سیستم مدیریت محتواوردپرس

راه های افزایش امنیت وردپرس – بررسی چند راه ساده و آسان

چند اقدام مهم برای افزایش امنیت سایت وردپرسی

اگر با وردپرس کار می کنید یا از آن استفاده می کنید، همیشه باید به امنیت سایت خود فکر کنید. وردپرس نسبت به سایر سیستم ها کم و بیش ایمن نیست، اما تعداد کاربران ، افزونه ها و پلاگین های شخص ثالث آن را به یک هدف مشترک برای مهاجمان تبدیل کرده است. نگران نباشید، برخی اقدامات اساسی وجود دارد که می توانید برای امنیت سایت خود انجام دهید (حتی اگر خیلی اهل فن نیستید)! پس تا انتهای این مقاله با وبلاگ آذردیتا همراه باشید.

آنچه در این مقاله خواهید آموخت :

۱ . از واژه ‘admin’ به عنوان نام کاربری استفاده نکنید

بیشتر “هک ها” و حملات وردپرس ، کاری پیچیده تر از تلاش و بی رحمی برای ورود به منطقه مدیر شما با حدس زدن رمز ورود شما نیست. اگر لازم نباشد نام کاربری ادمین شما را حدس بزنند انجام این کار برای آنها بسیار آسان تر است! اجتناب از استفاده از کلمات معمول (مانند admin) برای نام های کاربری شما می تواند حملات brute-force را بسیار کمتر کند.

اگر با یک سایت قدیمی کار می کنید که قبلاً یک کاربر «admin» دارد، ممکن است زمان حذف آن حساب و انتقال هرگونه محتوا یا دسترسی به نام کاربری ایمن تر باشد!

۲ . از یک رمز عبور پیچیده استفاده کنید

داشتن رمز عبور بهتر می تواند حدس زدن را دشوارتر کند. یک نکته آسان برای یادآوری انتخاب رمز عبور؛ CLU است یعنی پیچیده (Complex) ، طولانی (Long) و منحصر بفرد(Unique)

اما، گذرواژه های منحصر به فرد را به سختی می توان به خاطر سپرد، درست است؟ این جایی است که ابزارهایی مانند ۱Password و LastPass وارد بازی می شوند، زیرا هر یک از آنها تولید کننده رمز هستند. شما طول مورد نیاز را تایپ می کنید و این یک رمز عبور برای شما ایجاد می کند. شما این داده ها را ذخیره می کنید، رمز عبور را ذخیره می کنید و روز خود را ادامه می دهید. بسته به میزان امن بودن رمز عبور ، منطقی است که یک گذرواژه طولانی تنظیم کنید (۲۰ حرف خوب است) و در مورد مواردی مانند درج کاراکترهای کمتر معمول مانند # یا * در پسورد خود، تصمیم بگیرید.

۳ . به سایت خود رمز عبور دو مرحله ای اضافه کنید

حتی اگر از یوزرنیم “admin” استفاده نمی کنید و رمز عبور قوی و تصادفی ایجاد شده دارید، حملات brute-force همچنان می تواند یک مشکل باشد. نگران نباشید، احراز هویت دو مرحله ای می تواند به محافظت از سایت شما کمک کند.

اصل این است که، به جای اینکه فقط اطلاعات ورود به سیستم را وارد کنید، باید با وارد کردن کد یکبار مصرف از دستگاه دیگری که متعلق به خودتان هستید (معمولاً از طریق برنامه روی تلفن) ، تأیید کنید که خودتان هستید.

دو افزونه معروف برای دستیابی به تأیید اعتبار دو مرحله ای در وردپرس Google Authenticator و Rublon Plugin است (که رویکردی کمی متفاوت دارد). فقط اطمینان حاصل کنید که کدهای پشتیبان خود را گم نکنید، در غیر این صورت ممکن است سایت شما قفل شود.

۴ . افراد را به نقش های مناسب اختصاص دهید

تیم WordPress مقاله ای عالی در مورد نقش ها و توانایی ها در سایت تهیه کرده است.

اگر کسی برای تغییر پیکربندی به دسترسی موقت پنل مدیریت نیاز دارد، به آن اعطا کنید اما پس از اتمام کار آن را بردارید. بر خلاف تصور عمومی، لازم نیست هر کاربری که به نمونه وردپرس شما دسترسی پیدا می کند، در بخش مدیر طبقه بندی شود. افراد را به نقش های مناسب اختصاص دهید و خطر امنیتی خود را تا حد زیادی کاهش می دهید.

به عنوان مثال اگر فردی در زمینه تولید محتوا در بخش وبلاگ سایت شما فعالیت دارد، میتوانید با اعطا روش و نقش نویسنده در وبسایت خود بجای استفاده از نقش مدیرکل، امنیت خود را افزایش دهید.

۵ . فایل های wp-config.php و .htaccess را پنهان کنید

فایل های wp-config.php و .htaccess شما برای امنیت وردپرس بسیار مهم هستند. آنها اغلب حاوی اطلاعات سیستم شما هستند و اطلاعات مربوط به ساختار و پیکربندی سایت شما را افشا می کنند. اطمینان از عدم دسترسی مهاجمان به آنها امری حیاتی است.

پنهان کردن این پرونده ها به راحتی قابل انجام است، اما اشتباه انجام دادن آن ممکن است سایت شما را از دسترس خارج کند. یک نسخه پشتیبان تهیه کنید و با احتیاط ادامه دهید اما Yoast SEO برای وردپرس این روند را تا حدودی برای شما آسان می کند. برای ویرایش .htaccess خود کافیست به قسمت “سئو » ابزارها » ویرایشگر فایل” بروید.

برای امنیت بهتر وردپرس، باید این قطعه کد را برای محافظت از wp-config.php به پرونده .htaccess خود اضافه کنید :

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

که از دسترسی به پرونده جلوگیری می کند. کد مشابهی برای خود فایل .htaccess نیز قابل استفاده است :

<Files .htaccess>
order allow,deny 
deny from all
</Files>

۶ . ویرایش فایل را غیرفعال کنید

اگر یک هکرها موفق به نفوز به وبسایت شما شوند، ساده ترین راه برای تغییر پرونده های شما این است که به “نمایش » ویرایشگر پوسته” در وردپرس مراجعه کنند. برای بهبود امنیت وردپرس خود، می توانید ویرایش این فایل ها را از طریق آن ویرایشگر غیرفعال کنید که می توانید این کار را از داخل فایل wp-config.php خود با اضافه کردن این خط کد انجام دهید :

define('DISALLOW_FILE_EDIT', true);

همچنان می توانید قالب های خود را از طریق برنامه FTP مورد علاقه خود ویرایش کنید ولی شما فقط قادر به انجام آن از طریق خود وردپرس نخواهید بود تا این قطعه کد را مجددا از فایل wp-config خود حذف کنید.

۷ . ورود خود را پنهان کرده و تلاش برای ورود به سیستم را محدود کنید

حملات Brute-force معمولاً فرم ورود شما را هدف قرار می دهد. بنابراین تغییر مکان این فرم می تواند ورود مهاجمان را دشوارتر کند. افزونه All in One WP Security & Firewall این گزینه را دارد که به سادگی URL پیش فرض (از /wp-admin) را به چیزی امن تر تغییر دهد.

در کنار آن، می توانید تعداد تلاش برای ورود به سیستم از طریق یک آدرس IP خاص را نیز محدود کنید. چندین افزونه وردپرس وجود دارد که به شما کمک می کند فرم ورود خود را از آدرس های IP محافظت کنید.

۸ . امنیت هاستینگ انتخابی شما

حتی اگر در مورد امنیت وب سایت خود دقیق باشید، ولی امنیت هاستینگ شما به همان اندازه دقیق نباشد، ممکن است شما عملا هرکاری جهت امنیت بکنید بی فایده باشد.

اگر یک مهاجم بتواند به میزبانی وب سایت شما دسترسی پیدا کند، می تواند کنترل کامل همه چیز را در دست بگیرد. این بدان معنی است که باید در انتخاب یک هاستینگ مناسب و امن دقت کنید. هاستینگ های ارزان قیمت اغلب با امنیت یا پشتیبان گیری خوبی همراه نیستند، یا ممکن است پشتیبانی برای پاکسازی یک سایت هک شده ارائه ندهند.

آذردیتا یک وبسایت ارائه دهنده خدمات هاست (میزبانی وب) ثبت دامنه، طراحی و امنیت وبسایت و سرور مجازی میباشد که فعالیت خود را در سال ۱۳۸۹ آغاز نمود. آذردیتا افتخار این را دارد که محصولات خود را با قابلیت عودت وجه و همچنین پشتیبانی ۲۴ ساعته در کنار امنیت و سرعت بالا و همراه با آپتایم ۹۹% ارائه دهد و نسبت به تعهدات خود کاملا مسئول باشد . محل سرور های آذردیتا در آلمان دیتاسنتر هتزنر و ایران دیتاسنتر آسیاتک میباشد.

۹ . به روز باشید

به روز بودن اظهارنظر ساده ای است، اما ما می فهمیم که این مسئله چقدر می تواند برای صاحبان وب سایت در روز سخت باشد. وب سایت های ما موجودات پیچیده ای هستند. آنها در هر زمان اتفاقات مختلفی دارند و بعضی اوقات اعمال تغییرات سریع به سختی انجام می شود. به همین دلیل غیر منتظره است که وب سایت ها کد قدیمی خود را با اپدیت های جدید تطبیق دهند. این مورد هم در افزونه ها و هم در کدهای قالب سایت صادق است. متأسفانه، این باعث می شود که آنها به ویژه در معرض سو استفاده و آسیب پذیر شوند.

۱۰ . لایه های امنیتی بیشتری را در سایت خود قرار دهید

بهترین راه حل های امنیتی مانع از این می شود که مهاجمان هرگز به هرجای وب سایت شما دسترسی پیدا کنند. به همین دلیل ما توصیه می کنیم که اکثر سایت ها نوعی افزونه فایروال وردپرس را اجرا کنند. این افزونه ها به دنبال مهاجمان شناخته شده و الگوهای معمول حمله هستند و قبل از اینکه فرصتی برای به خطر انداختن سایت شما داشته باشند، آنها را متوقف می کنند.

همچنین لازم به ذکر است که بسیاری از سیستم های تحویل محتوا اکنون از قابلیت دیوار آتش برخوردار هستند. ترکیب بهینه سازی عملکرد با محافظت. به ویژه Cloudflare در جلوگیری از “bad traffic” کار بزرگی انجام می دهد و حتی دارای قوانین و اسکن هایی است که به طور خاص برای محافظت از سایت های وردپرس تهیه شده است.

۱۱ . از بهترین پلاگین ها و تم های امنیتی استفاده کنید

بیشتر کاربران وردپرس تمایل دارند که تم ها و افزونه ها را به دلخواه در سایت های خود اعمال کنند. ما توصیه می کنیم مراقب تست قالب ها یا افزونه های مختلف باشید، به خصوص اگر از سرور آزمایشی استفاده نمی کنید. اکثر افزونه ها و بسیاری از قالب ها رایگان هستند، مگر اینکه توسعه دهنده یک مدل تجاری خوب برای همراهی با این محصولات رایگان داشته باشد، ممکن است امنیت در بالاترین اولویت در هنگام توسعه نبوده باشد.

به عبارت دیگر، اگر توسعه دهنده ای فقط به دلیل سرگرم کننده بودن یک افزونه را ارائه داده باشد، به احتمال زیاد او برای انجام بررسی های امنیتی مناسب وقت صرف نکرده است.

۱۲ . گزارش ها و مانیتورینگ را فراموش نکنید

تاکنون، نحوه ایمن سازی سایت وردپرس را مشاهده کرده ایم. با این حال، از آنجا که امنیت وردپرس مطلق نیست (سایت ها همیشه با تغییر عملکرد و کاربران در حال پیشرفت هستند) ، امنیت وردپرس جنبه دیگری دارد یعنی : ورود به سیستم و نظارت

گزارش های حسابرسی یا گزارش فعالیت ها ، ثبت وقایع و تغییراتی است که در وب سایت شما اتفاق افتاده است. در گزارش های حسابرسی یا لگ فایل ها می توانید اطلاعاتی درباره افرادی که به سایت شما وارد شده اند، افزونه ای را نصب یا به روز کرده ، محتوا را تغییر داده ، تنظیمات سایت را تغییر داده و موارد دیگر پیدا کنید.

حملات را قبل از وقوع تشخیص دهید

با نگه داشتن یک گزارش ممیزی در سایت وردپرس خود، از مسئولیت پذیری کاربر اطمینان می یابید، عیب یابی مشکلات فنی را آسان می کنید و حملات را قبل یا هنگام وقوع تشخیص میدهید. گزارش های حسابرسی همچنین برای پس از حمله مورد استفاده قرار می گیرد تا دریابید چه اتفاقی در مورد هک موفقیت آمیز سایت شما رخ داده است. برای نگهداری یک گزارش ممیزی در سایت وردپرس خود، باید افزونه ای مانند WP Security Audit Log را نصب کنید.

برای امتیاز به این نوشته کلیک کنید!
[کل: ۲ میانگین: ۵]

سعید زارعین

سعید هستم 27 ساله، یک عدد تولید محتوا(ئر) خلاق :)))

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا