افزایش امنیت وردپرس

افزایش امنیت وردپرس با ۲۵ راهکار ساده اما مهم!

دربارۀ امنیت وردپرس، معمولاً حرف و حدیث‌های زیادی وجود دارد؛ همه این‌ها را که کنار بگذاریم، اگر می‌خواهید امنیت سایت‌تان به خطر نیفتد و همواره آن را در سطح غیرقابل‌نفوذی قرار دهید، حتماً این مقاله را بخوانید!

امنیت وردپرس ضعیف است، هکرها خیلی راحت می‌توانند به آن نفوذ کنند، حفظ امنیت وردپرس ضروری و حیاتی است و…

حتماً گوش‌تان از این حرف‌ها پر است!

پس بیایید به‌جای تکرار و توضیح واضحات، یک‌راست برویم سر اصل مطلب و ببینیم چطور و با چه راهکارهایی می‌توانیم امنیت وردپرس را چند پله افزایش دهیم.

برای افزایش امنیت وردپرس چه کار کنیم؟

حقیقتش را بخواهید، امنیت وردپرس به این راحتی‌ها به خطر نمی‌افتد؛ مگر این که خودتان یکی از درهای ورودی سایت‌تان را برای هکرها باز بگذارید! پس وقتی راه‌های اولیه ورود به سایت را بسته باشید، دیگر هک شدن سایت کار ساده‌ای نیست.

البته به شرطها و شروطها!

شرطش هم این است که فقط به یک یا چند راهکار از این چک‌لیست بسنده نکنید و برای امنیت کامل وردپرس، مو‌به‌مو دستورات را اجرا کنید.

خب، برویم سراغ اولین راهکار.

پیشنهاد خواندنی: وردپرس چیست؟

ترفند های افزایش امنیت وردپرس

۱) به‌روزرسانی منظم وردپرس

اولین و ساده‌ترین راه برای افزایش امنیت وردپرس، این است که همیشه هسته سامانه مدیریت محتوا وردپرس شما به‌روز باشد.

به دلیل ماهیت متن‌باز این CMS، گاهی اوقات باگ‌های امنیتی در هسته وردپرس ایجاد می‌شوند و همین مسئله باعث می‌شود تا هکرها بتوانند به تمام سایت‌های وردپرسی دسترسی پیدا کنند.
برای همین، وردپرس برای حفاظت از سایت شما در برابر تهدیدات سایبری و امنیتی، هرازچندگاهی به‌روزرسانی‌های نرم‌افزاری منظمی را برای بهبود عملکرد و امنیت سایت‌ها منتشر می‌کند.

جالب است بدانید که با این حال، ۳۵.۳ درصد از سایت‌های وردپرس روی نسخه‌های قدیمی‌تر وردپرس اجرا می‌شوند و خب طبیعتاً از امنیتی هم به‌شدت آسیب‌پذیرتر می‌شوند.

برای بررسی اینکه آیا از آخرین نسخه وردپرس استفاده می‌کنید یا نه، وارد پیشحوان وردپرس‌تان شوید و از منوی کناری روی گزینه به‌روزرسانی‌ها کلیک کنید. اگر اینجا نشان می‌دهد که نسخه شما قدیمی است، حتماً همین الان وردپرس را آپدیت کنید.

آپدیت وردپرس

علاوه بر هسته خود وردپرس، قالب و افزونه‌های وردپرسی را هم باید به‌روز نگه دارید. اصلاً خیلی از این آپدیت‌های قالب، افزونه و هسته وردپرس، معمولاً برای رفع مشکلاتی امنیتی آن هستند و بهتر است که آن را پشت گوش نیندازید.

به‌علاوه، قالب‌ها و افزونه‌های قدیمی ممکن است با نسخه به‌روزشده وردپرس تضاد داشته باشند و باعث ایجاد خطاهای متعدد شود و سایت شما را مستعد تهدیدات امنیتی کند.
خلاصه اینکه برای افزایش امنیت وردپرس، در اولین قدم هم خود وردپرس و هم قالب‌ و تمام افزونه‌های روی سایت‌تان را آپدیت کنید.

نکته حرفه‌ای

برای آپدیت وردپرس می‌توانید گزینه «به‌روزرسانی خودکار» را روی سایت‌تان روشن کنید تا به‌صورت اتوماتیک بلافاصله بعد از منتشر شدن نسخه جدید، سایت‌تان آپدیت شود؛ اما این روش یک مشکلی دارد.

درست است که فعال کردن به‌روزرسانی‌های خودکار بار کاری شما را کاهش می‌دهد؛ اما در عین حال می‌تواند وب‌سایت شما را به دلیل ناسازگاری نسخه جدید با افزونه‌ها یا قالب‌های قدیمی‌تر دچار مشکل کند.

پس اگر این گزینه را فعال کردید، مطمئن شوید که به‌طور منظم از سایت‌تان نسخه پشتیبان (بکاپ) تهیه شده، تا در صورت بروز خطا بتوانید به نسخه قبلی برگردید.

پیشنهاد خواندنی: آموزش آپدیت دستی وردپرس به ۳ روش

۲) افزایش امنیت فایل wp-config.php

یکی از مهم‌ترین فایل‌هایی که در سایت‌های وردپرسی وجود دارد، فایل wp-config است که در آن اطلاعات مهمی نظیر اطلاعات دیتابیس قرار گرفته. اگر این فایل به دست هکرها بیفتد، به‌راحتی می‌توانند به اطلاعات دیتابیس شما و پس از آن، به تمام اطلاعات سایت‌تان دسترسی پیدا کنند.

برای افزایش امنیت این فایل می‌توانید آن را به یک پوشه دیگر در خارج از ریشه اصلی وردپرس منتقل کنید و مجوزهایش را به ۴۰۰ تغییر دهید تا فقط برای مالک سایت قابل خواندن و ویرایش باشد.

پیشنهاد خواندنی: هاست چیست؟

۳) افزایش امنیت وردپرس از طریق فایل htaccess

یکی دیگر از فایل‌های بسیار مهم روی وردپرس که هک شدن سایت با استفاده از آن هم امکان‌پذیر است، فایل htaccess است. فایل htaccess چیست؟

یک فایل پیکربندی قدرتمند است که وظیفۀ رسیدگی به پیکربندی‌های کلان در سرورهای مجهز به وب‌سرورهای مبتنی بر Apache و Litespeed را برعهده دارد.

در واقع این فایل شامل دستوراتی است که در محافظت از فایل‌ها و پوشه‌های وردپرس نقش بسیار مهمی دارند. با اضافه کردن کدهای لازم به این فایل و مسدود کردن IP‌های مشکوک، غیرفعال کردن اجرای PHP در پوشه‌های خاص و … می‌توانید امنیت سایت وردپرسی خود را افزایش دهید.

پیشنهاد خواندنی: چگونه با htaccess امنیت وردپرس را ارتقاء دهیم؟

۴) افزایش امنیت پوشه wp-admin

یکی از مهم‌ترین قسمت‌های سایت‌های وردپرسی، بخش پیشخوان یا مدیریت وردپرس است. کدهای مربوط به این بخش (فایل‌ها و اسکریپت‌هایی است که به شما امکان می‌دهد وب‌سایت وردپرسی خود را مدیریت کنید)، در فایل wp-admin قرار دارد.

که اگر هکر بتواند به این فایل دسترسی پیدا کند، امنیت سایت‌تان به خطر می‌افتد. برای افزایش امنیت وردپرس، می‌توانید کارهای مختلفی نظیر رمزگذاری‌ پیچیده برای این پوشه را انجام دهید.

wp-hosting-cta
هاست وردپرس لیموهاست
با بهترین عملکرد میزبان سایت وردپرسی شما هستیم. بهینه‌سازی شده برای بالاترین سطح سرعت!

شروع قیمت از
۱۳۹ هزار تومان

خرید هاست وردپرس

۵) استفاده از رمز عبور قوی

استفاده از نام کاربری و پسوردهای ساده، مثل ۱۲۳۴۵ و administrator و… یکی از رایج‌ترین اشتباهاتی است که می‌تواند سایت شما را در معرض خطر و حملات brute force قرار دهد. چرا؟

چون گاهی اوقات هکرها با استفاده از ربات‌ها، رمزهای عبور مختلفی می‌سازند تا به رمز عبور ادمین دسترسی پیدا کنند. اگر رمز عبور شما ساده و قابل حدس زدن باشد، به‌راحتی می‌توانند از اطلاعات‌تان سواستفاده کنند و امنیت سایت وردپرسی‌تان را به خطر بیندازند.

بنابراین یکی از راه‌های افزایش امنیت وردپرس استفاده از رمز عبور قوی و پیچیده است. یک رمز عبور قوی ترکیبی از اعداد، حروف کوچک و بزرگ و کاراکترهای مختلف است و بیش از ۱۲ کاراکتر طول دارد. در مقاله «چرا باید یک گذرواژه قوی بسازیم؟ ۱۰ تکنیک‌ برای ساخت پسورد سخت» روش ساخت یک پسورد امن را توضیح داده‌ایم.

پیشنهاد خواندنی: otp چیست و چگونه فعال می‌شود؟

۶) تعیین سطح دسترسی کاربران

بسیاری از سایت‌ها به‌صورت تیمی مدیریت می‌شوند و گاهی اوقات مشکلاتی در تیم به وجود می‌آید که ممکن است یک فرد، بخواهد تغییراتی در سایت انجام دهد. به همین دلیل وردپرس سیستمی به نام «سطح دسترسی کاربران» دارد که با تنظیم درست آن برای هر کاربر، به‌راحتی می‌توانید از دسترس اعضای تیم به اطلاعات مهم جلوگیری کنید.

در سامانه مدیریت محتوا وردپرس چندین سطح دسترسی پیش‌فرض تعیین شده است؛ اما اگر مناسب شما نیستند، با استفاده از پلاگین‌های مختلف تغییر سطح دسترسی، به‌راحتی می‌توانید همه چیز را شخصی‌سازی کنید. به عبارت ساده‌تر، می‌توانید مشخص کنید که هر دسته از کاربران و اعضای تیم، به چه بخش‌هایی دسترسی داشته باشند.

یکی از راه‌های بسیار مهم برای هک وردپرس، نفوذ به صفحه ورود است! گاهی اوقات هکران با استفاده از حملات DDOS می‌خواهند به سایت شما دسترسی داشته باشند که اگر صفحه ورود امنیت خوبی نداشته باشد، این کار به‌سادگی امکان‌پذیر است.

بنابراین پیشنهاد می‌کنیم برای امنیت صفحه ورود به سامانه مدیریت محتوا وردپرس فکری کنید و ببینید که با چه کارهایی می‌توانید به افزایش امنیت آن کمک کنید. یکی از راه‌های پیشنهادی این است که از کپچا برای این صفحه استفاده کنید.

همچنین شما می‌توانید با راه‌های دیگری نظیر ورود دومرحله‌ای گوگل امنیت این بخش را به حداکثر برسانید.

پیشنهاد خواندنی: چطور از هک شدن سایت‌مان در برابر هکرها محافظت کنیم؟

۷) تهیه قالب و افزونه از مارکت‌های معتبر

یکی از مهم‌ترین دلایل هک شدن سایت‌های وردپرسی، استفاده از قالب و پلاگین‌های نامعتبر است! گاهی اوقات کاربران پلاگین‌های پولی را به‌صورت رایگان و نال‌شده استفاده می‌کنند که در اکثر مواقع مشکل امنیتی دارند. در واقع سایت‌هایی که پلاگین را نال می‌کنند، باگ امنیتی در آن قرار می‌دهند تا به سایت شما دسترسی داشته باشند.

به همین دلیل پیشنهاد می‌کنیم حتماً از فروشگاه‌های معتبر قالب و افزونه تهیه کنید تا خیالتان بابت سالم بودن فایل و عدم ایجاد مشکل امنیتی برای سایت راحت باشد. از مهم‌ترین مارکت های وردپرسی می توان به تم فارست اشاره کرد که فایل‌های آن از لحاظ امنیتی توسط تیم این شرکت بررسی می‌شود.

پیشنهاد خواندنی: حمله دیداس چیست؟

۸) تغییر آدرس صفحه ورود (Log in) به وردپرس

صفحه ورود وردپرس یک آدرس پیش‌فرض دارد که اگر آن را تغییر نداده باشید، هر کاربری می‌تواند به آن دسترسی پیدا کند! این آدرس wp-admin یا wp-login.php است که با نوشتن آن در انتهای آدرس هر سایت وردپرسی، می‌توانید به صفحه ورود مدیریت دسترسی داشته باشید.

البته آدرس آن به‌راحتی قابل‌تغییر است. پلاگین‌های مختلفی وجود دارند که می‌توانید آن را تغییر دهید. البته شما به‌صورت دستی و با تغییر نام این پوشه از طریق هاست هم می‌توانید این کار را انجام دهید، اما این مسئله کمی تخصصی است. اگر مبتدی هستید، حتماً از پلاگین‌های مربوط به تغییر آدرس صفحه ورود به سامانه مدیریت محتوا وردپرس استفاده کنید.

کتاب بهبود پرفورمنس و افزایش سرعت سایت
در این کتاب، نحوۀ بررسی پرفورمنس سایت را یاد می‌گیرید و می‌توانید با انجام نکات‌ گفته‌شده، سایت بهتر و سریع‌تری داشته باشید.

۹) ایجاد محدود در تعداد دفعات تلاش برای ورود به وردپرس

بسیاری از راه‌هایی که هکرها برای ورود به وردپرس انجام می‌دهند، با چندین بار تکرار جواب می‌دهد! برای مثال، در روش تست کردن پسوردهای مختلف ممکن است هزاران پسورد توسط ربات ایجاد و بررسی شود تا در نهایت، شاید رمزعبور شما پیدا شود.

به همین دلیل شما با ایجاد محدودیت در تعداد تلاش برای ورود به وردپرس، به‌راحتی می‌توانید جلوی هک شدن سایت خود را بگیرید. البته نیازی هم نیست که این تعداد خیلی کم باشد! ۱۰ بار تلاش برای ورود کاربران عدد مناسبی است که اگر خودتان تنها مدیر سایت هستید، شاید حداکثر ۳ تلاش هم کافی باشد.

پیشنهاد خواندنی: بهترین افزونه امنیت وردپرس چیست؟

۱۰) ایجاد محدودیت در ورود با ایمیل در وردپرس

ایمیل ابزاری است که بسیاری از ما روزانه چندین بار از آن استفاده می‌کنیم؛ حتی ایمیل مدیر سایت از طریق سایت whois (سایتی برای ثبت و یافتن اطلاعات دامنه) به‌راحتی قابل دسترسی است.
یکی از راه‌های ورود به وردپرس هم استفاده از ایمیل است که می‌توانید به‌جای نام کاربری، آن را وارد کنید. بنابراین پیدا کردن ایمیل مدیران سایت کار سختی نیست و ممکن است هکرها از این روش استفاده کنند.

به همین دلیل پیشنهاد می‌کنیم ورود با ایمیل به سایت را غیرفعال کنید تا تنها به کمک نام کاربری بتوانید وارد آن شوید. برای این کار پلاگین‌های مختلفی وجود دارد؛ اما اگر می‌خواهید با استفاده از توابع وردپرس آن را غیرفعال کنید، کافی است از کد زیر استفاده کنید:

remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );

این کد را فایل توابع قالب (Function.php) قرار دهید تا جلوی ورود با ایمیل به سایت گرفته شود و تنها با کمک نام کاربری بتوانید وارد شوید.

۱۱) استفاده از کد امنیتی کپچا در بخش‌های مختلف سایت

کپچا ابزاری بسیار مفید برای شناسایی ربات‌ها و بدافزارهاست و از ورود آن‌ها به سایت جلوگیری می‌کند. عملکرد این ابزار به این صورت است که در هر جایی که فعال باشد، کاربر باید ابتدا آن را تایید کند. این ابزار به شما کمک می‌کند تا جلوی مصرف بالای منابع سایت هنگام تلاش ربات برای ورود به سایت یا حتی اسپم کردن گرفته شود.

پیشنهاد می‌کنیم علاوه بر صفحه ورود، از کپچا در بخش نظرات و فرم‌های سایت هم استفاده کنید تا ربات‌ها نتوانند فرم‌های سایت شما را پر کنند. این کار جلوی ارسال اسپم در سایت را می‌گیرد و منابع سایت شما اشغال نخواهند شد.

پیشنهاد خواندنی: آموزش فعال‌سازی احراز هویت دو مرحله‌ای در cPanel یا whm

۱۲) ایجاد ورود دومرحله‌ای به وردپرس

ورود یا احراز هویت دو‌مرحله‌ای امکانی است که توسط شرکت گوگل ارائه شده است. عملکرد این ابزار به این صورت است که علاوه بر وارد کردن نام کاربری و رمز ورود، کدی یکبارمصرف برای کاربر پیامک یا ایمیل می‌شود که باید آن را هم وارد کند. این طوری حتی اگر پسورد یا کلمۀ عبور لو برود، هکرها و کلاً هرکسی که بخواهد به‌صورت غیرمجاز وارد اکانت شود، کاری سخت و تقریباً غیرممکن در پیش خواهد داشت!

این برنامه کدها را به‌صورت خودکار و تصادفی ایجاد می‌کند و برای کاربر می‌فرستد. بنابراین استفاده از این ابزار امنیت سایت را تا حد زیادی افزایش می‌دهد و می‌توانید با استفاده از آن، جلوی هک شدن سایت خود را بگیرید.

۱۳) ایجاد سوال امنیتی در صفحه ورود به وردپرس

برای اینکه کار را برای هکرها دشوارتر و امنیت وردپرس را افزایش دهید، می‌توانید علاوه بر استفاده از کپچا و احراز هویت دومرحله‌ای روی سایت‌تان، یک سوال امنیتی هم در صفحه ورود وردپرس قرار دهید.

سعی کنید این سوال به نحوی باشد که تصادفی تولید شود و همیشه تغییر کند. ساده‌ترین سوال امنیتی در صفحه وردپرس، ایجاد اعدادی است که حاصل جمع یا تفریق آن را از کاربران بخواهد.

سعی کنید از سوالاتی که پاسخ آن‌ها به‌صورت کلمه است خودداری کنید؛ زیرا صفحه کلید کاربران متفاوت است و مشکل ایجاد می‌کند. بهترین و ساده‌ترین راه جلوگیری از هک وردپرس، همان استفاده از سوال امنیتی عددی است تا با هر صفحه کلیدی کاربران بتوانند به آن پاسخ دهند.

پیشنهاد خواندنی: جایگزینی فایل های اصلی وردپرس (دیفالت کردن هسته وردپرس)

۱۴) غیرفعال کردن نمایش خطاهای وردپرس

گاهی اوقات پیام‌های خود وردپرس خطرناک و دردسرساز می‌شوند! مثلاً اگر شما نام کاربری خود را درست وارد کنید، اما رمز شما اشتباه باشد، وردپرس این پیغام را نمایش می‌دهد که پسورد وارد‌شده برای نام کاربری موردنظر اشتباه است.

در این صورت هکران متوجه می‌شوند که نام کاربری درست است و برای یافتن رمز عبور درست تلاش می‌کنند. همچنین اگر نام کاربری وارده‌شده اشتباه باشد، وردپرس به کاربران می‌گوید که نام کاربری وارد‌شده صحیح نیست و این کاربر در سایت وجود ندارد. این‌طوری هکر به دنبال نام کاربری دیگری می‌گردد.

برای غیرفعال کردن پیغام خطا در وردپرس، کافی است از کد زیر استفاده کنید:

// Remove error message on login screen add_filter('login_errors', create_function('$a', 'return null;'));

این کد را فایل توابع قالب (Function.php) قرار دهید تا پیغام‌های خطا به کاربران نمایش داده نشوند.

۱۵) مخفی کردن نام کاربری وردپرس

در وردپرس، مطالب هر نویسنده در صفحه مربوط به آرشیو آن نویسنده دیده می‌شود. در نگاه اول شاید این مسئله خوب باشد، اما اگر تخصصی‌تر آن را بررسی کنیم، خطرناک است! چرا؟

چون در واقع صفحه آرشیو نویسنده همان نام کاربری نویسنده است که هکران با کمک آن می‌توانند برای ورود به سایت تلاش کنند. به همین دلیل پیشنهاد می‌کنیم نوع نمایش صفحه نویسنده را تغییر دهید تا نام کاربری شما به‌راحتی قابل تشخیص نباشد. برای این کار می‌توانید از کد زیر استفاده کنید:

# BEGIN block author scans

RewriteEngine On

RewriteBase /

RewriteCond %{QUERY_STRING} (author=\d+) [NC]

RewriteRule .* - [F]

# END block author scans

این کا را می توانید در فایل htaccess. که در هاست وجود دارد، قرار دهید.

۱۶) تغییر پیشوند جداول دیتابیس وردپرس

دیتابیس مهم‌ترین و حساس‌ترین بخشی است که هکر می‌خواهد به آن دسترس داشته باشد! در دیتابیس همه اطلاعات سایت وردپرسی شما وجود دارد. اگر یک هکر به آن دسترسی پیدا کند، به‌راحتی می‌تواند تمام اطلاعات کاربران نظیر رمز عبور مدیر سایت را پیدا کند یا حتی آن را تغییر دهد.

یکی از مواردی که امنیت دیتابیس را کاهش می‌دهد، استفاده از پیشوند جداول پیش‌فرض سامانه مدیریت محتوا وردپرس است. تغییر آن آسیبی به سایت نمی‌زند، اما امنیت وردپرس را افزایش می‌دهد. هنگام نصب وردپرس، می‌توانید این پیشوند را تغییر دهید.

پیشنهاد خواندنی: آموزش ساخت آدرس اختصاصی برای ورود به پنل مدیریت وردپرس

۱۷) استفاده از پروتکل امنیتی SSL برای سایت

گاهی اوقات ردوبدل شدن اطلاعات در بستر پروتکل http می‌تواند امنیت سایت را به خطر بیندازد. به همین دلیل یک پروتکل امنیتی بسیار عالی به نام https از طرف شرکت‌های ارتباط آنلاین ارائه شده است که در آن، اطلاعات در محیطی امن ردوبدل می‌شود.

علاوه بر این، استفاده از https در سئوی سایت هم تاثیر مثبت دارد و گوگل چنین سایت‌هایی را در بالای نتایج نشان می‌دهد. به همین دلیل اگر یک سایت وردپرسی دارید، پیشنهاد می‌کنیم از یک ssl رایگان استفاده کنید. برخی از هاستینگ‌ها، از جمله لیموهاست،  این قابلیت را به‌صورت رایگان در اختیار شما کاربران قرار می‌دهند تا امنیت سایت خود را افزایش دهید.

پیشنهاد خواندنی: گواهینامه SSL چیست و چه کاربردی دارد؟

۱۸) غیرفعال کردن ویرایشگر قالب و افزونه

قالب و افزونه‌های سامانه مدیریت محتوا وردپرس از کدهای مختلف تشکیل شده‌اند که هر گونه تغییر آن‌ها، می‌تواند امنیت سایت وردپرسی شما را به خطر بیندازد. به همین دلیل پیشنهاد می‌کنیم ویرایشگر قالب و افزونه را که معمولاً کمتر به آن نیاز دارید، غیرفعال کنید. این کار هم به‌سادگی انجام می‌شود، فقط کافی است از قطعه کد زیر استفاده کنید:

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

این کد را در مسیر Public_html/wp-confing.php قرار دهید. کافی است کد را در آن کپی کرده و سپس ذخیره کنید تا دسترسی به ویرایشگر قالب از طریق پیشخوان غیرفعال شود. اگر به آن نیاز داشتید، می توانید این کد را به‌صورت موقت بردارید و تغییرات موردنظر را انجام دهید.

پیشنهاد خواندنی: آموزش ورود به وردپرس و نکاتی که باید بدانید

۱۹) غیرفعال کردن اجرای فایل‌های PHP در سایت وردپرسی

تمام هاست‌های میزبانی قابلیت اجرای کدهای php را دارند و برنامه‌نویس‌ها به کمک کد می‌توانند هر کاری انجام دهند. گاهی اوقات شما افراد جدیدی به سایت خود اضافه می‌کنید که اجازه آپلود فایل‌های مختلف را دارند.

در این صورت یک فایل php در رسانه سامانه مدیریت محتوا وردپرس آپلود می‌کنند و با اجرای آن، درخواست‌های مخربی روی سایت انجام می‌دهند. به همین دلیل بهتر است در برخی پوشه‌ها که اصلاً نیازی به اجرای فایل‌های php نیست، این قابلیت را غیرفعال کنید. برای این کار از کد زیر استفاده کنید:

<Files *.php>

deny from all

</Files>

کافی است این کد را در htaccess قرار دهید و آن را ذخیره کنید.

۲۰) غیرفعال کردن XML-RPC

در سایت‌ساز وردپرس فایلی وجود دارد که به شما امکان مدیریت وردپرس از راه دور را می‌دهد. نام این قابلیت XML-RPC است و در بسیاری از اپلیکیشن‌های مدیریت وردپرس از راه دور از آن استفاده می‌شود.

شاید شما هم از برنامه‌های اندروید و ویندوز برای این کار استفاده می‌کنید که سرویس IFTTT از مهم‌ترین آن‌ها است. هکرها از این مورد هم برای هک کردن سایت استفاده می‌کنند؛ در واقع هکرها با استفاده از تابع system.multicall درخواست‌های زیادی به سایت ارسال می‌کنند و در نهایت ممکن است رمزعبور مدیر سایت را پیدا کنند.

بنابراین بهتر است از اپلیکیشن‌های جانبی استفاده نکنید و این قابلیت را در وردپرس غیرفعال کنید.

پیشنهاد خواندنی:  آموزش تغییر پسورد ورود به پیشخوان وردپرس (۳ روش)

۲۱) بررسی رفتار و فعالیت‌های کاربران

گاهی اوقات مانیتورینگ رفتار کاربران اهمیت بسیار زیادی دارد. شما نمی‌دانید که کاربران سایت شما به چه قصدی در سایت حضور دارند یا در آن ثبت‌نام کرده‌اند. مثلاً ممکن است کاربر دسترسی ورود به یک صفحه خاص نظیر ویرایشگر قالب سامانه مدیریت محتوا وردپرس را نداشته باشد، اما بارها برای ورود به آن تلاش کند.

در چنین مواقعی مشخص است که کاربر قصد انجام کاری را دارد که به نفع شما نیست. در چنین شرایطی می‌توانید عضویت آن کاربر را غیرفعال کنید تا رفتار مشکوک آن‌ها در نهایت منجر به هک شدن سایت نشود.

۲۲) استفاده از قابلیت تغییر اجباری رمز عبور توسط کاربران در بازه‌های زمانی مختلف

یکی از قابلیت‌هایی که با استفاده از پلاگین وردپرس قابل انجام است، این است که کاربران رمزعبور خود را به‌صورت دوره‌ای تغییر دهند. حتی اگر نمی‌خواهید این کار را انجام دهید، مدیران سایت خود را مجبور به انجام این کار کنید.

پلاگین‌هایی وجود دارند که کاربران را در بازه زمانی مشخص، مجبور می‌کند تا رمز عبور خود را تغییر کند. این کار تاثیر بسیار زیادی در جلوگیری از هک شدن و افزایش امنیت وردپرس دارد و پیشنهاد می‌‌‌‌‌‌‌‌کنیم حداقل هر ۳ ماه یک بار مجبور به تغییر رمز عبور خود کنید.

پیشنهاد خواندنی: بهترین افزونه امنیتی وردپرس

۲۴) استفاده از پلاگین‌های امنیتی وردپرس

علاوه بر تمام مواردی که بررسی کردیم، استفاده از افزونه‌های امنیتی وردپرس نقش پررنگی در افزایش امنیت وردپرس دارند.  پیش‌تر در یکی از مقالات وبلاگ لیمو به معرفی بهترین افزونه های امنیت وردپرس پرداخته‌ایم، بنابراین این مباحث را تکرار نمی‌کنیم.

اما اگر به دنبال جزییات این پلاگین‌ها نیستید و تنها یک نام را می‌خواهید، پیشنهاد ما به شما استفاده از یکی از گزینه‌های wordfence ، WPScan یا All in one security است. که هر دو گزینه در مخزن وردپرس و هم‌چنین در مارکت‌های ایرانی موجود هستند.

پیشنهاد خواندنی: آموزش جامع بهینه سازی دیتابیس وردپرس

۲۵) بکاپ‌گیری منظم از سایت

آخرین مورد از چک‌لیست امنیت وردپرس، تهیه منظم بکاپ یا همان نسخه پشتیبان از سایت‌تان است. تهیه بکاپ یه راهکار امنیتی نیست، اما اگر سایت شما هک شود و نتوانید مشکل را رفع کنید و سایت در حالا معلق باقی بماند، می‌توانید از طریق نسخه بکاپ آن را بازگردانی کرده و سپس مشکل را در همان نسخه رفع کنید.

از طریق فایل log در هاست، می‌توانید ببینید که هکر از چه راهی به سایت شما نفوذ کرده است و آن را در نسخه پشتیبان رفع کنید.

پیشنهاد خواندنی: غیر فعال سازی directory browsing در وردپرس،کنترل پنل‌های مختلف

جمع‌بندی و حرف‌های پایانی…

در این مقاله با ۲۵ نکته و راهکار برای افزایش امنیت وردپرس آشنا شدید. مجدداً تاکید می‌کنیم برای اینکه پایه‌های امنیت سایت‌تان قوی‌تر شود و هیچ هکری نتواند آن را متزلزل کند، همه این ۲۵ نکته را جدی بگیرید و تک‌تک‌شان را روی سایت‌تان پیاده کنید.

اگر سوالی دارید یا فکر می‌کنید جای نکته و تکنیک امنیتی مهمی در این لیست خالی است، حتما در بخش با ما در میان بگذارید. در ضمن از نظرات و پیشنهادات شما به‌شدت استقبال می‌کنیم!

منابع: themeisle| hostinger

اسماعیل شریف

اسماعیل شریف،‌ مدیر عملیات لیموهاست، آگاهی عمیقی دربارهٔ‌ زیرساخت و شبکه دارد. او گاهی برای لیموهاست می‌نویسد، تا کمی از تجربیات سال‌ها کار در حوزۀ خدمات میزبانی وب را با کاربران به اشتراک بگذارد.

نظر شما راجع به این محتوا چیست؟

عضویت در خبرنامه لیموهاست

در خبرنامه ما عضو شوید تا مطالب جدید جا نمونید.

آخرین مطالب دسته بندی آموزش وردپرس

5 دیدگاه

  1. بسیار مفید و کاربردی بو و به خوبی به نکات ریز هم اشاره فرمودید. بسیار ممنونم بابت انتشار این مقاله

  2. سلام. ممنون بابت مقاله خوبتون. مقاله جامعی فقط کاش مراحلی رو توضیح می دادین. مثلا در بخش افزایش امنیت فایل wp-config.php ننوشتین که برای تغییر مجوزهای wp-config.php لازمه روی فایل کلیک راست کنیم و permission بزنیم و بقیه مراحل.
    اون قسمتی هم که نوشتین فایل wp-config.php رو تغییر مسیر بدیم، مسیریابی دچار مشکل نمیشه؟ چطوری انجام بدیم که مسیر دچار مشکل نشه؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *