آموزش افزایش امنیت وردپرس در 8 مرحله

افزایش امنیت وردپرس مسئله‌ای است که به سادگی نمیتوان از کنار آن عبور کرد. با رشد بالا و محبوبیتی که وردپرس در طول این چند سال به خود گرفته است و از طرفی به دلیل متن باز و رایگان بودن باعث شده است تا همواره از روش‌های مختلف مورد حمله قرار گرفته و هکرها به دنبال این هستند که راهی برای نفوذ به وبسایت‌ها پیدا کنند. به همین دلیل بالا بردن امنیت وردپرس باعث می‌شود تا از صدمه دیدن به کسب و کار خود جلوگیری کنید.

در این آموزش به معرفی روش‌های مختلف افزایش امنیت وردپرس میپردازم که به کمک این روش‌های می توانید سایت خود را ایمن کنید. هر یک از روش های معرفی شده می‌تواند راه‌های مختلف نفوذ در وردپرس و هک وردپرس را محدود کرده و کار را برای هکر تا حدی که نتواند کاری انجام دهد دشوارتر کند.

آموزش افزایش امنیت وردپرس در 8 مرحله

روش‌های معرفی شده در این مقاله به کمک افزونه و کدنویسی پیاده سازی می‌شوند. برخی از این روش‌ها با استفاده از هر دو قابلیت امکان پذیر است که به انتخاب خود می‌توانید از افزونه یا کدنویسی برای تامین امنیت وردپرس استفاده کنید.

استفاده از رمز عبور قوی

بعد از نسخه 4 وردپرس قابلیتی در آن اضافه شد که انتخاب رمز شکل قوی‌تری به خود گرفت. در این نسخه انتخاب رمز بر عهده وردپرس قرار گرفت که از رمز عبور قوی متشکل از اعداد، کاکراکترهای خاص و حروف بزرگ و کوچک استفاده شده است. البته اینکه بخواهید از رمز دلخواه هم استفاده کنید فراهم است، اما پیشنهاد می‌شود از رمزی که وردپرس پیشنهاد می‌دهد استفاده کنید.

آپدیت مداوم وردپرس

در هر بار آپدیت وردپرس موارد امنیتی و قابلیت‌های جدیدی به آن اضافه می‌شود. افزونه‌ها و قالب‌های وردپرس نیز به همین شکل هستند که در هر بار آپدیت موارد امنیتی در آنها برطرف می‌شود. به عنوان نمونه در چند ماه گذشته افزونه داپلیکیتور که به عنوان یک افزونه پر استفاده برایساخت بسته‌های نصب آسان استفاده میشد، به دلیل عدم توجه افراد در غیرفعال سازی و حذف فایل‌های اضافی به دلیل وجود یک باگ باعث هک هزاران سایت وردپرسی شد.

بنابراین همواره باید تلاش کنید که از افزونه و قالب وردپرس به‌روز استفاده کنید. اگر هم می‌بینید که سازنده قالب دیگر پشتیبانی بابت آپدیت ارائه نمی‌کند در اولین فرصت ممکن قالب خود را تغییر دهید، چرا که هر چه دیرتر اقدام کنید ممکن است با یک باگ ساده کل سایت را نابود کنید.

بک آپ گیری همیشگی

در بیشتر موارد که سایت‌ها هک شده‌اند، به دلیل خرابی زیادی که به بار امده است امکان رفع مشکلات آن وجود ندارد. از طریفی مدت زمانی که برای رفع مشکلات طول میکشد زیاد شده و به همین دلیل با قرار دادن سایت در حالت تعمیر وردپرس روز به روز به سئو سایت شما آسیب زده میشود. بنابراین سریع‌ترین روش برای رفع مشکل هک وردپرس بازگردانی آخرین بک آپ است؛ البته منظور نسخه بک‌آپ سالم است.

پس سعی کنید به صورت مداوم و در بازه‌های زمانی هفتگی یا حتی روزانه از سایت خود نسخه پشتیبان تهیه کنید. اگر نگرانی بابت پهنای باند مصرفی اینترنت دارید می‌توانید این کار را با استفاده از VPS نیز انجام دهید. یا اینکه بک آپ گیری از دیتابیس وردپرس را به صورت روزانه و فایل‌ها را به صورت هفتگی انجام دهید.

افزایش امنیت صفحه ورود وردپرس

صفحه ورود وردپرس از مهم‌ترین صفحات یک سایت است که در بیشتر مواقع با ارسال درخواست ورود به سایت و حدس زدن نام کاربری و رمز عبور مورد حمله قرار می‌گیرد. این کار باعث می‌شود تا چندین نرم افزار به صورت مداوم برای ورود به سایت تلاش کنند، تعداد درخواست‌ها به حدی بالا می‌رود که در نهایت منجر به کاهش منابع هاست شده و سایت با اختلال مواجه می‌شود. در چنین شرایطی می توانید از روش‌های زیر استفاده کنید.

• تغییر آدرس صفحه ورود به وردپرس
• استفاده از قابلیت ورود دو مرحله‌ای در وردپرس
• استفاده از کپچا گوگل یا کپچا ریاضی وردپرس
• محدود کردن تعداد دفعات برای ورود به سایت و بلاک کردن آی‌پی
• بستن دسترسی به صفحه ورود و محدود کردن آن به یک آی‌پی خاص
• رمز گذاری روی پوشه wp-admin
• غیرفعال کردن پیغام خطا در صفحه ورود به وردپرس
• غیرفعال کردن ورود با ایمیل یا ورود با نام کاربری در وردپرس
• افزودن پرسش و پاسخ امنیتی برای صفحه ورود به وردپرس

برای هر یک از موارد فوق می‌توانید یک جستجوی ساده انجام داده و به کمک کد نویسی یا استفاده از افزونه هر یک از موارد فوق را پیاده سازی کنید.

استفاده از SSL

با استفاده از SSL می توان اطلاعاتی که بین کاربر و سایت رد و بدل می‌شود را کدگذاری کرد. به طوری که خواندن این اطلاعات تا زمانی که کلید خصوصی را نداشته باشید فراهم نیست. بنابراین استفاده از این روش در زمانی که کاربران در سایت عضو هستند و اطلاعات حساسی مثل رمز یا داده‌های شخصی را ارسال می‌کنند می‌تواند از مشکلات امنیتی جلوگیری کند.

تغییر پیشوند جداول وردپرس

اگر در هنگام نصب وردپرس پیشوند جداول را تغییر نداده و از همان حالت پیش فرض _wp استفاده می‌کنید بهتر است دست به کار شده و به کمک آموزش تغییر پیشوند جداول وردپرس اقدام به استفاده از پیشوند جدول دلخواه شوید. با استفاده از این روش می‌توان از درخواست‌های sql injection که به منظور دستکاری امنیتی دیتابیس مورد استفاده قرار می‌گیرد جلوگیری کرد.

غیرفعال کردن ویرایشگر قالب و افزونه

قابلیتی در منوی نمایش و افزونه‌ها با عنوان ویرایشگر وجود دارد که به کمک آن و بدون نیاز به اینکه وارد هاست شوید می‌توانید فایل افزونه‌ها و قالب را مشاهده کرده و کدهای ان را تغییر دهید. اگر دسترسی به نقش کاربری مدیر کل را برای فردی فراهم کنید یا اینکه رمز شما در اختیار فردی قرار گیرد، بدون اینکه متوجه شوید قادر است تا کدهایی را در فایل‌های وردپرس قرار داده و از سایت سوء استفاده کند.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

برای غیرفعال کردن این قابلیت کافی است کد فوق را در فایل wp-config.php که در مسیر public_html قرار دارد ذخیره کنید.

غیرفعال کردن اجرای کدهای php

مطمئنا شما در هنگام استفاده از وردپرس نیازی به اجرای کدهای php نخواهید داشت. گاهی اوقات ممکن است که به دلیل داشتن دسترسی برخی افراد به وردپرس فایل‌های php در آن اپلود شود. از آنجایی که php زبان برنامه نویسی خود وردپرس است، با آپلود این فایل می‌توان هر کار مخربی را در وردپرس انجام داد. پس با قرار دادن کد زیر در فایل htaccess. هاست، از اجرای آنها جلوگیری کنید.

<Files *.php>
deny from all
</Files>