آموزش گام به گام افزایش امنیت سایت وردپرسی در سال ۲۰۲۲

توسط | 19 بهمن 1400 | وردپرس | 0 دیدگاه

افزایش امنیت سایت وردپرسی

فهرست محتوا

 

افزایش امنیت سایت وردپرسی، موضوع بسیار مهمی است. گوگل هر روز بیش از 10000 وب‌سایت را برای بدافزار و هر هفته حدود 50000 وب‌سایت را برای فیشینگ در لیست سیاه قرار می‌دهد. پس این موضوع باید برای هر صاحب وب‌سایتی مهم شمرده شود. اگر شما نیز در مورد سطح امنیت وب‌سایت خود جدی هستید، بعد از طراحی سایت باید به بهترین شیوه‌های بالا بردن امنیت در وردپرس توجه کنید. در این مقاله، ما تمام نکات مهم برای محافظت از وب‌سایت در برابر هکرها و بدافزارها را با شما به اشتراک می‌گذاریم. پس با ما همراه باشید.

افزایش امنیت سایت وردپرسی

با اینکه وردپرس ذاتا ایمن است و به طور منظم توسط صدها توسعه‌دهنده بررسی می‌شود، اما کارهای زیادی وجود دارد که به عنوان یک صاحب وب‌سایت برای حفظ امنیت سایت خود می‌توانید انجام دهید؛ حتی اگر در زمینه فناوری، اطلاعات کافی ندارید. دقت کنید امنیت فقط حذف ریسک نیست، بلکه کاهش ریسک نیز است. در اینجا یک راهنمای گام به گام برای محافظت از وب‌سایت خود در برابر آسیب‌پذیری‌های امنیتی آمده است. لیست این گام‌ها در فهرست زیر قابل رویت است:

 

مبانی امنیت وردپرس

چرا امنیت سایت وردپرسی مهم است؟

آنچه بعد از طراحی سایت وردپرسی اهمیت دارد امنیت آن می‌باشد. شما حتی با طراحی سایت حرفه‌ای، بدون در نظر گرفتن موارد امنیتی، نمی‌توانید به اهداف خود برسید. یک سایت وردپرسی هک‌شده می‌تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می‌توانند اطلاعات کاربر و رمزهای عبور را سرقت کرده و نرم‌افزارهای مخرب بر سایت شما نصب کنند. آنها حتی می‌توانند یک بدافزار را بین کاربران شما توزیع نمایند. بدتر از همه، ممکن است مجبور شوید برای دسترسی مجدد به وب‌سایت خود، به هکرها باج پرداخت کنید.

امنیت سایت وردپرسی

در اسفند ۱۳۹۴، گوگل گزارش داد که به بیش از 50 میلیون کاربر وب‌سایت هشدار داده شده که ممکن است وب‌سایتی که بازدید می‌کنند حاوی بدافزار یا بستری برای سرقت اطلاعات باشد. از طرفی اگر وب‌سایت شما تجارتی است، پس باید به امنیت آن توجه بیشتری داشته باشید. همان طور که مالکان یک کسب و کار مسئولیت محافظت از ساختمان فروشگاه فیزیکی خود را دارند، شما نیز به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وب‌سایت خود را بر عهده دارید. پس باید برای افزایش امنیت سایت وردپرسی خود تلاش کنید.

همچنین بخوانید: «هدف از طراحی سایت چیست و چرا به وب‌سایت نیاز داریم؟»

 

بروز نگه داشتن وردپرس برای افزایش امنیت سایت وردپرسی

بروزرسانی نرم‌افزار وردپرس

وردپرس یک نرم‌افزار متن‌باز است که به طور مرتب بروز می‌شود. وردپرس به طور خودکار بروزرسانی‌های جزئی را نصب می‌کند. اما برای نسخه‌های اصلی، باید بروزرسانی را به‌ صورت دستی انجام دهید. وردپرس همچنین دارای هزاران افزونه و تم است که می‌توانید در وب‌سایت خود نصب کنید. این پلاگین‌ها و تم‌ها توسط توسعه‌دهندگان شخص ثالث نگهداری می‌شوند. توسعه‌دهندگانی که به طور منظم بروزرسانی را نیز منتشر می‌کنند. این بروزرسانی‌ها برای افزایش امنیت سایت وردپرسی شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونه‌ها و قالب سایت شما همواره بروز هستند.

 

انتخاب رمز عبورهای قوی و مجوزهای کاربر

استفاده از رمز های پیچیده

رایج‌ترین تلاش‌ها برای هک وردپرس، سرقت رمزهای عبور است. شما می‌توانید با استفاده از رمزهای عبور قوی‌تر و منحصر به فرد، مانع سرقت رمزهای عبور وب‌سایت خود شوید. پیشنهاد می‌شود این مورد را نه فقط برای بخش مدیریت، بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی و آدرس‌های ایمیل سفارشی که از نام دامنه سایت شما استفاده می‌کنند نیز انجام دهید.

بسیاری از مبتدیان، استفاده از رمزهای عبور قوی را دوست ندارند؛ زیرا به خاطر سپردن آنها سخت است. نکته خوب این است که دیگر نیازی به یادآوری رمزهای عبور ندارید. می‌توانید از یک برنامه مدیریت رمز عبور استفاده کنید.

راه دیگر برای کاهش خطر سرقت رمزهای عبور این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید، مگر اینکه واقعا مجبور باشید. اگر یک تیم کاری بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را درک کرده‌اید.

 

نقش میزبانی وب در افزایش امنیت سایت وردپرسی

سرویس میزبانی وردپرس شما مهم‌ترین نقش را در افزایش امنیت سایت وردپرسی شما ایفا می‌کند. یک ارائه‌دهنده میزبانی وب مشترک خوب، اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می‌دهد.

در ادامه، نحوه عملکرد یک شرکت میزبانی وب خوب برای محافظت از وب‌سایت و داده‌های شما آمده است:

  • آنها شبکه خود را به طور مداوم برای کشف فعالیت‌های مشکوک زیر نظر دارند.
  • آنها ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند (منظور حملاتی است که با حجم زیادی از درخواست‌های بی‌مورد، مانع سرویس‌رسانی وب‌سایت به کاربران واقعی می‌شود).
  • آنها نرم‌افزار سرور، نسخه‌های php و سخت‌افزار خود را بروز نگه می‌دارند تا از سوءاستفاده هکرها جلوگیری کنند.
  • آنها دارای برنامه‌های بازیابی برای محافظت از داده‌های شما در زمان رخداد حوادث ناگوار هستند.

در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می‌گذارید. این مورد موجب می‌شود هکرها بتوانند از یک سایت همسایه برای حمله به وب‌سایت شما استفاده کنند. استفاده از یک سرویس میزبانی مدیریت‌شده وردپرس، بستر امن‌تری را برای وب‌سایت شما فراهم می‌کند. شرکت‌های میزبانی مدیریت‌شده وردپرس، پشتیبان‌گیری خودکار، بروزرسانی خودکار و تنظیمات امنیتی پیشرفته‌تری را برای محافظت از وب‌سایت شما ارائه می‌دهند.

همچنین بخوانید: «چگونه کسب و کار سنتی خود را آنلاین کنیم؟»

 

افزایش امنیت سایت وردپرسی بدون کدنویسی

ما می‌دانیم که افزایش امنیت سایت وردپرسی می‌تواند یک دغدغه بزرگ برای مبتدیان باشد. به خصوص اگر اهل فن نباشند. اما اصلا جای نگرانی نیست. ما به شما نشان خواهیم داد که چگونه می‌توانید امنیت سایت وردپرسی خود را تنها با چند کلیک ساده و بدون نیاز به کدنویسی افزایش دهید.

 

نصب یک افزونه پشتیبان وردپرس

 

پشتیبان‌گیری اولین دفاع شما در برابر هرگونه حمله به وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب‌سایت‌های دولتی را می‌توان هک کرد، پس سایت شما نیز می‌تواند هک شود. پشتیبان‌گیری به شما این امکان را می‌دهد تا در صورت وقوع هر گونه اتفاق ناگواری، به سرعت سایت وردپرس خود را بازیابی کنید.

تعداد زیادی افزونه پشتیبان‌گیری از وردپرس به صورت رایگان و پولی وجود دارد که می‌توانید از آنها استفاده کنید. مهم‌ترین چیزی که در مورد پشتیبان‌گیری باید بدانید این است که باید به طور منظم نسخه‌های پشتیبان کامل از سایت خود را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.

توصیه می‌کنیم برای این منظور از یک سرویس ابری مانند آمازون یا دراپ باکس استفاده کنید. تنظیم زمان تهیه نسخه پشتیبان نیز بر اساس تعداد دفعاتی که در طول روز یا هفته وب‌سایت خود را بروز می‌کنید تعیین می‌شود. این کار را می‌توان با استفاده از افزونه‌هایی مانند UpdraftPlus یا BlogVault انجام داد. هر دوی اینها قابل اعتماد هستند و از همه مهم‌تر استفاده از آنها آسان است، یعنی هیچ نیازی به کدنویسی ندارد.

 

فعال کردن فایروال برنامه وب (WAF)

ساده‌ترین راه برای اطمینان از افزایش امنیت سایت وردپرسی، استفاده از فایروال برنامه وب (WAF) است. یک فایروال برنامه وب، تمام ترافیک مخرب را قبل از رسیدن به وب‌سایت شما مسدود می‌کند. از جمله این فایروال‌ها می‌توان به فایروال سطح DNS و فایروال سطح برنامه اشاره کرد.

  • فایروال سطح DNS: این نوع فایروال، ترافیک وب‌سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می‌کند. در نتیجه می‌تواند فقط ترافیک واقعی را به سرور وب شما ارسال کند.
  • فایروال سطح برنامه: این نوع فایروال، ترافیک را زمانی که به سرور شما می‌رسد، درست قبل از بارگیری اکثر اسکریپت‌های وردپرسی بررسی می‌کند. کارآمدی این روش در مقایسه با فایروال سطح DNS از لحاظ کاهش بار سرور کمتر است. اما می‌تواند مورد استفاده قرار بگیرد.

استفاده از فایروال برنامه وب برای افزایش امنیت سایت وردپرسی

برای استفاده از فایروال برنامه وب می‌توانید از افزونه‌های امنیتی وردپرس استفاده کنید. یکی از بهترین این افزونه‌ها، Sucuri Scanner است. این افزونه با اینکه به صورت رایگان عرضه شده اما یک سیستم حسابرسی و نظارت کامل است که هر اتفاقی در وب‌سایت شما را پیگیری می‌کند. این سیستم شامل نظارت بر یکپارچگی فایل‌ها، تلاش‌های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره می‌باشد.

همچنین بخوانید: «تاثیر وب‌سایت در کسب و کار»

 

انتقال سایت وردپرس به SSL/HTTPS برای افزایش امنیت سایت وردپرسی

SSL (لایه سوکت‌های امن) پروتکلی است که انتقال داده‌ها بین وب‌سایت شما و مرورگر کاربران را رمزگذاری می‌کند. این رمزگذاری، دسترسی به اطلاعات و سرقت آنها را برای دیگران دشوار خواهد کرد.

اگر SSL را فعال کنید، وب‌سایت شما به جای پروتکل HTTP از حالت امن آن یعنی پروتکل HTTPS استفاده می‌کند. این امر منجر به افزایش امنیت سایت وردپرسی شما می‌شود. در این حالت شما می‌توانید علامت قفل را در کنار آدرس وب‌سایت خود در مرورگر مشاهده کنید. گواهینامه‌های SSL در گذشته معمولاً توسط مقامات مربوطه صادر می‌شد و قیمت آنها از 80 دلار تا صدها دلار در سال متغیر بود. به همین دلیل، اکثر صاحبان وب‌سایت ترجیح می‌دادند از این پروتکل استفاده نکنند و امنیت سایت خود را به خطر بیندازند.

ssl چونه کار می‌کند؟

برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت گواهینامه‌های SSL رایگان را به صاحبان وب‌سایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت‌های دیگر پشتیبانی می‌شود. بدین ترتیب در حال حاضر، استفاده از SSL برای تمام وب‌سایت‌های وردپرسی آسان‌تر از همیشه است. در واقع بسیاری از شرکت‌های ‌هاستینگ، گواهی SSL رایگان برای وب‌سایت وردپرسی شما ارائه می‌دهند. اگر شرکت میزبان شما این سرویس را ارائه نمی‌دهد، بهتر است فضای میزبانی وب خود را از شرکت دیگری خریداری کنید.

 

افزایش امنیت سایت وردپرسی با کدنویسی

اگر تمام کارهایی را که تاکنون ذکر کردیم انجام داده‌اید، پس در وضعیت بسیار خوبی هستید. اما مثل همیشه، کارهای بیشتری وجود دارد که می‌توانید برای افزایش امنیت سایت وردپرسی خود انجام دهید. برخی از این کارها ممکن است به دانش کدنویسی نیاز داشته باشد. با این حال بیشتر آنها می‌تواند توسط کاربران عادی (DIY) انجام شود.

همچنین بخوانید: «مزایای کسب و کار اینترنتی»

 

تغییر نام کاربری پیش‌فرض

نام کاربری پیش‌فرض نرم‌افزار وردپرس admin است. از آنجا که نام‌های کاربری نیمی ‌از اعتبار ورود به سیستم را تشکیل می‌دهند، عدم تغییر آن، انجام حملات brute-force را برای هکرها آسان‌تر می‌کند. منظور از این نوع حمله، تلاش برای شکستن رمز عبور، یافتن نام کاربری و موارد مشابه است.

تغییر نام کاربری پیش‌فرض

خوشبختانه، وردپرس اکنون از شما می‌خواهد که در زمان نصب، یک نام کاربری سفارشی انتخاب کنید. با این حال، برخی از نصب‌کننده‌های وردپرس، همواره همان نام کاربری پیش‌فرض یعنی “admin” را انتخاب می‌کنند و آن را تغییر نمی‌دهند. اگر متوجه شدید که اینطور است، پیشنهاد می‌شود میزبانی وب خود را تغییر دهید. از آنجا که وردپرس به طور پیش‌فرض اجازه تغییر نام کاربری را به شما نمی‌دهد، می‌توانید از سه روش زیر استفاده کنید و به افزایش امنیت سایت وردپرسی خود بپردازید.

  • یک نام کاربری جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
  • از افزونه Username Changer استفاده کنید.
  • نام کاربری را از phpMyAdmin بروز کنید.

 

افزایش امنیت سایت وردپرسی با غیرفعال کردن امکان ویرایش فایل

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می‌دهد تم و فایل‌های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. اما لازم است بدانید این ویژگی می‌تواند یک خطر امنیتی باشد. به همین دلیل توصیه می‌کنیم آن را خاموش کنید. البته خطر زمانی وب‌سایت را تهدید می‌کند که یک فرد ناشی بخواهد با آن کار کند. با افزودن کد زیر در فایل wp-config.php به راحتی می‌توانید این کار را انجام دهید.

define( 'DISALLOW_FILE_EDIT', true );

همچنین، می‌توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک ساده انجام دهید.



غیرفعال کردن اجرای فایل PHP در فهرست‌های خاص وردپرس


یکی دیگر از راه‌های افزایش امنیت سایت وردپرسی، غیرفعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن نیازی نیست. یک نمونه از این دایرکتوری‌ها /wp-content/uploads/ است. شما می‌توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و تایپ این کد در آن انجام دهید:



<Files *.php>

deny from all

</Files>




در مرحله بعد، باید این فایل را با پسوند htaccess. ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در مسیر /wp-content/uploads/ وب‌سایت خود آپلود نمایید. همچنین، می‌توانید این کار را با یک کلیک با استفاده از ویژگی Hardening در افزونه Sucuri انجام دهید.


همچنین بخوانید: «اهمیت داشتن وب‌سایت برای کسب و کارهای کوچک»


 


محدود کردن تلاش برای ورود به سایت


محدود کردن تلاش برای ورود به سایت


به طور پیش‌فرض، وردپرس به کاربران این امکان را می‌دهد که هر چند بار که می‌خواهند وارد سیستم شوند. این مورد باعث می‌شود سایت وردپرسی شما در برابر حملات بی‌رحمانه آسیب‌پذیر باشد. هکرها با تلاش برای ورود به سیستم، با ترکیبات مختلف سعی در شکستن رمزهای عبور شما را دارند.


این را می‌توان به راحتی با محدود کردن تعداد تلاش‌های ناموفق برای ورود به سیستم توسط کاربر برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می‌کنید، این مورد به طور خودکار انجام می‌شود. با این حال، اگر راه‌اندازی فایروال را انجام نداده‌اید، افزونه Login LockDown را نصب و فعال‌سازی کنید.


 


اضافه کردن احراز هویت دومرحله‌ای برای افزایش امنیت سایت وردپرسی


تکنیک احراز هویت دومرحله‌ای از کاربران می‌خواهد که با استفاده از روش احراز هویت دومرحله‌ای وارد سیستم شوند. مرحله اول وارد کردن نام کاربری و رمز عبور است. مرحله دوم استفاده از برنامه جداگانه احراز هویت است.


اکثر وب‌سایت‌های آنلاین برتر مانند گوگل، فیس بوک، توییتر و غیره به شما این امکان را می‌دهند که در آنها برای خود حساب ایجاد کنید. شما می‌توانید با اضافه کردن این قابلیت موجب افزایش امنیت سایت وردپرسی خود شوید. ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعال‌سازی، باید روی پیوند « Two Factor Auth» در نوار کناری مدیریت وردپرس کلیک کنید.


بروزرسانی نرم‌افزار وردپرس


در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب کنید. از جمله این برنامه‌ها می‌توان به Google Authenticator، Authy و LastPass Authenticator اشاره کرد. توصیه می‌کنیم از LastPass Authenticator یا Authy استفاده کنید. زیرا هر دو این امکان را به شما می‌دهند که از حساب‌های خود در فضای ابری نسخه پشتیبان تهیه کنید. این امکان برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است.


ما از LastPass Authenticator برای ادامه آموزش استفاده خواهیم کرد. با این حال، دستورالعمل‌ها برای همه برنامه‌های احراز هویت مشابه است. برنامه احراز هویت خود را باز کنید و سپس روی دکمه Add کلیک کنید. در این مرحله از شما می‌خواهد سایت را به صورت دستی یا از طریق بارکد اسکن کنید.


ورود کد احراز هویت دومرحله‌ای


گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode موجود در صفحه تنظیمات افزونه قرار دهید. تمام، برنامه احراز هویت شما اکنون آن را ذخیره می‌کند. دفعه بعد که وارد وب‌سایت خود می‌شوید، پس از وارد کردن رمز عبور، از شما کد احراز هویت دومرحله‌ای خواسته می‌شود. اکنون اپلیکیشن authenticator را روی گوشی خود باز کنید و کدی را که روی آن می‌بینید وارد کنید.


 


تغییر پیشوند پایگاه داده وردپرس


به طور پیش‌فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده استفاده می‌کند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش‌فرض استفاده کند، حدس زدن نام جداول شما برای هکرها آسان‌تر می‌شود. به همین دلیل است که توصیه می‌کنیم آن را تغییر دهید. البته دقت کنید اگر این مورد به درستی انجام نشود، می‌تواند سایت شما را خراب کند. پس فقط در صورتی که دارای مهارت کدنویسی هستید این کار را انجام دهید.


 


حفاظت از رمز عبور ادمین برای ورود به سیستم


به طور معمول، هکرها می‌توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این به آنها اجازه می‌دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا نمایند. شما می‌توانید حفاظت از رمز عبور را در سمت سرور اضافه کنید و این درخواست‌ها را مسدود نمایید. بدین ترتیب می‌توانید موجب افزایش امنیت سایت وردپرسی خود شوید.


 


غیرفعال کردن مرور فهرست‌بندی


مرور فهرست‌بندی


هکرها می‌توانند از مرور فهرست‌بندی استفاده کنند تا بفهمند آیا فایلی با آسیب‌پذیری بالا دارید یا خیر. بنابراین آنها می‌توانند این فایل‌ها را برای دسترسی به سایت شما به کار بگیرند. مرور فهرست‌بندی همچنین می‌تواند برای بررسی فایل‌های شما، کپی کردن تصاویر، یافتن ساختار فهرست‌بندی و سایر اطلاعات مورد استفاده قرار بگیرد.


به همین دلیل است که به شدت توصیه می‌شود مرور فهرست‌بندی را غیرفعال کنید. برای این منظور شما باید با استفاده از FTP یا مدیریت فایل cPanel به وب‌سایت خود متصل شوید. سپس، فایل htaccess. را در فهرست‌بندی ریشه وب‌سایت خود پیدا کنید و خط زیر را در انتهای فایل htaccess. اضافه کنید:



Options -Indexes




فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید.


منبع: wpbeginner.com

					

					

					



		   

		  
		  	   

					

		
یک دیدگاه بنویسید 
نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *