به پارسی وب پاسارگاد خوش آمدید . با ما بیشتر دیده شوید.

به هاستیکو خوش آمدید

افزایش امنیت وردپرس

افزایش امنیت وردپرس

راهکار‌های افزایش امنیت وردپرس

مهم ترین کاری که بعد از طراحی سایت باید انجام دهیم ایجاد امنیت کامل برای سایت است، در این قسمت به راه‌های افزایش امنیت وردپرس بپردازیم.
برقراری و افزایش امنیت در وردپرس همواره یکی از مهمترین بحث‌ها در فضای وردپرس بوده است. وردپرس به دلیل محبوبیت زیادی که بین دیگر سیستم‌های مدیریت محتوا داشته و کاربران زیادی از آن استفاده می‌کنند، همیشه در معرض هک و نفوذ بیشتری قرار دارد.
با اینکه وردپرس از لحاظ امنیتی سطح بالایی دارد امابا این وجود باید توجه داشت که بحث امنیت یک موضوع نسبی است و هیچ نرم افزاری ۱۰۰ % امن نیست. بنابراین لازم
است که از تمامی راهکارهای موجود برای افزایش امنیت وردپرس استفاده کرد.
در این قسمت راهکار های حفظ امنیت را گفته و سپس طرز فعال کردن چند مورد از آنها را توضیح داده.

نقاط ضعف:

برای جلوگیری از هک سایت ابتدا باید نقاط ضعف را بدانید سپس اقدامات لازم را انجام دهید.

طبق تحقیقات:

۴۱ درصد هک ها از طریق پلتفرم هاستینگ اتفاق افتاده است.
۲۹ درصد از طریق قالب های آسیب پذیر وردپرس
۲۲ درصد از طریق مسائل امنیتی افزونه های وردپرس
۸ درصد از طریق اطلاعات لاگین ضعیف روی داده است.
این موارد در درک چگونگی افزایش امنیت وردپرس کمک زیادی می کند.

افزایش امنیت و جلوگیری از هک سایت‌های وردپرس:

۱: استفاده از یک شرکت هاستینگ خوب
۲: تغییر پیشوند جداول دیتابیس در حین نصب
۳: استفاده از قالب ها و افزونه های با کیفیت
۴: به روز نگه داشتن وردپرس و اجزای آن
۵: اجازه دسترسی به افراد مطمئن
۶: قوی کردن اطلاعات لاگین (نام کاربری و رمز عبور)
۷: تغییر دادن پیامهای خطای ورود به سیستم
۸: محدود کردن تعداد دفعات تلاش برای ورود
۹: پیاده سازی احراز هویت دو مرحله ای
۱۰: مخفی کردن صفحه لاگین (صفحه ورود به وردپرس)
۱۱: آموزش به روز رسانی خودکار(SALT)

۱۲: اضافه کردن کلیدهای امنیتی وردپرس

۱۳: غیر فعال کردن گزارش خطای PHP
۱۴: توجه به سطح دسترسی فایل ها
۱۵: حذف کردن شماره نسخه وردپرس
۱۶: پشتیبان گیری به صورت مستمر
۱۷: استفاده از SSL

امن نگه داشتن کامپیوتر:

امنیت سایت وردپرس شما به دستگاهی که با آن وارد سایت می شوید بستگی دارد.اگر دستگاه شما در معرض خطر باشد
احتمال نا امنی هم افزایش می یابد؛پس یه سری از دستورالعمل ها را انجام دهید:
یک اسکنر ویروس و بدافزار روی کامپیوتر خود نصب کنید و به طور مرتب سیستم را اسکن کنید.
به سایت وردپرسی خود از طریق وای فای عمومی یا یک کانکشن ناامن وصل نشوید. همچنین مراقب باشید هنگام لاگین
کردن هیچ کس صفحه ای که رمز خود را وارد میکنید را نبیند.
یک فایروال کامپیوتر نصب کنید.

استفاده از یک شرکت هاستینگ خوب:

همانطور که طبق آمار بالا گفته شد، اکثر حملات موفقیت آمیز از طریق پلتفرم هاستینگ انجام شده است. پس این بخش قسمت مهمی در امنیت است.
هنگام انتخاب شرکت ارائه دهنده خدمات میزبانی وب، سراغ ارزانترین آنها نروید. تحقیقات خود راانجام دهید و مطمئن
شوید که از شرکتی که به خوبی اثبات شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید.
همیشه ارزش پرداخت کمی هزینه ی اضافه تر برای آرامش ذهن شما را دارد، چون دیگر می دانید سایت شما ایمن است.

همیشه هاست وردپرس را انتخاب نمایید.

تغییر پیشوند جداول دیتابیس در حین نصب:

بسته به کنترل پنل هاست شما، هنگام نصب وردپرس روی دایرکت ادمین یا هنگام نصب وردپرس روی سی پنل، وردپرس از شما می پرسد که می خواهید پیشوند جداول دیتابیس تان به چه صورت باشد. اگر شما در این بخش تغییری ایجاد نکنید
خواهد گذاشت. wp_ وردپرس به صورت پیشفرض، پیشوند جداول شما را
اگر به دنبال افزایش بیشتر امنیت وردپرس هستید، در حین نصب حتماً پیشوند جداول را به یک پیشوند تصادفی و
.8uh7zgok_ پیچیده تر تغییر دهید.

به عنوان مثال اگر هنگام نصب وردپرس پیشوند جداول را تغییر ندهید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد زیرا است. wp_ همه می دانند که پیشوند جداول دیتابیس در وردپرس اگر در حین نصب وردپرس این کار را انجام نداده اید، بهترین راه این است که از طریق افزونه های امنیتی مانند افزونه این کار را انجام دهید. iThemes Security

افزونه ها و قالب هایی باشید که به خوبی پشتیبانی شده اند:

اگر یک افزونه یا قالب در مدت زمان طولانی آپدیت نشده باشد، رسیک بالاتری وجود دارد که حاوی باگ های امنیتی یا
کدهای بدی باشد که سایت شما را آسیب پذیر می کند. به همین دلیل قبل از نصب به سطح پشتیبانی آنها توجه کنید.
حتما توجه داشته باشید که که هرگز از منابع ناشناخته دانلود نکنید.
اگر واقعاً نیاز به استفاده از یک قالب رایگان دارید، فقط باید از آنهایی استفاده کنید که توسط شرکت های سازنده ی مورد اعتماد توسعه یافته اند استفاده کنید.

به روز نگه داشتن وردپرس و اجزای آن:

تیم وردپرس مدام در حال افزودن قابلیت های جدید و رفع مشکلات و باگ های امنیتی این سیستم مدیریت محتوا و تلاش برای افزایش امنیت وردپرس است. مخصوصاً وقتی یک آپدیت جزیی صورت می گیرد که با رقم سوم در شماره نسخه 4 ، این بروزرسانی ها به طور خاص برای اهداف امنیتی هستند. بنابراین وقتی /۹/ وردپرس نشان داده می شود مثل ۱
وردپرس آپدیت می شود باید در اولین فرصت اقدام به آپدیت کرد.
برای افزونه ها و قالب ها حتماً به روز رسانی ها را انجام دهید. اگر همه چیز را به روز رسانی شده کمتر امکان دارد که سایت شما هک شود.

اجازه دسترسی به افراد مطمئن:

یکی دیگر از مسائل مهم افزایش امنیت، محدود کردن دسترسی افراد به سایت است. معمولا سایت هایی که به صورت تیمی
عمل می کنند، بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که همین مسئله باعث می شود امنیت سایت در معرض
خطر قرار بگیرد. افرادی که به مدیریت دسترسی دارند اما کم تجربه هستند، ممکن است باعث ایجاد ناامنی شوند.
باید به این نکته توجه کنید که لزومی ندارد تمام افراد نقش مدیرکل را داشته باشند. زیرا لو رفتن رمز یکی از کاربران باعث
می شود امنیت کل سایت در معرض خطر قرار بگیرد. کافی است یکی از اعضا که مسئولیت کدنویسی و طراحی سایت را بر عهده دارد این نقش کاربری را داشته و بقیه اعضای تیم از نقش هایی مثل نویسنده و ویرایشگر استفاده کنند.
و اطلاعات حساس دیگر در نظر بگیرید. FTP همین احتیاط ها را باید در مورد دسترسی به اکانت هاستینگ، سرور قوی کردن اطلاعات لاگین (نام کاربری و رمز عبور) :
یک راه بسیار اساسی و ابتدایی برای افزایش امنیت در وردپرس استفاده از اطلاعات لاگین قوی است. این کار برای خنثی کردن حملات بروت فورس لازم است. در این حملات هکرها به صورت اتوماتیک ترکیب صدها نام کاربری و رمز عبور مختلف را امتحان می کنند تا زمانی که یکی از آنها درست درآمده و اجرا شود. در ادامه آموزش بهترین روش ها برای ایجاد اطلاعات لاگین قوی را معرفی می کنیم:

از نام کاربری ادمین استفاه نکنید:

نام کاربری پیش فرض برای مدیر بود. هکرها دریافتند که بسیاری از افراد از همین نام admin در نسخه های قبلی وردپرس کاربری استفاده می کنند. بنابراین برای افزایش امنیت در وردپرس این نام کاربری پیش فرض حذف شد. اما هنوز افرادی
هستند که این نام کاربری را به صورت دستی ایجاد می کنند. هرگز این کار را نکنید. این از اولین مواردی است که هکرها آن را بررسی می کنند.
از آنجا که وردپرس به صورت پیش فرض اجازه نمی دهد شما نام کاربری تان را عوض کنید، اگر قبلاً نام کاربری خود را قرار داده اید، از سه روش زیر می توانید آن را عوض کنید: admin یک نام کاربری جدید درست کرده و قدیمی را حذف کنید.
استفاده کنید. Username Changer از افزونه های تغییر نام کاربری مانند افزونه
آپدیت کنید. phpMyAdmin نام کاربری تان را از طریق یک اکانت جداگانه برای انتشار محتوا داشته باشید:
آرشیو نویسنده نمایش داده شده URL اگر شما مقالات را با حساب کاربری مدیریت خود منتشر می کنید، نام کاربری شما در و به این ترتیب نام کاربری تان افشا خواهد شد. به غیر از این، داشتن اکانت های جدا برای مدیریت و انتشار محتوا احتمال وقوع حوادث بیشتر را کمتر می کند.
باید به این نکته توجه کنید که وردپرس نام نویسنده را به کاربرش لینک می دهد. بنابراین اگر به جای ربات با هکرهای در سایت وردپرسی خود استفاده کنید. Edit Author Slug واقعی سر و کار دارید، بهتر است از افزونه هایی مانند افزونه رمز عبور قوی استفاده کنید:
اگر نمی خواهید از رمز عبورهای پیشنهادی وردپرس در حین نصب استفاده کنید و می خواهید رمز عبوری داشته باشید
Strong که بتوانید آن را به خاطر بسپارید حتماً به نشانگر قوی بودن رمز عبور توجه کنید یا می توانید از سرویسی مانند
استفاده کنید. Random Password Generator
استفاده کنید. به علاوه اگر افراد دیگری LastPass می توانید از سرویسی که همه رمز عبور ها را امن نگه می دارد مانند
با سطح دسترسی بالا در سایت خود داشته باشید ممکن است بخواهید آنها را نیز وادار به استفاده از اطلاعات لاگین قوی
استفاده Force Strong Passwords کنید. به جای اینکه با ایمیل از آنها بخواهید که این کار را انجام دهند از افزونه
کنید.

محدود کردن تعداد دفعات تلاش برای ورود:

یک هکر با داشتن زمان کافی و تعداد دفعات تلاش برای ورود نامحدود، بالاخره موفق به هک کردن سایت خواهد شد.
بنابراین با محدود کردن تعداد دفعات تلاش برای ورود، سطح امنیت در وردپرس را بالا ببرید. وردپرس به صورت پیشفرض WP Limit هیچ محدودیتی برای تعداد دفعات تلاش برای ورود به سایت قرار نداده است. اما افزونه هایی مانند افزونه مشخص قبل از ممنوعیت به IP شما را قادر می سازد که تنظیم کنید یک آدرس Login LockDown یا Login Attempts صورت موقت یا دائمی چقدر مجاز است برای وارد شدن به سیستم تلاش کند. پیاده سازی احراز هویت دو مرحله ای احراز هویت دو مرحله ای به معنی گذاشتن یک گام دیگر در جلوی پای افرادی است که قصد لاگین کردن به سایت را دارند
و امنیت در وردپرس را به میزان بیشتری افزایش می دهد. با انجام این کار جلوی حملات خودکار هر چقدر هم که زیاد باشد، گرفته می شود. خود ارائه می دهند. اما شما با استفاده Pro بسیاری از افزونه های امنیتی وردپرس تأیید هویت دو مرحله ای را در نسخه
از بهترین افزونه های تأیید هویت دو مرحله ای وردپرس که رایگان نیز هستند می توانید این ویژگی را در سایت خود پیاده
سازی کنید. در ادامه آموزش برخی از افزونه هایی که به شما امکان اجرای تأیید هویت دو مرحله ای را می دهند، معرفی می کنیم:
Duo Two-Factor Authentication
Google Authenticator-Two Factor Authentication
OpenID
WP Security Question

مخفی کردن صفحه لاگین (صفحه ورود به وردپرس):

راه دیگری که می توان صفحه لاگین وردپرس را امن نگه داشت و امنیت در وردپرس را بالا برد، مخفی کردن صفحه لاگین
برای wp-login.php است. هرکسی که با وردپرس کار کرده باشد می داند که وردپرس به صورت پیشفرض از آدرس
هم به صورت خودکار به این صفحه هدایت خواهد wp-admin صفحه ورود استفاده می کند که با مراجعه کردن به آدرس شد.
به یک آدرس دیگر به این معنی است که اسکریپت های https://example.com/wp-admin انتقال آدرس پیش فرض خودکار، صفحه اشتباهی را هدف قرار می دهند.
بسیاری از افزونه های امنیتی این کار را برای شما انجام می دهند. علاوه بر آنها افزونه های زیر نیز قابلیت پنهان کردن صفحه ورود و پوشه های اصلی وردپرس را نیز دارند.
Cerber Security & Antispam
WP Hide & Seurity Enhancer
WPS Hide Login
.htaccess شما می توانید این کار را خودتان هم با اضافه کردن یک قطعه کد در فایل انجام دهید.

به روز رسانی خودکار:

قبلاً در مورد بروزرسانی خودکار صحبت کردیم. علاوه بر آپدیت خودکار ورژن های جزئی که خود وردپرس آن را انجام می
دهد، شما می توانید آپدیت های اصلی، افزونه ها و قالب ها را نیز به صورت خودکار بروزرسانی کنید. کافی است چند خط
اضافه کنید: wp-config.php کد زیر را به فایل
define(‘WP_AUTO_UPDATE_CORE’, true); add_filter( ‘auto_update_plugin’, ‘__return_true’ );
add_filter( ‘auto_update_theme’, ‘__return_true’ );
ولی بازهم احتمال هک کردن سایت ممکن است مس خودتان حتما به صورت دستی بروزرسانی ها را انجام دهید

توجه به سطح دسترسی فایل ها:

سطح دسترسی در واقع به معنای میزان دسترسی کاربران و بازدیدکنندگان به فایل ها و فولدر های داخل هاست است.
یا همان مدیریت فایل در کنترل File Manager برای بررسی جواز دسترسی فایل ها و پوشه های روی هاست، باید از ابزار
اقدام Permission می توانید ، از طریق ستون File Manager پنل هاست استفاده کرد. مثلاً در سی پنل با وارد شدن به
به تغییر عدد جواز دسترسی فایل ها کنید و یا از همان جا ببینید که جواز دسترسی هر کدام از پوشه ها و فایل ها چیست.
پس به عنوان یک نکتۀ امنیتی، بررسی سطح دسترسی فایل ها و پوشه های روی هاست خود را فراموش نکنید، در غیر این صورت شک نکنید که سایت شما به مخاطره خواهد افتاد.
از کجا متوجه شوید که سایت هک شده؟ :
اگر فکر می کنید سایت شما هک شده است، راههای زیادی برای اطمینان حاصل وجود دارد.
استفاده Web Inspector و Unmask Parasites مسائل امنیتی عمومی: برای بررسی آسیب پذیری های عمومی از
کنید.
به شما گزارش خواهد داد. MX Toolbox ، اسپم: اگر سایت شما در بیش از یکصد لیست سیاه ایمیل شامل شده باشد
وب سایت شما را برای پیدا کردن کدهای مخرب و Sucuri Website Malware Scanner بدافزار: وب سایت رایگان
مشکلات امنیتی دیگر، بررسی می کند.
در این مقاله با خطرهایی که یک سایت وردپرسی را تهدید می کند و روشهای مقابله با آنها آشنا شدید. کارهای زیادی برای افزایش امنیت در وردپرس می توانید انجام دهید، از روشهای اولیه و مهم محافظت از لاگین گرفته تا افزایش امنیت در وردپرس.
توجه داشته باشید،که لازم نیست همه ی اقدامات گفته شده را انجام دهید.
با این حال، انجام اکثر اقدامات ذکر شده، زمان کمی می گیرد. تنها ده دقیقه وقت بگذارید و سیستم امنیتی خود را بالاتر ببرید.

پست های مشابه

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.