محافظت از وبسایت وردپرس
"ضروری است که امنیت وبسایت وردپرس خود را در اولویت قرار دهید. حملات سایبری می تواند اطلاعات حساس را به خطر بیندازد و ..."
22 راه برای محافظت از وبسایت وردپرس در برابر حملات سایبری
به عنوان یک صاحب وبسایت، ضروری است که امنیت وبسایت وردپرس خود را در اولویت قرار دهید. حملات سایبری و تلاش های هک می تواند اطلاعات حساس را به خطر بیندازد، عملکرد وب سایت شما را مختل کند و به اعتبار آنلاین شما آسیب برساند. برای محافظت از وب سایت و کسب و کار خود، اجرای اقدامات امنیتی قوی بسیار مهم است.
امنیت وردپرس یک مسئله حیاتی برای همه صاحبان وب سایت است. گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد. اگر در مورد وب سایت خود جدی هستید، باید بهترین روش های امنیتی وردپرس را دنبال کنید. ما تمام تکنیک های برتر امنیتی وردپرس را در این پست ارائه خواهیم داد تا به شما کمک کند از وب سایت خود در برابر هکرها و بدافزارها محافظت کنید.
22 راه برای محافظت از وبسایت وردپرس در برابر حملات سایبری
در این مقاله 22 روش مختلف برای ایمن سازی وب سایت وردپرسی شما را بررسی خواهیم کرد. با پیروی از این دستورالعمل ها، می توانید امنیت وب سایت وردپرسی خود را به میزان قابل توجهی بهبود بخشید. برای نصب یک افزونه امنیتی، در داشبورد وردپرس خود، به بخش «افزونهها» بروید. بر روی دکمه "افزودن جدید" کلیک کنید و افزونه مورد نظر خود را برای نصب جستجو کنید. پس از یافتن افزونه، بر روی دکمه “Install Now” و سپس بر روی دکمه “Activate” کلیک کنید.
- استفاده از آخرین نسخه تم ها، افزونه های وردپرس و PHP
- بروزرسانی کلیدهای امنیتی وردپرس
- ایجاد نام های کاربری و رمزهای عبور قوی
- افزودن سوالات امنیتی برای کاربران وردپرس
- نصب پلاگین های امنیتی
- غیرفعال کردن JSON Rest API
- محدود کردن نمایه سازی پنل های مدیریت
- جلوگیری از چندین تلاش ناموفق برای ورود
- غیرفعال کردن پلاگین ها و تم های استفاده نشده
- ایجاد پشتیبان گیری منظم
- فعال کردن به روز رسانی خودکار
- غیرفعال کردن XML-RPC
- به روز رسانی مجوزهای فایل
- غیرفعال کردن نظرات و هاتلینک
- غیرفعال کردن گزارش خطای PHP
- غیرفعال کردن درخواستهای URL خارجی
- پیاده سازی SSL برای وب سایت شما
- غیرفعال کردن اجرای فایل PHP
- غیرفعال کردن فهرست دایرکتوری
- یافتن یک ارائه دهنده میزبان ایمن وردپرس
- غیرفعال کردن دسترسی به wp-config.php
- غیرفعال کردن ویرایش فایل
استفاده از آخرین نسخه تم ها، افزونه های وردپرس و PHP
استفاده از جدیدترین نسخه های PHP، قالب های وردپرس و افزونه ها یکی از بهترین روش ها برای افزایش امنیت وب سایت وردپرسی شماست. یک آسیب پذیری امنیتی یا مشکلی که در نسخه قبلی پیدا شده است را می توان با به روز رسانی به جدیدترین نسخه برطرف کرد. وارد داشبورد وردپرس خود شوید از قسمت افزونهها یا پوستهها، سربرگ بروزرسانیهای را باز کنید، لیستی از بروزرسانیهای موجود برای تمها و افزونهها را خواهید دید. برای شروع فرآیند بهروزرسانی، روی دکمه «بهروزرسانی تمها» یا «بهروزرسانی پلاگینها» کلیک کنید.
بروزرسانی نسخه PHP که وب سایت شما استفاده می کند کمی پیچیده تر است، زیرا نیاز به دسترسی به حساب میزبانی وب سایت شما دارد. با ارائه دهنده هاست خود مشورت کنید یا برای دستورالعمل هایی در مورد نحوه به روز رسانی نسخه PHP برای وب سایت خود به مستندات آنها مراجعه کنید.
بروزرسانی کلیدهای امنیتی وردپرس
این کلیدها مجموعه ای از متغیرهای تصادفی هستند که برای بهبود امنیت داده های وب سایت شما استفاده می شوند. آنها برای جلوگیری از دسترسی هکرها به اطلاعات مهم با رمزگذاری اطلاعات موجود در کوکی های وب سایت، به شما کمک میکنند.
define('AUTH_KEY', 'IsDO|h7l35HU&iX>~JPx:C-@EM/b4~L?RV*SQpn$cVHS+Q4(#)9w3{D#+E8zF>-*');
define('SECURE_AUTH_KEY', '-_-{U=HM#lnn5S-|h)MzrR`13gx-<|^Ki{z>DiXWu3G+R-:[)%rLx;p7G*p!4i?|');
define('LOGGED_IN_KEY', '#1HG8X(x5J_ |/o+PB=z,lc@ S<z^9uB>|~e&=~&x-&FE%<|s.2=gcQ5?Ju`#|5A');
define('NONCE_KEY', '@ joC7kE+ IL6!/03}m;%^[jq+6SfT5jOAuMg_M6O,^&*q$S@uv3G@co^L-P#l{4');
define('AUTH_SALT', ')zh4A^^@<!9!q[_Ra*Eoh?GbuGI:9k{pI]^l-,k-_I.,<j)Ir5h3.%s}24G7pD[9');
define('SECURE_AUTH_SALT', 'K@8w=l) ~Tx-Wc{6+T/Jz ZTdb$DHIZy[<t@T_udK- .7|d9e?I[!?]3KeM)PnI5');
define('LOGGED_IN_SALT', '#Dj:i8$`q5MR/&43ex{$|SH->wI?w;Mmc|Y.{-kLFm:W%23rL#Pv vh6T&ZP+Hw!');
define('NONCE_SALT', 'RCF7bS:(>`dS`<<^zL?++u,6sL=PJZ[Si:xrX|&)/4EYR:y5p0HJ^:-|x5g.y|^C');
ابتدا وارد هاست شوید و فایل wp-config.php را با یک ویرایشگر مانند Notepad باز کنید. سپس کلیدهایامنیتی پیش فرض را پیدا کنید. با استفاده از سازنده کدهای امنیتی آنلاین (online WordPress security key generator) به طور خودکار یک کد امنیتی بالای ۶۰ کاراکتر دریافت کنید و آن را در قسمت put your unique phrase here وارد کنید. البته میتوانید تمام هشت کلید را کپی کرده و در پوشه wp-config.php جایگزین کنید. پوشه wp-config.php را ذخیره کنید.
ایجاد نام های کاربری و رمزهای عبور قوی
یکی دیگر از جنبه های مهم ایمن سازی وب سایت وردپرسی شما، ایجاد نام کاربری و رمز عبور قوی است. یک نام کاربری قوی منحصر به فرد است تا حدس زدن آن برای هکرها دشوار باشد. همچنین یک رمز عبور قوی، طولانی و پیچیده به همراه حروف بزرگ و کوچک، ارقام و کاراکترهای خاص است. همچنین تغییر مکرر رمز عبور برای جلوگیری از دسترسی غیرقانونی بسیار مهم است. در داشبورد وردپرس به قسمت کاربران بروید و با ویرایش حساب کاربری میتوانید رمز عبور را تغییر دهید.
افزودن سوالات امنیتی برای کاربران وردپرس
برای امنیت بیشتر، می توانید سوالات امنیتی را برای کاربران وردپرس خود تنظیم کنید. این امر مستلزم آن است که کاربران قبل از اینکه بتوانند رمز عبور خود را بازنشانی کنند یا وارد وب سایت شما شوند، به یک سؤال از پیش تعیین شده پاسخ دهند. برای این کار نیاز دارید که افزونه WP Security Question را نصب کنید. پس از نصب و فعال سازی افزونه زیر منوی جدیدی به نام Security Questions به منوی تنظیمات وردپرس اضافه خواهد شد. برای شروع تنظیمات و اعمال پیکربندی به این زیر منو رجوع کنید.
نصب پلاگین های امنیتی
افزونه های امنیتی زیادی وجود دارند که می توانند به محافظت از وب سایت وردپرس شما در برابر حملات سایبری کمک کنند. برخی از گزینه های محبوب عبارتند از Sucuri، WPFail2ban و SecuPress. پس از نصب یک افزونه امنیتی، مهم است که آن را مطابق با نیازهای خاص خود پیکربندی کنید. برای راهنمایی در مورد نحوه تنظیم و سفارشی کردن افزونه، با مستندات افزونه مشورت کنید یا از تیم پشتیبانی افزونه کمک بگیرید.
غیرفعال کردن JSON Rest API
JSON Rest API قابلیتی است که به وب سایت های وردپرس اجازه می دهد با وب سایت ها و برنامه های دیگر ارتباط برقرار کنند. در حالی که این ویژگی می تواند مفید باشد، اما در صورت عدم پیکربندی صحیح می تواند خطر امنیتی ایجاد کند. برای افزایش بهتر امنیت وب سایت خود، ممکن است بخواهید JSON Rest API را غیرفعال کنید. جهت غیر فعال کردن JSON Rest API در وردپرس کافی است کد زیر را به فایل functions.php قالب خود اضافه کنید:
add_filter('json_enabled', '__return_false');
add_filter('json_jsonp_enabled', '__return_false');
محدود کردن نمایه سازی پنل های مدیریت
برای بهبود امنیت وب سایت وردپرس خود، مهم است که نمایه سازی پنل های مدیریت خود را محدود کنید. این امر باعث می شود که موتورهای جستجو نتوانند صفحه ورود به وب سایت شما را ایندکس کنند و این امر باعث می شود هکرها کمتر آن را کشف کنند. برای محدود کردن نمایه سازی پنل های مدیریت خود، خط کد زیر را به فایل robots.txt وب سایت خود اضافه کنید:
Disallow: /wp-admin/
همچنین مهم است که از چندین تلاش ناموفق برای ورود به سیستم جلوگیری کنید، زیرا این می تواند نشانه تلاش برای هک باشد. برای جلوگیری از چندین بار تلاش برای ورود ناموفق، میتوانید افزونهای مانند WPFail2ban را نصب کنید که آدرسهای IP را که تعداد معینی تلاشهای ناموفق برای ورود به سیستم را در یک بازه زمانی خاص دارند مسدود میکند.
غیرفعال کردن پلاگین ها و تم های استفاده نشده
برای بهبود امنیت وب سایت وردپرسی خود، مهم است که هر افزونه و تم بلااستفاده را غیرفعال کنید. این موارد استفاده نشده می توانند آسیب پذیری های امنیتی را نشان دهند که می توانند توسط هکرها مورد سوء استفاده قرار گیرند. برای غیرفعال کردن یک پلاگین یا تم استفاده نشده، در داشبورد وردپرس خود، به بخش «افزونهها» یا «پوسته» بروید. از آنجا می توانید موارد استفاده نشده را غیرفعال یا حذف کنید.
ایجاد پشتیبان گیری منظم
ایجاد پشتیبان گیری منظم از وب سایت وردپرسی شما جنبه مهمی برای حفظ امنیت آن است. در صورت حمله سایبری یا فاجعه دیگر، پشتیبانگیری میتواند به شما کمک کند تا به سرعت وبسایت خود را به وضعیت قبلی و ایمن بازگردانید. راه های مختلفی برای ایجاد نسخه پشتیبان از وب سایت وردپرسی شما وجود دارد. یکی از گزینهها استفاده از افزونهای مانند UpdraftPlus است که به شما امکان میدهد پشتیبانگیری خودکار را برنامهریزی کنید و آنها را از راه دور ذخیره کنید (به عنوان مثال، در یک سرویس ذخیرهسازی ابری مانند Google Drive یا Dropbox).
برای ایجاد یک نسخه پشتیبان با استفاده از UpdraftPlus، در داشبورد وردپرس خود، به بخش "افزونه ها" بروید. روی دکمه «افزودن جدید» کلیک کنید و UpdraftPlus را جستجو کنید. پس از یافتن افزونه، بر روی دکمه “Install Now” و سپس بر روی دکمه “Activate” کلیک کنید. پس از فعالسازی افزونه، به قسمت «تنظیمات» بروید و روی تب «UpdraftPlus Backups» کلیک کنید. از آنجا، می توانید برنامه پشتیبان خود را تنظیم کنید و مکان ذخیره سازی مورد نظر خود را انتخاب کنید. مهم است که به طور منظم از وب سایت خود نسخه پشتیبان تهیه کنید تا اطمینان حاصل کنید که در مواقع اضطراری یک نسخه پشتیبان امن دارید.
فعال کردن به روز رسانی خودکار
فعال کردن به روز رسانی خودکار برای وب سایت وردپرس شما یکی دیگر از راه های ساده و در عین حال موثر برای بهبود امنیت آن است. با روشن کردن بهروزرسانیهای خودکار، وبسایت شما بهطور خودکار بهروزرسانیهای جدید را به محض در دسترس قرار گرفتن نصب میکند. این کمک می کند تا مطمئن شوید که وب سایت شما همیشه از جدیدترین، امن ترین نسخه وردپرس، تم ها و افزونه ها استفاده می کند.
غیرفعال کردن XML-RPC
XML-RPC قابلیتی است که به وب سایت های وردپرس اجازه می دهد با استفاده از پروتکل XML-RPC با سایر برنامه ها ارتباط برقرار کنند. در حالی که این ویژگی می تواند مفید باشد، اما در صورت عدم پیکربندی صحیح می تواند خطر امنیتی ایجاد کند. برای افزایش بهتر امنیت وب سایت خود، ممکن است بخواهید XML-RPC را غیرفعال کنید.
به روز رسانی مجوزهای فایل
اینها مجموعه قوانینی هستند که تعیین می کنند کدام کاربران می توانند به فایل های خاصی در وب سایت شما دسترسی داشته باشند و آنها را تغییر دهند. مهم است که اطمینان حاصل کنید که مجوزهای فایل شما به درستی تنظیم شده است تا امنیت وب سایت شما بهبود یابد. برای به روز رسانی مجوزهای فایل خود، باید به حساب میزبانی وب سایت خود دسترسی داشته باشید. از آنجا می توانید به مدیر فایل بروید و فایل هایی را که می خواهید تغییر دهید انتخاب کنید. از تب "مجوزها"، می توانید مجوزهای هر فایل را تنظیم کنید. با ارائه دهنده هاست خود مشورت کنید یا برای راهنمایی در مورد نحوه به روز رسانی مجوزهای فایل به مستندات آنها مراجعه کنید.
غیرفعال کردن نظرات و هاتلینک
غیرفعال کردن نظرات و هات لینک می تواند به بهبود امنیت وب سایت وردپرس شما کمک کند. غیرفعال کردن نظرات از گذاشتن نظرات کاربران در وب سایت شما جلوگیری می کند، که می تواند خطر ارسال هرزنامه یا نظرات مخرب را کاهش دهد. Hotlinking عمل استفاده از تصاویر وبسایت شما توسط شخص دیگری بدون اجازه شماست. با غیرفعال کردن هاتلینک، میتوانید از استفاده سایر وبسایتها از تصاویرتان جلوگیری کنید و بهطور بالقوه زمان بارگذاری وبسایت خود را کاهش دهید.
برای غیرفعال کردن نظرات و هات لینک، وارد داشبورد وردپرس خود شوید و به بخش «تنظیمات» بروید. از آنجا، روی منو تنظیمات بروید و گزینه "گفت و گو" را انتخاب کنید. تیک کنار گزینه "اجازه به دیگران برای ثبت دیدگاهها روی نوشتههای تازه" را بردارید و بر روی دکمه "ذخیره تغییرات" کلیک کنید. برای غیرفعال کردن هات لینک، باید چند خط کد به فایل htaccess. وب سایت خود اضافه کنید. با ارائه دهنده هاست خود مشورت کنید یا برای راهنمایی در مورد نحوه انجام این کار به مستندات آنها مراجعه کنید.
غیرفعال کردن گزارش خطای PHP
گزارش خطای PHP قابلیتی است که در صورت بروز مشکل، خطاها و هشدارها را در وب سایت شما نمایش می دهد. در حالی که این می تواند برای اهداف اشکال زدایی مفید باشد، اما می تواند یک خطر امنیتی نیز ایجاد کند زیرا می تواند اطلاعات حساس در مورد وب سایت شما را فاش کند. برای افزایش امنیت وب سایت خود، ممکن است بخواهید گزارش خطای PHP را غیرفعال کنید. برای غیرفعال کردن گزارش خطای PHP، باید فایل wp-config.php وب سایت خود را ویرایش کنید. کد زیر را در فایل وارد کنید:
error_reporting(0);
با این کار گزارش خطای PHP در وب سایت شما غیرفعال می شود.
غیرفعال کردن درخواستهای URL خارجی
درخواستهای URL خارجی درخواستهایی هستند که وبسایت شما به وبسایتها یا سرورهای خارجی ارائه میکند. اگرچه این درخواستها میتوانند مفید باشند، اما اگر به درستی پیکربندی نشده باشند، میتوانند خطر امنیتی ایجاد کنند. برای افزایش بهتر امنیت وب سایت خود، ممکن است بخواهید درخواست های URL خارجی را غیرفعال کنید. برای غیرفعال کردن درخواست های URL خارجی، باید فایل wp-config.php وب سایت خود را ویرایش کنید. کد زیر را در فایل وارد کنید:
define(‘WP_HTTP_BLOCK_EXTERNAL’, true);
با این کار درخواست های URL خارجی در وب سایت شما مسدود می شود.
پیاده سازی SSL برای وبسایت شما
پیاده سازی SSL (Secure Sockets Layer) برای وب سایت وردپرسی شما یکی دیگر از جنبه های مهم حفظ امنیت آن است. SSL یک پروتکل امنیتی است که داده های ارسال شده بین وب سایت شما و مرورگرهای کاربران شما را رمزگذاری می کند و به جلوگیری از رهگیری اطلاعات حساس توسط هکرها کمک می کند. برای پیاده سازی SSL برای وب سایت خود، باید گواهی SSL را ترجیحاً از یک ارائه دهنده معتبر خریداری کنید. با ارائه دهنده هاست خود مشورت کنید یا برای راهنمایی در مورد نحوه نصب و پیکربندی گواهی SSL برای وب سایت خود به اسناد آنها مراجعه کنید.
غیرفعال کردن اجرای فایل PHP
اجرای فایل PHP فرآیند اجرای کد PHP در وب سایت شما است. در حالی که این برای عملکرد صحیح وب سایت شما ضروری است، در صورتی که به درستی پیکربندی نشده باشد، می تواند یک خطر امنیتی نیز ایجاد کند. برای بهبود بهتر امنیت وب سایت خود، ممکن است بخواهید اجرای فایل PHP را در دایرکتوری های خاصی غیرفعال کنید. برای غیرفعال کردن اجرای فایل PHP، باید یک کد به فایل htaccess. به دایرکتوری هایی که می خواهید اجرای PHP را غیرفعال کنید، اضافه کنید. کد زیر را در فایل .htaccess وارد کنید:
php_flag engine off
غیرفعال کردن فهرست دایرکتوری
فهرست دایرکتوری قابلیتی است که به بازدیدکنندگان وب سایت شما امکان می دهد محتویات یک فهرست را مشاهده کنند. در حالی که این ممکن است مفید باشد، اگر به درستی پیکربندی نشود، می تواند یک نگرانی امنیتی نیز ایجاد کند. برای افزایش امنیت وب سایت خود می توانید لیست دایرکتوری را غیرفعال کنید.
یافتن یک ارائه دهنده میزبان ایمن وردپرس
پیدا کردن یک ارائه دهنده هاست وردپرس ایمن یکی دیگر از جنبه های مهم حفظ امنیت وب سایت شما است. یک ارائه دهنده هاست ایمن اقداماتی را برای جلوگیری از حملات سایبری و محافظت از اطلاعات وب سایت شما انجام خواهد داد. هنگام انتخاب یک ارائه دهنده هاست، حتماً در مورد اقدامات امنیتی آنها تحقیق کنید و در مورد سابقه آنها برای جلوگیری از حملات سایبری سؤال کنید. برخی از ارائه دهندگان هاست ویژگی های امنیتی اضافی مانند گواهینامه های SSL، محافظت از فایروال و اسکن بدافزار را ارائه می دهند.
غیرفعال کردن دسترسی به wp-config.php
wp-config.php فایلی است که حاوی اطلاعات حساس در مورد وب سایت وردپرس شما، مانند اعتبار پایگاه داده و کلیدهای امنیتی شما است. مهم است که از دسترسی غیرمجاز به این فایل برای بهبود امنیت وب سایت خود جلوگیری کنید.
غیرفعال کردن ویرایش فایل
وردپرس دارای یک ویرایشگر کد است که به شما امکان می دهد فایل های تم و افزونه را مستقیماً از قسمت مدیریت وردپرس ویرایش کنید. این عملکرد می تواند یک نگرانی امنیتی در دستان اشتباه باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.