وردپرس
۰۵ مهر ۱۴۰۱

25 ترفند امنیتی وردپرس برای ایمن نگه‌داشتن وب‌سایت

نوشته شده توسط سعادت مهر مقالات 0 دیدگاه آخرین بروزرسانی : ۱۸ فروردین ۱۴۰۲

فهرست مطالب

خیلی از صاحبان وب‌سایت‌ها از امنیت وردپرس گلایه می‌کنند. برخی تعجب می‌کنند_آیا وردپرس امن است؟ امروزه تصور این است که یک اسکریپت منبع‌باز در برابر انواع حملات آسیب‌پذیر است. و اگر چنین است، چگونه وب‌سایت وردپرس خود را ایمن می‌کنید؟

خوشبختانه فقدان امنیت داخلی وردپرس حقیقت ندارد و شبیه به افسانه است. امنیت وب‌سایت‌های وردپرسی با تنظیمات درست می‌تواند از سایر CMSهای وب بالاتر باشد. در این مقاله قصد داریم چند ترفند ساده را که باعث امنیت بیشتر سایت وردپرسی می‌شوند را بررسی کنیم.

بخش(الف): وب‌سایت وردپرس خود را با اطمینان از ایمن بودن هاست خود، ایمن کنید.

تقریباً همه شرکت‌های هاستینگ ادعا می‌کنند که یک محیط بهینه برای وردپرس فراهم می‌کنند، اما آیا این کار را می‌کنند؟ 

1_فقط با هاست خوب کار کنید.

شما فقط باید با هاست قابل اعتماد، با کیفیت و ایمن کار کنید. این توصیه بدیهی به نظر می‌رسد. کم‌ و بیش، همه فکر می‌کنند میزبانی آن‌ها عالی است تا زمانی که چیزی برای اولین بار خراب شود. در دنیای واقعی، همه شرکت‌های میزبانی و خدمات، میزبانی یکسان ایجاد نمی‌کنند. برخی از هاست‌ها به سادگی پایین‌تر از سطح هستند و در شرایط استرس عملکرد خوبی ندارند. متاسفانه اکثر اوقات شما اصلا متوجه نمی‌شوید که میزبان شما، اهمیتی برای امنیت وب‌سایتتان قائل نمی‌شود. مواردی مانند افزایش حملات هکرها، از کار افتادن مکرر، عملکرد پایین و… ممکن است نتیجه مکانیسم‌های امنیتی ناکافی باشد.

واقعیت این است که شما واقعاً قرار نیست هاست خود را تعمیر کنید. ساده‌ترین و بهترین راه‌حل این است که آن را به هاست دیگری که ایمن‌تر است تغییر دهید. به طور کلی، هرچه بیشتر پرداخت کنید میزبان جدید شما بهتر خواهد بود، اما در این بین گزینه‌هایی با قیمت مناسب و اقتصادی هم وجود دارد.

امنیت سرویس های میزبانی وب پویان آی تی به وسیله آنتی شلر قدرتمند CXS تضمین شده است. همچنین بک‌آپ گیری به صورت روزانه، هفتگی و ماهیانه انجام می‌شود تا خطر از دست رفتن اطلاعات به حداقل برسد.

2_از فایل wp-config-php محافظت کنید.

فایل wp-config-php اطلاعات مهمی در مورد نصب وردپرس شما دارد و مهم‌ترین فایل در فهرست اصلی سایت شما است و محافظت از آن به معنای ایمن‌سازی هسته وبلاگ وردپرس شماست. این تاکتیک کار را برای هکرها دشوار می‌کند تا امنیت سایت شما را نقض کنند، زیرا فایل wp-config-php برای آن‌ها غیر قابل دسترس می‌شود. به عنوان یک مزیت چرخه حفاظت بسیار ساده است. فقط فایل wp-config-php خود را به سطح بالاتر از دایرکتوری ریشه خود منتقل کنید. حال سوال این است که اگر آن را در جای دیگری ذخیره کنید، سرور چگونه به آن دسترسی پیدا می‌کند؟ در معماری فعلی وردپرس، تنظیمات فایل پیکربندی بر روی بالاترین لیست اولویت قرار دارد. بنابراین، حتی اگر یک پوشه بالای دایرکتوری ریشه ذخیره شود، وردپرس همچنان می‌تواند آن را ببیند.

3_ویرایش فایل را ممنوع کنید.

اگر کاربری به داشبورد وردپرس شما دسترسی ادمین داشته باشد، می‌تواند هر فایلی را که بخشی از نصب وردپرس شما است ویرایش کند. این شامل تمام پلاگین‌ها و تم‌ها می‌شود. اگر ویرایش فایل را ممنوع کنید، هیچکس نمی‌تواند هیچ یک از فایل‌ها را تغییر دهد. حتی اگر یک هکر دسترسی مدیر به داشبورد وردپرس شما را بدست آورد باز هم کاری از پیش نخواهد برد. برای انجام این کار، کد زیر را به انتهای فایل wp-config-php اضافه کنید.

				
					define( 'DISALLOW_FILE_EDIT', ture );

4_مجوزهای دایرکتوری را با دقت تنظیم کنید.

مجوزهای دایرکتوری اشتباه بسیار خطرناک هستند، به خصوص اگر در یک محیط میزبانی مشترک کار می‌کنید. در چنین حالتی، تغییر مجوز فایل‌ها و دایرکتوری‌ها حرکت خوبی برای ایمن‌سازی وب‌سایت در سطح میزبانی است. تنظیم مجوزهای دایرکتوری روی “۷۵۵” و فایل‌ها روی “۶۴۴” از کل سیستم فایل (دایرکتوری‌ها، زیر شاخه‌ها و فایل‌های جداگانه) محافظت می‌کند. این را می‌توان به صورت دستی از طریق مدیر فایل در کنترل پنل میزبانی خود یا از طریق ترمینال (متصل با SSH) انجام داد (از دستور”chmod” استفاده کنید). برای کسب اطلاعات بیشتر، می‌توانید در مورد طرح مجوز صحیح برای وردپرس مطالعه کنید یا افزونه امنیت iThemes را نصب کنید تا تنظیمات مجوز فعلی خود را بررسی کنید. 

5_لیست دایرکتوری را با htaccess. غیرفعال کنید.

اگر دایرکتوری جدیدی به عنوان قسمتی از وب‌سایت خود ایجاد کنید و فاقد فایل index.html باشد، ممکن است تعجب کنید که بازدیدکنندگان شما می‌توانند فهرست کاملی از همه چیزهایی که در آن دایرکتوری است دریافت کنند. به عنوان مثال، اگر یک دایرکتوری به نام “داده” ایجاد کنید، می‌تواند همه چیز را در آن دایرکتوری به سادگی با تایپ /http://www.exam.com/data در مرورگر خود مشاهده کنید. هیچ رمز عبور یا چیزی مورد نیاز نیست. می‌توانید با افزودن خط کد زیر در فایل htaccess خود از این امر جلوگیری کنید:

				
					Options All -Indexes

6_همه هات‌ لینک‌ها را مسدود کنید.

فرض کنید یک تصویر را به صورت آنلاین پیدا کرده‌اید و می‌خواهید آن را در وب‌سایت خود به اشتراک بگذارید. اول از همه، شما نیاز به اجازه یا پرداخت هزینه برای آن تصویر دارید، در غیر این صورت احتمال زیاد وجود دارد که انجام آن کار غیرقانونی باشد. اما اگر مجوز دریافت کردید، ممکن است مستقیماً تصویر را بکشید و از آن برای قرار دادن عکس در پست خود استفاده کنید. مشکل اصلی اینجاست که تصویر در سایت شما نمایش داده می‌شود، اما در سرور سایت دیگری میزبانی می‌شود.

به همین خاطر شما نمی‌توانید کنترلی روی عکس داشته باشید. این موضوع می‌تواند باعث مشکلاتی برای سایت شما در آینده شود؛ مثلا عکس می‌تواند پس از مدتی از روی سرور حذف شود و یا با عکس دیگری جایگزین شود. باید توجه داشته باشید همین کار را می‌توانند با وب سایت شما انجام دهند؛ یعنی با استفاده از پیوند مستقیم از عکس شما استفاده کنند و به این ترتیب پهنای باند شما مصرف می‌شود. برای حفظ امنیت در این مورد راه‌حل‌هایی وجود دارد که ساده‌ترین آن‌ها استفاده از افزونه امنیتی است. به عنوان مثال افزونه All in One WP Security Firewall دارای امکانات خوبی است و می‌توانید برای مسدود کردن تمام لینک‌ها از آن بهره ببرید.

7_درک و محافظت در برابر حملات DDoS.

حمله DDoS یک نوع رایج حمله علیه پهنای‌باند سرور شما است که در آن مهاجم از چندین برنامه و سیستم برای بارگذاری بیش از حد سرور شما استفاده می‌کند. اگرچه چنین حمله‌ای فایل‌های سایت شما را به خطر نمی‌اندازد، اما اگر برطرف نشود، سایت شما را برای مدت طولانی از کار می‌اندازد. معمولاً فقط زمانی در مورد حملات DDoS می‌شنوید که برای شرکت‌های بزرگ مانند GitHub یا Target اتفاق می‌افتد. این حملات توسط افرادی انجام می‌شوند که بسیاری از آن‌ها، به عنوان تروریست‌های سایبری یاد می‌کنند. بنابراین انگیزه آن‌ها ممکن است صرفاً ایجاد ویرانی باشد. اگر این موضوع شما را نگران می‌کند، توصیه می‌کنیم برای طرح‌های پریمیوم Sucuri یا Cloudflare ثبت‌نام کنید. این راه‌حل‌ها برای تجزیه و تحلیل پهنای‌باند مورد استفاده و جلوگیری از حملات DDoS به‌طور کامل هستند.

بخش(ب): وب‌سایت وردپرس خود را با محافظت از صفحه ورود و جلوگیری از حملات brute force ایمیل کنید.

توصیه ما به شما این است که URL صفحه ورود را سفارشی کنید. این اولین کاری است که می‌توانید برای ایمین کرن وب‌سایت خود انجام دهید. معمولا تقصیر کاربر است که سایت‌تان هک شده است. برخی از مسئولیت‌ها وجود دارد که شما باید به عنوان صاحب وب‌سایت باید آن‌ها را انجام دهید. بنابراین سوال کلیدی این است که برای نجات سایت خود از هک شدن چه کاری انجام می‌دهید؟ محافظت از صفحه ورود و جلوگیری از حملات brute force یکی از بهترین کارهایی است که می‌توانید انجام دهید. در این‌جا چند پیشنهاد برای ایمن‌سازی صفحه ورود به وب‌سایت وردپرس شما آورده شده است:

8_ ویژگی قفل وب‌سایت را تنظیم کنید و کاربران را ممنوع کنید.

یک ویژگی قفل برای تلاش‌های ناموفق ورود به سیستم می‌تواند مشکل بزرگ، تلاش‌های بی‌رحمانه مداوم را حل کند. هر زمان که تلاش برای هک کردن با رمز‌های عبور اشتباه تکراری انجام شود، سایت قفل می‌شود و شما از این فعالیت غیرمجاز مطلع می شوید. خوشبختانه پلاگین‌های امنیتی زیادی هستند و می‌توانید با سرچ در مخزن وردپرس آن‌هارا با یکدیگر مقایسه کنید و ویژگی هرکدام را ببینید. سعی کنید از پلاگینی استفاده کنید که در کنار امتیاز خوب و تعداد نصب بالا، دارای بروزرسانی‌های مداوم باشد.

9_از احراز هویت دو مرحله‌ای برای امنیت وردپرس استفاده کنید.

حتما تا به حال حداقل یک بار به احراز هویت دو مرحله‌ای برخورد کرده اید. یکی از اقدامات امنیتی خوب بکارگیری همین موضوع است. کاربر باید علاوه بر نام کاربری و رمز عبور، فیلد دیگری را هم تکمیل کند. حالا اینکه فیلد بعدی چه چیزی است تصمیم با شماست. می‌تواند یک سوال مخفی، کد مخفی، مجموعه‌ای از کاراکترها و یا استفاده از برنامه‌هایی که برای این کار طراحی شده اند مثل Google Authenticator باشد که کد منحصر به فردی را به تلفن همراه شما ارسال می‌کند. به این ترتیب فقط شخصی که تلفن همراه شما را دارد می‌تواند وارد سایت شما شود.

10_از ایمیل خود برای ورود به استفاده کنید.

اگر تا به حال به صفحه ورود به پیشخوان وردپرس توجه کرده باشید، می‌دانید که به طور پیشفرض با استفاده از نام کاربری و رمز عبور می‌توانید وارد شوید. استفاده از نام کاربری به دلیل اینکه پیش‌بینی آن آسان است، امنیت چندانی ندارد. از ایمیل به جای نام کاربری استفاده کنید. پیدا کردن ایمیل کار دشواری است و به سادگی قابل پیش‌بینی نیست. همچنین هر حساب کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می‌شود. این ویژگی‌ها ایمیل را به یک شناسه معتبر برای ورود به سیستم تتبدیل می‌کند. افزونه‌های وردپرسی مختلفی برای اینکار وجود دارند که به وسیله آن‌ها می‌توانید صفحات ورود را به گونه‌ای تنظیم کنید که همه‌‌ی کاربران از ایمیل خود برای عبور استفاده کنند.

11_برای ایمن سازی وب سایت وردپرس خود، آدرس ورودی خود را تغییر نام دهید.

به طور پیش‌فرض با استفاده از دو آدرس زیر می‌توانیم به پیشخوان وردپرس دسترسی داشته باشیم :

				
					yourdomain.com/wp-admin
yourdomain.com/wp-login.php

این آدرس‌ها عمومی هستند؛ پس همه افراد در مورد آن اطلاع دارند. هکرها هم از این قضیه مستثنا نیستند. وقتی که هکرها آدرس مستقیم صفحه ورود شما را می‌دانند، می‌توانند با انجام حمله‌هایی نظیر Brute force سعی کنند به حساب شما دسترسی پیدا کنند. در مراحل قبل یاد گرفیتم که می‌توانیم تعداد تلاش‌های ورود کاربر را محدود کنیم و همچنین نام کاربری یا با شناسه ایمیل جایگزین کینم. حالا برای امنیت بیشتر می‌توانیم URL صفحه ورود به سیستم را جایگزین کنیم.

برای اینکار می‌توانیم به سادگی از افزونه‌هایی که در مخزن وردپرس موجود هستند استفاده کنیم. یکی از این افزونه ها WPS Hide Login است که می‌توانید با جست و جوی این اسم در مخزن وردپرس از آن استفاده کنید.

12_رمزهای عبور خود را تغییر دهید

یکی از کارهایی که می‌تواند به امنیت اطلاعات شما کمک کند، تغییر دادن مرتب رمزهای عبور است. سعی کنید به صورت دوره‌ای رمزهای عبور خود را عوض کنید.  جدای اینکه رمز با طول مناسب می‌گذارید، حتما از حروف بزرگ و کوچک، کارکترهای ویژه و اعداد در کنار همدیگر استفاده کنید. به این ترتیب پیش‌بینی رمز شما برای هکرها بسیار سخت خواهد شد.

وردپرس

13_از یک مدیریت رمز عبور استفاده کنید.

در مرحله قبل فهمیدیم که با عوض کردن رمزهای عبور می‌توانیم امنیت را تا حد زیادی بالا ببریم. اما این کار نیاز به زمان گذاشتن دارد و ما همیشه برای آن وقت نداریم و ممکن است این کار را پشت گوش بیندازیم. راه حل این موضوع استفاده از برنامه‌های مدیریت رمز عبور است. این برنامه‌ها نه تنها رمزهای عبور ایمنی را تولید می‌کنند، بلکه می‌توانند همه‌ی رمزهای تولید شده را به صورت امن ذخیره کنند و زحمت به خاطر سپردن این رمزها را از دوش شما بردارند.

14_به طور خودکار کاربران بیکار را از سایت خود خارج کنید.

اگر سایت بزرگی دارید طعیبتا سایت شما دارای ادمین‌های مختلفی با سطح دسترسی‌های متفاوت است. این افراد در صورت رعایت نکردن نکات ایمینی می‌توانند برای سایت شما خطر آفرین باشند. مثلا اگر یکی از ادمین‌ها از پنل وردپرس خود خارج نشده باشد و سیستم مورد استفاده در دسترس عموم باشد، می‌تواند باعث خطراتی همچون تغییر و سرقت اطلاعات شود. برای اینکه از این خطرات جلوگیری کنید، لازم است ادمین‌هایی که برای مدت معلومی فعالیت نداشتند از حساب خود خارج کنید. به این ترتیب برای استفاده مجدد باید دوباره نام کاربری و رمز عبور خود را وارد کنند.

برای این موضوع می‌توانید از افزونه BulletProof Security کمک بگیرید. این افزونه می‌تواند محدودیت زمانی سفاشی را برای کاربران تنظیم کند و کاربران را به صورت خودکار از سیستم خارج کند.

بخش (پ) : وب‌سایت وردپرس خود را از طریق داشبورد مدیریت ایمن کنید.

برای یک هکر، جذاب‌ترین بخش برای هک کردن یک وبسایت، داشبورد مدیریت آن است. همانطور که می‌دانید داشبورد مدیریت ابمن‌ترین بخش می‌باشد. به همین علت یکی از چالش‌های اصلی هکر حمله این بخش است. در صورت تحقق این موضوع، هکر دسترسی‌های زیادی را بدست می‌آورد که می‌تواند آسیب‌های زیادی وارد کند.

در این بخش به موضوع ایمن‌سازی داشبورد مدیریت می‌پردازیم

15_پوشه wp-admin را محافظت کنید.

پوشه wp-admin قلب هر وب‌سایت وردپرسی است. اگر این قسمت از سایت دچار مشکل شود، ممکن است کل سایت آسیب ببیند. یکی از راه‌های جلوگیری از این موضوع، استفاده از رمز عبور برای این پوشه است. به این ترتیب یک رمز عبور از صفحه ورود محافظت می‌کند و رمز عبور بعدی از ناحیه مدیریت وردپرس. تنظیم این رمز عبور از طریق کنترل پنل شما قابل دسترس است.

16_از SSL برای رمزگذاری داده‌ها استفاده کنید.

SSL مخفف Secure Socket Layer به معنی “لایه سوکت‌های امن” است. SSL یک فناوری امنیتی استاندارد برای برقراری یک پیوند رمزگذاری شده بین یک سرور و یک مرورگر است. درواقع SSL یک فناوری امنیتی برای برقرای پیوند رمزگذاری شده بین مرورگر و سرور است. این به این معنی است که اطلاعات مبادله شده فقط بین آن مرورگر و سرور باقی می‌ماند.

پیاده سازی گواهی SSL یک راه هوشمندانه برای ایمن‌سازی پنل مدیریت است. SSL انتقال امن داده‌ها را بین مرورگر و سرور تضمین می‌کند و کار هکرها را برای نقض اتصال و یا جعل اطلاعات دشوار می‌کند. دریافت گواهی SSL برای وب‌سایت وردپرسی آسان است. برخی از شرکت‌های میزبانی این گواهی را به صورت رایگان ارائه می‌دهند. همچنین می‌توانید از شرکت‌های دیگر اقدام به خرید کنید. گواهی SSL جدای تاثیری که در امنیت دارد، روی رتبه‌بندی وب‌سایت شما در گوگل نیز تاثیر می‌گذارد. گوگل تمایل دارد سایت‌های دارای SSL را بالاتر از سایت‌های بدون آن رتبه‌بندی کند.

17_حساب‌های کاربری را با دقت به اضافه کنید.

اگر یک وبلاگ وردپرس یا بهتر است بگویم یک وبلاگ چند نویسنده دارید، باید با چندین نفر که به پنل مدیریت شما دسترسی دارند سر و کار داشته باشید. این موضوع می‌تواند وب‌سایت شما را در برابر تهدیدات امنیتی وردپرس آسیب‌پذیرتر کند. اگر می‌خواهید مطمئن شوید کلمه عبوری که کاربران ایجاد می‌کنند، ایمن است؛ می‌توانید از افزونه‌ای مانند Force Strong Passwords استفاده کنید. این فقط یک اقدام احتیاطی است، اما بهتر از داشتن چندین کاربر با رمزهای عبور ضعیف است.

18_نام کاربری ادمین را تغییر دهید.

در طول نصب وردپرس، هرگز نباید “admin” را به عنوان نام کاربری برای حساب مدیر اصلی خود انتخاب کنید. این نام کاربری آسان اولین نامی است که هکر‌ها به سراغ آن می‌روند. تنها چیزی که آن‌ها باید بفهمند رمز عبور است، سپس کل سایت شما در معرض خطر قرار می‌گیرد. پلاگین امنیت iThemes می‌تواند با ممنوع کردن فوری هر آدرس IP که تلاش می‌کند با آن نام کاربری وارد سایت شود، چنین تلاش‌هایی را متوقف کند. 

وردپرس

19_بر فایل‌های خود نظارت داشته باشید.

اگر امنیت بیشتری در وردپرس می‌خواهید، تغییرات فایل‌های وب‌سایت خود را از طریق افزونه‌هایی مانند Wordfence و iThemes Security نظارت کنید. هر دوی این افزونه‌ها همچنین می‌توانند وردپرس را از نظر آسیب‌پذیری اسکن کنند و در صورت یافتن آسیب‌پذیری به شما اطلاع دهند.

بخش(ج): وب‌سایت وردپرس خود را از طریق پایگاه داده ایمن کنید.

تمام داده‌ها و اطلاعات سایت شما در پایگاه داده ذخیره می‌شود. مراقبت از آن بسیار مهم است؛ در اینجا چند کار وجود دارد که می‌توانید برای ایمن‌تر کردن آن انجام دهید.  

20_پیشوند جدول پایگاه داده وردپرس را تغییر دهید.

اگر تا به حال وردپرس را نصب کرده باشید، با پیشوند جدول “-wp” که توسط پایگاه داده وردپرس استفاده می‌شود آشنا هستید. توصیه ما به شما تغییر آن به چیزی منحصر به فرد است. استفاده از پیشوند پیش‌فرض پایگاه داده سایت شما را مستعد حملات SQL injection می‌کند. با تغییر “-wp” به پیشوند منحصر به فرد، می‌توان جلوی حملات این چنینی را گرفت. به عنوان مثال، می‌توانید آن را به “-mywp” یا “-wpnew” تغییر دهید.

اگر قبلا وب‌سایت خود را با پیشوند پیش‌فرض نصب کرده اید، می‌توانید از چند افزونه برای تغییر آن استفاده کنید. افزونه‌هایی مانند WP-DBManager یا Ithemes Security می‌توانند به شما کمک کنند تا این کار را به راحتی انجام دهید.

21_برای ایمن‌سازی وب‌سایت وردپرسی خود به طور مرتب پشتیبان تهیه کنید.

هرچقدر که وب‌سایت شما ایمن باشد باز هم ممکن است خطراتی وجود داشته باشند. اگر از سایت خود یک نسخه پشتیبان تهیه کنید، خیالتان راحت می‌شود. می‌توان گفت که نسخه پشتیبان یک پادزهری است که می‌تواند بدون توجه به آنچه اتفاق می‌افتد استفاده شود. افزونه هایی وجود دارد که می‌توانند در این زمینه به شما کمک کنند. افزونه‌ی VaultPress توسط Automattic توسعه داده شده است و گزینه خوبی برای این کار می‌باشد. می‌توان طوری این افزونه را تنظیم کرد که هر هفته نسخه پشتیبان تهیه کند. با استفاده از این نسخه پشتیبان می‌توانید سایت خود را تنها با یک کلیک بازیابی کنید.

برخی از وب‌سایت‌های بزرگ هر ساعت پشتیبان تهیه می‌کنند. باید توجه داشته باشید که این نسخه‌های پشتیبان بخشی از فضای سرور را اشتغال می‌کنند. بنابراین بعد از اینجاد نسخه پشتیبان جدید، نسخه قدیمی را حذف کنید.

22_رمزهای عبور قوی برای پایگاه داده خود تنظیم کنید.

یک رمز عبور قوی برای کاربر اصلی پایگاه داده ضروری است زیرا این رمز عبور همان رمز عبوری است که وردپرس برای دسترسی به پایگاه داده استفاده می‌کند. مثل همیشه برای رمز عبور از حروف بزرگ، کوچک، اعداد و کاراکترهای خاص استفاده کنید. می‌توانید از برنامه‌های تولید رمز استفاده کنید تا خیالتان از بابت استاندارد بودن رمز راحت شود. LastPass و Secure Password Generator ابزارهای خوبی در این زمینه هستند.

Secure Password Generator

23_گزارش‌های حسابرسی خود را نظارت کنید.

هنگامی که شما چند سایت وردپرس را اجرا می‌کنید؛ یک وب‌سایت چند نویسنده را مدیریت می‌کنید. پس درک نوع فعالیت کاربر ضروری است. ممکن است نویسندگان و همکاران شما درحال تغییر گذرواژه باشند، اما چیزهای دیگری وجود دارد که ممکن است نخواهید اتفاق بیفتد. به عنوان مثال، تغییرات تم و ویجت بدیهی است که فقط برای ادمین‌ها محفوظ است. وقتی گزارش حسابرسی را بررسی می‌کنید، می‌توانید مطمئن شوید که مدیران و مشارکت‌کنندگان شما سعی نمی‌کنند چیزی را در سایت شما بدون تایید تغییر دهند. افزونه WP.Security Audit Log فهرست کاملی را برای این فعالیت به همراه اعلان‌ها و گزارش‌های ایمیل ارائه می‌کند. به عنوان مثال در ساده‌ترین حالت، گزارش حسابرسی می‌تواند به شما کمک کند متوجه شوید که نویسنده در ورود به پنل سیستم با مشکل مواجه است. 

Secure Password Generator

بخش(د): وب‌سایت وردپرس خود را از طریق تم‌ها و افزونه‌ها ایمن کنید.

تم ها و افزونه‌ها اجزای ضروری برای هر وب‌سایت وردپرسی هستند. متاسفانه آن‌ها می‌توانند تهدیدات امنیتی جدی ایجاد کنند. در این بخش به روش‌هایی می‌پردازیم که منجر به ایمینی تم و افزونه‌های وردپرس شوند.

24_برای امنیت وردپرس به طور مرتب به‌روزرسانی کنید.

هر محصول نرم‌افزاری خوب توسط توسعه‌دهندگانش پشتیبانی می‌شود و هر از چندگاهی به‌روز می‌شود. این به‌روزرسانی‌ها برای رفع اشکال‌ها و گاهی اوقات دارای پچ‌های امنیتی حیاتی هستند. وردپرس و افزونه‌های آن نیز مستثنی نیستند. به‌روزرسانی نکردن تم‌ها و افزونه‌ها می‌تواند به معنای مشکل باشد. بسیاری از هکرها بر این واقعیت تکیه می‌کنند که مردم برای به‌روزرسانی پلاگین‌ها و تم‌های خود خسته می‌شوند. بیشتر اوقات، هکرها از اشکالاتی که قبلا رفع شده‌اند، استفاده می‌کنند. بنابراین، اگر از هر محصول وردپرسی استفاده می‌کنید، آن را به طور مرتب به‌روز کنید. پلاگین‌ها، تم‌ها و همه چیز.

خبر خوب این است که وردپرس به‌طور خودکار به روزرسانی‌ها را برای کاربرانش منتشر می‌کند، بنابراین ایمیلی دریافت خواهید کرد که به‌روزرسانی‌ها و اطلاعات مربوط به اصلاحات موجود در داشبورد خود را به شما اطلاع می‌دهد. در مورد پلاگین‌ها، باید با رفتن به قسمت “افزونه‌ها” در داشبورد خود، آن‌ها را به صورت دستی به‌روز کنید. هنگامی که یک افزونه نسخه جدیدی دارد، به شما اطلاع می‌دهد و پیوندی برای به‌روزرسانی در حال حاضر ارائه می‌دهد.

25_شماره نسخه وردپرس خود را حذف کنید.

شماره نسخه فعلی وردپرس شما را می‌توان به راحتی پیدا کرد و اساسا در نمای منبع سایت شما قرار دارد. شما همچنین می‌توانید آن را در پایین داشبورد خود مشاهده کنید (اما در هنگام تلاش برای ایمن‌سازی وب‌سایت وردپرس خود و اهمیتی ندارد).

وردپرس
وردپرس

نکته اینجاست، اگر هکرها بدانند از کدام نسخه وردپرس استفاده می‌کنید، ساختن حمله کامل برای آن‌ها آسان‌تر است. تقریباً با هر افزونه امنیتی وردپرس که در بالا ذکر کردم می‌توانید شماره نسخه وردپرس خود را پنهان کنید. برای یک رویکرد دستی‌تر (و همچنین حذف شماره نسخه از فیدهای RSS)، تابع زیر را به فایل functions.php خود اضافه کنید:  

				
					function wpbeginner_remove_version() {
    return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

و در آخر ...

تمام آنچه در این مقاله ذکر شد گامی در مسیر درست می‌باشد. این کارها را باید برای امنیت وردپرس خود انجام دهیم. این مقاله را به عنوان یک چک لیست 25 مرحله‌ای برای امنیت وردپرس در نظر بگیرید و مراحل را یکی یکی طی کنید تا زمانی که کارهارا تمام کنید. هرچه بیشتر به امنیت وردپرس خود اهمیت دهید، نفوذ یک هکر سخت‌تر می‌شود.

به این مقاله امتیاز دهید!

میانگین امتیاز 0 / 5. تعداد رأی ها : 0

هنوز هیچ رأیی داده نشده. اولین نفر باشید!

اشتراک گذاری اشتراک گذاری در تلگرام اشتراک گذاری در لینکدین اشتراک گذاری در ایکس کپی کردن لینک پست

نویسنده محتوا سعادت مهر

سعادت مهر

و در ادامه بخوانید

سرور مجازی مناسب ترید چیست؟ + ویژگی های آن بیشتر بخوانید
مک آدرس (MAC Address) چیست؟ بیشتر بخوانید
شبکه Workgroup چیست؟ + تفاوت شبکه ورک گروپ و شبکه دامین بیشتر بخوانید
شبکه WAN چیست؟ + آشنایی با مزایا و معایب شبکه گسترده بیشتر بخوانید

اولین دیدگاه را اضافه کنید.

برچسب ها

امنیت امنیت وردپرس