وردپرس به عنوان یک سیستم مدیریت محتوا (CMS) پرطرفدار و کاربردی شناخته میشود که وب سایتهای بسیاری از طریق آن طراحی و راه اندازی شدهاند. همانطور که میدانید WordPress یک اسکریپت رایگان و متن باز است که مانند هر نرم افزار و یا سیستم راه اندازی وبلاگ و یا وب سایت در معرض خطر هک شدن و سرقت اطلاعات قرار دارد. به همین جهت وب مسترها همواره به دنبال روشهای مختلفی جهت افزایش امنیت وردپرس هستند تا با بکارگیری آنها بتوانند خطر هک شدن وب سایت خود را تا حد امکان کاهش دهند. جالب است بدانید که گوگل هر روز بیش از 1000 وب سایت را به دلیل نفوذ بدافزارها (Maleware) و هر هفته حدود 5000 وب سایت را نیز به دلیل حملات فیشینگ (Phishing) در لیست سیاه خود قرار میدهد و به نوعی آنها را مسدود میکند. بنابراین افزایش امنیت وردپرس و جلوگیری از هک شدن وب سایتهای مبتنی بر وردپرس یکی از موضوعات مهمی است که باید به آن توجه داشته باشید. تکنیکها و روشهای بسیاری جهت افزایش امنیت وردپرس وجود دارند که با استفاده از آنها میتوانید از سایت خود در برابر حملات بدافزارها و هکرها محافظت نمایید. در ادامه این مطلب با آموزش بالا بردن امنیت وردپرس با شما همراه خواهیم بود و اهمیت افزایش امنیت سایتهای وردپرسی را به طور کامل مورد بررسی قرار میدهیم.
چرا افزایش امنیت وردپرس از اهمیت بالایی برخوردار است؟
شاید گمان کنید که تنها وب سایتهای بزرگ در معرض خطر هک شدن و تخلیه اطلاعات هستند و وب سایتهای کسب و کاری کوچک، هیچگاه مورد توجه هکرها قرار ندارند. در صورتی که چنین نیست و هکرها با دسترسی به برخی اطلاعات شخصی و مهم وب سایتها، کسب درآمد میکنند. بنابراین اهمیتی نمیدهند که وب سایت و یا کسب و کار شما کوچک است یا بزرگ. هک کردن یک وب سایت موجب دسترسی اشخاص غریبه به اطلاعات شخصی شما و در نهایت سواستفاده از آنها میشود. وب سایتهای مبتنی بر وردپرس نیز از این قاعده مستثنی نیستند و همواره در معرض خطر هک شدن قرار دارند. از این رو همیشه باید اقدامات لازم در جهت افزایش امنیت وردپرس را انجام دهید تا از حملات بدافزارها و فیشینگ در امان بمانید.
20 ترفند افزایش امنیت وردپرس
اگر صاحب یک وب سایت وردپرسی هستید و سالها برای کسب اعتبار و جلب اعتماد مشتریان و یا کاربران تلاش کردهاید، حتما باید به فکر افزایش امنیت صفحه خود باشید. برای افزایش امنیت وردپرس تکنیکهای ساده اما کاربردی بسیاری وجود دارند که با اجرای آنها به راحتی میتوانید از وب سایت خود در برابر هکرها محافظت کنید. در این بخش بیست ترفند جهت افزایش امنیت وردپرس را به آموزش میدهیم.
انتخاب یک هاست معتبر و باکیفیت
انتخاب یک هاست (Host) قابل اعتماد، باکیفیت و امن اولین اقدامی است که باید در جهت افزایش امنیت وردپرس خود انجام دهید. بسیاری از هاستها سطح کیفی پایینی دارند و به راحتی توسط هکرها مورد حمله قرار میگیرند. بنابراین پیش از انجام هرگونه اقدام در راستای افزایش امنیت وب سایت وردپرسی خود ابتدا یک شرکت معتبر ارائه دهنده خدمات هاستینگ پیدا کنید. برای خرید هاست به فکر صرفه جویی نباشید زیرا امنیت سایت شما تا حد زیادی در گرو عملکرد بهینه و قوی هاست است و به همین دلیل باید از یک شرکت شناخته شده و معتبر خرید کنید.
محافظت از فایل wp-config.php
محافظت از فایل wp-config.php یکی دیگر از روش های بالا بردن امنیت وردپرس محسوب میشود که باید توجه ویژهای به آن داشته باشید. wp-config.php یکی از مهمترین فایلهای موجود در وردپرس است که اطلاعات حیاتی همچون نام پایگاه داده، نام کاربری و رمز عبور سایت در آن قرار دارند. هکرها از طریق دسترسی به این فایل میتوانند اطلاعات محرمانه و مهم وردپرس شما را بدست آورند و به راحتی آن را هک کنند. برای محافظت از فایل wp-config.php باید آن را از دایرکتوری ریشه به سطوح بالاتر انتقال دهید تا هیچ کسی به جز خودتان امکان دسترسی به آن را نداشته باشد. البته پیش از انجام این کار بهتر است از فایل خود نسخه پشتیبان تهیه کنید.
غیرفعال کردن امکان ویرایش فایل ها و تنظیمات
اگر کاربری به عنوان ادمین به داشبورد وردپرس شما دسترسی داشته باشد، به راحتی میتواند هر فایلی که بخشی از نصب وردپرس است را ویرایش کند که این ویرایش تمامی پلاگینها و تمها را شامل میشود. بنابراین اگر بخش ادیت فایلها و تنظیمات توسط اشخاص دیگر را غیرفعال کنید، هیچکس حتی هکرها نیز نمیتوانند تغییری در آنها ایجاد کنند. برای انجام این کار، آدرس زیر را در انتهای فایل wp-config.php اضافه کنید:
Define (‘DISALLOW_FILE_EDIT’, true);
سطوح دسترسی دایرکتوری ها را به دقت انتخاب کنید
بررسی سطوح دسترسی دایرکتوریهای یکی دیگر از اقدامات مهم جهت افزایش امنیت وردپرس است به خصوص اگر از یک محیط هاستینگ مشترک استفاده میکنید. در این حالت، تغییر دسترسی فایلها و دایرکتوریها، روشی کارآمد جهت افزایش امنیت وب سایت در سطح میزبانی است. برای انجام این کار باید سطح دسترسی دایرکتوری را بر روی عدد 755 و دسترسی فایلها را بر روی عدد 644 تنظیم کنید تا بتوانید از تمامی فایلها، دایرکتوریها و ساب دایرکتوریها به طور جداگانه محافظت کنید.
انتخاب هوشمندانه اطلاعات مربوط به لاگین
انتخاب اصولی و هوشمندانه نام کاربری و رمز عبور دشوار از دیگر روشهای ساده اما کاربردی برای افزایش امنیت وردپرس محسوب میشوند که دسترسی راحت به سایت شما را برای افراد دیگر دشوار میسازد. نام پیش فرض تمامی وب سایتهایی که با وردپرس ساخته میشود «admin» است که باید پس از تکمیل فرآیند ساخت سایت سریعا آن را تغییر دهید. پس از انتخاب نام کاربری جدید، حال باید رمز عبور پیش فرضی که توسط وردپرس پیشنهاد شده است را نیز تغییر دهید. برای انتخاب رمز عبور سعی کنید از ترکیب عدد و حروف (بزرگ و کوچک) استفاده کنید تا پیدا کردن آن دشوار باشد.
استفاده از گزینه احراز هویت دو مرحله ای
یکی دیگر از اقدامات امنیتی که موجب افزایش امنیت وردپرس میشود، فعال سازی گزینه احراز هویت دو مرحلهای (two factor authentication) است. یعنی برای وارد شدن به وب سایت، علاوه بر وارد کردن نام کاربری و رمز عبور باید اطلاعات لاگین تکمیلی دیگری نیز وارد کنید. این اطلاعات میتوانند یک رمز عبور ثانویه و یا پاسخ به یک سوال باشند که خودتان آنها را وارد میکنید و بدین ترتیب یک پوشش امنیتی برای ورود به وب سایت ایجاد میشود. برای انجام این کار میتوانید از افزونههای مختلفی همچون افزونه Google Authenticator-Two Factor Authentication و یا افزونه WP Security Question کمک بگیرید.
استفاده از افزونه های کاربردی
نصب افزونههای کاربردی نیز یکی دیگر از روش های بالا بردن امنیت وردپرس است که به شما کمک میکند بدون دانش کد نویسی بتوانید امنیت سایت خود را افزایش دهید. افزونههای پشتیبان گیر و امنیتی از مهمترین افزونههایی هستند که باید آنها را در وب سایت وردپرسی خود نصب نمایید. به این نکته مهم نیز توجه داشته باشید که تا حد امکان از افزونههای رایگان استفاده نکنید زیرا این افزونهها رمزگذاریهای ضعیفی دارند و به راحتی قابل دسترسی هستند و برخی از آنها نیز میتوانند لینکهای اسپم و کدهای مخرب به وب سایت شما وارد کنند.
برای آشنایی با بهترین افزونه های امنیتی وردپرس رو لینک کلیک کنید.
استفاده از SSL جهت رمزگذاری داده ها
پیاده سازی SSL (Secure Socket Layer) یا اتصال امن نیز یکی دیگر از اقدامات هوشمندانه در جهت افزایش امنیت وردپرس و پنل مدیریتی شما است. SSL دادهها را به صورت امن میان مرورگرهای کاربر و سرور انتقال میدهد و دسترسی هکرها به اطلاعات شما را دشوار میسازد. آدرس وب سایتهایی که با استفاده از SSL پشتیبانی میشوند به صورت https://example.com نمایش داده میشود، در حالی که آدرس وب سایتهای فاقد SSL به صورت http://example.com هستند. معمولا شرکتی که هاست وب سایت خود را از آن خریداری کردهاید، گواهینامه SSL را به صورت رایگان در اختیار شما قرار میدهد. در غیر این صورت باید SSL را از یک شرکت معتبر خریداری و نصب نمایید.
محدود کردن تعداد دفعات تلاش برای ورود به وردپرس
انتخاب نام کاربری و رمز عبور قوی برای افزایش امنیت وردپرس کافی نیست و برای تکمیل کردن لایههای امنیتی وب سایت خود بهتر است تعداد دفعات تلاش برای ورود به وردپرس را نیز محدود نمایید. وب سایتهای وردپرسی به صورت پیش فرض هیچ محدودیتی بابت وارد کردن اطلاعات لاگین ندارند و کاربران میتوانند تلاشهای نامحدودی جهت ورود به وردپرس داشته باشند. اگر تعداد دفعات تلاش برای ورود به وردپرس خود را محدود نکنید، هکرها به راحتی میتوانند اطلاعات لاگین مختلفی را برای هک کردن سایت شما امتحان کنند. اکثر افزونههای امنیتی وردپرس دارای گزینهای برای فعال سازی این قابلیت هستند و نیازی به نصب افزونههای اضافی ندارید. با این حال با نصب افزونه Login LockDown میتوانید این قابلیت را در وردپرس خود فعال کنید.
تغییر پیشوند جداول وردپرسی
اگر وب سایت خود را با سیستم مدیریت محتوای وردپرس راه اندازی کرده باشید پس حتما با پیشوند wp- آشنا هستید. وردپرس به صورت پیش فرض از این پیشوند به عنوان پیشوند تمامی جداول موجود در پایگاه دادههای خود استفاده میکند. برای افزایش امنیت پایگاه دادههای خود در وردپرس باید این پیشوند را تغییر دهید تا از دسترسی هکرها به این اطلاعات مهم جلوگیری نمایید. سعی کنید پیشوندهای پیچیده و سختی برای جداول پایگاه دادههای خود استفاده کنید تا به راحتی قابل حدس نباشند. برای انجام این کار میتوانید از افزونه iThemes Security استفاده کنید.
استفاده از فایروال (Firewall)
استفاده از فایروال یکی دیگر از اقدامات مهم و تاثیرگذار جهت افزایش امنیت وردپرس است که یک ابزار امنیتی بوده و از دسترسی افراد بیگانه به دستگاه شما جلوگیری خواهد کرد. هر فایروال از یک پوشش فیلترینگ جهت فیلتر کردن تمامی دادههای ورودی به سرورها، شبکهها و وب سایتهای شما استفاده میکند و در کنار آن نیز تمامی دادهها را از طریق بررسی فایلها، تجزیه و تحلیل میکند تا سایت شما از حمله هکرها در امان باشد. برای فعال سازی فایروال در وردپرس خود میتوانید از افزونه Ninja Firewall استفاده کنید. این افزونه در واقع یک نرم افزار مبتنی بر وب و یک سیستم فایروال مستقل است که در وب سایت وردپرسی شما نصب میشود و از تمامی فایلها و دادههای ورودی آن محافظت میکند.
تهیه مستمر نسخه پشتیبان از فایل های وب سایت
تهیه مستمر نسخه پشتیبان از فایلهای وب سایت نیز یکی دیگر از روش های بالا بردن امنیت وردپرس است. با انجام این کار میتوانید همیشه یک نسخه کپی از تمامی اطلاعات و فایلهای موجود در وب سایت خود داشته باشید تا اگر مورد حمله هکرها قرار گرفتید، نگرانی بابت از دست دادن پستهای بلاگ، صفحات، نظرات، لینکها و اطلاعات حیاتی خود نداشته باشید. حتی اگر وب سایتتان هک نشود نیز تهیه بک آپ از اطلاعات به شما کمک میکند تا اگر در زمان ایجاد برخی تغییرات در طراحی و اجزای داخلی وب سایت به طور ناگهانی اطلاعات خود را از دست دادید، همیشه یک نسخه کپی از آنها داشته باشید. برای تهیه بک آپ از اطلاعات وردپرس خود میتوانید از افزونه BackUpWordPress و یا BackupBuddy استفاده کنید.
به روزرسانی و استفاده از آخرین نسخه وردپرس
سیستم مدیریت محتوای وردپرس جهت رفع باگهای امنیتی و همچنین افزودن قابلیتهای جدید و کاربردی، دائما در حال به روزرسانی و رونمایی از نسخههای جدید است. استفاده از آخرین نسخه وردپرس یکی دیگر از شیوههای افزایش امنیت آن است که به شما کمک میکند وب سایت خود را همواره به روز و امن نگه دارید و از قابلیتهای جدید آن نیز بهره مند شوید. علاوه بر وردپرس، افزونههایی که در سایت خود نصب کردید نیز باید همواره به روزرسانی شوند تا خطر دسترسی هکرها به وب سایت شما به حداقل برسد.
حذف شماره نسخه وردپرس
یکی دیگر از تکنیکهای افزایش امنیت وردپرس که دسترسی هکرها به وب سایت شما را دشوار میسازد، حذف شماره نسخه وردپرس است که در قسمت که در قسمت پایین داشبورد وب سایت قرار دارد. نکته حائز اهمیت درباره شماره نسخه وردپرس این است که اگر هکرها بدانند که شما در حال حاضر از کدام نسخه وردپرس استفاده میکنید، بسیار راحتتر میتوانند با اجرای ترفندهای مختلف به وب سایت شما دسترسی پیدا کنند. برای حذف و پنهان کردن شماره نسخه وردپرس میتوانید از افزونههای امنیتی قبلی استفاده کنید و یا به صورت عمومیتر (و همچنین حذف شماره نسخه از فیدهای RSS) میتوانید آدرس زیر را به فایل functions.php خود اضافه نمایید:
function wpbeginner_remove_version () { return '' ; } add_filter( 'the_generator', 'wpbeginner_remove_version' ) ;
بررسی ممیزی لاگ (Audit Log)
بررسی ممیزی لاگ یکی دیگر از اقدامات مهمی است که باید به عنوان یک وب مستر در جهت افزایش امنیت وردپرس خود انجام دهید. ممیزی لاگ به معنای ضبط و ثبت تمامی وقایع، رویدادها و فعایتهایی است که توسط کاربران و ادمینهای دیگر سایت انجام میشوند. هنگامی که چندین وب سایت وردپرسی را اداره کنید و یا وب سایت شما در اختیار چندین نویسنده و یا اعضای دیگر است، باید نوع فعالیتها و اقداماتی که در سایت انجام میشوند را به دقت تحت نظر داشته باشید. برخی نویسندگان و یا ادمینهای دیگر وب سایت ممکن است رمز عبور سایت را تغییر دهند و یا اقدام به انجام کارهایی کنند که در حوزه اختیارات آنها قرار ندارند. از این رو با چک کردن و بررسی دقیق قسمت Audit Log میتوانید تمامی فعالیتهای تیم خود را تحت نظر داشته باشید و اطمینان حاصل کنید که ادمینهای دیگر هیچ چیزی را بدون هماهنگی با شما تغییر نمیدهند. برای بررسی فعالیتهای سایر افراد در وب سایت خود میتوانید از افزونه WP Security Audit Log استفاده کنید تا لیست کاملی از تمامی اقدامات آنها در اختیار داشته باشید و آنها را در قالب نوتیفیکیشن و یا ایمیل دریافت نمایید.
استفاده از پسورد منیجر
همه ما میدانیم که هر چند وقت یک بار باید پسورد وب سایت خود را تغییر دهیم و پسوردهای سخت و غیرقابل حدس برای اکانتهای خود انتخاب کنیم. اما گاهی انجام این کار مهم را فراموش میکنیم و وب سایت خود را در معرض خطر هک شدن قرار میهیم. در حالی که تغییر پسورد و انتخاب رمزهای عبور دشوار به عنوان یکی از مهمترین اقدامات امنیتی در جهت افزایش امنیت وردپرس است. در این مواقع میتوانید از ابزارهای کاربردی پسورد منیجر (password manager) استفاده کنید تا این مشکل را برای همیشه برطرف نمایید. این ابزار نه تنها پسوردهای سخت و مطمئنی را برای شما میسازد بلکه آنها را در یک حافظه امن ذخیره میکند و زحمت به خاطر سپردن پسوردهای سخت را از دوش شما برمیدارد.
استفاده از آدرس ایمیل برای ورود به سایت
به صورت پیش فرض برای ورود به وردپرس باید نام کاربری را به همراه رمز عبور وارد کنید. در بخشهای قبلی درباره نحوه انتخاب رمز عبور نکاتی را بررسی کردیم اما برای انتخاب نام کاربری بهتر است به جای استفاده از اسامی ساده، آدرس ایمیل خود را وارد نمایید. زیرا نامهای کاربری ساده به راحتی قابل حدس هستند و از این رو بهتر است به جای نامهای ساده همچون اسم کوچک خودتان از آدرس ایمیل خود استفاده کنید. بدین ترتیب پیش بینی و دسترسی به نام کاربری شما برای هکرها دشوار میشود و همین موضوع موجب افزایش امنیت وردپرس شما خواهد شد.
تنظیم فایل htaccess.
تنظیم فایل htaccess. نیز یکی دیگر از اقدامات موثری است که میتوانید در جهت افزایش امنیت وردپرس خود انجام دهید. فایل htaccess. در پوشه public_html یا پوشه root سرور وب سایتهای مبتنی بر وردپرس قرار دارد و از قابلیتهایی همچون کنترل ریدایرکتها، کنترل نمایش خطاهای Apache، قرار دادن پسورد بر روی پوشههای خاص، تنظیمات کش و Expire Date آن، مسدود کردن یک یا چند IP خاص و غیره برخوردار است. این فایل در واقع سرور شما را پیکربندی میکند و با ایجاد و تنظیم صحیح آن میتوانید امنیت وب سایت خود را افزایش دهید. برای تنظیم فایل htaccess. کدهای مختلفی وجود دارند که با قرار دادن آنها در فایل خود امنیت سایت وردپرسیتان افزایش پیدا خواهد کرد.
انتخاب رمزهای عبور قوی برای پایگاه داده ها
داشتن رمز عبور قوی برای کاربر اصلی پایگاه داده یک ضرورت است زیرا وردپرس از این رمز عبور برای دسترسی به پایگاه داده استفاده میکند. به همین جهت برای انتخاب رمز عبور پایگاه دادهها باید مانند سایر رمزهای عبور خود از حروف بزرگ، کوچک، اعداد و کاراکترهای خاص استفاده کنید. برای انتخاب پسوردهای دشوارتر میتوانید از ابزار Secure Password Generator کمک بگیرید.
تغییر URL ورودی وب سایت وردپرس
تغییر URL ورودی وب سایت وردپرس نیز آخرین ترفند برای افزایش امنیت وردپرس است که انجام آن بسیار ساده بوده و دسترسی هکرها به سایت شما را بسیار دشوار و حتی غیرممکن میسازد. صفحه لاگین وردپرس به صورت پیش فرض از طریق افزودن عباراتی همچون wp login.php و یا wp admin به URL اصلی سایت، قابل دسترسی است. زمانی که هکرها آدرس مستقیم صفحه ورود شما را بدانند، به راحتی میتواند وارد آن شوند. بنابراین با تغییر آن میتوانید از ورود افراد غریبه به وردپرس خود جلوگیری نمایید. برای تغییر URL ورودی وب سایت وردپرسی خود میتوانید از افزونه WPS Hide Login استفاده کنید. کار با این افزونه بسیار ساده است و تنها کافی است URL جدید صفحه ورود خود را در آن وارد کرده و تغییرات نهایی را ذخیره کنید. شما میتوانید URL صفحه خود را با نام دلخواهتان تغییر دهید و محدودیتی در انتخاب نخواهید داشت.
با اجرا و پیاده سازی این 20 ترفند کاربردی به راحتی میتوانید امنیت وب سایت وردپرسی خود را افزایش دهید و دسترسی افراد غریبه به صفحهتان را تقریبا غیر ممکن سازید. هرچه نسبت به افزایش امنیت وردپرس خود حساستر و دقیقتر باشید، دسترسی و ورود هکرها به آن را دشوارتر میسازید. بنابراین اگر وب سایت خود را با استفاده از سیستم مدیریت محتوای وردپرس راه اندازی کردهاید، حتما ترفندها و روش های بالا بردن امنیت وردپرس که در این مطلب به آنها پرداختیم را در وب سایت خود اجرا کنید.
منبع: