امنیت وردپرس موضوعی است که برای هر مدیر سایت اهمیت زیادی دارد. گوگل روزانه بیش از 10 هزار وب سایت را به دلیل وجود بدافزار در لیست سیاه قرار می دهد.
اگر در مورد وب سایت خود جدی هستید ، باید به بهترین شیوه های امنیتی وردپرس توجه کنید. در این راهنما ، ما تمام نکات امنیتی برتر وردپرس را برای کمک به شما در محافظت از وب سایت خود در برابر هکرهای وردپرس و بدافزارها به اشتراک می گذاریم.
در حالی که نرم افزار اصلی وردپرس بسیار امن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود ، کارهای زیادی می توان انجام داد تا سایت شما ایمن بماند.
در خانه سایت، ما معتقدیم که امنیت فقط حذف خطرات نیست. همچنین در مورد کاهش ریسک است. به عنوان صاحب یک وب سایت ، کارهای زیادی می توانید انجام دهید تا امنیت وردپرس خود را ارتقا دهید.
ما چندین اقدام قابل اجرا داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.
برای راحتی کار ، ما یک جدول محتوا ایجاد کرده ایم که برای شما مشخص کنیم که در این مقاله قراره چه آموزش هایی بدهیم.
فهرست مطالب
اصول امنیت وردپرس
- چرا امنیت وردپرس مهم است؟
- به روز نگه داشتن وردپرس
- رمزهای عبور قوی و طولانی انتخاب کنید
- نقش امنیت هاست ها در وردپرس
امنیت وردپرس در مراحل ابتدایی
- یک افزونه بک آپ در سایت وردپرس خود نصب کنید
- بهترین افزونه امنیتی وردپرس
- انتقال سایت وردپرس به SSL/HTTPS
امنیت وردپرس برای کاربران DIY
- نام کاربری پیش فرض admin را تغییر دهید
- اجرای فایل PHP را غیرفعال کنید
- محدود کردن تلاش برای ورود
- افزودن احراز هویت دو عاملی
- تغییر پیشوند پایگاه داده وردپرس
- تغییر نام ورود WP-Admin به چیز دیگر
- ریکپچا را به صفحه ورود وردپرس اضافه کنید
- اسکن وردپرس برای بدافزارها و آسیب پذیری ها
- رفع مشکل سایت هک شده وردپرس
چرا امنیت وب سایت مهم است؟
یک سایت هک شده وردپرس می تواند به درآمد و اعتبار کسب و کار شما آسیب جدی وارد کند. هکرها می توانند اطلاعات کاربران ، گذرواژه ها را سرقت کنند ، نرم افزارهای مخرب را نصب کرده و حتی می توانند بدافزارها را بین کاربران شما توزیع کنند.
از همه بدتر ، ممکن است هکر ها بعد از ، ازدسترس خارج کردن برای بازگردانی سایت از شما درخواست پول کنند.
در سال 1395 گوگل گزارش داد که به بیش از 50 میلیون کاربر وب سایت هشدار داده شده است که وب سایتی که از آنها بازدید می کنند ممکن است حاوی بدافزار یا سرقت اطلاعات باشد.
به روز نگه داشتن وردپرس
وردپرس یک نرم افزار منبع باز است که مرتباً نگهداری و به روز می شود. به طور پیش فرض ، وردپرس به طور خودکار به روزرسانی های جزئی را نصب می کند. برای نسخه های اصلی ، باید به روزرسانی را به صورت دستی انجام دهید.
وردپرس همچنین دارای هزاران افزونه و قالب است که می توانید در وب سایت خود نصب کنید. این افزونه ها و قالب ها توسط توسعه دهندگان نگهداری می شوند که مرتباً به روزرسانی ها را نیز منتشر می کنند.
این به روز رسانی های وردپرس برای امنیت سایت وردپرسی شما بسیار مهم است. باید مطمئن شوید که افزونه ها و قالب وردپرس شما به روز است.
رمزهای عبور قوی و طولانی انتخاب کنید
رایج ترین تلاش ها برای هک وردپرس استفاده از رمزهای سرقت شده است. می توانید با استفاده از گذرواژه های قوی تر که منحصر به فرد برای وب سایت شما هستند ، این کار را دشوار کنید. نه تنها برای منطقه مدیریت وردپرس ، بلکه برای حساب های FTP ، پایگاه داده ، حساب هاست وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.
بسیاری از افراد مبتدی استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است.
راه دیگر برای کاهش خطر این است که به هیچ کس اجازه دسترسی به حساب سرپرست وردپرس خود را ندهید مگر اینکه کاملاً مجبور باشید . اگر تیم بزرگی دارید یا نویسندگان مهمان ، قبل از افزودن حساب کاربری و نویسندگان جدید به سایت وردپرس خود ، از نقش ها و قابلیت های کاربران در وردپرس اطمینان حاصل کنید.
نقش امنیت هاست ها در وردپرس
سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرسی شما ایفا می کند. یک ارائه دهنده میزبانی خوب اقدامات بیشتری را برای محافظت از سرورهای خود در برابر تهدیدهای معمول انجام می دهد.
در اینجا نحوه عملکرد یک شرکت میزبانی وب خوب برای محافظت از وب سایت ها و داده های شما شرح داده شده است.
- آنها به طور مداوم شبکه خود را برای فعالیت های مشکوک زیر نظر دارند.
- همه شرکت های میزبانی خوب ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند
- آنها نرم افزار سرور ، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
در یک برنامه میزبانی مشترک ، منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این امر خطر آلودگی بین سایت ها را بیشتر می کند که در آن هکر می تواند از سایت همسایه برای حمله به وب سایت شما استفاده کند.
استفاده از سرویس میزبانی مدیریت شده وردپرس ، بستر مطمئن تری برای وب سایت شما فراهم می کند. شرکت های میزبانی مدیریت شده وردپرس پشتیبان گیری خودکار ، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تری را برای محافظت از وب سایت شما ارائه می دهند
امنیت وردپرس در مراحل ابتدایی
ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. به خصوص اگر اهل فن نیستید.
ما به هزاران کاربر وردپرس در تقویت امنیت وردپرس خود کمک کرده ایم.
ما به شما نشان خواهیم داد که چگونه می توانید امنیت وردپرس خود را تنها با چند کلیک ارتقا دهید.
یک افزونه بک آپ در سایت وردپرس خود نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید ، هیچ چیز 100 درصد امن نیست. اگر وب سایت های دولتی می توانند هک شوند ، وب سایت شما نیز می تواند هک شود.
پشتیبان گیری به شما امکان می دهد تا در صورت بروز اتفاق بد ، سایت وردپرس خود را به سرعت بازیابی کنید.
بسیاری از افزونه های پشتیبان رایگان و پولی وردپرس وجود دارد که می توانید از آنها استفاده کنید. مهمترین نکته ای که هنگام تهیه نسخه پشتیبان باید بدانید این است که باید به طور منظم پشتیبان گیری کامل سایت را در یک مکان دور ذخیره کنید.
بر اساس تعداد دفعاتی که وب سایت خود را به روز می کنید ، تنظیمات ایده آل ممکن است یک بار در روز یا پشتیبان گیری در زمان واقعی باشد.
خوشبختانه این کار را می توان با استفاده از افزونه هایی مانند All in One Migration یا Duplicator به راحتی انجام داد . آنها هر دو قابل اعتماد هستند.
بهترین افزونه امنیتی وردپرس
بعد از پشتیبان گیری ، کار بعدی که ما باید انجام دهیم این است که یک سیستم حسابرسی و نظارت را تنظیم کنیم که همه اتفاقاتی که در وب سایت شما می افتد را پیگیری کند.
این شامل نظارت بر یکپارچگی فایل ، تلاش ناموفق برای ورود به سیستم ، اسکن بدافزار و غیره است.
خوشبختانه ، بهترین افزونه امنیتی رایگان وردپرس ، Sucuri Scanner یا Wordfence ، می تواند به همه این موارد توجه کند .
شما باید افزونه رایگان Sucuri Security را نصب و فعال کنید .پس از فعال سازی ، باید به منوی Sucuri در مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. این امکان ثبت حسابرسی ، بررسی یکپارچگی ، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.
این افزونه های امنیتی وردپرس بسیار قدرتمند است ، بنابراین تمام برگه ها و تنظیمات را مرور کنید تا همه کارهایی مانند اسکن بدافزار ، گزارشات حسابرسی ، ردیابی تلاش ناموفق و غیره را مشاهده کنید.
فعال کردن فایروال برنامه وب (WAF)
ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس استفاده از فایروال برنامه وب (WAF) است.
فایروال وب سایت تمام ترافیک مخرب را قبل از اینکه به وب سایت شما برسد مسدود می کند.
دیوار آتش سطح وب سایت DNS این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابر خود هدایت می کنند. این به آنها اجازه می دهد فقط ترافیک واقعی را به سرور وب شما ارسال کنند.
Firewall سطح برنامه این افزونه های فایروال ترافیک را هنگامی که به سرور شما می رسد اما قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می کند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.
بهترین بخش در مورد فایروال Sucuri این است که با پاکسازی بدافزار و ضمانت حذف لیست سیاه همراه است. اساساً اگر قرار باشد تحت نظارت آنها هک شوید ، آنها تضمین می کنند که وب سایت شما را تعمیر می کنند.
سایت وردپرس خود را به SSL/HTTPS منتقل کنید
SSL پروتکلی است که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود که کسی نتواند اطراف را بشناسد و اطلاعات را بدزدد.
پس از فعال کردن SSL ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، همچنین در مرورگر علامت قفل را در کنار آدرس وب سایت خود مشاهده خواهید کرد.
شروع به استفاده از SSL برای همه وب سایت های وردپرس خود بیش از هر زمان دیگری آسان است. در حال حاضر بسیاری از شرکت های میزبانی گواهی SSL رایگان را برای وب سایت وردپرسی شما ارائه می دهند .
امنیت وردپرس برای کاربران DIY
اگر همه مواردی را که تا کنون ذکر کردیم انجام دهید ، در شرایط بسیار خوبی قرار دارید.
اما مانند همیشه ، کارهای بیشتری می توانید انجام دهید تا امنیت وردپرس خود را تقویت کنید.
برخی از این مراحل ممکن است به دانش کد نویسی نیاز داشته باشند.
نام کاربری پیش فرض admin را تغییر دهید
در قدیم ، نام کاربری پیش فرض مدیریت وردپرس admin بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند ، این امر باعث می شود هکرها حملات را آسان تر کنند.
خوشبختانه وردپرس این مورد را تغییر داده است و اکنون از شما می خواهد که هنگام نصب وردپرس نام کاربری سفارشی را انتخاب کنید .
با این حال ، برخی از نصب کنندگان وردپرس با یک کلیک ، هنوز نام کاربری پیش فرض سرپرست را روی admin تنظیم می کنند.
اجرای فایل PHP را در برخی از فهرست های وردپرس غیرفعال کنید
یک راه دیگر برای تقویت امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در فهرست هایی است که نیازی به آنها نیست مانند/wp-content/uploads/.
شما می توانید این کار را با باز کردن یک ویرایشگر متنی مانند Notepad انجام دهید و این کد را جایگذاری کنید:
|
1
2
3
|
<Files *.php>deny from all</Files> |
در مرحله بعد ، باید این فایل را به عنوان .htaccess ذخیره کرده و با استفاده از یک سرویس گیرنده FTP در /wp-content/uploads/پوشه های وب سایت خود بارگذاری کنید .
محدود کردن تلاش برای ورود
به طور پیش فرض ، وردپرس به کاربران اجازه می دهد تا هر زمان که می خواهند وارد سیستم شوند. این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر شود. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.
با محدود کردن تلاش های ناموفق ورود به سیستم که کاربر می تواند انجام دهد ، این امر به راحتی قابل حل است. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، به طور خودکار به این امر رسیدگی می شود.
با این حال ، اگر تنظیمات فایروال را ندارید ، مراحل زیر را ادامه دهید.
ابتدا باید افزونه Login LockDown را نصب و فعال کنید.
پس از فعال سازی ، برای راه اندازی افزونه ، از تنظیمات »ورود به صفحه LockDown بروید
افزودن احراز هویت دو عاملی
روش احراز هویت دو عاملی مستلزم آن است که کاربران با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند. اولین مورد نام کاربری و رمز عبور است ، و در مرحله دوم شما نیاز به احراز هویت با استفاده از یک دستگاه موبایل یا برنامه جداگانه دارید.
اکثر وب سایت های آنلاین برتر مانند گوگل ، فیس بوک ، توییتر به شما امکان می دهند آن را برای حساب های خود فعال کنید. همچنین می توانید عملکرد مشابهی را به سایت وردپرس خود اضافه کنید.
ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. بعد از فعال سازی دفعه بعد که به وب سایت خود وارد می شوید ، پس از وارد کردن رمز عبور ، کد تأیید دو مرحله ای از شما خواسته می شود.
کافی است برنامه احراز هویت را در تلفن خود باز کرده و کدی را که در آن مشاهده می کنید وارد کنید.
تغییر پیشوند پایگاه داده وردپرس
به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند برای همه جداول پایگاه داده وردپرس شما استفاده می کند . اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش فرض استفاده می کند ، حدس زدن نام جدول شما را برای هکرها آسان می کند. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.
ریکپچا را به صفحه ورود وردپرس اضافه کنید
افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس ، دسترسی غیرمجاز را برای شخصی دشوارتر می کند.
با نصب افزونه reCaptcha by BestWebSoft می توانید سوالات امنیتی را اضافه کنید. پس از فعال سازی ، دیگر از شر ربات های خلاص می شوید.
اسکن وردپرس برای بدافزارها و آسیب پذیری ها
اگر افزونه امنیتی وردپرس را نصب کرده اید ، این افزونه ها به طور معمول بدافزارها و علائم نقض امنیت را بررسی می کنند.
با این حال ، اگر افت ناگهانی ترافیک وب سایت یا رتبه بندی جستجو را مشاهده کردید ، ممکن است بخواهید اسکن را به صورت دستی اجرا کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید .
اجرای این اسکن های آنلاین کاملاً ساده است ، شما فقط آدرس وب سایت خود را وارد کرده و خزنده های آنها از طریق وب سایت شما به دنبال بدافزارهای شناخته شده و کدهای مخرب می گردند.
اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کرده یا سایت وردپرس هک شده را تمیز کنند.
رفع مشکل سایت هک شده وردپرس
بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود به اهمیت پشتیبان گیری و امنیت وب سایت پی نمی برند.
تمیز کردن سایت وردپرس می تواند بسیار دشوار و زمان بر باشد. اولین توصیه ما این است که اجازه دهید یک حرفه ای از آن مراقبت کند.
امیدواریم این مقاله به شما در یادگیری بهترین شیوه های امنیتی وردپرس و همچنین کشف بهترین افزونه های امنیتی وردپرس برای وب سایت شما کمک کرده باشد.
