اگر وبسایت شخصی داشته باشید یا یک فروشگاه آنلاین و یا مدیریت یک وب سایت تجاری و خدماتی را داشته باشید. وردپرس میتواند در همه زمینه ها به شما برای راه اندازی یک کسب و کار آنلاین کمک کند. اما با توجه به سهولت در استفاده و محبوبیت بالای این نرم افزار امنیت وردپرس یکی از مهمترین مواردی است که باید در برابر هکرها رعایت کنیم.
البته حمله هکرها به وبسایت وردپرس می تواند ترسناک باشد ولی با رویکرد صحیح و برخی نکات و ترفندهای ضروری، می توانید از سایت خود در برابر تهدیدات احتمالی محافظت کنید و آن را برای بازدیدکنندگان و مشتریان خود ایمن نگه دارید.
در این راهنما، شما را با اصول اولیه امنیت وردپرس آشنا خواهیم کرد. از انتخاب یک میزبان قابل اعتماد گرفته تا اجرای اقدامات امنیتی پیشرفته، ما همه چیزهایی را که برای حفظ امنیت سایت خود باید بدانید را پوشش خواهیم داد. پس بیایید تا سایت وردپرس خود را در برابر هکرها محافظت کنیم!
امنیت وردپرس چگونه است؟ شروع کار
اجرای برخی از اقدامات احتیاطی اولیه می تواند شما را از سردردهای احتمالی نجات دهد. چه مبتدی باشید و چه فقط به دنبال پوشش دادن اصول اولیه هستید، این نکات ساده به شما کمک می کند تا سایت وردپرس خود را از همان ابتدا ایمن نگه دارید.
1. یک ارائه دهنده هاست ایمن انتخاب کنید
یکی از مراحل اساسی در افزایش امنیت وردپرس، انتخاب یک ارائه دهنده هاست قابل اعتماد است. سرویس میزبانی شما نقش مهمی در امنیت سایت شما دارد، بنابراین انتخاب عاقلانه ضروری است.
یک ارائه دهنده هاست خوب ویژگی های امنیتی قوی را برای محافظت از سایت شما در برابر حملات ارائه می دهد. همچنین میتواند برای سئو سایت شما نیز مفید باشد و تاثیر بسیار زیادی روی نتایج و رتبه بندی های گوگل داشته باشد انتخاب میزبانی مدیریت شده وردپرس نیز می تواند آرامش خاطر بیشتری را ایجاد کند، زیرا این خدمات معمولاً شامل به روز رسانی خودکار و اقدامات امنیتی اختصاصی است.
هنگام انتخاب یک ارائه دهنده هاست، به دنبال ویژگی هایی مانند پشتیبان گیری خودکار، گواهینامه های SSL رایگان، پشتیبانی 24 ساعته، فایروال های داخلی و نظارت مستمر امنیت باشید. این ویژگیها تضمین میکنند که امنیت سایت وردپرس شما در سطح بالاتری می تواند قرار داشه باشد.
با انتخاب یک ارائه دهنده هاست ایمن، اولین گام مهم را در محافظت از سایت وردپرس خود در برابر تهدیدات احتمالی برمی دارید.
2. افزونه برای امنیت وردپرس را نصب کنید.
بیشتر بخوانید : بهترین پلاگین های هوش مصنوعی وردپرس
برای تقویت سایت وردپرسی خود، نصب یک افزونه امنیتی ضروری است. پلاگینهای امنیتی با مدیریت خودکار تهدیدات و هشدار دادن به آسیبپذیریها، محافظت جامعی را ارائه میکنند و ایمن نگهداشتن سایت شما را بدون نظارت دستی مداوم آسانتر میکنند.
یک پلاگین امنیتی خوب چندین لایه محافظت را فراهم می کند. میتواند بدافزارها را اسکن کند، تلاشهای ورود مخرب را مسدود کند، و سایت شما را برای فعالیتهای مشکوک کنترل کند. این رویکرد پیشگیرانه به جلوگیری از نقض احتمالی کمک می کند و سایت شما را ایمن نگه می دارد.
بهترین افزونه برای امنیت وردپرس شما به نیازها و بودجه خاص شما بستگی دارد. در اینجا چند گزینه محبوب برای بررسی وجود دارد:
Wordfence Security: که به دلیل فایروال قوی و قابلیتهای اسکن بدافزار شناخته شده است، تشخیص تهدید در زمان واقعی و محافظت جامع را ارائه میدهد.
All-In-One Security (AIOS): این افزونه امنیت کامل وردپرس طیف گسترده ای از ویژگی های امنیتی از جمله نظارت بر حساب کاربری، حفاظت از فایروال و امنیت پایگاه داده را ارائه می دهد. کاربر پسند و بسیار قابل تنظیم است.
Solid Security (iThemes Security سابق): با ویژگیهایی مانند احراز هویت دو مرحلهای، حفاظت از brute force و پشتیبانگیری از پایگاه داده، یک انتخاب محکم برای افزایش امنیت سایت شما است.
هنگام انتخاب یک افزونه برای امنیت وردپرس، در نظر بگیرید که آیا سایت شما قبلاً در معرض خطر قرار گرفته است یا خیر. اگر احتمال میدهید که سایت شما آلوده شده است، به دنبال افزونههایی باشید که علاوه بر اقدامات پیشگیرانه، خدمات حذف بدافزار را ارائه میدهند. بسیاری از افزونههای امنیتی وردپرس دارای نسخههای رایگان با ویژگیهای اولیه هستند، اما سرمایهگذاری بر روی نسخه پریمیوم میتواند حفاظت جامعتر و آرامش خاطر بیشتر ی ایجاد کند.
بیشتر بخوانید : چگونه صفحه ورود به وردپرس خود را ایمن کنیم: بهترین روش ها
3. فایروال برنامه وب (WAF) را فعال کنید.
فایروال برنامه وب (WAF) یک ابزار ضروری برای امنیت وردپرس شما است. با فیلتر کردن و نظارت بر ترافیک ورودی، یک WAF به عنوان یک مانع بین سایت شما و تهدیدات احتمالی عمل می کند و از آن در برابر حملات سایبری مختلف محافظت می کند.
یک WAF به دفاع از سایت شما در برابر حملات مختلف، از جمله تزریق SQL، اسکریپت بین سایتی (XSS) و حملات توزیع شده (DDoS) کمک می کند. با مسدود کردن ترافیک مخرب قبل از رسیدن به سرور شما، یک WAF تضمین می کند که سایت شما امن و قابل دسترسی برای کاربران باقی می ماند.
راه اندازی یک WAF معمولاً ساده است. برای اکثر راه حل هایی مانند Cloudflare، باید برای یک حساب ثبت نام کنید، وب سایت خود را اضافه کنید و دستورالعمل های راه اندازی را دنبال کنید. برای افزونه هایی مانند Wordfence، می توانید WAF را مستقیماً از داشبورد وردپرس خود نصب و پیکربندی کنید.
فعال کردن فایروال برنامه کاربردی وب، یک لایه دفاعی حیاتی به سایت وردپرس شما اضافه میکند و تضمین میکند که در برابر تهدیدات مختلف ایمن باقی بماند.
4. وردپرس، قالب و افزونه ها را به روز نگه دارید
یکی از ساده ترین و در عین حال موثرترین راه ها برای امنیت سایت وردپرسی این است که همه چیز را به روز نگه دارید. این شامل هسته وردپرس، مضامین شما و همه افزونه های نصب شده است. توسعه دهندگان به طور منظم به روز رسانی هایی را برای رفع آسیب پذیری های امنیتی، بهبود عملکرد و افزودن ویژگی های جدید منتشر می کنند. اطمینان از اینکه همیشه از آخرین نسخه ها استفاده می کنید، خطر به نفوذ هکرها به سایت شما را به حداقل می رساند.
به روز رسانی وردپرس ساده است. هر زمان که نسخه جدیدی منتشر شود، یک اعلان در داشبورد خود دریافت خواهید کرد. برای به روز رسانی به سادگی دستورالعمل ها را دنبال کنید. به طور مشابه، اعلانهای بهروزرسانی قالب و افزونهها را مشاهده خواهید کرد و میتوانید آنها را مستقیماً از قسمت مدیریت وردپرس خود بهروزرسانی کنید.
حذف قالب یا افزونه هایی که استفاده نمی کنید نیز مهم است. نرم افزار غیرفعال در صورت به روز نشدن همچنان می تواند خطرات امنیتی ایجاد کند. با به روز نگه داشتن سایت خود، آسیب پذیری های احتمالی را کاهش می دهید و اطمینان حاصل می کنید که سایت شما به طور موثر کار می کند.
زمانی را برای بهروزرسانی، حداقل هفتهای یکبار اختصاص دهید یا در صورت امکان بهروزرسانیهای خودکار را فعال کنید تا از سایت خود در برابر آخرین تهدیدات محافظت کنید.
5. قالب و افزونه ها را برای آسیب پذیری بررسی کنید
قبل از اضافه کردن قالب و افزونه های جدید به سایت وردپرس خود، اطمینان از ایمن بودن آنها بسیار مهم است. قالب و افزونه ها در صورتی که دارای آسیب پذیری باشند می توانند نقطه ورود هکرها باشند، بنابراین رعایت برخی اقدامات احتیاطی می تواند کمک زیادی به افزایش امنیت سایت وردپرس شما بکنند.
در مرحله اول، همیشه تم ها و افزونه ها را از منابع معتبر، مانند مخزن رسمی وردپرس یا توسعه دهندگان مورد اعتماد دانلود کنید. از استفاده از نسخه های نال شده خودداری کنید، زیرا این نسخه ها اغلب حاوی کدهای مخرب هستند.
قبل از نصب یک قالب یا افزونه جدید، بررسی ها و رتبه بندی های آن را بررسی کنید. به دنبال بازخورد سایر کاربران وردپرس در مورد امنیت و عملکرد آن باشید. علاوه بر این، اطمینان حاصل کنید که توسعه دهنده به طور فعال نرم افزار را نگهداری و به روز می کند. به روز رسانی های منظم نشان می دهد که توسعه دهنده متعهد به رفع اشکالات و رسیدگی به مسائل امنیتی است.
با انجام این مراحل، می توانید به طور قابل توجهی خطر نقض امنیت و نفوذ هکرها را از طریق تم ها و افزونه های در معرض خطر کاهش دهید.
6. SSL و HTTPS را فعال کنید
راهکارهای افزایش امنیت وردپرس با SSL (لایه سوکت های امن) و HTTPS (پروتکل انتقال ابرمتن امن) برای محافظت از داده های حساس و ایجاد اعتماد بین بازدیدکنندگان ضروری است. SSL داده های منتقل شده بین وب سایت شما و کاربران آن را رمزگذاری می کند و از دسترسی غیرمجاز به اطلاعاتی مانند اعتبار ورود، اطلاعات شخصی و اطلاعات پرداخت جلوگیری می کند.
برای فعال کردن SSL در سایت وردپرس خود، به گواهی SSL نیاز دارید. بسیاری از ارائه دهندگان میزبانی، گواهینامه های SSL رایگان را از طریق خدماتی مانند Let’s Encrypt ارائه می دهند. با ارائه دهنده هاست خود تماس بگیرید تا ببینید آیا گواهینامه های SSL را در برنامه های خود گنجانده اند یا خیر و از آنها بخواهید اگر قبلاً فعال نشده است آن را برای شما فعال کنند.
هنگامی که گواهی SSL خود را دریافت کردید، باید سایت وردپرس خود را برای استفاده از HTTPS پیکربندی کنید. می توانید این کار را با به روز رسانی تنظیمات URL سایت خود در داشبورد وردپرس انجام دهید. به تنظیمات > عمومی بروید و آدرس وردپرس (URL) و آدرس سایت (URL) را تغییر دهید تا به جای http:// https:// درج شود.
در مرحله بعد، مطمئن شوید که تمام محتوای سایت شما به طور ایمن از طریق HTTPS ارائه می شود. می توانید از افزونه های وردپرس مانند Really Simple SSL استفاده کنید که به طور خودکار تنظیمات شما را شناسایی کرده و وب سایت شما را برای اجرای HTTPS پیکربندی می کند.
فعال کردن SSL و HTTPS از سایت شما و کاربران آن محافظت می کند و رتبه SEO شما را افزایش می دهد، زیرا موتورهای جستجو مانند Google سایت های امن را در اولویت قرار می دهند.
7. صفحه ورود به وردپرس خود را ایمن کنید
امنیت صفحه ورود سایت وردپرس شما بسیار مهم است زیرا هدف مشترکی برای هکرهایی است که سعی می کنند به سایت شما دسترسی پیدا کنند. با اجرای چند استراتژی کلیدی، می توانید امنیت ورود به سیستم را به میزان قابل توجهی افزایش دهید و از سایت خود در برابر دسترسی غیرمجاز در برابر هکرها محافظت کنید.
از رمزهای عبور قوی استفاده کنید.
همه کاربران را تشویق کنید تا رمزهای عبور قوی ایجاد کنند که شامل ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص باشد. حدس زدن یا شکستن رمزهای عبور قوی برای هکرها بسیار چالش برانگیزتر است.
احراز هویت دو مرحله ای (2FA) را فعال کنید.
احراز هویت دو مرحلهای با ملزم کردن کاربران به وارد کردن کد یک بار مصرفی که در دستگاه تلفن همراه خود ایجاد شده یا از طریق ایمیل دریافت میشود، علاوه بر رمز عبور، یک لایه امنیتی اضافی اضافه میکند. این تضمین می کند که حتی اگر یک رمز عبور به خطر بیفتد، مهاجم نمی تواند بدون فاکتور دوم به حساب کاربری دسترسی پیدا کند.
محدود کردن تلاش برای ورود
محدود کردن تعداد تلاشهای ورود به سیستم میتواند از حملات brute force جلوگیری کند، جایی که هکرها ترکیبهای نام کاربری و رمز عبور متعددی را امتحان میکنند. از یک افزونه برای محدود کردن تعداد تلاشهای ناموفق برای ورود استفاده کنید و کاربرانی را که از حد مجاز فراتر رفتهاند به طور موقت قفل کنید.
URL ورود پیش فرض را تغییر دهید. تغییر URL پیش فرض ورود به وردپرس از “/wp-admin” یا “/wp-login.php” به یک URL منحصر به فرد می تواند به پنهان کردن صفحه ورود شما از مهاجمان کمک کند.
CAPTCHA یا سوالات امنیتی را اضافه کنید.
افزودن CAPTCHA یا سوالات امنیتی به صفحه ورود شما می تواند ربات های خودکار را از تلاش برای ورود باز دارد.
خروج خودکار را برای کاربران غیرفعال فعال کنید.
افزونه های خروج خودکار می توانند به طور خودکار کاربران را پس از یک دوره مشخص عدم فعالیت خارج کنند و خطر دسترسی غیرمجاز از دستگاه های بدون مراقبت را کاهش دهند.
حساب های کاربری را به طور مرتب بررسی کنید تا مطمئن شوید که فقط کاربران مجاز می توانند به سایت شما دسترسی داشته باشند. برای به حداقل رساندن خطرات امنیتی احتمالی، هر گونه حساب غیرفعال یا مشکوک را حذف کنید.
با ایمن کردن صفحه ورود به وردپرس خود با این اقدامات، می توانید سایت خود را از دسترسی غیرمجاز محافظت کنید و اطمینان حاصل کنید که فقط کاربران قانونی می توانند وارد شوند.
8. پشتیبان گیری های مکرر ایجاد کنید
ایجاد پشتیبانگیری مکرر از سایت وردپر یکی از بهترین راهها برای محافظت از دادههای شما و اطمینان از اینکه میتوانید به سرعت از هر مشکلی بازیابی کنید، است. پشتیبان گیری منظم به شما این امکان را می دهد که در صورت هک، خرابی سرور یا از دست دادن تصادفی داده ها، سایت خود را به حالت قبلی بازگردانید.
چندین روش برای ایجاد پشتیبان وجود دارد. یکی از راحت ترین گزینه ها استفاده از راه حل پشتیبان موجود در بسته میزبانی شما است. بسیاری از ارائه دهندگان میزبانی خدمات پشتیبان گیری خودکار را ارائه می دهند که می توانند روزانه، هفتگی یا در فواصل زمانی متناسب با نیاز شما برنامه ریزی شوند. این پشتیبانها معمولاً در خارج از سایت ذخیره میشوند و یک لایه حفاظتی اضافه میکنند.
از طرف دیگر، می توانید از یک افزونه اختصاصی پشتیبان وردپرس استفاده کنید. افزونه هایی مانند UpdraftPlus، Duplicator، و WP STAGING گزینه های محبوبی هستند که راه حل های جامع پشتیبان گیری را ارائه می دهند. این افزونهها به شما امکان میدهند پشتیبانگیری خودکار را برنامهریزی کنید و آنها را در مکانهای مختلف ذخیره کنید، مانند سرویسهای ذخیرهسازی ابری مانند Google Drive، Dropbox یا Amazon S3. آنها همچنین بازیابی سایت خود را تنها با چند کلیک آسان می کنند.
مهم است که اطمینان حاصل کنید که نسخه های پشتیبان شما هم فایل های سایت و هم پایگاه داده را شامل می شود. فایلهای سایت شما حاوی تمام رسانهها و کد ها هستند، در حالی که پایگاه داده محتوا، تنظیمات و اطلاعات کاربر شما را ذخیره میکند. یک نسخه پشتیبان کامل تضمین می کند که در صورت بروز هر مشکلی می توانید سایت خود را به طور کامل بازیابی کنید.
با ایجاد پشتیبانگیری مکرر و داشتن یک استراتژی پشتیبانگیری قابل اعتماد، میتوانید از سایت وردپرس خود در برابر از دست دادن دادهها محافظت کنید و زمان خرابی را به حداقل برسانید، و اطمینان حاصل کنید که میتوانید به سرعت از هر گونه رویداد پیشبینی نشده بازیابی کنید.
9. نظارت بر فعالیت سایت
نظارت بر فعالیت در سایت وردپرس می تواند به شما کمک کند دسترسی یا تغییرات غیرمجاز را شناسایی کنید. افزونههای گزارش فعالیت، مانند WP Activity Log، یک رکورد دقیق از تمام اقدامات کاربر در سایت شما، از جمله ورود به سیستم، بهروزرسانیها و تغییرات محتوا نگهداری میکنند.
با بررسی منظم این لاگها، میتوانید هر گونه رفتار مشکوک را شناسایی کرده و اقدامات لازم را برای ایمن سازی سایت خود انجام دهید. نظارت بر فعالیت سایت شما یک راه فعال برای حفظ امنیت آن و اطمینان از این است که فقط کاربران مجاز تغییرات را ایجاد می کنند.
بخوانید : آیا در سال 2024 به صفحه ساز وردپرس نیاز دارید؟
امنیت کامل وردپرس: راهنمای کاربران پیشرفته
هنگامی که اقدامات امنیتی اساسی را پوشش دادید، زمان آن رسیده است که حفاظت از سایت وردپرس خود را به سطح بعدی ارتقا دهید. تکنیکهای امنیتی پیشرفته لایهای از دفاع در برابر حملات و آسیبپذیریهای پیچیده را فراهم میکنند.
این نکات امنیتی وردپرس برای مدیران و صاحبان وب سایت طراحی شده است که درک کاملی از وردپرس و امنیت وب سایت دارند. آنها در تقویت سایت شما بسیار موثر هستند. بیایید سایت وردپرس خود را سخت تر کنیم!
1. ویرایش فایل را غیرفعال کنید
غیرفعال کردن ویرایش فایل در وردپرس برای محافظت از وب سایت شما در برابر تغییرات غیرمجاز توسط هکرها یا تزریق کد مخرب بسیار مهم است. به طور پیش فرض، وردپرس به مدیران اجازه می دهد تا فایل های قالب و افزونه را مستقیماً از داشبورد وردپرس ویرایش کنند. در حالی که این ویژگی میتواند برای بهروزرسانیهای سریع راحت باشد، اما اگر یک کاربر غیرمجاز به پنل مدیریت شما دسترسی پیدا کند، خطر امنیتی قابل توجهی را به همراه دارد.
برای غیرفعال کردن ویرایش فایل، باید یک خط کد ساده به فایل wp-config.php خود اضافه کنید. این امر مانع از دسترسی هر کسی به ویرایشگرهای قالب و افزونه در داشبورد وردپرس میشود.
در اینجا نحوه انجام آن آمده است:
با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهنده هاست خود به وب سایت خود متصل شوید.
فایل wp-config.php را در دایرکتوری اصلی نصب وردپرس خود پیدا کنید و آن را در یک ویرایشگر متن باز کنید.
خط کد زیر را وارد نمایید.
define(‘DISALLOW_FILE_EDIT’, true);
در صورت استفاده از سرویس گیرنده FTP، تغییرات را ذخیره کنید و فایل wp-config.php را دوباره به سرور خود آپلود کنید.
با افزودن این خط کد، به طور موثر ویژگی ویرایش فایل را در داشبورد وردپرس غیرفعال میکنید و درج کدهای مخرب در سایت شما را برای مهاجمان سختتر میکنید.
2. غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس
غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس یک اقدام امنیتی قدرتمند است که به محافظت از سایت شما در برابر اسکریپت های مخرب کمک می کند. دایرکتوری های خاصی مانند پوشه /wp-content/uploads/ برای ذخیره محتوای تولید شده توسط کاربر هستند و اجازه اجرای PHP در این پوشه ها می تواند خطرات امنیتی قابل توجهی ایجاد کند.
برای غیرفعال کردن اجرای PHP در این دایرکتوری ها، باید یک فایل htaccess. با قوانین خاصی ایجاد کنید. در اینجا نحوه انجام آن آمده است:
یک ویرایشگر متن باز کنید و یک فایل جدید به نام .htaccess ایجاد کنید.
برای غیرفعال کردن اجرای PHP کد زیر را به فایل htaccess اضافه کنید:
<Files *.php>
deny from all
</Files>
فایل htaccess. را ذخیره کرده و در دایرکتوری هایی که می خواهید اجرای PHP را غیرفعال کنید، مانند /wp-content/uploads/، /wp-includes/ یا /wp-content/themes/ آپلود کنید.
قرار دادن این فایل .htaccess در دایرکتوری های خاص از اجرای هر گونه اسکریپت PHP در آن پوشه ها جلوگیری می کند. این به ویژه در دایرکتوری آپلود مفید است، جایی که اجازه اجرای PHP می تواند منجر به آسیب پذیری های شدید شود.
3. پیشوند پایگاه داده وردپرس را تغییر دهید
تغییر پیشوند پیش فرض پایگاه داده وردپرس یک راه موثر برای افزایش امنیت وردپرس و محافظت از آن در برابر حملات تزریق SQL است. به طور پیش فرض، وردپرس از پیشوند wp_ برای تمام جداول پایگاه داده استفاده می کند. هکرها اغلب این پیشوند پیش فرض را در حملات خود هدف قرار می دهند، بنابراین تغییر آن به چیزی منحصر به فرد می تواند یک لایه امنیتی اضافی اضافه کند.
در اینجا نحوه تغییر پیشوند پایگاه داده وردپرس آمده است:
قبل از ایجاد هر گونه تغییر، مطمئن شوید که یک نسخه پشتیبان کامل از پایگاه داده دارید. می توانید از افزونه هایی مانند UpdraftPlus یا ابزارهای پشتیبان تهیه کننده هاست خود برای ایجاد یک نسخه پشتیبان استفاده کنید.
فایل wp-config.php را در دایرکتوری اصلی نصب وردپرس خود پیدا کنید. آن را در یک ویرایشگر متن باز کنید و خط زیر را پیدا کنید:
$table_prefix = ‘wp_’;
wp_ را به یک پیشوند منحصر به فرد تغییر دهید. مثلا:
$table_prefix = ‘uniqueprefix_’;
پس از تغییر پیشوند در wp-config.php، باید نام جدول پایگاه داده موجود را به روز کنید. می توانید این کار را به صورت دستی از طریق phpMyAdmin انجام دهید:
وارد phpMyAdmin خود شوید. پایگاه داده وردپرس خود را انتخاب کنید. با تغییر پیشوند از wp_ به پیشوند جدید، نام هر جدول را تغییر دهید. به عنوان مثال، نام wp_posts را به unikeprefix_posts تغییر دهید. این کار را برای تمام جداول وردپرس تکرار کنید.
شما همچنین می توانید این کار را با استفاده از یک افزونه انجام دهید.
اطمینان حاصل کنید که تمام نمونه های پیشوند قدیمی به پیشوند جدید در wp-config.php و هر اسکریپت سفارشی یا افزونه دیگری که ممکن است به جداول پایگاه داده ارجاع دهد، به روز شده باشد.
پس از انجام این تغییرات، سایت خود را به طور کامل تست کنید تا مطمئن شوید همه چیز به درستی کار می کند. بررسی کنید که همه افزونهها، قالب ها و قابلیتها طبق انتظار عمل میکنند.
تغییر پیشوند پایگاه داده وردپرس، پیش بینی نام جدول پایگاه داده شما را برای مهاجمان دشوارتر می کند، بنابراین خطر حملات تزریق SQL را کاهش می دهد.
4. فهرست بندی و مرور دایرکتوری را غیرفعال کنید
غیرفعال کردن فهرست و مرور فهرست یک اقدام مهم امنیتی سایت وردپرس برای جلوگیری از دسترسی کاربران غیرمجاز به محتویات دایرکتوری های وب سایت شما است. هنگامی که فهرستبندی فهرست فعال است، بازدیدکنندگان میتوانند فهرستی از فایلها را در فهرستهای راهنمای شما ببینند که اطلاعات حساس را در معرض دید قرار میدهد و یافتن آسیبپذیریها را برای هکرها آسانتر میکند.
برای غیرفعال کردن فهرست بندی و مرور دایرکتوری، باید فایل htaccess. خود را تغییر دهید. در اینجا نحوه انجام آن آمده است:
اگر قبلاً یک فایل htaccess. در دایرکتوری اصلی نصب وردپرس خود ندارید، با استفاده از یک ویرایشگر متن، آن را ایجاد کنید. اگر فایل وجود دارد، آن را برای ویرایش باز کنید.
خط کد زیر را به فایل htaccess. خود اضافه کنید تا فهرست بندی دایرکتوری غیرفعال شود:
Options – Indexes
فایل htaccess. را ذخیره کنید و با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهنده هاست خود، آن را در دایرکتوری اصلی وردپرس خود آپلود کنید.
افزودن این خط ساده کد، از نمایش لیستی از فایلها در هر فهرستی که فایل فهرستی ندارد، توسط وب سرور جلوگیری میکند. این کار را برای مهاجمان احتمالی دشوارتر می کند تا فایل ها و دایرکتوری های حساس را در وب سایت شما پیدا کنند.
5. XML-RPC را در وردپرس غیرفعال کنید
XML-RPC پروتکلی است که اجازه دسترسی از راه دور به سایت وردپرس شما را می دهد. در حالی که می تواند برای برنامه های خاص مانند برنامه های تلفن همراه و سرویس های خارجی مفید باشد، اما خطر امنیتی قابل توجهی نیز به همراه دارد. XML-RPC را می توان برای حملات brute force، حملات DDoS و سایر آسیب پذیری ها مورد سوء استفاده قرار داد.
برای افزایش امنیت سایت وردپرسی خود، اگر به آن نیاز ندارید، بهتر است XML-RPC را غیرفعال کنید.
ساده ترین راه برای غیرفعال کردن XML-RPC استفاده از یک افزونه است. چندین پلاگین در دسترس هستند که می توانند در این زمینه به شما کمک کنند، مانند غیرفعال کردن XML-RPC. به سادگی افزونه را نصب و فعال کنید و به طور خودکار XML-RPC را در سایت شما غیرفعال می کند.
اگر ترجیح می دهید از افزونه استفاده نکنید، می توانید XML-RPC را به صورت دستی با افزودن کدی به فایل htaccess. یا فایل functions.php تم خود غیرفعال کنید.
استفاده از htaccess:
فایل htaccess خود را در یک ویرایشگر متن باز کنید.
کد زیر را برای غیرفعال کردن XML-RPC اضافه کنید:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
فایل htaccess. را ذخیره و در سرور خود آپلود کنید.
استفاده از functions.php:
فایل functions.php تم خود را در یک ویرایشگر متن باز کنید.
کد زیر را برای غیرفعال کردن XML-RPC اضافه کنید:
add_filter('xmlrpc_enabled', '__return_false');
فایل functions.php را ذخیره و در سرور خود آپلود کنید.
این یک راه ساده و در عین حال مؤثر برای افزایش امنیت سایت شما است، به خصوص اگر از XML-RPC برای اهداف قانونی استفاده نکنید.
6. امنیت وردپرس htaccess
فایل .htaccess یک فایل پیکربندی قدرتمند است که توسط وب سرور آپاچی استفاده می شود که بسیاری از سایت های وردپرس روی آن اجرا می شوند. تنظیمات مختلف سرور را کنترل می کند و می تواند برای افزایش امنیت در وردپرس استفاده شود. ایمن سازی صحیح فایل htaccess می تواند سایت وردپرس شما را در برابر تهدیدات متعدد محافظت کند.
در اینجا چندین پیکربندی حیاتی برای ایمن سازی فایل htaccess شما وجود دارد:
جلوگیری از دسترسی به htaccess
خود فایل htaccess باید از دسترسی غیرمجاز محافظت شود. کد زیر را به فایل htaccess. خود اضافه کنید تا از مشاهده یا ویرایش هر کسی جلوگیری شود:
<Files .htaccess>
order allow,deny
deny from all
</Files>
دسترسی به wp-config.php را محدود کنید
فایل wp-config.php حاوی اطلاعات حساس در مورد نصب وردپرس شما، از جمله اعتبار پایگاه داده است. با افزودن کد زیر به فایل htaccess خود از آن محافظت کنید:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
غیرفعال کردن مرور دایرکتوری
برای جلوگیری از مشاهده محتویات دایرکتوری هایی که فایل فهرستی ندارند توسط کاربران، با افزودن این خط به فایل htaccess خود، مرور دایرکتوری را غیرفعال کنید:
گزینه ها -شاخص ها
دایرکتوری wp-includes را محافظت کنید
دایرکتوری /wp-includes/ حاوی فایل های اصلی وردپرس است که کاربران نباید مستقیماً به آنها دسترسی داشته باشند. برای محافظت از این دایرکتوری کد زیر را به فایل htaccess. خود اضافه کنید:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>
Hotlinking تصویر را غیرفعال کنید
برای جلوگیری از استفاده سایر وب سایت ها از تصاویر شما و مصرف پهنای باند شما، با افزودن این کد به فایل htaccess خود، Hotlinking را غیرفعال کنید:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [F]
نام دامنه خود را جایگزین yourdomain.com کنید.
مسدود کردن اسکن نویسنده
هکرها اغلب نامهای کاربری نویسنده را اسکن میکنند و سپس میتوانند از آن در حملات brute-force استفاده کنند. برای مسدود کردن این اسکن ها، کد زیر را به فایل htaccess. خود اضافه کنید:
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*(wp-comments-post|wp-login|xmlrpc)\.php$
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget).*$ [NC,OR]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule ^(.*)$ - [F,L]
نام دامنه واقعی خود را جایگزین yourdomain.com کنید.
این اقدامات به محافظت از سایت شما در برابر دسترسی غیرمجاز، سرقت پهنای باند و سایر تهدیدات رایج کمک می کند.
همیشه قبل از ایجاد تغییرات از فایل htaccess خود نسخه پشتیبان تهیه کنید تا مطمئن شوید اگر مشکلی پیش آمد می توانید آن را بازیابی کنید.
7. wp-config.php را به خارج از پوشه ریشه منتقل کنید
فایل wp-config.php یکی از مهم ترین فایل ها در نصب وردپرس شما است. این شامل اعتبار پایگاه داده شما، کلیدهای احراز هویت و سایر اطلاعات حساس است. انتقال این فایل به خارج از پوشه ریشه می تواند یک لایه امنیتی اضافی ایجاد کند و دسترسی مهاجمان را سخت تر کند.
در اینجا نحوه انتقال فایل wp-config.php به خارج از پوشه root آمده است:
یک دایرکتوری جدید در بالای دایرکتوری ریشه وردپرس خود ایجاد کنید که در آن فایل wp-config.php را منتقل خواهید کرد. به عنوان مثال، اگر سایت وردپرس شما در /public_html/ نصب شده باشد، ممکن است یک دایرکتوری جدید به نام /config/ ایجاد کنید.
با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهنده هاست خود، فایل wp-config.php را از دایرکتوری ریشه به دایرکتوری جدیدی که ایجاد کرده اید منتقل کنید. به عنوان مثال، آن را از /public_html/wp-config.php به /config/wp-config.php منتقل کنید.
پس از انتقال فایل wp-config.php، باید به وردپرس اطلاع دهید که کجا آن را پیدا کند. محل اصلی فایل wp-config.php (اکنون خالی) را در پوشه ریشه باز کنید و یک فایل wp-config.php جدید با کد زیر ایجاد کنید:
<?php
// Move wp-config.php file one directory level up
require_once(dirname(__FILE__) . ‘/../config/wp-config.php’)
اگر دایرکتوری جدید شما متفاوت است، مسیر کد بالا را تنظیم کنید.
از وب سایت خود بازدید کنید تا مطمئن شوید همه چیز به درستی کار می کند. اگر با مشکلی مواجه شدید، مسیر فایل را دوباره بررسی کنید و مطمئن شوید که فایل wp-config.php توسط سرور قابل خواندن است.
انتقال فایل wp-config.php به خارج از دایرکتوری ریشه، دسترسی مهاجمان به این فایل مهم را دشوارتر می کند.
به یاد داشته باشید، همیشه یک تمرین خوب است که از فایل wp-config.php و کل سایت خود قبل از انجام چنین تغییراتی پشتیبان تهیه کنید، فقط در صورتی که مشکلی پیش بیاید.
8. نسخه وردپرس را مخفی کنید
پنهان کردن شماره نسخه وردپرس از کد منبع سایت شما یک اقدام امنیتی ساده و در عین حال موثر است. دانستن نسخه خاصی از وردپرس که استفاده می کنید می تواند به هکرها کمک کند تا آسیب پذیری های مرتبط با آن نسخه را شناسایی کنند. با پنهان کردن شماره نسخه، هدف قرار دادن سایت شما را برای مهاجمان دشوارتر می کنید.
در اینجا نحوه مخفی کردن نسخه وردپرس آمده است:
شماره نسخه را از هدر حذف کنید
به طور پیش فرض، وردپرس شماره نسخه را به هدر HTML سایت شما اضافه می کند. می توانید با افزودن یک قطعه کد کوچک به فایل functions.php تم خود، این مورد را حذف کنید.
فایل functions.php theme خود را باز کنید و کد زیر را اضافه کنید:
// Remove the WordPress version number from the header
remove_action(‘wp_head’, ‘wp_generator’);
شماره نسخه را از فیدهای RSS حذف کنید
وردپرس همچنین شماره نسخه را به فیدهای RSS اضافه می کند. برای حذف آن، کد زیر را به فایل functions.php تم خود اضافه کنید:
// Remove WordPress version number from RSS feeds
add_filter(‘the_generator’, ‘__return_empty_string’);
پنهان کردن شماره نسخه در اسکریپت ها و سبک ها
وردپرس به طور پیش فرض شامل شماره نسخه در URL های اسکریپت ها و سبک ها می شود. برای حذف این موارد، کد زیر را به فایل functions.php تم خود اضافه کنید:
// Remove WordPress version number from scripts and styles
function remove_wp_version_strings($src) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if (!empty($query[‘ver’]) && $query[‘ver’] === $wp_version) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘script_loader_src’, ‘remove_wp_version_strings’);
add_filter(‘style_loader_src’, ‘remove_wp_version_strings’);
شماره نسخه را از متا تگ ها حذف کنید
برخی از تم ها و افزونه ها ممکن است شماره نسخه وردپرس را به متا تگ ها اضافه کنند. برای حذف این موارد، کد زیر را به فایل functions.php تم خود اضافه کنید:
// Remove WordPress version number from meta tags
function remove_meta_version() {
return ”;
}
add_filter(‘the_generator’, ‘remove_meta_version’);
این امر سوء استفاده از آسیب پذیری های شناخته شده مرتبط با نسخه های خاص وردپرس را برای مهاجمان دشوارتر می کند و امنیت کلی سایت شما را افزایش می دهد.
به یاد داشته باشید که قبل از انجام این تغییرات از فایل functions.php خود نسخه پشتیبان تهیه کنید تا مطمئن شوید که در صورت نیاز می توانید به عقب برگردید.
9. Hotlinking را مسدود کنید
Hotlinking زمانی اتفاق میافتد که سایر وبسایتها بهجای میزبانی فایلها روی سرورهای خود، مستقیماً به فایلهای روی سرور شما، مانند تصاویر یا ویدیوها، پیوند میدهند. این می تواند پهنای باند شما را مصرف کند و سایت شما را کند کند. برای جلوگیری از این امر، می توانید با پیکربندی فایل htaccess. خود، هاتلینک را مسدود کنید.
نحوه مسدود کردن هاتلینک
اگر قبلاً یک فایل htaccess. در دایرکتوری اصلی نصب وردپرس خود ندارید، با استفاده از یک ویرایشگر متن، آن را ایجاد کنید. اگر فایل وجود دارد، آن را برای ویرایش باز کنید.
کد زیر را به فایل htaccess. خود اضافه کنید تا لینک هات را مسدود کنید:
# Block hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?your-other-domain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|bmp)$ – [F,NC,L]
نام دامنه واقعی خود را جایگزین yourdomain.com کنید. اگر دامنههای دیگری دارید که میخواهید از آنها اجازه اتصال به اینترنت را بدهید، مانند یک شبکه تحویل محتوا (CDN) یا یک سایت شریک، آنها را به جای your-other-domain.com اضافه کنید.
فایل htaccess. را ذخیره کنید و با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهنده هاست خود، آن را در دایرکتوری اصلی نصب وردپرس خود آپلود کنید.
با افزودن این کد، به سرور دستور میدهید درخواستهای فایلهای تصویری (مانند .jpg، .jpeg، .png، .gif، .bmp) را از هر سایتی که در دامنههای مجاز فهرست نشده است، مسدود کند. بازدیدکنندگان از سایتهای غیرمجاز به جای محتوای شما، لینکهای تصویر شکسته را مشاهده میکنند، بنابراین از استفاده از پهنای باند شما جلوگیری میکنند.
مسدود کردن Hotlinking به محافظت از منابع سرور شما کمک می کند و تضمین می کند که پهنای باند شما فقط توسط مخاطبان مورد نظر شما استفاده می شود. این اقدام ساده می تواند عملکرد سایت شما را بهبود بخشد و بار غیرضروری روی سرور شما را کاهش دهد.
به یاد داشته باشید که پس از انجام این تغییرات سایت خود را تست کنید تا مطمئن شوید که تصاویر همچنان به درستی در دامنه خود بارگیری می شوند.
بخوانید : توسعه وردپرس چیست؟
اگر امنیت سایت وردپرس شما به خطر افتاده است چه باید کرد؟
با وجود انجام تمام اقدامات احتیاطی لازم، هنوز این احتمال وجود دارد که سایت وردپرس شما به خطر بیفتد. اگر مشکوک هستید که سایت شما هک شده است، ضروری است که سریع و روشمند برای به حداقل رساندن آسیب و بازیابی سایت خود اقدام کنید.
در اینجا یک راهنمای گام به گام در مورد آنچه که در صورت به خطر افتادن امنیت سایت وردپرس شما باید انجام دهید آورده شده است:
- آرام باشید و وضعیت را ارزیابی کنید. تصمیم گیری های عجولانه ممکن است باعث آسیب بیشتر شود.
- سایت خود را در حالت تعمیر و نگهداری قرار دهید تا از دسترسی بازدیدکنندگان به سایت در معرض خطر شما جلوگیری شود. این به جلوگیری از هرگونه آسیب کمک می کند
- بلافاصله تمام رمزهای عبور مرتبط با سایت وردپرس خود را تغییر دهید، از جمله admin، FTP، پایگاه داده و هر حساب دیگری که به سایت شما دسترسی دارد. اطمینان حاصل کنید که رمزهای عبور جدید قوی و منحصر به فرد هستند.
- با استفاده از یک افزونه امنیتی، بدافزار و کدهای مخرب را اسکن کنید. این ابزارها می توانند به شناسایی فایل های آلوده و فعالیت های مشکوک کمک کنند. به هر مشکلی که در حین اسکن پیدا شد توجه کنید.
- کاربران غیر مجاز را بررسی کنید. حساب های کاربری سایت خود را بررسی کنید و به دنبال حساب های غیرمجاز یا مشکوک باشید. هر حسابی را که ایجاد نکرده اید یا به نظر می رسد در معرض خطر است را حذف کنید.
- همه چیز را به روز کنید. اطمینان حاصل کنید که هسته وردپرس، تم ها و افزونه های شما همگی به آخرین نسخه به روز شده اند. بهروزرسانیها اغلب شامل وصلههای امنیتی هستند که میتوانند به محافظت از سایت شما در برابر آسیبپذیریهایی که ممکن است مورد سوء استفاده قرار گرفته باشند، کمک کنند.
- کاربران و همکاران مانند نویسندگان یا ویرایشگران سایت را از نقض امنیتی مطلع کنید. این شامل شرکا، مشتریان و کاربرانی است که ممکن است تحت تأثیر قرار گیرند. شفافیت در حفظ اعتماد و اجازه دادن به دیگران برای انجام اقدامات احتیاطی ضروری است.
- با استفاده از اطلاعات اسکن بدافزار، کدهای مخرب را از سایت خود حذف کنید. این ممکن است شامل حذف دستی فایل های آلوده یا استفاده از ویژگی های پاکسازی افزونه امنیتی شما باشد. اطمینان حاصل کنید که تمام آثار حمله از بین رفته است.
- بررسی کنید که آیا سایت شما به دلیل هک شدن توسط موتورهای جستجو در لیست سیاه قرار گرفته است. می توانید از ابزارهایی مانند کنسول جستجوی گوگل استفاده کنید تا ببینید آیا هشدارهای امنیتی وجود دارد یا خیر. اگر سایت شما علامت گذاری شده است، مراحل ارائه شده را دنبال کنید تا پس از پاکسازی سایت درخواست بررسی کنید.
- بازیابی از یک نسخه پشتیبان. اگر اخیراً یک نسخه پشتیبان از سایت قبل را دارید، آن را بازیابی کنید. اطمینان حاصل کنید که نسخه پشتیبان تمیز و عاری از هرگونه ویروس و یا کد های مخرب است. این می تواند راهی سریع برای بازگرداندن سایت شما به حالت امن باشد.
- امنیت سایت خود را تقویت کنید پس از بهبودی از یک نقض امنیتی، تقویت سیستم دفاعی سایت خود برای جلوگیری از حملات بعدی بسیار مهم است. اقدامات امنیتی ذکر شده در این راهنما را اجرا کنید و مراحل اضافی مانند فعال کردن احراز هویت دو مرحلهای و بالا بردن امنیت سایت وردپرسی منظم را در نظر بگیرید.
- برای هر گونه نشانه ای از مشکلات تکرار شونده، سایت خود را به دقت زیر نظر داشته باشید. به طور منظم گزارش های امنیتی را بررسی کنید و اسکن های معمولی را انجام دهید تا مطمئن شوید که سایت شما ایمن باقی می ماند.
- بازیابی از یک رخنه امنیتی می تواند چالش برانگیز باشد، اما پیروی از این مراحل می تواند به طور موثر مشکل را برطرف کند و سایت شما را در برابر تهدیدات بعدی محافظت کند. به یاد داشته باشید، حفظ شیوه های امنیتی خوب یک فرآیند مداوم است که نیاز به هوشیاری و به روز رسانی منظم دارد.
برقراری امنیت وردپرس
افزایش امنیت در وردپرس یک فرآیند مداوم است که نیاز به دقت، به روز رسانی منظم و رویکردی فعال دارد. با اجرای اقدامات امنیتی ضروری و پیشرفته که در این راهنما بیان شده است، می توانید به میزان قابل توجهی خطر به خطر افتادن سایت خود را کاهش دهید.
در صورت هک و نفوذ هکر ها به سایت اقدام سریع و روشمند می تواند به شما در کاهش آسیب و بازیابی سایت کمک کند. همیشه آرام بمانید، مراحل پاکسازی و ایمن سازی سایت خود را دنبال کنید.
به طور مرتب خود را در مورد تهدیدات امنیتی جدید و بهترین شیوه های امنیتی وردپرس آموزش دهید و اقدامات امنیتی خود را به روز نگه دارید. با هوشیاری و فعال ماندن، می توانید اطمینان حاصل کنید که سایت وردپرس شما برای بازدیدکنندگان و مشتریان خود ایمن و امن باقی می ماند.