20 گام برای ایمن سازی وردپرس
اکنون بیایید راههای مختلفی را در مورد ایمن سازی سایت وردپرس که میتواند خطر حمله سایبری به سایت وردپرس شما را کاهش دهید،بیاموزیم.
برای حفظ ایمنی سایت خود ضروری است که تا حد ممکن بهترین روش ها را رعایت کنید. برای شروع اجازه دهید بهترین اصول اولیه را پوشش دهیم.
چک لیست افزایش امنیت سایت
- از هاست ایمن وردپرس استفاده کنید
- نسخه وردپرس خود را به روز کنید
- به روز رسانی به آخرین نسخه PHP
- یک یا چند افزونه امنیتی را نصب کنید
- از یک تم وردپرس امن استفاده کنید
- SSL/HTTPS را فعال کنید
- نصب فایروال
- از وب سایت خود نسخه پشتیبان تهیه کنید
- اسکن های امنیتی وردپرس را به طور منظم انجام دهید
- کاراکترهای ویژه را از ورودی کاربر فیلتر کنید
- محدود کردن مجوزهای کاربر وردپرس
- از مانیتورینگ وردپرس استفاده کنید
- گزارش فعالیت کاربر
- URL پیش فرض ورود به وردپرس را تغییر دهید
- غیرفعال کردن ویرایش فایل در داشبورد وردپرس
- پیوند فایل پایگاه داده خود را تغییر دهید
- فایل xmlrpc.php خود را غیرفعال کنید
- حذف حساب مدیریت پیش فرض وردپرس را در نظر بگیرید
- نسخه وردپرس خود را مخفی کنید
روش های ورود ایمن
این اولین مرحله است زیرا واقعاً بخش بزرگی از ایمن نگه داشتن سایت شما است. اساسی ترین گام برای ایمن سازی وب سایت شما این است که حساب های خود را از تلاش های ورود مخرب ایمن نگه دارید. برای انجام این کار:
از رمزهای عبور قوی استفاده کنید
قبلاً فکر میکردیم در آینده اتومبیلهای پرنده وجود خواهند داشت، اما هنوز مردم همچنان از «123456» به عنوان رمز عبور استفاده میکنند. ضروری است برای ایمن سازی سایت وردپرس از گذرواژههای قوی برای ورود استفاده کنید. حتی یک رمز عبور ضعیف میتواند برای همه کاربران دیگر مشکل ایجاد کند.
فعال کردن احزار هویت دو مرحله ایی
احراز هویت دو مرحلهای (2FA) از کاربران میخواهد تا ورود خود را از طریق دستگاه دوم تأیید کنند.در واقع این یکی از ساده ترین و مهمترین روشها برای ایمن سازی سایت وردپرس برای ورود شما است.
محدود کردن تلاش برای ورود به سیستم
با قرار دادن یک رمز بر تعداد دفعاتی که کاربر می تواند رمز های اشتباه را وارد کند، از سایت خود محافظت می کنید.
اگر افراد بارها تلاش کنند که وارد سیستم شوند، CMS آنها را قفل می کند، که این کار ورود بی اجازه را متوقف می کند. برخی از سرویسهای میزبانی و فایروالها ممکن است این کار را برای شما انجام دهند، اما میتوانید افزونهای مانند Limit Login Attempts را نیز برای این کار نصب کنید.
افزودن یک کپچا
با تأیید اینکه شما واقعاً یک فرد زنده هستید، یک لایه امنیتی اضافی به ورود شما اضافه می کنند. می توانید از افزونه ها برای ورود به سیستم استفاده کنید.
یک کپچا به سایت خود اضافه کنید. re Captcha by Best WebSoft یکی از مواردی است که ما توصیه می کنیم
فعال کردن خروج خودکار
آخرین مرحله فعال کردن خروج خودکار است. خروج خودکار از ورود افراد غریبه به حساب شما در صورت فراموشی جلوگیری می کند. برای فعال کردن خروج خودکار در وردپرس خود حساب کاربری، افزونه Inactive Logout را امتحان کنید.
استفاده از هاست های شخصی سازی
هنگام انتخاب سرویسی که میزبان وب سایت شما است عوامل زیادی وجود دارد که باید در نظر گرفته شوند. اما امنیت باید در درجه اول و مهمتر از همه باشد.
تحقیقات خود را برای کسب اطلاعات بیشتر در مورد اقداماتی که کسب و کار برای محافظت از اطلاعات شما انجام می دهد و در صورت وقوع حمله به سرعت بازیابی می کند.
به روز رسانی نسخه وردپرس
نسخه های قدیمی نرم افزار وردپرس به راحتی قابل دسترس هستند.
برای جلوگیری از این مشکل مطمئن شوید که به طور مرتب به روز رسانی های وردپرس را انجام دهید و در اسرع وقت نصب کنید تا آسیب پذیری ها به وجود نیایند.
برای به روز رسانی وردپرس به آخرین نسخه از سایت خود نسخه پشتیبان تهیه کنید و بررسی کنید که افزونه های شما با آخرین نسخه وردپرس سازگار است.
همچنین ممکن است مجبور شوید افزونه های خود را بر این اساس به روز کنید.
بهروزرسانی آخرین نسخه PHP
ارتقاء آخرین نسخه PHP یکی از اساسی ترین گامهایی است که میتوانید برای امنیت وردپرس بردارید.
پس از آماده شدن ارتقا، وردپرس به شما در داشبورد خود اطلاع میدهد، بنابراین مواظب باشید. سپس از شما خواسته می شود که برای ارتقاء به آخرین نسخه PHP به حساب میزبانی خود بروید.
اگر به حساب میزبانی خود دسترسی ندارید، برای ارتقاء با توسعه دهنده وب خود تماس بگیرید.
نصب چند افزونه امنیتی
خوشبختانه، در مورد ایمن سازی سایت وردپرسی و امنیت سایت لازم نیست همه این کارها را خودتان انجام دهید همچنین می توانید به یک افزونه امنیتی اعتماد کنید.
ما به شدت توصیه می کنیم یک یا چند افزونه امنیتی معتبر را بر روی خود وب سایت نصب کنید. (Psst: استفاده از یک افزونه امنیتی همهکاره مانند SiteGround Security را در نظر بگیرید تا از وبسایت خود به بهترین شکل محافظت کنید.)
این افزونهها بسیاری از کارهای دستی مرتبط با امنیت سایت وردپرس را برای شما انجام میدهند.مانند اسکن وبسایت شما برای تلاشهای نفوذ تغییر فایل های منبعی که ممکن است سایت شما را مستعد هک کند، بازنشانی و بازیابی سایت وردپرس و جلوگیری از سرقت محتوا مانند هات لینک کردن. برخی از افزونه های معتبر تقریباً همه چیز در این لیست را پوشش می دهند.
سیستم مدیریت محتوای HubSpot، که اسکن بدافزار و شناسایی تهدید را در پلتفرم ارائه میکند. هر افزونه را که تصمیم به نصب دارید چه مربوط به امنیت باشد چه نباشد مطمئن شوید که به خوبی تثبیت شده و قانونی هستند.
استفاده از یک قالب وردپرس ایمن
نباید یک پلاگین کلی را در سایت خود نصب کنید و همچنین باید در مقابل اصرار استفاده از هر قالب وردپرس که ظاهر خوبی دارد مقاومت کنید چرا؟
زیرا ممکن است ایمن نباشد و در نهایت سایت شما را هک کندبرای جلوگیری از آسیبپذیریهای ناشی از قالب وردپرس، یکی را انتخاب کنید که با استانداردهای وردپرس مطابقت داشته باشد.
برای بررسی اینکه آیا تم فعلی شما مطابق با الزامات وردپرس است URL وب سایت خود را کپی کنید (یا URL هر سایت وردپرس یا نسخه نمایشی زنده هر تم) وارد اعتبارسنجی W3C شوید اگر متوجه شدید که تم شما مطابقت ندارد، یک تم جدید را در فهرست اصلی قالب وردپرس جستجو کنید.
فعال کردن SSL/HTTPS
SSL (لایه سوکتهای امن) فناوری است که ارتباطات بین وبسایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری میکند و اطمینان میدهد که ترافیک بین سایت شما و رایانههای بازدیدکنندگان از رهگیریهای ناخواسته در امان است.
برای انجام این کار به صورت دستی یا استفاده از یک پلاگین اختصاصی SSL نه تنها سئو را افزایش می دهد بلکه مستقیماً در اولین برداشت بازدیدکنندگان از وب سایت شما نقش دارد.
اگر سایتی که بازدید می کنند، گوگل کروم را دنبال نکند حتی به کاربران هشدار می دهد. پروتکل SSL، که مستقیماً ترافیک وب سایت را کاهش می دهد.
نصب یک فایروال
یک فایروال بین شبکه ای که سایت وردپرس شما را میزبانی می کند و در همه شبکه های دیگر قرار می گیرد و به طور خودکار از ورود ترافیک غیرمجاز به شبکه یا سیستم شما از خارج جلوگیری می کند.
آنها با حذف یک اتصال مستقیم مانع از فعالیت مخرب می شود. توصیه می کنیم برای محافظت از سایت وردپرس و ایمن سازی سایت وردپرس خود یک افزونه Web Application Firewall (WAF) نصب کنید.
با CMS Hub، سایت شما با WAF در داخل پلت فرم ارائه می شود. مانند هر چیز دیگری در این لیست، به دقت بررسی کنید که کدام یک نوع فایروال و اینکه کدام افزونه برای نیازهای شما بهتر عمل می کند.
تهیه نسخه پشتیبان از وب سایت خود
از دست دادن تمام داده ها، بسیار ناراحت کننده است. می توانید از این اتفاق جلوگیری کنید. وب سایت شما توسط وردپرس و ارائه دهنده هاست شما پشتیبان گیری می شود.
در صورت حمله (یا هر حادثه دیگری) که باعث از دست رفتن داده ها شود، می توانید دوباره به آن دسترسی پیدا کنید. حتما پشتیبان گیری نیزبه صورت خودکار باشد.
اسکن های امنیتی منظم وردپرس
حتما چک آپ های معمولی را در سایت خود انجام دهید. حداقل یک بار در ماه انجام شود. برخی از پلاگین های امنیتی وجود دارد که می توانند به صورت خودکار این کار را برای شما انجام دهند.
فیلتر کردن نویسه های ویژه از ورودی کاربر
مهاجمان می توانند کد مخرب را در هر یک از این فیلدهای متنی وارد کنند وباعث اختلال در وب سایت شما شوند. برای جلوگیری از این مشکل، مطمئن شوید که قبل از اینکه توسط سایت شما پردازش شود و در پایگاه داده ذخیره شود، کاراکترهای خاص را از ورودی کاربر فیلتر کنید.
همچنین می توانید از یک افزونه برای شناسایی کدهای مخرب استفاده کنید. همچنین می توانید از یک افزونه فرم وردپرس برای فیلتر کردن خودکار این کاراکترها استفاده کنید.
محدود کردن مجوزهای کاربران وردپرس
بعضی از سایتهای وردپرس دارای تعدادی حساب کاربری هستند. با این حال، توصیه میکنیم نقشهای هر کاربر را تغییر دهید تا دسترسی آنها را فقط به آنچه نیاز دارند محدود کنید.
وردپرس شش نقش برای هر کاربر دارد با محدود کردن تعداد کاربرانی که مجوزهای مدیر را دارند، احتمال ورود مهاجم به حساب مدیریت را کاهش میدهید و آسیبی را که مهاجم میتواند اعتبار یک کاربر را به درستی حدس بزند، محدود میکند.
نظارت بر وردپرس
حتما یک سیستم نظارتی برای وب سایت خود قرار بدهید. اینکار شما را از هرگونه فعالیت مشکوکی که در سایت شمااتفاق می افتد آگاه می کند. اقدامات شما مانع از چنین فعالیتی می شود،حتما آن را پیدا کنید شما می توانید از افزونه نظارت وردپرس برای دریافت هشدار در صورت وجود نقض استفاده کنید.
ثبت فعالیت کاربر
گزارشی از تمام فعالیت هایی که کاربران در وب سایت شما انجام می دهند ایجاد کنید و این گزارش را به صورت دوره ای برای فعالیت مشکوک بررسی کنید.
گزارشها برای پاکسازی پس از هک شدن بسیار مفید هستند و به شما کمک می کنند که چه چیزی و چه زمانی اشتباه رخ داده است. با این حال، اگر مشارکتکنندگان خارجی زیادی را به کار میگیرید و به آنها مجوز دسترسی میدهید، همیشه ایده خوبی است که مراقب چیزها باشید.
تغییر URL پیش فرض ورود به وردپرس
URL پیشفرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی خیلی راحت است. افزونههایی مانند WPS Hide Login این URL صفحه ورود را برای شما تغییر میدهند.
غیرفعال کردن ویرایش فایل در داشبورد وردپرس
وردپرس به مدیران اجازه میدهد تا کد فایلهای خود را با ویرایشگر کد ویرایش کنند. اگر افزونهای قبلاً این ویژگی را غیرفعال نکرده است، میتوانید کمی کدگذاری سبک انجام دهید تا خودتان آن را غیرفعال کنید.
تغییر پیشوند فایل پایگاه داده
نام فایل هایی که پایگاه داده وردپرس شما را تشکیل می دهند به طور پیش فرض با “wp_” شروع می شود. به همین دلیل هکرها می توانند از این تنظیمات استفاده کنند و فایل های پایگاه داده شما را با نام پیدا کنند و تزریق SQL را انجام دهند.
فقط پیشوند را به چیزی متفاوت تغییر دهید، مانند “wpdb_” یا “wptable_”. حتی می توانید این را هنگام نصب CMS وردپرس تنظیم کنید.
اگر سایت شما از قبل با این تنظیم فعال است، می توانید این فایلها را تغییر نام دهید.
غیر فعال کردن فایل xmlrpc.php
XML-RPC یک پروتکل ارتباطی است که CMS وردپرس را قادر می سازد تا با وب خارجی و برنامه های تلفن همراه ارتباط برقرار کند. به این دلیل است که فناوری XML-RPC به مهاجمان اجازه می دهد درخواست هایی حاوی صدها دستور را ارسال کنند و انجام حملات ورود به سیستم brute force را آسانترمی کند.
XML-RPC همچنین امنیت کمتری نسبت به REST دارد زیرا درخواستهای آن حاوی اعتبارنامههای احراز هویت است که میتوان از آنها سوء استفاده کرد.
ساده ترین راه برای غیرفعال کردن این فایل با افزونه ای مانند Disable XML-RPC-API است. افزونه امنیتی وردپرس شما نیز می تواند این کار را برای شما انجام دهم.
حذف حساب پیشفرض مدیریت وردپرس
می توانید یک حساب کاربری جدید با همان مجوزهای سرپرست ایجاد کنید. اگر فکر می کنید که نام کاربری و رمز عبور مدیریت اصلی شما کشف شده است و می خواهید از تکرار آن در آینده جلوگیری کنید، ان را حذف کنید و حساب کاربری جدیدی ایجاد کنید.
مخفی کردن نسخه وردپرس
مخفی کردن نسخه وردپرس باعث می شود که هکرها از آسیب پذیر بودن سایت شما اطلاعی نداشته باشند. همیشه باید به آخرین نسخه وردپرس به روز رسانی کنید.
بدون دیدگاه