15 روش افزایش امنیت سایت وردپرس

1- به روز نگه داشتن نرم افزار

شایع ترین مقصر هک شدن وب سایت وردپرس به دلیل به روز نبودن یا قدیمی بودن یک جزء یا مؤلفه است. پلاگین ها، تم ها و هسته های قدیمی، پورتال را برای یک سایت بالقوه هک شده باز می کنند. هنگامی که به روزرسانی نمی شوند، این فایل های قدیمی قابل ردیابی هستند و سایت شما را به هدف مهاجمان خارجی تبدیل می کنند.

در واقع، در یک مطالعه، 54 درصد از آسیب پذیری های امنیتی وردپرس مربوط به افزونه های قدیمی وردپرس است. هسته قدیمی وردپرس 37 درصد از آسیب پذیری ها و قالب های قدیمی وردپرس 11 درصد از آسیب پذیری ها را تشکیل می دهند.

حصول اطمینان از به روز بودن سایت وردپرس شما ساده است. وقتی یک اعلان نارنجی در داشبورد وردپرس خود در کنار پلاگین ها، تم ها یا یک اعلان برای ارتقا وردپرس می بینید، در اسرع وقت به روز رسانی کنید!

اگر سایت شما با WP Engineمیزبانی می شود، ما به طور خودکار این به روزرسانی های اصلی وردپرس را برای شما اجرا می کنیم، اگرچه برای محافظت از وب سایت خود در برابر بدافزارها، باید مراقب تم ها و افزونه ها باشید تا آنها را به روزرسانی کنید.

نحوه پیکربندی به روز رسانی خودکار:

اگر ترجیح می دهید این کار را به صورت دستی انجام ندهید، می توانید به روز رسانی های خودکار را پیکربندی کنید. برای ارتقا خودکار هسته وردپرس، این کد را در فایل wp-config.php خود وارد کنید:

define(‘WP_AUTO_UPDATE_CORE’, true);

برای افزونه ها:

add_filter(‘auto_update_plugin’, ‘__return_true’);

برایتم ها:

add_filter(‘auto_update_theme’, ‘__return_true’);

2- از نصب پلاگین ها و تم های وردپرس غیرقابل اعتماد خودداری کنید

در WordPress.org، بخش های «popular» و «featured» فهرست افزونه ها، مکان خوبی برای شروع جستجوی افزونه های مطمئن هستند. میهن سرویس ارائه دهنده هاست وردپرس با کیفیت است.

برای تشخیص اینکه آیا یکتم یا افزونه قابل اعتماد است یا خیر، ابتدا رتبه بندی آن را بخوانید. در آنجا می توانید سرنخ هایی را پیدا کنید که آیا در گذشته نقض های امنیتی یا مشکلاتی مانند به روزرسانی های باگ وجود داشته است یا خیر.

همچنین می توانید بررسی کنید که آخرین بار چه زمانی یک افزونه/موضوع به روزرسانی شده است. اگر یک افزونه یا طرح زمینه در مدتی (مثلاً سال ها) به روزرسانی دریافت نکرده باشد، غیرفعال بودن آن افزونه/موضوع نشانه ای است که باید در جای دیگری جستجو کنید.

علاوه بر این، تجزیه و تحلیل محبوبیت یک افزونه یا تم راه دیگری برای اطمینان از اینکه کد مخرب را در سایت وردپرس خود نصب نمی کنید، بهتر است.

پلاگین یا موضوعی که به طور گسترده ای محبوب است، لزوماً کمتر مورد هدف هکرها نیست، اما به دلیل استفاده گسترده از آن، به احتمال زیاد به طور منظم با وصله های امنیتی به روز می شود.

3- حذف پلاگین ها و تم های بلااستفاده را فراموش نکنید

با گذشت زمان، سایت وردپرس شما نیاز به نظافت دارد.

همانطور که شروع به جمع آوری تم ها و افزونه ها می کنید، باید مواردی را که دیگر استفاده نمی کنید را مرور کنید و آنها را دور بریزید. خلاص شدن از شر شلوغی های غیر ضروری احتمالاً باعث می شود سایت شما سریعتر اجرا شود و همچنین آسیب پذیری های امنیتی را از افزونه های راکد یا قدیمی که ممکن است فراموش کرده باشید حذف کند.

اگر از چند سایت فروشگاهی وردپرس استفاده می کنید، سعی کنید از افزونه ای مانند وضعیت فعال سازی پلاگین برای انجام ممیزی افزونه و شناسایی افزونه های استفاده نشده در تمام سایت های شبکه چند سایتی استفاده کنید.

برای اطلاعات بیشتر در مورد نحوه حذف افزونه ها و تم های استفاده نشده به کدکس خانه داری وردپرس مراجعه کنید.

4- یک افزونه امنیتی وردپرس را نصب کنید

نصب پلاگین امنیتی وردپرس در مورد افزایش امنیت سایت شما کار بیهوده ای است. برای فعال تر شدن در برابر تهدیدات امنیتی، سعی کنید افزونه ای مانند یکی از اینها را نصب کنید تا هر گونه آسیب پذیری امنیتی را به حداقل برسانید.

(اگر مشتری WP Engine هستید، حتماً لیست افزونه های غیر مجاز ما را بررسی کنید زیرا چند افزونه امنیتی وردپرس وجود دارد که قبلاً برای شما نصب کرده ایم.)

• امنیت Sucuri

• امنیت iThemes

• امنیت Bulletproof

5- به طور منظم از سایت وردپرس خود نسخه پشتیبان تهیه کنید

WP Engine پشتیبان گیری روزانه از سایت و بازیابی با یک کلیک را ارائه می دهد تا بتوانید با اطلاع از ایمن بودن کارتان، آسوده خاطر باشید.

حتی اگر اقدامات احتیاطی امنیتی فوق را انجام دهید (و موارد ذکر شده بعد از آن) همیشه باید از سایت وردپرس خود نسخه پشتیبان تهیه کنید.

همانطور که این دستورالعمل ها توسط وردپرس داده شده است، تهیه نسخه پشتیبان از سایت وردپرس شما بسیار آسان است. یا می توانید افزونه ای مانند BackupBuddy را امتحان کنید.

اگر این چیزی است که ترجیح می دهید نگران آن نباشید، WP Engine هر روز پشتیبان گیری خودکار را برای شما انجام می دهد. اگر ممکن است سایت خود را به دلیل تهاجم خارجی از دست بدهید به این ترتیب شما می توانید به سایت اصلی خود بازگردید.

6- رمز عبور و نام کاربری قوی را استفاده کنید

همه ما در استفاده از رمز عبوری که به خاطر سپردن آن ساده است مقصریم. اما استفاده از یک رمز عبور آسان، مثلاً رمزی که حاوی سال تولد شما باشد، شکستن کد را با استفاده از اسکریپت های خودکار برات فورس برای هکرها آسان تر می کند، که به طور مداوم سعی می کنند رمز عبور و نام کاربری شما را بارها و بارها حدس بزنند.

برای اطمینان از اینکه رمز عبور شما به اندازه کافی قوی و ایمن است، از ابزاری مانند Strong Password Generator (تولید کننده پسورد قوی) یا Strong Random Password Generator (تولید کننده پسورد تصادفی قوی) استفاده کنید.

همچنین باید سایر کاربران سایت خود را مجبور به استفاده از رمز عبور قوی کنید. شما می توانید از یک افزونه وردپرس مانند Force Strong Passwords برای اعمال رمزهای عبور قوی استفاده کنید. (اگر مشتری WP Engine هستید، ما به طور خودکار این افزونه را برای شما نصب می کنیم.)

7- از احراز هویت دو مرحله ای (2FA) استفاده کنید

فعال کردن 2FA یک لایه امنیتی اضافی به بخش ورود شما اضافه می کند. 2FA با نیاز به فاکتور دوم اطلاعاتی که فقط شما می توانید ارائه دهید، کار می کند، مانند کدی که برای تأیید فعالیت شما در یک رایانه خاص به تلفن شما ارسال می شود.

به این ترتیب، اگر مهاجم از طریق دستگاه دیگری وارد سیستم شود، دزدیدن اطلاعات شما دشوارتر است.

در اینجا چند افزونه وردپرس وجود دارد که می توانید برای 2FA استفاده کنید:

• گوگل اوزونتیکیتور

• احراز هویت دو مرحله ای Duo

• احراز هویت دو عاملی

• clef

• Authy

• Rubion 2FA

(مشتریان WP Engine می توانند احراز هویت دو مرحله ای را از طریق پورتال کاربر پیاده سازی کنند.)

8- نام کاربری "ادمین" را تغییر دهید یا حذف کنید

به طور پیش فرض، وردپرس به حساب دامنه اصلی نام کاربری «admin» می دهد. گذاشتن نام کاربری به عنوان "admin" یک تهدید امنیتی فوری برای سایت شما است. اگر مهاجمی بخواهد کد را بشکند، نیمی از معما حل شده است و تنها چیزی که برای حدس زدن باقی مانده رمز عبور شماست.

حذف یا تغییر نام کاربری “admin” قدم بعدی برای بهبود امنیت سایت است. برای انجام این کار، کافی است به بخش “users” پنل مدیریت وردپرس بروید و نام کاربری یا نام کاربری “admin” را تغییر یا حذف کنید.

WP Engine اجازه استفاده از نام کاربری "admin" را نمی دهد و به طور خودکار آن را برای شما حذف می کند و نام "حساب wpengine" را جایگزین نام مدیر می کند. این حساب توسط تیم پشتیبانی ما استفاده می شود. ما پیکربندی های ویژه ای را برای جلوگیری از حملات به حساب کاربری "wpengine" به طور خاص پیاده سازی می کنیم.

9-محدودیت تلاش برای ورود

وردپرس محدودیتی برای چند بار حدس زدن رمز ورود برای ورود ندارد. این یک مشکل است زیرا هکرهای مصمم تسلیم نمی شوند.

به عنوان مثال، یک هکر می تواند از یک اسکریپت برای وارد کردن ترکیب های رمز عبور مختلف (به نام حملات برات فورس) استفاده کند تا زمانی که کد را بشکند.

برای حل این مشکل، باید تلاش برای ورود به سیستم را محدود کنید. در اینجا چند افزونه ساخته شده برای محدود کردن ورود وجود دارد:

• قفل ورود

• محدود کردن تلاش برای ورود

• حفاظت جت بک

برای جلوگیری از قفل شدن مشتریان یا کارمندان فراموشکار، می توانید آدرس های IP خاصی را نیز در لیست سفید قرار دهید (Jetpack Protect برای این کار عالی است).

اگر از WP Engine استفاده می کنید، ما امنیت اختصاصی را نیز در پلتفرم خود ایجاد کرده ایم تا به محدود کردن تلاش های ورود به سیستم کمک کنیم.

10-پایش حملات ورودی

ثبت حملات امنیتی دریافتی بسیار مهم است تا از آنچه در داخل نصب WP خود می گذرد آگاه باشید. در اینجا چند ابزار وجود دارد که می تواند به شما در نظارت بر بدافزار کمک کند:

• securitySucuri

• WP Security Audit Log

دریافت بینش در مورد آنچه در نصب وردپرس شما اتفاق می افتد از طریق ابزار اسکن بدافزار وب سایت، ایده خوبی برای امنیت بیشتر و تشخیص آسان تر مشکلاتی است که ممکن است ایجاد شود.

11- از SSL استفاده کنید

 فعال کردن SSL گام مهم بعدی برای یک سایت امن تر است. SSL (لایه سوکت های امن) تمام اطلاعات ارسال شده به و از سایت شما را رمزگذاری می کند. به این ترتیب داده های خصوصی که بازدیدکنندگان با سایت شما به اشتراک می گذارند، خصوصی می ماند.

استفاده از SSL تضمین می کند که هکرها نمی توانند داده هایی را که کاربران شما در سایت شما به اشتراک می گذارند ببینند یا رهگیری کنند. تونل امنی که SSL ایجاد می کند به ویژه در مورد اطلاعات حساس مانند شماره کارت اعتباری، نام کاربری و رمز عبور مهم است.

تشخیص اینکه آیا یک سایت دارای گواهینامه SSL است یا خیر ساده است. یک سایت دارای گواهی SSL با یک HTTPS در آدرس URL شروع می شود، در حالی که سایتی که دارای گواهی SSL نیست با HTTP شروع می شود.

گواهی SSL به مرورگر کاربر کمک می کند تا تأیید کند که نه تنها به یک وب سایت فروشگاهی امن دسترسی دارد، بلکه گواهی نیز واقعی است و به دامنه/وب سایتی که کاربر درخواست کرده است، مرتبط است.

این امر به ویژه مهم است زیرا گوگل کروم اکنون شروع به صدور هشدارهای "غیر ایمن" برای سایت های سطح بالا که از طریق HTTPS ایمن نیستند، کرده است.

با WP Engine، همه مشتریان تشویق می شوند تا گواهینامه SSL رایگان را با Let’s Encrypt دریافت کنند.

12- نسخه وردپرس خود را مخفی کنید

اگر به روزرسانی وردپرس را به تعویق می اندازید، باید نسخه وردپرس خود را مخفی کنید زیرا ردپایی از خود به جای می گذارد و اطلاعات مفیدی را در مورد سایت فروشگاه شما به هکر می دهد.

سه منطقه وجود دارد که شماره نسخه وردپرس شما پنهان می شود:

1. متا تگ ژنراتور در هدر:

2. رشته های پرس و جو در اسکریپت ها و استایل ها:

3. تگ ژنراتور در فیدهای RSS:

برای خلاص شدن از شر شماره نسخه وردپرس خود در هر سه قسمت، این کد را به فایل functions.php خود اضافه کنید:

علاوه بر این، باید مطمئن شوید که فایل readme.html شما از نصب شما حذف شده است، زیرا شماره نسخه شما را فاش می کند.

در WP Engine ما از دسترسی به این فایل در پلتفرم خود جلوگیری می کنیم تا انگشت نگاری نسخه های وردپرس را دشوارتر کنیم.

13- تغییر مکان یا تغییر نام صفحه ورود

برای اینکه سایت خود را ایمن تر کنید، تغییر مکان صفحه ورود به سیستم ارزش تلاش را دارد. نه تنها این واقعیت را پنهان می کند که شما در وردپرس هستید، بلکه حملات برات فورس را در صفحه ورود شما محدود می کند.

اگر شخصی در تلاش بود تا سایت وردپرس شما را هک کند و با ورود به صفحه ورود شما، مثلاً www.mysite.com/wp-login.php، با خطای 404 مواجه شد، احتمالاً از نفوذ منصرف می شود.

سعی کنید از افزونه ای مانند تغییر نام wp-login.php، Move Login یا iThemes Security برای کمک به جابجایی یا تغییر نام صفحه ورود خود استفاده کنید. اما قبل از اینکه این اقدام را انجام دهید، حتماً با میزبان یا توسعه دهنده وب خود صحبت کنید تا مطمئن شوید مراحلی که انجام می دهید صحیح است.

14- فایل WP-Config را ایمن کنید

فایل wp-config حاوی جزئیات پیکربندی پایه وب سایت شما، مانند اطلاعات اتصال پایگاه داده است. برای محافظت از فایل wp-config.php خود در برابر نفوذ، کد زیر را به فایل htaccess. خود اضافه کنید تا از دسترسی هر کسی که در آن نفوذ می کند جلوگیری کنید:

15- از یک محیط هاستینگ امن استفاده کنید

شما می توانید تمام اقدامات امنیتی بالا را دنبال کنید، با این حال، اگر در یک ارائه دهنده هاست امن سرمایه گذاری نکنید، این تلاش ها بیهوده است.

هاستینگ امن با WP Engine بسیاری از وظایف فوق (پشتیبان گیری روزانه، 2FA و غیره) را با فناوری امنیتی اختصاصی خود برطرف می کند.

در اینجا فقط برخی از مزایای امنیتی زیرساخت درجه سازمانی WP Engine وجود دارد:

به روز رسانی خودکار نسخه های جدید وردپرس

به محض انتشار نسخه جدید وردپرس، ما به طور خودکار سایت فروشگاه شما را برای شما ارتقا می دهیم تا حاوی آخرین وصله های امنیتی باشد.

مسدود کردن هک های احتمالی در صورت وقوع

پلت فرم ما شامل تشخیص تهدید امنیتی در زمان واقعی است. ما فن آوری برای مسدود کردن حتی پیچیده ترین هک ها، مانند تزریق جاوا اسکریپت/SQL و حملات XML-RPC، همراه با انواع DDoS و حملات برات فورس را داریم. این فناوری همچنین آدرس های IP شناسایی شده به عنوان متعلق به هرزنامه ها یا هکرها را مسدود می کند.

فناوری با عملکرد بالا و ایمن

ایمن سازی محیط وب نیاز به پیکربندی مناسب سرور دارد. پشته نرم افزار ما شامل مقرراتی برای اطمینان از عملکرد بهینه وردپرس، از جمله محدودیت های نوشتن دیسک و محافظت در برابر اسکریپت هایی است که حاوی آسیب پذیری هستند.

ما همچنین تنظیم سایت PHP را پیاده سازی می کنیم تا دستورات خطرناک یا ناامن را مجاز نکنیم.

آیا سایت هک شده است؟ ما آن را به صورت رایگان تعمیر خواهیم کرد

در حالی که برخی از مشاوران برای تعمیر یک سایت هک شده هزاران هزینه دریافت می کنند، در صورتی که سایت شما به خطر بیفتد، ما آن را بدون هزینه اضافی برای شما تعمیر می کنیم.