
۱۵ قدم ساده برای برقراری امنیت کامل در وردپرس
زمانی که سایت خود را با هر سیستمی راه اندازی کنید امنیت یکی از مهمترین بخشهای سایت شما خواهد بود چرا که باید بتوانید سایت خود را در برابر انواع حملات خطرناک محافظت کنید. سیستم مدیریت محتوای وردپرس هم از این قاعده مستثنی نیست و شما میتوانید با انجام یکسری کارها امنیت سایت وردپرسی خود را افزایش دهید و مانع از هک وردپرس شوید. راهکارهایی که در این مقاله به شما ارائه میشوند جدا از افزونههای امنیتی وردپرس هستند، هر چند که افزونهها قادر هستند امنیت ورپرس شما را بهبود ببخشند اما شما میتوانید با انجام کارهایی که در این مطلب به آن اشاره میکنیم سطح امنیتی سایت خود را بالا و بالاتر ببرید.
جهت تاکید بیشتر عدم توجه به امنیت سایت یعنی اینکه باید آمادگی این را داشته باشید که سایت شما آسیبهای جبران ناپذیری ببیند و زحمات خود را بر باد رفته ببینید. بنابراین استراتژی و راهکارهای گفته شده را ضمن بررسی، انجام دهید تا از هدر رفتن زحمات خود بر اثر باگ و مشکل امنیتی جلوگیری کنید. برای یک سفر امنیتی جذاب همراه ما باشید:
امنیت کامل در وردپرس
برای برقراری امنیت در وردپرس باید ۱۵ قدم ساده اما خیلی مهم را محکم برداریم و هیچکدام را نادیده نگیریم. امروز در مورد موارد زیر با شما حرف خواهیم زد پس بدانید و آگاه باشید که :
فهرست فعالیت های امنیتی وردپرس
لیست بالا مواردی است که دقیقا باید از آنها بهرهمند شوید و آنها را برای امنیت کامل در وردپرس به کار ببرید. نگران نباشید هر کدام از موارد را به صورت جداگانه توضیح میدهیم.
۱- لطفا از نام کاربری admin استفاده نکنید
به این موضوع خوب فکر کنید. راحتترین کاری است که میتوانید برای برقراری امنیت کامل در وردپرس انجام دهید. نه نیاز به ابزاری است و نه نیاز به بررسی. تنها کافیست به جای اینکه نام کاربری پیشفرض وردپرس را استفاده کنید، خود نام کاربری مقاومتری انتخاب کنید. این گزینه نیازمند هیچ هزینهای نیست اما عدم رعایت آن میتواند برایتان هزینه سنگینی ایجاد کند! هرگز فراموش نکنید:
امنیت در مورد حذف خطر نیست، بلکه در مورد کاهش خطر است.
یک حساب کاربری برای خودتان ایجاد کنید زیرا زمانی که میخواهید در سایت، مطالبی بنویسید نام کاربری که همان ادمین است به کاربران نمایش داده میشود. پس یک نام کاربری دیگر به عنوان ویرایشگر بسازید و در هنگام نوشتن مطالب از آن استفاده کنید تا کسی در مورد اکانت کاربری مدیریت بویی نبرد.
۲- از پسوردهای سخت استفاده کنید
نکتهای که همیشه باید به خاطر داشته باشید: پیچیده، طولانی و یکتا بودن است.
وبسایتی مانند Lastpass امکان انتخاب پسوردهای قوی را به شما میدهد. البته کار پیچیدهای نیست و خودتان نیز به راحتی میتوانید آن را برای برقراری امنیت کامل در وردپرس انتخاب کنید. ولی اگر دوست دارید از چنین سایتی نیز میتوانید کمک بگیرید.
۳- از احراز هویت دو مرحلهای استفاده کنید
حتی اگر از نام کاربری و پسورد قوی استفاده میکنید، آگاه باشید که هنوز امکان خطر حملات Brute Force در کمین شماست!
ورود دو مرحلهای به این معناست که کاربر حتی بعد از وارد کردن پسورد در فیلد مورد نظر برای ورود باید یک مرحله دیگر هم طی کند و فقط دانستن پسورد کافی نیست. زمانی که این قابلیت را برای ورود به پنل وردپرس انتخاب میکنید یک کد از طریق ایمیل یا SMS برای کاربر ارسال خواهد شد که با وارد کردن و تایید آن میتواند به داشبورد وبسایت دسترسی داشته باشد. این راهکار شاید ساده به نظر برسد اما تاثیر بسزایی در بالا بردن امنیت وردپرس دارد.
۴- دسترسی سایت را به افراد مطمئن دهید
ممکن است وبسایتتان دارای چند نویسنده، مدیر، ویرایشگر و… باشد. اینگونه کار شما در برقراری امنیت کامل در وردپرس سخت میشود. چرا؟
واضح است! آیا نسبت به تمامی افراد مطمئن هستید؟ هرگز نمیتوان گفت بله. ممکن است افراد خودشان خطرناک باشند یا در بهترین حالت از اطلاعات کاربری قوی استفاده نکنند و وبسایت را به خطر بیندازند. برای جلوگیری از این مشکل باید چه کرد؟
- افرادی که مطمئن هستند را انتخاب کنید.
- دسترسی افراد را براساس عملکردی که دارند محدود کنید. این عملیات را میتوان با کمک افزونه Advanced Access Manager انجام داد.
همچنین بخوانید: بهترین روش افزایش فالوور اینستاگرام
۵- پنهان کردن wp-config.php و htaccess.
یکی دیگر از روشهای برقراری امنیت کامل در وردپرس، مخفی کردن همین دو فایل است. کار به ظاهر سادهای است اما کمی اشتباه در انجام آن، میتواند وبسایتتان را از دسترس خارج کند. پس اول یک نسخه پشتیبان تهیه کرده و سپس عملیات را آغاز کنید. ناگفته نماند که افزونه Yoast SEO این کار را برایتان سادهتر میکند. برای این منظور به بخش ابزارها>> ویرایشگر فایل مراجعه کنید. در اینجا با فایل htaccess. مواجه میشوید. حال قطعه کد زیر را برای حفظ ایمنی بیشتر wp-config.php وارد کنید:
<Files wp-config.php> order allow,deny deny from all </Files>
همچنین برای محافظت از فایل htaccess. میتوانید قطعه کد زیر را وارد کنید:
<Files .htaccess> order allow,deny deny from all </Files>
۶- استفاده از کلیدهای امنیتی وردپرس برای احراز هویت استفاده کنید
کلیدهای امنیتی وردپرس و احراز هویت در یک همکاری قدرتمند برای محافظت از کوکیها و رمزهای عبور در بین مرورگر و وبسرور فعالیت میکنند. لطفا کلیدهای احراز هویت را با پسوردهای رندوم اشتباه نگیرید. این کلیدها وظیفه حفاظت و بهبود امنیت در برابر کوکیها را برعهده دارند.
برای این منظور باید تغییراتی را در wp-config.php به کمک کلیدهای امنیتی انجام داد. برخی از آنها به صورت زیر است:
define('AUTH_KEY', '-+[_ig?wETc;t3<!S#.aB`F4)qcO7Z1K1t>GR$Xzbh=HFD(|ZMS V}wN%[h[Kf|:`H'); define('SECURE_AUTH_KEY', '-=,=ou;=z]6D`Vp510}n+X,>)&@e|O;EI#I1eTmdy}.{=NuZzW~^|W{0{i%@;A`c'); define('LOGGED_IN_KEY', '(%0/c;f|7iGciA^;+yN&)6G?g+}|mFQ0J1qrs9{6UcQ5L8L9$6c_YQ6SP:%)3GL{'); define('NONCE_KEY', '4_O}rtFl-Pq_Tp x0RLsOY+wQGTeA[hy~P;~-Lg]+{sfNsY^G{[O2Xg4`-l;$m-='); define('AUTH_SALT', 'Z!>bOhFB2i~P%r$LC[sc- ^-u&>eF>A-QhWQ@ygrL^5lN@2@29t+d#rz~:F!cpw1'); define('SECURE_AUTH_SALT', ',UN9qIyGatT&)%pj=|*StP?aabOL*Jl.L-3_31|u?#iO8nC^nNT/3DF<>~x^CSRf'); define('LOGGED_IN_SALT', '3vfbS2m}2],UO<c,;==f9a` *k%{jUny=kGmeB/[*[OwtY2Emmw?Afn%2?7_bF5Z'); define('NONCE_SALT', 'L@::-KC3O=pg;Dm+66Osgph(@@uR^lDw[wu0qk/-CP.SblVO@Oyv`L=+yYQF2cJ-');
میتوانید آنها را در wp-config.php اضافه کنید.
هشدار: کدهای بالا را با تغییراتی در عبارتهای موجود، تغییر دهید.
۷- غیرفعال کردن ویرایشگر فایل
یکی دیگر از روشهای برقراری امنیت کامل در وردپرس، غیرفعال کردن حالت ویرایشگر در وردپرس است. چنانچه هکر به وردپرس نفوذ کند به راحتی میتواند از بخش نمایش>> ویرایشگر به کدهای وبسایتتان دسترسی یافته و آن را دچار خرابی یا تغییر کند. برای این منظور باید این بخش را غیرفعال کرد. برای این منظور لطفا قطعه کد زیر را در فایل wp-config.php وارد کنید:
define('DISALLOW_FILE_EDIT', true);
از این پس لطفا تغییرات خود را به کمک FTP یا وارد شدن به هاست، انجام دهید. و قید این بخش را بزنید!
۸- ایجاد محدودیت در وارد شدن به سایت
یکی دیگر از حملاتی که Brute Force در آن نقش پر رنگی دارد، تلاش در وارد شدن به پنل ادمین است. آنقدر نام کاربری و پسورد را وارد میکند تا بالاخره وارد شود. برای مقابله با این مشکل و برقراری امنیت کامل در وردپرس دو روش را پیشنهاد میکنم:
یک – تغییر آدرس پیشفرض برای ورود به پیشخوان وردپرس که با کمک افزونه Protect WP admin .
دو – ایجاد محدودیت در تلاش برای وارد شدن به سایت. این اقدام نیز با کمک بعضی افزونههای امنیتی امکانپذیر است که یکی از آنها افزونهBrute Force Login Protection است.
۹- استفاده از XML-RPC
XML-RPC یک برنامه رابط کاربری یا API است که ایجاد آن برای مدتی طول کشید و توسط تعدادی افزونه و قالب استفاده میشود. البته باید تکنیکهای فنی زیادی را در استفاده از آن رعایت کرد تا با خطرات امنیتی مواجه نشویم. پس اگر از افزونههای این چنینی استفاده میکنید، لطفا حواستان را جمع کنید و با تسلط کامل از آن بهرهمند شوید.
۱۰- انتخاب هاست ایمن برای وردپرس
در برقراری امنیت کامل در وردپرس، هرگز قدرت هاست را دست کم نگیرید. میدانم که ممکن است برای هزینههای بالایی که با آن مواجه میشوید یک هاست معمولی را انتخاب کنید، اما اگر به پیامدهای آن فکر کنید مطمئنا این هزینه اولیه را متحمل میشوید.
در کنار انتخاب هاست قدرتمند، استفاده از هاستی که برای وردپرس مناسب باشد به مراتب بهتر است. اکثر شرکتهای معتبر ارائه دهنده هاست، پلنی را به عنوان هاست وردپرس دارند. مطمئنا امکاناتی را بر روی آن ایجاد کردهاند که برای ساخت وبسایتهای وردپرسی گزینه خوبی است.
۱۱- از ssl استفاده کنید
گواهینامه SSL که در واقع مخفف عبارت Secure Socket Layer است یک پروتکل امنیتی است. با استفاده از این پروتکل میتوانید در حین انتقال داده بین وبسایت خود و کاربران، ارتباطی ایمن برقرار کنید. این پروتکل قادر است تمامی اطلاعات در حال جابجایی را رمزگذاری کند که این امر احتمال فاش شدن اطلاعات را به صفر میرساند. برای مثال اگر وبسایت شما یک درگاه پرداخت آنلاین داشته باشد، وجود این پروتکل باعث میشود تا اطلاعات کارتهای کاربران و رمزهای آنها در امان بمانند. برای استفاده از این گواهینامه باید آن را از سرویس دهندههای معتبر تهیه کرده و بر روی وبسایت خود نصب کنید تا در حفظ امنیت وردپرس به شما کمک کند.
پیشنهاد ویژه
برای اینکه بتوانید گواهینامه SSL خود را راحتتر در وبسایت وردپرسی تایید کنید و ثبت نمایید میتوانید از افزونه Really Simple SSL کمک بگیرید.
۱۲- لینکهای ورودی را تغییر دهید
یکی از نقاط ضعف وردپرس که امنیت آن را در معرض خطر قرار میدهد، صفحه لاگین یا ورود آن است. بعد از ساخت وبسایت خود توسط این CMS یک صفحه ورود در اختیار شما قرار میگیرد که میتوانید به داشبورد خود دسترسی داشته باشید. متاسفانه لینک این صفحه برای تمامی وبسایتها یکی است با این تفاوت که دامین وبسایت مورد نظر متفاوت است و در انتها یک wp-admin اضافه شده و با آن به پیشخوان وردپرس منتقل میشویم. این امر باعث میشود که صفحه ورود شما قابل حدس و نفوذ باشد و افراد سودجو بتوانند به راحتی به آن دسترسی داشته باشند. به همین خاطر توصیه میکنیم لینک صفحه لاگین را برای بالا بردن امنیت وردپرس تغییر دهید.
پیشنهاد ویژه
برای حفظ امنیت در ورود به سایت حتما باید آدرس ورود به پیشخوان را تغییر دهید. برای این منظور بهتر است از افزونهای مانند Rename wp-login.php به صورت رایگان یا افزونه امنیت کامل استفاده کنید.
۱۳-همیشه بروز بمانید
همیشه گفتهایم بروز باشید. بروزرسانی وردپرس، افزونه وردپرس و قالب وردپرس را در اولویت کار خود قرار دهید. اگر از بروزرسانیهای به موقع غافل شوید دیگر تضمین نمیکنم وبسایت سالمی داشته باشید. به نظر شما چرا نسخههای جدید ارائه میشوند؟
به هزار و یک دلیل که یکی از برجستهترین آن حل باگها و مشکلات امنیتی در نسخه قبلی است. همین یک مورد میتواند به شدت برایتان ایجاد مشکل کند. پس لطفا آن را جدی بگیرید!
۱۴- از قالب و افزونههای مطمئن استفاده کنید.
چندی پیش یکی از دوستان صحبتی در مورد قالب و افزونه رایگان و پرمیوم میکرد و تمایل داشت تفاوت عمیقی در انتخاب قالب رایگان و پرمیوم ایجاد کند. بله تفاوت هست اما اینکه من بگویم قالبها و افزونههای رایگان به درد بخور نیستند، حرف اشتباهی است و هرگز تایید نمیکنم.
مخزن وردپرس خود نمونه عالی از افزونه و قالبهای رایگان و استاندارد است. فقط لطفا قالب و افزونه مورد نظر را همیشه تست کنید و بعد بر روی وبسایت خود نصب کنید. ممکن است عدم سازگاری و امنیت پایین شما را دچار مشکل کند.
همین که از مراجع رسمی دانلود خود را انجام دهید، بهترین کمک به سایت است.
۱۵- بکاپ گیری را فراموش نکنید.
امنیت هرگز ۱۰۰ درصد نیست و ممکن است به هر دلیلی سایت شما از دست برود، پس با داشتن یک بکاپ از اطلاعاتتان میتوانید از حفاظت اطلاعات و عدم از دست رفتن آن مطمئن شوید.
بک آپ گرفتن از اطلاعات یک راه ایمن برای حفط اطلاعات است که همیشه و تقریبا در اکثر مطالب به شما پیشنهاد میشود. چه یک وبسایت وردپرسی داشته باشید یا حتی اطلاعات موجود بر روی سیستم شخصی خود، بک آپ گرفتن منظم از اطلاعات باعث میشود احتمال از دست رفتن اطلاعات کاهش پیدا کند.
فراموش نکنید که شما نمیتوانید زمان دقیق یک حمله به وبسایت خود را حدس بزنید یا برای آن برنامه ریزی کنید. همین موضوع یک دلیل محکم برای این است که از اطلاعات موجود در دیتابیس خود، تنظیمات، محتوا، قالبها و پلاگینها در بازهی زمانی مشخص بک آپ بگیرید. برای ذخیره این اطلاعات میتوانید به سراغ فضاهای ابری مثل GoogleDrive و DropBox بروید. (زیرا سیستم شخصی شما هم ممکن است مورد حمله قرار بگیرد.)
البته میتوانید از افزونه های بکاپ اتوماتیک هم استفاده کنید. دانلود افزونه بکاپ حرفهای BackupBuddy
نتیجه گیری
برقراری امنیت کامل در وردپرس موضوع مهمی است که هرگز نباید از آن غافل شد، اما در این بین ممکن است اقدامات اشتباهی را برای حفظ ایمنی به کار بگیرید که ضررش به مراتب بیشتر از سودش باشد! لطفا احتیاط کنید. با دقت جلو بروید و از هیچ چیز هراس نداشته باشید.
در این مقاله سعی کردیم مختصر و کاملا مفید شما را در حفظ امنیت وردپرس یاری کنیم. امیدوارم از آن لذت برده باشید.
در ضمن منتظر نظرات و دیدگاهایتان در این زمینه هستیم.