس را برای وب سایت خود دریافت کنید.