برای ایجاد یک سایت امن در سیستم مدیریت محتوای وردپرس، نیاز است که به نکات و روشهای کلیدی توجه کنیم. امنیت سایت یکی از مهمترین جنبههای طراحی و نگهداری وبسایتها است، چرا که هرگونه نفوذ یا حمله میتواند منجر به خسارتهای مالی و آسیب به اعتبار کسب و کار شود. در این مطلب از سری مطالب آموزشی وبلاگ پارس وی دی اس به چگونه از وب سایت وردپرس خود در برابر هکرها محافظت کنیم؟ میپردازیم.
از آنجایی که وردپرس یکی از محبوبترین پلتفرمها برای ساخت سایت است، هکرها و سوءاستفادهگران نیز توجه بیشتری به آن دارند. بنابراین، شناخت چالشها و تهدیدات امنیتی و اتخاذ تدابیری مؤثر برای مقابله با آنها از اهمیت فوقالعادهای برخوردار است.
اقدامات امنیتی متنوعی وجود دارد که وبسایتهای وردپرسی میتوانند برای حفاظت از خود در برابر حملات سایبری انجام دهند. این اقدامات شامل بروزرسانی منظم هسته، تمها و افزونهها، استفاده از رمزهای عبور قوی، نصب افزونههای امنیتی و پشتیبانی دورهای از اطلاعات سایت است.
همچنین، انتخاب هاستینگ مطمئن و پیادهسازی گواهی SSL نیز از نکات کلیدی در افزایش امنیت وبسایت به شمار میروند. با پیروی از این اصول، وبمسترها میتوانند تا حد زیادی از امنیت سایت خود اطمینان حاصل کنند و از آسیبهای احتمالی جلوگیری کنند.
چگونه از وب سایت وردپرس خود در برابر هکرها محافظت کنیم؟
اجرای برخی از اقدامات احتیاطی اولیه میتواند شما را از سردردهای احتمالی نجات دهد. چه مبتدی باشید و چه فقط به دنبال پوشش دادن اصول اولیه هستید، این نکات ساده به شما کمک میکند تا سایت وردپرس خود را از همان ابتدا ایمن و ایمن نگه دارید.
1. یک ارائه دهندههاست ایمن انتخاب کنید
یکی از مراحل اساسی در ایمن سازی سایت وردپرسی شما، انتخاب یک ارائه دهندههاست قابل اعتماد مانند پارس وی دی اس است. سرویس میزبانی شما نقش مهمی در امنیت سایت شما دارد، بنابراین انتخاب عاقلانه ضروری است.
یک ارائه دهندههاست خوب ویژگیهای امنیتی قوی را برای محافظت از سایت شما در برابر حملات ارائه میدهد. انتخاب میزبانی مدیریت شده وردپرس نیز میتواند آرامش خاطر بیشتری را ایجاد کند، زیرا این خدمات معمولاً شامل به روز رسانی خودکار و اقدامات امنیتی اختصاصی است.
هنگام انتخاب یک ارائه دهندههاست، به دنبال ویژگیهایی مانند پشتیبان گیری خودکار، گواهینامههای SSL رایگان، پشتیبانی 24/7 مشتری، فایروالهای داخلی و نظارت مستمر امنیت باشید. این ویژگیها تضمین میکنند که دادههای شما محافظت میشوند، اطلاعات حساس رمزگذاری میشوند و هر گونه مشکل احتمالی به سرعت برطرف میشود.
با انتخاب یک ارائه دهندههاست ایمن، اولین گام مهم را در محافظت از سایت وردپرس خود در برابر تهدیدات احتمالی برمی دارید.
2. یک افزونه امنیتی وردپرس را نصب کنید
برای تقویت سایت وردپرس خود، نصب یک افزونه امنیتی ضروری است. پلاگینهای امنیتی با مدیریت خودکار تهدیدات و هشدار دادن به آسیبپذیریها، محافظت جامعی را ارائه میکنند و ایمن نگهداشتن سایت شما را بدون نظارت دستی مداوم آسانتر میکنند.
یک افزونه امنیتی قابل اعتماد چندین لایه حفاظتی را برای وب سایت شما ارائه میدهد. میتواند بدافزار را اسکن کند، تلاشهای ورود مخرب را مسدود کند، و سایت شما را برای فعالیتهای مشکوک کنترل کند. این رویکرد پیشگیرانه به جلوگیری از نقض احتمالی کمک میکند و سایت شما را ایمن نگه میدارد.
بهترین افزونه امنیتی برای سایت وردپرس شما به نیازها و بودجه خاص شما بستگی دارد. در اینجا چند گزینه محبوب برای بررسی وجود دارد:
Wordfence Security: Wordfence که به دلیل فایروال قوی و قابلیتهای اسکن بدافزار شناخته شده است، تشخیص تهدید در زمان واقعی و محافظت جامع را ارائه میکند.
All-In-One Security (AIOS): این افزونه وردپرس طیف گستردهای از ویژگیهای امنیتی از جمله نظارت بر حساب کاربری، حفاظت از فایروال و امنیت پایگاه داده را ارائه میدهد. کاربر پسند و بسیار قابل تنظیم است.
Solid Security (که قبلاً iThemes Security نام داشت): با احراز هویت دو مرحلهای، حفاظت از نیروی brute force و پشتیبانگیری از پایگاه داده، iThemes Security یک انتخاب قوی برای افزایش امنیت سایت شما است.
هنگام انتخاب یک افزونه امنیتی، در نظر بگیرید که آیا سایت شما قبلاً در معرض خطر قرار گرفته است یا خیر. اگر شک دارید که سایت شما آلوده شده است، به دنبال افزونههایی باشید که علاوه بر اقدامات پیشگیرانه، خدمات حذف بدافزار را نیز ارائه میدهند. بسیاری از افزونههای امنیتی وردپرس نسخههای رایگان با ویژگیهای اولیه را ارائه میدهند، اما سرمایهگذاری در نسخه پرمیوم میتواند حفاظت جامعتری و آرامش خاطر را فراهم کند.
3. Web Application Firewall (WAF) را فعال کنید
Web Application Firewall (WAF) یک ابزار ضروری برای ایمن سازی سایت وردپرس شما است. با فیلتر کردن و نظارت بر ترافیک ورودی، یک WAF به عنوان یک مانع بین سایت شما و تهدیدات احتمالی عمل میکند و از آن در برابر حملات سایبری مختلف محافظت میکند.
WAF به دفاع از سایت شما در برابر حملاتی مانند تزریق SQL، اسکریپت بین سایتی (XSS) و حملات انکار سرویس توزیع شده (DDoS) کمک میکند. با مسدود کردن ترافیک مخرب قبل از رسیدن به سرور شما، یک WAF تضمین میکند که سایت شما امن و قابل دسترسی برای کاربران قانونی باقی میماند.
راه اندازی یک فایروال برنامه کاربردی وب (WAF) به طور کلی یک فرآیند ساده است. برای اکثر راه حلهای مبتنی بر ابر، مانند کلودفلیر، شما فقط باید برای یک حساب ثبت نام کنید، وب سایت خود را اضافه کنید و دستورالعملهای راه اندازی ارائه شده را دنبال کنید. اگر از افزونهای مانند Wordfence استفاده میکنید، میتوانید WAF را مستقیماً از داشبورد وردپرس خود نصب و پیکربندی کنید.
فعال کردن فایروال برنامه وب، یک لایه دفاعی حیاتی به سایت وردپرس شما اضافه میکند و به تضمین امنیت آن در برابر تهدیدات مختلف کمک میکند.
4. وردپرس، تمها و افزونهها را به روز نگه دارید
یکی از سادهترین و در عین حال موثرترین راهها برای افزایش امنیت وردپرس این است که همه چیز را به روز نگه دارید. این شامل هسته وردپرس، مضامین شما و همه افزونههای نصب شده است.
توسعه دهندگان به طور مرتب به روز رسانیهایی را برای رفع آسیب پذیری های امنیتی، بهبود عملکرد و معرفی ویژگیهای جدید منتشر میکنند. با اطمینان از اینکه همیشه از آخرین نسخهها استفاده میکنید، خطر به خطر افتادن سایت خود را به حداقل میرسانید.
به روز رسانی وردپرس یک فرآیند ساده است. هر زمان که نسخه جدیدی منتشر شود، یک اعلان در داشبورد خود دریافت خواهید کرد. برای به روز رسانی به سادگی دستورالعملها را دنبال کنید. به طور مشابه، اعلانهای بهروزرسانی برای تمها و افزونهها ظاهر میشوند و میتوانید مستقیماً آنها را از قسمت مدیریت وردپرس خود بهروزرسانی کنید.
حذف هر گونه تم یا افزونه استفاده نشده برای حفظ امنیت سایت وردپرس ضروری است. نرم افزار غیرفعال در صورت به روز نشدن همچنان میتواند خطرات امنیتی ایجاد کند. با کارآمد و به روز نگه داشتن سایت خود، میتوانید آسیب پذیری های احتمالی را به حداقل برسانید و اطمینان حاصل کنید که به طور مؤثر اجرا میشود.
حداقل یک بار در هفته زمانی را به بررسی بهروزرسانیها اختصاص دهید یا در صورت وجود، بهروزرسانیهای خودکار را فعال کنید. این عمل به محافظت از سایت شما در برابر آخرین تهدیدات کمک میکند.
5. تمها و پلاگین ها را برای آسیب پذیری بررسی کنید
قبل از افزودن مضامین و افزونههای جدید به سایت وردپرس خود، اطمینان از ایمن بودن آنها ضروری است. آسیبپذیریها در قالبها و پلاگینها میتوانند به عنوان نقاط ورودی برای هکرها عمل کنند. بنابراین، انجام اقدامات احتیاطی میتواند به طور قابل توجهی امنیت سایت شما را افزایش دهد.
ابتدا، همیشه تمها و افزونهها را از منابع معتبر، مانند مخزن رسمی وردپرس یا توسعه دهندگان مورد اعتماد مانند ممخزن وردپرس دانلود کنید. از استفاده از نسخههای نال شده یا غیرقانونی خودداری کنید، زیرا اغلب حاوی کدهای مخرب هستند.
قبل از نصب یکتم یا افزونه جدید، رتبهبندی و بازخورد آن را بررسی کنید. به دنبال بینش سایر کاربران وردپرس در مورد امنیت و عملکرد آن باشید. علاوه بر این، تأیید کنید که توسعه دهنده به طور فعال نرم افزار را نگهداری و به روز میکند. به روز رسانیهای مکرر نشان دهنده تعهد به رفع اشکالات و رسیدگی به مسائل امنیتی است.
با دنبال کردن این مراحل، میتوانید خطر نقض امنیتی ناشی از تمها و افزونههای در معرض خطر را تا حد زیادی کاهش دهید.
6. SSL و HTTPS را فعال کنید.
ایمن سازی سایت وردپرس خود با SSL (لایه سوکت های امن) و HTTPS (پروتکل انتقال ابرمتن ایمن) برای محافظت از دادههای حساس و ایجاد اعتماد بین بازدیدکنندگان بسیار مهم است. SSL دادههای ارسال شده بین وب سایت شما و کاربران آن را رمزگذاری میکند و از دسترسی غیرمجاز به اطلاعاتی مانند اعتبار ورود، اطلاعات شخصی و اطلاعات پرداخت جلوگیری میکند.
برای فعال کردن SSL در سایت وردپرس خود، به گواهی SSL نیاز دارید. بسیاری از ارائه دهندگان میزبانی، گواهینامههای SSL رایگان را از طریق خدماتی مانند Let’s Encrypt ارائه میدهند. با ارائه دهندههاست خود تماس بگیرید تا ببینید آیا گواهینامههای SSL را به عنوان بخشی از برنامههای خود درج میکند یا خیر و اگر قبلاً فعال نشده است، درخواست فعال سازی کنید.
هنگامی که گواهی SSL خود را دریافت کردید، باید سایت وردپرس خود را برای استفاده از HTTPS پیکربندی کنید. میتوانید این کار را با به روز رسانی تنظیمات URL سایت خود در داشبورد وردپرس انجام دهید. به تنظیمات > عمومی بروید و آدرس وردپرس (URL) و آدرس سایت (URL) را تغییر دهید تا به جای http:// https:// درج شود.
در مرحله بعد، مطمئن شوید که تمام محتوای سایت شما به طور ایمن از طریق HTTPS ارائه میشود. میتوانید از افزونههای وردپرس مانند Really Simple SSL استفاده کنید که به طور خودکار تنظیمات شما را شناسایی کرده و وب سایت شما را برای اجرای HTTPS پیکربندی میکند.
فعال کردن SSL و HTTPS از سایت شما و کاربران آن محافظت میکند و رتبه سئو شما را افزایش میدهد، زیرا موتورهای جستجو مانند گوگل سایتهای امن را در اولویت قرار میدهند.
7. صفحه ورود به وردپرس خود را ایمن کنید
ایمن سازی صفحه ورود به سیستم وردپرس شما بسیار مهم است زیرا هدف مشترکی برای هکرهایی است که سعی میکنند به سایت شما دسترسی پیدا کنند. با اجرای چند استراتژی کلیدی، میتوانید امنیت ورود به سیستم را به میزان قابل توجهی افزایش دهید و از سایت خود در برابر دسترسی غیرمجاز محافظت کنید.
بهترین روشها برای ایمن سازی سایت وردپرس شما
- از رمزهای عبور قوی استفاده کنید:
همه کاربران را تشویق کنید تا رمزهای عبور قوی ایجاد کنند که حاوی ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص باشد. حدس زدن یا شکستن رمزهای عبور قوی برای مهاجمان بسیار دشوارتر است.
- احراز هویت دو مرحلهای (2FA) را فعال کنید:
برای افزودن یک لایه امنیتی اضافی، احراز هویت دو مرحلهای را پیاده سازی کنید. برای این کار کاربران باید علاوه بر رمز عبور، کد یکبار مصرفی را وارد کنند که در دستگاه تلفن همراه خود ایجاد شده یا از طریق ایمیل دریافت شده است. حتی اگر یک رمز عبور به خطر بیفتد، مهاجم نمیتواند بدون فاکتور دوم به حساب کاربری دسترسی پیدا کند.
- محدود کردن تلاش برای ورود:
برای جلوگیری از حملات brute force، که شامل تلاش هکرها از چندین ترکیب نام کاربری و رمز عبور است، تعداد تلاشهای ورود را محدود کنید. از یک افزونه برای محدود کردن تلاشهای ناموفق برای ورود به سیستم و قفل کردن موقت کاربرانی که بیش از حد مجاز هستند استفاده کنید.
- URL ورود پیش فرض را تغییر دهید:
URL پیش فرض ورود به وردپرس را از “/wp-admin” یا “/wp-login.php” به یک URL منحصر به فرد تغییر دهید. این میتواند به پنهان کردن صفحه ورود شما از مهاجمان احتمالی کمک کند.
- CAPTCHA یا سؤالات امنیتی را اضافه کنید:
گنجاندن CAPTCHA یا سؤالات امنیتی در صفحه ورود شما میتواند رباتهای خودکار را از تلاش برای ورود به سیستم باز دارد.
- خروج خودکار را برای کاربران غیرفعال فعال کنید:
از افزونههای خروج خودکار استفاده کنید که به طور خودکار کاربران را پس از یک دوره مشخص عدم فعالیت خارج میکند. این امر خطر دسترسی غیرمجاز از دستگاههای بدون مراقبت را کاهش میدهد.
- حسابهای کاربری را به طور منظم بررسی کنید:
به طور مرتب حسابهای کاربری را بررسی کنید تا مطمئن شوید که فقط افراد مجاز به سایت شما دسترسی دارند. برای به حداقل رساندن خطرات امنیتی احتمالی، حسابهای غیرفعال یا مشکوک را حذف کنید.
با ایمن کردن صفحه ورود به وردپرس خود با این اقدامات، میتوانید سایت خود را از دسترسی غیرمجاز محافظت کنید و اطمینان حاصل کنید که فقط کاربران قانونی میتوانند وارد شوند.
8. پشتیبان گیریهای دورهای ایجاد کنید
ایجاد پشتیبانگیری منظم از سایت وردپرسی خود یکی از بهترین راهها برای محافظت از دادههای شما و اطمینان از بازیابی سریع از هرگونه مشکل است. پشتیبان گیریهای مکرر به شما این امکان را میدهد که در صورت هک شدن، خرابی سرور یا از دست دادن تصادفی دادهها، سایت خود را به حالت قبلی بازگردانید.
چندین روش برای ایجاد پشتیبان وجود دارد. یکی از راحتترین گزینهها استفاده از یک راه حل پشتیبان همراه با بسته میزبانی شما است. بسیاری از ارائه دهندگان هاستینگ خدمات پشتیبان گیری خودکار را ارائه میدهند که میتوانند روزانه، هفتگی یا در فواصل زمانی متناسب با نیاز شما برنامه ریزی شوند. این نسخههای پشتیبان معمولاً خارج از سایت ذخیره میشوند و یک لایه حفاظتی اضافی اضافه میکنند.
از طرف دیگر، میتوانید از یک افزونه اختصاصی پشتیبان وردپرس استفاده کنید. گزینههای محبوب مانند UpdraftPlus، Duplicator، و WP STAGING راه حلهای جامع پشتیبان گیری را ارائه میدهند. این افزونهها به شما امکان میدهند پشتیبانگیری خودکار را برنامهریزی کنید و آنها را در مکانهای مختلف ذخیره کنید، از جمله سرویسهای ذخیرهسازی ابری مانند Google Drive، Dropbox یا Amazon S3. آنها همچنین امکان بازیابی آسان سایت شما را تنها با چند کلیک میکنند.
بسیار مهم است که اطمینان حاصل شود که نسخههای پشتیبان شما هم فایلهای سایت و هم پایگاه داده را شامل میشود. فایلهای سایت شما همه رسانهها و کدها را در بر میگیرد، در حالی که پایگاه داده محتوا، تنظیمات و اطلاعات کاربر شما را ذخیره میکند. یک نسخه پشتیبان کامل تضمین میکند که در صورت بروز هرگونه مشکلی میتوانید سایت خود را به طور کامل بازیابی کنید.
با ایجاد پشتیبانگیری مکرر و اجرای یک استراتژی پشتیبانگیری قابل اعتماد، میتوانید از سایت وردپرس خود در برابر از دست دادن داده محافظت کنید و زمان خرابی را به حداقل برسانید و امکان بازیابی سریع از رویدادهای پیشبینی نشده را فراهم کنید.
9. نظارت بر فعالیت سایت
نظارت بر فعالیت در سایت وردپرس شما میتواند به شما کمک کند دسترسی یا تغییرات غیرمجاز را شناسایی کنید. افزونههای گزارش فعالیت، مانند WP Activity Log، یک رکورد دقیق از تمام اقدامات کاربر در سایت شما، از جمله ورود به سیستم، بهروزرسانیها و تغییرات محتوا را حفظ میکنند.
با بررسی منظم این لاگها، میتوانید هر گونه رفتار مشکوک را شناسایی کرده و اقدامات لازم را برای ایمن سازی سایت خود انجام دهید. نظارت بر فعالیت سایت شما یک رویکرد پیشگیرانه برای حفظ امنیت آن و اطمینان از اینکه فقط کاربران مجاز میتوانند تغییرات ایجاد کنند، است.
تقویت امنیت وردپرس برای کاربران حرفهای
هنگامی که اقدامات امنیتی اساسی را انجام دادید، زمان آن رسیده است که حفاظت از سایت وردپرس خود را به سطح بعدی ارتقا دهید. تکنیکهای امنیتی پیشرفته یک لایه دفاعی اضافی در برابر حملات و آسیبپذیریهای پیچیده ارائه میکنند.
این نکات امنیتی وردپرس برای مدیران و صاحبان وب سایت با درک کامل از وردپرس و امنیت وب سایت طراحی شده است. آنها در تقویت سایت شما بسیار مؤثر هستند.
1. ویرایش فایل را غیرفعال کنید
غیرفعال کردن ویرایش فایل در وردپرس برای محافظت از وب سایت شما در برابر تغییرات غیرمجاز یا تزریق کد مخرب ضروری است. به طور پیش فرض، وردپرس به مدیران اجازه میدهد تا فایلهایتم و افزونه را مستقیماً از داشبورد ویرایش کنند. در حالی که این ویژگی میتواند بهروزرسانیهای سریع را تسهیل کند، اما اگر کاربر غیرمجاز به پنل مدیریت شما دسترسی پیدا کند، خطر امنیتی قابلتوجهی را به همراه دارد.
برای غیرفعال کردن ویرایش فایل، باید یک خط کد ساده به فایل wp-config.php خود اضافه کنید. این مرحله مانع از دسترسی هر کسی به ویرایشگرهای قالب و افزونه در داشبورد وردپرس میشود.
در اینجا نحوه انجام آن را توضیح دادهایم:
- با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهندههاست خود به وب سایت خود متصل شوید.
- فایل wp-config.php را در دایرکتوری اصلی نصب وردپرس خود پیدا کنید و آن را در یک ویرایشگر متن باز کنید.
- خط کد زیر را درست قبل از خطی که نوشته شده: «That’s all, stop editing! Happy blogging.“:
define(‘DISALLOW_FILE_EDIT’, true);
4. در صورت استفاده از سرویس گیرنده FTP، تغییرات را ذخیره کنید و فایل wp-config.php را دوباره به سرور خود آپلود کنید.
با افزودن این خط کد، به طور مؤثر ویژگی ویرایش فایل را در داشبورد وردپرس غیرفعال میکنید و درج کدهای مخرب در سایت شما را برای مهاجمان سختتر میکنید.
2. غیرفعال کردن اجرای فایل PHP در فهرستهای خاص وردپرس
غیرفعال کردن اجرای فایل PHP در فهرستهای خاص وردپرس یک اقدام امنیتی قدرتمند است که به محافظت از سایت شما در برابر اسکریپتهای مخرب کمک میکند. دایرکتوریهای خاصی مانند پوشه /wp-content/uploads/ برای ذخیره محتوای تولید شده توسط کاربر هستند و اجازه اجرای PHP در این پوشهها میتواند خطرات امنیتی قابل توجهی ایجاد کند.
برای غیرفعال کردن اجرای PHP در این دایرکتوریها، باید یک فایل htaccess. با قوانین خاصی ایجاد کنید. در اینجا نحوه انجام آن آمده است:
- یک ویرایشگر متن باز کنید و یک فایل جدید به نام .htaccess ایجاد کنید.
- برای غیرفعال کردن اجرای PHP کد زیر را به فایل htaccess اضافه کنید:
<Files *.php>
deny from all
</Files>
3. فایل htaccess. را ذخیره کرده و در دایرکتوریهایی که میخواهید اجرای PHP را غیرفعال کنید، مانند /wp-content/uploads/، /wp-includes/ یا /wp-content/themes/ آپلود کنید.
3. پیشوند پایگاه داده وردپرس را تغییر دهید
تغییر پیشوند پیش فرض پایگاه داده وردپرس یک راه مؤثر برای افزایش امنیت سایت شما و محافظت از آن در برابر حملات تزریق SQL است. به طور پیش فرض، وردپرس از پیشوند wp_ برای تمام جداول پایگاه داده استفاده میکند و آن را به یک هدف مشترک برای هکرها تبدیل میکند. تغییر آن به یک پیشوند منحصر به فرد میتواند یک لایه حفاظتی اضافی اضافه کند.
در اینجا نحوه تغییر پیشوند پایگاه داده وردپرس آمده است:
- از پایگاه داده خود نسخه پشتیبان تهیه کنید
- قبل از هر گونه تغییر، مطمئن شوید که یک نسخه پشتیبان کامل از پایگاه داده خود ایجاد کردهاید. میتوانید از افزونههایی مانند UpdraftPlus یا ابزارهای پشتیبان تهیه کنندههاست خود استفاده کنید.
- فایل wp-config.php را ویرایش کنید
- فایل wp-config.php را در دایرکتوری اصلی نصب وردپرس خود پیدا کنید. آن را در یک ویرایشگر متن باز کنید و خط زیر را پیدا کنید:
$table_prefix = ‘wp_’;
5. wp_ را به یک پیشوند منحصر به فرد تغییر دهید. به عنوان مثال:
$table_prefix = ‘uniqueprefix_’;
6. به روز رسانی نامهای جدول پایگاه داده موجود
پس از تغییر پیشوند در wp-config.php، باید نام جدول پایگاه داده موجود را به روز کنید. میتوانید این کار را به صورت دستی از طریق phpMyAdmin انجام دهید:
وارد phpMyAdmin خود شوید و پایگاه داده وردپرس خود را انتخاب کنید.
با تغییر پیشوند از wp_ به پیشوند جدید، نام هر جدول را تغییر دهید. به عنوان مثال، نام wp_posts را به unikeprefix_posts تغییر دهید. این کار را برای تمام جداول وردپرس تکرار کنید.
با دنبال کردن این مراحل، امنیت سایت خود را افزایش داده و آن را در برابر حملات احتمالی مقاومتر میکنید.
با استفاده از یک افزونه میتوانید به این مهم دست یابید.
اطمینان حاصل کنید که تمام نمونههای پیشوند قدیمی در wp-config.php و هر اسکریپت سفارشی یا افزونهای که به جداول پایگاه داده اشاره میکند به پیشوند جدید بهروزرسانی شدهاند. پس از انجام این تغییرات، سایت خود را به طور کامل تست کنید تا مطمئن شوید که همه چیز به درستی کار میکند. بررسی کنید که همه افزونهها، تمها و ویژگیها طبق انتظار عمل میکنند.
تغییر پیشوند پایگاه داده وردپرس پیش بینی نام جدول پایگاه داده شما را برای مهاجمان دشوارتر میکند و در نتیجه خطر حملات تزریق SQL را کاهش میدهد.
4. فهرست بندی و مرور دایرکتوری را غیرفعال کنید
غیرفعال کردن فهرست و مرور دایرکتوری یک اقدام امنیتی مهم برای سایت وردپرس شما است. از دسترسی کاربران غیرمجاز به محتویات دایرکتوریهای وب سایت شما جلوگیری میکند. هنگامی که فهرستسازی دایرکتوری فعال است، بازدیدکنندگان میتوانند فهرستی از فایلها را در فهرستهای راهنمای شما ببینند که اطلاعات حساس را در معرض دید قرار میدهد و هکرها را برای یافتن آسیبپذیریها آسانتر میکند.
برای غیرفعال کردن فهرست بندی و مرور دایرکتوری، باید فایل htaccess. خود را تغییر دهید. در اینجا نحوه انجام آن آمده است:
- اگر قبلاً یک فایل htaccess. در دایرکتوری اصلی نصب وردپرس شما وجود ندارد، با استفاده از یک ویرایشگر متن یکی ایجاد کنید. اگر فایل وجود دارد، آن را برای ویرایش باز کنید.
- خط کد زیر را به فایل htaccess. خود اضافه کنید تا directory indexing غیرفعال شود:
Options -Indexes
- فایل htaccess. را ذخیره کنید و با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهندههاست خود، آن را در دایرکتوری اصلی نصب وردپرس خود آپلود کنید.
5. XML-RPC را در وردپرس غیرفعال کنید
XML-RPC (Extensible Markup Language Remote Procedure Call) پروتکلی است که اجازه دسترسی از راه دور به سایت وردپرس شما را میدهد. در حالی که میتواند برای برنامههای خاص مانند برنامههای تلفن همراه و سرویسهای خارجی مفید باشد، اما خطرات امنیتی قابل توجهی را نیز به همراه دارد. XML-RPC را میتوان برای حملات brute force، حملات DDoS و سایر آسیب پذیری ها مورد سوء استفاده قرار داد.
برای بهبود امنیت سایت وردپرس خود، توصیه میشود در صورت عدم نیاز XML-RPC را غیرفعال کنید.
1. استفاده از پلاگین:
سادهترین راه برای غیرفعال کردن XML-RPC استفاده از یک افزونه است. چندین گزینه در دسترس است، مانند “غیرفعال کردن XML-RPC”. به سادگی افزونه را نصب و فعال کنید و به طور خودکار XML-RPC را در سایت شما غیرفعال میکند.
2. روش دستی:
اگر ترجیح میدهید از افزونه استفاده نکنید، میتوانید XML-RPC را به صورت دستی با افزودن کد به فایل htaccess. یا فایل functions.php تم خود غیرفعال کنید.
3. استفاده از htaccess:
- فایل htaccess خود را در یک ویرایشگر متن باز کنید.
- کد زیر را برای غیرفعال کردن XML-RPC اضافه کنید:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
3. فایل htaccess. را ذخیره و در سرور خود آپلود کنید.
استفاده از functions.php:
فایل functions.php تم خود را در یک ویرایشگر متن باز کنید.
کد زیر را برای غیرفعال کردن XML-RPC اضافه کنید:
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
فایل functions.php را ذخیره و در سرور خود آپلود کنید.
این یک راه ساده و در عین حال مؤثر برای افزایش امنیت سایت شما است، به خصوص اگر از XML-RPC برای اهداف قانونی استفاده نکنید.
6. ایمن سازی تنظیمات htaccess
فایل .htaccess یک فایل پیکربندی قدرتمند است که توسط وب سرور آپاچی استفاده میشود که بسیاری از سایتهای وردپرس روی آن اجرا میشوند. تنظیمات مختلف سرور را کنترل میکند و میتواند برای افزایش قابل توجه امنیت سایت شما استفاده شود. ایمن سازی صحیح فایل htaccess میتواند سایت وردپرس شما را در برابر تهدیدات متعدد محافظت کند.
در اینجا چندین پیکربندی حیاتی برای ایمن سازی فایل htaccess شما وجود دارد:
جلوگیری از دسترسی به htaccess:
خود فایل htaccess باید از دسترسی غیرمجاز محافظت شود. کد زیر را به فایل htaccess. خود اضافه کنید تا از مشاهده یا ویرایش هر کسی جلوگیری شود:
<Files .htaccess>order allow,denydeny from all</Files>
دسترسی به wp-config.php را محدود کنید
فایل wp-config.php حاوی اطلاعات حساس در مورد نصب وردپرس شما، از جمله اعتبار پایگاه داده است. با افزودن کد زیر به فایل htaccess خود از آن محافظت کنید:
<Files wp-config.php>order allow,denydeny from all</Files>
غیرفعال کردن Directory Browsing
برای جلوگیری از مشاهده محتویات دایرکتوریهایی که فایل فهرستی ندارند توسط کاربران، با افزودن این خط به فایل htaccess خود، مرور دایرکتوری را غیرفعال کنید:
Options -Indexes
دایرکتوری wp-includes را محافظت کنید
دایرکتوری /wp-includes/ حاوی فایلهای اصلی وردپرس است که کاربران نباید مستقیماً به آنها دسترسی داشته باشند. کد زیر را به فایل htaccess. خود اضافه کنید تا از این دایرکتوری محافظت کنید:
<IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ – [F,L]RewriteRule !^wp–includes/ – [S=3]RewriteRule ^wp–includes/[^/]+\.php$ – [F,L]RewriteRule ^wp–includes/js/tinymce/langs/.+\.php – [F,L]RewriteRule ^wp–includes/theme-compat/ – [F,L]</IfModule>
Hotlinking تصاویر را غیرفعال کنید
برای جلوگیری از استفاده سایر وب سایتها از تصاویر شما و مصرف پهنای باند شما، با افزودن این کد به فایل htaccess خود، Hotlinking را غیرفعال کنید:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [F]
نام دامنه واقعی خود را جایگزین yourdomain.com کنید.
مسدود کردن اسکن نویسنده
هکرها اغلب نامهای کاربری نویسنده را اسکن میکنند و سپس میتوانند از آن در حملات brute-force استفاده کنند. برای مسدود کردن این اسکنها، کد زیر را به فایل htaccess. خود اضافه کنید:
RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_URI} ^.*(wp-comments-post|wp-login|xmlrpc)\.php$RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget).*$ [NC,OR]RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]RewriteRule ^(.*)$ - [F,L]
نام دامنه واقعی خود را جایگزین yourdomain.com کنید.
این اقدامات به محافظت از سایت شما در برابر دسترسی غیرمجاز، سرقت پهنای باند و سایر تهدیدات رایج کمک میکند.
همیشه قبل از ایجاد تغییرات از فایل htaccess. خود نسخه پشتیبان تهیه کنید تا مطمئن شوید اگر مشکلی پیش آمد میتوانید آن را بازیابی کنید.
7. wp-config.php را به خارج از پوشه ریشه منتقل کنید
فایل wp-config.php یکی از حیاتیترین اجزای نصب وردپرس شما است. این شامل اعتبار پایگاه داده شما، کلیدهای احراز هویت و سایر اطلاعات حساس است. انتقال این فایل به خارج از پوشه ریشه میتواند یک لایه امنیتی اضافی ایجاد کند و دسترسی مهاجمان را سختتر کند.
در اینجا نحوه انتقال فایل wp-config.php به خارج از پوشه root آمده است:
یک دایرکتوری جدید در بالای دایرکتوری ریشه وردپرس خود ایجاد کنید که در آن فایل wp-config.php را منتقل میکنید. به عنوان مثال، اگر سایت وردپرس شما در /public_html/ نصب شده باشد، ممکن است یک دایرکتوری جدید به نام /config/ ایجاد کنید.
با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهندههاست خود، فایل wp-config.php را از دایرکتوری ریشه به دایرکتوری جدیدی که ایجاد کردهاید منتقل کنید. به عنوان مثال، آن را از /public_html/wp-config.php به /config/wp-config.php منتقل کنید.
پس از انتقال فایل wp-config.php، باید به وردپرس اطلاع دهید که کجا آن را پیدا کند. محل اصلی فایل wp-config.php (اکنون خالی) را در پوشه ریشه باز کنید و یک فایل wp-config.php جدید با کد زیر ایجاد کنید:
میتوانید کد خاصی را برای فایل جدید wp-config.php در زیر این بخش اضافه کنید.
<?php
// Move wp-config.php file one directory level up
require_once(dirname(__FILE__) . ‘/../config/wp-config.php’);
اگر دایرکتوری جدید شما در جای دیگری قرار دارد، مسیر کد بالا را تنظیم کنید. پس از ایجاد تغییرات، از وب سایت خود بازدید کنید تا مطمئن شوید که همه چیز به درستی کار میکند. اگر با مشکلی مواجه شدید، مسیر فایل را دوباره بررسی کنید و مطمئن شوید که فایل wp-config.php توسط سرور قابل خواندن است. انتقال فایل wp-config.php به خارج از دایرکتوری ریشه، دسترسی مهاجمان به این فایل مهم را دشوارتر میکند.
علاوه بر این، همیشه یک تمرین خوب است که از فایل wp-config.php و کل سایت خود قبل از انجام هر گونه تغییر، نسخه پشتیبان تهیه کنید، فقط در صورتی که مشکلی پیش بیاید.
8. نسخه وردپرس را مخفی کنید
پنهان کردن شماره نسخه وردپرس از کد منبع سایت شما یک اقدام امنیتی ساده و در عین حال مؤثر است. دانستن نسخه خاصی از وردپرس که استفاده میکنید میتواند به هکرها در شناسایی آسیب پذیری های مرتبط با آن نسخه کمک کند. با پنهان کردن شماره نسخه، هدف قرار دادن سایت شما را برای مهاجمان چالش برانگیزتر میکنید.
در اینجا نحوه مخفی کردن نسخه وردپرس آورده شده است:
شماره نسخه را از هدر حذف کنید
به طور پیش فرض، وردپرس شامل شماره نسخه در هدر HTML سایت شما میشود. میتوانید با افزودن یک قطعه کد کوچک به فایل functions.php تم خود آن را حذف کنید.
برای این کار فایل functions.php قالب خود را باز کرده و کد زیر را اضافه کنید:
// Remove the WordPress version number from the headerremove_action(‘wp_head’, ‘wp_generator’);
شماره نسخه را از فیدهای RSS حذف کنید
وردپرس همچنین شماره نسخه را به فیدهای RSS اضافه میکند. برای حذف آن، کد زیر را به فایل functions.php تم خود اضافه کنید:
// Remove WordPress version number from RSS feeds add_filter(‘the_generator’, ‘__return_empty_string’);
پنهان کردن شماره نسخه در اسکریپتها و استایل ها
وردپرس به طور پیش فرض شماره نسخه را در URL های اسکریپتها و سبکها درج میکند. برای حذف این موارد، کد زیر را به فایل functions.php تم خود اضافه کنید:
// Remove WordPress version number from scripts and stylesfunction remove_wp_version_strings($src) {global $wp_version;parse_str(parse_url($src, PHP_URL_QUERY), $query);if (!empty($query[‘ver’]) && $query[‘ver’] === $wp_version) { $src = remove_query_arg(‘ver’, $src);}return $src;}add_filter(‘script_loader_src’, ‘remove_wp_version_strings’);add_filter(‘style_loader_src’, ‘remove_wp_version_strings’);
شماره نسخه را از متا تگ حذف کنید
برخی از تمها و افزونهها ممکن است شماره نسخه وردپرس را به متا تگها اضافه کنند. برای حذف این موارد، کد زیر را به فایل functions.php تم خود اضافه کنید:
// Remove WordPress version number from meta tagsfunction remove_meta_version() {return '';}add_filter('the_generator', 'remove_meta_version');
این امر سوء استفاده از آسیب پذیری های شناخته شده مرتبط با نسخههای خاص وردپرس را برای مهاجمان دشوارتر میکند و امنیت کلی سایت شما را افزایش میدهد.
به یاد داشته باشید که قبل از انجام این تغییرات از فایل functions.php خود نسخه پشتیبان تهیه کنید تا مطمئن شوید که در صورت نیاز میتوانید به عقب برگردید.
این امر سوء استفاده از آسیب پذیری های شناخته شده مرتبط با نسخههای خاص وردپرس را برای مهاجمان دشوارتر میکند و در نتیجه امنیت کلی سایت شما را افزایش میدهد.
قبل از هر گونه تغییر، به یاد داشته باشید که از فایل functions.php خود نسخه پشتیبان تهیه کنید تا مطمئن شوید که در صورت نیاز میتوانید به نسخه اصلی برگردید.
9. Hotlinking را مسدود کنید
Hotlinking زمانی اتفاق میافتد که وبسایتهای دیگر بهجای میزبانی فایلها روی سرورهای خود، مستقیماً به فایلهای روی سرور شما مانند تصاویر یا ویدیوها پیوند میدهند. این عمل میتواند پهنای باند شما را مصرف کند و سایت شما را کند کند. برای جلوگیری از Hotlinking، میتوانید فایل htaccess. خود را پیکربندی کنید.
در اینجا نحوه مسدود کردن Hotlinking را بیان کردهایم:
اگر قبلاً یک فایل .htaccess در دایرکتوری اصلی نصب وردپرس خود ندارید، با استفاده از یک ویرایشگر متن، آن را ایجاد کنید. اگر فایل وجود دارد، آن را برای ویرایش باز کنید.
کد زیر را به فایل .htaccess خود اضافه کنید تا لینک هات را مسدود کنید:
# Block hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?your-other-domain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|bmp)$ – [F,NC,L]
نام دامنه واقعی خود را جایگزین yourdomain.com کنید. اگر دامنههای دیگری دارید که میخواهید از آنها اجازه اتصال به اینترنت را بدهید، مانند یک شبکه تحویل محتوا (CDN) یا یک سایت شریک، آن دامنهها را جایگزین your-other-domain.com کنید.
پس از انجام این تغییرات، فایل htaccess. را ذخیره کرده و با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهندههاست خود، آن را در دایرکتوری اصلی نصب وردپرس خود آپلود کنید.
با افزودن این کد، به سرور دستور میدهید درخواستهای فایلهای تصویری (مانند .jpg، .jpeg، .png، .gif، .bmp) را از هر سایتی که در دامنههای مجاز فهرست نشده است، مسدود کند. بازدیدکنندگان از سایتهای غیرمجاز، به جای محتوای شما، لینکهای تصویر شکسته را مشاهده میکنند و بهطور مؤثری از استفاده از پهنای باند شما جلوگیری میکنند.
مسدود کردن هاتلینک به محافظت از منابع سرور شما کمک میکند و تضمین میکند که پهنای باند شما فقط توسط مخاطبان مورد نظر شما استفاده میشود. این اقدام ساده میتواند عملکرد سایت شما را افزایش دهد و بار غیرضروری روی سرور شما را کاهش دهد.
پس از اجرای این تغییرات، به یاد داشته باشید که سایت خود را تست کنید تا مطمئن شوید که تصاویر همچنان به درستی در دامنه خود بارگذاری میشوند.
اگر امنیت سایت وردپرس شما به خطر افتاده است چه باید کرد؟
علیرغم انجام تمام اقدامات احتیاطی لازم، هنوز ممکن است این احتمال وجود داشته باشد که سایت وردپرس شما در معرض خطر قرار گرفته باشد. اگر مشکوک به هک هستید، ضروری است که سریع و روشمند عمل کنید تا آسیب را به حداقل برسانید و سایت خود را بازیابی کنید.
در اینجا یک راهنمای گام به گام در مورد اینکه اگر امنیت سایت وردپرس شما به خطر افتاده است، چه کاری باید انجام دهید، آمده است:
آرام بمانید و وضعیت را ارزیابی کنید: هراس میتواند منجر به تصمیم گیریهای عجولانه شود که ممکن است باعث آسیب بیشتر شود. نفس عمیق بکشید و برای رسیدگی سیستماتیک به موضوع آماده شوید.
سایت خود را در حالت نگهداری قرار دهید: از دسترسی بازدیدکنندگان به سایت در معرض خطر خود جلوگیری کنید. این به جلوگیری از هرگونه آسیب کمک میکند و کاربران را از تعامل با محتوای بالقوه مضر باز میدارد.
- تغییر فوری همه پسوردها: همه رمزهای عبور مرتبط با سایت وردپرس خود را تغییر دهید، از جمله رمزهای عبور مدیریت، FTP، پایگاه داده و هر حساب دیگری که دسترسی دارد. مطمئن شوید که رمزهای عبور جدید قوی و منحصر به فرد هستند.
- اسکن بدافزار و کد مخرب: از یک افزونه امنیتی برای اسکن بدافزار و شناسایی فایلهای آلوده یا فعالیت مشکوک استفاده کنید. به هر مشکلی که در حین اسکن کشف شد توجه کنید.
- بررسی کاربران غیرمجاز: حسابهای کاربری سایت خود را از نظر هر گونه حساب غیرمجاز یا مشکوک بررسی کنید. هر حسابی را که ایجاد نکردهاید یا به نظر میرسد در خطر است را حذف کنید.
- به روز رسانی همه چیز: اطمینان حاصل کنید که هسته وردپرس، تمها و افزونههای شما به آخرین نسخههای خود به روز شدهاند. به روز رسانیها اغلب شامل وصلههای امنیتی هستند که در برابر آسیب پذیری های شناخته شده محافظت میکنند.
- به طرفهای حسابتان اطلاع دهید: اگر سایت شما دادههای حساس را مدیریت میکند یا با دیگران کار میکنید، شرکا، مشتریان و کاربران را در مورد نقض امنیتی مطلع کنید. شفافیت در حفظ اعتماد و توانمندسازی دیگران برای انجام اقدامات احتیاطی ضروری است.
- حذف کدهای مخرب و backdoors: از اطلاعات اسکن بدافزار خود برای حذف هرگونه کد مخرب استفاده کنید. این ممکن است شامل حذف دستی فایلهای آلوده یا استفاده از ویژگیهای پاکسازی افزونه امنیتی شما باشد.
- بررسی کنید که آیا سایت شما در لیست سیاه قرار گرفته است: تعیین کنید که آیا سایت شما توسط موتورهای جستجو به دلیل هک پرچم گذاری شده است یا خیر. ابزارهایی مانند Google Search Console میتوانند به شما در شناسایی هر گونه هشدار امنیتی کمک کنند. در صورت علامت گذاری، مراحل ارائه شده را دنبال کنید تا پس از تمیز کردن سایت خود، درخواست بررسی کنید.
- بازیابی از یک پشتیبان سالم: اگر یک نسخه پشتیبان اخیر از قبل از به خطر انداختن دارید، آن را بازیابی کنید. اطمینان حاصل کنید که نسخه پشتیبان عاری از عفونت است، زیرا این کار میتواند به سرعت سایت شما را به حالت امن بازگرداند.
- امنیت سایت خود را تقویت کنید: پس از بازیابی، سیستم دفاعی سایت خود را برای جلوگیری از حملات بعدی تقویت کنید. اقدامات امنیتی ذکر شده در این راهنما را اجرا کنید و مراحل اضافی مانند فعال کردن احراز هویت دو مرحلهای و انجام ممیزیهای امنیتی منظم را در نظر بگیرید.
- سایت خود را از نزدیک زیر نظر داشته باشید: سایت خود را برای هر گونه نشانهای از مشکلات تکرار شونده زیر نظر داشته باشید. به طور منظم گزارشهای امنیتی را نظارت کنید و اسکنهای معمولی را برای اطمینان از امنیت مداوم انجام دهید.
بازیابی از یک رخنه امنیتی میتواند چالش برانگیز باشد، اما پیروی از این مراحل میتواند به طور مؤثر به رفع مشکل کمک کند و از سایت شما در برابر تهدیدات آینده محافظت کند. به یاد داشته باشید، حفظ شیوههای امنیتی خوب یک فرآیند مداوم است که نیاز به هوشیاری و به روز رسانی منظم دارد.
جمع بندی
در پایان، اطمینان از امنیت وب سایت وردپرس شما در چشم انداز دیجیتال امروزی بسیار مهم است. با افزایش تعداد تهدیدات سایبری، برای صاحبان وب سایت ضروری است که اقدامات پیشگیرانهای برای محافظت از سایتهای خود انجام دهند. اجرای اقدامات امنیتی قوی مانند به روز رسانی منظم، رمزهای عبور قوی و میزبانی امن میتواند خطر آسیب پذیری ها را به میزان قابل توجهی کاهش دهد.
علاوه بر این، استفاده از افزونههای امنیتی و ابزارهای نظارتی، دفاع وب سایت را در برابر حملات احتمالی افزایش میدهد و در نتیجه محیط آنلاین امنتری را برای کاربران ایجاد میکند.
علاوه بر این، اطلاع از آخرین شیوهها و روندهای امنیتی برای حفظ یک سایت وردپرس ایمن حیاتی است. با آموزش خود و تیمتان در مورد تهدیدهای بالقوه و بهترین شیوهها برای مقابله با آنها، میتوانید در برابر حملات سایبری انعطافپذیری ایجاد کنید.
پشتیبان گیری منظم از وب سایت خود و داشتن یک برنامه اضطراری در صورت نقض امنیتی میتواند از دادهها و یکپارچگی سایت شما محافظت کند. در نهایت، اولویت دادن به امنیت نه تنها از وب سایت شما محافظت میکند، بلکه اعتماد کاربران را تقویت میکند و تجربه مرور ایمنتر را برای همه تضمین میکند.