در این مقاله قصد داریم به معرفی راهکارهایی جهت افزایش امنیت سایت های وردپرسی بپردازیم. البته توجه داشته باشید که امنیت هیچ گاه به صورت کامل نبوده و تنها میتوانیم با انجام اقداماتی تا حد زیادی از هک و نفوذ به وب سایت خود جلوگیری کنیم.

امنیت یکی از مباحث بسیار مهم در ایجاد یک وب سایت است که باید از همان ابتدای طراحی وب سایت مورد توجه قرار بگیرد.زیرا که پس از هک شدن وب سایت ، علاوه بر دسترسی به اطلاعات ، با قرار گرفتن کدهای مخرب توسط هکر ، اطلاعات بدون اطلاع شما به صورت دائمی از سایت استخراج خواهد شد.وب سایت های وردپرسی از جمله سایت های بسیار آسیب پذیر میباشند. افزایش امنیت در وردپرس تا حدی با استفاده از افزونه ها امکانپذیر خواهد بود. با استفاده از روش ها امنیتی زیر میتوانید تا حد بسیار زیادی از هک شدن وب سایت وردپرسی خود جلوگیری نمایید.

 

تامین امنیت وردپرس و جلوگیری از هک وردپرس

۱. ایجاد محدودیت در ورود به سایت و ایمن کردن صفحه لاگین وردپرس

تامین امنیت صفحه ورود به سایت جهت جلوگیری از حملات DDOS بسیار حائز اهمیت میباشد.ایجاد محدودیت در ورود به وب سایت جهت جلوگیری از حملات Brute Force ، که معمولا به صورت خودکار صورت می گیرد ، میتواند با عوض کردن مسیر صفحه ورود به سایت با استفاده از افزونه Lockdown WP Admin انجام شود. همچنین میتوان دسترسی افراد را براساس عملکرد آنها با استفاده از افزونه Advanced Access Manager محدود نمود.

همچنین میتوان دسترسی به صفحه لاگین مدیریت وردپرس را با استفاده از آدرس آی پی محدود نمود. برای انجام این کار به مسیر wp-admin در فایل منیجر هاست شده  و فایل htaccess. را ویرایش کرده و کد زیر را در آن قرار میدهیم:

order deny,allow
allow from 192.168.5.1
deny from all

 به جای آدرس آی پی ، آدرس آی پی استاتیک خود را وارد میکنیم تا تنها خودمان اجازه دسترسی به صفحه لاگین مدیریت سایت را داشته باشیم.

 

۲. غیرفعال کردن ویرایشگر فایل

یکی از قابلیت‌های وردپرس استفاده از ویرایشگر کد در پیشخوان وردپرس هست که با استفاده از آن میتوان تمامی فایل‌های قالب و افزونه وردپرس را ویرایش کرد. یکی دیگر از روش‌های افزایش امنیت در وردپرس، غیرفعال کردن حالت ویرایشگر است. در صورت نفوذ هکر به وردپرس ، می‌تواند از بخش نمایش> ویرایشگر به کدهای وب سایت دسترسی داشته و آنها را تغییر دهد.برای غیرفعال کردن این بخش باید کد زیر را در فایل wp-config.php قرار دهیم:

define('DISALLOW_FILE_EDIT', true);

بعد از قرار دادن کد بالا امکان ویرایش فایل‌های قالب و افزونه از طریق ویرایشگر پیشخوان وردپرس غیرفعال خواهد شد.

پس از انجام این کار میتوانید تغییرات را از طریقFTP  و یا وارد شدن به هاست، انجام دهید.

 

۳. غیرفعال کردن XML-RPC

XML-RPC یک برنامه رابط کاربری یا API است که امکان مدیریت از راه دور را در وردپرس فراهم میکند مانند امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس و .... با استفاده از تابع system.multicall هکر میتواند همزمان چندین درخواست را به سایت ارسال کرده و رمز ورود وردپرس را پیدا خواهد کرد. پس در استفاده از XML-RPC دقت زیادی داشته باشید تا با خطرات امنیتی مواجه نشوید.

 

۴. استفاده از آخرین ورژن وردپرس و آپدیت پلاگین ها و قالب

توسعه دهندگان وردپرس همواره در حال انتشار نسخه جدید وردپرس و افزونه و قالب های آن هستند تا مشکلات و باگ های امنیتی نسخه های قبلی را پوشش دهند.شما نیز همواره جهت افزایش امنیت سایت وردپرسی خود ، اقدام به آپدیت ورپرس ، افزونه و قالب های مورد استفاده نمایید.

با استفاده از ویژگی به روز رسانی خودکار وردپرس نیز میتوانید این کار را انجام دهید. برای انجام این کار ، باید فایل wp-config.php را ویرایش کرده و کد زیر را در آن قرار دهیم:

# Enable all core updates, including minor and major:
define( 'WP_AUTO_UPDATE_CORE', true );

برای بروزرسانی خودکار پلاگین های وردپرس فایل wp-config.php را ویرایش کرده و کد زیر را در آن قرار دهیم:

add_filter( 'auto_update_plugin', '__return_true' );

برای بروزرسانی خودکار پوسته های وردپرس فایل wp-config.php را ویرایش کرده و کد زیر را در آن قرار دهیم:

add_filter( 'auto_update_theme', '__return_true' );

 

۵. عدم استفاده از افزونه و قالب نال شده

در صورت دانلود افزونه و قالب  نال ، امکان دارد با داشتن یک کد مخرب درون یکی از فایل های افزونه و یا قالب ، وب سایت شما مورد نفوذ هکرها قرار بگیرد.

 

۶. حذف تمامی افزونه ها و پوسته های غیرضروری و غیرفعال

توجه داشته باشید که همواره افزونه های غیر ضروری و افزونه هایی که از آنها استفاده نمینمایید را حذف نمایید زیراکه منجر به کاهش سرعت و عملکرد وب سایت خواهند شد.

 

۷. محافظت از فایل های wp-config.php و htaccess.

یکی دیگر از روش‌های افرایش امنیت در وردپرس، محافظت از فایل های مهم مانند wp-config.php و  htaccess. است. فایل wp-config.php یکی از مهم‌ترین فایل‌های سایت وردپرسی است که اطلاعات دیتابیس در آن قرار دارد. میتوانید دسترسی به این فایل را محدود کرده تا تنها شما قادر به مشاهده این فایل باشید.

htaccess نیز یکی از فایل های مهم وردپرس است که با استفاده از آن کارهای مختلفی روی سایت اعمال خواهد شد. برای مخفی کردن این دو فایل پیش از هر اقدامی ابتدا از این فایل ها یک نسخه بکاپ تهیه میکنیم. برای این کار به فایل منیجر هاست رفته و کد زیر را در فایل wp-config.php قرار میدهیم:

 

<Files wp-config.php>

order allow,deny

deny from all

</Files>

همچنین برای محافظت از فایل htaccess. ، کد زیر را در آن قرار میدهیم:

 

<Files .htaccess>

order allow,deny

deny from all

</Files>

همچنین میتوانیم با استفاده از افزونه Yoast SEO این کار را انجام دهیم.

 

علاوه بر این دقت نمایید که برای پرمیشن پوشه ها از پرمیشن ۷۵۰ یا از ۷۵۵ و برای فایل ها از پرمیشن ۶۴۰ یا ۶۴۴ استفاده نمایید. برای فایل wp-config.php نیز پرمیشن ۶۰۰ تنظیم کنید.

 

۸. عدم استفاده از نام کاربری ادمین برای مدیر وب سایت

برای انجام این کار تنها کافیست به جای استفاده از نام کاربری پیش‌فرض وردپرس ، نام کاربری مناسب تری انتخاب کنید. برای انتشار مطالب در سایت ، یک نام کاربری ایجاد کرده و با استفاده از آن مطالب را ایجاد نمایید. زیراکه مطالب با همین نام کاربری نمایش داده خواهند شد.

 

۹. استفاده از پسوردهای پپچیده و تعویض آنها به صورت دوره ای

برای برقراری امنیت در وردپرس ، پسوردهایی انتخاب نمایید که پیچیده و طولانی باشند تا کسی نتواند به راحتی آن را حدس بزند. میتوانید از وب سایت strongpasswordgenerator جهت ایجاد پسورد مناسب استفاده نمایید. دقت نمایید برای برای هر بخش از سایت مانند ورود به هاست، اکانت  FTP، دیتابیس و… نیز از رمز قوی استفاده نمایید.

 

۱۰. استفاده از احراز هویت دو مرحله ای برای ورود کاربران

راهکار دیگر جهت افزایش امنیت وب سایت و جلوگیری از حملات Brute Force ، استفاده از احراز هویت دو مرحله‌ای است.

برای انجام این کار میتوانید از افزونه wordfence Security استفاده کنید.