طراح وب سایت
آموزش، نکته و ترفند طراحی سایت

نکاتی برای امنیت وردپرس بدون پلاگین ها

748

چگونگی افزایش امنیت وردپرس بحث بسیار قابل توجهی در انجمن های مختلف مرتبط با وردپرس است. افزونه‌های امنیتی زیادی وجود دارد که می توانید یکی از آنها را انتخاب کنید. با این حال مواردی هم وجود دارند که بدون نیاز به هر برنامه و افزونه ای می توانند امنیت را به صورت چشم گیری در سایت وردپرس شما افزایش دهند. بعضی از این روش ها را می توان به راحتی از طریق پنل مدیریت وردپرس انجام داد. برخی دیگر می‌توانند از cPanel حساب میزبان شما یا با ویرایش دو پرونده پیکربندی wp-config.php (برای پیکربندی WP) و htaccess. (برای پیکربندی سرور) تکمیل شوند. شما می توانید به فایل های پیکره بندی خود در پوشه Public_html در وردپرس دسترسی داشته باشید.

در این مقاله، 15 نکته امنیتی وردپرس را به شما نشان می دهیم که نیازی به نصب افزونه ندارند.

Tools-for-seo  به روز نگه داشتن وردپرس

در قسمت: مدیریت وردپرس

تیم WordPress Core بطور مستمر بر مسائل امنیتی نظارت دارند و هر زمان که آسیب پذیری جدیدی مشاهده شود، آن را اصلاح می کنند. برای رفع اشکال و اصلاحات امنیتی می توانید به منوی “پیشخوان> به روز رسانی ها” درقسمت مدیریت وردپرس مراجعه کنید.

این به روزرسانی ها برای امنیت و ثبات وب سایت وردپرس ضروری است. شما همیشه باید هسته وردپرس و نیز افزونه ها و قالبهای نصب شده را به روز نگه دارید.

محدود کردن دسترسی کاربر به سایت

در قسمت: مدیریت وردپرس

برای جلوگیری از هک شدن و به خطر افتادن امنیت وبسایت، شما نباید به تمام کاربران نقش مدیریتی بدهید.

WordPress یک سیستم مدیریت عالی است که پنج نوع کاربر مشخص دارد:

  • اعضا
  • مشارکت کننده
  • نویسنده
  • ویرایشگر
  • مدیر

فقط به کاربرانی که واقعاً وظایف مهمی مانند به روزرسانی افزونه ها، تغییر تنظیمات یا نصب قالب ها را انجام می دهند، نقش مدیریتی بدهید. برای تغییر نقش، به بخش کاربران در پیشخوان وردپرس خود مراجعه کنید و به‌جای نقش مدیریت از گزینه های نویسنده، ویرایشگر و … استفاده کنید.

کاربران

نام پیش فرض (admin) را برای حساب کاربری تغییر دهید.

در قسمت: مدیریت وردپرس

بسیاری از کاربران وقتی سایت وردپرس خود را راه‌اندازی می‌کنند، نام‌ کاربری پیش‌فرض وردپرس یعنی admin را تغییر نمی‌دهند. امروزه اغلب هکر‌ها اولین نام‌کاربری که به ذهنشان خطور می‌کند، نام‌کاربری پیش‌فرض وردپرس است. پس توصیه می‌شود حتما برای امنیت وب‌سایت خود از نام‌کاربری دیگری استفاده کنید.

تغییر نام کاربری مدیریت چندان آسان نیست، زیرا WordPress به کاربران اجازه نمی دهد نام کاربری خود را از بخش پیشخوان مدیریت تغییر دهند. نام کاربری را می توانید در پایگاه داده ها تغییر دهید، اما ساده ترین راه حل ایجاد یک حساب کاربری جدید با یک نام کاربری جدید است. در مرحله بعدی، فقط کافی است با حساب کاربر مدیریت جدید وارد شوید و حساب کاربری قدیمی را حذف کنید.

پاک کردن

استفاده از رمزعبور قوی و پیچیده

در قسمت: مدیریت وردپرس

برای افزایش امنیت صفحه ورود به وردپرس از رمز‌عبور قوی استفاده کنید. هنگامی که یک کاربر جدید ثبت می‌شود، وردپرس به طور پیش فرض رمزهای پیچیده ایجاد می کند، در حالی که کاربران می توانند آن را به رمزهای ساده تر تغییر دهند. توجه داشته باشید که کاربران در سطح بالاتر (مدیر و ویرایشگر) همیشه از رمزهای عبور قوی استفاده می کنند. اگر می ترسید رمزهای عبور پیچیده را فراموش کنید، به شما پیشنهاد میکنیم از برنامه مدیریت رمز استفاده کنید.

رمز ورود

مرتباً محتوای خود را انتقال دهید

در قسمت: مدیریت وردپرس

اگر یک وبسایت موفق وردپرس دارید، محتوای شما مهمترین سرمایه شما است. بدون شک در اثر انواع حملات، ممکن است پستها، صفحات، تصاویر و سایر محتوا به خطر بیفتند. بنابراین، هرگز فراموش نکنید که آنها را در فلش و یا در یک فضای ذخیره سازی ابری ذخیره کنید.

شما به راحتی می توانید تمام مطالب خود را از فهرست Tools> Export در مدیریت وردپرس انتقال دهید. وردپرس با زدن دکمه “بارگیری پرونده “، یک فایل XML ایجاد می کند که می توانید بارگیری کنید. هر زمان که لازم باشد، می توانید با بارگذاری همان فایل XML در صفحه از بخش Tools>Import در بخش مدیریت، به راحتی محتوای خود را برگردانید.

درون ریزی

 پلاگین ها و قالب هایی که نیاز ندارید را حذف کنید

در قسمت: مدیریت وردپرس

بعضی از صاحبان سایت میل بیش از حد به استفاده از افزونه ها را دارند و قالب های بلا استفاده را حذف نمی‌کنند، که این امر در بعضی از موارد باعث به خطر افتادن امنیت وردپرس می شود. هرچه افزونه ها و قالب‌های نصب شده بیشتر باشد، خطرات بیشتری سایت شما را تهدید می کند. هر افزونه یا موضوع جدید خطر هک شدن را افزایش می دهد.

افزونه ها

بنابراین، فقط از پلاگین هایی استفاده کنید که ضروری هستند. افزونه ها و قالب هایی را که مورد استفاده نیستند را غیر فعال نکنید بلکه کاملا آنها را حذف کنید. برای امنیت بهتر وردپرس، باید موارد غیرفعال را حذف کنید. اگر در آینده به آنها احتیاج پیدا کردید به سرعت می توانید آنها را دوباره نصب کنید.

به طور مرتب از پایگاه داده خود نسخه پشتیبان تهیه کنید

در قسمت: cPanel

علاوه بر انتقال محتوا از طریق حساب کاربری مدیریت وردپرس، می توانید نسخه پشتیبان از پایگاه داده تهیه کنید. برای این کار از طریق cPanel از پایگاه داده خود نسخه پشتیبان تهیه کنید. منو File>backup را در cPanel انتخاب کرده و فایل پیشتیبان SQL را دانلود کنید. اگر مشکلی وجود نداشته باشد به سرعت می توانید فایل پشتیبان بانک اطلاعاتی خود را کاملا بازیابی کنید.

برخی از برنامه های هاستینگ دارای گزینه بکاپ گیری خودکار از بانک اطلاعاتی هستند. اگر می خواهید پایگاه داده ایمنی داشته باشید، میزبانی را انتخاب کنید که در آن ارائه دهنده هاستینگ از تهیه نسخه پشتیبان، پشتیبانی می‌کند.

پیشوند جدول پایگاه داده را تغییر دهید

در قسمت: wp-config.php

به طور پیش فرض، وردپرس از پیشوند _wp برای جداول بانک اطلاعاتی استفاده می کند. برای ایمن تر کردن سایت، با تغییر مقدار متغیر table_prefix$ در پرونده wp-config، می توانیداز یک پیشوند پیچیده تر استفاده کنید. به خاطر داشته باشید که در پیشوند جدول فقط می توانید از اعداد، حروف و کاراکتر زیرخط (underline) استفاده کنید. هر کاراکتر دیگر، به عنوان مثال کاراکترهای خاص، باعث نامعتبر شدن پیشوند خواهد بود.

اجبار کاربران برای ورود ایمن

در قسمت: wp-config.php

مجبور کردن کاربران برای ورود به ناحیه سرور از طریق پروتکل امن SSL، امنیت وردپرس را می تواند تا حد زیادی افزایش دهد. در صورت نصب بودن SSL در سایت می توانید این کار را انجام دهید.شما همچنین می‌توانید یک گواهینامه SSL را در ارائه دهنده میزبان خریداری کنید، اما امروزه بسیاری از هاستینگ ها، با مجوز رمزگذاری شده رایگان ارائه می شوند.

با دارا بودن گواهینامه SSL می توانید از پروتکل HTTPS امن برای بخش مدیریت یا کل سایت استفاده کنید. با افزودن کد زیر در بالای پرونده wp-config می توانید کاربران را مجبور به ورود از طریق لینک https:// کنید:

(Define( 'FORCE_SSL_ADMIN' , TRUE

WordPress Security - Force SSL Login

گزینه اصلاح قالب ها و افزونه ها را غیر فعال کنید

در قسمت: wp-config.php

به طور پیش فرض، کاربران سرپرست می تواند فایل های افزونه و تم را از بخش مدیریت وردپرس ویرایش کنند. در دنیای ایده آل، این یک ویژگی عالی خواهد بود، اما اگر یک هکر به حساب ها دسترسی پیدا کند، خطرناک خواهد بود .

با افزودن کد زیر به پرونده wp-config می توانید ویرایشگرهای افزونه و تم را برای مدیر غیرفعال کنید:   

(Define( 'DISALLOW_FILE_EDIT' , TRUE

اگر تنها هدف شما غیرفعال کردن افزونه ها و قالب ها نیست، می توانید با اضافه کردن کد زیر دسترسی به ویرایشگرها را هم یرای قسمت مدیریت غیرفعال کنید:

(Define( ‘DISALLOW_FILE_MODS’ , TRUE

از دو به طور همزمان استفاده نکنید. اگر می خواهید افزونه ها و قالب ها را به عنوان مدیر وردپرس به روز کنید، از DISALLOW_FILE_EDIT استفاده کنید. اگر قصد انجام به روزرسانی های پس زمینه (از طریق SFTP) را ندارید، به جای آن از DISALLOW_FILE_MODS استفاده کنید.

WordPress Security - Disable File Modifications

HTML بدون فیلتر را غیرفعال کنید

در قسمت: wp-config.php

وردپرس به مدیران و ویراستاران اجازه می دهد تا نشانه گذاری HTML و کد JavaScript (درون برچسب <script>) را از طریق صفحات، پست ها، ابزارک ها و نظرات ارسال کنند. به هر حال، اگر حساب آنها به خطر بیفتد، می تواند خطرناک باشد. می توانید هنگام ارسال HTML با افزودن کد زیر به پرونده wp-config فیلتر را اعمال کنید:

;(define( ‘DISALLOW_UNFILTERED_HTML’, true

WordPress Security - Disallow Unfiltered HTML

به این ترتیب HTML و JavaScript اجرا نمی شوند. در عوض، به صورت یک متن ساده در وب سایت ظاهر می شود.

اجازه دسترسی به پرونده wp-config را ندهید

در قسمت: .htaccess

به طور پیش فرض، هر کسی می تواند به پرونده wp-config شما که شامل تمام تنظیماتی مانند نام بانک اطلاعاتی، نام کاربری، رمز عبور و سایر داده های بسیار حساس دسترسی پیدا کند. با اضافه کردن کد زیر به فایل htaccess. می توانید دسترسی به پرونده wp-config را مسدود کنید:

<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
WordPress Security - Protect wp-config

تکه فوق را پایین کد Rewrite و بالاتر از برچسب <IfModule/> در پرونده پیش فرض وردپرس در .htaccess قرار دهید.

اجازه دسترسی به پرونده های htaccess. را ندهید

در قسمت: htaccess.

دسترسی غیرمجاز به کلیه پرونده های htaccess. را درهنگام نصب وردپرس خود می توانید سلب کنید. پرونده‌های htaccess. شامل پیکربندی سرور آپاچی هستند، با این حال در مرورگر به صورت عمومی در دسترس هستند.

اگر http://yoursite.com/.htaccess را در نوار URL مرورگر خود تایپ کنید، می توانید بررسی کنید که آیا پرونده ها تنها در دسترس شما است یا خیر. htaccess. شما توسط همه افراد دراینترنت قابل دسترسی است. برای محافظت از پرونده های htaccess. از کد htaccess. زیر استفاده کنید:

<Files ~ "^.*\.([Hh][Tt][Aa])">
Order Allow,Deny
Deny from all
Satisfy all
</Files>
WordPress Security - Protect .htaccess files

 دسترسی به XML-RPC را غیرفعال کنید

در قسمت: htaccess.

وردپرس از پروتکل XML-RPC  برای انتشار از راه دور یا توسط برنامه های جانبی برای اتصال به سایت استفاده می کند. این موضوع باعث به خطر افتادن امنیت سایت می شود، چون مهاجمان از این ویژگی سوء استفاده می کنند. اگر از برنامه های جانبی استفاده نمی کنید، با اضافه کردن قطعه کد زیر به پرونده htaccess. ویژگی XML-RPC را غیرفعال کنید:

<FilesMatch "^(xmlrpc\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>

WordPress Security - Disable Access to XMLRPCتوجه داشته باشید که برخی از افزونه های محبوب وردپرس مانند Jetpack نیز از API XML-RPC استفاده می کنند. اگر می خواهید از Jetpack استفاده کنید، دسترسی به XML-RPC را غیرفعال نکنید.

جست و جو در دایرکتوری را غیرفعال کنید

در قسمت: htaccess.

برخی از دایرکتوری های وردپرس را می توان در مرورگرها به روش زیر عنوان کرد که بسیاری از کاربران از آن اطلاعی ندارند.

WordPress Security - Directory Listing

دسترسی عمومی به درخت دایرکتوری برای امنیت وردپرس زیان بار است، زیرا هر کس می تواند اطلاعات زیادی را درباره شما بدست آورد. با افزودن کد زیر به پرونده htaccess. این ویژگی را می توانید غیرفعال کنید:

Options -Indexes

WordPress Security - Prevent Directory Browsing Code

ارسال یک پاسخ