۱۲ راه برای بالا بردن امنیت وردپرس

۱۲ راه برای بالا بردن امنیت وردپرس

در این مقاله قصد داریم ۱۲ روش برای بالا بردن امنیت وردپرس و محافظت از اطلاعات وب سایت را به شما ارائه دهیم.

تامین امنیت وردپرس اغلب سخت می باشد. شاید شما درباره پلاگین های وردپرس که این کار را انجام می دهند، شنیده باشید. هرچند، این مقاله به این موضوع نمی پردازد.

در این مقاله قصد داریم به طور مستقیم به روش هایی بپردازیم که می توانید با آنها امنیت وب سایت خود را تامین کنید. به خصوص، روش هایی ذکر خواهند شد که احتمالا قبلا درباره آنها چیزی نشنیده اید.

آیا می دانید ۷۳٪ از محبوب ترین سایت ها که از وردپرس استفاده می کنند، در سال ۲۰۱۳ به عنوان سایت های قابل هک شناخته شده اند؟ یا از ۱۰ پلاگین آسیب پذیر، ۵ تای آنها نسخه پرو یا حرفه ای و فروشی بوده اند؟

بدتر از همه، یکی از آن پنج پلاگین در واقع نوعی پلاگین امنیتی بوده است که این موضوع بسیار بد می باشد.

در حالی که نصب هسته وردپرس کاری آسان بوده و نسبتا امن می باشد، اما هر چه قدر از طریق پلاگین ها، تم ها و کد های سفارشی، مواردی را به آن اضافه کرده، و هرچه کاربران بیشتری را اضافه کنید، احتمال هک شدن سایت بیشتر می شود. این خبر بدی برای تمام افراد و شرکت ها می باشد.

مطالب پیش فرض

قبل از بیان ۱۲ روش، ابتدا لیستی از راه حل های امنیتی رایج را ذکر می کنیم.

وردپرس را مدام به روز رسانی کنید. این عمل ساده می تواند تاثیر زیادی در امنیت وب سایت داشته باشد. هر زمان که وارد پیشخوان سایت شدید و عبارت “Update available” را مشاهده کردید، بر روی آن کلیک کرده و سایت خود را به روز رسانی کنید. قبل از نصب هر چیز، یک نسخه پشتیبان از سایت تهیه کنید و بهتر است که این کار را به طور منظم انجام دهید. امروزه تمام اطلاعات موجود درباره رخنه های امنیتی که در نسخه قبلی وجود داشته اند، در دسترس عموم قرار دارند، بنابراین، سایت هایی که به روز رسانی نشده اند، بیشتر در معرض هک قرار خواهند داشت.

پلاگین ها و تم های وردپرس را به روز رسانی کنید. علاوه بر اینکه به طور منظم وردپرس را به روز رسانی می کنید، باید پلاگین ها و تم ها را نیز به روز رسانی کنید. هر افزونه و تمی که در سایت نصب می شود، مانند یک درپشتی یا همان backdoor عمل می کند. اگر نظارت و به روزرسانی را به طور منظم انجام ندهید، این پلاگین ها و تم ها همانند یک درب باز برای دستیابی به اطلاعات شخصی شما عمل خواهند کرد.

هر پلاگین یا تمی را که استفاده نمی کنید، پاک کنید. این کار احتمال هک شدن را کاهش می دهد. به یاد داشته باشید که غیر فعال کردن آنها کافی نبوده و باید آنها را حذف کنید.

پلاگین و تم های وردپرس را از منابع معتبر دانلود کنید. اگر می توانید، پلاگین و تم ها را از WordPress.org دانلود کنید زیرا کاملا اسکن شده اند. اگر تم یا افزونه پرمیوم می خواهید، آنها را از منابع معتبر مانند Themeforest خریداری و دانلود کنید.

سطح دسترسی و پرمیشن فایل ها را تغییر دهید. از دایرکتوری هایی با مجوز ۷۷۷ اجتناب کرده و به جای آن ۷۵۵ یا ۷۵۰ را انتخاب کنید. زمانی که در سایت هستید، فایل ها را ۶۴۰ یا ۶۴۴ و wp-config.php و httaccess را روی ۶۰۰ یا حتی ۴۴۴ تنظیم کنید.

از کلمه “admin” به عنوان نام کاربری استفاده نکنید. اگر قبلا وردپرس را با نام «admin» یا نام ساده دیگری نصب کرده اید، می توانید با وارد کردن کوئری SQL در PHPMyAdmin، نام کاربری را تغییر دهید.

رمز عبور خود را مدام عوض کنید. از حروف و اعداد مختلف و تصادفی استفاده کنید. همچنین می توانید از تولید کننده های خودکار رمز عبور مانند Norton Password Generator یا Strong Password Generator استفاده کنید.

اطمینان حاصل کنید که کاربران سایت از نام کاربری و کلمه عبور قوی استفاده کرده اند.

از احراز هویت های دو مرحله ای استفاده کنید که روشی عالی برای جلوگیری از هک شدن می باشد. این روش بدین صورت می باشد که برای وارد شدن به سایت، علاوه بر رمز عبور، نیاز به کد تایید می باشد که به تلفن شما ارسال می شود. اغلب، کد دوم از طریق SMS یا اپلیکیشنی که در گوگل پلی موجود بوده و باید روی موبایل نصب کنید ارسال می شود. از پلاگین های مختلف نیز می توان برای این کار استفاده کرد مانند Google Authenticator و Duo Two-Factor Authentication.

بر روی کامپیوتر خود یک فایروال قوی نصب کنید. نرم افزار های فایروال همچون Comodo، Norton Internet Security و ZoneAlarm Free Firewall.

محدودیت ورود به سیستم. هکرها از روش رخنه گری با نام جستجوی فراگیر (brute force) استفاده می کنند. اگر به آنها فرصت دهید، سعی می کنند تا به دفعات نام های کاربری مختلفی را در سایت شما امتحان کنند تا اینکه بتوانند رمز عبورتان را تشخیص داده و به دست بیاورند. به همین دلیل به آن جستجوی فراگیر گفته می شود زیرا حملات آنها بی وقفه می باشد. هرچند، پلاگین هایی وجود دارد که به شما این امکان را می دهند تا  تعداد دفعات ورود یک فرد از یک IP مشخص و در یک بازه زمانی معین به سایت را محدود کنید. پلاگین LoginLockDown برای این کار مناسب می باشد، پلاگین های دیگر نیز مانند  iThemes Security و Sucuri Security نیز دارای این ویژگی می باشند.

محدود کردن دسترسی کاربر. گاهی امنیت وب سایت به این دلیل به خطر می افتد که اجازه دسترسی به افراد بسیاری داده شده است. بهترین کار این است تنها به افراد ضروری مجوز داده شده و حتی زمان دسترسی آنها نیز محدود باشد.

پشتیبان گیری از سایت. مهم است بر اساس برنامه ای منظم از سایت خود پشتیبان بگیرید. این کار بخش مهمی از استراتژی حفظ امنیت سایت می باشد زیرا تضمین می کند اگر سایت شما در معرض خطر قرار بگیرد، می توانید به آسانی نسخه قبلی را بازیابی کنید.

می توانید از روش های خودکار نظیر استفاده از پلاگینهایی مانند VaultPress، BlogVault، BackupBuddy،updraft یا WordPress Backup to Dropbox برای پشتیبان گیری ساده و با گزینه های بازگردانی پیش فرض استفاده کنید.

بررسی صحت تم و انجام اسکن های امنیتی. همانگونه که یک نرم افزار آنتی ویروس را بر روی رایانه خود نصب می کنید تا بدافزار را چک کند، باید یک اسکنر در WordPress نیز نصب کنید. اسکنر امنیتی کدهای مخرب در پلاگین ها و فایل های اصلی را چک کرده و به شما این اطمینان را می دهد که هیچ چیز دستکاری نشده است. می توانید از اسکنرهایی مانند Sucuri Sitecheck، CodeGuard ، Theme Authenticity Checker و AntiVirus استفاده کنید.

این ها مواردی بودند که احتمالا از قبل با آنها آشنا بوده اید، اکنون به توضیح ۱۲ روشی می پردازیم که کمتر درباره آنها شنیده اید.

ابتدا اطمینان حاصل کنید که قبل از انجام هر گونه تغییری در فایل functions.php، پوسته فرزند (Child theme) را ایجاد کرده اید.

۱. کاهش استفاده از پلاگین های وردپرس

اگرچه در بالا ذکر شد که باید پلاگین ها و تم هایی که استفاده نمی کنید را حذف کنید. اما لازم به ذکر است که بهتر است نصب تعداد پلاگین های خود را محدود کنید. برای حفظ امنیت وب سایت ، باید معیارهای مورد استفاده برای انتخاب پلاگین را با دقت بیشتری بررسی کنید.

این موضوع فقط مرتبط با امنیت سایت نمی باشد، بلکه سرعت و عملکرد سایت را نیز در بر می گیرد. نصب افزونه های زیاد، سرعت سایت را به طور چشمگیری کاهش می دهد. بنابراین به دنبال پلاگین هایی باشید که چندین ویژگی مورد نظر شما را حمایت می کنند. تعداد کم پلاگین ها، شانس هک شدن سایت شما را کاهش می دهد.

بالا بردن امنیت وردپرس ، افزونه ، تم وردپرس ، تم های وردپرس ، پلاگین های وردپرس 

۲. پلاگین های پرمیوم رایگان (پلاگین های نال شده) را به هیچ عنوان دانلود نکنید.

اگر چه بحث بودجه برای افراد مطرح می باشد، اما ایده خوبی نیست که از هر جایی پلاگین های پرمیوم را دانلود کنید. در ضمن علاوه بر اینکه دانلود پلاگین های سرقتی کار صحیحی نیست و نوعی دزدی محسوب می شود، این موضوع را مد نظر داشته باشید که این گونه پلاگین ها، اغلب توسط سایت های غیر قانونی به کدهای مخرب تجهیز شده اند. بنابراین استفاده از آنها تنها دسترسی هکرها به سایت شما را آسان تر می کند.

۳. به روز رسانی های خودکار

اگرچه در بالا به اهمیت به روز رسانی وردپرس اشاره شد، اما دوباره آن را تکرار می کنیم. در حقیقت، زمانی که از نسخه قدیمی تر وردپرس استفاده می کنید، باید بدانید که تمام نقایص امنیتی آن در اختیار عموم قرار گرفته است. درنتیجه سایت شما بیشتر در معرض هک شدن قرار می گیرد.

اما به روز رسانی سایت ممکن است کافی نباشد، به خصوص اگر به طور منظم این کار را انجام نمی دهید. در این موارد، بهتر است که از روش های خودکار استفاده کنید.

از زمان وردپرس ۳.۷، به روز رسانی های کمی در وردپرس به صورت خودکار انجام می شوند و به روز رسانی های اصلی هنوز به تایید شما نیازمند می باشند. با این وجود، برای تنظیم سایت برای به روز رسانی خودکار، می توانید تعدادی کد در فایل wp-config.php وارد کنید.

از این ساده تر نمی شود. فقط این کد را در فایل فوق الذکر وارد کنید. به روز رسانی بدون نیاز به تایید شما صورت خواهد گرفت:

# Enable all core updates, including minor and major:

define( 'WP_AUTO_UPDATE_CORE', true );

با این حال، توجه داشته باشید که به روز رسانی خودکار می تواند سایت شما را متوقف کرده و دچار مشکل کند. به ویژه اگر از افزونه یا تمی استفاده کنید که با آخرین نسخه وردپرس سازگار نباشد. با این حال، اگر شما به طور منظم وارد سایت نمی شوید، این کار ارزش ریسک کردن را دارد.

بالا بردن امنیت وردپرس ، افزونه ، تم وردپرس ، تم های وردپرس ، پلاگین های وردپرس 

۴. به روز رسانی خودکار پلاگین و تم های وردپرس

به طور معمول، پلاگین و تم ها مواردی هستند که باید به صورت دستی به روز رسانی شوند. هر کدام از آنها در زمان های مختلفی توسط توسعه دهنده اصلی اش به روز رسانی می شوند. اگر فرصت به روز رسانی دستی را ندارید، می توانید با وارد کردن تعدادی کد به فایل wp-config.php، پلاگین و تم ها را به صورت خودکار به روز رسانی کنید. برای پلاگین ها از مورد زیر استفاده کنید:

add_filter( 'auto_update_plugin', '__return_true' );

برای تم ها از مورد زیر استفاده کنید:

add_filter( 'auto_update_theme', '__return_true' );

۵. حذف ویرایشگر پلاگین و تم وردپرس

اگر شما از آن افرادی هستید که به طور مرتب پلاگین ها و تم ها را تغییر می دهید، پس شاید این کار به درد شما نخورد. اما اگر از ویرایش پیش فرض پلاگین و تم موجود در پیشخوان وردپرس به طور منظم استفاده نمی کنید، بهتر است که آن را کاملا غیرفعال کنید.

چرا؟ از آنجایی که کاربران دیگر نیز به این ویرایشگر دسترسی دارند، اگر حساب آنها هک شود، با تغییر کد موجود در آن فایلها، می توان کل سایت را خراب کرد.

بنابراین با وارد کردن کد به فایل wp-config.php می توانید ویرایشگر را حذف کنید. کد زیر را وارد کنید:

define( 'DISALLOW_FILE_EDIT', true );

۶. حذف گزارش خطای PHP

برای افزایش امنیت وب سایت ، باید نقاط ضعف سایت را کمتر کرد. اگر افزونه یا تمی به درستی کار نکند، احتمالا پیام خطا می فرستد. اگر چه این کار برای عیب یابی مفید می باشد، اما مشکلی وجود دارد: این پیام های خطا اغلب مسیر سرور شما را نمایش می دهند.

در این صورت هکرها با مشاهده گزارش های خطا می توانند مسیر سرور شما را بدست آورند. بنابراین بهتر است که آنها را غیرفعال کنید. برای این کار، کد زیر را به فایل wp-config.php اضافه کنید.

error_reporting(0);

@ini_set(‘display_errors’, ۰);

۷. با استفاده از فایل htaccess. از فایل های خود محافظت کنید.

احتمالا از قبل با فایل htaccess. آشنا بوده و به آن دسترسی دارید. با این حال، ایجاد تغییرات در این فایل، می تواند تاثیر زیادی بر روی امنیت سایت شما داشته باشد.

چرا این فایل مهم است؟ این فایل در قلب وردپرس بوده و به طور مستقیم بر نحوه ارتباط ساختارها و نحوه کنترل امنیت سایت تاثیر می گذارد. شما می توانید کدهای مختلفی را به فایل htaccess. در هر جایی خارج از برچسب های BEGIN WordPress# و END WordPress# وارد کنید تا فایل های موجود در دایرکتوری سایت خود را تغییر دهید. این تکه کدها به طور مستقیم از WordPress Codex گرفته شده اند.

برای شروع، بهتر است فایل wp-config.php را پنهان کنید زیرا این فایل قطب اصلی سایت شما بوده و حاوی اطلاعات شخصی و جزئیات مربوط به امنیت سایت شما می باشد. برای مخفی کردن آن، کد زیر را به htaccess. اضافه کنید:

<files wp-config.php>

order allow,deny

deny from all

</files>

شما همچنین می توانید با ایجاد یک فایل جدید htaccess. دسترسی ادمین را محدود کرده و آن را در پوشه wp-admin آپلود کنید. سپس کد زیر را وارد کنید:

order deny,allow

allow from 192.168.5.1

deny from all

آدرس IP خود را در فایل فوق وارد کنید. شما می توانید از طریق چندین آدرس IP به محیط wp-admin دسترسی داشته باشید، هر کدام از آنها را در یک ردیف جدید وارد کنید.

به همین روش، می توانید دسترسی به wp-login.php را نیز محدود کنید. کد زیر را در htaccess. اضافه کنید:

<Files wp-login.php>

order deny,allow

Deny from all

# allow access from my IP address

allow from 192.168.5.1

</Files>

شما می توانید برای عدم دسترسی دیگران به wp-admin یا wp-login.php، آدرسIP آنها را به صورت جداگانه بلاک کنید. برای این کار کد زیر را استفاده کنید:

order allow,deny

deny from 456.123.8.9

allow from all

روش دیگر برای پنهان کردن دایرکتوری سایت از دید کاربران این است که آنها را غیر قابل مرور کنید. با استفاده از کد زیر این کار را انجام دهید:

Options All -Indexes

روش های دیگری نیز برای تغییر htaccess. وجود دارند تا بتوانید امنیت سایت خود را بالا ببرید. در اینجا فقط به مهم ترین آنها اشاره کردیم.

۸. مخفی کردن نام کاربری مولف

اگر پیش فرض های وردپرس تغییر نکرده باشند، به آسانی می توان نام کاربری هر نویسنده را پیدا کرد. و از آنجایی که اغلب نویسنده اصلی، مدیر سایت نیز می باشد، بنابراین پیدا کردن نام کاربری ادمین آسان می باشد. این موضوع خوب نیست. هر چه قدر که هکرها اطلاعات بیشتری از شما به دست آورند، احتمال هک سایت بیشتر می شود.

بنابراین بهتر است که نام کاربری نویسنده را پنهان کنید. برای انجام این کار، باید تعدادی کد به سایت خود اضافه کنید. زمانی که این کد را وارد کردید، اگر فردی پس از آدرس اصلی URL، نام نویسنده را وارد کند، اطلاعات نویسنده برای آنها ارائه نشده و به صفحه اصلی برگشت داده می شوند.

کد زیر را در فایل functions.php وارد کنید:

add_action(‘template_redirect’, ‘bwp_template_redirect’);

function bwp_template_redirect()

{

if (is_author())

{

wp_redirect( home_url() ); exit;

}

}

۹. پیگیری فعالیت داشبورد

اگر کاربران زیادی در سایت خود دارید، بهتر است فعالیت های آنها را در داشبورد خود پیگیری کنید زیرا یک اشتباه ساده از سوی آنها باعث ایجاد دردسر می شود. به همین دلیل گزارش دهی فعالیت داشبورد مفید می باشد و این امکان را به شما می دهد که اگر یکی از کاربران دچار اشتباه شد، بتوانید رد آن را بگیرید. شما حتی می توانید اقدامات خود را نیز رهگیری کنید.

این فرآیند برای امنیت سایت نیز مفید بوده و این امکان را به شما می دهد تا میان یک عمل خاص و یک واکنش خاص، ارتباط برقرار کنید. بنابراین، اگر آپلود یک فایل باعث خرابی سایت شود، می توانید آن را بررسی کنید که آیا حاوی کد مخرب می باشد یا خیر.

اگرچه وردپرس این اطلاعات را به صورت خودکار ثبت می کند، اما استفاده از این اطلاعات آسان نمی باشد. بهتر است که از یک پلاگین برای سازماندهی تمام آن اطلاعات استفاده کنید. با این کار می توانید متوجه شوید که آیا نصب یک پلاگین خاص، باعث تغییر یک کد یا آپلود یک پرونده باعث ایجاد مشکل شده است یا خیر.

برای این کار می توانید از پلاگین WP Security Audit Log استفاده کنید. این پلاگین رایگان بوده و از تمام اتفاقات روی داده در سایت به شما گزارش می دهد. از پلاگین های دیگری نیز می توان برای این کار استفاده کرد از جمله Activity Log و Simple History.

۱۰. صفحه ورود را پنهان کنید

اگر چه امنیت بر مبنای پنهان سازی کامل نیست، با این وجود، باید بخش مهمی از استراتژی شما باشد. شاید پنهان کردن برخی از عناصر سایت، جلوی هکرها را نگیرد، اما کار آنها را سخت تر خواهد کرد.

انتقال و یا تغییر نام صفحه ورود، روشی سریع برای ایجاد مانع در کار هکرها می باشد. حملات جستجوی فراگیر (Brute force) معمولا به صورت اتوماتیک و توسط نرم افزارهای خاص انجام می شوند، بنابراین اگر صفحه ورود به سایت چیزی متفاوت از www.khalayegh.com/wp-admin یا www.khalayegh.com/wp-login.php باشد، کار آنها سخت خواهد شد. پلاگین های بسیاری این کار را انجام می دهند از جمله Lockdown WP Admin.

۱۱. انتخاب بهترین هاست

شما می توانید از تمام روش های امنیتی برای حفاظت از سایت خود استفاده کنید، اما اگر هاست خوبی نداشته باشید، تمام این کارها اهمیتی نخواهند داشت. در واقع، کارشناسان امنیتی گزارش داده اند که ۴۱ درصد از سایت های وردپرس به علت آسیب پذیری هاست، هک شده اند.

اگر می خواهید از هاست های اشتراکی استفاده کنید، مطمئن شوید حساب کاربری شما در هاست منفرد باشد. این امر باعث می شود عملکرد سایت افراد دیگری که از سرور هاست اشتراکی استفاده می کنند، نتواند بر روی سایت شما تاثیر بگذارد. هرچند، بهتر است از سرویسی استفاده کنید که به طور خاص برای سایتهای وردپرسی بهینه شده است. یک هاست اختصاصی وردپرس احتمالا شامل موارد زیر می باشد: فایروال وردپرس، php و MySQL به روز شده، اسکن منظم بد افزار، سرور طراحی شده برای اجرای وردپرس و یک تیم پشتیبانی که به وردپرس آشنایی کامل دارند.

۱۲. به روز رسانی کامپیوتر

گاهی اوقات هکرها به دلیل امنیت پایین کامپیوترتان می توانند به سایت شما دسترسی پیدا کنند. بهترین روش برای جلوگیری از این امر، این است که کامپیوتر خود را به روز رسانی کنید. همچنین از نرم افزارهای ضد ویروس به صورت منظم استفاده کنید. شما می توانید از آنتی ویروس های رایگان مانند Avast، Panda Free Antivirus، Comodo یا AVG استفاده کنید.

۱۲ راه برای بالا بردن امنیت وردپرس

بالا بردن امنیت وردپرس ، افزونه ، تم وردپرس ، تم های وردپرس ، پلاگین های وردپرس ، امنیت وب سایت ، امنیت وردپرس