۲۳ نکته ضروری برای امنیت وردپرس

امنیت در فضای مجازی مسئله مهمی است و مدیران سایت ها همیشه این خطر را پیش روی خود می بینند که سایت شان توسط هکرها مورد حلمه قرار گیرد. بنابراین جهت مقابله با این تهدیدات احتمالی لازم است که اقداماتی را انجام داد. برخی افراد به اشتباه فکر می کنند که اگر از یک سیستم مدیریت محتوا مانند وردپرس استفاده کنند، دیگر نیازی به انجام کاری توسط آنها نبوده و خود سیستم مدیریت محتوا همه کارها را انجام خواهد داد، در حالی که این طرز فکر درست نبوده و امنیت سایت را به خطر می اندازد.

یک طراح وب که از وردپرس در پروژه های خود استفاده می کند، نباید تمام فکرش بر روی استفاده از پوسته ها و افزونه های ایده آل صرف شود، بلکه موارد امنیتی نیز باید در نظر گرفته شود. برای اینکه بتوانید امنیت سایت وردپرسی خود را افزایش دهید به ۲۳ نکته اشاره می کنیم که با رعایت کردن آنها می توانید سایت خود را در مقابل حملات ایمن نگه دارید.

استفاده از هاستینگ مطمئن

how-to-choose-best-web-hosting-for-wordpress-website

با اینکه شما می توانید از وردپرس به صورت رایگان استفاده کنید، اما این اشتباه را نکنید که از هاستینگ های رایگان و یا ارزان قیمت استفاده کنید. وب سایت شما هرچقدر هم که ایمن باشد، اگر از طرف هاست مشکلات امنیتی وجود داشته باشد، سایت شما نیز در معرض خطر قرار خواهد گرفت. بنابراین مطمئن شوید شرکتی که از آن هاست تهیه کرده اید، در مقابل حملات تدابیر امنیتی لازم را اندیشیده باشد.

قبل از نصب افزونه آنها را بررسی کنید

قبل از اینکه اقدام به استفاده از افزونه ای بکنید، به آمار نصب های فعال و امتیاز آن دقت کنید. برخی از افزونه ها به دلیل کدنویسی ضعیف باگ هایی را به وجود می آورند که هکرها از آن طریق می توانند به سایت نفوذ کنند. بنابراین به هنگام استفاده از افزونه ها به خصوص آنهایی که رایگان هستند، به موارد گفته شده دقت کنید و مطمئن شوید که نویسنده آن افزونه فردی مطمئن باشد.
همچنین افزونه های موجود بر روی سایت را به محض انتشار نسخه جدید بروزرسانی کنید، در بروزرسانی هایی که ارائه می شود معمولا مشکلات امنیتی موجود در نسخه قبلی رفع می گردد.

محدود کردن دسترسی

درخصوص به اشتراک گذاری اطلاعات ورود خود مراقب باشید. در صورتی که سایر افراد بتوانند از طریق اطلاعات اکانت شما وارد سایت شوند، مدیریت آنها کاری سخت خواهد بود. بنابراین در صورتی که لازم به فردی مانند نویسنده یا طراح دسترسی بدهید، بهتر است که برای خود آنها به صورت مجزا اکانت با دسترسی های محدود شده ایجاد کنید.

استخدام متخصص

خیلی از کاربران وردپرس افرادی هستند که دانش فنی چندانی ندارند و بیشتر مدیر کسب و کاری بوده و از طریق این سیستم مدیریت محتوا اقدام به راه اندازی وب سایت کرده اند. در حقیقت سادگی وردپرس باعث شده است تا افراد بتوانند به راحتی سایت هایی حرفه ای و با ظاهر مناسب ایجاد کنند، اما وقتی حرف از امنیت به میان می آید بهتر است ریسک نکرده و از یک فرد متخصص کمک بگیرید. این شخص می تواند موارد امنیتی که شما از آنها اطلاعی ندارید را برایتان انجام دهد و از لحاظ امنیت سایت را بهبود بخشد.

تغییر مداوم رمز عبور

remove-password-reset-wordpress

هرچقدر از عمر رمزی که استفاده می کنید بگذرد، کار برای هکرها راحت تر خواهد شد. به عبارتی هکرها با استفاده از نرم افزارهایی تمامی رمزهای عبور را سعی می کنند که بر روی سایت شما امتحان کنند، بنابراین اگر رمز خود را به طور مرتب تغییر ندهید، این احتمال وجود دارد که رمزتان کشف شود. به همین دلیل بهتر است که رمز خود را حداقل دو هفته یکبار تغییر دهید.

استفاده از رمزعبور قدرتمند

تنها تغییر مدام رمز کافی نبوده و باید از رمز عبورهای قدرتمند استفاده کنید. براساس گزارسی که منتشر شده است، کرک کردن رمز عبورهایی که تنها ۶ حرف کوچک دارند برای هکرها ۱۰ دقیقه زمان خواهد گرفت. پس برای اینکه بتوانید رمز عبوری قدرتمند داشته باشید حتما و حتما باید از حروف کوچک و بزرگ، اعداد و علایم استفاده کنید. این کار باعث می شود که هکرها تا ۴۴۵۳۰ سال نتوانند رمز شما را کرک کنند. پس فراموش نکنید که رمز عبور بسیار مهم می باشد.

امنیت سیستم کامپیوتر

همیشه لازم نیست که به طور مستقیم حمله کرد! بله فرد هکر می تواند با استفاده از یک ویروس و تروجان عملیات جاسوسی را بر روی سیستم کامپیوتری شما انجام دهد. به عبارتی در این صورت شخص هکر می تواند تمامی رمزهای عبور شما را بدست آورده و به راحتی سایت شما را هک کند.

بروز نگه داشتن وردپرس

امکان ندارد که کاربر وردپرس باشید و پیغام بروزرسانی را ندیده باشید، مگر اینکه کاربر خیلی خیلی جدید این سیستم مدیریت محتوا باشید. به هرحال بروزنگه داشتن کار بسیار مهمی است. در صورتی که مستندات بروزرسانی های وردپرس را مشاهده کنید می توانید متوجه شوید که در اغلب این بروزرسانی ها موارد امنیتی و باگ های موجود رفع شده است. به همین دلیل اگر دوست ندارید سایتتان باگی (حفره امنیتی) داشته باشد، پس حتما از آخرین نسخه منتشر شده استفاده کنید.

استفاده از نام کاربری واقعی

یکی از راه هایی که می توانید سایت خود را در مقابل دسترسی سایر افراد محفوظ نگه دارید، عدم استفاده از نام کاربری عمومی مانند admin می باشد. از آنجا که نام کاربری مانند admin بیشتر رایج است، هکرها ابتدا کار خود را با هدف قرار دادن این نام کاربری شروع می کنند. بنابراین اگر شما از نام کاربری دیگری استفاده کنید (البته در سایت هم به آن اشاره ای نشود)، هکرها کار سخت تری پیش روی خواهند داشت.

نام کاربری تان را از آدرس URL بردارید

اگر بخواهید که نام کاربری شما را کسی متوجه نشود، بنابراین لازم است که نمایش نام کاربری از آدرس URL صفحه بایگانی نویسنده حذف کنید.

کد امنیتی برای صفحه ورود

کدهای کپچا اذیت کننده هستند، اما برای مقابله با ربات ها بهترین ایده می باشند.

استفاده از ابزارهای آنلاین

همزمان با افزایش خطرهای امنیتی در بستر اینترنت، راه حل هایی نیز برای مقابله با آنها ارائه شده است. تمامی ابزارهای آنلاین کارایی لازم را ندارند، اما برخی از آنها که توانسته اند امتیازهای خوبی بگیرند می توانند در افزایش سطح امنیتی سایت مفید واقع شوند. برای شناسایی ابزارهای کاربردی می توانید بررسی آنها را بخوانید تا از ابزارهای درست استفاده کنید.

مراقب پوسته های رایگان باشید

pinnacle-wordpress-free-theme-1

برخی از پوسته های رایگان با هدف های مختلف منتشر می شوند. در برخی از آنها از کدینگ هایی مانند base64 استفاده می شود که طراح در آن لینک های مخفی به کار می برد و یا کدهای مخرب دیگر را به سایت های استفاده کننده از آن پوسته تزریق می کند.
البته ما نمی گوییم که همه پوسته های رایگان با هدف های نادرست ارائه شده اند، تنها برخی از پوسته ها این چنین می باشند. اما بهتر است همیشه کدهای پوسته ای که استفاده می کنید را خودتان یکبار بررسی کنید.

تهیه نسخه بک آپ

یکی از کارهای مهمی که مدیران سایت ها باید انجام دهند، تهیه نسخه پشتیبان از سایت می باشد. فرض کنید اگر سایت شما توسط هکر مورد نفوذ قرار گرفته باشد و در آن خراب کار کند چه کار می توانید انجام دهید؟ همان طور که خودتان هم می توانید حدس بزنید بک آپ سایت را بازگردانی می کنید. به همین دلیل داشتن بک آپ از اهمیت بالایی برخوردار است.

نسخه های مختلف از بک آپ

ما با اهمیت بک آپ آشنا هستیم اما موردی که وجود دارد، نگه داری از نسخه های مختلف می باشد. در واقع بهترین حالت این است که همیشه آخرین نسخه موجود را بازگردانی کنید. اما اگر شخص هکر از مدت ها پیش به سایت نفوذ کرده باشد و شما متوجه نشده باشید، همان حفره در نسخه بک آپ نیز وجود خواهد داشت. بنابراین اگر شما آخرین بک آپ سایت را هم بازگردانی کنید، هکر به راحتی خرابکارهای خود را ادامه می دهد. در چنین مواقعی بهتر است چندین بک آپ قبلی هم نگه داری شود تا در صورت لزوم بتوان حداقل از آنها استفاده کرد.

مراقب افزونه های امنیتی باشید

در وردپرس برای مقابله با تهدیدات امنیتی افزونه هایی وجود دارند که می توانید با استفاده از آنها سایت خود را ایمن سازی کنید. اما برخی از این افزونه نیاز به تنظیماتی دارند که اگر آنها را به درستی انجام ندهید، نتیجه عکس خواهند داشت. پس بهتر است که این نوع افزونه ها با دقت بیشتری استفاده کنید.

اجتناب از آپلود فایل

در برخی از سایت ها مدیران تصمیم می گیرند که امکانی فراهم کنند تا کاربران بتوانند برای پروفایل خود یا دیدگاه ها فایل آپلود کنند. در صورتی که اینها فایل ها حاوی کدهای مخرب باشند، امنیت سایت با خاطر مواجه خواهد شد.
در صورتی که آپلود فایل توسط کاربران ضروری نمی باشد، بهتر است چنین امکانی اصلا در اختیار آنها قرار نگیرد و یا حداقل توسط یک شخص متخصص دسترسی های امنیتی به درستی تنظیم شده باشند.

غیرفعال کردن مشاهده پوشه ها

بسیاری از افراد به این فکر نمی کنند که باید از پوشه های وردپرس و افزونه ها مراقبت کنند. این کار مثل این است که شب موقع خواب در را قفل نکنید تا دزد به راحتی خانه را خالی کند. معمولا این مورد توسط سیستم راه اندازی وردپرس به گونه ای تنظیم می شود که چنین کاری ممکن نباشد، اما اگر متوجه شدید که می توانید به پوشه ها دسترسی داشته باشید آن موقع باید از طریق فایل .htaccess بر روی پوشه ها و فایل های مهم سایت چنین سطح امنیتی را اعمال کنید.

استفاده از رمزگذاری SSL

header3

سایت های پویا مانند آنهایی که توسط وردپرس راه اندازی شده اند، داده ها را ارسال و دریافت می کنند. بنابراین اگر بر روی این داده ها محافظتی صورت نگیرد، احتمال بازگشت ویروس، کدهای مخرب و فایل های ویروسی وجود دارد.
برای مقابله با این نوع تهدیدات و همچنین افزایش امنیت ارسال و دریافت داده ها بهتر است از گواهی SSL استفاده شود.

اکانت های دیگر را حذف کنید

به دلایل مختلفی ممکن است بر روی سایتتان اکانت هایی وجود داشته باشند که از آنها استفاده ای نمی شود، اما هم چنان بر روی سایت قرار دارند. بهتر است این نوع اکانت ها را حذف کنید.

شناسایی فایل های هک شده

اگر احساس می کنید که فایل های سایتتان هک شده اند، بهتر است که با استفاده از ابزارهای موجود این سوء ظن را برطرف کنید. بدین منظور می توانید از افزونه هایی مانند Sucuri یا Wordfence استفاده کنید که فایل ها و پایگاه داده سایت را اسکن می کنند.

گذاشتن رمز بر روی پوشه مدیریت

پوشه مربوط به مدیریت وردپرس wp-admin است. بر روی این پوشه یک رمز عبور از طریق پنل هاست قرار دهید تا امنیت سایت را در مقابل نفوذهای احتمالی افزایش دهید. در این حالت اگر شخصی بخواهد وارد قسمت مدیریت وردپرس شود در مرحله اول باید یوزر و رمزی که برای پوشه قرار داده اید را رد کند و سپس فرم لاگین وردپرس نمایش داده شود.

تغییر پیشوند پایگاه داده

راه اندازی یک وب سایت وردپرسی کار راحتی است، اما این راحتی می تواند موجب سقوط هم شود. به هنگام راه اندازی وردپرس یکی از اطلاعاتی که پرسیده می شود، پسوند (Prefix) برای جدول های پایگاه داده است که البته لزومی ندارد که خودتان آن را ویرایش کنید، چراکه وردپرس آن را به صورت پیشفرض خودش تکمیل می کند.
خیلی ها این مرحله را نادیده گرفته و با همان مقدار پیشفرض اقدام به نصب وردپرس می کنند که کار شناسایی جدول های پایگاه داده را برای هکر آسان می کند. تغییر پیشوند البته جلوی هکر را نخواهد گرفت اما جلوی حمله های نرم افزاری را حداقل می تواند بگیرد. پس بهتر است که پیشوندی به جزء مقدار پیشفرض را استفاده کنید.

به زودی در این مکان تب زیبا برای لینک های دانلود قرار میگیرد

 

منبع : webnma.com

خشایار توکلی

وب نما با هدف ایجاد یک مرجع کامل در زمینه آموزش وردپرس ، افزونه وردپرس و قالب وردپرس از سال 1394 پا به عرصه وب گذاشت. ما در وب نما سعی می کنیم همواره به نیاز های شما کاربران عزیز در زمینه وردپرس فارسی پاسخ دهیم.قصد داریم به شما کمک کنیم تا سایتی پر قدرت راه اندازی کنید و تبدیل به مشتری همیشگی ما شوید.

اضافه کردن دیدگاه

تماس با ما

جهت تماس با مدیر وب سایت با شماره 09307957745 در تماس باشید یا به این ایمیل webnma.com@gmail.com پیام دهید