مرجع ابزار وردپرس و تبلیغات کلیکی

Û²Ûµ نکته طلایی برای ایجاد امنیت کامل در وردپرس - لایت کلیک

همیلتون : بر روی زمین چیزی بزرگتر از انسان نیست و در انسان چیزی بزرگتر از فکر او.
دوشنبه ۲۵ شهریور ۱۳۹۸


امنیت کامل در وردپرس

سلام دوستان؛
در عصر حاظر وجود وب‌سایت برای هر کسب‌و‌کاری لازم و ضروری است. وردپرس با �راهم آوردن محیط کار ساده و در عین حال بسیار کار آمد، نظر اکثر مدیران کسب‌و‌کار را به خود جلب کرده است. اما این استقبال گسترده از وردپرس برای راه‌اندازی وب‌سایت باعث شده تا نظر هکر‌ها نیز برای به چالش کشیدن آن جلب شود. بنابراین یکی از مهم‌ترین مسائل در سایت‌های وردپرسی بهبود مستمر امنیت آن است. مدیران وب‌سایت‌ها باید همواره در تلاش باشند تا امنیت وردپرس خود را ا�زایش دهند.

در این آموزش از وردپرس یاد قصد داریم درباره راهکار‌های ا�زایش امنیت در وردپرس صحبت نماییم.

چرا باید به �کر ا�زایش امنیت وردپرس باشیم؟

اگر به �کر ارتقا امنیت وردپرس خود نباشید، سایت شما در مقابل کوچکترین حمله هکر‌ها آسیب‌پذیر بوده و هکرها نیز �رصت خوبی پیدا می‌کنند تا اطلاعات کاربران شما را به سرقت برده و از آن سو‌ءاست�اده نمایند. در مواردی نیز ممکن است هکر کنترل کامل وب‌سایت وردپرسی شما را در دست گیرد و جهت بازگرداندن دوباره آن درخواست هزینه بسیار زیادی را نماید. هک وب‌سایت شما علاوه‌بر موارد بالا آسیب جدی به کسب‌و‌کار، اعتماد کاربران و شهرت شما وارد می‌کند.

ایجاد امنیت کامل در وردپرس با چند اقدام ساده

امنیت کامل وردپرس

برای ایجاد امنیت در سایت وردپرسی نیاز است تمامی مراحل زیر را با دقت انجام دهید تا سایت خود را در برابر حملات هکرها ایمن نگه‌ دارید تا �رصت کمتری برای حمله و ن�وذ پیدا کنند.

 نکته: امنیت صر�ا برای ر�ع خطا نیست بلکه گاهی برای کاهش خطا در سایت وردپرسی است.

۱- بروزرسانی مداوم وردپرس

وردپرس یک سیستم مدیریت محتوای محبوب بوده و به طور مداوم بروزرسانی می‌شود و با ارائه نسخه جدید ایرادات و مشکلات نسخه قبلی وردپرس برطر� می‌شود. همچنین امنیت این نسخه نسبت به سایر نسخه‌های قدیمی بالاتر است. در صورت وجود مشکل امنیتی در نسخه گ�ته شده، سریعا مشکل توسط توسعه‌دهندگان وردپرس برطر� و نسخه جدید منتشر می‌شود.

امنیت کامل وردپرس

۲- بروزرسانی ا�زونه و قالب وردپرس

با بروزرسانی مداوم قالب و ا�زونه‌های سایت  خود، از آسیب و مشکلات امنیتی وردپرس جلوگیری نمایید. همچنین اگر از ا�زونه‌ای در حال حاضر است�اده نمی‌کنید آن را �علا حذ� کنید.

امنیت کامل وردپرس

برای اطلاع از بروزرسانی ا�زونه‌ها، از بخش ا�زونه‌ها > ا�زونه‌های نصب شده، ا�زونه‌ای را که نیاز به آپدیت دارد را مشاهده کنید.

۳- است�اده از نام‌کاربری و رمزعبور قوی و پیچیده

است�اده نکردن از نام کاربری پیش‌�رض وردپرس

بسیاری از کاربران وقتی سایت وردپرسی خود را راه‌اندازی می‌کنند. نام‌کاربری پیش‌�رض وردپرس یعنی admin را تغیییر نمی‌دهند. امروزه اغلب هکر‌ها اولین نام‌کاربری که به ذهنشان خطور می‌کند، نام‌کاربری پیش‌�رض وردپرس است. پس توصیه می‌شود حتما برای امنیت وب‌سایت خود از نام‌کاربری دیگری است�اده کنید.

 نکته: بهترین نام‌کاربری در وردپرس آدرس ایمیل شما است. همچنین بهتر است با حر� بزرگ، یوزرنیم خود را آغاز کنید.

امنیت کامل وردپرس

است�اده از رمز عبور قوی

برای اÙ�زایش امنیت صÙ�حه ورود وردپرس از رمز‌عبور قوی استÙ�اده کنید. یکی از عواملی Ú©Ù‡ می‌تواند در کاهش امنیت سایت شما تاثیر منÙ�ÛŒ بگذارد، رمز عبور است. اغلب هکرها رمز‌ عبور سست را زود تشخیص داده Ùˆ به‌راحتی وارد سایت شما می‌شوند. برای جلوگیری از این‌ ضعÙ� امنیتی ابتدا باید رمزعبور قوی ایجاد کنید Ú©Ù‡ این رمز عبور باید تصادÙ�ÛŒ Ùˆ متشکل از کاراکتر، عدد، حروÙ� بزرگ، Ú©ÙˆÚ†Ú© با حداقل Û±Ûµ کاراکتر باشد. سپس رمز عبور خود را مانند نام‌کاربری در جایی امن Ùˆ دور از دسترس دوست، Ù�امیل Ùˆ…. قرار دهید. باید به طور مداوم رمز عبور خود را تغییر دهید تا هکران Ù�رصت کمتری برای حدس رمزعبور پیدا کنند.

 نکته: به کمک سایت lastpass می‌توانید رمز عبور قوی برای خود ایجاد و ذخیره کنید.

۴- است�اده از احراز هویت

یکی از اقدامات خوب امنیتی غیر از نام‌کاربری و رمزعبور قوی، است�اده از احراز هویت است. به کمک احراز هویت می‌توانید از وب‌سایت خود در برابر ن�وذ هکر‌ها محا�ظت کنید و امنیت سایت وردپرسی خود را ا�زایش دهید.

۵- محدود کردن دسترسی کاربر به سایت

برای جلوگیری از هک و به خطر ا�تادن امنیت وردپرس بهترین راه‌ این است که تمامی کسانی که به سایت شما دسترسی دارند نقش مدیرکل ندهید و با توجه به وظای� آن‌ها دسترسی‌های لازم را دهید حتی اگر بهترین دوست شما باشد.

نقش کاربران در سایت وردپرسی
برای تغییر نقش نیاز است به بخش کاربران در پیشخوان وردپرس خود مراجعه کنید Ùˆ به‌جای نقش مدیرکل از  نویسنده، ویرایشگر Ùˆ … استÙ�اده کنید.

توجه: به‌یاد‌ داشته باشید که برای کاربران خود حتما از رمز‌عبور قوی است�اده کنید تا امنیت وردپرس به خطر نی�تد.

۶- است�اده از سوالات امنیتی در ص�حه ورود سایت

مورد دیگری که در ا�زایش امنیت ص�حه ورود وردپرس بسیار موثر است است�اده از سوالات امنیتی می‎باشد. با اضا�ه کردن سوالات امنیتی در ص�حه ورود سایت خود می‌توانید از دسترسی داشتن ا�راد غیرمجاز به ص�حه ورود جلوگیری کنید. با کمک ا�زونه WP Security Questions plugin می‌توانید سوالات امنیتی ایجاد کنید.

سوالات امنیتی وردپرس

۷- پیغام خطا ورود را تغییر دهید

امنیت کامل وردپرس

به‌طور پیش‌Ù�رض اگر کاربری وارد سایت شما شود Ùˆ اطلاعاتی مثل رمزعبور Ùˆ یا نام‌کاربری را اشتباه وارد کند، وردپرس دقیقا اشتباه را خواهد Ú¯Ù�ت Ùˆ این برای امنیت وردپرس شما اصلا خوب نیست. بهتر است کد زیر را در function.php قرار دهید تا کاربران در صورت اشتباه وارد کردن رمزعبور، “پیغام اطلاعات نادرست است” دریاÙ�ت کند.

Function custom _ wordpress _ error _ message() 
	return 'That was not quite correct...';

add _filter( 'login _errors', 'custom _ wordpress _ error _message');

۸- اضا�ه کردن کلید امنیتی

کلید امنیتی اطلاعاتی که درون کوکی مرورگر ذخیره می‌شود را رمزگذاری می‌کند. به‌طور واضح‌تر یعنی از اطلاعات حساس و رمزعبور محا�ظت می‌کند و در wp-config.php ذخیره می‌شود.

define('AUTH_KEY', 'عبارت منحصر‌به‌�رد خود را در این قسمت قرار دهید')
define('SECURE_AUTH_KEY', 'عبارت خود را وارد کنید')
define('LOGGED_IN_KEY', 'عبارت مورد‌نظر خود را وارد کنید')
define('NONCE_KEY', 'عبارت خود را وارد کنید')
define('AUTH_SALT', 'عبارت خود را وارد کنید')
define('SECURE_AUTH_SALT', 'عبارت خود را وارد کنید')
define('LOGGED_IN_SALT', 'عبارت خود را وارد کنید')
define('NONCE_SALT', 'عبارت خود را وارد کنید')

برای اضا�ه کردن کد امنیتی تنها لازم است وارد wp-config.php شوید و کلید امنیتی خود را مانند شکل زیر اضا�ه کنید.


define('AUTH_KEY',         'yny7Q.j5* dV=[|3J7n`UoO]u`M+MuKfW+v2 +`bH ?N|D*tvY[K&$u+&jcFd,7$');
define('SECURE_AUTH_KEY',  'en,0FE-]:wdv]5Y5-7H7bUqMaE5_#Z.X+d-(Qssj8`x.*JB2#47J;]xSEC8g7>3d');
define('LOGGED_IN_KEY',    'x0z9a&TY*_o]$ds@lU5W6Ev<`on4|L.31/l#3EmRuJub%mNaEf9&e^)g-VF~+>p');
define('NONCE_KEY',        'eqPhCty$qKj-5g6Gp$C8(U7PNe]a/`=Fx<-G6dzq5;nHBy$B<Wr+ql?c I)Qn4q4');
define('AUTH_SALT',        'zDIo=3[Y2rJS=;Pm-|i(o6A0vH[?TZ@.<^(;6oi6uR+.'); define('NONCE_SALT', 'XuJlf5 CEoT$m;JVe@dhR%>f `mY>#D`JalQm_<4O+d63Kp=-s5j`<*f-O2y#');

۹- بک‌آپ گیری و پشتیبانی مداوم از سایت وردپرس

بک‌آپ گیری از وب‌سایت اولین راه‌ برای مقابله در برابر حملات و ح�ظ امنیت وردپرس می‌باشد. بهتر است به‌طور مرتب از وب‌سایت وردپرسی خود پشتیبان بگیرید که این‌کار هم به صورت دستی و هم به کمک ا�زونه‌های رایگان و پولی انجام می‌شود. در صورت وجود مشکل در ا�زونه، قالب و یا حتی آپدیت وردپرس به کمک بک‌آپ‌گیری می‌توانید تمامی اطلاعات سایت‌وردپرسی خود را بدون وجود مشکلی بازگردانید.

امنیت کامل وردپرس

 نکته: وقتی از سایت وردپرس خود بک‌آپ گرÙ�تید آن را در جایی امن مانند ابزار  Dropbox ØŒ Ú¯ÙˆÚ¯Ù„ درایو یا آمازون Ùˆ… قرار دهید.

 نکته: برای بک‌آپ‌گیری از سایت خود می‌توانید از ا�زونه‌هایی مانند Updraft Plus و یا BakupBuddy است�اده کنید.

علت پشتیبان‌گیری از وب‌سایت

  • ایجاد مشکل در اثر بروزرسانی‌ها
  • وجود نقص امنیتی
  • Ù‡Ú© شدن
  • وب‌سرور نا‌امن
  • Ùˆ ….

۱۰- است�اده از ا�زونه‌های ا�زایش امنیت وردپرس

پس از پشتیبان‌گیری، برای Ø­Ù�اظت از وب‌سایت، نظارت کامل بر روی سایت‌ وردپرسی مانند تمام Ù�ایل‌ها، تلاش برای ورود به سیستم Ùˆ اسکن بداÙ�زار‌ها Ùˆ … نیاز به اÙ�زونه امنیتی خوب است Ú©Ù‡ اÙ�زونه sucuri scannerØŒ ithemes Ùˆ یا wordfence از بهترین اÙ�زونه‌های برقراری امنیت در وردپرس است.

۱۱- محدود کردن دسترسی به �ایل‌های  PHP

برای ا�زایش امنیت وردپرس خود می‌توانید دسترسی کاربران به �ایل‌های PHP را محدود کنید و با اضا�ه کردن کد زیر از کد‌های PHP  خود محا�ظت کنید.

RewriteCond %REQUEST_URI !^/wp-content/plugins/file/to/exclude.php
RewriteCond %REQUEST_URI !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %REQUEST_URI !^/wp-content/themes/file/to/exclude.php
RewriteCond %REQUEST_URI !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]

۱۲- جلوگیری از اجرا شدن �ایل‌های PHP

برای جلوگیری از اجرا شدن �ایل‌های PHP به پوشه uploades در مسیر wp-content/uploades مراجعه کرده و کد زیر را وارد کنید تا به هکرها اجازه اجرا کردن کد‌های مخرب را ندهد.

<Directory "/var/www/wp-content/uploads/">
    <Files "*.php">
    Order Deny,Allow
    Deny from All
    </Files>
</Directory>

و یا کد زیر را قرار دهید:

deny from all

سپس این �ایل را تحت عنوان htaccess ذخیره کنید و آن را در wp-content/uploads/folders آپلود کنید.

۱۳- ح�اظت از wp-config.php

یکی از مهم‌ترین �ایل‌های آسیب‌پذیر در وب‌سایت شما �ایل wp-config.php است که اطلاعات مهم در هنگام نصب وردپرس را در خود نگه‌داری می‌کند. برای ح�اظت از این �ایل بهتر است جای آن را عوض کنید تا هکرها این �ایل را پیدا نکنند و امنیت وردپرس شما به مشکل نخورد.

۱۴- غیر�عال‌سازی ویرایشگر �ایل  وردپرس

اگر کاربران به داشبورد دسترسی داشته باشند قادر به ویرایش �ایل‌های ا�زونه، قالب روی وردپرس هستند ولی اگر ویرایش �ایل را غیر�عال کنید حتی اگر هکر دسترسی مدیر هم داشته باشد نمی‌تواند آن را ویرایش کند. برای این‌کار نیاز است وارد �ایل wp-config.php شوید و کد زیر را وارد کنید.

define (DISALLOW_FILE_EDIT,'true');

۱۵- تغییر URL وب‌سایت وردپرسی

همانطور که می‌دانید برای ورود به ص�حه وردپرس می‌توانید از طریق wp-login.php و یا wp-admin که پیش‌�رض وردپرس است است�اده کنید ولی برای جلوگیری از حملات هکر‌ها، جلوگیری از ورود ا�راد غیرمجاز می‌توانید آدرس url خود را تغییر دهید. به طور مثال:

  • wp-login.php به چیز خاصی مانند my-new-login
  • wp-admin به مورد منحصربه Ù�ردی مثل my-new-admin
  • Ùˆ …

۱۶- ح�اظت از پوشه wp-admin

یکی از بخش‌های جذاب از دید هکرها بخش داشبورد وردپرس شما است. اگر هکر به این بخش حمله کند به سایت وردپرسی شما آسیب جدی وارد می‌شود پس باید از آن با روش‌های زیر ح�اظت کنید:

  • Ø­Ù�اظت از صÙ�حه ورود به سیستم
  • محدود کردن دسترسی کاربران
  • Ùˆ …(بازدید شود از سایت)

۱۷- حذ� نسخه وردپرس است�اده شده

هرکسی وارد سایت وردپرسی شما شود می‌تواند به راحتی نسخه وردپرسی که است�اده می‌کنید را مشاهده کند. پس بهتر است برای جلوگیری از حمله هکرها، نسخه وردپرس خود را مخ�ی کنید. برای مخ�ی کردن آن ا�زونه‌های زیادی وجود دارد ولی اگر قصد دارید به‌صورت دستی این‌کار را انجام دهید کا�ی است کد زیر را در function.php قرار دهید:

// حذ� نسخه وردپرس از head
remove_action('wp_head', 'wp_generator');

// حذ� نسخه وردپرس از rss
add_filter('the_generator', '__return_empty_string');

// حذ� نسخه وردپرس از Script و Styles
function shapeSpace_remove_version_scripts_styles($src) 
	if (strpos($src, 'ver=')) 
		$src = remove_query_arg('ver', $src);
	
	return $src;

add_filter('style_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);

۱۸- انتخاب میزبان مناسب برای وب‌سایت

سرویس میزبانی هاست نقش بسیار مهمی در امنیت سایت وردپرسی شما دارد. با انتخاب درست هاست، می‌توانید از سرور در برابر تهدید هکر‌ان محا�ظت کنید. در نتیجه هاست مناسب را از شرکت‌های معتبر تهیه کنید. امکانات یک میزبان مناسب به صورت زیر است:

  • بک‌آپ‌گیری از سایت به‌طور خودکار
  • بروزرسانی خودکار وردپرس
  • تنظیمات امنیتی پیشرÙ�ته برای Ø­Ù�اظت از سایت
  • Ùˆ …

۱۹- �عال کردن �ایروال و اسکن امنیتی (WAF)

ساده‌ترین راه برای ح�اظت از وب‌سایت و ا�زایش امنیت وردپرس، WAF است که می‌تواند ترا�یک‌های مخرب را قبل از رسیدن به وب‌سایت متوق� کند. بهترین ا�زونه‌های رایگان برای �ایروال wordfence، ithemes و sucuri است.

امنیت کامل وردپرس

۲۰- دانلود پلاگین، وردپرس، قالب از منابع شناخته شده

یکی ازمشکلات اغلب کاربران این است که ا�زونه‌های سایت خود را از منابع نامعتبر تهیه می‌کنند و با مشکلات زیادی مواجه می‌شوند. پس اگر قصد دارید ا�زونه‌ای را بر روی سایت خود نصب کنید از مخزن وردپرس و یا سایت‌های معتبر اقدام کنید.

 نکته: �راموش نکنید بک‌آپ را قبل از نصب یا بروزرسانی هر �ایل در وردپرس خود بگیرید تا در صورت مشکل بتوانید اطلاعات خود را بازگردانید.

۲۱- محدودکردن ورود بیش‌از‌حد به وب‌سایت

یکی از بهترین راه‌ها برای ا�زایش امنیت وردپرس محدود کردن دسترسی ا�راد به سایت است. همانطور که می‌دانید وردپرس به‌طور پیش‌�رض امکان وارد کردن چندین بار رمز و نام‌کاربری را به کاربران می‌د‌هد. ولی ممکن است هکری وارد سایت شما شود و با چندین بار امتحان، رمز و نام‌کاربری کاربران شما را حدس بزند و به سایت شما آسیب وارد کنند.
برای جلوگیری از این‌کار لازم است تلاش برای ورود کاربران به سایت را محدود کنید. که با کمک ا�زونه �ایروال و در غیر این صورت ا�زونه Login Lockdown این‌کار به سادگی انجام می‌شود.

۲۲- تغییر پیشوند پایگاه داده وردپرس

وردپرس به‌طور پیش‌Ù�رض از پیشوند wp برای جداول دیتابیس وردپرس خود استÙ�اده می‌کند ولی در نظر داشته باشید Ú©Ù‡ استÙ�اده از این پیشوند باعث می‌شود هکرها به آسانی نام جدول شما را حدس بزنند Ùˆ حملات SQL رخ دهد. پس برای بهبود امنیت سایت بهتر است آن‌را به mywpØŒ wpnew Ùˆ … تغییر دهید.

 نکته: اگر با مهارت کدنویسی آشنایی ندارید، این قسمت را دستکاری نکنید زیرا ممکن است سایت شما به مشکل برخورد.

۲۳- است�اده از SSL در وردپرس

به کمک SSL می‌توانید اطلاعات بخش مدیریت خود را رمز‌گذاری کنید و از پنل مدیریت خود محا�ظت کنید. SSL علاوه بر ا�زایش امنیت وردپرس، باعث ا�زایش رتبه‌بندی گوگل هم می‌شود.

 نکته: گوگل به سایت‌هایی که از گواهی SSL  است�اده می‌کنند ارادت زیادی دارد. داشتن این گواهی، به بهبود رتبه‌بندی سایت شما در گوگل بسیار کمک می‌کند و باعث می‌شود تا ترا�یک بیشتری دریا�ت کنید. حالا اگر دوست داشتید است�اده نکنید. 😆

۲۴- غیر�عال کردن XML-PRC در وردپرس

XML-PRC به‌طور پیش‌�رض بر روی وردپرس �عال است و به شما این امکان را می‌دهد تا سایت خود را به تل�ن‌همراه و یا هر برنامه دیگری متصل کنید.
�رض کنید هکری قصد دارد ۵۰۰ بار رمزعبور مت�اوتی را در وب‌سایت شما امتحان کند یعنی ۵۰۰ بار تلاش مجدد برای ورود به سایت که توسط ا�زونه‌های ورود به سیستم ق�ل می‌شود ولی با کمک XML-PRC یک هکر می‌تواند از توابع System.multicall برای تست رمز عبور ۲۰ یا ۵۰ درخواست به سایت ارسال کند. پس اگر از XML-PRC است�اده نمی‌کنید توصیه می‌شود آن را غیر�عال کرده و امنیت وردپرس خود را ح�ظ کنید.

۲۵- خروج خودکار کاربران را بعد از مدت زمان مشخص از سایت

گاهی اوقات وقتی کاربران وارد سایت وردپرسی شما می‌شوند. پس از مدت زمان کوتاهی کامپیوتر خود را ترک می‌کنند که این یک مشکل بزرگ امنیتی است. در این زمان سودجویان از �رصت است�اده می‌کنند و در بهترین‌ حالت رمز عبور سایت کاربر را تغییر می‌دهند و در غیر این صورت تغییراتی در حساب کاربر ایجاد می‌کنند.
بهترین کار ممکن این است که بعد از چند دقیقه، کاربر به‌طور خودکار از سایت خارج شود تا مشکلات امنیتی کاهش یابد که با کمک ا�زونه Idle User Logout این‌کار به آسانی انجام می‌شود.

بازسازی سایت وردپرس هک شده

کاربران وردپرس بک‌آپ‌گیری از سایت را تا زمانی که سایت وردپرسی‌شان هک نشده جدی نمی‌گیرند. بازگردانی یک سایت هک شده کار بسیار سخت و پیچیده‌ای است و بهتر است به �ردی حر�ه‌ای این‌کار واگذار کنید تا هکر‌ها مجددا نتوانند وارد سایت شما شوند.

جمع بندی نهایی

همانطور که متوجه شدید ا�زایش امنیت وردپرس بسیار پر‌اهمیت است و همواره هکرها سعی در ن�وذ سایت شما دارند و اگر به طور مرتب از سایت خود بک‌آپ نگیرید ممکن است مشکلات غیرقابل جبرانی برای سایت شما ات�اق بی�تد.

امیدوارم از این آموزش راضی بوده باشید. لطÙ�ا نظرات خود را با ما در میان بگذارید…

نوشته ۲۵ نکته طلایی برای ایجاد امنیت کامل در وردپرس اولین بار در وردپرس یاد. پدیدار شد.

چه امتیازی می دهید؟
5 / 0
[ 0 رای ]


دسته بندی

مطالب محبوب