پشتیبانی سایت وردپرسی - طراحی سایت - سئو کیورد

20 گام برای ایمن سازی وردپرس

 

اکنون بیایید راه‌های مختلفی را در مورد ایمن سازی سایت وردپرس که می‌تواند خطر حمله سایبری به سایت وردپرس شما را کاهش دهید،بیاموزیم.

 برای حفظ ایمنی سایت خود ضروری است که تا حد ممکن بهترین روش ها را رعایت کنید. برای شروع اجازه دهید بهترین اصول اولیه را پوشش دهیم.

20 گام برای ایمن سازی سایت وردپرس خود در سال 2022

چک لیست افزایش امنیت سایت

  • از هاست ایمن وردپرس استفاده کنید
  • نسخه وردپرس خود را به روز کنید
  • به روز رسانی به آخرین نسخه PHP
  • یک یا چند افزونه امنیتی را نصب کنید
  • از یک تم وردپرس امن استفاده کنید
  • SSL/HTTPS را فعال کنید
  • نصب فایروال
  • از وب سایت خود نسخه پشتیبان تهیه کنید
  • اسکن های امنیتی وردپرس را به طور منظم انجام دهید
  • کاراکترهای ویژه را از ورودی کاربر فیلتر کنید
  • محدود کردن مجوزهای کاربر وردپرس
  • از مانیتورینگ وردپرس استفاده کنید
  • گزارش فعالیت کاربر
  • URL پیش فرض ورود به وردپرس را تغییر دهید
  • غیرفعال کردن ویرایش فایل در داشبورد وردپرس
  • پیوند فایل پایگاه داده خود را تغییر دهید
  • فایل xmlrpc.php خود را غیرفعال کنید
  • حذف حساب مدیریت پیش فرض وردپرس را در نظر بگیرید
  • نسخه وردپرس خود را مخفی کنید

روش های ورود ایمن

این اولین مرحله است زیرا واقعاً بخش بزرگی از ایمن نگه داشتن سایت شما است. اساسی ترین گام برای ایمن سازی وب سایت شما این است که حساب های خود را از تلاش های ورود مخرب ایمن نگه دارید. برای انجام این کار:

 از رمزهای عبور قوی استفاده کنید

قبلاً فکر می‌کردیم در آینده اتومبیل‌های پرنده وجود خواهند داشت، اما هنوز مردم همچنان از «123456» به عنوان رمز عبور استفاده می‌کنند. ضروری است برای ایمن سازی سایت وردپرس از گذرواژه‌های قوی برای ورود استفاده کنید. حتی یک رمز عبور ضعیف می‌تواند برای همه کاربران دیگر مشکل ایجاد کند.

فعال کردن احزار هویت دو مرحله ایی

احراز هویت دو مرحله‌ای (2FA) از کاربران می‌خواهد تا ورود خود را از طریق دستگاه دوم تأیید کنند.در واقع این یکی از ساده ترین و مهمترین روشها برای ایمن سازی  سایت وردپرس برای ورود شما است.

  محدود کردن تلاش برای ورود به سیستم

 با قرار دادن یک رمز بر تعداد دفعاتی که کاربر می تواند رمز های اشتباه را وارد کند، از سایت خود محافظت می کنید.

اگر افراد بارها تلاش کنند که وارد سیستم شوند، CMS آنها را قفل می کند، که این کار ورود بی اجازه را متوقف می کند. برخی از سرویس‌های میزبانی و فایروال‌ها ممکن است این کار را برای شما انجام دهند، اما می‌توانید افزونه‌ای مانند Limit Login Attempts را نیز برای این کار نصب کنید.

افزودن یک کپچا

با تأیید اینکه شما واقعاً یک فرد زنده هستید، یک لایه امنیتی اضافی به ورود شما اضافه می کنند. می توانید از افزونه ها برای ورود به سیستم استفاده کنید.

یک کپچا به سایت خود اضافه کنید. re Captcha by Best WebSoft یکی از مواردی است که ما توصیه می کنیم

 فعال کردن خروج خودکار

آخرین مرحله فعال کردن خروج خودکار است. خروج خودکار از ورود افراد غریبه به حساب شما در صورت فراموشی جلوگیری می کند. برای فعال کردن خروج خودکار در وردپرس خود حساب کاربری، افزونه Inactive Logout را امتحان کنید.

استفاده از هاست های  شخصی سازی

 هنگام انتخاب سرویسی که میزبان وب سایت شما است عوامل زیادی وجود دارد که باید در نظر گرفته شوند. اما امنیت باید در درجه اول و مهمتر از همه باشد.

تحقیقات خود را برای کسب اطلاعات بیشتر در مورد اقداماتی که کسب و کار برای محافظت از اطلاعات شما انجام می دهد و در صورت وقوع حمله به سرعت بازیابی می کند.

به روز رسانی نسخه وردپرس

 نسخه های قدیمی نرم افزار وردپرس به راحتی قابل دسترس هستند.

برای جلوگیری از این مشکل مطمئن شوید که به طور مرتب به روز رسانی های وردپرس را انجام دهید و در اسرع وقت نصب کنید تا آسیب پذیری ها به وجود نیایند.

برای به روز رسانی وردپرس به آخرین نسخه از سایت خود نسخه پشتیبان تهیه کنید و بررسی کنید که افزونه های شما با آخرین نسخه وردپرس سازگار است.

همچنین ممکن است مجبور شوید افزونه های خود را بر این اساس به روز کنید.

به‌روزرسانی آخرین نسخه PHP

ارتقاء آخرین نسخه PHP یکی از اساسی ترین گام‌هایی است که می‌توانید برای امنیت وردپرس بردارید.

پس از آماده شدن ارتقا، وردپرس به شما در داشبورد خود اطلاع می‌دهد، بنابراین مواظب باشید. سپس از شما خواسته می شود که برای ارتقاء به آخرین نسخه PHP به حساب میزبانی خود بروید.

اگر به حساب میزبانی خود دسترسی ندارید، برای ارتقاء با توسعه دهنده وب خود تماس بگیرید.

نصب چند افزونه امنیتی

 خوشبختانه، در مورد ایمن سازی سایت وردپرسی و  امنیت سایت لازم نیست همه این کارها را خودتان انجام دهید همچنین می توانید به یک افزونه امنیتی اعتماد کنید.

ما به شدت توصیه می کنیم یک یا چند افزونه امنیتی معتبر را بر روی خود وب سایت نصب کنید.  (Psst: استفاده از یک افزونه امنیتی همه‌کاره مانند SiteGround Security را در نظر بگیرید تا از وب‌سایت خود به بهترین شکل محافظت کنید.)

این افزونه‌ها بسیاری از کارهای دستی مرتبط با امنیت سایت وردپرس را برای شما انجام می‌دهند.مانند اسکن وب‌سایت شما برای تلاش‌های نفوذ تغییر فایل های منبعی که ممکن است سایت شما را مستعد هک کند، بازنشانی و بازیابی سایت وردپرس و جلوگیری از سرقت محتوا مانند هات لینک کردن.  برخی از افزونه های معتبر تقریباً همه چیز در این لیست را پوشش می دهند.

سیستم مدیریت محتوای HubSpot، که اسکن بدافزار و شناسایی تهدید را در پلتفرم ارائه می‌کند. هر افزونه را که تصمیم به نصب دارید چه مربوط به امنیت باشد چه نباشد مطمئن شوید که به خوبی تثبیت شده و قانونی هستند.

 استفاده از یک قالب وردپرس ایمن

 نباید یک پلاگین کلی را در سایت خود نصب کنید و همچنین باید در مقابل اصرار استفاده از هر قالب وردپرس که ظاهر خوبی دارد مقاومت کنید چرا؟

زیرا ممکن است ایمن نباشد و در نهایت سایت شما را هک کندبرای جلوگیری از آسیب‌پذیری‌های ناشی از قالب وردپرس، یکی را انتخاب کنید که با استانداردهای وردپرس مطابقت داشته باشد.

برای بررسی اینکه آیا تم فعلی شما مطابق با الزامات وردپرس است URL وب سایت خود را کپی کنید (یا URL هر سایت وردپرس یا نسخه نمایشی زنده هر تم) وارد اعتبارسنجی W3C شوید اگر متوجه شدید که تم شما مطابقت ندارد، یک تم جدید را در فهرست اصلی قالب وردپرس جستجو کنید.

فعال کردن SSL/HTTPS

SSL (لایه سوکت‌های امن) فناوری است که ارتباطات بین وب‌سایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری می‌کند و اطمینان می‌دهد که ترافیک بین سایت شما و رایانه‌های بازدیدکنندگان از رهگیری‌های ناخواسته در امان است.

  برای انجام این کار به صورت دستی یا استفاده از یک پلاگین اختصاصی SSL نه تنها سئو را افزایش می دهد بلکه مستقیماً در اولین برداشت بازدیدکنندگان از وب سایت شما نقش دارد.

اگر سایتی که بازدید می کنند، گوگل کروم را دنبال نکند حتی به کاربران هشدار می دهد. پروتکل SSL، که مستقیماً ترافیک وب سایت را کاهش می دهد.

نصب یک فایروال

یک فایروال بین شبکه ای که سایت وردپرس شما را میزبانی می کند و  در همه شبکه های دیگر قرار می گیرد و به طور خودکار از ورود ترافیک غیرمجاز به شبکه یا سیستم شما از خارج جلوگیری می کند.

آنها با حذف یک اتصال مستقیم مانع از فعالیت مخرب می شود. توصیه می کنیم برای محافظت از سایت وردپرس و ایمن سازی سایت وردپرس  خود یک افزونه Web Application Firewall (WAF) نصب کنید.

با CMS Hub، سایت شما با WAF در داخل پلت فرم ارائه می شود. مانند هر چیز دیگری در این لیست، به دقت بررسی کنید که کدام یک نوع فایروال و اینکه کدام افزونه برای نیازهای شما بهتر عمل می کند.

تهیه نسخه پشتیبان از وب سایت خود

از دست دادن تمام داده ها، بسیار ناراحت کننده است. می توانید از این اتفاق جلوگیری کنید. وب سایت شما توسط وردپرس و ارائه دهنده هاست شما پشتیبان گیری می شود.

در صورت حمله (یا هر حادثه دیگری) که باعث از دست رفتن داده ها شود، می توانید دوباره به آن دسترسی پیدا کنید. حتما پشتیبان گیری نیزبه صورت خودکار باشد.

اسکن های امنیتی منظم وردپرس

حتما چک آپ های معمولی را در سایت خود انجام دهید. حداقل یک بار در ماه انجام شود.  برخی از پلاگین های امنیتی وجود دارد که می توانند به صورت خودکار این کار را برای شما انجام دهند.

فیلتر کردن نویسه های ویژه از ورودی کاربر

 مهاجمان می توانند کد مخرب را در هر یک از این فیلدهای متنی وارد کنند وباعث اختلال در وب سایت شما شوند. برای جلوگیری از این مشکل، مطمئن شوید که قبل از اینکه توسط سایت شما پردازش شود و در پایگاه داده ذخیره شود، کاراکترهای خاص را از ورودی کاربر فیلتر کنید.

همچنین می توانید از یک افزونه برای شناسایی کدهای مخرب استفاده کنید. همچنین می توانید از یک افزونه فرم وردپرس برای فیلتر کردن خودکار این کاراکترها استفاده کنید.

 محدود کردن مجوزهای کاربران وردپرس

بعضی از سایت‌های وردپرس دارای تعدادی حساب کاربری هستند. با این حال، توصیه می‌کنیم نقش‌های هر کاربر را تغییر دهید تا دسترسی آنها را فقط به آنچه نیاز دارند محدود کنید.

وردپرس شش نقش برای هر کاربر دارد با محدود کردن تعداد کاربرانی که مجوزهای مدیر را دارند، احتمال ورود مهاجم به حساب مدیریت را کاهش می‌دهید و آسیبی را که مهاجم می‌تواند اعتبار یک کاربر را به درستی حدس بزند، محدود می‌کند.

نظارت بر وردپرس

حتما یک سیستم نظارتی برای وب سایت خود قرار بدهید. اینکار شما را از هرگونه فعالیت مشکوکی که در سایت شمااتفاق می افتد آگاه می کند.  اقدامات شما مانع از چنین فعالیتی می شود،حتما آن را پیدا کنید شما می توانید از افزونه نظارت وردپرس برای دریافت هشدار در صورت وجود نقض استفاده کنید.

ثبت فعالیت کاربر

گزارشی از تمام فعالیت هایی که کاربران در وب سایت شما انجام می دهند ایجاد کنید و این گزارش را به صورت دوره ای برای فعالیت مشکوک بررسی کنید.

  گزارش‌ها برای پاکسازی پس از هک شدن بسیار مفید هستند و به شما کمک می کنند که چه چیزی و چه زمانی اشتباه رخ داده است. با این حال، اگر مشارکت‌کنندگان خارجی زیادی را به کار می‌گیرید و به آنها مجوز دسترسی می‌دهید، همیشه ایده خوبی است که مراقب چیزها باشید.

 تغییر URL پیش فرض ورود به وردپرس

 URL پیش‌فرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی خیلی راحت است. افزونه‌هایی مانند WPS Hide Login این URL صفحه ورود را برای شما تغییر می‌دهند.

غیرفعال کردن ویرایش فایل در داشبورد وردپرس

وردپرس به مدیران اجازه می‌دهد تا کد فایل‌های خود را با ویرایشگر کد ویرایش کنند. اگر افزونه‌ای قبلاً این ویژگی را غیرفعال نکرده است، می‌توانید کمی کدگذاری سبک انجام دهید تا خودتان آن را غیرفعال کنید.

 

تغییر پیشوند فایل پایگاه داده

نام فایل هایی که پایگاه داده وردپرس شما را تشکیل می دهند به طور پیش فرض با “wp_” شروع می شود. به همین دلیل هکرها می توانند از این تنظیمات استفاده کنند و فایل های پایگاه داده شما را با نام پیدا کنند و تزریق SQL را انجام دهند.

فقط پیشوند را به چیزی متفاوت تغییر دهید، مانند “wpdb_” یا “wptable_”. حتی می توانید این را هنگام نصب CMS وردپرس تنظیم کنید.

اگر سایت شما از قبل با این تنظیم فعال است، می توانید این فایل‌ها را تغییر نام دهید.

غیر فعال کردن فایل xmlrpc.php

 XML-RPC یک پروتکل ارتباطی است که CMS وردپرس را قادر می سازد تا با وب خارجی و برنامه های تلفن همراه ارتباط برقرار کند. به این دلیل است که فناوری XML-RPC به مهاجمان اجازه می دهد درخواست هایی حاوی صدها دستور را ارسال کنند و انجام حملات ورود به سیستم brute force را آسانترمی کند.

XML-RPC همچنین امنیت کمتری نسبت به REST دارد زیرا درخواست‌های آن حاوی اعتبارنامه‌های احراز هویت است که می‌توان از آنها سوء استفاده کرد.

ساده ترین راه برای غیرفعال کردن این فایل با افزونه ای مانند Disable XML-RPC-API است. افزونه امنیتی وردپرس شما نیز می تواند این کار را برای شما انجام دهم.

حذف حساب پیش‌فرض مدیریت وردپرس

 می توانید یک حساب کاربری جدید با همان مجوزهای سرپرست ایجاد کنید. اگر فکر می کنید که نام کاربری و رمز عبور مدیریت اصلی شما کشف شده است و می خواهید از تکرار آن در آینده جلوگیری کنید، ان را حذف کنید و حساب کاربری جدیدی ایجاد کنید.

مخفی کردن نسخه وردپرس

 مخفی کردن نسخه وردپرس باعث می شود که هکرها از آسیب پذیر بودن سایت شما اطلاعی نداشته باشند. همیشه باید به آخرین نسخه وردپرس به روز رسانی کنید.

رضا مرادی

آموزشپشتیبانی سایتطراحی سایتوردپرس

افزایش امنیت سایت وردپرسیایمن سازی سایت وردپرس

فیسبوکتوئیترپینترستواتس اپتلگرامایمیل

مقالات مشابه ...

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *