افزایش امنیت وردپرس

افزایش امنیت وردپرس: ۱۰ نکته برای افزایش امنیت سایت وردپرس

افزایش امنیت وردپرس شاید تنها کاری باشد که ماه‌ها ذهن شما را مشغول کرده است و حتی ممکن است به همین خاطر برخی شب‌ها را تا صبح بیدار مانده باشید! افزایش امنیت وردپرس منوط به صرف زمان و زحمت بسیاری است، هرچقدر که وب‌سایت شما محبوبیت بالایی پیدا کند تأمین امنیت سایت نیز جنبه‌ی جدی‌تری پیدا می‌کند.

 

۱۰نکته سریع برای افزایش امنیت سایت وردپرس

امنیت وردپرس جنبه‌های مختلفی دارد و بایستی هر فعالیتی که روی سایت شما انجام می‌شود را زیر نظر بگیرید. از پلاگین هایی که نصب می‌کنید گرفته تا قالب‌هایی که استفاده می‌کنید و همچنین خیلی دیگر از کارها که حتی ممکن است در مخیله‌تان هم نگنجد!

امنیت جدی‌ترین چیزی است که یک وبمستر به شکل همیشگی با آن درگیر خواهد بود و بایستی آن را مادام زیر نظر بگیرید. با مقاله‌ای که تهیه دیده‌ایم، به شما آموزش می‌دهیم که چطور لایه‌های گوناگونی روی سایت خود ایجاد کرده و کار را برای هک شدن یا درخطر افتادن آن سخت‌تر کنید.

            آیا می‌خواهید امنیت وردپرس خود را افزایش دهید؟ پروژه‌تان را به ما واگذار کنید یا این‌که یکی از متخصصین ما را در انجام امور خود به‌کارگیرید.

 

از نام کاربری “Admin” برای حساب مدیریتی اصلی وردپرس استفاده نکنید

“Admin” را می‌توان رایج‌ترین نام کاربری مورداستفاده برای حساب‌های کاربری ادمین وردپرس دانست و حتماً شما هم از این موضوع باخبر هستید، پس هکرها هم باخبرند! برای این‌که زندگی آن‌ها را برای این عزیزان کمی سخت‌تر و چالش‌برانگیزتر کنید، نیاز است تا یک نام کاربری دیگری را برای حساب مدیریتی‌تان انتخاب کنید. پیشنهادات شرق وب برای شما:

  • یک حساب کاربری جدید(با استفاده از کاراکترهایی مثل @) بسازید.
  • اگر حساب کاربری قبلی شما همان admin معروف بوده. سعی کنید تمامی نوشته‌ها را به کاربر جدیدی که ساخته‌اید منتقل کنید.
  • و درنهایت حساب معروف admin را به‌طور کل از سیستم حذف کنید
  • همچنین در نام نمایشی کاربر دقت کنید که Username شما لو نرود، هرچند که با کلیک روی نام نویسنده تا حدی این نام کاربری لو می‌رود اما اگر سعی کنید از کاراکترهایی مثل @ که در لینک‌هایتان دیده نمی‌شوند استفاده کنید، کمی کار را برای هکر سخت خواهید کرد.

اگر موارد ذکرشده در بالا را بر روی سایت وردپرس تان انجام دهید، کار برای هکر و ابزارهایش کمی سخت می‌شود تا برای لاگین در سایت شما تلاش کند. البته به خاطر داشته باشید که این تنها بخشی از ماجرای امنیت است.

 

برای سایت وردپرسی خود پسوردهای سخت‌تر(طولانی، دارای اعداد، حروف بزرگ و علائم خاص) انتخاب کنید

بالا بردن امنیت وردپرس با انتخاب پسوردهای پیچیده یک‌قدم به جلوتر می‌رود. حتماً شما هم در اخبار خوانده و دیده‌اید که پرکاربردترین پسوردهای جهان کدام ها هستند؟ به نظرتان این پسوردها از کجا به دست می‌آیند؟ درست است هکرها آن‌ها را منتشر می‌کنند و این یعنی به آن‌ها نفوذ کرده‌اند. به‌عنوان‌مثال پرکاربردترین پسورد در جهان “۱۲۳۴۵۶”، “۱۲۳۴۵۶۷۸”، “qwerty” و امثالهم هستند.

سرتان را درد نیاورم: پسوردهای خوب برای افزایش امنیت وردپرس حکم مرگ و زندگی را دارند و این دلیل بر آن می‌شود که به نکاتی که در ادامه حضورتان معرفی می‌کنیم دقت و اهتمام بورزید:

  • هرگز در پسوردهایتان از کلمات معنی‌دار استفاده نکنید. این کار باعث می‌شود درصد موفقیت حملات دیکشنری را پایین بیاورید.
  • حتماً از اعداد و علائمی مثل @*^# >;[ در پسورد وردپرس تان استفاده کنید.
  • طول پسورد وردپرس تان بین ۸ الی ۱۶ کاراکتر و با رعایت ویژگی‌های فوق باشد.

 

یک توصیه امنیتی: سعی کنید سختی پسوردتان را خودتان باهوش خودتان بسنجید، البته پارامترهای بیشتری در انتخاب پسوردهای سخت وجود دارد که در حوصله این مقاله نمی‌گنجد. اما به‌هیچ‌وجه سراغ سایت‌های تست پسورد نروید چراکه همین سایت‌ها، پسوردهای شما را ضبط کرده و به هکرها می‌فروشند! بسیار مراقب باشید.

 

از احراز هویت دومرحله‌ای برای لاگین وردپرس استفاده کنید

احراز هویت دومرحله‌ای برای وردپرس، راه‌حلی ترکیبی برای انجام عملیات لاگین به حساب می‌آید و احتمالاً در سرویس‌های معتبر جهانی با آن مواجه شده‌اید. روش‌های مختلفی برای احراز هویت دومرحله‌ای وجود دارد؛ ازجمله ارسال پیامک تائید به شماره تماس شما، ارسال کد تائید به تلگرام یا ایمیل شما ازجمله سایر روش‌های احراز هویت دومرحله‌ای هستند که می‌توانید با جستجوی عبارت Two-Factor Authentication در گوگل، افزونه‌ی مناسب این کار را پیداکرده و هرچه سریع‌تر آن را روی وردپرس تان فعال کنید.

 

گزارشات خطای لاگین در وردپرس را خاموش‌کنید

هر بار که نام کاربری‌تان را اشتباه وارد کنید، یا وجود نداشته باشد یا حتی پسوردتان را در فرم لاگین وردپرس اشتباه وارد کنید، وردپرس به شما خطا می‌دهد که موضوع از چه قرار است و دقیقاً می‌گوید که نام کاربری‌تان اشتباه بوده، وجود ندارد و یا پسوردتان اشتباه است. این یعنی فاجعه!

افزایش امنیت وردپرس، خیلی وقت‌ها با رعایت همین نکات ساده به دست می‌آید. شاید حتی شما این خطاها را ندیده باشید اما این خطاها برای هکرها درست مثل گنج هستند چراکه آن‌ها را راهنمایی می‌کنند که آیا نام کاربری شما را پیداکرده‌اند؟ آیا باید پسورد جدیدی تست کنند؟ به‌طور کل کلی از زحماتشان کاسته می‌شود.

جهت افزایش امنیت وردپرس بایستی از شر این اطلاعات مفید برای هکرها خلاص شوید، به همین دلیل یک تکه کد کوچک برای شما آماده کرده‌ایم که در فایل functions.php سایتتان قرار دهید:;

function no_wordpress_errors(){

  return ‘نمی‌توانی سایت من را هک کنی، زحمت بیهوده نکش!’;

}

add_filter( ‘login_errors’, ‘no_wordpress_errors’ );

“نمی‌توانی سایت من را هک کنی، زحمت بیهوده نکش!” را با آن چیزی که حالتان را بهتر می‌کند عوض کنید!

 

افزونه‌های وردپرس را تنها از مراجع معتبر دریافت و نصب کنید

افزایش امنیت وردپرس ارزان به دست نمی‌آید و از قدیم گفته‌اند هیچ ارزانی بی‌حکمت و هیچ گرانی بی‌علت نیست! اگر سایتی به‌وفور افزونه‌های پولی را به‌رایگان در اختیار شما قرار داده است مطمئناً دلسوز شما نیست. شاید صاحب آن سایت یک هکر است که شما را طوری هک می‌کند که نفهمید از کجا هک شده‌اید!

افزونه‌های وردپرس، یکی از قدرتمندترین المآن‌های موجود در اکوسیستم وردپرس به شمار می‌آیند و بیش از ۵۰هزار افزونه مختلف در مخزن وردپرس وجود دارند. اما افزونه‌های دیگری در سایر مارکت های وردپرس مثل تم فارست یافت می‌شوند! قبل از این‌که از هرجای دیگری افزونه‌هایتان را نصب و دانلود کنید به دنبال موارد زیر بگردید و سپس اقدام کنید:

  • دیدگاه‌های کاربران را نسبت این افزونه و نویسنده‌ی آن مطالعه کنید
  • اگر پشتیبانی دارد آن را چک کنید که آیا رایگان است یا دارای هزینه
  • همچنین پاسخگویی نویسنده افزونه را به کاربرانش بررسی کنید.

دقت داشته باشید که بک آپ گیری از دیتابیس و فایل‌های وردپرس تان قبل از نصب پلاگین های جدید می‌تواند در افزایش امنیت وردپرس تأثیرگذار باشد.

چگونه امنیت سایت خود را افزایش دهیم؟

 

آپدیت نگه‌داشتن وردپرس از پایه‌های اصلی حفظ امنیت

هر حفره امنیتی جدیدی که در وردپرس کشف می‌شود، یک وصله امنیتی را به همراه خود خواهد داشت و تیم توسعه‌دهنده وردپرس با شناسایی آن اقدام به رفع آن می‌کند و این بدین معنی است که فعال نگه‌داشتن سایتتان به شکلی امن، امری پیوسته است و بایستی تمامی فایل‌ها ازجمله افزونه‌ها و هسته اصلی وردپرس تان را به آخرین نسخه موجود ارتقاء دهید تا موجب افزایش امنیت وردپرس تان شود.

از نسخه‌های پیشین وردپرس، آپدیت‌های امنیتی آن به‌صورت خودکار نصب می‌شوند، اگر می‌خواهید که کل هسته سایت به همراه افزونه‌هایتان آپدیت شوند بایستی از بخش آپدیت‌های وردپرس در داشبورد اقدام کنید.

 

افزایش امنیت سایت وردپرس، یک سایت تمیز و مرتب را می‌طلبد

دقت داشته باشید اگر حتی وردپرس تان به آخرین نسخه هم به‌روزرسانی شده باشد، نگه‌داشتن افزونه‌های بلااستفاده و قالب‌های قدیمی ممکن است پیامدهای امنیتی را به دنبال داشته باشد. چراکه این افزونه و قالب‌ها ممکن است از چشم شما برای آپدیت شدن دورمانده باشند، هرچند غیرفعال هستند اما بازهم یکسری فایل قابل‌اجرا هستند که امنیت سایت شما را تهدید می‌کنند.

 

بازخوردهای وردپرس را غیرفعال کنید

احتمالاً در داشبورد وردپرسی تان(در بخش تنظیمات)، چشمتان به بازخوردها افتاده است، کاربرد این گزینه در اصل این است که از لینک شدن صفحات شما در وب‌سایت‌های دیگر(همچنین خیلی از کاربران دیگری که شاید برای شما مهم نباشند) به شما اطلاع می‌دهد. دقت داشته باشید که با فعال بودن این گزینه، یک هکر می‌تواند حمله‌ی DDoS را اجرا کند یا حتی از سایت‌های وردپرسی دیگر استفاده کرده و سایت شما را از دسترس(به علت حجم بالای ترافیک) خارج کند.

اگر سایت وردپرسی دارید به تنظیمات و سپس گفتگو رفته و بازخوردها را خاموش‌کنید!

 

مجوز فایل‌ها و پوشه‌ها را به مقادیر درست‌تری تغییر دهید

مجوز فایل و پوشه یا همان Permission های خودمان به مجموعه قوانینی اطلاق می‌شود که به سیستم‌عامل می‌گوید چه کسی حق خواندن، نوشتن، انجام تغییرات و دسترسی به فایل و پوشه‌ها را دارد. در سیستم‌عامل لینوکس(که وردپرس روی آن اجرا می‌شود)، این مجوزها با یک عدد سه‌رقمی مشخص می‌شوند.

پیشنهاد می‌شود مجوز فایل‌ها و پوشه‌های موجود در سایتتان را به مقادیر زیر تغییر دهید:

فایل‌ها: ۶۴۴

پوشه‌ها: ۷۵۵

 

همچنین یک نکته را یادآور شوید که هیچ‌گاه از سطح دسترسی ۷۷۷ برای هیچ فایل و پوشه‌ای استفاده نکنید، چراکه این سطح دسترسی به هر کاربری اجازه‌ی کنترل کامل روی فایل‌ها و پوشه‌هایتان را می‌دهد.

 

از نمایش فهرست محتویات پوشه‌ها در سایتتان جلوگیری کنید

حتماً با این مورد مواجه شده‌اید که سایتی را بازکرده‌اید و محتویات داخل پوشه آن را دیده‌اید! وقتی‌که مرورگر نتواند فایل index.php یا index.html را بر روی سایتتان پیدا کند، یک صفحه شامل محتویات آن پوشه را نشان می‌دهد که ممکن است کل اطلاعات شما، ازجمله پلاگین های نصب‌شده و کلیه فایل‌های آپلودی‌تان را لو بدهد.

با یک چک ساده می‌توانید متوجه شوید که آیا امکان Directory Browsing روی سایت شما فعال‌شده است یا خیر؛ کافی است تا یک پوشه جدید و یک فایل متنی در آن ایجاد کرده و آدرس آن را در مرورگرتان بزنید. اگر نام فایل متنی‌تان را دیدید، یعنی درخطر هستید و اگر پیامی مثل “صفحه پیدا نشد” یا “Forbidden” را دیدید یعنی که در امان هستید.

 

افزایش امنیت وردپرس شما هدف این مقاله است و سعی می‌کنیم تا با ارائه نکات ریز و کاربردی به شما در بالا بردن کانفیگ امنیتی وردپرس تان کمک کنیم. برای این‌که از کسب اطلاعات و فاش شدن اطلاعات برای هکرها جلوگیری کنید، کد زیر را به فایل .htaccess تان اضافه کنید:

Options All –Indexes

 

امیدواریم توانسته باشیم با ارائه این مقاله اختصاصی، شما را در بهبود امنیت سایت وردپرسی تان یاری کرده باشیم. البته بدانید که این ۱۰ نکته، برای کسب امنیت ۹۹درصدی کافی نیست اما می‌توان آن‌ها را حداقل تنظیمات و نکاتی دانست که باید هر سایت وردپرسی مدنظر داشته باشد.

آیا شما هم نکته‌ای امنیتی می‌دانید که به ما و سایر بازدیدکنندگان بگویید؟ آن را با ما از طریق درج دیدگاه به اشتراک بگذارید.

اشتراك گذاری نوشته

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *