شاید فکر کنید هک شدن سایت اتفاقی است که فقط برای سایت های بزرگ رخ میدهد و یک سایت شخصی یا شرکتی کوچک هیچگاه مورد هدف هکرها قرار نمیگیرد. اگر اینطور است کاملا در اشتباهید؛ چرا که طبق آمارهای ارائه شده، بسیاری از سایت های شخصی و کوچک نیز هک شده و گاهی این نفوذ به شکلی است که صاحب سایت تا مدت ها از آن بی اطلاع بوده و هکر برای اهداف مختلفی از سایت قربانی سوءاستفاده میکند. امنیت وردپرس موضوعی است که از اهمیت زیادی برای هر صاحب وبسایتی برخوردار است. گوگل هر روز در حدود 10،000+ وب سایت را برای بدافزار و حدود 50،000 وب سایت را در هر هفته در لیست سیاه قرار می دهد. اگر میخواهید برای افزایش امنیت وردپرس خود اقدامی جدی انجام دهید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید.
در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعه دهندگان به طور منظم کنترل میشود، اما کارهای زیادی را میتوان برای ایمن نگه داشتن یک سایت وردپرسی انجام داد. شرکت ها و افراد زیادی به صورت تخصصی، در حوزه خدمات امنیت برای سیستم های وردپرسی فعالیت میکنند. امنیت تنها به معنای رفع خطر کردن نیست بلکه در مورد کاهش خطر است. به عنوان یک مالک وب سایت، موارد زیادی وجود دارد که می توانید برای بهبود و افزایش امنیت سایت خود انجام دهید و ما تعدادی از آن ها را در این مقاله بیان می کنیم.
امنیت وردپرس چیست؟
امنیت وردپرس شاخصی است که به امن بودن سایت وردپرسی از لحاظ حفاظت از اطلاعات سایت و جلوگیری از هک و نفوذ اشاره دارد. در بحث امنیت وردپرس علاوه بر پارامترهای فنی و تکنیکال مانند کدها و افزونه های نصب شده، امن بودن سرویس هاستی که استفاده شده است و تست های نفوذ پذیری قالب و… رعایت برخی نکات از سمت مدیر سایت نیز زیر ذره بین قرار میگیرد که در ادامه تک تک آنها را معرفی می کنیم.
برای سهولت کار، ما یک فهرست از موارد امنیتی وردپرس ایجاد کرده ایم که به شما کمک می کند تا به راحتی از طریق راهنمای امنیتی وردپرس خطرات مربوط به وب سایت خود را رفع کنید.
چک لیست افزایش امنیت وردپرس
شاید تا به حال از خود سوال کرده باشید چرا امنیت وردپرس مهم است؟ در ادامه یک چک لیست برای شما آماده کردهایم که با استفاده از آن میتوانید امنیت وردپرس خود را تحلیل کنید. پس از این چک لیست درباره هرکدام از آنها به تنهایی صحبت خواهیم کرد.
- به روزرسانی وردپرس
- گذرواژه ها و مجوزهای کاربر
- نقش میزبانی وب
- امنیت وردپرس (بدون کدگذاری)
- یک راه حل پشتیبان گیری از وردپرس نصب کنید.
- بهترین افزونه امنیتی وردپرس
- فعال کردن فایروال برنامه وب (WAF)
- سایت وردپرس را به SSL / HTTPS منتقل کنید.
- نام کاربری پیش فرض “مدیر” را تغییر دهید.
- ویرایش پرونده را غیرفعال کنید.
- اجرای فایل PHP را غیرفعال کنید.
- تلاش های ورود به سیستم را محدود کنید.
- تأیید هویت دو عاملی را اضافه کنید.
- پیشوند پایگاه داده وردپرس را تغییر دهید.
- از WP-Admin محافظت کنید و وارد شوید.
- نمایه سازی فهرست را غیرفعال کنید.
- XML-RPC را در وردپرس غیرفعال کنید.
- به طور خودکار کاربران غیر فعال را خارج کنید.
- سوالات امنیتی را به ورود به وردپرس اضافه کنید.
- اسکن وردپرس برای بدافزار و آسیب پذیری ها
- رفع یک سایت هک شده وردپرس
- استفاده از سرویس CDN
- پنهان کردن یا تغییر نام فایل های حساس وردپرس مانند wp-config.php و .htaccess
- تهیه قالب ها و افزونه های معتبر از منابع رسمی و قابل اعتماد
روش های افزایش امنیت وردپرس و جلوگیری از هک آن
برای افزایش امنیت وردپرس باید همواره تمرکز خود را روی یک سری از راهکارهای بالابردن امنیت سایت وردپرسی بالا ببرید. در ادامه این مطلب، هر یک از این راهکارهای افزایش امنیت وردپرس را شرح میدهیم.
۱- به روزرسانی وردپرس
وردپرس یک نرم افزار منبع باز است که به طور منظم نگهداری و به روز میشود. به طور پیش فرض، وردپرس به طور خودکار به روزرسانی های جزئی را نصب می کند اما شما برای نسخه های اصلی، شما باید به صورت دستی آن را به روز کنید.
وردپرس همچنین دارای هزاران افزونه و قالب است که می توانید بر روی وب سایت خود آن را نصب کنید. این افزونه ها و قالب ها توسط توسعه دهندگان شخص ثالث که مرتباً نیز آن را به روزرسانی میکنند، نگهداری میشود. این به روزرسانی های وردپرس برای امنیت و ثبات سایت وردپرسی شما بسیار مهم است. شما باید اطمینان حاصل کنید که هسته وردپرس، افزونه ها و موضوع وردپرس شما به روز باشد. بروزرسانی وردپرس موجب میشود تا افزونه هایی که با نسخه جدید آن همخوانی ندارند نیز، مجبور به بروز رسانی خود شوند. در هر بروز رسانی وردپرس و افزونهها تلاش شده است تا آخرین روزنههای ورود از طریق هسته مرکزی وردپرس بسته شود و افزونههای امنتری برای کاربران تهیه شود. این یک گزینه مهم در حفظ امنیت وردپرس است.
۲- رمزهای عبور قوی و مجوزهای کاربر برای افزایش امنیت وردپرس
رایج ترین تلاش های هک وردپرس از رمزهای عبور سرقت شده استفاده می کند. با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند، می توانید این کار را دشوارتر کنید. نه فقط برای مدیریت وردپرس، همچنین برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شده که از نام دامنه سایت شما استفاده می کنند.
بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا آن ها به سختی به خاطر سپرده می شوند. یکی از مزایای این مورد این است که دیگر نیازی به یادآوری رمزهای عبور نیست و می توانید از مدیریت رمز عبور استفاده کنید. راه دیگر برای کاهش خطر امنیتی این است که به هرکسی اجازه دسترسی به حساب مدیر وردپرس را ندهید، مگر اینکه مجبور شوید. اگر یک تیم بزرگ از نویسنده مهمان دارید، قبل از افزودن حساب های کاربری و نویسندگان جدید به سایت وردپرس خود، مطمئن شوید که نقش ها و قابلیت های کاربر را در وردپرس درک کرده اید.
۳- نقش میزبانی وردپرس و هاست در امنیت یک سایت
سرویس میزبانی وردپرس شما مهم ترین نقش را در امنیت سایت وردپرسی شما دارد. یک ارائه دهنده میزبانی مناسب اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می دهد. در اینجا نحوه کار یک شرکت میزبان وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما ارائه شده است:
- آن ها به طور مداوم شبکه خود را از نظر فعالیت مشکوک کنترل می کنند.
- همه شرکت های میزبان خوب ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند.
- آن ها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوءاستفاده آسیب پذیری های امنیتی در نسخه قدیمی توسط هکرها جلوگیری کنند.
- آن ها آماده استفاده از نقشه های بازیابی حوادث هستند که به آن ها این امکان را می دهد که از داده های شما در صورت تصادف بزرگ محافظت کنند.
در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این در صورتی که هکر بتواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند خطر آلودگی بین سایت را باز می کند.
استفاده از سرویس میزبانی وردپرس مدیریت شده بستر ایمن تری را برای وب سایت شما فراهم می کند. شرکت های مدیریت شده میزبان وردپرس پشتیبان گیری خودکار، به روزرسانی خودکار وردپرس و پیکربندی های امنیتی پیشرفته تری را برای محافظت از وب سایت شما ارائه می دهند.
۴- افزایش امنیت وردپرس (بدون نیاز به کدگذاری)
ما می دانیم که افزایش امنیت وردپرس می تواند یک فرایند وحشتناک برای مبتدیان باشد. مخصوصاً اگر اهل فن نباشید، اما شما تنها نیستید. در این قسمت ما به شما نشان خواهیم داد که چگونه فقط با چند کلیک می توانید امنیت وردپرس خود را بهبود بخشید (بدون نیاز به کدنویسی). این امر به راحتی با افزونه وردپرس مربوط به امنیت سایت امنیت وردپرس خود را تامین کنید.
مشاهده و خرید محصولات
دسته بندی افزونه وردپرس
۵- یک نسخه ی پشتیبان از وردپرس نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی قابل هک باشند، وب سایت های شما نیز می توانند مورد حمله قرار بگیرند. در صورت بروز اتفاقات بد، پشتیبان گیری به شما امکان می دهد که به سرعت سایت وردپرس خود را بازیابی کنید.
افزونه های پشتیبان وردپرس رایگان و پولی زیادی وجود دارد که می توانید از آن ها استفاده کنید. مهم ترین نکته ای که در مورد تهیه نسخه پشتیبان باید بدانید این است که شما باید به طور منظم پشتیبان گیری از سایت کامل را در یک مکان از راه دور (نه حساب میزبانی خود) ذخیره کنید. توصیه می کنیم آن را در سرویس ابری مانند آمازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید. براساس تعداد دفعات به روزرسانی وب سایت خود، تنظیمات ایده آل ممکن است یک بار در روز یا پشتیبان گیری ریل تایم انجام شود.
خوشبختانه این کار با استفاده از افزونه هایی مانند افزونه UpdraftPlus به راحتی قابل انجام است.
۶- فعال کردن فایروال برنامه وب (WAF) برای بهبود امنیت سایت وردپرس
ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس، استفاده از فایروال برنامه وب (WAF) است. فایروال وب سایت قبل از اینکه به وب سایت شما برسد، همه بازدیدهای مخرب را مسدود می کند. فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پراکسی ابر خود هدایت می کنند. این کار به آن ها امکان می دهد فقط ترافیک اصلی را به وب سرور شما ارسال کنند. این افزونه های فایروال پس از اینکه به سرور شما دسترسی پیدا می کنند قبل از بارگذاری اکثر اسکریپت های وردپرس، ترافیک را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.
۷- سایت وردپرس خود را به SSL / HTTPS منتقل کنید.
SSL لایه سوکت های امن پروتکلی است که انتقال داده را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود که سرقت اطلاعات را دشوار شود. هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد.
بنابراین امروزه استفاده از SSL برای همه وب سایت های وردپرس خود از همیشه آسان تر است. اکنون بسیاری از شرکت های میزبان، گواهی SSL رایگان برای وب سایت وردپرس شما را ارائه می دهند.
۸- امنیت وردپرس برای کاربران
اگر همه کارهایی را که تاکنون ذکر کردیم انجام دهید، بسیار خوب است اما مثل همیشه، کارهای تکمیلی دیگری نیز وجود دارد که می توانید برای افزایش امنیت وردپرس خود انجام دهید. برخی از این مراحل ممکن است به دانش کدگذاری نیاز داشته باشند.
۹- نام کاربری پیش فرض admin را تغییر دهید.
در زمان های قدیم، نام کاربری مدیر پیش فرض وردپرس “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند، این حملات را برای هکرها آسان تر می کند. خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس می کند .با این حال، برخی از نصب کنندگان وردپرس با یک کلیک، هنوز نام کاربری مدیر پیش فرض را روی “مدیر” تنظیم می کنند. اگر چنین موردی را مشاهده کردید، احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید .
از آنجا که وردپرس به شما اجازه تغییر نام کاربری را به طور پیش فرض نمیدهد، سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.
- نام کاربری مدیر جدید ایجاد کنید و نام قدیمی را حذف کنید.
- از افزونه تغییر نام کاربری استفاده کنید.
- نام کاربری را از phpMyAdmin به روز کنید.
توجه: ما در مورد نام کاربری به نام admin صحبت می کنیم، نه نقش مدیر.
۱۰- ویرایش پرونده ها را غیرفعال کنید.
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد قالب ها و پرونده های افزونه خود را از قسمت مدیر وردپرس ویرایش کنید. این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را خاموش کنید و از آن استفاده نکنید. با افزودن کد زیر در پرونده wp-config.php به راحتی می توانید این کار را انجام دهید .
<br> // Disallow file edit</p> <p>define( 'DISALLOW_FILE_EDIT', true )<br>
۱۱- در برخی از دایرکتوری های وردپرس اجرای فایل PHP را غیرفعال کنید.
روش دیگر برای افزایش امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در فهرست هایی است که نیازی به آن نیست مانند / wp-content / uploads /.می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را جای گذاری کنید:
<Files *.php>
deny from all
</Files>
در مرحله بعدی، باید این فایل را به صورت .htaccess ذخیره کرده و با استفاده از سرویس گیرنده FTP آن را در / wp-content / uploads / پوشه ها در وب سایت خود بارگذاری کنید.
۱۲- تلاش های ورود به سیستم را محدود کنید.
به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند. این باعث می شود سایت وردپرسی شما در برابر حملات brute force آسیب پذیر شود. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در استفاده از رمز عبور دارند. با محدود کردن تلاش های ناموفق برای ورود به سیستم، کاربر واقعی می تواند به راحتی وارد شود. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، به طور خودکار از آن مراقبت می شود. با این حال ، اگر فایروال را نصب نکرده اید ، مراحل زیر را دنبال کنید.
ابتدا باید افزونه Login LockDown را نصب و فعال کنید. پس از فعال سازی، برای تنظیم افزونه به تنظیمات »ورود به صفحه LockDown مراجعه کنید. سپس از این قسمت می توانید تعداد و دفعات مجاز برای ورد به سیستم را کاهش دهید.
۱۳- تأیید اعتبار دو عاملی را اضافه کنید.
روش احراز هویت دو عاملی، کاربران را با حفظ امنیت مجبور به ورود میکند. اولین مورد نام کاربری و رمز عبور است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد. اکثر وب سایت های آنلاین برتر مانند Google ، Facebook ، Twitter به شما امکان میدهند آن را برای حساب های خود فعال کنید. همچنین میتوانید همان عملکرد را به سایت وردپرس خود اضافه کنید. ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید.
در مرحله بعدی، باید برنامه تأیید اعتبار را در تلفن خود نصب و باز کنید. چندین مورد از آن ها مانند Google Authenticator ، Authy و LastPass Authenticator در دسترس است. ما توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود پشتیبان تهیه کنید. این مورد درصورت گم شدن تلفن، تنظیم مجدد یا خرید تلفن جدید بسیار مفید است. تمام ورود به سیستم حساب شما به راحتی بازیابی می شود.
۱۴- پیشوند پایگاه داده وردپرس را تغییر دهید.
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در پایگاه داده وردپرس شما استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر است. به همین دلیل است که توصیه می کنیم آن را تغییر دهید. توجه: اگر این کار در سایت شما به درستی انجام نشود، می تواند سایت شما را خراب کند. فقط در صورت احساس راحتی با مهارت رمزگذاری، اقدام کنید.
۱۵- با رمز عبور از مدیریت وردپرس محافظت کنید.
به طور معمول، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون هیچ محدودیتی درخواست کنند. این به آنها امکان می دهد ترفندهای هک شده خود را امتحان کنند یا حملات DDoS را انجام دهند. می توانید اقدامات محافظتی اضافی با رمز عبور را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می کند.
۱۶- نمایه سازی فهرست را غیرفعال کنید.
هکرها می توانند از فهرست دایرکتوری استفاده کنند تا بفهمند آیا پرونده ای با آسیب پذیری های شناخته شده دارید یا خیر، بنابراین آن ها می توانند با استفاده از این پرونده ها به سایت شما دسترسی پیدا کنند. افراد دیگر می توانند از فهرست دایرکتوری برای جستجوی پرونده ها و فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری و سایر اطلاعات استفاده کنند. به همین دلیل توصیه می شود فهرست بندی ها را خاموش کنید.
شما باید با استفاده از مدیر پرونده FTP یا cPanel به وب سایت خود متصل شوید. سپس، فایل .htaccess را در دایرکتوری ریشه وب سایت خود قرار دهید. پس از آن، باید خط زیر را در انتهای پرونده .htaccess اضافه کنید:
Options -Indexes
فراموش نکنید که فایل htaccess را ذخیره کرده و بارگذاری کنید.
۱۷- XML-RPC را در وردپرس غیرفعال کنید.
XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به شما کمک می کند سایت وردپرس خود را با وب و برنامه های تلفن همراه متصل کنید. به دلیل ماهیت قدرتمند خود، XML-RPC می تواند حملات brute-force را به میزان قابل توجهی تقویت کند. به عنوان مثال، به طور معمول اگر یک هکر بخواهد 500 گذرواژه مختلف را در وب سایت شما امتحان کند، مجبور است 500 تلاش ورود به سیستم جداگانه انجام دهد که توسط افزونه logdown lockdown گیر و مسدود می شود.
اما با XML-RPC ، یک هکر می تواند با استفاده از تابع system.multicall هزاران رمز عبور را با 20 یا 50 درخواست درخواست کند. به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.
سه روش مختلف برای غیرفعال کردن XML-RPC در وردپرس وجود دارد که بهترین روش htaccess است زیرا کمترین میزان مصرف منابع را دارد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، پس می توان این فایروال را همیشه در نظر گرفت.
۱۸- به طور خودکار کاربران غیر فعال را از سایت وردپرسی خود خارج کنید.
کاربران وارد شده می توانند گاهی از صفحه دور شوند و این یک خطر امنیتی است. شخصی می تواند گذرواژه ها را تغییر دهد یا در حساب خود تغییراتی ایجاد کند. به همین دلیل بسیاری از سایت های بانکی و مالی به طور خودکار از یک کاربر غیرفعال خارج می شوند. همچنین می توانید عملکرد مشابهی را در سایت وردپرس خود پیاده سازی کنید. شما باید افزونه Inactive Logout را نصب و فعال کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه به صفحه تنظیمات » صفحه غیرفعال خارج شوید.
به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید.
۱۹- سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید.
افزودن سوالات امنیتی به صفحه ورود به وردپرس دسترسی به غیر مجاز را برای افراد دشوارتر می کند. با نصب افزونه WP Security Questions می توانید سوالات امنیتی را اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به صفحه تنظیمات » سوالات امنیتی بروید.
۲۰- اسکن وردپرس برای بدافزارها و آسیب پذیری ها
اگر یک افزونه امنیتی وردپرس نصب کرده باشید، آن افزونه به طور منظم از نظر بدافزار و نشانه های نقض امنیت، سایت شما را بررسی میکند. با این حال، اگر یک افت ناگهانی در بازدید از وب سایت یا رتبه بندی جستجو مشاهده کردید، ممکن است نیاز باشد به صورت دستی سایت خود را اسکن کنید. برای این منظور، شما میتوانید از افزونه امنیتی وردپرس خود استفاده کنید، یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید.
اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد کرده و خزنده های آن ها از طریق وب سایت شما به دنبال بدافزار شناخته شده و کد مخرب می گردند. اکنون بخاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آن ها نمی توانند بدافزار را حذف کنند یا ایرادات یک سایت هک شده وردپرس را برطرف کنند.
۲۱- رفع یک سایت هک شده وردپرس
بسیاری از کاربران وردپرس اهمیت هک شدن نسخه پشتیبان و امنیت وب سایت را درک نمی کنند. پاک کردن سایت وردپرس بسیار دشوار و وقت گیر است اما غیر ممکن هم نمی باشد. هکرها خلاء های موجود در سایت آسیب دیده شما پیدا می کنند و اگر این مشکلات به درستی برطرف نشود، وب سایت شما احتمالاً دوباره هک می شود. اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای رفع مشکل وب سایت شما اطمینان از استفاده مجدد سایت شما را تضمین می کند. همچنین از شما در برابر حملات بعدی محافظت می کند.
۲۲- استفاده از سرویس CDN
از سرویس CDN برای کاهش فشار بر سرور و افزایش سرعت و عملکرد وبسایت و محافظت از آن در برابر حملات DDOS2 استفاده میشود.
برخی از فواید استفاده از CDN برای وبسایت شما عبارتند از:
- کاهش فشار بر سرور میزبان: با استفاده از CDN، شما میتوانید محتوای استاتیک سایت خود را در سرورهای مختلفی که در نقاط مختلف جهان قرار دارند ذخیره کنید. این کار باعث میشود که سرور میزبان شما فقط محتوای پویا را پردازش کند و در نتیجه بار کاری آن کاهش یابد. این امر میتواند عملکرد و پایداری سرور را افزایش دهد و از احتمال شکستن یا کند شدن آن در برابر ترافیک زیاد جلوگیری کند.
- مقابله با حملات DDOS: حملات DDOS یا Distributed Denial of Service، نوعی حمله امنیتی هستند که با ارسال درخواستهای زیاد و غیرمعمول به سرور میزبان، قصد دارند آن را از کار بیاندازند یا کند کنند. این حملات میتوانند باعث از دست رفتن دادهها، افت سئو، از دست رفتن اعتماد کاربران و کاهش درآمد شوند. با استفاده از CDN، شما میتوانید از این حملات جلوگیری کنید یا آنها را کاهش دهید. چرا که CDN میتواند درخواستهای مشکوک را شناسایی و مسدود کند و فقط درخواستهای معتبر را به سرور میزبان ارسال کند.
- افزایش امنیت انتقال دادهها: بسیاری از سرویسهای CDN از گواهینامه SSL پشتیبانی میکنند و به شما امکان میدهند که ارتباط بین سرور و مرورگر را رمزگذاری کنید. این کار باعث میشود که دادههای حساس مانند اطلاعات کاربران، رمزهای عبور، اطلاعات پرداخت و غیره در برابر دزدیده شدن یا تغییر یافتن توسط اشخاص غیرمجاز محافظت شوند.
۲۳- پنهان کردن یا تغییر نام فایلهای حساس وردپرس مانند wp-config.php و .htaccess
پنهان کردن یا تغییر نام فایلهای حساس وردپرس مانند wp-config.php و .htaccess یکی از راه هایی است که میتوانید به وسیله آن، امنیت سایت وردپرسی خود را افزایش دهید. این کار باعث میشود که هکرها و ربات ها نتوانند به راحتی این فایلها را پیدا کرده و از آنها برای دسترسی به اطلاعات مهم و تنظیمات سایت شما استفاده کنند.
فایل wp-config.php یکی از مهمترین فایلهای وردپرس است که حاوی اطلاعات پایگاه داده، کلیدهای امنیتی، پیشوند جدولها و سایر تنظیمات اساسی سایت شما است. اگر هکرها به این فایل دسترسی پیدا کنند، میتوانند سایت شما را کنترل کنند، دادهها را سرقت یا حذف کنند، بدافزار اجرا کنند و …
بنابراین، شما باید این فایل را در یک مکان امن و مخفی قرار دهید. یکی از راههای انجام این کار، انتقال این فایل از پوشه public_html به پوشه بالاتری است. این کار باعث میشود که این فایل از دسترس وب قرار بگیرد و فقط از طریق FTP یا cPanel قابل دسترسی باشد. همچنین میتوانید نام این فایل را تغییر دهید و یک نام غیرقابل حدس برای آن انتخاب کنید.
فایل .htaccess یک فایل پیکربندی است که به شما امکان میدهد که تنظیمات مربوط به سرور و وبسایت خود را انجام دهید. با استفاده از این فایل، شما میتوانید کارهایی مانند ایجاد قوانین بازنویسی URL، مدیریت دسترسیها، اعمال گواهینامه SSL، افزایش سرعت و عملکرد سایت و غیره را انجام دهید. اما این فایل هم میتواند توسط هکرها مورد سوءاستفاده قرار بگیرد. اگر هکرها به این فایل دسترسی پیدا کنند، میتوانند تنظیمات سایت شما را تغییر دهند، سایت شما را به سایتهای دیگر هدایت کنند، بدافزار اجرا کنند و غیره. بنابراین، شما باید این فایل را نیز در یک مکان امن و مخفی قرار دهید. یکی از راههای انجام این کار این است که این فایل را به یک پوشه دیگر منتقل کنید و در فایل wp-config.php مسیر جدید آن را مشخص کنید. همچنین میتوانید نام این فایل را تغییر دهید و یک نام غیرقابل حدس برای آن انتخاب کنید.
با انجام این کارها، شما میتوانید از دسترسی هکرها و ربات های بدخواه به فایلهای حساس وردپرس خود جلوگیری کنید و امنیت سایت وردپرسی خود را افزایش دهید.
۲۴- تهیه قالب ها و افزونه های معتبر از منابع رسمی و قابل اعتماد
برای حفظ امنیت سایت وردپرسی خود، بهتر است از قالب ها و افزونه های معتبر و بهروز که از منابع رسمی و قابل اعتماد دانلود شده اند، استفاده کرده و از قالب ها و افزونه های رایگان یا کرکشده خودداری کنید. معتبر بودن منبع قالب و افزونه ها یکی از عوامل مهم در امنیت سایت وردپرسی شما است. چرا که قالب و افزونه ها میتوانند حاوی کدهای مخرب، لینک های مخفی و بدافزار هایی باشند که میتوانند به سایت شما آسیب بزنند، اطلاعات شما را سرقت کنند، عملکرد سایت را کند کنند و یا سایت شما را به سایت های دیگر هدایت کنند. برای جلوگیری از این مشکلات، شما باید از منابع رسمی و قابل اعتماد برای دانلود قالب و افزونه های خود استفاده کنید. برخی از این منابع عبارتند از:
- مخزن رسمی وردپرس: این مخزن شامل هزاران قالب و افزونه رایگان است که توسط توسعهدهندگان وردپرس بررسی و تأیید شدهاند. شما میتوانید از طریق داشبورد وردپرس خود به این مخزن دسترسی داشته باشید و قالب و افزونه مورد نظر خود را جستجو، مشاهده و نصب کنید.
- مارکتهای معتبر:مارکت های وردپرس، مانند ژاکت، سایت هایی هستند که قالب و افزونه های تجاری و پرمیوم را به فروش میرسانند. این سایتها معمولاً دارای استانداردهای کیفی و امنیتی بالایی هستند و از توسعهدهندگان حرفهای و معتبر پشتیبانی میکنند.
بهترین افزونه های امنیتی وردپرس
پس از تهیه نسخه پشتیبان، کار بعدی که باید انجام دهید این است که یک سیستم ممیزی و نظارت راه اندازی کنید که همه اتفاقات وب سایت شما را ردیابی کند. این کار شامل نظارت بر یکپارچگی پرونده ها و فایل ها، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است.
راهکار، استفاده از یک افزونه امنیتی وردپرس است. این افزونهها میتوانند بسیاری از راههای نفوذ هکرها را به شما هشدار دهند. در واقع با اسکن بخشهای مختلف وبسایت، میتوانند موارد نقص را به شما اطلاع دهند یا اینکه حرکات غیر عادی کاربران و رویدادهای مشکوک را به اطلاع شما برسانند. پیشنهاد میکنیم برای حفظ امنیت وبسایت وردپرسی خود از افزونه امنیتی وردپرس که در ادامه لیستی از آنها معرفی شده، استفاده کنید.
۱- افزونه iTheme Security
برای حفظ امنیت سایت وردپرسی خود، میتوانید از افزونه iTheme Security استفاده کنید. این افزونه کاملا استاندارد و مطمئن است. افزونه قدرتمند iThemes Security Pro با بهره مندی از 32 لایه امنیتی قادر است حفاظت کامل سایت شما را بر عهده بگیرد.
برخی امکانات حفاظتی موجود در iTheme Security عبارتند از:
- مسدودسازی دسترسی به سایت از آدرس های آی پی شناسایی شده به عنوان خرابکار
- مسدود کردن دسترسی کاربران به سایت پس از چند تلاش ناموفق
- فعال سازی قابلیت تائید هویت دو مرحله ای با ارسال کد به ایمیل یا تلفن همراه بدون نیاز به سامانه های ارسال پیام کوتاه
- اسکن زمان بندی شده صفحات سایت برای شناسایی کدهای مخرب
- اجباری کردن استفاده از رمز عبور پیچیده برای همه کاربران و تنظیم تاریخ انقضا برای رمز عبور
- فعال سازی SSL در داشبورد مدیریتی و دیگر صفحات و مطالب سایت (در صورت پشتیبانی توسط سرور)
- تغییر مسیر پیش فرض برای ورود به داشبورد مدیریتی وردپرس
- مانیتور کردن لحظه ای فایل ها و اعلام هرگونه تغییرات در آنها
- ارسال ایمیل اطلاع رسانی در صورت مشاهده فعالیت های مشکوک به خرابکاری روی سایت
- پنهان سازی یا حذف اطلاعات مربوط به وردپرس نصب شده روی سایت شما
۲- افزونه وردفنس Wordfence Security Pro
افزونه وردفنس محبوب ترین افزونه امنیتی وردپرس است. این شامل یک فایروال نقطه پایانی و اسکنر بدافزار، و همچنین مجموعه ای از ویژگی های اضافی است. افزونه وردفنس طیف وسیعی از برنامه های برتر و خدمات رایگان مشهور خود را ارائه می دهد.
ویژگی های کلیدی افزونه Wordfence:
- فایروال
- اسکنر بدافزار
- هشدارها و گزارش های امنیتی
- نظارت بر رفتار و عملکرد کاربران
WordFence Security یک افزونه بسیار قدرتمند است و دارای مجموعه گسترده ای از ویژگی ها و گزینه ها است. ابتدا باید گزینه های اصلی افزونه را تنظیم کنید. این شامل فعال یا غیرفعال کردن ویژگی های اصلی افزونه و ارائه آدرس ایمیل اضافی برای هشدارها می شود.
قسمت گزینه های پیشرفته جایی است که می توانید نحوه رفتار و عملکرد افزونه را در سایت خود تغییر دهید. ابتدا تنظیمات هشدارهاست ، می توانید رویدادهایی را که می خواهید به شما اطلاع داده شود فعال یا غیرفعال کنید. اگر یک وب سایت پر ترافیک دارید ، ایمیل های زیادی از امنیت WordFence به عنوان هشدار دریافت خواهید کرد.
سپس قوانین Firewall و قوانین اسکن وجود دارد. اینجاست که می توانید به افزونه بگویید کدام فایلها و فهرستها را اسکن و رفتار فایروال را تنظیم کنید. این گزینه ها را تغییر ندهید مگر اینکه بدانید در حال انجام چه کاری هستید.
فراموش نکنید که پس از اتمام کار روی دکمه ذخیره تغییرات کلیک کنید.
۳- افزونه Really Simple SSL
افزونه گواهینامه امنیتی SSL یک افزونه بسیار محبوب و کاربردی برای فعالسازی گواهینامه امنیتی SSL در سایتهای وردپرسی است. این افزونه با بیش از 5 میلیون نصب، یکی از پراستفادهترین افزونهها در این زمینه محسوب میشود.
ویژگیهای افزونه Really Simple SSL:
- ساده و آسان: این افزونه در مراحل کوتاهی، به شما امکان فعالسازی SSL در سایت خود را میدهد.
- رفع خطاهای محتوای ترکیبی: افزونه Really Simple SSL قادر است خطاهای محتوای ترکیبی را در پیشخوان وردپرس رفع کند.
- اسکن سریع و کامل محتوای ترکیبی: با استفاده از این افزونه، میتوانید محتوای ترکیبی را در سایت خود اسکن کنید و مشکلات مربوط به آن را برطرف کنید.
- گزارش کامل و آنالیز وضعیت SSL: افزونه Really Simple SSL به شما امکان میدهد تا گزارش کاملی از وضعیت SSL در سایت خود دریافت کنید و آن را تحلیل کنید.
- بهبود رابط کاربری: این افزونه با بهبود رابط کاربری خود، استفاده از آن را برای کاربران راحتتر میکند.
- بررسی زمان انقضا گواهینامه SSL و ارسال ایمیل قبل از انقضا: افزونه Really Simple SSL قابلیت بررسی زمان انقضا گواهینامه SSL را دارد و در صورت نیاز، به شما ایمیلی ارسال میکند.
- ارسال سایت به HSTS Preload List: با استفاده از این ویژگی، میتوانید سایت خود را به HSTS Preload List ارسال کنید و امنیت آن را افزایش دهید.
- ایمن و رمزنگاری کردن کوکیها: افزونه Really Simple SSL قابلیت ایمن و رمزنگاری کردن کوکیها را دارد.
- اسکن محتوای ترکیبی یا Mixed Content: این افزونه قادر است محتوای ترکیبی یا Mixed Content را در سایت شما اسکن کند و مشکلات مربوط به آن را برطرف کند.
۴- افزونه SecuPress Pro
افزونه امنیتی ضد هک سکیوپرس پرو یک افزونه امنیتی برای سیستم مدیریت محتوای وردپرس است که از سایت ژاکت قابل خریداری است. این افزونه امکانات و ویژگیهای متنوعی را برای افزایش امنیت وبسایت وردپرسی فراهم میکند.
ویژگیهای افزونه SecuPress Pro عبارتند از:
- اسکن سایت: این افزونه قادر است سایت شما را به صورت کامل اسکن کند و نقاط ضعف امنیتی را شناسایی کند.
- مسدود کردن رباتها و IPهای مشکوک: SecuPress Pro امکان مسدود کردن رباتها و IPهایی که به سایت شما حمله میکنند را فراهم میکند.
- مبارزه با بدافزارها: این افزونه قابلیت شناسایی و مبارزه با بدافزارها را دارد تا سایت شما را در برابر حملات مخرب محافظت کند.
- فایروال: SecuPress Pro دارای فایروالی قدرتمند است که به شما کمک میکند تا حملات احتمالی را مسدود کنید و امنیت سایت خود را افزایش دهید.
- گزارشات: این افزونه پس از اسکن سایت، گزارشی دقیق از نقاط ضعف امنیتی و مشکلات موجود در سایت شما ارائه میدهد تا بتوانید آنها را برطرف کنید.
- پشتیبانی گیری: SecuPress Pro امکان پشتیبانی گیری از تنظیمات و اطلاعات سایت شما را فراهم میکند تا در صورت بروز مشکلات، بتوانید به حالت قبلی سایت بازگردید.
- منطبق با GDPR: این افزونه کاملاً منطبق با قوانین GDPR است و اطلاعات شخصی کاربران را به درستی محافظت میکند.
با استفاده از افزونه SecuPress Pro، میتوانید امنیت سایت وردپرس خود را بهبود داده و از حملات مخرب و دسترسیهای غیرمجاز جلوگیری کنید.
۵- افزونه Hide My WP
افزونه مخفی سازی وردپرس یک افزونه امنیتی است که به شما امکان میدهد قالب و افزونه های وردپرس خود را مخفی کرده و از دید کاربران پنهان شوید. افزونه Hide My WP با تغییر مسیرها و دیواره آتشین، نفوذ را سخت کرده و از ورود افراد ناشناس جلوگیری میکند. با استفاده از این افزونه، میتوانید امنیت سایت وردپرسی خود را تا حد زیادی تضمین کنید. با استفاده از افزونه مخفی سازی وردپرس، میتوانید اقدامات زیر را انجام دهید:
- مخفی کردن قالب و افزونههای وردپرس
- جلوگیری از حملات هکرها
- شناسایی IP هکرها و مسدود کردن آنها
- مسدود کردن آیپی کشوری خاص
با استفاده از این افزونه، میتوانید امنیت سایت وردپرسی خود را به حداکثر برسانید و از حملات هکرها در امان باشید.
چرا امنیت وب سایت مهم است؟
یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربران، رمزهای عبور و نرم افزارهای مخرب را سرقت کنند و حتی می توانند بدافزار را به دستگاه کاربران شما وارد کنند. بدتر از همه، ممکن است شما تنها در ازای پرداخت باج به هکرها قادر باشید که به وب سایت خود دسترسی پیدا کنید.
در مارس 2016، گوگل گزارش داد که به بیش از 50 میلیون کاربر اینترنت هشدار داده شده است که ممکن است وبسایتی که از آن بازدید می کنند حاوی بدافزار یا اطلاعات سرقت شده باشد. علاوه بر این، گوگل هر هفته حدود 20،000 وب سایت را برای بدافزار و حدود 50،000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد. اگر وب سایت شما یک وب سایت فروشگاهی است و یا حاوی اطلاعات حساس و همه کاربران است، پس باید بیشتر به امنیت آن توجه کنید. مشابه نحوه مسئولیت صاحبان مشاغل در محافظت از ساختمان فروشگاه خود، شما به عنوان یک مالک مشاغل آنلاین، مسئولیت حافظت از وب سایت خود را دارید.
جمع بندی
راهکارهایی که در بالا برای افزایش امنیت وردپرس بررسی شد، میتواند تا حدود زیادی از مشکلاتی که هکرها برای شما ممکن است به وجود آورند، جلوگیری کند. اما همانطور که گفته شد، امنیت یک مقوله نسبی است و نیاز به مراقب و رسیدگی و حتی هزینه دائمی دارد. که باید قبل از اینکه یک سایت را راه اندازی کنید به صورت کامل مقاله ها و ویدئو های مربوط به آموزش وردپرس را مشاهده کرده تا بتوانید از پایه یک سایت قوی را ایجاد کنید که دارای امنیت بالایی باشد. برای سایتهای بزرگ با مشتریان زیاد که ممکن است بیشتر مورد حمله واقع شوند، لازم است تیمی متخصص در زمینه امنیت، پشتیبانی سایت را به عهده داشته باشند، تا علاوه بر مراقبت در صورت وقوع حملات، بتوانند در کمترین زمان راهکارهای مناسب را برای دفع و کاهش خسارات را در دستور کار قرار دهند.
در پایان امیدواریم این مقاله، به شما کمک کند تا بهترین روش های امنیتی وردپرس را بیاموزید و همچنین بهترین افزونه های امنیتی وردپرس را برای وب سایت خود نصب کنید تا انجام دادن موارد مختلف برایتان راحت تر شود.
نویسنده سینا عباسی
سایر مقالات نویسندهسینا عباسی، مدیر سئو ژاکت، بیش از 7 ساله که بهصورت تخصصی در حوزه سئو فعالیت میکند. وی مدرس و مشاور سئوی کسب و کارهای اینترنتی میباشد. سینا عباسی با تخصص و تجربهای که در حوزه سئو دارد، نگاه شما را به آموزش سئو در دنیای دیجیتال مارکتینگ تغییر میدهد.
سلام
میخواستم ببینم بین این سه تا افزونه کدوم رو پیشنهاد میکنید؟
وردفنس.آیتمز.hide my wp ghost ؟
چون جدیدا افزونه hide my wp ghost محبوبیت خوبی پیدا کرده و تو این مدت کم فروش چشمگیری داشته و محصول ویژه هم شده؟
به نظر شما از کدوم استفاده کنم؟
با سلام و احترام
تشکر بابت این مقاله کامل، جامع و ارزشمند
لطفا قسمت “XML-RPC را در وردپرس غیرفعال کنید.” رو بیشتر توضیح دهید
با تشکر
سلام و وقت بخیر
پیشنهاد میکنم برای توضیحات تکمیلی درباره غیرفعال کردن XML-RPC مقاله ما در این مورد رو بخونید.
سلام وقت بخیر با این 22 موردی که ذکر کردید، چند درصد امکان هک شدن سایت هست؟چون می خوام یک سایت فروشگاهی راه اندازی کنم و فایل های اموزشی بفروشم اگه هک بشه تمام زحماتم به باد میره ایا خوده ژاکت مورد حمله قرار گرفته؟
اگه دوستان تجربه هک شدن را دارند لطفا به اشتراک بذارن ممنون
ببخشید برای امنیت سایتم افزونه ایتم سکوریتی بهتره یا وردفنس؟
سلام و وقت بخیر
هردو افزونه های خوبی هستن، پیشنهاد می کنم مقاله ما درباره مقایسه وردفنس و آیتم سکیوریتی رو بخونین تا بتونین راحت تر انتخاب کنین.
ببخشید یه سوال داشتم میخواستم ببینم که استفاده همزمان از دوتا افزونه برای امنیت سایت مشکلی ایجاد نمیکنه؟
سلام و وقت بخیر
جواب قطعی نمیشه داد ولی بهتره از دو تا افزونه امنیتی که ویژگی های یکسانی رو پوشش می دن استفاده نکنید چون به احتمال زیاد هر دو افزونه از فیلترهای مشابه استفاده می کنند و این ممکنه باعث تداخل بشه (به عنوان مثال .htaccess)
درود
من برای تامین امنیت سایتم افزونه ایتم سکوریتی را نصب کرده ام. ایا کفایت می کند؟
سلام و وقت بخیر
ایتم سکیوریتی خیلی افزونه خوبی برای امنیت سایته ولی باید حواستون به تمام نکاتی که در این مقاله بیان کردیم باشه که مشکلی برای سایتتون پیش نیاد
خیلی ممنونم بابت مقاله امنیتی خوبتون
خواستم ببینم متخصص امنیت وردپرس سراغ دارید که معرفی کنید لطفا؟
سلام و وقت بخیر
خوشحالیم که مقاله براتون مفید بود.
متاسفانه چنین خدماتی فعلا از طرف ژاکت ارائه نمیشه
سلام
من سایتم فکر میکنم ویروسی شده و فضای هاستم مدام داره پر میشه نمیدونم چیکار باید بکنم. برای پاک سازی اون چیگار باید بکنم؟
سلام
بک آپ بگیرید و پیشنهاد می کنم برای پاک سازی از پشتیبان هاستتون کمک بگیرید
سلام
آیا با رعایت تمام نکاتی که اینجا گفته شد امنیت سایت وردپرسی به طور کامل تامین می گردد؟
سلام و وقت بخیر
با رعایت تمام این نکات میتونید امنیت سایتتون رو تامین کنید اما باید به طور منظم سایتتون رو بررسی کنید و برای امنیت سایتتون هزینه کنید و احتمال حملات رو هم همیشه در نظر بگیرید و آمادگی مقابله با اون رو داشته باشید تا خسارتی به سایتتون وارد نشه.
سلام وقت بخیر خیلیا در خصوص تغییر پیشوند جدول در وردپرس صحبت کردن آموزش هایی هم در سطح اینترنت هست ولی هیچکس آموزش درستشو قرار نداده منظور از آموزش درست اینه که مثلا شما با installer.php یا همون بسته نصبی یه قالبو نصب میکنی حالا میخوای پیشوند جداول را عوض کنی تا اینجا اموزش هست ولی مهم بعدشه که صفحه مدیریت اجازه دسترسی نمیده یا مشکلات بعدیش که هیچکس راجع بهشون درست صحبت نکرده خواهشا اینو اموزش بدین
سلام و ممنون از پیشنهادتون حتما این موضوع رو در برنامه آموزشیمون قرار میدیم