آموزش وردپرسامنیت وب سایتامنیت وردپرسپلاگین های امنیتی

راهنمایی برای امنیت وردپرس – گام به گام 2023

نکات برگزیده مطلب
  • امنیت وردپرس موضوعی بسیار مهم برای هر صاحب وب سایتی است. از این رو در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای کمک به محافظت از وب سایت شما در برابر هکرها و بدافزارها را به اشتراک می گذاریم

امنیت وردپرس موضوعی بسیار مهم برای هر صاحب وب سایتی است. گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و هر هفته حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.

اگر در مورد وب سایت خود جدی هستید، پس باید به بهترین شیوه های امنیتی وردپرس توجه کنید. در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای کمک به محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک می گذاریم

راهنمای امنیت وردپرس

در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی برای حفظ امنیت سایت شما می توان انجام داد.

در زیمند، ما معتقدیم که امنیت فقط حذف ریسک نیست. همچنین کاهش ریسک را نیز شامل می شود. به عنوان یک مالک وب سایت، کارهای زیادی می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر در زمینه فناوری اطلاعات کافی نداشته باشید).

ما تعدادی گام عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.

برای آسان کردن این کار، ما یک جدول از محتوا ایجاد کرده ایم تا به شما کمک کند به راحتی به سمت امن کردن نهایی وردپرس خود حرکت کنید

مبانی امنیت وردپرس

چرا امنیت وب سایت مهم است؟

یک سایت وردپرسی هک شده می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر، رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می توانند بدافزار را بین کاربران شما توزیع کنند.

بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وب سایت خود، به هکرها باج پرداخت می کنید

چرا امنیت وب سایت مهم است؟

در مارس 2016، گوگل گزارش داد که به بیش از 50 میلیون کاربر وب سایت در مورد وب سایتی که بازدید می کنند هشدار داده شده است که ممکن است حاوی بدافزار یا سرقت اطلاعات باشد.

علاوه بر این، گوگل هر هفته حدود 20000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.

اگر وب سایت شما یک تجارت است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید.

مانند اینکه مالکان کسب و کار مسئولیت محافظت از ساختمان فروشگاه فیزیکی خود را دارند، به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وب سایت کسب و کار شما بر عهده شماست

امنیت وردپرس در مراحل آسان (بدون کدنویسی)

ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. به خصوص اگر اهل فن نیستید. حدس بزنید – شما تنها نیستید.

ما به هزاران کاربر وردپرس کمک کرده ایم تا امنیت وردپرس خود را تقویت کنند.

ما به شما نشان خواهیم داد که چگونه می توانید امنیت وردپرس خود را تنها با چند کلیک بهبود بخشید (بدون نیاز به کدنویسی).

اگر می توانید فقط با چند کلیک امنیت وب سایت خود را افزایش دهید در ادامه با ما همراه باشید

راه حل یک: از وردپرس خود پشتیبان گیری نمایید

از وردپرس خود پشتیبان گیری نمایید

پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی را می توان هک کرد، پس سایت شما نیز می تواند هک شود.

پشتیبان‌گیری به شما این امکان را می‌دهد تا در صورت وقوع اتفاق بدی، به سرعت سایت وردپرس خود را بازیابی کنید.

تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد که می توانید از آنها استفاده کنید. مهم‌ترین چیزی که در مورد پشتیبان‌گیری باید بدانید این است که باید به طور مرتب نسخه‌های پشتیبان کامل سایت را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.

توصیه می کنیم آن را در یک سرویس ابری مانند آمازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.

بر اساس تعداد دفعاتی که وب سایت خود را به روز می کنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان به صورت بلادرنگ پس از هر ویرایش وب سایت باشد.

خوشبختانه این کار را می توان به راحتی با استفاده از افزونه هایی مانند Duplicator ، UpdraftPlus یا BlogVault انجام داد . هر سه این افزونه ها قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است (بدون نیاز به کدنویسی)

به روز نگه داشتن وردپرس

به روز نگه داشتن وردپرس

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و به روز می شود. به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند. برای نسخه‌های اصلی، باید به‌روزرسانی را به‌صورت دستی آغاز کنید.

وردپرس همچنین دارای هزاران افزونه و تم است که می توانید در وب سایت خود نصب کنید. این پلاگین ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور منظم به روز رسانی را نیز منتشر می کنند.

این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونه ها و پوسته شما به روز هستند.

رمزهای عبور قوی و مجوزهای کاربر

رمزهای عبور قوی و مجوزهای کاربر در وردپرس

رایج ترین روش هک وردپرس استفاده از رمزهای عبور سرقت شده می باشد. شما می توانید با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند، این کار را دشوار کنید. نه فقط برای بخش مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.

بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است. خوبی این است که دیگر نیازی به یادآوری رمزهای عبور ندارید. می توانید از یک پسورد منیجر استفاده کنید. راهنمای ما در مورد نحوه مدیریت رمزهای عبور وردپرس را ببینید .

راه دیگر برای کاهش خطر این است که به کسی اجازه ندهید به حساب مدیریت وردپرس خود دسترسی داشته باشد مگر اینکه کاملاً مجبور باشید . اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را درک کرده‌اید

نقش میزبانی وب در امنیت وردپرس

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند. یک ارائه دهنده میزبانی مشترک خوب مانند Hostinger ، Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می دهد.

در اینجا نحوه عملکرد یک شرکت میزبانی وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما آمده است.

آنها به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
همه شرکت های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند
آنها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از یک آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
آنها آماده به کارگیری برنامه های بازیابی فاجعه و حوادث هستند که به آنها امکان می دهد در صورت بروز حادثه بزرگ از داده های شما محافظت کنند.

در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این خطر آلودگی بین سایتی را باز می کند که در آن هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند.

استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر امن تری را برای وب سایت شما فراهم می کند. شرکت های میزبان وردپرس مدیریت شده، پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می دهند.

بهترین افزونه امنیتی وردپرس

بعد از پشتیبان‌گیری، کاری که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت را راه‌اندازی کنیم که همه چیزهایی که در وب‌سایت شما اتفاق می‌افتد را پیگیری کند.

این شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است.

خوشبختانه، این همه می تواند توسط بهترین افزونه امنیتی رایگان وردپرس، Sucuri Scanner، برطرف شود .

باید افزونه رایگان Sucuri Security را نصب و فعال کنید . برای جزئیات بیشتر، لطفا راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید .

پس از فعال سازی، باید به منوی Sucuri در مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. این امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.

کلید Sucuri API را ایجاد کنید

کار بعدی که باید انجام دهید این است که از منوی تنظیمات بر روی تب ‘Hardening’ کلیک کنید. هر گزینه را مرور کنید و روی دکمه “اعمال سخت شدن” کلیک کنید.

تنظیم Hardening امنیتی Sucuri

این گزینه ها به شما کمک می کند تا نقاط کلیدی را که هکرها اغلب در حملات خود استفاده می کنند، قفل کنید. تنها گزینه سخت‌سازی که ارتقای پولی است، فایروال Web Application است که در مرحله بعد توضیح خواهیم داد، بنابراین فعلاً از آن صرفنظر کنید.

همچنین بسیاری از این گزینه‌های «سخت‌سازی» را در ادامه این مقاله برای کسانی که می‌خواهند بدون استفاده از افزونه یا مواردی که به مراحل اضافی مانند «تغییر پیشوند پایگاه داده» یا «تغییر نام کاربری مدیر» نیاز دارند، انجام دهند، پوشش داده‌ایم.

پس از بخش سخت شدن، تنظیمات پیش فرض افزونه برای اکثر وب سایت ها به اندازه کافی خوب است و نیازی به تغییر ندارد. تنها چیزی که ما سفارشی کردن آن را توصیه می کنیم «هشدارهای ایمیل» است.

تنظیمات پیش‌فرض هشدار می‌تواند صندوق ورودی شما را با ایمیل‌ها شلوغ کند. توصیه می‌کنیم برای اقدامات کلیدی مانند تغییرات در افزونه‌ها، ثبت نام کاربر جدید و غیره هشدار دریافت کنید. می‌توانید هشدارها را با رفتن به تنظیمات Sucuri » Alerts پیکربندی کنید.

تنظیم هشدارهای امنیتی در افزونه Sucuri

این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام تب ها و تنظیمات را مرور کنید تا تمام کارهایی که انجام می دهد مانند اسکن بدافزار، گزارش های حسابرسی، ردیابی تلاش برای ورود ناموفق و غیره را مشاهده کنید.

فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس خود استفاده از فایروال برنامه وب (WAF) است.

فایروال وب سایت تمام ترافیک مخرب را حتی قبل از رسیدن به وب سایت شما مسدود می کند.

فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند.

فایروال سطح برنامه – این افزونه های فایروال، ترافیک را زمانی که به سرور شما می رسد، اما قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

برای کسب اطلاعات بیشتر، لیست ما از بهترین افزونه های فایروال وردپرس را ببینید .

فعال کردن فایروال برنامه وب (WAF)

ما از Sucuri به عنوان بهترین فایروال برنامه وب برای وردپرس استفاده و توصیه می کنیم

فایروال sucuri

 

بهترین بخش در مورد فایروال Sucuri این است که دارای ضمانت پاکسازی بدافزار و حذف لیست سیاه نیز می باشد. اساساً اگر قرار باشد تحت نظارت آنها هک شوید، آنها تضمین می کنند که وب سایت شما را تعمیر می کنند (مهم نیست چند صفحه داشته باشید).

این یک گارانتی بسیار قوی است زیرا تعمیر وب سایت های هک شده گران است. کارشناسان امنیتی معمولا 250 دلار در ساعت دریافت می کنند. در حالی که می توانید کل پشته امنیتی Sucuri را با 199 دلار در سال دریافت کنید.

Sucuri تنها ارائه دهنده فایروال سطح DNS نیست. رقیب محبوب دیگر Cloudflare است. مقایسه Sucuri در مقابل Cloudflare (مزایا و معایب)  را در مقاله ما مطالعه نمایید .

سایت وردپرس خود را به SSL/HTTPS منتقل کنید

SSL (لایه سوکت های امن) پروتکلی است که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می‌شود کسی نتواند شنود کند و اطلاعات را بدزدد.

نحوه کار SSL

هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل را در کنار آدرس وب سایت خود در مرورگر خواهید دید.

گواهینامه های SSL معمولاً توسط مقامات گواهی صادر می شود و قیمت آنها از 80 دلار تا صدها دلار در سال شروع می شود. به دلیل هزینه اضافی، اکثر صاحبان وب سایت ترجیح دادند از پروتکل ناامن استفاده کنند.

برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت تا گواهینامه های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.

در حال حاضر، شروع به استفاده از SSL برای تمام وب سایت های وردپرسی خود آسان تر از همیشه است. در حال حاضر بسیاری از شرکت های هاستینگ گواهینامه SSL رایگان برای وب سایت وردپرس شما ارائه می دهند .

اگر شرکت میزبان شما ارائه نمی دهد، می توانید یکی از آن ها را از Domain.com خریداری کنید . آنها بهترین و مطمئن ترین معامله SSL را در بازار دارند. همراه با ضمانت امنیتی 10000 دلاری و مهر امنیتی TrustLogo است.

امنیت وردپرس برای کاربران حرفه ای

اگر تمام کارهایی را که تا به حال ذکر کردیم انجام دهید، در این صورت وضعیت بسیار خوبی دارید.

اما مانند همیشه، کارهای بیشتری وجود دارد که می توانید برای تقویت امنیت وردپرس خود انجام دهید.

برخی از این مراحل ممکن است به دانش کدنویسی نیاز داشته باشد.

نام کاربری پیش فرض “admin” را تغییر دهید

در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که نام‌های کاربری نیمی از اعتبار ورود به سیستم را تشکیل می‌دهند، این امر انجام حملات brute-force را برای هکرها آسان‌تر می‌کند.

خوشبختانه، وردپرس از آن زمان این را تغییر داده است و اکنون از شما می‌خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید .

با این حال، برخی از نصب‌کنندگان وردپرس با یک کلیک، هنوز نام کاربری پیش‌فرض مدیر را روی «admin» تنظیم می‌کنند. اگر متوجه شدید که چنین است، پس احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید .

از آنجایی که وردپرس به طور پیش‌فرض به شما اجازه تغییر نام کاربری را نمی‌دهد، سه روش برای تغییر نام کاربری وجود دارد.

  • یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
  • از افزونه Username Changer استفاده کنید
  • نام کاربری را از phpMyAdmin به روز کنید

در مقاله نحوه تغییر صحیح نام کاربری مدیر وردپرس می توانید روش های تغییر نام کاربری را مشاهده نمایید

توجه: ما در مورد نام کاربری به نام “admin” صحبت می کنیم، نه نقش مدیر.

غیرفعال کردن ویرایش فایل

غیرفعال کردن ویرایش فایل

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و فایل های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. این ویژگی می تواند یک خطر امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.
غیرفعال کردن ویرایش فایل در وردپرس

با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید .

//Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس

یکی دیگر از راه‌های تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن نیازی نیست، مانند /wp-content/uploads/.

<Files *.php>
deny from all
</Files>

سپس، باید این فایل را به‌عنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه‌های /wp-content/uploads/ وب‌سایت خود آپلود کنید .

برای توضیح دقیق تر، راهنمای ما در مورد نحوه غیرفعال کردن اجرای PHP در فهرست های خاص وردپرس را ببینید

همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید

محدود کردن تلاش برای ورود

به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند. این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.

این را می توان به راحتی با محدود کردن تلاش های ناموفق برای ورود به سیستم برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، به طور خودکار به آن رسیدگی می شود.

با این حال، اگر راه اندازی فایروال را ندارید، مراحل زیر را ادامه دهید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید . برای جزئیات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید .

پس از فعال‌سازی، برای راه‌اندازی افزونه، به صفحه تنظیمات » Login LockDown مراجعه کنید.

گزینه های Login Lockdown

برای دستورالعمل‌های دقیق، نگاهی به راهنمای ما بیندازید که چگونه و چرا باید تلاش‌های ورود در وردپرس را محدود کنید

احراز هویت دو عاملی را اضافه کنید

تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.

اکثر وب سایت های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان را می دهند که آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید . پس از فعال‌سازی، باید روی پیوند «تأیید دو عاملی» در نوار کناری مدیریت وردپرس کلیک کنید.

تنظیمات دو عاملی Authenticator

در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator، Authy و LastPass Authenticator موجود است.

توصیه می کنیم از Google Authenticator استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در فضای ابری نسخه پشتیبان تهیه کنید. این برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است. همه ورود به حساب کاربری شما به راحتی بازیابی می شود.

ما  LastPass Authenticator را آموزش می دهیم باقی نیز به همین شیوه می باشد و شما ار هرکدام از APP ها که بخواهید می توانید استفاده کنید. با این حال، دستورالعمل ها برای همه برنامه های احراز هویت مشابه است. برنامه authenticator خود را باز کنید و سپس روی دکمه Add کلیک کنید.

اضافه کردن وب سایت به LastPass Authenticator

از شما پرسیده می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه بعد که وارد وب سایت خود می شوید، پس از وارد کردن رمز عبور از شما کد احراز هویت دو مرحله ای خواسته می شود.

ورود کد احراز هویت دو مرحله ای در وردپرس

به سادگی برنامه authenticator را روی گوشی خود باز کنید و کدی را که روی آن می بینید وارد کنید.

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس شما استفاده می کند . اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر می شود. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.

شما می توانید با دنبال کردن آموزش گام به گام ما در مورد نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت، پیشوند پایگاه داده خود را تغییر دهید .

توجه: اگر به درستی انجام نشود، می تواند سایت شما را خراب کند. فقط در صورتی ادامه دهید که به مهارت های کدنویسی خود اطمینان داشته باشید

حفاظت از ناحیه مدیریت وردپرس با رمز عبور

حفاظت از ناحیه مدیریت وردپرس با رمز عبور

به طور معمول، هکرها می توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این به آنها اجازه می دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا کنند.

شما می توانید حفاظت رمز عبور اضافی را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می کند.

دستورالعمل های گام به گام ما را در مورد نحوه محافظت با رمز عبور از دایرکتوری مدیریت وردپرس (wp-admin) دنبال کنید .

فهرست بندی و مرور دایرکتوری را غیرفعال کنید

غیرفعال کردن مرور دایرکتوری در وردپرس

هکرها می توانند از مرور دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیری شناخته شده دارید یا خیر، بنابراین آنها می توانند از این فایل ها برای دسترسی به آن استفاده کنند.

مرور دایرکتوری همچنین می تواند توسط افراد دیگر برای بررسی فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود فهرست سازی و مرور دایرکتوری را خاموش کنید.

شما باید با استفاده از FTP یا فایل منیجر cPanel به وب سایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری ریشه وب سایت خود پیدا کنید. اگر نمی توانید آن را در آنجا ببینید، به راهنمای ما در مورد اینکه چرا نمی توانید فایل htaccess. را در وردپرس ببینید مراجعه کنید .

پس از آن باید خط زیر را در انتهای فایل htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید. برای اطلاعات بیشتر در مورد این موضوع، به مقاله ما در مورد نحوه غیرفعال کردن مرور دایرکتوری در وردپرس مراجعه کنید .

 

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش‌فرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند.

به دلیل ماهیت قدرتمند خود، XML-RPC می تواند به طور قابل توجهی حملات brute-force را تقویت کند.

به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وب سایت شما امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهد که توسط افزونه قفل ورود دستگیر و مسدود می شود.

اما با XML-RPC، یک هکر می تواند از تابع system.multicall برای آزمایش هزاران رمز عبور با مثلاً 20 یا 50 درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.

3 راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در آموزش گام به گام خود در مورد نحوه غیرفعال کردن XML-RPC در وردپرس توضیح داده ایم .

نکته: روش .htaccess بهترین روش است زیرا کمترین مصرف منابع را دارد.

اگر از فایروال برنامه کاربردی وب که قبلاً ذکر شد استفاده می کنید، فایروال می تواند از آن مراقبت کند.

خروج خودکار (logout) کاربران بیکار در وردپرس

کاربرانی که وارد سیستم شده اند گاهی اوقات از صفحه نمایش دور می شوند و این یک خطر امنیتی است. مهاجم می تواند سشن ا ربوده، رمز عبور را تغییر دهد یا در حساب کاربری تغییراتی ایجاد کند.

به همین دلیل است که بسیاری از سایت های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می کنند. شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.

شما باید افزونه Inactive Logout را نصب و فعال کنید . پس از فعال‌سازی، برای پیکربندی تنظیمات افزونه، به تنظیمات » صفحه خروج غیر فعال مراجعه کنید.

logout کاربران بیکار از وردپرس

به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید

 

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

اضافه کردن سوال امنیتی در صفحه ورود

افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس دسترسی غیرمجاز را برای مهاجم سخت تر می کند.

با نصب افزونه WP Security Questions می توانید سوالات امنیتی اضافه کنید . پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.

برای دستورالعمل‌های دقیق‌تر، به آموزش ما در مورد نحوه افزودن سؤالات امنیتی به صفحه ورود به سیستم وردپرس مراجعه کنید

 

اسکن وردپرس برای بدافزارها و آسیب پذیری ها

اسکن بدافزار

اگر یک افزونه امنیتی وردپرس نصب کرده اید، آن افزونه ها به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می کنند.

با این حال، اگر کاهش ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو مشاهده کردید ، ممکن است بخواهید به صورت دستی یک اسکن را اجرا کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید .

اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت شما، به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.

اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت وردپرس هک شده را تمیز کنند.

برای پاکسازی بدافزار در وردپرس به بخش بعدی همین مقاله بروید

 

تعمیر سایت وردپرس هک شده

بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.

تمیز کردن سایت وردپرس می تواند بسیار سخت و زمان بر باشد. اولین توصیه ما این است که اجازه دهید یک متخصص از آن مراقبت کند.

هکرها درهای پشتی را روی سایت های آسیب دیده نصب می کنند و اگر این (درهای پشتی) به درستی رفع نشوند، احتمالاً وب سایت شما دوباره هک می شود.

برای کاربران ماجراجو و حرفه ای، ما راهنمای گام به گام تعمیر سایت وردپرس هک شده را گردآوری کرده ایم .

نکته طلایی: سرقت هویت و محافظت از شبکه

به عنوان صاحبان مشاغل کوچک، بسیار مهم است که از هویت دیجیتال و مالی خود محافظت کنیم زیرا عدم انجام این کار می تواند منجر به زیان های قابل توجهی شود. هکرها و مجرمان می توانند از هویت شما برای سرقت نام دامنه وب سایت شما ، هک کردن حساب های بانکی شما و حتی ارتکاب جرمی استفاده کنند که ممکن است شما مسئول آن باشید.

در سال 2020، 4.7 میلیون مورد سرقت هویت و کلاهبرداری از کارت اعتباری به کمیسیون تجارت فدرال (FTC) گزارش شده است.

به همین دلیل است که توصیه می کنیم از یک (سرویس محافظت از سرقت هویت) مانند Aura استفاده کنید

آنها محافظت از دستگاه و شبکه وای فای را از طریق VPN رایگان (شبکه خصوصی مجازی) خود ارائه می دهند که اتصال اینترنت شما را با رمزگذاری درجه نظامی در هر کجا که هستید ایمن می کند. این برای زمانی که در حال سفر هستید یا از یک مکان عمومی مانند استارباکس به پیشخوان وردپرس خود متصل می شوید عالی است، بنابراین می توانید به صورت ایمن و خصوصی آنلاین کار کنید.

سرویس مانیتورینگ آنها به طور مداوم دارک وب را با استفاده از هوش مصنوعی رصد می کند و اگر رمز عبور، اطلاعات شخصی و حساب های بانکی شما به خطر افتاده است به شما هشدار می دهد.

این به شما امکان می دهد سریعتر عمل کنید و بهتر از هویت دیجیتال خود محافظت کنید.

امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی وردپرس را یاد بگیرید و همچنین بهترین افزونه های امنیتی وردپرس را برای وب سایت خود کشف کنید.

0%

امتیاز کاربران: 4.4 ( 1 رای)
مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × 1 =

دکمه بازگشت به بالا