اقدامات ضروری برای افزایش امنیت وردپرس
سیستم مدیریت محتوای وردپرس (WordPress) به طور دائم در حال بهروزرسانی و ارتقاء است و به خودی خود دارای امنیت بالایی میباشد. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت وبسایت خود گامی بردارید و امکان سوء استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. به همین خاطر ما در این آموزش قصد داریم به شما مهمترین و کاربردیترین اقدامات ضروری برای افزایش امنیت وبسایت وردپرس خود را به شما معرفی کنیم تا امنیت وبسایت شما تضمین گردد. تا انتهای این مطلب با ما همراه باشید.
افزایش امنیت وردپرس
آنچه در این مطلب آموزشی به اختصار خواهید خواند:
1. چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟2. اقدامات ضروری برای افزایش امنیت وردپرس را یاد بگیرید!
چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟
تامین امنیت وبسایت و کسب و کار اینترنتی موضوعی است که اهمیت زیادی برای مدیران سایت دارد. چراکه کسب درآمد و امنیت شغلی صاحبان این مشاغل، وابستگی مستقیم به امنیت سایتشان دارد. به عبارتی دیگر میتوان گفت: دقیقا همانطور که یک فروشگاه فیزیکی در یک مکان مشخص از شهر نیاز به تامین امنیت دارد، یک فروشگاه و کسب و کار مجازی در اینترنت هم نیازمند تامین امنیت و حفاظت دارد.
از طرفی دیگر گوگل هر روز در حدود بیش از 10،000 وبسایت را به خاطر بدافزار بودن و حدود 50،000 وبسایت را به خاطر سرقت اطلاعات بانکی (phishing) هر هفته در لیست سیاه قرار میدهد. این بدان معناست گوگل برای تامین امنیت ارزش فوقالعاده زیادی قائل است و سایتهایی که از امنیت کمی برخورد دار باشند از نگاه گوگل سایتهای بیکیفیت تلقی میشوند که قطعا با افت رتبه در موتورهای جستجو مواجه خواهند شد.
پس اگر در مورد امنیت وبسایت خود جدی هستید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این آموزش، ما بهترین نکات امنیتی وردپرس را برای محافظت از وبسایت شما در برابر هکرها و بدافزارها با شما اشتراک خواهیم گذاشت.
اقدامات ضروری برای افزایش امنیت وردپرس را یاد بگیرید
در حالی که هسته اصلی وردپرس بسیار امن است و توسط صدها نفر از توسعهدهندگان حرفهای به طور منظم مورد بررسی و بهروزرسانی قرار میگیرد، اما بازهم کارهای زیادی میتوان برای ایمن نگهداشتن سایت انجام داد که بر عهده مدیر سایت است.
ما معتقدیم که امنیت فقط حذف خطر نیست. بلکه کاهش خطر است! به عنوان یک مالک وبسایت، اقدامات ضروری و موثری وجود دارد که میتوانید برای بهبود امنیت وردپرس خود انجام دهید. در ادامه ما تعدادی از اقدامات ضروری برای تامین امنیت کامل وردپرس که میتوانید با انجام آنها از وبسایت خود در برابر آسیبپذیریهای امنیتی محافظت کنید، به شما معرفی خواهیم کرد.
1. همیشه از آخرین نسخه وردپرس، افزونهها و پوستهها در سایتتان استفاده کنید.
وردپرس یک نرم افزار تحت وب منبع باز (open source) است که به طور منظم توسط توسعهدهندگان آن بهبود پیدا کرده و بهروزرسانی میشود. از طرفی دیگر وردپرس همچنین دارای هزاران افزونه و پوسته است که میتوانید روی وبسایت خود نصب کنید. این افزونهها و پوستهها نیز توسط توسعهدهندگانشان مرتباً بهروزرسانی میشوند. پس همیشه اطمینان حاصل کنید که جدیدترین نسخه هسته وردپرس، افزونهها و پوستهها در سایت شما نصب شده باشد.
2. گذرواژههای قوی انتخاب کرده و دسترسیهای سایت را کنترل کنید!
یکی از رایجترین راههای هک کردن و ورود غیرقانونی به سایت از طریق حملات بروت فورس یا DDOS است. شما با انتخاب گذرواژههای قوی میتوانید وبسایت خود را در برابر این حملات ایمن نگه دارید. توجه داشته باشید نه فقط برای قسمت مدیریت وردپرس، بلکه همچنین برای حسابهای FTP، پایگاه داده، حساب عضویت سایت و آدرسهای ایمیلی که از نام دامنه سایت شما استفاده میکنند، باید از رمز عبور قوی استفاده کنید.
بسیاری از افراد استفاده از رمزهای عبور قوی را دوست ندارند زیرا به سختی به خاطر سپرده میشوند. اگرشما نیز جز این افراد هستید میتوانید از نرمافزارهای مدیریت رمز عبور استفاده کنید تا اینگونه بهتر گذرواژههای خود حفظ و نگهداری کنید. از سوی دیگر مجوزها و دسترسی سایتتان را به طور دقیق کنترل و مدیریت کنید. به طوریکه به هرکسی اجازه دسترسی به حساب پیشخوان مدیریت وردپرس را ندهید مگر اینکه کاملاً نسبت به آن فرد کنترل و اطمینان داشته باشید. اگر یک تیم بزرگ یا چندین نویسنده مهمان دارید، برای آنها حساب کاربری و نقشهایی با دسترسی محدود ایجاد نمایید تا صرفا فقط امکان نگارش محتوا داشته و به دیگر بخشهای سایت دسترسی نداشته باشند.
3. یک سرویس میزبانی وب (هاست) قوی انتخاب نمایید!
قطعا انتخاب یک سرویس میزبانی وب مطمئن و مناسب میتواند نقش بسیار مهمی در افزایش امنیت سایت شما ایفا نماید. یک ارائهدهنده میزبانی حرفهای همیشه اقدامات بسیار مهمی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام میدهد و خیال شما را بابت حفظ اطلاعات سایتتان راحت میکند.
اما یک سرویس میزبانی خوب درای چه ویژگیها و بایدهایی میباشد؟
- باید به طور مداوم سرورهای خود را از نظر فعالیت مشکوک کنترل و بررسی کند.
- باید دارای ابزارهایی باشد که از حملات گسترده DDOS جلوگیری کند. از جمله دیوار آتشین سختافزاری و نرمافزاری در کنار هم.
- باید نسخه های PHP و سختافزار خود را بهروز نگه دارند تا از سوء استفاده و آسیبپذیریهای امنیتی در نسخههای قدیمی توسط هکرها جلوگیری کنند.
- آنها باید برنامهریزی و پیشبینیهایی بابت بازیابی اطلاعات سرور در زمان حوادثهای مختلف داشته باشند تا از دادههای شما محافظت کنند.
- باید به طور دقیق و مداوم از اطلاعات بر روی سرور در یک مکان امن (سرور مجزا) نسخه پشتیبان تهیه کنند.
- قابلیت پاسخگویی و پشتیبانی مشتریان را در هفت روز هفته را داشته باشد.
انتخاب بهترین ارائه دهنده خدمات میزبانی وب نکته بسیار مهم برای امنیت وبسایت میباشد. پلنهای میزبانی وب لینوکس ویژه شبکه جهانی وب تمامی مزایای فوق را به شما ارائه میدهند.
4. افزونهها کاربردی و مهم وردپرس بر روی وبسایت خود نصب و فعالسازی کنید!
اگر تسلط کامل بر روی کدنویسیهای وردپرس ندارید حتما باید به سراغ نصب و فعالسازی افزونههای کاربردی و مهم برای افزایش امنیت سایت خود بروید.
5. گواهینامه SSL بر روی سایت خود نصب کنید!
گواهینامه SSL (Secure Sockets Layer) یک پروتکل است که انتقال داده را بین وبسایت شما و مرورگر کاربران رمزگذاری میکند. این رمزگذاری باعث میشود که امکان سرقت اطلاعات توسط هکرها بسیار دشوار یا تقریبا از بین برود. هنگامی که SSL را بر روی سایت خود فعال کنید، وبسایت شما به جای پروتکل HTTP از HTTPS استفاده میکند و در مرورگرتان علامت قفل کنار آدرس وبسایت خود مشاهده خواهید کرد.
در ابتدا گواهینامههای SSL صرفا توسط مقامات صدور گواهینامه (certificate authorities) صادر میشدند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع میشد. به همین خاطر به دلیل هزینه بالا، بیشتر مالکین وبسایت تصمیم گرفتند از پروتکل ناامن (HTTP) استفاده کنند. برای رفع این مشکل، یک سازمان غیرانتفاعی و خیرخواهانه به نام Let’s Encrypt تصمیم گرفت گواهینامههای SSL رایگان را به دارندگان وبسایت ارائه دهد. که این پروژه توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکتهای دیگر پشتیبانی میشود. البته نصب این گواهینامه دشواریهای خاص خود را دارد و مدت زمان اعتبار آن 3 ماه میباشد. ولی ما در شبکه جهانی وب سرویس نصب و تمدید خودکار گواهینامه SSL رایگان را ویژه مشترکین خود داریم که میتوانید با کلیک بر روی اینجا آموزش نصب را مطالعه کنید.
6. نام کاربری (username) پیشفرض "admin" انتخاب نکنید!
در گذشته، نام کاربری مدیر هنگام نصب وردپرس به صورت پیش فرض "admin" بود. از آنجا که نامهای کاربری نیمی از اطلاعات ورود به سیستم را تشکیل میدهد، دانستن آن ورود به سایت را برای هکرها آسانتر میکند.
خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس میکند. با این حال، هنوز هم برخی از نصبکنندگان وردپرس نام کاربری پیش فرض را روی همان "admin" تنظیم میکنند که این موضوع بسیار خطرناک است. پس حتما هنگام نصب وردپرس بر روی سایتتان یک نام کاربری مناسب و سخت برای خود انتخاب نمایید.
7. قابلیت ویرایش پوسته و افزونه را در پیشخوان وردپرس غیرفعال کنید!
وردپرس دارای یک ویرایشگر کد داخلی است که به شما این امکان را میدهد افزونهها و پوستههای خود را از طریق پیشخوان وردپرس ویرایش کنید. اگر این قسمت به دست هکرها بیوفتد به راحتی میتوانند سایت شما را با کدهای مخرب آلوده کنند. پس بهترست حتما آن را غیرفعال نمایید.
برای غیرفعالسازی آن میتوانید به فایل wp-config.php در هاست خود بروید و کد زیر را در آن قرار دهید:
// Disallow file edit
define(
'DISALLOW_FILE_EDIT'
, true );
8. در برخی از دایرکتوریهای وردپرس اجرای فایل PHP را غیرفعال کنید!
روش دیگر برای تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوریهاست. مانند فایلهای موجود در uploads در پوشه wp-content که نیازی به اجرای کد PHP ندارد. برای انجام اینکار میتوانید یک ویرایشگر متن مانند ++Notepad باز کنید و کد زیر را در آن قرار دهید:
deny from all
سپس، شما باید این فایل را به نام htaccess. ذخیره کنید و به صورت مستقیم یا با استفاده از سرویس FTP آن را در پوشه wp-content/uploads/ هاست خود بارگذاری کنید. ضمنا اگر در آن پوشه از قبل فایلی با نام .htaccess وجود دارد، نیازی به ساخت مجدد این فایل نیست و فقط کافیست کدهای بالا را در آن فایل قرار دهید و ذخیره نمایید.
9. تعداد دفعات تلاش برای ورود به وردپرس را محدود کنید!
به طور پیشفرض، وردپرس به کاربران اجازه میدهد تا هر تعداد که میخواهند تلاش ناموفق برای ورود به سایت داشته باشند. این موضوع باعث میشود سایت وردپرس شما در برابر حملات brute force آسیبپذیر شود. هکرها با تلاشها زیاد برای ورود به سایت با ترکیبات مختلف گذرواژه، سعی میکنند رمزهای عبور را بشکنند. شما با محدود کردن تلاشهای ناموفق برای ورود به سیستم، میتوانید این مشکل را به راحتی برطرف کنید. البته امروزه بیشتر افزونه امنیتی وردپرس اینکار را برای شما انجام میدهند و نیازی به نصب افزونه جداگانه نیست. به هر حال شما میتوانید برای محدود کردن تلاشهای ناموفق در به سیستم از افزونه Login Lock Down استفاده نمایید.
10. احراز هویت دو مرحلهای (Two Factor Authentication) را فعال نمایید!
با استفاده از روش احراز هویت دو مرحلهای شما میتوانید بعد از گرفتن نام کاربری و پسورد، از کاربرانتان بخواهید برای ورود به سایت یک کد چند رقمی وارد کنند. در بسیاری از افزونههای امنیتی مانند وردفنس و iThemes Security این ویژگی وجود دارد که میتوانید از آن استفاده کنید. البته افزونه Two Factor Authentication نیز میتوانید به صورت جداگانه برای احراز هویت دو مرحلهای مورد استفاده قرار گیرد.
11. تغییر پیشوند جداول وردپرسی
به طور پیشفرض ، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در پایگاه داده شما استفاده میکند. به همین خاطر اگر سایت وردپرسی شما از پیشوند پایگاه داده پیشفرض استفاده کند، حدس زدن نام جدول شما برای هکرها بسیار راحت است و میتوانند به دادههای شما در دیتابیس دسترسی پیدا کرده و آنها را تغییر دهند. به همین خاطر حتما توصیه میکنیم که آن را بر روی سایت خود تغییر دهید.
12. دسترسی به XML-RPC را در وردپرس غیرفعال نمایید! (بسیار مهم)
فایل XML-RPC به شما کمک میکند تا وردپرس را به برنامههای وب و تلفن همراه متصل کنید و از این طریق آن را مدیریت کنید. اگر شما نمیخواهید از طریق تلفن همراه اینکار را انجام دهید حتما دسترسی به XML-RPC را غیرفعال نمایید. چرا که وجود این قابلیت در وردپرس باعث میشود حملات بروت فورس راحتتر صورت گرفته و تعداد دفعات وارد کردن نام کاربری و رمز عبور توسط هکرها در سایت بیشتر شود و احتمال ورود آنها به سایت افزایش یابد.
برای غیرفعالسازی آن میتوانید از افزونه Disable XML-RPC استفاده کنید و یا در فایل .htaccess هاست خود کد زیر را قرار دهید:
البته توجه داشته باشید بعضی از افزونههای امنیتی مانند وردفنس این قابلیت را در خود جای دادهاند و از طریق آنها میتوانید این دسترسی را غیرفعال کنید. پس ابتدا بررسی نمایید که آیا افزونه امنیتی شما این قابلیت را دارد یا خیر؟ اگر این قابلیت را نداشت سپس به سراغ نصب افزونه یا فایل.htaccess بروید.
13. افزونهها و پوستههای پولی را از سایتهای معتبر تهیه کنید!
یکی از اشتباهات رایج و بسیار خطرناک تهیه افزونهها و پوستههای پولی به صورت رایگان است. در بسیاری از اینگونه افزونهها کدهای مخربی وجود دارد که میتواند سایت شما را به یکبار با مشکل جدی و حتی جبران ناپذیری مواجه کند. پس حتما ضمنا عدم استفاده از افزونهها و پوستههای پولی به صورت رایگان، آنها را از سایتهای معتبر تهیه نمایید.
14. آدرس ورود به پیشخوان وردپرس خود را تغییر دهید!
به طور پیشفرض در سایتهای وردپرسی آدرس ورود به پیشخوان www.example.com/wp-admin است که باید حتما تغییر پیدا کند تا هکرها نتوانند به آن دسترسی داشته باشند. برای تغییر این مسیر میتوانید از افزونه iThemes Security استفاده کنید که علاوه بر تامین امنیت کامل سایت شما امکان تغییر مسیر آدرس ورود به پیشخوان وردپرس را برای شما مهیا میکند.
15. بر روی کلیه فرمهای سایت و فرم تماس با ما قابلیت Google reCAPTCHA قرار دهید! (بسیار مهم)
گوگل ریکپچا سامانه امنیتی طراحی شده برای جلوگیری از حملات رباتهای اینترنتی میباشد که اقدام به ارسال اسپم میکنند. با استفاده از این سامانه تشخیص رباتها و انسان امکانپذیر میباشد. ساختار ریکپچا به گونهای است که در زمان ارسال ایمیل، ثبت نام در سایت یا ارسال نظر و تماس و... کد یا شکل یا مسئله یا فعالیتی را از کاربر درخواست میکند که کاربر با حل آن قادر به ادامه فعالیت خود میباشد. به همین علت چون رباتها قادر به تشخیص این فرآیند نمیباشند سامانه از فعالیتهای خرابکارانه رباتها به این شیوه جلوگیری میکند.
جهت آموزش قراردادن Google Captcha اینجا را کلیک نمایید.
اقدامات ضروری برای افزایش امنیت وردپرس
همانطور که در ابتدای این آموزش اشاره کردیم، هسته اصلی سیستم مدیریت محتوای وردپرس مرتبا در حال بهروزرسانی است و به خودی خود دارای امنیت بالایی میباشد. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت سایتتان گامی بردارید و امکان سوء استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. در این آموزش اقدامات ضروری برای تامین امینت کامل وردپرس را به طور کامل به شما معرفی کردیم. حال نوبت شماست که با انجام این اقدامات امنیت وبسایت خود را افزایش دهید و از کسب و کارت اینترنتیتان به خوبی محافظت کنید. در نهایت از توجه شما به این مقاله سپاسگزاریم. لطفا سوالات و نظرات خود را در بخش نظرات با ما به اشتراک بگذارید.
نظرات
ارسال نظر
نام و آدرس ایمیل شما در مرورگر ذخیره نمیگردد و ایمیل شما منتشر نخواهد شد.