4 ماه قبل
امتیـاز دهیـد !

پاسخ دادن به این سوال که امنیت وردپرس در چه حدی است کمی پیچیده است . چرا که در ابتدا باید بدانید در کل امنیت یک مسئله نسبی است و هیچ شخص یا شرکتی نمی تواند ادعا بر امن کردن وردپرس یا هر ابزار دیگری را بکند .

این رو هم بدانید که امروزه بیش از یک چهارم وب سایت های جهان از وردپرس استفاده می کنند و همین امر نشان به اندازه کافی امن است . در ضمن روش های بسیاری برای افزایش امنیت وردپرس وجود دارد که می توانید از امن بودن وردپرس خود به اندازه کافی مطمئا شوید .

شاید این سوال برای شما پیش بیاید که کدام شرکت یا شخصی مسئول امنیت این سیستم مدیریت محتوای محبوب است ؟ خب سوال بسیار خوبی است چرا که باید بدانید برخی از این مسئولیت بر عهده خود شما است ! چرا ؟ چون برخی از کارها برعهده شما است مثل انتخاب رمز عبور ایمن برای خود و مسائلی از این قبیل .

از همین جهت است که باید روش های مختلف افزایش امنیت را فرا بگیرید تا از امنیت وردپرس خود اطمینان حاصل کنید .

با این حال کار تامین امنیت هسته اصلی وردپرس به عهده تیم خود وردپرس است . از همین جهت باید بدانید برای افزایش ایمنی آن کاری نمی توانید بکنید و باید این کا را به عهده تیم قدرتمند وردپرس بسپارید .

مرحله اول : امنیت وردپرس با تامین آن در قسمت ورود کاربران

باید به این توجه داشته باشید که از آنجایی که وردپرس یک سیستم مدیریت محتوای عمومی است همه از لینک ورود به پنل مدیریت آن اطلاع دارند . اگر فردی به پیشخوان وردپرس دسترسی داشته باشد می تواند هر کار مخربی انجام دهید پس اولین قدم حفظ امنیت این قسمت است .

از همین جهت پیشنهاد اول من این است که اقدام به تغییر آدرس ورود به این صفحه بکنید . خب چطوره باهم به روش هایی برای این کار بپردازیم پس با من همراه باشید .

1. محدود کردن وارد کردن رمز عبور اشتباه

بیشتر حمله های هکر ها به وب سایت های وردپرسی از طریق فرم ورود به سایت انجام می شود . به این شکل که با امتحان کردن رمز های ساده و عمومی ( بالاخص برای نام کاربری admin که افراد زیادی از آن استفاده می کنند ) اقدام به ورود به پیشخوان وردپرس آن وب سایت می کنند . پس در اولین قدم از انتخاب نام ADMIN برای نام کاربری خود اجتناب کنید .

در مرحله دوم از کلمه های عبور قوی استفاده کنید که می توانید از وب سایت های موجود برای این کار استفاده کنید .

در مرحله بعد بهترین روش محدود کردن تعداد وارد کردن رمز عبور اشتباه است که برای این کار پیشنهاد من افزونه وردپرس iThemes Security است که این کار را برای شما انجام خواهد داد . این افزونه بسیار مفید است می توانید بدون هیچ نگرانی از آن استفاده کنید .

این افزونه دارای 30 ابزار کاربردی دیگر نیز هست . همینطور شما می توانید تعداد تلاش های ناموفق برای وارد کردن رمز عبور اشتباه را در آن تنظیم کنید تا بعد از آن مقدار آی پی کاربر قفل شود .

امنیت وردپرس با افزونه iThemes Security

2. استفاده از ورود 2 مرحله ای برای وردپرس

ورود 2 مرحله ای نیز از آن دسته اقدامات بسیار خوبی است که پیشنهاد می شه حتما نجام دهید تا امنیت وردپرس خود را در حد بسیار بالایی افزایش دهید .در این روش کاربر برای ورود به سایت باید از دو مرحله عبور کند .

به این شکل که کاربر پس از وارد کردن رمز عبور خود به صفحه ای منتقل می شود تا رمز عبور دوم ( یکبار مصرف ) خودرا که به طرق متفاوت ارسال می شود را وارد کنید و بعد وارد پنل پیشخوان می شود .

برای این کار من افزونه Google Authenticator رو پیشنهاد می کنم که با چند کلیک ساده این امکان را به سایت شما اضفه می کند .

امنیت وردپرس با افزونه ورود 2 مرحله ای وردپرس

3. استفاده از آدرس ایمیل برای ورود به سایت

در حالت بیشفرض برای ورود به وردپرس باید از نام کاربری استفاده کیند که این روش کمی نا امن است چرا که هیچ راهی برای حقیقی بودن فرد مذکور وجود ندارد از همین جهت ایمیل روش مناسبی است .

چرا ایمیل ؟ چون شما می توانید با ارسال کدفعال سازی کاربر به ایمیل او اطمینان حاصل کنید که او فردی حقیقی است .

4. آدرس صفحه لاگین خود را تعویض کنید

تغییر آرس صفحه لاگین بسیار ساده است و نیاز به کار خاصی ندارد . در حالت پیشفرض شما می توانید با وارد کردن wp-login.php و یا wp-admin به آخر آدرس وب سایت خود به صفحه لاگین خود دسترسی داشته باشید . برای این کار می توانید ازافزونه رودپرس rename wp-login استفاده کنید .

خب وقتی شما این را می دانید پس مطمئناً هکر نیز از آن خبر دارد و برای ورود خود از آن صفحه استفاده می کند .

خب تا الان ما یاد گرفتیم که آدرس ایمیل را برای ورود به سایت قرار دهیم و حال با تغییر آدرس صفحه لاگین می توانید جلوی بسیاری از حمله ها به سایت خود را بگیرید .

البته افزونه iThemes Security که در بالا معرفی کردیم نیز می تواند این کار را برای شما به راحتی آب خوردن انجام دهد . برای مثال :

  • آدرس wp-login.php را به چیزی شبیه به my_new_login تغییر دهید
  • صفحه /wp-admin/ را به my_new_admin تغییر دهید
  • صفحه ثبت نام با آدرس /wp-login.php?action=register را به my_new_registeratio تبدیل کنید .

5. کلمه عبور خود را تغییر دهید

رایج‌ترین روش هک وردپرس به دست آوردن رمز عبور مدیریت وردپرس است. با انتخاب رمز عبور قوی و پیچیده این کار را برای هکران دشوار کنید. و نه‌فقط برای مدیریت وردپرس، بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و حساب ایمیل‌های خود این کار را انجام دهید پس بدون هیچ معطلی وارد این سایت شوید و پسوردهای قوی و اتفاقی ایجاد کنید و از آن استفاده کنید

اصلاً لازم نیست رمز عبور خود را به یاد داشته باشید، یک رمز عبور قوی انتخاب کنید و آن را جایی دور از دسترس دیگران یادداشت کنید و از آن استفاده کنید

یکی دیگر از راه‌های کاهش ریسک هک شدن سایت این است که در انتخاب نقش‌های کاربری وردپرس دقت کافی را داشته باشید و دسترسی بیش‌ازحد به کاربران عادی ندهید.

6. خروج خودکار کاربران غیر فعال

یکی از بزرگترین تهدیداتی که سایت شما می تواند با آن مواجه شود بی دقتی کاربران آن است . کاربران ( البته خود من هم از همین دسته از افرادم 🙂 ) سایت را بدون آن که از آن خارج شوند از مرورگر می بندند و همین امر باعث می شود سایت لاگین شده در کش آنها باقی بماند و اگر کسی وارد سیستم آنها شد به راحتی توانایی دسترسی به سایت شما را داشته باشد .

از همین جهت شما می توانید با اسفاده از یک پلاگین وردپرس به نام BulletProof Security و تنظیم آن کاری کنید که کاربر پس از غیر فعال بودن برای مدتی بصورت خودکار از سایت خارج شود که این امر نیز در بهبود امنیت وردپرس شما تاثیر بسزایی خواهد داشت .

امنیت وردپرس با افزونه BulletProof Security

مرحله دوم : امن سازی وردپرس با محافظت از قسمت پیشخوان مدیریت

برای یک هکر بهترین قسمت پیشخوان مدیریتی یک وب سایت است که می تواند از آن قسمت به همه جای وب سایت دسترسی داشته باشد . از همین جهت امنیت بخش پیشخوان وردپرس یکی از حیاتی ترین کارهایی است که هر وب مستری باید به آن عمل کند . درادامه به امن سازی این بخش از وردپرس خواهیم پرداخت :

7. محافظت از پوشه wp-admin

پوشه wp-admin قلب یک وب سایت وردپرسی به حساب می آید . پس اگر به این بخش از وب سایت شما به هر دلیلی آسیب برسد می تواند صدمات جبران ناپذری به سایت شما برسد .

برای محافظت از این بخش از وب سایت می توانید همانطور که در بالا نیز توضیح داده شد اقدامات امنیتی مثل پسورد دو مرحله ای ، تغییر آدرس ورود به آن صفحه و استفاده از افزونه های پیشنهاد داده شده اشاره کرد که باعث می شود امنیت قسمت مدیریت وب سایت شما تا حد بسیار زیادی تامین شود .

8. برای رمز گذاری اطلاعات از ssl استفاده کنید

SSL چیست؟ SSL مخفف Secure Sockets Layer است. این یک پروتکل اینترنتی امن برای حفاظت از انتقال اطلاعات بین یک مرورگر کاربر و وبسایتی است که بازدید می کند.هر کاربر اینترنتی، هنگام بازدید از وب سایت، اطلاعات را انتقال می دهد. این اطلاعات اغلب می‌توانند مانند جزئیات پرداخت، اطلاعات کارت اعتباری، یا اعتبار ورود به سیستم حساس باشند.با استفاده از پروتکل HTTP معمولی، این اطلاعات می تواند توسط هکرها ربوده شود.

این جایی است که SSL یا HTTPS پا به عرصه می گذارد.وب سایت‌ هایی که از SSL استفاده می‌کنند به یک گواهی SSL که توسط یکی از مرجع صدور گواهی شناخته‌ شده، صادر شده‌ است نیاز دارند. این گواهی تایید شده و در نوار آدرس مرورگر کاربر با یک قفل و HTTPS به جای HTTP مورد توجه قرار گرفته‌است.

علاوه بر امنیت، پروتکل SSL نیز یک احساس مثبت از نام تجاری خود را در میان کاربران شما ایجاد می کند. گوگل همچنین توصیه می کند که از SSL استفاده کند و سایت های فعال شده در SSL را در نتایج جستجو هدایت کند.

9. امنیت اکانت کاربران را نیز بررسی کنید

یکی دیگر از روش هایی که هکر ها را به سراغ سایت شما می آورد ضعیف بودن امنیت حساب کاربری کاربران شما است .

اگر وب سایت شما دارای کاربران زیادی است و کاربران شما می توانند در سایت شما ثبت نام کنند بدیهی است که باید از امنیت آنها نیز اطمینان حاصل کنید . برای این کار بهتر است از افرونه Force Strong Passwords استفاده کنید تا کاربرانتان در هنگام ثبت نام حتما از رمزعبور قوی استفاده کنند .تا هم سایت شما ایمن باقی بماند و حساب کاربری آنها .

Force Strong Passwords

10. تغییر نام کاربری admin

اگر نام کاربری مدیر وب سایت شما نیز admin است حتما نسبت به تغییر آن اقدام کنید چرا که هکر ها در اولین اقدام خود نسبت به هک سایت با این نام کاربری می کنند . زیرا افراد زیادی در سرتاسر جهان نام کاربری سایت خود را admin قرار می دهند . پس با قرار دادن این نام کاربری شما 50% راه برای هکر عزیز بازکرده اید تا ایشان فقظ زحمت 50% مابقی کار را بکشد . از همین جهت نسب به تغییر آن اقدام کنید .

قسمت سوم : بهینه سازی وردپرس از طریق پایگاه داده

تمامی اطلاعات یک وب سایت در پایگاه داده ذخیره می شود . از همین جهت محافظت از آن قسمت یکی از مهمترین کارهای هر وب مستر است :

11.تغییر نام پیشوند جدول وردپرس

یکی از مرسوم‌ترین راه‌هایی که هکرها برای حمله به سایت استفاده میکنند اینه که به صورت مستقیما پایگاه داده و دیتابیس یک سایت را مورد حمله قرار داده و با تزریق دیتابیس با استفاده از اسکریپت‌هایی که در افزونه‌ها و قالب‌های نامناسب ایجاد می‌کنند سعی در این دارند تا دسترسی به سایت شما را به صورت کنترل شده در دست بگیرند. بنابراین اولین گزینه‌ای که برای هکرها در جهت نفوذ به یک سایت وردپرسی در اولویت خواهد بود از طریق دیتابیس وردپرس صورت میگیره که برای جلوگیری از حملات به دیتابیس لازمه تا در هنگام شروع نصب وردپرس در هاست یا نصب وردپرس در لوکال هاست از همون ابتدا پیشوند جداول وردپرس را که در حالت پیشفرض wp_ می‌باشد تغییر داده و از ساختار دلخواه خودتون در اون استفاده کنید تا باعث افزایش امنیت در وردپرس شوید

برای تغییر تام پیشوند جداول در وردپرس یا باید در ابتدای نصب وردپرس اقدام به این کار بکنید به این شکل :

تغییر نام  پیشوند جدول وردپرس

و یا می توانید با استفاده از افزونه های موجود اقدام به تعویض آن کنید و یا با استفاده از افزونه های موجود مثل WP-DBManager اقدام به تغییر آن کنید تا از این جهت نیز اطمینان داشته باشید .