امنیت وردپرس و راه های افزایش آن

افزایش امنیت وردپرس از چه راه هایی امکان پذیر است؟ چگونه امنیت وردپرس را بالا ببریم ؟ از مهم ترین دغدغه هایی که وب مستران را درگیر خواهد کرد، امنیت است. همه ما خوب می دانیم امروزه وب مستران زیادی از وردپرس استفاده می کنند و وردپرس محبوبیت زیادی بین آنان دارد و به همین دلیل ممکن است در معرض خطر باشند و اطلاعات آنها در دسترس هکرها قرار گیرد. اما لازم نیست نگران هک شدن و دیگر مساائل امنیتی در وردپرس باشید ما در این مقاله به شما کمک خواهیم کرد که امنیت آن را بالاببرید به عبارتی دیگر راه های افزایش امنیت و ایمنی وردپرس را برایتان روشن می سازیم.

جهت افزایش امنیت وردپرس خود ، می توانید با مشاوران و متخصصین میهن هاستینگ در ارتباط باشید.

راهکارهای موثر برای افزایش امنیت وردپرس

امنیت از مباحث مهم در کسب و کار اینترنتی می باشد چرا که با رعایت نکردن آن در صورت هک شدن و نفوذ افراد سوجو شهرت شما زیر سوال می رود. هکرها می توانند اطلاعات شما به راحتی سرقت نمایند و یا در مهلک ترین حالت می توانند کدهایی مخربی در سایت جاسازی کنند که سبب شود اطلاعات دائما سرقت شود اما سایت شما در صحت کامل به کار خود ادامه دهد و یا باعث ایجاد بدافزارها شوند و برای دسترسی به سایت شما درخواست پرداخت مبلغ معینی داشته باشند. حال که به اهمیت این مسئله پی برده اید وقت آن است که روش هایی برای ایمن سازی وردپرس ارائه دهیم.
۱) آپدیت بودن وردپرس: یکی از روش های ایمن سازی وردپرس و بالا بردن امنیت آن به روزرسانی مداوم آن است. شما با آپدیت وردپرس و افزونه ها و قالب ها می توانید امنیت آن را تامین کنید. wordpress همیشه در صدد رفع مشکلات امنیتی می باشد و نسخه های جدید آن منتشر می گردد و شما تنها کافیست به صورت مداوم آن را به روز نمایید. جهت به روز رسانی خودکار می توانید کد زیر را در فایل wp-config.php اعمال نمایید:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

۲) استفاده از افزونه ها و قالب های مورد اعتماد و با کیفیت: جهت استفاده از افزونه ها وقالب های وردپرس، آنها را از سایت های معتبر و مطمئن تهیه نمایید چرا که طبق آمار موجود بیشترین هک و نفوذ های انجام شده در وردپرس از همین طریق رخ داده است. نکته ی مهم دیگر در مورد امنیت قالب ها و افزونه های وردپررس اینست که تا حدالامکان از قالب های وردپرسی رایگان استفاده نکنید زیرا این قالب ها دارای موارد رمزگذاری هستتند که امکان ارسال لینک های اسپم و کدهای مخرب و ایجاد اختلال در سایت را به وجود می آورند.در صورت نیاز به این گونه قالب ها تنها از سایت وردپرس یا شرکت های کاملا معتبر تهیه نمایید.

۳) تهیه هاست از شرکت هاستینگ مطمئن: هاست فضای میزبانی است که شما برای ورود به دنیای اینترنت سایت خود را روی آن قرار می دهید پس توجه به میزان امنیت آن امری بسیار مهم است. برای خرید هاست وردپرس ابتدا به امکاناتی نظیر امنیت و… بیش از هزینه ی خرید آن توجه نمایید چرا که میزان نفوذ به سایت کمتر و آرامش خاطر بیشتری پیدا خواهید کرد.
۴) تهیه بکاپ: هاستی مناسب است که قابلیت بکاپ گیری داشته باشد همچنین برای حفظ اطلاعات به طور مداوم از سایت وردپرس خود یک نسخه بکاپ تهیه کرده تا در صورت اختلال و نفوذ اطلاعات شما از بین نرود و محفوظ بماند.
۵) تنظیم پسورد و نام کاربری قوی جهت افزایش امنیت وردپرس: اگر رمز عبور وردپرس خود را ضعیف انتخاب نمایید کار را برای هکر ها آسان می کنید این مسئله برای تمامی رمز های عبور مانند دیتابیس، FTP و هنگام ورود به هاست نیز صدق می کند. همچنین از (admin) نام کاربری پیش فرضی که قبلا وردپرس برای مدیران تنظیم می نمود استفاده نکنید چرا هکرها به این موضوع پی برده اند و به راحتی می توانند دسترسی پیدا کنند. با استفاده از پلاگین هایی برای تغییر نام کاربری و phpMyAdmin می توانید نام کاربری خود را عوض کنید.
۶) نگهداری از افزونه های مورد استفاده: هر چه تعداد افزونه های فعال بیشتر باشد سبب کاهش عملکرد سایت و امنیت آن می شود. سعی کنید زودتر افزونه های غیر ضروری را حذف نمایید تا بتوانید میزان ریسک آن را کم کنید.
۷) امکان دسترسی: اگر سایت خود را به صورت تیمی پیش می برید برای دسترسی به سایت همه ی افراد سطح دسترسی مدیر را دارند باید گفت با این کار امنیت وردپرس کم خواهید زیرا کافی است رمز یکی از این مدیران افشا شود این امر سبب می شود سایت توسط هکرها هک گردد.

۸) صفحه ی ورود وردپرس: یکی دیگر از روش های بالابردن امنیت با تنظیم ورود به صورت دومرحله ای گوگل و یا سوال امنیتی، تعویض آدرس صفحه ی ورود، محدود نمودن تعداد دفعات ورود به وردپرس و ورود با ایمیل و ساخت کپچا و استفاده از آن می باشد که به هر یک از این موارد خواهیم پرداخت.
. محدود نمودن تعداد دفعات ورود: هکرها می توانند با تلاش بسیار به وردپرس وارد شود در نتیجه شما با ایجاد محدودیت  دفعات تلاش برای ورود جلوی این اتفاق را بگیرید و نفوذ را برای آنان دشوار کنید.
. ایجاد محدودیت برای ورود با ایمیل: همه ی ما ایمیلی داریم که ممکن است با آن کارهای زیادی کرده باشیم و با افراد زیادی با آن ایمیل در ارتباط باشیم لذا از آنجایی که وردپرس قابلیت ورود با ایمیل را نیز داردشما  می توانید با محدود نمودن آن امکان ورود با ایمیل را برداشته و فقط با نام کاربری خود وارد وردپرس شوید.
. آدرس صفحه ورود به وردپرس را تغییر دهید! اگر فردی به نام کاربری و رمز شما دسترسی پیدا کند به راحتی می تواند از طریق آدرس های wp-login.php و wp-admin به پیشخوان وردپرس وارد شود شما با استفاده از افزونه ای مانند Cerber Security & Antispam می توانید آدرس صفحه ورود را تغییر داده و امنیت وردپرس را بالا ببرید و امکان نفوذ را کاهش دهید.
. ساخت کپچا و استفاده از آن: از مزیت های استفاده از کپچا وردپرس می توان به جلوگیری از دیدگاه و نظرات اسپم اشاره نمود که سبب می شود درخواست مداوم به سایت کم شود و منابع هاست را تحت تاثیر نگذارد.
. ورود دو مرحله ای: با استفاده از قابلیت دو مرحله ای نمودن ورود توسط برنامه Google Authenticator به راحتی می توانید برای لاگین کردن در دو مرحله احراز هویت ایجاد نمایید امنیت آن را به مراتب بالا ببرید.
۹) تاثیر گواهینامه ssl و HTTPS بر امنیت وردپرس: Socket Secure Layer (ssl) سبب می شود تا داده های سایت شما به صورت رمزگذاری شده بین دستگاه و سرور ارسال شود و از افشای آنها جلوگیری می کند پس می توان به جرات بیان کرد یکی ازمهم ترین مزیت های گواهی نامه ssl، ایمن سازی وب سایت است.
۱۰) غیر فعال نمودن نمایش خطای ورود: ممکن است تا به برای لاگین کردن به حساب کاربری خود در برنامه های مختلف با خطاهایی مانند “نام کاربری اشتباه است” یا “رمز وارد شده اشتباه می باشد” را مشاهده کرده باشید. حال تصور کنید افراد سودجو قصد ورود به وردپرس را داشته باشند با دیدن این خطاها پی خواهند برد که کدام داده اشتباه و در صدد رفع آن برخواهند آمد و پس از تلاش بسیار بالاخره وارد ورپرس می شوند. با غیر فعال کردن نمایش خطا، جلوی نفوذ هکراها را بگیرید.
۱۱) پیشوند بانک اطلاعات پیش فرض wp را هنگام نصب وردپرس تغییر دهید: ساده ترین روش برای تغییر پیشوند جدول پیش فرض جهت افزایش امنیت وردپرس زمانی است که برای اولین بار وردپرس را نصب می کنید. در حین نصب ، به صفحه ای مانند تصویر زیر خواهید رسید. در این صفحه می توانید اطلاعات دیتابیس را تغییر و آن را ارسال نمایید.

شما می توانید پیشوند را هر آنچه می خواهید نامگذاری کنید. برای تغییر پیشوند  می توانید از حروف، اعداد و علامت ها به عنوان مثال _wp_YWfn6Z4C استفاده نمایید.
۱۲) امنیت wp-config.php: ازمهمترین پرونده ها در فهرست اصلی سایت شما است. محافظت از آن به معنای امنیت هسته وبلاگ وردپرس شما به صورت کلی تر امنیت وردپرس است.  برای محافظت از آن پرونده wp-config.php خود را گرفته و آن را به سطح بالاتر از فهرست اصلی خود منتقل کنید. حال سوال اینجاست که اگر آن را در جای دیگری ذخیره کنید ، چگونه سرور به آن دسترسی پیدا می کند؟ در معماری فعلی وردپرس ، تنظیمات فایل پیکربندی در لیست اولویت ها بالاترین میزان را دارند. بنابراین ، حتی اگر یک پوشه در بالای فهرست ریشه ذخیره شود ، وردپرس هنوز هم می تواند آن را مشاهده کند.
۱۳) غیر فعال کردن پرونده PHP: راه دیگر برای سخت تر کردن نفوذ به وردپرس، غیرفعال کردن اجرای پرونده PHP برای دایرکتوری هایی نظیر / wp-content / upload /  است که نیازی به اجرای فایل PHP ندارند.

۱_ ورود به هاست
public_html/wp-content/uploads _2
۳_ ساخت فایل htaccess.
۴_اجرای کد زیر

<Files *.php>
deny from all
</Files>

۱۴) ویرایشگر قالب ها و افزونه ها را غیر فعال نمایید! WordPress دارای قابلیت ویرایش کد در داشبورد وردپرس می باشد که به شما اجازه می دهد تا افزونه ها و قالب های وردپرس را در منوی نمایش ویرایش کنید. این ویژگی می تواند یک خطر امنیتی محسوب شود به همین خاطر توصیه می کنیم آن را غیر فعال نمایید.
شما می توانید با افزودن کد زیر در پرونده wp-config.php خود به راحتی این کار را انجام دهید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

۱۵) XML-RPC را در وردپرس غیرفعال کنید!  XML-RPC امکان مدیریت از راه دور را به شما خواهد داد اما در حین حال می تواند حملات بی رحمانه را به میزان قابل توجهی تقویت کند. برای مثال ، به صورت معمولی اگر یک هکر بخواهد ۵۰۰ رمز عبور مختلف را در وب سایت شما امتحان کند ، باید ۵۰۰ بار برای ورود به سیستم تلاش کند که توسط پلاگین قفل ورود به سیستم گرفتار و مسدود می شوند.
اما با XML-RPC ، یک هکر می تواند از تابع system.multicall استفاده کند تا هزاران رمز عبور را با  ۲۰ یا ۵۰ درخواست امتحان کند به همین دلیل اگر از XML-RPC استفاده نمی کنید ، بنابراین توصیه می کنیم آن را غیرفعال کنید تا امنیت وردپرس محفوظ بماند.

۱۶) کلیدهای امنیتی WordPress خود را تغییر دهید:  کلیدهای امنیتی WordPress وظیفه رمزگذاری اطلاعات ذخیره شده در کوکی های کاربر را دارند. آنها در فایل wp-config.php  ذخیره سازی می شود:

    define('AUTH_KEY', 'put your unique phrase here');
    define('SECURE_AUTH_KEY', 'put your unique phrase here');
    define('LOGGED_IN_KEY', 'put your unique phrase here');
    define('NONCE_KEY', 'put your unique phrase here');
    define('AUTH_SALT', 'put your unique phrase here');
    define('SECURE_AUTH_SALT', 'put your unique phrase here');
    define('LOGGED_IN_SALT', 'put your unique phrase here');
    define('NONCE_SALT', 'put your unique phrase here');

با استفاده از WordPress Salts Key Generator می توانید کلید های امنیتی را تغییر داده و امنیت سایت خود را بالا ببرید.
۱۷) گزارش خطا را غیر فعال نمایید: گزارش خطا از جهت این که به شما اطلاع می دهد کدام افزونه یا مسئله باعث ایجاد خطا در سایتتان شده است، بسیار مفید است اما با توجه به نمایش مسیر سرور هنگام گزارش خطا، زمینه را برای هکرها فراهم می آورد تا با اطلاع از چگونگی و موقعیت خطا از این آسیب پذیری استفاده کنند. شما می توانید با افزودن کد زیر در فایل wp–config.php این گزارش را غیر فعال نموده و امنیت وردپرس را بالا ببرید.

    error_reporting(0);
    @ini_set(‘display_errors’, ۰);

۱۸) شماره نسخه وردپرس را حذف کنید: هر کسی با توجه به کد منبع وب سایت می تواند بفهمد از کدام نسخه ی WordPress استفاده می کنید.از آنجایی که نسخه ی وردپرس، اشکالات امنیتی را شرح می دهد به راحتی به هکرها کمک خواهد کرد که از کدام حفره های امنیتی برای نفوذ استفاده نمایند و همنیت وردپرس شما را زیر سوال ببرند. شما با ویرایش فایل functions.php وافزودن کد زیر نسخه ی وردپرس را حذف کنید.

    remove_action('wp_head', 'wp_generator');

۱۹) منابع وردپرس را از موضوع خود حذف کنید: اگر هکری بداند شما از چه منابعی استفاده می کنید برای هک کردن دست به کار می شود. همه منابع مربوط به WordPress را از پرونده های موضوع خود حذف کنید. منابع را از طریق header.php پیدا کنید و حذف نمایید:

<meta name="generator" content="WordPress" />

۲۰) نام کاربری نویسنده را مخفی کنید: اگر توجه کرده باشید وقتی روی نام نویسنده ی یکی از مطالب سایت کلیک می کنید به صفحه ای هدایت می شوید که در آن کلیه ی مطالب نوشته شده توسط آن نویسنده را نشان می دهد و در آدرس صفحه نیز نام کاربری نویسنده ظاهر می شود. برای افزایش امنیت وردپرس اگر نیازی به آن نمایش صفحات نویسنده ندارید می توانید با به کمک اعمال کد زیر در فایل htaccess. این صفحات را به صفحه ی اصالی ریدایرکت کنید.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* – [F]
# END block author scans

همانطور که در ابتدای مقاله اشاره کردیم به دلیل محبوبیت وردپرس بین وب مستران و استفاده زیاد از آن، حفظ و افزایش امنیت وردپرس یکی از مهم ترین فاکتور هایی است که باید به آن توجه نمود. راه های مختلفی برای افزایش امنیت وجود داردکه ما در این مقاله به صورت مختصر به آن ها اشاره نمودیم که امیدوار هستیم برای شما مفید واقع شود.