افزایش امنیت وردپرس مسئلهای است که به سادگی نمیتوان از کنار آن عبور کرد. با رشد بالا و محبوبیتی که وردپرس در طول این چند سال به خود گرفته است و از طرفی به دلیل متن باز و رایگان بودن باعث شده است تا همواره از روشهای مختلف مورد حمله قرار گرفته و هکرها به دنبال این هستند که راهی برای نفوذ به وبسایتها پیدا کنند. به همین دلیل بالا بردن امنیت وردپرس باعث میشود تا از صدمه دیدن به کسب و کار خود جلوگیری کنید.
در این آموزش به معرفی روشهای مختلف افزایش امنیت وردپرس میپردازم که به کمک این روشهای می توانید سایت خود را ایمن کنید. هر یک از روش های معرفی شده میتواند راههای مختلف نفوذ در وردپرس و هک وردپرس را محدود کرده و کار را برای هکر تا حدی که نتواند کاری انجام دهد دشوارتر کند.
آموزش افزایش امنیت وردپرس در ۸ مرحله
روشهای معرفی شده در این مقاله به کمک افزونه و کدنویسی پیاده سازی میشوند. برخی از این روشها با استفاده از هر دو قابلیت امکان پذیر است که به انتخاب خود میتوانید از افزونه یا کدنویسی برای تامین امنیت وردپرس استفاده کنید.
استفاده از رمز عبور قوی
بعد از نسخه ۴ وردپرس قابلیتی در آن اضافه شد که انتخاب رمز شکل قویتری به خود گرفت. در این نسخه انتخاب رمز بر عهده وردپرس قرار گرفت که از رمز عبور قوی متشکل از اعداد، کاکراکترهای خاص و حروف بزرگ و کوچک استفاده شده است. البته اینکه بخواهید از رمز دلخواه هم استفاده کنید فراهم است، اما پیشنهاد میشود از رمزی که وردپرس پیشنهاد میدهد استفاده کنید.
آپدیت مداوم وردپرس
در هر بار آپدیت وردپرس موارد امنیتی و قابلیتهای جدیدی به آن اضافه میشود. افزونهها و قالبهای وردپرس نیز به همین شکل هستند که در هر بار آپدیت موارد امنیتی در آنها برطرف میشود. به عنوان نمونه در چند ماه گذشته افزونه داپلیکیتور که به عنوان یک افزونه پر استفاده برایساخت بستههای نصب آسان استفاده میشد، به دلیل عدم توجه افراد در غیرفعال سازی و حذف فایلهای اضافی به دلیل وجود یک باگ باعث هک هزاران سایت وردپرسی شد.
بنابراین همواره باید تلاش کنید که از افزونه و قالب وردپرس بهروز استفاده کنید. اگر هم میبینید که سازنده قالب دیگر پشتیبانی بابت آپدیت ارائه نمیکند در اولین فرصت ممکن قالب خود را تغییر دهید، چرا که هر چه دیرتر اقدام کنید ممکن است با یک باگ ساده کل سایت را نابود کنید.
بک آپ گیری همیشگی
در بیشتر موارد که سایتها هک شدهاند، به دلیل خرابی زیادی که به بار امده است امکان رفع مشکلات آن وجود ندارد. از طریفی مدت زمانی که برای رفع مشکلات طول میکشد زیاد شده و به همین دلیل با قرار دادن سایت در حالت تعمیر وردپرس روز به روز به سئو سایت شما آسیب زده میشود. بنابراین سریعترین روش برای رفع مشکل هک وردپرس بازگردانی آخرین بک آپ است؛ البته منظور نسخه بکآپ سالم است.
پس سعی کنید به صورت مداوم و در بازههای زمانی هفتگی یا حتی روزانه از سایت خود نسخه پشتیبان تهیه کنید. اگر نگرانی بابت پهنای باند مصرفی اینترنت دارید میتوانید این کار را با استفاده از VPS نیز انجام دهید. یا اینکه بک آپ گیری از دیتابیس وردپرس را به صورت روزانه و فایلها را به صورت هفتگی انجام دهید.
افزایش امنیت صفحه ورود وردپرس
صفحه ورود وردپرس از مهمترین صفحات یک سایت است که در بیشتر مواقع با ارسال درخواست ورود به سایت و حدس زدن نام کاربری و رمز عبور مورد حمله قرار میگیرد. این کار باعث میشود تا چندین نرم افزار به صورت مداوم برای ورود به سایت تلاش کنند، تعداد درخواستها به حدی بالا میرود که در نهایت منجر به کاهش منابع هاست شده و سایت با اختلال مواجه میشود. در چنین شرایطی می توانید از روشهای زیر استفاده کنید.
- تغییر آدرس صفحه ورود به وردپرس
- استفاده از قابلیت ورود دو مرحلهای در وردپرس
- استفاده از کپچا گوگل یا کپچا ریاضی وردپرس
- محدود کردن تعداد دفعات برای ورود به سایت و بلاک کردن آیپی
- بستن دسترسی به صفحه ورود و محدود کردن آن به یک آیپی خاص
- رمز گذاری روی پوشه wp-admin
- غیرفعال کردن پیغام خطا در صفحه ورود به وردپرس
- غیرفعال کردن ورود با ایمیل یا ورود با نام کاربری در وردپرس
- افزودن پرسش و پاسخ امنیتی برای صفحه ورود به وردپرس
برای هر یک از موارد فوق میتوانید یک جستجوی ساده انجام داده و به کمک کد نویسی یا استفاده از افزونه هر یک از موارد فوق را پیاده سازی کنید.
استفاده از SSL
با استفاده از SSL می توان اطلاعاتی که بین کاربر و سایت رد و بدل میشود را کدگذاری کرد. به طوری که خواندن این اطلاعات تا زمانی که کلید خصوصی را نداشته باشید فراهم نیست. بنابراین استفاده از این روش در زمانی که کاربران در سایت عضو هستند و اطلاعات حساسی مثل رمز یا دادههای شخصی را ارسال میکنند میتواند از مشکلات امنیتی جلوگیری کند.
تغییر پیشوند جداول وردپرس
اگر در هنگام نصب وردپرس پیشوند جداول را تغییر نداده و از همان حالت پیش فرض _wp استفاده میکنید بهتر است دست به کار شده و به کمک آموزش تغییر پیشوند جداول وردپرس اقدام به استفاده از پیشوند جدول دلخواه شوید. با استفاده از این روش میتوان از درخواستهای sql injection که به منظور دستکاری امنیتی دیتابیس مورد استفاده قرار میگیرد جلوگیری کرد.
غیرفعال کردن ویرایشگر قالب و افزونه
قابلیتی در منوی نمایش و افزونهها با عنوان ویرایشگر وجود دارد که به کمک آن و بدون نیاز به اینکه وارد هاست شوید میتوانید فایل افزونهها و قالب را مشاهده کرده و کدهای ان را تغییر دهید. اگر دسترسی به نقش کاربری مدیر کل را برای فردی فراهم کنید یا اینکه رمز شما در اختیار فردی قرار گیرد، بدون اینکه متوجه شوید قادر است تا کدهایی را در فایلهای وردپرس قرار داده و از سایت سوء استفاده کند.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
برای غیرفعال کردن این قابلیت کافی است کد فوق را در فایل wp-config.php که در مسیر public_html قرار دارد ذخیره کنید.
غیرفعال کردن اجرای کدهای php
مطمئنا شما در هنگام استفاده از وردپرس نیازی به اجرای کدهای php نخواهید داشت. گاهی اوقات ممکن است که به دلیل داشتن دسترسی برخی افراد به وردپرس فایلهای php در آن اپلود شود. از آنجایی که php زبان برنامه نویسی خود وردپرس است، با آپلود این فایل میتوان هر کار مخربی را در وردپرس انجام داد. پس با قرار دادن کد زیر در فایل htaccess. هاست، از اجرای آنها جلوگیری کنید.
<Files *.php> deny from all </Files>
موفق باشید
- مشکلی دارید؟ جواب خود را در پست فروم بگیرید
- منبع : بیست اسکریپت لطفا رعایت کنید