راهکارهای افزایش امنیت در وردپرس

اگر حضور آنلاین دارید، باید امنیت را در اولویت قرار دهید. و اگر وردپرس CMS شماست، قطعا باید امنیت را در اولویت قرار دهید. به طور کلی، وردپرس یک CMS امن است، اما به دلیل منبع باز بودن، از آسیب ‌پذیری‌های حیاتی مختلفی رنج می‌برد.دستیابی به امنیت وردپرس زمانی ساده است که گام های درست را بردارید.

وردپرس نرم افزاری تحت وب است که می‌توانید از آن برای ساخت سرویس های وبلاگ‌دهی و وبسایت  استفاده کنید. امروزه به دلیل اینکه از این سرویس مدیریت محتوا استفاده فراوانی می‌شود، نیاز به افزایش امنیت و محرمانگی چندین برابر احساس می شود.

چرا به امنیت وردپرس نیاز دارید؟

چرا هر وب سایت موفقی که با وردپرس ساخته شده است، امنیت را در اولویت قرار می دهد. این موارد برای مشاغل با هر اندازه، شهرت و صنایع اعمال می شود. از اطلاعات و شهرت شما محافظت می کند. اگر مهاجمان به اطلاعات شخصی شما یا بازدیدکنندگان وب سایت شما دست یابند، کاری که می توانند با این اطلاعات انجام دهند پایانی ندارد. نقض‌های امنیتی شما را در معرض نشت داده‌های عمومی، سرقت هویت، باج‌افزارها، خرابی سرورها قرار می‌دهند.

وردپرس چقدر امن است؟

وردپرس یک سیستم مدیریت محتوای ایمن است. با این حال، می تواند در برابر حملات آسیب پذیر باشد درست مانند هر CMS. هیچ راهی برای دور زدن آن وجود ندارد وب سایت هایی که از وردپرس استفاده می کنند یک هدف محبوب برای حملات سایبری هستند. در گزارش امنیتی وردپرس خود، یک سرویس فایروال به نام Wordfence، 18.5 میلیارد درخواست حمله رمز عبور را در وب سایت های وردپرس مسدود کرد.

در این مقاله سعی داریم چند نکته برای افزایش امنیت در وردپرس بیان کنیم تا همواره از چشم هکران در امان باشید.

روش‌های افزایش امنیت در وردپرس

1.مراحل ورود خود را ایمن کنید.

اساسی ترین گام برای ایمن سازی وب سایت شما، ایمن نگه داشتن حساب های خود از تلاش های مخرب برای ورود است. برای انجام این:

هیچ نام کاربری حسابی را  adminنسازید

 به احتمال زیاد، این اولین نام کاربری است که مهاجمان در طول تلاش برای ورود به سیستم وارد می شوند. اگر قبلاً کاربری با این نام ایجاد کرده‌اید، یک حساب کاربری جدید با نام کاربری دیگری ایجاد کنید. برای نام کاربری صفحه ی ورود به بخش مدیریت هرگز از کلماتی مانند :admin ،administrator ،…. استفاده نکنید. زمانی که ورد پرس را نصب می‌کنید اولین کاربر با نقش admin  ساخته می‌شود برای اینکه پنل ورد پرس خود را با امنیت بیشتری مدیریت کنید بهتر است که کاربر admin  را حذف کرده و از نو بسازید یا اینکه نقش کاربری آن را از administrator به subscriber  تغییر دهید.

 از گذرواژه‌های قوی استفاده کنید

اطمینان حاصل کنید که همه کاربرانی که دارای حساب در پشتیبان وردپرس شما هستند از گذرواژه‌های قوی برای ورود استفاده می‌کنند. ممکن است بخواهید از یکی از مدیران رمز عبور توصیه‌شده ما برای ایجاد رمزهای عبور قوی و پیگیری آن‌ها برای خود استفاده کنید. در رمز عبور حساب کاربری خود، از کلمات و کاراکترهایی استفاده کنید که به راحتی قابل حدس نباشد. در بخش انتخاب رمز عبور در وردپرس، نشان می‌دهد رمز عبور تا چه حد قوی است از این طریق هم می‌توان امنیت را  افزایش داد.

محدود کردن تلاش‌ها برای ورود

 قرار دادن یک سقف برای تعداد دفعاتی که کاربر در مدت زمان معینی اعتبارنامه‌های اشتباه را وارد می‌کند، از هکرها جلوگیری می‌کند. برخی از سرویس‌های میزبانی و فایروال‌ها ممکن است این کار را برای شما انجام دهند. کسی که قصد هک کردن وب‌سایت شما را داشته باشد می‌تواند از طریق وارد کردن تعداد زیادی نام کاربری و رمز عبور اطلاعات شما را حدس زده و وارد مدیریت شود ولی با افزودن افزونه‌ی محدود کردن ورود به وردپرس (limit-login-attempts) از این ورود جلوگیری کرده و حتی با تعداد دفعات بالا از تلاش مجدد جلوگیری می‌کند.

افزودن کپچا

 احتمالاً این ویژگی امنیتی را در بسیاری از وب سایت های دیگر دیده اید. آنها با تأیید اینکه شما واقعاً یک فرد زنده هستید، یک لایه امنیتی اضافی به ورود شما اضافه می کنند. می توانید از افزونه ها برای افزودن کپچا به سایت خود استفاده کنید. reCaptcha by BestWebSoft یکی از مواردی است که ما توصیه می کنیم .

فعال کردن احراز هویت دو مرحله‌ای

 احراز هویت دو مرحله‌ای از کاربران می‌خواهد تا ورود خود را با دستگاه دوم تأیید کنند. این یکی از ساده ترین و در عین حال موثرترین ابزارها برای ایمن سازی ورود شماست. در صورت اشتباه وارد کردن رمز عبور و نام کاربری با پیغام خطا مواجه می‌شوید که خود وردپرس در اختیار شما قرار می‌دهد. زمانی‌ که هر دو شناسه و رمز، یا یکی از آنها را اشتباه وارد کنید قطعا با پیغام خطا مواجه می‌شوید. ولی همین پیغام‌ها می‌توانند به نفوذ در وب‌سایت شما تاثیر زیادی بگذارد چون کاملا مشخص است که مشکل از کجاست. با اضافه کردن کدهای زیر به انتهای فایل function.php قالب خود، این مشکل را برطرف نمایید.

} () function failed_login

 ‘.return  ‘the login information you have entered is incorrect

{

;add_filter ( ‘login_errors’ , ‘failed_login’ )

فعال کردن خروج خودکار

در حالی که باید به خاطر داشته باشید که پس از اتمام از حساب WP خود خارج شوید، خروج خودکار از ورود افراد غریبه به حساب شما در صورت فراموشی جلوگیری می کند. برای فعال کردن خروج خودکار در حساب وردپرس خود، افزونه Inactive Logout را امتحان کنید.

2. از هاست امن وردپرس استفاده کنید.

هنگام انتخاب سرویسی که وب سایت شما را میزبانی می کند، عوامل زیادی وجود دارد که باید در نظر گرفته شود، اما امنیت باید در اولویت باشد. سرویس هایی را در نظر بگیرید که اقداماتی را برای محافظت از اطلاعات شما انجام داده اند و در صورت وقوع حمله، به سرعت بازیابی می شوند.

3. نسخه وردپرس خود را به روز کنید.

نسخه های قدیمی نرم افزار وردپرس یک هدف بسیار رایج برای هکرها است. اطمینان حاصل کنید که به‌طور منظم به‌روزرسانی‌های وردپرس را در اسرع وقت بررسی و نصب می‌کنید تا آسیب‌پذیری‌های موجود در نسخه‌های قدیمی‌تر را از بین ببرید.بنابراین همیشه سعی کنید از نسخه‌های به روز و قالب‌های جدید برای وب‌سایت‌ها استفاده کنید تا مشکلات نسخه‌های قبلی از لحاظ امنیتی رفع شده باشد.

4. به آخرین نسخه PHP آپدیت کنید.

ارتقاء به آخرین نسخه PHP یکی از مهم ترین اقداماتی است که می توانید برای حفظ امنیت وب سایت وردپرس خود بردارید. وقتی ارتقا آماده شد، وردپرس در داشبوردتان به شما اطلاع می‌دهد. سپس از شما می خواهد که به حساب میزبانی خود بروید تا به آخرین نسخه PHP ارتقا دهید.

5. یک یا چند افزونه امنیتی را نصب کنید.

یک یا چند افزونه امنیتی معتبر را در وب سایت خود نصب کنید. این افزونه‌ها بسیاری از کارهای دستی مرتبط با امنیت را برای شما انجام می‌دهند، از جمله اسکن وب‌سایت شما برای تلاش‌های نفوذ، تغییر فایل‌های منبعی که ممکن است سایت شما را در معرض خطر قرار دهند، تنظیم مجدد و بازیابی سایت وردپرس، و جلوگیری از سرقت محتوا مانند لینک‌های داغ.

6. از یک تم وردپرس امن استفاده کنید.

همانطور که نباید یک افزونه کلی را در سایت خود نصب کنید، در مقابل تمایل به استفاده از هر قالب وردپرس که خوب به نظر می رسد مقاومت کنید. برای جلوگیری از آسیب پذیری های ناشی از قالب وردپرس، یکی را انتخاب کنید که با استانداردهای وردپرس مطابقت داشته باشد.

7. SSL/HTTPS را فعال کنید.

SSL  فناوری است که اتصالات بین وب سایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری می کند و اطمینان می دهد که ترافیک بین سایت شما و رایانه بازدیدکنندگان از رهگیری های ناخواسته ایمن است.

استفاده از روش‌های SSL اینگونه که برای استفاده از آدرس https:// می بایست گواهینامه ssl  داشته باشید با داشتن این گواهینامه می‌توان کد زیر را در فایل function.php اضافه کرد.

;define (‘ FORCE_SSL_ADMIN ‘ , true)

و همچنین افزونه‌ای با نام admin SSL  را نصب و تنظیمات لازم را انجام دهید.

8. یک فایروال نصب کنید.

یک فایروال بین شبکه ای که سایت وردپرس شما را میزبانی می کند و تمام شبکه های دیگر قرار می گیرد و به طور خودکار از ورود ترافیک غیرمجاز از خارج به شبکه یا سیستم شما جلوگیری می کند. فایروال ها با از بین بردن ارتباط مستقیم بین شبکه شما و سایر شبکه ها، از فعالیت های مخرب سایت شما جلوگیری می کنند.

9. از وب سایت خود نسخه پشتیبان تهیه کنید.

هک شدن بد است از دست دادن تمام اطلاعات شما حتی بدتر است. اطمینان حاصل کنید که در صورت بروز حمله که باعث از دست رفتن داده ها می شود، از اطلاعات وب سایت خود توسط وردپرس و میزبان خود نسخه پشتیبان تهیه شده است. توصیه می کنیم بک آپ گیری نیز خودکار باشد.

10. اسکن های امنیتی وردپرس را به طور منظم انجام دهید.

این ایده خوبی است که بررسی های معمولی را در سایت خود انجام دهید. حداقل یک بار در ماه هدف گذاری کنید. می توانید با افزونه هایی که وجود دارند سایتتان را اسکن کنید.

11. نسخه وردپرس خود را پنهان کنید.

وب‌سایت‌های وردپرس همواره نسخه وردپرس را در صفحات خود نمایان می‌کنند برای مخفی نگه داشتن شماره نسخه می‌بایست از فایل،  readme.html را حذف کنید و یا کلا فایل را پاک کنید. سپس در انتهای فایل function.php کد زیر را اضافه کنید.

} () function remove_wp_version

 ; ‘ ‘ return

{

;add_filter ( ‘the_generator’ ,  ‘remove_wp_version’)

افزونه‌های زیادی برای افزایش امنیت سایت وجود دارد که با هر کدام از آن‌ها می‌توان از امنیت بالایی برخوردار بود، ولی در حالت کلی اگر از سرور قدرتمندی با امنیت بالا استفاده کنید درصد احتمال هک کردن سایت شما بسیار پایین است.