اگر صاحب یک وبسایت وردپرسی هستید، باید بدانید که وردپرس بهخاطر محبوبیت بالا، هدف اول بسیاری از حملات خودکار و دستی است. متأسفانه بیشتر صاحبان سایتها تنها زمانی به فکر امنیت میافتند که یا سایتشان هک شده یا از گوگل لیست سیاه شده است.
در این مقاله، ۱۰ اقدام امنیتی واقعاً حیاتی را معرفی میکنم که بر اساس تجربه میدانی و تحلیل هزاران حمله واقعی جمعآوری شدهاند. این نکات را میتوانید حتی اگر دانش فنی زیادی ندارید پیادهسازی کنید.
۱. بهروزرسانیها را جدی بگیرید: شکافهای امنیتی لحظهشماری میکنند
بیشتر نفوذها نه از طریق حملات پیچیده، که از آسیبپذیریهای شناختهشدهای رخ میدهند که وصله آنها ماهها قبل منتشر شده است. هسته وردپرس، قالب و افزونهها را **حداقل هفتهای یکبار** بهروز کنید. یک اصل ساده: اگر افزونهای بیش از ۶ ماه بهروزرسانی نداشته و با نسخه جدید وردپرس تست نشده است، آن را حذف کنید.
۲. رمز عبور را به یک «عبارت عبور» تغییر دهید
استفاده از پسوردهایی مثل `admin123` یا `0912...` یک دعوتنامه برای حمله brute-force است. پسورد شما باید حداقل ۱۶ کاراکتری و شامل ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها باشد. پیشنهاد علمی: از یک عبارت تصادفی اما قابل حفظ مانند `Mordad731\*!Gandom` استفاده کنید.
۳. پیشوند جداول دیتابیس را از `wp_` تغییر دهید
بیشتر حملات تزریق SQL بهطور پیشفرض جداولی با پیشوند `wp_` را هدف میگیرند. هنگام نصب وردپرس یا از طریق افزونههای امنیتی، این پیشوند را به یک عبارت تصادفی مثل `myt3ch_` تغییر دهید. این کار مثل عوض کردن قفل در اصلی ساختمان است.
۴. تعداد تلاشهای ناموفق ورود را محدود کنید
رباتها میتوانند در هر دقیقه هزاران رمز عبور را امتحان کنند. با نصب یک افزونه ساده مانند Limit Login Attempts Reloaded تعداد دفعات مجاز ورود اشتباه از یک IP را به ۳ بار محدود کنید و زمان مسدودسازی را حداقل ۲۰ دقیقه تنظیم کنید.
۵. احراز هویت دو مرحلهای (2FA) را فعال کنید
این لایه امنیتی، حتی اگر رمز عبور شما لو برود، از ورود غیرمجاز جلوگیری میکند. از افزونههای معتبر مثل Wordfence یا Google Authenticator استفاده کنید. با یک بار اسکن کد QR، امنیت ورود به پنل مدیریت چندین برابر میشود.
۶. دسترسی به ویرایش فایل از داخل پنل را قطع کنید
وردپرس بهطور پیشفرض اجازه میدهد قالب و افزونهها را از طریق پنل مدیریت ویرایش کنید. اگر هکر به پنل دسترسی پیدا کند، میتواند درِ پشتی خود را در همان صفحه بنویسد. کافی است این خط را در فایل `wp-config.php` قرار دهید:
```php
define('DISALLOW_FILE_EDIT', true);
```
۷. XML-RPC را غیرفعال کنید
این قابلیت قدیمی که برای اتصال اپلیکیشنها به کار میرفت، امروزه به یکی از بزرگترین بردارهای حمله brute-force و DDoS تبدیل شده است. اگر از اپلیکیشن وردپرس روی موبایل استفاده نمیکنید، با افزونههایی مثل Disable XML-RPC آن را کاملاً خاموش کنید.
۸. نسخه وردپرس خود را مخفی کنید
حضور متای تگی مثل `<meta name="generator" content="WordPress 6.2">` به مهاجم دقیقاً میگوید از کدام آسیبپذیریهای نسخه شما میتواند سوءاستفاده کند. این تگ را با افزونههای امنیتی پاک کنید یا با افزودن کد زیر به `functions.php` قالبتان حذف کنید:
```php
remove_action('wp_head', 'wp_generator');
```
۹. پشتیبانگیری منظم و خودکار را فراموش نکنید
حتی با رعایت تمام نکات، احتمال رخداد فاجعه صفر نیست. یک نسخه پشتیبان کامل از فایلها و دیتابیس، برگ برنده شما برای بازگرداندن سایت در کمتر از ۱۰ دقیقه است. از افزونههای رایگان و قدرتمندی مانند UpdraftPlus استفاده کنید و پشتیبانها را روی فضای ابری (مثلاً Google Drive) ذخیره نمایید.
۱۰. یک فایروال قدرتمند و رایگان نصب کنید
فایروالها ترافیک مخرب را قبل از رسیدن به وردپرس فیلتر میکنند. افزونه Wordfence (نسخه رایگان) یک انتخاب علمی و ثابتشده است که شامل اسکنر بدافزار، فایروال و قوانین امنیتی بهروز میشود. بلافاصله پس از نصب، Firewall آن را فعال و تنظیمات پیشنهادی را اعمال کنید.
## نتیجهگیری
امنیت یک مقصد نیست، یک فرایند مستمر است. لازم نیست همه این ۱۰ اقدام را یکشبه پیادهسازی کنید. از همین امروز با تغییر رمز عبور و نصب فایروال شروع کنید. تجربه نشان داده است که صرفاً اجرای ۴-۵ مورد از این نکات، بیش از ۹۰٪ حملات رایج را خنثی میکند.
