چگونه سایت وردپرسی را ایمن کنیم؟
راه اندازی یک سایت با وردپرس، بسیار ساده است، اما طولی نمی کشد که هکر ها سایت شما را هدف حملات خود قرار می دهند. بهترین روش برای ایمن کردن سایت وردپرس، شناسایی نقاط آسیب پذیری و سپس ایمن کردن آنهاست. در این مقاله می آموزید که چگونه دامنه، صفحه لاگین ورد پرس، ابزار و افزونه های خود را ایمن تر کنید. با آموزش امنیت وردپرس همراه ما باشید.
ایجاد دامنه خصوصی
این روز ها یافتن دامنه ای موجود با قیمت بسیار پایین آسان است. بیشتر افراد هیچ گونه افزونه ای برای دامنه خود خریداری نمی کنند. با این وجود یکی از موضوعاتی که باید همیشه به آن توجه داشته باشید حفظ حریم خصوصی است. سه سطح اساسی محافظت از حریم خصوصی با GoDaddy وجود دارد ، این سطوح با بیشتر شرکت ها ارائه دهنده دامنه هماهنگی دارد.
Basic : نام و اطلاعات تماس خود را از فهرست WHOIS مخفی کنید. این درصورتی امکان پذیر است که دولت اجازه پنهان کردن اطلاعات تماس دامنه را داشته باشد.
Full: اطلاعات شخصی خود را با آدرس ایمیل و اطلاعات دیگری جایگزین کنید تا هویت واقعی خود را مخفی کنید.
Ultimate : امنیت اضافی که اسکن دامنه مخرب را مسدود می کند و شامل نظارت بر امنیت وب سایت برای سایت واقعی شما است.
معمولاً ، ارتقا دامنه به یکی از این سطوح امنیتی فقط نیاز به انتخاب upgrade از لیست کشویی در صفحه فهرست دامنه دارد.
محافظت از دامنه اصلی نسبتاً ارزان است،معمولاً در حدود 9.99 دلار در سال(البته نه در ایران)
این یک روش عالی برای جلوگیری از دسترسی اسپمرها به اطلاعات تماس شما از پایگاه WHOIS است.
فایل های wp-config.php و .htaccess را مخفی کنید
هنگام نصب وردپرس، باید شناسه مدیریت و رمز ورود پایگاه داده SQL وردپرس خود را در فایل wp-config.php قرار دهید.
این داده ها پس از نصب رمزگذاری می شوند ،همچنین اگر می خواهید هکرها قادر به ویرایش این فایل و هک وب سایت نباشند، فایل .htaccess را در روت اصلی سایت پیدا کرده و ویرایش کنید و کد زیر را در پایین فایل اضافه کنید.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
برای جلوگیری از تغییر در خود .htaccess ، موارد زیر را نیز به پایین فایل اضافه کنید.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
فایل را ذخیره کرده و از ویرایشگر فایل خارج شوید.
همچنین می توانید مجوز ها را تغییر داده و دسترسی نوشتن را برای همه محدود کنید.
در حالی که انجام این کار در فایل wp-config.php نباید مشکلی ایجاد کند ، در .htaccess می تواند مشکلاتی را ایجاد کند.
به خصوص اگر از افزونه های امنیتی وردپرس استفاده می کنید که ممکن است نیاز به ویرایش فایل .htaccess داشته باشد.
در صورت دریافت هرگونه خطا از وردپرس ، همیشه می توانید مجوزها را به روز کنید تا امکان نوشتن مجدداً در پرونده .htaccess فراهم شود.
URL ورود به سیستم WordPress خود را تغییر دهید
از آنجا که صفحه ورود به سیستم پیش فرض برای هر سایت وردپرس yourdomain / wp-admin.php است ، هکرها از این URL برای حمله به سایت شما استفاده می کنند. آنها این کار را از طریق حملات “brute force” انجام می دهند که در آنها انواع نامهای کاربری و رمزهای عبور معمولی را که بسیاری از مردم از آنها استفاده می کنند ، ارسال می کنند.
هکرها امیدوارند که خوش شانس باشند و ترکیب مناسب را بدست آورند.
با تغییر URL ورود به سیستم وردپرس به چیزی غیر استاندارد می توانید این حملات را کاملاً متوقف کنید .
افزونه های وردپرس زیادی برای کمک به شما در انجام این کار وجود دارد. یکی از رایج ترین موارد WPS Hide Login است
این افزونه بخشی را به بخش General در تنظیمات وردپرس اضافه می کند.
در این بخش می توانید URL که برای ورود به سیستم می خواهید تایپ کنید، برای فعال شدن، تغییرات را ذخیره کنید.
دفعه دیگر که می خواهید وارد سایت وردپرس خود شوید ، از URL جدید استفاده کنید.
اگر کسی بخواهد به URL قدیمی wp-admin شما دسترسی پیدا کند ، به صفحه 404 سایت هدایت می شود.
توجه : اگر از پلاگین های کش استفاده می کنید، مطمئن شویدکه آدرس جدید لاگین را به لیست سایتهایی که در کش نیستند اضافه کنید. قبل از لاگین با ادرس جدید کش را پاک کنید.
یک پلاگین امنیتی نصب کنید.
ورد پرس دارای افزونه های امنیتی زیادی است. اما از بین همه آنها پلاگین Wordfence به دلایل زیر دارای محبوبیت بیشتری است:
نسخه رایگان این افزونه حملات بک دور، کدهای مخرب موجود در پلاگین ها ، حملات به پایگه داده سایت شما را به خوبی اسکن کرده و از این حملات چلوگیری می کند.
این افزونه همچنین شامل یک فایروال برای جلوگیری از حملات DDOS است.
همچنین با محدود کردن تلاش برای ورود به سیستم و قفل کاربرانی که بیش از حد برای ورود به سیستم تلاش می کنند می تواند جلوی حملات به سایت را بگیرید.
همه این تنظیمات در نسخه رایگان این افزونه وجود دارد، همچنین در بخش داشبورد افزونه می توانید تهدیدات و حملات صورت گرفته اخیر را بررسی کنید.
از رمز عبور WordPress Generator و 2FA استفاده کنید
آخرین چیزی که سایت شما برای هک شدن در اختیار هکر قرار می دهد، یک رمز عبور ضعیف است. متأسفانه افراد زیادی از رمزهای عبور بسیار ساده ای استفاده می کنند که حدس زدن آنها آسان است. برای مثال بیشتر افراد از نام وب سایت و یا نام مدیر برای رمز عبور استفاده می کنند و در آن از کاراکتر های ویژه هم استفاده نمی کنند.
اگر ورد پرس خود را به آخرین نسخه ارتقا داده باشید، به ابزار های قدرتمند امنیتی رمز عبور برای محافظت از سایت خود دسترسی دارید.
اولین قدم برای بهبود امنیت این است که به بخش مدیریت حساب کاربری رفته و Generate Password را انتخاب کنید.
با این کار یک رمز عبور طولانی و بسیار امن ایجاد می شود که شامل حروف ، اعداد و نویسه های خاص است. این رمز عبور را در جایی امن ذخیره کنید .
برای اطمینان از بسته بودن همه جلسات فعال ،Log Out Everywhere Else را انتخاب کنید .
سرانجام ، اگر افزونه امنیتی Wordfence را نصب کرده باشید ، یک دکمه Activate 2FA را مشاهده خواهید کرد . برای فعال کردن احراز هویت دو عاملی برای ورود به سیستم ، این مورد را انتخاب کنید.
اگر از Wordfence استفاده نمی کنید ، باید هرکدام از این افزونه های معروف 2FA را نصب کنید.
سایر کارها امنیتی
برای ایمن سازی کامل سایت وردپرس خود می توانید چند کار دیگر انجام دهید.
هر دو افزونه وردپرس و نسخه خود وردپرس باید همیشه به روز شوند. هکرها اغلب سعی می کنند از آسیب پذیری های نسخه های قدیمی کد در سایت شما استفاده کنند.
اگر هر دوی این موارد را به روز نکنید ، سایت خود را در معرض خطر قرار می دهید.
- 1. Plugins و Installed Plugins را بررسی کنید. تمام افزونه هایی که برای آنها نسخه آپدیت شده وجود دارد را به روز رسانی کنید.
اگر افزونه ای دارید که تاریخ آن گذشته است update now. را انتخاب کنید، همچنین می توانید فعال کردن خودکار به روز رسانی ها را برای افزونه انجام دهید.
با این حال برخی از افراد در بروز رسانی افزونه های کمی احتیاط می کنند چون ممکن است انجام به روز رسانی سایت شما را با مشکلاتی مواجه کند به همین دلیل بهتر است به روز رسانی افزونه های را در یک سایت ازمایشی تست کنید.
- 2. وقتی وارد داشبورد وردپرس خود می شوید ، در صورت استفاده از نسخه قدیمی ، اعلانی مبنی بر قدیمی بودن وردپرس مشاهده خواهید کرد.
مجدداً از سایت پشتیبان تهیه کرده و آن را در سایت تست محلی در رایانه شخصی خود بارگذاری کنید تا آزمایش کنید که به روزرسانی وردپرس سایت شما را خراب نمی کند.
- 3. از ویژگی های امنیتی رایگان هاستینگ خود بهره مند شوید. اکثر هاستینگ ها انواع خدمات امنیتی رایگان را برای سایتهایی که شما در آنجا میزبانی می کنید ارائه می دهند.
آنها این کار را انجام می دهند زیرا نه تنها از سایت شما محافظت می کند ، بلکه کل سرور را ایمن نگه می دارد.
این موارد اغلب شامل نصب رایگان امنیت SSL برای سایت ، پشتیبان گیری رایگان ، امکان مسدود کردن آدرسهای IP مخرب و حتی اسکن سایت است که به طور منظم سایت شما را از نظر کد مخرب یا آسیب پذیری اسکن می کند.
به یاد داشته باشید که ورد پرس فقط برای ارسال پست نیست. امنیت سایت یک فاکتور مهم است که با به کار گیری روش های گفته شده می توانید سایت خود را ایمن کنید.
منبع: wordfence