افزایش امنیت وردپرس و جلوگیری از هک آن با راهکارهای تضمینی

افزایش امنیت وردپرس موضوع مهمی است که هر صاحب وب سایتی باید به آن توجه کند .

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که بیش از 30٪ وب سایت ها را قدرت می دهد.در این مقاله از سایت کارکوک می خواهیم راه های بالا بردن امنیت وردپرس را مورد بررسی قرار دهیم .

چرا امنیت وب سایت مهم است ؟

گوگل در مارس 2016 گزارش کرد که به بیش از 50 میلیون کاربر وب سایت ، در مورد سایت هایی که از آنها بازدید می کنند هشدار داده شده است که ممکن است حاوی بدافزار یا سرقت اطلاعات باشند .

همچنین ، گوگل هر هفته حدود 20000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد .

اگر وب سایت شما تجارت شماست،باید به افزایش امنیت وردپرس خود خیلی بیشتر اهمیت بدهید .

همانند اینکه مالکان کسب و کار مسئولیت محافظت از ساختمان فروشگاه فیزیکی خود را دارند، به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وب سایت کسب و کار شما بر عهده شماست .

امنیت به معنای کاهش ریسک است نه حذف ریسک.

اگر سایت وردپرسی شما هک شود آسیب خیلی جدی به اعتبار و درآمد شما می تواند وارد کند .

هکرها به اطلاعات و رمزهای عبور شما دسترسی پیدا می کنند و بد افزار و نرم افزارهای مخرب بر روی سایت شما نصب می کنند .

اگر اقدامات احتیاطی خاصی را انجام ندهید ممکن است هک شوید.

راه های افزایش امنیت وردپرس به شرح ذیل می باشد .

1. از هاست ایمن استفاده کنید

هنگام انتخاب یک ارائه دهنده میزبانی وب، به سادگی به دنبال ارزان ترین چیزی که می توانید پیدا کنید نباشید. تحقیقات خود را انجام دهید . مطمئن شوید که از یک شرکت تثبیت شده با سابقه خوب برای اقدامات امنیتی قوی استفاده می کنید.

همیشه ارزش این را دارد که برای آرامش خاطر اینکه سایت شما در دستان امن است ، کمی هزینه کنید. برای اطلاعات بیشتر مقاله خرید بهترین هاست را مطالعه کنید.

2. همه موارد را به روز کنید

هر نسخه جدید وردپرس حاوی وصله ها و اصلاحاتی است که آسیب پذیری های واقعی یا بالقوه را برطرف می کند. اگر وب سایت خود را با آخرین نسخه وردپرس به روز نگه ندارید، ممکن است خود را در معرض حملات قرار دهید.

بسیاری از هکرها عمداً نسخه‌ های قدیمی وردپرس را با مشکلات امنیتی شناخته شده هدف قرار می‌ دهند. بنابراین مراقب ناحیه اعلان داشبورد خود باشید و پیام‌ های «لطفاً اکنون به‌روزرسانی کنید» را نادیده نگیرید.

این مسئله در مورد تم ها و افزونه ها نیز صدق می کند. مطمئن شوید که به آخرین نسخه ی موجود که انتشار داده شده است به روز رسانی می کنید. اگر همه چیز را به روز نگه دارید، احتمال هک شدن سایت شما بسیار کمتر است.

3. رمزهای عبور را تقویت کنید

بر اساس اینفوگرافیک، حدود 8 درصد از وب سایت های وردپرسی هک شده به دلیل گذرواژه های ضعیف هستند.

اگر رمز عبور مدیر وردپرس شما چیزی شبیه به «letmein»، «abc123» یا «password» است (که بسیار رایج‌تر از چیزی است که فکر می‌کنید!)، باید در اسرع وقت آن را به چیزی امن تغییر دهید.

حتما از رمز عبور خوبی استفاده کنید که شکستن آن بسیار سخت باشد.

همچنین می توانید از یک مدیر رمز عبور مانند LastPass نیز استفاده کنید. تا همه رمزهای عبور خود را برای شما به خاطر بسپارد. اگر از این روش استفاده می کنید، مطمئن شوید که رمز عبور اصلی شما خوب و قوی است.

4. هرگز از “admin” به عنوان نام کاربری خود استفاده نکنید

چند سال قبل، موجی از حملات بی رحمانه به وب سایت های وردپرس در سراسر وب راه اندازی شد که شامل تلاش های مکرر برای ورود به سیستم با استفاده از نام کاربری «admin»، همراه با تعدادی از رمزهای عبور رایج بود.

اگر از “admin” به عنوان نام کاربری خود استفاده می کنید و رمز عبور شما به اندازه کافی قوی نیست، سایت شما در برابر یک حمله مخرب بسیار آسیب پذیر است . اکیداً توصیه می شود نام کاربری خود را به چیزی که کمتر واضح است تغییر دهید.

تا قبل از نسخه 3.0، نصب وردپرس به طور خودکار یک کاربر با نام کاربری “admin” ایجاد می کرد . بسیاری از مردم همچنان از “admin” استفاده می کنند زیرا به استاندارد تبدیل شده است و به خاطر سپردن آن آسان است. برخی از میزبان‌ های وب نیز از اسکریپت‌ های نصب خودکار استفاده می‌ کنند که همچنان یک نام کاربری «admin» را به‌ طور پیش‌ فرض تنظیم می‌ کنند.

رفع این مشکل صرفاً ایجاد یک حساب مدیر جدید برای خود با استفاده از یک نام کاربری متفاوت است و ورود به عنوان کاربر جدید و حذف حساب اصلی “admin” می باشد.

اگر پست‌ هایی دارید که توسط حساب «ادمین» منتشر شده است، وقتی آن را حذف می‌ کنید، می‌توانید تمام پست‌ های موجود را به حساب کاربری جدید خود اختصاص دهید.

5. نام کاربری خود را از URL آرشیو نویسنده مخفی کنید

یکی دیگر از راه هایی که مهاجم بتواند به طور بالقوه به نام کاربری شما دسترسی پیدا کند ، صفحات آرشیو نویسنده در سایت شما می باشد.

وردپرس نام کاربری شما را به طور پیش فرض در URL صفحه آرشیو نویسنده شما به نمایش می گذارد. به عنوان مثال، اگر نام کاربری شما joebloggs است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/joebloggs خواهد بود .

به دلایلی که برای نام کاربری “admin” گفته شد بنابراین خوب است که با تغییر ورودی user_nicename در پایگاه داده خود، آن را پنهان کنید.

6. تلاش برای ورود را محدود کنید

در موردی که یک هکر یا یک ربات تلاش می کند برای شکستن رمز عبور شما یک حمله بی رحمانه انجام دهد، محدود کردن تعداد تلاش های ناموفق برای ورود از یک آدرس IP می تواند مفید باشد.

Limit Login Attempts دقیقاً این کار را انجام می دهد و به شما این امکان را می دهد که مشخص کنید چند بار تکرار مجاز خواهد بود و مدت زمانی که یک IP پس از تلاش های ناموفق بیش از حد برای ورود قفل می شود را تعیین کنید.

راه‌ هایی برای دور زدن این موضوع وجود دارد، زیرا برخی از مهاجمان از تعداد زیادی آدرس IP مختلف استفاده می‌ کنند، اما همچنان به عنوان یک اقدام احتیاطی دیگر برای افزایش امنیت وردپرس ارزشش دارد.

7. ویرایش فایل از طریق داشبورد را غیرفعال کنید

در نصب پیش‌ فرض وردپرس، می‌ توانید به Appearance > Editor بروید و هر یک از فایل‌ های تم خود را مستقیماً در داشبورد ویرایش کنید.

مشکل اینجاست که اگر یک هکر موفق به دسترسی به پنل مدیریت شما شود، می‌ تواند فایل‌ های شما را نیز از این طریق ویرایش کند و هر کدی را که می‌ خواهد اجرا کند.

بنابراین بهتر است این روش ویرایش فایل را با افزودن موارد زیر به فایل wp-config.php خود غیرفعال کنید:

define(‘DISALLOW_FILE_EDIT’, true );

8. سعی کنید از تم های رایگان اجتناب کنید

به عنوان یک قاعده کلی، بهتر است در صورت امکان از استفاده تم های رایگان خودداری کنید. به خصوص اگر توسط یک توسعه دهنده معتبر ساخته نشده باشند .

مهمترین دلیل این موضوع این می باشد که تم های رایگان اغلب می توانند حاوی مواردی مانند رمزگذاری base64 باشند که این امکان وجود دارد برای درج لینک های هرزنامه به سایت شما استفاده شود، یا کدهای مخرب دیگری که می توانند انواع مشکلات را ایجاد کنند .

اگر واقعاً نیاز به استفاده از یک قالب رایگان دارید، فقط باید از آنهایی استفاده کنید که توسط شرکت‌ های قالب مورد اعتماد توسعه یافته‌ اند، یا آن‌ هایی که در مخزن رسمی قالب WordPress.org موجود هستند .

نکته: همین منطق در مورد پلاگین ها نیز صدق می کند . فقط از افزونه هایی استفاده کنید که در WordPress.org فهرست شده اند یا توسط یک توسعه دهنده با سابقه ساخته شده اند .

9. یک نسخه پشتیبان داشته باشید

تهیه نسخه پشتیبان بسیار دارای اهمیت است. این چیزی است که بسیاری از مردم آن را به تعویق می اندازند.

شما هرگز نمی دانید چه زمانی ممکن است اتفاق غیرمنتظره ای پیش آید که ممکن باشد سایت شما را در معرض حمله قرار دهد.

اگر این اتفاق بیافتد، لازم است که تمام محتوای شما به طور ایمن پشتیبان گیری شده باشد . تا بتوانید به راحتی سایت خود را باز گردانید.

کدکس وردپرس دقیقاً به شما می گوید که چگونه از سایت خود نسخه پشتیبان تهیه کنید. اگر  این کار برای شما بسیار سخت به نظر می رسد، می توانید از افزونه ای مانند Backup WordPress to Dropbox برای برنامه ریزی بک آپ گیری خودکار منظم استفاده کنید.

10. SSL / HTTPS را در سایت وردپرسی خود فعال کنید

SSL پروتکلی می باشد که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزنگاری می کند.

این رمزگذاری باعث این می شود که اطلاعات مهم سایت شما شناسایی نشود و سرقت نشود.

وقتی که بر روی سایتتان SSL را فعال کنید ، سایت شما به جای پروتکل HTTP از HTTPS استفاده می‌ کند و علامت قفل در مرورگرتان کنار آدرس سایتتان نمایش داده می شود.

در ابتدا فعال کردن SSL هزینه داشت اما امروزه شرکت های میزبابی گواهی SSL را بصورت رایگان برای سایت وردپرسی ارائه می دهند.

جمع بندی

در این مقاله سعی کردیم به راه هایی برای افزایش امنیت وردپرس بپردازیم . امیدوارم که این آموزش برایتان مفید بوده باشد . همچنین بتوانید با نکاتی که گفته شد برای جلوگیری از هک شدن، امنیت سایت وردپرسی خود را بالا ببرید . شما اگر راه کار دیگری دارید در بخش نظرات با ما به اشتراک بگذارید .