حمایت از ما !
پشتیبانی فقط از طریق تلگرام

راه های (حرفه ای) افزایش امنیت سایت وردپرسی در سال ۲۰۲۲

راه های (حرفه ای) افزایش امنیت سایت وردپرسی در سال 2022

امنیت وردپرس موضوعی بسیار مهم برای هر صاحب سایت است چون اگر سایت هک شود و با سایر مشکلات امنیتی رو به رو شود باید هزینه های زیادی به لحاظ مادی و معنوی بپردازد. سایت هک می شود و به دلیل آلوده شدن سایت از نتایج موتورهای جست و جو حذف می شود، برای تعمیر آن باید به مهندسین امنیت پول پرداخت کنید و وقتی که سایت شما در دسترس نباشد درآمدی هم نیست.

بدترین چیز هم این است که برند شما لطمه می خورد چون کاربران می بینند که سایت شما هک شده با با مشکلات امنیتی دست و پنجه نرم می کند و حتی اگر سایت را تعمیر کنید نمی توانند به شما اعتماد کنند. گوگل هر روز بیش از ۱۰۰۰۰ وب سایت را برای بدافزار و حدود ۵۰۰۰۰ وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد. اگر در مورد موارد مربوط به سایت خود جدی هستید، پس باید به بهترین روش های بهبود امنیت وردپرس توجه کنید.

ما در این راهنما، بهترین نکات امنیتی وردپرس را برای جلوگیری از هک شدن سایت شما توسط هکرها به اشتراک می گذاریم، پس در ادامه هم با ما همراه باشید. در نظر داشته باشید که نرم افزار اصلی وردپرس خیلی امن است و به صورت منظم و دوره ای توسط صدها برنامه نویس و متخصص امنیت بررسی می شود، اما باید بگوییم که امنیت در اینترنت یک چیز ۱۰۰% نیست و می توانید با انجام  کارهای زیادی برای بهبود امنیت سایت، امنیت سایت خود را بیش از پیش بالا ببرید.

چرا امنیت سایت اهمیت دارد؟

همانطور که گفتیم، یک سایت وردپرسی هک شده، آسیب جدی به درآمد و اعتبار برند شما وارد می کند. همچنین سایت های آلوده در گوگل حذف می شوند و اگر دارید بر روی سئو سایت خود کار می کنید باید بدانید که اگر سایت شما ویروسی شد، خیلی سریع از گوگل محو می شود. البته جای نگرانی نیست چون می توان آن را بازگردانی کرد اما به هر حال دردسرهای مربوط به خودش را دارد.

هکرها می توانند دیتاهای مربوط به کاربر و رمزهای عبور را برای دسترسی به بخش های مختلف وردپرس بدزدند، نرم افزارهای مخرب نصب کنند و از این طریق به اهدافشان برسند و حتی می توانند یک یا چند بدافزار را بدون اطلاع هیچکس، بین کاربران سایت توزیع کرده و دستگاه های آنان را آلوده کنند. حتی یکی از روش های دیگر هکرها برای دریافت پول این است که شما دستیابی به دیتاهای سایت خود باید به هکرها باج پرداخت کنید.

در ماه مارس ۲۰۱۶، گوگل گزارش داد که به بیش از ۵۰ میلیون کاربر سایت های مختلف در مورد سایت هایی که از آن ها بازدید می کنند هشدار داده است که ممکن است حاوی بدافزار یا سرقت اطلاعات باشد. علاوه بر این خبر، گوگل هر هفته حدود ۲۰۰۰۰ سایت را برای مشکلات امنیتی و بدافزار و حدود ۵۰۰۰۰ وب سایت را برای فیشینگ در لیست سیاه قرار می دهد. پس باید امنیت سایت خود را بالا ببرید تا جز ۲۰۰۰۰ سایت بدشانس هفته نباشید. چون گوگل به محض متوجه شدن این موضوع که سایت شما ویروسی شده یا آلوده به بدافزار است آن را از نتایج گوگل حذف می کند.

پس اگر مدیر سئو هستید هم امنیت سایت مهم است. بعضی از مدیران سایت ها، امیدی به سایت خود ندارد یا یک پروژه آزمایشی دارند و برایشان مهم نیست که سایت پابرجا بماند یا خراب شود ام اگر سایت شما یک سایت تجارت اینترنتی است حتما باید به امنیت آن توجه کنید.

به روز نگه داشتن وردپرس

نکته اول برای بالا بردن امنیت سایت وردپرس آپدیت آن است. وردپرس یک نرم افزار اپن سورس یا متن باز است که توسط تیم وردپرس و داوطلبان زیادی به طور مرتب نگهداری و به روز می شود. البته به طور پیش فرض، وردپرس به صورت خودکار آپدیت های کوچک را دانلود و نصب می کند اما برای نسخه‌ های اصلی، باید به‌ روزرسانی را به‌صورت دستی انجام دهید. همچنین اگر قالب یا پلاگین پریمیوم دارید باید آپدیت نسخه اصلی آن را از سایت توسعه دهنده دانلود کرده و نصب نمایید.

وردپرس همچنین دارای هزاران پلاگین و قالب است که می توانید بسته به نیاز خود آن ها را در سایت نصب کنید. این پلاگین ها و قالب ها توسط برنامه نویس های شخص ثالث ساخته شده اند (افرادی که همکار وردپرس محسوب نمی شوند). پس باید به هنگام نصب از تمیز بودن آن ها اطمینان داشته باشید. بهتر است نسخه را از سایت های اصلی توسعه دهنده دانلود نمایید.

به این علت به روزرسانی وردپرس مهم است که گاها در نسخه های قدیمی وردپرس یا قالب و افزونه های نصب شده، باگ های امنیتی به وجود می آید یا به علت قدیمی بودن نسخه، دسترس پذیری هکرها راحت تر می شود. آپدیت های وردپرس برای امنیت و ماندگاری سایت وردپرسی بسیار پراهمیت هستند و شما باید مطمئن شوید که هسته اصلی نرم افزار وردپرس، افزونه ها و قالب شما به روز هستند.

رمزهای عبور قوی و مجوزهای کاربر

رایج ترین تلاش ها برای هک سایت وردپرسی شما، استفاده از رمزهای عبوری است که هکرها به آن ها دسترسی پیدا کرده اند. شما می توانید با استفاده از رمزهای عبور قوی تر که منحصر به فرد سایت شما  هستند، این کار را برای تیم های نفوذگر سخت تر کنید. رمزهای عبور سخت را نه فقط برای بخش مدیریتی و داشبورد وردپرس، بلکه برای حساب های هاست، دیتابیس، اکانت های هاست و خرید قالب و افزونه و آدرس های ایمیل شما که از نام دامنه سایت شما استفاده می کنند (Info@example.com) استفاده کنید.

بسیاری از افراد تازه کار، استفاده از پسوردهای قوی را دوست ندارند زیرا یادگیری و به خاطر سپردن آنها سخت است. اگر پسوردهای خیلی سخت انتخاب می کنید، می توانید از یک پسورد منیجر استفاده کنید. بیشتر مرورگرهای مطرح دارای بخش مدیریت پسوردها هستند که رمزهای عبور شما را ذخیره می کنند اما امکان دارد که مرورگر حذف شده و دیتاهای شما (من جمله پسوردها) از بین بروند. البته اگر با اکانت جمیل در گوگل کروم لاگین باشید با حذف مرورگر هم می توانید دوباره به اطلاعات خود دسترسی داشته باشید. پیشنهاد این است که در چند داکیومنت در کامپیوتر خود و فضای امن ابری، پسوردهای خود را داشته باشید تا اگر مشکلی به وجود آمد به رمزهای عبور دسترسی داشته باشید.

  بیوگرافی کامل خواننده دیسلاو مهراب ✔ (علیرضا زنگی)

راه دیگر برای کاهش ریسک هک شدن سایت با رمز عبور این است که به کسی اجازه ندهید به حساب مدیریت وردپرس خود دسترسی داشته باشد مگر اینکه کاملاً مجبور باشید . اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید ، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را بلد هستید و به هر فرد مطابق شغلی که دارد دسترسی بدهید. و نکته مهم این است که به هیچ غریبه ای برای دادن پسورد یا اجازه لاگین به اکانت های مدیریتی اعتماد نکنید.

یک تجربه

یکی از سئوکاران در یک گروه می گفت که برای انجام یک پروژه کوچک به یک ناشناس دسترسی داده است و آن فرد به آن سایت بدافزار تزریق کرده و باعث شده که سئو سایت با مشکل مواجه شده و صفحات از نتایج SERP گوگل حذف شود. خبر بد این بود که سایت هم از کارفرما بود و به این علت بیش از ۳۰ میلیون تومان پول قرارداد و حدود ۷ ماه تلاش تیم سئو نابود شده است.

هاست وردپرس

سرویس هاست وردپرس یکی از مهمترین نقش ها را در امنیت سایت وردپرسی شما ایفا می کند. در نظر داشته باشید که هاست وردپرس کاملا برای سایت های وردپرسی بهینه شده است اما اگر از سایر هاست ها استفاده می کنید به شما پیشنهاد می دهیم که مقاله هاست چی بخرم را مطالعه نمایید. در ادامه نحوه عملکرد یک شرکت هاستینگ خوب برای محافظت ازسایت ها و داده های شما آمده است.

  • پشتیبان ها و مدیران فنی هاست، به طور همیشگی شبکه خود را برای رصد فعالیت های مشکوک زیر نظر دارند.
  • همه شرکت های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS گسترده دارند و بهتر است هاستی را خریداری کنید که از این گارد امنیتی استفاده کند.
  • هاستینگ های برتر دنیا و ایرانی، نرم افزارهای سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از آسیب پذیری های امنیتی با استفاده از نسخه های قدیمی جلوگیری کنند.
  • آنها آماده هستند تا در صورت بروز مشکلات بزرگ مانند از بین رفتن داده های شما، با بکاپ گیری های سریع و مداوم قبلی از دیتاهای شما محافظت کنند.

هاست های اشتراکی، هاست هایی هستند که شرکت های هاستینگ در آن ها منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارند و قیمتی ارزان تر هم دارند. اما استفاده از آن ها احتمال دارد که برای سایت خطرآفرین باشد. چون هکر می تواند از یک سایت همسایه (سایتی که بر روی سرور اشتراکی شما میزبانی می شود) برای حمله به وب سایت شما استفاده کند.

افزایش امنیت سایت وردپرس بدون کدنویسی

افزایش امنیت سایت وردپرس می تواند یک استرس وحشتناک برای افراد مبتدی ایجاد کند که کدنویسی بلد نیستند و اگر خیلی از مسائل فنی وردپرس سر در نمی آورید، شما تنها نیستید. چون ما در پلاسما وب سعی داریم که به مدیران سایت های وردپرسی در افزایش امنیت سایت وردپرس آن ها کمک کنیم. در ادامه ما به شما نشان خواهیم داد که چگونه می توانید امنیت سایت وردپرس خود را تنها با چند کلیک و البته بدون نیاز به کدنویسی افزایش دهید. اگر بلدید با موس کار کرده و کلیک کنید حتما می توانید کارهای ادامه را انجام دهید.

یک پلاگین بکاپ گیری از سایت نصب کنید

بکاپ گیری از سایت اولین دفاع شما در برابر هرگونه حمله به سایتتان است. چون به یاد داشته باشید، هیچ چیز آن هم در فضای اینترنت به صورت ۱۰۰٪ امن نیست و اگر وب سایت های دولتی با آن همه باد و ادعا را می توان هک کرد، پس سایت شما نیز می تواند هک شود. اما نکته مهم این است که بکاپ گیری به شما این امکان را می‌دهد تا در صورت به وقوع پیوستن هر اتفاق بدی، به سرعت سایت وردپرسی خود را بازیابی کنید.

افزونه های زیادی برای بکاپ گیری وردپرس به صورت رایگان و پولی وجود دارد که می توانید از آنها استفاده کنید. مهم‌ ترین چیزی که در مورد بکاپ گیری باید بدانید این است که باید به طور منظم نسخه‌های پشتیبان کامل سایت را در یک فضای ابری به جز هاست سایت خود نگهداری کنید و می توانید یک نسخه از آن را در سیستم شخصی یا لپ تاپ خود داشته باشید، اما امن ترین مکان، فضاهای ابری است.

تعداد بکاپ گیری از سایت به تعداد دفعاتی بستگی دارد که سایت خود را به روزرسانی می کنید. برای مثال اگر روزی ۵ محصول یا ۵ مقاله به سایتتان اضافه می کنید، بکاپ صبح قدیمی تر از بکاپ شب است اما ایده آل ترین نوع بکاپ گیری ممکن است بسته به سایت شما ۱ بار در روز تا ۱ بار در ماه باشد و پیشنهاد ما بکاپ گیری هفتگی است چون هم نیازی نیست که هر روز از سایت خود بکاپ بگیرید و هم به جای ماهی ۱ بار، ماهی ۴ بار بکاپ می گیرید.

این کار را می توان به راحتی با استفاده از افزونه هایی مانند UpdraftPlus یا BlogVault انجام داد. این دو پلاگین قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است (بدون نیاز به کدنویسی هستند).

بهترین افزونه افزایش امنیت وردپرس

بعد از بکاپ گیری از سایت، کاری که باید انجام دهیم این است که یک بالا بردن امنیت سایت را راه‌اندازی کنیم که همه اتفاقاتی که در سایت شما رخ می دهد را رصد و کنترل کند. هیچ چیز به اندازه پلاگین های افزایش امنیت وردپرس نمی توانند این کار را انجام دهند پس پیشنهاد می کنیم که افزونه برای افزایش امنیت سایت خود نصب کنید. کار پلاگین های امنیت وردپرس نظارت بر یکپارچگی فایل ها، رصد و کنترل تلاش های ناموفق برای ورود به سیستم و در صورت لزوم بلاک IPهای مشکوک، اسکن بدافزار و موارد دیگر می شود.

در مقاله بهترین پلاگین های افزایش امنیت وردپرس درباره ۸ مورد از بهترین پلاگین های امنیتی وردپرس صحبت کردیم. اما در این بخش می خواهیم به یک پلاگین امنیتی معرفی شده بپردازیم که نسبت به سایر پلاگین ها بهتر است. همه مشکلات و کارهای امنیتی سایت شما می تواند با بهترین پلاگین افزایش امنیت رایگان وردپرس یعنی Sucuri حل شود. می توانید پلاگین رایگان Sucuri Security را نصب و فعالسازی کنید.

  حذف اکانت اینستاگرام | به صورت دائم و موقت

پس از فعال سازی باید به منوی Sucuri در داشبورد مدیریتی وردپرس خود بروید و اولین کاری که از شما خواسته می شود این است که یک API Key رایگان بسازید. API Key به شما امکان ثبت بررسی مسائل امنیتی سایت، بررسی یکپارچگی فایل ها، فرستادن هشدارهای امنیتی در قالب ایمیل و دریافت چند ویژگی دیگر را می دهد. گام دومی که باید انجام دهید این است که از منوی تنظیمات روی گزینه Hardening کلیک کنید. در این مرحله باید سخت شدن امنیت همه گزینه ها را فعال کرده تا در بالاترین سطح امنیتی قرار بگیرید.

سایت وردپرس خود را به SSL/HTTPS منتقل کنید

SSL یک پروتکل امنیتی است که انتقال داده ها را بین سایت شما و مرورگر کاربران کدگذاری می کند. این کار باعث می شود که امنیت سایت بالاتر برود و هر کسی توانایی دستیابی به اطلاعات شما یا کاربران را نداشته باشد. همچنین SSL را می توان یک فاکتور سئو در نظر گرفت و گوگل به مدیران سایت ها توصیه می کند که از این پروتکل امن استفاده کنند.

اگر SSL را فعال کنید، سایت شما به جای HTTP از HTTPS استفاده می کند و یک علامت قفل سبز رنگ در کنار آدرس وب سایت خود در مرورگر خواهید دید. برای دریافت SSL باید گواهینامه تهیه کنید. گواهینامه ها معمولا توسط سازمان های ارائه گواهی صادر می شوند و به دو نوع رایگان و غیر رایگان تقسیم می شود. ابتدا نوع غیررایگان را توضیح می دهیم. نوع غیر رایگان SSL، خود دارای چند نوع دیگر است که قیمت های متفاوتی دارند و پرداخت آن ها نیز به صورت سالانه یا چندساله است. قیمت آن ها حدود ۲۰۰ هزار تومان به بالاست.

حالا به نوع رایگان آن می پردازیم. به دلیل هزینه اضافی که خرید SSL برای وبمسترها و مدیران سایت ها وارد می کند، اکثر صاحبان سایت ها ترجیح دادند از پروتکل ناامن HTTP استفاده کنند. برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت گواهینامه های SSL رایگان را به مدیران سایتها ارائه دهد. نکته مهم این است که پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.

به علاوه در حال حاضر استفاده از گواهینامه SSL برای سایت از هر زمانی ساده تر است چون بسیاری از شرکت های هاستینگ به منظور ایجاد مزیت رقابتی بر روی سرویس های هاست خود SSL رایگان ارائه می دهند و در نظر داشته باشید که نوع پولی و رایگان SSL تفاوت چندانی با هم ندارند و حتی گران ترین SSL هم به جز چند مزیت نه چندان بزرگ، فرقی با SSLهای رایگان یا ارزان ندارد. اگر SSL را نصب کردید و هنوز هم سایت شما به HTTPS منتقل نشد بهتر است از پشتیبان هاست خود یا افزونه نصب SSL واقعا ساده استفاده کنید.

یوزنیم پیش فرض “admin” را تغییر دهید

در گذشته نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که یوزنیم نیمی از کار ورود به سیستم را تشکیل می‌دهد (برای ورود به سایت شما یک یوزنیم لازم است و یک پسورد و هکرها یوزنیم شما را دارند و یعنی نصف راه را رفته اند)، این موضوع انجام حملات brute-force را برای هکرها آسان تر می‌ کند.

خوشبختانه در حال حاضر، وردپرس از آن زمان این مشکل را حل کرده است و در حال حاضر وقتی که می خواهید وردپرس را نصب کنید از شما می خواهد که در زمان نصب، یک نام کاربری سفارشی و دلخواه انتخاب کنید. با این حال، برخی از نصب‌ کننده‌ های وردپرس که وردپرس را به صورت خودکار نصب می کنند، هنوز هم یوزرنیم پیش‌فرض مدیریتی را روی admin تنظیم می‌کنند. از آنجایی که وردپرس پس از نصب و ساخت سایت وردپرس، به طور پیش فرض به شما اجازه تغییر یوزنیم را نمی دهد، سه روش برای تغییر یوزنیم پس از بالا آمدن سایت وجود دارد.

  1. می توانید یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
  2. می توانید از افزونه Username Changer استفاده کنید.
  3. نام کاربری را از طریق بخش phpMyAdmin به روز کنید.

غیرفعال کردن ویرایش فایل

خود وردپرس دارای یک ادیتور کد درون سیستمی است که به شما امکان می دهد قالب و فایل های پلاگین خود را مستقیماً از بخش داشبورد مدیریت وردپرس ویرایش کنید. اگر یک اشتباه در کدهای سایت رخ بدهد احتمال دارد که عملکرد آن با اختلال ایجاد شده و این ویژگی می تواند یک ریسک امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.

با افزودن کد زیر در فایل wp-config.php در هاست خود به راحتی می توانید ویرایش فایل سایت را خاموش کنید.

۱
۲
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

همچنین، می توانید این کار را با یک کلیک با استفاده از ویژگی Hardening در پلاگین نسخه رایگان Sucuri که در بالا ذکر کردیم، انجام دهید.

محدود کردن تلاش برای ورود

وردپرس به طور پیش فرض به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند و در واقع می توانند هر چقدر که می خواهند برای ورود به سایت شما تلاش انجام دهند. این مشکل باعث می شود سایت وردپرسی شما در برابر حملات بی رحمانه تیم های نفوذگر، آسیب پذیر باشد. هکرها با تلاش نامحدود برای ورود به سیستم با تست های مختلف سعی در شکستن و پیدا کردن رمزهای عبور دارند. می توان این چالش را به راحتی و با محدود کردن تلاش های ناموفق برای ورود به سیستم که کاربر می تواند انجام دهد برطرف کرد. برای این کار می توانید از پلاگین های امنیتی مختللف استفاده داشته باشید.

نتیجه گیری و پایان

در این مقاله سعی داشتیم چند راه حرفه ای برای افزایش امنیت سایت وردپرسی شما ارائه دهیم و نکاتی که ارائه شد بیشتر بدون کدنویسی و با نصب پلاگین بودند تا کاربرانی که توسعه وردپرس و کدنویسی بلد نیستند هم از این راهنما استفاده داشته باشند. اگر نظر، تجربه یا حرفی برای گفتن دارید آن را در بخش کامنت ها با ما به اشتراک بگذارید.

برای امتیاز به این نوشته کلیک کنید!
[کل: 1 میانگین: 5]
ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *