افزایش امنیت وردپرس با رعایت ۱۰ نکته


نویسنده:
چهارشنبه 24 بهمن 1397
افزایش امنیت در وردپرس

روزانه هزاران وب‌سایت در سطح جهان مورد حمله‌ی هکرها قرار می‌گیرند. با آن‌که وردپرس ذاتاً محیطی امن است اما امنیت هیچ‌گاه به‌صورت صد در صد وجود ندارد. رعایت اصول امنیتی تا حد زیادی می‌تواند به افزایش امنیت وردپرس کمک کند. اگر در این موارد سهل‌انگاری شود امکان دارد تمام زحمات شما به هدر رود.

در گذشته در مقاله‌ی مهم‌ترین تهدیدهای امنیتی وب‌سایت به بررسی اساسی‌ترین تهدیدها و روش‌های هک پرداختیم. اکنون در این مقاله از مقالات آموزش امنیت وردپرس، سعی می‌کنیم با ارائه راهکارهایی به افزایش امنیت در وردپرس بپردازیم.

نکات افزایش امنیت وردپرس:

۱- استفاده از هاست معتبر

هر چقدر هم شما روی امنیت وب‌سایت خود کار کنید ولی هاست ایمنی نداشته باشید، سایت شما از طریق هاست ضعیف مورد آسیب قرار می‌گیرد. (در مقاله‌ی معرفی هاست به بررسی مفهوم آن پرداخته‌ایم. اگر از هاست اظلاعاتی ندارید به این مقاله مراجعه نمایید.)

در واقع انتخاب یک هاست معتبر گام اول حفظ امنیت وب‌سایت شماست. سعی کنید از شرکت‌هایی هاست تهیه کنید که به صورت مداوم سرورها را اسکن می‌کنند، از firewallهای قوی استفاده می‌کنند و مدام از وب‌سایت‌ها پشتیبان تهیه می‌کنند.

برای انتخاب هاست به راهنمای انتخاب هاست مناسب مراجعه نمایید.

۲- انتخاب نام کاربری و رمز عبور قوی

افزایش امنیت در وردپرس

معمولاً قدم اول در حمله‌ به یک وب‌سایت حدس زدن نام کاربری و رمز عبور آن است. پس برای همیشه کلماتی ‌مثل: ادمین، root، شماره تماس و.. را در انتخاب نام کاربری کنار بگذارید. همچنین تمام کاربران باید از رمز عبور قوی استفاده نمایند. بهتر است رمز عبور کاربران به‌صورت دوره‌ای تغییر کند.

۳- تغییر آدرس صفحه‌ی ورود به وردپرس

به‌صورت پیش فرض آدرس ورود به پنل وردپرس wp-login.php است. برای افزایش امنیت وردپرس، بهتر است آدرس صفحه‌ی ورود تغییر کند. برای تغییر دادن این آدرس می‌توانید از افزونه‌هایی مثل hc custom wp-admin url استفاده کنید.

۴- امنیت صفحه‌ی ورود به وردپرس

برای ورود به پنل وردپرس می‌توان از نام کاربری و یا ایمیل استفاده کرد. از آنجا که از ایمیل خود در جاهای مختلف استفاده می‌کنید، هکر می‌تواند از آدرس ایمیل شما به عنوان نام کاربری استفاده کند و با حدس رمز عبور وارد پنل وردپرس شود. برای جلوگیری از ورود با ایمیل، کد زیر را در فایل function.php  قرار دهید:

همچنین بهتر است تعداد دفعات ورود به وردپرس را محدود کنید. این قابلیت در اکثر افزونه‌های امنیتی وجود دارد.

 ۵- استفاده از کپچا

امنیت کامل وردپرس

در صفحه ورود به پنل وردپرس و فرم‌ها از کپچا استفاده نمایید. اغلب موارد هکرها با ارسال داده‌های اسپم سعی دارند منابع هاست را درگیر کنند تا سایت از دسترس خارج شود. کپچا با جلوگیری از ارسال داده‌های اسپم، به افزایش امنیت وردپرس کمک می‌کند.

۶- استفاده از افزونه و قالب‌های مطمئن

سعی کنید برای دانلود افزونه‌های وردپرسی از مخزن وردپرس یا وب سایت اصلی وردپرس به نشانی https://wordpress.org استفاده نمایید. برای دریافت قالب یا افزونه، به هر منبعی نباید اطمینان کرد. کدهای مخرب قرار داده شده در بعضی از قالب و افزونه‌ها می‌تواند آسیب‌های جدی به امنیت وب سایت شما وارد کند.

۷- به‌روزرسانی مداوم

برای حفظ امنیت کامل وردپرس، سعی کنید وردپرس و تمام قالب و افزونه‌های سایتتان را مداوم و به موقع به‌روزرسانی کنید. گاهی اوقات در اثر به‌روز نبودن وردپرس، هکرها هسته‌ی وردپرس را مورد هدف قرار می‌دهند، وردپرسی که جزو امن‌ترین سیستم‌های مدیریت محتوا است.

۸- مخفی کردن نام کاربری

زمانی که روی نام نویسنده‌ی مطلبی کلیک کنید، صفحه‌ی نویسنده باز می‌شود. در آدرس این صفحه، نام کاربری نویسنده نمایش داده می‌شود. نمایش نام کاربری، نفوذ به سایت را یک قدم آسان‌تر می‌کند زیرا هکر فقط باید رمز عبور را حدس بزند! بنابراین برای افزایش امنیت وردپرس، نام کاربری نمایش داده شده را تغییر دهید. برای انجام این کار کافی‌ است وارد دیتابیس سایت خود شوید، در جدول wp-users در بخش Nicename، نام خود را تغییر دهید.

۹- تغییر پیشوند جداول پایگاه داده

افزایش امنیت در وردپرس

در وردپرس پیشوند جداول به‌صورت پیش فرض، wp است. برای افزایش امنیت پایگاه داده سایت خود هنگام نصب وردپرس، این پیشوند را تغییر دهید. همچنین به‌صورت مداوم از پایگاه داده‌ی وب سایت خود پشتیبان تهیه کنید.

۱۰- غیر فعال کردن ویرایشگر قالب

در پیشخوان وردپرس در بخش نمایش، ویرایشگر قالب قرار داده شده تا بتوانید از این طریق، قالب سایت را ویرایش کنید. برای تامین امنیت وردپرس، بهتر است این بخش را غیرفعال کنید تا اگر شخصی موفق شد به پنل وردپرس وارد شود، نتواند قالب وب‌سایتتان را به هم بریزد. برای غیرفعال کردن ویرایشگر قالب، کد زیر را در فایل wp-config.php که در ریشه‌ی هاست وجود دارد، قرار دهید:

با رعایت این ۱۰ نکته تا حد زیادی به افزایش امنیت وردپرس کمک خواهید کرد. اگرچه انجام این نکات لازم است اما کافی نیست!

بهتر است از یک افزونه امنیتی قدرتمند هم در این زمینه استفاده کنید. توصیه‌ی ما افزونه‌ی ithemes security است که در مقاله‌ی زیر می‌توانید کار کردن با آن را گام به گام بیاموزید.

کار با افزونه ithemes security

مطالب زیر را حتما بخوانید

چگونه می‌توانیم الگوهای مختلفی از پست تایپ سفارشی در وردپرس ایجاد کنیم؟

شاید بخواهید الگوی یک پست را در وردپرس سفارش‌سازی کنید. در این مقاله به چگونگی ایجاد ان می‌پردازیم.

تفاوت alt و tittle در تصاویر چیست؟ چرا باید از آنها استفاده کرد؟

دراین مقاله قصد داریم به تفاوت Alt و Title در تصویر+ نحوه اضافه کردن آنها در وردپرس بپردازیم و دلیل...

آموزش نحوه زمان بندی در انتشار پست ها در وردپرس

با استفاده از این ویژگی وردپرس می‌توانید زمان خود را به راحتی مدیریت کنید.

آموزش مدیریت دیدگاه‌ها و غیرفعال کردن نظرات در وردپرس

علت‌های مختلفی وجود دارد که یک وب‌سایت بخواهد قسمت دیدگاه‌های وب‌سایت خود را غیرفعال کند.

دیدگاهتان را بنویسید

7 پاسخ به “افزایش امنیت وردپرس با رعایت ۱۰ نکته”

  1. milad_d94 گفت:

    برای جلوگیری از اسپم در صورتی که از افزونه های کپچا استفاده کنیم باز هم نیازی به افزونه های آنتی اسپم مثل Akismet هست ؟ یا به بیان دیگر نصب یکی از این افزونه ها کافی هست ؟ یا هر دو افزونه را داشته باشیم ؟
    تشکر.

    • اگر افزونه کپچا داشته باشید دیگه ربات ها براتون کامنت ارسال نمیکنن اما ممکنه به صورت دستی توسط کاربرا پیام های اسپم دریافت کنید.
      یعنی با نصب کپچا احتمال دریافت پیام اسپم به شدت کاهش پیدا میکنه اما صفر نمیشه

  2. احسان رفیعی گفت:

    سلام. چطور میشه امنیت فولدر wp-admin را بالا برد؟ غیر از پسورد گذاشتن روی فولدر (htaccess)
    بعضی از سایت‌های معروف وردپرس امکان دسترسی به این فولدر وجود ندارد
    مثلا من بعنوان یک کاربر عادی وارد این صفحه سایت‌های معروف را بشوم، پیغام ۴۰۴ میدهد. صفحه خودتون نیز همینطور هست
    example.cpm/wp-admin

    متشکرم

  3. Commander_AV گفت:

    تشکر از پاسخگویی شما

    موفق باشید

  4. Commander_AV گفت:

    مطلب جالبی بود
    ممنون بابت زحمتی که کشیدید…
    عالی بود..

    چند تا نقد ریز هم داشتم:
    1) در مورد 7 که اشاره کردید (بروز رسانی مداوم)!!! نمیتونه دلیلی بر بالابردن امنیت باشه
    خیلی وقتا هست که نسخه ی جدید زودتر منتشر میشه، بعدش همه در قدم اول بروز رسانی میکنن
    در صورتی که این کار کاملا اشتباهه!چون ممکنه هنوز مورد بررسی دقیق قرار نگرفته باشه و یه آسیب پذیری یا ضعفی درش باشه که میتونه به ضرر صاحب سایت تموم بشه.

    2) در مورد 5،استفاده از کپچا تا حدودی میتونه از حملات بروت فورس جلوگیری کنه،در حالی که میشه باتعویض user agent این محدودیت رو به راحتی دور زد!(با Cap Monster و یا با Sentry MBA)

    3) در مورد 9،prefix جداول رو بخوایم تغییر بدیم،فرق زیادی نداره!چون به راحتی میشه توی اینجکت ها از بایپس هایی استفاده کرد که رمز رو توی هر تیبیلی باشه دو دستی تقدیمتون میکنه!(پس زیاد تاثیری نداره! ولی خب تغییرش خالی از لطف نیست)

    میتونید از Sqlmap و ابزار های مشابه در توزیع های تست نفوذ لینوکسی استفاده کنید

    در کل مقاله ی خوبی بود..با تشکر

    • سلام ممنون از اظهار نظرتون.

      در مورد نکته‌ی اولی که اشاره کردید باید بگم معمولاً زمانی یک افزونه آپدیت جدید ارائه میده که در نسخه‌ی قبلی باگی پیدا شه و در ورژن جدید اون باگ اصلاح شده به همین دلیل هستش که وب سایت‌هایی مثل codex-wordpress توصیه کردن از افزونه‌های بروز استفاده کنید. اگر منظورتونم ناسازگاری نسخه‌ی جدید با وب‌سایت هستش که تهیه‌ی یک بک‌آپ مشکل رو حل میکنه.
      مورد ۵ و ۹ هم همونطور که فرمودید انجام دادنشون خالی از لطف نیست. به زودی در مورد مزایا و معایب استفاده از کپچا هم مقاله‌ای منتشر می‌کنیم.

دیدگاهتان را بنویسید