افزایش امنیت وردپرس با رعایت ۱۰ نکته

افزایش امنیت در وردپرس

چکیده‌ی مطلب

۲۴ بهمن ۱۳۹۷ ۲۳۹ بازدید 9 دقیقه
افزایش امنیت وردپرس با انجام ۱۰ نکته‌ی ساده‌ی زیر تا حد زیادی قابل انجام است. برای افزایش امنیت در وردپرس کافی است تا انتهای این مقاله همراه ما باشید تا با نکات اولیه‌ی امنیتی آشنا شوید. با رعایت این نکات دیگر نگران امنیت وب‌سایتتان نباشید.

روزانه هزاران وب‌سایت در سطح جهان مورد حمله‌ی هکرها قرار می‌گیرند. با آن‌که وردپرس ذاتاً محیطی امن است اما امنیت هیچ‌گاه به‌صورت صد در صد وجود ندارد. رعایت اصول امنیتی تا حد زیادی می‌تواند به افزایش امنیت وردپرس کمک کند. اگر در این موارد سهل‌انگاری شود امکان دارد تمام زحمات شما به هدر رود.
در گذشته در مقاله‌ی مهم‌ترین تهدیدهای امنیتی وب‌سایت به بررسی اساسی‌ترین تهدیدها و روش‌های هک پرداختیم. اکنون در این مقاله از مقالات ادمین سایت، سعی می‌کنیم با ارائه راهکارهایی به افزایش امنیت در وردپرس بپردازیم.

 

نکات افزایش امنیت وردپرس:

۱- استفاده از هاست معتبر

هر چقدر هم شما روی امنیت وب‌سایت خود کار کنید ولی هاست ایمنی نداشته باشید، سایت شما از طریق هاست ضعیف مورد آسیب قرار می‌گیرد. در واقع انتخاب یک هاست معتبر گام اول حفظ امنیت وب‌سایت شماست. سعی کنید از شرکت‌هایی هاست تهیه کنید که به صورت مداوم سرورها را اسکن می‌کنند، از firewallهای قوی استفاده می‌کنند و مدام از وب‌سایت‌ها پشتیبان تهیه می‌کنند.

 

۲- انتخاب نام کاربری و رمز عبور قوی

افزایش امنیت در وردپرس

معمولاً قدم اول در حمله‌ به یک وب‌سایت حدس زدن نام کاربری و رمز عبور آن است. پس برای همیشه کلماتی ‌مثل: ادمین، root، شماره تماس و.. را در انتخاب نام کاربری کنار بگذارید. همچنین تمام کاربران باید از رمز عبور قوی استفاده نمایند. بهتر است رمز عبور کاربران به‌صورت دوره‌ای تغییر کند.

 

۳- تغییر آدرس صفحه‌ی ورود به وردپرس

به‌صورت پیش فرض آدرس ورود به پنل وردپرس wp-login.php است. برای افزایش امنیت وردپرس، بهتر است آدرس صفحه‌ی ورود تغییر کند. برای تغییر دادن این آدرس می‌توانید از افزونه‌هایی مثل hc custom wp-admin url استفاده کنید.

 

۴- امنیت صفحه‌ی ورود به وردپرس

برای ورود به پنل وردپرس می‌توان از نام کاربری و یا ایمیل استفاده کرد. از آنجا که از ایمیل خود در جاهای مختلف استفاده می‌کنید، هکر می‌تواند از آدرس ایمیل شما به عنوان نام کاربری استفاده کند و با حدس رمز عبور وارد پنل وردپرس شود. برای جلوگیری از ورود با ایمیل، کد زیر را در فایل function.php  قرار دهید:

همچنین بهتر است تعداد دفعات ورود به وردپرس را محدود کنید. این قابلیت در اکثر افزونه‌های امنیتی وجود دارد.

 

 ۵- استفاده از کپچا

امنیت کامل وردپرس

در صفحه ورود به پنل وردپرس و فرم‌ها از کپچا استفاده نمایید. اغلب موارد هکرها با ارسال داده‌های اسپم سعی دارند منابع هاست را درگیر کنند تا سایت از دسترس خارج شود. کپچا با جلوگیری از ارسال داده‌های اسپم، به افزایش امنیت وردپرس کمک می‌کند.

 

۶- استفاده از افزونه و قالب‌های مطمئن

سعی کنید برای دانلود افزونه‌های وردپرسی از مخزن وردپرس یا وب سایت اصلی وردپرس به نشانی https://wordpress.org استفاده نمایید. برای دریافت قالب یا افزونه، به هر منبعی نباید اطمینان کرد. کدهای مخرب قرار داده شده در بعضی از قالب و افزونه‌ها می‌تواند آسیب‌های جدی به امنیت وب سایت شما وارد کند.

 

۷- به‌روزرسانی مداوم

برای حفظ امنیت کامل وردپرس، سعی کنید وردپرس و تمام قالب و افزونه‌های سایتتان را مداوم و به موقع به‌روزرسانی کنید. گاهی اوقات در اثر به‌روز نبودن وردپرس، هکرها هسته‌ی وردپرس را مورد هدف قرار می‌دهند، وردپرسی که جزو امن‌ترین سیستم‌های مدیریت محتوا است.

 

۸- مخفی کردن نام کاربری

زمانی که روی نام نویسنده‌ی مطلبی کلیک کنید، صفحه‌ی نویسنده باز می‌شود. در آدرس این صفحه، نام کاربری نویسنده نمایش داده می‌شود. نمایش نام کاربری، نفوذ به سایت را یک قدم آسان‌تر می‌کند زیرا هکر فقط باید رمز عبور را حدس بزند! بنابراین برای افزایش امنیت وردپرس، نام کاربری نمایش داده شده را تغییر دهید. برای انجام این کار کافی‌ است وارد دیتابیس سایت خود شوید، در جدول wp-users در بخش Nicename، نام خود را تغییر دهید.

 

۹- تغییر پیشوند جداول پایگاه داده

افزایش امنیت در وردپرس

در وردپرس پیشوند جداول به‌صورت پیش فرض، wp است. برای افزایش امنیت پایگاه داده سایت خود هنگام نصب وردپرس، این پیشوند را تغییر دهید. همچنین به‌صورت مداوم از پایگاه داده‌ی وب سایت خود پشتیبان تهیه کنید.

 

۱۰- غیر فعال کردن ویرایشگر قالب

در پیشخوان وردپرس در بخش نمایش، ویرایشگر قالب قرار داده شده تا بتوانید از این طریق، قالب سایت را ویرایش کنید. برای تامین امنیت وردپرس، بهتر است این بخش را غیرفعال کنید تا اگر شخصی موفق شد به پنل وردپرس وارد شود، نتواند قالب وب‌سایتتان را به هم بریزد. برای غیرفعال کردن ویرایشگر قالب، کد زیر را در فایل wp-config.php که در ریشه‌ی هاست وجود دارد، قرار دهید:

 

با رعایت این ۱۰ نکته تا حد زیادی به افزایش امنیت وردپرس کمک خواهید کرد. اگرچه انجام این نکات لازم است اما کافی نیست! در مقالات بعدی سعی می‌کنیم به ارائه راهکارهای امنیتی دیگری برای افزایش امنیت وردپرس بپردازیم.

نظرات کاربران

  1. Commander_AV گفت:

    مطلب جالبی بود
    ممنون بابت زحمتی که کشیدید…
    عالی بود..

    چند تا نقد ریز هم داشتم:
    ۱) در مورد ۷ که اشاره کردید (بروز رسانی مداوم)!!! نمیتونه دلیلی بر بالابردن امنیت باشه
    خیلی وقتا هست که نسخه ی جدید زودتر منتشر میشه، بعدش همه در قدم اول بروز رسانی میکنن
    در صورتی که این کار کاملا اشتباهه!چون ممکنه هنوز مورد بررسی دقیق قرار نگرفته باشه و یه آسیب پذیری یا ضعفی درش باشه که میتونه به ضرر صاحب سایت تموم بشه.

    ۲) در مورد ۵،استفاده از کپچا تا حدودی میتونه از حملات بروت فورس جلوگیری کنه،در حالی که میشه باتعویض user agent این محدودیت رو به راحتی دور زد!(با Cap Monster و یا با Sentry MBA)

    ۳) در مورد ۹،prefix جداول رو بخوایم تغییر بدیم،فرق زیادی نداره!چون به راحتی میشه توی اینجکت ها از بایپس هایی استفاده کرد که رمز رو توی هر تیبیلی باشه دو دستی تقدیمتون میکنه!(پس زیاد تاثیری نداره! ولی خب تغییرش خالی از لطف نیست)

    میتونید از Sqlmap و ابزار های مشابه در توزیع های تست نفوذ لینوکسی استفاده کنید

    در کل مقاله ی خوبی بود..با تشکر

    • سلام ممنون از اظهار نظرتون.

      در مورد نکته‌ی اولی که اشاره کردید باید بگم معمولاً زمانی یک افزونه آپدیت جدید ارائه میده که در نسخه‌ی قبلی باگی پیدا شه و در ورژن جدید اون باگ اصلاح شده به همین دلیل هستش که وب سایت‌هایی مثل codex-wordpress توصیه کردن از افزونه‌های بروز استفاده کنید. اگر منظورتونم ناسازگاری نسخه‌ی جدید با وب‌سایت هستش که تهیه‌ی یک بک‌آپ مشکل رو حل میکنه.
      مورد ۵ و ۹ هم همونطور که فرمودید انجام دادنشون خالی از لطف نیست. به زودی در مورد مزایا و معایب استفاده از کپچا هم مقاله‌ای منتشر می‌کنیم.

  2. Commander_AV گفت:

    تشکر از پاسخگویی شما

    موفق باشید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.