new-post1

چگونه امنیت وب سایت وردپرسی خود را بالا ببریم

چگونه امنیت وب سایت وردپرسی خود را بالا ببریم

در ادامه آموزش های وردپرس در این قسمت کمی نیز در مورد امنیت در وب سایت وردپرس صحبت میکنیم.امنیت در هر جایی بسیار مهم است خواه آن جا وب سایت وردپرسی شما باشد و یا بانک محله شما.در هر حال باید امنیت ان بسیار مهم باشد و در مورد آن امنیت باید تدابیر مهمی اندیشیده شود.حال در این آموزش ما در مورد امنیت وردپرس صحبت میکنیم و روش هایی برای بالا بردن امنیت وب سایت خود در چشم به هم زدن خواهیم گفت.

دوستان عزیز همانطور که میدانید وردپرس پرکاربردترین سیستم مدیریت محتوای متن باز در تمامی دنیا می باشد که برای راه اندازی هر نوع وب سایتی از آن استفاده می شود. در این آموزش وردپرس شما راهکار ها و ترفند هایی را می آموزید که با آنها خواهید توانست در جهت افزایش امنیت وردپرس و بهینه سازی آن گام های موثری را بردارید.پس تا انتها با من همراه باشید دوستان عزیز

نکته شماره 1: نسخه وردپرس خود را همیشه بروز نگه دارید
دوستان عزیز بروزرسانی وردپرس یکی از مهمترین و اصلی ترین بخش های این سیستم مدیریت محتوای متن باز محبوب می باشد.دوستان بروزرسانی های وردپرس در وب سایت اصلی این سیستم شامل رفع باگ های امنیتی و همچنین اشکالات و افزودن ویژگی های جدید می شوند به طوری که پس از عرضه نسخه جدید وردپرس اکثر نویسندگان پوسته ها و افزونه های وردپرس اقدام به بروزرسانی و ارئه نسخه جدید افزونه یا قالب خود می کنند که این دلیل بسیار مهمی دارد دوستان.حال دلیل این کار مدیران وب سایت ها این است که همیشه بهترین نسخه وردپرس از لحاظ امنیت آخرین نسخه آن می باشد پس بهتر است همیشه از آخرین نسخه وردپرس و همچنین قالب ها و افزونه ها استفاده کنید.حال ذکر یک نکته در اینجا اهمیت بسیاری دارد دوستان عزیز اگر پوسته های وردپرس و افزونه هایی که قبلا استفاده می کردید با نسخه های جدید وردپرس کار نکردند به احتمال زیاد آنها آنقدر امن نیستند که بتوانند با نسخه جدید خود را سازگار کنند پس شما نیز هر چه سریعتر قید ان ها را بزنید چون برای وب سایت شما مضر خواهند بود

نکته شماره 2: کلید سری منحصر به فردی در فایل wp-config.php قرار دهید
مطمئنا شما دوستان عزیز میدانید که تمام اطلاعات محرمانه وب سایت وردپرسی شما در فایل wp-config.php واقع در روت وردپرس ( جایی که وردپرس را نصب کرده اید ) ذخیره شده اند. کلید های سری ( Secret keys ) نیز جز یکی از اطلاعات ذخیره شده در این فایل هستند که بسیار بسیار مهم هستند. بنابراین مطمئن شوید که کلید های سری جدید را جایگزین کلید های سری پیشفرض کرده باشید. دوستان عزیز مورد دیگری که وجود دارد نیز این است که در حالت پیشفرض کلید های سری واقع در فایل wp-config.php به صورت زیر هستند. با مراجعه به این لینک کلید های جدید را جایگزین آنها کنید:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
/**#@+
 * Authentication Unique Keys.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
/**#@-*/
نکته شماره 3: پیشوند جداول وردپرس را تغییر دهید

دوستان عزیز مورد بعدی که اهمیت بسیار بسیار بالایی دارد این است که تعداد زیادی از سایت هایی که با وردپرس راه اندازی می شوند از پیشوند جداول پیشفرض وردپرس یعنی “wp_” استفاده می کنند و هیچ کس هم به فکر تغییر آن ها نیست به دلیل اینکه اکثر سایت ها از این پیشوند برای جداول سایت خود استفاده می کنند افرادی که سعی در نفوذ و هک سایت شما را دارند به راحتی نام جداول وردپرس شما را می دانند و امنیت سایت شما کاهش پیدا می کند.زیرا شما در صورت تغییر ندادن آن در حال پیشفرض قرار دارید برای اینکه امنیت سایت وردپرسی خود را بالا ببرید بهترین کار تغییر پیشوند جداول می باشد که در آموزش نحوه تغییر پیشوند جداول وردپرس میتوانید مشکل را رفع کنید

نکته شماره 4: از فایل wp-config.php محافظت کنید
دوستان عزیز نکته مهم دیگری که وجود دارد این است که شما باید از فایل wp-config.php محافظت کنید همانطور که در مورد قبل هم اشاره کردیم فایل wp-config.php شامل تمام اطلاعات محرمانه وب سایت وردپرسی شما می باشد. پس بسیار مهم است که به هر قیمتی از آن محافظت کنیم زیرا تمامی دارایی ما در ان است. یکی از آسان ترین راه ها جهت حفاظت از این فایل قرار دادن کد زیر در .htaccess می باشد.

1
2
3
4
<Files wp-config.php> 
   order allow,deny 
   deny from all 
</Files> 

نکته شماره 5: از فایل .htaccess محافظت کنید
در این آموزش در مورد محافظت بسیار سخن خواهیم گفت.فایل بعدی که باید از آن به صورت شدید محافظت شود فایل htaccess است.دوستان عزیز اگر توجه کرده باشید میفهمید که ما در نکته امنیتی قبل با استفاده از فایل .htaccess در قالب وردپرس توانستیم از فایل wp-config.php محافظت کنیم اما برای حفاظت از خود .htaccess باید چه کار کنیم؟ می توانیم از فایل .htaccess به عنوان محافظ خودش نیز استفاده کنیم. تنها کافی است تا کد پایین را در فایل .htaccess قرار دهید:

1
2
3
4
<Files .htaccess> 
   order allow,deny 
   deny from all 
</Files>

نکته شماره 6: نسخه وردپرس را حذف کنید
دوستان عزیز یکی دیگر از ایده های خوب و مناسب و البته بسیار ساده و فوری جهت افزایش امنیت وب سایت وردپرس حذف meta نسخه وردپرس از سایت شما می باشد. تگ متا generator نشان می دهد که شما از کدام یک از ورژن های موجود در سیستم مدیریت محتوای وردپرس استفاده می کنید. اگر شما حالت نمایش نسخه وردپرس را فعال بگذارید هکر ها نسخه وردپرس شما را متوجه شده و سپس حفره های امنیتی را که آن نسخه دارد بررسی کرده و به راحتی کمبود های امنیتی سایت شما را خواهند دانست و شما باید منتظر نفوذ آن ها باشید. اگر شما به هر دلیلی نمی توانید وردپرس خود را بروز کنید حداقل می توانید این واقعیت را که شما از آخرین ورژن وردپرس استفاده نمی کنید را از دید هکر ها پنهان کنید.

برای این منظور شما میتوانید ابتدا فایل function.php قالب وردپرس خود را گشوده و سپس کد زیر را در ان قرار دهید:

1
remove_action('wp_head', 'wp_generator');

شما میتوانید برای امنیت بیشتر وب سایت خود نیز یک قدم جلوتر بردارید و آن را از فید خوراک وردپرس خود نیز با استفاده از کد زیر حذف کنید:

1
2
3
4
function wpt_remove_version() {
return '';
}
add_filter('the_generator', 'wpt_remove_version');

نکته شماره 7: اسکنر وردپرس را نصب کنید
دوستان عزیز افزونه وردپرس Acunetix WP Security افزونه ای مفید جهت اسکن نصب وردپرس و ارائه پیشنهاداتی مطابق با آن به شما می باشد. این افزونه مواردی را چک میکند که این موارد عبارتند از : رمز های عبور و همچنین دسترسی به فایل های وردپرس و امنیت دیتابیس وب سایت وردپرسی و حفاظت از مدیریت وردپرس.که شما میتوانید توضیحات بیشتر در این مورد را از لینک آموزش اسکنر وردپرس دریافت نمائید

نکته شماره 8: دفعات تلاش برای ورود به وب سایت را کاهش دهید
دوستان عزیز در وب سایت های وردپرس وقتی که یک کاربر میخواهد وارد وب سایت شما شود در صورتی که یوز و پسورد خود را نداند و یا گم کرده باشد میتواند به مقدار و تعداد نامحدود رمز و نام کاربری در وب سایت امتحان کند که این بسیار بد است و در صورتی که ان شخص هکر باشد میتواند بسیار برای وب سایت شما خطرناک باشد و شخص در صورتی که ربات باشد که هزار برابر بدتر است و شما را به مشکل می اندازد اما چه باید کرد؟

راه حل این است که شما باید از یک افزونه وردپرس بهره ببرید و نگذارید کاربران به هر تعداد که دوست دارند یوزر و پسورد امتحان کنند و آن را محدود کنید به چند تلاش که پس از آن تعداد تلاش دیگر وب سایت اجازه تلاش های مجدد به کاربران را ندهد که برای این منظور میتوانید از افزونه وردپرس Login LockDown استفاده کنید.

نکته شماره 9: جلوگیری از مرور دایرکتوری سایت شما توسط کاربران
دوستان عزیز مورد بعدی این است که شما نگذارید کاربران دایرکتوری های وب سایت شما را بتوانند مرور کنند کاربران با مرور دایرکتوری وب سایت وردپرسی شما می توانند به اکثر فایل های موجود در هاست وب سایت شما دسترسی کامل داشته باشند. به طور پیش فرض امکان مرور دایرکتوری روی اکثر هاست ها فعال می باشد که می تواند یک ریسک امنیتی بزرگ برای شما به حساب آید و شما باید هر چه سریعتر آن را از بین ببرید.
برای جلوگیری از مرور دایرکتوری سایت خود کافی است تا کد زیر را در فایل htaccess قرار دهید:

1
Options -Indexes

نکته شماره 10: از عبارت “admin” به عنوان نام کاربری استفاده نکنید و رمز قوی برای نام کاربری خود انتخاب کنید.
دوستان عزیز همانطور که شما نیز دیده اید و کار کرده اید وردپس به طور معمول حساب کاربری مدیریت سایت وردپرس شما را با نام کاربری “admin” ایجاد می کند که این برای تمامی وب سایت های وردپرس یکسان است. بنابراین admin اولین نام کاربری ای خواهد بود که هکر ها سعی در استفاده از آن برای نفوذ به وب سایت شما خواهند داشت. از نسخه وردپرس ۳.۰ به بعد شما می توانید نام کاربری را در زمان نصب وردپرس تغییر دهید و ان را هر چیزی که میخواهید قرار دهید. پس در هنگام نصب وردپرس سعی در انتخاب نام کاربری ای بجز admin کنید این اهمیت بسیاری دارد

نکته شماره 11: آخرین نکته امنیتی و اما نه کم اهمیت ترین این نکات پشتیبان گیری از وردپرس می باشد.
دوستان عزیز آخرین نکته امنیتی در این آموزش پشتیبان گیری از تمامی دارایی های وب سایت وردپرسی است اما گمان نکنید که اهمیت پشتیبان گیری کم است زیرا به هیچ وجه اینطور نیست.پشتیبان گیری مرتب از وب سایت خود حس امنیت بیشتری نسبت به موارد بالا به شما می دهد. افزونه های زیادی برای وردپرس وجود دارند که عملیات پشتیان گیری از سایت شما را مدیریت می کنند و شما میتوانید از یکی از این افزونه های وردپرس استفاده کنید و باخیال راحت به استفاده از وب سایت خود بپردازید چرا که داشتن نسخه پشتیبان از وب سایت یک حریم کاملا امن در وب سایت شما است