16 تکنیک بالا بردن امنیت سایت وردپرس

آپدیت شده: 9 مهر 1402
زمان مطالعه:20 دقیقه
امنیت وردپرس

اینستاگرام ویرا رو دنبال کنید

بحث امنیت وردپرس همواره جزو دغدغه‌های اصلی صاحبان سایت‌ها بوده است. هیچکسی دوست ندارد تا از طریق هکرها و مخرب‌های وبسایت‌ها تحت حمله قرار بگیرد و کاربرانی که با زحمات فراوان بدست آورده است را از دست بدهد. طبق آمارهای گوگل روزانه بیش از 10 هزار وبسایت را به دلیل مخرب‌ها و هر هفته 50 هزار سایت را به دلیل انجام فیشینگ جزو لیست سیاه خود قرار می‌دهد. وردپرس نیز یک ابزار بسیار محبوب جهت طراحی سایت است. فعالیت‌هایی وجود دارد که می‌توانید جهت بالا بردن امنیت سایت وردپرس خود انجام دهید. اگر دنبال این هستید تا امنیت سایت وردپرس را افزایش دهید، در ادامه با ویرا همراه باشید.

 

Trulli

تایید شده توسط ویرا

 

چرا امنیت سایت وردپرس مهم است؟

اگر وبسایت وردپرسی شما توسط هکرها مورد حمله قرار بگیرد و هک بشود، ضربه مهلکی به درآمد و سابقه شما خواهد زد. هکرها می‌توانند با دزیدن اطلاعات کاربران، نصب نرم افزارهای مخرب و ویروسی کردن سیستم‌های کاربران شما به سایت وردپرسی آسیب بزنند. اگر به وبسایت وردپرسی خود به عنوان یک منبع درآمد و کسب و کار آنلاین نگاه می‌کنید، باید توجه بیشتری را نسبت به امنیت آن داشته باشید. پس بهتر است به این نکته توجه داشته باشید که اگر قصد سفارش طراحی سایت فروشگاهی دارید بهتر است به این نکات امنیتی هم در قرارداد توجه بفرمایید.

 

راه های بالا بردن امنیت سایت وردپرس چیست؟

1 . استفاده از هاست مطمئن

یکی از کارهایی که می‌توانید جهت بالا بردن امنیت سایت وردپرس انجام دهید، استفاده از هاست‌های مطمئن، باکیفیت و ایمن است. هنگام انتخاب هاست، به دنبال ارزان‌ترین آن‌ها نباشید. برای اطمینان به هاست‌ها تحقیقات لازم را انجام دهید و بهترین گزینه را از جهت خدمات و کیفیت برگزینید. کمی بیشتر هزینه کنید اما از وجود سایت خود در دستانی امن و مطمئن، رضایت خاطر داشته باشید. انتخاب هاست مناسب به جز امنیت در سئو سایت شما هم تاثیر گذار خواهد بود. در مقاله هاست چیست می‌توانید به طور کامل در این‌باره مطالعه کنید.

آموزش امنیت وردپرس

2 . وردپرس خود را به روزرسانی کنید

نسخه‌های جدید وردپرس همواره همراه با رفع ایرادات و خطرات احتمالی هستند. اگر سایت خود را به جدیدترین نسخه وردپرس آپدیت نکنید، خودتان را در برابر حملات بی دفاع خواهید گذاشت. بسیاری از هکرها به سراغ نسخه‌های قدیمی وردپرس و مشکلات موجود در آن‌ها رفته و از آن طریق به سایت‌های وردپرسی دست برد می‌زنند. به روزرسانی تم‌ها و افزونه‌ها را نیز از یاد نبرید. بنابراین یکی از راه‌های بالا بردن امنیت سایت وردپرس به روز کردن تمامی افزونه‌ها و خود وردپرس است.

 

3 . از رمزهای قدرتمند استفاده کنید

طبق تحقیقات انجام شده، نزدیک به 8 درصد از وبسایت‌های وردپرسی هک شده به خاطر پسوردهای ضعیف و ناایمن بوده است. اگر از جمله کسانی هستید که از پسوردهای ضعیف مانند “abc123” استفاده می‌کنید، سریعا به دنبال تغییر آن‌ها به پسوردهای قدرتمند باشید. سعی کنید درون پسوردهای خود از اعداد و نشانه‌ها (Symbols) استفاده کنید. همچنین سعی کنید تا طول پسورد شما حداقل 15 کاراکتر باشد تا بتوانید از امنیت آن اطمینان کافی را حاصل کنید.

4 . از نام کاربری admin پرهیز کنید

بسیاری از حملات انجام شده به سایت‌های وردپرس به خاطر استفاده از نام کاربری admin و پسورد ساده و آسان بوده است. اگر هنوز از نام کاربردی admin برای ورود به پنل کاربری سایت وردپرسی استفاده می‌کنید، به سرعت آن را عوض کنید. بهتر است نام کاربری خود را به گونه‌ای انتخاب کنید که حدس زدن آن برای هکرها و دیگر کاربران سخت و دشوار باشد.

5 . تعداد دفعات لاگین را محدود کنید

یکی دیگر از راه‌های بالا بردن امنیت سایت وردپرس محدود کردن تعداد دفعات لاگین کردن است. ممکن است هکرها با استفاده از روش brute-force به دنبال هک پسورد شما باشند. با محدود کردن دفعات لاگین کردن از یک آدرس IP می‌توانید از این دسته حملات تا حد خوبی جلوگیری کنید.

بالا بردن امنیت سایت وردپرس

6 . از احراز هویت دو مرحله‌ای استفاده کنید

پسورد قدرتمند به تنهایی ضامن امنیت سایت وردپرسی شما نخواهد بود. برای اینکه امنیت بیشتری را برای سایت وردپرسی خود به ارمغان آورید، بهتر است از احراز هویت دو مرحله‌ای استفاده کنید. این نوع احراز هویت می‌تواند همراه با کپچا (Capcha)، تعدادی کاراکتر و یا یک سوال از کاربر باشد.

 

7 . استفاده از SSL

بهره گیری از پروتکل امن SSL یک راه حل هوشمندانه برای افزایش امنیت سایت وردپرس است. پروتکل امنیتی SSL باعث انتقال امن فایل‌ها میان سرور و مرورگر خواهد شد و کار را برای هکرها و مخرب‌ها بسیار سخت خواهد کرد. شما می‌توانید برای سایت وردپرسی پروتکل SSL را از طریق هاست خود و یا یک شرکت سوم شخص خریداری و استفاده نمایید.

 

8 . از سایت خود بک آپ بگیرید

بسیاری از مردم اهمیت بکاپ گیری مستمر و منظم از وبسایت وردپرسی را نادیده می‌گیرند. حتی اگر تمامی نکات امنیتی رعایت کنید، ممکن است به خاطر یک خطای کوچک امنیت سایت خود را به خطر بیاندازید. هنگامی که از سایت خود بک آپ مناسب داشته باشید، خیالتان از بابت همه چیز راحت خواهد بود. می‌توانید از افزونه‌هایی نظیر WordPress Backup to Dropbox جهت برنامه ریزی دقیق بک آپ‌های خود استفاده نمایید.

امنیت سایت وردپرس

9. از قالب های رایگان  و کرک شده استفاده نکنیم

قالب‌های وردپرس رایگان و پولی دارای تفاوت‌های مهمی هستند. قالب های پولی وردپرس به عنوان گزینه های حرفه ای تری معرفی می‌شوند و امکانات قابل تنظیم بیشتری نبسب به قالب های رایگان دارند. این قالب ها به ما امکانات شخصی سازی بیشتری میدهند؛ و همچنین آپدیت های منظم تری ارائه میدهند و در صورت بروز مشکلات از سرویس پشتیبانی آن‌ها میتوانید بهره مند شوید. اگر شما هم بدنبال بهترین قالب‌های وردپرس هستید میتوانید مقاله مارا مطالعه کنید.

بعضی از هکرها با کشف ضعف‌های امنیتی در قالب‌های وب‌سایت‌های وردپرسی، تلاش می‌کنند تا به آنها نفوذ کنند. افزونه Theme Check یک راه ساده برای ارزیابی امنیت قالب وب‌سایت شما است. این افزونه بیش از 70 هزار نصب فعال دارد که قالب های سایت را با رعایت استاندارد های کدنویسی بررسی میکند. پس از نصب و فعال‌سازی این افزونه، گزینه‌ای به نام “Theme Check” به منوی نمایش وردپرس شما افزوده می‌شود. با کلیک روی این گزینه، صفحه‌ای جدید باز می‌شود و شما می‌توانید با انتخاب قالب مورد نظر از فهرست کشویی و کلیک بر روی دکمه “Check it”، قالب وب‌سایت خود را جهت بررسی امنیتی مورد ارزیابی قرار دهید.

10. نصب پلاگین های امنیتی وردپرس

پلاگین‌های امنیتی برای وب‌سایت‌های وردپرس ابزارهای حیاتی هستند که به شما کمک می‌کنند امنیت وردپرس خود را بهبود دهید. این پلاگین‌ها ویژگی‌ها و عملکردهای متنوعی دارند که شامل اسکن و شناسایی تهدیدهای امنیتی، مدیریت دسترسی کاربران، مسدود کردن حملات ناخواسته، اعمال تنظیمات امنیتی و گزارش‌گیری از وضعیت امنیتی می‌شود. این پلاگین‌ها به شما امکان می‌دهند از حفظ امنیت وردپرس و حفاظت از داده‌های خود اطمینان حاصل کنید.

در ادامه دوتا از معروف ترین پلاگین های امنیتی وردپرس رو بهتون معرفی میکنم که میتوانید با خواندن نظرات کاربران و توضیحات افزونه به دلخواه یکی از اونارو برای سایت خودتون نصب کنید.

پلاگین امنیتی وردپرس

11. استفاده از کپچا در وردپرس

یکی از روش‌های حملات به وردپرس از طریق ارسال دیدگاه‌های اسپمی است. در این نوع حملات، هدف اصلی این است که تعداد بسیار زیادی درخواست به سایت ارسال شود، که این امر باعث افزایش مصرف منابع سرور می‌شود و در نهایت منجر به از دسترس خارج شدن سایت می‌شود. برای مقابله با این نوع حملات، استفاده از کپچا به عنوان یک روش مؤثر شناخته می‌شود. برای اعمال کپچا در وردپرس، می‌توانید از افزونه‌های کپچا مانند “reCAPTCHA by Google” استفاده نمایید. این اقدام نه تنها از حملات اسپم و بات‌ها جلوگیری می‌کند، بلکه به بهبود منابع سرور و افزایش امنیت وب‌سایت کمک می‌کند.

12. اجرای فایل php  را غیر فعال کنید

هاست به شما امکان می‌دهد تا هر فایلی را در هر جایی قرار دهید و با استفاده از دستورات PHP هر کاری که می‌خواهید در سایت انجام دهید. اما برخی از دایرکتوری‌ها وجود دارند که اجرای فایل‌های PHP در آن‌ها نه تنها لازم نیست، بلکه ممکن است ناخواسته موجب مشکلات امنیتی شود. یکی از مهم‌ترین این دایرکتوری‌ها، پوشه “uploads” وردپرس است که فایل‌های چندرسانه‌ای مانند تصاویر، ویدئوها، صداها و… در آن قرار می‌گیرند. بنابراین، برای جلوگیری از اجرای دستورات PHP در این مسیر حساس، از روش زیر استفاده می‌کنیم.

برای غیرفعال کردن اجرای فایل‌های PHP در وب‌سرور برای سایت‌های وردپرس، می‌توانید از مراحل زیر استفاده کنید:

1.وارد هاست خود شوید و به public_html/wp-content/uploads  بروید.

2.یک فایل با نام htaccess. بسازید و کد های زیر را در آن جای گذاری کنید.

3.به انتهای فایل .htaccess، کد زیر را اضافه کنید:

<Files *.php>

deny from all

</Files>

این کد می‌گوید که تمام فایل‌های با پسوند PHP را برای دسترسی عمومی مسدود شود.

13. ویرایش فایل را غیر فعال کنید

وردپرس به شما امکان می‌دهد تا به طور مستقیم فایل‌های افزونه و قالب خود را از طریق پنل مدیریت ویرایش کنید. با این وجود، این کار خطرناک است زیرا یک اشتباه تایپی می‌تواند به نابودی وب‌سایت شما منجر شود. علاوه بر این، ممکن است بخواهید برای افرادی که نیازی به ویرایش کد ندارند، دسترسی به این ابزارها را محدود کنید.

برای انجام این کار، تنها کافی است ویرایشگر تم و ویرایشگر افزونه را در وردپرس غیرفعال کنید. برای انجام این کار، فایل wp-config.php خود را باز کرده و کد زیر را به آن اضافه کنید

بعد از پیدا کردن این فایل به ویرایشگر کد این صفحه میریم

قبل از این عبارت:

/* That’s all, stop editing! Happy blogging. */.

کد زیر را قرار می‌دهید:

define( ‘DISALLOW_FILE_EDIT’, true );

 

14. فایل های wp-config و .htaccess را پنهان کنید

به منظور پنهان کردن فایل‌های wp-config.php و .htaccess در وردپرس، می‌توانید از دستورات مرتبط با فایل‌های مخفی استفاده کنید تا این فایل‌ها از دسترسی عموم محافظت شوند. این اقدام به تقویت امنیت وب‌سایت شما کمک می‌کند، زیرا افراد غیرمجاز به این فایل‌ها دسترسی نخواهند داشت. با این حال، توجه داشته باشید که این کار تأثیری بر توانایی شما برای مدیریت و تغییر تنظیمات وردپرس ندارد. این فقط فایل‌ها را پنهان می‌کند. البته ما توصیه میکنیم که این گزینه فقط توسط توسعه دهندگان با تجربه اجرا شود تا دچار مشکل نشوید.

وارد wp-config.php شوید و این قطعه کد زیر را در آن قرار دهید

<Files wp-config.php>
order allow,deny
deny from all
</Files>

بعد از قرار دادن کد قبلی نوبت به جایگذاری کد زیر در فایل.htaccess  است.

<Files .htaccess>
order allow,deny
deny from all
</Files>

حالا فایل wp-config.php و .htaccess در وب‌سایت شما پنهان شده‌اند و دسترسی عمومی به آنها ممنوع است. توجه داشته باشید که در صورت نیاز به تغییر تنظیمات وردپرس یا فایل .htaccess، شما باید از طریق دسترسی مستقیم به سرور یا از طریق پنل مدیریت سرور اقدام کنید.

15. ویژگی XML RPC را غیر فعال کنید

XML-RPCیک ویژگی ای است که وردپرس در از نسخه 3.5 به بعد این امکان را ایجاد کرد که میتوان از طریق این پروتکل سایت وردپرس خود را به سایت ها وبرنامه های موبایل متصل کنید. حالا خطراتی که XML-RPC برای سایت ما دارد را باذکر یک مثال توضیح میدهیم.

آموزش قدم به قدم امنیت وردپرس

اگر یک هکر در حالت عادی بخواهد 100 گذرواژه را در سایت شما امتحان کند مجبور است 100 تلاش جداگانه برای ورود امتحان کند که با استفاده از پلاگین های امنیتی میتوان جلوی این اتفاق را به راحتی گرفت. اما با استفاده از XML-RPC هکر میتواند هزاران رمز عبور را با 30 یا 60 درخواست ارسال کند به همین دلیل اگراز XML-RPC استفاده نمیکنید بهتر است که آن را غیر فعال کنید.

برای غیر فعال کردن XML-RPC سه روش وجود دارد. که ما راحتترین راه یعنی نصب افزونه را برای شما باز میکنیم.

با نصب و فعال کردن افزونه “Disable XML-RPC” از مخزن وردپرس میتوانید به راحتی XML-RPC را غیر فعال کنید.

این افزونه با بیش از 90000 نصب فعال وامتیاز 4.8 از کاربران، افزونه مورد تایید مردم قرار گرفته است.

16. محافظت از پوشه WP-ADMIN

محافظت از پوشه wp-admin یکی از مهم‌ترین اقدامات امنیتی سایت‌های وردپرسی است.

در ادامه مراحل انجام این تنظیمات رو با هم مرور میکنیم:

  1. وارد پنل هاست میشویم
  2. رو پوشه WP-ADMIN کلیک راست میکنیم و password protect را انتخاب میکنیم
  3. حالا گزینه Password protect this directory  یا Directory Privacy را انتخاب میکنیم
  4. در Enter a name for the protected directoryنام خود را وارد میکنیم و Saveمیکنیم
  5. به صفحه قبل برمیگردیم و یک نام کاربری و رمز عبور قدرتمند وارد میکنیم و آن را Save میکنیم
  6. در پایان، نام کاربری و رمز عبور انتخابی خود را وارد کرده و بر روی add or modify the authorized user کلیک کنید.

سپس برای جلوگیری از ایجاد مشکل در عملکرد ajax سایت، قطعه کد زیر را در فایل htaccess. وارد کنید:

<Files admin-ajax.php>

 

Order allow, deny

 

Allow from all

Satisfy any

<Files/>

 

 

 

 

4.9/5 - (16 امتیاز)
سخن نهایی
بالا بردن امنیت سایت وردپرس نیازمند فعالیت های کارآمد و موثر است. امیدواریم توانسته باشیم تا در این مقاله با معرفی تکنیک های بهبود امنیت سایت وردپرسی شما را در این امر یاری کنیم. شرکت ویرا با آغوشی باز پذیرای نظرات، پیشنهادات و انتقادات شما است.
فائزه اعلمی
فائزه اعلمی

مارکتینگ، آموزش و نوشتن ۳ علاقه‌مندی بزرگ منه! این مقالات تلفیقی از هر ۳ مورده. نظرات‌تون ارزشمنده؛ می‌خونمشون:)

سایر مقالات

جدید ترین مطالب ویرا رو از دست نده

37 پاسخ

    1. سلام وقت بخیر شما میتونید با سلیقه خودتون و مشورت طراحان ما یک قالب مناسب برای سایت خودتون استفاده کنید

  1. بابت مطلب تحلیلی وساختار حرفه ای ازتون خیلی ممنونم
    واقعا لذت بردم
    ویرا رو یادم میمونه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *