در بخش قبل به چک لیست راهکارهای افزایش امنیت وردپرس 2024 پرداختیم، در این مطلب به ادامه مطلب قبلی میپردازیم. با بخش دوم چک لیست راهکارهای افزایش امنیت وردپرس 2024 با ما همراه باشید.
8. نصب پلاگین امنیتی وردپرس
اگرچه ممکن است نصب سریع یک افزونه امنیتی وسوسه انگیز باشد، اما انجام این کار بدون انجام سایر اقدامات امنیتی ضروری میتواند آسیب پذیری هایی را در وب سایت شما ایجاد کند. با این حال، اکنون زمان مناسبی برای نصب یک افزونه امنیتی است.
با افزونههای امنیتی متعددی که برای وردپرس در دسترس است، گزینههای فراوان میتواند هم سودمند و هم زیاد باشد. مهم است که با دقت افزونه ای را انتخاب کنید که به بهترین وجه با نیازهای شما مطابقت دارد.
این افزونه یک سیستم امنیتی جامع را برای وب سایت شما به صورت رایگان ارائه میدهد. دارای یک فایروال است که به طور موثر ترافیک مخرب را مسدود میکند و از حملات brute-force جلوگیری میکند. علاوه بر این، یک اسکنر بدافزار برای شناسایی هرگونه تهدید بالقوه در فایلهای اصلی شما گنجانده شده است.
این افزونه با افزایش امنیت ورود به سیستم، ویژگی هایی مانند امنیت CAPTCHA، 2FA و توانایی مسدود کردن آدرس های IP را ارائه میدهد. به طور کلی Wordfence Security یک پلاگین ارزشمند است که طیف گسترده ای از عملکردهای امنیتی را برای سایت های وردپرس ارائه میدهد.
9. راه اندازی بکاپ گیری
ما راههای جلوگیری از حملات سایبری را مورد بحث قرار دادهایم، اما در صورت موفقیتآمیز چه اتفاقی میافتد؟ متأسفانه، مهم نیست که چقدر مراقب باشید، همیشه خطر نقض امنیت وجود دارد. یکی از بهترین ابزارها برای بازیابی پس از چنین حمله ای پشتیبان گیری است.
یک نسخه پشتیبان در اصل یک کپی تکراری از وب سایت شما است که در مکانی جداگانه ذخیره میشود. بسیاری از هاستینگ ها مانند Parsvds خدمات بکاپ گیری خودکار را برای مشتریان خود ارائه میدهند. با این حال، عاقلانه است که برای تهیه نسخه پشتیبان تنها به میزبان وب خود اعتماد نکنید.
وردپرس انواع پلاگین های پشتیبان را ارائه میدهد که به شما امکان میدهد مکان های ذخیره سازی متعددی را انتخاب کنید، از جمله سرویس های ابری یا سرورهای شخصی. برخی از افزونهها حتی گزینهای برای ذخیرهسازی پشتیبانگیری روی رایانه یا هارد اکسترنال ارائه میدهند.
این پلاگین ها معمولاً به شما امکان میدهند فایل های خاصی را برای پشتیبان گیری انتخاب کنید، پشتیبان گیری خودکار را برنامه ریزی کنید و تعداد دفعات و تعداد بک آپ گیری ها را تعیین کنید. به یاد داشته باشید، برای جلوگیری از دسترسی هکرها به آنها، مهم است که از ذخیره نسخه پشتیبان در وب سرور خود اجتناب کنید.
همیشه اطمینان حاصل کنید که نسخه های پشتیبان شما به روز هستند و به طور ایمن ذخیره میشوند تا در صورت حمله سایبری از بروز هرگونه مشکلی جلوگیری کنید.
10. آپدیت نسخه php
پلتفرم وردپرس به زبان PHP کدگذاری شده است، بنابراین مهم است که نسخه PHP را علاوه بر فایل های اصلی، پلاگین ها و تم ها به روز کنید تا از امنیت وب سایت خود اطمینان حاصل کنید. به روز رسانی PHP میتواند از وب سایت شما در برابر آسیب پذیری های امنیتی محافظت کند.
با این حال، به روز رسانی نسخه PHP در وردپرس به سادگی به روز رسانی عناصر دیگر نیست. در عوض، برای انتخاب نسخه PHP باید به حساب میزبانی وب خود دسترسی داشته باشید. این فرآیند میتواند برای مبتدیان کمی چالش برانگیز باشد، اما زمانی که بدانید چگونه این کار آسان است.
به سادگی وارد حساب میزبانی وب خود شوید، به سی پنل دسترسی پیدا کنید و بخش نرم افزار را پیدا کنید. از آنجا، گزینه Select PHP Version را انتخاب کنید تا نسخه PHP خود را به روز کنید.
به عنوان یک مبتدی، نیازی نیست که خود را با پسوندهای متعدد PHP در دسترس نگران کنید. در عوض، روی به روز رسانی نسخه فعلی PHP خود تمرکز کنید، که به راحتی در بالای لیست قرار دارد. به سادگی از منوی کشویی برای انتخاب آخرین نسخه استفاده کنید.
باید تاکید کرد که بسیاری از هاست های وب ممکن است به طور خودکار وب سایت شما را بر روی آخرین نسخه PHP اجرا نکنند. بنابراین، حتی اگر حساب شما اخیرا ایجاد شده باشد، احتمالا بتوانید آن را به آخرین نسخه PHP به روز کنید.
به عنوان یک اقدام احتیاطی، همیشه مطمئن شوید که یک نسخه پشتیبان آماده دارید و در صورت لزوم آماده باشید که به نسخه اصلی برگردید.
11. پیشوند پیشفرض دیتابیس را تغییر دهید
اگر تا به حال نگاهی به فایل های وردپرس خود انداخته باشید، ممکن است متوجه شده باشید که همه آنها با پیشوند “wp-” شروع میشوند. این تنظیمات پیش فرض، مکان یابی این فایل ها را برای هکرها آسان تر میکند. تغییر این پیشوند میتواند امنیت را با چالش برانگیزتر کردن شناسایی آنها بهبود بخشد.
برای تغییر پیشوند، کافی است به قسمت PhpMyAdmin در سی پنل خود دسترسی پیدا کنید و با استفاده از حروف، اعداد و زیرخط، پیشوند جدیدی ایجاد کنید. مهم است که پیشوند را خیلی پیچیده نکنید، زیرا همچنان باید به این فایل ها دسترسی داشته باشید. تعویض پیشوند “wp-” با چیزی ساده مانند “q223” میتواند موثر باشد.
اگرچه این تغییر ممکن است هکرها را در مکان یابی فایل ها کند کند، اما به طور کامل از آنها جلوگیری نمیکند. این یک گام ساده برای افزایش امنیت است، اما به خاطر داشته باشید که هکرهای مصمم همچنان میتوانند فایل ها را پیدا کنند.
12. نمایش نسخه وردپرس را در خروجی سایت غیرفعال کنید
آیا تا به حال از یک وب سایت بازدید کرده اید و یک سلب مسئولیت کوچک در پایین مشاهده کرده اید که نسخه وردپرس یا CMS دیگری را که استفاده میشود نشان میدهد؟ اگرچه ممکن است ناچیز به نظر برسد، اما در واقع یک خطر امنیتی بزرگ ایجاد میکند.
فاش کردن نسخه CMS یک تنظیم پیش فرض عمدی در وردپرس نیست. این معمولاً موضوعی است که این اطلاعات را نمایش میدهد.
خوشبختانه، اگر متوجه شدید که طرح زمینه شما این اطلاعات را فاش میکند، میتوانید به راحتی با دسترسی به فایل functions.php تم و اضافه کردن یک خط کد خاص، آن را برطرف کنید.
remove_action('wp_head', 'wp_generator');
این عمل فقط پیام نسخه ظاهر شده را حذف میکند. گاهی اوقات، این پیام ممکن است فقط با خرید نسخه حرفه ای یک قالب قابل دسترسی باشد. اگر اینطور بود، میتوانید آن را خریداری کنید یا موضوع دیگری را انتخاب کنید.
13. لینک لاگین وردپرس را تغییر دهید
منطقه ورود به وردپرس با درب ورودی خانه شما قابل مقایسه است. همانطور که وقتی در خانه نیستید قفل درب ورودی خود را باز نمیگذارید، مهم است که قسمت ورود به وردپرس خود را ایمن کنید.
اگرچه URL پیش فرض ورود به سیستم در وردپرس شناخته شده است، اما میتوان آن را تغییر داد. در حالی که گزینه ویرایش دستی کد را در باطن وردپرس دارید، راه حل ساده تر استفاده از افزونه WPS Hide Login است. این افزونه به شما اجازه میدهد تا به راحتی یک URL ورود به سیستم جدید تنظیم کنید و یک تغییر مسیر برای تلاش برای دسترسی به URL قدیمی ایجاد کنید.
به عنوان مثال، به جای www.YourDomain.com/login، میتوانید آن را به www.YourDomain.com/door یا هر URL سفارشی دیگری تغییر دهید. اطمینان حاصل کنید که از استفاده از URL های صفحه موجود برای URL ورود جدید خودداری کنید.
هنگام تنظیم تغییر مسیر، کاربران را به صفحه خطای 404 هدایت کنید بدون اینکه URL واقعی ورود به سیستم را نشان دهید. این لایه امنیتی اضافی میتواند به محافظت از وب سایت شما در برابر دسترسی غیرمجاز کمک کند.
14. غیرفعال کردن نماش خطاهای php
اگر وب سایت PHP با خطا مواجه شود، خطا را در وب سایت نمایش میدهد. از آنجایی که وردپرس نیز به زبان PHP نوشته شده است، این پیام های خطا را نیز نشان میدهد. در حالی که این میتواند برای مشکلات عیب یابی توسعه دهندگان مفید باشد، اما برای کاربران عادی غیر ضروری است و برای هکرها خطر امنیتی ایجاد میکند.
همانطور که در نکات دیگر ذکر شد، ارائه اطلاعات بیشتر به هکرها توصیه نمیشود. این پیامهای خطا نباید بهطور پیشفرض فعال شوند، اما میتوانند با فعال کردن حالت اشکالزدایی فعال شوند. خوشبختانه این مشکل با اضافه کردن چند خط کد به راحتی قابل حل است.
یک راه حل ساده این است که خطوط زیر را به فایل wp-config اضافه کنید:
ini_set(‘display_errors’,’Off’);
ini_set(‘error_reporting’, E_ALL );
define(‘WP_DEBUG’, false);
define(‘WP_DEBUG_DISPLAY’, false);
غیرفعال کردن حالت اشکال زدایی از نمایش خطاهای PHP در وب سایت شما جلوگیری میکند. برای مشاهده خطاها، خطاهای PHP را در سی پنل خود بررسی کنید. این ابزار برای حل مسئله مفید است اما ممکن است به تخصص کدنویسی نیاز داشته باشد.
15. از FTP به SFTP تغییر دهید
راه های مختلفی برای دسترسی به فایل ها برای وب سایت شما وجود دارد که یکی از گزینه های محبوب پروتکل انتقال فایل (FTP) است.
به زبانی ساده، FTP به شما امکان میدهد فایل ها را به راحتی بین دستگاه ها انتقال دهید و آپلود یا دانلود فایل ها از سرور را راحت میکند.
برای امنیت بیشتر، پروتکل انتقال فایل امن (SFTP) نسخه ایمن تر از FTP است. تفاوت اصلی این است که SFTP از یک کانال یک طرفه امن برای اتصال دستگاه ها استفاده میکند، که دسترسی غیرمجاز برای مشاهده، دانلود یا ویرایش فایل ها را غیرممکن میکند، بنابراین سطح بالاتری از امنیت را فراهم میکند.
برخی از میزبان های وب، مانند GreenGeeks، سرورهای SFTP را برای اطمینان از ایمنی داده های شما اجرا میکنند. این تضمین میکند که فایل های شما ایمن و غیرقابل دسترس برای افراد غیر مجاز هستند و امنیت کلی وب سایت وردپرس شما را افزایش میدهد.
این امر نقش حیاتی میزبان وب شما در تضمین امنیت وب سایت شما را برجسته میکند.
سوالات متداول امنیت وردپرس
در حالی که بسیاری از نکات امنیتی وردپرس را پوشش داده ایم، طبیعی است که ممکن است سوالاتی برای شما پیش بیاید. در اینجا برخی از متداول ترین سؤالات در مورد امنیت وردپرس را بیان میکنیم.
آیا logout کاربران بیکار ایده خوبی است؟
بسیاری از بانکها، شرکتهای سرمایهگذاری و سایر کسبوکارهای بسیار حساس از این اقدام استفاده میکنند تا در صورت دور شدن کاربر از رایانه، از دسترسی به حسابها محافظت کنند. برای اکثر وب سایت های استاندارد ضروری نیست اما میتواند امنیت را افزایش دهد.
آیا وب سایت من باید از CAPTCHA برای محافظت در برابر ربات ها استفاده کند؟
CAPTCHA یک سیستم امنیتی است که برای اطمینان از اینکه کاربر فعلی یک انسان است طراحی شده است. در کارهایی که میتواند انجام دهد موثر است اما میتواند کاربران را آزار دهد. اکثر افزونه های امنیتی شامل آن میشوند.
آیا افزونه های امنیتی پریمیوم ارزش هزینه را دارند؟
به طور کلی، افزونه های پریمیوم ویژگی های بیشتری را نسبت به همتایان رایگان خود ارائه میدهند که در بیشتر موارد آنها را به گزینه بهتری تبدیل میکند. در حالی که پلاگین های امنیتی عالی وجود دارد که میتوانید به صورت رایگان از آنها استفاده کنید، نسخه پریمیوم معمولا محافظت بهتری را ارائه میدهد.
اگر وب سایت من هک شد چه کار کنم؟
همه رمزهای عبور را تغییر دهید، قبل از هک از یک نسخه پشتیبان برای بازیابی وب سایت خود استفاده کنید و بدافزار را اسکن کنید. برای کمک با شرکت میزبانی وب خود تماس بگیرید.
آیا وردپرس یک پلتفرم امن است؟
بله، وردپرس کاملا امن است و به طور مداوم هر آسیب پذیری امنیتی را اصلاح میکند. هک وب سایت معمولاً به دلیل CMS نیست، بلکه به دلیل ابزارهای شخص ثالث یا خطای انسانی است.
آیا هکرها همیشه یک حساب admin را هدف قرار میدهند؟
نه، هدف هکرها هر گونه آسیب پذیری است و نه فقط حساب مدیریت.
آیا این اقدامات امنیتی از محتوای من در برابر سرقت ادبی محافظت میکند؟
خیر، اقدامات امنیتی بر محافظت از سایت شما و حساب های مرتبط با آن تمرکز دارد. حفاظت از محتوا غیر از امنیت است.
چک لیست امنیت وردپرس
به کارهایی که باید برای ایمن سازی وردپرس انجام دهید نگاهی میاندازیم:
- افزونه ها، قالبها و هسته وردپرس را به روز کنید
- از رمزهای عبور قوی استفاده کنید
- یک میزبان وب عالی را انتخاب کنید
- 2FA را فعال کنید
- یک گواهی SSL نصب کنید
- نام کاربری Admin را تغییر دهید
- به درستی نقش های کاربر را اختصاص دهید
- یک پلاگین امنیتی را نصب کنید
- راه اندازی یک نسخه پشتیبان
- نسخه پی اچ پی خود را به روز کنید
- پیشوند پایگاه داده را تغییر دهید
- مخفی کردن نسخه وردپرسی که استفاده میکنید
- URL ورود را تغییر دهید
اگر بتوانید همه این کارها را انجام دهید، سایت شما در برابر 99.9 درصد تهدیدات در امان است.
شما هرگز نمیتوانید 100٪ ایمن باشید، اما با این کار، میتوانید راحت بخوابید و بدانید که وب سایت وردپرس شما ایمن و امن است. این به شما زمان بیشتری میدهد تا در مورد محتوای بعدی خود نگران باشید.
همین امروز برای افزایش امنیت وردپرس اقدام کنید
مراحل زیادی وجود دارد که وب سایت ها میتوانند برای افزایش امنیت سایت های وردپرس خود انجام دهند. اگرچه ممکن است در ابتدا دلهره آور به نظر برسد، تکمیل یک چک لیست امنیتی میتواند در کمتر از یک ساعت به راحتی انجام شود.
تغییر اطلاعات نصب پیش فرض وردپرس بسیار مهم است، زیرا هکرها اغلب این جزئیات را هدف قرار میدهند. وقت گیرترین کار انتخاب و راه اندازی یک افزونه امنیتی قابل اعتماد است.
از چه افزونه امنیتی برای سایت وردپرسی خود استفاده میکنید؟ آیا تا به حال هک وب سایت را تجربه کرده اید؟