خدمات افزایش امنیت وردپرس – ارتقا و بالا بردن امنیت وردپرس بصورت تخصصی

برای صاحبان وب‌سایت‌ها؛ امنیت سایت وردپرس موضوع بسیار مهمی می‌باشد. زیرا به طور روزانه بیش از 10000 وب‌سایت به عنوان بدافزار و نیز به طور هفتگی حدود 50000 وب‌سایت به عنوان فیشینگ در لیست سیاه گوگل قرار می‌گیرند. این آماری است که سایت مرجع آموزش های وردپرس یعنی wpbeginner منتشر کرده است. در صورتی که به امنیت وب‌سایت خودتان اهمیت می‌دهید؛ لازم است شیوه های امنیتی وردپرس را در نظر بگیرید. در این مقاله کلیه‌ی نکات امنیتی برتر سایت وردپرس آورده شده‌است. بنابراین شما می‌توانید وب‌سایت خود در برابر هکرها و بدافزارها محافظت نمایید. با توجه به اینکه نرم افزار اصلی وردپرس از امنیت بالایی برخوردار است و صدها توسعه دهنده آن‌را به طور منظم بررسی می‌کنند؛ روش‌های زیادی وجود دارد که به حفظ امنیت وب‌سایت شما کمک می‌کند. حفظ امنیت سایت وردپرس صرفا به معنی حذف ریسک و خطر نیست. در واقع شما به عنوان مالک وب‌سایت حتی اگر در زمینه فناوری؛ اطلاعات کافی ندارید باز هم باید کارهایی را انجام دهید تا امنیت وردپرس شما حفظ شود. در ادامه چند گام عملی برای محافظت از وب‌سایت شما در برابر آسیب‌پذیری های امنیتی ارائه شده‌است. به این منظور یک جدول از محتوا ایجاد شده که کار را آسان‌تر کرده و به شما کمک می‌کند تا مراحل را گام به گام انجام دهید. در این مقاله به بررسی موارد افزایش امنیت وردپرس پرداخته شده است که بخشی از خدمات سایت کانفیگ وردپرس است جدول فهرست خلاصه از مطالب بیان شده در مقاله خدمات افزایش امنیت وردپرس:

• مبانی امنیت وردپرس
• دلیل مهم بودن امنیت وردپرس
• مخفی کردن نسخه وردپرس
• به روز نگه داشتن وردپرس
• بروز نگه داشتن قالب و افزونه ها
• افزایش امنیت وردپرس با عدم استفاده از افزونه های زیاد و غیر ضروری
• رمز عبور و مجوزهای کاربر
• پاک کردن قالب و افزونه های پیش فرض و بلااستفاده
• نقش میزبانی وب
• امنیت وردپرس در مراحل آسان (بدون کدنویسی)
• بکاپ گیری مداوم از سایت وردپرس
• بهترین افزونه امنیتی وردپرس
• فعال کردن فایروال برنامه وب (WAF)
• استفاده از گواهینامه اس اس ال
• امنیت وردپرس برای کاربران DIY
• نام کاربری پیش‌فرض “admin” را تغییر دهید
• غیرفعال کردن ویرایش فایل و دایرکتوری بروزینگ
• غیرفعال کردن اجرای فایل PHP
• ارتقا نسخه PHP هاست
• محدود کردن تلاش برای ورود
• احراز هویت دوعاملی را اضافه کنید
• پیشوند پایگاه داده وردپرس را تغییر دهید
• رمزگذاری روی مسیر wp-admin
• تغییر آدرس ورود به پیشخوان
• فهرست بندی و مرور دایرکتوری را غیرفعال کنید
• XML-RPC را در وردپرس غیرفعال کنید
• خروج خودکار کاربران بیکار
• سوالات امنیتی را به ورود به وردپرس اضافه کنید
• اسکن وردپرس برای بدافزارها و آسیب‌پذیری ها
• تعمیر سایت وردپرس هک شده

چگونه امنیت وردپرس را بالا ببریم؟

در ادامه قصد داریم تا کاربردی‌ترین روش هایی که به بالا بردن امنیت وردپرس کمک می کند را برایتان شرح دهیم. هر کدام از این روش ها می تواند تا حد زیادی برای حفاظت از سایت وردپرس شما اثر گذار باشد، بنابراین پیشنهاد می کنم تا انتهای این مقاله با ما همراه باشید و از نکاتی که در این آموزش برای شما ارایه شده است لذت ببرید و خود را به متخصص امنیت وردپرس شدن نزدیکتر نمایید.

چرا امنیت ‌سایت وردپرس مهم است

هک شدن سایت وردپرس به درآمد و اعتبار کسب و کار شما آسیب جدی می‌زند. زیرا هکرها قادر هستند اطلاعات کاربری و رمزهای عبور را سرقت کنند. یا اینکه نرم افزارهای مخرب را نصب کرده و بدافزارها را در بین کاربران شما توزیع نمایند. بدتر از این زمانی است که متوجه می‌شوید برای دسترسی مجدد به وب‌سایت خود؛ به هکرها باج افزار پرداخت می‌کنید. طبق گزاشی که گوگل در مارس 2016 منتشر کرد؛ بیش از 50 میلیون کاربر وب‌سایت هشدار داده‌اند ممکن است وب‌سایتی که بازدید می‌کنند حاوی بدافزار یا سرقت اطلاعات باشد.

• بررسی انواع ویروس ها و مسائل امنیتی از نظر گوگل

علاوه بر این همانطور که گفته شد؛ هر هفته حدود 20000 وب‌سایت برای بدافزار و حدود 50000 وب‌سایت برای فیشینگ در لیست سیاه قرار گوگل می‌گیرند. اگر وب‌سایت شما یک وب‌سایت تجاری است، حفظ امنیت سایت وردپرس شما از اهمیت بیشتری برخوردار است. مانند مالکان کسب و کارها که مسئول محافظت از ساختمان فروشگاه خود هستند. شما نیز به عنوان مالک کسب و کار آنلاین، مسئول محافظت از وب‌سایت کسب و کار خودتان هستید.

مخفی کردن نسخه وردپرس

از روش‌هایی که به بهبود امنیت سایت شما کمک می کند این است که نسخه وردپرس سایت خود را از دید سایرین مخفی نگه دارید. برای انجام این کار پیشنهاد می شود مقاله “مخفی کردن نسخه وردپرس” را مطالعه نمایید تا به صورت کامل با نحوه انجام این کار آشنا شوید.

بروز نگه داشتن وردپرس

وردپرس مرتبا نگهداری و به‌روزرسانی شده و از این جهت یک نرم افزار متن باز محسوب می‌شود. از دیگر اقداماتی که ما در خدمات افزایش امنیت وردپرس سفارش می کنیم، به روز نگه داشتن وردپرس است. به‌روزرسانی های جزئی به طور پیش‌فرض و کاملا خودکار در سایت وردپرس نصب می‌شوند. اما درمورد نسخه‌های اصلی، به‌روزرسانی را باید به‌ صورت دستی انجام داد. معمولا توسعه دهندگان وردپرس به محض اینکه یک باگ امنیتی یا یک مشکل در آن یافت شود آن را بروزرسانی می نمایند و تمامی کاربران در پیشخوان خود می توانند آن بروزرسانی را دریافت کنند. پس نصب بروزرسانی های مرتب وردپرس یکی از مهم ترین نکات برای محافظت از سایت وردپرس شما می باشد. برای بروزرسانی وردپرس راه‌های مختلفی وجود دارد، پیشنهاد می شود مقاله “روش های آپدیت وردپرس” را مطالعه فرمایید.

علاوه بر اینها؛ سایت وردپرسی تعداد بسیار زیادی افزونه و تم دارد. شما می‌توانید آنها را در وب‌سایت خود نصب کنید. این پلاگین‌ها و تم‌ها توسط توسعه دهندگان شخص ثالث نگهداری می‌شوند. این توسعه دهندگان به طور منظم به‌روزرسانی را نیز منتشر می‌کنند. زیرا به‌روزرسانی های وردپرس برای حفظ امنیت وردپرس شما بسیار اهمیت دارد. بنابراین شما باید مطمئن شوید که هسته وردپرس، افزونه‌ها و پوسته شما همیشه به روز است.

بروز نگه داشتن قالب و افزونه ها

یکی دیگر از بخش هایی که ممکن است باعث آسیب پذیری سایت گردد قدیمی بودن قالب و یا افزونه های سایت می باشد. موارد متعددی رخ داده است که وجود باگ در یک افزونه وردپرس سبب هک و ویرسی شدن سایت هایی که از آن استفاده می کردند شده است.

خوشبختانه در وردپرس سری 5.5 به بعد امکان فعالسازی بروزرسانی خودکار برای قالب و افزونه ها اضافه شده است و شما می توانید تعیین کنید که وقتی نسخه جدیدی منتشر می شود، بصورت خودکار در سایت شما نیز آن قالب یا افزونه بروز گردد و شما نیاز نیست که خودتان اقدام به بروزرسانی آن نمایید که تا حد زیادی به بهبود امنیت وردپرس کمک می کند.

افزایش امنیت وردپرس با عدم استفاده از افزونه های زیاد و غیر ضروری

استفاده از افزونه های زیاد و نامعتبر سبب ایجاد مشکلات مختلفی از جمله تداخل در عملکرد سایت، کاهش سرعت و یا آسیب دیدن ساختار سایت شما می گردد. برای افزایش امنیت وردپرس خود همواره پیشنهاد می شود افزونه هایی که مطمئن هستید نیاز ضروری سایت شما است و جزو افزونه های محبوب وردپرس هستند را در سایت خود استفاده نمایید. همچنین قبل از نصب افزونه های جدید پیشنهاد می شود از سایت خود بکاپ گیری کنید.

رمزهای عبور قوی و مجوزهای کاربر

به طور معمول هکرها برای هک کردن سایت وردپرس از رمزهای عبور سرقت شده‌استفاده می‌کند. بنابراین شما باید با استفاده از رمزهای عبور قوی‌تر و منحصر به فرد؛ فرایند هک را سخت‌تر کنید. این کار نه فقط برای بخش مدیریت سایت وردپرس ضروری است؛ بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی شما که از نام دامنه سایت شما است؛ نیز باید انجام شود. بسیاری از افراد مبتدی و تازه کار دوست ندارند از رمزهای عبور قوی استفاده کنند. زیرا به خاطر سپردن این رمزها سخت است. اما لازم است بدانید که دیگر نیازی به یادآوری رمزهای عبور نیست. شما به راحتی می‌توانید از مدیریت پسورد استفاده کنید. راهنمای ارائه شده در خصوص نحوه مدیریت رمزهای عبور وردپرس را مشاهده نمایید.

• آموزش ایجاد رمز قوی برای وردپرس

راه دیگری که برای کاهش خطر هک وجود دارد؛ این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید. به جز در مواردی که چاره‌ای نداشته‌باشید. چنانچه یک تیم کاری بزرگ دارید و یا نویسندگانی به صورت مهمان با شما کار می کنند، باید قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را به خوبی متوجه شده‌اید.

پاک کردن قالب و افزونه های پیش فرض و بلااستفاده

حتی وقتی شما تازه وردپرس را راه اندازی می کنید یکسری قالب و افزونه پیش فرض روی آن وجود دارد. مثلا قالب های بیست بیست و بیست هجده و همچنین افزونه هایی مانند “سلام عزیزم” که هیچ کاربرد خاصی برای سایت شما ندارند و پیشنهاد می شود آن ها را پاک نمایید.

پاک کردن قالب و افزونه‌های پیش‌فرض و بلااستفاده در وردپرس نقش مهمی در افزایش امنیت سایت شما دارد.

1. کاهش سطح حملات: افزونه‌ها و قالب‌های پیش‌فرض بلااستفاده اغلب به عنوان نقاط ضعف پتانسیل برای حملات به سایت‌ها استفاده می‌شوند. حذف این موارد نامناسب می‌تواند از حملات به سایت شما جلوگیری کند.
2. هبود کارایی: حذف افزونه‌ها و قالب‌های غیرمورد استفاده می‌تواند کارایی سایت شما را بهبود بخشد. افزونه‌ها و قالب‌های بی‌استفاده ممکن است منابع سرور را مصرف کنند و باعث کاهش سرعت وب‌سایت شوند.
3. کاهش سطح حملات امکانی: افزونه‌ها و قالب‌های بی‌استفاده ممکن است دارای آسیب‌پذیری‌های امنیتی باشند که توسط افراد بداندیش به عنوان نقطه ورود به سایت شما مورد استفاده قرار می‌گیرند. حذف این موارد می‌تواند سطح حملات امکانی به سایت شما را کاهش دهد.

نقش میزبانی سایت وردپرس

سرویس میزبانی وردپرس شما نقش مهمی در حفظ امنیت سایت وردپرس شما بر عهده دارد. زیرا Bluehost یا Site ground به عنوان یک ارائه‌دهنده میزبانی مشترک؛ به منظور حفاظت از سرورهای خود در برابر هکرها و تهدیدات رایج؛ اقدامات بیشتری را انجام می‌دهند. در ادامه مقاله نحوه عملکرد یک شرکت میزبانی وب با عملکرد پس زمینه خوب؛ برای محافظت از سایت وردپرس و داده‌های شما به اشتراک گذاشته شده‌است:

• این شرکت‌های میزبان به طور مداوم شبکه خود را زیر نظر دارند و فعالیت های مشکوک را بررسی می کنند.
• همه شرکت‌های هاستینگ خوب؛ ابزارهایی دارند که از حملات DDOS در مقیاس بزرگ جلوگیری می‌کنند.
• میزبان‌های خوب؛ نرم افزار سرور، نسخه‌های php و همچنین سخت‌افزار خود را همیشه به روزرسانی می کنند. این کار باعث جلوگیری از سوء استفاده هکرها بوده و از آسیب‌پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری می‌کند.
• آنها آماده به کارگیری برنامه‌های بازیابی فاجعه و حوادث هستند. این ویژگی به آنها این امکان‌را می‌دهد که در صورت بروز حادثه بزرگ از داده‌های شما محافظت کنند.

برای آشنایی با حملات DOS و DDOS این مقاله را مطالعه نمایید. در یک برنامه میزبانی مشترک، شما منابع سرور خود را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این کار خطر آلودگی بین سایتی را ایجاد می‌کند. بنابراین هکرها می‌توانند از یک سایت همسایه برای حمله به وب‌سایت شما استفاده کنند. از این رو استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر امن‌تری را برای سایت وردپرس شما فراهم می‌کند. شرکت‌های میزبان وردپرس مدیریت شده با ارائه خدمات پشتیبان‌گیری خودکار، به‌روزرسانی خودکار سایت وردپرس و تنظیمات امنیتی پیشرفته‌تر از وب‌سایت شما محافظت می‌کنند.

معرفی بهترین هاست وردپرس در ایران + توضیحات کامل

امنیت سایت وردپرس بصورت ساده و آسان بدون کدنویسی

ما می‌دانیم که بهبود امنیت سایت وردپرس برای افراد مبتدی و تازه کار می‌تواند کار سخت و وحشتناکی باشد. البته شما تنها نیستید. شما می توانید از خدمات افزایش امنیت وردپرس سایت ما استفاده نمایید.

بکاپ گیری مداوم از سایت وردپرس

همیشه اولین وسیله‌ی دفاعی شما در برابر هرگونه حمله وردپرس؛ پشتیبان‌گیری و تهیه بک‌آپ است. البته باید به یاد داشته‌باشید، هیچ چیز به طور 100٪ امن نیست. اگر هکرها می‌توانند وب‌سایت‌های دولتی را هک کنند؛ پس سایت شما را نیز می‌توانند هک کنند. در واقع پشتیبان‌گیری به شما این امکان‌را می‌دهد تا در صورت وقوع اتفاق بد و هک شدن؛ به سرعت امنیت سایت وردپرس خود را بازیابی کنید. به این منظور تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد و شما می‌توانید از آنها استفاده کنید. مهم‌ترین چیزی که در مورد پشتیبان‌گیری باید بدانید این است که؛ باید نسخه‌های پشتیبان کامل سایت وردپرس را در یک مکان امن و جایی به غیر از حساب میزبانی خود ذخیره و نگهداری کنید. بهترین کار این است که نسخه‌های پشتیبان‌ را در یک سرویس ابری مانند آمازون، Dropbox  یا سایر فضای ابرهای مانند Stash  که خصوصی نیز هستند؛ ذخیره کنید. بر اساس تعداد دفعاتی که وب‌سایت خود را به روز می‌کنید باید نسخه پشتیبان تهیه کنید. ایده‌آل ترین حالت این است که یک بار در روز این کار را انجام دهید.

• روش های بکاپ گیری از سایت وردپرس

استفاده از افزونه های امنیتی

استفاده از افزونه های امنیتی نیز تا حد زیادی از بروز مشکلات امنیتی در سایت شما جلوگیری می کند. در وردپرس افزونه های زیادی در این زمینه وجود دارند و شما می توانید براحتی از آن ها استفاده نمایید. ما سعی کردیم در اینجا به بهترین افزونه های امنیتی وردپرس بپردازیم و شما را با آن ها آشنا نماییم. افزونه های امنیتی با توجه به قابلیت هایی که در خود دارند می توانند تاثیر زیادی در محافظت از سایت وردپرس شما بگذارند. از جمله مهم ترین افزونه های امنیتی وردپرس که به بررسی آنها پرداخت شده است ، افزونه های نام برده شده در زیر است. البته ما در مقاله بهترین افزونه امنیتی وردپرس بصورت کامل تک به تک افزونه ها را معرفی کرده ایم.

• افزونه وردفنس – بررسی تخصصی و معرفی کامل افزونه Wordfence
• افزونه آیتمز سکیوریتی – بررسی مزایا و معایب iThemes Security
• افزونه امنیت کامل وردپرس – All In One WP Security & Firewall

فعال کردن فایروال برنامه وب (WAF)

استفاده از فایروال برنامه وب (WAF)؛ ساده‌ترین راه برای محافظت از وب‌سایت و اطمینان از امنیت سایت وردپرس است. زیرا فایروال تمام ترافیک‌های مخرب را قبل از اینکه به وب‌سایت شما برسند مسدود می‌کند. فایروال وب‌سایت سطح DNS  : ویژگی این فایروال‌ها این است که ترافیک وب‌سایت شما را از طریق سرورهای پروکسی خود که کاملا ابری هستند؛ هدایت می‌کند. این ویژگی به آنها اجازه می‌دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند. فایروال سطح برنامه: مزیت این افزونه‌های فایروال این است که ترافیک را قبل از بارگیری اکثر اسکریپت‌های وردپرس و پیش از رسیدن به سرور شما بررسی می‌کند. البته ناگفته نماند؛ این روش به اندازه فایروال سطح DNS در کاهش بار سرور موثر نیست.

بهترین افزونه‌های فایروال 

از نظر ما، افزونه وردفنس به عنوان بهترین افزونه دارای فایروال برنامه وب برای وردپرس می‌باشد. زیرا شما می‌توانید با کمک آن امنیت سایت خود را بصورت {تقریبا} کامل افزایش دهید. جزئیات این موارد را در همان مقاله وردفنس می توانید مطالعه نمایید اما برای تفاوت نسخه رایگان و پولی افزونه وردفنس به این مقاله مراجعه نمایید. داشتن امینت با فعال کردن اس اس ال  (SSL) برای سایت SSL (لایه سوکت های امن) به عنوان یک پروتکل؛ قادر است انتقال داده‌ها را بین وب‌سایت شما و مرورگر کاربران رمزگذاری کند. حسن رمزگذاری این است که باعث می‌شود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد. از مسائلی که وردپرس برای بهبود امنیت اطلاعات کاربران به آن اشاره می کند و برای افزایش امنیت وردپرس لازم است نصب گواهینامه اس اس ال می باشد که باعث رمز نگاری کلیه اطلاعاتی که بین کاربر و سایت درحال انتقال هستند می گردد. گواهینامه ssl برای سایت های وردپرس از جمله سایت هایی که در آن ها پرداخت های اینترنتی صورت می گیرد بسیار مهم می باشد. در صورت تمایل برای اطلاع بیشتر در مورد اینکه در کل اس اس ال چیست، مقاله اس اس ال چیست – معرفی کامل گواهینامه ssl را به همراه لینک های زیر مطالعه نمایید.

نام کاربری پیش‌فرض admin را تغییر دهید

در گذشته “admin” به عنوان نام کاربری پیش‌فرض ادمین وردپرس استفاده می شود. با توجه به اینکه نام‌های کاربری نیمی از اعتبار ورود به سیستم را تشکیل می‌دهند، این امر انجام حملات brute-force را برای هکرها آسان‌تر کرده است. به همین علت وردپرس آن‌را تغییر داده و شما می‌توانید در هنگام نصب یک نام کاربری سفارشی انتخاب کنید. با همه اینها؛ هنوز هم برخی از نصب‌کنندگان وردپرس هستند که با یک کلیک، نام کاربری پیش‌فرض مدیر را روی «admin»  تنظیم می‌کنند. اگر شما هم این کار را کرده اید؛ بهتر است که میزبانی وب خود را تغییر دهید. ذکر این نکته ضروری است که وردپرس به طور پیش‌فرض به شما اجازه تغییر نام کاربری را نمی‌دهد. به همین دلیل شما باید از  سه روش زیر برای تغییر نام کاربری استفاده کنید. 1-‌ یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید. 2- از افزونه Username Changer استفاده کنید. 3- نام کاربری را از قسمت phpMyAdmin به روز کنید. توجه داشته‌باشید که ما در مورد نام کاربری به نام “admin” صحبت می‌کنیم؛ نه نقش مدیر.

• آموزش کامل تغییر نام کاربری و رمز عبور وردپرس
• محدود کردن انتخاب نام کاربری در وردپرس
• محدود کردن ورود تنها با نام کاربری در وردپرس

غیرفعال کردن ویرایش فایل

شما در بخش مدیریت سایت وردپرس می‌توانید تم و فایل‌های افزونه خود را به طور مستقیم ویرایش کنید. این کار با کمک ویرایشگر کد داخلی وردپرس انجام می‌شود. اگر این بخش به دست کس دیگری بیفتد می‌تواند یک خطر امنیتی باشد. به همین دلیل توصیه می‌کنیم آن‌را غیرفعال کنید. با افزودن کد زیر در فایل wp-config.php به راحتی می‌توانید آن‌را غیرفعال کنید.

[code]
define( 'DISALLOW_FILE_EDIT', true );
[/code]

• حفاظت از فایل های مهم وردپرس
• آموزش مخفی کردن فایل wp-config.php در وردپرس

البته این کار بصورت خودکار با برخی افزونه های امنیتی هم انجام می شود. اما در رابطه با دایرکتوری بروزینگ : به عنوان مثال کاربر می تواند فایل هایی که در مسیر wp-content/uploads درج شده است را مشاهده نماید که این کار می تواند امنیت وردپرس را کاهش دهد. برای اینکه بیشتر با این مورد آشنا شوید و یا آن را در هاست خود غیرفعال نمایید توصیه می شود مقاله “غیرفعال کردن Directory Browsing وردپرس” را مشاهده نمایید.

ارتقا نسخه PHP هاست

بالا بودن نسخه php هاست نیز بسیار در عملکرد سایت چه از لحاظ سرعت و چه از لحاظ امنیت تاثیر گذار است. بگونه ای که اگر ورژن php کمتر از 7.3 باشد برخی از افزونه ها نظیر ووکامرس در سایت نصب و اجرا نمی شوند و همچنین وردپرس نیز در پیشخوان با نمایش پیغامی از مدیریت سایت می خواهد که ورژن php هاست را ارتقا دهد.

اگر می خواهید ورژن php فعلی سایت خود را مشاهده نمایید از منو پیشخوان وردپرس به ابزارها و سپس سلامت سایت بروید. سپس اگر نسخه php شما پایین باشد با کادری مانند زیر مواجه میشوید که می توانید با هاست خود تماس بگیرید و بخواهید آن را برایتان ارتقا دهند. بنابراین بالا بردن نسخه php هاست می تواند هم روی عملکرد و هم در بحث تامین امنیت وردپرس مفید باشد.

در حال حاضر بهترین و بهینه ترین نسخه php مناسب برای وردپرس و قالب های وردپرس 7.4 است.

غیرفعال کردن Directory Browsing و فهرست شدن فایل های خاص وردپرس

روش دیگری که هکرها می‌توانند بفهمند آیا فایلی با آسیب‌پذیری شناخته شده دارید یا خیر، استفاده از مرور دایرکتوری است. بنابراین آنها می‌توانند از این فایل‌ها برای دسترسی به آن استفاده کنند. افراد دیگری نیز ممکن است با هدف بررسی فایل‌های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات؛ مرور دایرکتوری را انجام دهند. به همین دلیل است که به شدت توصیه می‌شود فهرست‌سازی و مرور دایرکتوری را غیرفعال کنید.

اینکه دقیقاً بدانید غیرفعال کردن اجرای فایل PHP چیست ، از شما دعوت می کنم که آموزش نحوه غیرفعال کردن Directory Browsing وردپرس را مشاهده نمایید.

محدود کردن تلاش برای ورود

محدود کردن تلاش برای ورود ، اقدامی دیگر در جهت خدمات افزایش امنیت در سایت وردپرس است. این امکان برای کاربران وجود دارد که هر چند بار که می‌خواهند وارد سیستم شوند. این ویژگی به طور پیش‌فرض تعریف شده و باعث می‌شود سایت وردپرس شما در برابر حملات هکرها آسیب‌پذیر باشد. زیرا این هکرها با تلاش برای ورود به سیستم با روش‌های مختلف سعی در شکستن رمزهای عبور دارند. این مشکل را می‌توان به راحتی با محدود کردن تلاش‌های ناموفق برای ورود به سیستم برطرف کرد. اگر از فایروال برنامه وب که قبلا ذکر شد استفاده می‌کنید، به طور خودکار به این مشکل رسیدگی می‌شود. اما اگر راه‌اندازی فایروال را ندارید باید مراحل زیر را دنبال کنید.

• محدود کردن تعداد دفعات تلاش برای ورود به پیشخوان
• نحوه محدود کردن دسترسی به ورود وردپرس با Ip

احراز هویت دوعاملی را اضافه کنید

تکنیک احراز هویت دو مرحله‌ای به این صورت است که؛ کاربران باید با استفاده از روش احراز هویت دو مرحله‌ای وارد سیستم شوند. اولین مرحله، نام کاربری و رمز عبور است. در مرحله دوم نیز باید با استفاده از یک دستگاه یا یک برنامه جداگانه احراز هویت شوند. تقریبا تمامی وب‌سایت‌های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان‌را می‌دهند که آن‌را برای حساب‌های خود فعال کنید. به علاوه می‌توانید این قابلیت را به سایت وردپرس خود نیز اضافه کنید.

• فعالسازی ورود و تایید دو مرحله ای در وردپرس

پیشوند پایگاه داده وردپرس را تغییر دهید

در وردپرس به طور پیش‌فرض، از wp_ به عنوان پیشوند تمام جداول در پایگاه داده استفاده می‌شود. اگر سایت وردپرس شما کماکان از پیشوند پایگاه داده پیش‌فرض استفاده می‌کند، پس حدس زدن نام جدول شما برای هکرها کار سختی نیست. به همین دلیل است که توصیه می‌کنیم حتما آن‌را تغییر دهید. شما می‌توانید آموزش گام به گام ما در مورد آموزش تغییر پیشوند جداول دیتابیس در وردپرس برای بهبود امنیت را مشاهده کرده و به راحتی پیشوند پایگاه داده خود را تغییر دهید. حتماً قبل از انجام این کار ، از دیتابیس سایت خود بک آپ تهیه نمایید.

رمزگذاری روی مسیر wp-admin

کار دیگری که می توانید برای بالابردن و حفاظت بیشتر از سایت وردپرسییتان انجام دهید این است که از فایل های اصلی آن محافظت نمایید. همانطور که می دانید پوشه wp-admin یکی از مهمترین بخش های وردپرس می باشد، زیرا در این مسیر فایل های مهم وردپرس قرار داده شده است.

یکی از روش هایی که می تواند بطور کامل امنیت این دایرکتوری را افزایش دهد این است که از داخل هاست روی این پوشه و فایل های آن محدودیت بگذاریم. با این کار زمانی که کاربر آدرس این مسیر را در مرورگر وارد می کند یک کادر برایش باز می شود تا در ابتدا نام کاربری و رمزی که در هاستمان برای این پوشه تنظیم کردیم را وارد کند و اگر این اطلاعات صحیح بود آن موقع فرم ورود وردپرس برایش نمایان می گردد. برای کسب اطلاعات بیشتر پیشنهاد می شود از آموزش “حفاظت از پوشه wp-admin وردپرس” دیدن فرمایید.

تغییر آدرس ورود به پیشخوان

مورد دیگری که به حفاظت از سایت وردپرس ما کمک می کند تغییر آدرس صفحه ورود وردپرس می باشد که تا حد زیادی باعث کاهش نفوذ هکرها به سایت خواهد شد برای اینکه بتوانید اقدام به این کار نمایید کافیست از آموزش تغییر آدرس صفحه ورود وردپرس دیدن نمایید.

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش‌فرض در وردپرس نسخه‌ی 3.5 فعال شده‌است و به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند. XML-RPC بسیار تاثیرگذار است و می‌تواند به طور قابل توجهی حملات brute-force را تقویت کند. به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وب‌سایت شما امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهد. اما توسط پلاگین قفل ورود مسدود شده و متوقف می‌شود. یک هکر می تواند با استفاده از تابع system.multicall و با کمک XML-RPC؛  به راحتی هزاران رمز عبور را با 20 یا 50 درخواست امتحان کند. به همین دلیل است که اگر از XML-RPC استفاده نمی‌کنید، توصیه می‌کنیم آن‌را حتما غیرفعال کنید. روش هایی برای غیرفعال کردن XML-RPC در وردپرس وجود دارد. در آموزش گام به گام؛ در مورد xml-rpc چیست؟ – غیر فعال کردن xml-rpc برای افزایش امنیت وردپرس توضیح داده‌ایم. این نکته حتما را مد نظر قرار دهید که روش htaccess بهترین روش است زیرا کمترین مصرف منابع را دارد. در صورتی که از فایروال برنامه کاربردی وب که قبلا در مورد آن گفته شد استفاده می‌کنید؛ فایروال می‌تواند از آن مراقبت کند.

خروج خودکار کاربران بیکار در وردپرس

گاهی اوقات کاربرانی که وارد سیستم شده‌اند از صفحه نمایش دور می‌شوند. این یک خطر امنیتی محسوب می‌شود. زیرا یک نفر دیگر می‌تواند وارد جلسه شده و رمز عبور را تغییر دهد یا تغییراتی را در حساب کاربری ایجاد کند. به همین دلیل بسیاری از سایت‌های بانکی و موسسات مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می‌کنند. شما می‌توانید مشابه این عملکرد را در سایت وردپرس خود نیز اجرا کنید. برای این کار روشی وجود دارد که در ادامه قرار داده ایم.

• خروج خودکار کاربران غیرفعال از پیشخوان وردپرس

در این روش از افزونه Inactive User استفاده می شود. البته افزونه آیتمز سکیوریتی  هم گزینه ای برای این مورد دارد.

سوالات امنیتی یا ریکپچا را به صفحه ورود به وردپرس اضافه کنید

با افزودن یک سوال امنیتی به صفحه ورود به سیستم سایت وردپرس ؛ می‌توان دسترسی غیرمجاز را برای هکرها سخت‌تر کرد. همچنین داشتن افزونه های مناسب برای قرار دادن ریکپچا در زمان ورود و یا ثبت نام در سایت، در افزایش امنیت وردپرس مواثر است.

• اضافه کردن سوال امنیتی به صفحه ورود وردپرس
• بهترین افزونه ریکپچا (reCAPTCHA) برای وردپرس

اسکن وردپرس برای بدافزارها و آسیب‌پذیری ها

با نصب یک افزونه امنیتی وردپرس می‌توانید بدافزار و نشانه های نقض امنیتی را در وب‌سایت خود بررسی کنید. گاهی اوقات ممکن است افت ناگهانی در ترافیک وب‌سایت یا رتبه بندی جستجو مشاهده کنید. شاید هم بخواهید به صورت دستی یک اسکن را در سایت وردپرس اجرا کنید. به هر حال؛ می‌توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این اسکنرهای امنیتی وبدافزارها استفاده کنید.

افزونه وردفنس دارای سیستم اسکن قدرتمند است. پیشنهاد ما استفاده از این پلاگین امنیتی است.

نصب و اجرای این اسکن‌های آنلاین بسیار ساده است. شما فقط باید URL های وب‌سایت خود را وارد کنید. بعد از آن خزنده‌های آنها از طریق وب‌سایت شما می‌روند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند. دانستن این نکته ضروری است که، اکثر اسکنرهای امنیتی وردپرس فقط می‌توانند وب‌سایت شما را اسکن کنند. آنها قادر نیستند یک بدافزار را حذف کرده یا یک سایت وردپرس هک شده را پاکسازی کنند. اما وردفنس اینطور نیست.

تعمیر سایت وردپرس هک شده

اغلب کاربران زمانی اهمیت پشتیبان‌گیری و امنیت وب‌سایت را متوجه می‌شوند که وب‌سایت آنها هک شود. پاکسازی سایت وردپرس کار بسیار سخت و زمان بری است. بهتر است این کار را به یک متخصص بسپارید. هکرها درهای پشتی را روی سایت‌های آسیب دیده نصب می‌کنند. در صورتی که این درهای پشتی به درستی رفع نشوند، احتمال اینکه وب‌سایت شما دوباره هک شود بسیار زیاد است.

در صورتی که به هر دلیلی سایت شما هک شده است، می توانید از خدمات پاکسازی سایت هک شده و ویروسی بصورت تخصصی ما استفاده نمایید.

همچنین برای تعمیر و بازگردانی سایت ویروسی و هک شده با 4 روش این مقاله را از دست ندهید. در صورتی که سایت شما هک چینی و یا ژاپنی شده باشد ، مشکل نمایش حروف ژاپنی یا چینی در نتایج جستجو گوگل را مشاهده نمایید. در نهایت پیشنهاد می شود که برای امنیت سایت خود برای یکبار هزینه نمایید تا سایت هک نشود. در صورت تمایل از خدمات تخصصی افزایش امنیت وردپرس استفاده کرده و یا برای اینکه خود انجام دهید ، از آموزش کامل افزایش امنیت وردپرس استفاده نمایید.