امنیت وردپرس را در مراحلی ساده تامین کنید

11 آگوست 2019
امنیت وردپرس

امنیت وردپرس را چگونه بالا ببریم؟ یکی از دغدغه‌های مهم مدیران وردپرسی تامین امنیت وردپرس هست که نمیشه به سادگی از کنار این موضوع عبور کرد. وردپرس به دلیل محبوبیتی که در بین سیستم‌های سایت ساز داره همواره در معرض هک و نفوذ قرار داره که استفاده از وردپرس در بسیاری از سایت‌ها هم باعث بیشتر و بیشتر شدن موضوع هک سایت وردپرسی شده است.

 

آموزش تامین امنیت وردپرس

 

زمانی که یک سایت هک شده و مورد نفوذ قرار میگیره کلیه اطلاعات موجود در سایت مورد سرقت قرار خواهد گرفت. در بدترین شرایط برخی افراد بعد از نفوذ بدون اینکه چیزی متوجه بشید با قرار دادن کدهای مخرب در بخش‌های مختلف سایت کاری می‌کنند که اطلاعات سایت شما را به صورت دائمی استخراج کنند. در ظاهر همه چیز در سایت شما به درستی کار میکنه و مشکلی نمی‌بینید اما اطلاعات مهم سایت شما و کاربرانی که در سایتتون هستند مدام در حال درز کردن به جایی هست.

 

نحوه تامین امنیت وردپرس

بروزرسانی مداوم وردپرس

مهم ترین مسئله در تامین امنیت سایت‌های وردپرسی به روز بودن ورپرس و افزونه‌ها و قالب‌هایی هست که ازشون استفاده می‌کنید. تیم وردپرس مدام در حال افزودن قابلیت‌های جدید و رفع مشکلات و باگ‌های امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت می‌شود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونه‌ها و قالب‌های استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.

 

طبق تصویر زیر با وارد در بخش بروزرسانی در منوی اصلی وردپرس در بخش پیشخوان می توانید افزونه ها، پوسته ها، ترجمه ها و وردپرس را بروزرسانی کنید.

منوی بروزرسانی وردپرس


بک آپ گیری منظم وردپرس

عد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشه که در اکثر مواقع شاید متوجه این مسئله نشوید. از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود. چرا که برای چندین میزبانی این مشکل پیش اومده که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایت‌ها به صورت کامل از صفحه اینترنت محو شدند و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایت‌ها به باد رفت.

 

پس سعی کنید همیشه خودتون هم از سایت نسخه بک آپ تهیه کنید تا اگر مشکلات این چنین رخ داد یا سایت هک شد بتونید از فایل بک‌آپ برای اطمینان از سالم بودن کلیه فایل‌ها موجود در سایت به ادامه فعالیت بپردازید. بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است.

 

می توانید با استفاده از افزونه WP-DB-Backup از دیتابیس وردپرس نسخه پشتیبان تهیه کنید. این افزونه تاکنون موفق شده است بیش از 200.000 نصب فعال و کسب امتیاز 4.5 را ازآن خود کند.

 

همانند تصویر زیر با وارد شدن به بخش افزونه ها و انتخاب گزینه افزودن افزونه می توانید افزونه های دلخواه را در نوار جستجو کنید و یا برای دانلود افزونه WP-DB-Backup بر روی لینک زیر کلیک کنید.

دانلود افزونه WP-DB-Backup

افزونه WP-DB-Backup

 

بعد از نصب و فعالسازی افزونه زیر منویی با نام پشتیبان گیری در بخش ابزار ها وردپرس اضافه خواهد شد. با کلیک روی این بخش وارد صفحه تنظیمات تهیه نسخه پشتیبان از دیتابیس وردپرس می شوید. سپس می توانید با انتخاب جدول های مورد نظر از آنها نسخه پشتیبان تهیه کند و سپس با استفاده از دو راه یا آنها را درون رایانه ذخیره کند یا به ایمیل شما بفرسند.

 

همچنین این افزونه قابلیت این را دارد که بشما پشتیبان گیری خودکار را انجام دهید. در بخش زمانبدی می توانید از این قابلیت استفاده کنید و انتخاب کنید که چه زمانی و از چه جداولی نسخه پشتیبان تهیه کند.


افزایش امنیت فایل wp-config.php

فایل wp-config.php یکی از مهم‌ترین فایل‌های هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.

 

همانطور که در بالا اشاره کردم فایل کانفیگ وردپرس درواقع همون فایل اصلی برای تنظیمات وردپرس هست که یکی از مهم‌ترین فایل‌های وردپرس هست و باید توجه ویژه‌ای در افزایش امنیت wp-config.php داشته باشید و از اطلاعاتی که درون این فایل قرار داره به خوبی محافظت کنید. یکی از راه‌هایی که باعث افزایش امنیت wp-config.php در وردپرس میشه اینه که مسیر قرارگیری فایل کانفیگ وردپرس را در هاست تغییر دهیم. برای این منظور مراحل زیر را انجام دهید:

  1. ابتدا وارد هاست خود شده و سپس روی File manager کلیک کنید تا به مسیر مدیریت فایل‌ها در هاست هدایت شوید.
  2. سپس وارد مسیر public_html شده و دنبال فایل wp-config.php بگردید.
  3. روی این فایل راست کلیک کرده و گزینه Move را انتخاب کنید.
  4. مسیر مورد نظر برای انتقال فایل را انتخاب کنید و سپس فایل را انتقال دهید.
  5. با کلیک روی دکمه New File در هاست خود یک فایل جدید با نام wp-config.php در مسیر public_html بسازید و کدهای زیر را در آن قرار دهید.

define(‘ABSPATH’, direname(__FILE__) . ‘/’); #Code

require_once(ABSPATH . ‘../path/to/wp-config.php’); #Code

 

حالا همونطور که در کد بالا میبینید به جای ../path/to/wp-config.php مسیری که فایل اصلی wp-config.php را به اون منتقل کردید را وارد کرده و فایل را ذخیره کنید.


افزایش امنیت فایل .htaccess

یکی دیگه از فایل‌های مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد. این فایل با استفاده از دستوراتی که میتونه اجرا کنه در محافظت از فایل‌ها و پوشه‌های وردپرس نقش به‌سزایی را داره که میتونید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.

 

مدیریت فایل htaccess در وردپرس این امکان را به شما میده تا برخی امکانات مدنظر برای سایت را با استفاده از این فایل پیاده سازی کرده و آنها را مدیریت کنید. فایل htaccess وردپرس امکان شخصی سازی بخش‌های گوناگون در وردپرس را میده که از جمله این امکانات میشه به موارد زیر اشاره کرد:

  • مدیریت حجم آپلود در وردپرس
  • مدیریت صفحات 403 در وردپرس
  • مدیریت صفحات 505 در وردپرس
  • امکان تغییر نامک برای بخش‌های گوناگون وردپرس مثل آرشیو نویسنده، جستجو در وردپرس و…
  • تغییر پروتکل http به https وردپرس و هدایت خودکار کاربران به پروتکل https وردپرس

 

با استفاده از دو روش زیر می توانید به ویرایش فایل .htaccess بپردازید:

  1. وارد شدن به هاست و بخش File Manager و در پوشه public_html توجه کنید این فایل مخفی می باشد و فایل قابلیت نمایش فایل های مخفی در هاست را فعال کنید.
  2. نصب افزونه WP htaccess Control.

 

افزونه WP htaccess Control در مخزن وردپرس به ثبت رسیده و تاکنون تونسته بیش از 20.000 نصب فعال و کسب امتیاز 4.4 را ازآن خودش بکنه. این افزونه را می توانید توسط لینک زیر دانلود و یا با وارد شدن به بخش افزونه ها و افزودن و جستجو نام افزونه آن را نصب کنید.

دانلود افزونه WP htaccess Control

 

بعد از نصب و فعال سازی این افزونه زیر منویی با نام htaccess control در بخش تنظیمات وردپرس پیشخوان سایت اضافه می شود و با کلیک بر روی این گزینه وارد صفحه تنظیمات این افزونه می شوید. با استفاده از راهنمایی های زیر به ویرایش تنظیمات این افزونه بپردازید.

Custom Author Permalink: با استفاده از این گزینه میتونید پیوند یکتای مربوط به کاربران و نویسنده‌های وردپرس را به دلخواه تغییر دهید. در حالت عادی نامک استفاده شده در آدرس نویسنده‌ها author هست که میتونید با تغییر اون در این گزینه به نام دلخواه تغییر دهید، اما دقت کنید که در صورت استفاده از این افزونه پیوند یکتا وردپرس نباید بر روی حالت پیشفرض وردپرس قرار داشته باشد.

•••• •••• ••••

Custom Pagination Permalink: با استفاده از این گزینه میتونید امکان استفاده از نامک دلخواه را درست مثل آدرسی که در بخش نویسنده‌ها ذکر شد برای صفحات دیگه که دسته‌بندی، برچسب و آرشیو در اون نمایش داده میشه را انتخاب کنید.

•••• •••• ••••

Custom Search Permalink: با استفاده از این گزینه هم میتونید تا از نامک دلخواه در آدرس جستجو وردپرس استفاده کنید تا هرگاه کاربری از فرم جستجو وردپرس استفاده کرد به جای نامک پیشفرض وردپرس در نتایج جستجو از این نامک استفاده شود.

•••• •••• ••••

Remove Taxonomies and Author Base: با مراجعه به این بخش میتونید taxonomy بخش‌های مختلف وردپرس مثل دسته‌بندی، برچسب و… را برای مطالب و محصولات از بخش آدرس در سایت خود حذف کنید. به عبارت دبگه در صورت فعال کردن این گزینه عبارت category در آدرس دسته‌بندی، عبارت tag در آدرس برچسب، عبارت author در آدرس نویسنده و… حذف خواهند شد.

•••• •••• ••••

Maintenance Mode: با استفاده از این گزینه میتونید سایت را به حالت تعمیر تغییر دهید تا هرگاه بازدید کننده‌ای وارد سایت شد حالت تعمیر فعال شده و صرفا آی‌پی کاربرانی که اجازه دسترسی به سایت را دارند قادر به مشاهده سایت باشند. از طریق Redirection که در این بخش قرار داره هم میتونید لینکی برای حالت تعمیر قرار بدین تا هنگام مراجعه به سایت آی‌پی هایی که دسترسی برای آنها وجود ندارد به این لینک هدایت شوند.

•••• •••• ••••

htaccess Sugestions: با استفاده از این بخش میتونید قابلیت‌های ویژه‌ای که با استفاده از فایل htaccess. در وردپرس وجود داره در سایتتون فعال کنید. این موارد عبارتند از:

  • ServerSignature: با فعال کردن این گزینه ServerSignature در سرور غیرفعال خواهد شد.
  • Indexes: با فعال کردن این گزینه امکان مشاهده دایرکتوری و محتویات داخل پوشه های هاست غیرفعال خواهد شد. بنابراین اگر کسی آدرس پوشه‌های شما را داشته باشه قادر به مشاهده فایل‌های درون هاست نخواهد شد.
  • Protect wp-config.php file: با فعال کردن این گزینه کدهای مربوط به محافظت از فایل wp-config.php در فایل htaccess. اضافه خواهند شد و امنیت وردپرس افزایش خواهد یافت.
  • Protect htaccess file: با فعال کردن این گزینه کدهای محافظت از خود فایل htaccess. به این فایل اضافه شده و از آنها محافظت خواهد شد.
  • Protect comments.php: با فعال کردن این گزینه فایل comments.php در قالب وردپرس محافظت شده و از ارسال نظرات اسپم در وردپرس تا حدود خوبی جلوگیری خواهد شد.
  • mod_gzip: با فعال کردن این گزینه Gzip در وردپرس فعال شده و صفحات شما برای لود فشرده سازی خواهند شد. بنابراین سرعت سایت بیشتر میشود.
  • Limit Upload Size: با استفاده از این گزینه میتونید تا حداکثر حجم آپلود در وردپرس را افزایش دهید. کافیه تا حجم مورد نظر را بر اساس MB وارد کنید.
  • Admin Email: با وارد کردن ایمیل خودتون در این بخش خطاهایی که در سایت پیش میاد براتون ارسال خواهند شد.
  • 403 error: با استفاده از این گزینه میتونید صفحه دلخواه خودتون برای خطای 403 را طراحی کرده و با وارد کردن آدرس اون در این بخش هرزمان کاربری با این خطا مواجه شد اونو به این صفحه هدایت کنید.
  • 500 error: با استفاده از این گزینه میتونید صفحه دلخواه خودتون برای خطای 500 را طراحی کرده و با وارد کردن آدرس اون در این بخش هرزمان کاربری با این خطا مواجه شد اونو به این صفحه هدایت کنید.
  • Canonical Url: با فعال کردن این گزینه میتونید امکان نمایش سایت با www در وردپرس یا بدون www در وردپرس را تعیین کنید.

افزایش امنیت پوشه wp-admin

پوشه wp-admin هم یکی از مهم‌ترین پوشه‌های وردپرس هست که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده داره که با دسترسی به این پوشه میشه به راحتی با تزریق کدهایی در فایل‌های موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.


استفاده از رمز عبور قوی و سطح دسترسی

ساده‌ترین راه و شایع‌ترین روش برای هک و نفوذ در سایت‌های وردپرسی به دلیل استفاده از رمز عبور سست به وجود میاد. موضوع استفاده نکردن از رمز قوی صرفا محدود به وردپرس نیست و اگر پیگیر اخبار فناوری بوده باشید، هر ساله گزارشات بسیار زیادی مبنی بر هک ایمیل کاربران منتشر میشه که در اون از رمزهای سست و معمولی استفاده کرده بودند.

 

نکته: استفاده از رمز عبور صرفا محدود به رمز استفاده شده در وردپرس نیست. بلکه باید برای هر بخش از سایت خودتون مثل ورود به هاست، اکانت FTP، دیتابیس سایت و… هم از رمز قوی استفاده کنید.

 

انتخاب سطح دسترسی درست برای کاربران هم یکی دیگه از نکاتی هست که باید بهش توجه داشته باشید. معمولا در سایت‌های زیادی که به صورت تیمی عمل می‌کنند بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که همین مسئله باعث میشه امنیت وردپرس در خطر قرار بگیره.

 

باید این نکته را به خاطر داشته باشید که هیچ لزومی نداره شما که تیم تشکیل دادید حتما باید همه اعضا دارای نقش کاربری مدیر کل باشند، چرا که لو رفتن رمز یکی از کاربران باعث میشه تا کل سایت هک بشه. کافیه یکی از اعضا که مسئولیت کدنویسی و طراحی بخش سایت را داره این نقش کاربری را داشته باشه و بقیه اعضای تیم از نقش‌هایی مثل نویسنده و ویرایشگر استفاده کنند.


افزایش امنیت صفحه ورود به وردپرس

صفحه ورود در وردپرس یکی از صفحات مهمی هست که نگهداری از اون هم برای جلوگیری از هک سایت و هم برای جلوگیری از حملات DDOS بسیار مهم و کلیدی هست. بنابراین با به وجود اومدن روش‌های امنیتی مثل قرار دادن سوال امنیتی، استفاده از ورود دو مرحله‌ای گوگل و… این روش‌ها هم به وردپرس راه باز کردند که استفاده کردن ازشون میتونه حسابی سایت را ایمن بکنه و در ادامه به معرفی برخی از این روش‌ها می‌پردازم:

 

1.تغییر صفحه ورود به وردپرس

وردپرس به صورت پیشفرض از آدرس wp-login.php برای صفحه ورود استفاده میکنه که با مراجعه کردن به آدرس wp-admin هم به صورت خودکار به این صفحه هدایت خواهید شد. بنابراین اگر شخصی نام کاربری و رمز شما را بدونه به راحتی میتونه وارد پیشخوان وردپرس شده و کارهایی را در اون انجام بده. برای همین میتونید این آدرس و آدرس wp-admin را تغییر داده و از آدرس دلخواه استفاده کنید.

 

افزونه های زیادی در این زمینه وجود دارد که می توان به موارد زیر اشاره کرد:

 

2.محدودیت در تعداد دفعات ورود به وردپرس

وردپرس به صورت پیشفرض هیچ محدودیتی برای تعداد دفعات تلاش برای ورود در سایت قرار نداده. اما راهکاری وجود داره که میتونید تعداد دفعات را در ورود به وردپرس محدود کنید به طوری که اگر بیش از تعداد دفعات مشخص شده شخصی در صدد ورود به سایت بود برای مدت مشخص شده‌ای دیگه حتی با رمز و نام کاربری درست هم قادر به ورود در وردپرس نباشند.

 

در حالت عادی وقتی کاربری نام کاربری خودش را وارد میکنه تا وارد سایت بشه میتونه تا به تعداد دفعات نامحدود و خیلی زیاد رمز را وارد کنه، حالا هرچقدر رمز اشتباه باشه مشکلی نیست و میتونه این کار را تا زمانی که به رمز صحیح برسه ادامه بده، اما با استفاده از افزونه‌ای که قصد معرفی اونو دارم میتونید تعداد دفعات ورود در وردپرس را محدود کنید تا اگر بیش از این تعداد مشخص شده کاربری سعی کرد تا در سایت وارد بشه دیگه حتی در صورت درست بودن رمز هم وردپرس اجازه ورود را به اون کاربر نده و تا زمانی که این محدودیت رفع نشده نتونه وارد سایت بشه.

 

افزونه Login LockDown در مخزن وردپرس به ثبت رسیده و تاکنون تونسته تا بیش از 100.000 نصب فعال و کسب امتیاز 4.6 را ازآن خودش بکنه که با استفاده از این افزونه میتونید امنیت صفحه ورود در وردپرس را افزایش دهید. برای دانلود این افزونه می توانید از دو راه حل زیر استفاده کنید:

  1. وارد شدن به بخش افزودن افزونه ها در بخش منوی اصلی وردپرس
  2. دانلود افزونه از سایت اصلی (دانلود افزونه Login LockDown)

 

بعد از نصب و فعال سازی افزونه زیر منویی با عنوان Login LockDown در بخش تنظیمات وردپرس از پیشخوان سایت اضافه می شود و با کلیک بر روی این گزینه وارد صفحه تنظیمات افزونه می شوید. با استفاده از راهنمایی های زیر می توانید به کانفیگ کردن این افزونه بپردازید:

  • Max Login Retries: تو این فیلد میتونید تعداد دفعاتی که یک کاربر میتونه برای ورود در وردپرس تلاش کنه را وارد کنید. به عنوان مثال وقتی شما تعداد دفعات برای ورود در وردپرس را روی 5 بار تعیین کرده باشید یک کاربر میتونه تا 5 بار برای ورود در وردپرس تلاشه کنه، حالا اگر در این تعداد پنج بار رمز و نام کاربری درست بود وارد پیشخوان وردپرس میشه اما در غیر اینصورت باید مدت زمانی که اکانت این کاربر قفل میشه بگذره و اکانتش آزاد بشه تا مجددا بتونه برای ورود در وردپرس تلاش کنه.
  • Retry Time Period Restriction: با استفاده از این گزینه میتونید یک مدت زمانی را تعیین کنید تا بعد از اینکه کاربر تعداد دفعات مجاز برای ورود در وردپرس را زد در این مدت نتونه کاری بکنه و وارد اکانت بشه.
  • Lockout Length: از این فیلد میتونید مدت زمانی که پس از وارد کردن رمز نادرست اکانت کاربر قفل میشه را تعیین کنید تا به این مدت اکانت قفل شده و قادر به ورود در وردپرس نباشد. بعد از اینکه این مدت زمان گذشت و اکانت آزاد شد مجددا کاربر میتونه برای ورود در وردپرس تلاش کنه.
  • Lockout Invalid Usernames: به صورت پیشفرض اگر نام کاربری که وجود نداشته باشد توسط کاربر وارد شود این افزونه از ورود آن نیز جلوگیری خواهد کرد، در هر حال می توانید آن را فعال و یا غیرفعال نمایید.
  • Lockout Invalid Usernames: با فعال کردن این گزینه نام‌های کاربری که در سایت وجود ندارند به صورت کلی قفل خواهند شد تا کاربر نتونه برای ورود در وردپرس هیچ تلاشی داشته باشد.
  • Mask Login Errors: اگر که میخواهید خطاهای مربوط به ورود در وردپرس به کاربر نمایش داده بشه این گزینه را فعال کنید. این خطاها شامل نمایش خطا در نام کاربری و رمز عبور نادرست خواهند بود.
  • Show Credit Link: با استفاده از این گزینه هم میتونید متن نمایش نام افزونه را در انتهای فرم ورود به وردپرس مخفی کرده یا اینکه بزارید نمایش داده شود.

 

3.محدودیت در ورود با ایمیل در وردپرس

از نسخه 3 به بعد وردپرس قابلیتی به این سیستم مدیریت محتوا اضافه شد که علاوه بر نام کاربری بتونید با ایمیلی که دارید هم در وردپرس وارد شوید. بنابراین از اونجایی که با ایمیل استفاده شده با بسیاری از افراد در ارتباط هستید پس امکان نفوذ در سایت به ندونستن نام کاربری فراهم خواهد بود. برای غیرفعال کردن این قابلیت وارد هاست خودتون شده و سپس به مسیر /public_html/wp-content/themes/ مراجعه کنید. حالا وارد پوشه قالبی که ازش استفاده می‌کنید شده و قطعه کد زیر را در فایل فانکشن (functions.php) قالب قرار داده و ذخیره کنید.

remove_filter( ‘authenticate’,’wp_authenticate_email_password’, 20 ); #Code

 

4.استفاده از کپچا وردپرس

یکی از راه‌های حمله به وردپرس با استفاده از تلاش برای ورود در سایت یا ارسال دیدگاه اسپم صورت میگیره که حتما هم لزومی نداره فرد وارد سایت بشه و بلکه هدف از این کار اینکه که مدام درخواستی به سایت شما ارسال شده و CPU و منابع هاست شما درگیر میشه و در نهایت سایت از دسترس خارج خواهد شد. برای جلوگیری از این کار میتونید از کپچا وردپرس استفاده کنید. استفاده از کپچا میتونه از نظرات اسپم هم جلوگیری بکنه. برای این منظور می توانید از افزونه Google Captcha reCAPTCHA استفاده کنید.

دانلود افزونه Google Captcha reCAPTCHA

 

5.افزودن سوال امنیتی در صفحه ورود وردپرس

یکی دیگه از راه‌های افزایش امنیت در وردپرس استفاده از قابلیت سوال و جواب امنیتی است. در این روش هر کاربر میتونه با مراجعه به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب کرده و با تعیین جواب وقتی اقدام به ورود در سایت میکنه تا زمانی که جواب تعیین شده را وارد نکرده قادر به ورود در وردپرس نخواهد بود. برای این منظور می توانید از افزونه WP Security Question استفاده کنید.

دانلود افزونه WP Security Question

 

6.ورود دو مرحله ای گوگل

تقریبا دو سالی هست که گوگل برنامه Google Authenticator را برای فراهم کردن قابلیت ورود دو مرحله‌ای فراهم کرده است. در این پروژه دیگه نیازی نیست که حتما کد تایید برای ورود به اکانت را از طریق SMS روی شماره دریافت کنید، بلکه میتونید برنامه مخصوص اندروید و IOS را روی گوشی خودتون نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید میشه را برای کد ورود استفاده کنید. این سیستم محدود به محصولات گوگل نیست و با استفاده از این قابلیت میتونید امکان ورود دو مرحله‌ای گوگل در وردپرس را هم فراهم کنید.

دانلود افزونه Google Authenticator

 

7.غیرفعال کردن پیغام خطاهای وردپرس

وقتی نام کاربری یا رمز عبور اشتباهی در صفحه ورود وردپرس وارد کنید پیام “نام کاربری xxx اشتباه است و یا شناسه معتبر نیست” نمایش داده می‌شود. هکر با توجه به پیام نمایش داده شده تشخیص میده که کدوم یکی از اطلاعات ورود اشتباه هستند و در نهایت بعد از یافتن یکی از اطلاعات درست میتونه روی مورد بعدی تمرکز کرده و در زمان کوتاه‌تری اقدام به هک سایت بکند.

add_filter(‘login_errors’, create_function(‘$a’, ‘return null;’)); #Code

 

برای غیرفعال کردن این قابلیت کد بالا را در فایل فانکشن (functions.php) قالب خودتون قرار داده و ذخیره کنید.


مخفی کردن نام کاربری وردپرس

در اکثر قالب‌های وردپرس وقتی روی نام نویسنده یک نوشته کلیک کنید به صفحه نویسنده هدایت خواهید شد که در اون نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده می‌شود. بنابراین اگر میبینید که نیازی به این قابلیت ندارید میتونید چنین امکانی را از قالب خودتون غیرفعال کنید یا اینکه با استفاده از روش‌های موجود آدرس صفحه نویسنده را بر اساس آی‌دی نویسنده تعیین کنید که نام کاربری نویسنده‌ها مشخص نشه. کد زیر را در فایل .htaccess هاست خود قرار دهید:

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* – [F]
# END block author scans


تغییر پیشوند جداول وردپرس

در حالت پیش‌فرض، وردپرس از _wp به‌عنوان پیشوند جداول در پایگاه داده وردپرس استفاده می‌کنه. حالا در صورتی که هنگام نصب وردپرس اقدام به تغییر دادن آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد که لازمه اقدام به تغییر پیشوند جداول بکنید.


استفاده از SSL در وردپرس

استفاده از پروتکل امن HTTPS این امکان را به سایت شما میده که کلیه داده‌ها در محیطی امن رد و بدل شوند. بنابراین با استفاده از SSL در وردپرس میتونید امنیت سایت را در حالت‌های مختلفی افزایش دهید. پیشنهاد می‌کنم حتما از SSL استفاده کرده و امنیت وردپرس را بیشتر کنید.


غیرفعال کردن مشاهده پوشه‌های هاست

یکی از نکاتی که کاربران کمتر بهش توجه می‌کنند و بر اساس کانفیگ هاست ممکنه این قابلیت در هاست غیرفعال نشده باشه مرور پوشه ها در سایت است. Directory browsing میتونه توسط هکرها مورد استفاده قرار گرفته و فایل‌های موجود در هر پوشه به راحتی بررسی شده و با پیدا کردن راه‌های نفوذ به راحتی سایت شما هک شود. این مورد به هینجا محدود نمیشه و افراد میتونند با پیدا کردن پوشه‌های شما فایل‌های موجود در هاست را هم مورد سرقت قرار دهند. بنابراین لازمه این قابلیت را غیرفعال کنید. برای این منظور کارهای زیر را طی کنید:

  1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
  2. فایل htaccess. را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
  3. دستور Options -Indexes را در انتهای فایل .htaccess اضافه کنید.
  4. در نهایت فایل را ذخیره کنید.

 

نکته: در صورتی که از وردپرس برای ساخت فروشگاه اینترنتی استفاده می‌کنید باید بدانید که فروشگاه ساز ووکامرس این کار را به صورت خودکار انجام می‌دهد و علاوه بر این به گونه‌ای عمل می‌کند که حتی اگر لینک مستقیم فایل آپلود شده برای یک محصول را در اختیار کاربری قرار دهید تا زمانی که وارد هاست نشده باشند قادر به دانلود فایل نخواهند بود.


غیرفعال کردن ویرایشگر قالب و افزونه

یکی از قابلیت‌های وردپرس استفاده از ویرایشگر کد در پیشخوان وردپرس هست که در منوهای نمایش و افزونه‌ها قرار داره و با استفاده از این دو منو به ترتیب میتونید به کلیه فایل‌های قالب وردپرس و افزونه وردپرس دسترسی داشته و آنها را ویرایش کنید. اگر شخصی بتونه وارد پیشخوان وردپرس بشه به راحتی میتونه با وارد کردن کدهای مخرب کارهای خراب کارانه در سایتتون ایجاد بکنه که برای غیرفعال کردن این قابلیت میتونید به ترتیب زیر عمل کنید:

  1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
  2. فایل wp-config.php را که در ریشه هاست قرار دارد را انتخاب کرده و به صفحه ویرایش فایل مراجعه کنید.
  3. حالا قطعه کد زیر را در بخش define این فایل قرار داده و ذخیره کنید.

غیرفعال کردن اجرای فایل PHP در وردپرس

هاست به شما این اجازه میده تا هر فایلی را در هر جایی قرار داده و با دستورات PHP هر کاری که میخواهید در سایت انجام دهید. برخی دایرکتوری‌ها هستند که اصلا نیازی به اجرای فایل‌های PHP در اونها نخواهید داشت که مهم‌ترین این بخش پوشه uploads وردپرس هست که فایل‌های چند رسانه‌ای مثل تصویر، ویدئو، صوت و… در این مسیر قرار می‌گیرد. بنابراین لازمه اجرای دستورات PHP را در این مسیر با استفاده از روش زیر غیرفعال کنید:

  1. وارد هاست خود شده و به مسیر public_html/wp-content/uploads مراجعه کنید.
  2. یک فایل با نام htaccess. بسازید و کدهای زیر را در آن قرار دهید.

<Files *.php>
deny from all
</Files>

بعد از قرار دادن کد بالا در فایل htaccess. که در این پوشه قرار داره به صورت کلی امکان اجرای PHP در این مسیر غیرفعال خواهد شد.


غیرفعال کردن XML-RPC

فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد که از جمله این موارد میشه به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویس‌هایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتونه همزمان 20 درخواست را به سایت ارسال کرده و اقدام به پیدا کردن رمز ورود در وردپرس بکنه که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست.

دانلود افزونه Disable XML-RPC


بررسی فعالیت کاربران در وردپرس

یکی دیگه از راه‌های امنیت وردپرس این هست که رفتار کاربران سایت خودتون را زیر نظر بگیرید. این رفتار میتونه توسط سیستم آمار گیر سایت و یا افزونه‌ها صورت بگیره که در صورت شناسایی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید.


تغییر دوره ای رمز کاربران وردپرس

معمولا کاربرانی که در سایت ثبت نام می‌کنند هیچ اقدامی برای تغییر دوره‌ای رمز عبور خودشون انجام نمی‌دهند. این مشکلات برای هر سایتی زیاد شاید مهم نباشه و به چشم نیاد، اما برای سایت‌های فروشگاه فایل که از ووکامرس یا افزونه‌های دیگه استفاده می‌کنند خیلی مهم هست. پس خودتون باید دست به کار شده و در بازه‌های زمانی چند ماهه کاری کنید که کاربران خودشون اقدام به تغییر رمز در وردپرس بکنند.


 

خرید هاست   خرید سرور مجازی   خرید هاست ارزان

دانلود اهنگ

0
برچسب ها :
نویسنده مطلب امیر سلیمانژاد

دیدگاه شما

بدون دیدگاه