راهنمای کامل و جامع امنیت وردپرس
امنیت وردپرس موضوعی بسیار مهم برای صاحبان و مدیران وب سایت ها است. این اهمیت به دلیل حفاظت از محتواهای موجود در سایت است که برای مدیران کسب و کار حتی از نان شب هم واجب تر است.
جالب است بدانید گوگل هر روز ۵۰۰۰۰ وبسایت را به خاطر اقدامات فیشینگ در لیست سیاه قرار می دهد. این موضوع نشان می دهد امنیت وردپرس همواره در معرض خطر است و نیازمند اقدامات جدی و مهمی است.
اگر امنیت وبسایت و اطلاعات و محتواهای موجود در آن برای شما اهمیت دارد باید به بهترین شیوه های امنیتی از سیستم مدیریت محتوای وردپرسی سایت خود محافظت کنید. در این راهنمای جامع و گام به گام، نکات امنیتی بروزرسانی شده ای را برای کمک به محافظت از وبسایت شما در برابر هکرها و بد افزارها برایتان به اشتراک می گذاریم.
امنیت وردپرس چیست؟
سیستم مدیریت محتوای وردپرس یکی از محبوب ترین سیستم ها برای مدیریت و انتشار محتوا است که بر پایه آمارهای منتشر شده در حدود ۴۵ درصد از کل وبسایتهای جهان بوسیله آن طراحی شده اند. اگر چه مواردی همچون بهینه بودن، واکنشگرا بودن و سرعت لود بالا در زمان طراحی سایت با وردپرس اهمیت زیادی دارد ولی مقوله امنیت وردپرس از موضوعات بسیار مهمی است که باید بدان توجه اساسی کرد. در واقع امنیت وردپرس تضمین کننده اعتبار برند شماست و از سرقت اطلاعات و داده های کاربران و آسیب رسیدن به محتواهای شما جلوگیری خواهد کرد.
در واقع منظور از امنیت وردپرس، رعایت دستورالعمل های ایمنی برای سیستم وردپرس است که موارد زیادی را می تواند شامل شود.
امنیت وردپرس در درجه اول برای جلوگیری از سرقت اطلاعات کاربرانی است که این اطلاعات را در اختیار سایت شما قرار می دهند. امنیت اطلاعات سایت شامل کدنویسی های انجام شده، امنیت محتواها و پلاگین های نصب شده، حفظ اطلاعات و پرونده های مالی و سیستم های ارسال و حمل و نقل می باشد.
به خاطر داشته باشید امنیت وردپرس یکی از موارد مهمی است که در بحث قیمت طراحی سایت نیز مؤثر است و مدیران سایت ها معمولا در زمان طراحی سایت بدین مورد توجه نمی کنند.
چرا امنیت وردپرس مهم است؟
حملات هکرها به سایت وردپرسی شما می تواند آسیب جدی به اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربران، رمزهای عبور، اسناد و مدارک با اهمیت نظیر مدارک مالی و اطلاعات راهبردی سایت را مورد تهدید قرار داده و از این جهت نگرانی های زیادی برای کاربران و مخاطبان شما ایجاد کنند.
امنیت وردپرس مخصوصا در سایت های فروشگاهی از اهمیت بیشتری برخوردار است. اگر سایت فروشگاهی شما از امنیت کافی برخوردار نباشد هم کاربران و هم موتورهای جستجوی گوگل اعتباری را برای آن در نظر نمی گیرند. به همین خاطر است که در طراحی سایت فروشگاهی باید به امنیت پایگاه داده و محتواهای سایت توجه ویژه ای کرد و همین مسائل باعث می شود قیمت طراحی سایت فروشگاهی با بقیه سایت ها متفاوت باشد.
توجه داشته باشید که حتی با وجود رعایت موارد امنیتی، هر سایتی در هر زمان و موقعیتی مستعد دریافت حملات هکری و آسیب پذیری ناشی از حملات است. روشهای هک و نفوذ آنقدر گسترده شده اند که مقابله در برابر تمامی آنها اقدامات بسیار جدی و دائمی را طلب می کند. علاوه بر پوشش و رعایت موارد امنیت وردپرس بحث مراقبت و رسیدگی مستمر نیز در امنیت وردپرس بسیار حائز اهمیت است.
امنیت سایت وردپرسی برای بهینه سازی سایت توسط موتورهای جستجوی گوگل اهمیت دارد
گوگل به طور واضح اعلام کرده است که بخشی از فرآیند سئو سایت مربوط به رعایت موارد ایمنی در سایت است که از نظر گوگل با اهمیت است. یکی از موارد مهمی که باید به آن اشاره کنیم دریافت گواهی نامه SSL برای سایت است که برای رتبه بندی سایت اهمیت بسیار بالایی دارد. بطوری که سایت هایی که این گواهی را نداشته باشند در بیشتر مواقع به کاربر اصلا نمایش نمی دهد.
امنیت وردپرس برای بهبود تجربه کاربری اهمیت زیادی دارد
کاربران برای سایت هایی که ایمن نیستند اعتبار زیادی قائل نمی شوند. در واقع ایمن بودن سایت و اخذ گواهی نامه و رعایت اصول اولیه امنیت وردپرس نشان می دهد سایت شما برای بهبود تجربه کاربری و استفاده ایمن کاربران ارزش زیادی قائل است. از سوی دیگر رعایت این موارد می تواند به برند شما اعتبار بخشد.
مهم ترین راه های نفوذ هکرها به سیستم وردپرس چیست؟
یکی از راه های نفوذ هکرها از طریق ربات ها است. ربات های اسپمر با جستجو در سایت ها و پیدا کردن نقاط ضعف در آنها مخصوصا فرم های محافظت نشده که تکمیل آنها بصورت سیستمی امکان پذیر است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در این مورر انجام نشده باشد بسیار محتمل است که با نفوذ هکرها مواجه شوید.
یکی دیگر از راه های نفوذ هکرها و به خطر افتادن امنیت وردپرس تهیه و استفاده از قالب و افزونه ها بغیراز از منبع اصلی است. در قالب ها و افزونه های غیر اورجینال، ساختار فایل ها به راحتی قابل تغییر بوده و امکان ترکیب آنها با بدافزار، شل، اسپمر و … وجود دارد. پس بنابراین هر فایلی که از منبع غیر اصلی آن دریافت می شود می تواند مستعد و حاوی انواع بد افزارها باشد.
و اما شاید بیشترین آسیب پذیری سایت ها در بخش دسترسی ها است. در این حالت هکرها می توانند با پیدا کردن آدرس URL های سایت که دسترسی آن برای همه امکان پذیر است، اطلاعات سایت شما را دریافت کنند. آنها با استفاده از نرم افزارهای خاص ممکن است بتوانند رمزهای عبور کاربران که ساده رمز گذاری شده است را دریافت کنند.
بهترین افزونه های امنیت وردپرس
با نصب افزونه های امنیتی، می توان امنیت وردپرس و سایت های وردپرسی را ارتقای درخور توجهی داد. هنگام انتخاب بهترین افزونههای امنیتی وردپرس، به دنبال دو ویژگی زیر باشید:
۱. امکانات
- اسکن بد افزارها
- امکان فعال سازی احراز هویت دو مرحله ای
- محافظت از سایت در برابر حملات
۲. سهولت استفاده
قبل از خریداری یا نصب افزونه امنیت وردپرس، سعی کنید دیدگاه های کاربران را درباره آن بخوانید. مهم ترین نکته ای که باید از آن مطمئن شوید، این است که افزونه مورد نظر زیاد پیچیده نباشد.
نکته: اکثر پلاگینهای امنیت وردپرس نسخه رایگانی دارند که امکانات کمتری در مقایسه با نسخه پولی ارائه میدهد؛ اما همین نسخه رایگان هم معمولاً میتواند امنیت سایت وردپرسی را تأمین کند. گفتنی است ویژگیهای پولی، بیشتر به جزئیات تنظیمات افزونه مربوط میشود.
درادامه، فهرستی از بهترین افزونه های امنیت وردپرس را جمع آوری کرده ایم. همه این افزونه ها توانسته اند رضایت کاربران را تا حد زیادی جلب کنند.
افزونه Wordfence Security
بی دلیل نیست که نام این افزونه را به عنوان گزینه اول این فهرست آوردهایم. پلاگین وردفنس ازجمله بهترین افزونه های امنیت وردپرس است که با محیط کاربری خوب و کاربر پسند و ویژگیهای فراوان توانسته به امنیت بسیاری از سایتها کمک کند.
افزونه WP Cerber Security
در رتبه دوم فهرست بهترین پلاگینهای امنیت وردپرس، افزونه WP Cerber Security جای دارد. داشبورد کاربردی این افزونه می تواند تعداد فعالیتهای مخرب و نظرات اسپم رد شده و IP آدرس های مشکوک را گزارش دهد. به علاوه، این افزونه بهترین گزینه از نظر مستندات و راهنما هاست.
نسخه رایگان WP Cerber Security میتواند تمام نیازهای امنیتی ضروری سایت شما را تأمین کند. اما با تهیه نسخه پولی آن، از امکانات امنیتی بیشتری برخوردار خواهید بود. به خصوص در مقابله کردن با اسپم ها و اسکن خودکار بد افزارها می تواند مؤثر واقع شود.
افزونه iThemes Security
وقتی از بهترین پلاگینهای امنیت وردپرس سخن به میان می آید، قطعاً نمیتوان از iThemes Security صحبت نکرد. هر کاربر با هر سطح اطلاعات، می تواند تنظیمات آن را سریعا انجام دهد.
برخلاف سایر افزونه های امنیتی، این افزونه به شما امکانی می دهد که صفحه داشبورد را ویرایش کنید تا فقط اطلاعات ضروری را ببینید. نکته دیگر اینکه داشبورد iThemes Security دادههای مربوط به بد افزارها، کاربران ممنوعه، حملات Brute force و… را نشان میدهد.
افزونه All In One WP Security & Firewall
All In One WP Security & Firewall از بهترین پلاگینهای امنیتی وردپرس است. اگر سایت کوچک یا شخصی دارید، این افزونه رایگان می تواند گزینه مناسبی برای شما باشد. داشبورد این افزونه ساده و قابل تنظیم است و ابزارهای ضروری امنیتی و امکاناتی که این افزونه دراختیارتان قرار میدهد جالب توجه است.
افزونه Security Ninja
Security Ninja جزو پلاگین هایی است که اکثر ویژگیهای خود را در نسخه پولی ارائه می کند. یکی از قابلیتهای منحصربه فرد این افزونه، تستر امنیتی است که بیش از ۵۰ تست را روی سایت پیاده سازی می کند. از آنالیز فایلهای اصلی وردپرس گرفته تا مجوزهای MySQL و تنظیمات PHP همه و همه توسط این افزونه تست می شوند. بعد از انجام این تستها نیز، Security Ninja گزارش آنالیز مفصلی از نتیجه هر تست ارائه میدهد.
راهکارهای امنیت وردپرس
ارائه راهکارهای امنیت وردپرس برای مدیران سایت ها اهمیت زیادی دارد. شاید روش هایی که در ادامه بیان میشوند، بیشتر از همه برای انها مفید باشد. برخی از این روش ها با نصب افزونه امنیت وردپرس، برخی روش ها با کدنویسی و تنظیمات داخل پنل سایت انجام می شوند که می توانند تا حد بالایی امنیت سایت وردپرسی شما را در مقابله با انواع حملات تضمین کند.
نسخه ورپرس و افزونه های خود را همیشه بروز نگه دارید.
وردپرس یک سیستم مدیریت محتوای متن باز است که به طور مرتب بروز رسانی می شود. این بروزرسانی ها به طور پیش فرض، نصب می شود. اما برای نسخه های اصلی و اورجینال، باید بروزرسانی را به صورت دستی انجام دهید. وردپرس همچنین افزونه های کاربردی زیادی را برای راحتی و استفاده کاربران خود تهیه کرده است که بسیاری از آنها ممکن است در فرایند طراحی وبسایت شما نصب شده باشند. این پلاگین ها و قالب ها بعضا توسط توسعه دهندگان و شرکت هایی ارائه می شوند که باید همیشه و بطور منظم بروز رسانی را نیز برای آنها منتشر کنند. انجام این بروز رسانی های وردپرس برای امنیت وردپرس حیاتی و مهم هستند.
سایت وردپرس خود را از طریق یک SSL به HTTPS منتقل کنید
SSL پروتکلی است که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود کسی نتواند به اطلاعات مهم دسترسی پیدا کند.
هنگامی که SSL را فعال کردید، وب سایت شما به جای پروتکل HTTP از HTTPS استفاده می کند.، همچنین علامت قفل در کنار آدرس وب سایت خود در مرورگر می تواند این پروسه را تأیید کند. گواهینامه های SSL معمولاً توسط برخی از شرکت ها صادر می شود و هزینه هایی بابت این کار از شما دریافت می کنند. همچنین برخی از گواهینامه های SSL رایگان نیز توسط شرکت ها به سایت هایی که دوست دارند از خدمات رایگان استاده کنند ارائه می شود. در حال حاضر، استفاده از SSL برای تمام سایت های وردپرسی آسان تر از همیشه است.
نام کاربری پیش فرض “admin” را تغییر دهید
در قدیم نام کاربری پیش فرض برای ادمین وردپرس “admin” بود. از آنجایی که نام کاربری، نیمی از را ه ورود به سیستم وردپرس است، حملات brute-force برای هکرها با این نام کاربری آسان تر خواهد بود.
خوشبختانه، سیستم وردپرس از زمانی به بعد، از شما می خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی و دلخواه برای خود انتخاب کنید. با این حال، برخی از مدیران سایت یا نصب کنندگان وردپرس هنوز نام کاربری پیش فرض admin را برای خود تنظیم می کنند. توصیه می شود از یک نام کاربری به غیر از admin برای ورود به بخش مدیریت سیستم وردپرس انتخاب کنید.
استفاده از پسوردهای قوی
همانطور که اشاره شد رایج ترین شکل ورود هکرها به سیستم وردپرس استفاده از رمز های عبور است. بسیاری از کاربران استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است. ولی شما می توانید با استفاده از رمزهای عبور قوی تر، مانع از دسترسی هکرها شوید. پسوردهای قوی نه فقط برای بخش مدیریت وردپرس، بلکه برای ورود به پایگاه داده، هاستینگ و ایمیل هایی که از نام دامنه سایت استفاده می کنند لازم است.
پیشنهاد می شود از رمزعبور متشکل از حروف بزرگ و کوچک، اعداد و نشانک ها و تا ۱۲ کاراکتر استفاده کنید که بسیار سخت و تقریبا غیر قابل پیش بینی خواهند بود.
راه دیگر برای کاهش خطر این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید، مگر اینکه کاملاً مجبور باشید. اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حسابهای کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید که نقشها و قابلیتهای کاربر در وردپرس را درک کردهاید.
جهت امنیت وردپرس احراز هویت دو عاملی را فعال کنید
تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سایت شوند. اولین مورد، نام کاربری و رمز عبور است.، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوند. اکثر وب سایت ها مانند گوگل، فیس بوک یا توییتر به شما این امکان را می دهند که از احراز هویت دو عاملی برای اکانت های خود استفاده کنید.
در سایت های وردپرسی نیز می توانید این قابلیت را به سایت وردپرسی خود اضافه کنید. ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی، باید روی پیوند تأیید دو عاملی در نوار کناری مدیریت وردپرس کلیک کنید.
سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید
افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس، دسترسی های غیر مجاز را سخت تر می کند. با نصب افزونه WP Security Questions می توانید سؤالات امنیتی مطرح کرده و به صفحه ورود اضافه کنید. پس از نصب و فعال سازی افزونه، برای پیکر بندی تنظیمات باید به بخش تنظیمات و سپس صفحه سؤالات امنیتی مراجعه کنید.
محافظت از رمز عبور مدیریت و صفحه ورود به وردپرس
به طور معمول، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون هیچ محدودیتی فراخوانی کنند. این کار به آنها اجازه می دهد تا ترفندهایی را برای هک کردن اطلاعات امتحان و پیاده سازی کنند یا حملات DDoS را اجرا کنند. شما می توانید یک حفاظت بوسیله ایجاد رمز عبور اضافی را در سمت سرور اضافه کنید، که این کار می تواند درخواست های هکران را مسدود کند.
حذف خودکار کاربران قدیمی در وردپرس
گاهی اوقات برخی از کاربرانی که مدت ها پیش وارد سایت شده اند به مدت زیادی وارد اکانت خود نمی شوند و این کار می تواند یک خطر امنیتی ایجاد کند. هکرها می توانند از طریق این اکانت ها به اطلاعات آن نفوذ کرده و از این طریق وارد سایت شوند.
بیشتر سیستم های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می کنند. شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید و کاربرانی که مدت های زیادی وارد اکانت خود نشده اند را به طور خودکار حذف کنید.
برای این کار شما باید افزونه Inactive Logout را نصب و فعال سازی کنید. پس از فعالسازی، برای پیکربندی تنظیمات افزونه، به تنظیمات و سپس قسمت خروج غیر فعال مراجعه کنید.
ویرایش فایل را محدود کنید
وردپرس دارای یک ویرایشگر کدهای داخلی است که به شما این امکان را می دهد ظاهر قالب و فایل های افزونه های خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. این ویژگی می تواند مخاطراتی را برای نسخه وردپرس شما از ناحیه هکرها ایجاد کند.، به همین دلیل توصیه می شود آن را غیر فعال کنید.
همچنین، می توانید با استفاده از ویژگی Hardening در افزونه هایی که در بالا به آنها اشاره کردیم، این کار را با یک کلیک انجام دهید.
غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس
یکی دیگر از راههای افزایش امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوریهایی است که به آن نیازی نیست.، مثلا در این دایرکتوری ها /wp-content/uploads/. شما می توانید این کار را با اضافه کردن این کد انجام دهید.
در مرحله بعد، باید این فایل را به صورت htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه های /wp-content/uploads/ در وب سایت خود آپلود کنید. همچنین، شما می توانید این کار را با یک کلیک ساده با استفاده از ویژگی Hardening در افزونه های رایگانی که در بالا ذکر کردیم، انجام دهید.
محدود کردن تعداد دفعات ورود به وردپرس
به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند باری که تمایل دارند وارد سیستم مدیریتی شوند. این ویژگی باعث می شود سایت وردپرسی شما در برابر حملات فیشیگ آسیب پذیر باشد. هکرها با تلاش های زیاد برای ورود به سیستم مدیریت وردپرس با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند. شما می توانید به راحتی تلاش های ناموفق برای ورود به سیستم وردپرس را محدود کنید.
اگر از فایروال برنامه وب که قبلاً ذکر کردیم استفاده می کنید، این محدودیت به طور خودکار ایجاد می شود. با این حال، اگر راه اندازی فایروال را در دستور کار ندارید، می توانید از افزونه Login LockDown استفاده کنید. پس از نصب و فعال سازی افزونه، به صفحه تنظیمات Login LockDown مراجعه کنید.
پیشوند پایگاه داده وردپرس را تغییر دهید
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده وردپرس سایت شما استفاده می کند. اگر سایت وردپرسی شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جداول پایگاه داده برای هکرها آسان تر می شود. به همین دلیل است که توصیه می کنیم این پیشوندها را تغییر دهید.
البته توصیه می شود این کار فقط توسط کسی که با مهارت های کدنویسی آشناست انجام شود. زیرا ممکن است باعث حذف اطلاعات ضروری و از بین رفتن پایگاه داده شود.
اسکن وردپرس برای بد افزارها و آسیب پذیری ها
اگراز یک افزونه امنیت وردپرس استفاده می کنید، افزونه ها به طور خودکار بد افزارها و مشکلات امنیتی را بررسی می کنند. با این حال، اگر احساس کردید سایت شما با یک مشکل مانند کاهش ترافیک مواجه شده است سعی کنید به صورت دستی یک اسکن از موارد امنیتی را اجرا کنید. اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت شما به دنبال بدافزارها و کدهای مخرب شناخته شده می گردند.
به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بد افزارها را حذف کنند یا یک سایت وردپرس هک شده را مجددا ایمن کنند.
برای امنیت وردپرس فهرست بندی و مرور دایرکتوری را غیر فعال کنید
هکرها می توانند با استفاده از مرور دایرکتوری ها متوجه شوند که آیا فایلی با آسیب پذیری شناخته شده در پوشه های خود دارید یا خیر.، آنها می توانند از این فایل ها برای دسترسی به آن استفاده کنند. مرور دایرکتوری همچنین می تواند توسط هر فردی برای بررسی فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری وردپرس و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود فهرست سازی و مرور دایرکتوری را غیر فعال کنید.شما با استفاده از ویرایش فایل htaccess می توانید این کار را انجام دهید.
در آخر
امنیت وردپرس امروزه بیش از هر زمان دیگری در اهمیت قرار دارد. سایت های فروشگاهی که اطلاعات کاربران خود را نیاز دارند و هزاران سایت دیگر برای اعتبار و حفظ ارزش های برند خود نیاز دارند که به طور جدی مقوله امنیت در سایت های خود را دنبال کرده و با اقداماتی که در این مقاله به آنها اشاره کردیم سایت هایی امن تر را تجربه کنند.
بهرامی
سلام
خیلی عالی بود
مرتضی واعظ عبایی
سلام و وقت بخیر
ممنون از همراهی و محبت شما