آموزش وردپرس

۱۵ نکته ی ساده برای ایمن نگه داشتن سایت وردپرسی

امنیت یکی از نگرانی های اصلی کاربران وردپرس می باشد. شما به عنوان صاحب سایت وردپرس مسئول تامین امنیت سایت تان از دست هکرها و حمله های دیگر هستید. بی شک، وردپرس یک پلتفورم قدرتمند CMS می باشد که هزاران تم، افزونه و توانایی های خارجی دارد اما اینکه یکی از پلتفورم های CMS هک شده می باشد را نمی توانید انکار کنید.

اگرچه شما یک فرد مبتدی یا یک وب مستر با تجربه باشید، مطمئن شوید که از بهترین تامین کننده های امنیت در برابرهکرها استفاده می کنید. شما باید صفحه ی ورود به وردپرس و صفحه ادمین را در برابر نفوذ هکر ها قدرتمند سازید. همچنین می توانید از بهترین ابزار امنیت و افزونه ها که توسط وردپرس پیشنهاد می شود را به آسانی و سریع دریافت کرده و استفاده کنید.

همچنین وردپرس بهترین نکته های امنیت و راه حل ها را نشان می دهد که امنیت سایت شما را در دراز مدت تامین می کند. در ادامه چندین نکته معرفی می کنیم که صاحب هر سایت وردپرس در بهینه سازی امنیت سایت باید بداند. این نکته ها سایت شما را از دست هکر ها در ۲۰۱۷ ایمن می سازد.

(آ) قدرتمند سازی صفحه ورود وردپرس

نکته۱: هیچگاه کلمه ی admin را به عنوان نام کابری استفاده نکنید

متاسفانه، صفحه ورود وردپرس یکی از هدف های اصلی هکر ها می باشد. آن ها با حدس زدن پی در پی(نام کاربری و رمز) سعی می کنند وارد شوند. بنابراین مطمئن شوید که از کلمه ی admin استفاده نمی کنید این کار کمک می کند تا هکر ها به راحتی وارد نشوند.

اگر در حال حاضر وردپرس را با نام کاربری admin نصب کرده اید با اضافه کردن یک SQL query در PHPMyAdmin آن را تغییر دهید. همچنین، مطمئن شوید که از یک اسم منحصر بفرد و سخت برای نام کاربری خود استفاده می کنید.

نکته۲: ساختن یک رمز قوی

اگر رمز شما ضعیف باشد منحصر بفرد بودن نام کاربری هیچ تاثیری نخواهد داشت، هکر می تواند به راحتی وارد شده و سایت تان را بر هم بزند.

برای ایمن سازی این قسمت، شما باید از نام کاربری منحصر بفرد و رمز قوی استفاده کنید. همچنین مطمئن شوید که رمز شما حاصل ترکیب کاراکتر های متفاوت (مثل kHiU778@3#$%&*!O) می باشد و باید ۱۰ الی ۱۵ کاراکتر باشد. (نکته پیام هاست : در رمز وردپرس از علامت / یا \ استفاده نکنید زیرا وردپرس قبول نمی کند) همچنین اگر نمی توانید امن ترین رمز را انتخاب کنید می توانید از  Strong Password Generator استفاده کنید.
رمزتان را درمدت زمان مشخص تغییر دهید. این کار صفحه ورود وردپرس را قدرتمند می کند و هکر ها را از سایت شما دور می کند.

نکته۳: استفاده از تایید دو مرحله ای

یکی از راه های مناسب برای ایمن نگه داشتن سایت وردپرس در برابر حمله های brute force می باشد. brute force نوعی حمله است که یک هکر به ترکیبات بی نهایت نام کاربری و رمز دستیابی دارد و پس از تلاش های مداوم وارد سایت می شود.

شما با به کارگیری تایید دو مرحله ای امنیت صفحه ی ورود را وارد مرحله دیگری می کنید. در این روش، یک رمز همراه با کد تایید نیاز خواهد بود که به تلفن همراه شما فرستاده می شود تا با آن وارد سایت شوید. بدون ترکیب رمز و کد تایید، شما قادر نخواهید بود تا وارد سایت خود شوید.

نکته سریع: Google Authenticator را نصب کنید تا این کاربرد را بدون مشکل به وب سایت تان اضافه کنید.

نکته۴: URL صفحه ورود را شخصی کنید.

اگر می خواهید سایت را از دست هکر ها ایمن نگه دارید بهتر است آدرس  URL صفحه ورود را تغییر دهید. در حالت عادی صفحه ورود وردپرس می تواند توسط  wp-login.php باز شود که همه می توانند آن را در  URL اصلی سایت ببینند.

این کار ورود هکرها را بسیار آسان می کند و با استفاده از brute force تلاش می کنند تا به سایت دست یابند. بنابراین شخصی سازی URL صفحه ورود ضروری می باشد و سایت را امن و غیر قابل نفوذ می کند. شما می توانید URL شخصی را مثل my_custom_login بسازید و یا  iThemes Security plugin را نصب کنید تا به صورت اتوماتیک URL را تغییر دهید.

نکته پیام هاست : برای تغییر صفحه پیش فرض وردپرس و از دسترس خارج کردن پوشه wp-admin و ایجاد رمز عبور دوم برای ورود به وردپرس علاوه بر رمز خود وردپرس و تایید دو مرحله ای از افزونه Lockdown WP استفاده کنید این افزونه مدت هاست که بروز نشده ولی صحت عملکرد آن تایید میشود.

نکته۵: ارتقا دادن به HTTPS

تغییر دادن  سایت وردپرس را به HTTPS فراموش نکنید تا آن را از هکر ها و حمله ها ایمن نگه دارید SSL ارتباط مرورگر و سرور وب را پنهان می کند که در زمان انتقال اطلاعات از یک سرور به دیگر سرور ها هکر ها را از خود دور می سازد.

بعلاوه سایت را از اسکریپت های مخفی غیر قابل اعتماد کامپیوترتان و اسکریپت هایی که اطلاعات ورود شما را می دزدند،محافظت می کند. وردپرس، استفاده ی HTTPS را در وب سایت ها اجباری کرده است تا اگر بخواهید در نتیجه ی جست و جوی گوگل رتبه بهتری داشته باشید که اطلاع از برند شما را بهبود می بخشد.

نکته۶: امن کردن دایرکتوری wp-admin

محافظت از دایرکتوری  wp-admin یکی از راه های امینت وردپرس می باشد. از زمانی که داشبورد ادمین یکی از اهداف هکرها می باشد،قوی کردن امنیت آن را فراموش نکنید.

برای ایمن سازی پنل ادمین، می توانید از رمز استفاده کنید تا از دایرکتوری  wp-admin محافظت کنید. در این روش،صاحب وب سایت باید دو رمز متفاوت وارد کند تا بتواند وارد داشبورد خود شود. یک رمز برای صفحه ورود در نظر گرفته شده و رمز دیگری برای پنل ادمین. این یک روش عالی برای محافظت از پنل ادمین سایت می باشد.

نکته پیام هاست : اگر از آی پی اختصاصی در اینترنت خود استفاده می کنید ورود به پوشه ادمین را فقط به آی پی خود محدود کنید.

(ب) ارتقا بخشیدن امنیت تم و افزونه های وردپرس

نکته۷: حذف تم و افزونه های استفاده نشده

تمام تم ها و افزونه های استفاده نشده ی وردپرس را از پنل ادمین حذف کنید. مثل تم ها و افزونه هایی که نه تنها سرعت سایت شما را پایین می آورند بلکه آن را در برابر حمله های هکر ها آسیب پذیر تر می کنند.

به طور واضح اگر از افزونه یا تم استفاده نمی کنید، آپدیت کردن آن را متوقف می کنید. این کار روزنه ای را برای هکر ها باز می کند تا با استفاده از عناصر بروز نشده وارد سایت شما شود. برای جلوگیری از این شرایط، شما باید تم و یا افزونه ها را غیر فعال کرده و آن را از داشبورد ادمین حذف کنید.

نکته۸: تم و افزونه ها را بروز نگه دارید.

تم و افزونه های نصب شده را در مدت زمان مشخص بروز رسانی کنید تا هکر ها را دور کنید.هر تم و یا افزونه نصب شده مثل یک در باز برای پنل ادمین می باشد،مطمئن شوید که آن ها را توسط آخرین نسخه منتشر شده بروز رسانی می کنید.

اما گاهی اوقات بروز نگه داشتن سایت در مدت زمان مشخص سخت می باشد، و در اینجا بروز رسانی خودکار ایفای نقش می کند. شما با درج چند خط  کد در wp-config.php می توانید بروزرسانی خودکار را کانفیگ کنید.

از کد زیر برای افزونه ها استفاده کنید:

add_filter( ‘auto_update_plugin’, ‘__return_true’ )

از کد زیر برای تم استفاده کنید:

add_filter( ‘auto_update_theme’, ‘__return_true’ )

این کار کمک می کند تا تم و افزونه هایتان  زمانی که آخرین نسخه منتشر شد به صورت خودکار بروز شوند.

نکته۹: هیچ گاه افزونه های رایگان را دانلود نکنید

به جای دانلود رایگان افزونه، مطمئن شوید که آن را از سایت معتبری می خرید. بیشتر افراد مبتدی افزونه های رایگان را از منابع غیر قابل اعتماد دانلود می کنند چون رایگان هستند. اما کار اشتباهی انجام می دهند.

با این ترفند، کاربر به وب سایت های غیر قانونی کشیده می شود که سایت را آلوده می کنند. این کار نشان می دهد که هکر ها از این افزونه ها برای وارد شدن به وب سایت استفاده می کنند. تمام این اتفاقات به خاطر رایگان بودن افزونه اتفاق می افتد.

مطمئن شوید که در زمان دانلود افزونه برای سایت تان تمام وب سایت های غیر قانونی را بررسی کرده اید.

(س) بالا بردن امنیت دیتابیس

امنیت وردپرس

زمانی که یک ترفند پیچیده به نظر می رسد، قطعا امنیت دیتابیس وردپرس را ارتقا می بخشد. پیشوند دیتابیس خود وردپرس “wp_” می باشد که شامل تمام اطلاعات یک سایت می باشد، پیشوند پیش فرض کار را برای هکر ها آسان می کنند تا دیتابس شما را توسط SQL بدزدند.

برای جلوگیری از حمله ها، شما باید پیشوند دیتابیس خود وردپرس را به پیشوند قابل اعتماد و پیچیده تغییر دهید. پیشوند غیر پیش فرض را هکرها نمی توانند به راحتی حدس بزنند که باعث می شود تا سایت تان از دست هکر ها محافظت شود. برای شخصی سازی شما باید به قسمت wp-config.php بروید تا پیشوند و اطلاعات دیتابیس سایت تان را ببینید:

$table-prefix =’wp_’;

Now, change it to something more unique:

$table-prefix = ‘wp_OH77&K”;

نکته۱۱: به طور مرتب از سایت تان نسخه پشتیبان تهیه کرده وبروز رسانی کنید.

امن بودن سایت شما فرق نمی کند اما باید همیشه از آن نسخه پشتیبان تهیه کنید. این کار سایت را امن نگه می دارد، بنابراین مطمئن شوید که به طور مرتب با استفادهVaultPress, BackUpWordPress ی اBackWPUp   نسخه پشتیبان تهیه می کنید. یا از طریق کنترل پنل هاستتان

همیشه هسته وردپرس خود را در مدت زمان مشخص بروز رسانی کنید. خوشبختانه، وردپرس نسخه های جدید را در مدت زمان مشخص منتشر می کند تا مسیر ناامن بودن و آسیب پذیری نسخه فعلی را نشان دهد و به شما کمک کند تا به راحتی امنیت سایت تان را بالا ببرید.

(د) امن کردن محیط هاست وردپرس

تامین امنیت وردپرس

نکته ۱۲: امن ترین ارائه دهنده هاست را انتخاب کنید

مهم نیست از کدام ترفند برای ایمن سازی سایت استفاده می کنید اگرارائه دهنده هاست قابل اعتماد نباشد شما قادر به امن کردن سایت نخواهید بود.

با توجه به تحقیقات،۴۱% وب سایت های وردپرس به خاطر آسیب پذیر بودن سرور هاست هک شده اند. این به معنی تاثیر زیاد انتخاب ارائه دهنده هاست برای تامین امنیت سایت می باشد.

اگر می خواهید ازهاست اشتراکی استفاده کنید مطمئن شوید که ارائه دهنده هاستتان مطمئن باشد با انتخاب هاست های اشتراکی امنیت وب سایت خود را تامین کنید ارائه دهندگان هاست نیز نکات ایمنی خوبی برای تامین امنیت سایت دارند . اما اگر راه حل مناسب تری می خواهید می توانید از ارائه دهنده هاست معتبر و معروفی خریداری کنید. آن ها هزاران نکات ایمنی، پهنای باند نامحدود و فضای موجود را به شما آموزش می دهند تا به آسانی از سایت تان محافظت کنید. ( پیام هاست می تواند گزینه خوبی باشد فقط یکبار تست کنید!)

نکته۱۳: امن کردن فایل wp-config.php

فایل wp-config.php تمام اطلاعات نصب وردپرس را دارد. به دلیل این که یکی از فایل های حیاتی سایت شما می باشد، حتما از آن در برابر هکرها و حمله های دیگر محافظت کنید.

برای محافظت از این فایل کد های زیر را در فایل .htaccess اضافه کنید:

  <Files wp-config.php>

order allow,deny

deny from all

</Files>

و سطح دسترسی آن را به ۴۰۰ از طریق کنترل پنل هاست تان تغییر دهید.

نکته ۱۴:هیچگاه فایل index.html در دایرکتوری جدید سایت خود قرار ندهید. به خاطر این که تمام بازدید کنندگان می توانند به راحتی به لیست کامل دایرکتوری دست یابند، بهتر است که فایل   .htaccess را همراه با لیست دایرکتوری  غیر فعال کنید.

برای انجام این کار باید کد زیر را در فایل  .htaccess قرار دهید:

Options All –Indexes

نکته۱۵: به صورت آگاهانه سطح دسترسی دایرکتوری خود را تغییر دهید

به عنوان صاحب یک وب سایت ، نمی توانید سطح دسترسی دایرکتوری را اشتباهی نصب کنید، به خصوص اگر ما محیط هاست اشتراکی را ایمن می کنیم.

بهتر است سطح دسترسی دایرکتوری خود را با تنظیم کردن آن ها در ۷۵۵ تغییر دهید. همچنین باید فایل هایتان را به ۶۴۴ تنظیم کنید- این کار از فایل های سیستم که شامل دایرکتوری ها و ساب دایرکتوری ها و فایل های دیگر می باشد محافظت می کند.

برای تغییر آن شما می توانید هم آن را به صورت دستی از  File Manager در کنترل پنل هاست خود انجام دهید وهم با استفاده از ترمینال(وصل شده با SSH).

نکته۱۵+: استفاده از افزونه امنیت وردپرس

به عنوان آخرین نکته،افزونه های امنیت وردپرس را برای محافظت از تهدید های امنیتی نصب کنید. استفاده از افزونه های امنیت وردپرس در مقایسه با نکات دیگر یک راه حل آسان می باشد که شما حاضر نخواهید بود از آن غافل شوید.

افزونه های بسیاری برای تامین امنیت وردپرس وجود دارد که هر کدام کار خاصی انجام می دهند. بعضی از افزونه ها امنیت ورود را تامین می کنند و بعضی ها از حملات  brute-force جلوگیری می کند. درحالی که بعضی ها از ربات های نا امن و اسپم ها جلوگیری می کنند. و شما می توانید هر دو را به صورت رایگان و و یا خرید آن ها به راحتی آن ها را دانلود کنید.

برخی ازپرکاربردترین افزونه های امنیت را برای شما بازگو می کنیم: (پیام هاست مورد اول را تایید میکند)

  1. افزونه  Wordfence

WordPress Security یکی از افزونه های متداول وردپرس می باشد، ویژگی های اصلی افزونه شامل:

دیوار آتش(Firewall) وردپرس: شناسایی ترافیک مخرب، از حمله کنندگان محافظت میکند و اجازه نمی دهد سایت هک شود

مسدود کردن: حمله کننده های شناسایی شده و کل شبکه های مخرب را مسدود می کند

امنیت ورود به وردپرس: تایید دو مرحله ای کمک میکند تا رمز عبور قوی شود

اسکن امنیت: فایل های هسته ای وردپرس، تم ها و افزونه ها را اسکن می کند.

  1. امنیت iThemes

iThemes Security یکی دیگر از افزونه های معروف امنیت وردپرس می باشد که شامل چندین راه حل برای امن کردن سایت می باشدویژگی های اصلی این افزونه شامل:

محافظت از حمله ی Brute force: با استفاده از مانع شدن کاربران و هاست هایی که نمی توانند وارد شوند از حمله ی Brute force جلوگیری می کند.

نمایان سازی: ربات هایی را به دنبال آسیب پذیری، آشکار سازی فایل های سیستم را پیدا می کند و malware را اسکن می کند.

ایمن سازی: امن کننده های رایج وردپرس که شامل تغییرات URL داشبورد وردپرس، wp-content path و…) است.

پشتیبان گیری مکرر

  1. All In One WP Security & Firewall

افزونه All In One WP Security & Firewall یک افزونه وردپرس رایگان پرکاربرد برای محافظت از امنیت آن می باشد. این افزونه از دو افزونه بالا رایج تر است.ویژگی های اصلی این افزونه شامل:

امنیت ورود کاربران: از حمله های brute force هنگام ورود جلوگیری می کند.

امنیت دیتابیس: پشتیبان گیری مکرر را مهیا می کند.

کاربرد لیست سیاه: با تشخیص آدرس IP کاربران ناآشنا آن ها را مسدود می کند.

این افزونه را به صورت کاملا رایگان از  free from WordPress.org می توانید دانلود کنید.

نتیجه گیری:

نکات و ترفند های زیادی وجود دارد که به شما کمک می کند تا از وردپرس سایت محافظت کند و هکرها نتوانند به راحتی به اهدافشان برسند. شما می توانید با دنبال کردن این ترفند ها بدون خرج کردن پول امنیت سایت تان را تامین کنید.

ترجمه اختصاصی توسط پیام هاست از وب سایت themegrill.com

Adopted From themegrill.com

پیام هاست با داشتن تجربه و تخصص عالی در کانفیگ امنیتی وردپرس آماده امن سازی وب سایت شما به قیمت پایین میباشد

کلیه مشتریان پیام هاست میتوانند از این خدمات به طور کاملا رایگان استفاده کنند لازم به ذکر است سرور های پیام هاست قبلا کاملا ایمن سازی شده اند  و توسط کارشناسان بنام امنیتی در حوزه هاستینگ نیز تست شده است در مورد امنیت سرور های ما شک نکنید…

مشاهده بیشتر

Alireza Ranjbarzadeh

بنده علیرضا رنجبرزاده هستم مدیر و مسئول میزبانی وب پیام هاست با 5 سال سابقه در حوزه هاستینگ و طراحی وب سایت ارزان قیمت - کارشناس تجارت الکترونیک - دانشجوی رشته مهندسی کامپیوتر در تبریز - مدرس زبان انگلیسی

نوشته های مشابه

۴ دیدگاه

  1. Normally I don’t learn post on blogs, however I would like to say that this write-up very compelled me to take a
    .look at and do so! Your writing taste has been surprised me
    Thank you, quite great article

  2. Hello there ,
    I am sorry I do not speak Persian but I think I can help your users.
    I was using the password generator tool you mentioned on your page here: blog.payamhost.com/wordpress-security-tips/
    While it does the job overall, I found another tool to be a better alternative (and it’s actually in Persian). I thought other users might also appreciate it if you update your page.
    I guess I’m not the only one who prefer a simple and ad free password generator tool : )
    http://www.vpnmentor.com/tools/secure-password-generator/
    In hope I helped back,
    Rachel

    1. Thanks for your comment your website has been blocked in our country we can just introduce websites that are allowed by our government

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا