هر آنچه باید درباره امنیت سایت های وردپرسی بدانیم
امنیت سایت های وردپرسی موضوع بسیار مهمی است که در این مقاله قصد داریم درباره آن توضیحاتی را به شما بدهیم. بی شک یکی از فاکتور های بسیار مهمی که موفقیت شما در دنیای اینترنت به آن بستگی دارد امنیت سایت وردپرسی شما است. در واقع امنیت سایت های وردپرسی یک مورد بسیار مهم و ضروری است و عدم توجه به آن میتواند تمامی زحمات شما را ازبین برد.
سیستم تولید محتوای وردپرس به دلیل محبوبیت های بسیار زیادی که در بین کاربران خود دارد، باعث میشود تا توجه هکر ها را نسبت به سایر سیستم های سایت ساز، بیشتر به خود جلب کند. زمانی که یک سایت توسط شخصی هک میشود، تمامی اطلاعات آن وب سایت در اختیار آن شخص هکر قرار میگیرد. یک هکر میتواند به سایت شما نفوذ کند و یکسری کدهای مخرب خود را در سایت شما قرار دهد. در این حالت بی آنکه شما متوجه این مسئله باشید، آن هکر به راحتی اطلاعات کاملی از سایت شما و کاربرانتان را از طریق آن کدمخرب، بدست میآورد. فراموش نکنید زمانی که اطلاعات سایت شما در اختیار شخص هکر قرار میگیرد، آن شخص میتواند علاوه بر سرقت کلیه اطلاعات سایت شما و ایجاد اختلال در عملکرد سایت، دسترسی شما را به سایتتان قطع یا محدود کند !
امنیت سایت های وردپرسی یک امری کاملا نسبی است. نمیتوان گفت که یک سیستم امنیت کامل را دارد. بنابر این نیاز است تا ما به تمام راهکار ها و نکات امنیتی در افزایش امنیت سایت های وردپرسی خود توجه کنیم و تمامی آن ها را بکار ببریم.
از این رو رو باید در امنیت سایت های وردپرسی خود به یکسری نکات مهم توجه کنیم.
فاکتور های مهم در افزایش امنیت سایت های وردپرسی
۱ – انتخاب هاست کاملا مناسب و ایمن
تامین امنیت سایت های وردپرسی صرفا به سیستم مدیریت محتوای وردپرس محدود نمیشود. ما باید از یک هاست ایمن که سطح بالایی از امنیت را داشته باشد استفاده کنیم. بنابراین قدم اول در افزایش امنیت سایت های وردپرسی انتخاب یک هاست ایمن از یک شرکت معتبر میباشد.
۲ – از نام کاربری admin استفاده نکنید
به دلیل آنکه نام کاربری پیشفرض در وردپرس admin میباشد، این کلمه به راحتی قابل حدس بوده و میتواند امنیت سایت وردپرسی شما را به خطر بیاندازد. در این مرحله کافی است بجای این که از نام کاربری پیشفرض وردپرس استفاده کنید، یک نام کاربری مقاوم تری انتخاب کنید. افزایش امنیت سایت های وردپرسی در این مرحله هیچ هزینه ای ندارد ولی بیتوجهی به آن میتواند هزینه های سنگینی را برای سایت شما ایجاد کند.
۳ – از پسورد های سخت و پیچیده استفاده کنید
برای این منظور باید از ترکیب حروف و اعداد و نمادها استفاده کنید. مثلا پسورد “ ۳۳٫x.C.*5@m213*H;LYAmGg456F)&,shj ” یک پسورد بسیار قوی است.
۴ – تغییر آدرس صفحه ورود به وردپرس
همانگونه که نام کاربری پیشفرض در وردپرس admin میباشد، آدرس صفحه ورود سایت برای مدیریت کامل وردپرس نیز به صورت “wp-admin/دامنه سایت مورد نطر شما” میباشد.
بدیهی است در این حالت دسترسی به صفحه ورود سایت شما، آسان میشود و امنیت سایت شما در این حالت پایین میآید.
۵ – ایجاد محدودیت در تعداد دفعات ورود به وردپرس
درحالت عادی کاربران هرچند باری که بخواهند میتوانند برای ورود به صفحه پیشخوان وردپرس تلاش نمایند.
راه حل های وجود دارد تا بتوانیم تعداد تلاش برای ورود را محدود کنیم.
با محدود کردن تعداد دفعات تلاش برای ورود میتوانیم باعث افزایش امنیت سایت های وردپرسی شویم.
۶ – حذف امکان ورود با ایمیل
از نسخه ۳ به بعد در وردپرس قابلیتی به این سیستم محتوا اضافه شد که کاربران بتوانند به غیر از نام کاربری، در صورت صلاح دیدشان بجای نام کاربری از ایمیل استفاده کنند.
از آنجایی که ما از آن ایمیل در جاهای دیگر استفاده کرده ایم، کسانی که ایمیل مارا میدانند عملا متوجه نام کاربری ما میشوند.
این مسئله باعث کاهش امنیت سایت های ورد پرسی ما میشود.
برای حل این مسئله میتوان راهکار زیر را به ترتیب انجام داد :
۱ – ورود به هاست و رفتن به پوشهی public_html
۲ – رفتن به پوشه wp-content
۳ – رفتن به پوشه themes
۴ – پیدا کردن فایل functions.php
۵ – functions.php را ویرایش کرده و قطعه کد زیر را به آن اضافه میکنیم.
;(remove_filter( ‘authenticate’,’wp_authenticate_email_password’, ۲۰
۷ – استفاده از کپچا یا سوال امنیتی در صفحه ورود وردپرس
برای سوء استفاده و تخریب حتما نیاز نیست تا به سایت ما وارد شوند. بسیاری از هکر ها و یا رقبا سعی دارند تا در دیدگاه ها و قسمت ورود به صفحه لاگین وردپرس، تعداد بسیار زیادی درخواست به سمت سایت ما بفرستند و علاوه بر درگیر کردن cpu هاست، دیتابیس را نیز با اطلاعات بی فایده اشغال کنند.
از این رو نیاز است تا در صفحه ورود وردپرس جهت افزایش امنیت سایت های وردپرسی از کپچا یا سوال امنیتی استفاده بکنیم.
جالب است بدانیم این گونه از حمله ربات ها به سایت نیز جلوگیری میکنیم.
برای این مسئله میتوان از افزونه استفاده کرد.
این افزونه را میتوانید به صورت کاملا رایگان از سایت رامان صفر و یک دانلود کنید.
۸ – غیر فعال کردن پیغام های خطای وردپرس هنگام ورود
هنگامی که اشخاص بخواهند وارد وردپرس شوند و user name یا password را اشتباه وارد کنند، وردپرس دقیقا به آن شخص پیام میدهد که کدام یک از فیلد ها را اشتباه وارد کرده است.
در این حالت عملا ما شخص هکر را از صحت و سهم فیلد صحیحی که وارد کرده است مطمئن میکنیم و امنیت سایت وردپرسی خود را پایین میآویم.
برای حل این مسئله میتوان راهکار زیر را به ترتیب انجام داد :
۱ – ورود به هاست و رفتن به پوشهی public_html
۲ – رفتن به پوشه wp-content
۳ – رفتن به پوشه themes
۴ – پیدا کردن فایل functions.php
۵ – functions.php را ویرایش کرده و قطعه کد زیر را به آن اضافه میکنیم.
;((‘;add_filter(‘login_errors’, create_function(‘$a’, ‘return null
۹ – مخفی کردن نام کاربری در وردپرس
در اکثر قالب های وردپرسی هنگامی که روی نام نویسنده یک نوشته کلیک میکنیم، به صفحه نویسنده آن نوشته هدایت خواهیم شد. در آن صفحه نام کاربری نویسنده دقیق همان چیزی است که در آدرس نمایش داده میشود. در این حالت ما عملا به اشخاصی که قصد سو استفاده دارند، نام کاربریمان را نشان داده ایم و کار را برای او آسانتر میکینم و امنیت سایت وردپرسی خود را پایین میآوریم.
برای حل این مسئله راهکار وجود دارد:
۱ – در صورتی که به این قابلیت نیازی نداریم، آن را در قالب سایتمان غیر فعال کنیم.
۲ – با استفاده از یک سری متد ها آدرس صفحه نویسنده را بر اساس آیدی آن نویسنده تعیین کنیم.
۳ – قطعه کد زیر را در htaccess. هاست خودمان قرار دهیم. در این حالت مشاهده خواهیم کرد که صفحات نویسنده به صفحه اصلی سایتمان ریدایرکت میشود.
BEGIN block author scans #
RewriteEngine On
/ RewriteBase
[RewriteCond %{QUERY_STRING} (author=\d+) [NC
[RewriteRule .* – [F
END block author scans #
۱۰ – دسترسی سایت را فقط به افراد مطمئن دهیم
ممکن است ما سایت بزرگی داشته باشیم و بر اساس نیاز مدیریت سایت را بین چند نفر تقسیم کنیم و یا از چند نویسنده در سایتمان استفاده کنیم.
در این حالت ما باید به نکات زیر توجه کنیم :
۱ – در صورتی که به شخصی دسترسی میدهیم حتما به آن شخص اعتماد کامل داشته باشیم و از عملکرد درست وی مطمئن باشیم.
۲ – دسترسی افراد را تا جایی که امکان دارد بر اساس عملکرد آنان محدود کنیم. برای چنین کاری پیشنهاد من به شما استفاده از افزونه Menu Editor Pro میباشد.
۱۱ – پنهان کردن wp-config.php و htaccess.
در این روش ظاهرا کار آسان است ولی یک اشتباه کوچک در روند کار باعث میشود تا سایت شما کاملا از دسترس خارج شود. یادمان باشد حتما از سایت خود بکآپ بگیریم. این روش را با اضافه کردن کد به این فایل ها و همچنین استفاده از افزونه Yoast SEO میتوان انجام داد که بزودی روش مفصل آن را به شما آموزش خواهیم داد.
این امر بسیار مهم است و در افزایش امنیت سایت های وردپرسی بسیار کارا است.
۱۲ – غیر فعال کردن ویرایشگر قالب و افزونه ها
یکی از روش های بسیار مهم در افزایش امنیت سایت های وردپرسی، غیر فعال کردن ویرایشگر قالب و افزونه ها است. زمانی که یک هکر موفق میشود به سایت شما دسترسی پیدا کند، به راحتی میتواند از طریق منوی ” نمایش/ ویرایشگر پوسته ” به کلیه کد های قالب سایت وردپرسی شما دسترسی پیدا کند و در آن ها تغییر ایجاد کند و باعث ایجاد تغییر و تخریب در سایت شما بشود. بنابر این رعایت این نکته در افزایش امنیت سایت وردپرسی بسیار مهم است.
۱ – وارد هاست خود شوید.
۲ – پوشه public_html را باز کنید.
۳- فایل wp-config.php را پیدا کرده و قسمت ویراش آن فایل را باز کنید.
۴ – قطعه کد ;(define(‘DISALLOW_FILE_EDIT’, true را به فایل wp-config.php اضافه میکنیم.
از این به بعد باید کلیه تغییرات این بخش را به کمک FTP و یا وارد شدن به هاست انجام دهیم و امکان اعمال تغییرات را دیگر در این بخش نخواهیم داشت.
۱۳ – غیر فعال کردن XML-RPC
این فایل امکان مدیریت وردپرس را از راه دور فراهم خواهم کرد. استفاده از برنامه اندروید، برنامه ویندوز وردپرس و سرویس های IFTTT از جمله این موارد هستند. متاسفانه این مورد یک باگ امنیتی بزرگی در وردپرس بوجود میآورد. در واقع در این حالت هکر ها با استفاده از تابع system.multicall میتوانند به صورت همزمان ۲۰ درخواست را به سایت ارسال کنند و اقدام به پیدا کردن رمز ورود در وردپرس بکند. علاوه بر آن امکان حملات DDOS از این طریق فراهم است.
بدیهی است توجه به این نکته در افزایش سرعت سایت های وردپرسی تاثیر زیادی دارد.
برای غیر فعال سازی XML-RPC سه راه وجود دارد:
۱ – استفاده از افزونه
برای این منظور میتوانید از افزونه Disable XML-RPC به راحتی استفاده کرده و آن را نصب و فعال سازی کنید.
این افزونه را از سایت رامان صفر و یک میتوانید دانلود کنید.
۲ – استفاده از کد نویسی در فایل فانکشن قالب
به مسیر public_html/wp-content/themes بروید و فایل functions.php را پیدا کنید و قطعه کد زیر را در آن قرار دهید.
;(add_filter(‘xmlrpc_enabled’, ‘__return_false’
نکته : حتما حواس خود را جمع کنید که از فایل functions.php یک بکآپ داشته باشید تا در صورت بروز مشکل بتوانید به راحتی آن را برطرف نمایید.
۳ – استفاده از کد نویسی در فایل htaccess.
برای این منظور وارد هاست خودتون شده و سپس با مراجعه به File Manager هاست به دنبال فایلی با نام htaccess. بگردید. این فایل جزو فایلهای مخفی است که در اولین ورود به مدیریت فایل هاست اونو پیدا نخواهید کرد. بنابراین بر روی دکمه Setting که در بالای صفحه و در سمت راست قرار داره کلیک کنید و سپس تیک گزینه show hidden files را انتخای کرده و در نهایت روی دکمه Save کلیک کنید تا امکان نمایش این فایل برای شما فراهم شده و به اون دسترسی پیدا کنید.
حال کافی است فایل را ویرایش کرده و قطعه کد زیر را در آن قرار دهیم.
۱۴ – از قالب و افزونه های مطمئن و اورجینال استفاده کنیم
شاید فکر کنید منظور من از این پیام استفاده کردن از افزونه ها و قالب های پولی است اما باید به شما بگویم محزن وردپرس قابل اعتماد است و افزونه های زیادی در آن موجود است که میتوان به آنها اعتماد کرد (التبه حواسمان به افزونه هایی که در دو نسخه منتشر شده اند باشد و سعی کنیم حتما نسخه پریمیوم آن افزونه را تهیه کنیم.)
درباره قالب ها نیز قصد دارم به اطلاعتان برسانم که الزاما تمامی قالب های رایگان مشکلات امنیتی ندارند.
بنابر این همواره باید تلاش کنیم تا افزونه ها و قالب های خود را از منابع معتبر تهیه کنیم و قبل از تهیه آن افزونه حتما درباره امنیت آن یک تحقیق انجام بدهیم.
مثلا نسخه رایگان افزونه محبوب مداد زرد دارای باگ امنیتی است !
۱۵ – استفاده از ssl در وردپرس
باید سعی بکنیم از پروتکل https به جای http استفاده بکینم. در این حالت اطلاعات شما به صورت رمز نگاری شده و در محیطی امن رد و بدل میشود.
استفاده از SSL علاوه بر افزایش امنیت سایت های وردپرسی باعث میشود تا گوگل در زمینه سئو به سایت ما امتیاز بیشتری بدهد.
۱۶ – تغییر پیشوند جداول دیتابیس در ورد پرس
در حالت پیشفرض تمامی جداول وردپرس با پیشوند _wp شروع میشوند. اگر هنگام نصب وردپرس آن را تغییر نداده باشیم باید آن را پس از نصب وردپرس تغییر دهیم تا از سمت دیتابیس سایت خود را ایمنتر کنیم و باعث افزایش امنیت سایت وردپرسی خود شویم.
آموزش این موضوع به زودی در سایت رامان صفر و یک اراپه خواهد شد.
۱۷ – بررسی فعالیت ها و عملکرد های کاربران سایت
با استفاده از سیستم های آمارگیر سایت و به کمک افزونه ها میتوان فعالیت کاربران را بررسی کرده و کاربران مشکوک را شناسایی کنیم و دسترسی آن ها را محدود کرده یا اکانت کاربری آنان را حذف نماییم.
۱۸ – استفاده از افزونه های امنیتی
افزونه wordfence یکی از پر قدرت ترین افزونه ها در زمینه افزایش امنیت سایت های ورد پرسی است. این افزونه امکان فراهم کردن امکانات امنیتی را برای سایت های ما فراهم میکند.
افزونه iThemes Security نیز یک افزونه فوق العاده است که امکان پشتیبانگیری به صورت خودکار را برای سایت شما فراهم میآورد. بنابراین اگر سایت ما توسط افراد هکر مورد نفوذ یا تخریب قرار گرفت، میتوانید نسخه پشتیبان گرفته شده را جایگزین کنید و مسئله را حل کنید.
برای غیر فعال سازی XML-RPC سه راه وجود دارد:
۱ – استفاده از افزونه
برای این منظور میتوانید از افزونه Disable XML-RPC به راحتی استفاده کرده و آن را نصب و فعال سازی کنید.
این افزونه را از سایت رامان صفر و یک میتوانید دانلود کنید.
۲ – استفاده از کد نویسی در فایل فانکشن قالب
به مسیر public_html/wp-content/themes بروید و فایل functions.php را پیدا کنید و قطعه کد زیر را در آن قرار دهید.
;(add_filter(‘xmlrpc_enabled’, ‘__return_false’
نکته : حتما حواس خود را جمع کنید که از فایل functions.php یک بکآپ داشته باشید تا در صورت بروز مشکل بتوانید به راحتی آن را برطرف نمایید.
۳ – استفاده از کد نویسی در فایل htaccess.
برای این منظور وارد هاست خودتون شده و سپس با مراجعه به File Manager هاست به دنبال فایلی با نام htaccess. بگردید. این فایل جزو فایلهای مخفی است که در اولین ورود به مدیریت فایل هاست اونو پیدا نخواهید کرد. بنابراین بر روی دکمه Setting که در بالای صفحه و در سمت راست قرار داره کلیک کنید و سپس تیک گزینه show hidden files را انتخای کرده و در نهایت روی دکمه Save کلیک کنید تا امکان نمایش این فایل برای شما فراهم شده و به اون دسترسی پیدا کنید.
حال کافی است فایل را ویرایش کرده و قطعه کد زیر را در آن قرار دهیم.
۱۴ – از قالب و افزونه های مطمئن و اورجینال استفاده کنیم
شاید فکر کنید منظور من از این پیام استفاده کردن از افزونه ها و قالب های پولی است اما باید به شما بگویم محزن وردپرس قابل اعتماد است و افزونه های زیادی در آن موجود است که میتوان به آنها اعتماد کرد (التبه حواسمان به افزونه هایی که در دو نسخه منتشر شده اند باشد و سعی کنیم حتما نسخه پریمیوم آن افزونه را تهیه کنیم.)
درباره قالب ها نیز قصد دارم به اطلاعتان برسانم که الزاما تمامی قالب های رایگان مشکلات امنیتی ندارند.
بنابر این همواره باید تلاش کنیم تا افزونه ها و قالب های خود را از منابع معتبر تهیه کنیم و قبل از تهیه آن افزونه حتما درباره امنیت آن یک تحقیق انجام بدهیم.
مثلا نسخه رایگان افزونه محبوب مداد زرد دارای باگ امنیتی است !
۱۵ – استفاده از ssl در وردپرس
باید سعی بکنیم از پروتکل https به جای http استفاده بکینم. در این حالت اطلاعات شما به صورت رمز نگاری شده و در محیطی امن رد و بدل میشود.
استفاده از SSL علاوه بر افزایش امنیت سایت های وردپرسی باعث میشود تا گوگل در زمینه سئو به سایت ما امتیاز بیشتری بدهد.
۱۶ – تغییر پیشوند جداول دیتابیس در ورد پرس
در حالت پیشفرض تمامی جداول وردپرس با پیشوند _wp شروع میشوند. اگر هنگام نصب وردپرس آن را تغییر نداده باشیم باید آن را پس از نصب وردپرس تغییر دهیم تا از سمت دیتابیس سایت خود را ایمنتر کنیم و باعث افزایش امنیت سایت وردپرسی خود شویم.
آموزش این موضوع به زودی در سایت رامان صفر و یک اراپه خواهد شد.
۱۷ – بررسی فعالیت ها و عملکرد های کاربران سایت
با استفاده از سیستم های آمارگیر سایت و به کمک افزونه ها میتوان فعالیت کاربران را بررسی کرده و کاربران مشکوک را شناسایی کنیم و دسترسی آن ها را محدود کرده یا اکانت کاربری آنان را حذف نماییم.
۱۸ – استفاده از افزونه های امنیتی
افزونه wordfence یکی از پر قدرت ترین افزونه ها در زمینه افزایش امنیت سایت های ورد پرسی است. این افزونه امکان فراهم کردن امکانات امنیتی را برای سایت های ما فراهم میکند.
افزونه iThemes Security نیز یک افزونه فوق العاده است که امکان پشتیبانگیری به صورت خودکار را برای سایت شما فراهم میآورد. بنابراین اگر سایت ما توسط افراد هکر مورد نفوذ یا تخریب قرار گرفت، میتوانید نسخه پشتیبان گرفته شده را جایگزین کنید و مسئله را حل کنید.
نتیجه گیری
امنیت سایت کاملا نسبی است .
هرگز نمیتوان گفت یک سیستم نرم افزاری دارای امنیت ۱۰۰ درصد است.
باید به تمامی نکات فوق توجه کنیم تا امنیت سایت وردپرسی ما بالا باشد.
۲ دیدگاه. ارسال دیدگاه جدید
با رعایت موارد فوق تا چه میزان میتوان نسبت به امنیت سایت اطمینان داشت ؟
۸۰ درصد