افزایش امنیت وردپرس

شاید الان این پست رو میخونی وبسایتت یا آلوده شده و یا میخوای اون رو ارتقاع بدی به یک وبسایت با امنیت بالا در این مقاله با عنوان افزایش امنیت وردپرس و یا افزایش امنیت وبسایت میخوام صفر تا صد امنیت وردپرس رو با هم انجام بدیم البته که مهم این هستش که قبل از اینکارا یک بکاپ کامل از وبسایتت تهیه کنی تا بتونی به محض ایجاد مشکل راحت از نسخه پشتیبان خودت استفاده کنی و سایت رو به وضعیت قبلی برگردونی .

امروزه خوب میدونیم وبسایت ما قلب کسب و کار ما هستش و در صورتی که وبسایت دچار مشکلی بشه کسب و کار ما نیز فعالیتی نخواهد داشت و باعث فشار مالی به مجموعه خواهد شد. در صورتی که مشکل امنیت داشته باشید قطعا در مسیر سئو وردپرس به مشکل جدی بر خواهید خورد .

در صورت نیاز حتما با یک پشتیبانی سایت موضوع امنیت رو مطرح کنید .

افزایش امنیت وردپرس

خوب همه ما میدونیم سیستم مدیریت محتوای وردپرس از محبوبترین اسکریپت ها موجود هستش و استفاده از این سیستم کاملا ساده هستش و خوشبختانه در جهان ۳۵.۱ درصد از کل وبسایت های اینترنتی را پوشش میدهد .

متاسفانه محبوبیت این وردپرس کار دست خودش داده و اغلب هدف هکر ها قرار میگیره. طبق آماری که Sucuri در سال ۲۰۱۸, از ۹۰٪ درخواستهای پاکسازی وبسایت متعلق به وردپرس بوده که ۷۰٪ نسبت به ۲۰۱۷ افزایش یافته . البته آمار جدید سال ۲۰۱۹ و ۲۰۲۰ هنوز گزارش نشده است .

به همین خاطر افزایش امنیت سایت و تامین امنیت وردپرس شما باید در لیست اولویت های شما قرار گیرد .

افزایش امنیت وردپرس

وقتی صحبت از امنیت وردپرس میشه, کاربران به دو دسته تقسیم میشن, کاربرانی که اقدامات لازم و امنیتی رو انجام میدهند و کاربران دوم نیز افرادی هستند که امیدوار هستن چنین اتفاق امنیتی برای وبسایتشون پیش نیاد, البته شاید برای آنها این وبسایت به اندازه کافی مهم نباشد .

برای اینکه بتونیم راحتر درک کنیم یه سری به وبسایت آمار هک وبسایت به ادرس Websites hacked today میریم, تا در یک نگاه بتونیم آمار وبسایت های هک شده رو مشاهده کنیم .

۱۸ مرحله برای افزایش امنیت وبسایت

اگر برای اینکه بخواهید وبسایت شما در لیست موارد هک شده نره بهتره همین حالا نکات مهم زیر را دنبال کنید و وبسایت وردپرس خودتون رو ایمن کنید .

۱ انتخاب یک شرکت میزبانی مناسب با ویژگی های امنیتی مناسب

اولین قدم برای تامین امنیت وردپرس شما انتخاب یک سرویس دهنده هاست مناسب هستش که ویژگی ها مناسبی برای شما ایجاد کند که میتونه شامل پشتیبانی از آخرین نسخه MySQL و PHP باشه و همچنین یک ناظر امنیتی مناسب (فایروال) در ۲۴ ساعت .

در صورتی که یک شرکت میزبانی هاستینگ مناسب رو انتخاب کردید بهتره ویژگی پشتیبان گیری روزانه و اسکن نرم افزار های مخرب رو نیز داشته باشه تا بتونه از وبسایت در برابر حملات DDOS محافظت کنه .

نکته : در ایران شرکت های زیادی هستند که این خدمات و میزبانی رو ارائه میدهند اما توصیه ما به شما این است که به هیچ وجه گول قیمت های بالا و پایین و نخورید و سعی کنید از تجربیات و نظرات دیگر کاربران استفاده کرده و یک هاستینگ مناسب انتخاب نمائید .

۲ از رمز ها و پسوورد های قوی استفاده کنید .

از انتخاب یک رمز عبور قوی حتما اطمینان حاصل کنید که کاملا امنیتی باشه و ترکیبی از حروف بزرگ, حروف کوچک, اعداد و نمادها باشن همچنین میتونید از وبسایت passwordsgenerator.net استفاده کنید .

۳ از نام کاربری پیشفرض Admin استفاده نکنید .

وردپرس در ورژن های قبلی بصورت پیشفرض از نام کاربری admin استفاده میکرد یا بهتره اینو بگم در نسخه های جدید نیز بعضی کاربران از نام کاربری admin استفاده میکنند با اینکه در نسخه های جدید وردپرس امکان انتخاب کلمه کاربری رو به کاربر خودش هنگام نصب میده پس بهتره یا اون رو تغییر بدیم و یا هنگام نصب از یک کاربری دیگری که قابل حدس نباشه استفاده کنیم .

بخاطر اینکه معمولاً هکرها در اولین فرصت نام کاربری و یا رمز عبور را بصورت امتحانی از همین admin شروع میکنن, به همین ترتیب هرگز از نام کاربری که وردپرس به شما پیشنهاد میده برای افزایش امنیت وردپرس استفاده نکنید .

۴ از افزونه نسخه پشتیبان وردپرس استفاده کنید .

اگر بالا به حرفمون هنوز گوش ندادی بهتره برای وبسایتتون یک نسخه پشتیبان تهیه کنید, سیستم پشتیبان به شما کمک میکنه که اگر بدترین اتفاق برای وبسایتت که هک شدن هستش بیوفته خیالتون راحته که یک نسخه پشتیبان سالم در اختیار دارید .

قبلا نیز در مورد این موضوع مهم با عنوان نسخه پشتیبان در وردپرس در مکانیک وردپرس صحبت کرده بودیم که میتونید مقاله اون رو مطالعه کنید و این افزونه مهم رو نصب و پیکربندی کنید .

۵ تغییر آدرس ورود به وردپرس

بصورت پیشفرض تمامی آدرس های ورود به پیشخوان وردپرس یکی هستش و به راحتی قابل حدس زدن پس بهتره آدرس ورود به وردپرس رو تغییر داده و حتی از تعداد تلاشهای ورود مکرر به وردپرس رو نیز در پیشخوان مشاهده کنید .

خوب برای شروع می تونید این آدرس پیشفرض ورود را با افزونه ای مانند WPS Hide Login تغییر دهید.

خوب برای اینکار از افزونه های دیگه هم میشه استفاده کرد ( تغییر آدرس ورود به پیشخوان وردپرس ) که آموزشش رو در سایت مکانیک وردپرس برای مطالعه آماده کردیم .

۶ فایل های وبسایت وردپرسی را بروز نگه دارید

همانطور که قبلاً نیز اشاره کردیم ، پرونده های منسوخ شده خطرات امنیتی را ایجاد می کنن زیرا سایت شما رو نسبت به سایر سوء استفاده ها آسیب پذیر می کند. به همین دلیل باید به محض انتشار نسخه های جدید وردپرس , قالب و افزونه های خود را بروز رسانی کنید .

۷ از سیستم خود در برابر بدافزار ها محافظت کنید

ممکنه بپرسید که سیستم کامپیوتر چه ربطی به وبسایت و یا وردپرس داره ! بهتره اینطور بگم اگر سیستم شما ویروسی باشه و پرونده و یا فایلی (عکس , ویدئو) بر روی وبسایت آپلود کنید, به محض انتشار فایل وبسایت شما کاملا آلوده خواهد شد .

برای حل این نوع مشکلات میتونید از شیوه های زیر استفاده کنید .

• با سیستم خود از اتصال به شبکه های عمومی Wi-Fi خودداری کنید .
• نرم افزار آنتی ویروس مناسب و بروز شده در سیستم خود استفاده کنید .
• از اتصال USB هایی که اطمینان ندارید استفاده نکنید .

۸ تغییر پیشوند دیتابیس وردپرس

واقعیت دیگری که توسط هکرهای وردپرس به خوبی شناخته شده اینه که پیشوند بانک اطلاعاتی شما روی wp تنظیم شده در واقع این واقعیت باعث می شود که هکر ها بتونن پیشوند جدول را حدس بزنن و از تزریق خودکار SQL برای دستیابی به وبسایت شما استفاده کنند.

تغییر پیشوند بانک اطلاعاتی شما یک فرایند دستی هستش که شامل ویرایش پرونده wp-config.php و تغییر نام جدول با استفاده از phpMyAdmin است. قبل از ایجاد تغییر ، حتماً از سایت خود به عنوان یک اقدام پیشگیرانه پشتیبان تهیه نمائید.

برای تغییر پیشوند دیتابیس مانند تصویر بالا عمل کنید البته قبلش باید به حساب cPanel خود وارد شوید و سپس به File Manager هاست خود دسترسی پیدا کنید و پرونده wp-config.php را طبق تصویر بالا ویرایش کنید .

در فایل wp-config.php به دنیال لاین $table_prefix بگردید و یک علامت = جلو این عنوان هستش که پیشوند دیتابیس را مشخص میکند که بصورت پیشفرض باید wp_ باشد .

پس از پایان ویرایش پرونده wp-config.php ، از File Manager خارج شده و به phpMyAdmin دسترسی پیدا کنید تا بتوانید تمام نامهای جدول را تغییر بدید. انجام این کار دستی می تواند خسته کننده باشد زیرا در کل 11 جدول وجود دارد که باید آنها را ویرایش کنید.

مانند تصویر زیر عمل کنید و همه پیشوند های دیتابیس خودتان را تغییر دهید .

در تصویر بالا همه جداول خود را با استفاده از check all انتخاب کرده و در باکس روبه رو گزینه Replace table prefix را انتخاب کنید و مانند تصویر زیر عمل کنید .

با انتخاب Replace table prefix یک پنجره برای شما باز خواهد شد که در فیلد From از شما میخواد پیشوند فعلی و در بخش To پیشوند جدید را وارد کنید . با زدن دکمه Continue این عملیات به خوبی انجام خواهد شد .

۹ محافظت از فایل wp-config.php در .Htaccess

.Htaccess و wp-config.php از مهمترین فایلهای نصب وردپرس شما هستن. به این ترتیب ، باید اطمینان حاصل کنید که آنها از امنیت و محافظت کاملی برخوردار هستن.

به سادگی کدهای زیر را به پرونده .htaccess خود ، در خارج از برچسب های # BEGIN WordPress و # End WordPress اضافه کنید .

<files wp-config.php>
order allow,deny
deny from all
</files>
<Files .htaccess>
order allow,deny
deny from all
</Files>

در آخر ، برای جلوگیری از اجرای پرونده PHP ، قسمت زیر را اضافه کنید:

<Files *.php>
deny from all
</Files>

۱۰ مجوزهای فایل ها را بررسی و تغییر دهید .

هنگامی که کار شما را با پرونده .htaccess و wp-config.php انجام شد ، کمی بیشتر در cPanel بمانید و مجوزهای مربوط به پرونده ها و پوشه ها را در وب سایت وردپرس خود بررسی کنید.

با توجه به منبع اصلی وردپرس باید مجوز ها به شرح زیر باشن :

1. کلیه دایرکتوری ها باید 755 یا 750 باشند .
2. کلیه پرونده ها باید 644 یا 640 باشند .
3. و فایل wp-config.php باید 600 باشد .

اگر دسترسی به فایل های شما متفاوت باشن, هکر ها به راحتی میتونن به فایل های هاست شما و یا پوشه دسترسی داشته باشن و این عمل باعث میشه تا وبسایت شما مورد حمله هکر ها قرار بگیره و به راحتی میشه به همه فایل ها دسترسی پیدا کرد .

۱۱ از تأیید هویت دو عاملی استفاده کنید .

برای اینکه بتونید این قابلیت رو بر روی وبسایت خودتون فعال کنید . میتونید از افزونه های زیادی استفاده کنید که گزینه مناسب اینکار میتونه Google Authenticator باشه که بعد از ورود رمز عبور از شما درخواست میشه تا کد تائید مرحله دوم را نیز وارد کنید .

۱۲ غیر فعال سازی XML-RPC .

XML-RPC به وبسایت وردپرسی شما اجازه می ده تا با برنامه های اپلیکیشنی وردپرسی و افزونه هایی مانند Jetpack ارتباط برقرار کند. متأسفانه ، این مورد مورد علاقه هکرهای وردپرس نیز قرار گرفته است زیرا می توانند از این پروتکل سوء استفاده کنن تا چندین دستور را همزمان انجام دهن و به سایت شما دسترسی پیدا کنند.

برای غیرفعال کردن این ویژگی از افزونه ای مانند Disable XML-RPC استفاده کنید.

۱۳ از HTTPS و SSL استفاده کنید .

در مکانیک وردپرس در مورد این موضوع مهم از قبل صحبت شده بود که چه مقدار این پروتکل HTTPS و گواهینامه های امنیتی SSL برای وبسایت شما مفید و مناسب میباشد .

HTTPS مخفف عبارت Hypertext Transfer Protocol Secure است در حالی که SSL مخفف Secure Socket Layers است. به طور خلاصه ، HTTPS به مرورگر بازدید کننده اجازه می دهد تا ارتباط مستقیمی با سرور یا هاست میزبانی شما برقرار کند.

پروتکل HTTPS از طریق SSL امن می شود. با هم ، HTTPS و SSL اطمینان حاصل می کنند که تمام اطلاعات بین مرورگر و بازدید کننده و وبسایت شما رمزگذاری می شوند.

استفاده از هر دو در سایت شما نه تنها امنیت سایت شما را افزایش می دهد ، بلکه به رتبه موتور جستجوگر شما نیز کمک خواهد کرد ، با فعال سازی این کار اعتماد به بازدید کنندگان خود را افزایش می دهید و نرخ تبدیل شما را بهبود می بخشید.

با ارائه دهنده میزبان (هاستینگ) خود صحبت کنید و در مورد امکان اخذ گواهینامه SSL با شرکت مکاتبه کنید گاها این ابزار توسط شرکتها بصورت رایگان و یا پولی ارائه میشود .

۱۴ ادیتور و یا ویرایشگر قالب و افزونه های وردپرس را غیر فعال کنید .

داشتن گزینه ای برای ویرایش فایل های قالب و یا افزونه در داخل داشبورد وردپرس ، در صورت نیاز به افزودن چند خط کد مفید هستش. اما همچنین بدین معنی هستش که هرکسی که به سایت شما وارد شود می تواند به آن پرونده ها دسترسی پیدا کند.

این ویژگی را با اضافه کردن کد زیر به پرونده wp-config.php خود به راحتی میتوانید غیرفعال کنید:

// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

۱۵ انتقال فایل wp-config.php به یک پوشه امن .

همانطور که قبلاً نیز اشاره کردیم ، فایل wp-config.php یکی از مهمترین فایلهای نصب وردپرس شماست. دسترسی به این فایل را با انتقال آن از لیست اصلی به لیست غیر قابل دسترسی سخت تر کنید .

1. یک فایل با نام wp-config.php در یک جای غیر قالب دسترسی در هاست ایجاد کنید و همه اطلاعات فایل قبلی را درون این فایل جدید کپی کنید .
2. بعد با استفاده از کد زیر در فایل wp-config.php قبلی مسیر فایل جدید را درج کنید .

<?php
include(‘/home/yourname/wp-config.php’);

و فایل را ذخیر کنید .

۱۶ کلیدهای امنیتی وردپرس خود را تغییر دهید .

کلیدهای امنیتی WordPress وظیفه رمزگذاری اطلاعات ذخیره شده در کوکی های کاربران را دارند. آنها در پرونده wp-config.php قرار دارند و مانند کد های زیر هستند:

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

برای تغییر این کد و ایمن سازی سایت خود از کلیدهای امنیتی از WordPress Keyspress استفاده کنید.

۱۷ مخفی کردن ارور های وردپرس

گزارش خطا برای عیب یابی و تعیین اینکه کدام افزونه یا موضوع خاص باعث ایجاد خطا در وب سایت وردپرس شما شده ، مفید هستش. اما ، هنگامی که سیستم خطایی را گزارش کرد ، مسیر سرور شما را نیز نمایش می دهد. نیازی به گفتن نیست ، این یک فرصت عالی برای هکرها هستش که بدانند چگونه و از کجا می توانند از آسیب پذیری های سایت شما استفاده کنند .

برای حل این مشکل کافیه با افزودن کد زیر به پرونده wp-config.php این کار را غیرفعال کنید:

error_reporting(0);
@ini_set(‘display_errors’, 0);

۱۸ مخفی کردن نسخه وردپرس

هر شخصی که به سورس وب سایت شما نگاهی بیندازد ، قادر خواهد بود بگوید از کدام نسخه از WordPress استفاده می کنید. از آنجا که هر نسخه وردپرس دارای تغییرات عمومی هستش که لیست اشکالات و تکه های امنیتی را نمایش می دهد ، هکرها به راحتی می توانند مشخص کنند که از چه حفره های امنیتی می توانند استفاده کنند.

خوشبختانه ، به راحتی میتوانید این مشکل رو حل کنید. به راحتی میتونید نسخه وردپرس را با افزودن کد به function.php در قالب خود اضافه کرده و نسخه وردپرس را حذف نمائید :

remove_action(‘wp_head’, ‘wp_generator’);

جمع بندی

وردپرس یک CMS قدرتمند و پرطرفدار هستش که ایجاد وب سایت را برای هر کسی آسان می کنه. اما از آنجا که بسیار محبوب است ، همچنین یک هدف مورد علاقه هکرها میباشد. خوشبختانه ، اقدامات بسیاری برای محافظت از سایت وردپرس خود انجام داده اید و اگر نکاتی را در این مقاله گفته شد, دنبال کنید ، در راه داشتن وب سایت ایمن وردپرس به خوبی پیش خواهید رفت.