وردپرسسایتسیستم مدیریت محتوا

۱۵ قدم ساده برای برقراری امنیت کامل در وردپرس

زمانی که سایت خود را با هر سیستمی راه اندازی کنید امنیت یکی از مهم‌ترین بخش‌های سایت شما خواهد بود چرا که باید بتوانید سایت خود را در برابر انواع حملات خطرناک محافظت کنید. سیستم مدیریت محتوای وردپرس هم از این قاعده مستثنی نیست و شما می‌توانید با انجام یکسری کارها امنیت سایت وردپرسی خود را افزایش دهید و مانع از هک وردپرس شوید. راهکارهایی که در این مقاله به شما ارائه می‌شوند جدا از افزونه‌های امنیتی وردپرس هستند، هر چند که افزونه‌ها قادر هستند امنیت ورپرس شما را بهبود ببخشند اما شما می‌توانید با انجام کارهایی که در این مطلب به آن اشاره می‌کنیم سطح امنیتی سایت خود را بالا و بالاتر ببرید.

جهت تاکید بیشتر عدم توجه به امنیت سایت یعنی اینکه باید آمادگی این را داشته باشید که سایت شما آسیب‌های جبران ناپذیری ببیند و زحمات خود را بر باد رفته ببینید. بنابراین استراتژی و راهکارهای گفته شده را ضمن بررسی، انجام دهید تا از هدر رفتن زحمات خود بر اثر باگ و مشکل امنیتی جلوگیری کنید. برای یک سفر امنیتی جذاب همراه ما باشید:

امنیت کامل در وردپرس

برای برقراری امنیت در وردپرس باید ۱۵ قدم ساده اما خیلی مهم را محکم برداریم و هیچ‌کدام را نادیده نگیریم. امروز در مورد موارد زیر با شما حرف خواهیم زد پس بدانید و آگاه باشید که :

لیست بالا مواردی است که دقیقا باید از آن‌ها بهره‌مند شوید و آن‌ها را برای امنیت کامل در وردپرس به کار ببرید. نگران نباشید هر کدام از موارد را به صورت جداگانه توضیح می‌دهیم.

۱- لطفا از نام کاربری admin استفاده نکنید

به این موضوع خوب فکر کنید. راحت‌ترین کاری است که می‌توانید برای برقراری امنیت کامل در وردپرس انجام دهید. نه نیاز به ابزاری است و نه نیاز به بررسی. تنها کافیست به جای اینکه نام کاربری پیش‌فرض وردپرس را استفاده کنید، خود نام کاربری مقاوم‌تری انتخاب کنید. این گزینه نیازمند هیچ هزینه‌ای نیست اما عدم رعایت آن می‌تواند برایتان هزینه سنگینی ایجاد کند! هرگز فراموش نکنید:

امنیت در مورد حذف خطر نیست، بلکه در مورد کاهش خطر است.

یک حساب کاربری برای خودتان ایجاد کنید زیرا زمانی که می‌خواهید در سایت، مطالبی بنویسید نام کاربری که همان ادمین است به کاربران نمایش داده می‌شود. پس یک نام کاربری دیگر به عنوان ویرایشگر بسازید و در هنگام نوشتن مطالب از آن استفاده کنید تا کسی در مورد اکانت کاربری مدیریت بویی نبرد.

۲- از پسوردهای سخت استفاده کنید

نکته‌ای که همیشه باید به خاطر داشته باشید: پیچیده، طولانی و یکتا بودن است.
وبسایتی مانند Lastpass امکان انتخاب پسوردهای قوی را به شما می‌دهد. البته کار پیچیده‌ای نیست و خودتان نیز به راحتی می‌توانید آن را برای برقراری امنیت کامل در وردپرس انتخاب کنید. ولی اگر دوست دارید از چنین سایتی نیز می‌توانید کمک بگیرید.

۳- از احراز هویت دو مرحله‌ای استفاده کنید

حتی اگر از نام کاربری و پسورد قوی استفاده می‌کنید، آگاه باشید که هنوز امکان خطر حملات Brute Force در کمین شماست!

ورود دو مرحله‌ای به این معناست که کاربر حتی بعد از وارد کردن پسورد در فیلد مورد نظر برای ورود باید یک مرحله دیگر هم طی کند و فقط دانستن پسورد کافی نیست. زمانی که این قابلیت را برای ورود به پنل وردپرس انتخاب می‌کنید یک کد از طریق ایمیل یا SMS برای کاربر ارسال خواهد شد که با وارد کردن و تایید آن می‌تواند به داشبورد وبسایت دسترسی داشته باشد. این راهکار شاید ساده به نظر برسد اما تاثیر بسزایی در بالا بردن امنیت وردپرس دارد.

۴- دسترسی سایت را به افراد مطمئن دهید

ممکن است وبسایتتان دارای چند نویسنده، مدیر، ویرایشگر و… باشد. این‌گونه کار شما در برقراری امنیت کامل در وردپرس سخت می‌شود. چرا؟
واضح است! آیا نسبت به تمامی افراد مطمئن هستید؟ هرگز نمی‌توان گفت بله. ممکن است افراد خودشان خطرناک باشند یا در بهترین حالت از اطلاعات کاربری قوی استفاده نکنند و وبسایت را به خطر بیندازند. برای جلوگیری از این مشکل باید چه کرد؟

  1. افرادی که مطمئن هستند را انتخاب کنید.
  2. دسترسی افراد را براساس عملکردی که دارند محدود کنید. این عملیات را می‌توان با کمک افزونه Advanced Access Manager انجام داد.

همچنین بخوانید: بهترین روش افزایش فالوور اینستاگرام

۵- پنهان کردن wp-config.php و htaccess.

یکی دیگر از روش‌های برقراری امنیت کامل در وردپرس، مخفی کردن همین دو فایل است. کار به ظاهر ساده‌ای است اما کمی اشتباه در انجام آن، می‌تواند وبسایتتان را از دسترس خارج کند. پس اول یک نسخه پشتیبان تهیه کرده و سپس عملیات را آغاز کنید. ناگفته نماند که افزونه Yoast SEO این کار را برایتان ساده‌تر می‌کند. برای این منظور به بخش ابزارها>> ویرایشگر فایل مراجعه کنید. در اینجا با فایل htaccess. مواجه می‌شوید. حال قطعه کد زیر را برای حفظ ایمنی بیشتر wp-config.php وارد کنید:

<Files wp-config.php> order allow,deny deny from all </Files>

همچنین برای محافظت از فایل htaccess. می‌توانید قطعه کد زیر را وارد کنید:

<Files .htaccess> order allow,deny deny from all </Files>

۶- استفاده از کلیدهای امنیتی وردپرس برای احراز هویت استفاده کنید

کلید‌های امنیتی وردپرس و احراز هویت در یک همکاری قدرتمند برای محافظت از کوکی‌ها و رمزهای عبور در بین مرورگر و وب‌سرور فعالیت می‌کنند. لطفا کلیدهای احراز هویت را با پسوردهای رندوم اشتباه نگیرید. این کلیدها وظیفه حفاظت و بهبود امنیت در برابر کوکی‌ها را برعهده دارند.
برای این منظور باید تغییراتی را در wp-config.php به کمک کلیدهای امنیتی انجام داد. برخی از آن‌ها به صورت زیر است:

 define('AUTH_KEY',         '-+[_ig?wETc;t3<!S#.aB`F4)qcO7Z1K1t>GR$Xzbh=HFD(|ZMS V}wN%[h[Kf|:`H'); define('SECURE_AUTH_KEY',  '-=,=ou;=z]6D`Vp510}n+X,>)&@e|O;EI#I1eTmdy}.{=NuZzW~^|W{0{i%@;A`c'); define('LOGGED_IN_KEY',    '(%0/c;f|7iGciA^;+yN&)6G?g+}|mFQ0J1qrs9{6UcQ5L8L9$6c_YQ6SP:%)3GL{'); define('NONCE_KEY',        '4_O}rtFl-Pq_Tp x0RLsOY+wQGTeA[hy~P;~-Lg]+{sfNsY^G{[O2Xg4`-l;$m-='); define('AUTH_SALT',        'Z!>bOhFB2i~P%r$LC[sc- ^-u&>eF>A-QhWQ@ygrL^5lN@2@29t+d#rz~:F!cpw1'); define('SECURE_AUTH_SALT', ',UN9qIyGatT&)%pj=|*StP?aabOL*Jl.L-3_31|u?#iO8nC^nNT/3DF<>~x^CSRf'); define('LOGGED_IN_SALT',   '3vfbS2m}2],UO<c,;==f9a` *k%{jUny=kGmeB/[*[OwtY2Emmw?Afn%2?7_bF5Z'); define('NONCE_SALT',       'L@::-KC3O=pg;Dm+66Osgph(@@uR^lDw[wu0qk/-CP.SblVO@Oyv`L=+yYQF2cJ-');

می‌توانید آن‌ها را در wp-config.php اضافه کنید.
هشدار: کدهای بالا را با تغییراتی در عبارت‌های موجود، تغییر دهید.

۷- غیرفعال کردن ویرایشگر فایل

یکی دیگر از روش‌های برقراری امنیت کامل در وردپرس، غیرفعال کردن حالت ویرایشگر در وردپرس است. چنانچه هکر به وردپرس نفوذ کند به راحتی می‌تواند از بخش نمایش>> ویرایشگر به کدهای وبسایتتان دسترسی یافته و آن را دچار خرابی یا تغییر کند. برای این منظور باید این بخش را غیرفعال کرد. برای این منظور لطفا قطعه کد زیر را در فایل wp-config.php وارد کنید:

define('DISALLOW_FILE_EDIT', true);

از این پس لطفا تغییرات خود را به کمک FTP یا وارد شدن به هاست، انجام دهید. و قید این بخش را بزنید!

۸- ایجاد محدودیت در وارد شدن به سایت

یکی دیگر از حملاتی که Brute Force در آن نقش پر رنگی دارد، تلاش در وارد شدن به پنل ادمین است. آنقدر نام کاربری و پسورد را وارد می‌کند تا بالاخره وارد شود. برای مقابله با این مشکل و برقراری امنیت کامل در وردپرس دو روش را پیشنهاد می‌کنم:

یک – تغییر آدرس پیش‌فرض برای ورود به پیشخوان وردپرس که با کمک افزونه Protect WP admin .
دو – ایجاد محدودیت در تلاش برای وارد شدن به سایت. این اقدام نیز با کمک بعضی افزونه‌های امنیتی امکان‌پذیر است که یکی از آن‌ها افزونهBrute Force Login Protection است.

۹- استفاده از XML-RPC

XML-RPC یک برنامه رابط کاربری یا API است که ایجاد آن برای مدتی طول کشید و توسط تعدادی افزونه و قالب استفاده می‌شود. البته باید تکنیک‌های فنی زیادی را در استفاده از آن رعایت کرد تا با خطرات امنیتی مواجه نشویم. پس اگر از افزونه‌های این چنینی استفاده می‌کنید، لطفا حواستان را جمع کنید و با تسلط کامل از آن بهره‌مند شوید.

۱۰- انتخاب هاست ایمن برای وردپرس

در برقراری امنیت کامل در وردپرس، هرگز قدرت هاست را دست کم نگیرید. می‌دانم که ممکن است برای هزینه‌های بالایی که با آن مواجه می‌شوید یک هاست معمولی را انتخاب کنید، اما اگر به پیامدهای آن فکر کنید مطمئنا این هزینه اولیه را متحمل می‌شوید.
در کنار انتخاب هاست قدرتمند، استفاده از هاستی که برای وردپرس مناسب باشد به مراتب بهتر است. اکثر شرکت‌های معتبر ارائه دهنده هاست، پلنی را به عنوان هاست وردپرس دارند. مطمئنا امکاناتی را بر روی آن ایجاد کرده‌اند که برای ساخت وبسایت‌های وردپرسی گزینه خوبی است.

۱۱- از ssl استفاده کنید

گواهی‌نامه SSL که در واقع مخفف عبارت Secure Socket Layer است یک پروتکل امنیتی است. با استفاده از این پروتکل می‌توانید در حین انتقال داده بین وبسایت خود و کاربران، ارتباطی ایمن برقرار کنید. این پروتکل قادر است تمامی اطلاعات در حال جابجایی را رمزگذاری کند که این امر احتمال فاش شدن اطلاعات را به صفر می‌رساند. برای مثال اگر وبسایت شما یک درگاه پرداخت آنلاین داشته باشد، وجود این پروتکل باعث می‌شود تا اطلاعات کارت‌های کاربران و رمزهای آن‌ها در امان بمانند. برای استفاده از این گواهی‌نامه باید آن را از سرویس‌ دهنده‌های معتبر تهیه کرده و بر روی وبسایت خود نصب کنید تا در حفظ امنیت وردپرس به شما کمک کند.

پیشنهاد ویژه

برای اینکه بتوانید گواهینامه SSL خود را راحت‌تر در وبسایت وردپرسی تایید کنید و ثبت نمایید می‌توانید از افزونه Really Simple SSL کمک بگیرید.

۱۲- لینک‌های ورودی را تغییر دهید

یکی از نقاط ضعف وردپرس که امنیت آن را در معرض خطر قرار می‌دهد، صفحه لاگین یا ورود آن است. بعد از ساخت وبسایت خود توسط این CMS یک صفحه ورود در اختیار شما قرار می‌گیرد که می‌توانید به داشبورد خود دسترسی داشته باشید. متاسفانه لینک این صفحه برای تمامی وبسایت‌ها یکی است با این تفاوت که دامین وبسایت مورد نظر متفاوت است و در انتها یک wp-admin اضافه شده و با آن به پیشخوان وردپرس منتقل می‌شویم. این امر باعث می‌شود که صفحه ورود شما قابل حدس و نفوذ باشد و افراد سودجو بتوانند به راحتی به آن دسترسی داشته باشند. به همین خاطر توصیه می‌کنیم لینک صفحه لاگین را برای بالا بردن امنیت وردپرس تغییر دهید.

پیشنهاد ویژه

برای حفظ امنیت در ورود به سایت حتما باید آدرس ورود به پیشخوان را تغییر دهید. برای این منظور بهتر است از افزونه‌ای مانند Rename wp-login.php به صورت رایگان یا افزونه امنیت کامل  استفاده کنید.

۱۳-همیشه بروز بمانید

همیشه گفته‌ایم بروز باشید. بروزرسانی وردپرس، افزونه وردپرس و قالب وردپرس را در اولویت کار خود قرار دهید. اگر از بروزرسانی‌های به موقع غافل شوید دیگر تضمین نمی‌کنم وبسایت سالمی داشته باشید. به نظر شما چرا نسخه‌های جدید ارائه می‌شوند؟
به هزار و یک دلیل که یکی از برجسته‌ترین آن حل باگ‌ها و مشکلات امنیتی در نسخه قبلی است. همین یک مورد می‌تواند به شدت برایتان ایجاد مشکل کند. پس لطفا آن را جدی بگیرید!

۱۴- از قالب و افزونه‌های مطمئن استفاده کنید.

چندی پیش یکی از دوستان صحبتی در مورد قالب و افزونه رایگان و پرمیوم می‌کرد و تمایل داشت تفاوت عمیقی در انتخاب قالب رایگان و پرمیوم ایجاد کند. بله تفاوت هست اما اینکه من بگویم قالب‌ها و افزونه‌های رایگان به درد بخور نیستند، حرف اشتباهی است و هرگز تایید نمی‌کنم.
مخزن وردپرس خود نمونه عالی از افزونه و قالب‌های رایگان و استاندارد است. فقط لطفا قالب و افزونه مورد نظر را همیشه تست کنید و بعد بر روی وبسایت خود نصب کنید. ممکن است عدم سازگاری و امنیت پایین شما را دچار مشکل کند.
همین که از مراجع رسمی دانلود خود را انجام دهید، بهترین کمک به سایت است.

خرید قالب و افزونه معتبر

۱۵- بکاپ گیری را فراموش نکنید.

امنیت هرگز ۱۰۰ درصد نیست و ممکن است به هر دلیلی سایت شما از دست برود، پس با داشتن یک بکاپ از اطلاعاتتان میتوانید از حفاظت اطلاعات و عدم از دست رفتن آن مطمئن شوید.

بک آپ گرفتن از اطلاعات یک راه ایمن برای حفط اطلاعات است که همیشه و تقریبا در اکثر مطالب به شما پیشنهاد می‌شود. چه یک وبسایت وردپرسی داشته باشید یا حتی اطلاعات موجود بر روی سیستم شخصی خود، بک آپ گرفتن منظم از اطلاعات باعث می‌شود احتمال از دست رفتن اطلاعات کاهش پیدا کند.

فراموش نکنید که شما نمی‌توانید زمان دقیق یک حمله به وبسایت خود را حدس بزنید یا برای آن برنامه ریزی کنید. همین موضوع یک دلیل محکم برای این است که از اطلاعات موجود در دیتابیس خود، تنظیمات، محتوا، قالب‌ها و پلاگین‌ها در بازه‌ی زمانی مشخص بک آپ بگیرید. برای ذخیره این اطلاعات می‌توانید به سراغ فضاهای ابری مثل GoogleDrive و DropBox بروید. (زیرا سیستم شخصی شما هم ممکن است مورد حمله قرار بگیرد.)

البته میتوانید از افزونه های بکاپ اتوماتیک هم استفاده کنید. دانلود افزونه بکاپ حرفه‌ای BackupBuddy

نتیجه گیری

برقراری امنیت کامل در وردپرس موضوع مهمی است که هرگز نباید از آن غافل شد، اما در این بین ممکن است اقدامات اشتباهی را برای حفظ ایمنی به کار بگیرید که ضررش به مراتب بیشتر از سودش باشد! لطفا احتیاط کنید. با دقت جلو بروید و از هیچ چیز هراس نداشته باشید.
در این مقاله سعی کردیم مختصر و کاملا مفید شما را در حفظ امنیت وردپرس یاری کنیم. امیدوارم از آن لذت برده باشید.
در ضمن منتظر نظرات و دیدگاهایتان در این زمینه هستیم.

4.7/5 - (7 امتیاز)

top10review

تمام تلاش تاپ تن اینه که با بررسی و معرفی بهترین محصولات و خدمات به شما برای زندگی بهتر و کاهش هزینه ها کمک کنه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید
بستن
دکمه بازگشت به بالا