چک لیست امنیت وردپرس؛ ۵ نکته طلایی در یک نگاه

امنیت وردپرس برای سایتتان مثل یک قفل بزرگ هوشمند است که با هیچ کلیدی نمی‌توان آن را باز کرد. وردپرس به‌عنوان یک پلتفرم محبوب، علاوه‌بر کاربران، مجرمان سایبری را نیز جذب می‌کند. البته این قضیه به‌معنای امن نبودن وردپرس نیست. بلکه ممکن است آسیب‌‌پذیری‌های قرمز وردپرس سرِ سبز سایتتان را به باد دهد. با چند راهکار ساده می‌توانید سایتتان را از هر نفوذ غیرمجازی نجات دهید. با خواندن این مقاله از آموزش وردپرس بلاگ پارس پک، در انتها خواهید دانست چه اقدامات امنیتی برای افزایش امنیت سایت وردپرسی تان انجام دهید.

امنیت وردپرس چگونه است؟

وردپرس محبوب به‌صورت معمول به‌عنوان یکی از امن‌ترین سیستم‌های مدیریت محتوا شناخته شده است. بااین‌حال، محبوبیت آن ممکن است حتی هکرها و مهاجمان را نیز به سمت خود بکشاند تا ازطریق آسیب‌‌پذیری‌های افزونه یا قالب، امنیت وردپرس را به چالش بکشند.

طبق گزارش شرکت امنیتی Wordfence، در سال گذشته بیش از ۱۸.۵ میلیارد درخواست حمله به رمز عبور وب‌سایت‌های وردپرس مسدود شده است. این آمار نشان می‌دهد در هر ثانیه، بیش از ۵۰ هزار درخواست حمله به رمز عبور وب‌سایت‌های وردپرس انجام می‌شود! هنوز خبر بد ادامه دارد! طبق آمار، از هر ۱۰ سایتی که مورد حمله قرار می‌گیرند، ۸ سایت دچار آسیب‌‌پذیری با ریسک بالا یا متوسط می‌شوند. این آسیب‌پذیری‌ها را به‌طور کامل در مقاله «گزارش آسیب‌پذیری‌های وردپرس» معرفی کردیم. برای آشنایی با آسیب‌‌پذیری‌های وردپرس می‌توانید این مقاله را مطالعه کنید.

پیش از اینکه با خواندن این آمار، سایت وردپرسی‌تان را به‌طور کامل پاک کنید، درنظر بگیرید این موارد تقصیر وردپرس نیست. وردپرس نیز تلاش خود را کرده تا با ارائه افزونه‌های امنیتی جلوی این حملات را بگیرد. حملات سایبری ممکن است باعث از دست رفتن داده‌ها، خسارات مالی و حتی از بین رفتن وب‌سایت شما شوند. بنابراین، مهم است که اقدامات لازم را برای افزایش امنیت سایت وردپرسی خود انجام دهید. درادامه، خواهیم گفت چگونه یک چک لیست امنیتی برای بالا بردن امنیت وردپرس دراختیار داشته باشید.

افزایش امنیت وردپرس مثل پوشیدن یک لباس ضدگلوله وسط میدان جنگ است. جنگی که هکرها برای نفوذ به سایتتان به راه انداختند.

چک لیست امنیت وردپرس

در این مقاله، ۵ راهکار برای افزایش امنیت وردپرس ارائه کردیم. با این حال، انجام این موارد برای ایمن‌سازی و امنیت وردپرس کافی نیست. برای راحتی کارتان، در تصویر زیر یک چک لیست امنیتی وردپرس آماده کردیم که با نگاه به آن خواهید فهمید چه اقداماتی نیاز است انجام دهید.

آموزش افزایش امنیت سایت وردپرسی با ۵ راهکار کاربردی

در این قسمت، می‌خواهیم ۵ راهکار عمومی و ساده برای افزایش امنیت وردپرس به شما معرفی کنیم که به هیچ دانش تخصصی فنی نیاز ندارد؛ بنابراین حتی اگر یک تازه‌کار باشید، با انجام این اقدامات می‌توانید امنیت سایت وردپرسی خود را تامین کنید. البته این ۵ راه کافی نیست و نیاز است تمام اقدامات امنیتی چک لیست بالا را درنظر بگیرید.

۱. افزایش امنیت وردپرس با افزونه‌ WordPress ReCaptcha Integration

افزونه WordPress ReCaptcha Integration یک افزونه رایگان وردپرس است که از Google reCAPTCHA برای افزایش امنیت سایت وردپرسی شما استفاده می‌کند. reCAPTCHA یک سرویس رایگان از Google است که بااستفاده از هوش مصنوعی ربات‌ یا انسان بودن کاربران را تشخیص می‌دهد.

نحوه نصب و فعال‌سازی افزونه WordPress ReCaptcha Integration

۱. افزونه WordPress ReCaptcha Integration را از مخزن وردپرس دانلود و نصب کنید.

۲. به کنسول مدیریت Google reCAPTCHA ازطریق لینک زیر بروید و فرم ثبت‌نام API reCAPTCHA را پر کنید.

https://www.google.com/recaptcha/admin/create

۳. پس از پر کردن فرم، دکمه Send را بزنید. در صفحه بعد به شما یک Site Key و Secret Key به شما داده می‌شود.

۴. هر دو مقداری که در مرحله قبل به شما داده شد، در قسمت تنظیمات افزونه وارد کنید.

۵. درنهایت، تنظیمات را ذخیره کنید. پس از اینکه ترافیک قابل توجهی به سایتتان وارد شود، تجزیه و تحلیل مربوط به این افزونه را مشاهده خواهید کرد.

۶. پس از نصب، نیاز است تنظیمات مربوط به افزونه را برای امنیت وردپرس پیکربندی کنید. در بخش General افزونه می‌توانید گزینه‌های مختلف را تنظیم کنید. برای مثال، اگر می‌خواهید برای کاربران هنگام ورود reCAPTCH فعال باشد، گزینه Login Form را بزنید.

در حالت ایدئال برای افزایش امنیت وردپرس بهتر است این افزونه را برای تمام فرم‌های سایت استفاده کنید.

۲. افزایش امنیت سایت وردپرسی با فعال کردن کلیدهای امنیتی

کلیدهای امنیتی وردپرس، مجموعه‌ای از داده‌های تصادفی هستند که برای محافظت از وب‌سایت شما در برابر حملات سایبری استفاده می‌شوند. این کلیدها در فایل wp-config.php ذخیره شده و برای ایجاد رمزهای عبور یکبار مصرف (OTP) به‌کار می‌روند. OTPها برای افزایش امنیت وردپرس و احراز هویت کاربران در هنگام ورود به پیشخوان وردپرس استفاده می‌شوند. برای فعال‌سازی کلیدهای امنیتی به‌صورت زیر اقدام کنید:

۱. از طریق پنل هاستینگ خود به پوشه public_html بروید.

۲. فایل wp-config.php را باز کنید.

۳. کد زیر را در فایل wp-config.php وارد کنید

define('AUTH_KEY', '<strong>YOUR_AUTH_KEY</strong>');

define('SECURE_AUTH_KEY', '<strong>YOUR_SECURE_AUTH_KEY</strong>');

define('LOGGED_IN_KEY', '<strong>YOUR_LOGGED_IN_KEY</strong>');

define('NONCE_KEY', '<strong>YOUR_NONCE_KEY</strong>');

define('AUTH_SALT', '<strong>YOUR_AUTH_SALT</strong>');

define('SECURE_AUTH_SALT', '<strong>YOUR_SECURE_AUTH_SALT</strong>');

define('LOGGED_IN_SALT', '<strong>YOUR_LOGGED_IN_SALT</strong>');

define('NONCE_SALT', '<strong>YOUR_NONCE_SALT</strong>');

برای ایجاد کلیدهای امنیتی می‌توانید از یک افزونه امنیتی وردپرس مانند iThemes Security یا Wordfence استفاده کنید. این افزونه‌ها به شما امکان می‌دهند کلیدهای امنیتی خود را به صورت خودکار ایجاد کنید. همچنین می‌توانید از سایت‌ و ابزار آنلاین برای ایجاد کلیدهای امنیتی استفاده کنید. سپس آن‌ها را با مقادیر زیر جایگزین کنید:

YOUR_AUTH_KEY، YOUR_SECURE_AUTH_KEY
 YOUR_LOGGED_IN_KEY YOUR_NONCE_KEY
 YOUR_AUTH_SALT، YOUR_SECURE_AUTH_SALT
YOUR_LOGGED_IN_SALT
 YOUR_NONCE_SALT

۴. فایل wp-config.php را ذخیره کرده و ببندید.

۳. افزایش امنیت وردپرس به‌روزرسانی منظم وردپرس و افزونه‌ها

به‌روزرسانی نسخه وردپرس، یکی از ساده‌ترین راه‌ها برای افزایش امنیت سایت وردپرسی شمااست. با این حال، تقریباً نیمی از سایت‌های وردپرسی با نسخه‌های قدیمی‌تر وردپرس کار می‌کنند؛ درنتیجه آن‌ها در برابر هکرها آسیب‌پذیرتر هستند. برای بررسی اینکه آیا از آخرین نسخه وردپرس استفاده می‌کنید یا خیر، به قسمت به‌روزرسانی‌ها در پیشخوان وردپرس خود بروید. اگر نشان دهد که نسخه شما به‌روز نیست، توصیه می‌کنیم آن را در اسرع وقت به‌روز کنید.

همچنین برای افزایش امنیت وردپرس توصیه می‌کنیم پوسته‌ها و افزونه‌های نصب شده در سایت وردپرس خود را به‌روز کنید. پوسته‌ها و افزونه‌های قدیمی ممکن است با نرم‌افزار به‌روزشده هسته وردپرس اختلال ایجاد کرده و موجب آسیب‌پذیری در برابر تهدیدات امنیتی شود.

برای خلاص شدن از پوسته‌ها و افزونه‌های قدیمی، این مراحل را دنبال کنید:

۱. به پیشخوان وردپرس خود بروید و به قسمت به‌روزرسانی‌ها بروید.

۲. به پایین صفحه بروید و لیست پوسته‌ها و افزونه‌های آماده برای به‌روزرسانی را بررسی کنید. آن‌ها را می‌توانید به‌طور همزمان یا جداگانه به‌روز کنید.

۳. سپس روی دکمه به‌روزرسانی افزونه‌ها کلیک کنید.

۴. بالا بردن امنیت وردپرس بااستفاده از یک نام کاربری و رمز عبور قوی

همین حالا اگر شما هم از نام کاربری‌ قابل پیش‌بینی مثل «admin»، «administrator» یا «test» استفاده می‌کنید، آن را تغییر دهید. برای ایجاد یک حساب کاربری ادمین وردپرس جدید، مراحل زیر را دنبال کنید:

۱. از داشبورد وردپرس خود، به Users → Add New بروید.

۲. یک کاربر جدید ایجاد کنید و به آن نقش Administrator اختصاص دهید. رمز عبور قوی اضافه کنید و پس از اتمام، دکمه Add New User را بزنید.

برای افزایش امنیت وردپرس، در رمز عبور خود از اعداد، نمادها و حروف بزرگ و کوچک استفاده کنید. همچنین توصیه می‌کنیم از بیش از ۱۲ کاراکتر استفاده کنید، زیرا رمزهای عبور طولانی‌تر بسیار سخت‌تر قابل شکستن هستند.

۵. فعال کردن احراز هویت دو مرحله‌ای برای افزایش امنیت وردپرس

احراز هویت دو مرحله‌ای (2FA) یک روش امنیتی است که به شما کمک می‌کند تا امنیت سایت وردپرسی خود را افزایش دهید. این روش از شما می‌خواهد علاوه‌بر رمز عبور، یک کد منحصربه‌فرد نیز برای ورود به حساب کاربری خود وارد کنید. این کد فقط در دسترس شمااست و ازطریق پیامک یا یک برنامه احراز هویت شخص ثالث دریافت می‌شود.

برای فعال کردن 2FA در وب سایت وردپرسی خود، مراحل زیر را دنبال کنید:

۱. یک افزونه امنیتی مانند Wordfence Login Security نصب و فعال کنید.

۲. یک برنامه احراز هویت دو عاملی مانند Google Authenticator را روی گوشی موبایل خود نصب کنید.

۳. به بخش تنظیمات Wordfence Security < Login Security < Two-Factor Authentication بروید.

۴. از برنامه احراز هویت دو عاملی خود برای اسکن کد QR یا وارد کردن کلید فعال سازی استفاده کنید.

۵. کدی که در برنامه احراز هویت دو عاملی شما نمایش داده می‌شود، در فیلد مربوطه وارد کنید.

۶. روی دکمه فعال‌سازی کلیک کنید.

جمع‌بندی

امنیت وردپرس چتر نجات شما هنگام ریزش سیل‌آسای هکرها به سایتتان است. وردپرس به‌خاطر محبوبیتش موردتوجه هکرها هم قرار گرفته است؛ هکرهایی که تشنه پیدا کردن راه نفوذی برای ورود به سایتتان هستند. در این مقاله از آموزش مدیریت محتوا بلاگ پارس پک، یک چک لیست کاربردی از اقداماتی امنیتی لازم برای افزایش امنیت وردپرس ارائه دادیم. همچنین ۵ راهکار کاربردی و موثر را بررسی کردیم. درنظر داشته باشید افزایش امنیت سایت وردپرسی شما کار یکی دو اقدام ساده نیست و همیشه باید همه جوانب را درنظر بگیرید. به‌عبارتی از قفل بودن تمام درها مطمئن شوید. اگر روش دیگری می‌شناسید که ما در این چک لیست امنیت وردپرس قرار ندادیم، نظرتان را با ما و کاربران پارس پک در قسمت نظرات درمیان بگذارید.

سؤالات متداول

۱. چگونه امنیت وردپرس خود را افزایش دهم؟

چندین اقدام وجود دارد که برای افزایش امنیت وردپرس می‌توانید خود انجام دهید، از جمله:

• به‌روز نگه داشتن وردپرس، پوسته و افزونه‌ها
• نصب و فعال‌سازی یک افزونه امنیتی معتبر
• تهیه نسخه پشتیبان منظم از وب‌سایت خود
• استفاده از رمزهای عبور قوی و منحصربه‌فرد برای همه حساب‌های کاربری

 ۲. بهترین افزونه امنیتی وردپرس چیست؟

افزونه‌های امنیتی زیادی برای وردپرس وجود دارد. انتخاب بهترین افزونه امنیتی وردپرس به نیازهای خاص شما بستگی دارد. برخی از افزونه‌های محبوب عبارتند از:

• Wordfence Security
• iThemes Security
• Sucuri Security

۳. چگونه امنیت سایت وردپرسی را بدون افزونه افزایش دهم؟

ابتدا مطمئن شوید از یک سرویس هاستینگ امن و پایدار استفاده می‌کنید. سپس، اقداماتی مانند زیر انجام دهید:

• مجوزهای فایل را مدیریت کنید
• گزارش خطای PHP و XML-RPC را غیرفعال کنید
• دسترسی به wp-config.php را محدود کنید

۴. آیا وردپرس نیاز به فایروال دارد؟

بله، تنظیم فایروال برای وب‌سایت وردپرسی ضروری است، زیرا به محافظت از سایت شما در برابر حملات هک یا سایر اشکال حملات سایبری از طریق مسدود کردن ترافیک ناخواسته کمک می‌کند. از آنجایی که وردپرس فایروال وب‌سایت داخلی ندارد، می‌توانید با دانلود افزونه‌ای مانند Sucuri آن را تنظیم کنید.

۵. آیا وردپرس به راحتی هک می‌شود؟

خیر، وردپرس یک پلتفرم امن است. بااین‌حال، اگر اقدامات امنیتی لازم را انجام ندهید، سایت شما ممکن است هک شود. اقدامات امنیتی ساده مانند استفاده از رمزهای عبور قوی، به‌روز نگه داشتن وردپرس، پوسته و افزونه‌ها به افزایش امنیت وردپرس کمک می‌کند.