در این مقاله قصد داریم اقدماتی طلایی برای افزایش امنیت وردپرس را به شما آموزش دهیم من سعی کردم راه کار هایی پیدا کنم که بیشتر از دو ساعت از وقت ارزشمند شما استفاده نشود. اگر شما امنیت وردپرس خود را قبل از هک شدن انجام دهید اطمینان داشته باشید هک کردن سایت شما کاری بسیار سخت خواهد شد.

افزایش امنیت وردپرس

پیش نیاز :

رمز موفقیت شما = بک آپ :

قبل از هر اقدامی همیشه دو  نسخه پشتیبان ، یکی در هاست پشتیبان و دیگری در سیستم خود تهیه کنید تا پس از هک شدن سایت از آن استفاده کنید ، معمولا هکر ها پس از آپلود صفحه خود به دیگر فایل های سایت نیز نفوذ می کنند تا راه برای نفوذ برای آینده بسیار راحتتر باشد ، یعنی حتی اگر سایت هم امن کنید به دلیل نفوذ به سایر فایل ها آنها در کمتر از چند دقیقه مجدد می توانند سایت شما را هک کنند.

انتخاب هاست مناسب

سعی کنید از شرکتی که اطمینان به دانش فنی آنها دارید سرویس هاست خود را تهیه کنید ، شاید بیشتر از 30% از تمام نفوذ ها به دلیل ضعف امنیتی شرکت های میزبانی وب باشد ، این یعنی شاید صاحبان وب سایت مشتریان آنها هیچ اشتباهی در بالا بردن امنیت سایت خود نداشته باشند ، اما سایت آنها هک شود ، پس حتما از یک میزبان مناسب برای وب سایت خود استفاده نمایید.

روش هایی برای افزایش امنیت وردپرس

ایجاد رمز روی پوشه wp-admin

دو روش شایع سایت sql injection و brute force می باشد به طور خلاصه از حمله sql injection زمانی استفاده می کنند که قصد دور زدن قوانین را داشته باشند مثلا در قسمت ورود نام کاربری و رمز عبور وب سایت ، به جای رمز از یک کد استفاده می کند که رمز عبور اصلی دیگر مورد بازرسی قرار نمی گیرد و هکر مستقیما وارد پیشخوان وردپرس می شود. برای حملات brute force نیز روبات ها آنقدر نام کاربری و رمز عبور تست می کنند تا از آن عبور کنند به همین دلیل استفاده از رمز های ساده در مدیریت می تواند بسیار خطرناک باشد. برای ایجاد رمز روی پوشه wp-admin باید از قابلیت Protected Directory Prompt استفاده کنید ، اگر از کنترل پنل دایرکت ادمین استفاده می کنید می توانید از مقاله رمز گذاری روی پوشه هاست در دایرکت ادمین استفاده نمایید.

تغییر سطح دسترسی فایل wp-config.php و .htaccess به 444

یکی دیگر از روش های افزایش امنیت وردپرس تغییر سطح دسترسی فایل های حساس می باشد ، دو فایل بسیار حساس در وردپرس وجود دارد ، در فایل wp-config.php تمام اطلاعات ورود به پایگاه داده و تنظیمات حساس وردپرس نوشته شده است و در فایل htaccess سایر تنظیمات حساس سایت نوشته شده ، توصیه می کنیم سطح دسترسی این موارد را به 444 کاهش دهید تا امنیت این دو فایل بیشتر شود ، توجه کنید در صورت تنظیم این سطح دسترسی با توجه به نوع handler پی اچ پی شما ممکن است فایل غیر قابل ویرایش شود که در این صورت هر زمانی که قصد ویرایش فایل خود را داشتید می توانید مجدد سطح دسترسی را روی 644 تنظیم نمایید.

رمزگذاری فایل wp-config.php توسط نرم افزار Ioncube

یکی از بهترین نرم افزار های رمزگذاری فایل ها ی پی اچ پی ioncube می باشد ، توسط این نرم افزار می توانید کل محتوا این فایل را به متنی غیر قابل خوانا تبدیل کنید که تنها توسط لودر ioncube که روی سرور ها نصب می باشد کار می کند ، هر چند این نرم افزار کمی گران است اما بسیار کاربرد دارد ، همچنین اگر شما این نرم افزار را تنها برای چند وب سایت خود نیاز دارید می توانید از نسخه چند روزه (trial ) آن استفاده نمایید.

تغییر پیشوند جدول های پایگاه داده وردپرس از wp به غیره

جهت جلوگیری از برخی حملات sql injection حتما پیشوند دیتابیس را در زمان نصب وردپرس تغییر دهید ، اگر شما وردپرس را با این پیشوند نصب کرده اید و قصد تغییر آن را دارید می توانید از افزونه ای که در ادامه به شما پیشنهاد می کنیم استفاده نمایید.

همیشه از نسخه بروز استفاده کنید

وردپرس دائما در حال بروزرسانی می باشد و در لحظه بروزرسانی یک اطلاعیه در مورد نسخه جدید به کاربر نمایش می دهد ، شما می توانید از قسمت پیشخوان –> بروزرسانی ها ، وردپرس و تمامی افزونه های خود را به آخرین نسخه بروز رسانی نمایید.

از نام کاربری admin استفاده نکنید

با توجه به اینکه اکثر صاحبان وب سایت از این نام کاربری استفاده می کنند ، روبات های مخرب از این نام کاربری برای حملات brute force و sql injection استفاده می کنند شما می توانید یک مدیر جدید در سیستم ایجاد کنید و سپس مدیر قدیم را حذف نمایید آنگاه شما امکان انتقال تمام پست ها به مدیر جدید را خواهید داشت همچنین من در ادامه افزونه ای معرفی می کنم که بتواند نام کاربری admin در وردپرس را تغییر دهد.

ویرایش کد از پیشخوان وردپرس را غیر فعال کنید

اگر هکر بتواند به مدیریت وردپرس شما نفوذ کند با امکان ویرایشگر وردپرس می تواند هر کدی را در پلاگین ها و قالب شما اجرا کند و مشکلات امنیتی دیگری در سایت شما ایجاد کند بنابراین بهتر است این امکان را در وردپرس خود غیر فعال نمایید. شما می توانید از کد زیر برای غیر فعال کردن ویرایشگر وردپرس از کد زیر در فایل wp-config.php استفاده کنید :

define( ‘DISALLOW_FILE_EDIT’, true );

از سایت های معتبر افزونه ها و پوسته ها را دریافت کنید

واقعیت اینه که متاسفانه بعضی از وب سایت ها قالب های زیبایی برای دانلود کاربران قرار داده اند اما متاسفانه داخل آنها کد های مخرب که اقلب با base64 نیز کد شده اند تا شناسایی آنها سخت شود مشکلات امنیتی زیادی ایجاد می کنند ، بنابراین برای افزایش امنیت وردپرس خود سعی کنید پوسته ها و افزونه های سایت خود را از سایت های معتبر مانند wordPress.org انتخاب نمایید.

افزونه هایی برای افزایش امنیت وردپرس

این افزونه ها به صورت خودکار ضعف های امنیتی سایت شما را شناسایی می کنند و خود نیز امکانی به شما می دهند تا با چند کلیک آنها را رفع نمایید ، شخصا از افزونه better wp security بسیار رضایت دارم.

better wp security : ارائه طیف وسیعی از ویژگی های امنیتی

all in one wp security and firewall : اضافه کردن فایروال به وردپرس

exploit-scanner : بررسی پایگاه داده برای پیدا کردن exploit

 

مقاله یکم طولانی شد اما اطمینان داشته باشید زمان کمی که برای امنیت خود خرج می کنید بسیار کمتر از زمانی است که صرف درست کردن سایتتون بعد از هک می کنید ، در صورتی که روش دیگری را مورد استفاده قرار می دهید یا نظری در این مورد دارید آن را در زیر همین صفحه به اشتراک بگذارید تا بنده و دیگران از آن استفاده کنیم.