۱۰ نکته برای افزایش امنیت وردپرس
افزایش امنیت وردپرس: اگر شما یک وبسایت وردپرسی دارید، باید به امنیت سایت بسیار اهمیت دهید. در اغلب مواقع، بلاگهای وردپرسی به دلیل بروز نبودن فایلها و پلاگینهای هسته وردپرس، بیشتر در معرض خطر قرار دارند. فایلهای منسوخ شده یا قدیمی، براحتی قابل ردیابی هستند و یک دعوتنامه آزاد برای هکر ها میباشد.
با این حال چگونه میتوانیم سایت یا بلاگ خود را از دسترسی افراد خلافکار دور نگهداریم؟ ابتدا اینکه ختما باید از آخرین نسخه وردپرس استفاده کنید و آنرا مدام آپدیت کنید. اما کارهای مهم دیگر نیز هستند که در این پست بررسی آنها خواهیم پرداخت.
پیشنهاد شگفت انگیز کدفرند،دسترسی به تمامی دوره های آموزشی کدفرند تنها با ۶۹ هزار تومان
۱ – تغییر پیشوند پیشفرض “wp_”
در صورتی که از پیشوند “wp_” که بطور خودکار هنگام نصب اولیه وردپرس، برای جداول دیتابیس سایت وردپرسیتان تنظیم میشود استفاده کنید، ممکن است سایت شما از نظر برخی حملات SQL Injection آسیب پذیر باشد. میتوانید این پیشوند را از بخش تنظیمات وردپرس یا phpMyAdmin به سادگی تغییر دهید.
۲ – پنهان کردن پیام خطا در لاگین
پیامهای خطا که ممکن است هنگام لاگین کردن به سایت نمایش داده شوند، میتوانند به هکرها ایدههایی درباره سیستم و دیتابیس در بک اند سایت بدهند. بنابراین پنهان کردن این پیامها میتواند امنیت سایت وردپرسی را افزایش دهد. برای انجام اینکار، میتوانید کد زیر را به سادگی در فایل Functions.php قالب سایت خود، اضافه کنید. (دوره جامع آموزش وردپرس + سئو در کدفرند)
add_filter( 'login_errors', '__return_false' );
3 – از دایرکتوری wp-admin محافظت کنید
حفاظت از فولدر wp-admin سایت وردپرسی، میتواند از افزایش امنیت وردپرس بسیار مفید باشد. با انجام اینکار هر کسی که برای دسترسی به فایلها و فولدرهای wp-admin تلاش کند، سریعا به صفحه لاگین ارسال خواهد شد. راههای مختلفی برای حفاظت از دایرکتوری wp-admin سایت موجود هستند:
- روش پلاگین – استفاده از پلاگین وردپرسی HTTP Auth
- سی پنل – اگر هاستینگ شما از cPanel admin login پشتیبانی کند، براحتی میتوانید هر فولدری که در نظر داشتید از طریق آپشن Password Protect Directories در سی پنل، حفاظت یا Protect کنید.
- . htpasswd – ایجاد یک فولدر رمز دار میتواند با قرار دادن فایلها و فولدرهایی که در نظر دارید، داخل دایرکتوری htaccess. براحتی انجام شود.
۴ – نگهداری از Backup ها
نگهداری از تمامی بکاپهای کل سایت وردپرسی برای افزایش امنیت سایت در مقابل هکرها بسیار مهم است. اگر هیچ کدام از روشها جوابگو نباشد و سایت هک شود، حداقل یک نسخه پشتیبان از کل وبسایت وردپرسی خود را خواهید داشته تا آنرا بازیابی کنید. دو نوع پشتیبان گیری داریم: فول بکاپ و بکاپ افزایشی (Incremental)
فول بکاپ شامل تمامی فایلها و اطلاعات دیتابیس وردپرس هنگام ایجاد بکاپ میشود. این متد حجم بیشتری از حافظه را به خود اختصاص میدهد و میتوان گفت ضروری نیست و حتی میتواند موجب کاهش سرعت و قدرت CPU هنگام پشتیبان گیری شود. بنابراین استفاده از این روش را زیاد توضیه نمیکنیم.
بکاپ افزایشی تنها در بار اول بکاپ کامل از تمامی فایلها و اطلاعات خواهد گرفت و در دفعات بعدی فقط دادههایی که اخیرا تغییر داده شدند را پشتیبان گیری خواهد کرد. امروزه ابزارهایی برای انجام اینگونه بکاپها وجود دارند. از جمله VaultPress و WP Time Capsule.
۵ – از Browsing دایرکتوری جلوگیری کنید
یکی دیگر از بزرگترین حفرههای امنیتی، قابل دسترس بودن فایلها و دایرکتوریهای سایت وردپرسیتان برای عموم است. میخواهیم یک تست بسیار سریع و ساده برای تشخیص وضعیت نمایش داده شدن دایرکتوری سایت، انجام دهیم. آدرس زیر را در مرورگر خود بدون کوتیشنها وارد کنید.
“http://www.domain.com/wp-includes/
”
اگر برای شما یک برگه خالی نمایش دهد یا شما را به یک برگه دیگر ارسال کند، از این لحاظ سایت امن میباشد. در غیر اینصورت اگر صفحهای مانند زیر را مشاهده کنید، امنیت زیر سوال است.
برای جلوگیری از دسترسی به فایلها و فولدرهای سایت بصورت public، میتوانید به سادگی کد زیر را در فایل htaccess. وردپرس قرار دهید.
# Prevent folder browsing. Options All -Indexes
اگر سایت شما روی nginx اجرا میشود، میتوانید کد زیر را اضافه کنید:
autoindex off;
پیشنهاد شگفت انگیز کدفرند،دسترسی به تمامی دوره های آموزشی کدفرند تنها با ۶۹ هزار تومان
۶ – بروز نگهداشتن فایلها و پلاگینهای وردپرس
یکی از بهترین راهها برای حفظ امنیت سایت وردپرسی، داشتن اطمینان از آپدیت بودن فایلها و پلاگینهای هسته وردپرس است. خوشبختانه امروزه وردپرس قابلیت بروزرسانی خودکار را دارد و بدین وسیله هنگام رسیدن بروزرسانیهای جدید، بصورت اتوماتیک آپدیت خواهد شد مگر اینکه شما یا توسعه دهنده سایت، این قابلیت را از تنظیمات وردپرس غیرفعال کرده باشید. (دوره جامع آموزش وردپرس + سئو در کدفرند)
۷ – پسورد قدرتمندی را انتخاب کنید
هنگام انتخاب پسورد، وردپرس پسوردهای بسیار قدرتمندی را پیشنهاد میدهد که میتواند برایتان بسیار مفید واقع شود. همچنین فیلد نمایش استقامت پسورد نیز در آن تعبیه شده است. مطمئنا باید پسورد قدرتمندی را انتخاب کنید. البته یادآوری پسورد قدرتمند نیز میتواند سخت باشد؛ به همین دلیل استفاده از برنامههای مدیریت پسورد مانند ۱Password یا LastPass را برایتان پیشنهاد میکنم.
۸ – کاربر ادمین را حذف کنید
در نصب معمول وردپرس، کاربر پیش فرض بنام admin وجود دارد. اگر از همین نام کاربری برای لاگین به سایت استفاده میکنید، کار هکر را تا ۵۰% راحت کردید. استفاده از نام کاربری admin باید برای همیشه فراموش شود. روش امن تر برای ورود به سایت و پنل وردپرس خود این است که یک کاربر administrator جدید با یک نام غیر از admin ایجاد کنید و از این پس آن را بکار ببرید.
۹ – XMLRPC را غیرفعال کنید
XMLRPC در وردپرس، یکی از روشهای معمول حمله در وردپرس است. بنابراین غیرفعال کردن آن درصورتی که سایتتان به XMLRPC نیاز نداشته باشد، همیشه میتواند فکر خوبی باشد. میتوانید endpoint آنرا به IP های مشخصی که نیاز دارید، محدود کنید. برای مثال:
Apache
<Files xmlrpc.php> order deny,allow allow from 192.0.64.0/18 deny from all </Files>
Nginx
location = /xmlrpc.php { allow 192.0.64.0/18; deny all; access_log off; }
هدرهای امنیتی HTTP را اضافه کنید
یکی دیگر از روشهای افزایش امنیت وردپرس میتواند افزودن Header های امنیتی HTTP باشد. انجام اینکار میتواند برخی از حملات را کاهش دهد. برای افزودن این هدرها میتوانید از سرویسدهنده هاست خود کمک بگیرید. (دوره جامع آموزش وردپرس + سئو در کدفرند)