افزایش امنیت وردپرس: اگر شما یک وبسایت وردپرسی دارید، باید به امنیت سایت بسیار اهمیت دهید. در اغلب مواقع، بلاگ‌های وردپرسی به دلیل بروز نبودن فایلها و پلاگین‌های هسته وردپرس، بیشتر در معرض خطر قرار دارند. فایلهای منسوخ شده یا قدیمی، براحتی قابل ردیابی هستند و یک دعوتنامه آزاد برای هکر ها میباشد.

با این حال چگونه میتوانیم سایت یا بلاگ خود را از دسترسی افراد خلافکار دور نگهداریم؟ ابتدا اینکه ختما باید از آخرین نسخه وردپرس استفاده کنید و آنرا مدام آپدیت کنید. اما کارهای مهم دیگر نیز هستند که در این پست بررسی آنها خواهیم پرداخت.

پیشنهاد شگفت انگیز کدفرند،دسترسی به تمامی دوره های آموزشی کدفرند تنها با ۶۹ هزار تومان

۱ – تغییر پیشوند پیش‌فرض “wp_”

در صورتی که از پیشوند “wp_” که بطور خودکار هنگام نصب اولیه وردپرس، برای جداول دیتابیس سایت وردپرسی‌تان تنظیم میشود استفاده کنید، ممکن است سایت شما از نظر برخی حملات SQL Injection آسیب پذیر باشد. میتوانید این پیشوند را از بخش تنظیمات وردپرس یا phpMyAdmin به سادگی تغییر دهید.

۲ – پنهان کردن پیام خطا در لاگین

پیام‌های خطا که ممکن است هنگام لاگین کردن به سایت نمایش داده شوند، میتوانند به هکرها ایده‌هایی درباره سیستم و دیتابیس در بک اند سایت بدهند. بنابراین پنهان کردن این پیام‌ها میتواند امنیت سایت وردپرسی را افزایش دهد. برای انجام اینکار، میتوانید کد زیر را به سادگی در فایل Functions.php قالب سایت خود، اضافه کنید. (دوره جامع آموزش وردپرس + سئو در کدفرند)

add_filter( 'login_errors', '__return_false' );

 3 – از دایرکتوری wp-admin محافظت کنید

حفاظت از فولدر wp-admin سایت وردپرسی، میتواند از افزایش امنیت وردپرس بسیار مفید باشد. با انجام اینکار هر کسی که برای دسترسی به فایلها و فولدرهای wp-admin تلاش کند، سریعا به صفحه لاگین ارسال خواهد شد. راه‌های مختلفی برای حفاظت از دایرکتوری wp-admin سایت موجود هستند:

• روش پلاگین – استفاده از پلاگین وردپرسی HTTP Auth
• سی پنل – اگر هاستینگ شما از cPanel admin login پشتیبانی کند، براحتی میتوانید هر فولدری که در نظر داشتید از طریق آپشن Password Protect Directories در سی پنل، حفاظت یا Protect کنید.
• . htpasswd – ایجاد یک فولدر رمز دار میتواند با قرار دادن فایلها و فولدرهایی که در نظر دارید، داخل دایرکتوری htaccess. براحتی انجام شود.

۴ – نگهداری از Backup ها

نگهداری از تمامی بکاپ‌های کل سایت وردپرسی برای افزایش امنیت سایت در مقابل هکرها بسیار مهم است. اگر هیچ کدام از روشها جوابگو نباشد و سایت‌ هک شود، حداقل یک نسخه پشتیبان از کل وبسایت وردپرسی خود را خواهید داشته تا آنرا بازیابی کنید. دو نوع پشتیبان گیری داریم: فول بکاپ و بکاپ افزایشی (Incremental)

فول بکاپ شامل تمامی فایلها و اطلاعات دیتابیس وردپرس هنگام ایجاد بکاپ میشود. این متد حجم بیشتری از حافظه را به خود اختصاص میدهد و میتوان گفت ضروری نیست و حتی میتواند موجب کاهش سرعت و قدرت CPU هنگام پشتیبان گیری شود. بنابراین استفاده از این روش را زیاد توضیه نمیکنیم.

بکاپ افزایشی تنها در بار اول بکاپ کامل از تمامی فایلها و اطلاعات خواهد گرفت و در دفعات بعدی فقط داده‌هایی که اخیرا تغییر داده شدند را پشتیبان گیری خواهد کرد. امروزه ابزارهایی برای انجام اینگونه بکاپ‌ها وجود دارند. از جمله VaultPress و WP Time Capsule.

۵ – از Browsing دایرکتوری جلوگیری کنید

یکی دیگر از بزرگترین حفره‌های امنیتی، قابل دسترس بودن فایلها و دایرکتوریهای سایت وردپرسی‌تان برای عموم است. میخواهیم یک تست بسیار سریع و ساده برای تشخیص وضعیت نمایش داده شدن دایرکتوری سایت، انجام دهیم. آدرس زیر را در مرورگر خود بدون کوتیشن‌ها وارد کنید.

“http://www.domain.com/wp-includes/”

اگر برای شما یک برگه خالی نمایش دهد یا شما را به یک برگه دیگر ارسال کند، از این لحاظ سایت امن میباشد. در غیر اینصورت اگر صفحه‌ای مانند زیر را مشاهده کنید، امنیت زیر سوال است.

برای جلوگیری از دسترسی به فایلها و فولدرهای سایت بصورت public، میتوانید به سادگی کد زیر را در فایل htaccess. وردپرس قرار دهید.

# Prevent folder browsing.
Options All -Indexes

اگر سایت شما روی nginx اجرا میشود، میتوانید کد زیر را اضافه کنید:

autoindex off;

پیشنهاد شگفت انگیز کدفرند،دسترسی به تمامی دوره های آموزشی کدفرند تنها با ۶۹ هزار تومان

۶ – بروز نگهداشتن فایلها و پلاگین‌های وردپرس

یکی از بهترین راه‌ها برای حفظ امنیت سایت وردپرسی، داشتن اطمینان از آپدیت بودن فایلها و پلاگین‌های هسته وردپرس است. خوشبختانه امروزه وردپرس قابلیت بروزرسانی خودکار را دارد و بدین وسیله هنگام رسیدن بروزرسانی‌های جدید، بصورت اتوماتیک آپدیت خواهد شد مگر اینکه شما یا توسعه دهنده سایت، این قابلیت را از تنظیمات وردپرس غیرفعال کرده باشید. (دوره جامع آموزش وردپرس + سئو در کدفرند)

۷ – پسورد قدرتمندی را انتخاب کنید

هنگام انتخاب پسورد، وردپرس پسوردهای بسیار قدرتمندی را پیشنهاد میدهد که میتواند برایتان بسیار مفید واقع شود. همچنین فیلد نمایش استقامت پسورد نیز در آن تعبیه شده است. مطمئنا باید پسورد قدرتمندی را انتخاب کنید. البته یادآوری پسورد قدرتمند نیز میتواند سخت باشد؛ به همین دلیل استفاده از برنامه‌های مدیریت پسورد مانند ۱Password یا LastPass را برایتان پیشنهاد میکنم.

۸ – کاربر ادمین را حذف کنید

در نصب معمول وردپرس، کاربر پیش فرض بنام admin وجود دارد. اگر از همین نام کاربری برای لاگین به سایت استفاده میکنید، کار هکر را تا ۵۰% راحت کردید. استفاده از نام کاربری admin باید برای همیشه فراموش شود. روش امن تر برای ورود به سایت و پنل وردپرس خود این است که یک کاربر administrator جدید با یک نام غیر از admin ایجاد کنید و از این پس آن را بکار ببرید.

۹ – XMLRPC را غیرفعال کنید

XMLRPC در وردپرس، یکی از روشهای معمول حمله در وردپرس است. بنابراین غیرفعال کردن آن درصورتی که سایت‌تان به XMLRPC نیاز نداشته باشد، همیشه میتواند فکر خوبی باشد. میتوانید endpoint آنرا به IP های مشخصی که نیاز دارید، محدود کنید. برای مثال:

Apache

<Files xmlrpc.php>
  order deny,allow
  allow from 192.0.64.0/18
  deny from all
</Files>

Nginx

location = /xmlrpc.php {
  allow 192.0.64.0/18;
  deny all;
  access_log off;
}

 هدرهای امنیتی HTTP را اضافه کنید

یکی دیگر از روشهای افزایش امنیت وردپرس میتواند افزودن Header های امنیتی HTTP باشد. انجام اینکار میتواند برخی از حملات را کاهش دهد. برای افزودن این هدرها میتوانید از سرویس‌دهنده هاست خود کمک بگیرید. (دوره جامع آموزش وردپرس + سئو در کدفرند)