یک وبسایت برای اینکه کامل و بینقص باشد، باید تغذیه مناسبی داشته باشد. حال این تغذیه چیست و چگونه باید آن را یافت؟ یکی از غذاهای بسیار لازم برای وبسایت امنیت است. به قدری لازم و ضروری است که هرگز نمیتوان آن را فراموش کرد. اینطور بگویم که فراموش کردن آن مساوی است با از بین رفتن تمام زحمتی که کشیدهاید.
موضوع در وردپرس نیز فرقی نمیکند و همانند تمامی وبسایتهای دیگر باید به فکر حفاظت و ایمنی بود. حفظ امنیت کامل در وردپرس با کمک افزونهها تا حدی تامین میشود اما به این معنی نیست که فاکتورهای دیگر را نادیده بگیریم.
امنیت کامل در وردپرس
برای اینکه بتوانیم امنیت کامل در وردپرس برقرار کنیم باید ۱۲ قدم ساده اما خیلی مهم را محکم برداریم و هیچکدام را نادیده نگیریم. اگر دوست داشته باشید این موارد را امروز با هم بررسی میکنیم:
- لطفا از نام کاربری admin استفاده نکنید.
- از پسوردهای سخت استفاده کنید.
- از احراز هویت دو مرحلهای استفاده کنید.
- دسترسی سایت را به افراد مطمئن دهید.
- پنهان کردن wp-config.php و htaccess.
- استفاده از کلیدهای امنیتی وردپرس برای احراز هویت استفاده کنید.
- غیرفعال کردن ویرایشگر فایل
- ایجاد محدودیت در وارد شدن به سایت
- استفاده از XML-RPC
- انتخاب هاست ایمن برای وردپرس
- همیشه بروز بمانید.
- از قالب و افزونههای مطمئن استفاده کنید.
لیست بالا مواردی است که دقیقا باید از آنها بهرهمند شوید و آنها را برای امنیت کامل در وردپرس به کار ببرید. نگران نباشید هر کدام از موارد را به صورت جداگانه توضیح میدهیم.
۱- لطفا از نام کاربری admin استفاده نکنید
به این موضوع خوب فکر کنید. راحتترین کاری است که میتوانید برای برقراری امنیت کامل در وردپرس انجام دهید. نه نیاز به ابزاری است و نه نیاز به بررسی. تنها کافیست به جای اینکه نام کاربری پیشفرض وردپرس را استفاده کنید، خود نام کاربری مقاومتری انتخاب کنید. این گزینه نیازمند هیچ هزینهای نیست اما عدم رعایت آن میتواند برایتان هزینه سنگینی ایجاد کند! هرگز فراموش نکنید:
امنیت در مورد حذف خطر نیست، بلکه در مورد کاهش خطر است.
یک حساب کاربری برای خودتان ایجاد کنید زیرا زمانی که میخواهید در سایت، مطالبی بنویسید نام کاربری که همان ادمین است به کاربران نمایش داده میشود. پس یک نام کاربری دیگر به عنوان ویرایشگر بسازید و در هنگام نوشتن مطالب از آن استفاده کنید تا کسی در مورد اکانت کاربری مدیریت بویی نبرد.
۲- از پسوردهای سخت استفاده کنید
نکتهای که همیشه باید به خاطر داشته باشید: پیچیده، طولانی و یکتا بودن است.
وبسایتی مانند Lastpass امکان انتخاب پسوردهای قوی را به شما میدهد. البته کار پیچیدهای نیست و خودتان نیز به راحتی میتوانید آن را برای برقراری امنیت کامل در وردپرس انتخاب کنید. ولی اگر دوست دارید از چنین سایتی نیز میتوانید کمک بگیرید.
۳- از احراز هویت دو مرحلهای استفاده کنید
حتی اگر از نام کاربری و پسورد قوی استفاده میکنید، آگاه باشید که هنوز امکان خطر حملات Brute Force در کمین شماست! مرحله دیگری که باید برای مقابله با آن در نظر بگیرید، استفاده از احراز هویت دو مرحلهای است. برای ایجاد چنین امکانی پیشنهاد میکنم از افزونه wordfence Security استفاده کنید.
۴- دسترسی سایت را به افراد مطمئن دهید
ممکن است وبسایتتان دارای چند نویسنده، مدیر، ویرایشگر و… باشد. اینگونه کار شما در برقراری امنیت کامل در وردپرس سخت میشود. چرا؟
واضح است! آیا نسبت به تمامی افراد مطمئن هستید؟ هرگز نمیتوان گفت بله. ممکن است افراد خودشان خطرناک باشند یا در بهترین حالت از اطلاعات کاربری قوی استفاده نکنند و وبسایت را به خطر بیندازند. برای جلوگیری از این مشکل باید چه کرد؟
۱- افرادی که مطمئن هستند را انتخاب کنید.
۲- دسترسی افراد را براساس عملکردی که دارند محدود کنید. این عملیات را میتوان با کمک افزونه Advanced Access Manager انجام داد.
۵- پنهان کردن wp-config.php و htaccess.
یکی دیگر از روشهای برقراری امنیت کامل در وردپرس، مخفی کردن همین دو فایل است. کار به ظاهر سادهای است اما کمی اشتباه در انجام آن، میتواند وبسایتتان را از دسترس خارج کند. پس اول یک نسخه پشتیبان تهیه کرده و سپس عملیات را آغاز کنید. ناگفته نماند که افزونه Yoast SEO این کار را برایتان سادهتر میکند. برای این منظور به بخش ابزارها>> ویرایشگر فایل مراجعه کنید. در اینجا با فایل htaccess. مواجه میشوید. حال قطعه کد زیر را برای حفظ ایمنی بیشتر wp-config.php وارد کنید:
<Files wp-config.php> order allow,deny deny from all </Files>
همچنین برای محافظت از فایل htaccess. میتوانید قطعه کد زیر را وارد کنید:
<Files .htaccess> order allow,deny deny from all </Files>
۶- استفاده از کلیدهای امنیتی وردپرس برای احراز هویت استفاده کنید
کلیدهای امنیتی وردپرس و احراز هویت در یک همکاری قدرتمند برای محافظت از کوکیها و رمزهای عبور در بین مرورگر و وبسرور فعالیت میکنند. لطفا کلیدهای احراز هویت را با پسوردهای رندوم اشتباه نگیرید. این کلیدها وظیفه حفاظت و بهبود امنیت در برابر کوکیها را برعهده دارند.
برای این منظور باید تغییراتی را در wp-config.php به کمک کلیدهای امنیتی انجام داد. برخی از آنها به صورت زیر است:
define('AUTH_KEY', '-+[_ig?wETc;r3<!S#.aB`F4)muO9Z7t>GR$Xzbh=HFD(|ZMS V}wN%[h[Kf|:`H'); define('SECURE_AUTH_KEY', '-=,=ou;=z]2W`Vp510}n+X,>)&@e|O;EI#I1eTmdy}.{=NuZzW~^|W{0{i%@;A`c'); define('LOGGED_IN_KEY', '(%0/c;f|7iGciA^;+yN&)6G?g+}|mFQ0J1qrs9{6UcQ5L8L9$6c_YQ6SP:%)3GL{'); define('NONCE_KEY', '4_O}rtFl-Pq_Tp x0RLsOY+wQGTeA[hy~P;~-Lg]+{sfNsY^G{[O2Xg4`-l;$m-='); define('AUTH_SALT', 'Z!>bOhFB2i~P%r$LC[sc- ^-u&>eF>A-QhWQ@ygrL^5lN@2@29t+d#rz~:F!cpw1'); define('SECURE_AUTH_SALT', ',UN9qIyGatT&)%pj=|*StP?aabOL*Jl.L-3_31|u?#iO8nC^nNT/3DF<>~x^CSRf'); define('LOGGED_IN_SALT', '3vfbS2m}2],UO<c,;==f9a` *k%{jUny=kGmeB/[*[OwtY2Emmw?Afn%2?7_bF5Z'); define('NONCE_SALT', 'L@::-KC3O=pg;Dm+66Osgph(@@uR^lDw[wu0qk/-CP.SblVO@Oyv`L=+yYQF2cJ-');
میتوانید آنها را در wp-config.php اضافه کنید.
۷- غیرفعال کردن ویرایشگر فایل
یکی دیگر از روشهای برقراری امنیت کامل در وردپرس، غیرفعال کردن حالت ویرایشگر در وردپرس است. چنانچه هکر به وردپرس نفوذ کند به راحتی میتواند از بخش نمایش>> ویرایشگر به کدهای وبسایتتان دسترسی یافته و آن را دچار خرابی یا تغییر کند. برای این منظور باید این بخش را غیرفعال کرد. برای این منظور لطفا قطعه کد زیر را در فایل wp-config.php وارد کنید:
define('DISALLOW_FILE_EDIT', true);
از این پس لطفا تغییرات خود را به کمک FTP یا وارد شدن به هاست، انجام دهید. و قید این بخش را بزنید!
۸- ایجاد محدودیت در وارد شدن به سایت
یکی دیگر از حملاتی که Brute Force در آن نقش پر رنگی دارد، تلاش در وارد شدن به پنل ادمین است. آنقدر نام کاربری و پسورد را وارد میکند تا بالاخره وارد شود. برای مقابله با این مشکل و برقراری امنیت کامل در وردپرس دو روش را پیشنهاد میکنم:
یک – تغییر آدرس پیشفرض برای ورود به پیشخوان وردپرس که با کمک افزونه Protect WP admin .
دو – ایجاد محدودیت در تلاش برای وارد شدن به سایت. این اقدام نیز با کمک بعضی افزونههای امنیتی امکانپذیر است که یکی از آنها افزونهBrute Force Login Protection است.
۹- استفاده از XML-RPC
XML-RPC یک برنامه رابط کاربری یا API است که ایجاد آن برای مدتی طول کشید و توسط تعدادی افزونه و قالب استفاده میشود. البته باید تکنیکهای فنی زیادی را در استفاده از آن رعایت کرد تا با خطرات امنیتی مواجه نشویم. پس اگر از افزونههای این چنینی استفاده میکنید، لطفا حواستان را جمع کنید و با تسلط کامل از آن بهرهمند شوید.
۱۰- انتخاب هاست ایمن برای وردپرس
در برقراری امنیت کامل در وردپرس، هرگز قدرت هاست را دست کم نگیرید. میدانم که ممکن است برای هزینههای بالایی که با آن مواجه میشوید یک هاست معمولی را انتخاب کنید، اما اگر به پیامدهای آن فکر کنید مطمئنا این هزینه اولیه را متحمل میشوید.
در کنار انتخاب هاست قدرتمند، استفاده از هاستی که برای وردپرس مناسب باشد به مراتب بهتر است. اکثر شرکتهای معتبر ارائه دهنده هاست، پلنی را به عنوان هاست وردپرس دارند. مطمئنا امکاناتی را بر روی آن ایجاد کردهاند که برای ساخت وبسایتهای وردپرسی گزینه خوبی است.
۱۱- همیشه بروز بمانید
همیشه گفتهایم بروز باشید. بروزرسانی وردپرس، افزونه وردپرس و قالب وردپرس را در اولویت کار خود قرار دهید. اگر از بروزرسانیهای به موقع غافل شوید دیگر تضمین نمیکنم وبسایت سالمی داشته باشید. به نظر شما چرا نسخههای جدید ارائه میشوند؟
به هزار و یک دلیل که یکی از برجستهترین آن حل باگها و مشکلات امنیتی در نسخه قبلی است. همین یک مورد میتواند به شدت برایتان ایجاد مشکل کند. پس لطفا آن را جدی بگیرید!
۱۲- از قالب و افزونههای مطمئن استفاده کنید
چندی پیش یکی از دوستان صحبتی در مورد قالب و افزونه رایگان و پرمیوم میکرد و تمایل داشت تفاوت عمیقی در انتخاب قالب رایگان و پرمیوم ایجاد کند. بله تفاوت هست اما اینکه من بگویم قالبها و افزونههای رایگان به درد بخور نیستند، حرف اشتباهی است و هرگز تایید نمیکنم. مخزن وردپرس خود نمونه عالی از افزونه و قالبهای رایگان و استاندارد است. فقط لطفا قالب و افزونه مورد نظر را همیشه تست کنید و بعد بر روی وبسایت خود نصب کنید. ممکن است عدم سازگاری و امنیت پایین شما را دچار مشکل کند.
همین که از مراجع رسمی مثل ( بیست اسکریپت ) دانلود خود را انجام دهید، بهترین کمک به سایت است.
نتیجه گیری
برقراری امنیت کامل در وردپرس موضوع مهمی است که هرگز نباید از آن غافل شد، اما در این بین ممکن است اقدامات اشتباهی را برای حفظ ایمنی به کار بگیرید که ضررش به مراتب بیشتر از سودش باشد! لطفا احتیاط کنید. با دقت جلو بروید و از هیچ چیز هراس نداشته باشید.
در این مقاله سعی کردیم مختصر و کاملا مفید شما را در حفظ امنیت وردپرس یاری کنیم. امیدوارم از آن لذت برده باشید.
- مشکلی دارید؟ جواب خود را در پست فروم بگیرید
- منبع : بیست اسکریپت لطفا رعایت کنید