چگونگی افزایش امنیت وردپرس بحث بسیار قابل توجهی در انجمن های مختلف مرتبط با وردپرس است. افزونههای امنیتی زیادی وجود دارد که می توانید یکی از آنها را انتخاب کنید. با این حال مواردی هم وجود دارند که بدون نیاز به هر برنامه و افزونه ای می توانند امنیت را به صورت چشم گیری در سایت وردپرس شما افزایش دهند. بعضی از این روش ها را می توان به راحتی از طریق پنل مدیریت وردپرس انجام داد. برخی دیگر میتوانند از cPanel حساب میزبان شما یا با ویرایش دو پرونده پیکربندی wp-config.php (برای پیکربندی WP) و htaccess. (برای پیکربندی سرور) تکمیل شوند. شما می توانید به فایل های پیکره بندی خود در پوشه Public_html در وردپرس دسترسی داشته باشید.
در این مقاله، 15 نکته امنیتی وردپرس را به شما نشان می دهیم که نیازی به نصب افزونه ندارند.
![Tools-for-seo]()
به روز نگه داشتن وردپرس
به روز نگه داشتن وردپرسدر قسمت: مدیریت وردپرس
تیم WordPress Core بطور مستمر بر مسائل امنیتی نظارت دارند و هر زمان که آسیب پذیری جدیدی مشاهده شود، آن را اصلاح می کنند. برای رفع اشکال و اصلاحات امنیتی می توانید به منوی “پیشخوان> به روز رسانی ها” درقسمت مدیریت وردپرس مراجعه کنید.
این به روزرسانی ها برای امنیت و ثبات وب سایت وردپرس ضروری است. شما همیشه باید هسته وردپرس و نیز افزونه ها و قالبهای نصب شده را به روز نگه دارید.
![]()
محدود کردن دسترسی کاربر به سایت
محدود کردن دسترسی کاربر به سایتدر قسمت: مدیریت وردپرس
برای جلوگیری از هک شدن و به خطر افتادن امنیت وبسایت، شما نباید به تمام کاربران نقش مدیریتی بدهید.
WordPress یک سیستم مدیریت عالی است که پنج نوع کاربر مشخص دارد:
- اعضا
- مشارکت کننده
- نویسنده
- ویرایشگر
- مدیر
فقط به کاربرانی که واقعاً وظایف مهمی مانند به روزرسانی افزونه ها، تغییر تنظیمات یا نصب قالب ها را انجام می دهند، نقش مدیریتی بدهید. برای تغییر نقش، به بخش کاربران در پیشخوان وردپرس خود مراجعه کنید و بهجای نقش مدیریت از گزینه های نویسنده، ویرایشگر و … استفاده کنید.
![]()
نام پیش فرض (admin) را برای حساب کاربری تغییر دهید.
نام پیش فرض (admin) را برای حساب کاربری تغییر دهید.در قسمت: مدیریت وردپرس
بسیاری از کاربران وقتی سایت وردپرس خود را راهاندازی میکنند، نام کاربری پیشفرض وردپرس یعنی admin را تغییر نمیدهند. امروزه اغلب هکرها اولین نامکاربری که به ذهنشان خطور میکند، نامکاربری پیشفرض وردپرس است. پس توصیه میشود حتما برای امنیت وبسایت خود از نامکاربری دیگری استفاده کنید.
تغییر نام کاربری مدیریت چندان آسان نیست، زیرا WordPress به کاربران اجازه نمی دهد نام کاربری خود را از بخش پیشخوان مدیریت تغییر دهند. نام کاربری را می توانید در پایگاه داده ها تغییر دهید، اما ساده ترین راه حل ایجاد یک حساب کاربری جدید با یک نام کاربری جدید است. در مرحله بعدی، فقط کافی است با حساب کاربر مدیریت جدید وارد شوید و حساب کاربری قدیمی را حذف کنید.
![]()
استفاده از رمزعبور قوی و پیچیده
استفاده از رمزعبور قوی و پیچیدهدر قسمت: مدیریت وردپرس
برای افزایش امنیت صفحه ورود به وردپرس از رمزعبور قوی استفاده کنید. هنگامی که یک کاربر جدید ثبت میشود، وردپرس به طور پیش فرض رمزهای پیچیده ایجاد می کند، در حالی که کاربران می توانند آن را به رمزهای ساده تر تغییر دهند. توجه داشته باشید که کاربران در سطح بالاتر (مدیر و ویرایشگر) همیشه از رمزهای عبور قوی استفاده می کنند. اگر می ترسید رمزهای عبور پیچیده را فراموش کنید، به شما پیشنهاد میکنیم از برنامه مدیریت رمز استفاده کنید.
![]()
مرتباً محتوای خود را انتقال دهید
مرتباً محتوای خود را انتقال دهیددر قسمت: مدیریت وردپرس
اگر یک وبسایت موفق وردپرس دارید، محتوای شما مهمترین سرمایه شما است. بدون شک در اثر انواع حملات، ممکن است پستها، صفحات، تصاویر و سایر محتوا به خطر بیفتند. بنابراین، هرگز فراموش نکنید که آنها را در فلش و یا در یک فضای ذخیره سازی ابری ذخیره کنید.
شما به راحتی می توانید تمام مطالب خود را از فهرست Tools> Export در مدیریت وردپرس انتقال دهید. وردپرس با زدن دکمه “بارگیری پرونده “، یک فایل XML ایجاد می کند که می توانید بارگیری کنید. هر زمان که لازم باشد، می توانید با بارگذاری همان فایل XML در صفحه از بخش Tools>Import در بخش مدیریت، به راحتی محتوای خود را برگردانید.
![]()
پلاگین ها و قالب هایی که نیاز ندارید را حذف کنید
پلاگین ها و قالب هایی که نیاز ندارید را حذف کنیددر قسمت: مدیریت وردپرس
بعضی از صاحبان سایت میل بیش از حد به استفاده از افزونه ها را دارند و قالب های بلا استفاده را حذف نمیکنند، که این امر در بعضی از موارد باعث به خطر افتادن امنیت وردپرس می شود. هرچه افزونه ها و قالبهای نصب شده بیشتر باشد، خطرات بیشتری سایت شما را تهدید می کند. هر افزونه یا موضوع جدید خطر هک شدن را افزایش می دهد.
بنابراین، فقط از پلاگین هایی استفاده کنید که ضروری هستند. افزونه ها و قالب هایی را که مورد استفاده نیستند را غیر فعال نکنید بلکه کاملا آنها را حذف کنید. برای امنیت بهتر وردپرس، باید موارد غیرفعال را حذف کنید. اگر در آینده به آنها احتیاج پیدا کردید به سرعت می توانید آنها را دوباره نصب کنید.
![]()
به طور مرتب از پایگاه داده خود نسخه پشتیبان تهیه کنید
به طور مرتب از پایگاه داده خود نسخه پشتیبان تهیه کنیددر قسمت: cPanel
علاوه بر انتقال محتوا از طریق حساب کاربری مدیریت وردپرس، می توانید نسخه پشتیبان از پایگاه داده تهیه کنید. برای این کار از طریق cPanel از پایگاه داده خود نسخه پشتیبان تهیه کنید. منو File>backup را در cPanel انتخاب کرده و فایل پیشتیبان SQL را دانلود کنید. اگر مشکلی وجود نداشته باشد به سرعت می توانید فایل پشتیبان بانک اطلاعاتی خود را کاملا بازیابی کنید.
برخی از برنامه های هاستینگ دارای گزینه بکاپ گیری خودکار از بانک اطلاعاتی هستند. اگر می خواهید پایگاه داده ایمنی داشته باشید، میزبانی را انتخاب کنید که در آن ارائه دهنده هاستینگ از تهیه نسخه پشتیبان، پشتیبانی میکند.
![]()
پیشوند جدول پایگاه داده را تغییر دهید
پیشوند جدول پایگاه داده را تغییر دهیددر قسمت: wp-config.php
به طور پیش فرض، وردپرس از پیشوند _wp برای جداول بانک اطلاعاتی استفاده می کند. برای ایمن تر کردن سایت، با تغییر مقدار متغیر table_prefix$ در پرونده wp-config، می توانیداز یک پیشوند پیچیده تر استفاده کنید. به خاطر داشته باشید که در پیشوند جدول فقط می توانید از اعداد، حروف و کاراکتر زیرخط (underline) استفاده کنید. هر کاراکتر دیگر، به عنوان مثال کاراکترهای خاص، باعث نامعتبر شدن پیشوند خواهد بود.
![]()
اجبار کاربران برای ورود ایمن
اجبار کاربران برای ورود ایمندر قسمت: wp-config.php
مجبور کردن کاربران برای ورود به ناحیه سرور از طریق پروتکل امن SSL، امنیت وردپرس را می تواند تا حد زیادی افزایش دهد. در صورت نصب بودن SSL در سایت می توانید این کار را انجام دهید.شما همچنین میتوانید یک گواهینامه SSL را در ارائه دهنده میزبان خریداری کنید، اما امروزه بسیاری از هاستینگ ها، با مجوز رمزگذاری شده رایگان ارائه می شوند.
با دارا بودن گواهینامه SSL می توانید از پروتکل HTTPS امن برای بخش مدیریت یا کل سایت استفاده کنید. با افزودن کد زیر در بالای پرونده wp-config می توانید کاربران را مجبور به ورود از طریق لینک https:// کنید:
(Define( 'FORCE_SSL_ADMIN' , TRUE
![]()
گزینه اصلاح قالب ها و افزونه ها را غیر فعال کنید
گزینه اصلاح قالب ها و افزونه ها را غیر فعال کنیددر قسمت: wp-config.php
به طور پیش فرض، کاربران سرپرست می تواند فایل های افزونه و تم را از بخش مدیریت وردپرس ویرایش کنند. در دنیای ایده آل، این یک ویژگی عالی خواهد بود، اما اگر یک هکر به حساب ها دسترسی پیدا کند، خطرناک خواهد بود .
با افزودن کد زیر به پرونده wp-config می توانید ویرایشگرهای افزونه و تم را برای مدیر غیرفعال کنید:
(Define( 'DISALLOW_FILE_EDIT' , TRUE
اگر تنها هدف شما غیرفعال کردن افزونه ها و قالب ها نیست، می توانید با اضافه کردن کد زیر دسترسی به ویرایشگرها را هم یرای قسمت مدیریت غیرفعال کنید:
(Define( ‘DISALLOW_FILE_MODS’ , TRUE
از دو به طور همزمان استفاده نکنید. اگر می خواهید افزونه ها و قالب ها را به عنوان مدیر وردپرس به روز کنید، از DISALLOW_FILE_EDIT استفاده کنید. اگر قصد انجام به روزرسانی های پس زمینه (از طریق SFTP) را ندارید، به جای آن از DISALLOW_FILE_MODS استفاده کنید.
![]()
HTML بدون فیلتر را غیرفعال کنید
HTML بدون فیلتر را غیرفعال کنیددر قسمت: wp-config.php
وردپرس به مدیران و ویراستاران اجازه می دهد تا نشانه گذاری HTML و کد JavaScript (درون برچسب <script>) را از طریق صفحات، پست ها، ابزارک ها و نظرات ارسال کنند. به هر حال، اگر حساب آنها به خطر بیفتد، می تواند خطرناک باشد. می توانید هنگام ارسال HTML با افزودن کد زیر به پرونده wp-config فیلتر را اعمال کنید:
;(define( ‘DISALLOW_UNFILTERED_HTML’, true
به این ترتیب HTML و JavaScript اجرا نمی شوند. در عوض، به صورت یک متن ساده در وب سایت ظاهر می شود.
![]()
اجازه دسترسی به پرونده wp-config را ندهید
اجازه دسترسی به پرونده wp-config را ندهیددر قسمت: .htaccess
به طور پیش فرض، هر کسی می تواند به پرونده wp-config شما که شامل تمام تنظیماتی مانند نام بانک اطلاعاتی، نام کاربری، رمز عبور و سایر داده های بسیار حساس دسترسی پیدا کند. با اضافه کردن کد زیر به فایل htaccess. می توانید دسترسی به پرونده wp-config را مسدود کنید:
<Files wp-config.php> Order Allow,Deny Deny from all </Files>
تکه فوق را پایین کد Rewrite و بالاتر از برچسب <IfModule/> در پرونده پیش فرض وردپرس در .htaccess قرار دهید.
![]()
اجازه دسترسی به پرونده های htaccess. را ندهید
اجازه دسترسی به پرونده های htaccess. را ندهیددر قسمت: htaccess.
دسترسی غیرمجاز به کلیه پرونده های htaccess. را درهنگام نصب وردپرس خود می توانید سلب کنید. پروندههای htaccess. شامل پیکربندی سرور آپاچی هستند، با این حال در مرورگر به صورت عمومی در دسترس هستند.
اگر http://yoursite.com/.htaccess را در نوار URL مرورگر خود تایپ کنید، می توانید بررسی کنید که آیا پرونده ها تنها در دسترس شما است یا خیر. htaccess. شما توسط همه افراد دراینترنت قابل دسترسی است. برای محافظت از پرونده های htaccess. از کد htaccess. زیر استفاده کنید:
<Files ~ "^.*\.([Hh][Tt][Aa])"> Order Allow,Deny Deny from all Satisfy all </Files>
![]()
دسترسی به XML-RPC را غیرفعال کنید
دسترسی به XML-RPC را غیرفعال کنیددر قسمت: htaccess.
وردپرس از پروتکل XML-RPC برای انتشار از راه دور یا توسط برنامه های جانبی برای اتصال به سایت استفاده می کند. این موضوع باعث به خطر افتادن امنیت سایت می شود، چون مهاجمان از این ویژگی سوء استفاده می کنند. اگر از برنامه های جانبی استفاده نمی کنید، با اضافه کردن قطعه کد زیر به پرونده htaccess. ویژگی XML-RPC را غیرفعال کنید:
<FilesMatch "^(xmlrpc\.php)"> Order Deny,Allow Deny from all </FilesMatch>
توجه داشته باشید که برخی از افزونه های محبوب وردپرس مانند Jetpack نیز از API XML-RPC استفاده می کنند. اگر می خواهید از Jetpack استفاده کنید، دسترسی به XML-RPC را غیرفعال نکنید.
![]()
جست و جو در دایرکتوری را غیرفعال کنید
جست و جو در دایرکتوری را غیرفعال کنیددر قسمت: htaccess.
برخی از دایرکتوری های وردپرس را می توان در مرورگرها به روش زیر عنوان کرد که بسیاری از کاربران از آن اطلاعی ندارند.
دسترسی عمومی به درخت دایرکتوری برای امنیت وردپرس زیان بار است، زیرا هر کس می تواند اطلاعات زیادی را درباره شما بدست آورد. با افزودن کد زیر به پرونده htaccess. این ویژگی را می توانید غیرفعال کنید:
Options -Indexes
