اگر شما هم مثل ما از وردپرس استفاده می کنید، همیشه باید به فکر امنیت سایت خود باشید. وردپرس نسبت به سایر سیستم های مدیریت محتوا امنیت بیشتری دارد. با این حال وقتی تعدادی افزونه روی آن نصب می کنید و یا تعداد کاربران سایت زیاد می شود، راه ورود هکرها به سایت هم هموارتر می شود. با این حال نگران نباشید. زیرا اقدامات اساسی برای حفظ امنیت وردپرس وجود دارد.
در ادامه قصد دارم به تعدادی نکته های آموزشی برای کمک به تأمین امنیت وردپرس بپردازم.
در این مقاله می خوانید :
راهکارهایی برای افزایش امنیت وردپرس
از کلمه Admin به عنوان نام کاربری استفاده نکنید
بسیاری از حملات هکرها به وردپرس بدون هیچ پیچیدگی و تنها با حدس زدن نام کاربری انجام می شود. اشتباه برخی از مدیران وب سایت این است که از کلمه Admin به عنوان نام کاربری استفاده می کنند. زیرا این نام پیش فرض وردپرس است که خیلی سریع توسط هکرها حدس زده می شود. بنابراین باید از انتخاب نام های آسان و ساده خودداری کنید.
اگر از یک سایت قدیمی تر استفاده می کنید که پیشتر نام کاربری برای آن انتخاب شده است، آن را تغییر دهید. از نام های غیرقابل حدس و عجیب استفاده کنید. با این روش امنیت سایت خود را تا حد زیادی بالا می برید.
از رمز عبور پیچیده استفاده کنید
داشتن رمز عبور ساده خیلی سریع حدس زده می شود. اما وقتی یک رمز عبور قوی داشته باشید، هکرها نمی توانند به راحتی آن را پیدا کنند. رمز طولانی و همراه با حروف کوچک و بزرگ انگلیسی و علامت ها مناسب تر هستند. البته رمزهای عبور طولانی را به سختی می توانید به خاطر بسپارید.
برای حل این مشکل می توانید از ابزارهایی مثل LastPass استفاده کنید. با کمک این ابزارها می توانید رمز عبور تولید کنید. به این صورت که رمز مورد نظر خود را (هر چقدر هم طولانی باشد) تایپ می کنید. سپس ابزار آن را برای شما ایجاد و ذخیره می کند. حالا باید لینک را ذخیره کرده و هر زمان که بخواهید وارد سایت شوید، از آن استفاده کنید. بسته به میزان اهمیت امنیت سایت، باید رمز عبور طولانی (حداقل با 20 کاراکتر) بسازید.
احراز هویت دو عاملی را اضافه کنید
حتی اگر از کلمه Admin استفاده نمی کنید و یک رمز عبور قوی و تصادفی هم ایجاد کرده اید، باز هم در معرض حملات بی رحمانه هکرها قرار دارید. اما نگران نباشید. تایید هویت دو عاملی می تواند به محافظت از سایت شما کمک زیادی کند.
این تکنیک به این صورت است که به جای وارد کردن جزئیات ورود به سیستم (نام کاربری و رمز)، باید یک کد دیگر را هم وارد کنید. برای مثال سال تولد، شماره تلفن و … را تایید کنید. جعل این مورد برای هکرها سخت تر از رمز عبور است.
برای تایید اعتبار ورود به وردپرس دو افزونه Google Authenticator و Rublon Plugin کاربرد دارند. البته فقط باید مراقبت باشید که کدهای پشتیبان را گم نکنید. زیرا ممکن است وردپرس قفل شود.
از اصول Least Privilege استفاده کنید
مفهوم حداقل دسترسی های ممکن در امنیت یا Least Privileged به معنای کمترین امتیاز است. شما با کمک این تکنیک به افرادی که به مرز نیاز دارند، اجازه ورود به وردپرس را می دهید. اگر قصد دارید سایت را به یک ادمین موقت بسپارید، رمز را دریافت می کنید. اما بعد از اتمام کار می توانید آن را حذف کنید.
شما وقتی کاربران دیگری را به سایت خود متصل می کنید، می توانید برای نقش مدیریت آن ها درجه تعیین کنید. به این صورت که نقش افراد را برحسب نوع همکاری مشخص کنید. این کار خطر امنیتی سایت وردپرس را تا حد زیادی کاهش می دهد
wp-config.php و htaccess را مخفی کنید
فایل های wp-config.php و htaccess برای امنیت سایت وردپرس اهمیت زیادی دارند. این دو فایل اعتبار سیستم را با خود به همراه دارند. به طوری که اطلاعاتی درباره ساختار و پیکربندی سایت را در معرض نمایش می گذارند. با مخفی کردن آنها راه ورود مهاجمین به سایت خود را غیرممکن می کنید.
مخفی کردن این دو پرونده کار ساده ای است. اما اشتباه کردن در آن ممکن است سایت را غیرقابل دسترسی کند. پس ابتدا یک نسخه پشتیبان از دو فایل تهیه کرده و این کار را با احتیاط انجام دهید.
نحوه تامین امنیت وب وردپرسی
از کلیدهای امنیتی وردپرس برای تأیید اعتبار استفاده کنید
کلید های “Authentication keys” و “salts” مجموعه ای از متغیرهای تصادفی و منحصر به فرد برای وب سایت وردپرسی هستند. این دو گزینه امنیت (رمزگذاری) اطلاعات در کوکی ها را افزایش می دهند.
فایل wp-config.php یک منطقه اختصاصی دارد که می توانید متغیرهای مورد نظر خود را تهیه کنید و در آن قرار دهید.
ورود به سیستم خود را مخفی و تلاشهای ورود به سیستم را محدود کنید
ورود هکرها به سایت در بیشتر مواقع باعث تخریب فرم ورود به سایت می شود. بنابراین باید در قسمتی از ورود به سیستم تغییراتی را ایجاد کنید تا از ورود مهاجمان به سایت جلوگیری کند. افزونه All in One WP Security & Firewall گزینه ای دارد که می توانید از طریق آن لینک های پیش فرض (از / wp-admin /) را تغییر دهید.
همچنین می توانید تعداد تلاش ورود به سیستم از یک آدرس IP خاص را محدود کنید. چندین افزونه وردپرس وجود دارد که در این زمینه به شما کمک می کند تا فرم ورود به سایت با آدرس های IP را محافظت کنید. با این روش تعداد زیادی از ورود به سیستم توسط افراد ناشناس محدود می شود.
فایل XML-RPC را غیر فعال کنید
فایل XML-RPC در روت هاست قرار دارد. این فایل یک رابط برنامه کاربردی (API) است. اگر از سرویس IFTTT استفاده می کنید، سایت شما در خطر است. زیرا وقتی در حال لاگین هستید، هر کس دیگری از این سرویس استفاده می کنید، می تواند به راحتی وارد سایت شما شود.
شما باید فایل XML-RPC را غیرفعال کنید که برای این کار چندین برنامه وجود دارد. اگر قصد غیرفعال کردن آن را ندارید و در وردپرس از Jetpack استفاده می کنید، باید بیشتر احتیاط کنید.
تأمین امنیت هاست و وردپرس
حتی اگر در مورد امنیت وب سایت خود همه جوانب را رعایت کنید، ولی هاست وردپرس را از یک شرکت نامعتبر خریداری کرده باشید، هیچ کاری نمی توان برایتان کرد. اگر هکر بتواند به قسمت هاست سایت دسترسی پیدا کند، می تواند همه چیز را تحت کنترل خود درآورد. بنابراین در زمان انتخاب شرکت هاستینگ باید دقیق تر عمل کنید.
به دلیل ارزان بودن هاست، به سراغ شرکت های بدون پشتیبانی و ناامن نروید. شرکت های پاسخگو حتی اگر سایت هک شود، به شما کمک می کنند تا سایت هک شده را برگردانید.
اغلب هاست های اشتراکی که ارزان قیمت هم هستند، خطرناک ترند. زیرا ممکن است هکرها بتوانند از طریق یک سایت هک شده در همان سیستم، به سایت شما هم دسترسی پیدا کنند. به همین دلیل ما توصیه جدی داریم که برای خرید هاست هزینه بیشتری پرداخت و از خرید هاست ناامن خودداری کنید.
به روز باشید
به روز بودن یکی دیگر از مهم ترین راهکارها برای تامین امنیت وردپرس است. البته این مسئله برای بسیاری از صاحبان وب سایت کار سختی است. وب سایت آنقدر پیچیده است که به سختی می توان از همه جای آن سردرآورد. گاهی اوقات در طی زمان تغییراتی در سایت اتفاق می افتد که شاید مدیر سایت از آن بی اطلاع باشد.
همچنین وردپرس هر روز در حال بروزرسانی است. تغییرات سریع در این سیستم مدیریت محتوا، گاهی کار کردن با آن را سخت می کند. به همین دلیل شاید مدیر وب سایت نتواند کد قدیمی خود را بروزرسانی کند. تغییر افزونه ها و نرم افزارهای اصلی گاهی برای مدیران سایت های قدیمی زمانبر است. این مسئله سایت آنها را در برابر حمله هکرها آسیب پذیر می کند.
اگر میخواهید سایت خود را در برابر هرگونه ورود هکر مقاوم کنید، باید نرم افزارها، مضامین و افزونه ها را مدام بروزرسانی کنید. در غیر این صورت درب سایت خود را بروی مهاجمین باز می گذارید.
لایه های امنیتی سایت را افزایش دهید
بهترین راه حل های امنیتی، مانع از ورود هکرها به هر جایی در نزدیکی سایت شما می شود. به همین دلیل توصیه می کنیم که از افزونه فایروال وردپرس استفاده کنید. این افزونه مهاجمان ورود به سایت و الگوهای رایج برای هک را تشخیص داده و آنها را متوقف می کنند. پس قبل از اینکه سایت به دست این افراد بیفتد می توانید از ورود آنها جلوگیری کنید.
همچنین این نکته را هم در نظر بگیرید که اکنون بسیاری از سیستم های تحویل محتوا، عملکرد فایروال را در بر می گیرند. این افزونه باعث بهینه سازی عملکرد سایت و محافظت از آن می شود. Cloudflare می تواند bad traffic (ترافیک بد) را مسدود کند. حتی این افزونه قوانین و اسکن هایی دارد که به طور خاص از سایت های وردپرسی محافظت می کند.
سازگاری افزونه
قبل از اینکه در مورد انتخاب و نصب افزونه ها تصمیم بگیرید، باید به سازگاری آن هم دقت داشته باشید. اگر افزونه به مدت ۲ سال بروزرسانی نشده باشد، وردپرس این مورد را به شما می گوید. البته بروزرسانی نشدن به این معنا نیست که افزونه مخرب است و یا با سایت سازگاری ندارد. بلکه ممکن است نیازی به بروزرسانی نداشته باشد و این افزونه هنوز کار می کند.
رتبه بندی افزونه به شما کمک می کند تا در این مورد بهتر تصمیم بگیرید. همچنین به سازگاری نسخه فعلی وردپرس هم نگاهی بیندازید. در صفحه افزونه در وردپرس این مورد نشان داده شده است. شما براساس رتبه بندی ها و سازگاری افزونه می توانید انتخاب بهتری داشته باشید و امنیت وردپرس خود را تأمین کنید.
سخن پایانی
در پایان باید بگوییم درست مانند اضافه کردن یک پست یا برگه، بررسی امنیت وب سایت باید در اولویت قرار بگیرد. به خاطر داشته باشید که آنچه گفته شد لیست توصیه های عمومی برای امنیت وردپرس هستند. شما باید همواره یک نسخه پشتیبان هم از سایت خود تهیه کنید. همچنین به یک متخصص مراجعه کرده تا امنیت سایت شما را به صورت اختصاصی بررسی کند.
لطفا شما هم تجربیات خودتان را در این زمینه با ما به اشتراک بگذارید.
