راهنمای قدم به قدم و عملی امنیت وردپرس

امنیت وردپرس یکی از مهمترین موضوعات برای هر کسی هست که میخواهد یک سایت وردپرسی داشته باشد. بطور متوسط در سایت گوگل روزانه بیش از 10 هزار سایت به بد افزار آلوده و بیش از 50هزار سایت در هفته به فیشینگ دچار میشوند. اگر شما هم یک سایت مهم دارید، نیاز دارید تا به موارد امنیتی بصورت ویژه توجه کنید،ما در این مقاله سعی داریم راه های متفاوت برای حفظ و امنیت سایت شما را برای وب سایت در برابر هکر ها و بد افزار ها ار به شما ارائه دهیم. لازم به ذکر است خود هسته وردپرس از امنیت بالایی برخوردار است، اما بصورت نظم روزانه صد ها بررسی برای حفظ حریم سایت ها انجام میشود که بعضا آنها باگ های سایت را شناسایی میکنند. هرچند ما در آپرین وردپرس بصورت کامل به بررسی موارد امنیتی خواهیم پرداخت اما شما میتوانید از فهرست زیر تعدادی از موارد متداول را برای وردپرس مشاهده نمایید. مبانی : چرا امنیت وردپرس مهم است؟

به روز نگه داشتن وردپرس

یک سایت وردپرسی هک شده می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند.هکرها می توانند اطلاعات کاربر، رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می توانند بدافزار را بین کاربران شما توزیع کنند. بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وب سایت خود، به هکرها باج افزار پرداخت می کنید. در مارس 2016، گوگل گزارش داد که بیش از 50 میلیون کاربر وب سایت در مورد وب سایتی که بازدید می کنند ممکن است حاوی بدافزار یا سرقت اطلاعات باشد، هشدار داده اند. علاوه بر این، گوگل هر هفته حدود 20000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد. اگر وب سایت شما یک تجارت است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید. همانند اینکه مالکان کسب و کار مسئولیت حفاظت از ساختمان فروشگاه فیزیکی خود را دارند، به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وب سایت کسب و کار شما بر عهده شماست.

به روز نگه داشتن وردپرس

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و به روز می شود.به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند.برای نسخه‌های اصلی، باید به‌روزرسانی را به‌صورت دستی آغاز کنید. وردپرس همچنین دارای هزاران افزونه و تم است که می توانید در وب سایت خود نصب کنید.این پلاگین ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور منظم به روز رسانی را نیز منتشر می کنند. این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند.شما باید مطمئن شوید که هسته وردپرس، افزونه ها و پوسته شما به روز هستند. استفاده از پسورد قوی و دسترسی کاربران بیشترین خطاهایی که در خصوص هک شدن وردپرس به اتفاق می افتد مربوط می شود به سایت هایی که کاربران آنها رمز های قوی برای خود ایجاد نکردند. همیشه سعی بر این داشته باشید تا از رمز های منحصر به فرد برای هر سایت و به صورت جداگانه استفاده کنید. منظور ما تنها برای استفاده از پیشخوان نیست بلکه برای پیشخوان اکانت های اف تی پی دیتابیس هاستینگ و ایمیل هایی که از آن به عنوان ایمیل های سایت استفاده می کنید است. کاربران مبتدی زیاد علاقه و تمایل به گذاشتن رمز های قوی برای سایت خود ندارند زیاد حفظ کردن این روزها کمی سخت میباشد �ای این کار توصیه می‌کنیم که از یک پسورد منیجر استفاده کنید . در این خصوص میتوانید مقاله ما را در خصوص نحوه مدیریت رمزهای عبور وردپرس ببینید . برای دیدن مقاله اینجا کلیک کنید. یکی دیگر از راه هایی که کاهش خطر را برای شما در پی دارد این است که به کسی اجازه ندهید به حساب مدیریت وردپرس خود دسترسی داشته باشد مگر اینکه کاملا مجبور باشید. اگر شما به صورت یک تیم روی وردپرس خود کار می کنید قبل از اینکه برای هر کاربر یک نام کاربری و رمز عبور تعریف کنید حتماً مطمئن شوید که کاربران تنها به قسمت های مورد نظر خود دسترسی دارند و نقش ها و قابلیت های کاربران را به صورت کامل در کنترل خود دارید. هاست سایت شما استفاده از یک هاستینگ و یک میزبان معتبر یکی دیگر از مواردی می باشد که شما هنگام داشتن سایت باید به آن توجه کنید. شرکت های استاندارد و اصولی بابت امنیت سایت شما اقداماتی را انجام دادندکه این امکانات باعث امن تر شدن فضای هاست این که شما می باشد. به طور مثال فاکتور های زیر عواملی هستند که یک شرکت هاستینگ معتبر برای هاست های خود استفاده میکند: آنها به طور مداوم شبکه خود را برای فعالیت های مشکوک زیر نظر می گیرند. از لوازم و تجهیزات آنتی دیداس برای جلوگیری از حملات استفاده می کنند. شرکت های هاستینگ معتبر چه از لحاظ سخت افزار و چه از لحاظ نرم افزار به صورت آپدیت هستند تا هکرها با استفاده از باگ های امنیتی شناخته شده نتوانند به سایت ها نفوذ پیدا کنند . بکاپ گیری منظم یکی دیگر از اقداماتی است که خدمات هاستینگ برای سایت ها ارائه می دهد تا در صورت وجود آمدن هرگونه مشکل از داده های شما حفاظت کرده و در بدترین حالت وبکاپشما را بازگردانی نمایند. استفاده از سرویس میزبانی مشترک باعث می شود منابع سرور شما با مشتریان دیگر به اشتراک گذاشته شود در این حالت اگر یکی از این سایت هاهک شود، دیگر سایت ها نیز در معرض خطر قرار می گیرد زیرا هکر می تواند به تمامی اطلاعات موجود روی سرور دسترسی پیدا کند. استفاده از سرویس میزبانی مدیریت شده برای وردپرس، بستر امنی را برای سایت شما ایجاد می‌کند، تا سایت شما دچار مشکل نگردد. <h4 “>امنیت وردپرس در مراحل آسان (بدون کدنویسی) امنیت سایت های وردپرس یکی از کابوس هایی است که مبتدیان و کسانی که تازه میخواهند کار با وردپرس را یاد بگیرند با آن مواجه می شود. شما می‌توانید در مراحل اولیه و برای اینکه اقدامات اولیه امنیت سایت خود را فراهم سازید از افزونه های امنیتی استفاده کنید این افزونه ها تا حد بسیار بالایی از هک و نفوذ سایت شما پیشگیری می کند. توصیه می کنیم همواره از سایت خود بکاپ تهیه کنید تا در صورت هک شدن سایت از بکاپ استفاده کنید این روش باعث می شود تا در صورت بروز مشکل در کمترین زمان سایت شما به حالت قبل بازگردانی شود. تعداد زیادی از افزونه ها هستند که باعث ایجاد امنیت وردپرس می شود. بسیاری از آنها رایگان و بسیاری دیگر پولی هستند مهمترین نکته در خصوص استفاده از این افزونه ها امکان بکاپ گیری توسط افزونه به صورت خودکار و اتوماتیک می باشد شما میتوانید بکاپ سایت خود را به صورت خودکار در یک حاصل دیگر ذخیره کنید تا در صورت خراب شدن ها سطح اصلی از هاست بکاپ خود اطلاعات موجود را بازیابی کنید.

بهترین افزونه امنیتی وردپرس

افزونه های زیاد و شناخته شده در خصوص امنیت وردپرس در بانک وردپرس یافت می شود که می توان به افزونه های وردفنس،امنیت کامل وردپرس، سکیوپرو و و غیره اشاره کرد. ما در ادامه و در مقالات بعدی به آموزش کامل این افزونه ها پرداخته ایم. <h4 “>فعال کردن فایروال برنامه وب (WAF) فعال کردن فایروال سرور و فایروال برای وردپرس یکی دیگر از اقداماتی که شما می توانید انجام دهید به صورت پیش فرض خواسته های معتبر بر روی سرویس خود فایروال روشن کردند اما استفاده از فایروال و دیوار آتش که توسط افزونه های امنیتی وردپرس ایجاد می شود یکی دیگر از از موارد مهم در خصوص امنیت وردپرس می باشد .

سایت وردپرس خود را به SSL/HTTPS منتقل کنید

استفاده از پروتکل SSL/HTPS قدم بعدی برای امنیت است. این پروتکل انتقال داده ها بین سرور و بازدید کننده را با استفاده از رمزگذاری انجام می دهند و باعث می شود کسی نتواند اطلاعات مربوط به کاربر را بدزد .استفاده از پروتکل https و ssl معمولاً توسط هاستینگ و طبق گواهینامه Lests Encrypt انجام می شود اما شرکت های دیگری نیز نسخه های تجاری برای رمزنگاری استفاده می کند، که شما می توانید با استفاده از پرداخت هزینه نسبت به دریافت گواهی مربوط به سایت خود اقدام کنید.

نام کاربری پیش فرض “admin” را تغییر دهید

یکی از رایج ترین نام های کاربری برای ورود به قسمت پیشخوان استفاده از کلمه admin برای مدیریت سایت وردپرس است.که همین نام کاربری باعث می شود تا سایت شما مورد استفاده و حملات هکرها به صورتbrute force شودتوصیه می کنیم در زمان نصب وردپرس از یک کلمه مناسب برای نام کاربری مدیریت سایت خود استفاده کنید تا حمله brute force به حداقل خود برسد.

غیرفعال کردن ویرایش فایل

وردپرس به صورت پیش فرض یک ویرایشگر داخلی دارد که با استفاده از آن می توان فایلهای قالب و افزونه ها را ویرایش کرد که این عامل یک خطر امنیتی محسوب می گردد به همین دلیل توصیه می کنیم که کد زیر را به فایل wp-config.php خود اضافه کنید.

عدم نمایش فهرست در فولدرها

یکی از باگ های امنیتی که معمولاً توسط شرکت های هاستینگ ایجاد می شود نمایش فهرست فایل های موجود داخل فولدرهای سایت شماست.در صورتی که فایل های شما در فولدر ها قابل نمایش است حتماً از شرکت هاستینگ خود بخواهید این قابلیت را برای شما خاموش کنند.

محدود کردن تلاش برای ورود

به صورت پیش فرض وردپرس محدودیتی در تلاش برای ورود کاربران به پیشخوان ایجاد نکرده است که این عامل باعث آسیب پذیری وردپرس در خصوص حملات هکرها با استفاده از نام کاربری و رمز عبور مختلف میشود شما میتوانید با محدود کردن تعداد تلاش های ناموفق برای ورود به سیستم این مورد را برطرف کنید اکثر افزونه های امنیتی این مورد را در نظر گرفته و قسمتی برای تنظیم تعداد تلاش های ورود دارند.اما شما می‌توانید از افزونه برای این کار استفاده کنید شما باید ابتدا باید افزونه را نصب و فعال کنید. این گزینه برای شما تعریف شود.

احراز هویت دو عاملی را اضافه کنید

یکی دیگر از تکنیک های افزایش امنیت وردپرس استفاده از احراز هویت دو عاملی یا دو مرحله ای است بدین ترتیب که استفاده از رمز عبور یکبار مصرف و یا احراز هویت کاربر در مرحله بعد از وارد کردن نام کاربری و رمز عبور از روشهای تایید دو مرحله ای برای ورود به پیشخوان سایت است. �چنین شما می‌توانید از روش فعال کردن حساب از سایتهای شبکه های اجتماعی معتبر مانند گوگل فیسبوک و توییتر برای سایت خود استفاده کنید.در این خصوص مقالات مربوط به این مورد در سایت مراجعه کنید تا روش فعال سازی احراز هویت دو مرحله ای و یا فعال کردن حساب کاربری اجتماعی در سایت را به شما توضیح دهیم.

پیشوند پایگاه داده وردپرس را تغییر دهید

استفاده از پیشوند پایگاه داده هنگام نصب وردپرس از شما پرسیده می شود یکی دیگر از عواملی است که باید آن را در نظر داشت بصورت پیش‌فرض این پیشوند پایگاه داده در هنگام نصب وردپرس با نام wp_ به شما نمایش داده می شود با توجه به آسان و قابل حذف شدن این مورد کار هکرها را برایورود به سایت آسان می کند. درصورتی که نمی دانیدچطور پسوند جداول خود را تغییر دهید کافیست در جستجوی سایت پیشوند پایگاه داده وردپرس را جستجو کنید تا به صورت کامل برای شما توضیح دهیم که چطور این موارد را انجام دهید.

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش‌فرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند.به دلیل ماهیت قدرتمند خود، XML-RPC می تواند به طور قابل توجهی حملات brute-force را تقویت کند.به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وب سایت شما امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهد که توسط پلاگین قفل ورود مسدود شده و مسدود می شود.system.multicall برای آزمایش هزاران رمز عبور با مثلاً 20 یا 50 درخواست استفاده کند.به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید. 3 راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در آموزش گام به گام خود در موردنحوه غیرفعال کردن XML-RPC در وردپرس توضیحداده ایم .

همچنین افزونه های امنیتی نیز قادرند تا این مورد را برای شما غیر فعال کنند تا امنیت وردپرس شما بالا برود.

خروج خودکار کاربران بیکار در وردپرس

کاربرانی که وارد سیستم شده اند گاهی اوقات از صفحه نمایش دور می شوند و این یک خطر امنیتی است.شخصی می تواند جلسه خود را ربوده، رمز عبور را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.به همین دلیل است که بسیاری از سایت های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می کنند.شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.شما باید افزونهInactive Logoutرا نصب و فعال کنید.پس از فعال‌سازی،برای پیکربندی تنظیمات افزونه ، بهتنظیمات » صفحه خروج غیر فعال مراجعه کنید. همچنین افزونه های امنیتی قابلیت تنظیم اینورتر آ برای کاربران دارند .

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

افزودن یک سوال امنیتی برای ورود کاربران باعث سخت تر شدن دسترسی های غیر مجاز میشود.با نصبافزونهWP Security Questions می توانید سوالات امنیتی اضافه کنید.پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.

اسکن وردپرس برای بدافزارها و آسیب پذیری ها

اگر یک افزونه امنیتی وردپرس نصب کرده اید، آن افزونه ها به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می کنند.با این حال، اگر کاهش ناگهانی در ترافیک وب سایت یارتبه بندی جستجومشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را اجرا کنید.می توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از اینبدافزارها و اسکنرهای امنیتیاستفاده کنید.اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت شما می روند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند.آنها نمی توانند بدافزار را حذف کنند یا یک سایت وردپرس هک شده را تمیز کنند.

تعمیر سایت وردپرس هک شده

بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.ولی بعد از هک شدن یا آسیب دیدن در سمت بدافزارها هزینه های گزاف ای برای برگشتن وبسایت خود میکند هکران معمولاً از طریق back doorsبه سایت ها نفوذ می کند و در صورتی که این بک دور ها برطرف نگردند هکر مجدد می تواند وارد سایت شده و سایت مورد حمله قرار دهد لذا حتماً امنیت وردپرس خود را جدی بگیرید. در این خصوص می توانید به مقاله ما تحت عنوان تعمیر سایت وردپرس هک شده با مطالعه کنید تا مشکل شما برطرف شود. امیدواریم در این مقاله توانسته باشیم تا به شما کمک کنیم بهترین روش های امنیتی را برای وب سایت خود در نظر بگیرید همچنین شما می‌توانید از دوره افزایش امنیت وردپرس استفاده کنید تا امنیت وردپرس خود را به بالاترین حالت خود برسانید.