
امنیت وردپرس
امنیت وردپرس موضوعی بسیار مهم برای هر صاحب وب سایتی است.
گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد.
اگر در مورد وب سایت خود جدی هستید، پس باید به بهترین شیوه های امنیتی وردپرس توجه کنید.
در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای کمک به محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک می گذاریم.
در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی برای حفظ امنیت سایت شما می توان انجام داد.
در WPBeginner، ما معتقدیم که امنیت فقط حذف ریسک نیست.
همچنین در مورد کاهش ریسک است.
به عنوان یک صاحب وب سایت، کارهای زیادی می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر در زمینه فناوری اطلاعات کافی ندارید).
ما تعدادی گام عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.
برای آسان کردن این کار، ما یک جدول از محتوا ایجاد کرده ایم تا به شما کمک کند به راحتی در راهنمای امنیتی نهایی وردپرس خود حرکت کنید.
امنیت وردپرس
به روز نگه داشتن وردپرس
وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و به روز می شود.
به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند.
برای نسخههای اصلی، باید بهروزرسانی را بهصورت دستی آغاز کنید.
وردپرس همچنین دارای هزاران افزونه و تم است که می توانید در وب سایت خود نصب کنید.
این پلاگین ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور منظم به روز رسانی را نیز منتشر می کنند.
این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونه ها و پوسته شما به روز هستند.
امنیت وردپرس
رمزهای عبور قوی و مجوزهای کاربر
رایج ترین تلاش های هک وردپرس از رمزهای عبور سرقت شده استفاده می کند.
شما می توانید با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند، این کار را دشوار کنید.
نه فقط برای ناحیه مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.
بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است.
نکته خوب این است که دیگر نیازی به یادآوری رمزهای عبور ندارید.
می توانید از یک پسورد منیجر استفاده کنید.
راهنمای ما در مورد نحوه مدیریت رمزهای عبور وردپرس را ببینید.
راه دیگر برای کاهش خطر این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید، مگر اینکه کاملاً مجبور باشید.
اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حسابهای کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقشها و قابلیتهای کاربر در وردپرس را درک کردهاید.
امنیت وردپرس
نقش میزبانی وردپرس
سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند.
یک ارائه دهنده میزبانی مشترک خوب مانند Hostinger، Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می دهد.
در اینجا نحوه عملکرد یک شرکت میزبانی وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما آمده است.
⦁ آنها به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
⦁ همه شرکت های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند
⦁ آنها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از یک آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
⦁ آنها آماده به کارگیری برنامه های بازیابی فاجعه و حوادث هستند که به آنها امکان می دهد در صورت بروز حادثه بزرگ از داده های شما محافظت کنند.
در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید.
این خطر آلودگی بین سایتی را باز می کند که در آن هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند.
استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر امن تری را برای وب سایت شما فراهم می کند.
شرکت های میزبان وردپرس مدیریت شده، پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می دهند.
ما WPEngine را به عنوان ارائه دهنده میزبانی مدیریت شده وردپرس ترجیحی ما توصیه می کنیم.
آنها همچنین محبوب ترین در صنعت هستند.
امنیت وردپرس
امنیت وردپرس در مراحل آسان (بدون کدنویسی)
ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد.
به خصوص اگر اهل فن نیستید.
حدس بزنید – شما تنها نیستید.
ما به هزاران کاربر وردپرس کمک کرده ایم تا امنیت وردپرس خود را تقویت کنند.
ما به شما نشان خواهیم داد که چگونه می توانید امنیت وردپرس خود را تنها با چند کلیک بهبود بخشید (بدون نیاز به کدنویسی).
اگر می توانید اشاره و کلیک کنید، می توانید این کار را انجام دهید!
امنیت وردپرس
یک راه حل پشتیبان وردپرس را نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است.
به یاد داشته باشید، هیچ چیز 100٪ امن نیست.
اگر وب سایت های دولتی را می توان هک کرد، پس سایت شما نیز می تواند هک شود.
پشتیبانگیری به شما این امکان را میدهد تا در صورت وقوع اتفاق بدی، به سرعت سایت وردپرس خود را بازیابی کنید.
تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد که می توانید از آنها استفاده کنید.
مهمترین چیزی که در مورد پشتیبانگیری باید بدانید این است که باید به طور مرتب نسخههای پشتیبان کامل سایت را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.
توصیه می کنیم آن را در یک سرویس ابری مانند آمازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.
بر اساس تعداد دفعاتی که وب سایت خود را به روز می کنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان در زمان واقعی باشد.
خوشبختانه این کار را می توان به راحتی با استفاده از افزونه هایی مانند Duplicator، UpdraftPlus یا BlogVault انجام داد.
آنها هر دو قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است (بدون نیاز به کدنویسی).
امنیت وردپرس
بهترین افزونه امنیتی وردپرس
بعد از پشتیبانگیری، کاری که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت را راهاندازی کنیم که همه چیزهایی که در وبسایت شما اتفاق میافتد را پیگیری کند.
این شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است.
خوشبختانه، این همه می تواند توسط بهترین افزونه امنیتی رایگان وردپرس، اسکنر Sucuri، برطرف شود.
باید افزونه رایگان Sucuri Security را نصب و فعال کنید.
برای جزئیات بیشتر، لطفا راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.
پس از فعال سازی، باید به منوی Sucuri در مدیریت وردپرس خود بروید.
اولین کاری که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید.
این امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.
کار بعدی که باید انجام دهید این است که از منوی تنظیمات روی زبانه “Hardening” کلیک کنید.
هر گزینه را مرور کنید و روی دکمه “اعمال سخت شدن” کلیک کنید.
این گزینه ها به شما کمک می کند تا مناطق کلیدی را که هکرها اغلب در حملات خود استفاده می کنند، قفل کنید.
تنها گزینه سختکنندهای که بهروزرسانی پولی است، فایروال Web Application است که در مرحله بعد توضیح خواهیم داد، بنابراین فعلاً از آن صرفنظر کنید.
همچنین بسیاری از این گزینههای «سختسازی» را در ادامه این مقاله برای کسانی که میخواهند بدون استفاده از افزونه یا مواردی که به مراحل اضافی مانند «تغییر پیشوند پایگاه داده» یا «تغییر نام کاربری مدیر» نیاز دارند، انجام دهند، پوشش دادهایم.
پس از بخش سختسازی، تنظیمات پیشفرض پلاگین برای اکثر وبسایتها به اندازه کافی خوب هستند و نیازی به تغییر ندارند.
تنها چیزی که ما سفارشی کردن آن را توصیه می کنیم «هشدارهای ایمیل» است.
تنظیمات پیشفرض هشدار میتواند صندوق ورودی شما را با ایمیلها شلوغ کند.
توصیه میکنیم برای اقدامات کلیدی مانند تغییرات در افزونهها، ثبت نام کاربر جدید و غیره هشدار دریافت کنید.
میتوانید هشدارها را با رفتن به تنظیمات Sucuri » Alerts پیکربندی کنید.
این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام تب ها و تنظیمات را مرور کنید تا تمام کارهایی که انجام می دهد مانند اسکن بدافزار، گزارش های حسابرسی، ردیابی تلاش برای ورود ناموفق و غیره را مشاهده کنید.
امنیت وردپرس
نام کاربری پیش فرض “admin” را تغییر دهید
در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود.
از آنجایی که نامهای کاربری نیمی از اعتبار ورود به سیستم را تشکیل میدهند، این امر انجام حملات brute-force را برای هکرها آسانتر میکند.
خوشبختانه، وردپرس از آن زمان این را تغییر داده است و اکنون از شما می خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید.
با این حال، برخی از نصبکنندگان وردپرس با یک کلیک، هنوز نام کاربری پیشفرض مدیر را روی «admin» تنظیم میکنند.
اگر متوجه شدید که اینطور است، پس احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید.
از آنجایی که وردپرس به طور پیشفرض به شما اجازه تغییر نام کاربری را نمیدهد، سه روش برای تغییر نام کاربری وجود دارد.
یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
از افزونه Username Changer استفاده کنید
نام کاربری را از phpMyAdmin به روز کنید
ما هر سه مورد را در راهنمای دقیق خود در مورد نحوه صحیح تغییر نام کاربری وردپرس خود (گام به گام) پوشش داده ایم.
توجه:ما در مورد نام کاربری به نام “admin” صحبت می کنیم، نه نقش مدیر.
امنیت وردپرس
غیرفعال کردن ویرایش فایل
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و فایل های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید.
در دستان اشتباه، این ویژگی می تواند یک خطر امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.
با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید.
// ویرایش فایل را مجاز نکنید
define(‘DISALLOW_FILE_EDIT’, true );
همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.
امنیت وردپرس
محدود کردن تلاش برای ورود
به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند.
این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد.
هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.
این را می توان به راحتی با محدود کردن تلاش های ناموفق برای ورود به سیستم برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، به طور خودکار به آن رسیدگی می شود.
با این حال، اگر راه اندازی فایروال را ندارید، مراحل زیر را دنبال کنید.
ابتدا باید افزونه Login LockDown را نصب و فعال کنید.
برای جزئیات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.
پس از فعالسازی، برای راهاندازی افزونه، به صفحه تنظیمات » Login LockDown مراجعه کنید.
امنیت وردپرس
احراز هویت دو عاملی را اضافه کنید
تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند.
اولین مورد، نام کاربری و رمز عبور است، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.
اکثر وب سایت های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان را می دهند که آن را برای حساب های خود فعال کنید.
همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.
ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید.
پس از فعالسازی، باید روی پیوند «تأیید دو عاملی» در نوار کناری مدیریت وردپرس کلیک کنید.
در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب و باز کنید.
چندین مورد از آنها مانند Google Authenticator، Authy و LastPass Authenticator موجود است.
توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در فضای ابری نسخه پشتیبان تهیه کنید.
این برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است.
همه ورود به حساب کاربری شما به راحتی بازیابی می شود.
ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد.
با این حال، دستورالعمل ها برای همه برنامه های احراز هویت مشابه است.
برنامه authenticator خود را باز کنید و سپس روی دکمه Add کلیک کنید.
از شما پرسیده می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید.
گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.
این همه است، برنامه احراز هویت شما اکنون آن را ذخیره می کند.
دفعه بعد که وارد وب سایت خود می شوید، پس از وارد کردن رمز عبور از شما کد احراز هویت دو مرحله ای خواسته می شود.
به سادگی برنامه authenticator را روی گوشی خود باز کنید و کدی را که روی آن می بینید وارد کنید.
امنیت وردپرس
پیشوند پایگاه داده وردپرس را تغییر دهید
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده وردپرس شما استفاده می کند.
اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر می شود.
به همین دلیل است که توصیه می کنیم آن را تغییر دهید.
با دنبال کردن آموزش گام به گام ما در مورد نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت، می توانید پیشوند پایگاه داده خود را تغییر دهید.
توجه:اگر به درستی انجام نشود، می تواند سایت شما را خراب کند.
فقط در صورتی ادامه دهید که با مهارت های کدنویسی خود احساس راحتی کنید.
همچنین شما میتوانید مطالبی از قبیل افزونه wp super cache ، امنیت سایت ، افزایش محدودیت آپلودپرس و… را مطالعه نمایید.
جهت آموزش های بیشتر اینستاگرام آژانس مدلین را فالو داشته باشید.