یکی از مهمترین مسایلی که پس از طراحی سایت برای صاحبان وردپرس، مطرح است، مسئله تامین امنیت سایت وردپرسی است. اگرچه وردپرس با ارائه به روزرسانی های متعدد امنیت خود را تامین می کند اما باز هم لازم است تا صاحبان وب سایت ها تمهیداتی را برای بالابردن امنیت سایت خود بیندیشتد تا گرفتار مسائل و موضوعات بعد از آن نشوند.
با توجه به نسئله افزایش امنیت سایت وردپرسی، مقاله پیش رو به توضیح این مطلب می پردازد که اصلاً چرا لازم استکه امنیت سایت تامین شود و در ادامه 10 پیشنهاد موثر و کارآمد برای افزایش امنیت سایت وردپرسی را ارئه می دهد. به شما پیشنهاد می کنیم، خواندن این مطلب را از دست ندهید.
چرا باید به تامین امنیت وردپرس اهمیت بدهیم؟
تامین امنیت سایت و کسبوکار اینترنتی موضوعی است که اهمیت زیادی برای مدیران سایت دارد. چراکه کسب درآمد و امنیت شغلی صاحبان این کسبوکارها وابستگی مستقیم به امنیت سایتشان دارد. به عبارتی دیگر میتوان گفت:
“دقیقا همانطور که یک فروشگاه فیزیکی در یک مکان مشخص از شهر نیاز به تامین امنیت دارد، یک فروشگاه و کسبوکار مجازی نیز نیازمند تامین امنیت و حفاظت است.”
از طرفی دیگر گوگل هر روز در حدود بیش از 10،000 وب سایت را به خاطر بدافزار بودن و حدود 50،000 وب سایت را به خاطر سرقت اطلاعات بانکی (phishing) هر هفته در لیست سیاه قرار میدهد. این بدان معناست گوگل برای تامین امنیت ارزش فوقالعاده زیادی قائل است و سایتهایی که از امنیت کمی برخورد دار باشند از نگاه گوگل سایتهای بیکیفیت تلقی میشوند که قطعا با افت رتبه در موتورهای جستجو مواجه خواهند شد.
پس اگر در مورد امنیت وبسایت خود جدی هستید، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این مقاله، ما بهترین نکات امنیتی وردپرس را برای محافظت از وب سایتتان در برابر هکرها و بدافزارها با شما اشتراک خواهیم گذاشت.
هک سایت چگونه انجام می شود؟
برای انجام یک رویکرد پیشگیرانه، ابتدا باید بدانید که سایت ها چگونه هک می شوند. تنها وقتی که نقاط ضعف را بدانید می توانید اقدامات لازم برای محافظت را انجام دهید.
طی تحقیقاتی که روی این مساله انجام شد، نتایج زیر به دست آمد:
- ۴۱% هک ها از طریق پلتفرم هاستینگ اتفاق افتاده است.
- ۲۹% از طریق قالب های آسیب پذیر وردپرس
- ۲۲% از طریق مسائل امنیتی افزونه های وردپرس
- ۸% از طریق اطلاعات لاگین ضعیف روی داده است.
راههای افزایش امنیت سایت وردپرسی
1- بروز نگه داشتن وردپرس
یکی از کارهای بسیار مهم در رابطه با افزایش امنیت سایت وردپرس بروزرسانی هسته وردپرس می باشد. شما باید حواستان به نسخه وردپرس که در حال استفاده از آن هستید ، باشد. همانطور که می دانید وردپرس هر چند وقت یکبار ، نسخه جدیدی ارائه می دهد که در نسخه های جدید مشکلات قبلی برطرف شده اند.
حتی گاهی اگر مقالات بخش اخبار وردپرس را در مخزن وردپرس مطالعه کرده باشید. در برخی بروزرسانی ها اعلام می کنند که چند مورد امنیتی در نسخه جدید برطرف شده است، که لازم است شما اقدام به بروزرسانی نسخه قدیمی وردپرس خود کنید.
اکثر هکرها و ربات های خرابکار برای نفوذ به سایت های مختلف ، بیشتر از سمت سیستم مدیریت محتوا این کار را انجام می دهند. پس وظیفه اول شما بروزرسانی به موقع و بروز نگه داشتن نسخه وردپرس می باشد.
2- استفاده از قالب و افزونه های اورجینال
دومین قدم که شاید بتوان گفت حتی از بروزرسانی وردپرس هم مهمتر است، استفاده از قالب ها و افزونه های وردپرس اورجینال می باشد. برخی از افراد به دلیل عدم آشنایی به سراغ قالب های نال و افزونه های نال شده می روند که این امر امنیت سایت را به خطر می اندازد. شما باید حواستان باشد که از وب سایت های معتبر و فروشگاه های معتبر اقدام به خرید و دانلود قالب و افزونه های وردپرس کنید.
قالب و افزونه های نال شده دارای کدهای مخربی می باشند که تجارت الکترونیک شما را به خطر می اندازند. در این بخش نمی خواهیم در رابطه با قالب و افزونه های نال و یا مشکلات آنها صحبت کنیم چرا که این موضوع برای خودش یک مقاله مجزا نیاز دارد. تنها پیشنهاد ما در این باره استفاده از فایل های سالم و اورجینال می باشد.
3- انتخاب نام کاربری و رمز عبور قوی برای وردپرس
زمانی که شما وردپرس را نصب می کنید باید در همان ابتدا برای خود یک نام کاربری و رمز عبور انتخاب کنید. لازم است رمز عبور شما به قدری قدرتمند و قوی باشد که به راحتی قابل حدس زدن نباشید. شاید تا به حال نام کرک را شنیده باشید. بسیار از افراد و ربات ها وجود دارند که اقدام به کرک کردن اطلاعات ورود به سایت ها می کنند.
فردی ( یا رباتی ) که کرک می کند اقدام به وارد کردن نام کاربری و رمز عبور تصادفی کرده و با آزمون و خطا موفق به پیدا کردن رمز کاربر می شود، حال ممکن است این کاربر مدیر سایت باشد.
در این صورت این شخص یا ربات به راحتی به مدیریت سایت وردپرسی شما دسترسی پیدا خواهد کرد. سعی کنید از رمز عبور قوی و غیر قابل حدس زدن استفاده کنید.
4- محدود کردن تعداد دفعات تلاش برای ورود
اطلاعات لاگین قوی تنها یک قسمت از معادله است. یک هکر با داشتن زمان کافی و تعداد دفعات تلاش برای ورود نامحدود، بالاخره موفق به هک کردن سایت خواهد شد.
بنابراین با محدود کردن تعداد دفعات تلاش برای ورود، سطح امنیت در وردپرس را بالا ببرید. وردپرس به صورت پیشفرض هیچ محدودیتی برای تعداد دفعات تلاش برای ورود به سایت قرار نداده است. اما افزونه هایی مانند افزونه WP Limit Login Attempts یا Login LockDown شما را قادر می سازد که تنظیم کنید یک آدرس IP مشخص قبل از ممنوعیت به صورت موقت یا دائمی چقدر مجاز است برای وارد شدن به سیستم تلاش کند.
5- پیاده سازی احراز هویت دو مرحله ای
احراز هویت دو مرحله ای به معنی گذاشتن یک گام دیگر در جلوی پای افرادی است که قصد لاگین کردن به سایت را دارند و امنیت در وردپرس را به میزان بیشتری افزایش می دهد. با انجام این کار جلوی حملات خودکار هر چقدر هم که زیاد باشد، گرفته می شود.
بسیاری از افزونه های امنیتی وردپرس تأیید هویت دو مرحله ای را در نسخه Pro خود ارائه می دهند. اما شما با استفاده از بهترین افزونه های تأیید هویت دو مرحله ای وردپرس که رایگان نیز هستند می توانید این ویژگی را در سایت خود پیاده سازی کنید.
6- اضافه کردن با احتیاط حساب کاربری
وقتی که شما یک بلاگ وردپرسی را راه اندازی می کنید، و یا یک وبسایت بلاگی چند نویسنده دارید، در این صورت شما باید با افراد مختلفی در ارتباط باشید که به ادمین پنل شما دسترسی دارند. این کار وبسایت شما را بسیار آسیب پذیر تر نسبت به تهدیدهای امنیتی می کند.
شما میتوانید از افزونه Force Strong Passwords برای کاربرها استفاده کنید که مطمئن باشید رمز عبور های که استفاده می کنند، پیچیده و امنیتی است.
7- بالا بردن امنیت وردپرس با تغییر نام کاربری ادمین وردپرس
ابتدا مطمئن شوید نام کاربری مدیر را admin قرار ندهید .در هنگام نصب وردپرس، شما نباید هرگز کلمه “ادمین” را برای نام کاربری ادمین اصلی استفاده کنید. یک نام کاربری ساده، راحت قابل پیدا شدن توسط هکر ها است. همه آنچه آنها پیدا کنند، رمز عبور است. سپس کل وبسایت شما در دستان افراد اشتباه قرار میگیرد.
افزونه iTheme security میتواند دسترسی همچین اقدام هایی را فورا با بستن ip آنها که می خواهند با همچین نام کاربری وارد شوند، قطع کند.
8- بالا بردن امنیت وردپرس با محافظت از فایل wp-config
فایل wp-config اطلاعات مهمی را در مورد نصب وردپرس نگهداری می کند و در واقع مهمترین فایل موجود در دایرکتوری وبسایت شما می باشد. محافظت از آن به معنای محافظت از هسته وردپرس شما است.
کار برای هکر هایی که می خواهند وبسایت شما را هک کنند، اگر به این فایل دسترسی نداشته باشند، سخت می شود.شما به راحتی می توانید از آن محافظت کنید، این کار را با بردن این فایل به سطح بالاتری در دایرکتوری خود انجام دهید.
حال سوال اینجاست که با تغییر مکان آن؛ وب سرور چگونه به آن دسترسی خواهد داشت و آن را پیدا می کند! معماری کنونی وردپرس به این گونه است که فایل های کانفیگ تنظیمات، در بالاترین اولویت قرار دارند. بنابراین، اگر در جای دیگری و بالاتر از روت دایرکتوری قرار گیرند، وردپرس هنوز می تواند آن را ببیند.
9- امن سازی wordpress با فعالسازی قابلیت wordpress administration secure
بعداز نصب و یا فعالسازی ssl بر روی سایت خود می توانید از این ویژگی بهره ببرید تا مطمئن شوید که پسوردها از کانالی امن عبور می کنند. جهت فعالسازی آن کافی است خط زیر را در فایل wp-config.php اضافه کنید:
define(‘FORCE_SSL_ADMIN’, true);
10- به درستی به سرور وصل شوید
زمانی که وبسایت خود را بالا می آورید، فقط با SFTP و یا SSH به وبسایت خود وصل شوید. SFTP همیشه به FTP قدیمی ترجیح داده میشود، آن هم به دلیل امنیت آن است. وصل شدن به سرور به این طریق، برای شما انتقال امن را فراهم می کند. با این وجود اگر این سرویس وجود نداشت به راحتی خودتان می توانید این کار را انجام دهید.