اگر شما هم مثل ما از وردپرس استفاده می کنید، همیشه باید به فکر امنیت سایت خود باشید. وردپرس نسبت به سایر سیستم های مدیریت محتوا امنیت بیشتری دارد. با این حال وقتی تعدادی افزونه روی آن نصب می کنید و یا تعداد کاربران سایت زیاد می شود، راه ورود هکرها به سایت هم هموارتر می شود. با این حال نگران نباشید. زیرا اقدامات اساسی برای حفظ امنیت وردپرس وجود دارد.
در ادامه قصد دارم به تعدادی نکته های آموزشی برای کمک به تأمین امنیت وردپرس بپردازم.
راهکارهایی برای افزایش امنیت وردپرس
از کلمه Admin به عنوان نام کاربری استفاده نکنید
بسیاری از حملات هکرها به وردپرس بدون هیچ پیچیدگی و تنها با حدس زدن نام کاربری انجام می شود. اشتباه برخی از مدیران وب سایت این است که از کلمه Admin به عنوان نام کاربری استفاده می کنند. زیرا این نام پیش فرض وردپرس است که خیلی سریع توسط هکرها حدس زده می شود. بنابراین باید از انتخاب نام های آسان و ساده خودداری کنید.
اگر از یک سایت قدیمی تر استفاده می کنید که پیشتر نام کاربری برای آن انتخاب شده است، آن را تغییر دهید. از نام های غیرقابل حدس و عجیب استفاده کنید. با این روش امنیت سایت خود را تا حد زیادی بالا می برید.
از رمز عبور پیچیده استفاده کنید
داشتن رمز عبور ساده خیلی سریع حدس زده می شود. اما وقتی یک رمز عبور قوی داشته باشید، هکرها نمی توانند به راحتی آن را پیدا کنند. رمز طولانی و همراه با حروف کوچک و بزرگ انگلیسی و علامت ها مناسب تر هستند. البته رمزهای عبور طولانی را به سختی می توانید به خاطر بسپارید.
برای حل این مشکل می توانید از ابزارهایی مثل LastPass استفاده کنید. با کمک این ابزارها می توانید رمز عبور تولید کنید. به این صورت که رمز مورد نظر خود را (هر چقدر هم طولانی باشد) تایپ می کنید. سپس ابزار آن را برای شما ایجاد و ذخیره می کند. حالا باید لینک را ذخیره کرده و هر زمان که بخواهید وارد سایت شوید، از آن استفاده کنید. بسته به میزان اهمیت امنیت سایت، باید رمز عبور طولانی (حداقل با 20 کاراکتر) بسازید.
احراز هویت دو عاملی را اضافه کنید
حتی اگر از کلمه Admin استفاده نمی کنید و یک رمز عبور قوی و تصادفی هم ایجاد کرده اید، باز هم در معرض حملات بی رحمانه هکرها قرار دارید. اما نگران نباشید. تایید هویت دو عاملی می تواند به محافظت از سایت شما کمک زیادی کند.
این تکنیک به این صورت است که به جای وارد کردن جزئیات ورود به سیستم (نام کاربری و رمز)، باید یک کد دیگر را هم وارد کنید. برای مثال سال تولد، شماره تلفن و … را تایید کنید. جعل این مورد برای هکرها سخت تر از رمز عبور است.
برای تایید اعتبار ورود به وردپرس دو افزونه Google Authenticator و Rublon Plugin کاربرد دارند. البته فقط باید مراقبت باشید که کدهای پشتیبان را گم نکنید. زیرا ممکن است وردپرس قفل شود.
از اصول Least Privilege استفاده کنید
مفهوم حداقل دسترسی های ممکن در امنیت یا Least Privileged به معنای کمترین امتیاز است. شما با کمک این تکنیک به افرادی که به مرز نیاز دارند، اجازه ورود به وردپرس را می دهید. اگر قصد دارید سایت را به یک ادمین موقت بسپارید، رمز را دریافت می کنید. اما بعد از اتمام کار می توانید آن را حذف کنید.
شما وقتی کاربران دیگری را به سایت خود متصل می کنید، می توانید برای نقش مدیریت آن ها درجه تعیین کنید. به این صورت که نقش افراد را برحسب نوع همکاری مشخص کنید. این کار خطر امنیتی سایت وردپرس را تا حد زیادی کاهش می دهد
wp-config.php و htaccess را مخفی کنید
فایل های wp-config.php و htaccess برای امنیت سایت وردپرس اهمیت زیادی دارند. این دو فایل اعتبار سیستم را با خود به همراه دارند. به طوری که اطلاعاتی درباره ساختار و پیکربندی سایت را در معرض نمایش می گذارند. با مخفی کردن آنها راه ورود مهاجمین به سایت خود را غیرممکن می کنید.
مخفی کردن این دو پرونده کار ساده ای است. اما اشتباه کردن در آن ممکن است سایت را غیرقابل دسترسی کند. پس ابتدا یک نسخه پشتیبان از دو فایل تهیه کرده و این کار را با احتیاط انجام دهید.
برای ویرایش htaccess کافیست به پوشه “public_html” بروید.
برای تأمین امنیت بهتر وردپرس و محافظت از wp-config.php، این مورد را به فایل .htaccess خود اضافه کنید:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
این کار مانع از دسترسی به پرونده می شود. کد مشابه را می توان برای فایل htaccess هم استفاده کنید:
<Files .htaccess>
order allow,deny
deny from all
</Files>
نحوه تامین امنیت وب وردپرسی
از کلیدهای امنیتی وردپرس برای تأیید اعتبار استفاده کنید
کلید های “Authentication keys” و “salts” مجموعه ای از متغیرهای تصادفی و منحصر به فرد برای وب سایت وردپرسی هستند. این دو گزینه امنیت (رمزگذاری) اطلاعات در کوکی ها را افزایش می دهند.
فایل wp-config.php یک منطقه اختصاصی دارد که می توانید متغیرهای مورد نظر خود را تهیه کنید و در آن قرار دهید.
ویرایش پرونده را غیرفعال کنید
اگر هکر وارد سایت شما شود، ساده ترین راه برای تغییر فایل ها این است که به قسمت “Appearance > Editor” در وردپرس بروید. برای بهبود امنیت سایت وردپرس، می توانید ویرایش این فایل ها را از طریق آن ویرایشگر، غیرفعال کنید. در عین حال می توانید این کد را در فایل wp-config.php قرار دهید:
define(‘DISALLOW_FILE_EDIT’, true);
در کنار این موارد، شما می توانید الگوهای خود را با کمک برنامه FTP مورد علاقه خود ویرایش کنید. البته این کار از طریق وردپرس انجام نمی شود.
ورود به سیستم خود را مخفی و تلاشهای ورود به سیستم را محدود کنید
ورود هکرها به سایت در بیشتر مواقع باعث تخریب فرم ورود به سایت می شود. بنابراین باید در قسمتی از ورود به سیستم تغییراتی را ایجاد کنید تا از ورود مهاجمان به سایت جلوگیری کند. افزونه All in One WP Security & Firewall گزینه ای دارد که می توانید از طریق آن لینک های پیش فرض (از / wp-admin /) را تغییر دهید.
همچنین می توانید تعداد تلاش ورود به سیستم از یک آدرس IP خاص را محدود کنید. چندین افزونه وردپرس وجود دارد که در این زمینه به شما کمک می کند تا فرم ورود به سایت با آدرس های IP را محافظت کنید. با این روش تعداد زیادی از ورود به سیستم توسط افراد ناشناس محدود می شود.
فایل XML-RPC را غیر فعال کنید
فایل XML-RPC در روت هاست قرار دارد. این فایل یک رابط برنامه کاربردی (API) است. اگر از سرویس IFTTT استفاده می کنید، سایت شما در خطر است. زیرا وقتی در حال لاگین هستید، هر کس دیگری از این سرویس استفاده می کنید، می تواند به راحتی وارد سایت شما شود.
شما باید فایل XML-RPC را غیرفعال کنید که برای این کار چندین برنامه وجود دارد. اگر قصد غیرفعال کردن آن را ندارید و در وردپرس از Jetpack استفاده می کنید، باید بیشتر احتیاط کنید.
تأمین امنیت هاست و وردپرس
حتی اگر در مورد امنیت وب سایت خود همه جوانب را رعایت کنید، ولی هاست وردپرس را از یک شرکت نامعتبر خریداری کرده باشید، هیچ کاری نمی توان برایتان کرد. اگر هکر بتواند به قسمت هاست سایت دسترسی پیدا کند، می تواند همه چیز را تحت کنترل خود درآورد. بنابراین در زمان انتخاب شرکت هاستینگ باید دقیق تر عمل کنید.
به دلیل ارزان بودن هاست، به سراغ شرکت های بدون پشتیبانی و ناامن نروید. شرکت های پاسخگو حتی اگر سایت هک شود، به شما کمک می کنند تا سایت هک شده را برگردانید.
اغلب هاست های اشتراکی که ارزان قیمت هم هستند، خطرناک ترند. زیرا ممکن است هکرها بتوانند از طریق یک سایت هک شده در همان سیستم، به سایت شما هم دسترسی پیدا کنند. به همین دلیل ما توصیه جدی داریم که برای خرید هاست هزینه بیشتری پرداخت و از خرید هاست ناامن خودداری کنید.
به روز باشید
به روز بودن یکی دیگر از مهم ترین راهکارها برای تامین امنیت وردپرس است. البته این مسئله برای بسیاری از صاحبان وب سایت کار سختی است. وب سایت آنقدر پیچیده است که به سختی می توان از همه جای آن سردرآورد. گاهی اوقات در طی زمان تغییراتی در سایت اتفاق می افتد که شاید مدیر سایت از آن بی اطلاع باشد.
همچنین وردپرس هر روز در حال بروزرسانی است. تغییرات سریع در این سیستم مدیریت محتوا، گاهی کار کردن با آن را سخت می کند. به همین دلیل شاید مدیر وب سایت نتواند کد قدیمی خود را بروزرسانی کند. تغییر افزونه ها و نرم افزارهای اصلی گاهی برای مدیران سایت های قدیمی زمانبر است. این مسئله سایت آنها را در برابر حمله هکرها آسیب پذیر می کند.
اگر میخواهید سایت خود را در برابر هرگونه ورود هکر مقاوم کنید، باید نرم افزارها، مضامین و افزونه ها را مدام بروزرسانی کنید. در غیر این صورت درب سایت خود را بروی مهاجمین باز می گذارید.
لایه های امنیتی سایت را افزایش دهید
بهترین راه حل های امنیتی، مانع از ورود هکرها به هر جایی در نزدیکی سایت شما می شود. به همین دلیل توصیه می کنیم که از افزونه فایروال وردپرس استفاده کنید. این افزونه مهاجمان ورود به سایت و الگوهای رایج برای هک را تشخیص داده و آنها را متوقف می کنند. پس قبل از اینکه سایت به دست این افراد بیفتد می توانید از ورود آنها جلوگیری کنید.
همچنین این نکته را هم در نظر بگیرید که اکنون بسیاری از سیستم های تحویل محتوا، عملکرد فایروال را در بر می گیرند. این افزونه باعث بهینه سازی عملکرد سایت و محافظت از آن می شود. Cloudflare می تواند bad traffic (ترافیک بد) را مسدود کند. حتی این افزونه قوانین و اسکن هایی دارد که به طور خاص از سایت های وردپرسی محافظت می کند.
افزونه های امنیتی وردپرس
استفاده از بهترین پلاگین ها و تم های امنیتی
اغلب کاربران وردپرس تمایل زیادی به استفاده از انواع تم و پلاگین دارند. البته در انتخاب افزونه ها و یا تم باید کمی مراقب باشید. اگر سرور آزمایشی ندارید، در این مورد باید محتاطانه عمل کنید. بسیاری از افزونه ها و تم های رایگان قابل اعتماد نیستند. مگر اینکه توسعه دهنده از یک برند تجاری معتبر باشد که این افزونه یا تم ها را به صورت رایگان در اختیار شما گذاشته باشد.
نصب این افزونه ها و تم های رایگان در بسیاری از مواقع، ورود توسعه دهنده های آنها را به سایت ممکن می کند. استفاده از برخی افزونه ها برای مدیریت سایت لازم است. اما نباید امنیت را فدای مدیریت آسان کنید. برای مثال افزونه یوست پرمیوم دارای امکان فوق العاده ای است. اما نسخه رایگان آن امکانات زیادی ندارد. برخی از افراد اقدام به عرضه یوست پرمیوم به صورت رایگان می کنند. در حالی که دریافت افزونه از چنین افرادی می تواند امنیت سایت شما را به خطر اندازد.
نحوه انتخاب افزونه مناسب
اگر می خواهید افزونه های امنیتی مناسب را برای سایت وردپرسی خود پیدا کنید، این اصول را رعایت کنید. همانطور که در بالا گفتیم افزونه ها و تم های رایگان در بسیاری از موارد برای سایت خطرناک هستند. قبل از اینکه یک افزونه را به سایت خود اضافه کنید، به امتیاز آن در سایت وردپرس نگاه کنید. به خاطر داشته باشید که داشتن امتیاز 5 ستاره خیلی چیزها را مشخص نمی کند. بنابراین همیشه تعداد رتبه بندی ها را هم بررسی کنید.
سازگاری افزونه
قبل از اینکه در مورد انتخاب و نصب افزونه ها تصمیم بگیرید، باید به سازگاری آن هم دقت داشته باشید. اگر افزونه به مدت 2 سال بروزرسانی نشده باشد، وردپرس این مورد را به شما می گوید. البته بروزرسانی نشدن به این معنا نیست که افزونه مخرب است و یا با سایت سازگاری ندارد. بلکه ممکن است نیازی به بروزرسانی نداشته باشد و این افزونه هنوز کار می کند.
رتبه بندی افزونه به شما کمک می کند تا در این مورد بهتر تصمیم بگیرید. همچنین به سازگاری نسخه فعلی وردپرس هم نگاهی بیندازید. در صفحه افزونه در وردپرس این مورد نشان داده شده است. شما براساس رتبه بندی ها و سازگاری افزونه می توانید انتخاب بهتری داشته باشید و امنیت وردپرس خود را تأمین کنید.
سخن پایانی
در پایان باید بگوییم درست مانند اضافه کردن یک پست یا برگه، بررسی امنیت وب سایت باید در اولویت قرار بگیرد. به خاطر داشته باشید که آنچه گفته شد لیست توصیه های عمومی برای امنیت وردپرس هستند. شما باید همواره یک نسخه پشتیبان هم از سایت خود تهیه کنید. همچنین به یک متخصص مراجعه کرده تا امنیت سایت شما را به صورت اختصاصی بررسی کند.
لطفا شما هم تجربیات خودتان را در این زمینه با ما به اشتراک بگذارید.
6 پاسخ
سلام خسته نباشید من مدتی میشه با وردپرس آشنا شدم و داخل گوگل زیاد سرچ کردم هرکی یه چیزی میگه یکی میگه افزونه آیتمز خوبه یکی میگه وردفنس و یا میگن هر دو رو باهم نصب کنید خوبه و یکی میگه اینا دیتابیس رو سنگین میکنن و بدون افزونه امنیت سایت رو ببرید بالا یعنی بدون کدنویسی نمیشه با افزونه امنیت سایت رو ببری بالا و با تشکر از سایت خوبتون
سلام ممنون از توجهتون. با مشورت تیم طراحی سایت به جواب زیر رسیدیم.
هر دو این افزونه ها خوب هستند و قابلیت های خوبی دارند. من از افزونه آیتمز تجربه خوبی داشتم. و اینکه بله روی دیتابیس تاثیر داره ولی اونقدر مشکل ساز نیستن
اگه پلاگین ها رو از سایت های ایرانی بخریم اوکی هست؟ مشکلی ندارند؟
سلام. ترجیحا از وب سایت های معتبر خریداری کنید بهتر است.
سلام. چرا گاهی موقع آپدیت افزونه های سایتم با یه صفحه سفید مواجه می شم؟
سلام و روز بخیر. صفحه سفید یا صفحه سفید مرگ وردپرس به دلیل بروز خطاهای برنامه نویسی یا محدودیت های حافظه اتفاق می افتد. گاهی افزونه های مختلف با یکدیگر، قالب با افزنه ها یا هر دو با وردپرس ببا هم به اختلال می خورند و مشکل صفحه سفید ایجاد می شود. برای رفع آن می توانید از آموزش های مرتبط با صفحه سفید وردپرس استفاده کنید.