چک لیست امنیت وردپرس
امنیت در سایت همانند محافظت از خانه و محل زندگی شماست. وقتی خانه یا محل کار خود را ترک میکنید، درها و پنجرهها را نمیبندید؟ چرا برای وب سایت خود همین کار را نمیکنید؟
امنیت یک سایت وردپرسی قرار نیست به آسانی صورت گیرد. وردپرس مانند سایر وب سایتها میتواند مورد حمله هکرها قرار گیرد. بنابراین با اجرای نکات امنیتی و اقدامات پیشگیرانه سایت خود را از آسیبپذیریهای احتمالی محافظت کنید.
این یک شایعه است که میگوید وردپرس از رایجترین سیستمهای مدیریت محتوای هک شده است. توجه کنید که امنیت وردپرس پایین نیست. این مائیم که در هنگام راهاندازی سایت نکات امنیتی را در نظر نمیگیریم.
<?php
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');
?>
define( 'DISALLOW_FILE_EDIT', true );
define(‘DISALLOW_FILE_MODS’,true);
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);
define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../path/to/wp-config.php');
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
define('WP_DEBUG_DISPLAY', true);
امنیت در سایت همانند محافظت از خانه و محل زندگی شماست. وقتی خانه یا محل کار خود را ترک میکنید، درها و پنجرهها را نمیبندید؟ چرا برای وب سایت خود همین کار را نمیکنید؟
امنیت یک سایت وردپرسی قرار نیست به آسانی صورت گیرد. وردپرس مانند سایر وب سایتها میتواند مورد حمله هکرها قرار گیرد. بنابراین با اجرای نکات امنیتی و اقدامات پیشگیرانه سایت خود را از آسیبپذیریهای احتمالی محافظت کنید.
امنیت وردپرس یکی از موضوعاتی است که اهمیت بسیار بالایی برای مدیران وبسایتهای وردپرسی دارد. گزارشات نشان میدهند که در هر دقیقه بیش از ۹۰ هزار وبسایت وردپرسی هک میشوند و گوگل روزانه بیش از ۱۰ هزار وبسایت را به دلیل بدافزارهای موجود در آنها و فیشینگ در لیست سیاه خود قرار میدهد.
ما در این مقاله، نکات مهم افزایش امنیت وردپرس را به شما معرفی میکنیم تا بتوانید در مقابل هکرها و بدافزارها از وبسایت خود محافظت کنید.
چک لیست و پلن امنیت وردپرساین یک شایعه است که میگوید وردپرس از رایجترین سیستمهای مدیریت محتوای هک شده است. توجه کنید که امنیت وردپرس پایین نیست. این مائیم که در هنگام راهاندازی سایت نکات امنیتی را در نظر نمیگیریم.
چرا امنیت وردپرس مهم است؟
آیا هک شدن سایت وردپرسی را در گذشته تجربه کردهاید؟ اگر پاسخ مثبت است، ممکن است اهمیت امنیت وردپرس را بیش از دیگران درک کنید، اما اگر این گونه نباشد، پس مطالعهی این بخش از مقاله برای شما ضروری است.
هک شدن وبسایتهای وردپرسی رو به افزایش است و این موضوع تبدیل به موضوعی نگرانکننده شده است. اما تامین امنیت وردپرس در برابر هکرها و بدافزارها چندان پیچیده نیست و کافیست تا از دستورالعملها به خوبی پیروی کنیم.
وردپرس محبوبترین سیستم مدیریت محتواست به همین علت طبیعی است که هکرها ترجیح دهند تا وقت خود را به هک کردن یک پلتفرم پر استفاده و محبوب اختصاص دهند. البته وردپرس طی سالیان طولانی توسط متخصصان خبره بارها و بارها به روز رسانی شده است و اکنون پلتفرمی امن محسوب میشود. متخصصان وردپرس بلافاصله پس از یافتن هرگونه اشکال در کد و یا رخنهی امنیتی، ورژن جدیدی از وردپرس را ارائه میکنند که نسبت به ورژن قبلی امنیت بالاتری دارد.
هک شدن سایتهای وردپرسی به علت ناامن بودن این پلتفرم نیست بلکه در اکثر مواقع به علت عدم رعایت نکات ایمنی از جانب مدیران سایتهاست.
در صورتی که یک وبسایت هک شده در لیست سیاه گوگل قرار بگیرد، بازگردانی آن و اعتماد از دست رفتهی مشتریان بسیار مشکل و میتوان گفت تا حدی غیر ممکن است.
ممکن است به این فکر کنید که امکان ندارد یک هکر به دنبال کسبوکار کوچک من بیاید. اما بد نیست بدانید که هک شدن فقط برای برندهای بزرگ و سرشناس رخ نمیدهد و یک گزارش نشان میدهد که ۴۳% از قربانیان، صاحبان کسبوکارهای کوچک بودهاند.
اکثر اوقات هک شدن به طور مستقیم قابل مشاهده نیست و این اتفاق در سکوت رخ میدهد. بدین صورت که سایت شما هک میشود و فرد هکر از منابع آن سوء استفاده میکند؛ برای مثال از سایت شما برای ارتکاب جنایات خود، از جمله آلوده کردن وبسایتهای دیگر و ارسال ایمیلهای گروهی ناخواسته استفاده میکند.
علائم سایت وردپرس هک شده چیست؟
همانطور که پیشتر اشاره کردیم؛ اکثر اوقات هک شدن به طور مستقیم قابل مشاهده نیست. گاهی اوقات برخی علائم میتوانند نشان دهندهی هک شدن وبسایت شما باشند. در ادامه با برخی از این علائم آشنا میشویم.
۱) اگر گزارشهای Google Analytics خود را به صورت مداوم پیگیری میکنید و شاهد افت ناگهانی ترافیک هستید، این میتواند نشانهای از هک شدن سایت وردپرس شما باشد.
بسیاری از بدافزارها و تروجانها وجود دارند که ترافیک وبسایت شما را ربوده و آن را به وبسایتهای اسپم هدایت می کنند. برخی از آنها هنگام ورود کاربران، آنها را به سایتهای دیگری ریدایرکت میکنند و آنها برای لحظاتی در صفحات نامربوط سردرگم میشوند.
یکی دیگر از دلایل افت ناگهانی ترافیک سایت شما میتواند ابزار safe browsing (ابزار گوگل برای شناسایی سایتهای ناامن) باشد. این ابزار حتی ممکن است به کاربران در مورد امنیت وبسایت شما هشدار دهد.
برای دیدن گزارش امنیت میتوانید وبسایت خود را با استفاده از ابزار safe browsing بررسی کنید.
۲) از جمله علائم دیگر هک شدن سایت شما، عدم امکان ورود به داشبورد وردپرس است. همچنین در صورتی که سرور شما هک شده باشد امکان ارسال و دریافت ایمیل را نیز از دست میدهید.
۳) اگر در نتایج جستوجوی گوگل، عناوین و توضیحات متای سایت شما به درستی نشان داده نمیشود، بدین معناست که هکر از یک Backdoor برای تزریق کد به سایت شما استفاده کرده است تا عملکرد وبسایت شما را مختل کند.
۴) برخی هکرها با نمایش پیامهای پاپآپ روی صفحات شما سعی در تبلیغ وبسایتهای غیر قانونی و کسب درآمد از این روش را دارند. نکتهای که در اینجا وجود دارد این است که این پاپآپها تنها برای کاربرانی که از موتورهای جستوجو به سایت وارد میشوند، به نمایش درمیآید.
۵) بروز هرگونه اختلال در سایت، مانند کند شدن و ورود آدرسهای IP ناشناس به سرور نیز میتوانند گواهی بر هک شدن سایت شما باشند.
چرا وبسایتهای وردپرسی هک میشوند؟
انجام کارهای زیر موجب به خطر افتادن امنیت وردپرس شما میشوند:
- استفاده از هاست ناامن
- استفاده از نام کاربری و رمزعبورهای ضعیف یا تکراری
- دسترسی محافظت نشده به داشبورد ادمین وردپرس
- مجوزهای نادرست فایل WP
- نصب بودن ورژنهای قدیمی وردپرس
- استفاده از افزونهها و قالبهای قدیمی یا نال شده
- استفاده از Plain FTP به جای SFTP/SSH
- عدم پیکربندی صحیح فایل wp-config.php
- عدم تغییر پیشوند جداول وردپرس
آسیبپذیریهای WordPress که منجر به هک شدن میشوند
در ادامه با هم با رایجترین آسیبپذیریها و تهدیدات امنیتی وردپرس آشنا میشویم.
تزریق SQL یا SQL Injection
حملهی تزریق SQL با تزریق کد مخرب به ورودیهای آسیبپذیر سایت انجام میشود.
هکر در یک حملهی موفق، کوئری پایگاه داده را تغییر میدهد تا بتواند به جای اطلاعات مورد انتظار توسط وبسایت، اطلاعات مورد نظر خود را بازگرداند. فرد هکر با تزریق SQL حتی میتواند دادههای مخرب را به پایگاه داده اضافه کند.
حملهی Cross-site Scripting) XSS)
تزریق اسکریپتهای cross-site یا XSS نوعی از حمله میباشد که در آن مهاجمان اجازه پیدا میکنند تا اسکریپتهای مخرب را روی وبسایتها قرار دهند. کاربرانی که به وبسایت وارد میشوند، هدف اصلی این حمله هستند. با استفاده از اسکریپتهای cross-site، هکرها به طور مستقیم به کاربران حمله نمیکنند بلکه با گمراه ساختن کاربران، اطلاعات آنها را بدون اطلاع خودشان به سرقت میبرند.
حملهی Brute Force
Brute Force روشی برای هک کردن است که هکر در آن از تکنیک آزمون و خطا برای ورود به وبسایت، شبکه یا سیستم رایانهای استفاده میکند. هکرها برای ارسال تعداد زیادی درخواست به وبسایت مقصد از ربات خودکار استفاده میکنند. این ربات تلاش میکند تا در هر درخواست، اطلاعات مورد نیاز برای دسترسی، مانند رمزهای عبور یا کدهای PIN را حدس بزند. همچنین میتواند از آدرسهای IP مختلف استفاده کند که در این صورت شناسایی و مسدود کردن این فعالیتهای مشکوک برای سیستم هدف دشوارتر خواهد شد.
حملهی Denial of service) DDoS)
حملهی انکار سرویس توزیع شده یا DDoS به سایتهای وردپرس،حمله به کامپیوتر یا یک سیستم شبکه است که باعث میشود یک سرویس یا منبع برای کاربران قانونی قابل دسترسی نباشد. این حمله به طور معمول باعث از بین رفتن اتصال شبکه، به دلیل مصرف پهنای باند شبکهی قربانی میشود.
DDoS با اشباع پورتها با جریان اطلاعات ایجاد میشود و باعث میشود سرور(ها) بیش از حد بارگیری شوند و قادر به ادامهی خدمات نباشند. این حمله “انکار سرویس توزیع شده” نامیده میشود زیرا باعث میشود سرور نتواند پاسخ تمامی درخواستها را تامین کند. این تکنیک توسط هکرها برای از کار انداختن سرورهای هدف استفاده میشود.
چک لیست امنیت وردپرس
حال با وجود این آسیبپذیریها و حملات امنیتی، چگونه میتوان امنیت وردپرس را افزایش داد؟ چک لیست زیر در زمینهی تامین امنیت وردپرس به شما کمک میکند.
هستهی وردپرس، قالبها و پلاگینهای خود را به روز نگه دارید
ممکن است این مورد کاملاً واضح به نظر برسد، اما به روز بودن نسخهی وردپرسی که استفاده میکنید، یکی از اساسیترین و مهمترین موارد امنیت وردپرس است. بسیار مهم است که در اسرع وقت، پس از انتشار نسخهی جدید وردپرس، قالب سایت، اسکریپتها و افزونهها، به روز رسانی شوند. پلتفرم وردپرس متن باز است، به این معنی که هر فردی میتواند کدهای آن را تجزیه و تحلیل کرده و حفرههایی را کشف کنند. این حفرههای امنیتی یکی از متداولترین روشها برای دسترسی هکرها به وبسایت شما هستند. شما با به روز رسانی به موقع میتوانید این حفرهها را پوشش دهید و از وبسایت خود محافظت کنید.
هر کدام از ورژنهای وردپرس حفرههای امنیتی خاص خود را دارند و اطلاع از ورژن وردپرس توسط هکرها میتواند فرآیند هک را برای آنها سادهتر کند. آنها از طریق آدرس www.example.com/readme.html میتوانند ورژن وردپرس سایتها را مشاهده کنند. اما شما میتوانید با مخفیسازی ورژن وردپرس خود، از این خطر تا حدودی در امان بمانید. برای مخفیسازی از روش زیر استفاده کنید:
فایل Functions.php وبسایت خود را باز کرده و قطعه کد زیر را در آن قرار دهید:
<?php
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');
?>
سپس تغییرات را ذخیره کنید. با اعمال این تغییرات دیگر ورژن وردپرس شما قابل مشاهده نخواهد بود.
از قالبها و افزونههای رایگان با تعداد نصب پایین استفاده نکنید
در بعضی از قالبها و پلاگینهای رایگان و پولی، کدهایی مخرب وجود دارد. آنها ظاهری جذاب دارند و به شما اجازه میدهند تا عملکردهای ویژهای را به سایت خود اضافه کنید. خوب است بدانید که رایگان بودن آنها به معنای بی خطر بودن نیست. آنها به دلیل رایگان بودن ممکن است توسط توسعهدهنده پشتیبانی و به روز رسانی نشوند و در آینده برای شما و کاربرانتان مشکلاتی به وجود آورند.
به هیچ عنوان افزونهها و قالبها را از منابع ناشناس و ناامن دریافت نکنید و آنها را تنها از مخزن وردپرس و فروشگاههای معتبر دریافت کنید.
یک افزونه امنیت وردپرس را نصب کنید
یک پلاگین امنیت وردپرس به شما کمک میکند تا برخی اقدامات امنیتی را تنها با چند کلیک ساده انجام دهید. پلاگینهای امنیتی وردپرس زیادی برای ایمنسازی سایت شما وجود دارد که تلاشهای رباتها و هکرها را برای هک کردن وبسایت شما، خنثی میکنند.
یکی از محبوبترین افزونههای امنیت وردپرس، Sucuri Security میباشد. شما میتوانید این افزونهی رایگان را از مخزن وردپرس نصب و فعال نمایید.
پس از فعالسازی، از منوی وردپرس به منوی “Sucuri” بروید. اولین کاری که از شما خواسته میشود تا انجام دهید، تولید یک کلید API رایگان است. این کار ورود به سیستم حسابرسی، اعتبارسنجی، هشدارهای ایمیلی و سایر ویژگیهای مهم را امکان پذیر میکند.
سپس از منوی تنظیمات روی تب “Hardening” کلیک کنید. برای تمامی گزینهها در بخش “Hardening Options” بر روی دکمهی “Apply Hardening” کلیک کنید.
این گزینهها به شما کمک میکنند تا مناطق اصلی را که هکرها اغلب در حملات خود استفاده میکنند، قفل کنید. تنها گزینهی غیر رایگان این صفحه، “Web Application Firewall” میباشد که در ادامه به آن خواهیم پرداخت.
سایر تنظیمات پیشفرض افزونه برای اکثر وبسایتها، به اندازهی کافی مناسب هستند و نیازی به تغییر ندارند. تنها گزینهای که پیشنهاد میکنیم آن را سفارشیسازی کنید، Email Alerts میباشد. با مراجعه به بخش Alerts میتوانید ارسال ایمیل هشدارهای امنیتی را تنظیم کنید.
این افزونه امنیت وردپرس بسیار قدرتمند است. بنابراین در تمامی تبها و تنظیمات آن کاوش کنید تا همهی اقدامات لازم مانند اسکن بدافزار، گزارشهای حسابرسی، ردیابی تلاشهای ورود ناموفق و… را انجام دهید.
Web Application Firewall) WAF) را فعالسازی کنید
سادهترین راه برای محافظت از سایت خود و اطمینان خاطر در مورد امنیت وردپرس، استفاده از فایروال وب اپلیکیشن یا WAF است. فایروال کلیهی ترافیکهای مخرب را قبل از رسیدن به وبسایت شما، مسدود میکند. در ادامه دو سطح DNS و سطح اپلیکیشن در فایروال را معرفی میکنیم:
- فایروال سطح DNS
ترافیک مخرب ورودی به وبسایت شما را از طریق سرورهای پروکسی ابری خود هدایت میکند. این کار به آنها اجازه میدهد تا فقط ترافیک اصلی را به سرور وب شما ارسال کنند. - فایروال سطح اپلیکیشن
پلاگینهای فایروال در این سطح، ترافیک را به محض رسیدن به سرور شما و قبل از بارگذاری اسکریپتهای وردپرس آزمایش میکنند.
ما به شما استفاده از فایروال وب اپلیکیشن Sucuri را توصیه میکنیم. این فایروال تضمین میکند که در صورت هک شدن وبسایت شما را تعمیر میکند.
به طور منظم از وبسایت خود بکاپ (Backup) بگیرید
پشتیبانگیری(Backup) به صورت منظم (ساعتی، روزانه، هفتگی، ماهیانه و سالیانه) به شما کمک میکند تا در صورت بروز مشکل، بتوانید به راحتی آن را به حالت عادی باز گردانید و مانع از دست رفتن دادهها و اعتماد کاربران شوید.
پلاگینهای پشتیبانگیری زیادی وجود دارند که شما میتوانید از آنها استفاده کنید. ما در این مقاله دو افزونهی پشتیبانگیری را به شما معرفی میکنیم:
افزونهی پشتیبانگیری BlogVault
BlogVault به عنوان معتبرترین افزونهی پشتیبانگیری وردپرس با میزان ترمیم ۱۰۰٪ شناخته شده است. BlogVault ویژگیهایی را ارائه میدهد که ممکن است در هیچ افزونهی پشتیبانگیری وردپرس پیدا نکنید. برخی از ویژگیهای این افزونه عبارتند از:
- پشتیبانگیری افزایشی
- پشتیبانگیری برنامه ریزی شده
- پشتیبانگیری خودکار
- بار اضافی صفر بر روی سرور
- مهاجرت آسان به یک سرویس میزبانی دیگر
- داشبورد متمرکز برای مدیریت چندین کار برای چندین وبسایت
- پشتیبانگیری کامل در حسابهای Google Drive و Dropbox
- تهیهی نسخهی پشتیبان از وبسایتهای فروشگاهی
- نظارت بر آپتایم
افزونهی پشتیبانگیری BackWPUp
یکی دیگر از افزونههای عالی که برای تهیهی نسخهی پشتیبان در نظر گرفته شده BackWPUp است. این افزونه دارای بیش از ۶۰۰ هزار نصب فعال است و استفاده از آن نسبتاً آسان میباشد. برخی از ویژگیهای این افزونه عبارتند از:
- پشتیبانگیری از فایلهای وردپرس
- پشتیبانگیری از پایگاه داده
- پشتیبانی از شبکهای متشکل از چند سایت
- تهیهی نسخهی پشتیبان خودکار و بازیابی آن
- پشتیبانی از گزینههای مختلف ذخیرهسازی
از پروتکل امن HTTPS استفاده کنید
پروتکل امن HTTPS با استفاده از رمزنگاری دادههایی که بین کاربران و سرور سایت رد و بدل میشود، امنیت آنها را افزایش میدهد. استفاده از HTTPS رتبهی سایت شما در موتورهای جستوجو و اعتماد کاربران به شما را افزایش مییابد.
اگر سایت فروشگاهی و یا سایتی دارید که با اطلاعات محرمانه و خصوصی مشتریان مانند اطلاعات حساب بانکی سروکار دارد، اکیداً توصیه تا از پروتکل HTTPS استفاده نمایید.
شما برای راهاندازی سرویس HTTPS نیاز به خرید گواهینامه SSl دارید. با استفاده از گواهینامههای SSL ، در کنار نوار آدرس مرورگر شما یک قفل سبز رنگ و علامت https نمایان خواهد شد.
از رمزهای عبور ایمن استفاده کنید
بهتر است همیشه از رمزهای پیچیده و ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص استفاده کنید. از رمزهایی مانند تاریخ تولد، نام فرزند، شماره موبایل و… استفاده نکنید زیرا هکرها به راحتی میتوانند به این رمزها دست پیدا کنند.
علاوه بر این با تعیین سیاستهای سخت گیرانه اطمینان حاصل کنید که کاربران و سایر مدیران سایت شما از رمز عبور ایمن استفاده میکنند. استفاده از رمز عبور ضعیف توسط یک کاربر میتواند امنیت کل وبسایت شما و حساب کاربری تمام بازدیدکنندگان را به خطر اندازد.
همچنین میتوانید از احراز هویت دو مرحلهای استفاده کنید. در این روش، با وارد کردن کد کپچا (CAPTCHA) یک پیام کوتاه حاوی یک کد یک بار مصرف برای شما ارسال میشود و از این طریق میتوانید به پیشخوان مدیریت دسترسی داشته باشید.
ویرایشگر قالب و افزونههای خود را غیر فعال کنید
ویرایشگر قالب از مسیر Appearance>Theme Editor و ویرایشگر افزونه از مسیر Plugins>Plugin Editor قابل دسترس هستند. اگر برای اولین بار به این مسیرها وارد شوید پیغامی مبتنی بر هشدار در مورد ویرایش این فایلها به شما نشان داده میشود. در صورتی که هکرها بتوانند به داشبورد وردپرس شما دسترسی پیدا کنند میتوانند کدهای مخرب خود را در این فایلها قرار دهند.
برای غیر فعال کردن بخش ویرایشگر قالب و افزونهها تنها کافیست تا به فایل wp-config.php خود وارد شوید و قبل از عبارت ‘That’s all, stop editing! Happy publishing’ کد زیر را وارد کنید:
define( 'DISALLOW_FILE_EDIT', true );
به منظور غیر فعال کردن نصب افزونه و قالب نیز میتوانید کد زیر را به این فایل اضافه کنید:
define(‘DISALLOW_FILE_MODS’,true);
سپس تغییرات را ذخیره کنید.
پیشوند جداول پایگاه داده را تغییر دهید
اگر به phpMyAdmin سایت وردپرسی خود وارد شوید و به جداول پایگاه داده نگاهی بیندازید، متوجه خواهید شد که پیشوند تمامی یازده جدول پایگاه داده “_wp” میباشد.
این موضوع باعث میشود تا کار هکرها سادهتر شود. بنابراین میبایست این پیشوند را تغییر دهید. شما این تغییر را میتوانید هنگام نصب وردپرس انجام دهید. بدین صورت که به فایل wp-config.php وارد شده و مقدار table_prefix را از _wp به هر عبارت دیگری تغییر دهید.
همچنین با استفاده از افزونهی Brozzme DB Prefix & Tools Addons نیز میتوانید پیشوند جدولهای پایگاه داده را تغییر دهید.
تغییر کلیدهای امنیتی وردپرس (WordPress Salts)
کلیدهای امنیتی وردپرس حاوی عناصر تصادفی و پیچیدهای هستند که میتوان گفت شکستن آنها غیر ممکن است. این کلید موجب میشود تا اطلاعات ذخیره شده در کوکیها به صورت امنتر رمزگذاری شوند.
به فایل wp-config.php وارد شوید. در این فایل کلیدهای وردپرس را به صورت زیر مشاهده میکنید.
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);
این کلیدها را پاک کنید و به صفحهی WordPress salts Generator وارد شوید. این صفحه در هر بار رفرش(refresh)، کدهای منحصر به فردی را به شما تحویل میدهد. آنها را کپی کرده و در فایل wp-config.php در محل کدهای قبلی جایگذاری کنید. سپس تغییرات را ذخیره کنید.
همچنین شما میتوانید از افزونهی Salt Shaker برای این منظور استفاده کنید.
مسیر دسترسی به فایل wp-config.php را تغییر دهید
برای تغییر مسیر دسترسی، شما میتوانید این فایل را در خارج از فولدر public_html قرار دهید. روی فایل wp-config.php کلیک راست کرده و گزینهی move را انتخاب کنید. مقصد مورد نظر را انتخاب کنید و سپس فایل را انتقال دهید. سپس در مکان قبلی این فایل، یک فایل جدید با همان نام ایجاد کنید و آدرس جدید این فایل (path/to/) را به صورت زیر در آن قرار دهید:
define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../path/to/wp-config.php');
سطح دسترسی فایل wp-config.php را تغییر دهید
متخصصان امنیت توصیه میکنند که سطح دسترسی این فایل را روی ۶۰۰ تنظیم کنید تا تنها مدیران اصلی قادر به ویرایش کردن آن باشند. برای تنظیم سطح دسترسی روی این فایل راست کلیک کرده، گزینهی Change Permissions را انتخاب کنید و سطح دسترسی را بر روی عدد ۶۰۰ قرار دهید. سپس قطعه کد زیر را در فایل .htaccess قرار دهید:
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
در پنجرهی باز شده گزینهی show hidden files را انتخاب کرده و تغییرات را ذخیره کنید.
خطاهای وردپرس را با کمک فایل wp-config.php پیدا کنید
فعالسازی حالت دیباگ به شما در یافتن خطاهای ممکن و مسیر دقیق وقوع خطا کمک میکند. شما میتوانید این حالت را برای یافتن خطاها فعال و پس از رفع خطا، آن را غیر فعال کنید.
برای فعالسازی این حالت به فایل wp-config.php مراجعه کرده و کد زیر را به این فایل اضافه کنید.
define('WP_DEBUG_DISPLAY', true);
پس از فعالسازی این گزینه، خطاهای موجود در بخش پیشخوان مدیریت وردپرس به شما نمایش داده میشوند.
برای غیر فعال کردن نیز کافیست تا مقدار true را به false تغییر دهید.
مسیر صفحهی ورود به پنل پیشخوان وردپرس را تغییر دهید
افزونههای مختلفی برای تغییر صفحهی لاگین وردپرس وجود دارد. با این کار صفحات wp-admin و wp-login دیگر در دسترس نخواهند بود و شما میتوانید هر نام دیگری را برای صفحهی ورود خود انتخاب کنید.
برای انجام این کار، شما میتوانید از افزونهی Hide login page, Hide wp admin – stop attack on login page استفاده کنید.
تلاش هکران را برای انجام حملهی Brute Force خنثی کنید
همانطور که پیشتر نیز گفتیم، هکرها با استفاده از رباتها سعی میکنند تا با امتحان کردن رمزهای عبور مختلف، به سایت شما وارد شوند. شما میتوانید با استفاده از پلاگین login lockdown تنظیمات صفحهی ورود را به گونهای انجام دهید تا پس از ۴ بار ورود ناموفق، حساب کاربری مورد نظر برای مدت زمان مشخصی مسدود شود. همچنین در صورت تکرار نیز میتوانید IP و مکان جغرافیایی وی را مسدود کنید.
از هاست ایمن و با کیفیت استفاده کنید
تمامی دادهها و اطلاعات شما و کاربرانتان در هاست شما قرار دارد. به همین دلیل استفاده از هاست امن، مهمترین نقش را در امنیت سایت بر عهده دارد.
این نکته را نیز در نظر داشته باشید که هاستهای VPS، اختصاصی و ابری نسبت به هاستهای اشتراکی امنیت بالاتری دارند.
جمع بندی
تامین امنیت وردپرس کار سختی نیست و تنها با رعایت نکات امنیتی سادهای که در مورد آنها صحبت کردیم، میتوانید امنیت وردپرس خود را تضمین کنید. نکاتی مانند عدم استفاده از پلاگینها و قالبهای ناامن، ایمنسازی پایگاه داده و استفاده از یک هاست امن، نصب پلاگین امنیت وردپرس، به روز رسانی هسته، قالبها و پلاگینها باعث افزایش امنیت وردپرس شما میشوند.
آخرین ویرایش توسط مدیر: