اقدامات امنیتی برای سایت های وردپرس در سال 1401

همواره در کلاس آموزش وردپرس ، به شاگردان خود می گویم که وردپرس در عین آسیب پذیری امنیتی ، با رعایت چند نکته مهم ، می توانید بسیار امن و ایمن شود و امروز در مقاله اقدامات امنیتی برای سایت های وردپرس در سال 1401  آموزشگاه کامپیوتر پرتو ، می خواهم مهم ترین نکات امنیتی وردپرس در سال 1401 را با شما در میان بگذارم.با من همراه باشید

اقدامات امنیتی که همین حالا باید برای سایت وردپرسی خود، انجام دهید

شما احتمالا قبلا اقدامات امنیتی واضح را در جهت حفاظت از وب سایت وردپرسی خود میدانید.

احتمالا شما می دانید که باید رمز عبور سایت خود را “قوی” (ترکیبی از کاراکترهای ویژه، حروف بزرگ، حروف کوچک و عددی) ایجاد کنید. شما نباید “admin” را به عنوان یک نام کاربری استفاده کنید، و شما باید رمزهای عبور را اغلب تغییر دهید. احتمالا شما در حال استفاده از احراز هویت دو مرحله ای در سایت وردپرسی خود هستید و از سایت خود بکاپ می گیرید. و شما هرگز پلاگین های پولی را به صورت رایگان از منابع ناشناخته دانلود نمیکنید. پس چه چیز دیگری وجود دارد؟

در اینجا ما چند نکته امنیتی وردپرس را با استفاده از تکنیک های شناخته شده اما عمیقا موثر که با استفاده از آن می توانیم از سایت وردپرس خود محافظت کنیم، مورد بحث قرار خواهیم داد.

  1. صفحه ورود به سیستم خود را تغییر نام دهید.
اقدامات امنتی برای سایت های وردپرسی

اقدامات امنتی برای سایت های وردپرسی

صفحه ورود به سایت پیش فرض برای سایت شما “www.websitename.com/wp-login.php” (یا “www.websitename.com/wp-admin”) است. یکی از راه های محافظت از سایت شما این است که صفحه ورود را مخفی یا مبهم سازید تا هکرها نتوانند به راحتی آن را پیدا کنند. کنترل دسترسی ورود به سیستم با محدود کردن تعداد آزمایشهای ورود به سیستم در هر زمان و فاصله زمانی بین آزمایشهای ورودی نیز امنیت را بهبود می بخشد.

اگر شما Jetpack را نصب کرده اید، می توانید آن را فعال کنید. با استفاده از این ماژول، Jetpack Dashboad با شمار تلاش ورود به سیستم وب سایت شما و محدود کردن تلاش ها، شما را محافظت می کند. شما همچنین می توانید لیستی از تعدادی از آدرس های IP را انتخاب کنید. در Jetpack به «تنظیمات» بروید و سپس «محافظت کنید» و سپس «پیکربندی» را ببینید و ببینید چه چیزی شبیه تصویر زیر است.

امنیت در وردپرس

امنیت در وردپرس

Cerber Security and Limit Login Quest یک افزونه ی جالب برای Jetpack است. اگر ترجیح می دهید از Jetpack استفاده نکنید، محدود کردن ورود یک گزینه است. از تاریخ نوشتن، افزونه بیش از 40،000 بار نصب شده است و دارای یک شهرت تقریبا بی نظیر است که 108 نفر از 111 کاربر آن را پنج ستاره رتبه بندی کرده اند.

محدود کردن ورود، برای استفاده آسان است، اما پیکربندی بخش «Hardening» برای کاربران عادی سخت است. با این کار تمام دسترسی ها به سرور XML-RPC که شامل trackbacks و pingbacks است، به طور پیش فرض مسدود می شود.

امنیت در وردپرس

اقدامات امنیتی در سایت های وردپرس

2- کدام میزبان امن است؟

از آنجائیکه 40 درصد از نقص امنیتی سایت های وردپرس از طرف میزبان و نه سایت به وجود می آید، این بدیهی است که مطمئن شوید میزبان شما امن است. در حقیقت، میزبان مهمترین تاثیر را در هنگام امنیت می گذارد. فقط 8 درصد از هک ها به علت گذرواژه های ضعیف، بیست و نه درصد به علت تم و بیست و دو درصد به دلیل پلاگین ها رخ می دهد. بنابراین حدود نیمی از ایمنی سایت شما به میزبانی بستگی دارد.

در صورت استفاده از میزبانی وب، اطمینان حاصل کنید که حساب شما سرویس های اشتراکی نباشد. اگر حساب کاربری شما اشتراکی نباشد، از هر آنچه در وب سایت های دیگر اتفاق می افتد محافظت می شوید. با این حال، بهتر است که از یک سرویس استفاده کنید که با استفاده از وردپرس طراحی شده است. چنین خدماتی عبارتند از: فایروال وردپرس، محافظت در برابر حمله بدافزاری، به روز رسانی MySQL و پی اچ پی، سرور اختصاصی وردپرس و سرویس مشتری وردپرس.

به روز بمانید و فقط از پلاگین های به روز استفاده کنید

شما می دانید که شما باید از آنتی ویروس به روز شده و سایر نرم افزارهای مربوط به ضد تروجان برای رایانه خود استفاده کنید. این اقدام احتیاطی برای پلاگین ها و تم ها نیز صورت می گیرد. آنها را به روز نگه دارید و اگر هر گونه تم یا پلاگین در مخزن خود دارید که در حال استفاده نیستید، آنها را حذف کنید. اگر برای سایت شما مناسب است، تنظیم پلاگین ها و تم های خود را به طور خودکار به روز رسانی کنید. برای تنظیم به روز رسانی خودکار، کد را در wp-config.php خود قرار دهید. کد زیر برای پلاگین ها زیر است:

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

و برای تم ها، از این کد استفاده کنید:

add_filter( ‘auto_update_theme’, ‘__return_true’ );

اگر بخواهید یک رویکرد دستی برای نگهداری سایت داشته باشید، ممکن است شما به صورت خودکار به روز رسانی وردپرس فکر کنید. توجه داشته باشید، با این حال، تنظیم یک بروزرسانی خودکار ممکن است سایت شما را خراب کند، به ویژه اگر پلاگین ها با آخرین بروزرسانی وردپرس که در سایت شما اجرا می شوند، ناسازگار باشند. برای تنظیم به روز رسانی خودکار برای سایت وردپرس خود، کد زیر را در فایل wp-config.php وارد کنید:

# Enable all core updates, including minor and major:define( ‘WP_AUTO_UPDATE_CORE’, true );

4- ویرایشگر تم افزونه و گزارش خطا PHP را حذف کنید

ویرایشگر داخلی خود را برای پلاگین ها و تم ها غیرفعال کنید، اگر به طور معمول نادیده نگیرید و تنظیمات را تغییر دهید (یا هرگونه تعمیر و نگهداری دیگر را در پلاگین ها و تم ها خود اجرا کنید). این برای امنیت وب سایت شماست.

کاربران مجاز وردپرس به این ویرایشگر دسترسی دارند و سایت شما در صورتی که حساب های آنها هک شده باشند بسیار آسیب پذیر میشود. در حقیقت، هکرها می توانند سایت شما را با اصلاح کدها در آن ویرایشگر کاهش دهند. برای غیرفعال کردن ویرایشگر، کد زیر را در wp-config.php وارد کنید:

define( ‘DISALLOW_FILE_EDIT’, true );

گزارش خطا خوب است. این به شما کمک می کند با عیب یابی مشکل پیام های خطای سرور را شناسایی کنید. هکرها می توانند به مسیر سرور شما نگاه کنند و به راحتی ساختار وب سایت شما را بدست آورند. اگرچه گزارش خطا PHP خوب است، اما بهتر است آن را غیرفعال کنید. از فایل کد wp-config.php زیر استفاده کنید:

error_reporting(0);@ini_set(‘display_errors’, 0);

برای محافظت از پرونده های خاص، از .htaccess استفاده کنید

فایل .htaccess مهم است زیرا این قلب وب سایت وردپرس شماست. این پرونده مسئول ساختار و امنیت سایت شما است. خارج از برچسب های #BEGIN WordPress و #END WordPress، هیچ محدودیتی برای تعداد قطعه های کد وجود ندارد که می توانید در فایل .htaccess به فایل های خود اضافه کنید تا قابلیت مشاهده فایل ها را در داخل دایرکتوری وب سایت خود تغییر دهید.

اگر قبلا انجام نداده اید، فایل wp-config.php را از سایت خود پنهان کنید. این فایل به فعالیت های سایت شما اهمیت می دهد و شامل اطلاعات شخصی شما و سایر اطلاعات مهم مربوط به سایت شما می شود. شما می توانید از کد زیر برای مخفی کردن آن استفاده کنید.

order allow,denydeny from all

برای محدود کردن دسترسی مدیر، به سادگی یک فایل جدید .htaccess ایجاد کنید و آن را به پوشه wp-admin خود آپلود کنید. پس از آن، این کد را وارد کنید:

order deny,allowallow from 192.168.5.1deny from all

آدرس IP خود را در نقطه راست وارد کنید. برای اجازه دسترسی به wp-admin از چندین آدرس IP، لیست آن آدرس های IP را، هر یک از آنها را در یک خط جداگانه، به عنوان آدرسی که به سایت دسترسی خواهد داشت وارد کنید. شما فقط می توانید دسترسی به wp-login.php خود را محدود کنید. فقط این قطعه کد را به .htaccess خود اضافه کنید:

order deny,allow

Deny from all

# allow access from my IP address

allow from 192.168.5.1

اگر شما ترجیح می دهید تمام آدرس های IP را مسدود نکنید، تنها آدرس های IP خاصی که می خواهند به wp-admin یا wp-login.php دسترسی داشته باشند، می توانید آدرس های IP فردی را با استفاده از این کد مسدود کنید:

order allow,denydeny from 456.123.8.9allow from all

شما همچنین می توانید دسترسی مردم را از مشاهده دایرکتوری سایت خود ببندید. شما می توانید از این بخش کد برای انجام این کار استفاده کنید:

Options All -Indexes

نتیجه

این یک راهنمای عملی برای کمک به بهبود امنیت وب سایت وردپرس شما بوده است. مهمترین این گزینه ها بسیار ساده است – یک میزبان با یک شهرت بی نظیر برای امنیت پیدا کنید، زیرا نیمی از امنیت سایت شما بر روی میزبان شما است.

چه نکته امنیتی برای شما مفید بود و چرا؟ آیا شما راهنمایی های امنیتی دیگری دارید که در اینجا لیست نشده اند؟