4 روش ساده برای افزایش امنیت وردپرس که حتما باید بدانید تا هک نشوید! (آپدیت 2020 )

تامین امنیت وردپرس

در این آموزش قصد داریم در رابطه با روش های بسیار ساده ای که هر وردپرس کاری میبایست برای افزایش امنیت به کار ببرد صحبت خواهیم کرد.

سیستم مدیریت محتوای وردپرس به دلیل قابلیت استفاده آسان و سهولت دسترسی بسیار مشهور و محبوب است و این محبوبیت بالا نیز یک هدف بسیار خاص و جذاب برای خرابکاران به شمار میرود

ما نیز در این آموزش افزایش امنیت وردپرس در مورد نحوه محافظت از بازدید کنندگان ، کاهش تهدیدات و ایجاد یک سایت امن را کمک چند روش ساده به شما خواهیم اموخت.

آمارهای اخیر نشان می دهد که بیش از 28٪ از مدیران وب سایت در سراسر وب از WordPress استفاده می کنند و طبیعتا این محبوبیت بالا نیز در هر حال یک هزینه ای ممکن است برای ما که از آن استفاده میکنیم داشته باشد.

اکثر هکرها و اسپمرهای مخرب معمولا به دنبال استفاده از وب سایت های ناامن به نفع مقاصد خود میباشد و هدف اصلی این افراد مخرب نیز ، همین سایت های غیر ایمن میباشد . امنیت وردپرس را میتوان در مورد کاهش ریسک آن عنوان کرد و نه رفع کامل ریسک. از آنجا که همیشه خطر وجود دارد و روش های هک و نفوذ در حال تغییر میباشد ، امنیت سایت وردپرس شما نیز میبایست یک فرآیند مداوم باقی بماند و همیشه میبایست اقدام به ارزیابی مکرر این موارد در سایت خود نمایید.

پاسخ یه جواب : آیا وردپرس واقعا امن است؟

این سوال که آیا وردپرس واقعا ایمن است یا خیر ، کاملاً به شما ، که مالک وب سایت میباشید بستگی دارد. امنیت وب سایت در مورد کاهش دادن هر چه بیشتر ریسک های آسیب پذیر بودن سایت میباشد. برای سخت شدن این نفوذ ها و محافظت از وب سایت خود در برابر تهدیدها ، حتما باید بهترین روشهای امنیتی وردپرس را فرا بگیرید و پیشنهاد میکنیم تا انتها این مقاله با ما همراه باشید تا بتوانید سایت خود را در برابر نفوذ ها ایمن کنید.

به چه صورت سایت وردپرسی را ضد هک کنیم ؟

ما در این آموزش به شما مدیر سایت وردپرسی کمک میکنیم تا با کمک تکنیک های مربوط به امنیت و با استفاده از اقدامات عملی سایت وردپرسی ایمنی داشته باشد و خطرات نفوذ و هک شدن سایت خود را کاهش دهید.

1. آسیب پذیری مربوط به نرم افزار وردپرس

تیم امنیتی وردپرس با پشتکار و تلاش برای ارائه به روزرسانی های امنیتی مهم و نکات آسیب پذیری کار می کنند. با این حال ، استفاده از وردپرس و افزونه های بروز نشده ، سایت شما را در معرض تهدیدهای امنیتی اضافی قرار می گیرد.

با نصب مرتب آخرین نسخه های اصلی قالب های وردپرس و افزونه های نصب شده ، می توانید اطمینان حاصل کنید وردپرس و افزونه های شما دارای آخرین بروزسانی های امنیتی است و سایت وردپرسی شما در این صورت از امنیت بیشتری برخوردار خواهد بود.

بطور منظم افزونه ها و قالب وردپرس خود را بررسی کنید

افزونه ها و قالب وردپرس شما می توانند قدیمی ، منسوخ یا شامل اشکالاتی امنیتی شوند که این موارد ممکن خطرات امنیتی جدی از قبیل باگ های امنیتی، برای وب سایت وردپرس شما ایجاد کند. پیشنهاد میکنیم برای اطمینان از نسخه های بروز افزونه و وردپرس جهت افزایش امنیت سایت ، اقدام به بررسی دوره ای و منظم موارد گفته شده نمایید.

بروز رسانی افزونه و قالب وردپرس

در بعضی موارد ممکن است افزونه و یا نسخه از یک ویژگی وردپرس توسط هکر ها به صورت عمومی و با ویژگی های مخرب منتشر شود که پیشنهاد میگردد قبل از نصب از صحت ایمن بودن افزونه اطمینان حاصل کنید و بدون بررسی اقدام به نصب این افزونه ها نکنید.

امنیت پلاگین خود را بررسی کنید

با بررسی چند شاخص مهم می توانید امنیت افزونه ها و وردپرس را ارزیابی کنید:

آیا افزونه ای که قصد نصب آن را دارید تعداد نصب های بیشتری دارد ؟ : قبل از افزودن افزونه جدید به سایت وردپرسی خود ، تعداد نصب ها را بررسی کنید. هر چقدر تعداد نصب های افزونه بالاتر باشد میتوان از عملکرد و ایمنی افزونه و ارائه بروزرسانی مدوام اطمینان حاصل کرد
آیا توسط کاربران زیادی بررسی شده است ، و آیا میانگین امتیاز آن زیاد است ؟ : بررسی و رتبه بندی افزونه وردپرس را قبل از افزودن افزونه جدید بررسی کنید.
آیا توسعه دهندگان به صورت مداوم از افزونه خود پشتیبانی می کنند و به روزرسانی های مکرر یا ویژگی های امنیتی را انتشار میکنند ؟

افزونه و قالب هایی که استفاده نمیکنید را حذف کنید

وقتی صحبت از افزونه های بلااستفاده می شود ، قطعا نبود آن در سایت شما بهتر از غیرفعال بودن آن هستش . حذف قالب و یا افزونه هایی که از آن در سایت خود استفاده نمکنید را به شما توصیه میکنیم و این مورد کمک میکنه تا وردپرس را از هک شدن محافظت کنید.

حذف افزونه های غیر ضروری

در صورتیکه در حال حاضر افزونه غیرفعالی دارید و قصد استفاده از آن را ندارید، لطفا همین حالا اقدام به حذف آن کنید تا یک قدم از افزایش امنیت سایت خود را انچام داده باشید.

وردپرس را به روز کنید

هنگامی که یک به روزرسانی جدید وردپرس در دسترس باشد ، از بخش پیشخوان > بروزرسانی مطلع خواهید شد. شما همیشه باید در اسرع وقت اقدام به روزرسانی وردپرس نمایید تا سایت وردپرس خود را ایمن نگه دارید. ورود به سایت خود به صورت مکرر این اطمینان را به شما می دهد که هنگام انتشار بروزرسانی وردپرس از ان مطلع شوید و سپس اقدام به بروزسانی نمایید.

برخی از بروزرسانی ها می توانند وب سایت شما را خراب کنند ، بنابراین مطمئن شوید که پس از اعمال به روزرسانی ، سایت شما کاملاً عملیاتی شده باشد .

تنظیم بروزرسانی های خودکار در وردپرس:

پس از ورود به هاست خود به مسیر نصب وردپرس رفته و پرونده wp-config.php را که معمولاً در پوشه ریشه اصلی هاست public_html قرار دارد ، پیدا کنید.
قطعه کد زیر را به فایل مذکور اضافه کنید:

define( ‘WP_AUTO_UPDATE_CORE’, true );

نکته : قبل از بروزرسانی وب سایت خود به آخرین نسخه وردپرس ، توصیه می کنیم مراحل احتیاطی زیر را انجام دهید:
از وب سایت خود بخصوص از هر محتوای سفارشی پشتیبان تهیه کنید.
به روزرسانی را ابتدا در یک سایت تستی مورد آزمایش قرار دهید و در صورتیکه از صحت عملکرد صحیح افزونه ، قالب و سایت خود مطمئن شدید اقدام به بروزرسانی سایت اصلی نمایید.

2. دسترسی به سایت وردپرسی خود را محدود کنید

مهاجمان غالباً از سایت هایی دارای ضعف امنیتی و امنیت پایین برای دستیابی به وب سایت های وردپرس سوء استفاده می کنند. با روش قفل گذاشتن بر روی پوشه WP Admin می توانید از هک شدن سایت خود چلوگیری کرده و امنیت سایت وردپرس خود را افزایش دهید.

محدود سازی دسترسی به وردپرس

همچنین با استفاده از رمزهای عبور قدرتمند و منحصر به فرد به همراه محدود کردن سطح دسترسی کاربران از طریق نقش های مشخص شده در وردپرس > بخش کاربران ، امکان احراز هویت دو مرحله ای یا چند عاملی میتوانید امنیت وب سایت وردپرس خود را افزایش دهید . تمامی این روش ها برای افزایش امنیت سایت وردپرسی شما الزامی میباشد

حساب کاربری پیشفرض وردپرس را حذف کنید

اکثریت حملات در وردپرس به سمت مسیر های wp-admin ، wp-login.php و xmlrpc.php با استفاده از ترکیبی از نام های کاربری و رمزهای عبور مشترک مورد هدف قرار میگیرد.

با استفاده از یک نام کاربری منحصر به فرد و حذف حساب کاربری پیش فرض مدیر که در نصب وردپرس از آن استفاده کرده اید میتوانید راه دسترسی مهاجمان را سخت نمایید ( در صورت استفاده از یوزر پیشفرض اکانت ادمین وردپرس امکان حدس زدن نام آن برای مهاجمان راحت خواهد بود)

نحوه جایگزینی حساب پیش فرض “مدیر”:

به عنوان مدیر وارد وردپرس خود شوید.
از داشبورد ، کاربران> افزودن جدید را انتخاب کنید.
با استفاده از یک آدرس ایمیل جدید ، یک حساب کاربری جدید ایجاد کنید و نقش را روی مدیرکل تنظیم کنید.
کاربر جدید ساخته شده را ذخیره کنید ، از اکانت فعلی خود خارج شوید و سپس با حساب کاربری جدید خود وارد داشبورد وردپرس خود شوید .
از داشبورد ، کاربران> همه کاربران را انتخاب کنید و سپس اکانت پیشفرض قبلی خود را حذف نمایید .
در زمان حذف اکانت قبلی میبایست پست های قدیمی را به حساب مدیر جدید اختصاص دهید.

نکته : یک نام مستعار ایجاد کنید که با نام کاربری فعلی شما متفاوت باشد و آن را به عنوان نام نمایش عمومی خود تنظیم کنید. این کار باعث می شود تا شناسایی نام کاربری اصلی برای هکر ها سخت شود.

نقش کاربران و سطح دسترسی انها

با در نظر داشتن این مفهوم ، که وردپرس نقش های داخلی را برای سرپرستان ، نویسندگان ، ویراستاران ، مشارکت کنندگان و مشترکان در نظر گرفته است. این نقش ها مشخص می کند که کاربران مجاز به انجام چه کارهایی هستند و از انجام چه کارهایی منع شده اند.

سطح دسترسی در وردپرس

برای اطمینان از بالا بودن امنیت وردپرس خود ، این توصیه های مربوط به سطح دسترسی کاربران را رعایت کنید:

1 .حساب های کاربری جدید را در کمترین حد مجاز (ترجیحا مشترک ) ایجاد کنید.
2 . در صورتیکه مجوز موقت ایجاد میکنید و وقتی دیگر نیازی به دسترسی ندارید ، دسترسی را لغو کنید.
3 . حسابهایی را که دیگر استفاده نمی شوند را حذف کنید.
4 . اطمینان حاصل کنید که نقش کاربر پیش فرض روی مشترک تنظیم شده است:
به عنوان مدیر وارد داشبورد وردپرس شوید و تأیید کنید که مجوزهای مشترک شما فقط امکان ورود به سیستم و بروزرسانی یک پروفایل را دارد.
میتوانید از بخش داشبورد ، تنظیمات> عمومی نقش پیش فرض کاربر جدید را بر روی مشترک تنظیم کنید.

از رمزهای عبور قوی استفاده کنید

رمز عبور وردپرس عامل مهمی در سخت شدن نفوذ به وب سایت و همچنین افزایش امنیت سایت وردپرسی شما دارد. معمولا در زمان حمله به سایت شما ، هکر ها ابتدا از یک لیست رمز عبور پیشفرض جهت نفوذ استفاده میکنند ، تا با کمک این رمز های پیشفرض و در صورتیکه مدیر سایت از این رمز ها استفاده کرده باشد بتواند به سایت نفوذ کنند . به همین دلیل است که برای بالا بردن امنیت وردپرس خود ، همیشه باید از کلمه عبور های قدرتمند و منحصر به فرد استفاده کنید.

کلمات عبور قوی باید استانداردهای زیر را رعایت کنند:

دارای حداقل 1 کاراکتر بزرگ
دارای حداقل 1 کاراکتر کوچک
دارای حداقل 1 رقم
دارای حداقل 1 کاراکتر خاص (مانند @! )
طول رمز عبور شما حداقل 10 کاراکتر باشد.

پیشنهاد میشود برای تولید رمزهای عبور پیچیده به صورت تصادفی با استفاده از حروف و اعداد از سایت هایی تولید کننده پسورد مانند passwordsgenerator.net استفاده نمایید

استفاده از ورود دو مرحله ای (2FA)

احراز هویت دو عاملی ، سطح دوم از امنیت وردپرس را برای شما بوجود می آورد. فعالسازی این ویژگی این امکان را به سایت شما میدهد تا هر زمان نیاز به ورود به مدیریت وردپرس باشد ، فرایند ورود با کمک این ویژگی میبایست حتما به وسطه یک برنامه که در اختیار مدیر سایت میباشد تأیید گردد و در صورتی که حتی شخصی بتواند رمز ورود شما را نیز حدس بزند یا آن را بدست اورد ، امکان ورود وجود نخواهد داشت و نیاز به تاییدیه مدیر سایت میباشد.

ورود دو مرحله ای در وردپرس

چگونگی اضافه کردن ورود دو مرحله ای ( 2FA ) به وردپرس با استفاده ازبرنامه Google Authenticator:

برنامه Google Authenticator را در iPhone یا Android خود بارگیری و نصب کنید.
افزونه 2FA را برای سایت وردپرسی خود مانند افزونه miniOrange 2FA نصب و فعال کنید.
miniOrange 2-Factor را از منوی سمت چپ پیشخوان انتخاب کرده و تنظیمات را اعمال کنید.
پس از مشاهده کد QR در افزونه ، برنامه Google Authenticator را باز کرده و روی دکمه Add در سمت راست پایین برنامه کلیک کنید.
با استفاده از دوربین تلفن خود ، کد QR نمایش داده شده توسط افزونه را اسکن کنید و سپس کد موجود در صفحه افزونه را تأیید کنید تا فعالسازی ورود دو مرحله ای به صفحه ورود به ادمین سایت وردپرسی شما اضافه شود.

تعداد تلاش های ورود به وردپرس را محدود کنید


وردپرس به کاربران اجازه می دهد تا بطور پیش فرض به صورت نامحدود برای ورود به سیستم تلاش کنند ، اما این امر باعث می شود سایت شما در برابر حملات هکر ها آسیب پذیر و امنیت سایت شما به خطر بی افتد ، زیرا هکرها به صورت متوالی اقدام به بررسی رمز های عبور جهت بررسی ورود به سایت می کنند.

می توانید با محدود کردن تعداد تلاشهای ورود به سیستم از طریق یک حساب کاربری با کمک افزونه یا با استفاده از فایروال وب اپلیکیشن (WAF) یک لایه امنیتی به سایت خود اضافه کنید و امنیت وردپرس خود را بیشتر از هر زمانی بیشتر کنید.

برخی از افزونه های مشهور که این ویژگی را در اختیار شما قرار می دهند عبارتند از: Limit Login ، WP Limit Login Attempts

از CAPTCHA قبل از ورود استفاده کنید

CAPTCHA مخفف جمله ی Completely Automated Public Turing Test To Tell Computers and Humans Apart می باشد که به معنای آزمایش اتوماتیک عمومی برای جداسازی یا تشخیص انسان از ربات یا کامپیوتر است. این ویژگی برای جلوگیری از دستیابی به ربات های خودکار در داشبورد وردپرس و همچنین ارسال اسپم های ناخواسته از طریق فرم ها بسیار مفید است.

استفاده از کپچا در وردپرس

افزونه های معروف که CAPTCHA را به صفحه ورود به WordPress اضافه می کنند شامل Captcha و Really Simple Captcha است.

دسترسی به URL های معتبر را محدود کنید

محدود کردن دسترسی به صفحه ورود به ادمین وردپرس فقط به IP مجاز ، از ورود غیرمجاز مهاجمان جلوگیری و امنیت سایت وردپرس شما را بهتر تضمین میکند.

جهت این مورد میتوانید از افزونه های امنیتی نظیر ithemes security ، wordfence security استفاده نمایید همچنین میتوانید فایل htaccess. در مسیر اصلی هاست و در پوشه wp-admin ایجاد نمایید و سپس دسترسی صرفا به یک آی پی خاص را در ان تنظیم نمایید. جهت این مورد میتوانید با بازکردن فایل مذکور دستور زیر را در فایل قرار داده و سپس ذخیره نمایید.

order deny,allow
allow from 136.136.136.136
deny from all

به جای آی پی 136.136.136.136 آی پی مربوط به اینترنت خود را وارد نمایید تا صرفا دسترسی آی پی شما به صفحه ادمین برقرار شود.

3. پشتیبان گیری از وردپرس خود

پشتیبان گیری از سایت وردپرس همیشه باید یکی از مهمترین وظایف اصلی و تکراری یک مدیر سایت به منظور افزایش امنیت در وردپرس باشد.

بک آپ گیری در امنیت وردپرس

داشتن یک نسخه کامل از سایت شما خیلی بهتر از ضعیف بودن امنیت سایت شما میباشد ، این مورد را در نظر بگیرید که کلی کار اشتباه در سایت خود انجام داده اید و از لحاظ امنیت نیز ، سایت شما در وضعیت جالبی قرار ندارد و توسط یک مهاجم مورد حمله قرار میگیرد.

شما نباید انتظار این رو داشته باشید که فرد مهاجم صرفا قصدش تغییر رمز سایت و جلوگیری از دسترسی شما به سایت باشد در صورتیکه میتواند خیلی راحت کلی کار از قبیل حذف کلیه اطلاعات و یا قرار دادن کلی فایل مخرب در سایت شما باشد.

در این مواقع چه چیزی بهتر از داشتن یک نسخه از فایل پشتیبان سایت میتواند به سرعت مشکل شما را برطرف کند ؟

در زمان تهیه یک نسخه پشتیبان از سایت همیشه به نکات زیر توجه داشته باشید :

وقتی تصمیم به گرفتن یک نسخه پشتیبان از سایت خود کردید میبایست پس از این کار موارد زیر را جهت اطمینان هر چه بیشتر از سلامت فایل پشتیبان خود به کار ببرید.

فایل پشتیبان خارج از هاست شما باشد :

نسخه های پشتیبان از سایت شما باید در خارج از سایت و هاست ذخیره شوند و به هیچ وجه در همان سرور وب سایت خود قرار ندهید.

چنین کاری باعث میشود حتی در زمان هایی که هارد سرور شما نیز خراب و از کار بی افتد ، شما همچنان یک نسخه از سایت را دارید که در یک هاست و یا سرور دیگری مجدد اقدام به راه اندازی آن نمایید.


سیستم پشتیبان گیری خودکار :

سیستم بک آپ گیری از سایت شما میبایست به صورت خودکار صورت گیرد تا مطمئن شوید به طور منظم پشتیبان گیری از سایت شما طبق زمانبندی مشخصی که دارید از سایت شما صورت میگیرد.

انسان معمولا تنبل و فراموشکار است ، بنابراین می توانید خطای کاربر در رابطه با بک آپ گیری را از طریق بک آپ گیری خودکار کاهش دهید. اگر تنها راه حل شما در هنگام پشتیبان گیری همچنان روش دستی میباشد ، باید مطمئن شوید که در زمان مقرر حتما پشتیبان از سایت را تهیه کرده باشید.

داشتن دو نسخه از فایل پشتیبان :


همیشه تمام سعی خود را انجام دهید تا دو نسخه از فایل پشتیبان را در اختیار داشته باشید ، پیشنهاد در رابطه با داشتن دو نسخه از فایل پشتبان به این دلیل میباشد که ممکن است به هر دلیلی فایل اول مربوط به پشتیبان تهیه شده دچار مشکل باشد و قابل بازگردانی نباشد و در نتیجه داشتن دو نسخه میتونه این مشکل را تا حدود زیادی برطرف کند.

اطمینان از فایل پشتیبان تهیه شده :


فرآیند بررسی صحت کامل فایل پشتیبان از سایت خود را میتوانید با روش تست و اجرا به خوبی متوجه شوید که جهت این کار میتوانید فایل مربوط به نسخه پشتیبان سایت خود را در سایت هاست و سایت دیگری بازگردانی نمایید و مطمدن شوید که فرآیند بک آپ گیری با موفقیت انجام میشود و تمامی فایل ها به درستی بازگردانی میشوند.

4. استفاده از SSL در سایت خود

SSL یا همان گواهینامه امنیتی در چند سال گذشته به طور فزاینده ای برای امنیت سایت های وردپرس مهم شده است ، نه تنها برای انتقال ایمن اطلاعات از و به وب سایت شما ، بلکه همچنین برای افزایش دید شدن سایت شما در نتایج گوگل و کاهش احتمال مجازات شدن از سمت گوگل نیز را در پی خواهد داشت.

افزایش امنیت وردپرس با SSL

SSL به یک وب سایت اجازه دسترسی از طریق HTTPS را می دهد که اطلاعات ارسالی بین بازدید کنندگان و سرورهای وب را رمزگذاری می کند. از سال 2014 ، SSL به عنوان سیگنال رتبه بندی برای سئو مطرح شده است و اکنون گوگل شروع به پرچم گذاری از وب سایت های غیر HTTPS کرده است و این سایت ها را به کاربران با سایت های غیرایمن معرفی میکند .

در صورتیکه در حال حاضر در حال استفاده از گواهینامه امنیتی (SSL) در سایت خود نمیباشد ، میبایست هر جه سریعتر به فکر فعالسازی این مورد باشید تا با یک تیر دو نشان بزنید ( افزایش امنیت و بهبود سئو سایت ).

در حال حاضر دو راه برای تهیه SSL وجود دارد که روش اول خریداری گواهینامه امنیتی میباشد و مورد بعدی در صورتیکه قادر به پرداخت هزینه های تهیه SSL نمیباشید میتوانید از گواهینامه امنیتی رایگان مانند سایت SSL For Free استفاده کنید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *