آیا وردپرس امن است؟

این سوالی است که بسیاری از کاربران از ما می پرسند، اصل سوال شاید کمی اشکال داشته باشد. هر سیستم مدیریت محتوایی می تواند بواسطه اپن سورس بودن یا رعایت نکردن نکات امنیتی توسط کاربر یا پیدا شدن حفره های امنیتی به یک سیستم غیر امن تبدیل شود. پس نباید بگوییم که وردپرس امن است یا خیر! در واقع وردپرس آنقدر انعطاف پذیر است که می تواند به یکی از امن ترین سیستم های مدیریت محتوا دنیا تبدیل شود. کافی است با آموزش ما در این مطلب همراه شوید تا امنیت وردپرس را در چند مرحله آسان فرا بگیرید.

 

راه کارهای افزایش امنیت وردپرس

امنیت سایت های وردپرسی به چیزهای زیادی بستگی دارد. تنظیمات و ماژول های سرور هاست، قالب، افزونه و تنظیمات امنیتی وردپرس شما همگی از اهمیت زیادی برخوردارند. اگر تمامی موارد بیان شده در ادامه را رعایت کنید احتمالا سایت شما غیر قابل نفوذ خواهد شد. بیان کلمه احتمالا از این بابت است که امنیت در مورد حذف خطر نیست بلکه در مورد کاهش خطر است.

1. رمز عبور و نام کاربری

همه هکرها می دانند که آدرس ورود به پنل مدیریتی wp-admin است. پس لطفا از نام کاربری admin در زمان نصب وردپرس استفاده نکنید چون راه را برای تست رمز عبورهای مختلف و نهایت از دست رفتن سایت خود باز می کنید. بعد از نام کاربری نکته دیگر انتخاب رمز عبور قوی است. در تصویر زیر مشخص شده طول کلمه عبور، ترکیب حروف بزرگ و کوچک و استفاده زا علایم چقدر در زمان پیدا کردن آن توسط ربات ها تاثیر می گذارد. به عنوان مثال پسورد Bsl@13!98# توسط چند سرویس بررسی قدرت رمز عبور تست و نتایج مشابه زیر بدست آمد.  به عنوان مثال رمز عبور9 کاراکتری شامل حروف بزرگ و کوچک و علایم ویژه بنظر مناسب می رسد. در تنظیمات وردپرس می توانید سختی کلمه عبور را تعیین کنید تا کاربران عضو در سطوح دسترسی مختلف نتوانند رمز ساده ای انتخاب و دروازه را برای ورود به پیشخوان باز کنند. وبسایتی مانند Lastpass امکان انتخاب رمز عبور قدرتمند را به شما می دهد. سپس با استفاده از نرم افزارهای نگهدارنده رمز مانند همان lastpass انها را در سیستم خودتان ذخیره کنید یا در محلی امن انها را نگهداری کنید.

لاگین وردپرس

2. احراز هویت دو مرحله ای

حتی اگر از رمز عبور قوی استفاده کنید بازهم احتمال حملات بروت فورس وجود دارد. این حملات رایجترین حمله هکر ها برای بدست آوردن رمز و نام کاربری است که با ارسال و تست تعداد بالایی نام کاربری و رمز عبور  بر روی صفحات لاگین وب سایت ها صورت می گیرد. برای جلوگیری از حملات brute force احراز هویت دو مرحله ای می تواند استفاده شود. افزونه wordfence امکان استفاده از سیستم احراز هویت گوگل را فراهم می کند. فایروال قدرتمند، اسکنر تروجان، اسپم، کدهای مخرب و آدرس را دارد. بنابراین می تواند از بسیاری از خرابکاری ها جلوگیری کند. افزونه وردفنس یکی از بهترین پلاگین های امنیت وردپرس است که حاوی دیتا بیسی جامع از آنتی کدهای ویروس و آی پی های مخرب است.  در تصویر زیر استفاده از ریکپجای گوگل به عنوان احراز هویت دو عاملی و جلوگیری از ورود ربات ها نشان داده شده است.

صفحه ورود وردپرس

3. انتقال دسترسی سایت به افراد مطمئن

به هر کدام از افرادی که در سایت مشارکت دارند به اندازه ای که نیاز است دسترسی بدهید. برای نقش نویسنده هیچ لزومی وجود ندارد دسترسی مدیریت کل تعریف شود. گذشته از این به افراد تاکید شود در حفظ و نگه داری این اطلاعات نهایت تلاش خود را داشته باشند. این مورد امنیت وردپرس جزو عوامل انسانی است. افزونه itheems security می تواند پیشخوان وردپرس را در ساعات مشخصی از دسترس خارج کند. به این تریتب بعد از ساعات کاری می توانید دسترسی افراد را محدود کنید یا لیستی از آی پی های کاربرانی که چندین بار قصد ورود ناموفق داشتند را ایجاد و از ورود آنها جلوگیری می کند. امکانات و قابلیت های امنیتی افزونه ithemes security محدود به موارد ذکر شده نمی شود. با استفاده از این افزونه می توانید تنظیمات مربوط به دسترسی به فایل های هاست، تنظیمات رمز عبور، جلوگیری از نظرات اسپم و محافظت در برابر حملات را انجام دهید.

امنیت وردپرس

4. پنهان کردن .htaccess و wp-config.php

دو فایل بسیار مهم در وردپرس که کوچکترین خرابکاری در آن ها سایت شما را از دسترس خارج می کند. Wp-config.php اطلاعات مهم دیتابیس و … را نگه داری می کند. و فایل .htaccess می تواند تنظیمات پیش فرض سرور آپاچی را تغییر می دهد. افزونه yoast seo می تواند مخفی کردن این دو فایل را به سادگی اضافه کردن چند خط کد انجام دهد. برای این منظور از پیشخوان> سئو> ابزارها را انتخاب و بر روی ویرایش فایل .htaccess کلیک کنید. سپس در فایل باز شده کد زیر را برای حفاظت از هر دو فایل وارد کنید

<Files wp-config.php>

order allow,deny

deny from all

</Files>

<Files .htaccess>

order allow,deny

deny from all

</Files>

البته افزونه های امنیتی ذکر شده در بالا نیز می توانند امنیت دسترسی به هر دو فایل را تامین کنند. این به سیاست شما و افزونه های نصب شده بستگی دارد که از کدام روش استفاده کنید.

5. بروز رسانی همیشگی قالب، افزونه و وردپرس

بروز رسانی وردپرس، افزونه و قالب را در اولویت کار خود قرار دهید. بنظر شما چرا هر از چندگاهی ورژن های جدیدی از پلاگین، قالب و وردپرس ارائه می شود؟ این آپدیت ها می تواند به هزار و یک دلیل باشد که مهمترین آن رفع باگ های امنیتی است. همین یک مورد می تواند برای ما مشکلات جدی ایجاد کند. پس لطفا این مورد را جدی بگیرید. در پیشخوان در بخش بروزرسانی ها می توانید لیست قالب و افزونه هایی که نیاز به آپدیت شدن دارند را ببینید.

بروزرسانی وردپرس

6. نصب امن وردپرس

 موارد بیاان شده در بالا همگی زمانی مفید واقع می شوند که در نصب وردپرس و راه اندازی سایت نیز نکات امنیتی رعایت شده باشد. در زیر مواردی که باید درنظر داشت بیان شده است. این نکات بسیار ساده اما حیاتی هستند.

  • انتخاب هاست ایمن

انتخاب هاست قدرتمند با افزونه امنیتی فعال می تواند کمک بسیار بزرگی در برقراری امنیت سایت های وردپرسی یا غیر وردپرسی باشد. اکثر شرکت های ارائه کننده هاست پلنی با عنوان هاست وردپرس دارند که برای راه اندازی سایت های وردپرس بهینه شده است. توصیه ما به شما عدم استفاده از هاست های اشتراکی و ارائه دهندگان هاست نامعتبر است.

  • از قالب وردپرس مطمئن و اورجینال استفاده کنید

انتخاب قالب وردپرس امن یکی از اصلی ترین راهکارهای جلوگیری از هک شدن و سوء استفاده از آن است. بنابراین با خرید قالب های اورجینال از سایت های فروش قالب معتبر می توانید این اطمینان را داشته باشید که پوسته وردپرسی شما حاوی کدهای مخرب نیست. یکی از پرفروش ترین پوسته های وردپرس، قالب بی تم است که کدنویسی استاندارد و تمیزی دارد. می توانید با راه اندازی این گونه قالب ها در کنار رعایت نکات امنیتی سایتی ایمن داشته باشید. این قالب یک پوسته حرفه ای چند منظوره است که مناسب راه اندازی سایت های شخصی، شرکتی و فروشگاهی است.  نکته: در زمان نصب وردپرس پیشوند جدول دیتابیس را در که حالت پیش فرض wp_ است، تغییر دهید.

قالب بی تم

  • غیر فعال کردن ویرایشگر وردپرس

یکی دیگر از راه کارهای امنیت وردپرس غیر فعال کردن ویرایشگر وردپرس در پیشخوان است. اینکار برای جلوگیری از تغییر فایل های حیاتی وردپرس است. بنابراین بعد از نصب وردپرس ویرایشگر فایل را غیر فعال کنید. برای اینکار در قطعه کد زیر را در فایل wp-config.php واردکنید. برای این منظور وارد هاست شده و در مسیر نصب وردپرس فایل مورد نظر را یافته و تغییرات درخواستی را اعمال کنید.

define(‘DISALLOW_FILE_EDIT’, true);

تمامی نکات بیان شده چه در زمان نصب وردپرس و چه قبل و بعد از آن باید بدقت پیاده شوند تا احتمال خرابکاری و از دست رفتن سایت وردپرسی حداقل شود. یکی از نکات مهم دیگر بک آپ گیری مداوم از سایت است. به این ترتیب همیشه یک نسخه از آخریت تغییرات حیاتی سایت خود را به همراه تمامی اطلاعات محصولات و مشتریان خواهید داشت. امیدواریم نکات بیان شده در بالا برای شما مفید بوده باشد و شما هم سعی کنید همه آنها را پیاده کنید تا خطر هک شدن و از دست رافتن سایت خود به حداقل برسد.


توسط
لینک کوتاه : http://www.dlcode.ir/?p=11258

ممکن است بپسندید

نظر دهید

آدرس ایمیل شما منتشر نمیشود.