امنیت وردپرس

امنیت وردپرس

وردپرس پرکاربردترین سیستم مدیریت محتوای متن باز دنیا می باشد که برای راه اندازی هر نوع وب سایتی از آن استفاده می شود.

در این آموزش وردپرس شما راهکار ها و ترفند هایی را می آموزید که با آنها خواهید توانست در جهت افزایش امنیت وردپرس و بهینه سازی آن گام های موثری را بردارید.

نکته امنیتی ۱ : وردپرس را همیشه بروز نگه دارید

بروزرسانی وردپرس یکی از مهمترین و اصلی ترین بخش های این سیستم مدیریت محتوای متن باز می باشد. بروزرسانی های وردپرس شامل رفع باگ های امنیتی, اشکالات و افزودن ویژگی های جدید می شوند به طوری که پس از عرضه نسخه جدید وردپرس اکثر نویسندگان پوسته ها و افزونه های وردپرس اقدام به بروزرسانی و ارئه نسخه جدید افزونه یا قالب خود می کنند. همیشه بهترین نسخه وردپرس از لحاظ امنیت, آخرین نسخه آن می باشد پس بهتر است همیشه از آخرین نسخه وردپرس و همچنین قالب ها و افزونه ها استفاده کنید.
به این نکته هم توجه کنید که : اگر پوسته ها و افزونه هایی که قبلا استفاده می کردید با نسخه های جدید وردپرس کار نکردند به احتمال زیاد آنها آنقدر امن نیستند که بتوانند با نسخه جدید خود را سازگار کنند.

نکته امنیتی ۲ : کلید سری منحصر به فردی را در فایل wp-config.php قرار دهید.

تمام اطلاعات محرمانه سایت وردپرسی شما در فایل wp-config.php واقع در روت وردپرس ( جایی که وردپرس را نصب کرده اید ) ذخیره شده اند. کلید های سری ( Secret keys ) نیز جزء یکی از اطلاعات ذخیره شده در این فایل هستند. بنابراین مطمئن شوید که کلید های سری جدید را جایگزین کلید های سری پیشفرض کرده باشید.
در حالت پیشفرض کلید های سری واقع در فایل wp-config.php به صورت زیر هستند. با مراجعه به این لینک کلید های جدید را جایگزین آنها کنید.

/**#@+
 * Authentication Unique Keys.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
/**#@-*/

امنیتی ۴: از فایل wp-config.php محافظت کنید

همانطور که قبلا هم اشاره کردیم, فایل wp-config.php شامل تمام اطلاعات محرمانه سایت شما می باشد. پس بسیار مهم است که به هر قیمتی از آن محافظت کنیم. یکی از آسان ترین راه ها جهت حفاظت از این فایل قرار دادن کد زیر در .htaccess می باشد.

<Files wp-config.php>  
   order allow,deny  
   deny from all  
</Files>  

نکته امنیتی ۵: از فایل .htaccess محافظت کنید

ما در نکته امنیتی قبل با استفاده از .htaccess توانستیم از فایل wp-config.php محافظت کنیم اما برای حفاظت از خود .htaccess باید چه کار کنیم؟ نگران نباشید ما می توانیم از فایل .htaccess به عنوان محافظ خودش استفاده کنیم. تنها کافی است تا کد پایین را در فایل .htaccess قرار دهید.

<Files .htaccess> 
   order allow,deny 
   deny from all 
</Files>

نکته امنیتی ۶: نسخه وردپرس را حذف کنید

یکی از ایده های خوب دیگر جهت افزایش امنیت وردپرس حذف meta نسخه وردپرس از سایت شما می باشد. تگ متای generator نشان می دهد که شما از کدام یک از ورژن های وردپرس استفاده می کنید. اگر شما حالت نمایش نسخه وردپرس را فعال بگذارید هکر ها به راحتی کمبود های امنیتی سایت شما را خواهند دانست. اگر شما به هر دلیلی نمی توانید وردپرس خود را بروز کنید حداقل می توانید این واقعیت را که شما از آخرین ورژن وردپرس استفاده نمی کنید را از دید هکر ها پنهان کنید.

برای حذف نسخه وردپرس تنها کافی است کد زیر را در functions.php قالب فعلی خود قرار دهید.

remove_action('wp_head', 'wp_generator');

شما می توانید یک گام جلوتر بروید و با استفاده از کد زیر نسخه وردپرس را از خوارک وردپرس نیز حذف کنید.

function wpt_remove_version() {
return '';
}
add_filter('the_generator', 'wpt_remove_version');

کته امنیتی ۷: نصب افزونه اسکنر امنیتی وردپرس : Acunetix WP Security

افزونه Acunetix WP Security افزونه ای مفید جهت اسکن نصب وردپرس و ارائه پیشنهاداتی مطابق با آن به شما می باشد. این افزونه موارد زیر را چک می کند:

• رمز های عبور
• دسترسی به فایل ها (File Permissions)
• امنیت پایگاه داده (Database Security)
• حفاظت از مدیریت وردپرس

این افزونه را از اینجا دانلود کنید.

نکته امنیتی ۸: دفعات مجاز برای ورود های ناموفق را محدود کنید.

افزونه خوب login lockdown می تواند تعداد دفعات مجاز برای ورود های ناموفق (Failed Login Attempts) را محدود کند. این افزونه زمانی که شخصی به صورت دستی یا توسط یک ربات سعی در حدس رمز سایت شما دارد بسیار مفید خواهد بود.

نکته امنیتی ۹: جلوگیری از مرور دایرکتوری سایت شما توسط کاربران

کاربران با مرور دایرکتوری سایت شما می توانند به اکثر فایل های موجود در هاست شما دسترسی داشته باشند. به طور پیش فرض امکان مرور دایرکتوری روی اکثر هاست ها فعال می باشد که می تواند یک ریسک امنیتی بزرگ برای شما به حساب آید.
برای جلوگیری از مرور دایرکتوری سایت خود کافی است تا کد زیر را در فایل htaccess قرار دهید.

Options -Indexes

نکته امنیتی ۱۰: از عبارت “admin” به عنوان نام کاربری استفاده نکنید و رمز قوی برای نام کاربری خود انتخاب کنید.

وردپس به طور معمول حساب کاربری مدیریت سایت وردپرس شما را با نام “admin” ایجاد می کند. بنابراین admin اولین نام کاربری ای خواهد بود که هکر ها سعی در استفاده از آن خواهند داشت. از وردپرس ۳.۰ به بعد شما می توانید نام کاربری را در زمان نصب وردپرس تغییر دهید. پس در هنگام نصب وردپرس سعی در انتخاب نام کاربری ای بجز admin کنید.

به علاوه برای تمام کاربران سایت خود (همچنین پایگاه داده خود) رمز عبوری قوی انتخاب کنید. این کار می تواند تاثیر به سزایی در افزایش امنیت سایت شما بگذارد. از افزونه Strong Password Generator می توانید برای ساخت گذروازه هایی قوی استفاده کنید.

نکته امنیتی ۱۱: آخرین نکته امنیتی و اما نه کم اهمیت ترین, پشتیبان گیری از وردپرس می باشد.

آخرین نکته امنیتی در این آموزش پشتیبان گیری است اما گمان نکنید که اهمیت پشتیبان گیری کم است. پشتیبان گیری مرتب از سایت خود حس امنیت بیشتری نسبت به موارد بالا به شما می دهد. افزونه های زیادی برای وردپرس وجود دارند که عملیات پشتیان گیری از سایت شما را مدیریت می کنند.

چند نمونه افزونه رایگان برای پشتیبان گیری از وردپرس شامل موارد زیر می شوند:

• Backup WordPress
• WP DB Backup

بروزرسانی : هم اکنون می توانید آموزش کامل پیشتیبان گیری از وردپرس را در روکش بخوانید

دوره امنیت و حفاظت از وب سایت وردپرسی