نکاتی مهم برای افزایش سطح امنیت وردپرس
- آموزش • آموزش وردپرس
- ۲۹ بهمن ۱۴۰۲
- 1,611 بازدید
یکی از مهم ترین مسائلی که مدیران وب سایت ها با آن مواجه هستند، امنیت وب سایت است. مقابله با تهدیدهای احتمالی و افزایش سطح ایمنی سایت از آن جمله اقداماتی است که هر مدیر وب سایتی باید برای آن برنامه ریزی کرده باشد.
در این میان عده ای از افراد بر این باور هستند که با استفاده از سیستم های مدیریت محتوا مانند وردپرس، دیگر لزومی به انجام کار خاصی در این زمینه نیست. چراکه خود سیستم مدیریت محتوا ایمن است. باور اشتباهی که می تواند به هزینه از دست رفتن وب سایت و هک شدن آن بینجامد.
بنابراین، هر شخصی که برای خود وب سایت راه اندازی می کند، می بایستی حتما به امنیت آن نیز توجه داشته باشد. حال اگر شما از CMS وردپرس استفاده می کنید، این مقاله از وبیت را تا انتها دنبال کنید تا شما را با نکات ضروری برای امنیت وردپرس آشنا کنیم.
آنچه در این پست میخوانید
انتخاب هاستینگ معتبر
درست است که اسکریپت وردپرس به صورت رایگان منتشر می شود، اما هرگز فکر این را هم نکنید که به سراغ هاست های رایگان بروید. حتی انتخاب هاستینگ هایی که سرویس های ارزان قیمت ارائه می کنند نیز پیشنهاد نمی شود.
در صورتی که یک هاستینگ معتبر برای سایت خود انتخاب کرده باشید، خیالتان راحت خواهد بود که از طرف هاستینگ مشکل امنیتی به وجود نخواهد آمد. علاوه بر اینها، اکثر هاستینگ های بزرگ و معتبر اقدامات امنیتی فراوانی را تدارک دیده اند تا اگر حملاتی بر روی سایت شما اتفاق افتاد، آن حملات را مدیریت کنند و از آسیب رسیدن به سایت شما جلوگیری کنند.
بنابراین مطمئن شوید شرکتی که از آن هاست تهیه کرده اید، در مقابل حملات تدابیر امنیتی لازم را اندیشیده باشد و کیفیت را فدای قیمت نکنید.
بررسی افزونه ها
قبل از اینکه بخواهید از افزونه ای بر روی سایت وردپرسی خود استفاده کنید، به آمار و ارقام آن افزونه توجه داشته باشید. برخی از افزونه ها به دلیل کدنویسی ضعیف حفره های امنیتی را به وجود می آورند که هکرها از آن طریق می توانند به سایت نفوذ کنند.
بنابراین به هنگام استفاده از افزونه ها به خصوص آنهایی که رایگان هستند، به موارد گفته شده دقت کنید و مطمئن شوید که نویسنده آن افزونه فرد یا شرکتی مطمئن باشد.
دسترسی ها را محدود کنید
بسیاری از اوقات لازم است که به افراد دیگر جهت مدیریت سایت دسترسی داده شود. کاری که خیلی ها انجام می دهند، به اشتراک گذاری اطلاعات اکانت خودشان است که به هیچ وجه توصیه نمی شود.
اگر لازم است که شخصی مانند یک نویسنده بر روی سایت کار کند، برای خود آن فرد یک اکانت مجزا ایجاد کنید و سطح دسترسی آن را نویسنده یا ویرایشگر انتخاب کنید تا به قسمت های مهم سایت دسترسی نداشته باشد. خلاصه کلام اینکه، در نگه داری از اطلاعات ورود خود نهایت دقت را داشته باشید.
رمز عبورتان را مرتبا عوض کنید
هرچقدر از عمر رمزی که استفاده می کنید بگذرد، کار برای هکرها راحت تر خواهد شد. به عبارتی هکرها با استفاده از نرم افزارهایی تمامی رمزهای عبور را سعی می کنند که بر روی سایت شما امتحان کنند، بنابراین اگر رمز خود را به طور مرتب تغییر ندهید، این احتمال وجود دارد که رمزتان کشف شود.
به همین دلیل بهتر است که رمز خود را بازه های زمانی متفاوت و نزدیک به هم تغییر دهید تا کرک کردن آن کاری سختتر شود.
از رمزعبور قدرتمند استفاده کنید
در نکته قبلی از امنیت وردپرس به تغییر مداوم رمز عبور اشاره شد، اما تنها تغییر مدام رمز عبور کافی نیست و شما باید از رمز عبورهای قدرتمند استفاده کنید.
طی بررسی های صورت گرفته مشخص شده است که کرک کردن رمز عبورهایی که تنها 6 حرف کوچک دارند برای هکرها 10 دقیقه زمان خواهد گرفت. پس برای اینکه بتوانید رمز عبوری قدرتمند داشته باشید حتما و حتما باید از حروف کوچک و بزرگ، اعداد و علایم استفاده کنید.
کار را متخصصان بسپارید
وردپرس یکی از ساده ترین سیستم های مدیریت محتوا است و به همین دلیل اکثر افرادی که این سیستم استفاده می کنند، از دانش فنی تحت وب برخوردار نیستند و تنها قادر به مدیریت سایت از طریق پیشخوان هستند و اقدامات دیگری را نمی توانند انجام دهند.
در صورتی که شما هم از این دسته افراد هستید و دانش های فنی و امنیتی را ندارید، به شدت توصیه می شود که از یک متخصص امنیت کمک بگیرید. در نظر داشته باشید که اگر هم اکنون مبلغ اندکی را بابت ایمن سازی سایت خود پرداخت نکنید، ممکن است در آینده چند برابر آن را ضرر کنید!
امنیت دستگاه های ارتباطی با سایت
همیشه لازم نیست که به طور مستقیم حمله کرد. گاهی اوقات می توان با ارسال ویروس و تروجان بر روی سیستم مدیر سایت اطلاعات ورود به سایت را فهمید و به راحتی وارد ناحیه مدیریت سایت شد.
استفاده از آنتی ویروس های قدرتمند و آپدیت شده به همراه دیوار آتش از ساده ترین کارهای امنیتی است که می توانید بر روی رایانه خود انجام دهید.
بروز نگه داشتن وردپرس
امکان ندارد که کاربر وردپرس باشید و پیغام بروزرسانی را ندیده باشید، مگر اینکه کاربر خیلی خیلی جدید این سیستم مدیریت محتوا باشید. به هرحال بروزنگه داشتن کار بسیار مهمی است. در صورتی که مستندات بروزرسانی های وردپرس را مشاهده کنید می توانید متوجه شوید که در اغلب این بروزرسانی ها موارد امنیتی و باگ های موجود رفع شده است. به همین دلیل اگر نمی خواهید که در سایت شما حفره امنیتی وجود داشته باشد، پس حتما از آخرین نسخه منتشر شده استفاده کنید.
استفاده از نام کاربری غیر از admin
یکی از راه هایی که می توانید سایت خود را در مقابل دسترسی سایر افراد محفوظ نگه دارید، عدم استفاده از نام کاربری عمومی مانند admin می باشد. از آنجا که نام کاربری مانند admin بیشتر رایج است، هکرها ابتدا کار خود را با هدف قرار دادن این نام کاربری شروع می کنند.
بنابراین اگر شما از نام کاربری دیگری استفاده کنید و اطلاعات آن را در سایت درج نکنید، هکرها کار سخت تری پیش روی خواهند داشت. برای مثال، یکی از بخش هایی که نام کاربری وجود دارد، آرشیو مربوط به نویسنده سایت است.
فایل های هک شده را پیدا کنید
آیا شک کرده اید که سایت شما هک شده است و برخی از فایل ها دستکاری شده اند؟ پس بهتر است که با استفاده از ابزارهای موجود این سوء ظن را برطرف کنید.
بدین منظور می توانید از افزونه هایی مانند Sucuri یا Wordfence استفاده کنید که فایل ها و پایگاه داده سایت را جهت شناسایی کدهای مخرب بررسی می کنند.
برای پوشه wp-admin رمز بگذارید
پوشه مربوط به مدیریت وردپرس wp-admin است. بر روی این پوشه یک رمز عبور از طریق پنل هاست قرار دهید تا امنیت سایت را در مقابل نفوذهای احتمالی افزایش دهید. در این حالت اگر شخصی بخواهد وارد قسمت مدیریت وردپرس شود در مرحله اول باید یوزر و رمزی که برای پوشه قرار داده اید را رد کند و سپس فرم لاگین وردپرس نمایش داده شود.
پیشوند پایگاه داده وردپرس را عوض کنید
راه اندازی یک وب سایت وردپرسی کار راحتی است، اما این راحتی می تواند موجب سقوط هم شود. به هنگام راه اندازی وردپرس یکی از اطلاعاتی که پرسیده می شود، پیشوند برای جدول های پایگاه داده است که البته لزومی ندارد که خودتان آن را ویرایش کنید، چراکه وردپرس آن را به صورت پیشفرض خودش تکمیل می کند.
خیلی ها این مرحله را نادیده گرفته و با همان پیشوند پیشفرض اقدام به نصب وردپرس می کنند که کار شناسایی جدول های پایگاه داده را برای هکر آسان می کند. تغییر پیشوند البته جلوی هکر را نخواهد گرفت اما جلوی حمله های نرم افزاری را حداقل می تواند بگیرد. پس بهتر است که پیشوندی به جزء مقدار پیشفرض را استفاده کنید.
بررسی امنیت پوسته های رایگان
برخی از پوسته های رایگان با هدف های مختلف منتشر می شوند. در برخی از آنها از کدینگ هایی مانند base64 استفاده می شود که طراح در آن لینک های مخفی به کار می برد و یا کدهای مخرب دیگر را به سایت های استفاده کننده از آن پوسته تزریق می کند.
البته ما نمی گوییم که همه پوسته های رایگان با هدف های نادرست ارائه شده اند، تنها برخی از پوسته ها این چنین می باشند. اما بهتر است همیشه کدهای پوسته ای که استفاده می کنید را خودتان یکبار بررسی کنید.
همیشه بک آپ داشته باشید
یکی از کارهای مهمی که مدیران سایت ها باید انجام دهند، تهیه نسخه پشتیبان از سایت می باشد. فرض کنید اگر سایت شما توسط هکر مورد نفوذ قرار گرفته باشد و در آن خراب کار کند چه کار می توانید انجام دهید؟ همان طور که خودتان هم می توانید حدس بزنید بک آپ سایت را بازگردانی می کنید. به همین دلیل داشتن بک آپ از اهمیت بالایی برخوردار است.
تنظیمات افزونه های امنیتی
در وردپرس برای مقابله با تهدیدات امنیتی افزونه هایی وجود دارند که می توانید با استفاده از آنها سایت خود را ایمن سازی کنید. اما برخی از این افزونه ها نیاز به تنظیماتی دارند که اگر آنها را به درستی انجام ندهید، نتیجه عکس خواهند داشت. پس بهتر است که در استفاده از این افزونه ها دقت بیشتری داشته باشید.
دسترسی برای آپلود فایل
ماهیت برخی از وب سایت ها این نیاز را به وجود می آورد که بازدید کنندگان بتوانند فایل هایی را در سایت آپلود کنند. در چنین شرایطی در اگر یک شخص هکر فایل مخرب را بتواند آپلود کند، امنیت سایت با خطر جدی مواجه خواهد بود. به همین دلیل در انجام این کار بسیار محتاط باشید و در صورت امکان از یک شخص متخصص کمک بگیرید تا راه کارهای مقابله با فایل های مخرب را پیاده سازی کند.
البته اگر یک وب سایت عادی دارید، بهتر است که اصلا چنین دسترسی به بازدید کنندگان داده نشود.
از گواهی امنیتی SSL استفاده کنید
اگر در سایت خود داده هایی را از کاربران دریافت می کنید و در مقابل داده هایی را برای آن ارسال می کنید، حتما گواهی SSL تهیه کنید.
به تهیه SSL پروتکل وب سایت از HTTP به HTTPS که امنتر است تغییر پیدا خواهد کرد و دیگر شنود اطلاعات غیرممکن خواهد شد. همچنین در نظر داشته باشید که مرورگرهای معروفی مانند گوگل کروم و موزیلا فایرفاکس نیز در نسخه های جدید وب سایت های بدون SSL را نام امن نشان می دهند!