آموزش بیست ترفند افزایش امنیت وردپرس در سال 2023

وردپرس به عنوان یک سیستم مدیریت محتوا (CMS) پرطرفدار و کاربردی شناخته می‌شود که وب سایت‌های بسیاری از طریق آن طراحی و راه اندازی شده‌اند. همانطور که می‌دانید WordPress یک اسکریپت رایگان و متن باز است که مانند هر نرم افزار و یا سیستم راه اندازی وبلاگ و یا وب سایت در معرض خطر هک شدن و سرقت اطلاعات قرار دارد. به همین جهت وب مسترها همواره به دنبال روش‌های مختلفی جهت افزایش امنیت وردپرس هستند تا با بکارگیری آنها بتوانند خطر هک شدن وب سایت خود را تا حد امکان کاهش دهند. جالب است بدانید که گوگل هر روز بیش از 1000 وب سایت را به دلیل نفوذ بدافزارها (Maleware) و هر هفته حدود 5000 وب سایت را نیز به دلیل حملات فیشینگ (Phishing) در لیست سیاه خود قرار می‌دهد و به نوعی آنها را مسدود می‌کند. بنابراین افزایش امنیت وردپرس و جلوگیری از هک شدن وب سایت‌های مبتنی بر وردپرس یکی از موضوعات مهمی است که باید به آن توجه داشته باشید. تکنیک‌ها و روش‌های بسیاری جهت افزایش امنیت وردپرس وجود دارند که با استفاده از آنها می‌توانید از سایت خود در برابر حملات بدافزارها و هکرها محافظت نمایید. در ادامه این مطلب با آموزش بالا بردن امنیت وردپرس با شما همراه خواهیم بود و اهمیت افزایش امنیت سایت‌های وردپرسی را به طور کامل مورد بررسی قرار می‌دهیم.

چرا افزایش امنیت وردپرس از اهمیت بالایی برخوردار است؟

شاید گمان کنید که تنها وب سایت‌های بزرگ در معرض خطر هک شدن و تخلیه اطلاعات هستند و وب سایت‌های کسب و کاری کوچک، هیچگاه مورد توجه هکرها قرار ندارند. در صورتی که چنین نیست و هکرها با دسترسی به برخی اطلاعات شخصی و مهم وب سایت‌ها، کسب درآمد می‌کنند. بنابراین اهمیتی نمی‌دهند که وب سایت و یا کسب و کار شما کوچک است یا بزرگ. هک کردن یک وب سایت موجب دسترسی اشخاص غریبه به اطلاعات شخصی شما و در نهایت سواستفاده از آنها می‌شود. وب سایت‌های مبتنی بر وردپرس نیز از این قاعده مستثنی نیستند و همواره در معرض خطر هک شدن قرار دارند. از این رو همیشه باید اقدامات لازم در جهت افزایش امنیت وردپرس را انجام دهید تا از حملات بدافزارها و فیشینگ در امان بمانید.

20 ترفند افزایش امنیت وردپرس

اگر صاحب یک وب سایت وردپرسی هستید و سال‌ها برای کسب اعتبار و جلب اعتماد مشتریان و یا کاربران تلاش کرده‌اید، حتما باید به فکر افزایش امنیت صفحه خود باشید. برای افزایش امنیت وردپرس تکنیک‌های ساده اما کاربردی بسیاری وجود دارند که با اجرای آنها به راحتی می‌توانید از وب سایت خود در برابر هکرها محافظت کنید. در این بخش بیست ترفند جهت افزایش امنیت وردپرس را به آموزش می‌دهیم.

انتخاب یک هاست معتبر و باکیفیت

انتخاب یک هاست (Host) قابل اعتماد، باکیفیت و امن اولین اقدامی است که باید در جهت افزایش امنیت وردپرس خود انجام دهید. بسیاری از هاست‌ها سطح کیفی پایینی دارند و به راحتی توسط هکرها مورد حمله قرار می‌گیرند. بنابراین پیش از انجام هرگونه اقدام در راستای افزایش امنیت وب سایت وردپرسی خود ابتدا یک شرکت معتبر ارائه دهنده خدمات هاستینگ پیدا کنید. برای خرید هاست به فکر صرفه جویی نباشید زیرا امنیت سایت شما تا حد زیادی در گرو عملکرد بهینه و قوی هاست است و به همین دلیل باید از یک شرکت شناخته شده و معتبر خرید کنید.

محافظت از فایل wp-config.php

محافظت از فایل wp-config.php یکی دیگر از روش های بالا بردن امنیت وردپرس محسوب می‌شود که باید توجه ویژه‌ای به آن داشته باشید. wp-config.php یکی از مهم‌ترین فایل‌های موجود در وردپرس است که اطلاعات حیاتی همچون نام پایگاه داده، نام کاربری و رمز عبور سایت در آن قرار دارند. هکرها از طریق دسترسی به این فایل می‌توانند اطلاعات محرمانه و مهم وردپرس شما را بدست آورند و به راحتی آن را هک کنند. برای محافظت از فایل wp-config.php باید آن را از دایرکتوری ریشه به سطوح بالاتر انتقال دهید تا هیچ کسی به جز خودتان امکان دسترسی به آن را نداشته باشد. البته پیش از انجام این کار بهتر است از فایل خود نسخه پشتیبان تهیه کنید.

غیرفعال کردن امکان ویرایش فایل ها و تنظیمات

اگر کاربری به عنوان ادمین به داشبورد وردپرس شما دسترسی داشته باشد، به راحتی می‌تواند هر فایلی که بخشی از نصب وردپرس است را ویرایش کند که این ویرایش تمامی پلاگین‌ها و تم‌ها را شامل می‌شود. بنابراین اگر بخش ادیت فایل‌ها و تنظیمات توسط اشخاص دیگر را غیرفعال کنید، هیچکس حتی هکرها نیز نمی‌توانند تغییری در آنها ایجاد کنند. برای انجام این کار، آدرس زیر را در انتهای فایل wp-config.php اضافه کنید:

Define ('DISALLOW_FILE_EDIT', true);

سطوح دسترسی دایرکتوری ها را به دقت انتخاب کنید

بررسی سطوح دسترسی دایرکتوری‌های یکی دیگر از اقدامات مهم جهت افزایش امنیت وردپرس است به خصوص اگر از یک محیط هاستینگ مشترک استفاده می‌کنید. در این حالت، تغییر دسترسی‌ فایل‌ها و دایرکتوری‌ها، روشی کارآمد جهت افزایش امنیت وب سایت در سطح میزبانی است. برای انجام این کار باید سطح دسترسی دایرکتوری را بر روی عدد 755 و دسترسی فایل‌ها را بر روی عدد 644 تنظیم کنید تا بتوانید از تمامی فایل‌ها، دایرکتوری‌ها و ساب دایرکتوری‌ها به طور جداگانه محافظت کنید.

انتخاب هوشمندانه اطلاعات مربوط به لاگین

انتخاب اصولی و هوشمندانه نام کاربری و رمز عبور دشوار از دیگر روش‌های ساده اما کاربردی برای افزایش امنیت وردپرس محسوب می‌شوند که دسترسی راحت به سایت شما را برای افراد دیگر دشوار می‌سازد. نام پیش فرض تمامی وب سایت‌هایی که با وردپرس ساخته می‌شود «admin» است که باید پس از تکمیل فرآیند ساخت سایت سریعا آن را تغییر دهید. پس از انتخاب نام کاربری جدید، حال باید رمز عبور پیش فرضی که توسط وردپرس پیشنهاد شده است را نیز تغییر دهید. برای انتخاب رمز عبور سعی کنید از ترکیب عدد و حروف (بزرگ و کوچک) استفاده کنید تا پیدا کردن آن دشوار باشد.

استفاده از گزینه احراز هویت دو مرحله ای

یکی دیگر از اقدامات امنیتی که موجب افزایش امنیت وردپرس می‌شود، فعال سازی گزینه احراز هویت دو مرحله‌ای (two factor authentication) است. یعنی برای وارد شدن به وب سایت، علاوه بر وارد کردن نام کاربری و رمز عبور باید اطلاعات لاگین تکمیلی دیگری نیز وارد کنید. این اطلاعات می‌توانند یک رمز عبور ثانویه و یا پاسخ به یک سوال باشند که خودتان آنها را وارد می‌کنید و بدین ترتیب یک پوشش امنیتی برای ورود به وب سایت ایجاد می‌شود. برای انجام این کار می‌توانید از افزونه‌های مختلفی همچون افزونه Google Authenticator-Two Factor Authentication و یا افزونه WP Security Question کمک بگیرید.

استفاده از افزونه های کاربردی

نصب افزونه‌های کاربردی نیز یکی دیگر از روش های بالا بردن امنیت وردپرس است که به شما کمک می‌کند بدون دانش کد نویسی بتوانید امنیت سایت خود را افزایش دهید. افزونه‌های پشتیبان گیر و امنیتی از مهم‌ترین افزونه‌هایی هستند که باید آنها را در وب سایت وردپرسی خود نصب نمایید. به این نکته مهم نیز توجه داشته باشید که تا حد امکان از افزونه‌های رایگان استفاده نکنید زیرا این افزونه‌ها رمزگذاری‌های ضعیفی دارند و به راحتی قابل دسترسی هستند و برخی از آنها نیز می‌توانند لینک‌های اسپم و کدهای مخرب به وب سایت شما وارد کنند.

برای آشنایی با بهترین افزونه های امنیتی وردپرس رو لینک کلیک کنید.

استفاده از SSL جهت رمزگذاری داده ها

پیاده سازی SSL (Secure Socket Layer) یا اتصال امن نیز یکی دیگر از اقدامات هوشمندانه در جهت افزایش امنیت وردپرس و پنل مدیریتی شما است. SSL داده‌ها را به صورت امن میان مرورگرهای کاربر و سرور انتقال می‌دهد و دسترسی هکرها به اطلاعات شما را دشوار می‌سازد. آدرس وب سایت‌هایی که با استفاده از SSL پشتیبانی می‌شوند به صورت https://example.com نمایش داده می‌شود، در حالی که آدرس وب سایت‌های فاقد SSL به صورت http://example.com هستند. معمولا شرکتی که هاست وب سایت خود را از آن خریداری کرده‌اید، گواهینامه SSL را به صورت رایگان در اختیار شما قرار می‌دهد. در غیر این صورت باید SSL را از یک شرکت معتبر خریداری و نصب نمایید.

محدود کردن تعداد دفعات تلاش برای ورود به وردپرس

انتخاب نام کاربری و رمز عبور قوی برای افزایش امنیت وردپرس کافی نیست و برای تکمیل کردن لایه‌های امنیتی وب سایت خود بهتر است تعداد دفعات تلاش برای ورود به وردپرس را نیز محدود نمایید. وب سایت‌های وردپرسی به صورت پیش فرض هیچ محدودیتی بابت وارد کردن اطلاعات لاگین ندارند و کاربران می‌توانند تلاش‌های نامحدودی جهت ورود به وردپرس داشته باشند. اگر تعداد دفعات تلاش برای ورود به وردپرس خود را محدود نکنید، هکرها به راحتی می‌توانند اطلاعات لاگین مختلفی را برای هک کردن سایت شما امتحان کنند. اکثر افزونه‌های امنیتی وردپرس دارای گزینه‌ای برای فعال سازی این قابلیت هستند و نیازی به نصب افزونه‌های اضافی ندارید. با این حال با نصب افزونه Login LockDown می‌توانید این قابلیت را در وردپرس خود فعال کنید.

تغییر پیشوند جداول وردپرسی

اگر وب سایت خود را با سیستم مدیریت محتوای وردپرس راه اندازی کرده باشید پس حتما با پیشوند wp- آشنا هستید. وردپرس به صورت پیش فرض از این پیشوند به عنوان پیشوند تمامی جداول موجود در پایگاه داده‌های خود استفاده می‌کند. برای افزایش امنیت پایگاه داده‌های خود در وردپرس باید این پیشوند را تغییر دهید تا از دسترسی هکرها به این اطلاعات مهم جلوگیری نمایید. سعی کنید پیشوندهای پیچیده و سختی برای جداول پایگاه داده‌های خود استفاده کنید تا به راحتی قابل حدس نباشند. برای انجام این کار می‌توانید از افزونه iThemes Security استفاده کنید.

استفاده از فایروال (Firewall)

استفاده از فایروال یکی دیگر از اقدامات مهم و تاثیرگذار جهت افزایش امنیت وردپرس است که یک ابزار امنیتی بوده و از دسترسی افراد بیگانه به دستگاه شما جلوگیری خواهد کرد. هر فایروال از یک پوشش فیلترینگ جهت فیلتر کردن تمامی داده‌های ورودی به سرورها، شبکه‌ها و وب سایت‌های شما استفاده می‌کند و در کنار آن نیز تمامی داده‌ها را از طریق بررسی فایل‌ها، تجزیه و تحلیل می‌کند تا سایت شما از حمله هکرها در امان باشد. برای فعال سازی فایروال در وردپرس خود می‌توانید از افزونه Ninja Firewall استفاده کنید. این افزونه در واقع یک نرم افزار مبتنی بر وب و یک سیستم فایروال مستقل است که در وب سایت وردپرسی شما نصب می‌شود و از تمامی فایل‌ها و داده‌های ورودی آن محافظت می‌کند.

تهیه مستمر نسخه پشتیبان از فایل های وب سایت

تهیه مستمر نسخه پشتیبان از فایل‌های وب سایت نیز یکی دیگر از روش های بالا بردن امنیت وردپرس است. با انجام این کار می‌توانید همیشه یک نسخه کپی از تمامی اطلاعات و فایل‌های موجود در وب سایت خود داشته باشید تا اگر مورد حمله هکرها قرار گرفتید، نگرانی بابت از دست دادن پست‌های بلاگ، صفحات، نظرات، لینک‌ها و اطلاعات حیاتی خود نداشته باشید. حتی اگر وب سایت‌تان هک نشود نیز تهیه بک آپ از اطلاعات به شما کمک می‌کند تا اگر در زمان ایجاد برخی تغییرات در طراحی و اجزای داخلی وب سایت به طور ناگهانی اطلاعات خود را از دست دادید، همیشه یک نسخه کپی از آنها داشته باشید. برای تهیه بک آپ از اطلاعات وردپرس خود می‌توانید از افزونه BackUpWordPress و یا BackupBuddy استفاده کنید.

به روزرسانی و استفاده از آخرین نسخه وردپرس

سیستم مدیریت محتوای وردپرس جهت رفع باگ‌های امنیتی و همچنین افزودن قابلیت‌های جدید و کاربردی، دائما در حال به روزرسانی و رونمایی از نسخه‌های جدید است. استفاده از آخرین نسخه وردپرس یکی دیگر از شیوه‌های افزایش امنیت آن است که به شما کمک می‌کند وب سایت خود را همواره به روز و امن نگه دارید و از قابلیت‌های جدید آن نیز بهره مند شوید. علاوه بر وردپرس، افزونه‌هایی که در سایت خود نصب کردید نیز باید همواره به روزرسانی شوند تا خطر دسترسی هکرها به وب سایت شما به حداقل برسد.

حذف شماره نسخه وردپرس

یکی دیگر از تکنیک‌های افزایش امنیت وردپرس که دسترسی هکرها به وب سایت شما را دشوار می‌سازد، حذف شماره نسخه وردپرس است که در قسمت که در قسمت پایین داشبورد وب سایت قرار دارد. نکته حائز اهمیت درباره شماره نسخه وردپرس این است که اگر هکرها بدانند که شما در حال حاضر از کدام نسخه وردپرس استفاده می‌کنید، بسیار راحت‌تر می‌توانند با اجرای ترفندهای مختلف به وب سایت شما دسترسی پیدا کنند. برای حذف و پنهان کردن شماره نسخه وردپرس می‌توانید از افزونه‌های امنیتی قبلی استفاده کنید و یا به صورت عمومی‌تر (و همچنین حذف شماره نسخه از فیدهای RSS) می‌توانید آدرس زیر را به فایل functions.php خود اضافه نمایید:

function wpbeginner_remove_version ()  {
return  '' ;
}
add_filter( 'the_generator',  'wpbeginner_remove_version' ) ;

بررسی ممیزی لاگ (Audit Log)

بررسی ممیزی لاگ یکی دیگر از اقدامات مهمی است که باید به عنوان یک وب مستر در جهت افزایش امنیت وردپرس خود انجام دهید. ممیزی لاگ به معنای ضبط و ثبت تمامی وقایع، رویدادها و فعایت‌هایی است که توسط کاربران و ادمین‌های دیگر سایت انجام می‌شوند. هنگامی که چندین وب سایت وردپرسی را اداره کنید و یا وب سایت شما در اختیار چندین نویسنده و یا اعضای دیگر است، باید نوع فعالیت‌ها و اقداماتی که در سایت انجام می‌شوند را به دقت تحت نظر داشته باشید. برخی نویسندگان و یا ادمین‌های دیگر وب سایت ممکن است رمز عبور سایت را تغییر دهند و یا اقدام به انجام کارهایی کنند که در حوزه اختیارات آنها قرار ندارند. از این رو با چک کردن و بررسی دقیق قسمت Audit Log می‌توانید تمامی فعالیت‌های تیم خود را تحت نظر داشته باشید و اطمینان حاصل کنید که ادمین‌های دیگر هیچ چیزی را بدون هماهنگی با شما تغییر نمی‌دهند. برای بررسی فعالیت‌های سایر افراد در وب سایت خود می‌توانید از افزونه WP Security Audit Log استفاده کنید تا لیست کاملی از تمامی اقدامات آنها در اختیار داشته باشید و آنها را در قالب نوتیفیکیشن و یا ایمیل دریافت نمایید.

استفاده از پسورد منیجر

همه ما می‌دانیم که هر چند وقت یک بار باید پسورد وب سایت خود را تغییر دهیم و پسوردهای سخت و غیرقابل حدس برای اکانت‌های خود انتخاب کنیم. اما گاهی انجام این کار مهم را فراموش می‌کنیم و وب سایت خود را در معرض خطر هک شدن قرار می‌هیم. در حالی که تغییر پسورد و انتخاب رمزهای عبور دشوار به عنوان یکی از مهم‌ترین اقدامات امنیتی در جهت افزایش امنیت وردپرس است. در این مواقع می‌توانید از ابزارهای کاربردی پسورد منیجر (password manager) استفاده کنید تا این مشکل را برای همیشه برطرف نمایید. این ابزار نه تنها پسوردهای سخت و مطمئنی را برای شما می‌سازد بلکه آنها را در یک حافظه امن ذخیره می‌کند و زحمت به خاطر سپردن پسوردهای سخت را از دوش شما برمی‌دارد.

استفاده از آدرس ایمیل برای ورود به سایت

به صورت پیش فرض برای ورود به وردپرس باید نام کاربری را به همراه رمز عبور وارد کنید. در بخش‌های قبلی درباره نحوه انتخاب رمز عبور نکاتی را بررسی کردیم اما برای انتخاب نام کاربری بهتر است به جای استفاده از اسامی ساده، آدرس ایمیل خود را وارد نمایید. زیرا نام‌های کاربری ساده به راحتی قابل حدس هستند و از این رو بهتر است به جای نام‌های ساده همچون اسم کوچک خودتان از آدرس ایمیل خود استفاده کنید. بدین ترتیب پیش بینی و دسترسی به نام کاربری شما برای هکرها دشوار می‌شود و همین موضوع موجب افزایش امنیت وردپرس شما خواهد شد.

تنظیم فایل htaccess.

تنظیم فایل htaccess. نیز یکی دیگر از اقدامات موثری است که می‌توانید در جهت افزایش امنیت وردپرس خود انجام دهید. فایل htaccess. در پوشه public_html یا پوشه root سرور وب‌ سایت‌های مبتنی بر وردپرس قرار دارد و از قابلیت‌هایی همچون کنترل ریدایرکت‌ها، کنترل نمایش خطاهای Apache، قرار دادن پسورد بر روی پوشه‌های خاص، تنظیمات کش و Expire Date آن، مسدود کردن یک یا چند IP خاص و غیره برخوردار است. این فایل در واقع سرور شما را پیکربندی می‌کند و با ایجاد و تنظیم صحیح آن می‌توانید امنیت وب سایت خود را افزایش دهید. برای تنظیم فایل htaccess. کدهای مختلفی وجود دارند که با قرار دادن آنها در فایل خود امنیت سایت وردپرسی‌تان افزایش پیدا خواهد کرد.

انتخاب رمزهای عبور قوی برای پایگاه داده‌ ها

داشتن رمز عبور قوی برای کاربر اصلی پایگاه داده یک ضرورت است زیرا وردپرس از این رمز عبور برای دسترسی به پایگاه داده استفاده می‌کند. به همین جهت برای انتخاب رمز عبور پایگاه داده‌ها باید مانند سایر رمزهای عبور خود از حروف بزرگ، کوچک، اعداد و کاراکترهای خاص استفاده کنید. برای انتخاب پسوردهای دشوارتر می‌توانید از ابزار Secure Password Generator کمک بگیرید.

تغییر URL ورودی وب سایت وردپرس

تغییر URL ورودی وب سایت وردپرس نیز آخرین ترفند برای افزایش امنیت وردپرس است که انجام آن بسیار ساده بوده و دسترسی هکرها به سایت شما را بسیار دشوار و حتی غیرممکن می‌سازد. صفحه لاگین وردپرس به صورت پیش فرض از طریق افزودن عباراتی همچون wp login.php و یا wp admin به URL اصلی سایت، قابل دسترسی است. زمانی که هکرها آدرس مستقیم صفحه ورود شما را بدانند، به راحتی می‌تواند وارد آن شوند. بنابراین با تغییر آن می‌توانید از ورود افراد غریبه به وردپرس خود جلوگیری نمایید. برای تغییر URL ورودی وب سایت وردپرسی خود می‌توانید از افزونه WPS Hide Login استفاده کنید. کار با این افزونه بسیار ساده است و تنها کافی است URL جدید صفحه ورود خود را در آن وارد کرده و تغییرات نهایی را ذخیره کنید. شما می‌توانید URL صفحه خود را با نام دلخواهتان تغییر دهید و محدودیتی در انتخاب نخواهید داشت.

با اجرا و پیاده سازی این 20 ترفند کاربردی به راحتی می‌توانید امنیت وب سایت وردپرسی خود را افزایش دهید و دسترسی افراد غریبه به صفحه‌تان را تقریبا غیر ممکن سازید. هرچه نسبت به افزایش امنیت وردپرس خود حساس‌تر و دقیق‌تر باشید، دسترسی و ورود هکرها به آن را دشوارتر می‌سازید. بنابراین اگر وب سایت خود را با استفاده از سیستم مدیریت محتوای وردپرس راه اندازی کرده‌اید، حتما ترفندها و روش های بالا بردن امنیت وردپرس که در این مطلب به آنها پرداختیم را در وب سایت خود اجرا کنید.

منبع:

www.codeinwp.com/blog/secure-your-wordpress-website