امنیت سایت وردپرسی

اولین و مهمترین کاری که پس از طراحی سایت با وردپرس باید انجام دهید، در نظر گرفتن تمهیداتی برای امن تر کردن سایت وردپرس است. در این مقاله قصد داریم به صورت جامع و کامل به آموزش راه های افزایش امنیت وردپرس بپردازیم و به شما بیاموزیم که چگونه در برابر حملات هکرها از سایت خود محافظت کنید.

برقراری و افزایش امنیت در وردپرس همواره یکی از چالشی ترین و مهمترین بحث ها در فضای وردپرس بوده است. وردپرس به دلیل محبوبیت زیادی که بین دیگر سیستم های مدیریت محتوا داشته و کاربران زیادی از آن استفاده می کنند، همیشه در معرض هک و نفوذ بیشتری قرار دارد.

بسیاری از کاربران دوست نداشته یا زمان کافی در اختیار ندارند که وارد تمام مقوله های امنیتی شوند و ترجیح می دهند تنها با استفاده از بهترین افزونه های امنیتی وردپرس، امنیت سایت شان را تامین کنند.

البته این موضوع که روی یک دکمه کلیک کنید و امنیت برقرار شود، بسیار بی دردسر و آسان است. ولی استفاده از افزونه های امنیتی تنها یک لایه اضافی برای تمام اقدامات مهم امنیتی موجود در وردپرس است. احتمالاً این بی دقتی یکی از دلایل بحث های بی پایان در مورد ناامنی وردپرس باشد.

با این وجود باید توجه داشت که بحث امنیت یک موضوع نسبی است و هیچ نرم افزاری ۱۰۰% امن نیست. بنابراین لازم است که از تمامی راهکارهای موجود برای افزایش امنیت وردپرس استفاده کرد.

برای افزایش امنیت سایت وردپرسی تان هیچ وقت دیر نیست. ما در این مقاله سعی کرده ایم رویکردهایی که باعث افزایش امنیت وردپرس می شود را مورد آموزش و بحث و بررسی قرار دهیم.

آموزش افزایش امنیت وردپرس و جلوگیری از هک سایت

برای انجام یک رویکرد پیشگیرانه، ابتدا باید بدانید که سایت ها چگونه هک می شوند. تنها وقتی که نقاط ضعف را بدانید می توانید اقدامات لازم برای محافظت را انجام دهید.

طی تحقیقاتی که روی این مساله انجام شد، نتایج زیر به دست آمد:

• ۴۱% هک ها از طریق پلتفرم هاستینگ اتفاق افتاده است.
• ۲۹% از طریق قالب های آسیب پذیر وردپرس
• ۲۲% از طریق مسائل امنیتی افزونه های وردپرس
• ۸% از طریق اطلاعات لاگین ضعیف روی داده است.

دانستن این موارد در درک چگونگی افزایش امنیت وردپرس کمک زیادی می کند. در این آموزش خواهید آموخت که چگونه از سایت خود در برابر همه موارد ذکر شده در بالا محافظت کنید.

به‌روز رسانی مداوم وردپرس

مهم ترین مسئله در تامین امنیت سایت‌های وردپرسی به روز بودن ورپرس و افزونه‌ها و قالب‌هایی هست که ازشون استفاده می‌کنید. تیم وردپرس مدام در حال افزودن قابلیت‌های جدید و رفع مشکلات و باگ‌های امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت می‌شود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونه‌ها و قالب‌های استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.

بک‌آپ گیری منظم وردپرس

بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشه که در اکثر مواقع شاید متوجه این مسئله نشوید. از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود. چرا که برای چندین میزبانی این مشکل پیش اومده که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایت‌ها به صورت کامل از صفحه اینترنت محو شدند و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایت‌ها به باد رفت.

پس سعی کنید همیشه خودتون هم از سایت نسخه بک آپ تهیه کنید تا اگر مشکلات این چنین رخ داد یا سایت هک شد بتونید از فایل بک‌آپ برای اطمینان از سالم بودن کلیه فایل‌ها موجود در سایت به ادامه فعالیت بپردازید. بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است.

استفاده از رمزعبور قوی

یکی از شایع‌ترین روش‌های هک وردپرس استفاده از رمزعبور ساده برای ورود به سیستم است. برای جلوگیری از هک باید از رمزهای عبور قوی و پیچیده استفاده کنید. برای تمام بخش‌ها ازجمله بخش مدیریتی وردپرس، حساب FTP، پایگاه داده، حساب میزبانی وردپرس، ایمیل‌های مرتبط کسب‌و‌کار و …. باید از رمز‌های عبور قوی که باید حداقل شامل 8 تا 10 کاراکتر باشد و این کاراکترها شامل اعداد، کاراکتر خاص و حروف بزرگ و کوچک است.

تأمین امنیت هاست و وردپرس

حتی اگر در مورد امنیت وب سایت خود همه جوانب را رعایت کنید، ولی هاست وردپرس را از یک شرکت نامعتبر خریداری کرده باشید، هیچ کاری نمی توان برایتان کرد. اگر هکر بتواند به قسمت هاست سایت دسترسی پیدا کند، می تواند همه چیز را تحت کنترل خود درآورد. بنابراین در زمان انتخاب شرکت هاستینگ باید دقیق تر عمل کنید.

به دلیل ارزان بودن هاست، به سراغ شرکت های بدون پشتیبانی و ناامن نروید. شرکت های پاسخگو حتی اگر سایت هک شود، به شما کمک می کنند تا سایت هک شده را برگردانید.

اغلب هاست های اشتراکی که ارزان قیمت هم هستند، خطرناک ترند. زیرا ممکن است هکرها بتوانند از طریق یک سایت هک شده در همان سیستم، به سایت شما هم دسترسی پیدا کنند. به همین دلیل ما توصیه جدی داریم که برای خرید هاست هزینه بیشتری پرداخت و از خرید هاست ناامن خودداری کنید.

افزایش امنیت فایل wp-config.php

فایل wp-config.php یکی از مهم‌ترین فایل‌های هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.

افزایش امنیت فایل htaccess.

یکی دیگه از فایل‌های مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد. این فایل با استفاده از دستوراتی که میتونه اجرا کنه در محافظت از فایل‌ها و پوشه‌های وردپرس نقش به‌سزایی را داره که میتونید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.

افزایش امنیت پوشه wp-admin

پوشه wp-admin هم یکی از مهم‌ترین پوشه‌های وردپرس هست که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده داره که با دسترسی به این پوشه میشه به راحتی با تزریق کدهایی در فایل‌های موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.

استفاده از افزونه امنیت وردپرس

افزونه‌های امنیتی مختلفی برای وردپرس ساخته شده‌اند که امکان فراهم کردن قابلیت‌های امنیتی را در وردپرس به شما خواهند داد. افزونه wordfence وردپرس یکی از پرطرفدارترین افزونه‌های امنیتی در وردپرس هست که به شما امکان افزایش امنیت وردپرس و جلوگیری از هک سایت را خواهد داد. با استفاده از این افزونه میتونید بیشتر راهکارهایی که در بالا به معرفی اونها پرداختیم را فقط با این افزونه فراهم کنید.

یکی دیگه از افزونه‌های امنیتی در وردپرس افزونه امنیت وردپرس iThemes Security هست که امکاناتی مثل بک آپ گیری خودکار از دیتابیس وردپرس را به شما میده که هر زمان سایت مورد حمله قرار گرفته بود بتونید با استفاده از نسخه پشتیبان وردپرس مشکلات را برطرف کنید.

غیرفعال کردن XML-RPC

فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد که از جمله این موارد میشه به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویس‌هایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتونه همزمان 20 درخواست را به سایت ارسال کرده و اقدام به پیدا کردن رمز ورود در وردپرس بکنه که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست.

بررسی فعالیت کاربران در وردپرس

یکی دیگه از راه‌های امنیت وردپرس این هست که رفتار کاربران سایت خودتون را زیر نظر بگیرید. این رفتار میتونه توسط سیستم آمار گیر سایت و یا افزونه‌ها صورت بگیره که در صورت شناسایی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید.

تغییر دوره‌ای رمز کلیه کاربران در وردپرس

معمولا کاربرانی که در سایت ثبت نام می‌کنند هیچ اقدامی برای تغییر دوره‌ای رمز عبور خودشون انجام نمی‌دهند. این مشکلات برای هر سایتی زیاد شاید مهم نباشه و به چشم نیاد، اما برای سایت‌های فروشگاه فایل که از ووکامرس یا افزونه‌های دیگه استفاده می‌کنند خیلی مهم هست. پس خودتون باید دست به کار شده و در بازه‌های زمانی چند ماهه کاری کنید که کاربران خودشون اقدام به تغییر رمز در وردپرس بکنند.