شرکت طراحی سایت فرتاک | شرکت طراحی سایت در تهران

02191691075

پشتیبانی 24 ساعته

تهران ، خیابان ستارخان ، باقرخان

02191691075

پشتیبانی 24 ساعته

ملاقات حضوری شنبه تا پنج شنبه

از ساعت 8 صبح تا 8 عصر

آموزش تامین امنیت وردپرس و جلوگیری از هک وردپرس – کد محتوا ( Fartak 108292 )

تامین امنیت وردپرس و جلوگیری از هک وردپرس

آنچه در این مقاله میخوانید :

مقدمه

یکی از دغدغه‌های مهم و قابل اهمیت مدیران سایت وردپرس، ایجاد امنیت سایت‌شان است که نمی‌توان به سادگی این موضوع را نادیده گرفت.

وردپرس به علت داشتن محبوبیت غیر قابل وصف درمیان سیستم های مدیرت محتوا و سایت ساز، همیشه در معرض هک و نفوذ قرار می‌گیرد که استفاده کردن از وردپرس در مقابل بسیاری از سایت‌ها دلیلی بر بیشترشدن موضوع هک سایت وردپرسی شده است.

در این مقاله از هلدینگ فرتاک تصمیم داریم تا به معرفی روش‌های تامین امنیت وردپرس بپردازیم که با استفاده کردن از این روش‌ها می‌توانید امنیت سایت خود را افزایش دهید و بدین ترتیب از هرگونه هک و نفوذ به سایت خود جلوگیری کنید.

 پس برای نجات دادن سایت خود از خطر هک شدن، در این مقاله از هلدینگ فرتاک با ما همراه باشید.

نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس

امنیت وردپرس زمانی به خطر می افتد که برخی از افراد بعد از نفوذ به سایت شما و قرار دادن کدهای مخرب در بخش‌هایی از سایت، اطلاعات آن را به صورت دائمی استخراج خواهند کرد.

حال در این قسمت شما را با روش‌های جلوگیری از نفوذ هکرها به سایت و افزایش ایمنی سایت وردپرس آشنا خواهیم کرد:

  • به‌روز رسانی مداوم وردپرس

 

مهم‌ترین و با اهمیت‌ترین مسئله در تامین امنیت وردپرس گسترده بودن و همچنین بروز بودن ورپرس و افزونه‌ها و قالب‌هایی است که از آن‌ها در طراحی سایت استفاده می‌کنید.

تیم وردپرس دائما در حال افزودن قابلیت‌های جدید و همچنین رفع مشکلات و باگ‌های امنیتی به این سیستم مدیریت محتوا می‌باشد. بنابراین زمانی که تیم وردپرس آپدیت جدیدی از این cms را به کاربران خود ارائه می‌دهد، باید در اولین گام اقدام به آپدیت وردپرس خود کنید. همچنین برای افزونه‌ها و قالب‌های استفاده شده نیز باید به این صورت عمل کرده و آن‌ها را آپدیت کنید.

 

  • بک‌آپ گیری منظم وردپرس

 

افراد هکر پس از هک نمودن سایت وردپرسی شما گاهی کدهای مخرب وارد سایت می‌شود که در بیشتر مواقع احتمالا متوجه این مسئله نشوید.

 از طرف دیگر نمی‌توان به بک‌آپ ‌گیری که میزبان تهیه می‌کند اطمینان داشت. پس در بک‌آپ گیری بسیار دقت کنید تا زحماتی که برای سایت خود میکشید به هدر نرود.

 

  • افزایش امنیت فایل wp-config.php

 

فایل wp-config.php دقیقا از مهم‌ترین فایل‌های هر سایت وردپرس محسوب می‌شود که اطلاعات دیتابیس در این فایل وجود دارد.

پس در حفظ اطلاعات این فایل باید دقت بسیاری داشته و با استفاده از هر ترفندی که بلد هستید دسترسی به این فایل را محدود کنید تا هیچ ‌کسی جز خودتان نتواند این فایل را مشاهده کند.

 

  • افزایش امنیت فایل htaccess.

 

یکی دیگر از فایل‌هایی که در وردپرس بسیار حائز اهمیت است، فایل htaccess. است که با استفاده از آن می‌توانید عمل‌های مختلفی را روی سایت اعمال کنید. این فایل با استفاده از دستوراتش میتواند از فایل ها و پوشه های وردپرس محافظت کرده و امنیت سایت را افزایش دهد.

 

  • افزایش امنیت پوشه wp-admin

 

پوشه wp-admin نیز یکی از مهم‌ترین و با اهمیت‌ترین پوشه‌های وردپرس است و همانطور که از نام این پوشه مشخص است، عمل‌های مربوط به مدیریت پیشخوان وردپرس در آن انجام خواهد شد.

بنابراین هکرها با دسترسی آسان به این پوشه می‌توانند کدهای مخرب را در فایل های این پوشه وارد کرده و امنیت آن را مختل کنند.

افزایش امنیت پوشه wp-admin
  • استفاده از رمز عبور قوی و سطح دسترسی

 

یکی از رایج ترین عواملی که سبب می‌شود تا سایت‌ها موردحمله و نفوذ هکرها قرارگیرند، استفاده از رمزعبورهای سست و ساده است.

بنابراین ساده ترین روش برای جلوگیری از ورود افراد بیگانه به سایت، استفاده از رمز عبورهای قوی و غیرقابل دسترسی است.

 

  • افزایش امنیت صفحه ورود به وردپرس

 

صفحه ورود به وردپرس درواقع یکی از مهمترین صفحاتی است که محافظت از آن برای جلوگیری از هک سایت و همچنین برای جلوگیری از حملات DDOS بسیار مهم و کلیدی خواهد بود.

بنابراین با به وجود آمدن راه‌های امنیتی از قبیل گذاشتن سوالات امنیتی، استفاده از ورود دو مرحله‌ای گوگل و… این روش ها به شما کمک می‌کنند تا با استفاده از آنها سایت خود را ایمن کرده و از نفوذ هکرها در سایت خود درامان بمانید.

در ادامه به معرفی و شرح برخی از این روش‌ها می‌پردازیم:

 

-تغییر آدرس صفحه ورود به وردپرس

 

وردپرس به صورت پیش‌ فرض از آدرس wp-login.php برای ورود به صفحه استفاده می‌کند که با استفاده از آدرس wp-admin نیز می‌توانید به صورت خودکار به این صفحه هدایت شوید.

 

-محدودیت در تعداد دفعات ورود به وردپرس

 

وردپرس به صورت پیش‌ فرض هیچ چارچوبی به منظور تعداد دفعات تلاش برای ورود به سایت قرار نداده و کاربران میتوانند به هر تعدادی که خواستند برای ورود به سایت اقدام کنند.

اما راهی وجود دارد که شما می‌توانید تعداد دفعات ورود به وردپرس را محدود کرده و یک طیف مشخص قرار دهید.

 

-محدودیت در ورود با ایمیل در وردپرس

 

از نسخه 3 به بعد امکاناتی به وردپرس اضافه شد که علاوه بر نام کاربری شما می توانید با ایمیلی هم که دارید به اکانت وردپرس خود وارد شوید.

بنابراین از آن‌ جایی که با ایمیلتان، با افراد بسیاری در ارتباط هستید،  پس امکان نفوذ و هک به مدیریت وردپرس شما برقرار می شود.

برای غیرفعال کردن این قابلیت ارائه شده وردپرس باید وارد هاست خود شوید و سپس به مسیر /public_html/wp-content/themes/ بروید.

حال باید وارد پوشه قالب مورد استفاده خود شده و قطعه کد زیر را در فایل فانکشن (functions.php) قالب قرارداده و سپس ذخیره نمایید. بعد از قرار دادن این کد در فانکشن، دیگر قادر نخواهید بود که با اکانت ایمیل وارد وردپرس شوید.

 

remove_filter( ‘authenticate’, ‘wp_authenticate_email_password’, 20 );

 

-استفاده از کپچا وردپرس

 

یکی از روش‌های حمله به وردپرس و هک آن، با استفاده از ارسال دیدگاه اسپم و یا  تلاش برای ورود به وردپرس صورت می‌گیرد .

در این روش ضرورتی ندارد که فرد حتما وارد سایت شود. بلکه در این روش دائما درخواستی به سایت شما ارسال شده و CPU و منابع هاست شما را درگیر کرده و در نهایت سایت را از دسترس خارج می‌کند.

برای جلوگیری از هک در این روش می‌توانید از کپچا وردپرس استفاده کنید. استفاده از کپچا می‌تواند از نظرات اسپم جلوگیری کرده و راه نفوذ به سایت شما را مسدود نماید.

 

 -ورود دو مرحله‌ای گوگل در وردپرس

 

تقریبا نزدیک 2 سال است که گوگل برنامه Google Authenticator را برای ورود دو مرحله‌ای گوگل فراهم کرده است.

در این قسمت نیازی به دریافت کد تایید برای ورود به اکانت از طریق دریافت پیامک نیست، بلکه میتوانید برنامه مخصوص اندروید و IOS را روی گوشی خود نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید می‌شوند را برای کد ورود استفاده نمایید.

این سیستم محدود به محصولات گوگل نخواهد بود و با استفاده از این قابلیت میتوانید امکان ورود دو مرحله‌ای گوگل در وردپرس را هم فراهم نمایید.

 

-افزودن سوال امنیتی در صفحه ورود وردپرس

 

 استفاده از قابلیت سوال و جواب امنیتی، یکی دیگر از راهکارهای افزودن امنیت در وردپرس است. در این روش هر کاربر با ورود به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب می‌کند و با تعیین جواب، هنگامی که اقدام به ورود در سایت می‌کند، تا زمانی که جواب تعیین شده را به درستی وارد نکرده باشد قادر به ورود به وردپرس نخواهد شد.

 

-غیرفعال کردن پیغام خطاهای وردپرس

 

هنگامی که نام کاربری یا رمزعبور را به اشتباه در صفحه ورود وردپرس وارد می‌کنید، پیام “نام کاربری xxx اشتباه است و یا شناسه معتبر نیست” نشان داده می‌شود.

هکرها با توجه به پیام نمایش داده شده تشخیص میدهند که کدام یک از اطلاعات ورود اشتباه است. در آخر بعد از دسترسی به اطلاعات درست میتواند روی مورد بعدی تمرکز کرده و سایت را در کوتاهترین زمان ممکن هک کند.

برای غیرفعال کردن این قابلیت بایستی کد زیر را در فایل فانکشن (functions.php) قالب خود قرار داده و ذخیره کنید.

 

// Remove error message on login screenadd_filter(‘login_errors’, create_function(‘$a’, ‘return null;’));

غیرفعال کردن پیغام خطاهای وردپرس
  • مخفی کردن نام کاربری وردپرس

 

در بیشتر قالب‌های وردپرس هنگامی که روی نام نویسنده یک نوشته کلیک می‌کنید به صفحه نویسنده وارد خواهید شد؛ که در آن نام کاربری نویسنده دقیقا همان چیزی است که در آدرس نشان داده می‌شود.

حال اگر تصمیم دارید که این قابلیت را از سایت خود حذف کنید بایستی کدهای زیر را در فایل  htaccess. هاست خود، صفحات مربوط به نویسنده نوشته را به صفحه اصلی سایت ریدایرکت کنید.

# BEGIN block author scansRewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} (author=\d+) [NC]RewriteRule .* – [F]# END block author scans

 

 

  • تغییر پیشوند جداول وردپرس

 

در حالت پیش ‌فرض، وردپرس از _wp به‌عنوان پیشوند جداول در پایگاه داده استفاده می‌کند. حالا اگر در حالتی که هنگام نصب وردپرس اقدام به تصحیح آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش یافته و به خطر خواهد افتاد.

 

  • استفاده از SSL در وردپرس

 

استفاده از پروتکل امن HTTPS این امکان را به سایت شما خواهد داد که همه داده‌ها در محیطی امن رد و بدل می‌شوند. بنابراین با استفاده از SSL میتوانید امنیت وردپرس خود را افزایش دهید.

 

  • غیرفعال کردن مشاهده پوشه‌های هاست

 

یکی دیگر از نکاتی که کاربران توجه کمتری به آن دارند و بر اساس کانفیگ هاست ممکن است این قابلیت در هاست غیرفعال نشده باشد، مرور پوشه‌ها در سایت است. Directory browsing می‌تواند توسط هکرها مورد استفاده قرار گرفته و پوشه‌ها را بررسی کند. سپس به آسانی اطلاعات سایت شما را مورد سرقت قرار دهد.

بنابراین لازم است تا این قابلیت را در وردپزی خود غیرفعال کنید. بدین ترتیب باید:

  1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
  2. فایل را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
  3. دستور Options -Indexes را در انتهای فایل .htaccess اضافه کنید.
  4. در نهایت فایل را ذخیره کنید.

 

  •  استفاده از افزونه امنیت وردپرس

 

افزونه‌های امنیتی مختلفی برای وردپرس ساخته می‌شوند که امکان قابلیت‌های امنیتی را در وردپرس به شما می‌دهند. این افزونه‌ امنیتی در وردپرس می‌تواند افزونه امنیت وردپرس iThemes Security باشد.

 

 

نتیجه گیری

به پایان مقاله تامین امنیت وردپرس و جلوگیری از هک وردپرس رسیدیم. 

اگر در رابطه با تامین امنیت وردپرس و جلوگیری از هک وردپرس سؤالی داشتید حتماً با ما در قسمت نظرات در میان بگذارید.

تیم پشتیبانی هلدینگ فرتاک در زمینه خدمات طراحی سایت، سئو، بهینه‌سازی، دیجیتال مارکتینگف سوشال مدیا و طراحی گرافیک آماده ارائه خدمات به شما است.

سوالات متداول

این موارد لایه های امنیتی رو به وردپرس شما اضافه میکنن اما تضمین امنیت 100 درصدی نیستند چون مبحث امنیت بسیار گسترده هستش حتی در اتخاب قالب و افزونه و سالم بودن کدهاش هم باید مانور بدید. از طرفی تعدد افزونه ها هم خودش یه مبحث امنیتی هست و هرچه این تعداد کمترباشه بهتره.

باید در انتخاب منبع خرید افزونه بسیار دقت داشته باشید احتمال وجود افزونه نامعنبر در فروشگاه های اینترنتی وجود داره بر همین اساس باید با دقت زیادی خرید انجام بدید.

پست های مرتبط

مطالعه این پست ها رو از دست ندین!

نظرات

سوالات و نظراتتون رو با ما به اشتراک بذارید

دیدگاهتان را بنویسید