محافظت از وب‌سایت وردپرس

"ضروری است که امنیت وب‌سایت وردپرس خود را در اولویت قرار دهید. حملات سایبری می تواند اطلاعات حساس را به خطر بیندازد و ..."

22 راه برای محافظت از وب‌سایت وردپرس در برابر حملات سایبری

22 راه برای محافظت از وب‌سایت وردپرس در برابر حملات سایبری

به عنوان یک صاحب وب‌سایت، ضروری است که امنیت وب‌سایت وردپرس خود را در اولویت قرار دهید. حملات سایبری و تلاش های هک می تواند اطلاعات حساس را به خطر بیندازد، عملکرد وب سایت شما را مختل کند و به اعتبار آنلاین شما آسیب برساند. برای محافظت از وب سایت و کسب و کار خود، اجرای اقدامات امنیتی قوی بسیار مهم است.

امنیت وردپرس یک مسئله حیاتی برای همه صاحبان وب سایت است. گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد. اگر در مورد وب سایت خود جدی هستید، باید بهترین روش های امنیتی وردپرس را دنبال کنید. ما تمام تکنیک های برتر امنیتی وردپرس را در این پست ارائه خواهیم داد تا به شما کمک کند از وب سایت خود در برابر هکرها و بدافزارها محافظت کنید.

22 راه برای محافظت از وب‌سایت وردپرس در برابر حملات سایبری

در این مقاله 22 روش مختلف برای ایمن سازی وب سایت وردپرسی شما را بررسی خواهیم کرد. با پیروی از این دستورالعمل ها، می توانید امنیت وب سایت وردپرسی خود را به میزان قابل توجهی بهبود بخشید. برای نصب یک افزونه امنیتی، در داشبورد وردپرس خود، به بخش «افزونه‌ها» بروید. بر روی دکمه "افزودن جدید" کلیک کنید و افزونه مورد نظر خود را برای نصب جستجو کنید. پس از یافتن افزونه، بر روی دکمه “Install Now” و سپس بر روی دکمه “Activate” کلیک کنید.

استفاده از آخرین نسخه تم ها، افزونه های وردپرس و PHP

استفاده از جدیدترین نسخه های PHP، قالب های وردپرس و افزونه ها یکی از بهترین روش ها برای افزایش امنیت وب سایت وردپرسی شماست. یک آسیب پذیری امنیتی یا مشکلی که در نسخه قبلی پیدا شده است را می توان با به روز رسانی به جدیدترین نسخه برطرف کرد.  وارد داشبورد وردپرس خود شوید از قسمت افزونه‌ها یا پوسته‌ها، سربرگ بروزرسانی‌های را باز کنید، لیستی از بروزرسانی‌های موجود برای تم‌ها و افزونه‌ها را خواهید دید. برای شروع فرآیند به‌روزرسانی، روی دکمه «به‌روزرسانی تم‌ها» یا «به‌روزرسانی پلاگین‌ها» کلیک کنید.

استفاده از آخرین نسخه تم ها، افزونه های وردپرس و PHP

بروزرسانی نسخه PHP که وب سایت شما استفاده می کند کمی پیچیده تر است، زیرا نیاز به دسترسی به حساب میزبانی وب سایت شما دارد. با ارائه دهنده هاست خود مشورت کنید یا برای دستورالعمل هایی در مورد نحوه به روز رسانی نسخه PHP برای وب سایت خود به مستندات آن‌ها مراجعه کنید.

بروزرسانی کلیدهای امنیتی وردپرس

این کلیدها مجموعه ای از متغیرهای تصادفی هستند که برای بهبود امنیت داده های وب سایت شما استفاده می شوند. آنها برای جلوگیری از دسترسی هکرها به اطلاعات مهم با رمزگذاری اطلاعات موجود در کوکی های وب سایت، به شما کمک می‌کنند.

define('AUTH_KEY',         'IsDO|h7l35HU&iX>~JPx:C-@EM/b4~L?RV*SQpn$cVHS+Q4(#)9w3{D#+E8zF>-*');
define('SECURE_AUTH_KEY',  '-_-{U=HM#lnn5S-|h)MzrR`13gx-<|^Ki{z>DiXWu3G+R-:[)%rLx;p7G*p!4i?|');
define('LOGGED_IN_KEY',    '#1HG8X(x5J_ |/o+PB=z,lc@ S<z^9uB>|~e&=~&x-&FE%<|s.2=gcQ5?Ju`#|5A');
define('NONCE_KEY',        '@ joC7kE+ IL6!/03}m;%^[jq+6SfT5jOAuMg_M6O,^&*q$S@uv3G@co^L-P#l{4');
define('AUTH_SALT',        ')zh4A^^@<!9!q[_Ra*Eoh?GbuGI:9k{pI]^l-,k-_I.,<j)Ir5h3.%s}24G7pD[9');
define('SECURE_AUTH_SALT', 'K@8w=l) ~Tx-Wc{6+T/Jz ZTdb$DHIZy[<t@T_udK- .7|d9e?I[!?]3KeM)PnI5');
define('LOGGED_IN_SALT',   '#Dj:i8$`q5MR/&43ex{$|SH->wI?w;Mmc|Y.{-kLFm:W%23rL#Pv vh6T&ZP+Hw!');
define('NONCE_SALT',       'RCF7bS:(>`dS`<<^zL?++u,6sL=PJZ[Si:xrX|&)/4EYR:y5p0HJ^:-|x5g.y|^C');

ابتدا وارد هاست شوید و فایل wp-config.php را با یک ویرایشگر مانند Notepad باز کنید. سپس کلیدهای‌امنیتی پیش فرض را پیدا کنید. با استفاده از سازنده کدهای امنیتی آنلاین (online WordPress security key generator)  به طور خودکار یک کد امنیتی بالای ۶۰ کاراکتر دریافت کنید و آن را در قسمت put your unique phrase here وارد کنید. البته می‌توانید تمام هشت کلید را کپی کرده و در پوشه wp-config.php جایگزین کنید. پوشه wp-config.php را ذخیره کنید.

ایجاد نام های کاربری و رمزهای عبور قوی

یکی دیگر از جنبه های مهم ایمن سازی وب سایت وردپرسی شما، ایجاد نام کاربری و رمز عبور قوی است. یک نام کاربری قوی منحصر به فرد است تا حدس زدن آن برای هکرها دشوار باشد. همچنین یک رمز عبور قوی، طولانی و پیچیده به همراه حروف بزرگ و کوچک، ارقام و کاراکترهای خاص است. همچنین تغییر مکرر رمز عبور برای جلوگیری از دسترسی غیرقانونی بسیار مهم است. در داشبورد وردپرس به قسمت کاربران بروید و با ویرایش حساب کاربری می‌توانید رمز عبور را تغییر دهید.

افزودن سوالات امنیتی برای کاربران وردپرس

برای امنیت بیشتر، می توانید سوالات امنیتی را برای کاربران وردپرس خود تنظیم کنید. این امر مستلزم آن است که کاربران قبل از اینکه بتوانند رمز عبور خود را بازنشانی کنند یا وارد وب سایت شما شوند، به یک سؤال از پیش تعیین شده پاسخ دهند. برای این کار نیاز دارید که افزونه WP Security Question را نصب کنید. پس از نصب و فعال سازی افزونه زیر منوی جدیدی به نام Security Questions به منوی تنظیمات وردپرس اضافه خواهد شد. برای شروع تنظیمات و اعمال پیکربندی به این زیر منو رجوع کنید.

نصب پلاگین های امنیتی

افزونه های امنیتی زیادی وجود دارند که می توانند به محافظت از وب سایت وردپرس شما در برابر حملات سایبری کمک کنند. برخی از گزینه های محبوب عبارتند از Sucuri، WPFail2ban و SecuPress. پس از نصب یک افزونه امنیتی، مهم است که آن را مطابق با نیازهای خاص خود پیکربندی کنید. برای راهنمایی در مورد نحوه تنظیم و سفارشی کردن افزونه، با مستندات افزونه مشورت کنید یا از تیم پشتیبانی افزونه کمک بگیرید.

غیرفعال کردن JSON Rest API

JSON Rest API قابلیتی است که به وب سایت های وردپرس اجازه می دهد با وب سایت ها و برنامه های دیگر ارتباط برقرار کنند. در حالی که این ویژگی می تواند مفید باشد، اما در صورت عدم پیکربندی صحیح می تواند خطر امنیتی ایجاد کند. برای افزایش بهتر امنیت وب سایت خود، ممکن است بخواهید JSON Rest API را غیرفعال کنید. جهت غیر فعال کردن JSON Rest API در وردپرس کافی است کد زیر را به فایل functions.php قالب خود اضافه کنید:

add_filter('json_enabled', '__return_false');
add_filter('json_jsonp_enabled', '__return_false');

محدود کردن نمایه سازی پنل های مدیریت

برای بهبود امنیت وب سایت وردپرس خود، مهم است که نمایه سازی پنل های مدیریت خود را محدود کنید. این امر باعث می شود که موتورهای جستجو نتوانند صفحه ورود به وب سایت شما را ایندکس کنند و این امر باعث می شود هکرها کمتر آن را کشف کنند. برای محدود کردن نمایه سازی پنل های مدیریت خود، خط کد زیر را به فایل robots.txt وب سایت خود اضافه کنید:

Disallow: /wp-admin/

همچنین مهم است که از چندین تلاش ناموفق برای ورود به سیستم جلوگیری کنید، زیرا این می تواند نشانه تلاش برای هک باشد. برای جلوگیری از چندین بار تلاش برای ورود ناموفق، می‌توانید افزونه‌ای مانند WPFail2ban را نصب کنید که آدرس‌های IP را که تعداد معینی تلاش‌های ناموفق برای ورود به سیستم را در یک بازه زمانی خاص دارند مسدود می‌کند.

غیرفعال کردن پلاگین ها و تم های استفاده نشده

برای بهبود امنیت وب سایت وردپرسی خود، مهم است که هر افزونه و تم بلااستفاده را غیرفعال کنید. این موارد استفاده نشده می توانند آسیب پذیری های امنیتی را نشان دهند که می توانند توسط هکرها مورد سوء استفاده قرار گیرند. برای غیرفعال کردن یک پلاگین یا تم استفاده نشده، در داشبورد وردپرس خود، به بخش «افزونه‌ها» یا «پوسته» بروید. از آنجا می توانید موارد استفاده نشده را غیرفعال یا حذف کنید.

ایجاد پشتیبان گیری منظم

ایجاد پشتیبان گیری منظم از وب سایت وردپرسی شما جنبه مهمی برای حفظ امنیت آن است. در صورت حمله سایبری یا فاجعه دیگر، پشتیبان‌گیری می‌تواند به شما کمک کند تا به سرعت وب‌سایت خود را به وضعیت قبلی و ایمن بازگردانید. راه های مختلفی برای ایجاد نسخه پشتیبان از وب سایت وردپرسی شما وجود دارد. یکی از گزینه‌ها استفاده از افزونه‌ای مانند UpdraftPlus است که به شما امکان می‌دهد پشتیبان‌گیری خودکار را برنامه‌ریزی کنید و آنها را از راه دور ذخیره کنید (به عنوان مثال، در یک سرویس ذخیره‌سازی ابری مانند Google Drive یا Dropbox).

برای ایجاد یک نسخه پشتیبان با استفاده از UpdraftPlus، در داشبورد وردپرس خود، به بخش "افزونه ها" بروید. روی دکمه «افزودن جدید» کلیک کنید و UpdraftPlus را جستجو کنید. پس از یافتن افزونه، بر روی دکمه “Install Now” و سپس بر روی دکمه “Activate” کلیک کنید. پس از فعال‌سازی افزونه، به قسمت «تنظیمات» بروید و روی تب «UpdraftPlus Backups» کلیک کنید. از آنجا، می توانید برنامه پشتیبان خود را تنظیم کنید و مکان ذخیره سازی مورد نظر خود را انتخاب کنید. مهم است که به طور منظم از وب سایت خود نسخه پشتیبان تهیه کنید تا اطمینان حاصل کنید که در مواقع اضطراری یک نسخه پشتیبان امن دارید.

فعال کردن به روز رسانی خودکار

فعال کردن به روز رسانی خودکار برای وب سایت وردپرس شما یکی دیگر از راه های ساده و در عین حال موثر برای بهبود امنیت آن است. با روشن کردن به‌روزرسانی‌های خودکار، وب‌سایت شما به‌طور خودکار به‌روزرسانی‌های جدید را به محض در دسترس قرار گرفتن نصب می‌کند. این کمک می کند تا مطمئن شوید که وب سایت شما همیشه از جدیدترین، امن ترین نسخه وردپرس، تم ها و افزونه ها استفاده می کند.

غیرفعال کردن XML-RPC

XML-RPC قابلیتی است که به وب سایت های وردپرس اجازه می دهد با استفاده از پروتکل XML-RPC با سایر برنامه ها ارتباط برقرار کنند. در حالی که این ویژگی می تواند مفید باشد، اما در صورت عدم پیکربندی صحیح می تواند خطر امنیتی ایجاد کند. برای افزایش بهتر امنیت وب سایت خود، ممکن است بخواهید XML-RPC را غیرفعال کنید.

به روز رسانی مجوزهای فایل

اینها مجموعه قوانینی هستند که تعیین می کنند کدام کاربران می توانند به فایل های خاصی در وب سایت شما دسترسی داشته باشند و آنها را تغییر دهند. مهم است که اطمینان حاصل کنید که مجوزهای فایل شما به درستی تنظیم شده است تا امنیت وب سایت شما بهبود یابد. برای به روز رسانی مجوزهای فایل خود، باید به حساب میزبانی وب سایت خود دسترسی داشته باشید. از آنجا می توانید به مدیر فایل بروید و فایل هایی را که می خواهید تغییر دهید انتخاب کنید. از تب "مجوزها"، می توانید مجوزهای هر فایل را تنظیم کنید. با ارائه دهنده هاست خود مشورت کنید یا برای راهنمایی در مورد نحوه به روز رسانی مجوزهای فایل به مستندات آنها مراجعه کنید.

غیرفعال کردن نظرات و هاتلینک

غیرفعال کردن نظرات و هات لینک می تواند به بهبود امنیت وب سایت وردپرس شما کمک کند. غیرفعال کردن نظرات از گذاشتن نظرات کاربران در وب سایت شما جلوگیری می کند، که می تواند خطر ارسال هرزنامه یا نظرات مخرب را کاهش دهد. Hotlinking عمل استفاده از تصاویر وب‌سایت شما توسط شخص دیگری بدون اجازه شماست. با غیرفعال کردن هات‌لینک، می‌توانید از استفاده سایر وب‌سایت‌ها از تصاویرتان جلوگیری کنید و به‌طور بالقوه زمان بارگذاری وب‌سایت خود را کاهش دهید.

برای غیرفعال کردن نظرات و هات لینک، وارد داشبورد وردپرس خود شوید و به بخش «تنظیمات» بروید. از آنجا، روی منو تنظیمات بروید و گزینه "گفت و گو" را انتخاب کنید. تیک کنار گزینه "اجازه به دیگران برای ثبت دیدگاه‌ها روی نوشته‌های تازه" را بردارید و بر روی دکمه "ذخیره تغییرات" کلیک کنید. برای غیرفعال کردن هات لینک، باید چند خط کد به فایل htaccess. وب سایت خود اضافه کنید. با ارائه دهنده هاست خود مشورت کنید یا برای راهنمایی در مورد نحوه انجام این کار به مستندات آنها مراجعه کنید.

غیرفعال کردن گزارش خطای PHP

گزارش خطای PHP قابلیتی است که در صورت بروز مشکل، خطاها و هشدارها را در وب سایت شما نمایش می دهد. در حالی که این می تواند برای اهداف اشکال زدایی مفید باشد، اما می تواند یک خطر امنیتی نیز ایجاد کند زیرا می تواند اطلاعات حساس در مورد وب سایت شما را فاش کند. برای افزایش امنیت وب سایت خود، ممکن است بخواهید گزارش خطای PHP را غیرفعال کنید. برای غیرفعال کردن گزارش خطای PHP، باید فایل wp-config.php وب سایت خود را ویرایش کنید. کد زیر را در فایل وارد کنید:

error_reporting(0);

با این کار گزارش خطای PHP در وب سایت شما غیرفعال می شود.

غیرفعال کردن درخواست‌های URL خارجی

درخواست‌های URL خارجی درخواست‌هایی هستند که وب‌سایت شما به وب‌سایت‌ها یا سرورهای خارجی ارائه می‌کند. اگرچه این درخواست‌ها می‌توانند مفید باشند، اما اگر به درستی پیکربندی نشده باشند، می‌توانند خطر امنیتی ایجاد کنند. برای افزایش بهتر امنیت وب سایت خود، ممکن است بخواهید درخواست های URL خارجی را غیرفعال کنید. برای غیرفعال کردن درخواست های URL خارجی، باید فایل wp-config.php وب سایت خود را ویرایش کنید. کد زیر را در فایل وارد کنید:

define(‘WP_HTTP_BLOCK_EXTERNAL’, true);

با این کار درخواست های URL خارجی در وب سایت شما مسدود می شود.

پیاده سازی SSL برای وب‌سایت شما

پیاده سازی SSL (Secure Sockets Layer) برای وب سایت وردپرسی شما یکی دیگر از جنبه های مهم حفظ امنیت آن است. SSL یک پروتکل امنیتی است که داده های ارسال شده بین وب سایت شما و مرورگرهای کاربران شما را رمزگذاری می کند و به جلوگیری از رهگیری اطلاعات حساس توسط هکرها کمک می کند. برای پیاده سازی SSL برای وب سایت خود، باید گواهی SSL را ترجیحاً از یک ارائه دهنده معتبر خریداری کنید. با ارائه دهنده هاست خود مشورت کنید یا برای راهنمایی در مورد نحوه نصب و پیکربندی گواهی SSL برای وب سایت خود به اسناد آنها مراجعه کنید.

غیرفعال کردن اجرای فایل PHP

اجرای فایل PHP فرآیند اجرای کد PHP در وب سایت شما است. در حالی که این برای عملکرد صحیح وب سایت شما ضروری است، در صورتی که به درستی پیکربندی نشده باشد، می تواند یک خطر امنیتی نیز ایجاد کند. برای بهبود بهتر امنیت وب سایت خود، ممکن است بخواهید اجرای فایل PHP را در دایرکتوری های خاصی غیرفعال کنید. برای غیرفعال کردن اجرای فایل PHP، باید یک کد به فایل htaccess. به دایرکتوری هایی که می خواهید اجرای PHP را غیرفعال کنید، اضافه کنید. کد زیر را در فایل .htaccess وارد کنید:

php_flag engine off

غیرفعال کردن فهرست دایرکتوری

فهرست دایرکتوری قابلیتی است که به بازدیدکنندگان وب سایت شما امکان می دهد محتویات یک فهرست را مشاهده کنند. در حالی که این ممکن است مفید باشد، اگر به درستی پیکربندی نشود، می تواند یک نگرانی امنیتی نیز ایجاد کند. برای افزایش امنیت وب سایت خود می توانید لیست دایرکتوری را غیرفعال کنید.

یافتن یک ارائه دهنده میزبان ایمن وردپرس

پیدا کردن یک ارائه دهنده هاست وردپرس ایمن یکی دیگر از جنبه های مهم حفظ امنیت وب سایت شما است. یک ارائه دهنده هاست ایمن اقداماتی را برای جلوگیری از حملات سایبری و محافظت از اطلاعات وب سایت شما انجام خواهد داد. هنگام انتخاب یک ارائه دهنده هاست، حتماً در مورد اقدامات امنیتی آنها تحقیق کنید و در مورد سابقه آنها برای جلوگیری از حملات سایبری سؤال کنید. برخی از ارائه دهندگان هاست ویژگی های امنیتی اضافی مانند گواهینامه های SSL، محافظت از فایروال و اسکن بدافزار را ارائه می دهند.

غیرفعال کردن دسترسی به wp-config.php

wp-config.php فایلی است که حاوی اطلاعات حساس در مورد وب سایت وردپرس شما، مانند اعتبار پایگاه داده و کلیدهای امنیتی شما است. مهم است که از دسترسی غیرمجاز به این فایل برای بهبود امنیت وب سایت خود جلوگیری کنید.

غیرفعال کردن ویرایش فایل

وردپرس دارای یک ویرایشگر کد است که به شما امکان می دهد فایل های تم و افزونه را مستقیماً از قسمت مدیریت وردپرس ویرایش کنید. این عملکرد می تواند یک نگرانی امنیتی در دستان اشتباه باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.

B/protectwordpress