امنیت وردپرس، امروزه تبدیل شده به مهم ترین مسئله و اولویت صاحبان وب سایت های اینترنتی، به طوری که اکثر افراد ابتدایی نمی دانند امنیت وردپرس خود را به صورت پایه از کجا تقویت کنند. گوگل در هر روز تعداد بالای 10,000+ وب سایت را به دلیل دارا بودن بدافزار ها، در لیست سیاه (Black List) قرار می دهد و همچنین تعداد بالای 50,000+ وب سایت فیشینگ را در هفته، در لیست سیاه قرار می دهد.

اگر شما بر روی کسب و کار اینترنتی‌تان جدی هستید و می خواهید آن را توسعه دهید، باید توجه مناسب و کافی به امنیت وردپرس داشته باشید. در ادامه این مقاله از کانی تمز، ما نکات طلایی و کلیدی که برای امنیت وردپرس وجود دارند را بررسی خواهیم کرد.

از آنجایی که هسته وردپرس توسط صد ها توسعه دهنده و برنامه نویس، ایجاد شده است، از امنیت بالایی برخوردار می باشد؛ با این حال، می توان این امنیت را چندین برابر کرد تا وب سایت‌مان بتواند در برابر تمامی بدافزار ها و حملات مختلف هکر ها، ایمن باشد.

در کانی تمز ما معتقدیم که امنیت تنها در مورد کاهش ریسک نیست، بلکه درمورد کاهش خطرات احتمالی در آینده می باشد. به عنوان یک صاحب وب سایت، شما می توانید از راه های بسیار زیادی برای تقویت امنیت وب سایت خود استفاده کنید؛ حتی اگر یک شخص حرفه ای هم نباشید!

همانطور که در ابتدا اشاره کردیم، ما یکسری قدم های طلایی و کاربردی برای امنیت وردپرس تهیه نموده ایم که می توانید با استفاده از آنها و دنبال کردنشان، امنیت وردپرس خود را تا حد چشم گیری افزایش دهید.

بیاید شروع کنیم!

چرا امنیت وب سایت مهم است؟

یک وب سایت وردپرسی هک شده، می تواند بر روی درآمد و اعتبار آن تاثیر بسیار منفی بگذارد. هکر ها در واقع می توانند اطلاعات اصلی آن وب سایت، اطلاعات کاربران، پسورد های کاربران و … را به سرقت ببرند و علاوه بر آن می توانند بدافزار هایی را بر روی وب سایت نصب کنند. از این رو، قادر هستند که بدافزار های مورد نظر خود را هم در بین کاربران سایت، توزیع کنند. و قسمت بدتر از آن این است که شما مجبور می شوید که به هکر ها، برای بدست آوردن مجدد وب سایتتان، مبلغی را به عنوان باج پرداخت کنید.

در سال 2016، گزارشی از گوگل مبنی بر هشدار دادن به بیش از 50+ میلیون کاربر درمورد وب سایت های نا امن که ممکن است اطلاعاتشان را به سرقت ببرند، منتشر شد. علاوه بر آن، گوگل نیز گزارشی منتشر کرده که گفته است در هر هفته، بیش از 20+ هزار وب سایت که از بدافزار های مختلفی درحال استفاده هستند و بیش از 50+ هزار وب سایت که درحال فیشینگ می باشند، در لیست سیاه قرار می گیرند.

حال نکته ای که در این میان وجود دارد این است که اگر وب سایت شما، یک وب سایت کسب و کار اینترنتی است، باید دقت بیشتری را به امنیت وردپرس خود اختصاص دهید. همانند اینکه یک صاحب فروشگاه فیزیکی، باید از مغازه خود محافظت کند تا بتواند محصولات فیزیکی خود را امن نگه دارد، شما هم باید تلاش کنید از وب سایت خود، حفاظت لازم را انجام دهید .

بروزرسانی به موقع وردپرس

وردپرس یک نرم افزار متن باز (Open Source) است که همیشه به صورت منظم آپدیت می شود. به صورت پیش فرض، وردپرس به صورت خودکار، آپدیت های جزئی را برای بهبود عملکرد خود، ارائه می کند. اگر شما درحال استفاده از نسخه اصلی وردپرس هستید، فرآیند بروزرسانی وردپرس باید به صورت دستی انجام شود.

همچنین وردپرس دارای هزاران قالب و افزونه مختلف است که هر کدام از این ها، توسط توسعه دهندگانی نگهداری و مدیریت می شوند. هر توسعه دهنده، به طور معمول برای قالب یا افزونه وردپرسی خود، آپدیت هایی را منتشر می کند تا بتواند عملکرد آن ها را برای کاربران بهتر سازد و یا مشکلات امنیتی آنها را برطرف کنند .

این نوع آپدیت های وردپرسی، می تواند برای امنیت وب سایت شما حیاتی باشد و ثبات وب سایت شما را تضمین کند! پس در نتیجه باید مطمئن شوید که تمامی بروزرسانی های وردپرس‌تان مانند بروزرسانی هسته، افزونه ها و قالب انجام شده است.

پسورد قوی و دسترسی کاربران

یکی از معمول ترین تلاش هکران برای هک کردن یک وب سایت، استفاده از رمز عبورهای دزدیده شده یا کرک شده از آن وب سایت می باشد. شما می توانید با سخت کردن مرحله انتخاب پسورد و پسوردی که مناسب و منحصر بفرد باشد، این مشکل را حل نمایید. البته این مسئله تنها برای پنل مدیریت وردپرس نیست! بلکه برای دیگر اکانت هایی مانند اکانت شرکت میزبانی هاست وب سایت، ایمیل سایت، FTP، دیتابیس ها و… که از دامنه شما استفاده می کنند، مهم است.

بسیاری از افراد مبتدی، استفاده از پسورد های طولانی و سخت را نمی پسندند زیرا به خاطر سپردن آن ها دشوار است. خوشبختانه نرم افزارهایی برای مدیریت پسورد ها وجود دارد که می توانید با یک جستجوی ساده در گوگل آنها را دانلود کنید .

یکی دیگر از راه های کاهش ریسک، ندادن دسترسی وب سایت به افراد مختلف می باشد. در کل می توان گفت که شما نباید دسترسی پنل مدیریت وردپرس خود را به اشخاص مختلف بدهید تا زمانی که از یک شخصی، مطمئن بودید! اگر هم وب سایتتان دارای یک تیم بزرگ است و یا نویسندگان مهمان زیادی دارد، باید قبل از ایجاد اکانت های کاربری‌شان، با نقش های کاربری مختلف اکانت های وردپرس آشنا باشید.

قانون میزبانی وردپرس

سرویس میزبانی وب سایت وردپرسی شما، نقش اساسی در امنیت وب سایتتان دارد! به طوری که یک سرویس میزبانی هاست مناسب و قابل اعتماد، می تواند امنیت وب سایتتان را تامین کند. در ادامه، نکاتی وجود دارد که یک شرکت میزبانی هاست وردپرسی باید دارا باشد:

  • به طور مداوم، شبکه خود را برای فعالیت های مشکوک بررسی و نظارت می کنند.
  • همه شرکت های میزبانی هاست مناسب و خوب، دارای ابزار هایی برای جلوگیری از حملات DDoS در مقیاس های بزرگ هستند.
  • آن ها همیشه سخت افزار و نرم افزار سرور های خود را بروز می کنند تا هکر ها نتوانند از مشکلات امنیتی نسخه های قدیمی، برای هک کردن وب سایت ها استفاده کنند.
  • آن ها همیشه باید آماده باشند تا در مواقع حوادث غیرمنتظره و بزرگ، بتوانند تمامی داده های وب سایت را ریکاوری کرده و باز گردانند.

در یک پلن هاست اشتراکی، منبع سروری که وب سایت شما در آن قرار دارد، با صد ها سایت دیگر تقسیم شده است! همین موضوع باعث می شود که هکر ها بتوانند در برخی شرایط، با هک کردن وب سایت های همسایه که در سرور وب سایت شما قرار دارند، به وب سایت شما نیز نفوذ پیدا کنند.

استفاده از یک سرویس مدیریت شده میزبانی وردپرس، می تواند کمک بسیار شایانی در امنیت وب سایت وردپرسی شما داشته باشد. سرویس های مدیریت هاست وردپرس، قابلیت هایی مانند بکاپ گیری مداوم و روزانه از وب سایت، بروزرسانی های خودکار وردپرس و دیگر پیکربندی های پیشرفته امنیتی که می تواند از وب سایت شما محافظت کند، را دارا هستند.

امنیت وردپرس در قدم های ساده (بدون برنامه نویسی و کد گذاری)

همانطور که در ابتدا اشاره کردیم، افزایش امنیت وردپرس می تواند بسیار گیج کننده و سردرگم کننده برای افراد، مخصوصاً افراد مبتدی و غیر حرفه ای باشد. خوشبختانه روش هایی وجود دارد که انجام دادن آن ها بسیار ساده است و می توان در عرض چند دقیقه، آن ها را برای افزایش امنیت وردپرس انجام داد.

بکاپ گیری وردپرس

بکاپ ها اولین سپر دفاعی شما در برابر هرگونه حملات وردپرسی می باشد. به یاد داشته باشید، هیچ چیز 100% درصد امن نیست. اگر وب سایت های دولتی و سازمانی هک می شوند، پس وب سایت شما هم نیز می تواند هک بشود!

بکاپ ها این امکان را به شما می دهد تا بتوانید اطلاعات و داده های وب سایت خود را در مواقعی که حادثه ای برای وب سایتتان رخ داده است، خیلی سریع بازگردانید.

افزونه های بسیاری در زمینه بکاپ گیری وردپرس به صورت رایگان وجود دارند که می توانید از آن ها، به راحتی برای بکاپ گیری وب سایت وردپرسی خود استفاده کنید. دقت داشته باشید، وقتی مسئله بکاپ و بکاپ گیری در میان باشد، شما باید علاوه بر بکاپ های جزئی مانند بکاپ گیری فایل های رسانه، یک بکاپ کامل از وب سایت خود تهیه کنید و آن را در یک محیط غیر از هاست وب سایت خود، ذخیره کنید.

می توانید بکاپ گرفته شده را در محیط های دیگر مانند سرور های ابری (Cloud) که پیشنهاد ما می باشد، نگهداری کنید.

بسته به اینکه شما چند بار از وب سایت وردپرسی خود بکاپ تهیه می کنید، به طور معمول ما پیشنهاد می کنیم که بکاپ گیری روزانه از وب سایت خود، انجام دهید.

در بخش زیر آموزش های لازم برای تهیه بکاپ را مشاهده می کنید :

آموزش ایجاد فول بکاپ در کنترل پنل CPanel

آموزش ایجاد فول بکاپ در کنترل پنل Direct Admin

فعال سازی فایروال اپلیکیشن تحت وب (WAF)

یکی از آسان ترین روش هایی که می توانید برای تقویت امنیت وب سایت وردپرسی خود استفاده کنید، فعال سازی فایروال برای وب سایتتان می باشد. فایروال اپلیکیشن تحت وب (Web Application Firewall) تمامی ترافیک های مخرب را قبل از رسیدن به وب سایت‌تان، مسدود می کند.

سطح DNS فایروال: این نوع فایروال ها، ترافیک وب سایت شما را ابتدا به سرور های پروکسی ابری خود منتقل می کنند و سپس ترافیک اصلی را به سمت وب سایتتان سوق می دهند.

سطح اپلیکیشن فایروال: در این سطح از فایروال، شما از افزونه هایی استفاده می کنید. این افزونه های فایروال، ترافیک وب سایت شما را زمانی که به سرور برسد، بررسی می کنند اما فرآیند بررسی زمانی انجام می شود که هنوز اسکریپت های وردپرسی، اجرا نمی شوند و همین روند باعث می شود که ترافیک های مخرب نتوانند به وب سایت شما آسیبی برسانند. اما باید به این نکته هم اشاره کرد که این سطح از فایروال، به نسبت سطح DNS فایروال، نمی تواند در کاهش بار سرور، کارآمد باشد.

شما می توانید از افزونه iThemes Security برای ایجاد یک فایروال مناسب برای وب سایت وردپرسی خود استفاده کنید .

انتقال وب سایت به SSL/HTTPS

SSL یا “Secure Sockets Layer” که در فارسی به معنای “لایه سوکت های امن” می باشد، یک پروتکل است که داده های انتقال یافته بین وب سایت شما و مرورگر کاربر را رمز گذاری می کند. روند رمز گذاری داده ها توسط SSL باعث می شود که دسترسی به اطلاعات و داده ها برای افراد سود جو، بسیار سخت تر شود.

زمانی که گواهینامه SSL را بر روی وب سایت خود فعال کردید، متوجه می شوید که http اول آدرس وب سایتتان به https تغییر می کند (به طور مثال https://kanithemes.com). همجنین یک قفل سبز رنگی در آدرس بار مرورگر، در کنار آدرس وب سایتتان نمایان می شود که نشان می دهد وب سایت شما درحال استفاده از SSL است.

از آنجا که گواهینامه SSL توسط شرکت های میزبانی با قیمت های مختلف در سطح های متفاوت ارائه می شود، برای برخی از کاربران که می خواهند به صرفه کار کنند و هزینه های زیاد را انجام ندهند، مناسب نیست.

برای حل این مشکل، سازمان خصوصی به نام Let’s Encrypt شروع به ارائه گواهینامه های SSL رایگان به دارندگان وب سایت ها، کرده است. گواهینامه SSL آن ها توسط گوگل کروم، موزیلا فایرفاکس، فیسبوک و دیگر شرکت های مختلف پشتیبانی می شود.

با این وجود، استفاده از گواهینامه SSL علاوه بر آنکه در بیشتر هاستینگ ها رایگان است، نصب و راه اندازی بسیار آسانی هم دارد و هر صاحب وب سایتی، می تواند از آن برخوردار شود.

بسیاری از شرکت های میزبانی وب، برای افزایش فروش پلن های خود، گواهینامه SSL رایگان پیشنهاد می کنند که این گواهینامه SSL، همان چیزی است که معرفی کردیم.

روش های پیشرفته‌تر امنیت وردپرس

اگر شما تا اینجا، تمامی روش هایی که معرفی کردیم را انجام داده اید، باید بگوییم که در مرحله خوبی از امنیت قرار دارید.

ولی همانطور که اشاره کردیم، باز هم می توان این امنیت را افزایش داد. در ادامه، روش هایی را با همدیگر بررسی می کنیم که ممکن است برای کاربران مبتدی کمی مبهم باشد و برخی از آن ها نیز، نیاز به دانش کد نویسی دارد.

تغییر نام کاربری پیش فرض “admin”

در قدیم، اکثر مدیران وب سایت ها از عبارت “admin” برای نام کاربری پنل مدیریت خود استفاده می کردند. امروزه، نام کاربری تبدیل شده است به نیمی از اعتبارنامه امنیت یک وب سایت؛ به طوری که یک نام کاربری قابل حدس می تواند کار را برای هکر ها جهت انجام حملات مختلف، آسان تر سازد.

خوشبختانه، وردپرس این روند را حل کرده است و موقع نصب وردپرس، شما باید یک نام کاربری سفارشی وارد کنید.

با این حال، برخی از سرویس هایی که با چند کلیک، وردپرس را برای شما نصب می کنند ممکن است که از نام کاربری “admin” برای پنل مدیریت‌تان استفاده کنند. اگر چنین موضوعی را در شرکت میزبانی هاست خود مشاهده کردید، پیشنهاد می کنیم که شرکت میزبانی وب سایت خود را تعویض کنید.

از آنجایی که وردپرس دیگر به شما این اجازه را نمی دهد تا بتوانید نام کاربری خود را عوض کنید، می توانید به سه روش زیر، آن را تغییر دهید:

  • ساخت یک نام کاربری جدید برای مدیریت و حذف اکانت admin قدیمی
  • استفاده از افزونه username changer
  • بروزرسانی نام کاربری در phpMyAdmin

ما تمامی سه روش بالا را در مقاله تغییر نام کاربری وردپرس، توضیح و پوشش داده ایم که می توانید آن را مطالعه کنید.

توجه: ما در این روش، از نام کاربری “admin” صحبت می کنیم نه نقش کاربری “administrator” یا همان “مدیر کل”!

غیرفعال سازی ویرایش فایل

وردپرس با یک سیستم ویرایشگر فایل همراه است که به کاربران این امکان را می دهد تا بتوانند از طریق پنل مدیریت وردپرس، فایل های قالب و افزونه های وب سایت وردپرسی خود را به راحتی ویرایش کنند. از این رو، این قابلیت از لحاظ امنیتی می تواند ریسک خطرناکی داشته باشد، پس ما پیشنهاد می کنیم که این ویرایشگر فایل را از وردپرس خود غیرفعال کنید.

شما می توانید این ویرایشگر فایل را به راحتی با افزودن کد زیر به فایل wp-config.php وردپرس خود، غیرفعال سازید:

جلوگیری از اجرا فایل های PHP در دایرکتوری های اصلی

یکی دیگر از کار هایی که می توان برای تقویت امنیت وردپرس انجام داد، جلوگیری از اجرا فایل های PHP در دایرکتوری ها و مکان های غیر ضروری مانند /wp-content/wp-upload می باشد.

برای انجام این کار، به راحتی می توانید یک ویرایشگر متن مانند Notepad باز کرده و کد زیر را در آن قرار دهید:

حال شما باید فایل متنی را با نام htaccess. ذخیره کنید و سپس آن را در پوشه های دایرکتوری /wp-content/wp-upload/ آپلود کنید.

محدود سازی تلاش ها برای ورود

به صورت پیش فرض، وردپرس این امکان را به کاربران وب سایتتان می دهد تا بتوانند تا بی شمار، برای ورود به اکانتشان تلاش کنند. همین موضوع باعث می شود که وب سایت شما در برابر حملات هکر، آسیب پذیر شود؛ زیرا برخی از هکران برای کرک کردن پسورد پنل مدیریت، از این راه می توانند استفاده کنند.

این مشکل می تواند خیلی راحت و ساده با محدود سازی تلاش های ورود برطرف شود. زیرا کاربر پس از یک تعداد خاص تلاش برای ورود، دیگر اجازه وارد کردن اطلاعات و ورود به اکانتش را برای مدتی ندارد. اگر فایروال بر روی وب سایتتان وجود دارد، دیگر نیازی نیست نگران این قضیه باشید.

با این حال اگر درحال استفاده از یک فایروال برای وب سایت وردپرسی خود نیستید، قدم های زیر را برای رفع این مشکل دنبال کنید.

در ابتدا، شما باید افزونه Login LockDown را در وردپرس خود نصب و فعال سازید.

جهت یادگیری نحوه ی نصب افزونه ها در وردپرس به صفحه ی آموزش نصب افزونه در وردپرس مراجعه کنید.

با استفاده از یکی از دو راه زیر و آموزش لینک بالا می توانید این افزونه را نصب کنید.

دانلود افزونه Login LockDown از مخزن وردپرس

پس از فعال سازی افزونه، گزینه ای با نام Login LockDown در منو تنظیمات نمایان می شود:

پس از کلیک بر روی گزینه ذکر شده، به صفحه تنظیمات افزونه منتقل می شوید.

در بخش اول که Max Login Retries نام دارد شما باید تعداد دفعات مجازی که یک کاربر می تواند برای ورود تلاش کند را وارد کنید. افزونه به طور پیش فرض این مقدار را بر روی عدد 3 قرار داده است، یعنی کاربر پس از 3 بار تلاش کردن برای ورود، دیگر نمی تواند تلاش مجدد انجام دهد.

در بخش دوم که Retry Time Period Restriction نام دارد، شما باید مقدار زمانی که یک کاربر پس از تلاش دفعات مجاز، باید بگذارند را وارد کنید. افزونه به طور پیش فرض مقدار 5 دقیقه را وارد کرده است؛ یعنی کاربر پس از گذراندن دفعات مجاز برای ورود، باید 5 دقیقه صبر کند تا بتواند دوباره تلاش کند.

در بخش Lockout Length نیز شما می توانید یک مقدار زمان مشخصی را برای زمانی که کاربر زمان تعیین شده پس از وارد کردن تعداد دفعات مجاز برای ورود را گذارنده، مشخص کنید. به طور مثال، یک کاربر بیش از 3 بار اطلاعات خود را برای ورود به وب سایت وارد می کند اما اطلاعات غلط است، پس باید 5 دقیقه صبر کند. سپس پس از 5 دقیقه اگر دوباره اطلاعات را غلط وارد کند، برای 60 دقیقه دیگر نمی تواند تلاش کند.

بخش Mask Login Errors هم یک بخش بسیار کاربردی و مهم برای امنیت وب سایتتان می باشد. به طور پیش فرض، وردپرس زمانی که کاربر نام کاربری خود را برای ورود همراه با پسورد وارد می کند و اگر پسوردش نادرست باشد، وردپرس به او اطلاع می دهد که نام کاربری درست است اما پسورد اشتباه می باشد؛ همین موضوع باعث می شود که کار برای کرک کردن پسورد برای هکران بسیار آسان تر شود. حال افزونه این امکان را به ما داده تا بتوانیم با فعال کردن این گزینه، از ارائه اطلاعات توسط وردپرس به کاربران در مورد اطلاعات ورود غلطشان، جلوگیری کنیم.

تغییر پیشوند دیتابیس وردپرس

به طور پیش فرض، وردپرس از کاراکترهای _wp به عنوان پیشوند برای تمامی جداول دیتابیس وردپرس استفاده می کند. حال اگر شما درحال استفاده از این پیشوند پیش فرض وردپرس هستید، کار را برای هکر ها جهت نفوذ به وب سایت خود راحت تر می سازید، زیرا آن ها می توانند خیلی راحت پیشوند جداول دیتابیس وردپرس شما را حدس بزنند.

شما می توانید پیشوند جداول دیتابیس وردپرس خود را با مطالعه و انجام مراحل گام به گام مطلب جمع آوری شده در رابطه با تغییر پیشوند جداول دیتابیس وردپرس که در کانی تمز تهیه شده است، انجام دهید.

محافظ رمز عبور در صفحه ورود به وردپرس

به طور معمول، هکر ها می توانند به پوشه wp-admin وب سایت شما بدون هیچ گونه محدودیتی، درخواست ارسال کنند. این عمل، آن ها را قادر می سازد تا بتوانند ترفند های هک خود یا حملات DDoS را بر روی وب سایت شما انجام دهند.

در این حین، شما می توانید یک لایه امنیتی به صورت محافظ پسورد برای این صفحه از وب سایتتان قرار دهید، که به طور قابل توجهی اینگونه درخواست ها را مسدود می سازد.

در مطلب “افزودن لایه امنیتی محافظ پسورد در دایرکتوری wp-admin” می توانید نحوه انجام این کار را مطالعه فرمایید.

غیرفعال سازی ایندکس کردن دایرکتوری

جستجو و گشت زدن در دایرکتوری، این امکان را به هکر ها می دهد تا بتوانند در دایرکتوری های سایت، فایل های آسیب پذیر را شناسایی کنند و از آن ها برای ورود و دسترسی به سایت، استفاده کنند.

همچنین جستجو دایرکتوری (Directory Browsing) برای افراد عمومی هم این امکان را می دهد تا بتوانند در بین فایل های موجود در دایرکتوری وب سایت شما، گشت بزنند، ساختار دایرکتوری وب سایت شما را متوجه شوند و برخی از فایل های وب سایت شما را کپی کنند. به همین دلیل، شدیداً پیشنهاد می شود که ایندکسینگ دایرکتوری (Directory Indexing) وب سایت خود را غیرفعال سازید.

برای انجام این کار، با کنترل پنل هاست یا با استفاده از یک اتصال FTP، مکان فایل htaccess. وب سایت خود را پیدا کرده و سپس آن را ویرایش کنید و کد زیر را در آن قرار دهید:

در آخر نیز فراموش نکنید که فایل htaccess. را ذخیره سازید.

غیرفعال سازی XML-RPC در وردپرس

XML-RPC به صورت پیش فرض در نسخه 3.5 وردپرس، فعال شده و درواقع به وب سایت وردپرسی کمک می کند تا با وب و اپلیکیشن های موبایل، اتصال برقرار کند.

به دلیل قدرتمند بودن این سیستم در وردپرس، XML-RPC می تواند حملات به وب سایت را به صورت قابل توجهی، تقویت کرده و افزایش دهد.

به طور مثال، یکی از روش های سنتی که هکر ها برای نفوذ به وب سایت وردپرس استفاده می کنند، امتحان کردن 500 پسورد مختلف برای ورود به وب سایت است که این 500 نوع پسورد، هر کدام باید به صورت تلاش های جداگانه در صفحه ورود وردپرس امتحان شوند که در این صورت، پلاگین های امنیتی این نوع تلاش های زیاد را مسدود می کنند و هکر ها نمی توانند 500 پسورد تولید شده خود را به طور کامل امتحان کنند.

اما با وجود XML-RPC، هکر ها می توانند با استفاده از عملکرد system.multicall برای امتحان کردن هزاران پسورد در تنها 20 تا 50 درخواست، استفاده کنند. به همین دلیل است که ما پیشنهاد می کنیم اگر از XML-RPC استفاده نمی کنید، آن را در وب سایت وردپرسیتان به طور کامل غیرفعال کنید.

برای غیرفعال سازی XML-RPC شما می توانید تنها با نصب و فعال سازی افزونه Disable XML-RPC این کار را انجام دهید؛ پس از نصب و فعال سازی این افزونه، سیستم XML-RPC در وب سایت وردپرس شما به طور خودکار غیرفعال خواهد شد.

گاهی اوقات ممکن است که روش معرفی شده برای غیرفعال سازی XML-RPC برای برخی از وب سایت ها عمل نکند و آن وب سایت های وردپرس، هنوز مورد هجوم حملات هکری باشند. در اینگونه موارد، ما پیشنهاد می کنیم که با افزودن کد زیر به فایل htaccess. وب سایت خود، تمامی درخواست های xmlrpc.php را غیرفعال سازید قبل از اینکه حتی درخواست ها به وردپرس برسند.

خارج کردن اتوماتیک کاربران غیرفعال در وردپرس

کاربرانی که در وب سایت وردپرس برای مدت طولانی وارد شده اند اما فعالیتی ندارند، می توانند به طور خودکار فعالیشتان از دید ما خارج شود و همین موضوع باعث می شود که یک ریسک امنیتی در وب سایت بوجود آید؛ زیرا برخی از هکر ها می توانند اکانت هایی که فعالیتی ندارند ولی در وب سایت وارد شده اند را هک کنند و تغییراتی در آن اکانت اعم از تغییر پسورد، انجام فعالیت های مشکوک و… انجام دهند.

برای همین است که تمامی وب سایت های بانک ها و وب سایت های مالی، کاربرانی که برای مدت طولانی در اکانتشان فعالیتی ندارند را خارج می کنند. شما هم می توانید همین عملکرد را بر روی وب سایت وردپرسی خود پیاده سازی کنید.

برای انجام این کار، ابتدا لازم است که افزونه Inactive Logout را در وب سایت وردپرس خود نصب و فعال سازید. پس از نصب و فعال سازی افزونه، به بخش Inactive Logout در منو تنظیمات رفته تا پیکربندی های افزونه را انجام دهید.

در این قسمت، خیلی راحت زمانی که یک کاربر غیرفعال می ماند و به صورت اتوماتیک خارج می شود را تغیین کرده و همچنین یک پیام مبنی بر خارج شدن کاربر که پس از خارج شدنش برایش نمایش داده می شود را وارد کنید. در آخر نیز فراموش نکنید که تنظیمات را ذخیره نمایید.

افزودن سوال امنیتی در صفحه ورود وردپرس

افزودن سوال امنیتی به صفحاتی مانند صفحه ورود وب سایت وردپرس، کار را برای هکر ها برای دسترسی های غیرمجاز، بسیار سخت تر می کند.

شما می توانید اینگونه سوالات امنیتی را به وسیله  آموزش افزودن سوال امنیتی به صفحه ورود وردپرس به وب سایت خود اضافه کنید .

اسکن وب سایت وردپرس برای بدافزار ها و آسیب پذیری ها

اگر شما یک افزونه امنیتی در وب سایت وردپرسی خود به صورت فعال دارید، آن افزونه به طور معمول، وب سایت شما را هر روز برای شناسایی بدافزار ها و آسیب پذیری ها، اسکن می کند.

با این حال، اگر شما در ترافیک و بازدید های وبسایت خود کاهش داشتید یا رنکینگ وب سایت شما کاهش پیدا کرده است، شاید بهتر باشد تا وب سایت خود را برای شناسایی بدافزار ها و شکاف های امنیتی، بررسی و اسکن کنید. در این زمان، شما می توانید از یک افزونه امنیتی یا یکی از اسکنر های امنیتی وردپرس استفاده نمایید. در مطلب “بهترین وب سایت های اسکن وب سایت وردپرسی و شناسایی بدافزار ها” ما بهترین اسکنر های امنیتی وردپرس را جمع آوری کرده و آن ها را به طور جامع معرفی کرده ایم.

اجرا این نوع اسکنر های امنیتی بسیار ساده و آسان هستند؛ به طوری که شما تنها نیاز دارید تا آدرس وب سایت خود را وارد کنید، سپس اسکنر، وب سایت شما را بررسی می کند و به دنبال هرگونه بدافزار و کد های مشکوک می گردد.

حال این موضوع را در ذهن بخاطر بسپارید که اسکنر های امنیتی وردپرس، تنها می توانند هک و بدافزار ها را تشخیص دهند و نمی توانند آن ها را برای شما پاکسازی کنند. در اینجاست که شما می توانید از قدم بعدی، برای پاکسازی آن ها استفاده کنید.

پاکسازی یک وب سایت هک شده وردپرس

بسیاری از کاربران وردپرس اهمیت بکاپ و امنیت وب سایتشان را نمی دانند تا زمانی که هک شوند! پاکسازی و رفع مشکلات هک یک وب سایت وردپرس می تواند بسیار سخت و زمان‌گیر باشد، برای همین است که اولین پیشنهاد ما برای شما، استخدام یک متخصص امنیت وردپرس برای انجام کار می باشد.

هکران معمولاً Backdoor هایی را بر روی وب سایت هایی که توانسته اند نفوذ کنند، نصب می کنند؛ به همین خاطر، اگر این نوع Backdoor ها به درستی پاکسازی نشوند، هکران می توانند در آینده نیز دوباره به وب سایت نفوذ کنند.

ما در کانی تمز، برای مبتدیان و برای افرادی که نمی دانند اولین قدم برای پاکسازی یک وب سایت هک شده وردپرس چیست، مطلبی جامع در رابطه با پاکسازی و رفع هک وب سایت وردپرس نیز تهیه کرده ایم که می توانید آن را به صورت رایگان مطالعه فرمایید.

امیدواریم اطلاعاتی که در اختیار شما کاربران ارجمند قرار داده ایم، مفید واقع بوده باشد. شما نیز می توانید تجربیات خود را در رابطه با موضوع امنیت وردپرس را در بخش دیدگاه های همین مطلب به اشتراک بگذارید.

پیشنهاد می کنیم برای دریافت آخرین مطالب کانال تلگرام کانی تمزرا دنبال کنید .