۱۲ مرحله تا داشتن سایت وردپرسی ایمن

توی این مطلب می خواهیم مراحلی رو معرفی کنیم که با رعایت کردن اون ها سایت وردپرسی خودتان را ایمن کنید.

بالا بردن امنیت سایت یکی از دغدغه های اصلی تمامی وردپرس کارا هست. اگر شما ایده ای برای بالا بردن امنیت سایت وردپرسی اتان ندارید. توی این مطلب می خواهیم به شما ایده بدیم.

قبل از آن که وارد چک لیست اول بشیم ، آیا می دانستید که ۷۳ درصد سایت های وردپرسی در سال ۲۰۱۳ میلادی آسیب پذیر بودند؟ یا از بین ۱۰ تا از آسیب پذیر ترین پلاگین های وردپرس ، ۵ تا از آن ها جزو پلاگین های فروشی وردپرس بودند؟

آسیب پذیر ترین پلاگین های وردپرس

top-10-vulnerable-WordPress-plugins

آسیب پذیر ترین پوسته های وردپرس

top-10-vulnerable-WordPress-themes
چک لیستی کوچیک برای تامین امنیت وردپرس

  1. همیشه از آخرین ورژن وردپرس استفاده کنید.
  2. همیشه از آخرین ورژن پلاگین ها و افزونه و پوسته های وردپرس استفاده کنید و از اسکریپت های نال شده استفاده نکنید.
  3. پلاگین ها و پوسته هایی که از آن ها استفاده نمی کنید را ، حذف کنید.
  4. پلاگین ها ، پوسته ها را فقط از جا های معتبر دانلود کنید.
  5. پرمیشن های فایل ها و پوشه ها را اصلاح کنید.به پوشه ها نباید پرمیشن ۷۷۷ بدید و سعی کنید همیشه از پرمیشن ۷۵۰ یا از ۷۵۵ استفاده کنید. همچنین به فایل ها پرمیشن ۶۴۰ یا ۶۴۴ بدید و فایل wp-config.php را به پرمیشن ۶۰۰ تنظیم کنید.
  6. از کلمه admin به عنوان نام کاربری مدیر استفاده نکنید.
  7. پسورد های خود را به صورت دوره ای تغییر بدید که بدین منظور برای ساختن پسورد قدرتمند می توانید از سایت هایی مثل این سایت استفاده کنید.stronger-passwords
  8. مطمئن شوید که کاربران شما از پسورد های قدرتمند استفاده می کنند.
  9. برای قسمت ورود کاربران ، از ورود ۲ مرحله ای استفاده کنید.
  10. روی کامپیوتر شخصی اتان یک فایروال نصب کنید. بدین منظور می توانید از ZoneAlaram یا Comodo استفاده کنید.
  11. با استفاده از پلاگین هایی مثل  Login LockDown جلوی حملات Brute Force را بگیرید.
  12. با استفاده از افزونه هایی مثل VaultPress,BlogVault،  BackupBuddyیا WordPress Backup to Dropbox از وردپرس خودتان نسخه پشتیبان تهیه کنید.
  13. اسکن های امنیتی را در سایتتان فراموش نکنید. با استفاده از پلاگین های Sucuri Sitecheck، CodeGuard، Theme Authenticity Checker و AntiVirus. می توانید کد های مخرب را در فایل های سایتتان تشخیص دهید.

خب ، حالا شما آماده اید تا بریم سراغ اصلی ترین بحثای ایمن سازی سایت وردپرسی اتان ، با ما همراه باشید.

۱. غیر فعال کردن پلاگین های بلا استفاده

plugins-page

توی لیست بالا نیز بهش اشاره کردم که مبحث بسیار مهمیست ، فراموش نکنید که همیشه پلاگین های بدون استفاده اتون رو حذف کنید. این فقط درباره امنیت سایتتون صدق نمی کنه ، بلکه با اینکار سرعت و کارایی سایتتان را نیز افزایش می دهید.

۲. پلاگین های پولی را رایگان دانلود نکنید !

احتمالا دانلود کردن پلاگین ها و پوسته های پولی به شکل رایگان برای شما خیلی لذت بخش است. دقت داشته باشید که با این عمل ممکن است مورد هدف هکر ها قرار بگیرید ! با دانلود این فایل ها از سایت های غیر معتبر ممکن است با قرار گرفتن حتی ۱ خط کد مخرب درون یکی از فایل هایی که شاید هیچوقت بازش نکنید مورد نفوذ قرار بگیرید. پس به دنبال جایگزین رایگان باشید :)

۳. بروزرسانی خودکار هسته وردپرس

wordpress-updates

یکی از ویژگی های بسیار خوب وردپرس بروزرسانی خودکار است. با فعال کردن این ویژگی شما می توانید حتی وقتی که توی سایتتون نیستید ، خواب هستید یا سر کار هستید یا هر جای دیگر با منتشر شدن بروزرسانی خودتان را ایمن کنید. بدین منظور می بایست فایل wp-config.php واقع در root directory مربوط به وردپرس اتون رو باز کنید و این کد هارو به آن اضافه کنید :

۴. بروزرسانی خودکار پلاگین ها و پوسته های وردپرس

خیلی کم پیش میاید که آسیب پذیری خطرناکی از هسته وردپرس کشف شود ، اما روزانه پلاگین های بسیاری به دیتابیس وردپرس اضافه می شوند و مورد هدف نفوذگران قرار می گیرند. در نتیجه زمانی که شما از پلاگین های زیادی استفاده می کنید ، ممکن است از پلاگین های شما آسیب پذیری کشف  شود. بدین منظور شما علاوه بر هسته وردپرس می توانید پلاگین ها و پوسته ها وردپرس را نیز بروزرسانی کنید !

برای بروزرسانی پلاگین ها و پوسته های وردپرس فایل wp-config.php واقع در root directory مربوط به وردپرس اتون رو باز کنید و کد زیر به آن اضافه کنید:

بروزرسانی خودکار پلاگین های وردپرس:

بروزرسانی های خودکار پوسته های وردپرس:

۵. از بین بردن قابلیت ویرایش پلاگین و پوسته های وردپرس

یکی از ویژگی های خطرناکی که وردپرس داره ، امکان ویرایش پلاگین و پوسته هست. این به این معناست که شما می توانید کد های php قالب و پلاگین های خودتون رو از طریق پنل ویرایش کنید. در نتیجه نفوذگر نیز می تواند اگر پسورد پنل شمارو داشت با بهره گیری از تزریق کد مخرب خودش اقدام به زدن Backdoor روی سایت وردپرسی شما بکند. در نتیجه این ویژگی رو بهتره غیر فعال کنید. بدین منظور فایل wp-config.php را باز کنید و کد زیر را به آن اضافه کنید.

کد غیر فعال کردن ویرایشگر پلاگین و پوسته وردپرس

۶. از بین بردن قابلیت گزارش خطا های وردپرس

یکی از ویژگی های خیلی خوبی که سیستم مدیریت محتوای وردپرس داره ، مدیریت خطا هاست. این بدین معناست که شما می توانید خطا هایی که توی کدای سایتتون پیش میاد رو مدیریت کنید. به صورت پیش فرض خطا های روی سایت شما باز هست ، یعنی هر کسی می تونه ببینه ! در نتیجه خیلی خطرناکه که توی یک سایت خطا ها  مشخص بشه .. اگر نفوذگر قبل از شما این خطا هارو ببینه می تونه اطلاعات بسیار مفیدی از وضعیت سایت شما بدست بیاورد. پس بهتر هست که آن را غیر فعال کنید. به منظور غیر فعال کردن این قابلیت فایل wp-config.php را باز کنید و کد زیر را به آن اضافه کنید.

کد غیر فعال کردن نمایش خطا ها در وردپرس

همچنین درون فایل wp-config.php بگردید و اگر قابلیت wp_debug برابر با true بود آن را به false تغییر بدهید.

۷. محافظت از فایل های حساس با .htaccess

اگر شما از سرور لینوکس و وب سرور Apache یا Litespeed استفاده می کنید ، با بهره گیری از htaccess می تونید ، از فایل های مهمتان محافظت کنید.

در ابتدا به شما پیشنهاد میکنیم که دسترسی به فایل wp-config.php که یکی از حساس ترین فایل های وردپرس هست رو ببندید. بدین منظور کد زیر را به فایل .htaccess واقع در پوشه اصلی وردپرس خودتان را باز کنید و این کد ها را اضافه کنید:

محدود کردن ورود به صفحه مدیریت به IP Address در وردپرس

همچنین شما می توانید اجازه دسترسی به صفحه مدیریت وردپرس را فقط به خودتان دهید. بدین منظور وارد پوشه wp-admin بشوید و فایل .htaccess را ایجاد و کد زیر را در آن قرار دهید :

نکته: توی قسمت allow from باید آدرس آی پی خودتان را وارد کنید.

نکته ۲: اگر آدرس آی پی شما متغیر / Dynamic هست بهتر هست از این روش چشم پوشی کنید.

 

۸. مخفی کردن نام کاربری نویسنده های سایت

اگر شما تکنیک های تامین امنیت خودتون رو بلد باشید بدین معنا نیست که نویسندگان دیگر سایت شما نیز می توانند امنیتی پایدار داشته باشند. در نتیجه بهتر هست که کمی کمکشون کنید. شما می توانید نام های کاربری را در وردپرس مخفی کنید. یکی از روش های جالب برای اینکار اینه که شما صفحه مربوط به نویسندگان سایت خودتون رو به صفحه اصلی سایت ارجاع بدید. بدین منظور فایل functions.php واقع در پوشه پوسته وردپرسی اتون رو باز کنید و کد زیر را بهش اضافه کنید:

۹. مشاهده فعالیت های کاربران

WP-Security-Audit-Log

اگر سایت شما ، جزو سایت هایی باشد که کاربران زیادی در آن تردد می کنند. خوبه که فعالیت کاربران را زیر نظر بگیرید. بدین منظور می توانید از افزونه WP Security Audit Log استفاده کنید.

۱۰. صفحات ورود سایت وردپرسی اتان را مبهم کنید!

login-lockdown

صفحه ورود یکی از عناصر اصلی ای هست که شما باید آن را از دید نفوذگران پنهان کنید. حملات Brute Force معمولا به صورت خودکار صورت می گیرد در نتیجه شما با عوض کردن مسیر صفحه ورود سایت وردپرسی اتون می تونید جلوی اینکارو بگیرید. بدین منظور می توانید از افزونه Lockdown WP Admin استفاده کنید.

۱۱. بهترین میزبانی که می توانید را انتخاب کنید !

هر چقدر هم شما سایت وردپرسی اتون رو ایمن کنید اما از جای نا معتبری هاست تهیه کنید باز امنیت شما را تحت شعاع قرار می دهد. پس بهترین هاستینگ ای که می توانید پیدا کنید را برگزینید.

۱۲. سیستم شخصی اتان را به روز نگه دارید !

avast

بعضی مواقع نفوذگران می توانند از سیستم شخصی شما دسترسی بگیرند. در این حالت هر چقدر هم شما سایتی ایمن داشته باشید می توانند از طریق کامپیوتر شما به سایتتان نیز دسترسی داشته باشند. پس همیشه سعی کنید آخرین ورژن آنتی ویروس مورد علاقتون رو نصب کنید. نصب Comodo Firewall که بالا پیشنهاد دادیم در کنار آنتی ویروس Avast می تونن تیم امنیتی خوبی رو تشکیل بدهند :)

۵ نظر

  • حسین 3 سال قبل

    بخش ۷ ام مگه نباید فایل اچ تی اکسس باشه ؟ چرا دوبار نوشتید فایل کانفیگ وردپرس؟
    منظورم این تنظیمات
    order allow,deny
    deny from all

    هست که بنظر مال اچ تی اکسسه

  • با سلام و تشکر از مطلب بسیاری مفید که قرار دادید
    در مرحله ۵ برای غیرفعال کردن ویرایش پلاگین و پوسته وقتی کد مورد نظر رو وارد می کنم دیگه هیچ مطلب در سایت نمایش داده نمیشه و یک صفحه سفید خالی بالا میاد ؟

    • سلام دوست عزیزم ، مطمئنید توی فایل wp-config.php اون کد رو قرار می دید؟ اگر چک کردید که همونطور بود WP_DEBUG رو برابر با true قرار بدید و مجددا صفحه رو رفرش کنید و خطایی که داده رو در ادامه ذکر کنید.
      با تشکر

  • گوگولی 2 سال قبل

    ترکیوندید عالی بود

ارسال نظر برای حسین پایان

ایمیل شما منتشر نخواهد شد. پر کردن ورودی ها الزامی است. *

*

ده + هفده =