چگونه وردپرس را امن کنیم ؟

مقدمه
وردپرس یکی از محبوب ترین سیستم مدیریت محتوا (CMS) در جهان است. در حال حاضر 4.5٪ وب سایت ها در سراسر جهان در ماشین های وردپرس اجرا می شوند و تا به حال وردپرس تا 76.5 میلیون بار نصب شده است، محبوبیت وردپرس نیز از بین نرفته است و شما باید راه های ایمن سازی وردپرس را یاد بگیرید تا از هک شدن سایت خود جلوگیری نمایید.

آنچه شما نیاز دارید
دسترسی به صفحه مدیر وردپرس
دسترسی به حساب میزبانی وب شما (اختیاری)

مرحله 1 - مطمئن شوید که وردپرس شما همیشه به آخرین نسخه به روزرسانی می شود.

این اولین و مهم ترین نکتهمیباشد. اگر می خواهید یک وب سایت پاک داشته باشید، باید وردپرس خود را به آخرین نسخه ارتقا دهید. اگر چه این به نظر ساده میرسد  اما آیا می دانید که تنها 22 درصد از وب سایت های نصب شده با آخرین نسخه وردپرس هستند.

نکته : برخی از قالب ها و افزونه های وردپرس با نسخه جدید وردپرس سازگار نخواهند بود پس حتما قبل از بروزرسانی بک آپی تهیه فرمایید تا در صورت بروز مشکل سایت خود را به حالت اول بازگردانید.

وردپرس یک سیستم به روز رسانی خودکار را از نسخه 3.7 اجرا کرده است، با این حال، این به روز رسانی تنها برای به روز رسانی جزئی امنیتی کار می کند. بنابراین، به روز رسانی اصلی کل باید به صورت دستی انجام شود.

مرحله 2 - از جزئیات ورود به سایت استفاده کنید

آیا شما در میان کسانی هستید که اغلب از نام کاربری admin  استفاده می کنند؟ اگر بله، شما فرصت هکرها را برای راحتی در هک بیشتر کرده اید. بیشتر توصیه می شود نام کاربری حساب کاربری admin  را به دیگری تغییر دهید (اگر مطمئن نیستید که چگونه این کار را انجام دهید)، یا یک حساب کاربری جدید با یک نام کاربری دیگر ایجاد کنید و بقیه را حذف کنید. لطفا اگر این روش 2 را ترجیح دادید، لطفا این مراحل را دنبال کنید:

1. به داشبورد وردپرس خود وارد شوید

2. به بخش کاربران از منو بروید و بر روی افزودن جدید کلیک کنید.

3. یک کاربر جدید ایجاد کنید و نقش Administrator را به آن کاربر اختصاص دهید.

4. با نام کاربری که ایجاد کرده اید  به وردپرس وارد شوید.

5. دوباره به منوی کاربران بروید و کاربر Admin را حذف کنید.( در هنگام حذف مطالب را به کاربر جدید اختصاص دهید )

همچنین میتوانید با استفاده از این آموزش بدون حذف کاربر ادمین نام کاربری را از هاست خود تغییر دهید: آموزش 

به خاطر داشته باشید رمز عبور خوب نقش بسیار مهمی در امنیت وردپرس دارد، زیرا کلمات کلیدی که شامل ترکیبی از اعداد، حروف بزرگ و حروف و کاراکترهای خاصی هستند، بسیار مشکل است.

مرحله 3 - تأیید اعتبار 2 مرحله ای را فعال کنید

تأیید صحت دو مرحله ای یک لایه امنیتی اضافی برای صفحه ورود به سیستم شما فراهم میکند. همانطور که از نام آن پیداست، این ویژگی مراحل اضافی را که برای تکمیل ثبت نام لازم است تکمیل کنید اضافه کنید. همانطور که در حال حاضر می تواند به طور گسترده ای برای دسترسی به ایمیل، بانکداری اینترنتی و یا ورود به حساب دیگر که حاوی اطلاعات حساس است استفاده می شود. پس چرا سعی نکنید تا بتوانید وردپرس خود را امن کنید؟

اگر چه این روش به نظر بسیار دشوار است، اما در واقع تأیید دو مرحله ای در وبلاگ وردپرس بسیار ساده است. همه چیزهایی که لازم دارید انجام دهید این است که برنامه تأیید صحت 2 مرحلهای را نصب کنید و برنامه را در WordPress خود پیکربندی کنید. شما می توانید یک راهنمای کامل در مورد نحوه ایجاد تأیید دو مرحله ای در WordPress پیدا کنید. آموزش

مرحله 4 - گزارش خطا PHP را غیرفعال کنید

گزارش خطا PHP هنگامی مفید است که شما در حال ایجاد یک وب سایت هستید و مطمئن شوید همه چیز در حال کار است. با این حال، نمایش خطاها برای همه، درست نیست.

شما باید این را در اسرع وقت برطرف کنید. نگران نباشید، لازم نیست برنامه نویس باشد. فقط برای خاموش کردن تابع گزارش خطای PHP در وردپرس باشد. بسیاری از ارائه دهندگان خدمات میزبانی این امکان را برای خاموش کردن گزارش های خطا در پانل کنترل خود فراهم می کنند. اگر نه، راه ساده است. شما می توانید به سادگی چند خط کد را به فایل wp-config.php اضافه کنید. شما می توانید از FTP client یا File Manager برای ویرایش فایل wp-config استفاده کنید:

آموزش استفاده از اف تی پی فایل زیلا

error_reporting(0);
@ini_set(‘display_errors’, 0);

مرحله 5 - از تم های وردپرس خطرناک استفاده نکنید

هزاران تمپلیت و پلاگین در اینترنت وجود دارد. کاربران می توانند آن را از منابع مختلف به صورت رایگان دانلود کنند. آنچه آنها اغلب نمی دانند این است که بسیاری از این افزونه ها و تم ها با نرم افزارهای مخرب یا لینک های کلاه سیاه پوشیده شده اند.

قالب ها و افزونه های خود را از منابع معتبر دریافت کنید.

مرحله 7 - انتقال وب سایت وردپرس به میزبانی وب امن تر

این ممکن است به نظر کمی عجیب و غریب برسد، اما آمار نشان می دهد که بیش از 40 درصد از وب سایت های وردپرس فقط به دلیل سوراخ امنیتی در حساب میزبانی هک شده است. این آمار باید باعث شود  حداقل شما  مجددا گزینه های میزبانی وب خود را بررسی می کند و بلافاصله وردپرس خود را به یک حساب کاربری میزبانی امن تر انتقال می دهد.

گام هشتم - پشتیبان گیری را تا حد ممکن انجام دهید

وب سایت های بزرگ از حملات هک هر روز آزاد نیستند، گر چه صاحب مقدار زیادی پول برای تقویت امنیت وردپرس صرف کرده است.

اگر شما تمام راهنماها و نکات را در این مقاله دنبال کنید، نباید هرگز فراموش نکنید که وب سایت خود را به صورت دوره ای پشتیبان گیری کنید.

راه های کافی برای پشتیبان گیری وجود دارد. به عنوان مثال، شما می توانید فایل های WordPress را بصورت دستی و پایگاه داده های صادراتی را دانلود کنید. شما همچنین می توانید از ویژگی پشتیبان استفاده کنید که میزبانی شما را ارائه می دهد.

مرحله 9 - ویژگی ویرایش فایل را خاموش کنید

همانطور که می دانید، وردپرس دارای یک فایل ویرایشگر داخلی است که به شما اجازه می دهد فورا فایل های PHP  را ویرایش کنید. اگر چه این ویژگی بسیار مفید است اما در واقع خطر بالقوه نیز دارد. اگر یک مهاجم دسترسی به صفحه مدیر شما داشته باشد، اولین چیزی که او دنبال خواهد کرد، یک ویرایشگر فایل است. برخی از کاربران وردپرس ترجیح میدهند این ویژگی را غیرفعال کنند. به سادگی فایل wp-config.php را ویرایش کنید و خط زیر را اضافه کنید:

define( 'DISALLOW_FILE_EDIT', true );

بله، این همه چیزی است که شما باید انجام دهید تا ویژگی ویرایش فایل را در WordPress خاموش کنید.

مهم: اگر می خواهید این ویژگی را مجددا فعال کنید، از سرویس گیرنده FTP یا میزبان پرونده میزبانی وب خود استفاده کنید و این کد را از فایل wp-config.php حذف کنید.

مرحله 10 - حذف تم ها و پلاگین های استفاده نشده

تم ها و پلاگین هایی که نیاز به آنها ندارید را حذف نمایید.

مرحله 11 - استفاده از .htaccess برای امنیت بهتر

فایل htaccess برای لینک ها در وردپرس لازم است به درستی کار کند، زیرا بدون مجموعه صحیح قوانین در فایل htaccess، پیام های خطای 404 در وب سایت شما ظاهر می شود.

چند کاربر نمی دانند که .htaccess همچنین می تواند برای بهبود امنیت وردپرس استفاده شود. برای مثال، با استفاده از htaccess شما می توانید دسترسی یا غیر فعال کردن پی اچ پی در پوشه های خاص را مسدود کنید. چند نمونه نشان می دهد چگونه می توانید از .htaccess برای محافظت از امنیت وردپرس استفاده کنید:

مهم: قبل از انجام هر گونه تغییر، پشتیبان گیری از فایل های .htaccess بسیار توصیه میشود. برای انجام این کار می توانید از سرویس گیرنده FTP یا مدیر فایل استفاده کنید.

مسدود کردن دسترسی به صفحه مدیر

کد زیر صفحه مدیریت وردپرس خود را فقط از IP های خاص قابل دسترسی خواهد کرد.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

در کد، شما باید xx.xx.xx.xxx را به آدرس IP خود تغییر دهید. شما می توانید از این وب سایت برای بررسی آدرس IP خود استفاده کنید. اگر برای مدیریت وردپرس خود از بیش از 1 اتصال استفاده می کنید، مطمئن شوید فراموش نکنید که آدرس IP دیگر اتصال را شامل می شود (مقدار آن به صورت رایگان بر اساس نیاز شما است). هنگام استفاده از آدرس های IP پویا این کد توصیه نمی شود.

اجرای PHP را در پوشه خاص غیرفعال کنید

هکرها میخواهند اسکریپت backdoor را آپلود کنند تا پوشه ها را در WordPress آپلود کنند. به طور معمول، این پوشه معمولا فقط برای آپلود فایل های رسانه ای استفاده می شود. بنابراین، این پوشه نمی تواند شامل فایل های PHP باشد. شما می توانید به راحتی اجرای PHP را با ایجاد یک فایل .htaccess جدید در پوشه / wp-content / uploads با استفاده از اسکریپت زیر انجام دهید:

<Files *.php>
deny from all
</Files>

از فایل های wp-config محافظت کنید

فایل wp-config حاوی فایل های اصلی تنظیمات وردپرس و جزئیات پایگاه داده MySQL است. بنابراین، این مهمترین فایل وردپرس است. بنابراین، این فایل ها اغلب هدف اصلی هکرها در حمله هستند. با این حال، شما به راحتی می توانید این فایل را با اسکریپت قانون در .htaccess به صورت زیر محافظت کنید:

<files wp-config.php>
order allow,deny
deny from all
</files>

نتیجه
اگر چه وردپرس یکی از بهترین CMS های جهان است، امنیت آن را دشوار نخواهد بود. در این آموزش ما 11 راهنمایی را برای پیاده سازی امنیت وردپرس شما ارائه داده ایم.