امنیت وردپرس یکی از مهم ترین مسائل هر وبمستری است. هر هفته گوگل 70000 سایت را به دلایل مسائل امنیتی وارد لیست سیاه خود می کند تا دیگر در نتایج این سایت ها را نمایش ندهد! اگر سایت شما برایتان مهم است، باید بالا بردن امنیت سایتتان برایتان مهم باشد. در این مقاله جامع به آموزش نکات افزایش امنیت در وردپرس پرداخته ایم تا بتوانید کارهای لازم برای امنیت وردپرس را یاد بگیرید و آن ها را در سایت خود اعمال کنید. از افزونه های لازم برای امنیت وردپرس تا ترفند ها و کانفیگ های امنیتی سایت در این مقاله گفته شده است.
خود هسته وردپرس بسیار امن است و هر روز توسط صد ها توسعه دهنده بررسی می شود و روز به روز وردپرس ایمن تر می شود. اما همچنان برای بالا بردن امنیت وردپرس روش هایی وجود دارند. در این مقاله روش های افزایش امنیت وردپرس را قدم به قدم مرور می کنیم.
برای دسترسی راحت تر شما کاربران، فهرستی نیز از محتوای این مقاله ساخته ایم تا علاوه بر آشنایی با محتوای مقاله، دسترسی راحت تری به محتوای مورد نظر خود داشته باشید.
محتویات مقاله جامع امنیت در وردپرس:
مقدمات امنیت سایت و وردپرس
- چرا امنیت سایت مهم است؟
- وردپرس خود را آپدیت نگه دارید
- رمز عبور قوی و دسترسی های کاربران
- امنیت هاستینگ
روش های افزایش امنیت در وردپرس
- نصب افزونه بک آپ گیری در وردپرس
- استفاده از یک افزونه امنیت وردپرسی
- نام کاربری را به هیچ وجه admin نگذارید
- فایروال وب (WAF) را فعال کنید
- ویرایش فایل در پنل مدیریت وردپرس را غیر فعال کنید
- اجرای فایل های PHP را در دایرکتوری های نامرتبط غیرفعال کنید
- محدود کردن تعداد دفعات ورود به سایت
- پیشوند جدول های وردپرس را تغییر دهید
- از فولدر wp-admin از طریق رمز گذاری محافظت کنید
- نمایش فایل ها و فولدر ها را در مرورگر غیرفعال کنید
- XML-RPC را در وردپرس غیرفعال کنید
- کاربر های بدون فعالیت را خارج کنید
- سوالات امنیتی به فرم لاگین و سایر فرم های سایت اضافه کنید
بعد از هک چه کار هایی را انجام دهیم؟
فهرست عناوین مقاله
مقدمات امنیت سایت و وردپرس
چرا امنیت سایت مهم است؟
یک وب سایت هک شده باعث می شود که خسارات جدی به درآمد و شهرت آن کسب و کار اینترنتی زده شود. هکر ها می توانند اطلاعات کاربران سایتتان را همراه با پسورد آن ها به سرقت ببرند و یا نرم افزار های مخرب نصب کنند و یا حتی می توانند بدافزار به کاربران سایت شما منتقل کنند!
گاهی اوقات بدتر از این ها می شود و هکر ها کنترل سایت شما را در دست می گیرند و دسترسی شما را قطع می کنند و برای ارائه دسترسی به شما، از شما اخاذی می کنند!
اگر سایت شما تجاری باشد و برای شما درآمد زا باشد، باید بسیار بیشتر به امنیت وب سایت خود بپردازید. در دوره افزایش امنیت وردپرس نیز درباره اهمیت امنیت سایت بیشتر صحبت کرده ام.
وردپرس خود را آپدیت نگه دارید
وردپرس یک نرم افزار Open Source است که همیشه به روز رسانی می شود. به طور پیشفرض وردپرس آپدیت های جدید را نصب می کند اما برای به روز رسانی های بزرگ، شما باید برای آن اقدام کنید.
وردپرس دارای هزاران افزونه و قالب است که شما روی سایت خود نصب می کنید. این قالب ها و افزونه ها نیز به طور مرتب توسط سازندگان آن ها آپدیت می شوند.
این آپدیت ها برای افزایش امنیت وردپرس به شدت ضروری هستند. شما همیشه باید از به روز بودن خود وردپرس، افزونه ها و قالب ها مطمئن باشید.
رمز عبور قوی و دسترسی های کاربران
در صورتی که رمز ضعیف برای اکانت خود قرار داده باشید، هک سایت شما بسیار آسان خواهد شد. حتما رمز عبور قوی بسازید و برای سایت های مختلف که عضو آن هستید، متفاوت قرار دهید.
رمز عبور قوی فقط برای اکانت اصلی پنل وردپرسی خود نیست. بلکه رمز اکانت FTP، دیتابیس، پنل هاستینگ و ایمیل هایتان نیز باید قوی باشند.
اگر از به خاطر سپردن رمز های قوی برایتان سخت است، از نرم افزار ها و پلاگین های مرورگر که برای ذخیره رمز عبور استفاده می شود استفاده کنید.
یکی دیگر از نکات برای جلوگیری از هک شدن در وردپرس این است که اطلاعات حساب کاربری خود را در اختیار اشخاص دیگری قرار ندهید. اگر برای مدیریت سایت خود تیم دارید و این افراد دارای وظایف مختلف هستند، نقش کاربری آن ها را بر اساس وظایف آن ها تعیین کنید تا دسترسی بیش از حد به پنل مدیریت نداشته باشند.
امنیت هاستینگ
امنیت هاست شما، نقش اساسی در امنیت سایت شما تعیین می کند. هاستینگ ها باید اصولی را سرور های خود رعایت کنند تا امنیت آن ها تا حد زیادی تضمین شوند. شما نیاز هنگام انتخاب هاستینگ حتما این مورد را مد نظر داشته باشید.
هاست های اشتراکی که بیشتر سایت ها نیز از همین نوع هاست ها استفاده می کنند، به دلیل این که هاست بین چندین نفر به اشتراک گذاشته می شود، ریسک بیشتری دارند. اگر یکی از مشترکین هاست سایت شما نکات امنیتی را رعایت نکند و به سایت او نفوذ کند، به دلیل این که سایت شما نیز در کنار سایت آن شخص قرار دارد، در معرض خطر قرار می گیرد.
اگر نوع کسب و کار شما طوری است که امنیت آن به شدت مهم است، پیشنهاد ما استفاده از سرور های مجازی یا اختصاصی است. البته هزینه این نوع سرور ها نسبت به هاست اشتراکی گران تر است.
همچنین در مقاله ای جداگانه راهنمای انتخاب هاستینگ مناسب را منتشر کرده ایم که می توانید این مقاله را نیز بخوانید.
روش های افزایش امنیت در وردپرس
از این جا به بعد نکات عملی برای افزایش امنیت سایت را به شما می گوییم تا با انجام این نکات بتوانید سایت وردپرسی خود را تا حد زیادی ایمن کنید.
1. نصب افزونه بک آپ گیری در وردپرس
داشتن بک آپ بهترین سلاح در برابر هکر ها و نفوذ گران است. این را همیشه بدانید که امنیت هیچوقت 100 درصد نیست و هیچ سایتی نفوذ ناپذیر نیست. اگر سایت های مهم حکومتی هم می شوند، پس سایت شما هم می تواند هک شود.
داشتن بک آپ باعث می شود که به سرعت سایت هک شده را بازگردانی کنید. در وردپرس پلاگین های بک آپ زیادی وجود دارند. روش صحیح بک آپ گیری نیز به این صورت است که بک آپ ها به صورت منظم و روزانه یا حتی ساعتی گرفته شود و در یک سرور دیگر ذخیره شود.
تعیین میزان بک آپ گیری نیز بر اساس میزان فعالیت سایت شما مشخص می شود. اگر روزانه سایت خود را چندین بار به روز می کنید، پس باید بک آپ ساعتی داشته باشید و تا چند بک آپ قبل را هم نگه دارید. اگر سایت شما دیرتر آپدیت می شود، می توانید این روند را نیز بلند مدت تر کنید.
یکی از بهترین افزونه های بک آپ گیری، افزونه UpdraftPlus است که این کار را به نحو احسنت برای شما انجام می دهد. اگر فقط نیاز به داشتن بک آپ از دیتابیس هستید، در مقاله بک آپ گیری از دیتابیس وردپرس، افزونه WP-DB-Backup را آموزش داده ایم. اما اگر می خواهید بک آپ گیری حرفه ای را یاد بگیرید، ویدئو زیر را حتما ببینید.
2. استفاده از افزونه امنیت وردپرس
پس از آن که بک آپ گیری را تنظیم کردید، باید سراغ یک افزونه امنیتی در وردپرس بروید. در وردپرس افزونه های امنیتی زیادی وجود دارند اما چند افزونه هستند که سطح بالاتری نسبت به بقیه دارند.
افزونه های مانند WordFence، ITheme Security، All In One WP Security جزو بهترین ها هستند. حتما از یکی از این افزونه ها استفاده کنید و آن را به طور صحیح کانفیگ کنید.
در دوره امنیت وردپرس نیز ما این افزونه ها را معرفی کرده ایم و یکی از آن ها را به طور کامل کانفیگ کرده ایم. اگر نیاز به آموزش کانفیگ این افزونه ها دارید، دوره افزایش امنیت وردپرس را دانلود کنید. همچنین ویدئو آموزش افزونه ITheme Security را همین جا می توانید مشاهده کنید.
3. فایروال وب (WAF) را فعال کنید
داشتن WAF در سرور باعث افزایش چند برابری امنیت سایت شما خواهد شد و جلوی بسیاری از حملات را خواهد گرفت. سرور های حرفه ای این امکان را دارند. البته می تواند از سایر شرکت ها نیز این سرویس را برای سایت خود داشته باشید.
به عنوان مثال CloudFlare یکی از این شرکت ها است که از طریق آن می توانید WAF را برای سایت خود فعال کنید.
4. نام کاربری را به هیچ وجه admin نگذارید
به جرات می توان گفت که اگر نام کاربری ادمین سایت شما کلمه admin باشد، عملا امنیت سایت خودتان را نابود کرده اید. بعضی از افراد به طور پیشفرض هنگام نصب وردپرس این کلمه را برای ادمین سایت تعریف می کنند که کاری به شدت اشتباه است.
وقتی هکر بداند نام کاربری شما admin است، به راحتی حمله بروت فورس را بر روی سایت شما پیاده می کند. اگر رمز شما نیز ضعیف باشد، در کسری از ثانیه هکر به پنل مدیریت شما دسترسی خواهد داشت!
اگر نام کاربری شما admin است، نگران نباشید. در این جا به شما می گوییم که چگونه آن را تغییر دهید. وردپرس به طور پیشفرض اجازه تغییر نام کاربری را در پنل مدیریت را نمی دهد. پس باید با استفاده از افزونه این کار را انجام دهیم.
افزونه Admin renamer extended را نصب کنید و از این طریق نام کاربری خود را تغییر دهید. بعد از تغییر نام کاربری، می توانید این افزونه را پاک کنید.
5. ویرایش فایل در پنل مدیریت وردپرس را غیر فعال کنید
اگر دقت کرده باشید، در بخش قالب ها و افزونه ها، شما امکان تغییر کد ها را دارید. داشتن این امکان در پنل مدیریت ریسک دارد. پس باید آن را غیرفعال کنید.
این کار به سادگی با درج کد زیر در فایل wp-config.php قابل انجام است. کد را آخر این فایل اضافه کنید و سپس خواهید دید که ویرایش کد در پنل مدیریت غیر فعال می شود.
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
البته بعضی از افزونه های امنیتی که در بالا معرفی کردیم نیز این امکان را در خود دارند و نیاز به دست کاری کد ها ندارید. آموزش عملی این کار در دوره افزایش امنیت وردپرس قرار دارد.
6. اجرای فایل های PHP را در دایرکتوری های نامرتبط غیرفعال کنید
یکی دیگر از راه های افزایش امنیت وردپرس، غیرفعال کردن اجرای فایل های PHP در فولدر های نامرتبط برای اجرای فایل، مانند wp-content/uploads است.
برای این کار یک فایل داخل این مسیر بسازید و کد زیر را داخل آن قرار دهید. سپس نام آن را به .htaccess تغییر دهید.
<Files *.php>
deny from all
</Files>
توجه داشته باشید که این فایل htaccess جدید در مسیر wp-content/uploads باشد و آن را با فایل .htaccess داخل فولدر public_html سایت خود اشتباه نگیرید!
7. محدود کردن تعداد دفعات ورود به سایت
به طور پیشفرض وردپرس اجازه می دهد که هر چقدر که کاربر بخواهد، برای لاگین تلاش کند. این اجازه باعث می شود حملات بروت فورس به سایت شما نیز آسان شود و باعث آسیب پذیری بیشتر سایت شما می شود. هکر ها از این امکان می توانند استفاده کنند و رمز های مختلف را به صورت اتوماتیک روی فرم ورود سایت شما تست کنند تا رمز شما را پیدا کنند.
اما نگران نباشد. به راحتی می توان محدودیتی برای تعداد تلاش لاگین تعیین کرد تا هکر ها از این امکان سو استفاده نکنند.
اگر هاست سرور شما دارای WAF باشد، خود جلوی این کار را می گیرید. اگر هاست سرور شما دارای WAF نیست، به راحتی از طریق افزونه Limit Login Attempts این کار را انجام دهید. برای آموزش این افزونه به مقاله افزایش امنیت وردپرس با محدود کردن دفعات ورود کاربران به پنل کاربری مراجعه کنید. البته برخی از افزونه های امنیتی که بالاتر معرفی کردیم، خود این امکان را دارند.
8. پیشوند جدول های وردپرس را تغییر دهید
به طور پیشفرض پیشوند جدول های وردپرس wp است. اگر پیشوند جدول های سایت شما نیز همان پیشفرض وردپرس باشد، پس هکر ها دقیقا نام جدول ها و فیلد های دیتابیس سایت شما را می دانند!
برای تغییر پیشوند جدول های وردپرس می توانید از افزونه Change Table Prefix استفاده کنید. آموزش تغییر پیشوند جدول های وردپرس را در مقاله مربوطه بخوانید. از این به بعد نیز حتما هنگام نصب وردپرس، به طور پیشفرض این عبارت را قرار ندهید و آن را به حروف دیگری تغییر دهید. لازم هم نیست که حتما 2 حرف باشد. می تواند شامل چندین حرف و عدد باشد.
9. از فولدر wp-admin از طریق رمز گذاری محافظت کنید
همه می دانند که آدرس پنل مدیریت wp-admin است. پس هکر نیز از این موضوع آگاه است. ما می توانیم برای امنیت بیشتر، روی این فولدر و مسیر رمز قرار دهیم. یعنی علاوه بر نام کاربری و رمز اکانت خود، یک نام کاربری و رمز دیگر روی این مسیر قرار دهید. یعنی پنل مدیریت خود را دو قفله می کنید! 🙂
برای این کار باید وارد پنل هاست خود شوید. به عنوان مثال اگر از سی پنل استفاده می کنید، وارد فولدر های سایت خود شوید و در آن جا با کلیک راست کردن روی فولدر wp-admin، نام کاربری و رمز عبور انتخاب کنید.
10. نمایش فایل ها و فولدر ها را در مرورگر غیرفعال کنید
اگر امکان نمایش فایل ها و فولدر های سایت شما در مرورگر فعال است، باید آن را غیرفعال کنید تا هکر ها از این دسترسی سوء استفاده نکنند.
حتی کاربران عادی نیز ممکن است از این امکان سوء استفاده کنند و به فایل ها و فولدر های سایت شما سرک بشکند یا حتی ممکن است سایت شما فروش فایل داشته باشد و به این صورت بدون خرید از سایت، به آن فایل دسترسی پیدا کند! به همین دلیل باید این امکان را غیرفعال کنید.
برای غیرفعال کردن این امکان، می توانید با اضافه کردن کد زیر به فایل .htaccess اقدام کنید.
Options -Indexes
همچنین از طریق خود سی پنل نیز این امکان وجود دارد که آموزش آن در دوره افزایش امنیت وردپرس قرار دارد.
11. XML-RPC را در وردپرس غیرفعال کنید
XML-PRC برای ارتباط با سایر وب سایت ها و اپلیکیشن ها کاربرد دارد که از وردپرس 3.5 اضافه شد. اما فعال بودن این امکان احتمال حمله بروت فورس را زیاد می کند.
هکر با استفاده از این امکان، می تواند با هویت های مختلف درخواست به سمت صفحه لاگین ارسال کند و چون از هویت های مختلف ارسال می شود، هیچ پلاگینی جلوی این درخواست ها را نمی گیرید و افزونه Limit Login Attemps نیز کاربردی ندارد!
به همین دلیل اگر این امکان برای شما کاربرد ندارد، باید آن را غیر فعال کنید. برای این کار می توانید از کد زیر در فایل .htaaceess استفاده کنید.
<Files xmlrpc.php>
order deny,allow
allow from 123.123.123.123
deny from all
</Files>
همچین برخی از پلاگین های امنیت وردپرس معرفی شده، این امکان را در خود دارند.
12. کاربر های بدون فعالیت را خارج کنید
برخی کاربران ممکن است بعد از لاگین کردن در سایت، در کنار سیستم خود نباشند و در پنل وردرپس لاگین بمانند. در این جا ممکن است شخص دیگری پسورد او را تغییر دهد و دسترسی برای خود ایجاد کند.
در سایت های پرداخت نیز دیده اید که برای انجام کاری، مدت زمان محدودی فرصت دارد. همین امکان را می توانید در وردپرس خود داشته باشید تا امنیت آن را باز هم بیشتر کنید.
افزونه Idle User Logout این امکان را به شما می دهد. همچین برخی از پلاگین های امنیتی معرفی شده نیز این امکان را درون خود دارند.
13. سوالات امنیتی به فرم لاگین و سایر فرم های سایت اضافه کنید
با افزودن سوالات امنیتی یا همان کچپا به سایت، باعث می شود امنیت سایت شما بسیار افزایش پیدا کند. به این صورت دیگر احتمال حملات توسط ربات ها کمتر می شود.
بهترین پلاگین ریکپچا گوگل است که بسیار هوشمندانه می تواند ربات ها را از سایت شما دور کند. برای افزودن این پلاگین به سایت خود، آموزش ایجاد کد امنیتی گوگل در وردپرس با افزونه Google Captcha را مشاهده کنید.
بعد از هک چه کار هایی را انجام دهیم؟
متاسفانه بسیاری از وبمستران اهمیت امنیت را تا زمانی که سایتشان هک نشود، جدی نمی گیرند. وقتی هم هک شوند و بک آپ نداشته باشند، تمام زحمات خود را نابود می کنند.
اگر سایت شما هک شد و با بک آپ یا هر روش دیگری آن را برگرداندید، اول این که بدانید سایت شما آسیب پذیر است و سعی کنید روش های مختلف جلوگیری از هک وردپرس را یاد بگیرید و در سایت خود پیاده کنید.
اما هکر ها معمولا یک راه ورود برای خود باز می گذارند. پس باید سایت را کامل بررسی کنید. یک بار سایت خود را با ابزار های و افزونه های امنیتی اسکن کنید و اگر فایل مخربی پیدا شد آن را پاک کنید. همچنین در قسمت کاربران خود نیز بررسی کنید تا شخصی با سطح دسترسی ادمین به جز خودتان وجود نداشته باشد. و البته باید تمام پسور های مربوط به سایت خود را تغییر دهید و آن را سخت انتخاب کنید.
در دوره افزایش امنیت وردپرس به صورت عملی این موارد آموزش داده شده است.
نتیجه گیری:
در این مقاله سعی کردیم با گفتن روش های مهم و ساده، امنیت سایت خود را بالا ببریم. اما این را بدانید گاهی اوقات سهل انگاری ما کاربران است که باعث هک شدن سایتمان می شویم.
حتما از دستورالعمل های این مقاله پیروی کنید تا احتمال هک شدن سایت شما بسیار کم شود. همچنین اگر نیاز دارید که این موارد را همراه با نکات جدید تر به صورت عملی و تصویری داشته باشید، پیشنهاد می کنیم دوره افزایش امنیت وردپرس را دانلود کنید تا امنیت را در سطوح بالاتری یاد بگیرید.
در پایان پیشنهاد می کنم حتما چک لیست امنیت وردپرس را رایگان دانلود کنید تا نکات بیشتری از امنیت وردپرس یاد بگیرید.
اگر تجربه ای در زمین امنیت و هک شدن سایت دارید، لطفا با ما و سایر دوستان در میان بگذارید. همچنین اگر دوستان شما نیز سایت وردپرسی دارند، حتما این مقاله را با آن ها به اشتراک بگذارید تا دوستانتان از این آسیب ها در امان بمانند.
مقالاتی که در حوزه امنیت وردپرس پیشنهاد می کنیم که بخوانید:
- چک لیست امنیت وردپرس
- ایجاد کد امنیتی گوگل در وردپرس با افزونه Google Captcha
- افزایش امنیت وردپرس با محدود کردن دفعات ورود کاربران به پنل کاربری
- تغییر پیشوند جدول های وردپرس با افزونه Change Table Prefix برای افزایش امنیت
- بک آپ گیری از دیتابیس وردپرس به صورت خودکار و دستی با افزونه WP-DB-Backup
- جلوگیری از نظرات اسپم در وردپرس با افزونه Akismet
- CDN چیست؟ چگونه کار می کند و چه تاثیری بر سئو دارد؟
- نکات مهمی که هنگام انتخاب هاست خوب باید رعایت کنید
ممنونم بابت این مقاله کامل و مفقید
خواهش میکنم. خوشحالیم که براتون مفید بوده.