بحث امنیت وردپرس همواره جزو دغدغههای اصلی صاحبان سایتها بوده است. هیچکسی دوست ندارد تا از طریق هکرها و مخربهای وبسایتها تحت حمله قرار بگیرد و کاربرانی که با زحمات فراوان بدست آورده است را از دست بدهد. طبق آمارهای گوگل روزانه بیش از 10 هزار وبسایت را به دلیل مخربها و هر هفته 50 هزار سایت را به دلیل انجام فیشینگ جزو لیست سیاه خود قرار میدهد. وردپرس نیز یک ابزار بسیار محبوب جهت طراحی سایت است. فعالیتهایی وجود دارد که میتوانید جهت بالا بردن امنیت سایت وردپرس خود انجام دهید. اگر دنبال این هستید تا امنیت سایت وردپرس را افزایش دهید، در ادامه با ویرا همراه باشید.
تایید شده توسط ویرا
چرا امنیت سایت وردپرس مهم است؟
اگر وبسایت وردپرسی شما توسط هکرها مورد حمله قرار بگیرد و هک بشود، ضربه مهلکی به درآمد و سابقه شما خواهد زد. هکرها میتوانند با دزیدن اطلاعات کاربران، نصب نرم افزارهای مخرب و ویروسی کردن سیستمهای کاربران شما به سایت وردپرسی آسیب بزنند. اگر به وبسایت وردپرسی خود به عنوان یک منبع درآمد و کسب و کار آنلاین نگاه میکنید، باید توجه بیشتری را نسبت به امنیت آن داشته باشید. پس بهتر است به این نکته توجه داشته باشید که اگر قصد سفارش طراحی سایت فروشگاهی دارید بهتر است به این نکات امنیتی هم در قرارداد توجه بفرمایید.
راه های بالا بردن امنیت سایت وردپرس چیست؟
1 . استفاده از هاست مطمئن
یکی از کارهایی که میتوانید جهت بالا بردن امنیت سایت وردپرس انجام دهید، استفاده از هاستهای مطمئن، باکیفیت و ایمن است. هنگام انتخاب هاست، به دنبال ارزانترین آنها نباشید. برای اطمینان به هاستها تحقیقات لازم را انجام دهید و بهترین گزینه را از جهت خدمات و کیفیت برگزینید. کمی بیشتر هزینه کنید اما از وجود سایت خود در دستانی امن و مطمئن، رضایت خاطر داشته باشید. انتخاب هاست مناسب به جز امنیت در سئو سایت شما هم تاثیر گذار خواهد بود. در مقاله هاست چیست میتوانید به طور کامل در اینباره مطالعه کنید.
2 . وردپرس خود را به روزرسانی کنید
نسخههای جدید وردپرس همواره همراه با رفع ایرادات و خطرات احتمالی هستند. اگر سایت خود را به جدیدترین نسخه وردپرس آپدیت نکنید، خودتان را در برابر حملات بی دفاع خواهید گذاشت. بسیاری از هکرها به سراغ نسخههای قدیمی وردپرس و مشکلات موجود در آنها رفته و از آن طریق به سایتهای وردپرسی دست برد میزنند. به روزرسانی تمها و افزونهها را نیز از یاد نبرید. بنابراین یکی از راههای بالا بردن امنیت سایت وردپرس به روز کردن تمامی افزونهها و خود وردپرس است.
3 . از رمزهای قدرتمند استفاده کنید
طبق تحقیقات انجام شده، نزدیک به 8 درصد از وبسایتهای وردپرسی هک شده به خاطر پسوردهای ضعیف و ناایمن بوده است. اگر از جمله کسانی هستید که از پسوردهای ضعیف مانند “abc123” استفاده میکنید، سریعا به دنبال تغییر آنها به پسوردهای قدرتمند باشید. سعی کنید درون پسوردهای خود از اعداد و نشانهها (Symbols) استفاده کنید. همچنین سعی کنید تا طول پسورد شما حداقل 15 کاراکتر باشد تا بتوانید از امنیت آن اطمینان کافی را حاصل کنید.
4 . از نام کاربری admin پرهیز کنید
بسیاری از حملات انجام شده به سایتهای وردپرس به خاطر استفاده از نام کاربری admin و پسورد ساده و آسان بوده است. اگر هنوز از نام کاربردی admin برای ورود به پنل کاربری سایت وردپرسی استفاده میکنید، به سرعت آن را عوض کنید. بهتر است نام کاربری خود را به گونهای انتخاب کنید که حدس زدن آن برای هکرها و دیگر کاربران سخت و دشوار باشد.
5 . تعداد دفعات لاگین را محدود کنید
یکی دیگر از راههای بالا بردن امنیت سایت وردپرس محدود کردن تعداد دفعات لاگین کردن است. ممکن است هکرها با استفاده از روش brute-force به دنبال هک پسورد شما باشند. با محدود کردن دفعات لاگین کردن از یک آدرس IP میتوانید از این دسته حملات تا حد خوبی جلوگیری کنید.
6 . از احراز هویت دو مرحلهای استفاده کنید
پسورد قدرتمند به تنهایی ضامن امنیت سایت وردپرسی شما نخواهد بود. برای اینکه امنیت بیشتری را برای سایت وردپرسی خود به ارمغان آورید، بهتر است از احراز هویت دو مرحلهای استفاده کنید. این نوع احراز هویت میتواند همراه با کپچا (Capcha)، تعدادی کاراکتر و یا یک سوال از کاربر باشد.
7 . استفاده از SSL
بهره گیری از پروتکل امن SSL یک راه حل هوشمندانه برای افزایش امنیت سایت وردپرس است. پروتکل امنیتی SSL باعث انتقال امن فایلها میان سرور و مرورگر خواهد شد و کار را برای هکرها و مخربها بسیار سخت خواهد کرد. شما میتوانید برای سایت وردپرسی پروتکل SSL را از طریق هاست خود و یا یک شرکت سوم شخص خریداری و استفاده نمایید.
8 . از سایت خود بک آپ بگیرید
بسیاری از مردم اهمیت بکاپ گیری مستمر و منظم از وبسایت وردپرسی را نادیده میگیرند. حتی اگر تمامی نکات امنیتی رعایت کنید، ممکن است به خاطر یک خطای کوچک امنیت سایت خود را به خطر بیاندازید. هنگامی که از سایت خود بک آپ مناسب داشته باشید، خیالتان از بابت همه چیز راحت خواهد بود. میتوانید از افزونههایی نظیر WordPress Backup to Dropbox جهت برنامه ریزی دقیق بک آپهای خود استفاده نمایید.
9. از قالب های رایگان و کرک شده استفاده نکنیم
قالبهای وردپرس رایگان و پولی دارای تفاوتهای مهمی هستند. قالب های پولی وردپرس به عنوان گزینه های حرفه ای تری معرفی میشوند و امکانات قابل تنظیم بیشتری نبسب به قالب های رایگان دارند. این قالب ها به ما امکانات شخصی سازی بیشتری میدهند؛ و همچنین آپدیت های منظم تری ارائه میدهند و در صورت بروز مشکلات از سرویس پشتیبانی آنها میتوانید بهره مند شوید. اگر شما هم بدنبال بهترین قالبهای وردپرس هستید میتوانید مقاله مارا مطالعه کنید.
بعضی از هکرها با کشف ضعفهای امنیتی در قالبهای وبسایتهای وردپرسی، تلاش میکنند تا به آنها نفوذ کنند. افزونه Theme Check یک راه ساده برای ارزیابی امنیت قالب وبسایت شما است. این افزونه بیش از 70 هزار نصب فعال دارد که قالب های سایت را با رعایت استاندارد های کدنویسی بررسی میکند. پس از نصب و فعالسازی این افزونه، گزینهای به نام “Theme Check” به منوی نمایش وردپرس شما افزوده میشود. با کلیک روی این گزینه، صفحهای جدید باز میشود و شما میتوانید با انتخاب قالب مورد نظر از فهرست کشویی و کلیک بر روی دکمه “Check it”، قالب وبسایت خود را جهت بررسی امنیتی مورد ارزیابی قرار دهید.
10. نصب پلاگین های امنیتی وردپرس
پلاگینهای امنیتی برای وبسایتهای وردپرس ابزارهای حیاتی هستند که به شما کمک میکنند امنیت وردپرس خود را بهبود دهید. این پلاگینها ویژگیها و عملکردهای متنوعی دارند که شامل اسکن و شناسایی تهدیدهای امنیتی، مدیریت دسترسی کاربران، مسدود کردن حملات ناخواسته، اعمال تنظیمات امنیتی و گزارشگیری از وضعیت امنیتی میشود. این پلاگینها به شما امکان میدهند از حفظ امنیت وردپرس و حفاظت از دادههای خود اطمینان حاصل کنید.
در ادامه دوتا از معروف ترین پلاگین های امنیتی وردپرس رو بهتون معرفی میکنم که میتوانید با خواندن نظرات کاربران و توضیحات افزونه به دلخواه یکی از اونارو برای سایت خودتون نصب کنید.
11. استفاده از کپچا در وردپرس
یکی از روشهای حملات به وردپرس از طریق ارسال دیدگاههای اسپمی است. در این نوع حملات، هدف اصلی این است که تعداد بسیار زیادی درخواست به سایت ارسال شود، که این امر باعث افزایش مصرف منابع سرور میشود و در نهایت منجر به از دسترس خارج شدن سایت میشود. برای مقابله با این نوع حملات، استفاده از کپچا به عنوان یک روش مؤثر شناخته میشود. برای اعمال کپچا در وردپرس، میتوانید از افزونههای کپچا مانند “reCAPTCHA by Google” استفاده نمایید. این اقدام نه تنها از حملات اسپم و باتها جلوگیری میکند، بلکه به بهبود منابع سرور و افزایش امنیت وبسایت کمک میکند.
12. اجرای فایل php را غیر فعال کنید
هاست به شما امکان میدهد تا هر فایلی را در هر جایی قرار دهید و با استفاده از دستورات PHP هر کاری که میخواهید در سایت انجام دهید. اما برخی از دایرکتوریها وجود دارند که اجرای فایلهای PHP در آنها نه تنها لازم نیست، بلکه ممکن است ناخواسته موجب مشکلات امنیتی شود. یکی از مهمترین این دایرکتوریها، پوشه “uploads” وردپرس است که فایلهای چندرسانهای مانند تصاویر، ویدئوها، صداها و… در آن قرار میگیرند. بنابراین، برای جلوگیری از اجرای دستورات PHP در این مسیر حساس، از روش زیر استفاده میکنیم.
برای غیرفعال کردن اجرای فایلهای PHP در وبسرور برای سایتهای وردپرس، میتوانید از مراحل زیر استفاده کنید:
1.وارد هاست خود شوید و به public_html/wp-content/uploads بروید.
2.یک فایل با نام htaccess. بسازید و کد های زیر را در آن جای گذاری کنید.
3.به انتهای فایل .htaccess، کد زیر را اضافه کنید:
<Files *.php>
deny from all
</Files>
این کد میگوید که تمام فایلهای با پسوند PHP را برای دسترسی عمومی مسدود شود.
13. ویرایش فایل را غیر فعال کنید
وردپرس به شما امکان میدهد تا به طور مستقیم فایلهای افزونه و قالب خود را از طریق پنل مدیریت ویرایش کنید. با این وجود، این کار خطرناک است زیرا یک اشتباه تایپی میتواند به نابودی وبسایت شما منجر شود. علاوه بر این، ممکن است بخواهید برای افرادی که نیازی به ویرایش کد ندارند، دسترسی به این ابزارها را محدود کنید.
برای انجام این کار، تنها کافی است ویرایشگر تم و ویرایشگر افزونه را در وردپرس غیرفعال کنید. برای انجام این کار، فایل wp-config.php خود را باز کرده و کد زیر را به آن اضافه کنید
بعد از پیدا کردن این فایل به ویرایشگر کد این صفحه میریم
قبل از این عبارت:
/* That’s all, stop editing! Happy blogging. */.
کد زیر را قرار میدهید:
define( ‘DISALLOW_FILE_EDIT’, true );
14. فایل های wp-config و .htaccess را پنهان کنید
به منظور پنهان کردن فایلهای wp-config.php و .htaccess در وردپرس، میتوانید از دستورات مرتبط با فایلهای مخفی استفاده کنید تا این فایلها از دسترسی عموم محافظت شوند. این اقدام به تقویت امنیت وبسایت شما کمک میکند، زیرا افراد غیرمجاز به این فایلها دسترسی نخواهند داشت. با این حال، توجه داشته باشید که این کار تأثیری بر توانایی شما برای مدیریت و تغییر تنظیمات وردپرس ندارد. این فقط فایلها را پنهان میکند. البته ما توصیه میکنیم که این گزینه فقط توسط توسعه دهندگان با تجربه اجرا شود تا دچار مشکل نشوید.
وارد wp-config.php شوید و این قطعه کد زیر را در آن قرار دهید
<Files wp-config.php>
order allow,deny
deny from all
</Files>
بعد از قرار دادن کد قبلی نوبت به جایگذاری کد زیر در فایل.htaccess است.
<Files .htaccess>
order allow,deny
deny from all
</Files>
حالا فایل wp-config.php و .htaccess در وبسایت شما پنهان شدهاند و دسترسی عمومی به آنها ممنوع است. توجه داشته باشید که در صورت نیاز به تغییر تنظیمات وردپرس یا فایل .htaccess، شما باید از طریق دسترسی مستقیم به سرور یا از طریق پنل مدیریت سرور اقدام کنید.
15. ویژگی XML RPC را غیر فعال کنید
XML-RPCیک ویژگی ای است که وردپرس در از نسخه 3.5 به بعد این امکان را ایجاد کرد که میتوان از طریق این پروتکل سایت وردپرس خود را به سایت ها وبرنامه های موبایل متصل کنید. حالا خطراتی که XML-RPC برای سایت ما دارد را باذکر یک مثال توضیح میدهیم.
اگر یک هکر در حالت عادی بخواهد 100 گذرواژه را در سایت شما امتحان کند مجبور است 100 تلاش جداگانه برای ورود امتحان کند که با استفاده از پلاگین های امنیتی میتوان جلوی این اتفاق را به راحتی گرفت. اما با استفاده از XML-RPC هکر میتواند هزاران رمز عبور را با 30 یا 60 درخواست ارسال کند به همین دلیل اگراز XML-RPC استفاده نمیکنید بهتر است که آن را غیر فعال کنید.
برای غیر فعال کردن XML-RPC سه روش وجود دارد. که ما راحتترین راه یعنی نصب افزونه را برای شما باز میکنیم.
با نصب و فعال کردن افزونه “Disable XML-RPC” از مخزن وردپرس میتوانید به راحتی XML-RPC را غیر فعال کنید.
این افزونه با بیش از 90000 نصب فعال وامتیاز 4.8 از کاربران، افزونه مورد تایید مردم قرار گرفته است.
16. محافظت از پوشه WP-ADMIN
محافظت از پوشه wp-admin یکی از مهمترین اقدامات امنیتی سایتهای وردپرسی است.
در ادامه مراحل انجام این تنظیمات رو با هم مرور میکنیم:
- وارد پنل هاست میشویم
- رو پوشه WP-ADMIN کلیک راست میکنیم و password protect را انتخاب میکنیم
- حالا گزینه Password protect this directory یا Directory Privacy را انتخاب میکنیم
- در Enter a name for the protected directoryنام خود را وارد میکنیم و Saveمیکنیم
- به صفحه قبل برمیگردیم و یک نام کاربری و رمز عبور قدرتمند وارد میکنیم و آن را Save میکنیم
- در پایان، نام کاربری و رمز عبور انتخابی خود را وارد کرده و بر روی add or modify the authorized user کلیک کنید.
سپس برای جلوگیری از ایجاد مشکل در عملکرد ajax سایت، قطعه کد زیر را در فایل htaccess. وارد کنید:
<Files admin-ajax.php>
Order allow, deny
Allow from all
Satisfy any
<Files/>
37 پاسخ
واقعا آموزشتون کامل بود خسته نباشید
ممنونیم از توجه شما و انرژی که به ما میدید💙
مرسی از تیم ویرا که این مطالب رو در اختیار ما میذاره
ممنونیم دوست عزیز🌸🌷
خیلی خوشحالم که هستین
ماهم خوشحالیم از بودن شما عزیزان کنار تیم ویرا🌸
مطالب بی نظیر بود
متشکریم معسود جان 🌸
دمتون گرم
ممنونیم از توجه شما
حرفتون خیلی عالیه
ممنونیم ازتون 😍
مطلبتون بسیار مفید بود
متشکریم جناب باهنر🌸
مرسی
ممنون از شما که همراه ما هستید🌸
میتونیم از کاراکتر هایی مانند @ # اینا استفاده کنیم؟
بله شما میتونید برای امنیت بیشتر از همچین کاراکترهایی استفاده کنید
چه مطلب خوبی 😍😍😍
متشکریم از شما
برای طراحی سایت با وردپرس آیا نیازی به کد نویسی هست ؟
سلام وقت بخیر شما میتونید با سلیقه خودتون و مشورت طراحان ما یک قالب مناسب برای سایت خودتون استفاده کنید
این موضوع یکی از موضوعات موردعلاقه منه 😍😍😍
خوشحالیم که مطالب برای شما عزیزان مفید واقع شده 🌺
محتوا خوبی بود
خوشحالیم که مقاله براتون مفید بوده دوست عزیز
سپاس از شما ✨
عرض ادب سپاسگذارم بابت مقالات و آموزش های خوبی که منتشر میکنید
سایت تون عالیه، ممنون از مقاله خوبتون، خیلی برام مفید بود
عرض ادب. اقا چه کردی. واقعا عالیه مطالب سایتتون
کارتون عالیه خیلی ممنون که مطالب به این خوبی منتشر میکنید
merci az tim vira
واقعاا عالی و جامع، متنی با این کیفیت نخونده بودم
بابت مطلب تحلیلی وساختار حرفه ای ازتون خیلی ممنونم
واقعا لذت بردم
ویرا رو یادم میمونه
خوشحالیم که از مطالب ما خوشت اومده
سلام ممنون از مطالب خوبی که در سایت قرار میدید😍
خیلی خوشحالم که مطلب ما رو دوست داشتی.