10 نکته برای امنیت بالاتر سایت های وردپرسی

10 نکته برای امنیت بالاتر سایت های وردپرسی

در این مقاله از بخش آموزش سئو سایت می خواهیم در مورد 10 نکته برای امنیت بالاتر سایت های وردپرسی صحبت کنیم.

اگر وب سایت وردپرسی دارید این نکات امنیتی برای سایت خود در نظر بگیرید تا در برابر آسیب­های امنیتی سمت سایتتان در امان باشید و امنیت بالاتری را برای سایت های وردپرسی خودتان ضمانت کنید.

در دنیای اینترنت در خصوص امنیت و آسیب ­پذیری سایت­ های وردپرسی هر هفته مقالاتی منتشر می­ شود که نشان می ­دهد بیش از 23 درصد از کل سایت ­های موجود در اینترنت را سیستم مدیریت محتوا وردپرس تشکیل می­ دهند که این تعداد هر روز در حال افزایش است.

با توجه به تعداد افزایش وب سایت ­های وردپرسی که از این پلتفرم وردپرس استفاده می ­کنند جای تعجب نیست که چرا هکرها سعی می­ کنند دائماً این پلتفرم را هک کنند و از آن سو استفاده کنند.

به دلیل این که وب سایت در صورت موفقیت در سئو سایت و افزایش ترافیک مناسب از اینترنت می­ تواند بخش وسیعی از بازدید کاربران را از آن خود کند.

برای امنیت در سایت چیکار کنم؟

به طور کلی برای امنیت برای سایت وردپرسی انجام مواردی مانند انتخاب هاست مناسب و طراحی و ایجاد قالب مناسب و نصب افزونه های تست می تواند به امنیت بیشتر سایت شما کمک کند.

فکر نکنید که این اتفاق برای سایت شما نمی­ افتد.

من هم مانند بسیاری افراد که سایت های وردپرسی دارند از هک و خطرات وب سایت در امان نبوده ­ام و اگر موارد امنیتی را رعایت نکنید و در وب سایت موارد امنیتی را پیاده نکنید سایت شما هم به زودی هک خواهد شد.

به منظور کمک به جلوگیری از نقض احتمالی امنیتی و جلوگیری از هک و از دست رفتن وب سایت در اینجا 10 نکته بر اساس تجربیاتی که آموخته ­ام را خواهم گفت که امیدوارم به شما کمک می­ کند تا وب سایت های وردپرس خود را ایمن­ تر نگه دارید:

1- سایت خود را با ابزار Google Webmaster Tools تایید کنید.

دریافت ایمیلی از گوگل که به من اطلاع می­ دهد سایتم در معرض خطر قرار گرفته است خیلی ترسناک خواهد بود که باز خدا را شکر گوگل من را از این خطر و موضوع اطلاع رسانی کرده است.

خیلی خطرناک­تر این است که آخرین نفری باشید که مطلع شوید که سایت شما هک شده و در معرض خطر قرار گرفته اید و از آن هم بدتر این است که اطلاعی نداشته باشید.

با دادن لینک و تایید سایت خود به گوگل با ابزار Google Webmaster Tools می ­توانید به داده ­های مهمی دسترسی داشته باشید و از طریق این اطلاعات می­ توانید برای یافتن مشکلات بالقوه سئو سایتتان مانند ترافیک سایت، میزان جستجوها و وضعیت لینک های داخلی و خارجی و پیام­ های اقدام کنید.

در واقع گوگل در ابزار Google Webmaster Tools خودش یک پنل اختصاصی مربوط به مسائل امنیتی اختصاص داده شده است تا به سایت شما کمک کند که وب سایت شما در کجا با مشکل مواجه شده است.

من مشخصا عملکرد Google Webmaster Tools را بسیار مفید می­ دانم زیرا شما می­ توانید صفحات سایت را همان طور که گوگل می­بیند ببینید.

این به ویژه در مورد هک شدن سایت های وردپرسی شما خیلی به شما کمک می ­کند.

در هک سایت های وردپرسی معمولاً یک تعدادی صفحات هرزنامه تولید می­ شود که این صفحات برای کاربران از طریق مرورگر قابل مشاهده نیستند اما در طریق ابزار Google Webmaster Tools گوگل و توسط خزنده­ های Googlebot قابل مشاهده و بررسی است.

این خیلی مهم است که سایت های وردپرسی شما از طریق پلتفرم Google Webmaster Tools گوگل تایید شده باشد و بتوایند با گوگل کار کنید.

سایت خود را با ابزار Google Webmaster Tools تایید کنید

2- سایت و افزونه ها و قالب های سایت را همیشه بروز نگه دارید.

در اکوسیستم مدیریت محتوا وردپرس، سه بخش وجود دارد که نیاز همیشه بروزرسانی شود. خود هسته وردپرس ، Plugins یا افزونه­ ها و Theme یا همان قالب های سایت.

بروزرسانی هسته وردپرس:

یکی از بهترین ویژگی هایی که در مورد وردپرس وجورد دارد این است که با بروزرسانی ­های سریع هسته وردپرس، تمامی حفره ­ها و موارد امنیتی را بررسی و حل می­ کند.

و از هسته وردپرس دائماً پلتفرم خودش را با هر نسخه جدیدی که ارائه می شود بروز می­ کند و هر بروزرسانی یک سری امکانات جدید و حفره ­های امنیتی و باگ­هایی را حل می­ کند.

پس بهتر است سایت های وردپرسی خود را همیشه بروز نگه دارید و مطمئن باشید با این بروزرسانی­ ها همیشه سایت وردپرسی شما از حداقل ترین موارد هک و خطرات امنیتی در امان هستند و اگر می­ خواهید طریقه و آموزش بروزرسانی هسته وردپرس را یاد بگیرید مقاله تنظیم خودکار بروزسانی وردپرس را مطالعه کنید.

بروزرسانی افزونه­ ها (Plugin Updates):

در بخش مدیریت وردپرس در قسمت افزونه­ ها می­ توانید لیست تمام افزونه هایی را که نصب شده است را ببینید و هر افزونه ­ای که نیاز به بروزرسانی داشته باشد به شما اطلاع رسانی خواهد شد.

برخی افزونه­ ها قابلیتی دارند که می ­توانند به صورت خودکار بروزرسانی شوند. اگر این چنین افزونه ­ای دارید پیشنهاد می­ کنم حتماً از این امکان و قابلیت استفاده کنید.

نکته: همچنین شما می ­توانید با قرار دادن کد زیر در فایل wp-config.php افزونه­ ها را مجبور به بروزرسانی خودکار کنید و هر زمان که لازم باشد افزونه بروز می­ شود.

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

بروزرسانی قالب­ ها (Theme Updates):

قالب­ های سایت مستعد و آماده حملات هستند و یک توسعه­ دهنده و برنامه­ نویس قالب بایستی قالب را طوری طراحی کند که هر زمان باگ و خطای آسیب­ پذیری به قالب وارد شد سریعا آن را بروز کند و مشکل را برطرف و اصلاح کند.

الان اکثر قالب­ های وردپرسی امکان و توانایی بروزرسانی خودکار را دارند اما اگر قالبی را دید که این قابلیت را نداشت کد زیر را در فایل wp-config.php قرار دهید:

add_filter( ‘auto_update_theme’, ‘__return_true’ );
سایت و افزونه ها و قالب های سایت را همیشه بروز نگه دارید

3- حواست باشه به چه کسی اعتماد می­کنی!

یکی از خوبی­ های وردپرس این است که در قسمت مدیریت پیشخوان وردپرس در بخش افزونه ها بخشی وجود دارد به نام افزودن که تمام افزونه ­هایی که برای وردپرس می ­باشد و بدون خطا و باگ هستند و تست شده ­اند وجود دارد. با خیال راحت می­ توانید با توجه به نیاز آن­ها را دانلود و نصب کنید.

در حال حاضر حدود 37723 افزونه برای وردپرس تهیه شده است.

واقعیت غم ­انگیز این است که هرگاه روی این پلتفرم وردپرس یک ابزار و یا افزونه بدون بررسی قرار دهید می­ تواند لیست جدیدی از حفره ­ها و آسیب ­پذیری امنیتی ایجاد کند.

اکثر حملات وردپرس اغلب از طریق همین حفره­ ها و آسیب ­پذیری که افزونه ­ها و قالب­ های سایت یافت می­ شود اتفاق می ­افتد.

هم­چنین این مورد را هم توجه کنید که دو سری افزونه داریم: افزونه ­های رایگان و افزونه های پولی.

اکثر مردم فکر می­ کنند که اگر برای یک افزونه پول پرداخت کنند تا ابد از حملات و خطرات و آسیب­ پذیری در امان هستند.

در حالی که خرید یک افزونه پولی تنها به خنثی کردن حملات کمک می­ کند و به این معنی نیست که 100 درصد تضمین کند هرگز برای سایت شما اتفاقی نمی ­افتد.

حتی زمانی که یک افزونه پولی یک خطر و تهدید را شناسایی می ­کند باید آن را اصلاح کنید و شما به عنوان مدیر وب سایت همچنان در معرض خطر هستید تا زمانی که افزونه­ ها در وب سایت شما بروز شوند.

این مورد در مورد وب سایت وردپرسی خودم و پلاگین Revolution Slider بود که در سال گذشته بیش از 100000 وب سایت را در معرض خطر قرار داد.

حواست باشه به چه کسی اعتماد می­کنی!

چند نکته مهم که باید قبل از نصب افزونه در وب سایت وردپرسی خود در نظر بگیرید:

  • آیا عملکرد این افزونه برای ارائه بهترین تجربه به کار ضروری است؟ اگر نه آن را نصب نکنید.
  • آیا افزونه اخیرا به روز شده است؟ هر افزونه در لیست پلاگین­ های وردپرس دارای لیستی از تغییرات را دارد. اگر مدت زیادی است که افزونه بروز نشده است. آن را نصب نکنید.
  • اگر این افزونه پولی و پرمیوم است آیا پشتیبانی ارائه می­ دهد و کاربران به افزونه چه رتبه ­ای می­ دهد؟ فقط افزونه ­هایی را نصب کنید که برنامه­ نویسان و توسعه­ دهندگان روی آن­ها کار می­ کنند و کاربران به آن امتیاز بالایی می­ دهند.
  • آیا افزونه ­ای وجود دارد که بتواند ویژگی­ های موجود در چندین افزونه را ترکیب و ادغام کند؟ در وب سایت هر چه افزونه ­های کمتری نصب کنید احتمال حمله به وب سایت شما کمتر می­ شود.
  • هرگز یک افزونه رایگان را از منبع ناشناس نصب نکنید.

4- سایت خود را به طور منظم Scan کنید.

ابزارهای بسیار خوبی وجود دارند که می­ توانند کل وب سایت شما را از malware بدافزارها، کدهای اضافه شده و سایر اتفاقات و ناهنجاری­ های عجیب و غریب که ممکن است به وب سایت آسیب بزند را Scan و بررسی کند.

برخی از محبوب ­ترین افزونه­ های Scan سایت وردپرس مانند: WordfenceSucuri Site Check و Code Guard می باشد.

بسیاری از این افزونه ­های اعلام شده نسخه رایگان دارند که می­ توانید آن ها را دانلود و استفاده کنید.

این ابزارهای Scan بسیار ارزشمند هستند زیرا می­ توانند به شما کمک کنند تا تمام فایل­ های موجود در سایت را بدون این که دستکاری کنید بررسی کنید تا مشخص شود که کدام کد یا فایل مضری باید حذف شود و آن را پیدا کنید.

اکثر این افزونه ­های Scan را می ­توان به گونه ­ای تنظیم کرد که سایت وردپرسی شما در پس زمینه به صورت خودکار Scan کند اگر چیزی غیر عادی پیدا کرد فوراً برای شما اعلام خواهد کرد.

5- تلاش­ های متعدد برای ورود به سایت را مسدود کنید.

هکرها اغلب از حمله ­ای به نام “brute-force” استفاده می­ کنند به این صورت که یک کد یا اسکریپتی آماده و به سمت سایت وردپرسی شما در بخش نام کاربری و ورود (ورود به مدیریت سایت) می­ فرستند.

به این صورت که میاد در صفحه ورود شما چندین نام کاربری و رمز عبور را به صورت تصادفی برای دسترسی به مدیریت سایت شما استفاده می­ کند.

یکی از بهترین راه­ هایی که می­ توان در مقابل این نوع حمله مقاومت کرد و آن را متوقف کرد این است که کاربرانی که تلاش­ های متعدد برای ورود دارند را مسدود کنند.

اساس این کار با قفل کردن دسترسی کاربر به سایت شما در صورتی که بخواهد به صورت چندین بار و مستمر به ورود مدیریت سایت شما وارد شود و اقدام کند.

این تقریبا همیشه یک ویژگی است که در افزونه ­های Scan سایت ذکر شده در بخش 4 در بالا گنجانده شده است.

پس از قفل شدن کاربر، آدرس IP کاربر در قالب گزارش ثبت و نمایش داده خواهد شد تا بتوانید اقدامات بیشتری را برای مسدود کردن آن کاربران برای همیشه انجام دهید.

6- امنیت پایگاه داده وب سایت

اگر این را نمی­ دانستید، بدانید که ورپرس از پایگاه داده MySQL که در سرور هاست وب سایت شما ایجاد شده است استفاده می­ کند.

این پایگاه داده شامل یک نام کاربری و رمز عبور است که برای تنظیمات کلی در سایت و تنظیم روی برخی افزونه ­هاست.

که این نام کاربری و رمز عبور بایستی کلمه عبور آن پیچیده و منحصر به خود باشد و از کلمه عبور پیش­فرض وردپرس استفاده نکنید.

7- هرگز از نام کاربری «Admin» استفاده نکنید.

همان طور که در بخش­های بالاتر در مورد حمله “brute-force” صحبت کردم هکرها از اسکریپت ­هایی استفاده می­ کنند که سعی می ­کنند که نام کاربری و رمز عبور سایت شما را حدس بزنند تا به بخش مدیریت سایت دسترسی داشته باشند.

پس بهتر است از نام کاربری مدیریت سایت Admin نباشد و از هر نامی جز Admin باشد.

از آن جایی که اکثر وب سایت­ های وردپرسی در پایگاه داده نام کاربری به نام Admin را دارند مرتباً مورد حمله “brute-force” قرار می­ گیرند که بتوانند به وب سایت وردپرسی شما دسترسی پیدا کنند.

در پایگاه داده در جدول کاربران یا نام کاربری Admin را تغییر نام دهید یا کاربر را کامل حذف و کاربر جدیدی با دسترسی کامل مدیریت ایجاد کنید.

قبل از انجام هر یک از مواردی که گفتم حتما و حتماً از وب سایت خود کامل یک نسخه پشتیبان Backup بگیرید. یا برای انجام این کار از یک برنامه­ نویس و طراح وب کمک بگیرید.

هرگز از نام کاربری «Admin» استفاده نکنید

برای انجام این کار:

  1. در پنل مدیریت سایت وردپرسی خودتان، در قسمت کاربران روی گزینه کاربران کلیک کنید.
  2. در قسمت کاربران، نامی جز نام Admin قرار دهید و برای کلمه عبور یک رمز عبور قوی و پیچیده استفاده کنید و در قسمت نقش روی گزینه مدیر سیستم کلیک کنید.
  3. پس از تکمیل تمامی موارد لازم دکمه بروز رسانی شناسنامه انتخاب کنید تا کاربری جدید ایجاد شود.
  4. سپس از بخش مدیریت کامل خارج شوید و با استفاده اطلاعات و نام کاربری جدیدی که همین الان ایجاد کرده ­اید، وارد شوید.
  5. بعد از ورود در پنل مدیریت (پیشخوان مدیریت) مجدد وارد پنل کاربری بخش کاربران شوید و نام کاربری Admin را کامل حذف کنید.
  6. سپس تمامی پست­ هایی که با کاربر قدیم Admin ایجاد شده را تغییر داده به نام کاربری جدیدی که الان تعریف کرده اید را نسبت دهید.

8- برای سایتتان از شرکت میزبان خوب هاست بگیرید.

هیچ چیزی ناامیدکننده ­تر از داشتن یک هاست بد و با سرعت پایین نیست و همچنین هاستی که در مقابله با حمله به وب سایت هیچ موردی را پشتیبانی نمی ­کند.

پس بایستی در انتخاب هاست دقت کافی را داشته باشید و از شرکت میزبانی مناسب و با تجربه هاست را تهیه کنید.

از آن جایی که ما در دنیایی زندگی می ­کنیم که حملات در آن بیداد می­ کند بایستی مطمئن شوید که هاستی که برای سایت وردپرسی خود تهیه می ­کنید شرایط زیر را داشته باشد:

  • بایستی از آخرین نسخه­ های PHP, MySQL, CPanel, Plesk پشتیبانی کامل کند.
  • بایستی از بروزرسانی و بهینه­ سازی­ های وردپرس کامل پشتیبانی کند.
  • بتواند هاست و حساب کاربران را ایزوله و محافظت کند.
  • پشتیبانی تلفنی و ایمیل خوبی داشته باشد که هر زمان در مواقع بروز مشکل بتوان با آن­ها صحبت کرد و راهنمایی گرفت.
  • پشتیبانی هاست دارای افرادی قوی و با تجربه باشند و بهترین راه­ حل­ ها را پیشنهاد دهند.

با پیروی از این نکات گفته شده می­ توانید اطمینان حاصل کنید که پشتیبانی مناسب و ابزارهای لازم برای جلوگیری و بازیابی از حملات احتمالی وردپرس را دارید.

9- ویژگی­ های هاست را از هم جدا و محافظت کنید.

ما می­ توانیم روی یک هاست با یک حساب کاربری چندین نسخه وردپرس را نصب کنید.

که خود کاری بسیار مناسب و کاری حرفه ­ای است.

اما در صورت حمله به یکی از وب سایت­های شما، می­ تواند مشکلات زیادی را برای سایر وب سایت های شما ایجاد کند.

پس بایستی شرکت هاستیگ شما هاست شما، و سایر ویژگی و قابلیت­ های هاست شما را از هم جدا و تفکیک و و محافظت کند تا در صورت مشکل در یکی از بخش ­های هاست به سایر بخش ­ها مشکلی ایجاد نشود.

بنابراین، اگر وب سایتی دارید خیلی برای شما مهم است و ترافیک زیادی از وب سایت­تان دریافت می­ کنید و از این وب سایت­ها کسب درآمد می­ کنید بهتر است ویژگی این وب سایت­ ها را به طوری جدا و تفکیک و محافظت کنید که در صورت حمله به وب سایت بتوانید سریعاً از وب سایت­ ها پشتیبان­ گیری و بازیابی را انجام دهید.

10- برای Backup و پشتیبان گیری کامل از سایتتان برنامه داشته باشید.

وقتی صحبت از وردپرس و سایت­ های وردپرسی می­ شود، برای اینکه سایت شما همیشه کار کند باید از دو چیز همیشه Backup بک آپ بگیرید:

  • فایل­ های وب سایت در هاست
  • پایگاه داده ­ای که به آن متصل هستید

من نمی ­توانم به اندازه کافی روی این موضوع تاکید کنم که چقدر مهم است که همیشه به طور منظم از وب سایت خود به طور کامل نسخه پشتیبان Backup تهیه کنید.

گاهی اوقات یک نسخه پشتیبان Backup تنها راه برای بازگرداندن وب سایت شما به حالت نیمه کار است تا پس از حمله شروع به رفع مشکلات کنید.

الان اکثر شرکت­ هاستیک و میزبانی وب، به کاربران هاست­ هایی که ارائه می ­دهند راه­ های زیادی برای پشتیبان­ گیری کامل از پایگاه داده و فایل ­های سایت شما را دارند می­ توانید از وب سایت وردپرسی کامل نسخه پشتیبان تهیه کنید.

حتی در خود ورپرس افزونه­ هایی وجود دارد که می­ توانید از پایگاه داده و فایل­ های وب سایت کامل بک آپ Backup گرفته و یک نسخه پشتیبان تهیه کنید.

صرف نظر این کار را چگونه انجام دهید، نکته مهم این است که حتماً به طور منظم از سایت ­های خود بک آپ بگیرید و نسخه پشتیبان تهیه کنید.

پشتیبان­ گیری معمولاً از طریق شرکت­ های هاستینگ و میزبانی وب به طور منظم به صورت روزانه، هفتگی و ماهانه انجام می­ شود که هر چه این پروسه بیشتر باشد بهتر است.

این نکته هم در نظر داشته باشید پشتیبان­ گیری نیاز به فضا دارد و هر چه بیشتر این کار را انجام دهید فضای بیشتری از هاست را اشغال می­ کند.

می­ دانید فضا هم برای افزایش نیاز است هزینه کنید. پس بهتر است یا فضای هاست را ارتقا دهید یا نسخه­ های پشتیبان سایت را در سیستم لوکال خودتان یا در جای دیگری نگه­داری و ذخیره کنید.

نکته مهم دیگری که باید در مد نظر داشته باشید این است که همیشه پشتیبان­ گیری و Backup که شرکت­ های هاستینگ از وب سایت شما انجام می­ دهند 100 درصد تضمین نشده است.

به این معنی که شرکت از هاست و وب سایت شما بک آپ و پشتیبان Backup می­ گیرد اما این نسخه ­های پشتیبان هم در همان هاست شماست و اگر حمله و اتفاقی برای سایت شما بیافتد و در معرض خطر قرار بگیرید و هاست را از دست می دهید و خود فایل­ های پشتیبان هم از دست رفته است.

پس بهتر است به طور منظم هر چند وقت یک بار از نسخه ­های پشتیبان Backup سایت به طور کامل در جای دیگری از طریق جز در هاست و از طریقی انتقال Backup به سیستم شخصی خودتان در یکی از پارتیشن ها و یا در هاست اشتراکی دیگری مانند Googel Drive,DropBox قرار دهید.

و در صورت احتمال از دست دادن سایت و داده­ های احتمالی، یک نسخه دیگر داشته باشید و سایت را به طور کامل از دست ندهید.

خلاصه می کنیم:

در حالی که محافظت 100 درصد از وب سایت در برابر حملات غیر ممکن است قطعاً راهکارهایی وجود دارد که می­ توانید برای مبارزه و حملات احتمالی در سایت وردپرسی خود انجام دهید.

قطعاً بعضی از راهکارهای محافظت و امنیت پر هزینه است اما حتماً پیشنهاد می­ شود همه 10 موردی گفتم را در سایت خود پیاده کنید چون در برخی موارد از دست دادن وب سایت به منزله از دست دادن مشاغل خودتان هم می ­شود.

امنیت در سایت وردپرسی جدی است و به طور میانگین روزانه 82000 تهدید و حمله ایجاد و ممکن است به وب سایت های وردپرسی وارد می شود.

آیا نکات مهم دیگری در مورد امنیت وردپرس وجود دارد که در این مقاله نبود و شما می ­دانید (که قطعاً بهتر از من می­ دانید) و در این مقاله نبوده است؟ اگر هست من دوست دارم در مورد این موارد امنیتی و نظرات خود را بنویسید.

محسن زمانی هستم، برنامه نویس و طراح وب ، سئو هم بلدم . به هدف تفریح و سرگرمی این وب سایت رو طراحی کردم تا مطالبی که دوست دارم رو اینجا به اشتراک بزارم.

دیدگاه خود را بنویسید:

آدرس ایمیل شما نمایش داده نخواهد شد.