14 راه حل ساده برای جلوگیری از هک شدن وردپرس و افزایش امنیت سایت شما

امنیت وب سایت ها یکی از مهمترین نگرانی های مدیران وبسایت ها می باشد. شما در این آموزش  می‌توانید با رعایت چند نکته ساده از هک شدن وبسایت خود جلوگیری کنید. همانطور که می دانید  کوچکترین حفره امنیتی می‌تواند باعث از بین رفتن  زحمت  ها و تلاش‌های چندین ساله شما شود. همانطور که می دانید وردپرس به دلیل محبوبیتی که در بین کاربران دارد  و همچنین به دلیل تعداد سایت هایی  که از این سیستم مدیریت محتوا استفاده می کنند، هدف خوبی برای هکرها می باشد.

تقریباً حدود ۲۵ درصد از سایت های موجود، توسط وردپرس پشتیبانی می شود و این آمار همچنان در حال افزایش است و به همین علت دغدغه بسیاری از کاربران امنیت این سیستم مدیریت محتوا می باشد. شاید بعضی از کاربران این نکته را یادآور شوند که وردپرس به علت رایگان بودن و متن باز بودن از امنیت پایینی برخوردار است اما این نکته کاملاً اشتباه می باشد چرا که وردپرس در مورد امنیت به شدت جدی است و تیمی از متخصصان امنیت به صورت جدی و مداوم در حال بررسی و حل مشکلات امنیتی می باشند.

هنگامی که در مورد امنیت وردپرس صحبت می شود یک راه حل و فرمول خاص برای ایجاد امنیت در وردپرس وجود ندارد اما با رعایت چند نکته ی ساده و استفاده از چند ابزار موجود به راحتی می توانید امنیت وب سایت خود را تا حد زیادی افزایش دهید. از مهم‌ترین راه‌های افزایش امنیت استفاده از قالب ها و افزونه هایی است که از منبع قابل اعتمادی دانلود شود و همچنین به شما توصیه می کنیم که  بسته نصبی وردپرس را از  سایت اصلی وردپرس دانلود کنید.

به هر حال در این پست قصد داریم چند روش موثر برای افزایش امنیت وردپرس را به شما آموزش دهیم.  در ادامه آموزش با ما همراه باشید.

1. به روز نگه داشتن قالب ها ، افزونه ها و وردپرس

یک قانون پایه و ساده برای حفظ امنیت در وردپرس این است که افزونه ها و قالب های وب سایت خود را همیشه به روز نگه دارید و همچنین نسخه وردپرس خود را همیشه به روز نگه دارید. نسخه جدید وردپرس با برطرف کردن مشکلات امنیتی که در نسخه های قبلی گزارش شده است معرفی می شود  و یقیناً این مورد برای قالب ها و افزونه ها نیز صادق است. پس با به روز نگه داشتن و آپدیت مداوم وب سایت خود می توانید از بسیاری از حفره های امنیتی که هکرها از آنها استفاده می‌کنند در امان باشید.

حتماً شما هم بعضی اوقات با پیام “یک نسخه جدید تر از وردپرس آماده می باشد” ، در داشبورد وردپرس خود مواجه شده اید. تا جایی که امکان آن وجود دارد با دیدن این پیام ، وردپرس خود را به نسخه جدیدتر آپدیت کنید تا از باگ های امنیتی که در نسخه های قبلی وجود دارد در امان باشید. بعضی اوقات ممکن است قالب ها و افزونه های شما به سرعتی که سیستم وردپرس آپدیت می شود به روز رسانی نشود، پس بهتر است تا زمانی که نسخه جدید آن ها ارائه شود آنها را جایگزین کنیم و از یک افزونه یا  قالب امن ( البته برای قالب ها تنها در صورتی که بروزرسانی آن قطع شود ) استفاده کنیم.

البته باید هنگامی که یک نسخه اصلی از سیستم وردپرس، که شامل آپدیت های زیادی می باشد ارائه می شود به این نکته توجه کنید ممکن است در نسخه جدید بعضی از ویژگی های وردپرس تغییر کرده باشد یا حذف شده باشد. پس قبل از آپدیت با یک برنامه نویس و متخصص این موضوع را در میان بگذارید. این نکته در وب سایت های بزرگ بسیار حائز اهمیت می باشد. همچنین پیشنهاد می کنیم قبل از هر بروزرسانی از وب سایت خود نسخه پشتیبان کامل تهیه کنید .

2. یک حساب کاربری جدید بسازید

استفاده از نام کاربری که کسی قادر به حدس زدن آن نباشد در بالابردن امنیت وب سایت وردپرس شما بسیار کاربردی می باشد و به صورت جدی از نام های کاربری معمول مانند admin و یا administrator  و یا مانند آن استفاده نکنید. به صورت معمول وردپرس یک نام کاربری به نام admin ایجاد می کند پس در اسرع وقت آن را به یک نام کاربری دیگر تغییر دهید.

شما به راحتی می توانید یک حساب کاربری جدید با رفتن به منوی کاربران در داشبورد وردپرس ایجاد نمایید. بعد از ایجاد نام کاربری جدید و یا جایگزین کردن نام پیش فرضی که وردپرس برای شما می سازد، باید از حساب کاربری خود خارج شوید و مجدداً وارد شوید. با این راهکار ساده شما به راحتی می توانید از حدس زدن نام کاربری مدیر سایت توسط هکر ها و ربات های خرابکار جلوگیری کنید و امنیت وردپرس خود را بیش از پیش افزایش دهید.

3. استفاده از پسورد قوی و پیچیده

اکثر هکر ها وب سایت هایی را که پسورد های ضعیفی دارند مورد هدف قرار می دهند. بسیاری از مدیران وب سایت ها از پسوردهایی استفاده می کنند که ساده باشد و در حافظه آنها ماندگار باشد. اما  این کار به نوبه خود باعث ایجاد یک حفره امنیتی در وب سایت وردپرس شما می شود. پس به شما توصیه می کنیم که حتماً از یک پسورد قوی که حداقل از ۸ حرف که شامل حروف کوچک و بزرگ و نماد هایی مانند علامت های @  و # و $ و…  می باشد، استفاده کنید.

همچنین شدیداً توصیه می شود که در نام کاربری و پسورد خود از اسم های رایجی که قابل حدس زدن هستند، استفاده نکنید. از جمله این اسم های رایج می توان به نام شما ، نام کمپانی شما ، تاریخ تولد و شماره شناسنامه و مانند اینها اشاره کرد.

برای هکر ها و سوء استفاده کنندگان گذشتن از خطوط امنیتی و وارد شدن به دیتابیس شما کار مشکلی می باشد  ، اما مطابق بسیاری از تحقیقاتی که انجام شده است هکرها با حدس زدن نام کاربری و پسورد بر اساس اطلاعات شخصی یک شخص موفق به هک کردن اکانت کاربری اشخاص شدند.  پس این نکته را به یاد داشته باشید که یک هکر خوب قبل از اینکه یک برنامه نویس خوب باشد یک محقق اجتماعی خوب است و با استفاده از شبکه های اجتماعی، به اطلاعات به جا گذاشته شده از شما در محیط مجازی به دنبال حدس زدن اطلاعات اکانت شما می باشد.

4. انتخاب یک شرکت هاستینگ ایمن و مطمئن

قیمت شرکت های سرویس دهنده هاست در رنج های مختلفی قرار دارد. گاهی اوقات ممکن است یک سرویس در یک شرکت هاستینگ خیلی خیلی ارزان تر از همان سرویس با همان ویژگی ها در یک شرکت هاستینگ دیگر باشد. اما دلیل این گرانی و ارزانی چه می باشد ؟

از قدیم یک مسئله وجود دارد که می گوید هیچ گرانی و ارزانی بی دلیلی وجود ندارد. یک شرکت هاستینگ ممکن است فقط با ارائه یک سرویس به شما وظیفه خود را انجام شده بداند اما در هاستینگ های حرفه ای سرویس دهنده خود را موظف می‌داند که در تمام طول دوره میزبانی از شما وظیفه حفاظت از وب سایت شما را بر عهده بگیرد. این حفاظت می تواند شامل پشتیبانی ، گرفتن بک آپ ، حفظ نکات امنیتی و مانند اینها باشد.

اما از سوی دیگر در بعضی هاستینگ ها شاید به ظاهر این اعمال به عنوان شعار و در جهت جذب مشتری در سایت ارائه دهنده ثبت شده باشد ، اما در واقعیت پس از ایجاد یک مشکل امنیتی و یا مانند آن فرق و تفاوت یک هاستینگ خوب و بد را متوجه می شویم. پس به شما توصیه می کنیم که قبل از ایجاد وب سایت حتماً در مورد انتخاب سرویس دهنده خود تحقیق لازم را انجام دهید. همانطور که میدانید علاوه بر امنیت باید گزینه های مختلفی را برای انتخاب هاستینگ خود مد نظر قرار دهید که مقوله سرعت یکی از آنها می باشد.

برای اطلاعات بیشتر در مورد هاست ها و انتخاب هاست مناسب می توانید مقاله انتخاب هاست مناسب برای راه اندازی وب سایت را مطالعه کنید .

5. انتخاب و نصب یک افزونه ی امنیتی

به صورت معمول آپدیت های ارائه شده برای وردپرس حفره های امنیتی را از بین می برد، اما گاهی اوقات ممکن است هنوز بعضی  حفره ها و نکات دیده نشده باشد و هکرها از آن استفاده کنند. در این اوقات شما می توانید از افزونه هایی که در زمینه امنیت و حفاظت از وب سایت در مخزن وردپرس قرار دارند استفاده کنید.

تعداد زیادی از افزونه های امنیتی در مخزن وردپرس در دسترس شما قرار دارند که می توانید با استفاده از آن ها امنیت وب سایت خود را افزایش دهید بعضی از این افزونه های رایگان عبارتند از All in One Wp Security و  iTheme Security  و Wordfence Security  و غیره. این افزونه ها دارای نسخه رایگان و نسخه حرفه ای می باشند  و یقیناً نسخه حرفه ای شامل ویژگی های امنیتی بیشتری می باشد که در صورت راضی بودن از نسخه رایگان می توانید نسخه حرفه ای آن را خریداری نمایید.

6. تعداد تلاش برای ورود به سیستم را محدود کنید

به صورت معمول یک کاربر عادی شما اگر حتی رمز عبور خود را فراموش کند بعد از دو یا سه بار اشتباه زدن رمز عبور، اقدام به تغییر رمز عبور با استفاده از دکمه رمز عبور خود را فراموش کرده ام، می کند و در نهایت رمز عبور جدید خود را دریافت می کند و می تواند به صورت عادی وارد محیط کاربری خود شود.

اما هنگامی که یک هکر یا به عبارت دیگر یک سو استفاده کننده قصد دارد با حدس زدن پسورد یا نام کاربری وارد وبسایت شما شود، تعداد این دفعات درخواست ورود از حالت عادی خارج می شود. حتی گاهی اوقات این اشخاص با استفاده از برنامه ها و ابزارهایی که هکرها از آن استفاده می کنند، تعداد زیادی درخواست ورود به وبسایت را روانه سایت شما می کنند،  منظور ما از تعداد زیاد حدود صد درخواست در هر دقیقه یا کمتر از آن می باشد.

با گذشت هر دقیقه و هر درخواست بیشتر احتمال هک شدن سایت شما افزایش پیدا می‌کند و همچنین اگر تعداد این درخواست ها مداوم باشد و از حالت عادی بیشتر شود باعث کاهش سرعت وب سایت شما نیز می شود. پس با استفاده از یک روش ساده که محدود کردن تعداد درخواست در یک بازه زمانی معین می باشد می توانید از این نوع حملات جلوگیری کنید.

برای محدود کردن تعداد درخواست های ورود می توانید از افزونه هایی که در مخزن وردپرس وجود دارند استفاده کنید. یکی از این افزونه ها افزونه Login Lockdown می باشد که دارای ویژگی های منحصر به فردی است.  افزونه یاد شده می تواند آی پی هایی که در یک بازه زمانی، درخواست های مکرر و اشتباهی را می فرستند را ثبت کند و اگر از یک حد معمول بیشتر شود، با غیر فعال کردن فرم ورود مانع درخواست بیشتر از جانب این آی پی ها می شود. البته این آی پی ها به صورت دائم برای وب سایت شما مسدود نمی شوند، بلکه برای یک بازه زمانی خاص مثلاً یک ساعت قادر به ارسال درخواست به سایت شما نیستند و این برای زمانی که هکرها از آی پی های آی اس پی های مختلف برای هک کردن استفاده می کنند مفید می باشد.

با استفاده از لینک زیر می توانید این افزونه را از مخزن وردپرس دانلود کنید و بر روی وردپرس خود نصب کنید.

دانلود افزونه ی Login Lockdown از مخزن وردپرس

7. استفاده از رمز دوم برای ورود

رمز دوم به معنی اضافه کردن یک لایه امنیتی جدید به وب سایت شما می باشد. با استفاده از این امکان می توانید مطمئن شوید، کاربری که سعی دارد وارد وبسایت شود شخص سازنده اکانت کاربری است. چرا که کاربر در هنگام ثبت نام  اطلاعاتی را وارد کرده است که شما با استفاده از این اطلاعات می توانید هویت کاربر را تشخیص دهید.

این رمز دوم می تواند به عنوان یک لایه امنیتی جدید در کنار دیگر لایه های امنیتی، امنیت وب سایت شما را افزایش دهد. رمز دوم می تواند شامل یک شماره موقت باشد که به ایمیل و یا موبایل کاربر ارسال می شود و کاربر با وارد کردن آن در سایت شما، هویت خود را مشخص می کند. برای این امر افزونه های مختلفی در مخزن وردپرس قرار دارند که می توانید با استفاده از یکی از آنها این قابلیت را به وب سایت خود اضافه کنید. معمولاً افزونه های امنیتی مطرح این ویژگی را به سایت اضافه می‌کنند.

8. پنهان کردن ورژن وردپرس

همانطور که در بالاتر هم گفتیم ممکن است در نسخه های قدیمی وردپرس باگ های مختلف وجود داشته باشد که هکرها می توانند از آن ها استفاده کنند. از طرفی ممکن است به علت بعضی ویژگی ها و امکانات سایت، قابلیت ارتقای وردپرس به ورژن جدید تر برای بعضی از مدیران سایت ها وجود نداشته باشد. به همین دلیل اگر سوء استفاده کنندگان ورژن یا نسخه وردپرس شما را بدانند به راحتی می توانند از این باگ های امنیتی استفاده کنند.

در کنار این موضوع وردپرس به صورت اتوماتیک نسخه  حال حاضر وردپرس شما را در قالب یک تگ متا  در هدر وبسایت شما قرار می دهد. هکر ها می توانند با استفاده از این موضوع یعنی مشاهده نسخه وردپرس شما و باگ های موجود در این نسخه به راحتی سایت شما را تحت تاثیر قرار دهند.

پس بهترین راه برای جلوگیری از این موضوع مخفی کردن نسخه وردپرس می باشد که به صورت اتوماتیک توسط وردپرس تولید می شود. برای این کار افزونه های مختلفی در مخزن وردپرس قرار دارد که می توانید به راحتی از آنها استفاده کنیم. و یا می توانید کد پایین را در فایل functions.php خود قرار دهید تا به صورت اتوماتیک از تولید نسخه وردپرس خود در هدر  جلوگیری کنید.

9. تغییر آدرس صفحه ی لاگین در وردپرس

به صورت پیش فرض صفحه ورود به داشبورد سایت های وردپرس با اضافه کردن مقدار wp-admin و یا wp-login.php به انتهای آدرس سایت خود قابل دسترسی است. هنگامی که یک هکر صفحه ورود به وب سایت شما را بداند به راحتی می تواند از ابزارهای خود برای ورود به وب سایت و حدس زدن رمز عبور استفاده کند. پس با تغییر آدرس صفحه ورود به داشبورد و یا همان صفحه لاگین می توانید کار را برای هکرها مشکل کنید.

اکثر افزونه های امنیتی این قابلیت را دارند که علاوه بر ارائه راه حل های مختلف در زمینه امنیتی این ویژگی را به وبسایت شما اضافه کنند و با استفاده از آنها صفحه لاگین یا ورود به داشبورد وردپرس خود را تغییر دهید. یکی از این افزونه ها  که می تواند این ویژگی را در کنار دیگر ویژگی های امنیتی به وب سایت شما اضافه کند افزونه ی iTheme Security می باشد.

با استفاده از لینک زیر می توانید این افزونه را از مخزن وردپرس دانلود و در وبسایت خود نصب کنید و از ویژگی‌های منحصر به فرد این افزونه امنیتی در وبسایت وردپرس خود بهره مند شوید.

دانلود افزونه ی iTheme Security از مخزن وردپرس

10. تهیه ی نسخه ی پشتیبان از وب سایت به صورت مرتب

با در نظر گرفتن تمام ویژگی های امنیتی وب سایت خود و فاکتورهای مختلف باز هم ممکن است یک اتفاق غیرمنتظره پیش بیاید. گرفتن نسخه پشتیبان از اطلاعات وب سایت به صورت مرتب و در بازه های زمانی معین و مشخص می تواند آرامش خیال نسبی را برای شما به ارمغان بیاورد.

حتی با در نظر گرفتن تمام نکات امنیتی، شما نمی دانید شاید در یک قسمت از وب سایت شما یک حفره امنیتی وجود داشته باشد که هکرها بتوانند از آن استفاده کنند و یا ممکن است بر اساس یک اتفاق غیر منتظره سرویس هاستینگ شما دچار مشکل شود و تنها راه حل موجود در این شرایط برای شما نسخه بک آپ از وب سایت می باشد.

تمام متخصصان امنیت همیشه به شما در اولین قدم تهیه یک نسخه پشتیبان را پیشنهاد می‌کنند چرا که این راه حل؛ یک راه حل ساده و ارزان می باشد که در هر زمانی قابل دسترس است. نیاز به گفتن نیست که در مخزن وردپرس و در شرکت های سرویس دهنده هاستینگ مختلف ابزارهای مختلف برای تهیه نسخه پشتیبان برای شما فراهم شده است. اگر تا به الان از این مورد غافل بوده اید به شما توصیه می کنیم که قبل از انجام هر کاری این موضوع را جدی بگیرید و یک نسخه پشتیبان و در بازه های زمانی معین از وبسایت خود تهیه کنید.

در دوره رایگان مدیریت وردپرس روش های ایجاد و دانلود نسخه پشتیبان سایت به صورت ویدیویی توضیح داده شده اند .

11. کاهش تعداد افزونه هایی که استفاده می کنید

همانطور که می دانید افزونه های وردپرس قابلیت‌های ویژه‌ای را به وب سایت شما اضافه می کنند اما با زیاد شدن تعداد افزونه ها ، این افزونه ها درخواست های بیشتری را به سمت سرور می فرستند و از طرفی این درخواست ها باعث کند شدن سرور می شود.  علاوه بر کند شدن سرور، افزونه های زیاد به معنی بالا رفتن درصد  حفره امنیتی است. پس باید در انتخاب افزونه ها و منبعی که این افزونه ها را از آن دانلود می کنید مطمئن باشید.

عامل دیگری که باید در انتخاب افزونه های وردپرس در آن دقت کنید نحوه عملکرد افزونه ها می باشد. به شما پیشنهاد می کنیم افزونه ای را انتخاب کنید که به صورت همزمان چندین نیاز شما را برطرف می کند. با انتخاب این نوع افزونه ها می توانید هم عملکرد وب سایت خود را افزایش دهید و هم مدیریت بهتری بر روی افزونه ها و امنیت آن ها داشته باشید.

و در آخر سعی کنید  تا حد امکان برای اضافه کردن یک ویژگی خاص به وبسایت خود از یک برنامه نویس مطمئن کمک بگیرید تا با اضافه کردن این ویژگی خاص به وب سایت شما به صورت بهینه از هدر رفتن منابع هاست خود جلوگیری کنید و امنیت آن را بتوانید بیشتر کنید.

12. حفاظت از فایل wp-config.php

همانطور که می دانید یکی از مهمترین فایل های موجود در وب سایت وردپرس شما فایل wp-config.php می باشد. چرا که این فایل حاوی تمام اطلاعات حیاتی وب سایت شماست که اگر کسی به این اطلاعات دسترسی پیدا کند سایت شما به صورت جدی در معرض خطر قرار می گیرد. پس یکی از مهم‌ترین راه‌های افزایش امنیت وب سایت شما محافظت از این فایل می باشد راه های مختلفی برای حفاظت از این فایل وجود دارد . با حفاظت از این فایل می توانید کار را برای هکرها واقعاً مشکل کنید.

یکی از ساده‌ترین راه‌ها برای محافظت از فایل wp-config.php استفاده از فایل .htaccess می باشد ، برای این کار کافی است کد زیر را درون این فایل قرار دهید تا از دسترسی غیر مجاز به این فایل جلوگیری کنید. قبل از انجام این کار از فایل .htaccess یک نسخه پشتیبان تهیه کنید .

13. مدیریت و تغییر اجازه ی دسترسی به فایل ها

دسترسی دادن به اجازه نوشتن ، در هاست یک وب سایت ایمن نیست ، به خصوص اگر سروری که از آن استفاده می‌کنید به صورت اشتراکی باشد. پس کاملاً ضروری است که اجازه دسترسی به فایل ها را محدود کنید. پوشه اصلی محل نصب وردپرس،  پوشه ای که محل مدیریت قسمت داشبورد وردپرس می باشد یا همان پوشه ی wp-admin و  پوشه ای که محل ذخیره فایل های کاربردی در وردپرس می باشد یا همان پوشه wp-include باید قابلیت نوشتن فقط توسط اکانت های کاربری مدیر را داشته باشند.

اجازه ی نوشتن در وب سرور را می توانید به پوشه ی wp-content بدهید.در کنار این ها، تغییر اجازه دسترسی به دایرکتوری ها به 755 و فایل ها به 644 یک کار هوشمندانه به حساب می آید.

14. افزایش امنیت سیسم خودتان

و در قدم آخر امنیت سیستمی که از آن استفاده می کنید و به اینترنت متصل می شوید مهم می باشد. همانطور که می دانید ویروس‌ها و ربات های زیادی وجود دارند که روزانه در اینترنت به دنبال هدف می گردند و تعداد این ویروس ها هر روز در حال افزایش است ، اگر به درستی نتوانید این حجم از ویروس ها و ابزارهای خطرناک را مدیریت کنید و در برابر آن ها یک ابزار قدرتمند نداشته باشید به راحتی اطلاعات شما در اختیار کسانی که این ابزارها را ساخته اند قرار می گیرد.

استفاده از یک نرم افزار آنتی ویروس و به روز رسانی این آنتی ویروس و همچنین بروز رسانی سیستم عاملی که از آن استفاده می کنید و بررسی سیستم خود به صورت مرتب و در بازه های زمانی مشخص می‌تواند بسیاری از این عوامل را شناسایی و آنها را از بین ببرد.

امروزه یک هکر می تواند ابزار های جاسوسی را از راه های مختلف مانند ایمیل وارد سیستم شما کند و هنگامی که چیزی را در کامپیوتر تایپ می کنید آن را ضبط کرده و به یک آدرس خاص که هکر آن را مشخص کرده است بفرستد و به همین راحتی تمام اطلاعات شما در اختیار هکر قرار می گیرد. با استفاده از یک آنتی ویروس به روز و قوی می توانید این راه را نیز بر روی هکرها ببندید و یا حداقل کار را برای آنها بسیار سخت کنید.

پیشنهاد می کنیم برای دریافت آخرین مطالب کانال تلگرام کانی تمزرا دنبال کنید .