اگر شما هم طراحی سایت با وردپرس انجام میدهید حتما درگیر تامین امنیت سایت وردپرسی خود شده اید. امنیت سایت موضوعی نیست که به سادگی بتوان از کنار آن عبور کرد. روزانه هزاران بار ممکن سایت شما از سوی هکر ها و افراد سودجو مورد حمله قرار گیرد.

با وجود اهمیتی که امنیت سایت دارد اما هیچگاه نمی توان امنیت یک سیستم را بطور کامل قطعی اعلام کرد اما خب لازم است ما روش های بالابردن امنیت سایت را حتما انجام دهیم .

ما امروز قصد داریم به شما راه های جلوگیری از هک شدن وردپرس را آموزش دهیم . با گروه فنی رایانه کمک همراه باشید.

گروه فنی رایانه کمک برای شما عزیزان بسته آموزشی تهیه کرده است که به کمک آن می توانید طراحی سایت بدون کد نویسی را فرا گیرید. طراحی سایت وردپرس تنها یکی از مهارت هایی است که در 10 مهارت آموزش می بینید. برای کسب اطلاعات بیشتر به لینک ده مهارت مراجعه فرمایید.

چطور امنیت سایت را بالا ببریم ؟

سایت وردپرس به روش های مختلفی می تواند مورد هک شدن قرار گیرد. گاهی اوقات به قدری حرفه ای مورد نفوذ قرار میگیرد که شما متوجه هیچ مشکلی در سایت خود نمی شود اما با قرار دادن کد های مخرب در بخش های گوناگون سایت کاری می کنند که تمام اطلاعات شما را به صورت دائمی دریافت کنند.

بنابراین اگر تازه اقدام به نصب وردپرس کرده اید بهتر است از همین ابتدا اقدام های لازم برای تامین امنیت سایت را انجام دهید. لازم به ذکر است که علاوه برا تلاش هایی که تیم محتوا در راستای افزایش امنیت انجام میدهند لازم است شما برای سایت خود از هاست و سرور سطح بالایی نیز برخوردار باشید.

پس از تهیه هاست و سرور مناسب نوبت به وظایفی است که مربوط به تیم محتوا در راستای افزایش امنیت سایت های وردپرس می رسد که در ادامه به آن ها خواهیم پرداخت :

1.      ارتقا و بروزرسانی وردپرس

از مهم ترین اقداماتی که برای افزایش امنیت وردپرس باید انجام داد به روز بودن وردپرس ، افزونه ها و قالب هایی که در سایت استفاده کرده اید می باشد. بعد از به روز شدن وردپرس بسیاری از باگ ها و مشکلات آن برطرف شده و همچنین قابلیت های جدیدی به آن افزوده خواهد شد.

         2. تهیه نسخه پشتیبانی وردپرس بصورت مرتب

3.  بالابردن امنیت فایل wp-config.php

اطلاعات دیتابیس سایت وردپرس داخل فایل wp-config.php ذخیره می شود. در نتیجه این فایل از جمله مهم ترین فایل های وردپرس میباشد که باید در حفظ اطلاعات آن دقت کنید و تمام کارهای لازم برای محدود کردن سطح دسترس آن انجام دهید.

4. بالابردن امنیت فایل .htaccess

از دیگر فایل های مهم وردپرس می توان به فایل .htaccess اشاره کرد که با استفاده از آن میتوان تغییرات لازم را بر روی سایت انجام داد. در نتیجه می توان امنتی لازم برای سایت را از طرق دستوراتی که این فایل اجرا می کند اعمال کرد.

5. تامین امنیت پوشه wp-admin

همانطور که از نام پوشه مشخص است ، این پوشه مربوط به مدیریت پیشخوان وردپرس می باشد و شامل کد های فایل های موجود در سایت است. برای جلوگیری از هک شدن سایت می توانید بر روی پوشه wp-admin در هاست رمزنگاری کنید.

6. بکاربردن پسورد قوی تر

با وجود انتخاب رمز عبور های سست برای سایت درصد هک و نفوذ در سایت ها زیاد شده است. از این رو میتونم ساده ترین و مداول ترین روش برای جلوگیری از هک و نفوذ سایت های وردپرس استفاده از رمز عبور قوی می باشد. لازم به ذکر است که برای بالابردن امنیت وردپرس بهتر است برای هر بخش جداگانه یک رمز قوی قرار دهید. مانند ورود به هاست ، اکانت FTP ، دیتابیس سایت و ….

          7. افزایش امنیت صفحه وردپرس

همانطور که می دانید صفحه ورود وردپرس یکی از مهمترین صفحاتی است که می تواند برای جلوگیری از هک کردن سایت و حملات DDOS استفاده کرد.

از روش های امنیتی که در این صفحه می توان اعمال کرد شامل ؛ قرار دادن سوالات متداول امنیتی ، استفاده از ورود دومرحله ای گوگل و …. می باشد.

با استفاده از روش هایی که در ادامه توضیح می دهیم می توانید از همان ابتدای ورود به سایت ، امنیت سایت خود را تضمین کنید.

الف – آدرس wp-admin را تغییر دهید.

صفحه ورود به وردپرس بصورت پیش فرض با ادرس wp-admin/ در ادامه آدرس سایت باز می شود. از این رو اگر کسی از User و Password شما اطلاع داشته باشد به راحتی با وارد شدن به صفحه wp-admin وارد پیشخوان سایت شود. به همین منظور برای امنیت بیشتر سایت خود بهتر است آدرس پیش فرض ورود به وردپرس را تغیر دهید.

ب – ایجاد محدودیت ورود به وردپرس

بطور پیش فرض شما می توانید به میزان دلخواه وارد وردپرس شوید و یا اگر رمز و نام کاربری خود را اشتباه وارد کنید بدون اینکه محدودیتی داشته باشید امکان ورود را به شما می دهد. اما شما می توانید با اعمال یک سری محدودیت بعد از تکرار  چند بار نام کاربری و رمز عبور دیگر  حتی اگر رمز و نامر کاربری صحیح وارد کرده باشید اجازه ورود به شما داده نمی شود.

پ – عدم اجازه ورود با ایمیل

قابلیت جدیدی که از نسخه 3 به بعد وردپرس اضافه شده است این است که یوزر بجز وارد کردن نام کاربری و رمز عبور می تواند به کمک ایمیل خود نیز وارد پیشخوان سایت شود. اما از آن جایی که از طریق ایمیل با افراد زیادی در ارتباط هستید ممکن است درصد نفوذ در سایت بیشتر شود به همین دلیل بهتر است این قابلیت را از طریق هاست سایت خود غیرفعال کنید.

برای غیرفعال کردن این قابلیت ابتدا وارد هاست سایت مورد نظر شوید ، سپس وارد پوشه public_html و بعد پوشه wp-content شوید.

در صفحه ای برایتان باز می شود واردپوشه themes شوید و قالبی را که در حال حاضر از آن استفاده می کنید شوید و قطعه کد زیر را در فایل functions.php قالب قرار داده و ذخیره کنید.

remove_filter( ‘authenticate’,’wp_authenticate_email_password’, 20 );

با قرار دادن این کد دیگر تنها با استفاده از user  و password وارد وردپرس شوید.

ت – ساخت کپچا در وردپرس

گاهی اوقات حمله به وردپرس از طریق اسپم صورت می گیرد که لزوما لازم نیست شخصی وارد سایت شود تا سایت هک شود بلکه با استفاده از اینکار داعما برای اسایت شما درخواستی ارسال می شود و CPU و منابع هاست شما را درگیر میکند که به مرور زمان سایت از دسترس شما خارج می گردد.

در چنین شرایطی بهتر است از کپچا وردپرس استفاده کنید. در صورت عدم آشنایی با کپچا و نحوه سایت آن می توانید به صفحه “آموزش ساخت کپچا در وردپرس” مراجعه کنید.

ث –  استفاده از ورود دومرحله ای گوگل در وردپرس

به تازگی گوگل قابلیتی را تحت عنوان ورود دو مرحله ای وردرپرس اضافه کرده است که توسط  برنامه Google Authenticator انجام می شود.

ج – اضافه کردن سوال امنیتی در صفحه ورود وردپرس

سوال و جواب امنتی از دیگر روش های افزایش امینت در ورد پرس می باشد. با استفاده از این قابلیت زمانی که وارد صفحه شناسنامه می شوید ، یکی از سوالات امنیتی موجود را با جواب موردنظر انتخاب کنید تا دیگر کسی جز شما نتواند وارد وردپرس شود.

در صورت تمایل به یادگیری در زمینه اضافه کردن سوال و جواب امنیتی در وردپرس می توانید وارد صفحه ” نحوه اضافه کردن سوالات امنیتی برای ورور به وردپرس ” شوید.

چ – غیرفعال کردن ارور های وردپرس

هنگامی که رمز عبور یا نام کاربری را اشتباه وارد میکنید پیغامی تحت عنوان معتبر نبودن رمز عبور یا شناسه کاربری نشان داده می شود که با این وجود هکر می تواند متوجه شود کدام قسمت را اشتباه وارد کرده و تمرکز بیشتری را روی کدام قسمت برای ورود به وردپرس بگذارد.

برای جلوگیری از نشان دادن پیغام های خطا در وردپرس کافی است قطعه کد زیر را در فایل functions.php قالب وردپرسی خود اضافه کنید.

// Remove error message on login screen

add_filter(‘login_errors’, create_function(‘$a’, ‘return null;’));

           8. نام کاربری نویسنده وردپرس را پنهان کنید.

در بیشتر قالب های وردپرسی زمانی که بر روی نویسنده یک نوشته کلیک میکنید صفحه ای باز می شود که نام کاربری نویسنده و مشخصات آن نوشته شده است. در صوردت تمایل به عدم نمایش نام کاربری نویسنده می توانید این قابلیت را غیرفعال کنید یا کاری کنید که آدرس صفحه نویسنده بر اساس id نویسنده تعیین شود.

همچنین با قرار دادن کد زیر در فایل .htaccess هاست خود می توانید صفحات مربوط به نویسنده را در وردپرس به صفحه اصلی برگردانید.

        9.تغییر دادن پیشوند جدول های وردپرس

جدول ها در دیتابیس وردپرس بصورت پیش فرض با پیشوند wp_ ذخیره می شوند که برای بالا بردن امنیت سایت بهتر است در هنگام نصب وردپرس پیشوند wp_ را تغییر دهید.

بیشتر بخوانید !!! چطور پیشوند جداول وردپرس را تغییر دهیم ؟

         10. بکاربردن ssl در وردپرس

برای اینکه تمام داده های سایت خود را بتوانید در یک محیط امن منتقل کنید بهتر است از پروتکل امن HTTPS استفاده کنید.

با نصب SSL در وردپرس می توانید جهت تعمین امنیت سایت خود ار پروتکل HTTPS استفاده کنید.

         11. عدم نمایش پوشه های هاست

گاهی اوقات به دلیل مشکلاتی که در کانفیگ کردن هاست به وجود می آید ممکن است مشاهده کردن پوشه های هاست غیر فعال نشود.

هکر ها می توانند با استفاده از Directory browsing فایل های داخل هر پوشه را مشاهده کنند و راه هایی را برای نفوذ در سایت شما پیدا کنند. همچنین با در دسترس داشتن پوشه های هتست ، اطلاعات هاست شما نیز به راحتی قابل سرقت خواهد بود. در نتیجه بهتر است برای حفظ امنیت سایت وردپرس خود نمایش دادن پوشه های هاست را غیرفعال کنید.

برای غیرفعال کردن پوشه های هاست ابتدا وارد پوشه public_html شوید و فایل .htaccess را انتخاب کنید.

حال در انتهای این فایل دستور Options-Indexes را اضافه کنید و در نهایت فایل را save کنید.    

       12. عدم ویرایش قالب و افزونه های سایت

وردپرس به شما این امکان را می دهد که با استفاده از ویرایشگر کد در پیشخوان وردپرس بتوانید هر تغییری را مطابق سلیقه خود در سایت ایجاد کنید.

برای افزودن کد می توانید وارد منو نمایش و افزونه ها شوید تا برای ویرایش به تمامی فایل های قالب وردپرس و افزونه وردپرس دسترسی پیدا کنید.

اما با استفاده از این قالب اگر شخصی توانسته باشد با هر راه حلی به پیشخوان سایت شما ورود پیدا کند به راحتی می توانید کد های مخرب را از این طریق وارد سایت شما کند و برای شما دردستر ایجاد شود. به همین منظور برای جلوگیری از ویرایش قالب یا افزونه ها سایت باید ابتدا وارد هاست سایت مورد نظر شوید ،

پوشه public_html را باز کنید ، سپس بر روی فایل wp-config.php کلیک راست کرده و گزینه Edit را انتخاب کنید.

حال در صفحه ای برایتان باز می شود در بخش define قطعه کد زیر را وارد کنید:

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

در آخر فایل را ذخیره کنید تا دیگر ویرایش قالب و افرونه از طریق ویرایشگر پیشخوان وردپرس غیرفعال گردد.

      13. عدم اجرای فایل PHP در وردپرس

هاست قابلیت های زیادی را در اختیار ما قرار می دهد ، یکی از این قابلیت ها این است که می توان هر فایلی را در بخش های مختلف هاست قرار دهید یا با کمک کد های دستوری PHP داخل سایت تغییر ایجاد کنید. اما یک سری دایرکتوری هم وجود دارد که نیازی به اجرای فایل PHP ندارند ، مانند فایل های چند رسانه ای ، تصاویر ، ویدئو ، صوت و …

استفاده از این قابلیت هم می تواند باز هم برای هکرها راهی برای نفوذ به کدهای PHP باشد. از این رو بهتر است دسترسی فایل های PHP را متوفق کنید.

برای غیرفعال کردن اجرای فایل PHP در وردپرس مراحل زیر را به تربیت انجام دهید :

ابتدا وارد هاست سایت مورد نظر شوید و پوشه public_html را انتخاب کنید.

حال وارد پوشه wp-config شوید و پوشه updoads را باز کنید.

داخل این پوشه فایلی به نام .htccess وجود دارد ، کد زیر را وارد کرده و ذخیره کنید.

deny from all

حال دیگر فایل PHP اجرا نخواهد شد. 

       14. غیرفعال کردن فایل XML-RPC

شما با استفاده از فایل XML-RPC می توانید از راه دور سایت وردپرس خود را مدیریت کنید. در واقع  می توانید با استفاده از سرویس   IFTTT از طریق اندروید یا ویندوز 

         15. مدیریت و کنترل فعالیت کاربران

رفتار کاربران نیز می تواند بر امنیت سایت تاثیر بگذارد. به عنوان مثال ممکن است به مرور زمان از طریق سیستم های آمارگیر وردپرس و یا افزونه ها مختلف به موارد مشکوکی برخورد کنید که در این صورت بهتر است اکانت کاربر موردنظر را غیرفعال کنید یا بصورت دوره ای رمز تمامی کاربران موجود بر روی سایت را تغییر دهید.

معمولا خود کاربران توجهی به این موضوع ندارند اما بهتر است در یک بازه های زمانی مشخص رمز خود را تغییر دهند. البته این کار بیشتر برای سایت های فروشگاهی مهم می باشد برای سایت های دیگر ضرورت چندانی ندارند.