امروزه افراد بسیاری از پلتفرم وردپرس برای ایجاد سایت خود استفاده می‌کنند از این رو افزایش امنیت سایت وردپرسی نیز از مهم‌ترین دغدغه‌های افراد به حساب می‌آید. سیستم مدیریت محتوای وردپرس از قوی‌ترین و کاربردی‌ترین پلتفرم‌هایی است که ساخت سایت را برای افراد در هر سطح فنی آسان می‌کند. از آنجایی که سیستم مدیریت محتوای وردپرس، پلتفرمی متن باز بوده و دسترسی به هسته آن برای همه آزاد است، امکان هک شدن سایت وردپرسی وجود دارد.

البته راه‌های بسیاری برای ایمن کردن سایت وردپرسی وجود دارد و مهم‌ترین آن‌ها پیش از بررسی امنیت پلتفرم سایت خود، خرید هاست وردپرس ایمن است. در ادامه به بررسی مواردی که موجب کاهش امنیت سایت وردپرسی شده و همچنین راهکارهای افزایش امنیت سایت وردپرسی خواهیم پرداخت.

در ابتدا، پیش از آغاز آموزش بالا بردن امنیت سایت وردپرسی، مشکلاتی را که باعث کاهش امنیت سایت وردپرسی می‌شوند بررسی می‌کنیم.

فهرست مطالب

 ۷ مورد از مهم‌ترین مشکلات امنیتی سایت وردپرسی

بررسی مشکلات امنیتی سایت وردپرسی پیش از اقدام به افزایش امنیت سایت
بررسی مشکلات امنیتی سایت وردپرسی پیش از اقدام به افزایش امنیت سایت

1- حملات بروت فورس (Brute Force) برای لاگین به وردپرس

حملات بروت فورس (Brute Force) این یکی از ساده‌ترین حملاتی است که نسبت به سایت وردپرسی انجام می‌شود. در حملات بروت فورس، هکرها نام کاربری و پسوردهای بسیاری را برای لاگین به وردپرس با سرعت بسیار بالایی تست می‌کنند تا به اطلاعات لاگین صحیح دست یابد. البته این حملات می‌توانند هر اطلاعاتی را که با پسورد ایمن شده باشد مورد تهدید قرار دهد.

۲- حمله تزریق کد (Cross-site Scripting) (XSS)

حملات تزریق کد یا Cross-site Scripting زمانی رخ می‌دهد که هکرها اقدام به تزریق کدهای مخرب در فایل‌های بک اند سایت مقصد کنند. این حمله باعث بروز اختلال در عملکرد سایت می‌شود. این کدهای مخرب می‌توانند به راحتی از طریق فرم‌های تماس موجود در سایت به فایل‌های سایت تزریق شوند.

3- حمله تزریق به دیتابیس (Database Injection)

حمله database injection که به نام SQL injection نیز مشهور است زمانی رخ می‌دهد که هکر یک سری زنجیره از کدهای مخرب را از طریق فیلدهایی مثل فرم تماس به یک وبسایت وارد کند. در نتیجه‌ی این عملیات، وبسایت کدها را در دیتابیس‌های خود ذخیره می‌کند. این حمله نیز همانند حمله XSS، موجب به خطر انداختن عملکرد سایت و اطلاعات موجود در دیتابیس می‌شود.

۴- حملات Backdoors

حملات بک دور (Backdoors) از طریق یک فایل شامل کدهای مخرب صورت می‌گیرد و به هکرها این امکان را می‌دهد تا صفحه لاگین استاندارد وردپرس را دور بزنند و هر زمان که بخواهند می‌توانند به محتوای سایت وردپرسی دسترسی داشته باشند. همانطور که از نام این حمله مشخص است، هکر از دری دیگر اقدام به ورود به سایت مورد نظر می‌کند.

۵- حملات دیداس (DDoS)

حملات دیداس (DDoS)، از دسترسی کاربران به وبسایت خودشان جلوگیری می‌کند. این نوع حملات در اکثر اوقات با اورلود کردن یک سرور با افزایش ترافیک ناگهانی باعث از دسترس خارج شدن سایت می‌شوند. در این شرایط، کاربران سایت وردپرسی نه به سایت خود و نه به داشبورد وردپرس دسترسی نخواهند داشت.

۶- فیشینگ (Phishing)

زمانی که یک هکر با اقدامات خرابکارانه، خود را به عنوان شرکت یا سرویس‌دهنده‌ای قانونی معرفی می‌کند، در واقع عمل فیشینگ را انجام داده است. هکر در یک عملیات فیشینگ، شخص مورد هدف را تشویق به ارائه اطلاعات شخصی، دانلود بدافزار یا بازدید از یک سایت خطرناک می‌کند.

اگر هکرها به اکانت وردپرس شما دسترسی بیایند، می‌توانند به نام شما از مشتریانتان اخاذی کنند.

۷- هات لینکینگ (Hotlinking)

عملیات هات لینکینگ زمانی رخ می‌دهد که وب سایتی دیگر، از پهنای باند شما برای دانلود محتوا از وبسایت خود استفاده کند. در واقع لینک دانلود محتوا مثلا تصاویر یا ویدیوی شخصی دیگر، بدون اجازه از شما در سایت وردپرسی شما قرار می‌گیرد تا کاربران سایت مقابل، فایل‌های مورد نظر خود را با استفاده از پهنای باند شما دانلود کنند. از این رو، ترافیک سایت شما بالا رفته و ممکن است با افزایش لود ناگهانی مواجه شوید. این مشکل معمولا از طریق پلاگین‌ها، نسخه‌های قدیمی وردپرس، صفحه لاگین و تم‌ها پیش می‌آید.

اکنون که با مهم‌ترین تهدیدات سایت‌های وردپرسی آشنا شدیم، به بررسی راه‌های بالا بردن امنیت سایت وردپرسی می‌پردازیم. در نظر داشته باشید با خرید هاست وردپرس ایمن،‌ مشکلات مرتبط با زیرساخت سایت وردپرسی شما برطرف شده و تنها نیاز است موارد امنیتی مورد نیاز مرتبط با پلتفرم سایت خود را انجام دهید. در واقع، ما می‌توانیم با رفع مشکلات امنیتی سایت خود، به چند برابر شدن امنیت آن کمک کنیم.

۲۱ ترفند افزایش امنیت سایت وردپرسی

نکات افزایش امنیت سایت وردپرسی
نکات افزایش امنیت سایت وردپرسی

1- مراحل لاگین به سایت و اکانت را ایمن کنید.

افزایش سطح امنیت مراحل لاگین به سایت یکی از روش‌های افزایش امنیت سایت وردپرسی بوده که شامل چند مورد زیر می‌شود:

●      از رمز عبور قوی استفاده کنید.

استفاده از رمز عبور آسان و قابل حدس باعث می‌شود که هکرها به راحتی بتوانند طی فرآیندی رمز شما را بیابند و به اطلاعات شما دسترسی پیدا کنند. از آنجایی که بسیاری از افراد هنوز پسوردهای آسان از

جمله ۱۲۳۴۵۶ را انتخاب می‌کنند، مطمئن شوید که تمام کاربران سایت وردپرسی شما از پسوردهای پیچیده و غیرقابل حدس استفاده کرده و امنیت اطلاعاتتان را به خطر نمی‌اندازند.

●      احراز هویت دو مرحله ای را فعال کنید.

فعال کردن احراز هویت دو مرحله‌ای از کاربران می‌خواهد تا از طریق ۲ دستگاه مجزا هویت خود را تایید کنند. از این رو، شخص ثالث به دلیل دسترسی نداشتن به آن دستگاه دیگر کاربر، قادر به سرقت اطلاعات ورود کاربر نخواهد بود. به عنوان مثال، به هنگام ورود اطلاعات لاگین کاربر،‌ پیامکی مبنی بر رمز عبور موقت برای وی ارسال می‌شود که تنها با آن رمز موقت قادر به ورود به سایت خواهد بود. هکر به دلیل عدم دریافت رمز عبور موقت، نمی‌تواند از اطلاعات ورود کاربر استفاده و به سایت شما نفوذ کند.

●      از نام کاربری «admin» برای کاربرانتان استفاده نکنید.

کلمه «admin» اولین نام کاربری است که توسط هکرها برای اعمال حملات بروت فورس بر روی صفحه لاگین وبسایت‌ها امتحان می‌کنند. سعی کنید از نام «admin» برای ایجاد کاربر بر روی سایت وردپرسی خود استفاده نکنید و نام‌های متفاوت و حتی غیر قابل حدس بکار ببرید.

●      دفعات امکان تست لاگین را محدود کنید.

تعداد دفعاتی که هر کاربر می‌تواند نام کاربری و رمز عبور اشتباه را برای لاگین به سیستم خود وارد کند به نهایت ۳ مرتبه محدود کنید. این روشی بسیار کاربردی و مهم برای بالا بردن امنیت سایت وردپرسی شماست. با انجام این کار، پس از پایان فرصت ورود نام کاربری یا رمز عبور اشتباه، آی‌پی شخص مقابل مسدود شده و یا از آن پس دیگر امکان ورود و تست اطلاعات اشتباه را ندارد. از این رو، هکر فرصت نفوذ به سایت را از دست خواهد داد. در واقع این مورد همان حملات بروت فورس است که هکرها از طریق حمله به صفحه لاگین و تست اطلاعات ورود، اقدام به نفوذ به سایت شما می‌کنند. سرورهای میزبانی وب وردپرس افیکس هاست با بکار بردن قوی‌ترین سیستم‌های مانیتورینگ و به صورت ۲۴ ساعته مراقب حملات بروت فورس بوده و تمام این حملات را از سایت شما دفع می‌کند.

●      برای صفحات ورود خود،‌ کپچا قرار دهید.

کپچا (reCAPTCHA) یک سرویس محبوب گوگل برای افزایش امنیت سایت وردپرسی است. حتما تاکنون شما نیز برای ورود به وبسایت‌های دیگر، یک سری پازل تصویری یا حروفی را حل کرده‌اید. این تاییدیه‌های امنیتی با استفاده از کپچا باعث می‌شود تا ربات‌ها، اجازه ورود به وبسایت‌ها بخصوص بخش ادمین سایت وردپرسی با حدس نام کاربری و رمز عبور نداشته باشند.

●      خروج اتوماتیک از داشبورد و ناحیه کاربری را فعال کنید.

از آنجایی که اکثر کاربران، پس از پایان کار خود در وبسایت، خروج از حساب کاربری‌شان را فراموش می‌کنند، پیشنهاد می‌شود با استفاده از کدنویسی یا نصب پلاگین Inactive Logout قابلیت خروج اتوماتیک را برای

سایت وردپرسی خود فعال کنید. با این کار، هیچ شخص دیگری امکان ورود به حساب کاربری ایجاد شده بر روی سایت شما و انجام فعالیت‌های خرابکارانه نخواهد داشت.

۲- هاست وردپرس ایمن تهیه کنید.

خرید هاست وردپرسی برای افزایش امنیت سایت وردپرسی
خرید هاست وردپرسی برای افزایش امنیت سایت وردپرسی

هاست وردپرس چیست؟ هاست وردپرس، یک سرویس میزبانی وب است که تنظیمات اختصاصی برای میزبانی سایت وردپرسی بر روی آن انجام شده است و یکی از مهم‌ترین راهکارهای افزایش امنیت و سرعت سایت وردپرسی می‌باشد. با میزبانی سایت وردپرس بر روی هاست وردپرسی، امنیت و سرعت سایت شما افزایش یافته و سرعت لود وب سایت تا بالاترین حد ممکن سمت سرور بهینه خواهد بود. در واقع هاست پرسرعت وردپرس، به دلیل بهره‌مندی از سیستم کشینگ بسیار قدرتمند، وب‌سرور لایت اسپید، سخت‌افزار بروز و همچنین منابع نرم‌افزاری اختصاصی مثل رم و CPU بسیار بالا، سایت وردپرسی شما را بهینه کرده و از این طریق، به سئو سایت نیز کمک بسیاری می‌کند.

سیستم هوشمند مانیتورینگ اختصاصی وردپرس و همچنین فایروال نصب شده بر روی سرورهای میزبانی وب وردپرس افیکس هاست کاملا با سایت وردپرسی سازگار بوده و با پیش‌بینی مشکلات و حملات احتمالی سایت وردپرسی، امنیت سایت را حفظ می‌کند.

خرید هاست وردپرس ایمن پرسرعت برای افزایش امنیت سایت ورددپرسی
خرید هاست وردپرس ایمن پرسرعت برای افزایش امنیت سایت ورددپرسی

3 – نسخه وردپرس خود را بروزرسانی کنید.

نسخه‌های منسوخ شده‌ی وردپرس، از اهداف اصلی و معمول هکرها و دلیل کاهش امنیت سایت وردپرسی هستند. این مورد را حتما در دستور کار خود قرار دهید تا به صورت منظم و دوره‌ای، بروزرسانی‌های وردپرس را از طریق داشبورد وردپرس خود انجام دهید. با بروزرسانی مکرر وردپرس خود، حفره‌های امنیتی موجود در نسخه‌های قدیمی وردپرس برطرف شده و امنیت سایت وردپرسی افزایش خواهد یافت.

با انتشار نسخه جدید وردپرس،‌ اعلامیه‌ی آن را در داشبورد وردپرس خود دریافت خواهید کرد. به منظور بروزرسانی نسخه قدیمی وردپرس خود، در ابتدا از سایت خود یک نسخه بکاپ (فایل پشتیبان) تهیه کنید و از این موضوع نیز اطمینان حاصل کنید که پلاگین‌های فعلی شما با جدیدترین نسخه وردپرس سازگار باشند. پس از بروزرسانی وردپرس، تمامی پلاگین‌ها را نیز بروزرسانی کنید.

۴- نسخه PHP را به جدیدترین نسخه‌ی آن بروزرسانی کنید.

بروزرسانی به جدیدترین نسخه پی‌اچ‌پی، یکی از مهم‌ترین قدم‌ها و روش‌های افزایش امنیت سایت وردپرسی است. زمانی که فایل دانلود بروزرسانی در دسترس قرار می‌گیرد، پیام آن را در داشبورد وردپرس خود دریافت خواهید کرد. از این رو، با مراجعه به پنل مدیریتی هاست وردپرس خود، نسخه PHP را بروزرسانی کنید. اگر دسترسی کافی برای بروزرسانی پی‌اچ‌پی خود ندارید، درخواست بروزرسانی خود را برای پشتیبانی هاستتان ارسال نمایید.

۵- از نصب پلاگین‌های غیر ضروری خودداری کنید.

نصب پلاگین بر روی وردپرس، یکی از اقداماتی‌ست که می‌تواند امنیت سایت وردپرسی شما را به خطر بیاندازد. تا کنون پلاگین‌های زیادی برای انجام هر عملیاتی بر روی وردپرس ارائه شده است اما بهتر است هر کدام از موارد مورد نیاز خود را با استفاده از کدنویسی توسط توسعه‌دهنده‌ی وردپرس انجام دهید.

البته پلاگین‌های معروف و کاربردی زیادی به منظور افزایش امنیت وردپرس ایجاد شده‌اند که می‌توان با نصب آن‌ها بر روی امنیت سایت وردپرسی خود نظارت کرد.  پلاگین‌هایی از جمله:

  • Wordfence Security
  • Sucuri Security
  • Defender
  • All In One WP Security and Firewall
  • Jetpack
  • MalCare Security

مواردی بسیار کاربردی هستند. البته به این نکته نیز توجه داشته باشید که در صورت نیاز به دانلود و نصب پلاگین بر روی سایت وردپرسی خود، حتما آن‌ها را از مخزن وردپرس دانلود کنید. افزونه‌های معتبر و سازگار

با وردپرس خود را می‌توانید از طریق داشبورد وردپرس>افزونه‌ها مشاهده و دانلود کنید و یا از طریق سایت رسمی وردپرس افزونه‌ی مد نظر خود را دانلود نمایید.

اما با خرید هاست وردپرس ایران افیکس هاست نیازی به نگرانی بابت امنیت سایت وردپرسی و البته اقدام به نصب افزونه افزایش امنیت سایت وجود ندارد. با اجرای سیستم مانیتورینگ قوی و فایروال‌های هوشمند و قدرتمند بر روی سرورهای میزبانی وردپرس افیکس هاست، پیش از بروز مشکل، مورد شناسایی و برطرف خواهد شد.

۶- پوسته یا تم وردپرس را از سایت معتبر و ایمن خریداری کنید.

از نصب هر گونه پوسته یا تم وردپرسی که از سازنده‌ی آن مطمئن نیستید بر روی وردپرس خود خودداری کنید. تنها زیبایی، ملاک انتخاب پوسته نیست. برای جلوگیری از بروز مشکلات امنیتی حاصل از نصب پوسته‌ی ناامن، پوسته‌ای را انتخاب کنید که طبق استانداردهای وردپرس ساخته شده باشد. با خرید تم یا پوسته‌ی سایت خود از سایت‌های نا آشنا و نا معتبر، امنیت سایت وردپرسی خود را به خطر خواهید انداخت، چرا که ممکن است کدهای مخرب، از پیش در آن پوسته‌‌ها قرار داده شده و شما با نصب آن بر روی وردپرس خود، دسترسی‌های لازم را به هکرها بدهید.

۷- گواهینامه SSL نصب کنید.

خرید گواهی ssl برای افزایش امنیت سایت وردپرسی
خرید گواهی ssl برای افزایش امنیت سایت وردپرسی

گواهینامه اس‌اس‌ال یک تکنولوژی پیشرفته برای ایمن کردن ارتباطات بین وبسایت وردپرسی شما و مرورگرهای کاربران است و این اطمینان را به کاربر می‌دهد که به راحتی می‌تواند از سایت شما بازدید و خرید کنند.

گواهی اس‌اس‌ال، یک پروتکل ایمن را برای وب سایت وردپرسی فراهم کرده که از دسترسی شخص ثالث به اطلاعات در حال تبادل بین سایت شما و مرورگر کاربر جلوگیری می‌کند. گواهی SSL با رمزنگاری اطلاعات و محتوای در حال تبادل، آن‌ها را غیر قابل خواندن و دسترسی کرده و امنیت اطلاعات را چند برابر می‌کند.

چطور متوجه شویم که سایت وردپرسی دارای گواهی SSL است؟

برای بررسی گواهینامه اس‌اس‌ال سایت وردپرسی و البته وبسایت‌ها با سایر CMSها، به آدرس اینترنتی (URL) آن توجه کنید. در ابتدای آدرس سایت در قسمت سرچ‌بار مرورگر خود، در صورتی که عبارت «https» را مشاهده کنید، سایت مورد نظر دارای گواهی SSL می‌باشد. در واقع حرف «s» در «https» نماد کلمه‌ی «secure» به معنای ایمن است و پروتکل انتقال اطلاعات سایت را به پروتکلی ایمن تبدیل می‌کند.

نصب گواهی اس‌اس‌ال یکی از مهم‌ترین روش‌های بالا بردن امنیت سایت است. در صورتی که سایت شما از پروتکل امن https بهره نمی‌برد، هم‌اکنون لازم است با خرید گواهینامه SSL  امنیت سایت خود را افزایش دهید.

۸- فایروال نصب کنید.

نصب فایروال یا دیوار آتش از جمله اقداماتی است که سایت وردپرسی شما را از حملات خرابکارانه از جمله حملات دیداس و هک شدن محفوظ نگه می‌دارد. فایروال بین شبکه‌ی هاست وردپرس سایت شما و شبکه‌های دیگر قرار می‌گیرد و به صورت خودکار از ورود ترافیک غیر ایمن به هاست و سایت شما از خارج جلوگیری می‌کند.

البته با خرید هاست وردپرس خود از افیکس هاست، نگران نصب فایروال و بروز خطر از سمت هکرها و فعالیت‌های خرابکارانه نباشید. بر روی تمام سرورهای افیکس هاست بخصوص سرورهای میزبانی وردپرس، قوی‌ترین و سازگارترین فایروال‌ها با سایت وردپرسی نصب شده و امکان بروز مشکل بر روی سرورها وجود ندارد.

۹- از سایت خود نسخه بکاپ تهیه کنید.

با وجود نصب فایروال و انجام سایر اقدامات امنیتی برای افزایش امنیت سایت وردپرسی خود، همیشه مراقب حفظ و نگهداری محتوا و اطلاعات سایت خود باشید. مهم‌ترین و ساده‌ترین اقدامی که برای افزایش امنیت سایت خود می‌توانید انجام دهید، تهیه نسخه‌های بکاپ به صورت مرتب از سایت وردپرسی خود است. با نگه داشتن نسخه بکاپ از سایت خود، در صورت بروز هرگونه مشکل و یا حتی از دست رفتن اطلاعات، می‌توانید وضعیت سایت خود را به حالت قبل باز گردانید.

سرویس میزبانی وردپرس افیکس هاست، به صورت منظم روزانه، هفتگی و ماهانه از سایت وردپرسی شما نسخه بکاپ تهیه و نگهداری می‌کند.

علاوه‌بر نسخه‌های بکاپی که می‌توانید از افیکس هاست درخواست کنید، می‌توانید نسخه‌هایی را خودتان به صورت منظم و لوکال بر روی سیستم خود نگه‌داری کنید.

۱۰- بصورت منظم، سایت وردپرسی خود را اسکن کنید.

اسکن منظم از فایل‌های سایت، باعث می‌شود در صورت مشاهده هرگونه موارد مشکوک را شناسایی کرده و پیش از بروز مشکل، آن را از بین برده و محتوای سایت شما را از خطر در امان نگه می‌دارد.

برخی از سرویس‌دهندگان هاست وردپرس از جمله افیکس هاست، این امکان را به صورت خودکار بر روی سرورهای خود فراهم کرده تا به صورت دوره‌ای، سرورها را اسکن کرده و با تشخیص خطرات حتی احتمالی، آن‌ها را دفع می‌کند.

نکاتی کلیدی برای توسعه دهندگان سایت وردپرسی به منظور افزایش امنیت سایت وردپرسی

نکات کلیدی افزایش امنیت سایت وردپرسی برای دولوپرها
نکات کلیدی افزایش امنیت سایت وردپرسی برای دولوپرها

۱۱- جلوگیری از ورود کاراکترهای خاص به فرم‌های وبسایت

اگر از فرم‌هایی از جمله فرم تماس، فرم خرید، فرم نظرات کاربران در صفحات وبلاگ و سایر فرم‌های دریافت اطلاعات در سایت خود بکار برده‌اید، لازم است یک سری کاراکترها را برای ورود از طریق این فرم‌ها به سایت محدود کنید.

فرم‌های ورود اطلاعات، بهترین فرصت برای حملات XSS یا تزریق کدهای مخرب به دیتابیس هستند. در واقع هکرها می‌توانند کدهای مخرب خود را از طریق فرم‌های موجود در سایت، به محتوا و در نتیجه دیتابیس سایت شما تزریق کرده و عملکرد سایت شما را مختل کنند.

برای جلوگیری از بروز چنین مشکلی، از ورود کاراکترهای مشکوک و حتی خاص به فرم‌های سایت،‌ پیش از رسیدن به دیتابیس خود جلوگیری کرده و به بالا بردن امنیت سایت وردپرسی خود کمک کنید.

۱۲- دسترسی کاربران را به پنل سایت وردپرسی خود محدود کنید.

اگر تعداد کاربران متعددی را برای سایت وردپرسی خود تعیین کرده‌اید، بهتر است نقش هر کدام از اعضا را مشخص کرده و تنها دسترسی در حد نیاز و مرتبط با میزان فعالیت آن‌ها را در اختیارشان قرار دهید. همچنین در صورت حذف شدن فردی از تیم، دسترسی وی را نیز از وردپرس خود حذف نمایید. وردپرس ۶ نقش از «مدیر کل» گرفته تا «نویسنده» را برای اختصاص دادن به کاربران تعیین نموده تا با محدود کردن دسترسی‌ها و جلوگیری از تعیین دسترسی «مدیر کل» به تمام افراد و محدود کردن آن‌ها، از امکان قرار گرفتن در معرض خطر و حملات بروت فورس (Brute Force) جلوگیری کرد.

۱۳- از مانیتورینگ اختصاصی سایت وردپرسی استفاده کنید.

با نصب مانیتورینگ مخصوص وردپرس، هرگونه فعالیت یا اقدامات مشکوک در سایت به شما گزارش داده می‌شود. پیشنهاد می‌شود تا حد ممکن از نصب پلاگین‌های متعدد بر روی وردپرس خود خودداری کنید، چرا که مانیتورینگ‌های اختصاصی وردپرس از پیش بر روی هاست وردپرس افیکس هاست نصب شده‌اند و پیش از وقوع هر اتفاقی، اقدامات مشکوک را تشخیص داده و آن‌ها را دفع می‌کنند.

۱۴- از فعالیت کاربران وردپرس خود گزارش تهیه کنید.

بررسی فعالیت کاربران در-وردپرس برای افزایش امنیت سایت وردپرسی
بررسی فعالیت کاربران در-وردپرس برای افزایش امنیت سایت وردپرسی

با تهیه‌ی لاگ یا همان گزارش از فعالیت‌های کاربران وردپرس خود، می‌توان پیش از وقوع هر اتفاقی، از آن باخبر شده و از آن جلوگیری کنید. با داشتن لاگ از فعالیت کاربران، در صورتی که شخصی اقدام به تغییر رمز عبور، نصب یا غیرفعال کردن پلاگین، تغییر تم یا اقدامات دیگر کرد، شما متوجه آن خواهید شد.

همچنین داشتن لاگ یا گزارش فعالیت‌های کاربران بعد از هک شدن یا بروز هر مشکلی کمک می‌کند تا علت موضوع را متوجه شوید. با انجام این مورد، از کاهش امنیت سایت وردپرسی خود پیشگیری خواهید کرد.

۱۵- آدرس پیش‌فرض لاگین به وردپرس را تغییر دهید.

آدرس (URL) ورود به داشبورد وردپرس، آدرسی مشخص است که تمام افرادی که با پلتفرم وردپرس کار می‌کنند با آن آشنایی دارند. این آدرس می‌تواند wp-admin/ یا wp-login یا مواردی مشابه باشد. بهتر است برای جلوگیری از حدس آدرس ورود به داشبورد خود توسط هکرها، آدرس لاگین را تغییر دهید.

۱۶- امکان ویرایش فایل را از طریق داشبورد وردپرس غیرفعال کنید.

به صورت پیش‌فرض این امکان برای افراد ادمین در وردپرس فراهم است تا بتوانند کدهای نوشته شده در فایل‌ها را به صورت مستقیم از طریق ویرایشگر کد، تغییر دهند. این مورد به هکرها کمک می‌کند تا در صورت دسترسی به وردپرس شما، بتوانند به سورس کدهای سایت وردپرسی شما نیز دسترسی داشته باشند.

با اضافه کردن کد زیر به انتهای فایل wp-config.php می‌توانید دسترسی به فایل‌های کدهای سایت خود را از طریق وردپرس غیرفعال کنید:

// Disallow file edits

define( ‘DISALLOW_FILE_EDIT’, true );

۱۷- پیشوند فایل دیتابیس خود را تغییر دهید.

فایل‌های دیتابیس وردپرس به صورت پیش‌فرض، با پیشوند «_wp» آغاز می‌شوند. هکرها با استفاده از این پیشوند می‌توانند فایل دیتابیس شما را ردیابی و عملیات تزریق کدها مخرب SQL را انجام دهند.

برای جلوگیری از این مساله بهتر است پیشوند فایل دیتابیس خود را به موارد مثل «_wpdb» یا «_wptable» تغییر دهید. انتخاب نام دیتابیس به هنگام نصب CMS وردپرس، امری بسیار ساده است. البته اگر در حال حاضر نیز سایت شما فعال است می‌توانید نام فایل دیتابیس خود را تغییر دهید. البته پیش از اعمال هرگونه تغییر، یک نسخه بکاپ یا فایل پشتیبان از سایت خود ذخیره نمایید، چرا که با تغییر نام دیتابیس و یا تغییر فایل دیگری به اشتباه،‌ ممکن است سایت شما با اختلال مواجه شود. پیشنهاد می‌شود از توسعه دهنده‌ی سایت وردپرسی خود و یا شخص متخصصی بخواهید عمل تغییر نام فایل دیتابیس را انجام دهد.

۱۸- فایل xmlrpc.php را غیرفعال کنید.

XML-RPC یک پروتکل ارتباطی است که این امکان را به سیستم مدیریت محتوای وردپرس می‌دهد تا با سایر وبسایت‌ها و اپلیکیشن‌ها فعال در وب ارتباط برقرار کند. البته در سال‌های اخیر و پس از ایجاد پروتکل REST API، از این پروتکل به مراتب کمتر نسبت به قبل در وردپرس استفاده شده است اما برخی از هکرها از همین فایل برای اعمال حمله‌های خطرناک خود به سایت‌های وردپرسی استفاده می‌کنند.

دلیل خطرناک بودن حملات از طریق این فایل این است که تکنولوژی XML-RPC به هکرها این امکان را می‌دهد تا درخواست‌‌های خود را در قالب صدها کامند یا دستور در این فایل ثبت کنند و این امر، لاگین از طریق حملات بروت فورس را ساده‌تر می‌کند.

۱۹- اکانت ادمین پیش‌فرض وردپرس را حذف کنید.

در ابتدا به منظور افزایش امنیت وردپرس خود، نام کاربری «admin» را به نامی دیگر تغییر دهید. به منظور چند برابر کردن امنیت، بهتر است به صورت کلی، این اکانت پیش‌فرض ایجاد شده بر روی وردپرس را حذف نموده و اکانتی جدید با همان سطح دسترسی بر روی وردپرس خود ایجاد نمایید.

۲۰- نسخه فعلی وردپرس خود را مخفی کنید.

این امر بسیار ضروری است که نسخه سیستم مدیریت محتوای وردپرس خود را به صورت منظم بروز کنید. در واقع با انتشار نسخه بروز وردپرس، اعلامیه‌ی آن را در داشبورد وردپرس خود مشاهده خواهید کرد و نیاز است که پس از مشاهده‌ی این اعلامیه، شما نیز سایت وردپرسی خود را بروز نمایید. در صورتی که این امر را فراموش می‌کنید و این بروزرسانی چند روزی به تعویق می‌افتد، پنهان کردن نسخه وردپرس از آگاه شدن هکرها نسبت به آسیب‌پذیر بودن سایت وردپرسی شما جلوگیری می‌کند.

به منظور پنهان کردن نسخه وردپرس می‌توانید از روش‌های زیر اقدام نمایید. البته این امر را به دولوپر خود بسپارید تا اعمال کدها به صورت دقیق و صحیح انجام شود.

– ویرایش Generator Meta Tag

۱. به مسیر تم وردپرس خود روید. تم وردپرس معمولا در مسیر wp-content/themes قرار دارد.

۲. کد زیر را در انتهای فایل functions.php تم وردپرس فعال سایت خود قرار دهید:

remove_action(‘wp_head’, ‘wp_generator’)

–        با استفاده از تابع حذف نسخه وردپرس

۱. به مسیر تم وردپرس خود روید. تم وردپرس معمولا در مسیر wp-content/themes قرار دارد.

۲. کد زیر را در انتهای فایل functions.php تم وردپرس فعال سایت خود قرار دهید:

function remove_version_info() {

return ”;

}

add_filter(‘the_generator’, ‘remove_version_info’);

۲۱- ایمن‌سازی فایل‌های wp-config، htaccess و robot.txt

تعیین و تغییر سطح دسترسی فایل‌های wp-config، htaccess و robot.txt از مواردی هستند که به منظور افزایش امنیت سایت وردپرسی باید به آن توجه داشت. با کاهش سطح دسترسی این فایل‌ها و پنهان کردن آن‌ها از دید هکرها، امکان بروز مشکل و احتمال هک شدن را بسیار پایین می‌آورد. هم‌چنین کاهش سطح دسترسی فایل‌های php سایت وردپرسی را در دستور کار خود قرار دهید، چرا که بسیاری از هکرها به دنبال دسترسی به فایل‌های پی‌اچ‌پی و اقدام به آسیب رساندن به سایت از طریق این فایل‌ها هستند.

موارد ذکر شده در نکته‌ی شماره‌ی ۲۱ از جمله مواردی‌ست که به هنگام ایجاد سایت خود باید به آن‌ها نیز توجه داشته باشید. البته این نکات بسیار گسترده هستند که در مقالات بعدی به آن‌ها خواهیم پرداخت. پیش از ساخت سایت وردپرسی و شروع فعالیت‌های آنلاین خود، لازم است به حفظ و افزایش امنیت سایت، محتوا و دیتای وبسایت خود فکر کنید. با در نظر گرفتن موارد امنیتی که ممکن است برای سایت‌‌های وردپرسی پیش آید، می‌توانید آینده را پیش‌بینی کنید و از بروز مشکل برای اطلاعات خود جلوگیری نمایید.

به عنوان مثال، با آشنایی با انواع حملات، نقاط ضعف مورد هدف آن‌ها و نحوه آسیب‌رسانی آن‌ها به سایت، می‌توان روش صحیح جلوگیری از آسیب دیدن یا هک شدن و در نتیجه افزایش امنیت سایت وردپرسی خود را انتخاب و اعمال کرد. در نظر داشته باشید، مهم‌ترین اقدام شما برای افزایش امنیت سایت، انتخاب و خرید هاست وردپرس ایران است تا پلتفرمی ایمن برای میزبانی سایت خود داشته باشید. با خرید میزبانی وردپرس بر روی سرورهای ایمن می‌توان با اطمینان خاطر به فعالیت‌های آنلاین خود بر روی سایت وردپرسی ادامه داد.

خرید هاست وردپرس ایمن پرسرعت برای افزایش امنیت سایت ورددپرسی
خرید هاست وردپرس ایمن پرسرعت برای افزایش امنیت سایت ورددپرسی

به این پست امتیاز بدید...

خیلی ضعیف/ضعیف/متوسط/خوب/عالی

میانگین امتیازات :5 تعداد آرا: 13

هنوز کسی رای نداده...