افزایش امنیت وردپرس با رعایت ۱۰ نکته


نویسنده:
چهارشنبه ۲۴ بهمن ۱۳۹۷
افزایش امنیت در وردپرس

روزانه هزاران وب‌سایت در سطح جهان مورد حمله‌ی هکرها قرار می‌گیرند. با آن‌که وردپرس ذاتاً محیطی امن است اما امنیت هیچ‌گاه به‌صورت صد در صد وجود ندارد. رعایت اصول امنیتی تا حد زیادی می‌تواند به افزایش امنیت وردپرس کمک کند. اگر در این موارد سهل‌انگاری شود امکان دارد تمام زحمات شما به هدر رود.

در گذشته در مقاله‌ی مهم‌ترین تهدیدهای امنیتی وب‌سایت به بررسی اساسی‌ترین تهدیدها و روش‌های هک پرداختیم. اکنون در این مقاله از مقالات آموزش امنیت وردپرس، سعی می‌کنیم با ارائه راهکارهایی به افزایش امنیت در وردپرس بپردازیم.

نکات افزایش امنیت وردپرس:

۱- استفاده از هاست معتبر

هر چقدر هم شما روی امنیت وب‌سایت خود کار کنید ولی هاست ایمنی نداشته باشید، سایت شما از طریق هاست ضعیف مورد آسیب قرار می‌گیرد. (در مقاله‌ی معرفی هاست به بررسی مفهوم آن پرداخته‌ایم. اگر از هاست اظلاعاتی ندارید به این مقاله مراجعه نمایید.)

در واقع انتخاب یک هاست معتبر گام اول حفظ امنیت وب‌سایت شماست. سعی کنید از شرکت‌هایی هاست تهیه کنید که به صورت مداوم سرورها را اسکن می‌کنند، از firewallهای قوی استفاده می‌کنند و مدام از وب‌سایت‌ها پشتیبان تهیه می‌کنند.

برای انتخاب هاست به راهنمای انتخاب هاست مناسب مراجعه نمایید.

۲- انتخاب نام کاربری و رمز عبور قوی

افزایش امنیت در وردپرس

معمولاً قدم اول در حمله‌ به یک وب‌سایت حدس زدن نام کاربری و رمز عبور آن است. پس برای همیشه کلماتی ‌مثل: ادمین، root، شماره تماس و.. را در انتخاب نام کاربری کنار بگذارید. همچنین تمام کاربران باید از رمز عبور قوی استفاده نمایند. بهتر است رمز عبور کاربران به‌صورت دوره‌ای تغییر کند.

۳- تغییر آدرس صفحه‌ی ورود به وردپرس

به‌صورت پیش فرض آدرس ورود به پنل وردپرس wp-login.php است. برای افزایش امنیت وردپرس، بهتر است آدرس صفحه‌ی ورود تغییر کند. برای تغییر دادن این آدرس می‌توانید از افزونه‌هایی مثل hc custom wp-admin url استفاده کنید.

۴- امنیت صفحه‌ی ورود به وردپرس

برای ورود به پنل وردپرس می‌توان از نام کاربری و یا ایمیل استفاده کرد. از آنجا که از ایمیل خود در جاهای مختلف استفاده می‌کنید، هکر می‌تواند از آدرس ایمیل شما به عنوان نام کاربری استفاده کند و با حدس رمز عبور وارد پنل وردپرس شود. برای جلوگیری از ورود با ایمیل، کد زیر را در فایل function.php  قرار دهید:

همچنین بهتر است تعداد دفعات ورود به وردپرس را محدود کنید. این قابلیت در اکثر افزونه‌های امنیتی وجود دارد.

 ۵- استفاده از کپچا

امنیت کامل وردپرس

در صفحه ورود به پنل وردپرس و فرم‌ها از کپچا استفاده نمایید. اغلب موارد هکرها با ارسال داده‌های اسپم سعی دارند منابع هاست را درگیر کنند تا سایت از دسترس خارج شود. کپچا با جلوگیری از ارسال داده‌های اسپم، به افزایش امنیت وردپرس کمک می‌کند.

۶- استفاده از افزونه و قالب‌های مطمئن

سعی کنید برای دانلود افزونه‌های وردپرسی از مخزن وردپرس یا وب سایت اصلی وردپرس به نشانی https://wordpress.org استفاده نمایید. برای دریافت قالب یا افزونه، به هر منبعی نباید اطمینان کرد. کدهای مخرب قرار داده شده در بعضی از قالب و افزونه‌ها می‌تواند آسیب‌های جدی به امنیت وب سایت شما وارد کند.

۷- به‌روزرسانی مداوم

برای حفظ امنیت کامل وردپرس، سعی کنید وردپرس و تمام قالب و افزونه‌های سایتتان را مداوم و به موقع به‌روزرسانی کنید. گاهی اوقات در اثر به‌روز نبودن وردپرس، هکرها هسته‌ی وردپرس را مورد هدف قرار می‌دهند، وردپرسی که جزو امن‌ترین سیستم‌های مدیریت محتوا است.

۸- مخفی کردن نام کاربری

زمانی که روی نام نویسنده‌ی مطلبی کلیک کنید، صفحه‌ی نویسنده باز می‌شود. در آدرس این صفحه، نام کاربری نویسنده نمایش داده می‌شود. نمایش نام کاربری، نفوذ به سایت را یک قدم آسان‌تر می‌کند زیرا هکر فقط باید رمز عبور را حدس بزند! بنابراین برای افزایش امنیت وردپرس، نام کاربری نمایش داده شده را تغییر دهید. برای انجام این کار کافی‌ است وارد دیتابیس سایت خود شوید، در جدول wp-users در بخش Nicename، نام خود را تغییر دهید.

۹- تغییر پیشوند جداول پایگاه داده

افزایش امنیت در وردپرس

در وردپرس پیشوند جداول به‌صورت پیش فرض، wp است. برای افزایش امنیت پایگاه داده سایت خود هنگام نصب وردپرس، این پیشوند را تغییر دهید. همچنین به‌صورت مداوم از پایگاه داده‌ی وب سایت خود پشتیبان تهیه کنید.

۱۰- غیر فعال کردن ویرایشگر قالب

در پیشخوان وردپرس در بخش نمایش، ویرایشگر قالب قرار داده شده تا بتوانید از این طریق، قالب سایت را ویرایش کنید. برای تامین امنیت وردپرس، بهتر است این بخش را غیرفعال کنید تا اگر شخصی موفق شد به پنل وردپرس وارد شود، نتواند قالب وب‌سایتتان را به هم بریزد. برای غیرفعال کردن ویرایشگر قالب، کد زیر را در فایل wp-config.php که در ریشه‌ی هاست وجود دارد، قرار دهید:

با رعایت این ۱۰ نکته تا حد زیادی به افزایش امنیت وردپرس کمک خواهید کرد. اگرچه انجام این نکات لازم است اما کافی نیست!

بهتر است از یک افزونه امنیتی قدرتمند هم در این زمینه استفاده کنید. توصیه‌ی ما افزونه‌ی ithemes security است که در مقاله‌ی زیر می‌توانید کار کردن با آن را گام به گام بیاموزید.

کار با افزونه ithemes security

مطالب زیر را حتما بخوانید

آموزش افزایش حجم آپلود در وردپرس

گاهی نیاز داریم تا فایل‌هایی بزرگتر از حجم تعیین شده در وردپرس را آپلود نماییم. در این صورت باید روش‌های...

مواردی که می‌توان برای ساخت فوتر در وردپرس به‌کار برد!

فوتر ضروری‌ترین قسمت‌‌ در معماری صقحه وب می‌باشد. این بخش در انتهای صفحه قرار گرفته و شامل اطلاعات مفیدی می‌باشد.

نحوه افزودن فایل PDF و Word به پست‌های وب‌سایت در وردپرس

در این مقاله به شما روش‌های مختلف افزودن اسناد مختلف را آموزش خواهیم داد.

آموزش رفع خطای صفحه سفید یا صفحه مرگ در وردپرس

در این مقاله به بررسی رفع مشکل صفحه سفید در وردپررس می‌پردازیم.

آموزش تولید محتوای متنی

دوره آموزش تولید محتوای متنی در وب

آموزش تولید محتوای متنی در وب‌سایت، یک دوره‌ی آموزشی برای تولید‌کنندگان محتوا ...

دوره آموزش ووکامرس | ساخت فروشگاه اینترنتی بدون کد نویسی

دوره آموزش ووکامرس | ساخت فروشگاه اینترنتی بدون کدنویسی

دوره‌ای مختص افرادی که می‌خواهند فروشگاه اینترنتی بسازند و آن را حرفه ...

پکیج آموزش html و css

دوره آموزش HTML و CSS

دوره آموزش HTML و CSS به صورت ویدیویی و پروژه محور : ...

دیدگاهتان را بنویسید

5 پاسخ به “افزایش امنیت وردپرس با رعایت ۱۰ نکته”

  1. Commander_AV گفت:

    مطلب جالبی بود
    ممنون بابت زحمتی که کشیدید…
    عالی بود..

    چند تا نقد ریز هم داشتم:
    1) در مورد 7 که اشاره کردید (بروز رسانی مداوم)!!! نمیتونه دلیلی بر بالابردن امنیت باشه
    خیلی وقتا هست که نسخه ی جدید زودتر منتشر میشه، بعدش همه در قدم اول بروز رسانی میکنن
    در صورتی که این کار کاملا اشتباهه!چون ممکنه هنوز مورد بررسی دقیق قرار نگرفته باشه و یه آسیب پذیری یا ضعفی درش باشه که میتونه به ضرر صاحب سایت تموم بشه.

    2) در مورد 5،استفاده از کپچا تا حدودی میتونه از حملات بروت فورس جلوگیری کنه،در حالی که میشه باتعویض user agent این محدودیت رو به راحتی دور زد!(با Cap Monster و یا با Sentry MBA)

    3) در مورد 9،prefix جداول رو بخوایم تغییر بدیم،فرق زیادی نداره!چون به راحتی میشه توی اینجکت ها از بایپس هایی استفاده کرد که رمز رو توی هر تیبیلی باشه دو دستی تقدیمتون میکنه!(پس زیاد تاثیری نداره! ولی خب تغییرش خالی از لطف نیست)

    میتونید از Sqlmap و ابزار های مشابه در توزیع های تست نفوذ لینوکسی استفاده کنید

    در کل مقاله ی خوبی بود..با تشکر

    • سلام ممنون از اظهار نظرتون.

      در مورد نکته‌ی اولی که اشاره کردید باید بگم معمولاً زمانی یک افزونه آپدیت جدید ارائه میده که در نسخه‌ی قبلی باگی پیدا شه و در ورژن جدید اون باگ اصلاح شده به همین دلیل هستش که وب سایت‌هایی مثل codex-wordpress توصیه کردن از افزونه‌های بروز استفاده کنید. اگر منظورتونم ناسازگاری نسخه‌ی جدید با وب‌سایت هستش که تهیه‌ی یک بک‌آپ مشکل رو حل میکنه.
      مورد ۵ و ۹ هم همونطور که فرمودید انجام دادنشون خالی از لطف نیست. به زودی در مورد مزایا و معایب استفاده از کپچا هم مقاله‌ای منتشر می‌کنیم.

  2. Commander_AV گفت:

    تشکر از پاسخگویی شما

    موفق باشید

  3. احسان رفیعی گفت:

    سلام. چطور میشه امنیت فولدر wp-admin را بالا برد؟ غیر از پسورد گذاشتن روی فولدر (htaccess)
    بعضی از سایت‌های معروف وردپرس امکان دسترسی به این فولدر وجود ندارد
    مثلا من بعنوان یک کاربر عادی وارد این صفحه سایت‌های معروف را بشوم، پیغام ۴۰۴ میدهد. صفحه خودتون نیز همینطور هست
    example.cpm/wp-admin

    متشکرم

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *