021-91014197 call

10 نکته برای امنیت وب‌سایت وردپرس

مریم جاوید
در تاریخ: ۲۰ شهریور، ۱۴۰۰

وردپرس (WordPress) محبوب‌ترین سیستم مدیریت محتوا (CMS) است، که بیشتر افراد برای راه‌اندازی کسب‌وکار آنلاین خود از آن استفاده می‌کنند. محبوبیت و گستردگی استفاده از وردپرس، توجه هکرها را نیز به خود جلب کرده است؛ به همین دلیل، حملات سایبری وب‌سایت‌های وردپرسی روزبه‌روز درحال افزایش است. بنابراین، اقدامات امنیتی برای جلوگیری و دفع حملات هکرها امری ضروری محسوب می‌‌شود.
در این مقاله، 10 مورد از بهترین نکات امنیتی را با شما به اشتراک می‌گذاریم که می‌توانید از آن‌ها برای ایمن نگه‌داشتن وب‌سایت وردپرس خود دربرابر حملات سایبری بهره‌مند شوید.

امنیت وردپرس - WordPress Security

1- یک شرکت خوب برای میزبانی وب انتخاب کنید

سرویس میزبانی وردپرس (هاستینگ وردپرس) مهم‌ترین عامل در زمینه امنیت وب‌سایت وردپرسی شما است. ساده‌ترین راه برای ایمن نگه‌داشتن وب‌سایت خود، استفاده از یک میزبانی وب (Web Hosting) است، که ارائه دهنده آن چندین لایه امنیتی را فراهم کند و اقدامات ضروری برای محافظت از سرورهای خود در برابر تهدیدات معمول را انجام ‌دهد.

معمولا نحوه کار یک شرکت میزبانی وب برای محافظت از وب‌سایت‌ها و داده‌های شما، به شرح زیر است:

  • به‌طور مداوم شبکه خود را از نظر فعالیت‌های مشکوک کنترل ‌می‌کنند.
  • نرم‌افزار سرور، نسخه‌های php و سخت‌افزار خود را به‌روز نگه می‌دارند تا از آسیب‌پذیری‌های امنیتی دربرابر هکرها جلوگیری کنند.
  • از راه حل‌های بازیابی اطلاعات استفاده می‌کنند، که به آن‌ها امکان می‌دهد تا از اطلاعات شما دربرابر حوادث و اتفاقات محافظت کنند.
  • ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند.
  • استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر ایمنی را برای وب‌سایت شما فراهم می‌کند. این نوع هاستینگ، سرویس‌های پشتیبان‌گیری (بک‌آپ) و به‌روزرسانی خودکار وردپرس و پیکربندی‌های امنیتی پیشرفته‌تری را برای محافظت از وب‌سایت شما ارائه می‌دهند.

البته استفاده از سرویس CDN مناسب در کنار یک میزبانی وب خوب، می‌تواند به طور قابل توجهی میزان امنیت وب‌سایت وردپرس شما را افزایش دهد. جهت اطلاعلات بیشتر، به “CDN چیست” و “ سرویس امنیتی DDoS Protection اَبر دِراک” مراجعه کنید.

تم رایگان و تم غیر رایگان تفاوت‌های عمده‌ای با هم دارند. تم‌های غیر رایگان وردپرس حرفه‌ای‌تر به نظر می‌رسند و گزینه‌های قابل تنظیم بیشتری نسبت به تم رایگان دارند. در شخصی‌سازی تم‌های حرفه‌ای غیر رایگان هیچ محدودیتی وجود ندارد و به‌روزرسانی‌های منظمی برای این‌گونه تم‌ها ارائه می‌شود. علاوه بر این، اگر مشکلی پیش بیاید، می‌توان از سرویس پشتیبانی آن بهره‌مند شد.

اما، وب‌سایت‌هایی هم هستند که تم‌های رایگان یا تم‌های کرک‌شده ارائه می‌دهند. یک تم کرک شده، درواقع نسخه هک‌شده از تم اصلی و غیر رایگان است، که از طریق روش‌های غیرقانونی در دسترس قرار گرفته است. این‌گونه تم‌ها برای وب‌سایت شما بسیار خطرناک هستند؛ چون بیشتر آن‌ها شامل کدهای مخرب مخفی است، که می‌توانند وب‌سایت و پایگاه داده شما را از بین ببرند.

3- افزونه (پلاگین) امنیتی وردپرس را نصب کنید

wp Install plugin

افزونه‌های امنیتی وردپرس، 7 روز هفته و 24 ساعت شبانه روز وب‌سایت شما را اسکن کرده و وجود بدافزار و حملات مخرب را شناسایی می‌کنند. یکی از بهترین افزونه‌ها،  All in one wp security & Firewall است که بسیار قدرتمند بوده و تمامی موارد لازم برای تأمین امنیت وردپرس را دارد.

4- از رمزعبور (پسورد) قوی استفاده کنید

پسوردها بخش مهمی از امنیت وب‌سایت هستند، که متأسفانه اغلب نادیده گرفته می‌شوند. اگر از یک رمزعبور ساده مثل «123456، abc123، password» استفاده می‌کنید، باید خیلی سریع آن را تغییر دهید. اگرچه به‌خاطر سپردن این پسوردها آسان است، اما حدس زدن آن نیز به همان اندازه راحت است.

wp Password

شما باید از یک رمز عبور پیچیده استفاده کنید، که با ترکیب مختلفی از اعداد، حروف و کاراکترهای خاص مانند ٪ یا ^ تولید شده باشد. انتخاب پسورد پیچیده و مناسب، نه تنها برای بخش مدیریت وردپرس، بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می‌کنند، بسیار ضروری است.

5- ویرایش فایل را غیرفعال کنید

در داشبورد وب‌سایت‌های وردپرس دو مسیر Appearance> Editor و Plugins> Editorوجود دارند که به شما امکان می‌دهد تم و پلاگین خود را ویرایش کنید.

پس از فعال شدن وب‌سایت، توصیه می‌کنیم این ویژگی را غیرفعال کنید. اگر هکرها به پنل مدیریت وردپرس شما دسترسی پیدا کنند، می‌توانند کدهای مخرب و ظریفی را به تم و پلاگین شما تزریق کنند. اغلب اوقات این کدها (Codes) به قدری ظریف هستند که ممکن است اصلا متوجه هیچ تغییری نشوید.

برای غیرفعال کردن ویرایش پلاگین‌ها و فایل تم، کافی است کد زیر را در فایل wp-config.php خود وارد کنید.

define (‘DISALLOW_FILE_EDIT’, true);

6- گواهینامه SSL را نصب کنید

SSL برای هر وب‌سایتی که اطلاعات حساس، مانند گذرواژه (پسورد) یا جزئیات کارت اعتباری را پردازش می‌کنند، اجباری است. بدون گواهینامه SSL، تمام داده‌های بین مرورگر کاربر و سرور وب شما به صورت متن ساده انتقال داده می‌شود، که توسط هکرها قابل خواندن است. با استفاده از گواهی SSL، اطلاعات حساس قبل از انتقال بین مرورگر و سرور شما رمزنگاری می‌شوند، بنابراین، خواندن این اطلاعات توسط هکرها دشوارتر شده و امنیت وب‌سایت شما بیشتر می‌شود..

جهت دریافت گواهینامه SSL رایگان کلیک کنید: دریافت گواهینامه SSL رایگان

7- WP-login URL خود را تغییر دهید

به‌طور پیش‌فرض، آدرس ورود به وردپرس “Yoursite.com/wp-admin” است. اگر این آدرس را تغییر ندهید، شاهد حملات گسترده هکرها خواهید بود! آن‌ها با وارد کردن نام کاربری و رمز عبور به تعداد نامحدود، برای ورود به وب‌سایت شما تلاش می‌کنند. برای جلوگیری از این نوع حمله، می‌توانید URL ورود به سیستم مدیر را تغییر دهید یا یک سوال امنیتی به صفحه ثبت نام و ورود به سیستم اضافه کنید.

WP Login URL

نکته 1: با افزودن یک افزونه احراز هویت دو مرحله‌ای (2FA) به وردپرس می‌توانید از صفحه ورود خود بیشتر محافظت کنید.

نکته 2: می‌توانید بررسی کنید کدام IPها بیشترین تلاش ناموفق برای ورود به سیستم را داشته‌اند، سپس آدرس‌های IP مشکوک را مسدود کنید.

8- تلاش‌های ورود به سیستم را محدود کنید

وردپرس به‌صورت پیش‌فرض به کاربران اجازه می‌دهد که هر زمان بخواهند برای ورود به سیستم تلاش کنند. این کار به هکرها اجازه می‌دهد تا آن‌ها به راحتی حملات brute force را روی سیستم لاگین اجرا کنند.

با محدود کردن تعداد تلاش برای ورود به سیستم (مثلا 3 مرتبه)، افراد می‌توانند تعداد محدودی نام کاربری یا رمز عبور را امتحان کنند، اگر موفق به ورود نشوند، به‌طور موقت مسدود می‌شوند.

این گزینه را می‌توانید با نصب پلاگین در وب‌سایت خود فعال کنید.

9- فایل های wp-config.php  و .htaccess را پنهان کنید

این کار برای امنیت وردپرس لازم است، اما اکیدا توصیه می‌کنیم این گزینه فقط توسط توسعه‌دهندگان باتجربه اجرا شود، چون قبل از پنهان کردن این دو فایل، باید از وب‌سایت خود بک‌آپ بگیرید و سپس با احتیاط ادامه دهید. هر اشتباهی ممکن است وب‌سایت شما را از دسترس خارج کند.

برای این‌کار، کد 1 را در فایل wp-config.php و کد 2 را در فایل .htaccess اضافه کنید:

(1)  <Files wp-config.php>
order allow,deny
deny from all
</Files>

(2) <Files .htaccess>
order allow,deny
deny from all
</Files>

10- نسخه وردپرس خود را به‌روزرسانی کنید

Update WordPress

شرکت وردپرس در هر به‌روزرسانی که از این CMS منتشر می‌کند، تغییرات مهمی در آن ایجاد می‌کند که بیشتر اوقات، شامل به‌روزرسانی ویژگی‌های امنیتی است. با به‌روزرسانی نسخه وردپرس، وب‌سایت شما در برابر خلأهای از پیش تعیین شده و نقاط آسیب‌پذیری (Vulnerability) که هکرها از آن برای دسترسی به وب‌سایت شما انجام می‌دادند، تا حد زیادی ایمن خواهد شد.


امیدواریم با مطالعه و به کار بردن نکات ذکرشده در این مقاله، بتوانید راهکار مناسبی جهت حفظ امنیت وب‌سایت وردپرس خود بیابید و به راحتی و بدون صرف هزینه زیاد، از کسب و کار آنلاین خود محافظت کنید.

منابع: