۲۰ راهکار ساده برای افزایش امنیت وردپرس

دارندگان وب سایت های وردپرسی همیشه به فکر بالا بردن امنیت سایت خود هستند و راهکار های متفاوتی را در برای این منظور بکار میگیرند.

در این مقاله می خواهیم به بررسی ۲۰ راهکار معرف در زمینه افزایش امنیت وردپرس با شما عزیزان صحبت کنیم.

پیش از شروع مقاله باید به این نکته اشاره کنیم که این ۲۰ راهکار برای افزایش امنیت وردپرس شما، در چهار بخش اصلی خلاصه می شود. این بخش ها عبارتند از:

بخش اول: امنیت صفحه وردپرس

URL استاندارد وب سایت های وردپرسی، /wp-login.php و یا /wp-admin/ می باشد. و جنبه ناراحت کننده این موضوع این است که همه افراد استفاده کننده از نرم افزار مدیریت محتوای WordPress این موضوع را می دانند و به راحتی می توانند حملات Brute force (بروت فورس) را بر روی وب سایت شما با این آدرس لاگین انجام دهند.

آنچه که پیشنهاد میشود این است که URL ورود به صفحه را سفارشی سازی کنید. 

پیشنهاد امید احمدیانی برای وب سایت های لینوکس، استفاده از سرورهای ابری با سرعت و Uptime بالاست.

همین امروز سفارش دهید

در زیر چند پیشنهاد برای تغییر آدرس ورود به مدیریت وردپرس ارایه شده است:

۱- نصب lockdown وبسایت و بن کردن کاربری ها

ویژگی lockdown فرایندی است که آدرس IP هر تلاش ناموفق برای ورود به سیستم را ثبت می کند و اگر این تلاشها بیش از حد مجاز باشد، تمام دسترسی های IP ثبت شده را محدود می کند. به طور مثال دیگر حملات بروت فورس ادامه پیدا نمیکند، به طوری که هر بار که هکری خواست با پسورد های اشتباه به وبسایت لاگین کند، وبسایت قفل شده و شما از این فعالیت مطلع خواهید شد.

طبق بررسی های انجام شده،افزونه  iThemes Security یکی از بهترین افزونه ها برای این کار است. این افزونه قابلیت های زیادی دارد از جمله این که میتوانید ip حمله کننده ها را بعد از این که افزونه آن ها را مسدود کرد، مشخص کنید و در صورتی که خواستید آن ها را باز کنید.

همچنین شما میتوانید از افزونه Login LockDown که فقط برای این کار ساخته شده است، استفاده کنید.

۲- از احراز هویت ۲-عامل استفاده کنید

معرفی کردن احراز هویت ۲ گانه در صفحه ورود، یک راهکار دیگر برای امنیت صفحه ورود وردپرس است. در این مورد، جزئیات ورود را برای دو جزء مختلف وارد می کنید. دارنده وبسایت تعیین می کند که این دو جزء باید چه چیزی باشند. به این صورت که میتواند یک رمز عبورعمومی به همراه یک سوال محرمانه، یک کد محرمانه و یا جمله ای از کاراکتر‌ها و … باشد.

برای این کار میتوانید با چند کلیک، از افزونه WP Google Authenticator استفاده کنید.

۳- استفاده از ایمیل برای ورود

به طور پیش فرض، شما باید نام کاربری خود را برای ورود وارد کنید.  استفاده از شناسه‌ی ایمیل به جای نام کاربری یک رویکرد امنیتی بهتری است. دلیل آن نیز کاملا مشخص است، نام کاربری قابل پیش بینی تر از ایمیل است. هرچند که هر نام کاربری با یک ایمیل آدرس مشخص ساخته میشود که آن را یک شناسه معتبر برای ورود میکند.

افزونه WP Email Login برای این منظور خوب است. این افزونه کار خود را به محض فعال کردن شروع میکند و هیچ پیکر بندی لازم نیست که برای آن انجام دهید.

برای تست کردن آن فقط کافی از از وبسایت خود خروج کنید و دوباره ورود بزنید، اما این بار از ایمیلی که نام کاربری را با آن ساختید استفاده کنید.

۴- URL صفحه ورود خود را عوض کنید

تغییر آدرس ورود به مدیریت وردپرس کار آسانی است. به طور پیشفرض، صفحه ورود وردپرس به آسانی با اضافه کردن wp-lohgin.php و یا wp-admin به URL اصلی وبسایت قابل دسترسی است.

وقتی هکرها آدرس اصلی صفحه ورود شما را پیدا کنند، آن‌ها می‌توانند بروت فرس خود را شروع کنند و آن‌‌ها این کار را با GWDb(Guess Work Database) خود شروع میکنند.

بنابراین در این مرحله اگر شما مراحل را انجام داده باشید، تا به این مرحله ما تلاش برای لاگین ها را محدود کرده و نام کاربری را به شناسه ایمیل تغییر داده‌ایم. حال با تغییر آدرس ورود، میتوانید از ۹۹درصد حملات بروت فرس در امان باشید.

این حقه کوچک دسترسی غیر متعارف به صفحه ورود را می‌بندد. فقط کسانی که آدرس اصلی آن را دارند میتوانند این کار را انجام دهند. دوباره افزونه iThemes Security  میتواند به شما در این کار کمک کند.

• تغییر wp-login.php به یک چیز اختصاصی همانند my_new_login
• تغییر /wp-admin/ به چیزی اختصاصی شبیه my_new_admin
• تغییر /wp-login.php?action=registerبه چیزی شبیه my_new_registration

۵- رمزعبورهای خود را تعدیل کنید

یک یاز راه های بالا بردن امنیت وردپرس تعدیل پسورد ها یا رمز عبورتان است. شما باید آنها را هر چند وقت یکبار عوض کنید. همچنین میزان قدرت آن‌ها را با افزودن حروف بزرگ و کوچک، عدد و کاراکترهای خاص بهبود ببخشید. یک مولد رمز عبور میتواند برای شما مفید باشد.

بخش دوم : امنیت داشبورد ادمین وردپرس

برای یک هکر، جذابترین بخش یک وبسایت، داشبورد ادمین آن است که بیشترین اقدامات امنیتی را شامل می شود. بنابراین، حمله به قویترین بخش وردپرس، یک چالش واقعی است و اگر به سرانجام برسد، به هکر یک پیروزی روحی قوی داده و دسترسی زیادی برای آسیب رساندن دارد.

برای بالا بردن امنیت سایت خود می توانید از راهکار های زیر استفاده کنید:

۶- محافظت از دایرکتوری wp-admin

دایرکتوری wp-admin قلب هر وبسایت وردپرس است. با این وجود، اگر این قسمت گشوده شود، پس از آن همه وبسایت میتواند آسیب ببیند.

یک راهکار ممکن برای جلوگیری از هک، میتواند محافظت با پسورد از دایرکتوری مورد نظر باشد. با این راهکار امنیتی، دارنده وبسایت باید برای دسترسی از داشبورد از ۲ پسورد استفاده کند. یکی برای محافظت صفحه ورود و دیگری برای محدوده ادمین وردپرس. اگر کاربران وبسایت نیازمند دسترسی به قسمت های خاص wp-admin باشند، میتوانید آن قسمت ها را جدا از قسمت های دیگر در نطر گرفته و آن را آزاد کنید.

شما میتوانید از افزونه AskApache Password Protect برای امن کردن بخش ادمین استفاده کنید. این به طور خودکار یک فایل .htpasswd را تولید میکند، رمز عبور را رمز گذاری کرده و پیکربندی دسترسی صحیح امنیتی را انجام میدهد.

۷- استفاده از ssl برای رمزگذاری داده‌ها

خرید گواهینامه ssl، یک راه کار بسیار هوشمندانه برای امن کردن پنل ادمین است. Ssl برای شما انتقال داده امن را بین مرورگر کاربر و سرور فراهم کرده و این امر باعث اختلال در فرایند حمله هکر ها شده و هک را دشوار و پیچیده میکند.

گرفتن یک گواهینامه ssl برای وبسایت وردپرسی کار مشکلی نیست. شما میتوانید یکی را از شرکت هایی که کارشان فروش همین گواهینامه ها است بخرید و یا از شرکت هاستینگ خود، اگر این کار را انجام میدهد، بگیرید و آن را راه اندازی کنید.

اگر به دنبال ssl مجانی هستید میتوانید از ssl متن باز let’s Encrypt  استفاده کنید. برای این کار میتوانید از شرکت هایی هاستینگ بگیرید که این قابلیت را پشتیبانی کنند.

گواهینامه ssl، همچنین رنکینگ وبسایت شما را در گوگل بالا می‌برد. رنکینگ وبسایت ها با ssl بالاتر از وبسایت هایی است که ssl ندارند. این به معنی ترافیک بیشتر است.

۸- اضافه کردن با احتیاط حساب کاربری

وقتی که شما یک بلاگ وردپرسی را راه اندازی میکنید، و یا یک وبسایت بلاگی چند نویسنده دارید، در این صورت شما باید با افراد مختلفی در ارتباط باشید که به ادمین پنل شما دسترسی دارند. این کار وبسایت شما را بسیار آسیب پذیر تر نسبت به تهدیدهای امنیتی میکند.

شما می‌توانید از افزونه Force Strong Passwords برای کاربر ها  استفاده کنید که مطمئن باشید رمز عبور های که استفاده میکنند، پیچیده و امنیتی است. این فقط یک اقدام امنیتی است.

۹- تغییر نام کاربری ادمین وردپرس

در هنگام نصب وردپرس، شما نباید هرگز کلمه “ادمین” را برای نام کاربری ادمین اصلی استفاده کنید. یک نام کاربری ساده، راحت قابل پیدا شدن توسط هکر ها است. همه آنچه آنها پیدا کنند، رمز عبور است. سپس کل وبسایت شما در دستان افراد اشتباه قرار میگیرد.

افزونه iTheme security میتواند دسترسی همچین اقدام هایی را فورا با بستن ip آنها که میخواهند با همچین نام کاربری وارد شوند، قطع کند.

۱۰. مانیتور کردن فایل ها

اگر شما امنیت بیشتری را میخواهید، میتوانید با مانیتور کردن فایل ها با افزونه هایی همچون Acunetix WP Security، Wordfence و همچنین iTheme Security این کار را انجام دهید.

بخش سوم: امنیت دیتابیس وردپرس

تمام داده های وبسایت شما و اطلاعات آن در یک پایگاه داده (database) طبقه بندی می‌شوند. مراقبت کردن از آن یک امر حیاتی است. در زیر چند راهکار برای این کار ارائه شده است:

۱۱. عوض کردن پیشوند جدولهای وردپرس

اگر شما تا به حال وردپرس نصب کرده باشید، پس حتما با پیشوند جدولی wp- که توسط پایگاه داده وردپرس ساتفاده میشود آشنا هستید. پیشنهاد میشود که آن را به چیز دیگری تغییر دهید.

استفاده از پیشوند پیش فرض، وبسایت شما را در قبال حملات sql injection شکننده میکند. این حمله را میتوان با عوض کردن پیشوند wp- به چیز دیگری مانند mywp- و wpnew- و … کنترل و پیشگیری کرد.

اگر شما الان وبسایت وردپرسی خود را با پیشوند پیش فرض نصب کرده اید، میتوانید از این افزونه ها برای تغییر آن استفاده کنید. افزنونه هایی مانند WP-DBManager  و Itheme Security میتواند به شما در این پروسه با چند کلیک کمک کنند.(حتما قبل از این کار از وبسایت و پایگاه داده خود بکاپ  بگیرید)

۱۲. مداوم از وبسایت خود بکاپ بگیرید

مهم نیست که وبسایت شما چه اندازه امن است. زیرا همشیه جا برای بهبود امنیت وجود دارد. اما در پایان روز، گرفتن یک بکاپ از وبسایت خود میتواند بسیار مناسب باشد.

اگر شما بکاپ داشته باشید، میتوانید وبسایت وردپرسی خود را همیشه و همه جا ریستور کنید و از آن در هر زمانی استفاده کنید. تعداد بیشماری از افزونه های وردپرس برای این منظور تعبیه شده اند.

۱۳- ست کردن رمز عبور های قوی برای پایگاه داده

یک رمز عبور قوی برای کاربری پایگاه داده که وردپرس از آن برای دسترسی پایگاه داده استفاده میکند، الزامی است.

مانند همیشه، باید شامل حروف بزرگ،  کوچک، عدد و کاراکتر های خاص باشد. برای این کار میتوانید از password generator استفاده کنید.

قسمت ۴ : تنظیمات هاست وردپرس و امنیت آن

تقریبا همه شرکت ها، یک محیط بهینه شده را برای وردپرس ارائه می دهند. اما باز میتوان آن را بهبود بخشید.

۱۴. محافظت از فایل wp-config

فایل wp-config اطلاعات مهمی را در مورد نصب وردپرس نگهداری میکند و در واقع مهمترین فایل موجود در دایرکتوری وبسایت شما میباشد. محافظت از آن به معنای محافظت از هسته وردپرس شما است.

کار برای هکر هایی که میخواهند وبسایت شما را هک کنند، اگر به این فایل دسترسی نداشته باشند، سخت میشود

شما به راحتی میتوانید از آن محافظت کنید، این کار را با بردن این فایل به سطح بالاتری در دایرکتوری خود انجام دهید.

حال سوال اینجا است که با تغییر مکان آن؛ وب سرور چگونه به آن دسترسی خواهد داشت و آن را پیدا میکند! معماری کنونی وردپرس به این گونه است که فایل های کانفیگ تنظیمات، در بالا ترین اولویت قرار دارند. بنابراین، اگر در جای دیگری و بالاتر از روت دایرکتوری قرار گیرند، وردپرس هنوز میتواند آن را ببیند.

۱۵. غیر فعال کردن ویرایش فایل

اگر یک کاربر دسترسی به داشبورد وردپرس شما داشته باشد، میتواند هر فایلی که مربوط به وردپرس شما است را دستکاری کند، این شامل افزونه ها و قالب ها نیز میباشد.

با این وجود، اگر شما ویرایش کردن فایل ها را غیر فعال کنید، حتی اگر هکر ها نیز دسترسی ادمین داشته باشند، باز نمیتوانند فایلی را تغییر دهند.

برای این کار این کد را به فایل WP-CONFIG خود اضافه کنید.

define('DISALLOW_FILE_EDIT', true);

۱۶- به درستی به سرور وصل شوید

زمانی که وبسایت خود را بالا می آورید، فقط با SFTP و یا SSH به وبسایت خود وصل شوید. SFTP همیشه به FTP قدیمی ترجیح داده میشود، آن هم به دلیل امنیت آن است. وصل شدن به سرور به این طریق، برای شما انتقال امن را فراهم میکند.

با این وجود اگر این سرویس وجود نداشت به راحتی خودتان میتوانید این کار را انجام دهید.

۱۷- به دقت مجوز های دایرکتوری ها را ست کنید

مجوز اشتباه دایرکتوری میتواند مهلک باشد، مخصوصا وقتی شما از محیط هاستینگ اشتراکی استفاده میکنید.

به عبارت دیگر، تغییر مجوزهای دایرکتوریها قدم خوبی برای امن کردن وبسایت است. ست کردن مجوز دایرکتوری ها به ۷۵۵  و فایل ها به ۶۴۴ برای کل سیستم، بهترین کار است.

دوباره برای این کار نیز میتوانید از افزونه iTheme Security استفاده کنید.

۱۸- Directory listing را غیر فعال کنید

اگر شما یک پوشه جدید بسازید و یک فایل index.html در آن وجود نداشته باشد، بازدیدکنندگان میتوانند همه فایل های داخل آن را ببینند، برای مثال شما یک پوشه به نام data بسازید، شما میتوانید همه فایل های داخل آن را با تایپ کردن https://www.example.com/data ببینید! این در حالی است که رمز عبور و یا چیز دیگری لازم ندارد.

شما میتوایند با قطعه کد زیر در .htaccess مانع این کار شوید :

Options All -Indexes

۱۹- به طور مرتب به روز رسانی انجام دهید

هر نرم افزار خوبی توسط توسعه دهندگان آن پشتیبانی و به صورت مرتب آپدیت میشود. این آپدیت ها باگ ها را رفع کرده و یا میتواند قابلیت های امنیتی را به آن اضافه کند.

بنابراین شما اگر از وردپرس استفاده میکنید، آن را به همراه افزونه ها و قالب ها و همه چیز های دیگر به طور مرتب به روز رسانی کنید.

۲۰- ورژن وردپرس خود را پاک کنید

ورژن وردپرس شما به راحتی قابل پیدا شدن است. به طور معمول آن در وبسایت شما نشان داده میشود.

با دانستن ورژن وردپرس شما توسط هکر ها، حمله به وب سایت شما برای آنها آسانتر است.

شما میتوانید ورژن وردپرس را تقریبا با تمام افزونه های امنیتی گفته شده مخفی کنید.

تمام تمهیدات بالا در هاست وردپرس امید احمدیانی تعبیه شده است و به شما پیشنهاد می کنید در صورتیکه انجام آنها برایتان سخت است، اقدام به خرید این محصول نمایید.