سیستم مدیریت محتوای وردپرس (WordPress) به طور دائم در حال به‌روزرسانی و ارتقاء است و به خودی خود دارای امنیت بالایی می‌باشد. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت وب‌سایت خود گامی بردارید و امکان سوء استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. به همین خاطر ما در این آموزش قصد داریم به شما مهمترین و کاربردی‌ترین اقدامات ضروری برای افزایش امنیت وب‌سایت وردپرس خود را به شما معرفی کنیم تا امنیت وب‌سایت شما تضمین گردد. تا انتهای این مطلب با ما همراه باشید.

 
افزایش امنیت وردپرس

آنچه در این مطلب آموزشی به اختصار خواهید خواند:

1. چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟

2. اقدامات ضروری برای افزایش امنیت وردپرس را یاد بگیرید!

 
چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟

تامین امنیت وب‌سایت و کسب و کار اینترنتی موضوعی است که اهمیت زیادی برای مدیران سایت دارد. چراکه کسب درآمد و امنیت شغلی صاحبان این مشاغل، وابستگی مستقیم به امنیت سایتشان دارد. به عبارتی دیگر می‌توان گفت: دقیقا همانطور که یک فروشگاه فیزیکی در یک مکان مشخص از شهر نیاز به تامین امنیت دارد، یک فروشگاه و کسب و کار مجازی در اینترنت هم نیازمند تامین امنیت و حفاظت دارد.

از طرفی دیگر گوگل هر روز در حدود بیش از 10،000 وب‌سایت را به خاطر بدافزار بودن و حدود 50،000 وب‌سایت را به خاطر سرقت اطلاعات بانکی (phishing) هر هفته در لیست سیاه قرار می‌دهد. این بدان معناست گوگل برای تامین امنیت ارزش فوق‌العاده زیادی قائل است و سایت‌هایی که از امنیت کمی برخورد دار باشند از نگاه گوگل سایت‌های بی‌کیفیت تلقی می‌شوند که قطعا با افت رتبه در موتورهای جستجو مواجه خواهند شد.

پس اگر در مورد امنیت وب‌سایت خود جدی هستید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این آموزش، ما بهترین نکات امنیتی وردپرس را برای محافظت از وب‌سایت شما در برابر هکرها و بدافزارها با شما اشتراک خواهیم گذاشت.


اقدامات ضروری برای افزایش امنیت وردپرس را یاد بگیرید

در حالی که هسته‌ اصلی وردپرس بسیار امن است و توسط صدها نفر از توسعه‌دهندگان حرفه‌ای به طور منظم مورد بررسی و به‌روزرسانی قرار می‌گیرد، اما بازهم کارهای زیادی می‌توان برای ایمن نگه‌داشتن سایت انجام داد که بر عهده مدیر سایت است.

ما معتقدیم که امنیت فقط حذف خطر نیست. بلکه کاهش خطر است! به عنوان یک مالک وب‌سایت، اقدامات ضروری و موثری وجود دارد که می‌توانید برای بهبود امنیت وردپرس خود انجام دهید. در ادامه ما تعدادی از اقدامات ضروری برای تامین امنیت کامل وردپرس که می‌توانید با انجام آنها از وب‌سایت خود در برابر آسیب‌پذیری‌های امنیتی محافظت کنید، به شما معرفی خواهیم کرد.

 
1. همیشه از آخرین نسخه وردپرس، افزونه‌ها و پوسته‌ها در سایتتان استفاده کنید.

وردپرس یک نرم افزار تحت وب منبع باز (open source) است که به طور منظم توسط توسعه‌دهندگان آن بهبود پیدا کرده و به‌روزرسانی می‌شود. از طرفی دیگر وردپرس همچنین دارای هزاران افزونه و پوسته است که می‌توانید روی وب‌سایت خود نصب کنید. این افزونه‌ها و پوسته‌ها نیز توسط توسعه‌دهندگان‌شان مرتباً به‌روزرسانی می‌شوند. پس همیشه اطمینان حاصل کنید که جدیدترین نسخه هسته وردپرس، افزونه‌ها و پوسته‌ها در سایت شما نصب شده باشد.


2. گذرواژه‌های قوی انتخاب کرده و دسترسی‌های سایت را کنترل کنید!

یکی از رایج‌ترین راه‌های هک کردن و ورود غیرقانونی به سایت از طریق حملات بروت فورس یا DDOS است. شما با انتخاب گذرواژه‌های قوی می‌توانید وب‌سایت خود را در برابر این حملات ایمن نگه دارید. توجه داشته باشید نه فقط برای قسمت مدیریت وردپرس، بلکه همچنین برای حساب‌های FTP، پایگاه داده، حساب عضویت سایت و آدرس‌های ایمیلی که از نام دامنه سایت شما استفاده می‌کنند، باید از رمز عبور قوی استفاده کنید.

بسیاری از افراد استفاده از رمزهای عبور قوی را دوست ندارند زیرا به سختی به خاطر سپرده می‌شوند. اگرشما نیز جز این افراد هستید می‌توانید از نرم‌افزارهای مدیریت رمز عبور استفاده کنید تا اینگونه بهتر گذرواژه‌های خود حفظ و نگه‌داری کنید. از سوی دیگر مجوزها و دسترسی سایتتان را به طور دقیق کنترل و مدیریت کنید. به طوریکه به هرکسی اجازه دسترسی به حساب پیشخوان مدیریت وردپرس را ندهید مگر اینکه کاملاً نسبت به آن فرد کنترل و اطمینان داشته باشید. اگر یک تیم بزرگ یا چندین نویسنده مهمان دارید، برای آنها حساب کاربری و نقش‌هایی با دسترسی محدود ایجاد نمایید تا صرفا فقط امکان نگارش محتوا داشته و به دیگر بخش‌های سایت دسترسی نداشته باشند.


3. یک سرویس میزبانی وب (هاست) قوی انتخاب نمایید!

قطعا انتخاب یک سرویس میزبانی وب مطمئن و مناسب می‌تواند نقش بسیار مهمی در افزایش امنیت سایت شما ایفا نماید. یک ارائه‌دهنده میزبانی حرفه‌ای همیشه اقدامات بسیار مهمی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می‌دهد و خیال شما را بابت حفظ اطلاعات سایتتان راحت می‌کند.

اما یک سرویس میزبانی خوب درای چه ویژگی‌ها و بایدهایی می‌باشد؟

- باید به طور مداوم سرورهای خود را از نظر فعالیت مشکوک کنترل و بررسی کند.
- باید دارای ابزارهایی باشد که از حملات گسترده DDOS جلوگیری کند. از جمله دیوار آتشین سخت‌افزاری و نرم‌افزاری در کنار هم.
- باید نسخه های PHP و سخت‌افزار خود را به‌روز نگه دارند تا از سوء استفاده و آسیب‌پذیری‌های امنیتی در نسخه‌های قدیمی توسط هکرها جلوگیری کنند.
- آنها باید برنامه‌ریزی و پیش‌بینی‌هایی بابت بازیابی اطلاعات سرور در زمان حوادث‌های مختلف داشته باشند تا از داده‌های شما محافظت کنند.
- باید به طور دقیق و مداوم از اطلاعات بر روی سرور در یک مکان امن (سرور مجزا) نسخه پشتیبان تهیه کنند.
- قابلیت پاسخ‌گویی و پشتیبانی مشتریان را در هفت روز هفته را داشته باشد.
 

انتخاب بهترین ارائه دهنده خدمات میزبانی وب نکته بسیار مهم برای امنیت وب‌سایت می‌باشد. پلن‌های میزبانی وب لینوکس ویژه شبکه جهانی وب تمامی مزایای فوق را به شما ارائه می‌دهند.


4. افزونه‌ها کاربردی و مهم وردپرس بر روی وب‌سایت خود نصب و فعال‌سازی کنید!

اگر تسلط کامل بر روی کدنویسی‌های وردپرس ندارید حتما باید به سراغ نصب و فعال‌سازی افزونه‌های کاربردی و مهم برای افزایش امنیت سایت خود بروید.


5. گواهینامه SSL بر روی سایت خود نصب کنید!

گواهینامه SSL (Secure Sockets Layer)  یک پروتکل است که انتقال داده را بین وب‌سایت شما و مرورگر کاربران رمزگذاری می‌کند. این رمزگذاری باعث می‌شود که امکان سرقت اطلاعات توسط هکر‌ها بسیار دشوار یا تقریبا از بین برود. هنگامی که SSL را بر روی سایت خود فعال کنید، وب‌سایت شما به جای پروتکل HTTP از HTTPS استفاده می‌کند و در مرورگرتان علامت قفل کنار آدرس وب‌سایت خود مشاهده خواهید کرد.

در ابتدا گواهینامه‌های SSL صرفا توسط مقامات صدور گواهینامه (certificate authorities) صادر می‌شدند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع می‌شد. به همین خاطر به دلیل هزینه بالا، بیشتر مالکین وب‌سایت تصمیم گرفتند از پروتکل ناامن (HTTP) استفاده کنند. برای رفع این مشکل، یک سازمان غیرانتفاعی و خیرخواهانه به نام Let’s Encrypt تصمیم گرفت گواهینامه‌های SSL رایگان را به دارندگان وب‌سایت ارائه دهد. که این پروژه توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکت‌های دیگر پشتیبانی می‌شود. البته نصب این گواهینامه دشواری‌های خاص خود را دارد و مدت زمان اعتبار آن 3 ماه می‌باشد. ولی ما در شبکه جهانی وب سرویس نصب و تمدید خودکار گواهینامه SSL رایگان را ویژه مشترکین خود داریم که می‌توانید با کلیک بر روی اینجا آموزش نصب را مطالعه کنید.


6. نام کاربری (username) پیش‌فرض "admin" انتخاب نکنید!

در گذشته، نام کاربری مدیر هنگام نصب وردپرس به صورت پیش فرض "admin" بود. از آنجا که نام‌های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می‌دهد، دانستن آن ورود به سایت را برای هکرها آسان‌تر می‌کند.

خوشبختانه، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس می‌کند. با این حال، هنوز هم برخی از نصب‌کنندگان وردپرس نام کاربری پیش فرض را روی همان "admin" تنظیم می‌کنند که این موضوع بسیار خطرناک است. پس حتما هنگام نصب وردپرس بر روی سایتتان یک نام کاربری مناسب و سخت برای خود انتخاب نمایید.


7. قابلیت ویرایش پوسته و افزونه را در پیشخوان وردپرس غیرفعال کنید!

وردپرس دارای یک ویرایشگر کد داخلی است که به شما این امکان را می‌دهد افزونه‌ها و پوسته‌های خود را از طریق پیشخوان وردپرس ویرایش کنید. اگر این قسمت به دست هکرها بیوفتد به راحتی می‌توانند سایت شما را با کدهای مخرب آلوده کنند. پس بهترست حتما آن را غیرفعال نمایید.

برای غیرفعال‌سازی آن می‌توانید به فایل wp-config.php در هاست خود بروید و کد زیر را در آن قرار دهید:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

 
8. در برخی از دایرکتوری‌های وردپرس اجرای فایل PHP را غیرفعال کنید!

روش دیگر برای تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوری‌هاست. مانند فایل‌های موجود در uploads در پوشه wp-content که نیازی به اجرای کد PHP ندارد. برای انجام اینکار می‌توانید یک ویرایشگر متن مانند ++Notepad باز کنید و کد زیر را در آن قرار دهید:


deny from all

سپس، شما باید این فایل را به نام htaccess. ذخیره کنید و به صورت مستقیم یا با استفاده از سرویس FTP آن را در پوشه  wp-content/uploads/ هاست خود بارگذاری کنید. ضمنا اگر در آن پوشه از قبل فایلی با نام .htaccess وجود دارد، نیازی به ساخت مجدد این فایل نیست و فقط کافیست کدهای بالا را در آن فایل قرار دهید و ذخیره نمایید.


9. تعداد دفعات تلاش برای ورود به وردپرس را محدود کنید!

به طور پیش‌فرض، وردپرس به کاربران اجازه می‌دهد تا هر تعداد که می‌خواهند تلاش ناموفق برای ورود به سایت داشته باشند. این موضوع باعث می‌شود سایت وردپرس شما در برابر حملات brute force آسیب‌پذیر شود. هکرها با تلاش‌ها زیاد برای ورود به سایت با ترکیبات مختلف گذرواژه، سعی می‌کنند رمزهای عبور را بشکنند. شما با محدود کردن تلاش‌های ناموفق برای ورود به سیستم، می‌توانید این مشکل را به راحتی برطرف کنید. البته امروزه بیشتر افزونه امنیتی وردپرس اینکار را برای شما انجام می‌دهند و نیازی به نصب افزونه جداگانه نیست. به هر حال شما می‌توانید برای محدود کردن تلاش‌های ناموفق در به سیستم از افزونه Login Lock Down استفاده نمایید.


10. احراز هویت دو مرحله‌ای (Two Factor Authentication) را فعال نمایید!

با استفاده از روش احراز هویت دو مرحله‌ای شما می‌توانید بعد از گرفتن نام کاربری و پسورد، از کاربرانتان بخواهید برای ورود به سایت یک کد چند رقمی وارد کنند. در بسیاری از افزونه‌های امنیتی مانند وردفنس و iThemes Security این ویژگی وجود دارد که می‌توانید از آن استفاده کنید. البته افزونه Two Factor Authentication نیز می‌توانید به صورت جداگانه برای احراز هویت دو مرحله‌ای مورد استفاده قرار گیرد.


11. تغییر پیشوند جداول وردپرسی

به طور پیش‌فرض ، وردپرس از wp_  به عنوان پیشوند تمام جداول موجود در پایگاه داده شما استفاده می‌کند. به همین خاطر اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش‌فرض استفاده کند، حدس زدن نام جدول شما برای هکرها بسیار راحت است و می‌توانند به داده‌های شما در دیتابیس دسترسی پیدا کرده و آنها را تغییر دهند. به همین خاطر حتما توصیه می‌کنیم که آن را بر روی سایت خود تغییر دهید.


12. دسترسی به XML-RPC  را در وردپرس غیرفعال نمایید! (بسیار مهم)


فایل XML-RPC به شما کمک می‌کند تا وردپرس را به برنامه‌های وب و تلفن همراه متصل کنید و از این طریق آن را مدیریت کنید. اگر شما نمی‌خواهید از طریق تلفن همراه اینکار را انجام دهید حتما دسترسی به XML-RPC را غیرفعال نمایید. چرا که وجود این قابلیت در وردپرس باعث می‌شود حملات بروت فورس راحت‌تر صورت گرفته و تعداد دفعات وارد کردن نام کاربری و رمز عبور توسط هکرها در سایت بیشتر شود و احتمال ورود آنها به سایت افزایش یابد.

برای غیرفعال‌سازی آن می‌توانید از افزونه Disable XML-RPC استفاده کنید و یا در فایل .htaccess هاست خود کد زیر را قرار دهید:


البته توجه داشته باشید بعضی از افزونه‌های امنیتی مانند وردفنس این قابلیت را در خود جای داده‎‌اند و از طریق آنها می‌توانید این دسترسی را غیرفعال کنید. پس ابتدا بررسی نمایید که آیا افزونه امنیتی شما این قابلیت را دارد یا خیر؟ اگر این قابلیت را نداشت سپس به سراغ نصب افزونه یا فایل.htaccess  بروید.


13. افزونه‌ها و پوسته‌های پولی را از سایت‌های معتبر تهیه کنید!

یکی از اشتباهات رایج و بسیار خطرناک تهیه افزونه‌ها و پوسته‌های پولی به صورت رایگان است. در بسیاری از اینگونه افزونه‌ها کدهای مخربی وجود دارد که می‌تواند سایت شما را به یکبار با مشکل جدی و حتی جبران ناپذیری مواجه کند. پس حتما ضمنا عدم استفاده از افزونه‌ها و پوسته‌های پولی به صورت رایگان، آنها را از سایت‌های معتبر تهیه نمایید.


14. آدرس ورود به پیشخوان وردپرس خود را تغییر دهید!

به طور پیش‌فرض در سایت‌های وردپرسی آدرس ورود به پیشخوان www.example.com/wp-admin  است که باید حتما تغییر پیدا کند تا هکرها نتوانند به آن دسترسی داشته باشند. برای تغییر این مسیر می‌توانید از افزونه iThemes Security استفاده کنید که علاوه بر تامین امنیت کامل سایت شما امکان تغییر مسیر آدرس ورود به پیشخوان وردپرس را برای شما مهیا می‌کند.


15. بر روی کلیه فرم‌های سایت و فرم تماس با ما قابلیت Google reCAPTCHA قرار دهید! (بسیار مهم)

گوگل ری‌کپچا سامانه امنیتی طراحی شده برای جلوگیری از حملات ربات‌های اینترنتی می‌باشد که اقدام به ارسال اسپم می‌کنند. با استفاده از این سامانه تشخیص ربات‌ها و انسان امکان‌پذیر می‌باشد. ساختار ری‌کپچا به گونه‌ای است که در زمان ارسال ایمیل، ثبت نام در سایت یا ارسال نظر و تماس و... کد یا شکل یا مسئله یا فعالیتی را از کاربر درخواست می‌کند که کاربر با حل آن قادر به ادامه فعالیت خود می‌باشد. به همین علت چون ربات‌ها قادر به تشخیص این فرآیند نمی‌باشند سامانه از فعالیت‌های خرابکارانه ربات‌ها به این شیوه جلوگیری می‌کند.

جهت آموزش قراردادن Google Captcha اینجا را کلیک نمایید.


اقدامات ضروری برای افزایش امنیت وردپرس

همانطور که در ابتدای این آموزش اشاره کردیم، هسته اصلی سیستم مدیریت محتوای وردپرس مرتبا در حال به‌روزرسانی است و به خودی خود دارای امنیت بالایی می‌باشد. اما بازهم اقداماتی نیاز است تا شما نیز در جهت افزایش امنیت سایتتان گامی بردارید و امکان سوء استفاده از آن را تا حد ممکن کاهش و به صفر برسانید. در این آموزش اقدامات ضروری برای تامین امینت کامل وردپرس را به طور کامل به شما معرفی کردیم. حال نوبت شماست که با انجام این اقدامات امنیت وب‌سایت خود را افزایش دهید و از کسب و کارت اینترنتی‌تان به خوبی محافظت کنید. در نهایت از توجه شما به این مقاله سپاسگزاریم. لطفا سوالات و نظرات خود را در بخش نظرات با ما به اشتراک بگذارید.