فهرست محتوا
افزایش امنیت سایت وردپرسی، موضوع بسیار مهمی است. گوگل هر روز بیش از 10000 وبسایت را برای بدافزار و هر هفته حدود 50000 وبسایت را برای فیشینگ در لیست سیاه قرار میدهد. پس این موضوع باید برای هر صاحب وبسایتی مهم شمرده شود. اگر شما نیز در مورد سطح امنیت وبسایت خود جدی هستید، بعد از طراحی سایت باید به بهترین شیوههای بالا بردن امنیت در وردپرس توجه کنید. در این مقاله، ما تمام نکات مهم برای محافظت از وبسایت در برابر هکرها و بدافزارها را با شما به اشتراک میگذاریم. پس با ما همراه باشید.
با اینکه وردپرس ذاتا ایمن است و به طور منظم توسط صدها توسعهدهنده بررسی میشود، اما کارهای زیادی وجود دارد که به عنوان یک صاحب وبسایت برای حفظ امنیت سایت خود میتوانید انجام دهید؛ حتی اگر در زمینه فناوری، اطلاعات کافی ندارید. دقت کنید امنیت فقط حذف ریسک نیست، بلکه کاهش ریسک نیز است. در اینجا یک راهنمای گام به گام برای محافظت از وبسایت خود در برابر آسیبپذیریهای امنیتی آمده است. لیست این گامها در فهرست زیر قابل رویت است:
مبانی امنیت وردپرس
چرا امنیت سایت وردپرسی مهم است؟
آنچه بعد از طراحی سایت وردپرسی اهمیت دارد امنیت آن میباشد. شما حتی با طراحی سایت حرفهای، بدون در نظر گرفتن موارد امنیتی، نمیتوانید به اهداف خود برسید. یک سایت وردپرسی هکشده میتواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها میتوانند اطلاعات کاربر و رمزهای عبور را سرقت کرده و نرمافزارهای مخرب بر سایت شما نصب کنند. آنها حتی میتوانند یک بدافزار را بین کاربران شما توزیع نمایند. بدتر از همه، ممکن است مجبور شوید برای دسترسی مجدد به وبسایت خود، به هکرها باج پرداخت کنید.
در اسفند ۱۳۹۴، گوگل گزارش داد که به بیش از 50 میلیون کاربر وبسایت هشدار داده شده که ممکن است وبسایتی که بازدید میکنند حاوی بدافزار یا بستری برای سرقت اطلاعات باشد. از طرفی اگر وبسایت شما تجارتی است، پس باید به امنیت آن توجه بیشتری داشته باشید. همان طور که مالکان یک کسب و کار مسئولیت محافظت از ساختمان فروشگاه فیزیکی خود را دارند، شما نیز به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وبسایت خود را بر عهده دارید. پس باید برای افزایش امنیت سایت وردپرسی خود تلاش کنید.
همچنین بخوانید: «هدف از طراحی سایت چیست و چرا به وبسایت نیاز داریم؟»
بروز نگه داشتن وردپرس برای افزایش امنیت سایت وردپرسی
وردپرس یک نرمافزار متنباز است که به طور مرتب بروز میشود. وردپرس به طور خودکار بروزرسانیهای جزئی را نصب میکند. اما برای نسخههای اصلی، باید بروزرسانی را به صورت دستی انجام دهید. وردپرس همچنین دارای هزاران افزونه و تم است که میتوانید در وبسایت خود نصب کنید. این پلاگینها و تمها توسط توسعهدهندگان شخص ثالث نگهداری میشوند. توسعهدهندگانی که به طور منظم بروزرسانی را نیز منتشر میکنند. این بروزرسانیها برای افزایش امنیت سایت وردپرسی شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونهها و قالب سایت شما همواره بروز هستند.
انتخاب رمز عبورهای قوی و مجوزهای کاربر
رایجترین تلاشها برای هک وردپرس، سرقت رمزهای عبور است. شما میتوانید با استفاده از رمزهای عبور قویتر و منحصر به فرد، مانع سرقت رمزهای عبور وبسایت خود شوید. پیشنهاد میشود این مورد را نه فقط برای بخش مدیریت، بلکه برای حسابهای FTP، پایگاه داده، حساب میزبانی و آدرسهای ایمیل سفارشی که از نام دامنه سایت شما استفاده میکنند نیز انجام دهید.
بسیاری از مبتدیان، استفاده از رمزهای عبور قوی را دوست ندارند؛ زیرا به خاطر سپردن آنها سخت است. نکته خوب این است که دیگر نیازی به یادآوری رمزهای عبور ندارید. میتوانید از یک برنامه مدیریت رمز عبور استفاده کنید.
راه دیگر برای کاهش خطر سرقت رمزهای عبور این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید، مگر اینکه واقعا مجبور باشید. اگر یک تیم کاری بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حسابهای کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقشها و قابلیتهای کاربر در وردپرس را درک کردهاید.
نقش میزبانی وب در افزایش امنیت سایت وردپرسی
سرویس میزبانی وردپرس شما مهمترین نقش را در افزایش امنیت سایت وردپرسی شما ایفا میکند. یک ارائهدهنده میزبانی وب مشترک خوب، اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام میدهد.
در ادامه، نحوه عملکرد یک شرکت میزبانی وب خوب برای محافظت از وبسایت و دادههای شما آمده است:
- آنها شبکه خود را به طور مداوم برای کشف فعالیتهای مشکوک زیر نظر دارند.
- آنها ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند (منظور حملاتی است که با حجم زیادی از درخواستهای بیمورد، مانع سرویسرسانی وبسایت به کاربران واقعی میشود).
- آنها نرمافزار سرور، نسخههای php و سختافزار خود را بروز نگه میدارند تا از سوءاستفاده هکرها جلوگیری کنند.
- آنها دارای برنامههای بازیابی برای محافظت از دادههای شما در زمان رخداد حوادث ناگوار هستند.
در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک میگذارید. این مورد موجب میشود هکرها بتوانند از یک سایت همسایه برای حمله به وبسایت شما استفاده کنند. استفاده از یک سرویس میزبانی مدیریتشده وردپرس، بستر امنتری را برای وبسایت شما فراهم میکند. شرکتهای میزبانی مدیریتشده وردپرس، پشتیبانگیری خودکار، بروزرسانی خودکار و تنظیمات امنیتی پیشرفتهتری را برای محافظت از وبسایت شما ارائه میدهند.
همچنین بخوانید: «چگونه کسب و کار سنتی خود را آنلاین کنیم؟»
افزایش امنیت سایت وردپرسی بدون کدنویسی
ما میدانیم که افزایش امنیت سایت وردپرسی میتواند یک دغدغه بزرگ برای مبتدیان باشد. به خصوص اگر اهل فن نباشند. اما اصلا جای نگرانی نیست. ما به شما نشان خواهیم داد که چگونه میتوانید امنیت سایت وردپرسی خود را تنها با چند کلیک ساده و بدون نیاز به کدنویسی افزایش دهید.
نصب یک افزونه پشتیبان وردپرس
پشتیبانگیری اولین دفاع شما در برابر هرگونه حمله به وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وبسایتهای دولتی را میتوان هک کرد، پس سایت شما نیز میتواند هک شود. پشتیبانگیری به شما این امکان را میدهد تا در صورت وقوع هر گونه اتفاق ناگواری، به سرعت سایت وردپرس خود را بازیابی کنید.
تعداد زیادی افزونه پشتیبانگیری از وردپرس به صورت رایگان و پولی وجود دارد که میتوانید از آنها استفاده کنید. مهمترین چیزی که در مورد پشتیبانگیری باید بدانید این است که باید به طور منظم نسخههای پشتیبان کامل از سایت خود را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.
توصیه میکنیم برای این منظور از یک سرویس ابری مانند آمازون یا دراپ باکس استفاده کنید. تنظیم زمان تهیه نسخه پشتیبان نیز بر اساس تعداد دفعاتی که در طول روز یا هفته وبسایت خود را بروز میکنید تعیین میشود. این کار را میتوان با استفاده از افزونههایی مانند UpdraftPlus یا BlogVault انجام داد. هر دوی اینها قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است، یعنی هیچ نیازی به کدنویسی ندارد.
فعال کردن فایروال برنامه وب (WAF)
سادهترین راه برای اطمینان از افزایش امنیت سایت وردپرسی، استفاده از فایروال برنامه وب (WAF) است. یک فایروال برنامه وب، تمام ترافیک مخرب را قبل از رسیدن به وبسایت شما مسدود میکند. از جمله این فایروالها میتوان به فایروال سطح DNS و فایروال سطح برنامه اشاره کرد.
- فایروال سطح DNS: این نوع فایروال، ترافیک وبسایت شما را از طریق سرورهای پروکسی ابری خود هدایت میکند. در نتیجه میتواند فقط ترافیک واقعی را به سرور وب شما ارسال کند.
- فایروال سطح برنامه: این نوع فایروال، ترافیک را زمانی که به سرور شما میرسد، درست قبل از بارگیری اکثر اسکریپتهای وردپرسی بررسی میکند. کارآمدی این روش در مقایسه با فایروال سطح DNS از لحاظ کاهش بار سرور کمتر است. اما میتواند مورد استفاده قرار بگیرد.
برای استفاده از فایروال برنامه وب میتوانید از افزونههای امنیتی وردپرس استفاده کنید. یکی از بهترین این افزونهها، Sucuri Scanner است. این افزونه با اینکه به صورت رایگان عرضه شده اما یک سیستم حسابرسی و نظارت کامل است که هر اتفاقی در وبسایت شما را پیگیری میکند. این سیستم شامل نظارت بر یکپارچگی فایلها، تلاشهای ناموفق برای ورود به سیستم، اسکن بدافزار و غیره میباشد.
همچنین بخوانید: «تاثیر وبسایت در کسب و کار»
انتقال سایت وردپرس به SSL/HTTPS برای افزایش امنیت سایت وردپرسی
SSL (لایه سوکتهای امن) پروتکلی است که انتقال دادهها بین وبسایت شما و مرورگر کاربران را رمزگذاری میکند. این رمزگذاری، دسترسی به اطلاعات و سرقت آنها را برای دیگران دشوار خواهد کرد.
اگر SSL را فعال کنید، وبسایت شما به جای پروتکل HTTP از حالت امن آن یعنی پروتکل HTTPS استفاده میکند. این امر منجر به افزایش امنیت سایت وردپرسی شما میشود. در این حالت شما میتوانید علامت قفل را در کنار آدرس وبسایت خود در مرورگر مشاهده کنید. گواهینامههای SSL در گذشته معمولاً توسط مقامات مربوطه صادر میشد و قیمت آنها از 80 دلار تا صدها دلار در سال متغیر بود. به همین دلیل، اکثر صاحبان وبسایت ترجیح میدادند از این پروتکل استفاده نکنند و امنیت سایت خود را به خطر بیندازند.
برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت گواهینامههای SSL رایگان را به صاحبان وبسایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکتهای دیگر پشتیبانی میشود. بدین ترتیب در حال حاضر، استفاده از SSL برای تمام وبسایتهای وردپرسی آسانتر از همیشه است. در واقع بسیاری از شرکتهای هاستینگ، گواهی SSL رایگان برای وبسایت وردپرسی شما ارائه میدهند. اگر شرکت میزبان شما این سرویس را ارائه نمیدهد، بهتر است فضای میزبانی وب خود را از شرکت دیگری خریداری کنید.
افزایش امنیت سایت وردپرسی با کدنویسی
اگر تمام کارهایی را که تاکنون ذکر کردیم انجام دادهاید، پس در وضعیت بسیار خوبی هستید. اما مثل همیشه، کارهای بیشتری وجود دارد که میتوانید برای افزایش امنیت سایت وردپرسی خود انجام دهید. برخی از این کارها ممکن است به دانش کدنویسی نیاز داشته باشد. با این حال بیشتر آنها میتواند توسط کاربران عادی (DIY) انجام شود.
همچنین بخوانید: «مزایای کسب و کار اینترنتی»
تغییر نام کاربری پیشفرض
نام کاربری پیشفرض نرمافزار وردپرس admin است. از آنجا که نامهای کاربری نیمی از اعتبار ورود به سیستم را تشکیل میدهند، عدم تغییر آن، انجام حملات brute-force را برای هکرها آسانتر میکند. منظور از این نوع حمله، تلاش برای شکستن رمز عبور، یافتن نام کاربری و موارد مشابه است.
خوشبختانه، وردپرس اکنون از شما میخواهد که در زمان نصب، یک نام کاربری سفارشی انتخاب کنید. با این حال، برخی از نصبکنندههای وردپرس، همواره همان نام کاربری پیشفرض یعنی “admin” را انتخاب میکنند و آن را تغییر نمیدهند. اگر متوجه شدید که اینطور است، پیشنهاد میشود میزبانی وب خود را تغییر دهید. از آنجا که وردپرس به طور پیشفرض اجازه تغییر نام کاربری را به شما نمیدهد، میتوانید از سه روش زیر استفاده کنید و به افزایش امنیت سایت وردپرسی خود بپردازید.
- یک نام کاربری جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
- از افزونه Username Changer استفاده کنید.
- نام کاربری را از phpMyAdmin بروز کنید.
افزایش امنیت سایت وردپرسی با غیرفعال کردن امکان ویرایش فایل
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان میدهد تم و فایلهای افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. اما لازم است بدانید این ویژگی میتواند یک خطر امنیتی باشد. به همین دلیل توصیه میکنیم آن را خاموش کنید. البته خطر زمانی وبسایت را تهدید میکند که یک فرد ناشی بخواهد با آن کار کند. با افزودن کد زیر در فایل wp-config.php به راحتی میتوانید این کار را انجام دهید.
define( 'DISALLOW_FILE_EDIT', true );
همچنین، میتوانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک ساده انجام دهید.
غیرفعال کردن اجرای فایل PHP در فهرستهای خاص وردپرس
یکی دیگر از راههای افزایش امنیت سایت وردپرسی، غیرفعال کردن اجرای فایل PHP در دایرکتوریهایی است که به آن نیازی نیست. یک نمونه از این دایرکتوریها /wp-content/uploads/ است. شما میتوانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و تایپ این کد در آن انجام دهید:
<Files *.php> deny from all </Files>
در مرحله بعد، باید این فایل را با پسوند htaccess. ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در مسیر /wp-content/uploads/ وبسایت خود آپلود نمایید. همچنین، میتوانید این کار را با یک کلیک با استفاده از ویژگی Hardening در افزونه Sucuri انجام دهید.
همچنین بخوانید: «اهمیت داشتن وبسایت برای کسب و کارهای کوچک»
محدود کردن تلاش برای ورود به سایت
به طور پیشفرض، وردپرس به کاربران این امکان را میدهد که هر چند بار که میخواهند وارد سیستم شوند. این مورد باعث میشود سایت وردپرسی شما در برابر حملات بیرحمانه آسیبپذیر باشد. هکرها با تلاش برای ورود به سیستم، با ترکیبات مختلف سعی در شکستن رمزهای عبور شما را دارند.
این را میتوان به راحتی با محدود کردن تعداد تلاشهای ناموفق برای ورود به سیستم توسط کاربر برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده میکنید، این مورد به طور خودکار انجام میشود. با این حال، اگر راهاندازی فایروال را انجام ندادهاید، افزونه Login LockDown را نصب و فعالسازی کنید.
اضافه کردن احراز هویت دومرحلهای برای افزایش امنیت سایت وردپرسی
تکنیک احراز هویت دومرحلهای از کاربران میخواهد که با استفاده از روش احراز هویت دومرحلهای وارد سیستم شوند. مرحله اول وارد کردن نام کاربری و رمز عبور است. مرحله دوم استفاده از برنامه جداگانه احراز هویت است.
اکثر وبسایتهای آنلاین برتر مانند گوگل، فیس بوک، توییتر و غیره به شما این امکان را میدهند که در آنها برای خود حساب ایجاد کنید. شما میتوانید با اضافه کردن این قابلیت موجب افزایش امنیت سایت وردپرسی خود شوید. ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعالسازی، باید روی پیوند « Two Factor Auth» در نوار کناری مدیریت وردپرس کلیک کنید.
در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب کنید. از جمله این برنامهها میتوان به Google Authenticator، Authy و LastPass Authenticator اشاره کرد. توصیه میکنیم از LastPass Authenticator یا Authy استفاده کنید. زیرا هر دو این امکان را به شما میدهند که از حسابهای خود در فضای ابری نسخه پشتیبان تهیه کنید. این امکان برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است.
ما از LastPass Authenticator برای ادامه آموزش استفاده خواهیم کرد. با این حال، دستورالعملها برای همه برنامههای احراز هویت مشابه است. برنامه احراز هویت خود را باز کنید و سپس روی دکمه Add کلیک کنید. در این مرحله از شما میخواهد سایت را به صورت دستی یا از طریق بارکد اسکن کنید.
گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode موجود در صفحه تنظیمات افزونه قرار دهید. تمام، برنامه احراز هویت شما اکنون آن را ذخیره میکند. دفعه بعد که وارد وبسایت خود میشوید، پس از وارد کردن رمز عبور، از شما کد احراز هویت دومرحلهای خواسته میشود. اکنون اپلیکیشن authenticator را روی گوشی خود باز کنید و کدی را که روی آن میبینید وارد کنید.
تغییر پیشوند پایگاه داده وردپرس
به طور پیشفرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده استفاده میکند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیشفرض استفاده کند، حدس زدن نام جداول شما برای هکرها آسانتر میشود. به همین دلیل است که توصیه میکنیم آن را تغییر دهید. البته دقت کنید اگر این مورد به درستی انجام نشود، میتواند سایت شما را خراب کند. پس فقط در صورتی که دارای مهارت کدنویسی هستید این کار را انجام دهید.
حفاظت از رمز عبور ادمین برای ورود به سیستم
به طور معمول، هکرها میتوانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این به آنها اجازه میدهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا نمایند. شما میتوانید حفاظت از رمز عبور را در سمت سرور اضافه کنید و این درخواستها را مسدود نمایید. بدین ترتیب میتوانید موجب افزایش امنیت سایت وردپرسی خود شوید.
غیرفعال کردن مرور فهرستبندی
هکرها میتوانند از مرور فهرستبندی استفاده کنند تا بفهمند آیا فایلی با آسیبپذیری بالا دارید یا خیر. بنابراین آنها میتوانند این فایلها را برای دسترسی به سایت شما به کار بگیرند. مرور فهرستبندی همچنین میتواند برای بررسی فایلهای شما، کپی کردن تصاویر، یافتن ساختار فهرستبندی و سایر اطلاعات مورد استفاده قرار بگیرد.
به همین دلیل است که به شدت توصیه میشود مرور فهرستبندی را غیرفعال کنید. برای این منظور شما باید با استفاده از FTP یا مدیریت فایل cPanel به وبسایت خود متصل شوید. سپس، فایل htaccess. را در فهرستبندی ریشه وبسایت خود پیدا کنید و خط زیر را در انتهای فایل htaccess. اضافه کنید:
Options -Indexes
فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید.
منبع: wpbeginner.com
آخرین دیدگاهها