آموزش تامین امنیت وردپرس و جلوگیری از هک وردپرس – کد محتوا ( Fartak 108292 )

- مقدمه
- نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس
- بهروز رسانی مداوم وردپرس
- بکآپ گیری منظم وردپرس
- افزایش امنیت فایل wp-config.php
- افزایش امنیت فایل htaccess.
- افزایش امنیت پوشه wp-admin
- استفاده از رمز عبور قوی و سطح دسترسی
- افزایش امنیت صفحه ورود به وردپرس
- مخفی کردن نام کاربری وردپرس
- تغییر پیشوند جداول وردپرس
- استفاده از SSL در وردپرس
- غیرفعال کردن مشاهده پوشههای هاست
- استفاده از افزونه امنیت وردپرس
- نتیجه گیری
آنچه در این مقاله میخوانید :
مقدمه
یکی از دغدغههای مهم و قابل اهمیت مدیران سایت وردپرس، ایجاد امنیت سایتشان است که نمیتوان به سادگی این موضوع را نادیده گرفت.
وردپرس به علت داشتن محبوبیت غیر قابل وصف درمیان سیستم های مدیرت محتوا و سایت ساز، همیشه در معرض هک و نفوذ قرار میگیرد که استفاده کردن از وردپرس در مقابل بسیاری از سایتها دلیلی بر بیشترشدن موضوع هک سایت وردپرسی شده است.
در این مقاله از هلدینگ فرتاک تصمیم داریم تا به معرفی روشهای تامین امنیت وردپرس بپردازیم که با استفاده کردن از این روشها میتوانید امنیت سایت خود را افزایش دهید و بدین ترتیب از هرگونه هک و نفوذ به سایت خود جلوگیری کنید.
پس برای نجات دادن سایت خود از خطر هک شدن، در این مقاله از هلدینگ فرتاک با ما همراه باشید.
نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس
امنیت وردپرس زمانی به خطر می افتد که برخی از افراد بعد از نفوذ به سایت شما و قرار دادن کدهای مخرب در بخشهایی از سایت، اطلاعات آن را به صورت دائمی استخراج خواهند کرد.
حال در این قسمت شما را با روشهای جلوگیری از نفوذ هکرها به سایت و افزایش ایمنی سایت وردپرس آشنا خواهیم کرد:
بهروز رسانی مداوم وردپرس
مهمترین و با اهمیتترین مسئله در تامین امنیت وردپرس گسترده بودن و همچنین بروز بودن ورپرس و افزونهها و قالبهایی است که از آنها در طراحی سایت استفاده میکنید.
تیم وردپرس دائما در حال افزودن قابلیتهای جدید و همچنین رفع مشکلات و باگهای امنیتی به این سیستم مدیریت محتوا میباشد. بنابراین زمانی که تیم وردپرس آپدیت جدیدی از این cms را به کاربران خود ارائه میدهد، باید در اولین گام اقدام به آپدیت وردپرس خود کنید. همچنین برای افزونهها و قالبهای استفاده شده نیز باید به این صورت عمل کرده و آنها را آپدیت کنید.
بکآپ گیری منظم وردپرس
افراد هکر پس از هک نمودن سایت وردپرسی شما گاهی کدهای مخرب وارد سایت میشود که در بیشتر مواقع احتمالا متوجه این مسئله نشوید.
از طرف دیگر نمیتوان به بکآپ گیری که میزبان تهیه میکند اطمینان داشت. پس در بکآپ گیری بسیار دقت کنید تا زحماتی که برای سایت خود میکشید به هدر نرود.
افزایش امنیت فایل wp-config.php
فایل wp-config.php دقیقا از مهمترین فایلهای هر سایت وردپرس محسوب میشود که اطلاعات دیتابیس در این فایل وجود دارد.
پس در حفظ اطلاعات این فایل باید دقت بسیاری داشته و با استفاده از هر ترفندی که بلد هستید دسترسی به این فایل را محدود کنید تا هیچ کسی جز خودتان نتواند این فایل را مشاهده کند.
افزایش امنیت فایل htaccess.
یکی دیگر از فایلهایی که در وردپرس بسیار حائز اهمیت است، فایل htaccess. است که با استفاده از آن میتوانید عملهای مختلفی را روی سایت اعمال کنید. این فایل با استفاده از دستوراتش میتواند از فایل ها و پوشه های وردپرس محافظت کرده و امنیت سایت را افزایش دهد.
افزایش امنیت پوشه wp-admin
پوشه wp-admin نیز یکی از مهمترین و با اهمیتترین پوشههای وردپرس است و همانطور که از نام این پوشه مشخص است، عملهای مربوط به مدیریت پیشخوان وردپرس در آن انجام خواهد شد.
بنابراین هکرها با دسترسی آسان به این پوشه میتوانند کدهای مخرب را در فایل های این پوشه وارد کرده و امنیت آن را مختل کنند.

استفاده از رمز عبور قوی و سطح دسترسی
یکی از رایج ترین عواملی که سبب میشود تا سایتها موردحمله و نفوذ هکرها قرارگیرند، استفاده از رمزعبورهای سست و ساده است.
بنابراین ساده ترین روش برای جلوگیری از ورود افراد بیگانه به سایت، استفاده از رمز عبورهای قوی و غیرقابل دسترسی است.
افزایش امنیت صفحه ورود به وردپرس
صفحه ورود به وردپرس درواقع یکی از مهمترین صفحاتی است که محافظت از آن برای جلوگیری از هک سایت و همچنین برای جلوگیری از حملات DDOS بسیار مهم و کلیدی خواهد بود.
بنابراین با به وجود آمدن راههای امنیتی از قبیل گذاشتن سوالات امنیتی، استفاده از ورود دو مرحلهای گوگل و… این روش ها به شما کمک میکنند تا با استفاده از آنها سایت خود را ایمن کرده و از نفوذ هکرها در سایت خود درامان بمانید.
در ادامه به معرفی و شرح برخی از این روشها میپردازیم:
-تغییر آدرس صفحه ورود به وردپرس
وردپرس به صورت پیش فرض از آدرس wp-login.php برای ورود به صفحه استفاده میکند که با استفاده از آدرس wp-admin نیز میتوانید به صورت خودکار به این صفحه هدایت شوید.
-محدودیت در تعداد دفعات ورود به وردپرس
وردپرس به صورت پیش فرض هیچ چارچوبی به منظور تعداد دفعات تلاش برای ورود به سایت قرار نداده و کاربران میتوانند به هر تعدادی که خواستند برای ورود به سایت اقدام کنند.
اما راهی وجود دارد که شما میتوانید تعداد دفعات ورود به وردپرس را محدود کرده و یک طیف مشخص قرار دهید.
-محدودیت در ورود با ایمیل در وردپرس
از نسخه 3 به بعد امکاناتی به وردپرس اضافه شد که علاوه بر نام کاربری شما می توانید با ایمیلی هم که دارید به اکانت وردپرس خود وارد شوید.
بنابراین از آن جایی که با ایمیلتان، با افراد بسیاری در ارتباط هستید، پس امکان نفوذ و هک به مدیریت وردپرس شما برقرار می شود.
برای غیرفعال کردن این قابلیت ارائه شده وردپرس باید وارد هاست خود شوید و سپس به مسیر /public_html/wp-content/themes/ بروید.
حال باید وارد پوشه قالب مورد استفاده خود شده و قطعه کد زیر را در فایل فانکشن (functions.php) قالب قرارداده و سپس ذخیره نمایید. بعد از قرار دادن این کد در فانکشن، دیگر قادر نخواهید بود که با اکانت ایمیل وارد وردپرس شوید.
remove_filter( ‘authenticate’, ‘wp_authenticate_email_password’, 20 );
-استفاده از کپچا وردپرس
یکی از روشهای حمله به وردپرس و هک آن، با استفاده از ارسال دیدگاه اسپم و یا تلاش برای ورود به وردپرس صورت میگیرد .
در این روش ضرورتی ندارد که فرد حتما وارد سایت شود. بلکه در این روش دائما درخواستی به سایت شما ارسال شده و CPU و منابع هاست شما را درگیر کرده و در نهایت سایت را از دسترس خارج میکند.
برای جلوگیری از هک در این روش میتوانید از کپچا وردپرس استفاده کنید. استفاده از کپچا میتواند از نظرات اسپم جلوگیری کرده و راه نفوذ به سایت شما را مسدود نماید.
-ورود دو مرحلهای گوگل در وردپرس
تقریبا نزدیک 2 سال است که گوگل برنامه Google Authenticator را برای ورود دو مرحلهای گوگل فراهم کرده است.
در این قسمت نیازی به دریافت کد تایید برای ورود به اکانت از طریق دریافت پیامک نیست، بلکه میتوانید برنامه مخصوص اندروید و IOS را روی گوشی خود نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید میشوند را برای کد ورود استفاده نمایید.
این سیستم محدود به محصولات گوگل نخواهد بود و با استفاده از این قابلیت میتوانید امکان ورود دو مرحلهای گوگل در وردپرس را هم فراهم نمایید.
-افزودن سوال امنیتی در صفحه ورود وردپرس
استفاده از قابلیت سوال و جواب امنیتی، یکی دیگر از راهکارهای افزودن امنیت در وردپرس است. در این روش هر کاربر با ورود به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب میکند و با تعیین جواب، هنگامی که اقدام به ورود در سایت میکند، تا زمانی که جواب تعیین شده را به درستی وارد نکرده باشد قادر به ورود به وردپرس نخواهد شد.
-غیرفعال کردن پیغام خطاهای وردپرس
هنگامی که نام کاربری یا رمزعبور را به اشتباه در صفحه ورود وردپرس وارد میکنید، پیام “نام کاربری xxx اشتباه است و یا شناسه معتبر نیست” نشان داده میشود.
هکرها با توجه به پیام نمایش داده شده تشخیص میدهند که کدام یک از اطلاعات ورود اشتباه است. در آخر بعد از دسترسی به اطلاعات درست میتواند روی مورد بعدی تمرکز کرده و سایت را در کوتاهترین زمان ممکن هک کند.
برای غیرفعال کردن این قابلیت بایستی کد زیر را در فایل فانکشن (functions.php) قالب خود قرار داده و ذخیره کنید.
// Remove error message on login screenadd_filter(‘login_errors’, create_function(‘$a’, ‘return null;’));

مخفی کردن نام کاربری وردپرس
در بیشتر قالبهای وردپرس هنگامی که روی نام نویسنده یک نوشته کلیک میکنید به صفحه نویسنده وارد خواهید شد؛ که در آن نام کاربری نویسنده دقیقا همان چیزی است که در آدرس نشان داده میشود.
حال اگر تصمیم دارید که این قابلیت را از سایت خود حذف کنید بایستی کدهای زیر را در فایل htaccess. هاست خود، صفحات مربوط به نویسنده نوشته را به صفحه اصلی سایت ریدایرکت کنید.
# BEGIN block author scansRewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} (author=\d+) [NC]RewriteRule .* – [F]# END block author scans
تغییر پیشوند جداول وردپرس
در حالت پیش فرض، وردپرس از _wp بهعنوان پیشوند جداول در پایگاه داده استفاده میکند. حالا اگر در حالتی که هنگام نصب وردپرس اقدام به تصحیح آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش یافته و به خطر خواهد افتاد.
استفاده از SSL در وردپرس
استفاده از پروتکل امن HTTPS این امکان را به سایت شما خواهد داد که همه دادهها در محیطی امن رد و بدل میشوند. بنابراین با استفاده از SSL میتوانید امنیت وردپرس خود را افزایش دهید.
غیرفعال کردن مشاهده پوشههای هاست
یکی دیگر از نکاتی که کاربران توجه کمتری به آن دارند و بر اساس کانفیگ هاست ممکن است این قابلیت در هاست غیرفعال نشده باشد، مرور پوشهها در سایت است. Directory browsing میتواند توسط هکرها مورد استفاده قرار گرفته و پوشهها را بررسی کند. سپس به آسانی اطلاعات سایت شما را مورد سرقت قرار دهد.
بنابراین لازم است تا این قابلیت را در وردپزی خود غیرفعال کنید. بدین ترتیب باید:
- وارد هاست خود شده و به مسیر public_html مراجعه کنید.
- فایل را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
- دستور Options -Indexes را در انتهای فایل .htaccess اضافه کنید.
- در نهایت فایل را ذخیره کنید.
استفاده از افزونه امنیت وردپرس
افزونههای امنیتی مختلفی برای وردپرس ساخته میشوند که امکان قابلیتهای امنیتی را در وردپرس به شما میدهند. این افزونه امنیتی در وردپرس میتواند افزونه امنیت وردپرس iThemes Security باشد.
نتیجه گیری
به پایان مقاله تامین امنیت وردپرس و جلوگیری از هک وردپرس رسیدیم.
اگر در رابطه با تامین امنیت وردپرس و جلوگیری از هک وردپرس سؤالی داشتید حتماً با ما در قسمت نظرات در میان بگذارید.
تیم پشتیبانی هلدینگ فرتاک در زمینه خدمات طراحی سایت، سئو، بهینهسازی، دیجیتال مارکتینگف سوشال مدیا و طراحی گرافیک آماده ارائه خدمات به شما است.
سوالات متداول
این موارد لایه های امنیتی رو به وردپرس شما اضافه میکنن اما تضمین امنیت 100 درصدی نیستند چون مبحث امنیت بسیار گسترده هستش حتی در اتخاب قالب و افزونه و سالم بودن کدهاش هم باید مانور بدید. از طرفی تعدد افزونه ها هم خودش یه مبحث امنیتی هست و هرچه این تعداد کمترباشه بهتره.
باید در انتخاب منبع خرید افزونه بسیار دقت داشته باشید احتمال وجود افزونه نامعنبر در فروشگاه های اینترنتی وجود داره بر همین اساس باید با دقت زیادی خرید انجام بدید.