چک لیست امنیت وردپرس

امنیت وردپرس یکی از موضوعاتی است که اهمیت بسیار بالایی برای مدیران وب‌سایت‌های وردپرسی دارد. گزارشات نشان می‌دهند که در هر دقیقه بیش از ۹۰ هزار وب‌سایت وردپرسی هک می‌شوند و گوگل روزانه بیش از ۱۰ هزار وب‌سایت را به دلیل بدافزارهای موجود در آن‌ها و فیشینگ در لیست سیاه خود قرار می‌دهد. 

اگر به وب‌سایت و کسب‌و‌کار اینترنتی خود اهمیت می‌دهید، باید بهترین شیوه‌های افزایش امنیت وردپرس را به کار بگیرید. خوشبختانه روش‌های بسیاری برای تامین امنیت سایت‌های وردپرسی در برابر کاربران و نرم‌افزارهای مخرب وجود دارد. 

ما در این مقاله، نکات مهم افزایش امنیت وردپرس را به شما معرفی می‌کنیم تا بتوانید در مقابل هکرها و بدافزارها از وب‌سایت خود محافظت کنید.

چرا امنیت وردپرس مهم است؟

آیا هک شدن سایت وردپرسی را در گذشته تجربه کرده‌اید؟ اگر پاسخ مثبت است، ممکن است اهمیت امنیت وردپرس را بیش از دیگران درک کنید، اما اگر این گونه نباشد، پس مطالعه‌ی این بخش از مقاله برای شما ضروری است.

هک شدن وب‌سایت‌های وردپرسی رو به افزایش است و این موضوع تبدیل به موضوعی نگران‌کننده شده است. اما تامین امنیت وردپرس در برابر هکرها و بدافزارها چندان پیچیده نیست و کافیست تا از دستورالعمل‌ها به خوبی پیروی کنیم.

وردپرس محبوب‌ترین سیستم مدیریت محتواست به همین علت طبیعی است که هکرها ترجیح ‌دهند تا وقت خود را به هک کردن یک پلتفرم پر استفاده و محبوب اختصاص دهند. البته وردپرس طی سالیان طولانی توسط متخصصان خبره بارها و بارها به روز رسانی شده است و اکنون پلتفرمی امن محسوب می‌شود. متخصصان وردپرس بلافاصله پس از یافتن هرگونه اشکال در کد و یا رخنه‌ی امنیتی، ورژن جدیدی از وردپرس را ارائه می‌کنند که نسبت به ورژن قبلی امنیت بالاتری دارد.

هک شدن سایت‌های وردپرسی به علت ناامن بودن این پلتفرم نیست بلکه در اکثر مواقع به علت عدم رعایت نکات ایمنی از جانب مدیران سایت‌هاست.

در صورتی که یک وب‌سایت هک شده در لیست سیاه گوگل قرار بگیرد، بازگردانی آن و اعتماد از دست رفته‌ی مشتریان بسیار مشکل و می‌توان گفت تا حدی غیر ممکن است.

ممکن است به این فکر کنید که امکان ندارد یک هکر به دنبال کسب‌و‌کار کوچک من بیاید. اما بد نیست بدانید که هک شدن فقط برای برندهای بزرگ و سرشناس رخ نمی‌دهد و یک گزارش نشان می‌دهد که 43% از قربانیان، صاحبان کسب‌و‌کارهای کوچک بوده‌اند.

اکثر اوقات هک شدن به طور مستقیم قابل مشاهده نیست و این اتفاق در سکوت رخ می‌دهد. بدین صورت که سایت شما هک می‌شود و فرد هکر از منابع آن سوء استفاده می‌کند؛ برای مثال از سایت شما برای ارتکاب جنایات خود، از جمله آلوده کردن وب‌سایت‌های دیگر و ارسال ایمیل‌های گروهی ناخواسته استفاده می‌کند.

علائم سایت وردپرس هک شده چیست؟

همانطور که پیش‌تر اشاره کردیم؛ اکثر اوقات هک شدن به طور مستقیم قابل مشاهده نیست. گاهی اوقات برخی علائم می‌توانند نشان دهنده‌ی هک شدن وب‌سایت شما باشند. در ادامه با برخی از این علائم آشنا می‌شویم.

۱) اگر گزارش‌های Google Analytics خود را به صورت مداوم پیگیری می‌کنید و شاهد افت ناگهانی ترافیک هستید، این می‌تواند نشانه‌ای از هک شدن سایت وردپرس شما باشد.

بسیاری از بدافزارها و تروجان‌ها وجود دارند که ترافیک وب‌سایت شما را ربوده و آن را به وب‌سایت‌های اسپم هدایت می کنند. برخی از آن‌ها هنگام ورود کاربران، آن‌ها را به سایت‌های دیگری ریدایرکت می‌کنند و آن‌ها برای لحظاتی در صفحات نامربوط سردرگم می‌شوند.

یکی دیگر از دلایل افت ناگهانی ترافیک سایت شما می‌تواند ابزار safe browsing (ابزار گوگل برای شناسایی سایت‌های ناامن) باشد. این ابزار حتی ممکن است به کاربران در مورد امنیت وب‌سایت شما هشدار دهد.

برای دیدن گزارش امنیت می‌توانید وب‌سایت خود را با استفاده از ابزار safe browsing بررسی کنید.

۲) از جمله علائم دیگر هک شدن سایت شما، عدم امکان ورود به داشبورد وردپرس است. همچنین در صورتی که سرور شما هک شده باشد امکان ارسال و دریافت ایمیل را نیز از دست می‌دهید.

۳) اگر در نتایج جست‌وجوی گوگل، عناوین و توضیحات متای سایت شما به درستی نشان داده نمی‌شود، بدین معناست که هکر از یک Backdoor برای تزریق کد به سایت شما استفاده کرده است تا عملکرد وب‌سایت شما را مختل کند.

۴) برخی هکرها با نمایش پیام‌های پاپ‌آپ روی صفحات شما سعی در تبلیغ وب‌سایت‌های غیر قانونی و کسب درآمد از این روش را دارند. نکته‌ای که در اینجا وجود دارد این است که این پاپ‌آپ‌ها تنها برای کاربرانی که از موتورهای جست‌وجو به سایت وارد می‌شوند، به نمایش درمی‌آید.

۵) بروز هرگونه اختلال در سایت، مانند کند شدن و ورود آدرس‌های IP ناشناس به سرور نیز می‌توانند گواهی بر هک شدن سایت شما باشند.

چرا وب‌سایت‌های وردپرسی هک می‌شوند؟

انجام کارهای زیر موجب به خطر افتادن امنیت وردپرس شما می‌شوند:

  •  استفاده از هاست نا‌امن
  •  استفاده از نام کاربری و رمزعبورهای ضعیف یا تکراری
  •  دسترسی محافظت نشده به داشبورد ادمین وردپرس
  •  مجوزهای نادرست فایل WP
  •  نصب بودن ورژن‌های قدیمی وردپرس
  •  استفاده از افزونه‌ها و قالب‌های قدیمی یا نال شده
  •  استفاده از Plain FTP  به جای  SFTP/SSH
  •  عدم پیکربندی صحیح فایل wp-config.php
  •  عدم تغییر پیشوند جداول وردپرس

 آسیب‌پذیری‌های WordPress که منجر به هک شدن می‌شوند

در ادامه با هم با رایج‌ترین آسیب‌پذیری‌ها و تهدیدات امنیتی وردپرس آشنا می‌شویم.

تزریق SQL یا SQL Injection

حمله‌ی تزریق SQL با تزریق کد مخرب به ورودی‌های آسیب‌پذیر سایت انجام ‌می‌شود.

هکر در یک حمله‌ی موفق، کوئری پایگاه داده را تغییر می‌دهد تا بتواند به جای اطلاعات مورد انتظار توسط وب‌سایت، اطلاعات مورد نظر خود را بازگرداند. فرد هکر با تزریق SQL حتی می‌تواند داده‌های مخرب را به پایگاه داده اضافه کند.

حمله‌ی Cross-site Scripting) XSS)

تزریق اسکریپت‌های cross-site یا XSS نوعی از حمله‌ می‌باشد که در آن مهاجمان اجازه پیدا می‌کنند تا اسکریپت‌های مخرب را روی وب‌سایت‌ها قرار دهند. کاربرانی که به وب‌سایت وارد می‌شوند، هدف اصلی این حمله هستند. با استفاده از اسکریپت‌های cross-site، هکرها به طور مستقیم به کاربران حمله نمی‌کنند بلکه با گمراه ساختن کاربران، اطلاعات آن‌ها را بدون اطلاع خودشان به سرقت می‌برند.

حمله‌ی Brute Force

Brute Force روشی برای هک کردن است که هکر در آن از تکنیک آزمون و خطا برای ورود به وب‌سایت، شبکه یا سیستم رایانه‌ای استفاده می‌کند. هکرها برای ارسال تعداد زیادی درخواست به وب‌سایت مقصد از ربات خودکار استفاده می‌کنند. این ربات تلاش می‌کند تا در هر درخواست، اطلاعات مورد نیاز برای دسترسی، مانند رمزهای عبور یا کدهای PIN را حدس بزند. همچنین می‌تواند از آدرس‌های IP مختلف استفاده کند که در این صورت شناسایی و مسدود کردن این فعالیت‌های مشکوک برای سیستم هدف دشوارتر خواهد شد.

حمله‌ی Denial of service) DDoS)

حمله‌ی انکار سرویس توزیع شده یا DDoS به سایت‌های وردپرس،حمله‌ به کامپیوتر یا یک سیستم شبکه است که باعث می‌شود یک سرویس یا منبع برای کاربران قانونی قابل دسترسی نباشد. این حمله به طور معمول باعث از بین رفتن اتصال شبکه، به دلیل مصرف پهنای ب‍اند شبکه‌ی قربانی می‌شود.

DDoS با اشباع پورت‌ها با جریان اطلاعات ایجاد می‌شود و باعث می‌شود سرور(ها) بیش از حد بارگیری شوند و قادر به ادامه‌ی خدمات نباشند. این حمله "انکار سرویس توزیع شده" نامیده می‌شود زیرا باعث می‌شود سرور نتواند پاسخ تمامی درخواست‌ها را تامین کند. این تکنیک توسط هکرها برای از کار انداختن سرورهای هدف استفاده می‌شود.

چک لیست امنیت وردپرس

حال با وجود این آسیب‌پذیری‌ها و حملات امنیتی، چگونه می‌توان امنیت وردپرس را افزایش داد؟ چک لیست زیر در زمینه‌ی تامین امنیت وردپرس به شما کمک می‌کند.

هسته‌ی وردپرس، قالب‌ها و پلاگین‌های خود را به روز نگه دارید

ممکن است این مورد کاملاً واضح به نظر برسد، اما به روز بودن نسخه‌ی وردپرسی که استفاده می‌کنید، یکی از اساسی‌ترین و مهم‌ترین موارد امنیت وردپرس است. بسیار مهم است که در اسرع وقت، پس از انتشار نسخه‌ی جدید وردپرس، قالب سایت، اسکریپت‌ها و افزونه‌ها، به روز رسانی شوند. پلتفرم وردپرس متن باز است، به این معنی که هر فردی می‌تواند کدهای آن را تجزیه و تحلیل کرده و حفره‌هایی را کشف کنند. این حفره‌های امنیتی یکی از متداول‌ترین روش‌ها برای دسترسی هکرها به وب‌سایت شما هستند. شما با به روز رسانی به موقع می‌توانید این حفره‌ها را پوشش دهید و از وب‌سایت خود محافظت کنید.

هر کدام از ورژن‌های وردپرس حفره‌های امنیتی خاص خود را دارند و اطلاع از ورژن وردپرس توسط هکرها می‌تواند فرآیند هک را برای آن‌ها ساده‌تر کند. آن‌ها از طریق آدرس www.example.com/readme.html می‌توانند ورژن وردپرس سایت‌ها را مشاهده کنند. اما شما می‌توانید با مخفی‌سازی ورژن وردپرس خود، از این خطر تا حدودی در امان بمانید. برای مخفی‌سازی از روش زیر استفاده کنید:

فایل Functions.php وب‌سایت خود را باز کرده و قطعه کد زیر را در آن قرار دهید:

<?php

function wpbeginner_remove_version() {

return '';

}

add_filter('the_generator', 'wpbeginner_remove_version');

?>

سپس تغییرات را ذخیره کنید. با اعمال این تغییرات دیگر ورژن وردپرس شما قابل مشاهده نخواهد بود.

از قالب‌ها و افزونه‌های رایگان با تعداد نصب پایین استفاده نکنید

در بعضی از قالب‌ها و پلاگین‌های رایگان و پولی، کدهایی مخرب وجود دارد. آن‌ها ظاهری جذاب دارند و به شما اجازه می‌دهند تا عملکردهای ویژه‌ای را به سایت خود اضافه کنید. خوب است بدانید که رایگان بودن آن‌ها به معنای بی خطر بودن نیست. آن‌ها به دلیل رایگان بودن ممکن است توسط توسعه‌دهنده پشتیبانی و به روز رسانی نشوند و در آینده برای شما و کاربرانتان مشکلاتی به وجود آورند.

به هیچ عنوان افزونه‌ها و قالب‌ها را از منابع ناشناس و ناامن دریافت نکنید و آن‌ها را تنها از مخزن وردپرس و فروشگاه‌های معتبر دریافت کنید.

یک افزونه امنیت وردپرس را نصب کنید

یک پلاگین امنیت وردپرس به شما کمک می‌کند تا برخی اقدامات امنیتی را تنها با چند کلیک ساده انجام دهید. پلاگین‌های امنیتی وردپرس زیادی برای ایمن‌سازی سایت شما وجود دارد که تلاش‌های ربات‌ها و هکرها را برای هک کردن وب‌سایت شما، خنثی می‌کنند.

یکی از محبوب‌ترین افزونه‌های امنیت وردپرس، Sucuri Security می‌باشد. شما می‌توانید این افزونه‌ی رایگان را از مخزن وردپرس نصب و فعال نمایید.

پس از فعالسازی، از منوی وردپرس به منوی "Sucuri" بروید. اولین کاری که از شما خواسته می‌شود تا انجام دهید، تولید یک کلید API رایگان است. این کار ورود به سیستم حسابرسی، اعتبارسنجی، هشدارهای ایمیلی و سایر ویژگی‌های مهم را امکان پذیر می‌کند.

افزونه Sucuri-Security

سپس از منوی تنظیمات روی تب "Hardening" کلیک کنید. برای تمامی گزینه‌ها در بخش "Hardening Options" بر روی دکمه‌ی "Apply Hardening" کلیک کنید.

این گزینه‌ها به شما کمک می‌کنند تا مناطق اصلی را که هکرها اغلب در حملات خود استفاده می‌کنند، قفل کنید. تنها گزینه‌ی‌‌ غیر رایگان این صفحه، "Web Application Firewall" می‌باشد که در ادامه به آن خواهیم پرداخت.

سایر تنظیمات پیش‌فرض افزونه برای اکثر وب‌سایت‌ها، به اندازه‌ی کافی مناسب هستند و نیازی به تغییر ندارند. تنها گزینه‌ای که پیشنهاد می‌کنیم آن را سفارشی‌‌‌سازی کنید، Email Alerts می‌باشد. با مراجعه به بخش Alerts می‌توانید ارسال ایمیل هشدارهای امنیتی را تنظیم کنید.

افزونه امنیتی وردپرس

این افزونه امنیت وردپرس بسیار قدرتمند است. بنابراین در تمامی تب‌ها و تنظیمات آن کاوش کنید تا همه‌ی اقدامات لازم مانند اسکن بدافزار، گزارش‌های حسابرسی، ردیابی تلاش‌های ورود ناموفق و... را انجام دهید.

Web Application Firewall) WAF) را  فعال‌سازی کنید

ساده‌ترین راه برای محافظت از سایت خود و اطمینان خاطر در مورد امنیت وردپرس، استفاده از فایروال وب اپلیکیشن یا WAF است. فایروال کلیه‌ی ترافیک‌های مخرب را قبل از رسیدن به وب‌سایت شما، مسدود می‌کند. در ادامه دو سطح DNS و سطح اپلیکیشن در فایروال را معرفی می‌کنیم:

  • فایروال سطح DNS ترافیک مخرب ورودی به وب‌سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می‌کند. این کار به آن‌ها اجازه می‌دهد تا فقط ترافیک اصلی را به سرور وب شما ارسال کنند.
  • فایروال سطح اپلیکیشن پلاگین‌های فایروال در این سطح، ترافیک را به محض رسیدن به سرور شما و قبل از بارگذاری اسکریپت‌های وردپرس آزمایش می‌کنند.

ما به شما استفاده از فایروال وب اپلیکیشن Sucuri را توصیه می‌کنیم. این فایروال تضمین می‌کند که در صورت هک شدن وب‌سایت شما را تعمیر می‌کند.

Web-Application-Firewall

به طور منظم از وب‌سایت خود بکاپ (Backup) بگیرید

پشتیبان‌گیری(Backup) به صورت منظم (ساعتی، روزانه، هفتگی، ماهیانه و سالیانه) به شما کمک می‌‌کند تا در صورت بروز مشکل، بتوانید به راحتی آن را به حالت عادی باز گردانید و مانع از دست رفتن داده‌ها و اعتماد کاربران شوید.

پلاگین‌های پشتیبان‌گیری زیادی وجود دارند که شما می‌توانید از آن‌ها استفاده کنید. ما در این مقاله دو افزونه‌ی پشتیبان‌گیری را به شما معرفی می‌کنیم:

افزونه‌ی پشتیبان‌گیری BlogVault

BlogVault به عنوان معتبرترین افزونه‌ی پشتیبان‌گیری وردپرس با میزان ترمیم 100٪ شناخته شده است. BlogVault ویژگی‌هایی را ارائه می‌دهد که ممکن است در هیچ افزونه‌ی پشتیبان‌گیری وردپرس پیدا نکنید. برخی از ویژگی‌های این افزونه عبارتند از:

  •  پشتیبان‌گیری افزایشی
  •  پشتیبان‌گیری برنامه ریزی شده
  •  پشتیبان‌گیری خودکار
  •  بار اضافی صفر بر روی سرور
  •  مهاجرت آسان به یک سرویس میزبانی دیگر
  •  داشبورد متمرکز برای مدیریت چندین کار برای چندین وب‌سایت
  •  پشتیبان‌گیری کامل در حساب‌های Google Drive و Dropbox
  •  تهیه‌ی نسخه‌ی پشتیبان از وب‌سایت‌های فروشگاهی
  •  نظارت بر آپتایم

افزونه‌ی پشتیبان‌گیری BackWPUp

یکی دیگر از افزونه‌های عالی که برای تهیه‌ی نسخه‌ی پشتیبان در نظر گرفته شده BackWPUp است. این افزونه دارای بیش از ۶۰۰ هزار نصب فعال است و استفاده از آن نسبتاً آسان می‌باشد. برخی از ویژگی‌های این افزونه عبارتند از:

  •  پشتیبان‌گیری از فایل‌های وردپرس
  •  پشتیبان‌گیری از پایگاه داده
  •  پشتیبانی از شبکه‌ای متشکل از چند سایت
  •  تهیه‌ی نسخه‌ی پشتیبان خودکار و بازیابی آن
  •  پشتیبانی از گزینه‌های مختلف ذخیره‌‌‌سازی

از پروتکل امن HTTPS استفاده کنید

پروتکل امن HTTPS با استفاده از رمزنگاری داده‌هایی که بین کاربران و سرور سایت رد و بدل می‌شود، امنیت آن‌ها را افزایش می‌دهد. استفاده از HTTPS رتبه‌ی سایت شما در موتورهای جست‌وجو و اعتماد کاربران به شما را افزایش می‌یابد.

اگر سایت‌ فروشگاهی و یا سایتی دارید که با اطلاعات محرمانه و خصوصی مشتریان مانند اطلاعات حساب بانکی سروکار دارد، اکیداً توصیه تا از پروتکل HTTPS استفاده نمایید.

شما برای راه‌اندازی سرویس HTTPS نیاز به خرید گواهینامه SSl دارید. با استفاده از گواهینامه‌های SSL پارس پک، در کنار نوار آدرس مرورگر شما یک قفل سبز رنگ و علامت https نمایان خواهد شد.

از رمزهای عبور ایمن استفاده کنید

بهتر است همیشه از رمزهای پیچیده و ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص استفاده کنید. از رمزهایی مانند تاریخ تولد، نام فرزند، شماره موبایل و... استفاده نکنید زیرا هکرها به راحتی می‌توانند به این رمزها دست پیدا کنند. 

علاوه بر این با تعیین سیاست‌های سخت گیرانه اطمینان حاصل کنید که کاربران و سایر مدیران سایت شما از رمز عبور ایمن استفاده می‌کنند. استفاده از رمز عبور ضعیف توسط یک کاربر می‌تواند امنیت کل وب‌سایت شما و حساب کاربری تمام بازدیدکنندگان را به خطر اندازد. 

همچنین می‌توانید از احراز هویت دو مرحله‌ای استفاده کنید. در این روش، با وارد کردن کد کپچا (CAPTCHA) یک پیام کوتاه حاوی یک کد یک بار مصرف برای شما ارسال می‌شود و از این طریق می‌توانید به پیشخوان مدیریت دسترسی داشته باشید.

ویرایشگر قالب و افزونه‌های خود را غیر فعال کنید

ویرایشگر قالب از مسیر Appearance>Theme Editor و ویرایشگر افزونه از مسیر Plugins>Plugin Editor قابل دسترس هستند. اگر برای اولین بار به این مسیرها وارد شوید پیغامی مبتنی بر هشدار در مورد ویرایش این فایل‌ها به شما نشان داده می‌شود. در صورتی که هکرها بتوانند به داشبورد وردپرس شما دسترسی پیدا کنند می‌توانند کدهای مخرب خود را در این فایل‌ها قرار دهند. 

برای غیر فعال کردن بخش ویرایشگر قالب و افزونه‌ها تنها کافیست تا به فایل wp-config.php خود وارد شوید و قبل از عبارت ‘That’s all, stop editing! Happy publishing’ کد زیر را وارد کنید:

define( 'DISALLOW_FILE_EDIT', true );

به منظور غیر فعال کردن نصب افزونه و قالب نیز می‌توانید کد زیر را به این فایل اضافه کنید:

define(‘DISALLOW_FILE_MODS’,true);

سپس تغییرات را ذخیره کنید.

پیشوند جداول پایگاه داده را تغییر دهید

اگر به phpMyAdmin سایت وردپرسی خود وارد شوید و به جداول پایگاه داده نگاهی بیندازید، متوجه خواهید شد که پیشوند تمامی یازده جدول پایگاه داده "_wp" می‌باشد. 

این موضوع باعث می‌شود تا کار هکرها ساده‌تر شود. بنابراین می‌بایست این پیشوند را تغییر دهید. شما این تغییر را می‌توانید هنگام نصب وردپرس انجام دهید. بدین صورت که به فایل wp-config.php وارد شده و مقدار table_prefix  را از _wp به هر عبارت دیگری تغییر دهید. 

همچنین با استفاده از افزونه‌ی Brozzme DB Prefix & Tools Addons نیز می‌توانید پیشوند جدول‌های پایگاه داده را تغییر دهید.

تغییر کلیدهای امنیتی وردپرس (Wordpress Salts)

کلیدهای امنیتی وردپرس حاوی عناصر تصادفی و پیچیده‌ای هستند که می‌توان گفت شکستن آن‌ها غیر ممکن است. این کلید موجب می‌شود تا اطلاعات ذخیره شده در کوکی‌ها به صورت امن‌تر رمزگذاری شوند.

به فایل wp-config.php وارد شوید. در این فایل کلیدهای وردپرس را به صورت زیر مشاهده می‌کنید.

define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);

define(‘AUTH_SALT’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);

define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);

define(‘NONCE_SALT’, ‘put your unique phrase here’);

این کلیدها را پاک کنید و به صفحه‌ی Wordpress salts Generator وارد شوید. این صفحه در هر بار رفرش(refresh)، کدهای منحصر به فردی را به شما تحویل می‌دهد. آن‌ها را کپی کرده و در فایل wp-config.php در محل کدهای قبلی جایگذاری کنید. سپس تغییرات را ذخیره کنید.

همچنین شما می‌توانید از افزونه‌ی Salt Shaker برای این منظور استفاده کنید.

مسیر دسترسی به فایل wp-config.php را تغییر دهید

برای تغییر مسیر دسترسی، شما می‌توانید این فایل را در خارج از فولدر public_html قرار دهید. روی فایل wp-config.php کلیک راست کرده و گزینه‌ی move را انتخاب کنید. مقصد مورد نظر را انتخاب کنید و سپس فایل را انتقال دهید. سپس در مکان قبلی این فایل، یک فایل جدید با همان نام ایجاد کنید و آدرس جدید این فایل (path/to/) را به صورت زیر در آن قرار دهید:

define('ABSPATH', dirname(__FILE__) . '/');

require_once(ABSPATH . '../path/to/wp-config.php');

سطح دسترسی فایل wp-config.php را تغییر دهید

متخصصان امنیت توصیه می‌کنند که سطح دسترسی این فایل را روی ۶۰۰ تنظیم کنید تا تنها مدیران اصلی قادر به ویرایش کردن آن باشند. برای تنظیم سطح دسترسی روی این فایل راست کلیک کرده، گزینه‌ی Change Permissions را انتخاب کنید و  سطح دسترسی را بر روی عدد ۶۰۰ قرار دهید. سپس قطعه کد زیر را در فایل .htaccess قرار دهید:

# protect wpconfig.php

<files wp-config.php>

order allow,deny

deny from all

</files>

در پنجره‌ی باز شده گزینه‌ی show hidden files را انتخاب کرده و تغییرات را ذخیره کنید.

خطاهای وردپرس را با کمک فایل wp-config.php پیدا کنید

 فعال‌سازی حالت دیباگ به شما در یافتن خطاهای ممکن و مسیر دقیق وقوع خطا کمک می‌کند. شما می‌توانید این حالت را برای یافتن خطاها فعال و پس از رفع خطا، آن را غیر فعال کنید.

برای فعال‌سازی این حالت به فایل wp-config.php مراجعه کرده و کد زیر را به این فایل اضافه کنید.

define('WP_DEBUG_DISPLAY', true);

پس از فعال‌سازی این گزینه، خطاهای موجود در بخش پیشخوان مدیریت وردپرس به شما نمایش داده می‌شوند.

برای غیر فعال کردن نیز کافیست تا مقدار true را به false تغییر دهید.

مسیر صفحه‌ی ورود به پنل پیشخوان وردپرس را تغییر دهید

افزونه‌های مختلفی برای تغییر صفحه‌ی لاگین وردپرس وجود دارد. با این کار صفحات wp-admin و wp-login دیگر در دسترس نخواهند بود و شما می‌توانید هر نام دیگری را برای صفحه‌ی ورود خود انتخاب کنید.

برای انجام این کار، شما می‌توانید از افزونه‌ی Hide login page, Hide wp admin – stop attack on login page استفاده کنید.

تلاش هکران را برای انجام حمله‌ی Brute Force خنثی کنید

همانطور که پیش‌تر نیز گفتیم، هکرها با استفاده از ربات‌ها سعی می‌کنند تا با امتحان کردن رمزهای عبور مختلف، به سایت شما وارد شوند. شما می‌توانید با استفاده از پلاگین login lockdown تنظیمات صفحه‌ی ورود را به گونه‌ای انجام دهید تا پس از 4 بار ورود ناموفق، حساب کاربری مورد نظر برای مدت زمان مشخصی مسدود شود. همچنین در صورت تکرار نیز می‌توانید IP و مکان جغرافیایی وی را مسدود کنید.

از هاست ایمن و با کیفیت استفاده کنید

تمامی داده‌ها و اطلاعات شما و کاربرانتان در هاست شما قرار دارد. به همین دلیل استفاده از هاست امن، مهم‌ترین نقش را در امنیت سایت بر عهده دارد.

این نکته را نیز در نظر داشته باشید که هاست‌های VPS، اختصاصی و ابری نسبت به هاست‌های اشتراکی امنیت بالاتری دارند.

جمع بندی

تامین امنیت وردپرس کار سختی نیست و تنها با رعایت نکات امنیتی ساده‌ای که در مورد آن‌ها صحبت کردیم، می‌توانید امنیت وردپرس خود را تضمین کنید. نکاتی مانند عدم استفاده از پلاگین‌ها و قالب‌های ناامن، ایمن‌‌‌سازی پایگاه داده و استفاده از یک هاست امن، نصب پلاگین امنیت وردپرس، به روز رسانی هسته، قالب‌ها و پلاگین‌ها باعث افزایش امنیت وردپرس شما می‌شوند.

  • با خدمات ابری پارس آشنا شوید

    اولین ارائه‌دهنده خدمات رایانش ابری در ایران هستیم

    ابر سرور

    ابر سرور

    با ابرسرورها می‌توانید سرور با سیستم‌عامل دلخواه خود را در چند دقیقه انتخاب و نصب نموده و آزادانه منابع سخت‌افزاری که در نظر دارید را، در زمان دلخواه به سرور خود بیافزایید و تنها برای منابع مورد نیاز سرور، هزینه پرداخت نمایید.

    هایبرید سرور

    هایبرید سرور

    هایبرید سرورها نسل جدید و پیشرفته سرورهای اختصاصی هستند که با پنل قدرتمند ابری ارائه می‌شوند. در هایبرید سرورها علاوه بر ارائه سخت‌افزار مستقل، امکانات سخت‌افزاری ویژه‌ای نیز در نظر گرفته شده است.

    ماکرو سرور

    ماکرو سرور

    ماکرو سرور محصولی ویژه است که برای دریافت بالاترین کیفیت سخت‌افزاری طراحی شده است. در شرایطی که نیازمند سخت‌افزاری قدرتمند برای سرور خود هستید، ماکرو سرورها منابع سخت‌افزاری مورد نیاز را برای شما فراهم می‌کنند.

    هاست ابری

    هاست ابری

    در هاست ابری برخلاف یک هاست اشتراکی، سایت‌های پر بازدید نیز بسادگی می‌توانند از خدمات میزبانی استفاده کنند، بدون آنکه درگیر دغدغه‌های مدیریت سرور شوند. همواره تنها برای آن میزان از منابع سخت‌افزاری که نیاز دارید هزینه می‌پردازید و دیگر نیازی به پرداخت هزینه‌های غیر موجه، در ابتدای فعالیت وب سایت خود، نخواهید داشت.

    هاست دانلود

    هاست دانلود

    سیاری از مدیران سایت‌های دانلود و یا سایت‌هایی که با ترافیک بالایی برای به اشتراک‌گذاری فایل‌های خود روبرو هستند، عمدتا با مشکلاتی مانند هزینه‌های گزاف زیرساختی و یا مصرف بالای منابع سخت‌افزاری روبرو می‌شوند. از همین رو پارس‌پک با معرفی فضای هاست دانلود برای این دسته از کاربران، محصول مناسبی را پیش‌بینی نموده است.

    مطالعه این مطالب نیز پیشنهاد می‌شود

    مقالات و نظرات اعضای تیم ما درباره تکنولوژی، روزهای کاری و چیزای دیگر…

    تفاوت هاست لینوکس و ویندوز

    یکی از چالش‌های مهم مدیران وب‌سایت‌ها، در هنگام خرید هاست و راه‌اندازی وب‌سایت، انتخاب نوع سیستم‌ عامل هاست است. ارائه‌دهندگان خدمات میزبانی وب و هاست...

  • کلیه حقوق برای شرکت دانش بنیان پارس پک محفوظ می باشد.

    Copyright © 2019 Pars Parva System Ltd. ParsPack Cloud Computing Technology ® , All Rights Reserved.