چگونه وب سایت وردپرسی خود را ایمن کنیم؟
امنیت وب سایت یکی از مهم ترین مواردی است که باید سر لوحه کسب و کارتان کنید. امنیت پایین شاید در بعضی از موارد بسیار مشکل ساز باشد. بعضی مواقع توسط امنیت پایین وب سایت ها اطلاعات محرمانه و در عین حال مفیدی در اختیار هکرها قرار می گیرد. شاید اطلاعات مشتریان شما یکی از مهم ترین چیزهایی است که شما در کسب و کار خود دارید. آیا شما دوست دارید این اطلاعات دست کسی بیافتد؟ پس باید با راه کارهایی که موجود است به فکر بالا بردن امنیت وب سایت خود باشید. چون اکثر کسب و کار های نوپا و همچنین قدیمی بر پایه وردپرس وب سایت خود را راه اندازی کرده اند در این مقاله قصد دارم درباره بالا بردن امنیت وب سایت های وردپرسی نکات و راه کارهایی را به شما دوستان عزیزم بدهم.
قبل از اینکه مواردی را برای ایمن سازی وردپرس عنوان کنم می خواهم به چند نکته مهم اشاره کنم. اول اینکه حتما از میزبان امن برای راه اندازی وب سایت خود استفاده کنید. میزبانی که حتما Protection یا Anti-DDoS را روی سروهای خود داشته باشند. از افزونه ها و پوسته های رایگان به هیچ وجه استفاده نکنید. خواهش می کنم این مورد را حتما رعایت کنید. منظور از افزونه های رایگان افزونه هایی است که نسخه پولی آن موجود است ولی بعضی از سایت ها آن ها را رایگان برای دانلود قرار می دهند. این گونه افزونه ها دارای باگ های امنیتی است که ممکنه در آینده وب سایت شما را نابود کنند. پس هیچگاه از افزونه های کرک شده و رایگان به این صورت استفاده نکنید.
موقع نصب وردپرس به دو نکته ی زیر توجه کنید:
موقع نصب وردپرس یوزنیم ورود شما به صورت پیش فرض Admin است. در ورژن های قبلی وردپرس موقع نصب آن امکان تغییر نام کاربری نبود و به صورت خودکار نام کاربری ادمین برای کاربر ثبت می شد. ولی در ورژن های بعدی این امکان به وجو آمد که موقع نصب هم امکان تغییر نام کاربری باشد. حتما از نام کاربری دیگری به جز Admin برای سایت خود استفاده کنید. اگر هم نام کاربری شما ادمین است همین الان از طریق دیتابیس Phpmyadmin در قسمت User اقدام به عوض کردن نام کاربری وب سایت خود کنید.
هنگامی که شما می خواهید وردپرس خود را نصب کنید پیشوند جداول دیتابیس WP است که پیشنهاد می کنم برای امنیت بیشتر حتما نام دیگری برای پیشوند جداول دیتابیس خود انتخاب کنید. اگر پیشوند جداول شما همان WP است می توانید با استفاده از افزونه Change DB آن را تغییر دهید. فقط قبل از استفاده از این افزونه حتما از کل دیتابیس خود بک آپ بگیرید.
هنگام انتخاب پسورد به این نکته توجه کنید که هیچ گاه از پسوردهای ساده استفاده نکنید. ۱۲۳۴۵۶۷۸۹ پسوردی نیست که بشود برای رمز عبور وب سایت خود بگذارید. مطمئن باشید با انتخاب پسوردهای ساده وب سایت شما خیلی راحت هک خواهد شد. با استفاده از سایتstrongpasswordgenerator می توانید رمزهای قوی برای وب سایت خود بسازید.
چگونه وب سایت وردپرسی خود را ایمن کنیم؟
۱٫تغییر صفحه مدیریت وردپرس
اولین کاری که بعد از نصب وردپرس خود باید انجام دهید تغییر دادن صفحه ورود به مدیریت وردپرس است که به صورت پیش فرض wp-login.php است. با استفاده از افزونه امنیتی Lockdown WP Admin می توانید اقدام به تغییر صفحه ورود به مدیریت وردپرس خود کنید.
۲٫رمز گذاری روی صفحه مدیریت وردپرس
دومین کاری که بعد از نصب وردپرس خود باید انجام دهید رمز گذاری روی پوشه Admin است. برای این کار وارد کنترل پنل هاستینگ خود شوید و روی Directory Privacy کلیک کنید. در صفحه باز شده تمام پوشه ها قابل مشاهده است. با کلیک روی هر پوشه ای به فایل های داخلی آن دسترسی پیدا می کنید. پوشه ادمین را انتخاب کنید و در صفحه باز شده تیک گزینه ی password protect this directory را بزنید و درون کادر زیر نام فایل wp-login.php را وارد کنید. در قسمت پایین همان صفحه می توانید یوزر نیم و پسورد دلخواه خود را وارد کنید و روی Save کلیک کنید. با این کار برای وارد شدن به مدیریت وردپرس باید دو بار یوزر نیم و پسورد وارد شود.
۳٫آپدیت وردپرس
سعی کنید همیشه از آخرین نسخه وردپرس استفاده کنید. هنگاهی که آپدیت جدید وردپرس به شما پیشنهاد می شود همان موقع آن را به نسخه جدید بروزرسانی کنید. بعد از آپدیت نسخه جدید ورپرس خود بسیاری از باگ های موجود در آن از بین خواهد رفت. بسیاری از هکرها با استفاده از باگ هایی که در نسخه های قدیمی تر وردپرس وجود دارد اقدام به حمله به سایت های وردپرسی می کنند. آپدیت افزونه ها و پوسته ای که استفاده می کنید هم الزامی است. همیشه سعی کنید از افزونه هایی که با نسخه وردپرس شما سازگاری دارند استفاده کنید.
۴٫اعمال محدودیت در تعداد دفعات ورود به مدیریت سایت
در حالت عادی ورپرس محدودیتی برای تعداد وارد کردن پسوردهای اشتباه ندارد. هکرها با استفاده از این نقطه ضعف می توانند به تعداد بسیار بالایی پسوردهای مختلف را برای ورود به مدیریت وردپرس شما امتحان می کنند. در این روش که brute force نام دارد فرد مهاجم پسورد های مختلفی را برای ورود به مدیریت وب سایت امتحان می کند تا زمانی که به رمز مورد نظر دست یابد. برای جلوگیری از این کار می توانید از افزونه Limit Login Attempts جهت اعمال محدودیت در تعداد لاگین های اشتباه استفاده کنید. با استفاده از این افزونه می توانید تعیین کنید هر نام کاربری مجاز به چند بار تلاش برای ورود به بخش مدیریت سایت باشد. به عنوان مثال بعد از ۵ بار تلاش برای ورود و وارد کردن مکرر رمز های اشتباه، کاربر دیگر قادر نخواهد بود صفحه لاگین را ببیند.
۵٫غیر فعال کردن ویرایش فایل در ویرایشگر وردپرس
اگر به هر دلیلی فرد مورد نظر توانست به کنترل پنل مدیریت وردپرس شما دسترسی پیدا کند می تواند با ویرایش صفحات سایت شما از طریق ویرایشگر فایل های وردپرس کدهای مورد نظر خودش را اجرا کند و چه بسا ممکن است به سایت شما لطمه بزرگی وارد کند. برای جلوگیری از این کار شما باید وارد فایل wp-config.php شوید و کد زیر را در آن قرار دهید.
define( ‘DISALLOW_FILE_EDIT’, true );
با این کار ویرایش فایل های شما از طریق ویرایشگر وردپرس غیر فعال می شود.
۶٫پنهان کردن پیغام خطا در صفحه ورود وردپرس
زمانی که رمز عبور نا صحیح برای نام کاربری در صفحه لاگین وردپرس وارد می شود پیغام خطایی مبنی بر اینکه رمز وارد شده برای فلان نام کاربری اشتباه است ظاهر می شود. با ظاهر شدن این پیام فرد مورد نظر امیدوار می شود و می داند که یوزر را درست حدس زده است. ولی اگر این پیغام برای او نمایش داده نشود نمی تواند بفهمد یوزر را صحیح وارد کرده است یا نه! برای جلوگیری از نمایش این پیغام باید کد زیر را در فایل Functions.php قرار دهید که دیگر پیغامی جهت اشتباهی رمز عبور نمایش داده نشود.
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
۷٫محافظت از فایل wp-config.php
همانطور که می دانید فایل wp-config.php فایل بسیار مهم و محرمانه ای است که اطلاعات دیتابیس وردپرس شما در آن قرار دارد. برای ایمن سازی این فایل راه های زیادی وجود دارد که یکی از این راه ها محافظت از این فایل از طریق فایل .htaccess است. برای این کار وارد کنترل پنل هاستینگ خود و وارد فایل .htaccess شوید و در انتهای آن جایی که دیگر کدی وجود ندارد کد زیر را قرار دهید.
<Files wp-config.php>
order allow,deny
deny from all
</Files>
همچنین می توانید فایل wp-config.php را وارد یک فولدر دیگری در public_html هاست خود کنید. نگران نباشید وردپرس به صورت خودکار قادر به تشخیص محل فایل wp-config.php شما است و برای سایت شما مشکلی پیش نخواهد آمد.
۸٫غیر فعال کردن دیدن دایرکتوری وب سایت توسط کاربران
به طور پیش فرض در تمام هاستینگ ها مرور دایرکتوری وب سایت برای تمام افراد باز است. به طور مثال کسی که وارد آدرس hamyareweb.co/images شود می تواند تمام عکس های سایت را ببیند. و همچنین اگر به آدرس های دیگر مراجعه کند می تواند به دیگر فایل های سایت دسترسی داشته باشد. برای جلوگیری از این کار باید وارد فایل .htaccess شوید و کد Options -Indexes را درون آن قرار دهید.
۹٫تغییر نمایش نام عمومی
اگر نام نمایش خود را تغییر ندهید به راحتی با مطالبی که در سایت خود درج می کنید همه می توانند نام کاربری شما را بدانند. هکرها از این طریق بدون هیچ زحمتی می توانند یوزر نیم ورود به بخش مدیریت وردپرس شما را پیدا کنند. برای جلوگیری از بروز این مشکل می توانید از طریق قسمت ویرایش شناسنامه و وارد کردن نام و نام خانوادگی خود نام نمایشی خود را تغییر دهید. با این کار نام و نام خانوادگی شما در مطالب و جاهای دیگر سایت نمایش داده می شود.
۱۰٫استفاده از CAPTCHA
استفاده از CAPTCHA در قسمت های مختلف سایت خیلی می تواند به بالا بردن امنیت وب سایت وردپرسی شما کمک کند. سعی کنید در قسمت هایی مثل صفحه ورود به پنل مدیریتی وردپرس و قسمت درج نظرات و فرم عضویت در سایت از CAPTCHA استفاده کنید. با استفاده از افزونه Captcha by BestWebSoft می توانید در قسمت های مختلف سایت خود CAPTCHA قرار دهید.
سخن آخر این است که مواردی که در این مقاله برای افزایش امنیت در وردپرس به آنها اشاره کردم تعدادی از کارهایی است که جهت بالا بردن امنیت وردپرس خود می توان از آن ها استفاده کرد. ولی باید بدانید با همین موارد کوچکی که به آن اشاره کردم که برای انجام دادن آنها واقعا وقت زیادی را از شما نمی گیرد تا حدود بسیار بالایی می توانید امنیت وب سایت خود را بالا ببرید. امیدوارم از مقاله چگونه وب سایت وردپرسی خود را ایمن کنیم؟ استفاده کافی را برده باشید
