اولین و مهمترین کاری که پس از طراحی سایت با وردپرس باید انجام دهید، در نظر گرفتن تمهیداتی برای امن تر کردن سایت وردپرس است. در این مقاله قصد داریم به صورت جامع و کامل به آموزش راه های افزایش امنیت وردپرس بپردازیم و به شما بیاموزیم که چگونه در برابر حملات هکرها از سایت خود محافظت کنید.
برقراری و افزایش امنیت در وردپرس همواره یکی از چالشی ترین و مهمترین بحث ها در فضای وردپرس بوده است. وردپرس به دلیل محبوبیت زیادی که بین دیگر سیستم های مدیریت محتوا داشته و کاربران زیادی از آن استفاده می کنند، همیشه در معرض هک و نفوذ بیشتری قرار دارد.
بسیاری از کاربران دوست نداشته یا زمان کافی در اختیار ندارند که وارد تمام مقوله های امنیتی شوند و ترجیح می دهند تنها با استفاده از بهترین افزونه های امنیتی وردپرس، امنیت سایت شان را تامین کنند.
البته این موضوع که روی یک دکمه کلیک کنید و امنیت برقرار شود، بسیار بی دردسر و آسان است. ولی استفاده از افزونه های امنیتی تنها یک لایه اضافی برای تمام اقدامات مهم امنیتی موجود در وردپرس است. احتمالاً این بی دقتی یکی از دلایل بحث های بی پایان در مورد ناامنی وردپرس باشد.
با این وجود باید توجه داشت که بحث امنیت یک موضوع نسبی است و هیچ نرم افزاری ۱۰۰% امن نیست. بنابراین لازم است که از تمامی راهکارهای موجود برای افزایش امنیت وردپرس استفاده کرد.
برای افزایش امنیت سایت وردپرسی تان هیچ وقت دیر نیست. ما در این مقاله سعی کرده ایم رویکردهایی که باعث افزایش امنیت وردپرس می شود را مورد آموزش و بحث و بررسی قرار دهیم.
آموزش افزایش امنیت وردپرس و جلوگیری از هک سایت
برای انجام یک رویکرد پیشگیرانه، ابتدا باید بدانید که سایت ها چگونه هک می شوند. تنها وقتی که نقاط ضعف را بدانید می توانید اقدامات لازم برای محافظت را انجام دهید.
طی تحقیقاتی که روی این مساله انجام شد، نتایج زیر به دست آمد:
- ۴۱% هک ها از طریق پلتفرم هاستینگ اتفاق افتاده است.
- ۲۹% از طریق قالب های آسیب پذیر وردپرس
- ۲۲% از طریق مسائل امنیتی افزونه های وردپرس
- ۸% از طریق اطلاعات لاگین ضعیف روی داده است.
دانستن این موارد در درک چگونگی افزایش امنیت وردپرس کمک زیادی می کند. در این آموزش خواهید آموخت که چگونه از سایت خود در برابر همه موارد ذکر شده در بالا محافظت کنید.
بهروز رسانی مداوم وردپرس
مهم ترین مسئله در تامین امنیت سایتهای وردپرسی به روز بودن ورپرس و افزونهها و قالبهایی هست که ازشون استفاده میکنید. تیم وردپرس مدام در حال افزودن قابلیتهای جدید و رفع مشکلات و باگهای امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت میشود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونهها و قالبهای استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.
بکآپ گیری منظم وردپرس
بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشه که در اکثر مواقع شاید متوجه این مسئله نشوید. از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود. چرا که برای چندین میزبانی این مشکل پیش اومده که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایتها به صورت کامل از صفحه اینترنت محو شدند و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایتها به باد رفت.
پس سعی کنید همیشه خودتون هم از سایت نسخه بک آپ تهیه کنید تا اگر مشکلات این چنین رخ داد یا سایت هک شد بتونید از فایل بکآپ برای اطمینان از سالم بودن کلیه فایلها موجود در سایت به ادامه فعالیت بپردازید. بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است.
استفاده از رمزعبور قوی
یکی از شایعترین روشهای هک وردپرس استفاده از رمزعبور ساده برای ورود به سیستم است. برای جلوگیری از هک باید از رمزهای عبور قوی و پیچیده استفاده کنید. برای تمام بخشها ازجمله بخش مدیریتی وردپرس، حساب FTP، پایگاه داده، حساب میزبانی وردپرس، ایمیلهای مرتبط کسبوکار و …. باید از رمزهای عبور قوی که باید حداقل شامل 8 تا 10 کاراکتر باشد و این کاراکترها شامل اعداد، کاراکتر خاص و حروف بزرگ و کوچک است.
تأمین امنیت هاست و وردپرس
حتی اگر در مورد امنیت وب سایت خود همه جوانب را رعایت کنید، ولی هاست وردپرس را از یک شرکت نامعتبر خریداری کرده باشید، هیچ کاری نمی توان برایتان کرد. اگر هکر بتواند به قسمت هاست سایت دسترسی پیدا کند، می تواند همه چیز را تحت کنترل خود درآورد. بنابراین در زمان انتخاب شرکت هاستینگ باید دقیق تر عمل کنید.
به دلیل ارزان بودن هاست، به سراغ شرکت های بدون پشتیبانی و ناامن نروید. شرکت های پاسخگو حتی اگر سایت هک شود، به شما کمک می کنند تا سایت هک شده را برگردانید.
اغلب هاست های اشتراکی که ارزان قیمت هم هستند، خطرناک ترند. زیرا ممکن است هکرها بتوانند از طریق یک سایت هک شده در همان سیستم، به سایت شما هم دسترسی پیدا کنند. به همین دلیل ما توصیه جدی داریم که برای خرید هاست هزینه بیشتری پرداخت و از خرید هاست ناامن خودداری کنید.
افزایش امنیت فایل wp-config.php
فایل wp-config.php یکی از مهمترین فایلهای هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.
افزایش امنیت فایل htaccess.
یکی دیگه از فایلهای مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد. این فایل با استفاده از دستوراتی که میتونه اجرا کنه در محافظت از فایلها و پوشههای وردپرس نقش بهسزایی را داره که میتونید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.
افزایش امنیت پوشه wp-admin
پوشه wp-admin هم یکی از مهمترین پوشههای وردپرس هست که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده داره که با دسترسی به این پوشه میشه به راحتی با تزریق کدهایی در فایلهای موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.
استفاده از افزونه امنیت وردپرس
افزونههای امنیتی مختلفی برای وردپرس ساخته شدهاند که امکان فراهم کردن قابلیتهای امنیتی را در وردپرس به شما خواهند داد. افزونه wordfence وردپرس یکی از پرطرفدارترین افزونههای امنیتی در وردپرس هست که به شما امکان افزایش امنیت وردپرس و جلوگیری از هک سایت را خواهد داد. با استفاده از این افزونه میتونید بیشتر راهکارهایی که در بالا به معرفی اونها پرداختیم را فقط با این افزونه فراهم کنید.
یکی دیگه از افزونههای امنیتی در وردپرس افزونه امنیت وردپرس iThemes Security هست که امکاناتی مثل بک آپ گیری خودکار از دیتابیس وردپرس را به شما میده که هر زمان سایت مورد حمله قرار گرفته بود بتونید با استفاده از نسخه پشتیبان وردپرس مشکلات را برطرف کنید.
غیرفعال کردن XML-RPC
فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد که از جمله این موارد میشه به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویسهایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتونه همزمان 20 درخواست را به سایت ارسال کرده و اقدام به پیدا کردن رمز ورود در وردپرس بکنه که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست.
بررسی فعالیت کاربران در وردپرس
یکی دیگه از راههای امنیت وردپرس این هست که رفتار کاربران سایت خودتون را زیر نظر بگیرید. این رفتار میتونه توسط سیستم آمار گیر سایت و یا افزونهها صورت بگیره که در صورت شناسایی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید.
تغییر دورهای رمز کلیه کاربران در وردپرس
معمولا کاربرانی که در سایت ثبت نام میکنند هیچ اقدامی برای تغییر دورهای رمز عبور خودشون انجام نمیدهند. این مشکلات برای هر سایتی زیاد شاید مهم نباشه و به چشم نیاد، اما برای سایتهای فروشگاه فایل که از ووکامرس یا افزونههای دیگه استفاده میکنند خیلی مهم هست. پس خودتون باید دست به کار شده و در بازههای زمانی چند ماهه کاری کنید که کاربران خودشون اقدام به تغییر رمز در وردپرس بکنند.