نکات طلایی برای افزایش امنیت وردپرس
یکی از موضوعات و دغدغه های مدیران وب سایت های وردپرسی که به سادگی نیز نمی توان از کنار آن گذشت ، تامین امنیت وردپرس هست . سیستم مدیریت محتوای وردپرس با توجه به محبوبتی که در میان وب مستران دارد ، بیش از هر سیستم مدیریت محتوای دیگری مورد توجه هکر ها نیز می باشد. .
به همین منظور مهمترین دغدغه استفاده کنندگان وردپرس ، ارتقاء امنیت این سیستم برای جلوگیری از رخ دادن هرگونه مشکل امنیتی می باشد . در این مقاله از وبلاگ سابین سرور قصد داریم نکات بسیار مهمی را به شما معرفی کنیم تا با رعایت هر یک از آن بتوانید قدمی بسیار مهم در افزایش امنیت وب سایت وردپرسی خود بردارید .
چرا امنیت وب سایت برایمان مهم است ؟
در حالی که هسته سیستم مدیریت محتوای وردپرس بسیار امن است اما باز هم احتمال انجام حملات از سوی هکر ها به سایت شما هست و نمیتوان این امر را انکار نمود.
یک سایت هک شده میتواند عواقب جدی بر روی کسب و کار شما داشته باشد. به عنوان مثال : هکر ها میتوانند اطلاعات کاربران را سرقت کنند ، میتوانند پسور آنها را تغییر دهند و بد افزار در سایت شما نصب نمایند. و بدترین اتفاقی که ممکن است برای سایت شما رخ دهد آن است که هکر دسترسی شما از سایت را بگیرد و در قبال آن از شما مبلغی را درخواست نماید، که در اصطلاح به آن ( باج افزار ) میگویند.
نحوه تامین امنیت وردپرس
اگر زحمات زیادی برای راه اندازی وب سایت خود کشیده و از وب سایت خود در آمد کسب میکنید حتما با رعایت موارد زیر جهت افزایش امنیت وب سایت خود اقدام کنید چرا که عدم تامین امنیت وردپرس ، در آینده ممکن است علاوه بر هدر رفت زحماتتان ، هزینه های زیادی را نیز برای رقم زند.
پس پیشنهاد میکنیم از همان ابتدای راه اندازی وب سایت خود توجه ویژه ای به این مسئله داشته باشید.
1- بروز رسانی منظم وردپرس
یکی از مهمترین موارد قابل انجام برای ارتقاء امنیت وردپرس ، بروزرسانی منظم آن است . چرا که وردپرس یک سیستم مدیریت محتوای متن باز می باشد و بصورت مداوم نیز نسخه های جدید برای آن منتشر می شود . وردپرس دارای یک تیم حرفه ای و قدرتمند می باشد که همواره در تلاش برای افزودن قابلیت های جدید به آن و همچنین در تلاش برای رفع مشکلات و باگ های امنیتی آن هستند .
پس با انتشار هر نسخه جدید از وردپرس ، علاوه بر اضافه شدن امکانات جدید ، یکسری مشکلات امنیتی نیز رفع شده است که شما با بروزرسانی وردپرس وب سایت خود ، آن مشکلات امنیتی را در سایت خود رفع کرده اید.
توجه در زمان بروزرسانی وردپرس :
برای بروزرسانی وردپرس سایت خود ، حتما نسخه جدید را از وب سایت wordpress.org دانلود کنید و به راحتی به دیگر سایت ها اعتماد نکنید . چرا که احتمال آلوده بودن فایل های منتشر شده در دیگر سایت های نامعتبر بسیار زیاد است .
2- بروزرسانی قالب و افزونه ها :
از دیگر موارد قابل توجه برای تامین امنیت سیستم مدیریت محتوای وردپرس ، بروزرسانی و استفاده از آخرین نسخه قالب و افزونه های مورد استفاده می باشد . هر وب سایت وردپرسی همواره شامل یک قابل و تعداد قابل توجهی افزونه می باشد و ممکن است هر یک از این افزونه ها و یا قالب دارای یکسری مشکلات امنیتی باشند .
همواره سعی کنید آخرین نسخه از قالب و افزونه های مورد استفاده خود را از منابع رسمی آنها دانلود و استفاده کنید .
3- استفاده از هاست مطمئن و ایمن :
همه ارائه دهندگان خدمات میزبانی وب دارای امنیت کامل نمی باشند و در نتیجه یکی از عوامل نفوذ به وب سایت های وردپرسی ، امن نبود سرویس میزبانی وب و نفوذ هکر ها به هاست وب سایت ها می باشد .
انتخاب شرکت ارائه دهنده هاست کار آسانی نیست و تنها با مقایسه قیمت ها نباید اقدام به خرید کنیم بلکه عواملی دیگر همچون امنیت سرور، موقعیت سرور، مشخصات سخت افزاری سرور، آپتایم سرور ، نرم افزار های امنیتی مورد استفاده برروی سرور و… در انتخاب شرکت ارائه دهنده هاست بسیار مهم می باشد.
در حال حاضر شما میتوانید با اطمینانی کامل از کیفیت و امنیت هاست وردپرس سابین سرور ، جهت میزبانی وب سایت وردپرسی خود از این سرویس استفاده کنید.
4- بکاپ گیری از هاست و یا وردپرس :
هرچند در برخی از شبکه های اجتماعی میبینیم یکسیری از متخصص های عزیز بر سر این نکته از نکات مهم تامین امنیت وردپرس بحث های زیادی میکنند ، اما ما به شما میگوییم که به بکاپ گیری به عنوان یک نکته امنیتی نگاه کنید و حتما از وب سایت خود بصورت دوره ای بکاپ گیری کنید.
چرا که این بکاپ است که در صورت بروز هرگونه مشکل فنی و امنیتی به داد شما خواهد رسید . بعد از هک شدن وب سایت ها ، معمولا هکر ها کدهای مخربی را برروی وب سایت ها قرار میدهد که هر هکر دلایل خاص خود را برای انجام این مورد دارد . بعد از هک شدن وب سایت ، ممکن است شما نتوانید تمامی این کدهای مخرب را شناسایی و حذف کنید . لذا بازگردانی بکاپ روزهای قبل از هک شدن سایت ، در چنین شرایطی راه حلی کاملا منطقی است.
5- استفاده از رمز عبور قوی :
حدود ۸% از وب سایت های وردپرس هک شده به دلیل استفاده از کلمه عبور ضعیف است.
اگر شما برای اکانت مدیریت وب سایت خود از کلمه های عبور همچون admin123 یا abc123 و مشابه این استفاده می کنید باید هر چه سریعتر اقدام به تغییر پسورد خود با یک پسورد قوی تر کنید . چرا که یک هکر در اولین قدم برای نفوذ به یک وب سایت ، به دنبال پسورد مدیر وب سایت برای دسترسی یافتن به پنل مدیریت سایت می باشد . حال اگر شما در این میان از پسورد های آسانی استفاده کرده باشید ، کار افراد سود جود را آسان نموده اید.
توجه مهم در رابطه با رمز عبور :
برای هر بخشی از وب سایت و ابزار های مرتبط که نیاز به تنظیم رمز عبور می باشد ، شما میبایست از رمز عبور های قوی که شامل حروف کوچک و بزرگ و اعداد و کاراکتر ها هستند استفاده کنید . مانند : رمز عبور هاست ، رمز عبور دیتابیس ، رمز عبور اکانت FTP و ….
6- افزایش امنیت صفحه ورود به پیشخوان وردپرس :
یکی دیگر از مهمترین نکات تامین امنیت سیستم مدیریت محتوای وردپرس ، تغییر آدرس ورود به مدیریت وردپرس است . در وردپرس آدرس ورود به مدیریت بصورت پیشفرض از طریق wp-admin و wp-login.php می باشد و هر شخص آشنا با وردپرس آن را میداند.
پس حتما به شما توصیه میکنیم از همان ابتدای راه اندازی وب سایت خود ، نسبت به تعییر آدرس ورود به مدیریت اقدام کنید . ما پیش از این در مقاله ای جداگانه نحوه تغییر آدرس مدیریت وردپرس را منتشر کرده ایم و به شما توصیه میکنیم حتما آن را مطالعه کنید.
7- تغییر پیشوند جداول وردپرس :
بصورت پیشفرض وردپرس از _wp برای پیشوند جداول دیتابیس خود استفاده می کند و در حالت عادی نیز تمامی افرار آشنا با وردپرس و بخصوص افراد سود جو با این مورد آشنایی کافی دارند . لذا برای تامین امنیت وردپرس ، شما حتما باید نسبت به تغییر آن در هنگام نصب وردپرس و یا بعد از نصب وردپرس اقدام کنید.
8- غیرفعال کردن XML-RPC
فایل XML-RPC در وردپرس به شما امکان مدیریت از راه دور وردپرس را می دهد که از جمله این موارد می توان به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویسهایی مثل IFTTT اشاره کرد.
یک هر با استفاده از تابع system.multicall می تواند بصورت همزان تعداد 20 درخواست برای پیدا کردن رمز عبور به سایت وردپرسی ارسال کند . همچنین امکان انجام حملات DDOS نیز از این طریق فراهم است .
پس حتما جهت غیر فعال سازی XML-RPC در وردرپرس برای ارتقاء امنیت سایت وردپرسی اقدام کنید.
9- افزایش امنیت wp-config.php
یکی از مهمترین و حساس ترین فایل های وردپرس فایل کانفیگ آن با نام wp-config.php می باشد . این فایل حاوی اطلاعات بسیار مهم همچون ، نام پایگاه داده ، نام کاربری پایگاه داده و پسورد آن می باشد .
به همین دلیل باید در افزایش امنیت این فایل دقت کافی داشته باشید تا کسی جز شما ، امکان دسترسی به اطلاعات و محتویات داخل این فایل را نداشته باشد.
10 – تامین امنیت فایل htaccess
یکی دیگر از فایل های مهم و حساس در وردپرس فایل htaccess می باشد . با استفاده از این فایل کارهای مختلفی را میتواند روی یک سایت وردپرسی انجام داد که از قابل توجه ترین آنها میتوانید به ریدایرکت یکی از صفحات و یا کل صفحات وب سایت به آدرسی دیگر اشاره کرد .
هکر ها با دست یابی به این فایل میتوانند کاربران وب سایت شما را به آدرس های دلخواه خود منتقل کنند . لذا شما باید توجه ویژه ای به امنیت این فایل داشته باشید.
11- استفاده از افزونه های امنیتی برای افزایش امنیت وردپرس
یکی دیگر از راهکار های تامین امنیت وردپرس ، استفاده از افزونه های امنیتی می باشد . افزونه های شناخته شده و قدرتمند که تاثیر قابل توجهی برروی امنیت سایت های وردپرسی دارند . تعداد این افزونه های امنیتی بسیار زیاد است . اما همه آنها را ما توصیه نمیکنیم.
Wordfence
iThemes Security
All In One WP Security
- BulletProof Security
- Exploit Scanner
5 مورد از افزونه های امنیتی پر طرف دار را در لیست بالا مشاهده میکنید که هر یک به نوبه خود مزایا و معایبی را دارند . اما من به شما استفاده از افزونه قدرتمند وردفنس را پیشنهاد میکنم . یک افزونه بسیار قدرتمند و پر طرف دار که دارای اسکنر امنیتی و فایروال حرفه ای می باشد و به خوبی میتواند از وب سایت شما در برابر مشکلات امنیتی محافظت کند.
امیدواریم با نکاتی که در این مقاله گفته شد بتوانید قدم های موثری در جهت افزایش امنیت سایت خود بردارید . در این مقاله 11 نکته را عنوان کردیم و بزودی نکات دیگری را به این مقاله اضافه خواهیم کرد . اگر شما هم نکات قابل توجهی را مدنظر داشتید حتما از طریق نظرات با ما در میان بگذارید.
بدون نظر