22 قدم مهم برای افزایش امنیت وردپرس
اجازه بدهید ابتدا یک آمار در مورد سایت های هک شده در اختیارتان قرار بدهم تا خودتان بهتر با اهمیت و اولویت هر کدام از حفره های امنیت سایت وردپرسی آشنا شوید. طبق آخرین تحقیقات انجام شده در وب انگلیسی،
- هاستینگ ضعیف باعث هک شدن 41 درصد از سایت ها شده،
- 29 درصد از سایت های وردپرسی از طریق قالب ناامن هک شده اند،
- افزونه های غیر مطمئن باعث هک شدن 22 درصد از سایت های وردپرسی بوده،
- و در نهایت به 8 درصد دیگر از سایت ها، به دلیل رمز و نام کاربری ضعیف نفوذ شده.
در این مقاله علاوه بر راهکارهایی در مورد رفع حفره های امنیتی بالا، تمامی نکاتی که باید برای ارتقای امنیت در وردپرس بدانید و انجام بدهید را به شما آموزش میدهم.
آموزش افزایش امنیت وردپرس قدم به قدم
این مقاله به طور کلی به 2 بخش تقسم شده. در بخش اول در مورد نکاتی صحبت میکنم که باید به طور پیش فرض برای تامین امنیت وردپرس آنها را اجرایی کنید. در بخش دوم هم نکاتی را به شما آموزش میدهم که بعد از رعایت این موارد، باید برای امن تر کردن سایت و در امان ماندن از هکرهای متخصص و حرفه ای اجرای شان کنید.
1_ از فضای میزبانی شروع کنید
همانطور که در آمار بالا هم خواندید، هاستینگ ضعیف یکی از مهم ترین دلایل و عوامل هک شدن سایت های وردپرسی است. به عنوان کسی که یک بار به خاطر انتخاب هاست نامناسب سایتش هک شده و در واقع از زبان یک زخم خورده:
لطفا به هیچ عنوان سراغ هاست های رایگان یا خیلی ارزان وردپرسی نروید.
من به شدت به جمله “هیچ ارزانی بی دلیل نیست” اعتقاد دارم. بنابراین توصیه میکنم حتما قبل از خرید هاست به اعتبار شرکت مورد نظر دقت کنید. من در حال حاضر برای خرید هاست سایت های خودم و سایت دیگر مشتریان از شرکت هایی مثل ایران سرور، میهن وب هاست و… استفاده میکنم.
البته اگر کیفیت هاست برای تان اهمیت زیادی دارد، پیشنهاد میکنم قبل از خرید، به سراغ سایت های پرسش و پاسخ در زمینه طراحی سایت یا گروه های تلگرامی طراحان سایت رفته و از آنها در مورد کیفیت هاستینگ شرکت مورد نظرتان سوال کنید.
پیشنهاد می کنیم مقاله جامع آموزش وردپرس را نیز حتما مطالعه نمایید.
2_ هر افزونه ای برای نصب کردن نیست!
همین جا باید با یکی از مهم ترین قاتلان امنیت وردپرس آشنای تان کنم: افزونه های هک شده و رایگان! ببینید اغلب افزونه های وردپرسی به دست برنامه نویسان خارجی ساخته شده اند و با قیمت های دلاری در مارکت های آمریکایی و اروپایی به فروش میرسند. ما ایرانی ها برای تهیه این افزونه ها 3 راهکار داریم:
- خرید دلاری از خود مارکت های خارجی با قیمت بسیار بالا،
- خرید از مارکت های ایرانی مثل ژاکت و راستچین با قیمت ریالی و ارزان تر،
- دانلود از سایت هایی که افزونه ها را اصطلاحا null کرده و به شکل رایگان در اختیارتان قرار میدهند.
2 تای اول راهکارهای صحیح و راهکار سوم، بزرگترین اشتباه ممکن است! در واقع اغلب هکرها و برنامه نویسانی که این افزونه ها را به شکل رایگان در اختیار شما قرار میدهند، در آنها کدهایی جای گذاری میکنند که امنیت سایت تان را به خطر بیندازد. مثلا ممکن است کدی در افزونه مورد نظر باشد که اطلاعات ورود مدیر به سایت را برای سازنده افزونه ارسال کند. بنابراین به هیچ عنوان برای استفاده از افزونه های پولی، از راهکار سوم استفاده نکنید.
3_ مراقب تاریخ انقضاء افزونه ها باشید
خب راستش اصلا چیزی به اسم تاریخ انقضا در مورد افزونه ها و هسته وردپرس وجود ندارد. اما به نظر من تاریخ انقضاء اینها، زمانی است که یک آپدیت جدید برای شان معرفی میشود! اگر این آپدیت جدید افزونه یا هسته وردپرس را روی سایت نصب نکنید، احتمالا در حال استفاده از یک برنامه فاسد شده هستید. چرا؟
خب در واقع در دنیای وب و به طور کلی نرم افزار، آپدیت ها با چند هدف مختلف معرفی میشوند. اهدافی مثل بهبود مشکلات برنامه، بهبود تجربه کاربری و… در نهایت هم افزایش امنیت! خیلی از آپدیت هایی که برای هسته وردپرس و افزونه های وردپرسی ارائه میشود، هدف شان رفع مشکلات امنیتی است.
حالا در این بین اگر آپدیت مورد نظر را نصب نکنید، با استفاده از یک برنامه فاسد شده، دست هکرها را باز میگذارید تا از طریق همان باگ امنیتی سایت تان را هک کنند. البته اولویت این موضوع در برابر بقیه نکات افزایش امنیت وردپرسی خیلی زیاد نیست اما به طور کلی از اهمیت آن غافل نشوید و برای نصب نسخه های جدید، اجازه ندهید از معرفی نسخه جدید هسته وردپرس و افزونه ها زمان زیادی بگذرد.
پیشنهاد می کنیم مقاله بهترین افزونه های کش وردپرس را نیز حتما مطالعه نمایید..
4_ مراقب رایانه و رفتار امن خودتان باشید!
یکی از راحت ترین راهکارهای هک کردن یک سایت، دسترسی به رایانه مدیر یا یکی از مدیران آن است! در واقع اگر همین حالا رایانه تان را در اختیار داشته باشم، بدون نیاز به هیچ نوع دانش هک و امنیت، در کمتر از 1 دقیقه میتوانم نام کاربری و پسورد تمامی سایت هایی که در آنها عضویت دارید یا مدیرشان هستید را از طریق مرورگرتان پیدا کنم!
البته تصور نکنید اینکه همیشه چشم تان به رایانه یا لپ تاپ باشد کافی است. در واقع دسترسی به خود رایانه فیزیکی صرفا یکی از راهکارهایی است که یک هکر به کمکش سایت تان را هک میکند. راهکار دیگر؟ دسترسی از طریق برنامه ها!
- کافی است یک نرم افزار ناامن را از سطح وب دانلود کنید،
- از طریق یک شبکه وایفای ناامن وارد اینترنت شوید،
- یک فایل ناامن را از طریق تلفن همراه یا فلاش مموری وارد رایانه کنید،
- و…
پیشنهاد میکنم برای جلوگیری از چنین چیزهایی، در ابتدا رفتار امنی را در پیش بگیرید. این یعنی برای دانلود برنامه و نرم افزار وارد هر سایتی نشوید، به هر وایفای رایگانی متصل نشوید و… . علاوه بر این روشن کردن فایروال رایانه و همینطور نصب یک آنتی ویروس قدرتمند، در این مسیر کمک زیادی به شما میکند.
5_ کمتر اعتماد کنید!
راستش من اصلا انسان بدبینی نیستم. حتی همین حالا هم تمامی نویسندگان وب سایت فرین آکادمی به سایت دسترسی کامل دارند. اما خب با توجه به تجربه ای که چند سال پیش داشتم، پیشنهاد میکنم اگر نیروهای تان را به خوبی نمیشناسید، در دادن دسترسی سایت به آنها کمی سختگیر باشید:
چند سال پیش پروژه سئویی را در فرین آکادمی قبول کردیم، بعد از مدتی متوجه شدیم سئو سایت دائما دچار مشکل میشود. یک روز یک صفحه به 404 تبدیل میشد و روز دیگر تعداد کلمات محتوای صفحه دیگری کاهش پیدا میکرد. این وضع چند روزی ادامه داشت تا اینکه یک روز به شرکت مورد نظر رفتم و از مدیر خواستم به همه اعلام کند که از فردا یک افزونه آنالیز رفتار نیروها در سایت روی آن نصب میشود. نکته جالب اینجا بود که یکی از نیروها از روز بعد دیگر به شرکت نیامد و اتفاقا بعد از آن دیگر مشکل جدیدی هم برای سایت به وجود نیامد!
با توجه به این تجربه، پیشنهاد میکنم تا جای ممکن در دادن دسترسی کامل به نویسندگان سایت و بقیه اعضای آن سختگیر باشید و به هر کسی سطحی از دسترسی را بدهید که به آن نیاز دارد و نه بیشتر.
پیشنهاد می کنیم مقاله جامع مربوط به بهترین افزونه های امنیت وردپرس را نیز حتما مطالعه نمایید.
6_ تصور نکنید تاریخ تولدتان پسورد خیلی امنی است!
همانطور که بالاتر هم در آمار مشاهده کردید، حدود 8 درصد از سایت های هک شده، به خاطر رمز ورود آسان و قابل حدس دچار مشکل شده بودند. طبق تجربه همکاری با کارفرماهای مختلفی که دارم، اغلب این عزیزان تصور میکنند که اگر یک عدد 6-7 رقمی یا تاریخ تولد فرزندشان را به عنوان پسورد انتخاب کنند، دیگر هیچ کس نمیتواند آن را حدس زده و سایت شان را هک کند. اما خب بگذارید یک توضیح کوتاه بدهم: هک کردن سایت از طریق نام کاربری و رمز به این ترتیب انجام میشود:
- در ابتدا هکر به کمک اطلاعات خود سایت تان یا حفره های امنیتی نام کاربری تان را متوجه میشود،
- سپس به کمک یک ربات وارد پنل ادمین میشود،
- سپس هکر به سراغ “کمبو لیست” میرود،
- کمبو لیست یک لیست/فایل متنی بلند و بالا از پسوردهای رایج و غیر رایج است که هکرها آن را ساخته اند. گاهی مواقع تعداد پسوردهای یک کمبو لیست به بیشتر از 1 میلیون عدد میرسد!
- این ربات از نام کاربری شما کمک گرفته و با استفاده از کمبو لیست تعداد زیادی رمز آماده را روی پنل امتحان میکند،
- بعد از اینکه یکی از این پسوردها با رمز اصلی شما جور در آمد، سایت تان هک میشود!
با توجه به این، پیشنهاد میکنم به هیچ عنوان تصور نکنید که رمز عبور سختی دارید و اصلا قابل حدس نیست! به جای این کار از رمزهای سخت استفاده کنید. خود من همیشه از رمزهایی استفاده میکنم که خود وردپرس به شکل خودکار میسازد. این رمزها از انواع اعداد، حروف و کاراکترها ساخته شده و واقعا حدس زدن شان کار سختی است.
7_ مخفی کردن نام کاربریِ مدیر و اعضا
به طور عادی، زمانی که اکانت شما در وردپرس ساخته میشود، نام کاربری تان و نامی که در سایت به مخاطبان نمایش داده میشود یکی است. یعنی زمانی که شما یک مقاله در سایت بنویسید، مقاله با آن نامی به مخاطب نمایش داده میشود که به کمکش وارد پنل ادمین میشوید. به این ترتیب هکرها میتوانند به راحتی نام کاربری را پیدا کرده و فقط نگران پسورد باشند. برای جلوگیری از این مشکل، وارد بخش کاربران شوید، روی اکانت خودتان و بقیه مدیران کلیک کنید:
حالا در این قسمت، در فیلد نام و نام خانوادگی اسامی دلخواه را بنویسید و سپس با کلیک روی گزینه نمایش نام عمومی، یکی از اسم هایی را انتخاب کنید که نام کاربری ورود به سایت تان نیست.
8_ ssl را فعال کنید
ssl همان چیزی است که باعث میشود آدرس سایت شما به جای http با https نمایش داده شود. خب راستش اینطور نیست که اگر سایت تان ssl نداشته باشد، همین حالا یک هکر بتواند آن را هک کند. اما به طور کلی پروتکل ssl میتواند از اطلاعات روی وب سایت شما محافظت کند و امنیت وردپرس را بالاتر ببرد.
حتی اگر کاری به این چیزها هم نداشته باشیم، در نهایت در صورتی که از ssl استفاده نکنید، گوگل به شما ایراد گرفته و سئو سایت تان را کاهش میدهد. بنابراین حتما برای فعال سازی آن اقدام کنید. اگر نمیدانید چطور، به پشتیبان هاست تان پیام بدهید.
9_ حواس تان به تاریخ انقضا رمزها باشد
هر چقدر هم که سایت تان امنیت بالایی داشته باشد، کافی است یکی از مدیران آن به اشتباه یک رمز عبور ناامن برای ورود به پنل استفاده کند. به این ترتیب امنیت کل سایت به خطر می افتد. بنابراین پیشنهاد میکنم از همین امروز یک بازه زمانی انتخاب کنید و در آن بازه حداقل یک بار از همه مدیران، محتوانویسان و… بخواهید رمزشان را عوض کنند.
مثلا هر 3 ماه یک بار، در روز ابتدای ماه سوم از همه بخواهید که رمز عبورشان را عوض کرده و یک رمز سخت برای آن قرار بدهند. در واقع این کار یک راهکار کم هزینه برای ارتقا و افزایش امنیت وردپرس است.
10_ آموزش امنیت وردپرس: بار سایت را بی دلیل اضافه نکنید
یکی از رایج ترین رفتارهای یک طراح سایت یا مدیر سایت تازه کار، نصب افزونه های مختلف است. در واقع این دوستان عزیز تصور میکنند تمامی افزونه های رنگارنگی که در سطح وب و در مخزن وردپرس وجود دارند، در نهایت میتوانند به آنها در ساخت یک سایت بهتر کمک کنند. اما خب در اصل اینطور نیست و نصب این پلاگین ها صرفا باعث سنگین شدن سایت میشود.
البته موضوع به همین جا ختم نمیشود. متاسفانه با نصب پلاگین های وردپرسی بدون بررسی قبلی، امنیت وردپرس را هم در خطر قرار میدهید. خیلی ها تصور میکنند صرفا اینکه یک افزونه در مخزن وردپرس وجود داشته باشد، دیگر میتوانند با خیال راحت به آن اعتماد کرده و روی سایت نصبش کنند اما خب اینطور نیست. اتفاقا خیلی از همین پلاگین ها باعث کاهش امنیت سایت وردپرس شما میشوند.
در نهایت هم اینکه اگر افزونه ای را روی سایت غیرفعال کردید، حتما آن را از کل سایت هم پاک کنید. چون باز هم این پلاگین ها ممکن است باعث کاهش امنیت وردپرس شده و برای تان دردسر بسازند.
11_ اطلاعات ورود را به هر کسی ندهید
هر چه هم که کار کردن با وردپرس آسان باشد، باز هم خیلی مواقع ممکن است ما در میانه راه مان به تخصص یک برنامه نویس یا وردپرس کار نیاز پیدا کنیم. مثلا زمانی که قصد داریم یک مشکل برنامه نویسی ایجاد شده در سایت را از بین ببریم، وقتی میخواهیم سرعت سایت را افزایش بدهیم و… . در این شرایط احتمالا باید اطلاعات ورود به سایت را برای برنامه نویس مورد نظر بفرستیم.
مخصوصا اگر برنامه نویس مورد نظر یک فرد آزادکار است، باید حواس تان باشد! من اصولا چنین ریسکی نمیکنم و حل مشکلات را به نیروی برنامه نویس فرین آکادمی میسپارم اما اگر جای شما بودم، یک اکانت برای فرد مورد نظر در سایت میساختم و بعد از اتمام کار، کل اکانت را حذف میکردم. البته باز هم احتمال ایجاد مشکل وجود دارد بنابراین پیشنهاد میکنم که به طور کلی از برنامه نویسان شناخته شده و معتبر در این شرایط کمک بگیرید. کسانی که بتوانید با خیال راحت به آنها اعتماد کنید.
12_ از افزونه پشتیبانی غافل نشوید
افزونه های پشتیبان گیری وردپرس، افزونه هایی هستند که از تمامی اطلاعات وب سایت شما یک نسخه پشتیبانی ذخیره میکنند. به این ترتیب زمانی که سایت دچار مشکل امنیتی شد، با بازگردانی نسخه پشتیبان میتوانید سایت را به حالت قبل از هک شدن برگردانید.
البته اگر بخواهم دقیق تر بگویم افزونه بکاپ یک افزونه افزایش امنیت وردپرس نیست و به نوعی یک راهکار پیشگیری محسوب میشود. اما در هر حال وجود آن به شدت روی وب سایت شما و امنیت آن تاثیرگذار است.
نکته: در حال حاضر بهترین افزونه پشتیبانی سایت که من میشناسم، افزونه updraftplus است.
13_ بکاپ ها را ذخیره کنید
ببینید در حالت عادی شرکت هاستینگ سایت شما موظف است از اطلاعات سایت تان یک بکاپ کامل ذخیره کند. اما در همین حین، متاسفانه خیلی از شرکت های هاستینگ در ذخیره کردن این بکاپ از سایت شما کمی کوتاهی میکنند. به همین دلیل است که ما خودمان هم افزونه های پشتیبانی را روی سایت نصب میکنیم. این افزونه ها بکاپ را روی هاست خودتان ذخیره میکنند.
ولی متاسفانه بعضی مواقع هکرهایی که به سایت شما دسترسی پیدا میکنند، کل اطلاعات هاست را از روی آن پاک میکنند. به این ترتیب بکاپ خودمان هم از بین میرود. با توجه به این موضوع، پیشنهاد میکنم هر از گاهی، مثلا در بازه زمانی دو هفته یک بار یا هر ماه یک بار، نسخه بکاپی که توسط افزونه ساخته شده را دانلود کرده و روی رایانه خودتان ذخیره کنید.
به این ترتیب، حتی اگر یک بلای آسمانی هم سر شرکت هاستینگ نازل شود و تمامی اطلاعات روی سایت از بین برود، میتوانید در مدت زمان کوتاه به کمک بکاپی که دانلود کرده اید، سایت را به حالت قبل برگردانید. برای دانلود بکاپ یا از طریق خود افزونه بکاپ گیری خودتان اقدام کنید یا وارد هاست شده و فایل بکاپ را دانلود کنید.
14_ امنیت پنل ورود به هاست را بالا ببرید
اگر تمامی نکات افزایش امنیت وردپرس را رعایت کنید اما در نهایت حواس تان به امنیت هاست نباشد، در واقع همه چیز را از دست داده اید! اگر تا الان وارد هاست سایت تان شده باشید، میدانید که ورود به آنهم از طریق یک نام کاربری و رمز عبور انجام میشود. حالا اگر این نام کاربری و رمز عبور را به درستی انتخاب نکنید، قطعا هکرها میتوانند راحت به هاست و تمامی اطلاعات روی سایت شما دسترسی داشته باشند. بنابراین در قدم اول از ایمن بودن رمز آن مطمئن شوید.
علاوه بر این، ممکن است در زمان طراحی کردن سایت، برای بارگذاری اطلاعات قالب سایت و… از یک ftp استفاده کرده باشید. یادتان باشد یا این حساب ftp را حذف کنید یا رمز ایمنی روی آن بگذارید.
آموزش کامل امنیت وردپرس
خب، بخش ابتدایی مقاله به اتمام رسید. در بخش اول مقاله نکاتی را بررسی کردیم که اجرای آنها به صورت پیش فرض امنیت وردپرس را بهبود میدهد. اما در ادامه میخواهم به سراغ نکات تکمیلی امنیت وردپرس بروم. اجرای اغلب این نکات نیاز به تخصص دارد ولی برای دوستانی که تخصص کافی ندارند هم راهکار دارم. پس با من همراه باشید:
1_ یک افزونه امنیت وردپرس نصب کنید
مابقی نکاتی که میخواهم توضیح بدهم کمی تخصصی است و اصولا نیاز به دانش فنی برای اجرا دارد. اما اگر تخصص کافی ندارید، بهتر است همین حالا یک افزونه امنیتی وردپرس روی سایت نصب کنید تا به راحتی با تنظیم کردن افزونه، تمامی نکات ادامه مقاله روی سایت تان اجرا شود.
البته راستش را بخواهید به نظر من حتی اگر دانش تخصصی هم دارید، بیخیال آن شوید و از یک افزونه برای افزایش امنیت وردپرس کمک بگیرید. چرا؟ چون هم کار کردن با افزونه ها راحت تر است، هم میتوانید در زمان کمتری با آن امنیت سایت را بهبود بدهید و هم به دلیل کارهایی مثل آنالیز امنیت سایت، جلوگیری از ورود کاربران مشکوک و… امنیت سایت را بیشتر از قبل تامین میکنید. در مورد افزونه های امنیتی، در مقاله افزونه های امنیتی وردپرس صحبت کردم اما به طور خلاصه، بهترین افزونه هایی که من میشناسم اینها هستند:
- امنیت کامل وردپرس یا همان all in one security (رایگان)
- wordfence (نیمه رایگان)
- iThemes Security (نیمه رایگان)
2_ تعویض آدرس ورود به پنل کاربر وردپرس
ببینید به طور پیش فرض، آدرس ورود به پنل ادمین سایت های وردپرسی، این url است: wp-login.php در اصل با رفتن به صفحه wp-admin هم به همین صفحه منتقل میشوید. حالا یکی از راهکارهای افزایش امنیت وردپرس، دقیقا این است که این آدرس را عوض کنید. به این ترتیب هکرها به این راحتی ها نمیتوانند به آن صفحه دسترسی داشته باشند و سایت را هک کنند. چطور این کار را بکنیم؟
میتوانید این کار را با کمک افزونه Hide My WordPress یا HC Custom WP-Admin URL انجام دهید یا از یک متخصص کمک بگیرید. اما اصولا افزونه های امینی که بالاتر معرفی کردم خودشان برای تان این کار را میکنند.
3_ محدود کردن تعداد دفعات تلاش برای ورود به سایت
همانطور که بالاتر هم توضیح دادم، یکی از راهکارهای هک کردن وردپرس، استفاده از ربات هایی است که به تعداد دفعات بالا، رمزهای مختلف را روی سایت شما پیاده سازی میکنند. حالا در این بین اگر بتوانید تعداد دفعات تلاش برای ورود به سایت را با محدودیت روبرو کنید، امنیت وردپرس را افزایش داده اید.
به کمک افزونه های امنیتی که بالاتر معرفی کردم، میتوانید به راحتی تعیین کنید که هر کاربر بعد از چند بار تلاش ناموفق، اکانتش مسدود شده و دیگر نتواند برای ورود به سایت اقدام کند. من پیشنهاد میکنم این عدد را روی 3 یا 5 بار تنظیم کنید.
4_ احراز هویت دو مرحله ای را فعال کنید
یکی از بهترین راهکارهای افزایش امنیت وردپرس که میشناسم، احراز هویت دو مرحله ای است. در این روش در واقع یک مرحله دیگر به مراحل ورود به سایت اضافه میکنید و اگر کاربری قصد ورود به آن را داشته باشد، باید علاوه بر رمز اصلی، از سدِ احراز هویت مرحله دوم هم عبور کند.
بعضی از افزونه های امنیتی وردپرسی خودشان این گزینه را دارند، مخصوصا افزونه های غیر رایگانی که از مارکت ها خریداری میکنید. اما علاوه بر این، میتوانید از این افزونه ها استفاده کنید:
- Duo Two-Factor Authentication
- Google Authenticator-Two Factor Authentication
- WP Security Question
5_ فعال کردن captcha وردپرس
احتمالا تا الان بارها کپچاها در سطح وب دیده اید. مثلا همان تصویرهای پازل مانند یا اعداد بهم ریخته ای که میخواهند ربات بودن یا نبودن شما را تست کنند. نمونه یکی از آنها در تصویر پایین مشخص است:
با اضافه کردن کپچا به پنل ورود سایت، کار هکرها را به شدت سخت کرده و دیگر اجازه نمیدهید که برای ورود به سایت تان، از ربات ها استفاده کنند. بعضی افزونه های امنیتی خودشان این گزینه را به سایت تان اضافه میکنند.
6_ توجه به امنیت فایل wp-config.php
wp-config.php یکی از مهم ترین فایل های امنیتی سایت وردپرسی شماست. این فایل در فایل های هاست شما قرار گرفته. در واقع اگر یک هکر به این فایل دسترسی پیدا کند، میتواند با ایجاد چند خط کد برنامه نویسی در آن به سایت تان دسترسی داشته باشد. با توجه به همین، باید حسابی مراقب آن باشید.
از جمله کارهایی که میتوان برای افزایش امنیت آن کرد، کاهش سطح دسترسی به این فایل، جابجایی آن در هاست یا ایجاد چند خط کد برای افزایش امنیتش است. البته من به کمک افزونه امنیتی که روی سایتم نصب شده دسترسی به آن را محدود کردم. شما هم میتوانید از افزونه امنیتی که نصب میکنید کمک بگیرید یا به سراغ برنامه نویسان و متخصصان امنیت بروید.
7_ توجه به امنیت فایل htaccess.
یکی دیگر از فایل های به شدت پراهمیت در ارتقای امنیت وردپرس، فایل htaccess. است. دسترسی هکرها به این فایل هم ممکن است برای شما دردسرهای زیادی به وجود بیاورد. به همین دلیل برای افزایش امنیت وردپرس، باید مراقب آن باشید.
برای امن کردن جایگاه این فایل در هاست، میتوانید باز هم از دانش تخصصی خودتان یا دیگران کمک بگیرید. همینطور میتوانید به سراغ افزونه هایی مثل WP htaccess Control بروید که سطح دسترسی به آن را محدود میکنند. اما باز هم پیشنهاد نهایی، استفاده از افزونه های امنیتی است که معرفی کردم. در تنظیمات این افزونه ها میتوانید برای امن کردن htaccess هم اقدام کنید.
8_ تغییر پیشوند جدول ها در دیتابیس
بخش مهمی از هر وب سایت عادی و وردپرسی، دیتابیس آن است. اگر یک هکر بتواند به دیتابیس سایت شما هم دسترسی پیدا کند، مطمئنا برای تان مشکلات نامحدودی به وجود می آورد. یکی از راهکارها برای افزایش امنیت دیتابیس و افزایش امنیت ودپرس، تغییر پیشوند جداول آن است. در حالت عادی زمانی که طراح، سایت شما را طراحی میکند، جدول هایی که در دیتابیس وجود دارند با پیشوند wp ساخته میشوند که خب برای هر هکری قابل حدس است.
اما اگر این پیشوندها را عوض کنید، دسترسی به آنها را سخت تر کرده و امنیت سایت را افزایش میدهید. تغییر پیشوندهای وردپرس به کمک افزونه های امنیتی صرفا با یک کلیک انجام میشود.
کلام آخر
به عنوان کلام آخر: سایت شما بیشتر از آنکه به دست هکرهای متخصص و برنامه نویس هک شود، مورد حمله هکرهای تازه کاری قرار میگیرد که صرفا بلدند با یک ربات کار کنند! با توجه به این برای افزایش امنیت سایت وردپرسی باید ابتدا به نکات ساده ای مثل بهبود رمز و… دقت کنید که در بخش اول مقاله توضیح دادم. سپس به سراغ نکات تخصصی تر بخش دوم بروید.
خب دوستان، به انتهای مقاله آموزش کامل امنیت وردپرس رسیدیم. در این مقاله ابتدا 14 قدم مهم و پیش فرض را برای بهبود امنیت وردپرس بررسی کردیم. بعد از آن هم 8 قدم تخصصی را با هم طی کردیم تا یک سایت وردپرسی امن داشته باشیم. اگر سوال و نظری دارید، در بخش نظرات منتظر شما عزیزان هستم.
برخی سوالات متداول:
چه کارهایی برای امنیت وردپرس لازم است؟
از فضای میزبانی شروع کنید – هر افزونه ای برای نصب کردن نیست! – مراقب تاریخ انقضاء افزونه ها باشید – مراقب رایانه و رفتار امن خودتان باشید! – کمتر اعتماد کنید! و…
نکات مورد نیاز برای آمنیت وردپرس کدام است؟
یک افزونه امنیت وردپرس نصب کنید – تعویض آدرس ورود به پنل کاربر وردپرس – محدود کردن تعداد دفعات تلاش برای ورود به سایت – احراز هویت دو مرحله ای را فعال کنید – فعال کردن captcha وردپرس – توجه به امنیت فایل wp-config.php و …
منابع:
- تجربه شخصی
- codeinwp
- wpbeginner
- kinsta
مطالب زیر را حتما مطالعه کنید
5 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
مقاله تون عالی بود
سلام خسته نباشید مقالتون عالی بود مچکرم
سلام هادی عزیز.
خیلی ممنون که نظرت را با ما در میان گذاشتی
سلام وقت بخیر آقای هاشمی، ما از دیروز 2 تا از سایت های وردپرسی مون دچار مشکل شده و بالا نمیاد. یه صفحه لودینگ میاد و بعد صفحه مربوط به نظرسنجی کروم! آدرس سایت هم تغییر میکنه. البته از پنل کاربری امکان ورود داره. ممکنه ویروسی یا حک شده باشه؟!
سلام خدمت شما
بله به احتمال زیاد مشکل امنیتی هست