راهنمای گام به گام امنیت کامل وردپرس (1403)

امنیت وردپرس موضوعی بسیار مهم برای هر صاحب وب سایتی است. گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد.

اگر در مورد وب سایت خود جدی هستید، پس باید به بهترین شیوه های امنیتی وردپرس توجه کنید. در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای کمک به محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک می گذاریم.

با این وجود که نرم افزار اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی برای حفظ امنیت سایت شما می توان انجام داد.

همچنین در ITManage، ما معتقدیم که امنیت فقط حذف ریسک نیست. همچنین در مورد کاهش ریسک است. به عنوان یک مالک وب سایت، کارهای زیادی می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر در زمینه فناوری اطلاعات کافی نداشته باشید).

ما تعدادی گام عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.

برای آسان کردن این کار، ما یک جدول از محتوا ایجاد کرده ایم تا به شما کمک کند به راحتی در راهنمای امنیت کامل وردپرس خود حرکت کنید.

فهرست مطالب

مبانی امنیت وردپرس

• چرا امنیت وردپرس مهم است؟
• به روز نگه داشتن وردپرس
• رمز عبور و مجوزهای کاربر
• نقش میزبانی وب

امنیت وردپرس در مراحل آسان (بدون کدنویسی)

• یک راه حل پشتیبان وردپرس را نصب کنید
• بهترین افزونه امنیتی وردپرس
• فعال کردن فایروال برنامه وب (WAF)
• سایت وردپرس را به SSL/HTTPS منتقل کنید

امنیت وردپرس برای کاربران DIY

• نام کاربری پیش فرض “admin” را تغییر دهید
• غیرفعال کردن ویرایش فایل
• غیرفعال کردن اجرای فایل PHP
• محدود کردن تلاش برای ورود
• احراز هویت دو عاملی را اضافه کنید
• پیشوند پایگاه داده وردپرس را تغییر دهید
• محافظت از رمز عبور WP-Admin و ورود به سیستم
• فهرست بندی و مرور دایرکتوری را غیرفعال کنید
• XML-RPC را در وردپرس غیرفعال کنید
• خروج خودکار کاربران بیکار
• سوالات امنیتی را به ورود به وردپرس اضافه کنید
• اسکن وردپرس برای بدافزارها و آسیب پذیری ها
• تعمیر سایت وردپرس هک شده

آماده اید؟ بیاید شروع کنیم.

چرا امنیت وب سایت مهم است؟

یک سایت وردپرسی هک شده می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر، رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می توانند بدافزار را بین کاربران شما توزیع کنند.

بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وب سایت خود، به هکرها باج افزار پرداخت می کنید.

در مارس 2016، گوگل گزارش داد که بیش از 50 میلیون کاربر وب سایت در مورد وب سایتی که بازدید می کنند ممکن است حاوی بدافزار یا سرقت اطلاعات باشد، هشدار داده اند.

علاوه بر این، گوگل هر هفته حدود 20000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.

اگر وب سایت شما یک وب سایت فروشگاهی است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید.

همانند اینکه مالکان کسب و کار مسئولیت حفاظت از ساختمان فروشگاه فیزیکی خود را دارند، به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وب سایت کسب و کار شما بر عهده شماست.

به روز نگه داشتن وردپرس

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و به روز می شود. به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند. برای نسخه‌های اصلی، باید به‌روزرسانی را به‌صورت دستی آغاز کنید.

وردپرس همچنین دارای هزاران افزونه و تم است که می توانید در وب سایت خود نصب کنید. این پلاگین ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور منظم به روز رسانی را نیز منتشر می کنند.

این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونه ها و پوسته شما به روز هستند.

رمزهای عبور قوی و مجوزهای کاربر

رایج ترین تلاش های هک وردپرس از رمزهای عبور سرقت شده استفاده می کند. شما می توانید با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند، این کار را دشوار کنید. نه فقط برای بخش مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.

بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است. خوبی این است که دیگر نیازی به یادآوری رمزهای عبور ندارید. می توانید از یک پسورد منیجر استفاده کنید.

راه دیگر برای کاهش خطر این است که به کسی اجازه ندهید به حساب مدیریت وردپرس خود دسترسی داشته باشد مگر اینکه کاملاً مجبور باشید . اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را درک کرده‌اید.

نقش هاست وردپرس

سرویس میزبانی هاست وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند. یک ارائه دهنده میزبانی هاست اشتراکی خوب مانند Hostinger ، Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می دهد.

در اینجا نحوه عملکرد یک شرکت میزبانی وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما آمده است.

• آنها به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
• همه شرکت های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند
• آنها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از یک آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
• آنها آماده به کارگیری برنامه های بازیابی فاجعه و حوادث هستند که به آنها امکان می دهد در صورت بروز حادثه بزرگ از داده های شما محافظت کنند.

در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این خطر آلودگی بین سایتی را باز می کند که در آن هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند.

استفاده از سرویس میزبانی هاست اختصاصی وردپرس، بستر امن تری را برای وب سایت شما فراهم می کند. شرکت های میزبان وردپرس اختصاصی، پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می دهند.

امنیت وردپرس در مراحل آسان (بدون کدنویسی)

ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. به خصوص اگر اهل فن نیستید. حدس بزنید – شما تنها نیستید.

ما به هزاران کاربر وردپرس کمک کرده ایم تا امنیت وردپرس خود را تقویت کنند.

ما به شما نشان خواهیم داد که چگونه می توانید امنیت وردپرس خود را تنها با چند کلیک بهبود بخشید (بدون نیاز به کدنویسی).

اگر می توانید اشاره و کلیک کنید، می توانید این کار را انجام دهید!

یک راه حل پشتیبان وردپرس را نصب کنید

پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی را می توان هک کرد، پس سایت شما نیز می تواند هک شود.

پشتیبان‌گیری به شما این امکان را می‌دهد تا در صورت وقوع اتفاق بدی، به سرعت سایت وردپرس خود را بازیابی کنید.

افزونه های پشتیبان وردپرس رایگان و پولی زیادی وجود دارد که می توانید از آنها استفاده کنید. مهم‌ترین چیزی که باید در مورد پشتیبان‌گیری بدانید این است که باید به طور منظم نسخه‌های پشتیبان کامل سایت را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.

توصیه می کنیم آن را در یک سرویس ابری مانند آمازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.

بر اساس تعداد دفعاتی که وب سایت خود را به روز می کنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان در زمان واقعی باشد.

خوشبختانه این کار را می توان به راحتی با استفاده از افزونه هایی مانند Duplicator ، UpdraftPlus یا BlogVault انجام داد . آنها هر دو قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است (بدون نیاز به کدنویسی).

بهترین افزونه امنیتی وردپرس

بعد از پشتیبان‌گیری، کاری که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت را راه‌اندازی کنیم که همه چیزهایی که در وب‌سایت شما اتفاق می‌افتد را پیگیری کند.

این شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است.

خوشبختانه، این همه می تواند توسط بهترین افزونه امنیتی رایگان وردپرس، Sucuri Scanner، برطرف شود .

باید افزونه رایگان Sucuri Security را نصب و فعال کنید . برای جزئیات بیشتر، لطفا راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید .

پس از فعال سازی، باید به منوی Sucuri در مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. این امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.

تنظیمات فایروال Sucuri

کار بعدی که باید انجام دهید این است که از منوی تنظیمات بر روی تب ‘Hardening’ کلیک کنید. هر گزینه را مرور کنید و روی دکمه “اعمال سخت شدن” کلیک کنید.

این گزینه ها به شما کمک می کند تا جاهای کلیدی را که هکرها اغلب در حملات خود استفاده می کنند، قفل کنید. تنها گزینه سخت‌سازی که ارتقای پولی است، فایروال Web Application است که در مرحله بعد توضیح خواهیم داد، بنابراین فعلاً از آن صرفنظر کنید.

همچنین بسیاری از این گزینه‌های «hardening» را در ادامه این مقاله برای کسانی که می‌خواهند بدون استفاده از افزونه یا مواردی که به مراحل اضافی مانند «تغییر پیشوند پایگاه داده» یا «تغییر نام کاربری مدیر» نیاز دارند، انجام دهند، پوشش داده‌ایم.

پس از بخش hardening، تنظیمات پیش فرض افزونه برای اکثر وب سایت ها به اندازه کافی خوب است و نیازی به تغییر ندارد. تنها چیزی که ما سفارشی کردن آن را توصیه می کنیم «هشدارهای ایمیل» است.

تنظیمات پیش‌فرض هشدار می‌تواند صندوق ورودی شما را با ایمیل‌ها شلوغ کند. توصیه می‌کنیم برای اقدامات کلیدی مانند تغییرات در افزونه‌ها، ثبت نام کاربر جدید و غیره هشدار دریافت کنید. می‌توانید هشدارها را با رفتن به تنظیمات Sucuri » Alerts پیکربندی کنید.

این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام تب ها و تنظیمات را مرور کنید تا همه کارهایی را که انجام می دهد مانند اسکن بدافزار، گزارش های حسابرسی، ردیابی تلاش برای ورود ناموفق و غیره مشاهده کنید . برای اطلاعات بیشتر به بررسی دقیق Sucuri ما مراجعه کنید .

فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت خود و اطمینان از امنیت وردپرس خود استفاده از فایروال برنامه وب (WAF) است.

فایروال وب سایت تمام ترافیک مخرب را حتی قبل از رسیدن به وب سایت شما مسدود می کند.

فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند.

فایروال سطح برنامه – این افزونه های فایروال، ترافیک را زمانی که به سرور شما می رسد، اما قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

بهترین بخش در مورد فایروال Sucuri این است که دارای ضمانت پاکسازی بدافزار و حذف لیست سیاه نیز می باشد. اساساً اگر قرار باشد تحت نظارت آنها هک شوید، آنها تضمین می کنند که وب سایت شما را تعمیر می کنند (مهم نیست چند صفحه داشته باشید).

این یک گارانتی بسیار قوی است زیرا تعمیر وب سایت های هک شده گران است. کارشناسان امنیتی معمولا 250 دلار در ساعت دریافت می کنند. در حالی که می توانید کل پشته امنیتی Sucuri را با 199 دلار در سال دریافت کنید.

امنیت وردپرس خود را با فایروال Sucuri بهبود بخشید »

Sucuri تنها ارائه دهنده فایروال سطح DNS نیست. رقیب محبوب دیگر Cloudflare است. مقایسه Sucuri در مقابل Cloudflare (مزایا و معایب)  را ببینید .

سایت وردپرس خود را به SSL/HTTPS منتقل کنید

SSL (لایه سوکت های امن) پروتکلی است که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می‌شود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد.

هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل را در کنار آدرس وب سایت خود در مرورگر خواهید دید.

گواهینامه های SSL معمولاً توسط منابع معتبر گواهی صادر می شود و قیمت آنها از 80 دلار تا صدها دلار در سال شروع می شود. به دلیل هزینه اضافی، اکثر صاحبان وب سایت ترجیح دادند از پروتکل ناامن استفاده کنند.

برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت تا گواهینامه های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.

در حال حاضر، شروع به استفاده از SSL برای تمام وب سایت های وردپرسی خود آسان تر از همیشه کنید. در حال حاضر بسیاری از شرکت های هاستینگ گواهینامه SSL رایگان برای وب سایت وردپرس شما ارائه می دهند .

اگر شرکت میزبان شما ارائه نمی دهد، می توانید از Domain.com خریداری کنید . آنها بهترین و مطمئن ترین معامله SSL را در بازار دارند. همراه با ضمانت امنیتی 10000 دلاری و مهر امنیتی TrustLogo است.

امنیت وردپرس برای کاربران DIY

اگر تمام کارهایی را که تا به حال ذکر کردیم انجام دهید، در این صورت وضعیت بسیار خوبی دارید.

اما مانند همیشه، کارهای بیشتری وجود دارد که می توانید برای تقویت امنیت وردپرس خود انجام دهید.

برخی از این مراحل ممکن است به دانش کدنویسی نیاز داشته باشد.

نام کاربری پیش فرض “admin” را تغییر دهید

در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که نام‌های کاربری نیمی از اعتبار ورود به سیستم را تشکیل می‌دهند، این امر انجام حملات brute-force را برای هکرها آسان‌تر می‌کند.

خوشبختانه، وردپرس از آن زمان این را تغییر داده است و اکنون از شما می‌خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید .

با این حال، برخی از نصب‌کنندگان وردپرس با یک کلیک، هنوز نام کاربری پیش‌فرض مدیر را روی «admin» تنظیم می‌کنند. اگر متوجه شدید که اینطور است، احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید .

از آنجایی که وردپرس به طور پیش فرض به شما اجازه تغییر نام کاربری را نمی دهد، سه روش برای تغییر نام کاربری وجود دارد.

1. یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
2. از افزونه Username Changer استفاده کنید
3. نام کاربری را از phpMyAdmin به روز کنید

ما هر سه مورد را در راهنمای دقیق خود در مورد نحوه صحیح تغییر نام کاربری وردپرس خود (گام به گام) پوشش داده ایم .

توجه: ما در مورد نام کاربری به نام “admin” صحبت می کنیم، نه نقش مدیر.

غیرفعال کردن ویرایش فایل

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و فایل های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. در دستان اشتباه، این ویژگی می تواند یک خطر امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.

با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید .

 

 

همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس

یکی دیگر از راه‌های تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن نیازی نیست، مانند /wp-content/uploads/.

شما می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و چسباندن این کد انجام دهید:

 

 

سپس، باید این فایل را به‌عنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه‌های /wp-content/uploads/ وب‌سایت خود آپلود کنید .

برای توضیح دقیق تر، راهنمای ما در مورد نحوه غیرفعال کردن اجرای PHP در فهرست های خاص وردپرس را ببینید

همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

محدود کردن تلاش برای ورود

به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند. این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.

این را می توان به راحتی با محدود کردن تلاش های ناموفق برای ورود به سیستم برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، به طور خودکار به آن رسیدگی می شود.

با این حال، اگر راه اندازی فایروال را ندارید، مراحل زیر را ادامه دهید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید . برای جزئیات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید .

پس از فعال‌سازی، برای راه‌اندازی افزونه، به صفحه تنظیمات » Login LockDown مراجعه کنید.

برای دستورالعمل‌های دقیق، نگاهی به راهنمای ما بیندازید که چگونه و چرا باید تلاش‌های ورود در وردپرس را محدود کنید .

احراز هویت دو مرحله ای را اضافه کنید

تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.

اکثر وب سایت های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان را می دهند که آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید . پس از فعال‌سازی، باید روی پیوند «تأیید دو عاملی» در نوار کناری مدیریت وردپرس کلیک کنید.

در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator، Authy و LastPass Authenticator موجود است.

پلاگین های احراز هویت دو مرحله ای

توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در فضای ابری نسخه پشتیبان تهیه کنید. این برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است. همه ورود به حساب کاربری شما به راحتی بازیابی می شود.

ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد. با این حال، دستورالعمل ها برای همه برنامه های احراز هویت مشابه است. برنامه authenticator خود را باز کنید و سپس روی دکمه Add کلیک کنید.

از شما پرسیده می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

این همه است، برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه بعد که وارد وب سایت خود می شوید، پس از وارد کردن رمز عبور از شما کد احراز هویت دو مرحله ای خواسته می شود.

به سادگی برنامه authenticator را روی گوشی خود باز کنید و کدی را که روی آن می بینید وارد کنید.

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس شما استفاده می کند . اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر می شود. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.

توجه: اگر به درستی انجام نشود، می تواند سایت شما را خراب کند. فقط در صورتی ادامه دهید که با مهارت های کدنویسی خود احساس راحتی می کنید.

حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم

به طور معمول، هکرها می توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این به آنها اجازه می دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا کنند.

شما می توانید حفاظت رمز عبور اضافی را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می کند.

دستورالعمل های گام به گام ما را در مورد نحوه محافظت با رمز عبور دایرکتوری مدیریت وردپرس (wp-admin) دنبال کنید .

فهرست بندی و مرور دایرکتوری را غیرفعال کنید

هکرها می توانند از مرور دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیری شناخته شده دارید یا خیر، بنابراین آنها می توانند از این فایل ها برای دسترسی به آن استفاده کنند.

مرور دایرکتوری همچنین می تواند توسط افراد دیگر برای بررسی فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود فهرست سازی و مرور دایرکتوری را خاموش کنید.

شما باید با استفاده از FTP یا فایل منیجر cPanel به وب سایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری ریشه وب سایت خود پیدا کنید. اگر نمی توانید آن را در آنجا ببینید، به راهنمای ما در مورد اینکه چرا نمی توانید فایل htaccess. را در وردپرس ببینید مراجعه کنید .

پس از آن باید خط زیر را در انتهای فایل htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید. برای اطلاعات بیشتر در مورد این موضوع، به مقاله ما در مورد نحوه غیرفعال کردن مرور دایرکتوری در وردپرس مراجعه کنید .

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش‌فرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند.

به دلیل ماهیت قدرتمند خود، XML-RPC می تواند به طور قابل توجهی حملات brute-force را تقویت کند.

به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وب سایت شما امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهد که توسط افزونه قفل ورود دستگیر و مسدود می شود.

اما با XML-RPC، یک هکر می تواند از تابع system.multicall برای آزمایش هزاران رمز عبور با مثلاً 20 یا 50 درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.

3 راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در آموزش گام به گام خود در مورد نحوه غیرفعال کردن XML-RPC در وردپرس توضیح داده ایم .

نکته: روش .htaccess بهترین روش است زیرا کمترین مصرف منابع را دارد.

اگر از فایروال برنامه کاربردی وب که قبلاً ذکر شد استفاده می کنید، فایروال می تواند از آن مراقبت کند.

خروج خودکار کاربران بیکار در وردپرس

کاربرانی که وارد سیستم شده اند گاهی اوقات از صفحه نمایش دور می شوند و این یک خطر امنیتی است. شخصی می تواند جلسه خود را ربوده، رمز عبور را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.

به همین دلیل است که بسیاری از سایت های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می کنند. شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.

شما باید افزونه Inactive Logout را نصب و فعال کنید . پس از فعال‌سازی، برای پیکربندی تنظیمات افزونه، به تنظیمات » صفحه خروج غیر فعال مراجعه کنید.

به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید.

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس دسترسی غیرمجاز را برای کسی سخت تر می کند.

با نصب افزونه WP Security Questions می توانید سوالات امنیتی اضافه کنید . پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.

برای دستورالعمل‌های دقیق‌تر، به آموزش ما در مورد نحوه افزودن سؤالات امنیتی به صفحه ورود به سیستم وردپرس مراجعه کنید .

اسکن وردپرس برای بدافزارها و آسیب پذیری ها

اگر یک افزونه امنیتی وردپرس نصب کرده اید، آن افزونه ها به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می کنند.

با این حال، اگر کاهش ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو مشاهده کردید ، ممکن است بخواهید به صورت دستی یک اسکن را اجرا کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید .

اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت شما می روند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.

اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت وردپرس هک شده را تمیز کنند.

این ما را به بخش بعدی می رساند، پاکسازی بدافزارها و سایت های وردپرس هک شده.

تعمیر سایت وردپرس هک شده

بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.

تمیز کردن سایت وردپرس می تواند بسیار سخت و زمان بر باشد. اولین توصیه ما این است که اجازه دهید یک متخصص از آن مراقبت کند.

هکرها درهای پشتی را روی سایت های آسیب دیده نصب می کنند و اگر این درهای پشتی به درستی رفع نشوند، احتمالاً وب سایت شما دوباره هک می شود.

اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای تعمیر وب سایت شما، اطمینان حاصل می کند که سایت شما برای استفاده مجدد ایمن است. همچنین از شما در برابر هر گونه حملات بعدی محافظت می کند.

امتیاز مقاله: سرقت هویت و محافظت از شبکه

به عنوان صاحبان مشاغل کوچک، بسیار مهم است که از هویت دیجیتال و مالی خود محافظت کنیم زیرا عدم انجام این کار می تواند منجر به زیان های قابل توجهی شود. هکرها و مجرمان می توانند از هویت شما برای سرقت نام دامنه وب سایت شما ، هک کردن حساب های بانکی شما و حتی ارتکاب جرمی استفاده کنند که ممکن است شما مسئول آن باشید.

در سال 2020، 4.7 میلیون مورد سرقت هویت و کلاهبرداری از کارت اعتباری به کمیسیون تجارت فدرال (FTC) گزارش شده است.

به همین دلیل است که توصیه می کنیم از یک سرویس محافظت از سرقت هویت مانند Aura استفاده کنید (ما خودمان از Aura استفاده می کنیم).

آنها محافظت از دستگاه و شبکه وای فای را از طریق VPN رایگان (شبکه خصوصی مجازی) خود ارائه می دهند که اتصال اینترنت شما را با رمزگذاری درجه نظامی در هر کجا که هستید ایمن می کند. این برای زمانی که در حال سفر هستید یا از یک مکان عمومی مانند استارباکس به مدیر وردپرس خود متصل می شوید عالی است، بنابراین می توانید به صورت ایمن و خصوصی آنلاین کار کنید.

سرویس مانیتورینگ تاریک وب آنها به طور مداوم وب تاریک را با استفاده از هوش مصنوعی رصد می کند و اگر رمز عبور، شماره امنیت اجتماعی و حساب های بانکی شما به خطر افتاده است به شما هشدار می دهد.

این به شما امکان می دهد سریعتر عمل کنید و بهتر از هویت دیجیتال خود محافظت کنید.

سخن پایانی 

امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی وردپرس را یاد بگیرید و همچنین بهترین افزونه های امنیتی وردپرس را برای وب سایت خود کشف کنید.

همچنین ممکن است بخواهید بهترین روش اضافه کردن فرم جستجوی گوگل در سایت وردپرس و نکات تخصصی ما در نحوه انتخاب و مقایسه بهترین وب سایت ساز ها در سال 1403 را ببینید .

اگر این مقاله را دوست داشتید، لطفاً در صفحه اینستاگرام ما برای آموزش های ویدیویی وردپرس مشترک شوید. شما همچنین می توانید ما را در توئیتر و فیس بوک پیدا کنید .