افزایش امنیت وردپرس

افزایش امنیت وردپرس


یکی از مسائلی که تمامی مدیران وردپرسی به دنبالش هستند تامین امنیت وردپرس می‌باشد که به هیچ وجه نباید به سادگی از این مسئله گذشت کنیم. وردپرس به دلیل محبوبیت بسیار زیادی که دارد همواره در معرض هک و نفوذ قرار می‌گیرد و با توجه به افزایش روزانه وبسایت‌های وردپرسی آماره هک شدن آن‌ها هم بیشتر می‌شود. از آنجایی که بحث امنیت یک امر نسبی است و نمیشه گفت یک سیستم امنیت کامل دارد بنابراین لازم است تا جایی که امکان دارد امنیت وبسایت وردپرسی خود را افزایش دهید و یا حداقل مسائلی را پیش بینی کنید تا کمترین ضرر را در هنگام هک شدن ببینید.


بروزرسانی وردرپرس

مهمترین مسئله در تامین امنیت وبسایت‌هایی که تحت وردپرس در حال فعالیت هستند بروز بودن وردپرس، افزونه‌ها و قالب‌هایی می‌باشند که از آن‌ها در حال بهره‌گیری هستید. تیم وردپرس به صورت مداوم در حال افزودن قابلیت‌های جدید و رفع مشکلات و باگ‌های امنیتی این سیستم مدیریت محتوا و یا CMS است. درنتیجه هرزمانی که وردپرس برای شما پیامی جهت بروزرسانی ارسال کرد، بروزرسانی کنید تا امنیت وبسایتتان افزایش پیدا کند.

نسخه پشتیبان از وردپرس

یکی از راه‌هایی که پس از هک شدن می‌تواند شما را دلگرم نگه دارد تهیه مداوم نسخه پشتیبان و یا بک آپ از وردپرس وبسایتتان می‌باشد که در واقع این امکان را به شما می‌دهد تا از تمامی محتوا و قالب موجود در وردپرس نسخه پشتیبان یا بک آپ تهیه کنید و در زمانی که به مشکلی مانند هک شدن مواجه شدید دیگر لازم نباشد از صفر شروع کنید.

افزایش امنیت با فایل Wp-Config / htaccess

فایل هایی چون Wp-config.php یا htaccess یکی از مهمترین فایل‌های وردپرس به حساب می‌آیند که اطلاعات دیتابیس در این فایل قرار می‌گیرند. بنابراین در حفظ اطلاعات موجود در این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که می‌دانید دسترسی به این فایل را محدود کنید تا هیچکس غیر از خودتان توانایی مشاهده این فایل‌ها را نداشته باشد. این امر را می‌توانید با توجه به افزونه YoastSEO به راحتی انجام دهید که برای این منظور لازم است به بخش ابزارها سپس ویرایشگر فایل مراجعه کنید. در اینجا با فایل htaccess مواجه خواهید شد. حال قطعه کد زیر را برای حفظ ایمنی بیشتر Wp-config.php وارد کنید:

order allow,deny

deny from all

جهت افزایش امنیت فایل htaccess از قطعه کد زیر استفاده نمایید:

order allow,deny

deny from all


رمزعبور و تغییر آدرس صفحه ورود به وردپرس

رمز عبور یکی از مسائلی است که از سال‌ها پیش تا به امروز بسیاری از کاربران با این قضیه مشکل دارند. همیشه در نظر داشته باشید از سخت‌ترین رمزعبور و یا از رمز عبوری استفاده کنید که هیچکس فکرش را هم در قبال شما نمی‌کند که همچنین رمزعبوری برای صفحه وردپرس خود استفاده کرده‌اید. از طرفی دیگر جهت افزایش امنیت وردپرس می‌توانید صفحه ورود به پنل وردپرس را تغییر دهید.

ورود دو مرحله‌ای و سوال امنیتی

یکی از مسائلی که امنیت وبسایت شما را به شدت افزایش خواهد داد برنامه Google Autheticator می‌باشد که تنها برای گوگل نیست بلکه می‌توانید از این برنامه و قابلیت آن در وردپرس بهره‌مند شوید که از طریق SMS و یا پیامک برایتان کد ارسال خواهد شد و در صورت وارد کردن درست کد به پنل مربوط به خودتان هدایت می‌شوید از طرفی دیگر می‌توانید برای صفحه ورود وردپرس خود سوال امنیتی تعریف کنید که کاربر باید حتما سوال امنیتی که از قبل در حساب کاربریش را وارد کرده است پاسخ دهد تا امکان ورود برایش فراهم شود.

مخفی سازی نام کاربری

در بیشتر قالب‌های وردپرس وقتی روی نام نویسنده کلیک نمایید به صفحه نویسنده هدایت می‌شوید که در آن نام کاربری نویسنده درست همان چیزی است که در آدرس آن نمایش داده می‌شود. درنتیجه اگر احساس می‌کنید که نیازی به این قابلیت ندارید می‌توانید چنین قابلیتی را از قالب خودتان غیرفعال نمایید. یا اینکه با استفاده از یک سری ترفندها صفحه نویسنده را براساس آیدی نویسنده تعیین کنید.

قابلیت مشاهده پوشه‌های هاست را غیرفعال بسازید

یکی از نکاتی که کاربران بهش توجه می‌کنند و بر اساس کانفیگ و یا پیکربندی هاست ممکن است این قابلیت در هاست غیرفعال نشده باشد قابلیت مشاهده پوشه‌ها در وبسایت است که در واقع Directory Browsing می‌تواند توسط هکرها مورد استفاده واقع شود و فایل‌های موجود در هر پوشه به راحتی قابل بررسی شوند و با پیدا کردن راه نفوذی به راحتی وبسایت شما هک شود. اگر قصد دارید این قابلیت را غیر فعال کنید مراحل زیر را انجام دهید.

  1. وارد File manager هاست شوید و به مسیر Public_html بروید.

  2. فایل htaccess را در ریشه وبسایت خود جستوجو کرده و سپس برای ویرایش و یا Edit آن اقدام فرمایید.

  3. دستور Options –Indexes را به انتهای فایل اضافه نمایید و در آخر آن را ذخیره کنید.

غیرفعال سازی XML-RPC

فایل XML –RPC وردپرس هم امکان مدیریت از راه دور را در وردپرس به کاربران می‌دهد که از جمله این موارد قابلیت استفاده از برنامه اندروید، برنامه ویندوز وردپرس و یا سرویس‌هایی همچون IFTTT می‌باشد که با استفاده از تابع system.multicall هکر می‌تواند در یک لحظه 30 درخواست را به وبسایت ارسال کند و اقدام به پیدا کردن رمز عبور در وردپس کند که علاوه بر این امکان حملات DDOS هم از این طریف فراهم خواهد شد. پس بهتر است فایل XML-RPC را هم غیر فعال سازید.

غیرفعال سازی فایل‌های php غیر ضروری

بهتر است جهت افزایش امنیت وردپرستان برخی دایرکتوری‌هایی که اصلا نیازی به اجرای فایل‌های php در آن‌ها نیست را غیرفعال سازید که از جمله مهمترین آن‌های پوشه Uploads  است. جهت غیرفعال سازی مراحل زیر را طی کنید.

  1. وارد File manager هاست شوید و سپس به مسیر Public_html/wp-content/uploads مراجعه کنید

  2. یک فایل با نام htaccess بسازید و کدهای زر را در آن قرار بدهید.

deny from all