با ادامه سری مقالات روش های افزایش امنیت وردپرس همراه شما هستیم.
یکی دیگر از راه های افزایش امنیت وردپرس، غیرفعال کردن اجرای فایل های PHP در فولدر های نامرتبط برای اجرای فایل، مانند wp-content/uploads است.
برای این کار یک فایل داخل این مسیر بسازید و کد زیر را داخل آن قرار دهید. سپس نام آن را به .htaccess تغییر دهید.
<Files *.php>
deny from all
</Files>
توجه داشته باشید که این فایل htaccess جدید در مسیر wp-content/uploads باشد و آن را با فایل .htaccess داخل فولدر public_html سایت خود اشتباه نگیرید!
به طور پیشفرض وردپرس اجازه می دهد که هر چقدر که کاربر بخواهد، برای لاگین تلاش کند. این اجازه باعث می شود حملات بروت فورس به سایت شما نیز آسان شود و باعث آسیب پذیری بیشتر سایت شما می شود. هکر ها از این امکان می توانند استفاده کنند و رمز های مختلف را به صورت اتوماتیک روی فرم ورود سایت شما تست کنند تا رمز شما را پیدا کنند.
اما نگران نباشد. به راحتی می توان محدودیتی برای تعداد تلاش لاگین تعیین کرد تا هکر ها از این امکان سو استفاده نکنند.
اگر هاست سرور شما دارای WAF باشد، خود جلوی این کار را می گیرید. اگر هاست سرور شما دارای WAF نیست، به راحتی از طریق افزونه Limit Login Attempts این کار را انجام دهید. برای آموزش این افزونه به مقاله افزایش امنیت وردپرس با محدود کردن دفعات ورود کاربران به پنل کاربری مراجعه کنید. البته برخی از افزونه های امنیتی که بالاتر معرفی کردیم، خود این امکان را دارند.
به طور پیشفرض پیشوند جدول های وردپرس wp است. اگر پیشوند جدول های سایت شما نیز همان پیشفرض وردپرس باشد، پس هکر ها دقیقا نام جدول ها و فیلد های دیتابیس سایت شما را می دانند!
برای تغییر پیشوند جدول های وردپرس می توانید از افزونه Change Table Prefix استفاده کنید. آموزش تغییر پیشوند جدول های وردپرس را در مقاله مربوطه بخوانید. از این به بعد نیز حتما هنگام نصب وردپرس، به طور پیشفرض این عبارت را قرار ندهید و آن را به حروف دیگری تغییر دهید. لازم هم نیست که حتما 2 حرف باشد. می تواند شامل چندین حرف و عدد باشد.
همه می دانند که آدرس پنل مدیریت wp-admin است. پس هکر نیز از این موضوع آگاه است. ما می توانیم برای امنیت بیشتر، روی این فولدر و مسیر رمز قرار دهیم. یعنی علاوه بر نام کاربری و رمز اکانت خود، یک نام کاربری و رمز دیگر روی این مسیر قرار دهید. یعنی پنل مدیریت خود را دو قفله می کنید! ?
برای این کار باید وارد پنل هاست خود شوید. به عنوان مثال اگر از سی پنل استفاده می کنید، وارد فولدر های سایت خود شوید و در آن جا با کلیک راست کردن روی فولدر wp-admin، نام کاربری و رمز عبور انتخاب کنید.
اگر امکان نمایش فایل ها و فولدر های سایت شما در مرورگر فعال است، باید آن را غیرفعال کنید تا هکر ها از این دسترسی سوء استفاده نکنند.
حتی کاربران عادی نیز ممکن است از این امکان سوء استفاده کنند و به فایل ها و فولدر های سایت شما سرک بشکند یا حتی ممکن است سایت شما فروش فایل داشته باشد و به این صورت بدون خرید از سایت، به آن فایل دسترسی پیدا کند! به همین دلیل باید این امکان را غیرفعال کنید.
برای غیرفعال کردن این امکان، می توانید با اضافه کردن کد زیر به فایل .htaccess اقدام کنید.
Options -Indexes
همچنین از طریق خود سی پنل نیز این امکان وجود دارد که آموزش آن در دوره افزایش امنیت وردپرس قرار دارد.
XML-PRC برای ارتباط با سایر وب سایت ها و اپلیکیشن ها کاربرد دارد که از وردپرس 3.5 اضافه شد. اما فعال بودن این امکان احتمال حمله بروت فورس را زیاد می کند.
هکر با استفاده از این امکان، می تواند با هویت های مختلف درخواست به سمت صفحه لاگین ارسال کند و چون از هویت های مختلف ارسال می شود، هیچ پلاگینی جلوی این درخواست ها را نمی گیرید و افزونه Limit Login Attemps نیز کاربردی ندارد!
به همین دلیل اگر این امکان برای شما کاربرد ندارد، باید آن را غیر فعال کنید. برای این کار می توانید از کد زیر در فایل .htaaceess استفاده کنید.
<Files xmlrpc.php>
order deny,allow
allow from 123.123.123.123
deny from all
</Files>
همچین برخی از پلاگین های امنیت وردپرس معرفی شده، این امکان را در خود دارند.
برخی کاربران ممکن است بعد از لاگین کردن در سایت، در کنار سیستم خود نباشند و در پنل وردرپس لاگین بمانند. در این جا ممکن است شخص دیگری پسورد او را تغییر دهد و دسترسی برای خود ایجاد کند.
در سایت های پرداخت نیز دیده اید که برای انجام کاری، مدت زمان محدودی فرصت دارد. همین امکان را می توانید در وردپرس خود داشته باشید تا امنیت آن را باز هم بیشتر کنید.
افزونه Idle User Logout این امکان را به شما می دهد. همچین برخی از پلاگین های امنیتی معرفی شده نیز این امکان را درون خود دارند.
با افزودن سوالات امنیتی یا همان کچپا به سایت، باعث می شود امنیت سایت شما بسیار افزایش پیدا کند. به این صورت دیگر احتمال حملات توسط ربات ها کمتر می شود.
بهترین پلاگین ریکپچا گوگل است که بسیار هوشمندانه می تواند ربات ها را از سایت شما دور کند. برای افزودن این پلاگین به سایت خود، آموزش ایجاد کد امنیتی گوگل در وردپرس با افزونه Google Captcha را مشاهده کنید.
متاسفانه بسیاری از وبمستران اهمیت امنیت را تا زمانی که سایتشان هک نشود، جدی نمی گیرند. وقتی هم هک شوند و بک آپ نداشته باشند، تمام زحمات خود را نابود می کنند.
اگر سایت شما هک شد و با بک آپ یا هر روش دیگری آن را برگرداندید، اول این که بدانید سایت شما آسیب پذیر است و سعی کنید روش های مختلف جلوگیری از هک وردپرس را یاد بگیرید و در سایت خود پیاده کنید.
اما هکر ها معمولا یک راه ورود برای خود باز می گذارند. پس باید سایت را کامل بررسی کنید. یک بار سایت خود را با ابزار های و افزونه های امنیتی اسکن کنید و اگر فایل مخربی پیدا شد آن را پاک کنید. همچنین در قسمت کاربران خود نیز بررسی کنید تا شخصی با سطح دسترسی ادمین به جز خودتان وجود نداشته باشد. و البته باید تمام پسور های مربوط به سایت خود را تغییر دهید و آن را سخت انتخاب کنید.
در دوره افزایش امنیت وردپرس به صورت عملی این موارد آموزش داده شده است.
در این مقاله سعی کردیم با گفتن روش های مهم و ساده، امنیت سایت خود را بالا ببریم. اما این را بدانید گاهی اوقات سهل انگاری ما کاربران است که باعث هک شدن سایتمان می شویم.
حتما از دستورالعمل های این مقاله پیروی کنید تا احتمال هک شدن سایت شما بسیار کم شود. همچنین اگر نیاز دارید که این موارد را همراه با نکات جدید تر به صورت عملی و تصویری داشته باشید، پیشنهاد می کنیم دوره افزایش امنیت وردپرس را دانلود کنید تا امنیت را در سطوح بالاتری یاد بگیرید.
در پایان پیشنهاد می کنم حتما چک لیست امنیت وردپرس را رایگان دانلود کنید تا نکات بیشتری از امنیت وردپرس یاد بگیرید.
اگر تجربه ای در زمین امنیت و هک شدن سایت دارید، لطفا با ما و سایر دوستان در میان بگذارید. همچنین اگر دوستان شما نیز سایت وردپرسی دارند، حتما این مقاله را با آن ها به اشتراک بگذارید تا دوستانتان از این آسیب ها در امان بمانند.
