اقدامات امنیتی برای سایت های وردپرس در سال 1404

در حال حاضر، با افزایش چشمگیر حملات سایبری به سایت‌های وردپرسی — که بیش از ۴۳ درصد وب‌سایت‌های جهان را تشکیل می‌دهند — امنیت دیگر یک گزینه نیست، بلکه یک ضرورت حیاتی است. از نفوذهای SQL Injection و حملات Brute Force گرفته تا افزونه‌های مخرب و ضعف‌های SSL، هر روز هزاران سایت در معرض خطر قرار می‌گیرند.

در این مقاله، به بررسی اقدامات امنیتی کلیدی و به‌روز برای سایت‌های وردپرس در سال ۱۴۰۴ می‌پردازیم تا کسب‌وکار آنلاین شما ایمن بماند. اگر به دنبال یادگیری حرفه‌ای این مهارت‌ها هستید، آموزشگاه طراحی سایت پرتو با دوره‌های تخصصی امنیت وردپرس، شما را برای مقابله با تهدیدات مدرن مجهز می‌کند.

اساتید ما در کلاس آموزش وردپرس، همواره بر این موضوع تاکید دارند که وردپرس در عین آسیب پذیری، تنها با رعایت چند نکته، میتواند بسیار امن و مطمئن گردد. اما چگونه؟ در این مطلب به بررسی بیشتر این موضوع خواهیم پرداخت. با ادامه مطلب همراه باشید …

اقدامات امنیتی اولیه برای سایت های وردپرسی

احتمالا از برخی از نکات امنیتی اولیه برای در امان ماندن سایت خود مطلع هستید مانند اینکه :

• باید رمز عبور سایت خود را “قوی” (ترکیبی از کاراکترهای ویژه، حروف بزرگ، حروف کوچک و عددی) ایجاد کنید.
• نباید “admin” را به عنوان یک نام کاربری استفاده کنید، و لازم است تا رمزهای عبور را بطور دوره ای تغییر دهید.
• برای ورود به سایت خود از ورود دو مرحله ای استفاده میکنید.
• از سایت خود به طور دوره ای بک آپ (نسخه پشتیبان) میگیرید.
• هرگز پلاگین های پولی را به صورت رایگان از منابع ناشناخته دانلود نمیکنید

با این تفاصیر، دیگر چه نکته ای وحود دارد که آن را به کار نمیگیرید؟!

در اینجا ما چند نکته امنیتی وردپرس را با استفاده از تکنیک های شناخته شده اما عمیقا موثر که با استفاده از آن می توانیم از سایت وردپرس خود محافظت کنیم، مورد بحث قرار خواهیم داد.

اقدامات امنیتی حرفه ای برای سایت های وردپرسی

1- صفحه ورود به سیستم خود را تغییر نام دهید.

اقدامات امنتی برای سایت های وردپرسی

صفحه ورود به سایت پیش فرض برای سایت شما “www.websitename.com/wp-login.php” (یا “www.websitename.com/wp-admin”) است.

یکی از راه های محافظت از سایت شما این است که صفحه ورود را مخفی یا مبهم سازید تا هکرها نتوانند به راحتی آن را پیدا کنند. کنترل دسترسی ورود به سیستم با محدود کردن تعداد آزمایشهای ورود به سیستم در هر زمان و فاصله زمانی بین آزمایشهای ورودی نیز امنیت را بهبود می بخشد.

اگر شما Jetpack را نصب کرده اید، می توانید آن را فعال کنید. با استفاده از این ماژول، Jetpack Dashboad با شمار تلاش ورود به سیستم وب سایت شما و محدود کردن تلاش ها، شما را محافظت می کند.

همچنین می توانید لیستی از تعدادی از آدرس های IP را انتخاب کنید. در Jetpack به «تنظیمات» بروید و سپس «محافظت کنید» و سپس «پیکربندی» را ببینید و ببینید چه چیزی شبیه تصویر زیر است.

امنیت در وردپرس

Cerber Security and Limit Login Quest یک افزونه ی جالب برای Jetpack است.

اگر ترجیح می دهید از Jetpack استفاده نکنید، محدود کردن ورود یک گزینه است.

پلاگین Jetpack وردپرس، که توسط Automattic توسعه یافته، تا سال ۲۰۲۵ بیش از ۵ میلیون نصب فعال (active installations) داشته است.

این آمار بر اساس داده‌های رسمی از مخزن پلاگین‌های وردپرس است و نشان‌دهنده محبوبیت بالای آن در میان بیش از ۴۳ درصد سایت‌های جهان که بر پایه وردپرس ساخته شده‌اند، می‌باشد.

با این حال، آمار دقیق کل نصب‌های تجمعی (شامل نصب‌های غیرفعال) به طور عمومی منتشر نمی‌شود و ممکن است بسیار بالاتر باشد.

محدود کردن ورود، برای استفاده آسان است، اما پیکربندی بخش «Hardening» برای کاربران عادی سخت است.

با این کار تمام دسترسی ها به سرور XML-RPC که شامل trackbacks و pingbacks است، به طور پیش فرض مسدود می شود.

اقدامات امنیتی در سایت های وردپرس

2- از میزبان وب مطمئن استفاده نمایید

میزبان وب (Web Hosting) نقش کلیدی در امنیت سایت‌های وردپرسی دارد، چون لایه اول و زیرساختی دفاع در برابر تهدیدات سایبری است.

یک هاستینگ ضعیف می‌تواند حتی بهترین پلاگین‌های امنیتی را بی‌اثر کند، در حالی که میزبان حرفه‌ای، امنیت را از پایه تقویت می‌کند.

در ادامه، چند جنبه مهم توضیح داده شده است:

• فایروال و محافظت از حملات DDoS: میزبان‌های معتبر فایروال‌های سخت‌افزاری و نرم‌افزاری (WAF) دارند که حملات Brute Force، XSS و SQL Injection را پیش از رسیدن به سرور مسدود می‌کنند.
• به‌روزرسانی خودکار PHP و سرور: وردپرس با نسخه‌های قدیمی PHP آسیب‌پذیر است. میزبان‌های تخصصی وردپرس، PHP را به‌روز نگه می‌دارند و از نسخه‌های ناامن (مثل PHP 7.4 در سال ۱۴۰۴) جلوگیری می‌کنند.
• ایزوله‌سازی حساب‌ها : در هاست‌های اشتراکی ارزان، یک سایت هک‌شده می‌تواند کل سرور را آلوده کند. میزبان‌های باکیفیت از فناوری‌هایی مثل CageFS یا CloudLinux برای جداسازی حساب‌ها استفاده می‌کنند.
• پشتیبان‌گیری خودکار و بازیابی سریع: هاست‌های حرفه‌ای روزانه بک‌آپ می‌گیرند و امکان بازیابی با یک کلیک را فراهم می‌کنند — حیاتی برای مقابله با باج‌افزارها یا حذف تصادفی.
• گواهینامه SSL رایگان و اجباری: میزبان خوب SSL را به‌صورت خودکار نصب و تمدید می‌کند و ترافیک را رمزنگاری می‌نماید.
• اسکن بدافزار و مانیتورینگ ۲۴ ساعته: برخی میزبان‌ها اسکن خودکار بدافزار و حذف تهدیدات را ارائه می‌دهند.

جمع‌بندی: حتی اگر از پلاگین‌هایی مثل Wordfence یا Sucuri استفاده کنید، اگر میزبان ضعیف باشد، سایت شما همچنان در معرض خطر است. انتخاب هاست تخصصی وردپرس هزینه بیشتری دارد، اما امنیت، سرعت و پایداری را تضمین می‌کند.

3- به روز بمانید و فقط از پلاگین های به روز استفاده کنید

شما می دانید که شما باید از آنتی ویروس به روز شده و سایر نرم افزارهای مربوط به ضد تروجان برای رایانه خود استفاده کنید. این اقدام احتیاطی برای پلاگین ها و تم ها نیز صورت می گیرد. آنها را به روز نگه دارید و اگر هر گونه تم یا پلاگین در مخزن خود دارید که در حال استفاده نیستید، آنها را حذف کنید.

اگر برای سایت شما مناسب است، تنظیم پلاگین ها و تم های خود را به طور خودکار به روز رسانی کنید.

برای تنظیم به روز رسانی خودکار، کد را در wp-config.php خود قرار دهید. کد زیر برای پلاگین ها زیر است:

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

و برای تم ها، از این کد استفاده کنید:

add_filter( ‘auto_update_theme’, ‘__return_true’ );

اگر بخواهید یک رویکرد دستی برای نگهداری سایت داشته باشید، ممکن است شما به صورت خودکار به روز رسانی وردپرس فکر کنید. توجه داشته باشید، با این حال، تنظیم یک بروزرسانی خودکار ممکن است سایت شما را خراب کند، به ویژه اگر پلاگین ها با آخرین بروزرسانی وردپرس که در سایت شما اجرا می شوند، ناسازگار باشند. برای تنظیم به روز رسانی خودکار برای سایت وردپرس خود، کد زیر را در فایل wp-config.php وارد کنید:

# Enable all core updates, including minor and major:define( ‘WP_AUTO_UPDATE_CORE’, true );

4- ویرایشگر تم افزونه و گزارش خطا PHP را حذف کنید

ویرایشگر داخلی خود را برای پلاگین ها و تم ها غیرفعال کنید، اگر به طور معمول نادیده نگیرید و تنظیمات را تغییر دهید (یا هرگونه تعمیر و نگهداری دیگر را در پلاگین ها و تم ها خود اجرا کنید). این برای امنیت وب سایت شماست.

کاربران مجاز وردپرس به این ویرایشگر دسترسی دارند و سایت شما در صورتی که حساب های آنها هک شده باشند بسیار آسیب پذیر میشود. در حقیقت، هکرها می توانند سایت شما را با اصلاح کدها در آن ویرایشگر کاهش دهند. برای غیرفعال کردن ویرایشگر، کد زیر را در wp-config.php وارد کنید:

define( ‘DISALLOW_FILE_EDIT’, true );

گزارش خطا خوب است. این به شما کمک می کند با عیب یابی مشکل پیام های خطای سرور را شناسایی کنید. هکرها می توانند به مسیر سرور شما نگاه کنند و به راحتی ساختار وب سایت شما را بدست آورند. اگرچه گزارش خطا PHP خوب است، اما بهتر است آن را غیرفعال کنید. از فایل کد wp-config.php زیر استفاده کنید:

error_reporting(0);@ini_set(‘display_errors’, 0);

برای محافظت از پرونده های خاص، از .htaccess استفاده کنید

فایل .htaccess مهم است زیرا این قلب وب سایت وردپرس شماست. این پرونده مسئول ساختار و امنیت سایت شما است. خارج از برچسب های #BEGIN WordPress و #END WordPress، هیچ محدودیتی برای تعداد قطعه های کد وجود ندارد که می توانید در فایل .htaccess به فایل های خود اضافه کنید تا قابلیت مشاهده فایل ها را در داخل دایرکتوری وب سایت خود تغییر دهید.

اگر قبلا انجام نداده اید، فایل wp-config.php را از سایت خود پنهان کنید. این فایل به فعالیت های سایت شما اهمیت می دهد و شامل اطلاعات شخصی شما و سایر اطلاعات مهم مربوط به سایت شما می شود. شما می توانید از کد زیر برای مخفی کردن آن استفاده کنید.

order allow,denydeny from all

برای محدود کردن دسترسی مدیر، به سادگی یک فایل جدید .htaccess ایجاد کنید و آن را به پوشه wp-admin خود آپلود کنید. پس از آن، این کد را وارد کنید:

order deny,allowallow from 192.168.5.1deny from all

آدرس IP خود را در نقطه راست وارد کنید. برای اجازه دسترسی به wp-admin از چندین آدرس IP، لیست آن آدرس های IP را، هر یک از آنها را در یک خط جداگانه، به عنوان آدرسی که به سایت دسترسی خواهد داشت وارد کنید. شما فقط می توانید دسترسی به wp-login.php خود را محدود کنید. فقط این قطعه کد را به .htaccess خود اضافه کنید:

order deny,allow

Deny from all

# allow access from my IP address

allow from 192.168.5.1

اگر شما ترجیح می دهید تمام آدرس های IP را مسدود نکنید، تنها آدرس های IP خاصی که می خواهند به wp-admin یا wp-login.php دسترسی داشته باشند، می توانید آدرس های IP فردی را با استفاده از این کد مسدود کنید:

order allow,denydeny from 456.123.8.9allow from all

شما همچنین می توانید دسترسی مردم را از مشاهده دایرکتوری سایت خود ببندید. شما می توانید از این بخش کد برای انجام این کار استفاده کنید:

Options All -Indexes

نتیجه

این یک راهنمای عملی برای کمک به بهبود امنیت وب سایت وردپرس شما بوده است. مهمترین این گزینه ها بسیار ساده است – یک میزبان با یک شهرت بی نظیر برای امنیت پیدا کنید، زیرا نیمی از امنیت سایت شما بر روی میزبان شما است.

چه نکته امنیتی برای شما مفید بود و چرا؟ آیا شما راهنمایی های امنیتی دیگری دارید که در اینجا لیست نشده اند؟