چک لیست افزایش امنیت وردپرس

افزایش امنیت وردپرس و نگرانی از بابت هک شدن وب سایت،دغدغه همه افرادیست که در حال حاظر از وردپرس استفاده می کنند.

رایگان بودن وردپرس باعث شده است که خیلی از افراد تصور این را داشته باشند که این سیستم مدیریت محتوا امن نیست و به راحتی هک می شود! ولی من باید به شما بگویم که وردپرس هم، همانند هر سیستم رایگان یا غیر رایگان دیگری می تواند مورد توجه هکر ها قراربگیرد.

وردپرس در سرتاسر دنیا توسط بهترین برنامه نویسان در حال توسعه است و به روزرسانی های منظم و مداوم این سیستم مدیریت محتوا،باعث شده است که اعتماد کافی نسبت به استفاده از وردپرس داشته باشیم.

من در این مقاله از آموزش امنیت وردپرس ، چک لیستی را تهیه کردم تا با اجرای آن بتوانید امنیت سایت وردپرس را افزایش بدید.پس تا انتهای این آموزش با من همراه باشید و راه های گفته شده را در راستای افزایش امنیت وردپرس انجام بدید.

راه های افزایش امنیت وردپرس

امنیت وردپرس،از روش های گوناگونی قابل افزایش است،که در این مقاله آموزشی من به شما یکسری از راه های افزایش امنیت وردپرس را آموزش میدم.

در کنار این روش ها،افزونه های افزایش امنیت وردپرس وجود دارد که با نصب آن ها می توانید وب سایت خودتون را امن تر کنید.

و اما بریم سراغ چک لیست و روش هایی که میشه امنیت وردپرس را افزایش داد.

به روزرسانی هسته اصلی وردپرس

یکی از واجب ترین و مهم ترین کارهایی که باید به آن اهمیت دهید،به روزرسانی کردن نسخه های جدید وردپرس هست.

با به روزرسانی کردن هسته وردپرس و دریافت نسخه های جدید تر،مشکلات و ایراداتی که در نسخه قبلی وردپرس وجود داشته است برطرف می شود.

برای انجام این کار وارد پیشخوان وردپرس بشید و از منوی پیشخوان > به روزرسانی ها وارد صفحه به روزرسانی وردپرس بشید:

در صفحه ای که برای شما نمایش داده میشه،کافیست که بر روی دکمه آبی رنگ اکنون به روزرسانی کن کلیک کنید تا وردپرس به جدید ترین نسخه به روزرسانی شود.

در صورتی که از نسخه های جدید تر وردپرس استفاده می کنید،پکیج های امنیتی وردپرس به صورت خودکار در سایت وردپرسی شما نصب می شوند.

بعد از به روزرسانی وردپرس به نسخه های جدید تر،می توانید به روزرسان خودکار وردپرس را هم فعال کنید تا به روزرسانی های جدید تر وردپرس به صورت خودکار برای سایت شما فعال شود.

برای فعال کردن این قابلیت از منوی پیشخوان > به روزرسانی ها وارد صفحه به روزرسانی وردپرس بشید و سپس روی گزینه “به‌روزرسانی خودکار همه نسخه‌های جدید وردپرس را فعال کنید.” کلیک کنید تا این مورد برای شما فعال شود.

به روزرسانی کردن قالب و افزونه های وردپرس

یکی دیگر از مواردی که باید به آن اهمیت دهید،به روزرسانی کردن افزونه ها وردپرس و قالب سایت است.

افزونه هایی که شما از سایت wordpress.org دانلود می کنید،یا حتی افزونه های تجاری که از سایت های دیگر خریداری می کنید،حتما باید به محض آمدن نسخه جدید تر به روزشوند تا مشکلی برای امنیت سایت شما به وجود نیاید.

برای به روزرسانی کردن افزونه های وردپرس و قالب،درصورتی که از مخزن وردپرس دریافت شده باشند می توانید از پیشخوان وردپرس وارد منوی پیشخوان > به روزرسانی ها بشید.سپس در این صفحه افزونه ها و قالب های وردپرس را به روزرسانی کنید.

وردپرس در نسخه های جدیدش قابلیتی را تحت عنوان به روزرسان خودکار افزونه ها اضافه کرده است تا بدون مراجعه به این صفحه و آپدیت کردن دستی افزونه ها این کار را به صورت خودکار انجام دهید.

برای فعال کردن به روزرسان خودکار افزونه های وردپرس،می توانید وارد منوی افزونه ها > افزونه های نصب شده بشید.

و حالا در این صفحه، افزونه هایی که مد نظرتون هست را با زدن فعال سازی به روزرسانی های خودکار به صورت خودکار به روز کنید.

فقط در نظر داشته باشید که افزونه هایی که از مخزن وردپرس نصب شده باشند و قابلیت به روزرسان خودکاررا داشته باشند در اینجا نمایش داده می شود.

عدم استفاده از نام کاربری admin

به صورت کلی نام کاربری،اهمیت چندانی در امنیت وردپرس ندارد.ولی استفاده از نام های کاربری مثل admin،root،test،user امکان نفوذ به سیستم وردپرس را توسط نرم افزارهایی که به این منظور توسط هکر ها نوشته شده اند را افزایش می دهد.

استفاده از رمز عبور پیچیده و تغییر آن در فواصل زمانی مختلف

یکی از بزرگترین اشتباهاتی که مدیران سایت مرتکب می شوند،استفاده کردن از رمزهای عبور ساده است که صرفا نمی خواهند آن را فراموش کنند.

زمانی که شما از رمزهای عبور ساده استفاده می کنید،کار هکر ها را بسیار ساده می کنید.

زمانی که شما از رمز عبور ساده ای استفاده می کنید نرم افزارهایی طراحی شده اند که با یک کلیک می توانند ساده ترین رمزهای عبور را حدث بزنند و اطلاعات آن را در اختیار هکر قراردهند.

برای مثال،فرض میگیریم که شما از نام کاربری admin و رمز عبور 1234 استفاده کردید.این نام کاربری و رمز عبور نا امن ترین اطلاعاتی است که به راحتی قابل هک شدن هست.

چون هکر،فقط با یک کلیک داخل نرم افزار در ابتدا نام کاربری admin را حدث می زند و در قدم بعدی رمز عبور 1234 را به دست می آورد. و شما با این کار به راحتی پیشخوان وردپرسیتون را در اختیار هکر قرار دادید.

علاوه بر انتخاب رمز عبور پیچیده،بهتر است که در فواصل زمانی مختلف رمز عبور سایت را تغییر دهید.

فعال کردن احراز هویت دو مرحله ای در وردپرس

احراز هویت دو مرحله ای برای ورود به پیشخوان وردپرس،یکی دیگر از راه هایی است که باعث افزایش امنیت سایت وردپرس شما میشود.

با فعال کردن این امکان به جای ورود تک مرحله ای،قبل از ورود به سیستم با نام کاربری و رمز عبور در ابتدا یک ایمیل حاوی یک کد یکتا برای شما ارسال می شود.که حتما باید آن کد هم در کنار نام کاربری و رمز عبور وارد شود تا بتوانید وارد پیشخوان وردپرس بشید.

با فعال کردن این امکان،می توان گفت تا حد خیلی زیادی نگرانی شما از بابت حدث زدن نام کاربری و رمز عبور برای ورود به پیشخوان وردپرس شما حل می شود.

برای فعال کردن احراز هویت دو مرحله ای می توانید از افزونه رایگان Two Factor Authentication استفاده کنید.

غیر فعال کردن ویرایشگر پوسته و افزونه

یکی دیگر از نکات افزایش امنیت وردپرس،غیر فعال کردن ویرایشگر افزونه ها و قالب ها در پیشخوان وردپرس است.

ویرایشگر پوسته و افزونه در وردپرس،به مدیران سایت ها این اجازه را می دهد تا بتوانند کدهای برنامه نویسی شده را تغییر دهند.

اما انجام این کار به هیچ عنوان برای شما که به امنیت سایت وردپرس خود اهمیت می دهید توصیه نمی شود و بهتر است در راستای افزایش امنیت وردپرس،این امکان را غیر فعال کنید.

برای غیر فعال کردن این قابلیت،وارد کنترل پنل هاستتون بشید و از قسمت فایل منیجر در جایی که وردپرس را نصب کردید فایل wp-config.php را پیدا و ویرایش کنید و تکه کد زیر را در آن قرار دهید:

define( 'DISALLOW_FILE_EDIT', true );

محدود کردن ورود اشتباه به پیشخوان وردپرس

همانطور که در توضیحات بالا به شما گفتم،هکر ها به کمک نرم افزارها و روش هایی که بلدند در ابتدا یکسری از نام های کاربری و رمزهای عبوری که در بانک اطلاعاتیشون ذخیره دارند را تست می کنند و این کار را تا زمانی انجام می دهند که بتوانند اطلاعات ورود به پیشخوان وردپرس شما را بدست بیاورند.

برای اینکه به هکر ها اجازه چنین کاری را ندید و بتوانید جلوی تلاش های آن ها را بگیرید می توانید از افزونه های محدود کردن ورود به پنل وردپرس استفاده کنید. تا در صورتی که مثلا تا ۳ بار رمز عبور اشتباه وارد شد اجازه تلاش مجدد نداشته باشند و IP آنها بلاک شود.

یکی از افزونه های رایگانی که ما در سایت نیکان وردپرس هم معرفی کردیم افزونه Limit Login Attempts Reloaded می باشد.

با نصب و فعال سازی این افزونه به راحتی می توانید این قابلیت را اضافه کنید و برای ورود اشتباه به پیشخوان وردپرس محدودیت قرار دهید.

محدود کردن آپلود انواع فایل در وردپرس

امکان آپلود فایل هایی با پسوند php. یکی از خطرناک ترین قابلیت های یک سایت وردپرسی است.

در صورتی که در سایت شما امکان آپلود چنین فایل هایی وجود داشته باشد،هکر ها به راحتی می توانند به وب سایت وردپرسی شما نفوذ کنند.

برای اینکه بتوانید جلوی آپلود این نوع فایل ها را بگیرید می توانید از افزونه Restrict Media Library Access یا سایر افزونه های محدود کننده آپلود فایل در وردپرس استفاده کنید.

تغییر آدرس ورود به وردپرس

آدرس ورود به پیشخوان وردپرس به صورت پیش فرض wp-admin هست.

با تغییر دادن آدرس پیش فرض ورود به وردپرس و غیر قابل حدث کردن آن باعث میشود هکر ها نتوانند به راحتی آدرس پنل وردپرس شما را بدست آورند و با انجام این کار به افزایش امنیت وردپرس کمک خواهید کرد.

برای انجام این کار، افزونه کاملا رایگانی به نام Change wp-admin login  وجود دارد که می توانید با نصب و فعال سازی آن آدرس ورود به وردپرس را تغییر دهید.

تغییر سطوح دسترسی فایل ها و پنهان کردن فایل های حساس وردپرس

یکی دیگر از کارهایی که شما باید از طریق کنترل پنل هاست در راستای افزایش امنیت وردپرس انجام دهید،تنظیم سطح دسترسی فایل ها و فولدر ها همراه با پنهان کردن فایل های حساس وردپرس مثل wp-config.php هست.

به صورت پیش فرض سطح دسترسی فایل ها باید 644 باشد و سطح دسترسی فولدر ها 755 باشد.

فایل wp-config.php یکی از حساس ترین فایل های وردپرس هست که اطلاعات دیتابیس شما در آن قرار گرفته است که بهتر است این فایل را در هاست مخفی کنید،تا نشود به راحتی آن را دید.

تغییر کلید Salt وردپرس

اگر فایل wp-config.php وردپرس را باز کنید کدهایی شبیه کدهای زیر را میبینید:

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define( 'AUTH_KEY',         'put your unique phrase here' );
define( 'SECURE_AUTH_KEY',  'put your unique phrase here' );
define( 'LOGGED_IN_KEY',    'put your unique phrase here' );
define( 'NONCE_KEY',        'put your unique phrase here' );
define( 'AUTH_SALT',        'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT',   'put your unique phrase here' );
define( 'NONCE_SALT',       'put your unique phrase here' );

این کدها،در حقیقت کلید های Salt یا کلید های امنیتی در وردپرس نامیده می شوند که مقادیر آن ها به صورت تصادفی و منحصر به فرد برای هر سایتی قابل تولید شدن هست.

اطلاعات تمامی کاربران سایت وردپرسی شما،از مدیر سایت گرفته تا کاربران عادی به صورت کوکی در مروگر ذخیره می شوند.

زمانی که شما وارد پیشخوان وردپرس می شوید،چندین کوکی حاوی اطلاعات ورود شما در مروگرتان ایجاد و ذخیره می شوند.و کلید های Salt در حقیقت این اطلاعات را به صورت رمزنگراری شده ایجاد و ذخیره می کنند.

برای درک کامل براتون یک مثال از کلید های Salt میزنم:

فرض کنید شما از سیستم شخص دیگری وارد پیشخوان وردپرس شدید و اطلاعات شما در مروگر آن شخص ذخیره شده است.برای اینکه خیالتان راحت باشد که آن شخص به طور کامل دسترسیش از پیشخوان وردپرس شما قطع شده است می توانید این کلید های Salt را مجدد تولید کنید.

در واقع می توان گفت که هر بار که شما این کلید ها را تغییر می دهید،شما و سایر کاربرانتان بدون تغییر یافتن اطلاعات ورود صرفا از سایت خارج می شوید.

در مواقعی که سایت شما هک می شود یکی از کارهایی که باید انجام دهید،تغییر این کلید های امنیتی هست،تا مطمئن شوید کاربری داخل سایت شما ورود نکرده باشد.

برای تغییر این کلید ها شما از دو روش می توانید این کار را انجام دهید:

• تغییر دستی کلید های Salt از طریق فایل wp-config.php
• تغییر خودکار کلید های Salt به کمک افزونه

برای تغییر دستی کلید های امنیتی وردپرس کافیست در قدم اول فایل wp-config.php را ویرایش کنید سپس وارد این سایت شوید. کدها را بردارید و جایگزین کدهای فعلی در فایل wp-config.php کنید.

برای تغییر خودکار و راحت تر کلید های Salt می توانید از افزونه رایگان Salt Shaker استفاده کنید.

این افزونه برخلاف حالت دستی هم راحت تر است و هم اینکه می توانید با تنظیم بازه زمانی مدنظرتون،تغییر این کلید های امنیتی را خودکار کنید.

عدم استفاده از افزونه ها و پوسته های نال شده برای افزایش امنیت وردپرس

اکثر افزونه های تجاری و پولی که شما در سایت های مختلف خارجی یا فارسی می بینید،به صورت نال شده قرارگرفته اند که در آن کدهای مخرب و ویروسی قرار گرفته است.

نصب و استفاده از این افزونه های وردپرس و قالب های وردپرس،که به صورت غیر اورجینال تهیه شدند باعث به خطر انداختن سایت وردپرسی شما می شوند.

پس حتما هر افزونه تجاری و پولی را به صورت اورجینال از سازنده آن افزونه خرید کنید،تا علاوه براینکه از سالم بودن آن فایل خیالتان راحت باشد،بتوانید به محض ارائه به روزرسانی های جدید، فایل آن را دریافت کنید.

انتخاب هاست مناسب

پیش نیاز تامین امنیت سایت وردپرس شما انتخاب درست هاست است.

بهتر است که هاست را از شرکت معتبری تهیه کنید،که امنیت بالایی داشته باشد.اگر شما از سرویس دهنده ای که هاست را صرفا ارزان ارائه می دهد و خیلی اعتبار زیادی هم نداشته باشد،مطمئن باشید که هاست ارائه شده کانفیگ امنیتی مناسبی ندارد و باعث به خطر انداختن دیتابیس و فایل های سایت شما می شود.

معرفی افزونه های افزایش امنیت وردپرس

در کنار تمام روش هایی که در این مقاله به شما توضیح دادم،افزونه هایی برای افزایش امنیت وردپرس هم وجود دارد که در لیست زیر آن ها را به شما معرفی می کنم.

افزونه Wordfence Security

این افزونه با بیش از ۴ میلیون نصب فعال،یکی از قوی ترین افزونه ها برای افزایش امنیت وردپرس هست که با نصب آن می توانید تا حدود زیاید سایت وردپرسیتون را ضد گلوله کنید.

افزونه iTheme Security

این افزونه با بیش از ۱ میلیون نصب فعال،جزء یکی از برترین افزونه های افزایش امنیت وردپرس به حساب می آید.

با پیشنهادات لحظه ای این افزونه می توانید امنیت سایت وردپرسیتون را افزایش بدید.

افزونه Sucuri Scanner

این افزونه با بیش از ۸۰۰ هزار نصب فعال،یکی از افزونه های برتر جهت شناسایی ویروس و بدافزار در سایت وردپرسی شما به حساب می آید.