روش‌های افزایش امنیت در وردپرس

وردپرس یکی از بهترین سیستم‌های مدیریت محتواست که این روزها بسیاری از برندهای بزرگ برای راه‌اندازی سایت از آن استفاده می‌کنند (اگر می‌خواهید اطلاعات خود را در این زمینه افزایش دهید، می‌توانید مقاله بهترین سیستم های مدیریت محتوا را مطالعه کنید). امنیت از جمله مواردی است که کاربران به آن اهمیت می‌دهند. هیچ‌کس تمایل ندارد وارد سایتی شود که امنیتش پایین است و ممکن است اطلاعاتش در اختیار دیگران قرار گیرد. زمانیکه سایت هک شود و یا مورد حملات ویروسی اینترنتی قرار گیرد، نه تنها نارضایتی کاربران افزایش پیدا می‌کند، بلکه به اعتبار برند آسیب‌های زیادی وارد می‌گردد. در نتیجه، توجه به روش های افزایش امنیت در وردپرس یکی از مسائلی است که هرگز نباید نادیده گرفته شود.

عدم افزایش امنیت، آسیب‌های شدید به سایت

وقتی وبمستران به روش‌های افزایش امنیت در وردپرس توجهی ندارند، باید منتظر باشند اتفاقات ناگواری در سایت رخ دهد. بسیاری از این آسیب‌ها غیر قابل جبران هستند و برند را برای همیشه در بدنامی قرار می‌دهند.

این موارد به شرح زیر هستند:

• دزدیده شدن اطلاعات کاربران
• نصب نرم‎افزارهای مخرب بر روی سایت توسط هکرها
• لو رفتن بخشی از اطلاعات شخصی
• افت رتبه سایت
• آسیب به سئو

استفاده از روش‌های افزایش امنیت در وردپرس سئو را بهبود می‌بخشد. امروزه رقابت در فضای اینترنت بسیار زیاد است. زمانیکه سئو ضعیف شود، زمان بسیار زیادی طول می‌کشد تا دوباره به جایگاه اولیه بازگردد. در این شرایط، شما ضررهای مالی زیادی را تجربه می‌کنید و اعتبار شما زیر سوال می‌رود. در نتیجه، وبمستران باید همواره به روش‌های افزایش امنیت در وردپرس توجه داشته باشند.

اهمیت استفاده از روش‌های افزایش امنیت در وردپرس

در بالا به برخی از مواردی که باعث می‌شوند تمامی وبمستران استفاده از روش‌های افزایش امنیت در وردپرس را مدنظر قرار بگیرند؛ اشاره کردیم. اما در اینجا می‌خواهیم توجه شما را به سمت دیگری نیز معطوف سازیم. قرن بیست ‌و یکم قرنی است که تمامی افراد به حقوق خود واقف هستند و احترام به حقوق دیگران از جمله اموری است که نباید نادیده گرفته شود. در سال 2000، اینترنت در دسترس همگان قرار گرفت و به زودی به بخش جدایی‌ناپذیری از زندگی انسان‌ها تبدیل شد. به همین دلیل، سازمان‌های حقوقی تصمیم به وضع قوانینی برای احترام به حقوق کاربران اینترنتی گرفتند.

ایجاد بستر امن در اینترنت از مهم‌ترین حقوق کاربران در بستر اینترنت است. به همین دلیل، وب‌سایت‌ها جدا از مسائلی مانند حفظ اعتبار برند و کمک به حفظ منابع مالی، باید حقوق کاربران خود را نیز مدنظر داشته باشند. بر اساس بررسی‌هایی که در دنیای وب انجام شده است، مشخص گردیده است هر چقدر امنیت سایت‌ها بالاتر باشد، کاربران حس بهتری در آن دارند و احترام زیادی به آن برند می‌گذارند. این مسئله باعث می‌شود تعامل دو طرفه‌ای میان کاربران و صاحبان سایت‌ها به وجود بیاید که بسیار ارزشمند است.

روش‌‌های افزایش امنیت در وردپرس

وقتی صحبت از روش‌های افزایش امنیت در وردپرس می‌شود، منظور تمامی اقداماتی است که باعث می‌شود سایت شما امن باشد و هرگز مورد حمله هکرها و بدافزارها قرار نگیرد.

این مسئله به حدی جدی است که تمامی شرکت‌های بزرگ دنیا که از وردپرس استفاده می‌کنند، دائما در حال آپدیت‌سازی روش‌های افزایش امنیت در وردپرس هستند. زیرا می‌دانند با اینکار می‌توانند همیشه جایگاه خود را در فضای اینترنت حفظ کنند و این مسئله می‌تواند به تامین منابع مالی آنها کمک نماید و اعتبار برند را بالا ببرد.

در ادامه، تلاش می‌کنیم به معرفی مهم‌ترین روش های افزایش امنیت در وردپرس بپردازیم.

آپدیت‌ کردن منظم وردپرس

وردپرس یکی از پلتفرم‌های محبوب اوپن سورس است.

اوپن سورس بودن بدین معناست که این نرم‌افزار، دائما توسط تیم تولید توسعه در حال به‌روز رسانی است. برخی از تغییرات جزئی که بر روی این سیستم مدیریت محتوا صورت می‌گیرد، به صورت خودکار بر روی سایت‌های وردپرسی اعمال می‌شود.

اما وبمستران باید دائما وردپرس را آپدیت کنند و این کار یکی از مهم‌ترین روش‌های افزایش امنیت در وردپرس به شمار می‌رود. کسانی که با وردپرس کار کرده باشند؛ به خوبی می‌دانند این پلتفرم هزاران افزونه و تم دارد که وبمستران می‌توانند در وب‌سایت خود نصب کنند. با توجه به این موضوع که این افزونه‌ها دائما آپدیت می‌شوند، آپدیت‌سازی، شما را به تجربه سایتی امن نزدیک می‌کند.

توجه به نام کاربری و رمز عبور

یکی از قدیمی‌ترین روش‌های افزایش امنیت در وردپرس، توجه به نام کاربری و رمز عبور است.

نگاهی به آمار هک وردپرس نشان می‌دهد که رمزهای ساده باعث می‌شوند امنیت سایت پایین بیاید. به همین دلیل، تا زمانیکه شما رمزهای خود را ارتقا ندهید و آن‌ها را قوی نسازید، باید هرلحظه منتظر آسیب به امنیت سایت باشید. تمامی بخش‌های سی‌ام‌اس وردپرس از جمله حساب‌های FTP، پایگاه داده‌ها، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی باید دارای پسوردهای قوی باشند.

چه کسانی مدیر وردپرس هستند؟

بهتر است بدانید یکی از روش‌های افزایش امنیت در وردپرس، مشخص کردن نقش‌ها در این پلتفرم است.

تمامی افراد نباید نقش مدیر وردپرس را داشته باشند. در یکی از تجارب خود از سایتی که هک شده بود متوجه شدیم بیش از 10 نفر در سایت، نقش مدیر وردپرس را داشتند و همین امر باعث شد در پایان به امنیت سایت آسیب وارد شود.

این مسئله زمانی اهمیت پیدا می‌کند که شما یک تیم بزرگ باشید و بر روی پلتفرم وردپرس کار کنید. اگر نویسنده مهمان دارید، باید به دسترسی و تعیین نقش او در سایت وردپرس توجه داشته باشید. در غیر اینصورت، ممکن است هکرها سایت شما را مورد هدف قرار دهند.

احراز هویت دوگانه

احراز هویت دوگانه، یکی از روش‌های افزایش امنیت در وردپرس است که باعث می‌شود سایت‌های وردپرسی امنیت زیادی را تجربه کنند.

برای اینکه احراز هویت دوگانه شکل بگیرد، باید کاربر جزئیات ورود را برای دو مرحله مختلف وارد کند. صاحب وبسایت مشخص می‌کند که این دو مرحله شامل چه مواردی باشند. یک رمز عبور عمومی به همراه یک سوال محرمانه و یا یک کد محرمانه و یا جمله ای از کاراکتر‌ها، همگی می‌توانند توسط صاحب سایت مشخص شوند و امنیت سایت را به میزان زیادی افزایش دهند.

خرید هاست از مراکز معتبر

هاست، یکی از مهم‌ترین مواردی است که می‌تواند بر ساختار سایت اثر بگذارد.

خرید هاست از مراکز معتبر، نه تنها یکی از روش‌های افزایش امنیت در وردپرس به شمار می‌رود، بلکه می‌تواند اثرات دیگری نیز داشته باشد و به سئو سایت کمک می‌کند.

همچنین هاست می‌تواند شبکه را مد نظر داشته باشد و هرگونه فعالیت مشکوکی را شناسایی می‌کند. شرکت‌هایی که هاست‌های معتبر و امنی را ارائه می‌دهند؛ به ابزارهای قدرتمندی از جمله DDOS مجهز هستند که از حملات گسترده جلوگیری می‌نمایند.

شرکت‌های معتبر فروش هاست، نرم‌افزار سرور را به روز نگه می‌دارند و نسخه‌های PHP و سخت‌افزار را آپدیت می‌کنند. این کار سبب می‌شود آسیب‌پذیری امنیتی که در نسخه‌های قدیمی وجود دارد؛ به سایت‌ها آسیب وارد نکند. همچنین، هاست خود از داده‌های سایت در صورت هک شدن محافظت می‌نماید.

تهیه نسخه پشتیبان

در اینجا باید به موضوع بسیار مهمی اشاره کنیم.

همانطور که می‌دانید هیچ روشی وجود ندارد که صد در صد از سایت شما در برابر حملات ویروسی و هکرها محافظت نماید. بارها شنیده‌اید سایت‌های بزرگ دولتی در سراسر دنیا هک شده‌اند و احتمال رخداد این مسئله برای همه وجود دارد.

بنابراین، در کنار روش‌های افزایش امنیت در وردپرس؛ باید با روش‌های مقابله با حملات هکرها نیز آشنا شوید. همواره به وبمستران توصیه می‌شود که از سایت‌های خود بک‌آپ‌های دائمی داشته باشند و نسخه پشتیبان را قوی و به روز رسانی‌شده نگه دارند.  وردپرس، انواع افزونه‌های پشتیبان رایگان و پولی را برای تهیه نسخه پشتیبان در اختیار وبمستران قرار می‌دهد.

نکته بسیار مهم!

مسئله بسیار مهمی در این راستا وجود دارد که تمامی وبمستران، باید مد نظر قرار دهند.

آن‌ها باید دائما از سایت خود پشتیبان‌گیری نمایند و اطلاعات را در یک مکان امن، مانند حافظه جانبی مطمئن قرار دهند. در اینصورت، هر مشکلی برای سایت به وجود آید؛ می‌توانند اطمینان داشته باشند که داده‌های آنها از بین نرفته است.

افزونه‌هایی مانند UpdraftPlus یا BlogVault از مهم‌ترین افزونه‌هایی هستند که برای پشتیبان‌گیری از سایت به کار برده می‌شوند. این افزونه‌ها به راحتی مورد استفاده قرار می‌گیرند و نیازی به کد نویسی ندارند.

نصب افزونه امنیتی وردپرس

نصب یک افزونه امنیتی بر روی سایت‌های وردپرسی، یکی از روش‌های افزایش امنیت در وردپرس به شمار می‌رود.

افزونه امنیتی تمامی اتفاقاتی را که بر روی سایت شما رخ می‌دهد، رصد می‌کند و نظارت کاملی بر یکپارچگی فایل‌ها دارد. همچنین، تمامی تلاش‌های ناموفق برای ورود به سیستم مورد توجه قرار می‌گیرند و این مسئله در افزایش امنیت سایت بسیار مهم است.

افزونه Sucuri Scanner

اگر می‌خواهید از یکی از روش‌های افزایش امنیت در وردپرس استفاده کنید، بهتر است افزونه امنیتی Sucuri Scanner را نصب کنید.

برای استفاده از این افزونه به صورت زیر عمل کنید:

• افزونه Sucuri Scanner را فعال کنید.
• سپس به بخش مدیریت وردپرس بروید.
• در اینجا از شما خواسته می‌شود یک کلید API رایگان ایجاد کنید.

با اینکار امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی‌های مهم برای سایت شما فعال می‌گردد.

• پس از آن در منوی تنظیمات بر روی برگه “Hardening” کلیک کنید
• زمانی که مطمئن شدید تمامی مسیر را به درستی طی کرده‌اید، روی دکمه “Apply Hardening” کلیک کنید.

این کار به شما کمک می‌کند نواحی کلیدی را که هکرها اغلب در حملات خود از آن‌ها استفاده می‌کنند، قفل نمایید و این مسئله به طور مستقیم بر افزایش امنیت سایت شما اثر می‌گذارد.

• اگر می‌خواهید امنیت سایت را بالاتر ببرید، بهتر است بخش Email Alerts را در این افزونه سفارشی‌سازی نمایید.

اینکار به شما کمک می‌کند هر گونه تغییری مانند تغییر در افزونه‌ها، ثبت نام کاربر جدید و موارد دیگر را دریافت نمایید. در همینجا به شما اعلام می‌شود این روش به عنوان یکی از معتبرترین روش‌های افزایش امنیت در وردپرس شناخته شده است و وبمستران هرگز نباید قدرت آن را نادیده بگیرند.

تعویض URL صفحه ورود

یکی از روش‌های افزایش امنیت در وردپرس که افراد کمی به آن توجه دارند، تعویض URL صفحه ورود است. به طور کلی، در تمامی سایت‌های وردپرسی، پیش‌فرضی وجود دارد که صفحه ورود با اضافه کردن  wp-lohgin.php و یا wp-admin به URL اصلی وبسایت قابل دسترسی است.

این مسئله باعث می‌شود هکرها پس از دسترسی به آدرس اصلی صفحه ورود، حملات بروت فورس را آغاز کنند و این حملات با GWDb(Guess Work Database) شروع می‌شوند.

وبمستران، باید راهکار ویژه‌ای را برای این کار در نظر داشته باشند که می‌توانند از افزونهiThemes Security استفاده کنند. این کار کوچک، تاثیرات بسیار زیادی بر افزایش امنیت سایت دارد و می‌تواند سایت را به خوبی در برابر حملات هکری حفظ کند.

• برای این کار wp-login.php را به یک آیتم اختصاصی همانند  my_new_loginتغییر دهید.
• برای این کار /wp-admin/ را به یک آیتم اختصاصی همانند my_new_adminتغییر دهید.
• برای این کار /wp-login.php?action=register را به یک آیتم اختصاصی همانند my_new_registration تغییر دهید.

با این کار ساده، می‌توانید امنیت سایت وردپرسی خود را بالا ببرید و به حقوق کاربرانی که وارد سایت‌تان می‌شوند احترام بگذارید.

فعال کردن SSL / HTTPS در سایت

یکی دیگر از روش‌های افزایش امنیت در وردپرس که این روزها به شدت مورد توجه قرار گرفته است؛ فعال کردن SSL / HTTPS در سایت است.

موتور گوگل، همواره به سایت‌ها یادآوری می‌کند که به این مسئله توجه داشته باشند و این پروتکل‌ها را فعال سازند. SSL پروتکلی است که می‌تواند داده‌هایی را که بین وب‌سایت و مرورگر رد و بدل می‌شوند، رمزگذاری نماید. رمزگذاری، بستر امنی را برای کاربران به وجود می‌آورد و دیگر هیچ هکری نمی‌تواند اطلاعات مهم سایت را شناسایی کند و بدزد.

با فعال‌سازی SSL، وب‌سایت به جای HTTP به HTTPS تغییر می‌کند. همچنین، بر روی مرورگر علامت قفل دیده می‌شود که نشان‌دهنده بالا بودن امنیت سایت است. در گذشته، فعال‌سازی SSL هزینه داشت، ولی امروزه شرکت‌های معتبر هاستینگ این کار را به صورت رایگان انجام می‌دهند.

غیرفعال‌سازی گزینه ویرایش وردپرس

از روش‌های افزایش امنیت در وردپرس، می‌توان به غیرفعال‌سازی گزینه ویرایش وردپرس اشاره کرد. تمامی سایت‌های وردپرسی، دارای یک ویرایشگر کد داخلی هستند و با استفاده از آن می‌توان قالب و افزونه‌های سایت را مستقیما از قسمت مدیریت وردپرس ویرایش کرد.

بهتر است بدانید این ویژگی، یکی از ویژگی‌های بسیار مهم وردپرس است ولی در صورتیکه این کد به صورت نادرست مورد استفاده قرار گیرد؛ خطر بروز مشکلات امنیتی در سایت افزایش پیدا می‌کند و این مسئله باعث می‌شود حملات هکرها به سایت بالا برود.

به همین دلیل، همواره به وبمستران توصیه می‌کنیم این کد را خاموش کنند. این کار را می‌توانید با افزودن // Disallow file edit define( ‘DISALLOW_FILE_EDIT’, true ); به فایل  wp-config.phpانجام دهید.

غیرفعال‌سازی اجرای فایل PHP  در برخی از فهرست‌های وردپرس

غیرفعال‌سازی اجرای فایل PHP در برخی از فهرست‌های وردپرس از روش‌‌های افزایش امنیت در وردپرس به شمار می‌رود.

توصیه می‌شود فایل‌هایی را که نیاز ندارید، مانند /wp-content/uploads/ غیرفعال کنید.

این کار باعث افزایش امنیت سایت می‌شود و دیگر بدافزارها نمی‌توانند امنیت آن را تحت تاثیر قرار دهند. برای این کار باید یک ویرایشگر متنی مانند نوت پد را باز کنید و کد زیر را در آن وارد نمایید:

• <Files *.php>
• deny from all
• </Files>

پس از آن این فایل را با عنوان .htaccess ذخیره نمایید.

سپس، آن را با استفاده از یک سرویس گیرنده FTP در /wp-content/uploads/ بارگذاری کنید.

با این کار می‌توانید امنیت سایت را به میزان زیادی بالا ببرید.

محدود کردن تلاش برای ورود به وردپرس

کابران می‌توانند در هر زمان که می‌خواهند، وارد سیستم مدیریتی وردپرس شوند.

وجود این قابلیت باعث شده ‌است سایت‌های وردپرسی استفاده بسیار راحتی داشته باشند اما از طرف دیگر، این امر باعث حساسیت سایت‌ها در برابر حملات هکرها می‌شود و ممکن است هکرها با نام کاربری و رمز ورودهای مختلف وارد بخش‌های مختلف سایت شوند.

وب‌سایت رسمی وردپرس، پیشنهاد می‌دهد برای جلوگیری از این امر افزونه Login LockDown را نصب و فعال کنید. با فعال‌سازی این افزونه سایت شما در برابر حملات ویروسی و هکرها محافظت می‌گردد و در نتیجه کاربران حس بهتری را در سایت تجربه خواهند کرد.

تعویض پیشوند جدول‌های وردپرس

یکی دیگر از روش‌های امینت در وردپرس که ممکن است وبمستران کمی به آن توجه داشته باشند، تعویض پیشوند جدول‌های وردپرس است.

در سایت‌های وردپرسی، پیشوند جدولی wp-است که توسط پایگاه داده‌ها مورد استفاده قرار می‌گیرد. کارشناسان توصیه می‌کنند این پیشوند را تغییر دهید تا بتوانید سایت خود را از حملات هکرها حفظ کنید. بر اساس بررسی‌ها مشخص گردیده است استفاده از پیشوند جدولی wp- سایت را در برابر حملات sql injection بسیار شکننده می‌کند.

اگر این پیشوند به آیتم‌های دیگری مانند mywp- و wpnew-تغییر کند این حملات تا مقدار زیادی قابل کنترل و پیشگیری هستند.

اگر سایت وردپرسی خود را نصب کرده‌اید، بهتر است به این موضوع توجه داشته باشید. افزونه‌هایی مانند WP-DBManager و Itheme Security می‌توانند در اجرای این کار به شما کمک نمایند.

یک نکته بسیار مهم!

قبل از اجرای این فرآیند، به موضوع مهمی توجه داشته باشید.

حتما باید از تمامی داده‌ها و اطلاعات سایت خود بک‌آپ بگیرید.

تا زمانیکه بک‌آپ‌گیری کامل نشده است، این کار را انجام ندهید. زیرا در صورتی که در روند اجرا مشکلی پیش آمد و اطلاعات شما از دست رفت دوباره می‌توانید آن‌ها را بازیابی کنید و این مسئله امنیت سایت شما را به طور مضاعف حفظ می‌نماید.

مخفی کردن نام کاربری وردپرس

بیشتر قالب‌های وردپرسی، دارای این قابلیت هستند که نام نویسنده در پایان یک نوشته ذکر می‌شود و زمانیکه روی نام آن کلیک می‌شود؛ صفحه نویسنده باز خواهد شد که در آن نام کاربری نویسنده همان چیزی است که در آدرس نمایش داده می‌شود.

این قابلیت می‌تواند امنیت سایت را به شدت تحت ثاثیر قرار دهد. به همین دلیل، وبمستران باید به این موضوع توجه ویژه‌ای داشته باشند و با استفاده از روش‌هایی که پیش روی آنها قرار دارد آدرس صفحه نویسنده را بر اساس آدی‌دی نویسنده ساختاربندی نمایند که نام کاربری آن‌ها مشخص نگردد.

این روش به عنوان یکی از روش‌های افزایش امنیت در وردپرس است که نقش بسیار مهمی در بالا بردن امنیت داده‌های سایت دارد.

غیرفعال کردن مشاهده پوشه‌های هاست

از جمله روش های افزایش امنیت در وردپرس غیرفعال کردن مشاهده پوشه‌های هاست است. Directory Browsing این قابلیت را دارد که مورد استفاده هکرها قرار گیرد. در نتیجه، فایل‎های موجود در هر پوشه مورد بررسی و آنالیز هکرها قرار می‌گیرند و همین امر باعث می‌شود نفوذ آنها به سایت و دسترسی به داده‌ها تسهیل گردد. متاسفانه وبمستران توجه زیادی به این مسئله ندارند.

اما باید بدانید کانفیگ هاست می‌تواند بر امنیت سایت اثرگذار باشد. اگر پوشه‌های موجود در هاست در دسترس هکرها قرار گیرند، سرقت می‌شوند و این مسئله چالش‌های زیادی را در سایت به وجود می‌آورد. به همین دلیل، غیرفعال‌سازی این قابلیت اهمیت بسیار زیادی دارد.

برای این کار مسیر زیر را طی نمایید:

• وارد پنل مدیریت هاست شوید.
• به مسیر public_html بروید.
• فایل htaccess را در ریشه وب‌سایت جستجو نمایید و آن را ویرایش کنید.
• دستور Options -Indexes را به پایان فایل htaccess بیافزایید.
• فایل را ذخیره نمایید.

غیرفعال کردن XML-RPC

غیرفعال کردن XML-RPC از روش‌های افزایش امنیت در وردپرس است.

XML-RPC  امکان مدیریت از راه دور را در وردپرس، امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویس‌هایی مثل IFTTT را به وجود می‌آورد.

اگر هکرها از تابع system.multicall استفاده نمایند، می‌توانند به طور همزمان 20 درخواست را به سایت ارسال نمایند و این مسئله باعث می‌شود آنها رمز ورود به وردپرس را پیدا کنند. همچنین، با این روش امکان حمله به DDOS نیز وجود دارد.

زمانیکه XML-RPC غیرفعال می‌گردد، این نگرانی‌ها از بین می‌رود و امنیت سایت به میزان بسیار زیادی بالا می‌رود. با اینکه این نکته بسیار کم اهمیت جلوه می‌کند، اما نقش بسیار چشمگیری در تامین امنیت سایت دارد و می‌تواند به کاربران کمک نماید در فضای امن اینترنتی به اطلاعات و داده‌هایی که نیاز دارند، دست پیدا کنند.

سخن پایانی

تا به اینجا تلاش کردیم اطلاعات کاملی را در مورد روش‌های افزایش امنیت در وردپرس در اختیار شما قرار دهیم.

همانطور که متوجه شدید با استفاده از روش‌های افزایش امنیت در وردپرس می‌توانید از اطلاعات و داده‌های خود محافظت نمایید و اعتبار برند خود را بالا ببرید.

همچنین، این کار احترام به حقوق کاربران است که اهمیت بسیار زیادی در افزایش اعتبار دارد. کسانی که می‌خواهند در فضای اینترنت بدرخشند و نگرانی‌های خود را کاهش دهند، باید به روش‌های افزایش امنیت در وردپرس توجه داشته باشند و این روش‌ها را به صورت اصولی در سایت خود پیاده‌سازی نمایند.