Skip to content
امنیت وب‌سایت های وردپرسی

فهرست مطالب

امنیت وب‌سایت های وردپرسی

یکی از اصلی‌ترین نگرانی‌های مدیران وردپرس، اطمینان از امنیت وب‌سایت های وردپرسی خود است که نمی‌توان به راحتی از آن غفلت کرد. به دلیل محبوبیت وردپرس در میان پلتفرم‌های ساخت وبسایت، همواره با خطرات هک و نفوذ مواجه است. استفاده گسترده از وردپرس در بسیاری از وب‌سایت‌ها منجر به افزایش مسائل امنیتی وردپرس شده است. از آنجا که امنیت مفهوم نسبی است و نمی‌توان گفت که هر سیستمی کاملاً ایمن است، لازم است از تمام راهکارهای ممکن برای بهبود امنیت در وردپرس استفاده شود.

در این مقاله از مجله آموزشی آساراد، هدف ما ارائه راهکارهایی برای افزایش امنیت وب‌سایت های وردپرسی است تا بتوانید با پیاده‌سازی این راهکارها وب‌سایت خود را ایمن کنید، پس با ما همراه باشید.

wordpress

  

نکات کلیدی و مهم برای افزایش امنیت وب‌سایت های وردپرسی:

1. به‌روزرسانی‌های وردپرس

اولین روش برای ایمن‌سازی وب‌سایت های وردپرسی، به‌روزرسانی وردپرس و تمام افزونه‌های آن است. وردپرس یک سامانه مدیریت محتوای متن‌باز است که به‌صورت منظم به‌روزرسانی می‌شود. وردپرس به‌صورت خودکار به‌روزرسانی‌های کوچک را انجام می‌دهد، اما برای به‌روزرسانی نسخه‌های اصلی، کاربران باید این فرآیند را از داشبورد راه‌اندازی کنند.

2. ایجاد رمزهای عبور قوی

رمزهای عبور قوی می‌توانند از هکرها جلوگیری کنند تا به‌طور غیرمجاز به اطلاعات کاربر دسترسی پیدا کنند. رمزهای عبور منحصربه‌فرد نه تنها برای بخش مدیریت وردپرس، بلکه برای حساب‌های کاربری دیتابیس، حساب‌های هاستینگ و آدرس‌های ایمیل نیز ضروری هستند.

3. امنیت فایل پیکربندی وردپرس

این یکی از مهمترین جنبه‌های امنیت وب‌سایت های وردپرسی است چرا که اطلاعات دیتابیس را در خود جای داده است. پیشنهاد می‌شود امنیت این فایل را با استفاده از تدابیر امنیتی افزایش دهید تا دسترسی هکر به آن محدود شود.

4. امنیت فایل htaccess

در سامانه‌های وب که معمولاً با HTML و PHP نوشته شده و بر روی سرورهای لینوکس میزبانی می‌شوند، فایل .htaccess برای پیکربندی دایرکتوری‌ها و فایل‌ها در سرور وب آپاچی استفاده می‌شود. قرار دادن یک فایل htaccess در یک دایرکتوری این امکان را فراهم می‌کند که توسط سرور وب آپاچی شناسایی و اجرا شود. یک فایل htaccess می‌تواند به سرور وب دستور دهد که چگونه اطلاعات انواع مختلف را نمایش دهد و درخواست‌های مختلف HTTP را اداره کند. این فایل بسیار مفید است زمانی که دسترسی ریشه به سرور برای کنترل آپاچی وجود ندارد و یکی از راه‌های افزایش امنیت وب‌سایت های وردپرسی است.

5. تغییر نام کاربری ادمین

اگر نام کاربری “admin” در وردپرس استفاده شود، وب‌سایت به شدت آسیب‌پذیر می‌شود. وقتی یک هکر نام کاربری “admin” را در صفحه ورود وردپرس وارد می‌کند، آسان است که تشخیص دهد که کاربر هدف از سایت، ادمین است زیرا تنها پیام نمایش داده شده این است: “رمزعبوری که برای نام کاربری admin وارد کرده‌اید، صحیح نیست.” این تایید اعتبار نام کاربری ادمین را تایید می‌کند و حمله‌کننده سپس با تلاش‌های مختلف به دست آوردن رمزعبور ادامه می‌دهد. برای امنیت بهتر وب‌سایت های وردپرسی، توصیه می‌شود از این کلمه استفاده نشود.

6. تغییر پیشوند جداول

حین نصب وردپرس، گزینه‌ای برای پیشوند جدول ارائه می‌شود که به‌صورت پیشفرض “_wp” است. شما می‌توانید این پیشوند را به هر نامی که ترجیح می‌دهید تغییر دهید. این پیشوندها قبل از نام‌های جداول دیتابیس شما افزوده می‌شوند. با تغییر آنها، مسیر کلی جداول دیتابیس تغییر می‌کند و به‌طور موثر مسیرهای دسترسی را مخفی کرده و تازه‌کاران پتانسیل حمله را مسدود می‌کند.

7. استفاده از SSL

SSL (لایه سوکت امن) برای ایمن‌سازی پروتکل HTTP استفاده می‌شود تا اطمینان حاصل شود که داده‌ها به صورت امن انتقال پیدا کنند. این امکان را به وب‌سایت‌ها می‌دهد که اطلاعات را به صورت امن بین سرور و مرورگر تبادل کنند و از اطلاعات خود در برابر حملات احتمالی حفاظت کنند.

8. غیرفعال‌سازی دایرکتوری‌های میزبان

هکرها ممکن است از طریق دایرکتوری‌ها به فایل‌ها دسترسی پیدا کرده و زمینه را برای نفوذ به یک وب‌سایت و دزدیدن اطلاعات کاربران فراهم کنند. برای افزایش امنیت سایت، پیشنهاد می‌شود که دایرکتوری‌های میزبان غیرفعال شوند.

9. اضافه کردن احراز هویت دو عاملی

احراز هویت دو عاملی یک راهکار عالی دیگر برای جلوگیری از حملات نیروی وحشت است. در واقع، اگر از احراز هویت دو عاملی استفاده کنید، حتی اگر نام کاربری و رمزعبور شما به دست دیگران برسد، آنها نمی‌توانند به بخش مدیریت سایت دسترسی پیدا کنند و سایت خود را در برابر حملات نیروی وحشت محافظت می‌کنید.

10. پنهان کردن فایل‌های سیستمی مهم

اگر به مدت طولانی وب‌سایتی را با استفاده از سیستم مدیریت محتوای وردپرس طراحی کرده‌اید، احتمالاً با فایل‌های مهمی مانند wp-config.php و htaccess در وردپرس آشنا هستید. در واقع، این دو فایل از دیدگاه امنیتی بسیار مهم هستند.

این به خاطر این است که اطلاعات حیاتی درباره ساختار و پیکربندی سایت در این فایل‌ها ذخیره می‌شوند. حالا، حیاتی است که اطمینان حاصل شود که هکرها نمی‌توانند به این فایل‌ها دسترسی پیدا کنند.

برای افزایش امنیت فایل wp-config.php، بهتر است کد زیر را به فایل htaccess اضافه کنید.

apache
<Files wp-config.php>
order allow,deny
deny from all
</Files>

11. به‌روزرسانی قالب‌ها و افزونه‌ها

بهتر است همیشه قالب‌ها و افزونه‌های وب‌سایت خود را به‌روز نگه دارید. این به این دلیل است که شرکت‌های توسعه‌دهنده قالب‌ها و افزونه‌ها به طور منظم به‌روزرسانی‌ها را منتشر می‌کنند. در واقع، آسیب‌پذیری‌های امنیتی یا باگ‌های کوچکی وجود داشته باشد که شما از آن‌ها آگاه نیستید. به همین دلیل، توصیه می‌شود که تمام محصولات وب‌سایت خود را به‌روز نگه دارید.

12. غیرفعال‌سازی ویرایش فایل

اگر وب‌سایت شما توسط یک هکر مورد حمله قرار گرفته و به داشبورد وردپرس دسترسی یافته باشند، ممکن است تغییراتی در فایل‌های قالب شما ایجاد کنند از طریق مسیر Appearance > Theme Editor. این به واقعیت خطرناک است. با چند تغییر، وب‌سایت شما به صورت کامل آفلاین شده و به همین دلیل، توصیه می‌شود که کد زیر را به فایل wp-config.php خود اضافه کنید تا امنیت سایت شما افزایش یابد و ویرایشگر قالب در داشبورد وردپرس غیرفعال شود.

define(‘DISALLOW_FILE_EDIT’, true)