آموزش افزایش امنیت وردپرس

22 تکنیک ساده و کاربردی برای افزایش امنیت سایت‌های وردپرسی

امنیت وردپرس برای بسیاری از کسب‌وکارهای بزرگ و کوچک نقش حیاتی دارد. وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) است که تقریباً ۴۳.۲ درصد از کل وب‌سایت‌‌ها از آن استفاده می‌کنند. بااین‌حال، محبوبیت آن باعث شده است تا نظر کلاه‌بردارها و هکرهای وب‌سایت‌ها را به خود جلب کند.

این به‌معنای ضعف امنیتی سیستم وردپرس نیست و برخی اوقات نقض امنیتی ممکن است به‌دلیل ناآگاهی کاربران از نکات امنیتی رخ دهد. بنابراین، بهتر است قبل از اینکه وب‌سایتتان با حمله هکرها مواجه شود، اقدامات امنیتی را انجام دهید.

در این مقاله، قصد داریم ۲۲ روش کاربردی برای بهبود امنیت وردپرس و محافظت از وب‌سایت شما دربرابر حملات سایبری مختلف معرفی کنیم. ناگفته نماند این شیوه‌های امنیتی را می‌توانید روی وب‌سایت‌های غیروردپرسی نیز اعمال کنید.

چرا باید امنیت وب‌سایت وردپرسی را تأمین کنید؟

اگر وب‌سایت شما هک شود، خطر از‌دست‌دادن داده‌ها و دارایی‌ها و مهم‌تر از همه اعتبارتان بسیار افزایش می‌یابد.

علاوه‌براین، ممکن است اطلاعات شخصی و پرداختی و بانکی مشتریان نیز فاش شود. براساس سیستم بررسی آسیب‌پذیری وردپرس (WPScan)، نمونه‌های زیر برخی از حفره‌های امنیتی رایج وردپرس هستند:

  • Cross-site request forgery (CSRF): کاربران را مجبور می‌کند از آن برای حفظ امنیت وب‌سایت استفاده کنند.
  • Authentication bypass: به هکرها امکان می‌دهد به منابع وب‌سایت شما بدون تأیید صحت آن‌ها دسترسی داشته باشند.
  • SQL injection (SQLi): با ارسال کوئری‌های مخرب به دیتابیس، باعث ایجاد تغییرات در آن می‌شود.
  • Cross-site scripting (XSS): کدهای مخرب را روی وب‌سایتتان قرار می‌دهد و آن را به انتقال‌دهنده بدافزار تبدیل می‌کند.
  • Local file inclusion (LFI): وب‌سایت را مجبور می‌کند فایل‌های مخرب قرارداده‌شده در سرور را پردازش کند.
  • Distributed denial-of-service (DDoS) attack: به وب‌سایت‌ها درخواست‌های دروغین ارسال می‌کند تا با شلوغ‌شدن سرور، وب‌سایت از دسترس خارج شود.

دیداس به سایت

چگونه از حملات DDOS در وردپرس جلوگیری کنیم؟

آوزشی کمل و صفرتاصد در رابطه با طراحی یک وب‌سایت وردپرسی و مدیریت آن

آموزش طراحی سایت با وردپرس

آموزش ساده‌ترین و مهم‌ترین روش‌های افزایش امنیت وردپرس

در این بخش، به شش نکته امنیتی وردپرس اشاره می‌کنیم که به دانش فنی زیاد و صرف هزینه اضافی نیاز ندارند و حتی افراد مبتدی نیز می‌توانند آن‌ها را انجام دهند.

1. به‌روزرسانی نسخه وردپرس

وردپرس به‌روزرسانی‌های نرم‌افزاری منظمی برای بهبود عملکرد و امنیت منتشر می‌کند. این به‌روزرسانی‌ها از وب‌سایتتان دربرابر تهدیدهای سایبری محافظت می‌کنند و باعث افزایش امنیت وردپرس می‌شود.

به‌روزرسانی نسخه وردپرس یکی از راه‌های ساده‌ برای بهبود امنیت این سیستم است. بااین‌حال، نزدیک به ۵۰ درصد از وب‌سایت‌های وردپرسی از نسخه‌های قدیمی آن استفاده می‌کنند که باعث آسیب‌پذیری بیشتر آن‌ها می‌شود.

برای بررسی وضعیت به‌روزرسانی نسخه وردپرس، قسمت مدیریت وردپرس خود را باز کنید و از منو سمت راست، به Dashboard -> Updates بروید.

اگر دیدید نسخه وردپرس شما به‌روز نیست، توصیه می‌کنیم در اسرع وقت آن را به‌روز کنید. نکته مهم دیگر اینکه بهتر است تاریخ انتشار به‌روزرسانی‌های آینده وردپرس را بدانید تا بتوانید در سریع‌ترین زمان ممکن آن‌ها را دریافت کنید.

آموزش امنیت وردپرس

چگونه می‌توانیم امنیت وردپرس را افزایش دهیم

به‌روزرسانی قالب و تم وردپرس

همچنین، توصیه می‌کنیم قالب‌ها themes و افزونه‌های نصب‌شده در وب‌سایت وردپرس خود را به‌روز کنید؛ زیرا پوسته‌ها و افزونه‌های قدیمی ممکن است با نسخه وردپرس به‌روز‌شده شما هم‌خوانی نداشته باشند و باعث ایجاد خطا و حفره‌های امنیتی شوند.

برای به‌روزرسانی پوسته‌ها و افزونه‌های قدیمی، این مراحل را دنبال کنید:

  • به پنل مدیریت وردپرس و قسمت Dashboard -> Updates بروید.
  • به بخش افزونه‌ها و پوسته‌ها بروید و فهرست تم‌ها و افزونه‌های آماده برای به‌روزرسانی را بررسی کنید. توجه کنید که می‌توان آن‌ها را به‌یک‌باره یا جداگانه به‌روز کرد.
  • روی Update Plugins کلیک کنید.
بهترین افزونه برای امنیت وردپرس

افزایش امنیت وردپرس یا به‌روزرسانی تم و افزونه‌ها

نکته تخصصی در فعال‌سازی به‌روزرسانی وردپرس

فعال‌کردن به‌روزرسانی‌های خودکار بار کاری شما را کاهش می‌دهد؛ اما ممکن است وب‌سایت شما را به‌دلیل ناسازگاری با افزونه‌ها یا تم‌های قدیمی‌تر از کار بیندازد. اگر این گزینه را فعال کردید، مطمئن شوید که از

وب‌سایت شما به‌طور منظم نسخه پشتیبان تهیه می‌کند تا درصورت بروز خطا، بتوانید به نسخه قبلی برگردید.

2. استفاده از اعتبارنامه ورود امن WP-Admin 

یکی از اشتباه‌های رایج کاربران استفاده از نام‌های کاربری ساده و حدس‌زدنی است؛ مانند Admin یا Administrator یا Test. این کار شما را درمعرض خطر حمله‌های Brute Force قرار می‌دهد.

علاوه‌براین، مهاجمان نیز از این نوع حمله برای هدف قرار‌دادن وب‌سایت‌های وردپرسی‌ای استفاده می‌کنند که رمزعبور پیچیده‌ای ندارند. بنابراین، توصیه می‌کنیم برای افزایش امنیت وردپرس نام کاربری و رمز‌عبور خود را پیچیده‌تر انتخاب کنید.

برای ایجاد حساب کاربری جدید مدیریت با نام کاربری جدید، مراحل زیر را دنبال کنید:

  • از داشبورد وردپرس به مسیر Users -> Add New بروید.
بالا بردن امنیت سایت وردپرسی

افزایش امنیت wordpress با تغییر نام کاربری و گذاشتن پسورد قوی و پیچیده

  • کاربر جدید ایجاد کنید و نقش Administrator را به آن بدهید. درادامه، برای کاربر جدید رمز‌عبور مشخص کنید و پس از اتمام کار، دکمه افزودن کاربر جدید را فشار دهید.

اعداد و نمادها و حروف بزرگ‌و‌کوچک را در رمز‌عبور مدنظرتان بگنجانید. همچنین، توصیه می‌کنیم برای تعیین رمز‌عبور، از بیش از ۱۲ نویسه (کاراکتر) استفاده کنید؛ زیرا شکستن رمزهای عبور طولانی‌ بسیار سخت‌تر است.

نکته تخصصی در ورود امن WP-Admin 

رمزعبور هرچه طولانی‌تر باشد، ایمن‌تر است. بااین‌حال، صرفاً تمام رمزهای عبور قوی لازم نیست طولانی و پیچیده باشند و به‌جای حروف شناخته‌شده، از نمادها و اعداد خاص نیز می‌توانید استفاده کنید. برای مثال،

«[email protected]@!» به‌جای «Alabama!». این نوع رمزها بهتر در ذهن می‌مانند و شکستن آن‌ها بسیار سخت است. همچنین به‌جای کلمات واقعی مانند qpzmwoxn، از یک الگو در صفحه‌کلید استفاده کنید. البته این دو را می‌توانید با‌هم ترکیب کنید تا به رمزعبور قوی‌تری برسید.

اگر برای ایجاد رمزعبور قوی به‌کمک نیاز دارید، از ابزارهای آنلاین مانند LastPass و 1Password استفاده کنید. علاوه‌براین، از خدمات مدیریت رمزعبور آن‌ها برای ذخیره ایمن رمزهای عبور قوی می‌توانید بهره ببرید. نکته مهم این است که با این کار، دیگر مجبور نیستید آن‌ها را حفظ کنید.

نحوه افزایش امنیت سایت

روش‌های ساخت رمز عبور قوی برای بالا بردن امنیت سایت

پس از ایجاد نام کاربری مدیریت جدید وردپرس، باید نام کاربری مدیریت قدیمی خود را حذف کنید. برای انجام این کار، طبق دستور زیر عمل کنید:

  • با اطلاعات کاربری جدید وردپرس وارد شوید.
  • به Users -> All Users بروید.
تامین امنیت وردپرس

بالا بردن امنیت سایت با حذف نام کاربری ضعیف

  • نام کاربری مدیریت قدیمی‌ای را که می‌خواهید حذف کنید، انتخاب کنید. منو کشویی Bulk Actions را به Delete تغییر دهید و روی Apply کلیک کنید.

همچنین برای بالابردن امنیت وردپرس حتماً قبل از ورود به سیستم، شبکه را بررسی کنید. اگر ناخواسته به شبکه‌های Honeypot یا شبکه‌هایی متصل هستید که هکرها آن‌ها را اداره می‌کنند، درمعرض خطر افشای اطلاعات ورود به اپراتورها قرار دارید.

حتی ممکن است شبکه‌های عمومی مانند وای‌فای کتابخانه یا مدرسه نیز امن نباشند. هکرها می‌توانند اتصال شما به اینترنت را رهگیری کنند و داده‌های رمزگذاری‌نشده، ازجمله اطلاعات ورود به سیستم را به‌سرقت ببرند.

به‌همین‌دلیل، توصیه می‌کنیم هنگام اتصال به شبکه‌های عمومی از VPN استفاده کنید. VPN یک لایه رمزگذاری برای اتصال ایجاد می‌کند که رهگیری داده‌ها را سخت‌تر و از فعالیت‌های آنلاین شما محافظت می‌کند.

3. تنظیم Safelist و Blocklist برای صفحه مدیریت

فعال‌کردن قفل URL از صفحه ورود شما دربرابر آدرس‌های IP غیرمجاز و حمله‌های Brute Force محافظت می‌کند. برای انجام این کار، به سرویس فایروال وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.

  • با استفاده از Cloudflare، محدودیت‌های بسیار زیادی می‌توانید اعمال کنید. URLهایی که می‌خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URLها را مشخص می‌کنید.
  • هیچ‌کسی خارج از تعداد IP مشخص‌شده نمی‌تواند به آن‌ها دسترسی داشته باشد.
  • Sucuri ویژگی مشابهی به نام فهرست سیاه مسیر URL دارد. در ابتدا، آدرس صفحه ورود به سیستم را به فهرست مسدودی‌ها اضافه کنید تا کسی نتواند به آن دسترسی داشته باشد.
  • سپس، آدرس‌های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن وارد کنید.
  • با پیکربندی فایل htaccess. وب‌سایت خود نیز، دسترسی به صفحه ورود خود را محدود کنید. برای دسترسی به این فایل، وارد دایرکتوری Root خود شوید.
  • نکته مهم اینکه قبل از ایجاد هر‌گونه تغییر، توصیه می‌کنیم از فایل htaccess. نسخه پشتیبان تهیه کنید؛ چراکه اگر مشکلی پیش بیاید، وب‌سایت خود را می‌توانید به‌راحتی بازیابی کنید.

افزودن این قطعه کد به htaccess. دسترسی به wp-login.php شما را تنها به یک IP محدود می‌کند؛ بنابراین، مهاجمان نمی‌توانند از مکان‌های دیگر به صفحه ورود به سیستم شما وارد شوند:

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

این قطعه کد باید بعد از دستورهای # BEGIN WordPress و # END WordPress قرار گیرد.

امنیت وردپرس چگونه است

بالا بردن امنیت سایت وردپرسی با مسدودسازی تهدیدهای هکرها

دستور یادشده حتی درصورت نداشتن IP ثابت نیز اعمال می‌شود؛ زیرا ورود به سیستم را می‌توانید به محدوده مشترک ISP خود محدود کنید. علاوه‌براین، از این دستور می‌توانید برای محدود‌کردن سایر URLهای احراز‌هویت‌شده، مانند /wp-admin استفاده کنید.

نکته تخصصی تنظیم Safelist و Blocklist

توجه کنید که مسدودکردن فقط دربرابر تهدید‌های شناخته‌شده مؤثر است. هکرها می‌توانند بدافزار را به‌طور خاصی طراحی کنند تا سیستم‌های مسدود‌شده آن‌ها را شناسایی نکنند.

ناگفته نماند فهرست ایمن IP امنیت بیشتری درمقایسه‌با سیستم معمولی وردپرس دارد. باوجوداین، پیاده‌سازی نوع حرفه‌ای آن نیز ممکن است سخت باشد؛ به‌ویژه اینکه اگر می‌خواهید اشخاص ثالث این کار را انجام دهند؛ چراکه آنان به اطلاعاتی درباره همه برنامه‌هایی که استفاده می‌کنید، نیاز دارند.

4. استفاده از قالب‌های مطمئن وردپرس 

تم‌های وردپرس نال‌ (کرک‌) شده نسخه‌های غیرمجاز تم‌های اصلی هستند. در بیشتر مواقع، این تم‌ها برای جذب کاربران با قیمت ارزان‌تری فروخته می‌شوند و معمولاً مشکلات امنیتی زیادی دارند.

اغلب ارائه‌دهندگان تم‌های نال‌شده هکرهایی هستند که تم اصلی را هک و کدهای مخرب، ازجمله بدافزار و پیوندهای هرزنامه را درج کرده‌اند. علاوه‌براین، این تم‌ها می‌توانند حفره‌های امنیتی برای سایر سوء‌استفاده‌هایی باشند که ممکن است وب‌سایت وردپرس شما را به‌خطر بیندازند.

ازآن‌جا‌که تم‌های کرک‌شده به‌صورت غیرقانونی توزیع می‌شوند، کاربران از پشتیبانی توسعه‌دهندگان بی‌بهره‌اند. این یعنی اگر وب‌سایتتان هر‌گونه مشکلی پیدا کند، باید نحوه رفع آن‌ها را بیابید و خودتان وب‌سایت وردپرستان را ایمن کنید.

برای جلوگیری از هک‌شدن، توصیه می‌کنیم تم‌های وردپرسی را از مخزن رسمی وردپرس یا توسعه‌دهندگان مطمئن آن انتخاب و استفاده کنید. افزون‌براین، پوسته‌های دیگر را در فروشگاه‌های رسمی پوسته مانند ThemeForest بررسی کنید. در این فروشگاه، هزاران تم دردسترس هستند.

خرید قالب وردپرس امن

راهنمای خرید قالب امن وردپرس

5. نصب گواهی SSL

خرید ssl (مخفف Secure Sockets Layer) یکی از پروتکل‌های انتقال داده است که اطلاعات مبادله‌شده بین وب‌سایت و بازدیدکنندگان آن را رمزگذاری و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می‌کند.

علاوه‌براین، گواهی‌های SSL در بهینه‌سازی وب‌سایت برای موتورهای جست‌وجو (SEO) مؤثرند و کمک می‌کنند بازدیدکنندگان بیشتری جذب کنید. شناخت وب‌سایت‌های دارای گواهی SSL بسیار آسان است؛ زیرا آن‌ها از HTTPS به‌جای HTTP استفاده می‌کنند. اکثر شرکت‌های هاستینگ SSL را جزو امکانات خود قرار داده‌اند.

به‌عنوان مثال، Hostinger گواهی رایگان Let’s Encrypt SSL را در تمام هاست‌های پشتیبانی‌شده خود قرار می‌دهد. علاوه‌براین، گزینه‌های دیگری برای ارتقای SSL وجود دارد که می‌توانید از آن‌ها استفاده کنید.

پس از نصب گواهی SSL در حساب میزبانی هاست خود، آن را در وب‌سایت وردپرس خود فعال کنید. افزونه‌هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می‌توانند پیکربندی‌های فنی و فعال‌سازی SSL را تنها با چند کلیک انجام دهند.

نسخه پریمیوم Really Simple SSL می‌تواند هِدِرهای HTTP Strict Transport Security را فعال کند. این افزونه استفاده از HTTPS را هنگام دسترسی به وب‌سایت فعال می‌کند. پس از اتمام، URL وب‌سایت خود را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به Setting -> General بروید و قسمت آدرس وب‌سایت را پیدا کنید تا URL آن را تغییر دهید.

آموزش نصب SSL

نحوه گرفتن و نصب SSL برای افزایش امنیت وردپرس

مقاله‌ی زیر آموزش کاملی از مراحل نصب گواهینامه SSL در وردپرس و ثبت سایت Https در سرچ کنسول است.

نصب SSL در وردپرس

6. حذف پلاگین‌ها و پوسته‌های بلااستفاده وردپرس

نگه‌داشتن پلاگین‌ها و پوسته‌های استفاده‌نشده در وب‌سایت می‌تواند مضر باشد؛ به‌خصوص اگر افزونه‌ها و تم‌ها به‌روز نشده باشند. افزونه‌ها و تم‌های قدیمی خطر حمله‌های سایبری را افزایش می‌دهند؛ زیرا هکرها می‌توانند از آن‌ها برای دسترسی به وب‌سایتتان استفاده کنند.

برای حذف افزونه وردپرسی بلااستفاده، مراحل زیر را دنبال کنید:

  1. به Plugins -> Installed Plugins بروید. در این‌جا، فهرست تمام افزونه‌های نصب‌شده را مشاهده خواهید کرد.
  2. روی دکمه حذف (Delete) در زیر نام افزونه کلیک کنید.
معرفی افزونه‌های امنیتی وردپرس

حذف یا نصب افزونه افزایش امنیت سایت وردپرس

توجه کنید که دکمه حذف، تنها پس از غیرفعال‌کردن افزونه امکان‌پذیر خواهد بود.

مراحل زیر را برای حذف تم‌های بلااستفاده دنبال کنید:

  1. از داشبورد مدیریت وردپرس، به Appearance -> Themes بروید.
  2. روی تمی که می‌خواهید حذف کنید، کلیک کنید.
  3. پنجره پاپ‌آپی ظاهر می‌شود که جزئیات تم را نشان می‌دهد. روی دکمه حذف (Delete) در گوشه سمت راست پایین کلیک کنید.
 
پلاگین امنیتی وردپرس

حذف تم‌های بلااستفاده و تهدیدآمیز وردپرس

نکته تخصصی در حذف پلاگین‌ها و پوسته‌های بلااستفاده وردپرس

هنگام حذف پلاگین یا پوسته وردپرس، ممکن است دکمه‌ای برای حذف نصب پیدا نکنید. در این صورت، باید این کار را به‌صورت دستی ازطریق سرویس گیرنده FTP با دسترسی به پایگاه داده خود و حذف افزونه یا فایل‌های تم انجام دهید.

آموزش استفاده از افزونه‌های امنیتی وردپرس

روش بعدی برای بهبود امنیت وردپرس، استفاده از افزونه‌های وردپرسی است. افزونه‌ها راهی راحت برای محافظت از وب‌سایت شما هستند؛ اما به‌خاطر بسپارید که همه این افزونه‌ها را یکجا و بدون دقت نصب نکنید؛ زیرا تعداد زیاد افزونه‌ها ممکن است سرعت وب‌سایتتان را کاهش دهند. پیش از هر اقدامی، ابتدا نیازهای خود را به‌منظور انتخاب بهترین افزونه برای وب‌سایت خود شناسایی کنید.

1. فعال‌سازی احراز هویت دومرحله‌ای را برای WP-Admin 

احراز هویت دومرحله‌ای (2FA) را فعال کنید تا ایمنی ورود به وب‌سایت وردپرس خود را ارتقا دهید. این روش احراز هویت لایه امنیتی دیگری به صفحه ورود وردپرس اضافه می‌کند؛ زیرا برای تکمیل فرایند ورود، باید کدی منحصر‌به‌فرد را وارد کنید. نکته مهم اینکه کد فقط ازطریق پیام متنی یا اپلیکیشن احراز هویت در‌دسترس شماست.

برای اعمال 2FA در وب‌سایت وردپرس خود، افزونه امنیتی ورود مانند Wordfence Login Security را نصب کنید. علاوه‌براین، باید یکی از برنامه‌های احراز هویت مانند Google Authenticator را روی تلفن‌همراهتان نصب کنید.

نکته تخصصی

اگر نمی‌دانید که از کدام افزونه احراز هویت دومرحله‌ای استفاده کنید، افزونه‌ای را انتخاب کنید که اغلب به‌روزرسانی می‌شود و از اقبال عموم مردم برخوردار است. پس از نصب افزونه و اپلیکیشن احراز هویت، این مراحل را دنبال کنید تا احراز هویت دو‌مرحله‌ای فعال شود:

  • به صفحه افزونه در ادمین وردپرس بروید. اگر از Wordfence Login Security استفاده می‌کنید، به منو Login Security در منو سمت چپ بروید.
  • تب احراز هویت دومرحله‌ای را باز کنید.
افزونه‌های معروف برای امنیت وردپرس

راهنمای آموزش بالا بردن امنیت وردپرس با بهترین افزونه‌ها

  • از اپلیکیشن روی تلفن‌همراه خود برای اسکن کد QR یا وارد‌کردن کلید فعال‌سازی استفاده کنید.
  • کد ایجاد‌شده در برنامه تلفن‌همراهتان را در قسمت کدهای بازیابی وارد کنید.
  • برای تکمیل تنظیمات، روی دکمه ACTIVE کلیک کنید.

درصورت استفاده از دستگاه حاوی اپلیکیشن احراز هویت، می‌توانید کدهای بازیابی ارائه‌شده را دانلود کنید.

2. بک‌آپ‌گیری منظم از وردپرس

تهیه منظم نسخه پشتیبان از وب‌سایت کار بسیار مهمی است؛ زیرا به شما کمک می‌کند تا وب‌سایت خود را پس از حوادثی مانند حمله‌های سایبری یا آسیب به پایگاه داده بازیابی کنید. نسخه پشتیبان باید شامل کل فایل‌های نصب وردپرس شما باشد؛ مانند پایگاه داده و فایل‌های اصلی وردپرس.

در وردپرس، پشتیبان‌گیری از وب‌سایت را با استفاده از افزونه‌ای مانند All-in-One WP Migration می‌توان انجام داد. برای ایجاد فایل پشتیبان با این افزونه، مراحل زیر را دنبال کنید:

  • افزونه را نصب و فعال کنید.
  • به منو All-in-One WP Migration در منو سمت چپ بروید.
  • Backups را انتخاب کنید.
  • روی Create Backup کلیک کنید.
افزایش امنیت وردپرس با پشتیبان‌گیری

جلوگیری از هک سایت وردپرس با کالی

  • پس از ایجاد نسخه پشتیبان، فهرستی در صفحه پشتیبان‌گیری ظاهر می‌شود.
افزونه ضد هک بک‌آپ‌گیری وردپرس

جلوگیری از نفوذ به سایت وردپرسی

  • نسخه پشتیبان را دانلود و در حافظه ذخیره کنید. برای انجام این کار، به All-in-One WP Migration -> Export بروید.
  • روی منو کشویی EXPORT TO کلیک و File را انتخاب کنید. این گزینه یک نسخه پشتیبان برای وب‌سایتتان ایجاد می‌کند.
افزایش ایمنی سایت وردپرس

با چه روش‌هایی امنیت سایت را بالا ببریم؟

  • پس از تکمیل فرایند، روی لینک دانلود کلیک و نسخه پشتیبان وب‌سایت خود را در فضای ذخیره‌سازی ایمن، ترجیحاً در جایی به‌جز سرور وب‌سایتتان، ذخیره کنید؛ زیرا نسخه‌های پشتیبان ذخیره‌شده در وب‌سرور دردسترس عموم هستند و آن را دربرابر حمله‌های سایبری آسیب‌پذیر می‌کند.

درصورت بروز حادثه، می‌توانید وب‌سایت وردپرس خود را با استفاده از ابزار واردات All-in-One WP Migration بازیابی کنید. ناگفته نماند کاربران پارس پک با استفاده از قابلیت پشتیبان‌گیری hPanel، می‌توانند بدون افزونه وردپرس نسخه پشتیبان تهیه کنند.

برای آشنایی با بهترین پلاگین‌های بک‌آپ‌گیری و آموزش نحوه‌ی کار آن‌ها مقاله‌ی زیر را بخوانید.

بهترین افزونه‌های بکاپ گیری وردپرس

نکته تخصصی در بک‌آپ‌گیری وردپرس

ذخیره نسخه‌ پشتیبان وب‌سایت در رایانه شخصی توصیه نمی‌کنیم و درعوض، پیشنهاد می‌کنیم از برنامه‌های ذخیره‌سازی مانند Google Drive استفاده کنید. بااین‌حال، اگر تصمیمتان برای انجام این کار جدی است‌، بهترین راه این است که آن را حداقل در سه مکان مانند رایانه و درایو فلش USB و حافظه خارجی مانند Dropbox ذخیره کنید.

3. محدود‌کردن دسترسی‌های ورود

وردپرس به کاربران اجازه می‌دهد برای ورود به وب‌سایت به‌طور نامحدود تلاش کنند. در این شرایط، متأسفانه هکرها می‌توانند با استفاده از ترکیب رمزعبورهای مختلف، به‌زور به ناحیه مدیریت وردپرس شما راه پیدا کنند.

بنابراین، با هدف جلوگیری از چنین حمله‌هایی به وب‌سایت، باید تلاش برای ورود به سیستمتان را محدود کنید. محدود‌کردن تلاش‌های ناموفق به نظارت بر فعالیت‌های مشکوک در وب‌سایتتان نیز کمک می‌کند. اکثر کاربران فقط به یک بار امتحان یا چند تلاش ناموفق نیاز دارند؛ بنابراین، باید به آدرس‌های IP مشکوکی که به حد مجاز رسیده باشد، شک کنید.

یکی از راه‌های محدود‌کردن تلاش برای ورود به سیستم، استفاده از افزونه است. برای این کار، افزونه‌های بسیار مفیدی در‌دسترس هستند که درادامه، تعدادی از آن‌ها را معرفی می‌کنیم:

  • Limit Login Attempts Reloaded: تعداد تلاش‌های ناموفق را برای آدرس‌های IP خاص زیرنظر می‌گیرد و کاربران را به فهرست امن اضافه یا آنان را کاملاً مسدود می‌کند و کاربران وب‌سایت را از زمان باقی‌مانده مسدود مطلع می‌کند.
  • Loginizer: ویژگی‌های امنیتی ورود مانند 2FA و reCAPTCHA و سؤالات چالشی برای ورود را ارائه می‌دهد.
  • Limit Attempts by BestWebSoft: به‌طور خودکار آدرس‌های IP که به محدودیت تلاش برای ورود می‌رسند، مسدود و آن‌ها را به فهرست بلاک اضافه می‌کند.

یکی از خطرهای اجرای این اقدام امنیتی وردپرس، قفل‌شدن کاربر قانونی از مدیریت وردپرس است. بااین‌حال، نباید نگران این موضوع باشید؛ زیرا راه‌های زیادی برای بازیابی حساب‌های قفل‌شده وردپرس وجود دارد.

دانلود افزونه امنیت کامل سایت wordpress

چه افزونه‌های امنیتی برای سایت خوبه؟

4. تغییر آدرس صفحه ورود به وردپرس

برای برداشتن قدمی مستحکم‌تر به‌منظور محافظت از وب‌سایت خود دربرابر حملات Brute Force، بهتر است URL صفحه ورود را تغییر دهید. همه وب‌سایت‌های وردپرسی URL پیش‌فرض برای ورود به سیستم دارند و آن هم yourdomain.com/wp-admin است. استفاده از URL پیش‌فرض ورود به سیستم، هدف قرار‌دادن صفحه ورود شما را برای هکرها آسان می‌کند.

افزونه‌هایی مانند WPS Hide Login و Change wp-admin Login امکان سفارشی‌سازی URL ورود به سیستم را فراهم می کنند. اگر از افزونه WPS Hide Login استفاده می‌کنید، مطابق دستورهای زیر می‌توانید URL صفحه ورودتان را تغییر دهید:

  • در داشبورد خود، به Setting -> WPS Hide Login بروید.
راهکارهای افزایش امنیت سایت

تغییر آدرس ورود به سایت برای جلوگیری از هک وردپرس

  • فیلد Login URL را با URL سفارشی صفحه ورود خود پر کنید.
  • روی دکمه Save Changes کلیک کنید تا فرایند به‌پایان برسد.

5. خروج خودکار کاربران بیکار

بسیاری از کاربران هنگام خروج از وب‌سایت، فراموش می‌کنند از وب‌سایت خارج شوند و صفحات خود را در حال اجرا می‌گذارند. از‌این‌رو، به شخص دیگری که از همان دستگاه استفاده می‌کند، اجازه می‌دهند به حساب‌های کاربری‌شان دسترسی داشته باشد و از داده‌های محرمانه آنان سوء‌استفاده کند. این امر به‌ویژه برای کاربرانی بسیار مهم است که از رایانه‌های عمومی در کافی‌نت‌ها یا کتابخانه‌های عمومی استفاده می‌کنند. بنابراین، وب‌سایت وردپرس خود را به‌گونه‌ای پیکربندی کنید که کاربران غیرفعال را به‌طور خودکار از سیستم خارج کند.

اکثر وب‌سایت‌های بانکی از این تکنیک برای جلوگیری از دسترسی بازدیدکنندگان غیرمجاز به وب‌سایت‌هایشان استفاده می‌کنند و اطمینان می‌دهند که داده‌های مشتریانشان ایمن هستند. استفاده از افزونه‌های امنیتی وردپرس مانند Inactive Logout ازجمله راه‌های ساده‌ برای خروج خودکار از حساب‌های کاربری غیرفعال است.  این افزونه علاوه‌بر خروج کاربران، می‌تواند پیامی سفارشی ارسال کند تا به کاربران هشدار دهد که به‌زودی از حسابشان خارج می‌شوند.

مقاله‌ی زیر آموزش کاملی است از استقرار و راه اندازی وبسایت وردپرسی در سرور اوبونتو

نصب وردپرس در اوبونتو

6. نظارت بر فعالیت کاربران

با ردیابی فعالیت‌ها در ناحیه مدیریت، هرگونه اقدام ناخواسته یا مخربی را شناسایی کنید که وب‌سایت شما را درمعرض خطر قرار می‌دهد. این روش را به کسانی توصیه می‌کنیم که چندین کاربر یا نویسنده دارند و به آنان دسترسی به پنل وردپرس را داده‌اند. کاربران ممکن است تنظیماتی را که به آنان ارتباطی ندارد (مانند تغییر تم‌ها یا پیکربندی افزونه‌ها)، تغییر دهند.

با نظارت بر فعالیت‌های کاربران، متوجه خواهید شد که چه کسی مسئول آن تغییرات ناخواسته است و اگر شخص غیرمجاز به وب‌سایت وردپرس شما نفوذ کرده باشد، متوجه خواهید شد. ساده‌ترین راه برای ردیابی فعالیت کاربر، استفاده از افزونه وردپرسی است. تعدادی از این افزونه‌ها عبارت‌اند از:

  • WP Activity Log: تغییرات بخش‌های مختلف وب‌سایت، ازجمله تغییرات پست‌ها، صفحه‌ها، تم‌ها و افزونه‌ها را بررسی می‌کند. همچنین، فایل‌های تازه‌اضافه‌شده و فایل‌های حذف‌شده و تغییرات تمام فایل‌ها را ثبت می‌کند.
  • Activity Log: فعالیت‌های مختلف را در پنل مدیریت وردپرس شما نظارت می‌کند و به شما امکان می‌دهد قوانینی را برای ارسال اعلان ازطریق ایمیل تنظیم کنید.
  • Simple History: علاوه‌بر ثبت گزارش فعالیت در پنل مدیریت وردپرس، از چندین پلاگین شخص ثالث مانند Jetpack و WP Crontrol و Beaver Builder پشتیبانی و تمام فعالیت‌های مربوط به آن‌ها را ضبط می‌کند.

۷. بررسی بدافزارها

مؤسسه AV-TEST هرروز بیش از ۴۵۰هزار بدافزار جدید و برنامه‌های کاربردی ناخواسته (PUA) را ثبت می‌کند. برخی از بدافزارها حتی ماهیتی چندشکلی دارند؛ یعنی می‌توانند نوع خود را تغییر دهند تا از شناسایی امنیتی جلوگیری کنند. بنابراین، اسکن منظم وب‌سایتتان بسیار مهم است؛ زیرا مهاجمان همیشه انواع جدیدی از ویروس‌ها را توسعه می‌دهند.

خوشبختانه بسیاری از افزونه‌های اسکنر وردپرس می‌توانند بدافزارها را اسکن کنند و امنیت وردپرس را بهبود بخشند. کارشناسان پارس پک این افزونه‌های امنیتی را برای نصب در وب‌سایتتان توصیه می‌کنند:

  • Wordfence: این افزونه امنیتی محبوب با به‌روزرسانی دائمی امضای بدافزارها، امنیت وب‌سایتتان را افزایش می‌دهد. همچنین، Wordfence با اعلان‌های هشدار به شما اطلاع می‌دهد که آیا وب‌سایت دیگری فعالیت‌های وب‌سایتتان را به‌طور مشکوک ثبت کرده است یا خیر.
  • BulletProof Security: این افزونه با ویژگی خروج کاربران پوشه‌های پلاگین پنهان که در بخش افزونه‌های وردپرس مشاهده‌شدنی نیستند و ابزارهای پشتیبان‌گیری و بازیابی پایگاه داده، به ایمن‌سازی وب‌سایت وردپرس شما کمک می‌کند.
  • Sucuri Security: این یکی از افزونه‌های امنیتی برتر موجود در بازار است که امکاناتی همچون گواهینامه‌های مختلف SSL و اسکن بدافزار از راه دور و ویژگی‌های اقدام امنیتی پس از هک را ارائه می‌دهد.

نکته تخصصی بررسی بدافزارها

اگر وب‌سایت وردپرس شما به بدافزار آلوده شده است، کارهای زیر را انجام دهید:

  1. مطمئن شوید که همیشه به قسمت wp-admin خود دسترسی دارید و سپس یک بار عملیات اسکن را انجام دهید و از شرّ بدافزارها خلاص شوید.
  2. مطمئن شوید که افزونه‌ها و تم‌ها و نرم‌افزار اصلی وردپرس شما به‌روز هستند.
  3. آسیب‌پذیری وب‌سایت خود را بررسی کنید تا ببینید آیا افزونه‌ها یا تم‌های شما در آن‌جا به‌عنوان خطر فهرست شده‌اند یا خیر.
  4. سایر اقدامات امنیتی وردپرس مانند استفاده از پیشوند سفارشی برای پایگاه داده را انجام دهید.

مقاله‌ی زیر آموزشی است از روش‌های کاربردی برای بالابردن سرعت سایت وردپرسی شما

افزایش سرعت سایت وردپرسی

چگونه وردپرس را بدون استفاده از پلاگین ایمن کنیم؟

افزایش امنیت وب‌سایت بدون استفاده از افزونه‌ها نیز امکان‌پذیر است. بیشترِ این کارها با بهینه‌سازی کد وب‌سایتتان انجام می‌شود؛ اما جای نگرانی نیست. درادامه، به شما یاد خواهیم داد که چگونه این کار را بدون دانش خاصی انجام دهید.

1. غیرفعال‌کردن PHP Error Reporting

گزارش خطای PHP اطلاعات کاملی از مسیرها و ساختار فایل‌های وب‌سایت شما را نمایش می‌دهد و آن را به ویژگی‌ای عالی برای نظارت بر اسکریپت‌های PHP وب‌سایتتان تبدیل می‌کند.

بااین‌حال، نشان‌دادن آسیب‌پذیری‌های وب‌سایت شما در Backend نقص امنیتی جدی وردپرس است. به‌عنوان مثال، اگر افزونه خاصی پیغام خطایی نشان دهد، مجرمان سایبری می‌توانند از آسیب‌پذیری‌های آن افزونه استفاده کنند. دو راه برای غیرفعال‌کردن گزارش خطای PHP وجود دارد: یکی ازطریق فایل PHP یا دیگری ازطریق کنترل‌پنل حساب میزبانی هاست.

1. اصلاح فایل PHP

برای تغییر فایل PHP، مراحل زیر را دنبال کنید:

  • فایل wp-config.php وب‌سایت خود را با استفاده از سرویس گیرنده FTP مانند FileZilla یا مدیر فایل ارائه‌دهنده هاست خود باز کنید.
  • قطعه کد زیر را به فایل اضافه کنید. حتماً قبل از هر دستور PHP دیگری، آن را قرار دهید:
error_reporting(0);
@ini_set(‘display_errors’, 0);
  • برای اعمال تغییر، روی دکمه ذخیره کلیک کنید.

2. تغییر تنظیمات PHP با استفاده از کنترل‌پنل هاست

اگر نمی‌خواهید کدنویسی کنید، گزارش خطای PHP را ازطریق کنترل‌پنل ارائه‌دهنده هاست خود غیرفعال کنید. نحوه انجام این کار ازطریق hPanel به‌صورت زیر است:
  • از داشبورد hPanel خود، به بخش Advanced بروید. سپس، روی PHP Configuration کلیک کنید.
  • به تب PHP Options بروید و تیک گزینه Display Errors را بردارید.
تغییر ورژن php در سی پنل

آموزش تغییر ورژن cpanel برای جلوگیری از هک وردپرس

  • ذخیره کنید.

2. استفاده از یک سرویس میزبانی وب امن‌تر

اگر سرویس میزبانی سرور شما درمعرض حمله‌های سایبری باشد و اقدامات امنیتی کاملی روی آن انجام نشده باشد، اقدامات امنیتی چندگانه وردپرس اهمیت چندانی نخواهد داشت. ارائه‌دهنده هاست باید فضای امنی برای تمام داده‌ها و فایل‌های وب‌سایت روی سرور خود ایجاد کند. بنابراین، بسیار مهم است هاستی که انتخاب می‌کنید، بسیار ایمن باشد.

اگر فکر می‌کنید شرکت میزبانی وب فعلی شما به‌اندازه کافی امن نیست، زمان آن رسیده است که وب‌سایت وردپرس خود را به پلتفرم میزبانی جدیدی منتقل کنید. درادامه، نکاتی را ذکر کرده‌ایم که هنگام جست‌وجوی میزبانی وب ایمن باید در نظر بگیرید:

  • نوع میزبانی وب: انواع هاست اشتراکی و وردپرس به‌دلیل به‌اشتراک‌گذاری منابع درمقایسه‌با سایر هاست‌ها دربرابر حملات سایبری آسیب‌پذیرتر هستند. میزبانی وبی را انتخاب کنید که VPS یا هاست اختصاصی را نیز برای جداسازی منابع شما ارائه می‌دهد.

مقاله‌ی زیر بررسی کاملی از انواع سرویس میزبانی مناسب وب‌سایت وردپرسی است.

نقد و بررسی هاست وردپرس
  • امنیت: ارائه‌دهنده هاست مناسب فعالیت‌های مشکوک را در شبکه خود نظارت و نرم‌افزار و سخت‌افزار سرور خود را به‌صورت دوره‌ای به‌روز می‌کند. همچنین، سرور آن‌ها باید از امنیت درخورتوجهی برخوردار باشد و از انواع حمله‌های سایبری محافظت کنند.
  • امکانات: صرف‌نظر از نوع میزبانی، داشتن پشتیبان‌گیری خودکار و ابزارهای امنیتی به‌منظور جلوگیری از بدافزارها ویژگی‌ای ضروری برای محافظت از وب‌سایت وردپرس شماست. در بدترین حالت، می‌توانید از آن برای بازیابی وب‌سایت هک‌شده خود استفاده کنید.
  • پشتیبانی: انتخاب شرکت هاستینگی با تیم پشتیبانی ۲۴ساعته با دانش فنی عالی ضروری است. آن‌ها به شما کمک می‌کنند از داده‌های خود محافظت و با مشکلات فنی و ایمنی احتمالی مقابله کنید.

3. غیرفعال‌سازی ویرایش فایل

وردپرس از ویرایشگر فایل داخلی بهره می‌برد که ویرایش فایل‌های PHP وردپرس را آسان می‌کند. بااین‌حال، اگر هکرها کنترل آن را به‌دست بگیرند، ممکن است مشکل‌ساز شود. به‌همین‌دلیل، برخی از کاربران وردپرس ترجیح می‌دهند این قابلیت را غیرفعال کنند. برای غیرفعال‌کردن ویرایش فایل، کد زیر را به فایل wp-config.php اضافه کنید:

define( 'DISALLOW_FILE_EDIT', true );

اگر می‌خواهید دوباره این ویژگی را در وب‌سایت وردپرس خود فعال کنید، به‌سادگی کد قبلی را از wp-config.php با استفاده از سرویس گیرنده FTP یا مدیریت فایل میزبانی هاست خود حذف کنید.

4. محدود‌کردن دسترسی با استفاده از فایل htaccess.

فایل htaccess. برای تنظیمات پیوندهای وردپرس است. هنگام وارد‌کردن پیوند نامعتبر، بدون اینکه در این فایل قوانین خاصی بگذارید، خطای 404 Not Found را در وب‌سایت خود دریافت خواهید کرد. علاوه‌براین، htaccess. می‌تواند دسترسی از آی‌پی‌های خاص را مسدود و دسترسی را تنها به یک آی‌پی محدود و اجرای PHP را در پوشه‌های خاص غیرفعال کند. در‌ادامه، به شما نشان خواهیم داد که چگونه از htaccess. برای تقویت امنیت وردپرس خود استفاده کنید.

نکته: همیشه قبل از ایجاد هرگونه تغییر در فایل htaccess.، از فایل موجود خود نسخه پشتیبان تهیه کنید. این کار می‌تواند به شما کمک کند که اگر مشکلی پیش آمد، به‌راحتی وب‌سایت خود را بازیابی کنید.

1. غیرفعال‌کردن اجرای PHP در پوشه‌های خاص

هکرها اغلب اسکریپت‌های مخرب را در پوشه Uploads بارگذاری می‌کنند. به‌طور پیش‌فرض، این پوشه فقط فایل‌های رسانه‌ای بارگذاری‌شده را پشتیبانی می‌کند؛ بنابراین، نباید حاوی هیچ فایل PHP باشد. برای ایمن‌سازی وب‌سایت وردپرس خود، اجرای PHP را در پوشه Uploads با ایجاد فایل htaccess. جدید در /wp-content/uploads/ با قوانین زیر غیرفعال کنید:

<Files *.php>
deny from all
</Files>

 2. محافظت از فایل wp-config.php

فایل wp-config.php در صفحه اصلی شامل تنظیمات هسته وردپرس و جزئیات پایگاه داده MySQL است؛ بنابراین، این فایل معمولاً هدف اصلی هکرهاست. با قرار‌دادن این قوانین در htaccess.، از این فایل محافظت کنید و وردپرس را ایمن نگه دارید:

<files wp-config.php>
order allow,deny
deny from all
</files>

5. تغییر پیشوند پیش‌فرض پایگاه داده وردپرس

پایگاه داده وردپرس تمام اطلاعات حیاتی موردنیاز برای عملکرد وب‌سایت را نگه‌داری و ذخیره می‌کند. بنابراین، هکرها اغلب پایگاه داده را با حملات SQL Injection هدف حمله قرار می‌دهند. با استفاده از این تکنیک، هکرها کدهای مضر را به پایگاه داده وارد می‌کنند و اقدامات امنیتی وردپرس را دور می‌زنند و محتوای پایگاه داده را تغییر می‌دهند.

بیش از ۵۰درصد حمله‌های سایبری ازطریق SQL Injection انجام می‌شود که آن را به یکی از تهدیدهای بزرگ تبدیل می‌کند. هکرها می‌توانند این حمله را روی وب‌سایت‌های وردپرسی به‌آسانی انجام دهند؛ زیرا بسیاری از کاربران فراموش می‌کنند که پیشوند پایگاه داده پیش فرض wp_ را تغییر دهند. بیایید نگاهی به دو روشی بیندازیم که برای محافظت از پایگاه داده وردپرس خود دربرابر حمله‌های SQL injection می‌توانید پیاده‌سازی کنید:

نکته: قبل از ادامه کار، مطمئن شوید که از پایگاه داده MySQL خود نسخه پشتیبان تهیه کرده‌اید.

1. تغییر پیشوند جداول

  • از داشبورد hPanel خود، به File Manager بروید و فایل wp-config.php را باز کنید. از سرویس گیرنده FTP برای دسترسی به این فایل استفاده کنید.
  • به‌دنبال مقدار $table_prefix در کد بگردید.

آموزش جلوگیری از هک سایت

آموزش تغییر پیشوند حداول پایگاه داده برای جلوگیری از دسترسی هکرها

  • پیشوند پیش‌فرض دیتابیس وردپرس wp_ را با پیشوندی جدید جایگزین کنید. از ترکیب حروف و اعداد به‌منظور ایجاد پیشوندی منحصر‌به‌فرد برای وب‌سایت استفاده کنید.
 
تغییر پیشوند جداول دیتابیس وردپرس

چگونه پیشوند جدول‌های Wordpress را تغییر دهیم؟

  • فایل را ذخیره کنید و خارج شوید.
  • با بازگشت به داشبورد hPanel، به بخش Databases بروید و روی phpMyAdmin کلیک کنید. سپس با کلیک روی Enter phpMyAdmin، پایگاه داده وب‌سایت را باز کنید.
دسترسی به دیتابیس وردپرس

بالا بردن امنیت wordpress با جلوگیری از دسترسی هکر به دیتابیس

  • اگر چندین پایگاه داده دارید، نام پایگاه داده را در فایل wp-config.php می‌توانید پیدا کنید. برای این کار، به‌دنبال قطعه کد زیر باشید:
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'MySQL Database' );
  • از داشبورد phpMyAdmin، به تب SQL در نوار منو بالا بروید.
آموزش ساخت پایگاه داده در وردپرس

آموزش ویرایش پیشوند دیتابیس wordpress

  • برای تغییر پیشوند پایگاه داده وردپرس خود، کوئری زیر را در ویرایشگر SQL وارد کنید:
RENAME table `wp_tablename` TO `wp_1secure1_tablename`;
  • به‌خاطر بسپارید که wp_tablename را با نام جدول فعلی خود و wp_1secure1_tablename را با پیشوند و نام جدول جدید تغییر دهید. این خط کد را براساس تعداد جدول‌هایی که می‌خواهید تغییر نام دهید، تکرار و Go را انتخاب کنید.

تنظیمات دیتابیس وردپرس

چگونه پیشوند دیتابیس وردپرس را تغییر دهیم؟

2. به‌روزرسانی پیشوند مقادیر در جداول

بسته به تعداد افزونه‌های وردپرس نصب‌شده در وب‌سایت، ممکن است لازم باشد برخی از مقادیر را در پایگاه داده به‌صورت دستی به‌روز کنید. این کار را با اجرای کوئری‌های SQL جداگانه روی جداولی انجام دهید که احتمالاً مقادیری با پیشوند wp_ دارند. این‌ها شامل گزینه‌ها و جدول‌های User Meta می‌شوند. از کد زیر برای فیلتر‌کردن تمام مقادیر دارای پیشوند زیر استفاده کنید:

SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'

wp_1secure1_tablenam نام جدولی است که می‌خواهید کوئری را روی آن اعمال کنید. field_name نام فیلد یا ستونی را نشان می‌دهد که به‌احتمال زیاد مقادیر با پیشوند wp_ در آن ظاهر می‌شوند.

در‌ادامه، نحوه تغییر دستی پیشوند مقادیر ذکر شده است:

  • از داشبورد phpMyAdmin، به جدولی بروید که می‌خواهید مقدار پیشوند آن را تغییر دهید. به‌عنوان مثال، wp_1secure1_usermeta را باز کنید.
ساخت و ویرایش جدول در دیتابیس وردپرس

نحوه ویرایش پیشوند جداول سایت وردپرسی

  • به تب SQL در نوار منو بالا بروید.
نمایش اطلاعات دیتابیس در وردپرس

تکمیل فرایند تغییر پیشوند جداول wordpress

  • کد بالا را در ویرایشگر کوئری SQL خود برای فیلترسازی مقادیر حاوی wp_ وارد و روی Go کلیک کنید. مطمئن شوید که اطلاعات را مطابق با جدول واقعی و نام فیلدهای واقعی خود تغییر داده‌اید.
انتخاب و نمایش اطلاعات ذخیره شده در دیتابیس

چگونه اطلاعات پایگاه داده wordpress را انتخاب کنیم و نمایش دهیم؟

  • کمی پایین‌تر نتایج فیلتر ظاهر می‌شود. روی دکمه ویرایش در‌کنار فیلد مدنظر کلیک کنید.
آموزش کامل امنیت وردپرس

نحوه تامین امنیت سایت با ایجاد تغییرات در پایگاه داده سایت

  • مقدار پیشوند را تغییر دهید و روی Go کلیک کنید. مراحل چهارم و پنجم را برای تمام مقادیر فیلتر‌شده انجام دهید.
تغییر ساختار دیتابیس وردپرس

ساختار پیشوند جداول با موفقیت تغییر داده شد.

  • از مرحله اول به‌بعد را برای بقیه جداول پایگاه داده تکرار کنید تا همه مقادیر با پیشوند wp_ به‌روز شوند.

برای یادگیری مراحل نصب اسکریپت وردپرس در کنترل‌ئنل سرویس میزبانی خود مقاله‌ی زیر را بخوانید.

نصب وردپرس در سی پنل و دایرکت ادمین

6. غیرفعال‌‌کردن XML-RPC

XML-RPC یکی از ویژگی‌های وردپرس برای دسترسی و انتشار محتوا ازطریق دستگاه‌های تلفن‌همراه و فعال‌سازی Trackbacks و Pingbacks و استفاده از افزونه Jetpack در وب‌سایت وردپرس شماست.

XML-RPC ضعف‌هایی نیز دارد که هکرها می‌توانند از آن‌ها سوءاستفاده کنند. این ویژگی به آنان اجازه می‌دهد تا بدون شناساییِ نرم‌افزار امنیتی چندین‌بار وارد سیستم شوند و به وب‌سایتتان حمله کنند.

همچنین، هکرها می‌توانند از عملکرد pingback XML-RPC برای انجام حمله‌های DDoS استفاده کنند. این ویژگی به مهاجمان اجازه می‌دهد تا Pingback را به هزاران وب‌سایت به‌طور هم‌زمان ارسال کنند و وب‌سایت مدنظر را از کار بیندازند.

برای تعیین فعال‌ بودن یا نبودن XML-RPC‌، وب‌سایت خود را ازطریق یکی از سرویس‌های اعتبارسنجی XML-RPC اجرا کنید و ببینید آیا پیام موفقیت‌آمیز دریافت می‌کنید یا خیر. همچنین، عملکرد XML-RPC را می‌توانید با استفاده از افزونه یا به‌صورت دستی غیرفعال کنید.

1. غیرفعال‌کردن XML-RPC با استفاده از پلاگین

استفاده از پلاگین راه‌حل سریع‌تر و ساده‌تری برای مسدودکردن ویژگی XML-RPC در وب‌سایت است. برای انجام این کار، توصیه می‌کنیم از افزونه Disable XML-RPC Pingback استفاده کنید. این افزونه به‌طور خودکار برخی از عملکردهای XML-RPC را خاموش و از حمله‌های هکرها با سوءاستفاده از این نقص امنیتی وردپرس جلوگیری می‌کند.

2. غیرفعال‌کردن دستی XML-RPC

راه دیگر برای متوقف‌کردن تمام درخواست‌های XML-RPC دریافتی، قراردادن کد است. فایل htaccess. را در دایرکتوری root خود پیدا کنید و قطعه کد زیر را درون آن قرار دهید:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 000.00.000.000
</Files>

برای اینکه XML-RPC به آی‌پی خاصی دسترسی داشته باشد، آدرس IP را جایگزین 000.00.000.000 یا آن خط کد را کاملاً حذف کنید.

7. مخفی کردن نسخه وردپرس

اگر هکرها بدانند که از کدام نسخه وردپرس استفاده می‌کنید، راحت‌تر می‌توانند وارد وب‌سایت شوند. آنان از آسیب‌پذیری‌های آن نسخه برای حمله به وب‌سایتتان می‌توانند سوءاستفاده کنند؛ به‌خصوص اگر نسخه قدیمی وردپرس باشد.

خوشبختانه این امکان وجود دارد که اطلاعات نسخه وردپرس را با استفاده از ویرایشگر قالب وردپرس از وب‌سایت خود پنهان کنید. برای انجام این کار، مراحل زیر را دنبال کنید:

  • از داشبورد وردپرس خود، به Appearance -> Theme Editor بروید.
  • ابتدا پوسته فعلی خود و سپس فایل functions.php را انتخاب کنید.
مخفی‌سازی ورژن وردپرس

راهنمای مخفی کردن نسخه سایت وردپرسی برای جلوگیری از هک‌شدن

  • برای حذف شماره نسخه از هِدِر و فیدهای RSS، کد زیر را در فایل functions.php قرار دهید:
function dartcreations_remove_version() {
return '';
} add_filter('the_generator', 'dartcreations_remove_version');
  • متاتگ generator وردپرس نیز شماره نسخه وردپرس را نمایش می‌دهد. این خط کد را نیز اضافه کنید تا از شرّ آن خلاص شوید:
remove_action('wp_head', 'wp_generator');
  • برای ذخیره تغییرات، روی Update File کلیک کنید.

8. مسدود‌کردن Hotlinking (هات‌لینکینگ)

هات‌لینکینگ (Hotlinking) اصطلاحی است که وقتی شخصی اطلاعاتی از وب‌سایتتان که معمولاً تصاویر هستند، در وب‌سایت خود استفاده می‌کند. هربار که مردم از وب‌سایتی بازدید می‌کنند که لینک آن هات‌لینک به محتوای شماست، از منابع وب‌سرور شما استفاده می‌کند و سرعت وب‌سایتتان را کاهش می‌دهد. برای اینکه ببینید آیا محتوای شما لینک شده است یا خیر، نام دامنه خود را جایگزین yourwebsite.com در عبارت زیر و در Google Images جست‌وجو کنید:

inurl:yourwebsite.com -site:yourwebsite.com

برای جلوگیری از هات‌لینک، از سرویس گیرنده FTP و افزونه امنیتی وردپرس و CDN استفاده یا تنظیمات کنترل‌پنل را ویرایش کنید.

9. مجوزهای مدیریت فایل

با تعیین اینکه کدام کاربران بتوانند فایل‌ها یا پوشه‌های وردپرس شما را ببینند یا آن را ویرایش یا حذف کنند، از دسترسی هکرها به وب‌سایت خود جلوگیری کنید. از File Manager سرویس میزبانی و FTP یا ازطریق خط فرمان میزبان وب خود می‌توانید برای مدیریت مجوزهای فایل و پوشه استفاده کنید. درمجموع، مجوزها به‌طور پیش‌فرض تنظیم می‌شوند. برای اطمینان بیشتر، مطمئن شوید که فقط به Owner اجازه می‌دهد پوشه wp-admin و فایل wp-config را ویرایش کند.

تعیین سطح دسترسی به پوشه‌های سایت

چگونه دسترسی کاربران به پوشه‌ها و فایل‌های وردپرس را کنترل کنیم؟

برای آموزش حذف فایل‌های CSS اضافی در وردپرس مقاله‌ی زیر را بخوانید.

حذف CSS های اضافی در وردپرس

خلاصه‌ی 22 روش برای ایمن‌تر‌ کردن وب‌سایت وردپرس

  1. وب‌سایت خود را به‌روز نگه دارید.
  2. از اعتبارنامه‌های ورود امن wp-admin استفاده کنید.
  3. فهرست آی‌پی امن و فهرست مسدود را برای صفحه مدیریت تنظیم کنید.
  4. از قالب وردپرس مطمئن استفاده کنید.
  5. گواهی SSL برای انتقال امن داده نصب کنید.
  6. تم‌ها و افزونه‌های استفاده‌نشده وردپرس را حذف کنید.
  7. احراز هویت دومرحله‌ای را فعال کنید.
  8. به‌طور منظم پشتیبان تهیه کنید.
  9. تعداد تلاش‌های ناموفق برای ورود را محدود کنید.
  10. آدرس صفحه ورود به وردپرس خود را تغییر دهید.
  11. کاربران غیرفعال را به‌طور خودکار خارج کنید.
  12. بر فعالیت کاربران نظارت کنید.
  13. به‌طور منظم وب‌سایت خود را با هدف شناسایی بدافزارها اسکن کنید.
  14. ویژگی گزارش خطای PHP را غیرفعال کنید.
  15. به میزبان وب امن‌تر مهاجرت کنید.
  16. ویرایش فایل را غیرفعال‌ کنید.
  17. از htaccess. برای غیرفعال‌کردن اجرای فایل PHP و محافظت از فایل wp-config.php استفاده کنید.
  18. پیشوند پیش‌فرض پایگاه داده وردپرس را تغییر دهید.
  19. ویژگی XML-RPC را غیرفعال کنید.
  20. نسخه وردپرس خود را مخفی کنید.
  21. هات‌لینک را از وب‌سایت‌های دیگر مسدود کنید.
  22. مجوزهای فایل و پوشه را مدیریت کنید.

جمع‌بندی

بالابردن امنیت وردپرس برای صاحبان وب‌سایت‌ها دغدغه مهمی است که همیشه باید به آن فکر کنند و به دنبال روش‌های جدید باشند. حمله‌های سایبری ممکن است به اشکال مختلف، از SQL Injection گرفته تا حمله‌های DDoS، انجام شوند؛ به‌ویژه وب‌سایت‌های وردپرسی که به‌دلیل محبوبیت CMS، هدف رایجی برای هکرها هستند.

بنابراین، صاحبان وب‌سایت‌های وردپرسی باید بدانند که چگونه وب‌سایت‌های خود را ایمن کنند. ایمن‌سازی وب‌سایت وردپرس کار یک‌باره‌ای نیست و باید به‌طور مداوم آن را ارزیابی کنید؛ زیرا حمله‌های سایبری همیشه در حال گسترش هستند. خطر همیشه وجود خواهد داشت؛ اما شما می‌توانید اقدامات امنیتی وردپرس را برای کاهش این خطرهای اعمال کنید. در این مقاله از آموزش وردپرس پارس پک به بررسی چک لیست جامعی در باره روش های ارتقای امنیت wordpress پرداختیم و امیدواریم که برای شما مفید واقع شود.

سؤالات متداول

1. آیا وردپرس به فایروال نیاز دارد؟

راه‌اندازی فایروال در وب‌سایت ضروری است. ازآن‌جاکه وردپرس فایروال وب‌سایت داخلی ندارد، با دانلود افزونه‌ای مانند Sucuri می‌توانید آن را راه‌اندازی کنید.

2. آیا وردپرس به‌راحتی هک می‌شود؟

وردپرس سیستمی امن است و انجام‌دادن اقدامات امنیتی باعث ایمنی بیشتر آن می‌شود. این موضوع کاملاً به امنیت سیستم شما و… بستگی دارد.

3. چرا مرورگر می‌گوید وب‌سایتمان امن نیست؟

اگر مرورگر شما نشان می‌دهد که وب‌سایت وردپرستان ایمن نیست، بدین‌معنی است که وب‌سایتتان گواهی SSL ندارد یا SSL به‌درستی پیکربندی نشده است.

4. آیا افزونه‌های امنیتی برای وردپرس ضروری هستند؟

بله، نصب پلاگین امنیتی‌ای مانند Jetpack و Sucuri می‌تواند به محافظت طولانی‌مدت از وب‌سایتتان کمک کند. پیشنهاد می‌کنیم فقط افزون‌های ضروری را نصب کنید؛ زیرا افزونه‌های زیاد سرعت وب‌سایت را کاهش می‌دهند.

5. چگونه می‌توانیم وب‌سایت وردپرس خود را بدون افزونه ایمن کنیم؟

  • مطمئن شوید که از سرویس میزبانی وب امن استفاده می‌کنید.
  • پیکربندی وب‌سایت خود را برای امنیت بهتر وردپرس تغییر دهید.
  • هات‌لینک را از سایر وب‌سایت‌ها مسدود کنید.

6. چرا وردپرس این‌قدر هک می‌شود؟

  • مالک وب‌سایت اقدامات امنیتی کافی وردپرس را اعمال نمی‌کند.
  • تقریباً نیمی از وب‌سایت‌های موجود از وردپرس استفاده می‌کنند.

7. چرا به وب‌سایت وردپرس حمله می‌شود؟

  • وب‌سایت وردپرس شما ممکن است حفره‌های امنیتی مانند افزونه‌های قدیمی و رمزهای عبور ضعیف و دسترسی اشتباه به فهرست wp-admin داشته باشد.
  • به‌طور منظم امنیت وب‌سایت خود را افزایش نمی‌دهید.
  • از چک‌لیست امنیتی وردپرس ما استفاده کنید تا مطمئن شوید که اقدامات امنیتی کافی را در وب‌سایت خود اعمال کرده‌اید.

8. بهترین افزونه امنیتی وردپرس چیست؟

  • کاملاً به نیاز وب‌سایت شما بستگی دارد؛ ولی ما Wordfence یا Sucuri را به‌عنوان بهترین افزونه‌های امنیتی وردپرس برای محافظت کلی توصیه می‌کنیم.
  • اگر وب‌سایت شما فروشگاه آنلاین است، Sucuri می‌تواند انتخابی عالی باشد.
  • اگر به‌دنبال افزونه امنیتی رایگان وردپرس هستید، Wordfence گزینه‌ای قوی است.

  • با خدمات ابری پارس پک آشنا شوید

    اولین ارائه‌دهنده خدمات رایانش ابری در ایران هستیم

    سرور ابری

    با ابرسرورها می‌توانید سرور با سیستم‌عامل دلخواه خود را در چند دقیقه انتخاب و نصب نموده و آزادانه منابع سخت‌افزاری که در نظر دارید را، در زمان دلخواه به سرور خود بیافزایید و تنها برای منابع مورد نیاز سرور، هزینه پرداخت نمایید.

    فضای ابری

    فضای ابری یا Cloud Storage، بستری امن و مطمئن با آپتایم بالا و دسترس پذیری بالا می‌باشد که می‌توانید داده‌ها واطلاعات خود را بر روی آن نگه داری کنید.فضای ذخیره‌سازی ابری پارس‌پک با بهره‌مندی از پروتکل S3 آمازون، با امنیت بالا در دسترس شما.

    هاست وردپرس

    هاست ابری وردپرس پارس پک سرویسی قوی و پایدار است که برای نصب و راه‌اندازی سیستم مدیریت محتوای وردپرس بهینه شده است. هاست wordpress با کنترل پنل DirectAdmin ارائه می‌شود که رابط کاربری گرافیکی ساده و راحتی دارد.

    خرید هاست ابری

    در هاست ابری برخلاف یک هاست اشتراکی، سایت‌های پر بازدید نیز بسادگی می‌توانند از خدمات میزبانی استفاده کنند، بدون آنکه درگیر دغدغه‌های مدیریت سرور شوند. همواره تنها برای آن میزان از منابع سخت‌افزاری که نیاز دارید هزینه می‌پردازید و دیگر نیازی به پرداخت هزینه‌های غیر موجه، در ابتدای فعالیت وب سایت خود، نخواهید داشت.

    هاست دانلود

    بسیاری از مدیران سایت‌های دانلود و یا سایت‌هایی که با ترافیک بالایی برای به اشتراک‌گذاری فایل‌های خود روبرو هستند، عمدتا با مشکلاتی مانند هزینه‌های گزاف زیرساختی و یا مصرف بالای منابع سخت‌افزاری روبرو می‌شوند. از همین رو پارس‌پک با معرفی فضای هاست دانلود برای این دسته از کاربران، محصول مناسبی را پیش‌بینی نموده است.

  • مطالعه این مطالب نیز پیشنهاد می‌شود

    مقالات و نظرات اعضای تیم ما درباره تکنولوژی، روزهای کاری و چیزای دیگر…

      • پروسه انقضای دامنه برای TLD‌ها
        پروسه تاریخ انقضای دامنه برای هر TLD متفاوت است و شما قبل از انتخاب و خرید هر کدام باید از این پروسه و شرایط مختص هر دامنه آگاهی داشته باشید. برای بررسی کامل موضوع با ما همراه باشید.
      • آموزش نصب MySQL روی CentOS 8
        MySQL روی CentOS 8 به‌آسانی نصب می‌شود؛ اما بدون ایمن‌سازی و پیکربندی اولیه نمی‌توان از آن استفاده کرد. پس برای آموزش کامل مراحل نصب و راه‌اندازی با ما همراه باشید.
      • معرفی رکورد DMARC ایمیل + آموزش فعال‌سازی آن در سی‌پنل و دایرکت‌ادمین
        DMARC روتکلی است که به افزایش امنیت ایمیل کمک می‌کند، اما دقیقا چطور این کار را انجام می دهد و چطور آن را در دو کنترل پنل دایرکت ادمین و سی پنل نصب کنیم؟ با ما همراه باشید.
  • کلیه حقوق برای پارس پک محفوظ می باشد.

    Copyright © 2022 ParsPack Cloud Computing Technology ® , All Rights Reserved.