افزایش امنیت وردپرس در 12 قدم

اگر شما نیز یک مدیر و یا متخصص سئو هستید که از وردپرس استفاده می‌کنید حتما باید به فکر امنیت سایت خود باشید. وردپرس از لحاظ امنیت مانند پلتفرم‌های دیگر است و در حالی که امنیت مناسبی دارد اما کاملا هم ایمن نیست. وجود تعداد بسیار کاربرانی که از وردپرس استفاده می‌کنند و همچنین تعداد بسیار زیادی از افزونه‌هایی که توسط شرکت‌های دیگر برای وردپرس ایجاد می‌شوند، وردپرس را به یک هدف رایج برای هکرها تبدیل کرده است. با این حال نگران نباشید! روش‌های ساده‌ای وجود دارند که به کمک آنها می‌توانید سایت امنیت وردپرس را بالا ببرید. حتی اگر خیلی دانش فنی زیادی ندارید باز هم می‌توانید این مراحل را به راحتی انجام دهید. با ما همراه باشید.

۱. از واژه admin به عنوان نام کاربری استفاده نکنید

شاید فکر کنید که هک کردن چیز پیچیده‌ای باشد اما در خیلی موارد هکرها فقط با حدس زدن نام کاربری و رمز عبور سایت، سایت شما را می‌توانند هک کنند. این حملات معمولا به brute-force شهرت دارند که هکرها با استفاده از نرم‌افزارهایی سعی در پیدا کردن رمز شما دارند. به همین دلیل سعی کنید که از به کاربردن واژه‌های رایج مانند admin یا نام سایتتان خودداری کنید. این واژه به راحتی قابل حدس هستند و با پیدا کردن آن کار هکر راحت‌تر خواهد شد.

اگر قبل از چنین اسم‌هایی برای ورود به سایت خود استفاده کرده‌اید وقت آن است که نام کاربری خود را تغییر دهید!

 

۲. از یک رمز عبور قوی استفاده کنید

پس از انتخاب نام کاربری غیرقابل حدس، باید یک رمز عبور قوی نیز برای سایت خود انتخاب کنید تا کار هکرها سخت‌تر شود. یک رمز قوی باید طولانی، منحصر به فرد و پیچیده باشد.

اما شاید پیش خودتان فکر کنید که یادآوری چنین رمزی می‌تواند دشوار باشد. بله، اما ابزارهایی برای ذخیره چنین رمزهایی وجود دارند مانند: 1Password و LastpPass که هم برای شما رمز تولید می‌کنند و هم آن را ذخیره می‌کنند. برای قوی‌تر کردن رمز می‌توانید طول آن را زیاد کنید. رمزی که ۲۰ کاراکتر دارد مناسب و قوی است. استفاده از حروف بزرگ و کوچک، اعداد و همچنین کاراکترهایی مانند * و یا # نیز رمز شما را قوی‌تر خواهند کرد.

 

۳. فعال کردن احراز هویت دو مرحله‌ای

حتی با انتخاب یک نام کاربری مناسب و همچنین انتخاب یک رمز قوی، باز هم ممکن است تحت تاثیر حملات brute-force قرار بگیرید. اما باز هم جای نگرانی نیست چون می‌توانید با استفاده از قابلیت تایید ورود دومرحله‌ای سایت خود را ایمن کنید.

با فعال کردن احراز هویت دو مرحله‌ای، برای ورود به سایت، علاوه بر وارد کردن نام کاربری و رمز عبور خود یک پیامک یا یک کد (از طریق یک اپلیکیشن ثالث) برای شما ارسال می‌شود تا سیستم مطمئن شود خود شما هستید که قصد ورود به سایت را دارید. بدین ترتیب کار برای هکرها بسیار سخت خواهد شد.

 

برای فعال کردن چنین قابلیتی دو افزونه محبوب در وردپرس با نام‌های Google Authenticator و Rublon Plugin وجود دارند که می‌توانید از آنها استفاده کنید. این افزونه‌ها البته کدهایی را نیز به عنوان نسخه پشتیبان در اختیار شما قرار می‌دهند که باید آنها را نیز در جای امن نگه‌داری کنید.

 

۴. دسترسی‌ها را محدود کنید

در وردپرس نقش‌های مختلفی وجود دارند که سطح دسترسی این نقش‌ها نیز باهم متفاوت است. اگر افراد دیگری نیز به سایت شما دسترسی دارند می‌توانید با توجه به دسترسی‌هایی که آنها نیاز دارند نقش آنها را انتخاب کنید. بدین ترتیب هر فرد فقط به میزان نیاز به سایت دسترسی دارد و هر تغییراتی را نمی‌تواند در سایت ایجاد کند.

بحث دسترسی‌ها بسیار ساده است. کافی است این دو مورد را رعایت کنید:

• به افراد در سطح نیازشان دسترسی بدهید و نه بیشتر
• هر وقت که افراد نیاز داشتند به آنها دسترسی بدهید نه زمان‌های دیگر

هرگاه فردی از شما برای ایجاد تغییرات فوری در سایت درخواست دسترسی کرد، این دسترسی را به وی بدهید اما وقتی که کار خود را انجام داد، دوباره دسترسی وی را محدود کنید.

با اعطای سطح دسترسی لازم به افراد مختلف امنیت سایت شما نیز افزایش پیدا خواهد کرد.

 

۵. فایل‌های تنظیمات را مخفی کنید

فایل‌های wp-config.php و .htaccess نقش مهمی در امنیت وردپرس دارند. این فایل‌ها اغلب حاوی اطلاعات سایت شما، شامل تنظیمات و ساختار سایت، هستند. باید اطمینان حاصل کنید که هکرها نمی‌توانند به این دو فایل دسترسی پیدا کنند.

مخفی کردن این دو فایل کار نسبتا ساده‌ای است اما اشتباه در انجام این کار ممکن است سایت شما را از دسترس خارج کند. قبل از انجام این کار بهتر است یک نسخه پشتیبان از سایت خود تهیه کنید.

با استفاده افزونه محبوب Yoast در وردپرس، کار مخفی کردن این فایل‌ها بسیار آسان است. کافی است وارد این افزونه و قسمت Tools و سپس قسمت File Editor شوید تا بتوانید فایل .htaccess را ویرایش کنید.

برای افزایش امنیت وردپرس و مخفی کردن فایل wp-config.php قطعه کد زیر را به فایل .htaccess اضافه کنید:

با این کار فایل wp-config.php مخفی خواهد شد. برای مخفی کردن فایل .htaccess نیز کد زیر را به خود فایل .Htaccess استفاده کنید:

 

۶. غیرفعال کردن امکان ویرایش فایل‌ها

اگر هکری وارد سایت شما شود، ساده‌ترین راه برای اعمال تغییرات در فایل‌های شما ورود به بخش نمایش و سپس ویرایشگر است. برای افزایش امنیت وردپرس خود می‌توانید قابلیت ویرایش فایل‌ها در این قسمت را غیرفعال کنید. با اضافه کردن قطع کد زیر به فایل wp-config.php می‌توانید این کار را انجام دهید:

البته هنوز خودتان قادر هستید که از طریق نرم‌افزارهای FTP قالب‌های خود را ویرایش کنید. فقط قادر نخواهید بود که از طریق پنل مدیریتی وردپرس این ویرایش را انجام دهید.

 

۷. صفحه ورود خود را مخفی کرده و تعداد دفعات تلاش برای ورود را محدود کنید

همانطور که می‌دانید برای ورود به وردپرس باید از آدرس Domainname.com/wp-admin استفاده کنید. البته به جای Domainname.com باید نام دامنه خود را وارد کنید. با تغییر این آدرس می‌توانید کار هکرها را سخت‌تر کنید. اغلب افزونه‌های امنیت وردپرس مانند All in One WP Security & Firewall plugin این امکان را در اختیار شما قرار خواهند داد. با این کار می‌توانید wp-admin را به عبارت دلخواه و البته ایمن‌تر خود تغییر دهید.

به علاوه شما قادر خواهید بود که تعداد دفعاتی که یک IP تلاش می‌کند تا وارد سایت شما شود را محدود کنید. با این کار IP هایی که تلاش می‌کنند رمز شما را حدس بزنند فقط تعداد دفعات محدودی قادر به این کار هستند و با تکرار بیش‌تر مسدود خواهند شد. افزونه‌های امنیت محبوب وردپرس نیز اغلب این کار را برای شما انجام می‌دهند.

 

۸. هاست و امنیت وردپرس

شاید شما کارهای لازم را برای امنیت سایت خود به خوبی انجام داده باشید. اما اگر هاست شما ایمن نباشد باز هم سایت شما در خطر قرار خواهد گرفت.

اگر یک هکر به هاستینگ سایت شما دسترسی پیدا کند می‌تواند کنترل هر چیزی را به دست بگیرد. به همین دلیل بسیار مهم است که یک هاست خوب انتخاب کنید یا سایت خود را به یک سایت مطمئن منتقل کنید. هاست‌های ارزان معمولا از سطح امنیتی و همچنین پشتیبانی پایین برخوردار هستند.

به علاوه استفاده از هاست‌های اشتراکی به علت اینکه چند نفر از آن استفاده می‌کنند، ریسک بیشتری دارد. سعی کنید کمی بیشتر هزینه کنید و از یک شرکت هاستینگ معتبر خدمات بگیرید.

 

۹. سایت خود را به روز نگاه دارید

به روز نگاه داشتن سایت در زبان ساده است اما قطعا به روز نگاه داشتن مداوم سایت برای وبمسترها کار دشواری است. وب‌سایت‌ها موجودات پیچیده‌ای هستند و معمولا همزمان در یک سایت اتفاقات متفاوتی انجام می‌شود. به همین دلیل گاهی اعمال تغییرات آن هم به شکل سریع کار دشواری است. به دلیل همین دشواری کار، اغلب وبمسترها گاهی کار به روزرسانی را انجام نمی‌دهند. این به روزرسانی هم در سطح هسته وردپرس نیاز است و هم افزونه‌ها و قالب‌ها. متاسفانه عدم به ‌روزرسانی این موارد می‌تواند سایت را در خطر جدی قرار دهد.

به همین دلیل باید به روزرسانی مداوم هسته وردپرس، افزونه‌ها و قالب سایت خود را در دستور کار خود انجام دهید. در غیر این صورت درها را برای هکرها باز خواهید گذاشت!

اگر کاربر افزونه سئوی سایت Yoast SEO هستید، فقط کافی است این مراحل آسان را برای به روزرسانی افزونه Yoast SEO خود دنبال کنید.

 

۱۰. اقدامات بیشتری برای امنیت سایت خود انجام دهید

هنوز اقدامات دیگری نیز وجود دارند که به کمک آنها می‌توانید امنیت سایت خود را افزایش دهید. به همین دلیل توصیه می‌کنیم که از افزونه‌های امنیتی و همچنین فایروال در وردپرس استفاده کنید. این افزونه‌ها معمولا به طرز کار هکرها آشنا هستند و به خوبی جلوی اقدامات آنها را خواهند گرفت.

 

۱۱. استفاده از بهترین افزونه‌ها و قالب‌های امن وردپرس

اغلب کاربران وردپرس تمایل دارند که از افزونه‌ها و قالب‌های متفاوتی در سایت خود استفاده کنند. توصیه ما این است که در مورد استفاده از این افزونه‌ها و قالب‌ها هوشیار باشید. به خصوص اگر از سرور آزمایشی استفاده نمی‌کنید. اغلب افزونه‌ها رایگان هستند و به همین دلیل توسعه‌دهندگان آنها شاید خیلی به امنیت آنها اهمیت ندهند. البته‌های افزونه‌هایی که نسخه فریمیوم هستند و به نوعی نسخه‌های پولی هم دارند به این دلیل که قصد دارند کابران را به مشتریان خود تبدیل کنند، احتمالا به امنیت اهمیت خواهند داد. اما افرادی که فقط برای سرگرمی دست به ایجاد یک افزونه می‌زنند احتمالا خیلی برای امنیت آن وقت نخواهند گذاشت.

سعی کنید بیشتر از افزونه‌ها و قالب‌هایی استفاده کنید که تعداد کاربران زیادی دارند و در طول زمان خود را ثابت کرده‌اند. حتما به امتیازی که این کاربران به این افزونه‌ها داده‌اند نیز دقت کنید. این امتیازها به معمولا به صورت یک تا ۵ ستاره به افزونه‌ها داده می‌شود. البته اگر مشاهده کردید که یک افزونه ۵ ستاره گرفته است به تعداد افرادی که ۵ ستاره داده‌اند نیز دقت کنید. گاهی فقط یک نفر رای داده است و آن هم ۵ ستاره بوده است. گاهی ۱۰۰ نفر رای ۵ ستاره می‌دهند و این بسیار ارزشمندتر از حالت قبلی است.

همچنین به نظرات کاربران نیز در قسمت توضیحات این افزونه‌ها و قالب‌ها دقت کنید.

نکته دیگری که باید برای انتخاب یک افزونه به آن دقت کنید بحث سازگاری است. افزونه‌هایی که مدت‌هاست از سوی سازندگان به روزرسانی نشده‌اند احتمالا با نسخه جدید وردپرس شما سازگار نیستند و معمولا از امنیت کم‌تری نیز برخوردار هستند. البته گاهی یک افزونه به این دلیل که هنوز کار می‌کند و ضعفی ندارد مدت‌هاست که به روزرسانی نشده است و این به معنای بد بودن افزونه نیست.

در این مواقع باز هم به امتیاز و نظرات کاربران دقت کنید. و به این نکته هم دقت کنید که آیا با نسخه فعلی وردپرس شما سازگار است یا خیر.

به طور کلی در استفاده از افزونه‌هایی که مدت زیادی است که به روز نشده‌اند باید بسیار دقت کنید.

 

۱۲. پایش سایت خود را فراموش نکنید

سعی کنید به صورت مرتب ورودها و فعالیت‌های انجام شده در سایت وردپرسی خود را پایش کنید. به این ترتیب می‌توانید متوجه شوید که چه کسی به سایت وارد شده است، افزونه نصب یا به‌روزرسانی کرده است و یا محتوای شما را تغییر داده است. یا مشخص می‌شود که چه کسی تنظیمات سایت شما را تغییر داده است.

به کمک این بررسی می‌توانید جلوی برخی از هک‌ها را بگیرید و متوجه باگ‌های سایت خود شوید. همچنین اگر سایت شما هک شد به کمک این بازرسی قادر خواهید بود که بررسی کنید که این هک از کجا اتفاق افتاده است و از تکرار دوباره آن جلوگیری کنید. برای انجام این پایش می‌توانید از افزونه‌های مانند WP Security Audit Log استفاده کنید.

در پایان به خاطر داشته باشید که برای تکمیل کار افزایش امنیت سایت خود باید تهیه نسخه پشتیبان از سایت را به صورت مکرر انجام دهید. و همچنین در نظر داشته باشید که به صورت مداوم باید امنیت سایت خود را بازرسی کرده و سعی کنید آن را بهبود دهید. حتی با انجام تمام کارها نیز امنیت هیچ سیستمی کامل نخواهد شد اما انجام کارهای لازم باعث می‌شود که شانس هکرها برای هک کردن سایت شما بسیار کاهش پیدا کند.