امنیت وردپرس – 20 مرحله برای امن کردن سایت وردپرسی شما

نویسنده : امیرمحمد معلمی
5 دیدگاه
آخرین بروزرسانی : 1 بهمن, 1400
امنیت وردپرس [افزایش امنیت وردپرس در 19 مرحله]

وقتی صحبت از امنیت وردپرس می شود. کارهای زیادی وجود دارد که میتوانید برای امن کردن سایت خود انجام دهید. تا از تاثیر گذاری هکرها و آسیب پذیری سایت و یا وبلاگ خود جلوگیری کنید. یک روز از خواب بیدار می‌شید و متوجه درهم و برهم بودن سایت و اینکه بللللله، سایت شما توسط یک فرد ناشناسی دستکاری شده است. امروز قصد داریم نکات، استراتژی ها و تکنیک های زیادی را با شما به اشتراک بگذاریم که میتوانید از آنها برای افزایش امنیت وردپرس استفاده نمایید.

Share on twitter
Share on linkedin
Share on pinterest
Share on telegram
Share on whatsapp
Share on email

آنچه در این مطلب می خوانید

آیا ورپرس امن است ؟

اولین سوالی که احتمالا از خود می پرسید، شاید این باشد که آیا وردپرس امن است؟ در اکثر موارد بله، با این حال وردپرس معمولا ذاتا یک پلتفرم امن نمی باشد. و این ناامنی بیشتراز جانب خود شما رخ می دهد.

استفاده از نسخه های قدیمی وردپرس، مدیریت ضعیف سیستم، استفاده از افزونه‌های نامعتبر و فقدان دانش لازم در میان کاربران وردپرسی بسیار رایج است. همین باعث می شود که هکر ها همیشه در کمین شما باشند. حتی خیلی از متخصص ها و افرادی که به حساب خود استاد وردپرس هستند نیز همیشه از شیوه های مرسوم و اصولی جهت بهبود امنیت سایت خود استفاده نمی کنند. 

بر اساس مطالعه شرکت معتبر Sucuri، در سال 2017 از میان تمامی پلتفرم های سایت سایز، وردپرس با 83% به عنوان رهبر پلتفرم‌های آلوده معرفی شد. جالبه بدونید که روییترز به دلیل استفاده از نسخه قدیمی وردپرس هک شد.

وردپرس با 83درصد ضریب نفوذ در سال 2017

بیش از 40% از سایت های موجود در بستر اینترنت توسط وردپرس طراحی شده است. و با صدها هزار افزونه و قالب های موجود جای تعجب ندارد که این میزان آسیب پذیری در این پلفترم وجود داشته باشد. البته وردپرس دارای تیم امنیتی بزرگی است که تعداد آنها در سال 2021 به بیش از 50  متخصص از جمله توسعه دهندگان اصلی و محققان امینتی می باشد.  که همیشه در حال اصلاح موارد امنیتی این پلتفرم محبوب هستند.

آسیب پذیری وردپرس

از جمله موارد مهمی که امکان نفوذ هکرها را در وردپرس می‌دهد به شرح زیر است، درادامه به توضیح کامل موارد نامبرده خواهیم پرداخت …

  • درب های پشتی – Backdoor
  • تلاش بی‌ رحمانه برای ورود به سیستم
  • تغییر مسیر‌های مخرب
  • اسکریپت بین سایتی (xss)
  • حملات DoS

درب های پشتی(Backdoor)

هکر میتواند با عبور از مسیرهای مخفی برای دسترسی به وب سایت وردپرسی شما مانند FTP, SFTP,wp-admin و ….  دسترسی داشته باشند. در سال 2017 Sucuri گزارش داد که Backdoor همچنان یکی از مورد استفاده ترین روش برای ورود به پنل مدیریت سایت های وردپرسی هستند. به طوری که 71% از سایت های آلوده به نوعی از طریق Backdoor مورد هک قرار گرفته اند.Backdoors و یا درب های پشتی اغلب به گونه ای رمزگذاری می‌شوند که مانند فایل های سیستم وردپرس قانونی به نظر برسند. و با سوء استفاده از ضعف‌ها و باگ‌های نسخه‌های قدیمی پلتفرم، به پایگاه داده وردپرس راه پیدا می‌کنند.

71درصد از حملات از طریق درب های پشتی اتفاق صورت میپذیرد

خوشبختانه، پیشگیری و درمان این آسیب پذیری نسبتا ساده است. شما ‌‎می‌توانید سایت وردپرس خود را با ابزارهایی مانند StiteCheck اسکن کنید. که به راحتی می‌تواند درهای پشتی رایج را شناسایی کند. احراز هویت دو مرحله‌ای، مسدود کردن IP ها، محدود کردن دسترسی ادمین و جلوگیری از اجرای غیر مجاز فایل های ‌PHP به راحتی از تهدیدات راج Backdoor جلوگیری میکند. که در ادامه به آنها بیشتر خواهیم پرداخت.

تغییر مسیر‌های مخرب

تلاش‌هایی جهت ورود به سیستم با استفاده از استکریپت‌های خودکار برای استفاده از رمزهای عبور ضعیف و دسترسی به سایت ما انجام می‌شود. احراز هویت دو مرحله ای، محدود کردن تعداد ورود، نظارت بر ورودهای غیر مجاز، مسدود کردن IP و استفاده از رمزهای عبور قوی از ساده ترین و بسیار موثرترین راه‌ها برای جلوگیری از حملات Brute-force هستند. اما متاسفانه بسیاری از صاحبان وب سایت‌های وردپرسی در انجام این اقدامات امنیتی کوتاهی می‌کنند. در حالی که هکرها به راحتی می‌توانند با استفاده از اینگونه حملات به 30000 وب سایت در یک روز حمله کنند.

تغییر مسیر‌های مخرب

تغییر مسیر‌های مخرب با استفاده از پروتکل‌های wp-admin, SFTP, FTP و سایر پروتکل‌ها، انجام می‌شود. هکر کدهای مخربی در فایل .htaccess و سایر فایل‌های اصلی وردپرس به صورت کدگذاری شده قرار می‌‌دهد و ترافیک وب سایت شما را به سمت مسیر دیگری هدایت می‌کنند. در مراحل امنیتی وردپرس راه‌هایی را برای جلوگیری از این موارد مرور خواهیم کرد.

اسکریپت بین سایتی – Cross-Site Scripting (xss)

مهاجم می تواند یک اسکریپت مخرب به فایل های وب سایت یا افزونه های درج کند. که از طریق این اسکریپت‌ها برای دریافت کوکی یا بازنویسی HTML در یک صفحه استفاده کند.

طبق گفته WordFance، آسیب پذیری‌های Cross-Site Scripting رایج ترین آسیب اسکریپت‌هایی هستند که در افزونه های وردپرسی قرار می گیرند.

حملات DoS

 شاید خطرناک ترین روش نفوذ در یک سایت، آسیب پذیری از طریق  Denual of Service (DoS) باشد. این روش ازخطاها و باگ‌های کدنویسی استفاده می‌کند تا حافظه سیستم عامل‌های وب سایت را تحت تاثیر قرار دهد. هکرها با استفاده از نسخه های قدیمی و باگ نرم افزارهای وردپرس توانسته اند تا الان صدها هزاران وب سایت را به خطر انداخته و میلیون ها دلار به جیب بزنند. 

حتی بروز بودن وردپرس و افزونه ها نمی‌توانند به طور قطعی در برابر حملات DoS دفاع کنند. اما بروز بودن حداقل به شما کمک می‌کند تا حدی از این حملات پیچیده مصون بمانید.

راهنمای امنیت وردپرس 2021

طبق آمارهای زنده اینترنتی روزانه بیش از 100000 وب سایت هک می‌شوند. به همین دلیل بسیار مهم است که کمی وقت بگذارید و توصیه‌های زیر را در مورد چگونگی تقویت بهتر امنیت وردپرس خود دنبال کنید.

مطمئن باشید که این مقاله را همیشه بروز خواهیم کرد. زیرا شرایط با پلفترم وردپرس روزانه تغییر می‌کند و آسیب پذیری های جدید ظاهر می‌شود.

روزانه بیش از 100 هزار وب سایت هک می شوند

1- روی هاست امن سرمایه گذاری کنید

توجه داشته باشید که از یک هاست خوب و معقول استفاده کنید. اگر از سرور های اشتراکی استفاده می‌کنید. کار خاصی از دست شما بر نمی‌آید چرا که امنیت سرور شما توسط شرکت ارائه دهنده تامین می‌شود و شما باید در این بخش فقط به شرکت های نام آشنا رجوع نمایید. اما اگر از سرورهای اختصاصی و یا مجازی (VPS) استفاده می‌کنید، حتما باید دانش کافی برای اجرای تنظیمات امنیتی سرور خود داشته باشید.

در بسیاری از میزبانی ها شما می‌توانید با پرداخت مبلغی از پشتیبانی سرور خود بخواهید تا تنظیمات بهینه مربوط به امنیت سرور شما را در سرویس ها اختصاصی و یا نیمه اختصاصی  انجام دهند.

2- از آخرین نسخه PHP استفاده کنید

PHP ستون فقرات سایت وردپرسی شما است و بنابراین استفاده از آخرین نسخه و یا عدم استفاده از نسخه خیلی پایین در سرور بسیار مهم است. هر نسخه php معمولا تا دوسال پس از انتشار به طور کامل پشتیبانی می‌شود. در طول این مدت، باگ ها و مسائل امنیتی برطرف شده و به طور منظم بهینه می‌شود.

طبق صفحه رسمی آمار وردپرس، تا زمان انتشار این مطلب بیش از 57 درصد از کاربران وردپرس هنوز از PHP 5.6 استفاده می کنند. اگر این را با PHP 7.0 ترکیب کنید، 77.5% از کاربران در حال حاضر از نسخه های PHP استفاده می‌کنند که دیگر پشتیبانی نمی‌شود. این خیلی ترسناک است!!!

34 درصد از کاربران در حال حاظر از php نسخه 5.6 استفاده می کنند

البته باید توجه کرد که قالب و افزونه های نصبی شما با چه نسخه ای سازگار است. نسخه 8 php نیز در حال حاضر منتشر شده است، اما به دلیل عدم سازگاری خیلی از افزونه ها، به شما پیشنهاد می کنیم که از نسخه 7.4 استفاده نمایید.

برای اطلاع از نسخه فعلی php میتوانید مقاله فهمیدن نسخه php از سه روش را مطالعه بفرمایید. اگر نسخه php سرور پایین تر از میزان مشخص شده باشد، باید آن را تغییر دهید. میتوانید مقاله تغییر نسخه php در دایرکت ادمین و تغییر نسخه php در سی پنل را مطالعه نمایید.

در حال حاضر، هرسایتی که بر روی نسخه PHP 7.1 یا پایین تر اجرا می‌شود، دیگر پشتیبانی امنیتی ندارد و در معرض آسیب پذیری‌های امنیتی قرار می‌گیرد. همچنین 77.5% از کاربران در حال حاضر از نسخه های PHP استفاده می‌کنند که دیگر پشتیبانی نمی‌شود.

3- از نام های کاربری و رمز عبور هوشمندانه استفاده کنید

از بهترین راه ها برای تقویت امنیت وردپرس استفاده از نام های کاربری و رمز عبور های هوشمندانه است. که در کمال تعجب خیلی از افراد اصلا به این موضوع اهمیت نمی دهند.

رمز عبور قوی

فهرست سالانه سال 2019 از محبوب ترین رمزهای عبور سرقت شده در طول سال به ترتیب زیر می باشد.

  • 123456
  • کلمه عبور
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • آفتاب
  • qwerty
  • دوستت دارم

درست است مجبوب ترین رمز عبور “123456”  است. بدانید که تنظیمات امنیتی از اصول اولیه شروع می شوند. همچنین میتوانید از ابزار آنلاین privacycanada جهت ایجاد رمز عبور قوی استفاده نمایید. تنظیمات و متغیرهای بهینه ایجاد رمزعبور در تصویر قابل مشاهده است.

ایجاد رمز عبور قوی

اگر طراح هستید و وب سایت های زیادی دارید خیلی مهم است که از رمز عبورهای مختلف برای هر وب سایت استفاده نمایید.

عدم استفاده از نام کاربری admin

به هیچ عنوان نباید از نام کاربری پیشفرض وردپرس “admin” استفاده نمایید. یک نام کاربری منحصر به فرد برای ورود به پنل وردپرس خود استفاده کنید. و در صورتی که نام کاربری admin وجود دارد آنرا حذف کنید.

اگر در هنگام نصب وردپرس از این نام استفاده کرده باشید می توانید برای حذف مدیر با نام کاربری admin ، مراحل زیرا را انجام دهید.

  1. ابتدا یک کاربر با سطح دسرسی مدیر ایجاد کنید و سپس با استفاده از این حساب (جدید) به پیشخوان وردپرس خود وارد شوید.
  2. سپس از منو کاربران میتوانید کاربر admin را حذف کنید. فراموش نکنید که هنگام حذف گزینه “اختصاص همه مطالب به” را انتخاب کرده و با انتخاب نام کابربری مدیر جدید تمامی اطلاعات به ادمین جدید اختصاص داده شود.
حذف کاربر با نام کاربری admin

همچنین می توانید با دستور زیر نام کاربری ادمین فعلی خود را به صورت دستی در phpmyadmin تغییر دهید.

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

قبل از ویرایش جداول حتما از پایگاه داده خود یک نسخه پشتیبانی تهیه کنید.

4- همیشه از آخرین نسخه وردپرس، افزونه ها و قالب ها استفاده کنید

یکی از روش های بسیار مهم برای تقویت امنیت وردپرس همیشه بروز بودن است که این بروزرسانی شامل هسته وردپرس، افزونه ها و قالب ها می باشد. خیلی ما فکر می‌کنیم که این بروزرسانی ها فقط امکانات اضافه می‌کنند. اما جالبه بدونید که خیلی از بروزرسانی ها شامل رفع مشکلات امنیتی می باشد. متاسفانه میلیون ها کسب وکار هستند که درحال حاضر از نسخه های قدیمی وردپرس، افزونه ها و قالب ها استفاده می‌کنند.

بروزکردن افزونه ها برای جلوگیری از هک سایت

اکثر افراد دلایلی  برای عدم اجرای بروزرسانی دارند. این افراد دو دسته هستند…

  1. دسته اول: افرادی که تنبلی می کنند و از ترس اینکه این بروزرسانی ها سایت را دچار مشکل کند بروزرسانی ها را برای روزهای آینده موکول می کنند.
  2. دسته دوم: افرادی هستند که مطمعن هستند که بروزرسانی فلان افزونه و یا فلان قالب میتواند سایت را دچار مشکلات مهمی کند. مثلا اینکه اگر این افزونه بروز شود با یک افزونه دیگر تداخل پیدا می‌کند. واقعا هم خیلی از این مشکلات جدی هستند خصوصا در وب فارسی که افزونه ها و یا قالب ها توسط مارکت ها به صورت صحیحی منتشر نمی‌شوند.

تکلیف دسته اول مشخصه  و هیچ توضیحی نداریم !!!

اما برای دسته دوم به شما پیشنهاد می‌کنیم که هر 30 روز یکبار وقت خود را برای بروز کردن موارد قابل انجام اختصاص دهید. با اینکار دیگه هیچ استرسی نیست و میدونید که قراره مثلا در یک روز مشخص سایتو بروز کنید. در گزارش wordFence  که در بیش از 1000 سایت وردپرسی انجام گرفته است. 55.9درصد از نفود هکرها از طریق افزونه ها صورت گرفته است. با بروزرسانی افزونه ها خود، بهتر می توانید مطمئن شوید که یکی از این قربانیان نیستید. البته بروزرسانی هسته وردپرس نیز فراموش نشود.

همچنین توصیه می شود فقط از افزونه های قابل اعتماد استفاده کنید. البته این مسئله در ایران بیشتر به مارکت مربوط است و تلاش کنید حتما از مارکت های معتبر افزونه های خود را تهیه نمایید. میتوانید از یک ابزار آنلاین مانند VirusTotal برای اسکن فایل های افزونه و یا قالب خود استفاده نمایید. تا ببینید آیا بدافزاری را شناسایی میکند یا خیر

اگر تغییراتی در قالب سایت توسط شما انجام شده است. و میدانید که با بروز کردن قالب تغییرات شما از بین خواهد رفت؛ می‌توانید از قالب فرزند استفاده کرده و تغییرات خود را در قالب فرزند انجام دهید. پس از آن با خیال راحت می توانید نسبت به بروزرسانی قالب خود اقدام نمایید

5- مدیریت وردپرس خود را قفل کنید

قفل کردن قسمت مدیریت وردپرس و ورود به سیستم راه خوبی برای افزایش امنیت شما است. دو روش عالی برای انجام این کار وجود دارد. ابتدا با تغییر URL ورود به سیستم که به صورت پیشفرض wp-admin می باشد و همچنین محدود کردن تلاش برای ورود به پیشخوان  وردپرس

چگونه URL ورود به وردپرس خود را تغییر دهیم؟

گفتیم که به صورت پیشفرض مسیر ورود به سایت های وردپرس به صورت domain.com/wp-admin می باشد. یکی از مشکلات این است که همه ربات‌ها، هکرها و اسکریپت ها این مسیر را می شناسند. با تغییر مسیر ورود میتوانید وب سایت خود را در برابر حملات brute force محافظت کنید. این یک راه حل نیست، فقط یک ترفند کوچک است که میتواند به محافظت از سایت شما کمک کند.

برای تغییر به شما توصیه می کنیم که از افزونه رایگان WPS Hide استفاده کنید. این افزونه دارای یکی فیلد ورودی ساده هست. فقط توجه کنید که کلمه منحصر به فردی برای تغییر مسیر خود انتخاب کنید. که ربات و یا استکریپت ها نتوانند به راحتی آن را حدس بزنند.

نحوه محدود کردن تلاش برای ورود

در حالی که راه حل بالا برای تغییر مسیر ورود به سیستم مدیریت می تواند به شما کمک کند، ایجاد محدودیت نیز می تواند برای شما بسیار موثر باشد. افزونه رایگان Cerber Limit Login Attempts یک راه عالی برای تنظیم آسان مدت زمان قفل کردن، تلاش برای ورود به سیستم می باشد.

اگر به دنبال راه حل ساده تری هستید. می توانید از افزونه Login Lockdown  استفاده کنید. عملکرد این افزونه نسبت به افزونه قبلی بسیار ساده تر می باشد. و همچنین با افزونه WPS Hide که در بالا به آن اشاره شد بسیار سازگار است.

محدود کردن کاربران برای ورود به سیستم

6- از احراز هویت دو مرحله ای استفاده کنید

مهم نیست رمز عبور شما چقدر پیچیده و یا امن باشد. همیشه خطر کشف آن توسط شخصی وجود دارد. احراز هویت دو مرحله ای شامل یک فرایند دو مرحله ای است که در آن نه تنها برای ورود به رمز عبور بلکه به روش دوم نیاز دارید. این به طور کلی میتواند از طریق پیامک، تماس تلفنی و یا رمز عبور یک بار مصرف باشد. برای ایجاد احراز هویت دو مرحله ای چند پلاگین وجود دارد. که توسط ما مورد تایید است ….

برخی از این افزونه ها اپلیکیشن مخصوص به خود را نیز دارند که میتوانید بر روی تلفن همراه خود نصب نمایید.

پس از نصب و پیکربندی یکی از افزونه ها فوق، معمولا یک فیلد اضافی در صفحه ورود اضافه می شود. این روش را میتوان به راحتی با تغییر URL پیش فرض ورود به سیستم، که قبل به آن پرداختیم، ترکیب کرد. احتراز هویت دو مرحله ای راهی آسان برای افزایش امنیت ورپرس شما می باشد.

افزونه هایی برای احرازهویت دو مرحله ای

7- از HTTPS و یا گواهی SSL استفاده کنید

یکی از راه های تقویت امنیت وردپرس نصب گواهی SSL و اجرای سایت از طریق HTTPS می باشد. مکانیزم این پروتکل به صورتی است که به مرورگر یا هر برنامه تحت وب اجازه می دهد به طور ایمن با یک وب سایت ارتباط برقرار کند. استفاده از این پروتکل خلاصه به امنیت نمی شود و مزایای زیرا نیز به همراه دارد.

  • امنیت
  • بهبود سئو
  • کسب اعتماد
  • رفع هشدار های مروگر
  • بهبود عملکرد سایت
استفاده از پروتکل ssl

اگر اطمینان دارید که این پروتکل نصب است اما هنگام ورود با خطای مرورگر مواجه می‌شوید. برای برقراری ارتباط امن و رمز گذاری شده بین شما و سرور خط زیر را به فایل wp-config.php اضافه کنید.

define('FORCE_SSL_ADMIN'، true);

8- دسترسی به فایل wp-config.php خود را محدود کنید

فایل wp-config مانند قلب و روح وردپرس شما است. در مورد امنیت وردپرس تا حد زیادی مهترین فایل در سایت محسوب می شود. در این فایل اطلاعات مهمی نظیر نام کاربری، رمز عبور دیتابیس و کلیدهای امنیتی می باشد. در ادامه چند مرحله وجود دارد که میتوانید محافظت بهتری از این فایل انجام دهید.

کلیدهای امنیتی وردپرس را بروز کنید

کلید های امنیتی وردپرس مجموعه ای متغیرهای تصادفی ای هستند که رمز گذاری اطلاعات ذخیره شده در کوکی های کاربر را بهبود می بخشند. وقتی وردپرس را نصب می کنید این کلید ها به صورت تصادفی برای شما ایجاد می شود. با این حال، اگر هاست وردپرس خود تغییر داده و یا سایتی را از شخصی خریداری کرده باشید. ایجاد کلیدهای جدید وردپرس می تواند بسیار لازم و مفید باشد.

بروز کردن کلید های وردپرس

وردپرس در واقع یک ابزار رایگان به نام generate random keys دارد که میتوانید از آن برای تولید کلید های تصادفی استفاده نمایید. کافیست کلید های فعلی خود را در فایل wp-config.php با کلید های تازه ساخته شده جایگزین نمایید.

تغییر سطح دسترسی فایل wp-config.php

معمولا سطح دسترسی فایل‌ها در وردپرس بر روی 644 تنظیم می‌شوند. به این معنی که فایل توسط صاحب آن قابل خواندن نوشتن هستند. هر میزان که عدد دسترسی به یک فایل و یا پوشه بیشتر باشد دسترسی به آن راحت تر خواهد بود. طبق اسناد وردپرس سطح دسترسی فایل wp-config.php میتواند محدودتر شود. یعنی باید سطح دسترسی آن را از 644 به 440 یا 400 تنظیم شود. اگر اطالاعات بیشتری در رابطه با سطح دسترسی مقاله تغییر سطح دسترسی فایل های وردپرس را مشاهده کنید.

تعیین میزان دسترسی کاربران به فایل wp-config

حتما بعد از تنظیم سطح دسترسی فایل wp-config.php به 400 یا 440 از عملکرد صحیح سایت خود اطمینان حاصل نمایید.

9- XML-RPC را غیر فعال کنید

در سال های گذشته XML-RPC یک هدف بزرگ برای حملات brute force تبدیل شده بود.  چند پلاگین وردپرس همانند Jetpack وجود دارد که به XML-RPC متکی هستند. اما اکثر افزونه ها به این ویژگی نیاز ندارند. و غیر فعال کردن دسترسی به آن می تواند مفید باشد. برای غیر فعال کردن این ویژگی در سایت می توانید از افزونه DiSable XML-RPC استفاده کنید.

اگر قصد نصب افزونه ندارید می توانید با استفاده از قطعه کد زیر در فایل .htacsses این ویژگی را به صورت دستی غیر فعال نمایید

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

توجه کنید که بعد از غیر فعال کردن XML-RPC  سایت خود را یک برسی کلی کنید. و اطمینان حاصل کنید که اتفاقی برای سایت شما نیوفتاده است. 

10- نسخه وردپرس خود را مخفی کنید

مخفی کردن نسخه وردپرس در امنیت آن بسیار مهم می باشد. یک اصل کلی میگه هرچه دیگران کمتر در مورد سایت وردپرسی شما بدانند بهتر است. به صورت پیشفرض نسخه وردپرس در head سایت نمایش داده می شود.

مخفی کردن شماره نسخه وردپرس

مهم! اگر این مسئله به درستی انجام نشود. امکان این وجود دارد که سایت شما دچار مشکلات جدی ای شود. اگر در انجام اینکار فکر می کنید مهارت لازم را ندارید اطفا از یک توسعه دهنده بخواهید تا به شما کمک کند.

دقت کنید که با بروزکردن قالب این قطعه کد حذف می شود. پس بهتر است که از قالب فرزند استفاده و یا با هر بروزرسانی وردپرس و قالب این کد را مجدد به فایل function.php قالب خود اضافه کنید.

برای حذف نسخه وردپرس کد زیر را در فایل function.php قالب خود اضافه نمایید.

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

11- از افزونه های امنیتی وردپرس استفاده کنید

برخی از افزونه های امنیتی وردپرس هستند که می توانند بسیار به شما در روند امنیت سایت شما کمک کنند.

  1. آموزش افزونه iThemes
  2. آموزش افزونه WordFence

در اینجا به برخی از ویژگی های معمولی و استفاده از افزونه های بالا اشاره شده است

  • هنگام ایجاد حساب کاربری کاربران آنها میتوانند مجبور کنند که از رمز عبور قوی استفاده نمایند.
  • ثبت عملیات کاربران
  • بروزرسانی آسان کلیدهای امنیتی وردپرس
  • اسکن بدافزارها
  • احرازهویت دو مرحله ای
  • اجرای کپچا بر روی فرم ها
  • فایروال امنیت وردپرس
  • لیست سفید ای پی ها
  • لیست سیاه ای پی ها
  • نظارت بر تغییرات DNS
  • مسدود کردن شبکه های مخرب

12- امنیت پایگاه داده

چند راه برای بهبود امنیت پایگاه داده وجود دارد. اولین مورد استفاده از یک نام هوشمندانه برای پایگاه داده است. اکثر افراد نام پایگاه داده خود به نام دامنه سایت انتخاب می کنند. بهتر است از نام های مبهم و غیر قابل حدس استفاده شود. این نکته به محافظت پایگاه داده شما بسیار میتواند کمک کند.

توصیه دوم، استفاده نکردن از پیشوند پیشفرض جداول پایگاه داده است.  بصورت پیشفرض وردپرس از wp_  جهت پیشوند گذاری جداول استفاده می کند. پیشوند همانند xwdf_ می تواند بسیار امن تر باشد. هنگام نصب وردپرس هنمانند تصویر زیر یک پیشوند به صورت پیشفرض انتخاب شده است. کافیست فقط نام پیشوند را تغییر دهید. البته (_) انتهای ان نباید حذف شود.

استفاده نکردن از پیشوند، پیشفرض برای جداول دیتابیس

13- همیشه از اتصالات امن استفاده کنید

اتصال به سرور

استفاده از اتصالات امن خیلی مهم است! اطمینان حاصل کنید که میزبان هاست شما SFTP  یا پروتکل SSH استفاده می کند. این پروتکل یک روش خیلی امن نسبت به روش اتصال از طریق FTP محسوب می شود.

اتصال مودم و روتر

دقت کنید که مودم و روتر شرکت شما به درستی تنظیم شده باشد. اگر شخصی، شبکه خانگی شمارا هک کند. میتواند انواع اطلاعات، از جمله مکان هایی که اطلاعات مهم شما ذخیره شده است را به آن دسترسی داشته باشد. در اینجا سه نکته ساده وجود دارد.

  1. روتر و یا مودم ها به صورت پیشفرض از از محدوده IP 192.168.1.1 استفاده می کنند. از محدوده متفاوتی مانند 10.9.8.7 می توانید استفاده کنید.
  2. بالاترین سطح سطح رمز گذراری در WIFI خود استفاده نمایید. در انتها از MAC Addres جهت اتصال به وای فای استفاده کنید و صرفا به رمز عبور قوی بسنده نکنید. این ویژگی علاوه بر روترها در برخی از مودم‌ها نیز وجود دارد.
  3. محافظه کار باشید و همیشه هنگام ورود به سایت وردپرس خود در مکان های عمومی مراقبت کنید. سعی کنید هوشیار باشید و دیگران متوجه انجام کار شما نشوند. حتی نزدیک ترین افرادی که میشناسید!

14-سطح دسترسی فایل ها را در سرور برسی کنید

سطح دسترسی فایل ها در سرور برای افزایش امنیت وردپرس شما بسیار مهم است. اگر دسترسی ها خیلی آزاد باشند. هکرها می تواند به راحتی به سایت شما دسترسی پیدا کند. از سوی دیگر، اگر دسترسی‌های شما خیلی محدود باشد. این می تواند عملکرد وب سایت شما را دچار اختلال کند. بنابراین مهم است که سطح دسرسی خود را به صورت اصولی محدود نمایید. می توانید از یک افزونه رایگان مانند iThemes Security برای اسکن مجوزهای سایت وردپرس خود استفاده کنید.

اطلاع از میزان دسترسی فایل ها توسط افزونه iThemes Security

در اینجا چند توصیه معمول برای تعیین سطح دسترسی برای فایل ها و پوشه ها در وردپرس وجود دارد.

  • همه فایل ها باید 644 یا 640  باشند. استثنا wp-config.php باید 440 یا 400 باشد.
  • همه پوشه ها باید 755 یا 750  باشند.
  • به هیچ پوشه ای نباید 777 داده شود. حتی پوشه آپلود (upload)

15- ویرایش فایل را در پیشخوان وردپرس غیر فعال کنید.

بسیاری از سایت های وردپرس دارای چندین کاربر و یا مدیر هستند. که میتوانند به فایل های سیستمی شما سایت دسترسی داشته باشند. بسیار  غیرمنطقی است که شما به نویسندگان و یا مشارکت کنندگان خود سطح دسترسی مدیر اختصاص دهید. اما متاسفانه خیلی از افراد به دلیل اعتماد و یا بی خیالی این کار را انجام می دهند. باید بدانید که آسان ترین کاری را که میتوانند انجام دهند این است که یک فایل مخرب در فایل های قالب شما به راحتی قرار دهند.

بستن دسترسی به فایل های قالب وردپرس

با قرار دادن قطعه کد زیر به فایل wp-config.php قابلیت های ‘edit_themes’، ‘edit_plugins’ و ‘edit_files’  برای همه کاربران حتی خود شما حذف خواهد شد.

define('DISALLOW_FILE_EDIT', true);

16- جلوگیری از Hotlinking

مفهوم هات لینک بسیار ساده است. شما یک تصویر را در اینترنت پیدا می‌کنید و از URL تصویر مستقیما در سایت خود استفاده می کنید. این تصویر در وب سایت شما نمایش داده می شود. اما از محل سرور اصلی عکس مورد استفاده قرار می گیرد. این در واقع یک نوع دزدی است زیرا کاربر به صورت مستقیم از پهنای باند سایت هدف دارد استفاده می کند. این ممکن است چندان مهم نباشد. اما گاهی میتواند هزینه های اضافی زیادی را ایجاد کند.

برای جلوگیری از Hotlinking قطعه کد زیر را در فایل .htaccess خود اضافه کنید.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

17- استفاده از سیستم احراز کپچا

شاید خیلی از شما با این سیستم آشنایی داشته باشید. که با استفاده از پیدا سازی روش های گوناگون در صفحات سایت، به ویژه در صفحات ورود و فرم ها، این امکان برای سایت ما فراهم می‌شود که بتواند ورودی های ربات و یا انسان را از هم به راحتی تشخیص دهد. برای راه اندازی این سیستم کافیست افزونه کپچا گوگل را بر روی سیستم مدیریت محتوا وردپرس نصب و فعال نمایید.

18- همیشه پشتیبانی بگیرید.

پشتیبان گیری تنها چیزی است که همه می دانند به آن نیاز دارند. اما همیشه از آن به درستی استفاده نمی کنند. بیشتر توصیه های بالا اقدامات امنیتی هستند که میتوانند برای محافظت بهتر از شما مورد استفاده قرار بگیرند. اما این مسئله را بدانید که هرگز هیچ سایتی در دنیا 100% امن نخواهد بود. بنابراین در صورت وقوع بدترین اتفاق، این نسخه پشتیبان است که می تواند نجات دهنده شما باشد.

اگر از سرویس های اشتراکی استفاده می کنید. اطمینان حاصل کنید که میزبانی شما نسخه ها پشتیبانی مرتب و منظمی را از سایت شما تهیه نمایند. اگر هاست شما خدمات پشتیبان گیری ندارد می توانید از افزونه های وردپرسی استفاده کنید. همچنین اگر از سرور های اختصاصی و یا نیمه اختصاصی (VPS) استفاده می‌کنید. همیشه روند بک آپ گیری سرور خود را برسی نمایید.

استفاده از افزونه‌های بک آپ گیری وردپرس توسط ما به هیچ عنوان تایید نمی شود چرا که منابع زیادی مصرف می کنند و این میتواند عملکرد عادی سرور را تحت الشعاع قرار دهد.

19- محافظت از حملات DDoS

DDoS نوعی از حملات است که از چندین سیستم برای هدف قرار دادن یک سیستم استفاده می شود. این نوع حملات معمولا به سایت شما آسیب نمی رساند. بلکه به سادگی سایت شما را برای چندین ساعت یا چند روز از کار می اندازند.

اسفاده از cdn برای محافظت از حملات DDoS

برای محافظت از اینگونه حملات استفاده از یک سرویس امنیتی شخص ثالت مانند کلادفلر است. اگر از میزبانی خود هاست اروپا خریداری کرده باشید این سرویس به صورت رایگان می تواند در سایت شما به راحتی راه اندازی شود. همچنین افزونه های امنیتی وردپرس که در بالا به آن اشاره شد نیز میتوانند خیلی به شما در جهت رفع این حملات کمک شایانی انجام دهد. آموزش کامل و دقیق در رابطه با نحوه نصب و راه اندازی کلادفلر در وردپرس را می‌توانید مشاهده بفرمایید.

20- استفاده از یک آنتی ویروس معتبر

و به عنوان آخرین راه حل، امن نگهداشتن سیستم عامل شخصی خودتان است. با استفاده از آنتی ویروس با لایسنس معتبر، خیال خود  را در امن نگهداشتن سیستم شخصی خود راحت کنید. خوشبختانه سایت های زیادی هستند که انواع آنتی ویروس ها را با لایسنس اورجینال و شرکتی ارائه میدهند. البته مشخص هست که هزینه نسبتا زیادی باید توسط شما پرداخت شود.

نتیجه گیری

همانطور که گفته شد راه های زیادی وجود دارد که می توانید امنتیت وردپرس خود را تقویت کنید. استفاده از رمزهای عبور هوشمندانه و قوی، بروز نگهداشتن هسته و افزونه ها، و انتخاب یک میزبان وردپرس معتبر و ایمن تنها مواردی هستند که سایت وردپرس شما را با خیال راحت راه اندازی می کند. برای بسیاری شما، سایت منبع کسب درآمدتان است، بنابراین مهم است که کمی وقت بگذارید و تا جای امکان برخی از بهترین شیوه های امنیتی ذکر شده در بالا را اجرا نمایید.

دقت کنید که شاید فراهم کردن تمامی موارد بالا امکان پذیر نباشد اما نباید کوتاهی کرد و تاجای ممکن موارد گفته شده را بر روی وب سایت خود عملیاتی نمایید.

اگر فکر میکنید که نکات مهم امنیتی وردپرسی دارید که ما آن را ازقلم انداخته باشیم در بخش نظرات منتظر شما هستیم.

کلمات مرتبط؛ آموزش امنیت وردپرس، امنیت کامل در وردپرس، ایجاد امنیت در وردپرس، آموزش کانفیگ امنیتی وردپرس به صورت رایگان، آموزش تامین امنیت وردپرس، آموزش امنیت وردپرس رایگان