HamyarWP - همیاروردپرس
HamyarWP - همیاروردپرس
خواندن ۶ دقیقه·۲ سال پیش

امنیت وردپرس را دست کم نگیرید!

در دنیای اینترنتی یا به اصطلاح دنیای دیجیتال امنیت مسئله مهم و ضروری است. چنانچه از امنیت سایت غافل شوید باید به یکباره قید کسب و کارتان را بزنید زیرا با مشکلات جدی مواجه خواهید شد. وردپرس نیز از این قاعده مستثنی نیست و باید اقداماتی برای حفظ ایمنی آن انجام داد. درباره اقدامات ضروری در این مقاله توضیحاتی ارائه خواهیم کرد...

حفظ امنیت وردپرس

با وجود اینکه هسته اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می‌شود، باز هم کارهای زیادی برای حفظ امنیت وردپرس می‌توان انجام داد. ما معتقدیم که امنیت فقط حذف ریسک نیست بلکه در مورد کاهش ریسک است. در ادامه به مواردی که موجب حفظ و افزایش امنیت وردپرس می‌شود، خواهیم پرداخت:

  • بروز نگه داشتن وردپرس

وردپرس بصورت دوره‌ای و کاملا منظم بروزرسانی می‌شود پس شما هم به محض دیدن نسخه جدید آن را بروز کنید.

  • رمز عبور و سطوح دسترسی کاربران

یکی دیگر از مواردی که بشدت در امنیت وردپرس تاثیرگذار است، انتخاب رمز عبور قوی و کارآمد است. این مسئله به نظر خیلی‌ها ساده بوده اما واقعا رعایت آن موجب حفظ ایمنی می‌شود. همچنین می‌توانید برای کارمندان وبسایت خود سطوح دسترسی را درنظر بگیرید که واقعا به کارشان بیاید.

  • نقش میزبانی وب

عامل مهم دیگری که باید همان ابتدای کار دقت کنید، انتخاب هاست استاندارد و پرسرعت است. چنانچه هاستی معمولی یا رایگان انتخاب کنید به هیچ وجه نباید انتظار ایمنی داشته باشید.

  • تهیه نسخه پشتیبان از وردپرس

رسالت نسخه پشتیبان زمانی مشخص می‌شود که شما اطلاعات قبلی را از دست داده و حال باید آن را بازگردانی کنید. با توجه به میزان و نوع فعالیت خود بصورت روزانه یا هفتگی از وبسایت نسخه پشتیبان تهیه کنید و امید به هاستینگ خود نبندید.

  • بهترین افزونه‌های امنیتی وردپرس

وردپرس دارای افزونه‌های حرفه‌ای و خوبی برای حفظ ایمنی سایت است. مثلا افزونه‌ای مانند iThemes security از بهترین افزونه‌های امنیتی است که پیشنهاد می‌شود روی وردپرس نصب کنید.

  • فعال‌سازی فایروال در وب

فایروال وبسایت تمام ترافیک مخرب را حتی قبل از رسیدن به وبسایت شما مسدود می‌کند. فایروال وبسایت سطح DNS – از طریق سرورهای پروکسی ابری آنها ترافیک وبسایت شما را هدایت می‌کنند. این امر به آن‌ها اجازه می‌دهد فقط ترافیک واقعی را به سرور وب شما ارسال کنند. فایروال سطح برنامه – این افزونه‌های فایروال ترافیک را زمانی که به سرور شما می‌رسد، اما قبل از بارگیری بیشتر اسکریپت‌های وردپرس بررسی می‌کنند.

  • استفاده از گواهینامه SSL

هنگامی که گواهینامه SSL را فعال کردید، وبسایت به جای HTTP از HTTPS استفاده می‌کند، همچنین علامت قفل را در کنار آدرس وبسایت در مرورگر خواهید دید.این رمزگذاری باعث می‌شود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد.

  • تغییر نام کاربری پیش‌فرض admin

ز آنجایی که وردپرس پس از ثبت نام به طور پیش فرض به شما اجازه نمی‌دهد نام کاربری را تغییر دهید، از سه روش می‌توانید برای تغییر نام کاربری استفاده کنید.

  1. یک ادمین جدید ایجاد کنید و نام کاربری قدیمی را حذف کنید.
  2. از افزونه تغییر نام کاربری استفاده کنید.
  3. نام کاربری را در phpMyAdmin بروز کنید.
  • غیرفعال کردن امکان ویرایش فایل ها

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می‌دهد تم و فایل‌های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس ویرایش کنید.  این ویژگی می‌تواند یک خطر امنیتی باشد، به همین دلیل توصیه می‌کنیم آن را غیرفعال کنید.

  • غیرفعال کردن اجرای فایل PHP

یکی دیگر از راه‌های حفظ امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن نیازی نیست، مانند /wp-content/uploads/.

  • ایجاد محدودیت در تلاش مکرر برای ورود کاربر

به طور پیش فرض، وردپرس به کاربران این امکان را دارد که هر چند بار که می‌خواهند نام کاربری و رمز عبور را بزنند تا وارد سیستم شوند. این باعث می‌شود سایت وردپرسی شما در برابر حملات بی رحمانه آسیب‌پذیر شود. هکرها سعی می‌کنند رمزهای عبور را با تلاش برای ورود با ترکیب‌های مختلف بشکنند. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می‌کنید، به طور خودکار به آن رسیدگی می‌شود.

  • افزون احراز هویت دو عاملی

تکنیک احراز هویت دو مرحله‌ای از کاربران می‌خواهد که با استفاده از روش احراز هویت دو عاملی وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است و در مرحله دوم باید با استفاده از یک دستگاه یا برنامه جداگانه احراز هویت شوید.

  • تغییر پیشوند نام جداول پایگاه داده

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده استفاده می‌کند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش فرض استفاده می‌کند، حدس زدن نام جدول برای هکرها آسان‌تر می‌شود. به همین دلیل است که توصیه می‌کنیم پیشوند پایگاه داده تغییر دهید.

  • پسورد محافظت شده در wp-admin

به طور معمول، هکرها می‌توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی تهدید کنند. این موضوع به آنها اجازه می‌دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را امتحان کنند. شما می‌توانید حفاظت رمز عبور را در سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می‌کند.

  • غیرفعال کردن ایندکس دایرکتورها و مرورگرها

هکرها می‌توانند از جستجویی دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیری‌های شناخته شده دارید یا نه. سایر افراد می‌توانند از بررسی دایرکتوری برای جستجوی فایل‌های شما، کپی کردن تصاویر و یافتن آنها استفاده کنند. ساختار دایرکتوری خود و سایر اطلاعات را مشخص کنید. به همین دلیل است که به شدت توصیه می‌شود فهرست‌سازی و بررسی دایرکتوری را غیرفعال کنید.

  • غیرفعال کردن XML-RPC در وردپرس

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده زیرا به اتصال سایت وردپرس با وب و برنامه‌های تلفن همراه کمک می‌کند. به دلیل ماهیت قدرتمند خود، XML-RPC می‌تواند به طور قابل توجهی حملات brute-force را تقویت کند. برای مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وبسایت امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهند که توسط افزونه قفل ورود مسدود می‌شود. اما با XML-RPC، یک هکر می‌تواند از عملکرد system.multicall برای آزمایش هزاران رمز عبور استفاده کند.

  • خروج اتوماتیک کاربران

کاربرانی که وارد سیستم شده‌اند گاهی اوقات از صفحه خارج می‌شوند اما دکمه خروج از سایت را نمی‌زنند و این یک خطر امنیتی است. شخصی می‌تواند اطلاعات را ربوده، رمز عبور را تغییر دهد یا در حساب کاربری تغییراتی ایجاد کند. به همین دلیل است که بسیاری از سایت‌های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می‌کنند. شما می‌توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید. برای این منظور می‌توان از افزونه  Inactive Logout استفاه کنید.

  • ایجاد سوال امنیتی در هنگام ورود به وردپرس

افزودن یک سوال امنیتی به صفحه ورود سیستم وردپرس دسترسی غیرمجاز را برای کسی سخت‌تر می‌کند. با نصب افزونه WP Security Questions می‌توانید سوالات امنیتی اضافه کنید. پس از فعال‌سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.

  • اسکن وردپرس در مقابل بدافزارها

اگر یک افزونه امنیتی وردپرس نصب کرده‌اید، به طور معمول بدافزار و نشانه‌های نقض امنیتی را بررسی می‌کنند. با این حال، اگر افت ناگهانی در ترافیک وبسایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را انجام دهید. می‌توانید از افزونه امنیتی وردپرس خود استفاده کنید. البته اسکن برای حفظ امنیت وردپرس با کمک سایت‌های آنلاین نیز امکانپذیر است.

امنیت سایتامنیت وردپرسوردپرس
در ویرگول همیاروردپرس میتوانید مقاله های جذابی بخوانید که از دل تجربیات تیم همیاروردپرس استخراج شده است
شاید از این پست‌ها خوشتان بیاید