امنیت وردپرس در 10 مرحله

سعید حسنی

سعید حسنی

-

آپدیت شده در 25 فروردین 1399

اگر تا بحال برای امنیت وب سایت وردپرسی خود اقدامی نکردید پس عجله کنید. همانگونه که فناوری وب سایت ها روز به روز قوی تر، زیباتر و کاربردی تر می شود. انگیزه هکر ها نیز افزایش پیدا می کند. فقط کافیست چند اصول ساده را رعایت کنید، دراین مقاله یاد میگیریم که چطور در 10 مرحله امنیت وب سایت وردپرسی خود را تامین کنیم.

1 - از نام کاربری admin استفاده نکنید

نام کاربری admin آسان ترین و قابل پیش بینی ترین نام کاربری در وردپرس می باشد. بیش ترین حملاتی که به وب سایت های وردپرسی صورت میگیرد از همین طریق می باشد. با قرار ندادن نام کاربری admin و administrator می توانید اولین قدم خود را در جهت بهبود امنیت وب سایت خود بردارید. 

2 - یک حساب کاربری ویرایشگر ایجاد کنید

هنگامی که قصد دارید نوشته های خود را ویرایش و یا نوشته ای اضافه کنید یک حساب کاربری با دسترسی ویرایشگر اضافه کنید و از همین طریق اقدام به ویرایش و یا افزودن نوشته خود کنید. فقط توجه داشته باشید که نام نویسنده در انتهای نوشته شما قابل مشاهده می باشد و اگر نام نویسنده با نام کاربری ادمین شما یکی باشد اینجا باید گفت که خودتونو به راحتی به هکر ها معرفی دارید میکنید.
برای حل این مشکل فقط کافیست یک نام کاربری منحصر به فرد ساخته که فقط اجازه ویرایش و افزودن نوشته را داشته باشید. هر گاه قصد دارید که به وب سایت خود نوشته ای اضافه کنید از این حساب کاربری خود استفاده کنید.

3 - از یک رمز عبور قوی استفاده کنید

یک رمز عبوری باید پیچیده، طولانی و منحصر به فرد باشد. ختم کلام! 
با استفاده از حروف بزرگ و کوچک و به کار بردن علائمی همچون ( # ، @ ، ^ ، % و .. ) می توانید رمز عبور خود را پیچیده کنید. طول رمز عبور باید حداقل  20 کارکتر باشد. و اینکه تلاش کنید که یک رمز عبور منحصر به فرد تولید کنید رمز عبور هایی مثل “123456” یاحتی “qwery” که حروف ابتدایی کیبورد شما می باشد رمز عبور به حساب نمی آید. در سال 2015 کلمه starwars (جنگ ستارگان) جز 25 رمز عبور هایی بود که بیشترین استفاده از آن شده است. پس فکر نکنید که میتونید با این رمز عبور ها منحصر به فرد باشید.

4 - تایید هویت دو مرحله ای

خیلی خوبه که بتوانید از اهزار هویت دو مرحله ای هنگام ورود به وب سایت خود استفاده کنید. بله ما هم مثل شما اطلاع داریم که این کار میتونه کمی آزاردهنده باشه ولی باور کنید که ارزشش رو داره. امروزه کمتر کسی پیدا می شود که تایید هویت دو مرحله ای در جیمیل فعال نکرده باشد،پس منطقی به نظر میاد که ما نیز این مورد را به وب سایت خود اضافه کنیم. برای این مورد می توانید از پلاگین Google Authenticator استفاده کنید

5 - فایل های wp-config.php و htaccess. را مخفی کنید.

این کار خیلی آسان است، فقط توجه کنید که اگر این کار به درستی انجام نشود ممکن هست دسترسی وب سایت شما قطع شود.
توجه کنید که قبل از این کار حتما از این دو فایل بک آپ تهیه کنید.
برای مخفی کردن فایل wp-config.php و .htaccess کافی است که کد زیر را در فایل .htaccess قرار دهید

به همین راحتی!

<Files wp-config.php>
order allow,deny 
deny from all
</Files>
<Files .htaccess>
order allow,deny
deny from all
</Files>

6 - غیر فعال کردن ویرایشگر پوسته

اگر خدایی نکرده هکر موفق به ورود به وب سایت شما شود. اولین کاری که انجام می دهد این است که از منوی پیشخوان وردپرس > نمایش > وارد ویرایشگر پوسته شده و از این طریق می توانید کد های مخربی را وارد وب سایت شما کند. برای جلو گیری از دسترسی به این فایل شما باید کد زیر را در ابتدای فایل wp-config.php قرار دهید.

define('DISALLOW_FILE_EDIT', true);

فقط توجه کنید که شما همچنان امکان ویرایش قالب با استفاده از FTP را دارید و فقط امکان ویرایش از طریق وردپرس دیگر امکان پذیر نیست.

7 - محدودیت در تعداد دفعات ورود به سیستم

هکر ها فرم ورود به وب سایت شما را مورد هدف قرار می دهند . با استفاده از این لیست افزونه ها میتوانید تعداد دفعات تلاش برای ورود به سیستم خود را از طریق ای پی محدود نمایید.

8 - به روز باشید

طبق آخری آمار منتشر شده 56 درصد از افراد از نسخه های قدیمی وردپرس استفاده می کنند. درصد بسیاری از هکر ها از این مسئله برای هک کردن وب سایت ها استفاده می کنند. به گونه که از باگ های امنیتی ای که در هسته وردپرس، افزونه ها و قالب ها در نسخه های قبلی وجود دارد استفاده می کنند . پس دقت کنید که همیشه به روز باشید

9 - استفاده از افزونه های امنیتی

افزونه‌های امنیتی گوناگونی برای وردپرس وجود دارند که این امکان را می دهند تا  امنیت در وردپرس خود را افزایش دهید. با استفاده از این افزونه‌ها میتوانید از قابلیت‌های امنیتی که در وردپرس قابل پیاده سازی هست استفاده کنید. در ادامه این مقاله به برخی از افزونه های مهم و کاربردی پرداخته می شود.

1. افزونه امنیت وردپرس Wordfence Security

میشه گفت که افزونه Wordfence یکی از بهترین افزونه‌های امنیتی در وردپرس هست که در حال حاظر 3 میلیون نصب فعال در مخزن وردپرس را به خود اختصاص داده است که امکانات مختلف و بسیار زیادی رو برای افزایش سطح امنیتی در وردپرس به شما خواهد داد.

2. افزونه iThemes Security

یکی دیگه از افزونه های امنیتی وردپرس که امکانات منحصر بفرد و مفیدی دارد با نام ithemes security در مخزن وردپرس وجود دارد و تا به حالا هم موفق به دانلود و نصب بیش از 1 میلیون نصب فعال هست که امکانات امنیتی خوبی رو به سایت وردپرس می دهد.

10 - استفاده از ویژگی کپچا

همانطور که گفتیم بیشترین حملاتی که هکر ها در هر سایت انجام می دهند از طریق فرم نظرات و فرم ورود می باشد. مکان هایی که کاربران در اون قادر به ارسال داده‌هایی در سایت باشند.حال وقتی اوضاع بیخ دار میشه که این حملات از سمت کاربر واقعی نیست و توسط ربات ها انجام خواهد گرفت. بنابراین قادر هستند با سرعت خیلی زیاد و به تعداد دفعات بالا این کار رو تکرار کنند. تنها راه جلوگیری از این دست حمله ها استفاده از کپچا هست که هنوز ربات‌ها قادر به خوندن اون نیستند. بنابراین میتونید با اضافه کردن کپچا در وردپرس یک تاییدیه قبل از ارسال فرم قرار بدین.