چگونه امنیت وردپرس را بهبود بخشیم: 22 روش برای محافظت از وب سایت شما
وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که 43.2 درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند و به دلیل هزینه پایین طراحی سایت با وردپرس اکثر افراد ترجیح می دهند با وردپرس نسبت به طراحی سایت اقدام کنند. متأسفانه، محبوبیت آن انواع مجرمان سایبری را که از آسیبپذیریهای امنیتی این پلتفرم سوء استفاده میکنند، جذب میکند.
این بدان معنا نیست که وردپرس دارای یک سیستم امنیتی وحشتناک است - نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد. بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.
ما در مورد 22 روش برای بهبود امنیت وردپرس و محافظت از سایت شما در برابر حملات سایبری مختلف صحبت خواهیم کرد. این مقاله شامل بهترین شیوه ها و نکات خواهد بود – با یا بدون افزونه وردپرس. برخی از روش ها برای پلتفرم های دیگر غیر از وردپرس نیز قابل اجرا هستند.
چرا امنیت سایت وردپرسی اهمیت دارد؟
اگر وب سایت وردپرس شما هک شود، خطر از دست دادن داده ها، دارایی ها و اعتبار مهم را دارید. علاوه بر این، این مسائل امنیتی می تواند داده های شخصی و اطلاعات صورتحساب مشتریان شما را به خطر بیندازد.
هزینه خسارات جرایم سایبری می تواند تا سال 2025 به 10.5 تریلیون دلار در سال برسد. مطمئناً شما نمی خواهید به هدف هکرها تبدیل شوید و به آن کمک کنید.
بر اساس پایگاه داده آسیبپذیری WPScan، اینها برخی از رایجترین انواع آسیبپذیریهای امنیتی وردپرس هستند:
- جعل درخواست بین سایتی (CSRF) - کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه وب قابل اعتماد انجام دهد.
- حمله انکار سرویس توزیع شده (DDoS) – خدمات آنلاین را با پر کردن اتصالات ناخواسته از کار میاندازد و در نتیجه یک سایت را غیرقابل دسترس میکند.
- دور زدن احراز هویت - به هکرها امکان دسترسی به منابع وب سایت شما را بدون تأیید صحت آنها می دهد.
- تزریق SQL (SQLi) - سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا کند و داده ها را در پایگاه داده دستکاری کند.
- برنامه نویسی متقابل سایت (XSS) - کد مخربی را تزریق می کند که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.
- گنجاندن فایل محلی (LFI) - سایت را مجبور به پردازش فایل های مخرب قرار داده شده در وب سرور می کند.
چک لیست امنیتی وردپرس و نکات اضافی
اجرای یک یا دو اقدام امنیتی وردپرس برای ایمن کردن وب سایت وردپرس شما کافی نخواهد بود.
ما همچنین نکات امنیتی وردپرس را برای کمک به محافظت بیشتر از سایت خود به اشتراک می گذاریم.
بهترین روش برای افزایش امنیت وردپرس
در این بخش، به شش نکته کلی امنیتی وردپرس می پردازیم که به دانش فنی پیشرفته و سرمایه گذاری های پرخطر نیاز ندارند. حتی یک مبتدی نیز میتواند این کارهای ساده مانند بهروزرسانی نرمافزار وردپرس و حذف تمهای بلااستفاده را انجام دهد.
آپدیت وردپرس
وردپرس بهروزرسانیهای نرمافزاری منظم را برای بهبود عملکرد و امنیت منتشر میکند. این به روز رسانی ها همچنین از سایت شما در برابر تهدیدات سایبری محافظت می کنند.
به روز رسانی نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است. با این حال، نزدیک به 50٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.
برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، وارد بخش مدیریت وردپرس خود شوید و به داشبورد → به روز رسانی ها در پانل منوی سمت چپ بروید. اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.
به تاریخ های انتشار به روز رسانی آینده توجه داشته باشید تا مطمئن شوید که سایت شما نسخه قدیمی وردپرس را اجرا نمی کند.
همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را به روز کنید. تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.
برای خلاص شدن از شر مضامین و افزونه های قدیمی این مراحل را دنبال کنید:
- به پنل مدیریت وردپرس خود بروید و به Dashboard → Updates بروید.
- به قسمت پلاگین ها و تم ها بروید و لیست تم ها و افزونه های آماده برای به روز رسانی را بررسی کنید. توجه داشته باشید که می توان آنها را به یکباره یا جداگانه به روز کرد.
- روی Update Plugins کلیک کنید.
نکته تخصصی
فعال کردن بهروزرسانیهای خودکار بار کاری شما را کاهش میدهد، اما میتواند وبسایت شما را به دلیل ناسازگاری با افزونهها یا تمهای قدیمیتر خراب کند. اگر این گزینه را فعال کردید، مطمئن شوید که از وب سایت شما به طور منظم نسخه پشتیبان تهیه شده است تا در صورت بروز خطا بتوانید به نسخه قبلی برگردید.
از اعتبارنامه ورود امن WP-Admin استفاده کنید
یکی از رایجترین اشتباهاتی که کاربران مرتکب میشوند استفاده از نامهای کاربری ساده و قابل حدس زدن است، مانند «admin»، «administrator» یا «test». این سایت شما را در معرض خطر حملات brute force قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایتهای وردپرسی که پسورد قوی ندارند، استفاده میکنند.
بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.
از طرف دیگر، این مراحل را برای ایجاد یک حساب کاربری جدید مدیر وردپرس با نام کاربری جدید دنبال کنید:
- از داشبورد وردپرس خود، به Users → Add New بروید.
- یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید. یک رمز عبور اضافه کنید و پس از اتمام کار، دکمه افزودن کاربر جدید را فشار دهید.
اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید. همچنین توصیه می کنیم از بیش از 12 کاراکتر استفاده کنید زیرا شکستن رمزهای عبور طولانی تر بسیار سخت تر است.
نکته تخصصی
رمز عبور طولانی تر - ایمن تر. با این حال، رمزهای عبور قوی لازم نیست طولانی و پیچیده باشند - به جای حروف شناخته شده از نمادها و اعداد خاص استفاده کنید. مثلا 41@bAm@! به جای آلاباما! به یاد آوردن آسان است و شکستن آن سخت تر است. از طرف دیگر، به جای کلمات واقعی، مانند qpzmwoxn، از یک الگو در صفحه کلید استفاده کنید. علاوه بر این، این دو را با هم ترکیب کنید تا رمز عبور قویتری ایجاد کنید.
اگر برای ایجاد رمز عبور قوی به کمک نیاز دارید، از ابزارهای آنلاین مانند LastPass و 1Password استفاده کنید. همچنین می توانید از خدمات مدیریت رمز عبور آنها برای ذخیره ایمن رمزهای عبور قوی استفاده کنید. به این ترتیب، شما مجبور نیستید آنها را حفظ کنید.
پس از ایجاد نام کاربری مدیریت وردپرس جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل انجام این کار وجود دارد:
- با اطلاعات کاربری جدید وردپرس خود وارد شوید.
- به Users → All Users بروید.
- اکانت مدیریت قدیمی را که می خواهید حذف کنید انتخاب کنید. منوی کشویی Bulk Actions را به Delete تغییر دهید و روی Apply کلیک کنید.
برای ایمن نگه داشتن سایت خود، همچنین مهم است که قبل از ورود به سیستم، شبکه را بررسی کنید. اگر ناآگاهانه به Hotspot Honeypot متصل هستید، شبکه ای که توسط هکرها اداره می شود، در معرض خطر لو رفتن اعتبار ورود به اپراتورها هستید.
حتی شبکههای عمومی مانند وایفای کتابخانه مدرسه ممکن است آنقدر که به نظر میرسد امن نباشند. هکرها می توانند اتصال شما را رهگیری کرده و داده های رمزگذاری نشده، از جمله اعتبار ورود به سیستم را به سرقت ببرند.
به همین دلیل، توصیه می کنیم هنگام اتصال به یک شبکه عمومی از VPN استفاده کنید. این یک لایه رمزگذاری برای اتصال فراهم می کند و رهگیری داده ها را سخت تر می کند و از فعالیت های آنلاین شما محافظت می کند.
Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید
فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند. برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.
با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد. URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند. هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد.
Sucuri دارای ویژگی مشابهی به نام لیست سیاه مسیر URL است. ابتدا URL صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد. سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.
از طرف دیگر، با پیکربندی فایل htaccess. سایت خود، دسترسی به صفحه ورود خود را محدود کنید. برای دسترسی به فایل به دایرکتوری ریشه خود بروید.
مهم! قبل از ایجاد هر گونه تغییری، اکیداً به شما توصیه می کنیم از فایل htaccess. نسخه پشتیبان تهیه کنید. اگر مشکلی پیش بیاید، می توانید سایت خود را به راحتی بازیابی کنید.
افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.
# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>
این قانون باید بعد از دستورات # BEGIN WordPress و # END WordPress قرار گیرد، همانطور که در زیر نشان داده شده است.
این قانون حتی اگر IP ثابت نداشته باشید اعمال می شود، زیرا می توانید ورود به سیستم را به محدوده مشترک ISP خود محدود کنید.
همچنین می توانید از این قانون برای محدود کردن سایر URL های احراز هویت شده مانند /wp-admin استفاده کنید.
نکته تخصصی
توجه داشته باشید که بلاک کردن فقط در برابر تهدیدات شناخته شده موثر است. هکرها می توانند بدافزار را به طور خاص طراحی کنند تا از شناسایی توسط ابزارهایی که از یک سیستم فهرست بلاک استفاده می کنند اجتناب کنند. در حالی که لیست ایمن امنیت قوی تری ارائه می دهد، پیاده سازی آن نیز می تواند پیچیده تر باشد، به خصوص اگر می خواهید شخص ثالثی این کار را انجام دهد - آنها به اطلاعاتی در مورد همه برنامه هایی که استفاده می کنید نیاز دارند.
از قالب های مورد اعتماد وردپرس استفاده کنید
تم های نال شده وردپرس نسخه های غیرمجاز تم های اصلی اصلی هستند. در بیشتر موارد، این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولا مشکلات امنیتی زیادی دارند.
اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند. علاوه بر این، این تم ها می توانند درهای پشتی برای سوء استفاده های دیگری باشند که می توانند سایت وردپرس شما را به خطر بیندازند.
از آنجایی که تم های نال شده به صورت غیرقانونی توزیع می شوند، کاربران آن ها هیچ گونه حمایتی از سوی توسعه دهندگان دریافت نمی کنند. این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.
برای جلوگیری از تبدیل شدن به یک هدف هکر، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید. از طرف دیگر، تم های شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید.
گواهی SSL را نصب کنید
لایه سوکت های امن (SSL) یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.
علاوه بر این، گواهیهای SSL همچنین بهینهسازی سایت وردپرس را برای موتورهای جستجو (SEO) تقویت میکند و به آن کمک میکند بازدیدکنندگان بیشتری جذب کند.
وبسایتهایی با گواهی SSL نصب شده از HTTPS به جای HTTP استفاده میکنند، بنابراین شناسایی آنها آسان است.
اکثر شرکت های هاستینگ شامل SSL با برنامه های خود هستند. به عنوان مثال، Hostinger یک گواهی رایگان Let’s Encrypt SSL را در تمام برنامه های میزبانی خود ارائه می دهد.
پس از نصب گواهی SSL در حساب میزبانی خود، آن را در وب سایت وردپرس خود فعال کنید.
افزونه هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می توانند جنبه های فنی و فعال سازی SSL را با چند کلیک کنترل کنند. نسخه پریمیوم Really Simple SSL میتواند هدرهای HTTP Strict Transport Security را فعال کند که استفاده از HTTPS را هنگام دسترسی به سایت اعمال میکند.
پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به تنظیمات → عمومی بروید و قسمت آدرس سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.
پلاگین ها و تم های استفاده نشده وردپرس را حذف کنید
نگه داشتن پلاگین ها و تم های استفاده نشده در سایت می تواند مضر باشد، به خصوص اگر افزونه ها و تم ها به روز نشده باشند. افزونه ها و تم های قدیمی خطر حملات سایبری را افزایش می دهند زیرا هکرها می توانند از آنها برای دسترسی به سایت شما استفاده کنند.
برای حذف یک افزونه وردپرس استفاده نشده مراحل زیر را دنبال کنید:
به Plugins → Installed Plugins بروید.
لیست تمام افزونه های نصب شده را مشاهده خواهید کرد. روی Delete در زیر نام افزونه کلیک کنید.
توجه داشته باشید که دکمه حذف تنها پس از غیرفعال کردن افزونه در دسترس خواهد بود.
در همین حال، در اینجا مراحل حذف یک تم استفاده نشده وجود دارد:
از داشبورد مدیریت وردپرس خود، به Appearance → Themes بروید.
روی تمی که می خواهید حذف کنید کلیک کنید.
یک پنجره پاپ آپ ظاهر می شود که جزئیات تم را نشان می دهد. روی دکمه Delete در گوشه سمت راست پایین کلیک کنید.
نکته تخصصی
هنگام حذف یک پلاگین یا تم محبوب وردپرس از داشبورد وردپرس خود، ممکن است گزینه ای برای استفاده از حذف نصب سفارشی نداشته باشید، جایی که می توانید انتخاب کنید که تمام داده های مربوط به آن افزونه یا موضوع را به طور کامل حذف کنید. در این مورد، باید این کار را از طریق یک سرویس گیرنده FTP با دسترسی به پایگاه داده خود و حذف افزونه یا ورودی های تم به صورت دستی انجام دهید.
نحوه استفاده از افزونه های امنیتی وردپرس
روش بعدی برای بهبود امنیت وردپرس استفاده از افزونه های وردپرس است.
این یک راه راحت برای محافظت از وب سایت شما است، اما به یاد داشته باشید که همه این افزونه ها را به طور همزمان و بدون توجه بیشتر نصب نکنید زیرا تعداد زیاد افزونه ها می توانند سرعت سایت شما را کاهش دهند.
ابتدا نیازهای خود را برای انتخاب موثرترین افزونه ها برای وب سایت خود شناسایی کنید.
احراز هویت دو مرحله ای را برای WP-Admin فعال کنید
احراز هویت دو مرحله ای (2FA) را فعال کنید تا روند ورود به سایت وردپرس خود را تقویت کنید. این روش احراز هویت یک لایه دوم از امنیت وردپرس را به صفحه ورود اضافه می کند، زیرا برای تکمیل فرآیند ورود باید یک کد منحصر به فرد وارد کنید.
کد فقط از طریق یک پیام متنی یا یک برنامه احراز هویت شخص ثالث در دسترس شما است.
برای اعمال 2FA در سایت وردپرس خود، یک افزونه امنیتی ورود مانند Wordfence Login Security را نصب کنید. علاوه بر این، باید یک برنامه احراز هویت شخص ثالث مانند Google Authenticator را روی تلفن همراه خود نصب کنید.
نکته تخصصی
اگر مطمئن نیستید که از کدام افزونه احراز هویت دو مرحلهای استفاده کنید، افزونهای را که اغلب بهروزرسانی و بررسی میشود را انتخاب کنید.
پس از نصب افزونه و برنامه احراز هویت، مراحل زیر را برای فعال کردن احراز هویت دو مرحله ای دنبال کنید:
به صفحه افزونه در ادمین وردپرس خود بروید. اگر از Wordfence Login Security استفاده می کنید، به منوی Login Security در پانل منوی سمت چپ بروید.
تب دو مرحله ای احراز هویت را باز کنید.
از برنامه تلفن همراه خود برای اسکن کد QR یا وارد کردن کلید فعال سازی استفاده کنید.
کد ایجاد شده در برنامه تلفن همراه خود را در قسمت موجود در قسمت کدهای بازیابی وارد کنید.
برای تکمیل تنظیمات روی دکمه ACTIVE کلیک کنید.
همچنین، در صورت از دست دادن دسترسی به دستگاه حاوی برنامه احراز هویت، کدهای بازیابی ارائه شده را دانلود کنید.
به طور منظم از وردپرس نسخه پشتیبان تهیه کنید
ایجاد منظم نسخه پشتیبان از سایت وردپرس یک کار کاهش مهم است زیرا به شما کمک می کند تا سایت خود را پس از حوادثی مانند حملات سایبری یا آسیب فیزیکی به مرکز داده بازیابی کنید. فایل پشتیبان باید شامل کل فایل های نصب وردپرس شما باشد، مانند پایگاه داده شما و فایل های اصلی وردپرس.
با وردپرس، پشتیبان گیری از یک سایت را می توان با استفاده از افزونه ای مانند All-in-One WP Migration انجام داد. برای ایجاد یک فایل پشتیبان با این افزونه مراحل زیر را دنبال کنید:
افزونه را نصب و فعال کنید.
به منوی All-in-One WP Migration در پانل منوی سمت چپ بروید.
Backups را انتخاب کنید.
روی Create Backup کلیک کنید.
پس از ایجاد نسخه پشتیبان، در لیستی در صفحه پشتیبان گیری ظاهر می شود.
نسخه پشتیبان را دانلود و در حافظه ذخیره کنید. برای انجام این کار، به All-in-One WP Migration → Export بروید.
روی منوی کشویی EXPORT TO کلیک کنید، File را انتخاب کنید. این یک نسخه پشتیبان برای سایت شما ایجاد می کند.
پس از تکمیل فرآیند، روی پیوند دانلود کلیک کنید و نسخه پشتیبان از سایت خود را در فضای ذخیره سازی ایمن تعیین شده ذخیره کنید، ترجیحاً مکانی در همان سرور وب سایت شما نباشد. این به این دلیل است که نسخه های پشتیبان ذخیره شده در وب سرور شما در دسترس عموم هستند و آن را در برابر حملات سایبری آسیب پذیر می کند.
در صورت بروز حادثه، می توانید سایت وردپرس خود را با استفاده از ابزار واردات All-in-One WP Migration بازیابی کنید.
کاربران هاستینگر همچنین می توانند با استفاده از قابلیت پشتیبان گیری hPanel بدون افزونه وردپرس پشتیبان تهیه کنند.
نکته تخصصی
من ذخیره نسخه پشتیبان وب سایت را در رایانه شخصی توصیه نمی کنم. در عوض، از برنامه های ذخیره سازی مانند Google Drive استفاده کنید. اما اگر تصمیم به انجام این کار دارید، بهترین راه این است که آن را حداقل در سه مکان مانند رایانه خود، یک درایو فلش USB و یک حافظه خارجی مانند Dropbox ذخیره کنید.
محدود کردن تلاش برای ورود
وردپرس به کاربران خود اجازه می دهد تا تعداد نامحدودی تلاش برای ورود به سایت انجام دهند. متأسفانه، هکرها می توانند با استفاده از ترکیب های مختلف رمز عبور تا زمانی که رمز عبور مناسب را بیابند، به زور به ناحیه مدیریت وردپرس شما راه پیدا کنند.
بنابراین، شما باید تلاش برای ورود به سیستم را برای جلوگیری از چنین حملاتی در وب سایت محدود کنید. محدود کردن تلاش های ناموفق همچنین به نظارت بر فعالیت های مشکوک در سایت شما کمک می کند.
اکثر کاربران فقط به یک بار امتحان یا چند تلاش ناموفق نیاز دارند، بنابراین باید به آدرسهای IP مشکوک که به حداکثر تلاش رسیده است مشکوک باشید.
یکی از راه های محدود کردن تلاش برای ورود به سیستم به منظور افزایش امنیت وردپرس استفاده از یک افزونه است. گزینه های بسیار خوبی وجود دارد، مانند:
محدود کردن تلاشهای ورود مجدد به سیستم - تعداد تلاشهای ناموفق را برای آدرسهای IP خاص پیکربندی میکند، کاربران را به لیست امن اضافه میکند یا آنها را به طور کامل مسدود میکند، و کاربران وبسایت را در مورد زمان قفل باقیمانده مطلع میکند.
Loginizer – ویژگی های امنیتی ورود مانند 2FA، reCAPTCHA و سوالات چالش ورود را ارائه می دهد.
Limit Attempts by BestWebSoft – به طور خودکار آدرس های IP را که به محدودیت تلاش برای ورود می رسند مسدود می کند و آنها را به لیست رد اضافه می کند.
یکی از خطرات اجرای این اقدام امنیتی وردپرس، قفل شدن یک کاربر قانونی از مدیریت وردپرس است. با این حال، نباید نگران این باشید، زیرا راه های زیادی برای بازیابی حساب های قفل شده وردپرس وجود دارد.
URL صفحه ورود به وردپرس را تغییر دهید
برای برداشتن یک قدم بیشتر برای محافظت از وب سایت خود در برابر حملات brute force، URL صفحه ورود را تغییر دهید.
همه وبسایتهای وردپرس دارای یک URL برای ورود به سیستم پیشفرض هستند – yourdomain.com/wp-admin. استفاده از URL پیش فرض ورود به سیستم، هدف قرار دادن صفحه ورود شما را برای هکرها آسان می کند.
افزونه هایی مانند WPS Hide Login و Change wp-admin Login تنظیمات URL سفارشی ورود به سیستم را فعال می کنند.
اگر از افزونه WPS Hide Login استفاده میکنید، در اینجا مراحل تغییر URL صفحه ورود به وردپرس آورده شده است:
در داشبورد خود، به تنظیمات → WPS Hide Login بروید.
فیلد Login URL را با URL ورود سفارشی خود پر کنید.
روی دکمه Save Changes کلیک کنید تا فرآیند به پایان برسد.
خروج خودکار کاربران بیکار
بسیاری از کاربران فراموش می کنند که از وب سایت خارج شوند و جلسات خود را در حال اجرا رها کنند. از این رو، به شخص دیگری که از همان دستگاه استفاده می کند اجازه می دهد به حساب های کاربری خود دسترسی داشته باشد و به طور بالقوه از داده های محرمانه سوء استفاده کند. این به ویژه برای کاربرانی که از رایانه های عمومی در کافی نت ها یا کتابخانه های عمومی استفاده می کنند صدق می کند.
بنابراین، بسیار مهم است که وب سایت وردپرس خود را طوری پیکربندی کنید که کاربران غیرفعال را به طور خودکار از سیستم خارج کنید. اکثر سایتهای بانکی از این تکنیک برای جلوگیری از دسترسی بازدیدکنندگان غیرمجاز به سایتهایشان استفاده میکنند و اطمینان حاصل میکنند که دادههای مشتریانشان امن است.
استفاده از افزونه امنیتی وردپرس مانند Inactive Logout یکی از سادهترین راهها برای خروج خودکار از حسابهای کاربری غیرفعال است. علاوه بر پایان دادن به کاربران بیکار، این افزونه همچنین می تواند یک پیام سفارشی ارسال کند تا به کاربران بیکار هشدار دهد که جلسه وب سایت آنها به زودی به پایان می رسد.
نظارت بر فعالیت کاربر
با ردیابی فعالیتها در ناحیه مدیریت، هرگونه اقدام ناخواسته یا مخربی را که وب سایت شما را در معرض خطر قرار میدهد، شناسایی کنید.
ما این روش را برای کسانی توصیه می کنیم که چندین کاربر یا نویسنده دارند که به وب سایت وردپرس خود دسترسی دارند. این به این دلیل است که کاربران ممکن است تنظیماتی را که نباید تغییر دهند، مانند تغییر تم ها یا پیکربندی افزونه ها، تغییر دهند.
با نظارت بر فعالیت های آنها، متوجه خواهید شد که چه کسی مسئول آن تغییرات ناخواسته است و اگر شخص غیرمجاز به وب سایت وردپرس شما نفوذ کرده باشد.
ساده ترین راه برای پیگیری فعالیت کاربر استفاده از افزونه وردپرس است، مانند:
WP Activity Log – تغییرات را در مناطق مختلف وب سایت، از جمله پست ها، صفحات، تم ها و افزونه ها نظارت می کند. همچنین فایلهای تازه اضافه شده، فایلهای حذف شده و تغییرات را در هر فایلی ثبت میکند.
گزارش فعالیت – فعالیت های مختلف را در پنل مدیریت وردپرس خود نظارت می کند و به شما امکان می دهد قوانینی را برای اعلان های ایمیل تنظیم کنید.
Simple History – علاوه بر ثبت گزارش فعالیت در مدیریت وردپرس، از چندین افزونه شخص ثالث مانند Jetpack، WP Crontrol و Beaver Builder پشتیبانی میکند و تمام فعالیتهای مربوط به آنها را ضبط میکند.
بدافزار را بررسی کنید
موسسه AV-TEST هر روز بیش از 450000 بدافزار جدید و برنامه های کاربردی ناخواسته (PUA) را ثبت می کند. برخی از بدافزارها حتی ماهیت چند شکلی دارند، به این معنی که میتوانند خود را تغییر دهند تا از شناسایی امنیتی جلوگیری کنند.
بنابراین، اسکن منظم سایت وردپرس خود برای بدافزار بسیار مهم است زیرا مهاجمان همیشه انواع جدیدی از تهدیدات را ایجاد می کنند.
خوشبختانه، بسیاری از افزونه های اسکنر هک وردپرس عالی می توانند بدافزارها را اسکن کرده و امنیت وردپرس را بهبود بخشند.
کارشناسان ما این افزونه های امنیتی را برای نصب در سایت خود توصیه می کنند:
Wordfence – یک افزونه امنیتی محبوب وردپرس با بهروزرسانیهای امضای بدافزار بلادرنگ و اعلانهای هشدار است که به شما اطلاع میدهد که آیا سایت دیگری سایت شما را برای فعالیت مشکوک در لیست مسدود کرده است.
BulletProof Security – با ویژگی خروج از جلسه غیرفعال، پوشههای پلاگین پنهان که در بخش افزونههای وردپرس قابل مشاهده نیستند و ابزارهای پشتیبانگیری و بازیابی پایگاه داده، به ایمن کردن وبسایت وردپرس شما کمک میکند.
Sucuri Security – یکی از بهترین افزونه های امنیتی در بازار است که گواهینامه های مختلف SSL، اسکن بدافزار از راه دور و ویژگی های اقدام امنیتی پس از هک را ارائه می دهد.
نکته تخصصی
اگر وب سایت وردپرس شما به بدافزار آلوده شده است، این نکات کلیدی را دنبال کنید:
1. مطمئن شوید که همیشه قسمت wp-admin خود را در دسترس داشته باشید، یک اسکن انجام دهید و از شر بدافزار خلاص شوید.
2. مطمئن شوید که افزونه ها، تم ها و نرم افزار اصلی وردپرس شما به روز هستند.
3. آسیبپذیریهای پایگاه داده خود را بررسی کنید تا ببینید آیا افزونهها یا تمهای شما در آنجا به عنوان خطر فهرست شدهاند یا خیر.
افزایش امنیت وردپرس بدون افزونه
همچنین افزایش امنیت وب سایت خود بدون استفاده از افزونه ها امکان پذیر است. بیشتر این کارها شامل بهینه سازی کد سایت شما است، اما نیازی به نگرانی نیست – ما به شما نشان خواهیم داد که چگونه این کار را مرحله به مرحله انجام دهید.
PHP Error Reporting را غیرفعال کنید
گزارش خطای PHP اطلاعات کاملی را در مورد مسیرها و ساختار فایل وب سایت شما نمایش می دهد و آن را به یک ویژگی عالی برای نظارت بر اسکریپت های PHP سایت شما تبدیل می کند.
با این حال، نشان دادن آسیب پذیری های وب سایت شما در باطن یک نقص امنیتی جدی وردپرس است.
به عنوان مثال، اگر افزونه خاصی را نمایش دهد که پیام خطا در آن ظاهر شده است، مجرمان سایبری می توانند از آسیب پذیری های آن افزونه استفاده کنند.
دو راه برای غیرفعال کردن گزارش خطای PHP وجود دارد - از طریق فایل PHP یا کنترل پنل حساب میزبانی شما.
اصلاح فایل PHP
برای تغییر فایل PHP مراحل زیر را دنبال کنید:
فایل wp-config.php سایت خود را با استفاده از یک سرویس گیرنده FTP مانند FileZilla یا مدیر فایل ارائه دهنده هاست خود باز کنید.
قطعه کد زیر را به فایل اضافه کنید. مطمئن شوید که آن را قبل از هر دستور PHP دیگری اضافه کنید.
error_reporting(0);
@ini_set(‘display_errors’, 0);
برای اعمال تغییر روی ذخیره کلیک کنید.
تغییر تنظیمات PHP با استفاده از کنترل پنل
اگر نمی خواهید کدنویسی کنید، گزارش خطای PHP را از طریق کنترل پنل ارائه دهنده هاست خود غیرفعال کنید. در اینجا نحوه انجام این کار از طریق hPanel آمده است:
از داشبورد hPanel خود، به بخش Advanced بروید. سپس روی PHP Configuration کلیک کنید.
به تب PHP Options رفته و تیک گزینه displayErrors را بردارید.
روی ذخیره کلیک کنید.
به یک میزبان وب امن تر مهاجرت کنید
اگر محیط میزبانی مستعد حملات سایبری باشد، اقدامات امنیتی چندگانه وردپرس اهمیت چندانی نخواهد داشت. ارائه دهنده هاست شما باید فضای امنی را برای تمام داده ها و فایل های وب سایت شما بر روی سرور خود تضمین کند، بنابراین بسیار مهم است که فضایی را انتخاب کنید که دارای سطح امنیتی عالی باشد.
اگر فکر می کنید شرکت میزبانی وب فعلی شما به اندازه کافی امن نیست، وقت آن رسیده که وب سایت وردپرس خود را به یک پلت فرم میزبانی جدید منتقل کنید. در اینجا چیزی است که هنگام جستجوی یک میزبان وب ایمن باید در نظر بگیرید:
نوع میزبانی وب – به دلیل اشتراک منابع، انواع میزبانی مشترک و وردپرس نسبت به سایر انواع میزبانی در برابر حملات سایبری آسیب پذیرتر هستند. میزبانی وب را انتخاب کنید که VPS یا هاست اختصاصی را نیز برای جداسازی منابع شما ارائه می دهد.
امنیت – یک ارائه دهنده هاست خوب شبکه خود را برای فعالیت مشکوک نظارت می کند و به طور دوره ای نرم افزار و سخت افزار سرور خود را به روز می کند. آنها همچنین باید از امنیت سرور و محافظت در برابر انواع حملات سایبری برخوردار باشند.
ویژگی ها – صرف نظر از نوع میزبانی، داشتن پشتیبان گیری خودکار و ابزارهای امنیتی برای جلوگیری از بدافزارها یک ویژگی ضروری برای محافظت از سایت وردپرس شما است. در بدترین حالت، میتوانید از آن برای بازیابی یک وبسایت در معرض خطر استفاده کنید.
پشتیبانی – انتخاب یک شرکت میزبانی با تیم پشتیبانی 24 ساعته با دانش فنی عالی ضروری است. آنها به شما کمک می کنند از داده های خود محافظت کنید و با مشکلات فنی و ایمنی که ممکن است رخ دهد مقابله کنید.
ویرایش فایل را خاموش کنید
وردپرس دارای یک ویرایشگر فایل داخلی است که ویرایش فایل های PHP وردپرس را آسان می کند. با این حال، اگر هکرها کنترل آن را به دست آورند، این ویژگی می تواند مشکل ساز شود.
به همین دلیل برخی از کاربران وردپرس ترجیح می دهند این قابلیت را غیرفعال کنند. برای غیرفعال کردن ویرایش فایل، خط کد زیر را به فایل wp-config.php اضافه کنید:
define( 'DISALLOW_FILE_EDIT', true );
If you want to re-enable this feature on your WordPress site, simply remove the previous code from wp-config.php using an FTP client or your hosting provider’s File Manager.
محدود کردن دسترسی با استفاده از فایل htaccess
فایل htaccess تضمین می کند که پیوندهای وردپرس به درستی کار می کنند. بدون اینکه این فایل قوانین صحیح را اعلام کند، خطاهای 404 Not Found زیادی را در سایت خود دریافت خواهید کرد.
علاوه بر این، htaccess می تواند دسترسی از IP های خاص را مسدود کند، دسترسی را به تنها یک IP محدود کند، و اجرای PHP را در پوشه های خاص غیرفعال کند. در زیر به شما نشان خواهیم داد که چگونه از .htaccess برای تقویت امنیت وردپرس خود استفاده کنید.
مهم! همیشه قبل از ایجاد هر گونه تغییری در فایل htaccess موجود خود نسخه پشتیبان تهیه کنید. این می تواند به شما کمک کند اگر مشکلی پیش آمد به راحتی سایت خود را بازیابی کنید.
غیرفعال کردن اجرای PHP در پوشه های خاص
هکرها اغلب اسکریپت های درب پشتی را در پوشه Uploads آپلود می کنند. به طور پیش فرض، این پوشه فقط فایل های رسانه ای آپلود شده را میزبانی می کند، بنابراین نباید حاوی هیچ فایل PHP باشد.
برای ایمن سازی سایت وردپرس خود، اجرای PHP را در پوشه با ایجاد یک فایل htaccess جدید در /wp-content/uploads/ با این قوانین غیرفعال کنید:
<Files *.php>
deny from all
</Files>
محافظت از فایل wp-config.php
فایل wp-config.php در فهرست اصلی شامل تنظیمات هسته وردپرس و جزئیات پایگاه داده MySQL است. بنابراین، فایل معمولاً هدف اصلی یک هکر است.
با اجرای این قوانین htaccess از این فایل محافظت کنید و وردپرس را ایمن نگه دارید:
<files wp-config.php>
order allow,deny
deny from all
</files>
پیشوند پیش فرض پایگاه داده وردپرس را تغییر دهید
پایگاه داده وردپرس تمام اطلاعات حیاتی مورد نیاز برای عملکرد سایت شما را نگهداری و ذخیره می کند. بنابراین، هکرها اغلب پایگاه داده را با حملات تزریق SQL هدف قرار می دهند. این تکنیک کدهای مضر را به پایگاه داده تزریق می کند و می تواند اقدامات امنیتی وردپرس را دور بزند و محتوای پایگاه داده را بازیابی کند.
بیش از 50 درصد حملات سایبری شامل تزریق SQL است که آن را به یکی از بزرگترین تهدیدها تبدیل می کند. هکرها این حمله را اجرا می کنند زیرا بسیاری از کاربران فراموش می کنند پیشوند پایگاه داده پیش فرض wp_ را تغییر دهند.
بیایید نگاهی به دو روشی بیندازیم که می توانید برای محافظت از پایگاه داده وردپرس خود در برابر حملات تزریق SQL پیاده سازی کنید.
مهم! قبل از ادامه، مطمئن شوید که از پایگاه داده MySQL خود نسخه پشتیبان تهیه کرده اید.
تغییر پیشوند جدول
از داشبورد hPanel خود، به File Manager بروید و فایل wp-config.php را باز کنید. یا از یک کلاینت FTP برای دسترسی به فایل استفاده کنید.
به دنبال مقدار $table_prefix در کد بگردید.
پیشوند دیتابیس پیش فرض وردپرس wp_ را با یک پیشوند جدید جایگزین کنید. از ترکیب حروف و اعداد برای ایجاد یک پیشوند منحصر به فرد برای وب سایت استفاده کنید.
روی Save & Close کلیک کنید.
با بازگشت به داشبورد hPanel، به بخش Databases بروید و روی phpMyAdmin کلیک کنید. سپس با کلیک روی Enter phpMyAdmin پایگاه داده سایت را باز کنید.
اگر چندین پایگاه داده دارید، نام پایگاه داده را در فایل wp-config.php پیدا کنید. به دنبال بلوک کد زیر باشید:
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'MySQL Database' );
به پایین اسکرول کنید و روی دکمه Check all کلیک کنید.
روی منوی کشویی With selected: کلیک کرده و گزینه Replace table prefix را انتخاب کنید.
پیشوند فعلی را به همراه یک پیشوند جدید وارد کرده و Continue را انتخاب کنید.
به روز رسانی مقادیر پیشوند در جداول
بسته به تعداد افزونه های وردپرس نصب شده در سایت شما، ممکن است لازم باشد برخی از مقادیر را در پایگاه داده به صورت دستی به روز کنید. این کار را با اجرای پرسوجوهای SQL جداگانه روی جداولی انجام دهید که احتمالاً مقادیری با پیشوند wp_ دارند - این موارد شامل گزینهها و جداول usermeta میشود.
از کد زیر برای فیلتر کردن تمام مقادیری که دارای پیشوند زیر هستند استفاده کنید:
SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'
wp_1secure1_tablename حاوی نام جدولی است که می خواهید پرس و جو را در آن انجام دهید. در همین حال، field_name نام فیلد/ستون را نشان میدهد که به احتمال زیاد مقادیر با پیشوند wp_ در آن ظاهر میشوند.
در اینجا نحوه تغییر دستی مقدار پیشوند آورده شده است:
از داشبورد phpMyAdmin، به جدولی با مقدار پیشوندی که میخواهید بهروزرسانی کنید، بروید. به عنوان مثال، wp_1secure1_usermeta را باز کنید.
به تب SQL در نوار منوی بالا بروید.
کد بالا را در ویرایشگر پرس و جوی SQL وارد کنید تا مقادیر حاوی wp_ فیلتر شوند و برو کلیک کنید. مطمئن شوید که اطلاعات را مطابق با جدول واقعی و نام فیلدهای خود تغییر دهید.
نتایج فیلتر ظاهر می شود. روی دکمه ویرایش در کنار فیلد مورد نظر کلیک کنید.
مقدار پیشوند را تغییر دهید و روی Go کلیک کنید. مراحل 4 و 5 را برای تمام مقادیر فیلتر شده انجام دهید.
از مرحله 1 برای بقیه جداول داخل پایگاه داده تکرار کنید تا همه مقادیر با پیشوند wp_ به روز شوند.
XML-RPC را غیرفعال کنید
XML-RPC یک ویژگی وردپرس برای دسترسی و انتشار محتوا از طریق دستگاه های تلفن همراه، فعال کردن ترک بک و پینگ بک و استفاده از افزونه Jetpack در وب سایت وردپرس شما است.
با این حال، XML-RPC دارای نقاط ضعفی است که هکرها می توانند از آنها سوء استفاده کنند. این ویژگی به آنها اجازه میدهد بدون شناسایی توسط نرمافزار امنیتی چندین بار برای ورود به سیستم تلاش کنند و سایت شما را مستعد حملات brute force میکند.
هکرها همچنین می توانند از عملکرد پینگ بک XML-RPC برای انجام حملات DDoS استفاده کنند. این به مهاجمان اجازه میدهد تا پینگبکهایی را به هزاران وبسایت در یک زمان ارسال کنند که میتواند سایتهای هدف را خراب کند.
برای تعیین اینکه آیا XML-RPC فعال است یا خیر، سایت خود را از طریق یک سرویس اعتبارسنجی XML-RPC اجرا کنید و ببینید آیا پیام موفقیت آمیز دریافت می کنید یا خیر. این بدان معنی است که تابع XML-RPC در حال اجرا است.
می توانید عملکرد XML-RPC را با استفاده از یک افزونه یا به صورت دستی غیرفعال کنید.
غیرفعال کردن XML-RPC با استفاده از یک پلاگین
استفاده از یک پلاگین راه سریعتر و ساده تر برای مسدود کردن ویژگی XML-RPC در وب سایت شما است. توصیه می کنیم از افزونه Disable XML-RPC Pingback استفاده کنید. به طور خودکار برخی از عملکردهای XML-RPC را خاموش می کند و از انجام حملات هکرها با استفاده از این نقص امنیتی وردپرس جلوگیری می کند.
غیرفعال کردن دستی XML-RPC
راه دیگر برای متوقف کردن تمام درخواست های XML-RPC دریافتی، انجام دستی آن است. فایل htaccess. را در دایرکتوری ریشه خود پیدا کنید و قطعه کد زیر را قرار دهید:
# Block WordPress xmlrpc.php requests
allow from 000.00.000.000
</Files>
برای اینکه XML-RPC به یک IP خاص دسترسی داشته باشد، آدرس IP را جایگزین 000.00.000.000 کنید یا خط کد را به طور کلی حذف کنید.
نسخه وردپرس را مخفی کنید
اگر هکرها بدانند که از کدام نسخه وردپرس استفاده می کنید، می توانند راحت تر وارد سایت شما شوند. آنها می توانند از آسیب پذیری های آن نسخه برای حمله به سایت شما استفاده کنند، به خصوص اگر نسخه قدیمی وردپرس باشد.
خوشبختانه، این امکان وجود دارد که اطلاعات را از سایت خود با استفاده از ویرایشگر قالب وردپرس پنهان کنید. برای این کار مراحل زیر را دنبال کنید:
از داشبورد وردپرس خود، به Appearance → Theme Editor بروید.
موضوع فعلی خود را انتخاب کنید و فایل functions.php را انتخاب کنید.
برای حذف شماره نسخه از هدر و فیدهای RSS، کد زیر را در فایل functions.php قرار دهید:
function dartcreations_remove_version() {
return '';
} add_filter('the_generator', 'dartcreations_remove_version');
متا تگ مولد وردپرس نیز شماره نسخه وردپرس را نمایش می دهد. این خط را اضافه کنید تا از شر آن خلاص شوید:
remove_action('wp_head', 'wp_generator');
برای ذخیره تغییرات روی Update File کلیک کنید.
Hotlinking را مسدود کنید
Hotlinking اصطلاحی است که وقتی شخصی دارایی وب سایت شما، معمولاً یک تصویر، را در وب سایت خود نمایش می دهد، استفاده می شود. هر بار که مردم از وب سایتی بازدید می کنند که دارای لینک های داغ به محتوای شما است، از منابع وب سرور شما استفاده می کند و سرعت سایت شما را کاهش می دهد.
برای اینکه ببینید آیا محتوای شما لینک شده است یا خیر، عبارت زیر را در Google Images تایپ کنید و نام دامنه خود را جایگزین yourwebsite.com کنید:
inurl:yourwebsite.com -site:yourwebsite.com
برای جلوگیری از هات لینک، از یک سرویس گیرنده FTP، یک افزونه امنیتی وردپرس، یک CDN استفاده کنید یا تنظیمات کنترل پنل را ویرایش کنید.
9. مجوزهای فایل را مدیریت کنید
با تعیین اینکه کدام کاربران می توانند فایل ها یا پوشه های وردپرس شما را بخوانند، بنویسند یا اجرا کنند، از دسترسی هکرها به حساب مدیریت خود جلوگیری کنید.
می توانید از File Manager، سرویس گیرنده FTP یا از طریق خط فرمان میزبان وب خود برای مدیریت مجوزهای فایل و پوشه استفاده کنید.
به طور کلی، مجوزها به طور پیش فرض تنظیم می شوند که ممکن است بسته به فایل ها یا پوشه های مختلف متفاوت باشد. مخصوصاً برای پوشه wp-admin و فایل wp-config، مطمئن شوید که فقط به Owner اجازه نوشتن آن را می دهید.
نتیجه
حملات سایبری ممکن است به اشکال مختلف، از تزریق بدافزار گرفته تا حملات DDoS انجام شوند. وب سایت های وردپرسی، به ویژه، به دلیل محبوبیت CMS، هدف رایجی برای هکرها هستند. بنابراین، صاحبان وب سایت های وردپرسی باید بدانند که چگونه سایت های خود را ایمن کنند.
با این حال، ایمن سازی سایت وردپرس یک کار یکباره نیست. شما باید به طور مداوم آن را ارزیابی کنید زیرا حملات سایبری همیشه در حال توسعه هستند. خطر همیشه وجود خواهد داشت، اما شما می توانید اقدامات امنیتی وردپرس را برای کاهش این خطرات اعمال کنید.
امیدواریم این مقاله به شما در درک اهمیت اقدامات امنیتی وردپرس و نحوه اجرای آنها کمک کرده باشد.
اگر سوالی دارید یا نکات امنیتی بیشتری در وردپرس دارید، می توانید نظر خود را بنویسید.
_209859.png)
.png)
نحوه ایجاد بکلینک برای سایت: راهنمای کامل
چطور سایت ارزان ولی با کیفیت بخریم