کد: 10955
بازدید: 89

فهرست موضوعی مطالب

معرفی بهترین نکات و روش‌ها برای بالابردن امنیت وردپرس

امنیت وردپرس از جمله مواردی است که برای صاحب هر وب سایت اهمیت بسیار زیادی دارد. هر روز حدود 10،000 وب سایت را به دلیل داشتن بدافزار و هر هفته حدود 50،000 وب سایت را برای داشتن فیشینگ در لیست سیاه گوگل قرار می‌گیرند.

اگر بالابردن امنیت وب سایتتان برایتان مهم است، باید به بهترین روش‌های افزایش امنیت وردپرس توجه کنید. در این راهنما، ما با ارائه تمام نکات امنیتی وردپرس به شما کمک می‌کنیم تا از وب سایت خود در برابر هکرها و بدافزارها محافظت کنید.

در حالی که نرم‌افزار هسته وردپرس بسیار ایمن است و به طور مرتب توسط صدها برنامه نویس مورد بازرسی قرار می‌گیرد، اما باز هم کارهای زیادی برای ایمن‌سازی سایت و امنیت وردپرس شما وجود دارد.

در WPBeginner، اعتقاد ما این است که امنیت وردپرس فقط مربوط به رفع خطر و ریسک نیست، بلکه شامل کاهش خطر نیز می‌شود. شما به عنوان یک صاحب وب‌سایت، اقدامات زیادی را برای بهبود امنیت وب سایت خود باید انجام دهید.(حتی اگر در این زمینه تخصص و دانش فنی ندارید.)

ما چندین راه برای افزایش امنیت وردپرس معرفی می‌کنیم که بهتر است برای محافظت از وب سایت خود در برابر آسیب پذیری‌های امنیتی از آن‌ها استفاده کنید.

برای راحتی شما، ما یک فهرست محتوا ایجاد کرده‌ایم که به شما کمک می‌کند به راحتی محتوای “راهنمای کامل افزایش امنیت وردپرس” را مطالعه کنید.

برای آموزش و ارتقا امنیت وردپرس آماده‌اید؟ بیاید شروع کنیم

دلیل اهمیت امنیت وردپرس چیست؟

یک سایت هک شده وردپرس می‌تواند صدمات جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می‌توانند اطلاعات کاربر و گذرواژه‌ها را سرقت کنند، نرم‌افزارهای مخرب را نصب کنند و حتی می‌توانند بدافزار را در میان کاربران توزیع کنند.

بدتر از همه، هکرها ممکن است شما را مجبور به پرداخت باج کنند تا مجددا به شما اجازه دسترسی به وب سایتتان را بدهند.

در مارس 2016، گوگل گزارش داد که به بیش از 50 میلیون کاربر که در حال بازدید از وب‌سایت هستند، هشداری مبنی بر اینکه ممکن است اطلاعات شما دزدیده شوند و یا سایت حاوی بدافزار باشد داده می‌شود.

به علاوه، گوگل حدود 20،000 وب سایت را به دلیل وجود بدافزارها و حدود 50،000 برای فیشینگ در لیست سیاه قرار می‌دهد.

اگر وب‌سایت شما یک وب‌سایت تجاری است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید.

مشابه با مسئولیتی که صاحبان مشاغل برای حفاظت از ساختمان فروشگاه فیزیکی خود دارند، شما نیز به عنوان یک صاحب کسب و کار آنلاین، وظیفه دارید از وب سایت تجاری خود در مقابل هرگونه خطری محافظت کنید و همواره به امنیت وردپرس توجه داشته باشید.

وردپرس را به روز نگه دارید

وردپرس یک نرم افزار منبع باز است که بطور مرتب تعمیر و به روزرسانی می‌شود. به طور پیش‌فرض، وردپرس به طور خودکار بروزرسانی‌های جزئی را نصب می‌کند. اما برای نسخه‌های اصلی، باید به روزرسانی را به صورت دستی فعال کنید.

وردپرس همچنین دارای هزاران افزونه و قالب است که می‌توانید در وب سایت خود نصب و راه اندازی کنید. این افزونه‌ها و قالب‌ها توسط توسعه دهندگان آ‌ها تعمیر و نگهداری می‌شوند که مرتباً به روز رسانی‌ها را نیز منتشر می‌کنند.

این به روزرسانی‌ها برای امنیت وردپرس و ثبات سایت شما بسیار مهم هستند. شما باید اطمینان حاصل کنید که هسته، افزونه ها و قالب‌های وردپرس شما به روز هستند.

گذرواژه‌های قوی و مجوزهای کاربر برای ارتقا امنیت وردپرس

متداول‌ترین روش‌ها برای هک‌کردن وردپرس با استفاده از سرقت کلمه عبور اتفاق می‌افتند. با استفاده از رمزهای عبور قوی‌تر که برای وب سایت شما منحصربه‌فرد هستند، سرقت کلمه عبور را برای هکرها دشوار کنید. نه تنها برای وب سایت وردپرس، بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می‌کنند، باید از رمز عبور قوی استفاده کنید.

بسیاری از مبتدیان دوست ندارند برای امنیت وردپرس از رمزهای عبور قوی استفاده کنند زیرا به خاطر سپردن آنها دشوار است. نکته مهم این است که دیگر لازم نیست رمزهای عبور را به خاطر بسپارید. می‌توانید از یک پلتفرم برای ذخیره رمز عبور استفاده کنید. راهنمای ما در مورد نحوه مدیریت رمزهای عبور وردپرس را ببینید.

راه دیگر برای کاهش خطر هک و افزایش امنیت وردپرس این است که به کسی اجازه ندهید که به حساب مدیر وردپرس دسترسی پیدا کند، مگر اینکه کاملاً مجبور به این کار شوید. اگر یک تیم بزرگ دارید یا نویسندگان به صورت مهمان وارد سایت شما می‌شوند، پیشنهاد می‌شود قبل از اضافه کردن حساب کاربری و نویسندگان جدید در سایت وردپرس، در مورد نقش‌ها و قابلیت‌های کاربر در وردپرس مطالعه کنید.

نقش میزبانی وب در امنیت وردپرس

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت وردپرس ایفا می‌کند. یک ارائه دهنده میزبانی خوب مشترک مانند Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر هرگونه تهدیدی انجام می‌دهند.

در اینجا نحوه عملکرد یک شرکت میزبانی وب خوب برای محافظت از وب سایت‌ها و داده‌های شما ارائه شده است.

آنها به منظور پیداکردن فعالیت‌های مشکوک و ارتقا امنیت وردپرس به طور مداوم شبکه خود را تحت نظارت دارند.

همه شرکت‌های میزبان خوب ابزارهایی در اختیار دارند تا از حملات DDOS در مقیاس بزرگ جلوگیری کنند.

آن‌ها نرم‌افزار و سخت‌افزار سرور خود را به روز می‌کنند تا از ورود هکرها با استفاده از نقاط آسیب‌پذیر امنیتی که در نسخه‌های قدیمی شناخته شده‌اند جلوگیری کنند.

همچنین آن‌ها شامل برنامه‌های پشتیبان‌گیری و بازیابی هستند که در صورت بروز مشکل از اطلاعات شما حفاظت می‌کنند و یا در صورت لزوم بازگردانی می‌کنند.

در یک برنامه میزبانی مشترک، منابع سرور با بسیاری از مشتریان دیگر به اشتراک گذاشته می‌شوند. این موضوع باعث می‌شود خطر آلودگی بین سایت‌ها وجود داشته باشد به این صورت که هکر بتواند از یک سایت همسایه برای حمله به وب‌سایت شما استفاده کند و امنیت وردپرس به خطر بیفتد.

استفاده از یک سرویس میزبانی وردپرس مدیریت شده، بستر ایمن‌تری برای وب سایت شما فراهم می‌کند. شرکت‌های میزبان وردپرس مدیریت شده برای محافظت از وب‌سایت شما پشتیبان‌گیری خودکار، به روزرسانی‌های خودکار وردپرس و تنظیمات امنیتی پیشرفته‌تر ارائه می‌دهند.

ما WPEngine را به عنوان یک ارائه دهنده میزبانی وردپرس که بسیار مورد علاقه خودمان است، به شما توصیه می‌کنیم. آنها همچنین محبوب‌ترین صنعت هستند.

امنیت وردپرس با مراحل آسان (بدون برنامه نویسی)

می‌دانیم که بهبود امنیت وردپرس می‌تواند یک فکر وحشتناک برای مبتدیان باشد. به خصوص اگر اهل فن نیستید و تخصصی در این زمینه ندارید. اما باید بدانید که شما تنها نیستید.

ما به هزاران کاربر وردپرس در بهبود امنیت وردپرس کمک کرده‌ایم.

ما به شما نشان می‌دهیم كه چگونه می‌توانید امنیت وردپرس خود را تنها با چند کلیک (بدون نیاز به دانش كدنویسی) بهبود ببخشید.

اگر می‌توانید گزینه‌ای را انتخاب و کلیک کنید، پس می‌توانید این کار را انجام دهید!

پشتیبان‌گیری از وب سایت وردپرس

تهیه نسخه پشتیبان اولین دفاع شما در برابر هرگونه حمله به وردپرس و ارتقا امنیت وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب‌سایت‌های دولتی می‌توانند هک شوند، پس شما نیز می‌توانید.

پشتیبان‌گیری به شما امکان می‌دهد تا در صورت بروز اتفاق بد، سایت وردپرس خود را به سرعت بازیابی کنید.

افزونه‌های پشتیبان‌گیری رایگان و پولی برای وردپرس وجود دارد که می‌توانید از آنها برای امنیت وردپرس استفاده کنید. مهمترین نکته‌ای که هنگام تهیه نسخه پشتیبان باید به آن توجه کنید، این است که شما باید بطور مرتب نسخه پشتیبان کامل سایت در محلی به جز حساب میزبانی خود ذخیره کنید.

توصیه می‌کنیم نسخه پشتیبان را روی سرویس ابری مانند Amazon ، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.

تعداد دفعاتی که نسخه پشتیبان تهیه می‌شود بر اساس تعداد دفعات بروزرسانی وب‌سایت، متفاوت است و پشتیبان‌گیری ایده‌آل یک بار در روز می‌باشد.

خوشبختانه با استفاده از افزونه‌هایی مانند VaultPress یا UpdraftPlus می‌توان به راحتی این کار را انجام داد. این دو افزونه هر دو قابل اعتماد هستند و از همه مهمتر استفاده از آ‌نها بسیار آسان است. (هیچ کد نویسی لازم نیست).

بهترین افزونه‌های امنیت وردپرس

بعد از تهیه نسخه پشتیبان، کار بعدی که برای امنیت وردپرس باید انجام دهیم، راه‌اندازی سیستم حسابرسی و نظارت است که همه اتفاقاتی را که در وب سایت شما رخ می‌دهد را نظارت و پیگیری می‌کند.

این مورد شامل نظارت بر یکپارچگی فایل‌ها، تلاش برای ورود به سیستم، اسکن نرم افزارهای مخرب و غیره است.

خوشبختانه، این نظارت‌ها را می توان با بهترین افزونه امنیتی وردپرس، یعنی اسکنر Sucuri انجام داد.

شما باید افزونه Sucuri Security رایگان را نصب و فعال کنید. برای اطلاعات بیشتر، لطفاً راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.

پس از فعال‌سازی، باید به منوی Sucuri بروید. اولین کاری که افزونه از شما می‌خواهد انجام دهید تولید یک کلید API رایگان است. این کار ورود به سیستم حسابرسی، بررسی صحت‌سنجی، هشدارهای ایمیل و سایر ویژگی‌های مهم را امکان پذیر می‌سازد.

نکته بعدی که باید انجام دهید این است که روی گزینه ” Hardening” از فهرست تنظیمات کلیک کنید. سپس بر روی دکمه “Apply Hardening” کلیک کنید.

این گزینه‌ها به شما کمک می‌کنند بخش‌های اصلی که هکرها در حملات خود از آن‌ها استفاده می‌کنند، قفل کنید. تنها گزینه سخت‌افزاری که باعث ارتقا سطح امنیت وردپرس می‌شود، فایروال برنامه وب است که ما در مرحله بعدی توضیح خواهیم داد، بنابراین فعلاً از آن می‌گذریم.

ما همچنین در ادامه این مقاله بسیاری از گزینه‌های “Hardening” را  برای افزایش امنیت وردپرس پوشش می‌دهیم. این مورد برای افرادی است که قصد دارند این کار را بدون استفاده از افزونه یا مواردی که به مراحل اضافی مانند “تغییر پیشوند پایگاه داده” یا “تغییر نام کاربری Admin” نیاز دارند، ارائه می‌دهیم.

بعد از فعال کردن hardening در این قسمت، تنظیمات پیش‌فرض افزونه برای اکثر وب سایت‌ها به اندازه کافی مناسب است و نیازی به تغییر ندارد. تنها چیزی که توصیه می‌کنیم تنظیمات آن را سفارشی کنید، “هشدارهای ایمیل” است.

تنظیمات پیش‌فرض هشدار فقط هنگام دریافت ایمیل در صندوق ورودی شما هشدار می‌دهند. توصیه می‌کنیم دریافت هشدارهایی را برای اقدامات کلیدی مانند تغییر در افزونه‌ها، ثبت نام کاربر جدید و غیره نیز فعال کنید. می‌توانید با مراجعه به تنظیمات Sucuri »هشدارها را پیکربندی کنید.

این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین در تمام زبانه‌ها و تنظیمات جستجو کنید تا همه بررسی‌های امنیتی مانند اسکن بدافزار، گزارش‌های حسابرسی، ردیابی Failed Login Attempt و غیره را فعال کنید.

فعال کردن فایروال برنامه وب (WAF) برای افزایش امنیت وردپرس

آسان‌ترین راه برای محافظت از سایت خود و اطمینان خاطر در مورد امنیت وردپرس، استفاده از فایروال برنامه وب (WAF) است.

فایروال وب سایت قبل از رسیدن به وب سایت شما، کلیه ترافیک‌های مخرب را مسدود می‌کند.

فایروال وب سایت سطح DNS – این فایروال ترافیک وب سایت شما را از طریق سرورهای پروکسی cloud خود هدایت می‌کند. این مورد فقط ترافیک اصلی را به سرور وب شما ارسال می‌کنند.

Firewall سطح برنامه کاربردی – این در مورد افزونه‌های فایروال پس از رسیدن به سرور شما است، اما قبل از بارگیری بیشتر اسکریپت‌های وردپرس، میزان ترافیک را بررسی می‌کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

برای کسب اطلاعات بیشتر، به لیست راهنمای ما از بهترین افزونه‌های فایروال برای امنیت وردپرس مراجعه کنید.

ما از Sucuri به عنوان بهترین افزونه فایروال برنامه وب برای امنیت وردپرس استفاده می‌کنیم و توصیه می‌کنیم شما نیز از آن استفاده کنید. می‌توانید در مورد این که Sucuri چگونه به ما در جلوگیری از 450،000 حمله وردپرس در یک ماه کمک کرد جستجو کنید.

بهترین بخش در مورد دیوار آتش Sucuri مسدود کردن نرم افزارهای مخرب و ضمانت حذف لیست سیاه است. اصولاً آن‌ها تضمین می‌کنند اگر زمانی تحت نظر آنها هک شوید، وب سایت شما را تعمیر می‌کنند (مهم نیست چند صفحه دارید).

این یک ضمانت برای امنیت وردپرس بسیار مهم و ارزشمند است زیرا تعمیر وب سایت‌های هک شده گران است. کارشناسان امنیتی به طور معمول 250 دلار در هر ساعت دریافت می‌کنند. در حالی که می‌توانید کل پشته امنیتی Sucuri را با 199 دلار در سال دریافت کنید.

امنیت وردپرس خود را با فایروال Sucuri بهبود بخشید

Sucuri تنها ارائه دهنده سطح فایروال سطح DNS نیست. رقیب محبوب دیگر Cloudflare است. مقایسه ما را بینSucuri  و  Cloudflare (جوانب مثبت و منفی) را ببینید.

سایت وردپرس خود را به SSL / HTTPS منتقل کنید

SSL (Secure Sockets Layer) پروتکلی است که انتقال داده‌ها بین مرورگر وب سایت و کاربران خود را رمزگذاری می‌کند. این رمزگذاری باعث می‌شود که هیچ شخص ثالثی نتواند هنگام انتقال اطلاعات ان‌ها را سرقت کند.

پس از فعال کردن SSL، وب سایت شما به جای HTTP از HTTPS استفاده می‌کند، همچنین یک علامت قفل در کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد.

گواهینامه‌های SSL به طور معمول توسط مقامات صدور گواهینامه صادر می‌شوند و قیمت آنها هر سال از 80 دلار شروع و به صدها دلار می‌رسد. با توجه به هزینه‌های بالا، بیشتر صاحبان وب سایت تصمیم به ادامه استفاده از پروتکل ناامن گرفتند.

برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت که گواهی‌های SSL رایگان را به صاحبان وب سایت‌ها ارائه دهد. پروژه آنها توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکت‌های دیگر پشتیبانی می‌شود.

اکنون، استفاده از SSL برای همه وب سایت‌های وردپرس راحت‌تر است. در حال حاضر بسیاری از شرکت‌های میزبان گواهی SSL رایگان برای وب سایت وردپرس شما ارائه می‌دهند.

اگر شرکت میزبان شما این گواهی را ارائه نمی‌دهد، می‌توانید یکی از Domain.com خریداری کنید. آنها بهترین و مطمئن‌ترین شرکت فروش گواهی SSL در بازار هستند. این گواهی‌نامه با ضمانت امنیتی 10 هزار دلاری و یک مهر و موم امنیتی TrustLogo ارائه می‌شود.

امنیت وردپرس برای کاربران DIY

اگر تمام مواردی که تاکنون به آن اشاره کردیم انجام می‌دهید، پس در حال حاضر  امنیت وردپرس شما در وضعیت بسیار خوبی است.

اما مثل همیشه موارد دیگری وجود دارد که می‌توانید امنیت وردپرس خود را قوی‌تر کنید.

برخی از این مراحل ممکن است نیاز به دانش برنامه‌نویسی داشته باشد.

نام کاربری پیش فرض “Admin” را تغییر دهید

در قدیم، نام کاربری پیش فرض وردپرس “Admin” بود. از آنجا که نام‌های کاربری نیمی از اعتبار ورود را تشکیل می‌دهند، این امر کار هکرها را برای انجام حملات بی رحمانه آسان‌تر می‌کند.

خوشبختانه، وردپرس از آن زمان این مسئله را تغییر داده و اکنون از شما می‌خواهد برای امنیت وردپرس در هنگام نصب، نام كاربری دلخواه خود را انتخاب كنید.

با این وجود برخی از نصب کننده‌های وردپرس، هنوز نام کاربری پیش فرض مدیر را روی “Admin” تنظیم می‌کنند.

از آنجا که وردپرس به شما اجازه نمی‌دهد نام‌های کاربری را به طور پیش‌فرض تغییر دهید، سه روش وجود دارد که می‌توانید برای تغییر نام کاربری از آن‌ها استفاده کنید.

  • یک مدیر جدید با نام کاربری جدید ایجاد کرده و کاربر قدیمی را حذف کنید.
  • از افزونه Username Changer استفاده کنید
  • نام کاربری را در phpMyAdmin به روز کنید

ما در مورد هر سه این موارد در راهنمای مفصل خود در مورد چگونگی تغییر صحیح نام کاربری وردپرس (گام به گام) توضیح داده‌ایم.

توجه داشته باشید که ما در مورد نام کاربری “Admin” صحبت می‌کنیم، نه نقش مدیر.

ویرایش فایل را غیرفعال کنید

وردپرس از یک ویرایشگر کد داخلی برخوردار است که به شما امکان می‌دهد قالب و افزونه‌های خود را درست از ناحیه سرور وردپرس خود ویرایش کنید. این کار کاملا اشتباه است، این ویژگی می‌تواند یک خطر برای امنیت وردپرس باشد به همین دلیل توصیه می‌کنیم آن را خاموش کنید.

شما می‌توانید با افزودن کد زیر در پرونده wp-config.php خود به راحتی این کار را انجام دهید.

1

2

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

روش دیگر، شما می‌توانید با استفاده از ویژگی Hardening در افزونه Sucuri رایگان که در بالا به آن اشاره کردیم، این کار را به راحتی با یک کلیک انجام دهید و امنیت وردپرس خود را ارتقا دهید.

غیرفعال کردن پرونده پی‌اچ‌پی در برخی از راهنماهای وردپرس

راه دیگر برای سخت‌تر کردن امنیت وردپرس شما غیرفعال کردن اجرای پرونده PHP در دایرکتوری‌هایی است که در آن نیازی به مواردی نظیر / wp-content / upload / دارند.

می‌توانید با باز کردن ویرایشگر متنی مانند Notepad این کار را انجام دهید و این کد را به آن اضافه کنید:

1

2

3

<Files *.php>

deny from all

</Files>

در مرحله بعد، شما باید این فایل را به عنوان .htaccess ذخیره کرده و آن‌ را با استفاده از یک سرویس دهنده FTP در پوشه / wp-content / upload /  در وب سایت خود بارگذاری کنید.

برای توضیح بیشتر، به راهنمای ما در مورد غیرفعال کردن اجرای PHP در فهرست‌های خاص وردپرس مراجعه کنید

روش دیگر برای امنیت وردپرس این است که، شما می‌توانید با استفاده از ویژگی Hardening در افزونه Sucuri رایگان که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

تلاش برای ورود به سیستم را محدود کنید

به طور پیش فرض، وردپرس به کاربران اجازه می‌دهد تا به هر تعدادی که می‌خواهند نام کاربری و پسورد مختلف را برای ورود به سیستم امتحان کنند. این امر باعث می‌شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیب‌های مختلف سعی در به دست آوردن رمز عبور‌ها دارند.

با محدود کردن تلاش‌های ناموفق برای ورود کاربر می‌توانید به راحتی از این کار جلوگیری کنید و امنیت وردپرس را ارتقا دهید. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می‌کنید، به طور خودکار این کار انجام می‌شود.

اما اگر تنظیم فایروال را ندارید، مراحل زیر را ادامه دهید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید. برای اطلاعات بیشتر، به راهنمای مرحله به مرحله ما درباره نحوه نصب افزونه وردپرس مراجعه کنید.

پس از فعال سازی، برای تنظیم افزونه به صفحه تنظیمات LockDown مراجعه کنید.

برای دستورالعمل‌های دقیق، به راهنمای ما در مورد چگونگی محدود کردن تلاش‌های ورود به سیستم برای امنیت وردپرس را مطالعه کنید.

تأیید هویت دو مرحله‌ای را برای افزایش امنیت وردپرس اضافه کنید

تکنیک احراز هویت دو مرحله‌ای کاربران را مجبور می‌کند تا با استفاده از یک روش تأیید اعتبار دو مرحله ای وارد سیستم شوند. مورد اول نام کاربری و رمز عبور است و مرحله دوم نیاز به تأیید اعتبار با استفاده از یک دستگاه یا برنامه جداگانه دارد.

اکثر وب سایت‌های آنلاین برتر مانند Google ، Facebook ، Twitter به شما امکان می‌دهند تا این مورد را برای حساب‌های خود فعال کنید. همچنین می‌توانید همین کارکرد را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی، باید روی لینک “تایید دو مرحله‌ای” در نوار کناری مدیر وردپرس کلیک کنید.

در مرحله بعد، باید یک برنامه تأیید کننده را بر روی تلفن خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator ، Authy و LastPass Authenticator در دسترس است.

توصیه می‌کنیم برای امنیت وردپرس از LastPass Authenticator یا Authy استفاده کنید زیرا هر دوی آنها به شما امکان تهیه نسخه پشتیبان از حساب‌های خود در ابر را می‌دهند. این مورد هنگام از بین رفتن، ریست شدن تلفن یا خرید یک تلفن جدید بسیار مفید است. همه ورود به حساب‌های شما به راحتی بازیابی می‌شود.

ما برای آموزش این کار برای امنیت وردپرس از LastPass Authenticator استفاده خواهیم کرد. با این حال، دستورالعمل برای همه برنامه‌ها مشابه است. برنامه تأیید اعتبار خود را باز کنید و سپس بر روی دکمه Add کلیک کنید.

از شما سؤال می‌شود که آیا می‌خواهید یک سایت را به صورت دستی اسکن کنید یا می‌خواهید از اسکن بارکد استفاده کنید. گزینه بارکد اسکن را انتخاب کرده و سپس دوربین تلفن خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

این تمام کاری است که شما باید انجام دهید، برنامه تأیید اعتبار شما اکنون آن را ذخیره می‌کند. بار دیگر که قصد دارید به وب سایت خود وارد شوید، پس از وارد کردن رمز عبور، از شما کد auth دو مرحله‌ای خواسته می‌شود.

کافیست برنامه تأیید کننده را بر روی تلفن خود باز کرده و کدی را که در آن مشاهده می‌کنید وارد کنید.

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند همه جداول در پایگاه داده وردپرس استفاده می‌کند. اگر سایت وردپرس شما از پیشوند پیش‌فرض پایگاه داده استفاده می‌کند، در نتیجه هکرها به راحتی نام جداول شما را به دست می‌آورند. به همین دلیل توصیه می‌کنیم آن را تغییر دهید.

می‌توانید با دنبال کردن آموزش گام به گام ما در مورد نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت وردپرس، پیشوند پایگاه داده خود را تغییر دهید.

توجه: اگر این کار به درستی انجام نشود، سایت شما را آسیب می‌بیند. اگر از مهارت خود در برنامه نویسی مطمئن هستید از این راه برای امنیت وردپرس استفاده کنید.

استفاده رمز عبور برای ناحیه مدیر وردپرس و صفحه ورود

به طور معمول، هکرها می‌توانند پوشه wp-admin و صفحه ورود به سیستم را بدون محدودیت درخواست کنند. این مورد به آنها اجازه می‌دهد ترفندهای هککردن خود را امتحان کنند یا حملات DDoS را انجام دهند.

می‌توانید با استفاده از رمز عبور اضافی در سمت سرور، به طور موثری درخواست‌ها را مسدود کنید و امنیت وردپرس را ارتقا دهید.

دستورالعمل‌های گام به گام ما را در مورد چگونگی محافظت از فهرست دایرکتوری مدیر وردپرس (wp-admin) خود با استفاده از رمز عبور را دنبال کنید.

غیرفعال کردن فهرست بندی و مرور فهرست

هکرها می‌توانند از مرورگر دایرکتوری استفاده کنند تا متوجه شوند که آیا پرونده‌ای با آسیب پذیری‌های شناخته شده دارید یا نه، بنابراین می‌توانند از این فایلها برای دسترسی استفاده کنند و امنیت وردپرس شما را به خطر بیندازند.

سایر افراد می‌توانند از طریق فهرست‌های دیگر برای جستجو فایل‌های خود اقدام كنند، تصاویر را كپی كنند، ساختار دایرکتوری خود را پیدا کنند و سایر اطلاعات را پیدا کنند. به همین دلیل برای امنیت وردپرس بسیار توصیه می‌شود که فهرست بندی و مرور فهرست را خاموش کنید.

باید با استفاده از مدیر پرونده FTP یا cPanel به وب سایت خود وصل شوید. بعد، فایل .htaccess را در فهرست اصلی وب سایت خود قرار دهید. اگر نمی‌توانید آنجا را ببینید، به راهنمای ما مراجعه کنید تا متوجه شوید که چرا نمی توانید پرونده .htaccess را در وردپرس مشاهده کنید.

پس از آن، شما باید خط زیر را در انتهای پرونده .htaccess اضافه کنید:

گزینه‌ها -Indexes

فراموش نکنید که فایل .htaccess را به سایت خود ذخیره و بارگذاری کنید. برای اطلاعات بیشتر در مورد این موضوع، به مقاله ما در مورد غیرفعال کردن مرور دایرکتوری در وردپرس مراجعه کنید.

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند.

به دلیل ماهیت قدرتمند خود، XML-RPC می‌تواند حملات بی رحمانه را به میزان قابل توجهی تقویت کند و امنیت وردپرس را به خطر بیندازد.

برای مثال، اگر یک هکر می‌خواست 500 رمز عبور مختلف را در وب سایت شما امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم ایجاد کند که توسط پلاگین قفل ورود به سیستم گرفتار و مسدود می‌شود.

اما با XML-RPC ، یک هکر می‌تواند از تابع system.multicall استفاده کند تا هزاران رمز عبور را با گفتن 20 یا 50 درخواست امتحان کند.

به همین دلیل اگر از XML-RPC استفاده می‌کنید، برای ارتقا امنیت وردپرس توصیه می‌کنیم آن را غیرفعال کنید.

3 روش برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در آموزش گام به گام نحوه غیرفعال کردن XML-RPC در وردپرس قرار داده‌ایم.

نکته: روش .htaccess بهترین روش است زیرا کمترین منابع را مصرف می‌کند.

اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می‌کنید، می‌توانید از طریق این فایروال اقدام به مراقبت و ارتقا امنیت وردپرس خود کنید.

به طور خودکار کاربران بیکار را در وردپرس خارج کنید.

گاهی اوقات کاربران وارد حساب کاربری خود شده و قبل از بستن آن از سیستم خارج می‌شوند، و این یک خطر امنیتی است. شخصی می‌تواند این جلسه را ربوده، رمزهای عبور را تغییر داده یا در حساب کاربری تغییراتی ایجاد کند.

به همین دلیل است که بسیاری از سایت‌های بانکی و مالی به صورت خودکار از یک حساب کاربری غیرفعال خارج می‌شوند. شما می‌توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.

شما نیاز به نصب و فعال سازی افزونه Inactive Logout دارید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه به صفحه تنظیمات »صفحه خروج غیرفعال بروید.

به سادگی مدت زمان را تعیین کرده و یک پیام خروج را اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود، روی دکمه ذخیره تغییرات کلیک کنید.

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

اضافه کردن یک سؤال امنیتی در صفحه ورود به سیستم وردپرس، دسترسی غیرمجاز را برای هکرها دشوارتر می‌کند و امنیت وردپرس را بالا می‌برد.

می‌توانید با نصب افزونه WP Security Questions سوالات امنیتی را اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به صفحه تنظیمات »صفحه سوالات امنیتی بروید.

برای راهنمایی‌های دقیق تر، به آموزش ما در مورد چگونگی اضافه کردن سؤالات امنیتی در صفحه ورود به سیستم وردپرس مراجعه کنید.

اسکن وردپرس برای تروجان و آسیب پذیری برای افزایش امنیت وردپرس

اگر یک افزونه امنیت وردپرس نصب کرده اید، ممکن است آن افزونه‌ها بطور معمول از بدافزارها و علائم نقض امنیتی استفاده کنند.

اما اگر افت ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو را مشاهده کردید، یک اسکن را به صورت دستی انجام دهید. می‌توانید از افزونه امنیتی وردپرس خود استفاده کنید، یا از یکی از این اسکنرهای مخرب و امنیتی استفاده کنید.

اجرای این اسکن‌های آنلاین کاملاً راحت است، شما فقط URLهای وب سایت خود را وارد می‌کنید و خزنده‌های آنها از طریق وب سایت خود به جستجوی کد‌های مخرب شناخته شده و کدهای مخرب می‌روند.

حال به خاطر داشته باشید که بیشتر اسکنرهای امنیتی وردپرس فقط می‌توانند وب سایت شما را اسکن کنند. آنها نمی‌توانند بدافزار را حذف کرده یا سایت هک شده وردپرس را پاک کنند.

این نکته را به بخش بعدی می‌رساند، پاکسازی بدافزارها و سایت‌های هک شده وردپرس.

بازسازی و رفع ایرادات سایت وردپرس هک شده

بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان‌گیری و امنیت وردپرس را درک نمی‌کنند.

بازسازی سایت وردپرس می‌تواند بسیار دشوار و وقت‌گیر باشد. اولین توصیه ما برای افزایش امنیت وردپرس این است که به یک متخصص اجازه دهید تا از آن مراقبت کند.

هکرها در سایت‌های آسیب دیده پشتیبان نصب می‌کنند و اگر این پشتیبان‌ها به درستی حذف نشوند، احتمالاً وب سایت شما دوباره هک می‌شود.

اجازه دادن به یک شرکت امنیتی حرفه‌ای مانند Sucuri برای تعمیر وب سایت شما، استفاده مجدد از سایت شما را امن می‌کند. همچنین از شما در برابر هرگونه حمله آینده محافظت می‌کند.

برای کاربران پرماجرا و DIY، ما راهنمای گام به گام در مورد رفع یک سایت هک شده وردپرس را گردآوری کرده ایم.

راهنمای کامل امنیت وردپرس – گام به گام (۲۰۱۹)
0 از 0 رای