بالا بردن امنیت سایت وردپرس
افزایش امنیت سایت وردپرس

هر کسب‌و‌کار سنتی یا آنلاین برای این‌که مسیر رشد و پیشرفت را طی کند، نیاز به مراقبت و امنیت دارد، بویژه کسب‌وکارهای آنلاین باید برای افزایش امنیت سایت وردپرس خود تلاش مضاعف داشته باشد.

همین‌طور که کسب‌و‌کارهای سنتی مثل فروشگاه‌ها یا مراکز خدماتی با نصب دوربین مدار بسته، گارد ریل، استخدام نگهبان و… ایجاد امنیت می‌کنند، در فضای مجازی هم کسب‌وکارها نیاز به انجام اقدامات امنیتی چون؛ افزایش امنیت سایت وردپرس خود دارند، تا بتوانند در مسیر رشد برندسازی و درآمدسازی گام بردارند.

ما در این مطلب ۶ترفند امنیتی سایت را برای مراقبت از کسب‌وکارهای آنلاین و افزایش امنیت سایت ارایه می‌دهیم و مطمئنیم با انجام این اقدامات یک سایت وردپرس با امنیت بالا خواهید داشت.

بدون شک شما که درحال مطالعه این صفحه هستید در صدد افزایش امنیت سایت وردپرس خود هستید، اما نگران سایت خود نباشید، چون پلتفرم سایت‌ساز وردپرس به خودی خود امن است و با اجرای ترفندهایی که در این مطلب گفته شده سایت فروشگاهی شما را بسیار قدرتمند و امن خواهد ساخت.

معرفی ۶ترفند امنیت سایت وردپرس

در این مطلب ۷ترفند برای افزایش امنیت سایت وردپرس به مسائل زیر می‌پردازیم، و بدون شک شما با انجام این ۹ ترفند امنیت سایت خود را افزایش خواهید داد.

  • تعیین نام کاربری و کلمه عبور خاص و غیرقابل تشخیص
  • معرفی استاندارترین افزونه‌های امنیتی وردپرس
  • آموزش جلوگیری از حملات هکرها ( بروت فورس)
  • امنیت پایگاه داده
  • امنیت فایل‌های وردپرس
  • پیکربندی فایروال
  • جلوگیری از هرزنامه یا اسپم

۱- تعیین نام کاربری و کلمه عبور خاص و غیرقابل تشخیص

۱- کلمه عبور انتخابی شما باید حداقل دارای ۸ کاراکتر باشد.

۲- برای نام کاربری و کلمه عبور سایت از نام خود و اعضای خانواده استفاده نکنید.

۳- برای نام کلمه عبور از لغت خاص و یا معکوس آن یا کلمات معنادار استفاده نکنید.

۴- برای هر اکانتی یک کلمه عبور جداگانه استفاده کنیدُ و از کلمه عبورهای قدیمی استفاده نکنید.

۵- کلمه رمز عبور باید ترکیبی از حروف، اعداد و کاراکترهای خاص (نمادها) تشکیل شود.

۶- از الگوهای خاص مثل؛ شماره ملی، شماره شناسنامه، شماره موبایل و اعداد 1 2 3 4 5 … استفاده نکنید.

۷- از کلمات عبور بمدت زیاد استفاده نکنید و طی دوره‌های یک‌ماهه، سه‌ماهه و … تغییر داده شوند.

۸- هرگز رمز عبور خود را در جای ناامن یادداشت نکن، بلکه آن را به حافظه بسپار یا در جای امن نگهداری کن.

چگونه یک کلمه عبور قوی بسازیم؟

من همیشه یک روش ساده برای ساختن رمز عبور دارم که هم دوستش دارم و از طرفی فراموشم نمی‌شود و مهم‌تر این‌که خیلی قوی و غیرقابل دسترس است‌، که عبارتست از:

  • مرحله اول: یک جمله‌ای که براتون مهم و دوست‌داشتنی است را بنویسید، مثلا:

keshvare iran az 85 melun nafar jameeat va 28 ostan tashkil shodeh ast 

  • مرحله دوم: حرف اول کلمات را کنار هم می‌نویسیم: kia85mnjv28otsha
  • مرحله سوم: به اول و آخر یا وسط آن، اعداد یا کاراکترهایی را اضافه نمایید به طور مثال #kia85mnjv28otsha@

با انجام مراحل بالا بدون شک شما یک پسورد امن و قدرتمند ایجاد کرده‌اید که احتمال خطای فراموشی آن بسیار کم می‌باشد.

از طریق سایت‌های زیر به امن بودن رمز عبورت مطمئن شوید!

پس از ساختن پسورد جدید به سایت های زیر، مراجعه تا میزان امنیت و قدرت پسوردتان و نیز مدت زمانی که طول می کشد تا پسورد مربوطه، توسط نرم افزارها و حملات Brute-force هک شود، را مشاهده نمایید.

https://howsecureismypassword.net/

http://www.roboform.com/how-secure-is-my-password

بهترین افزونه امنیت سایت

۲- معرفی استاندارترین افزونه‌ امنیتی وردپرس

بهترین افزونه امنیتی وردپرس – All in one WordPress Security

All In One WP Security یک افزونه امنیتی تمام عیار است که می‌تواند همه بخش‌های وبسایت شما را تحت پوشش خود قرار دهد. موضوع جالب درباره این افزونه، این است که کاملا رایگان است و به هیچ عنوان سرعت سایت وردپرسی شما را کاهش نمی‌دهد!

علت انتخاب افزونه All in one WordPress Security، بخاطر امکانات گسترده و خفن این افزونه است که مهم‌ترین امکانات آن عبارتست از:

امنیت حساب کاربری

یکی از مشکلات وردپرس نام کاربری یکسان برای کاربران سایت است، که احتمال هک شدن سایت تا 50% افزایش می‌یابد.

با افزونه All In One WP Security می‌توانید نام کاربری پیش فرض ” ADMIN” وردپرس را تغییر دهید، و نامی دلخواه برای خود انتخاب کنید. در ضمن این افزونه می‌تواند میزان قدرت رمز عبور شما را تعیین کند.

امنیت ورود کاربران

با قابلیت Login Lockdown این افزونه می‌توانید از حملات ورود به سیستم جلوگیری کنید. با استفاده از تنظیمات پیکربندی می‌توانید تعیین کنید که کاربران با چه IP حق ورود به وبسایت شما را دارند. اگر شخصی یا رباتی برای ورود به سیستم تلاش‌های زیادی انجام دهد، توسط افزونه All In One WP Security بلاک یا قفل خواهد شد.

امنیت ثبت ‌نام کاربر

یکی از قابلیت‌های افزونه All In One WP Security تایید دستی حساب‌های کاربری است. با فعال کردن این قابلیت می‌توانید به صورت دستی تمامی ثبت نامی‌ها را بررسی کنید تا از ثبت نام حساب‌های کاربری هرزنامه یا ساختگی جلوگیری کنید.
می‌توانید قابلیت Honeypot را فعال کنید تا از ثبت نام ربات‌ها جلوگیری کنید.

امنیت پایگاه داده

با استفاده از افزونه All In One WP Security می‌توانید پیشوند wp را به هر پیشوند دلخواه دیگری تغییر دهید. همچنین می‌توانید با یک کلیک از تمامی داده‌های دیتابیس به صورت خودکار پشتیبانی گیری کنید.

امنیت فایل‌های وبسایت

می‌توانید با غیرفعال کردن ویرایش فایل‌ها از ناحیه مدیریت وردپرس، از کد PHP خود محافظت کنید.
افزونه All In One WP Security می‌تواند تمام گزارشات ارسالی از طرف هاست را دریافت کند و آن‌ها را در یک منو به شما نشان دهد.

با این کار شما می‌توانید به سرعت از وجود مشکل در سرور خود مطلع شوید و آن را رفع کنید.
با این افزونه می‌توانید از دسترسی افراد به فایل‌های readme.html، License.txt و wp-config-sample.php در سایت وردپرس خود جلوگیری کنید.

پشتیبان‌گیری و بازیابی فایل‌های ضروری وردپرس

با افزونه All In One WP Security می‌توانید به راحتی از فایل‌های HTACCESS و WP-CONFIG.PHP پشتیبان‌گیری کنید تا در صورت خرابی فایل‌ها، با بازیابی دوباره آن‌ها مشکل سایت خود را رفع کنید.
همچنین می‌توانید محتویات فایل‌های فعال WP-CONFIG.PHP و HTACCESS را از طریق داشبورد مدیریت کنید.

بهبود عملکرد فایروال

این افزونه به شما این امکان را می‌دهد که به راحتی از طریق فایل htaccess. حفاظت فایروال زیادی را به سایت خود اضافه کنید. یک فایل htaccess قبل از هر کد دیگری در سایت شما توسط وب سرور پردازش خواهد شد. بنابراین فایروال قبل از اینکه اطلاعات سایت شما به سرقت برود، کدها یا اسکریپت‌های مخرب را متوقف می‌کند. به طور کلی افزونه All In One WP Security موارد زیر را در فایروال شما بهبود می‌بخشد:

  • فعال کردن مرکز کنترل دسترسی.
  • فعال شدن سریع انتخاب تنظیمات فایروال اعم از پایه، متوسط و پیشرفته.
  • ممنوع کردن فرستادن دیدگاه از راه پراکسی.
  • قفل کردن دسترسی به پرونده‌ی  Debug Log
  • از کار انداختن ردیابی و رهگیری.
  • جلوگیری از کدهای مخرب..
  • ویژگی حفاظت از آسیب پذیری PingBack وردپرس.
  • امکان جلوگیری از خزیدن ربات‌های جعلی گوگل در سایت شما.
  • امکان جلوگیری از هات لینک شدن تصاویر. با این کار وبسایت‌های دیگر نمی‌توانند به طور مستقیم به تصاویر سایت شما لینک دهند.
  • امکان اضافه کردن قوانین سفارشی برای مسدود کردن دسترسی به منابع مختلف سایت

جلوگیری از حملات BRUTE FORCE

حملات بروت فورس، حملاتی هستند که به منظور دستیابی به رمز ورود شما صورت می‌گیرند.

  • می‌توانید با فعال کردن گزینه پیشگیری از حملات بروت فورس در افزونه All In One WP Security از هک شدن جلوگیری کنید. در واقع این قابلیت بر پایه کوکی‌های سایت شما کار می‌کند و مانع از ورود ربات‌ها به سایت شما می‌شود.
  • امکان افزودن یک کپچای ساده ریاضی به فرم ورود به وردپرس برای مبارزه با حملاتbrute force.
  • امکان مخفی کردن صفحه ورود ادمین. آدرس صفحه ورود به وردپرس خود را تغییر نام دهید تا ربات‌ها و هکرها نتوانند به URL ورودی وردپرس شما دسترسی پیدا کنند.
  • این ویژگی به شما امکان می‌دهد صفحه ورود پیش فرض (wp-login.php) را به چیزی که دوست دارید، تغییر دهید.
  • امکان استفاده از Login Honeypot که به کاهش تلاش‌های brute force برای ورود به سیستم توسط ربات‌ها کمک می‌کند.

امنیت در برابر ارسال نظرات اسپم

فعال‌ترین آدرس‌های IP را که دائماً بیشترین نظرات هرزنامه را تولید می‌کنند نظارت کنید و فورا آنها را با کلیک یک کلیک مسدود کنید.

یک کپچا به فرم نظر وردپرس خود اضافه کنید تا امنیت در برابر هرزنامه نظرات را افزایش دهید.

جلوگیری از کپی محتوای سایت

امکان غیرفعال کردن کلیک راست، انتخاب متن و گزینه کپی برای سایت شما. در واقع با این کار از به سرقت رفتن محتواهای تولید شده جلوگیری خواهید کرد.

پشتیبانی از بیشتر زبان‌ها

یکی دیگر از مزیت‌های افزونه All In One WP Security پشتیبانی از زبان فارسی است. این افزونه از زبان‌های زیر پشتیبانی می‌کند:

  • فارسی
  • انگلیسی
  • آلمانی
  • اسپانیایی
  • فرانسوی
  • مجاری
  • ایتالیایی
  • سوئدی
  • روسی
  • چینی
  • پرتغالی
  • برزیلی

۳- آموزش جلوگیری از حملات هکرها ( بروت فورس)

حملات Brute Force برای هک‌کردن سیستم رمزگذاری شده با رمز عبور یا سرور یا نرم افزار یا برنامه های کاربردی سازمان‌دهی می‌شوند.
در این نوع حمله فرد مهاجم بدون اجازه کاربر یا سرپرست به اطلاعات حساس دسترسی پیدا می‌کند.
این حملات توسط هکرهای کلاه سیاهی انجام می‌شود که می‌خواهند از داده‌های سرقت شده سوء استفاده کنند.
برای جلوگیری  بهتر است سیستم خود را ایمن کنید و یا از هکر کلاه سفید برای ایمن کردن آن کمک بگیرید.

بنابرین بهترین راه مبازره با این گونه حملات این است که عیب های سیستم خود را پیدا کنید، مثلا:

  • برای امنیت بیشتر سایت می‌توانید از هکرهای کلاه سفید استفاده کنید.
  • دومین گام امنیت‌سازی سایت، اینست که رمزهای عبور و پسوردهای قوی و غیر قابل حدس بسازید.
  • محدود کردن تعداد خطای ورود کاربران به پروفایل سایت (۳بار) اگر تعداد تلاش‌ها برای ورود به سیستم از حد مجاز عبور کند؛ سیستم به صورت خودکار مسدود می شود.

۴- امنیت پایگاه داده

یکی از مهم ترین بخش های هر وب سایتی، پایگاه داده آن می باشد. در واقع پایگاه داده فضایی است که تمامی اطلاعات مهم یک وب سایت مانند: پست ها، صفحات، کاربران و … در آن ذخیره می شود.

به دلیل اهمیت این بخش، اغلب توسط هکرها مورد نفوذ قرار می گیرد. بنابراین اگر می خواهید سایت خود را ایمن کنید، بهترین روش افزایش امنیت پایگاه داده وردپرس و بهینه سازی پایگاه داده وردپرس می باشد.

1- نام کاربری (Admin) خود را تغییر دهید

2- تغییر ID مدیر

3- پیشوند پایگاه داده را تغییر دهید.

4- محدود کردن امتیازات کاربر دیتابیس

5- از سایت خود پشتیبان تهیه کنید

6- جداول سفارشی را حذف کنید

wp-config.php امنیت فایل های وردپرس با فایل

۵- امنیت فایل‌های وردپرس

یکی از فایل های بسیار مهم و کاربردی در روت وردپرس فایل wp-config.php است. حفظ امنیت سایت در مقابل هک مساله بسیار مهمی است.

یکی از راه های افزایش امنیت سایت وردپرسی در مقابل هکرها استفاده از فایل wp-config.php است. در این قسمت طرز محافظت از این فایل را بطور مختصر ارایه می‌دهم.

  • یک روش این است که با افزایش امنیت فایل wp-config.php از سایت خود محافظت کنید.
  • روش دیگری که برای افزایش امنیت وردپرس وجود دارد تغییر در فایل wp-config است.

افزایش امنیت فایل wp-config
✔️ انتقال فایل wp-config به مکان دیگر
✔️ افزایش امنیت فایل wp-config.php از طریق فایل htaccess
✔️ تغییر فایل wp-config.php
✔️ تنظیم مجوزهای مناسب فایل wp-config.php
✔️ تغییر و ایجاد کلیدهای امنیتی
افزایش امنیت وردپرس با wp-config.php
✔️ اجبار به استفاده از FTPS برای انتقال فایل
✔️ تغییر پیشوند پایگاه داده
✔️ محدود کردن امکان ویرایش تم و پلاگین ها
✔️ فعال کردن خطایابی وردپرس با با فایل wp-config

با انجام همه این کارها، ما نحوه محافظت از سایت وردپرسی خودمونو با فایل wp-config.php یاد گرفتیم اما این راهکارها تنها بخش کوچکی از کارهایی هستند که با استفاده ازشون میتونید امنیت وردپرس رو ارتقا بدین.

چند اقدام دیگر امنیتی که عبارتند از:

  • استفاده از یک افزونه امنیتی وردپرس
  • استفاده از یک گواهینامه SSL وردپرس
  • استفاده از یک نام کاربری و رمز عبور منحصر به فرد و قوی
  • اجرای احراز هویت HTTP و احراز هویت دو مرحله‌ای در وردپرس
  • اما مهم‌تر از همه این موارد یک مسئله که خیلی اولویت بالایی داره ایجاد بک آپ در وردپرس هست که اگر زمانی با مشکلی امنیتی مواجه شدید که قادر به رفع اون نشدید بتونید با بازگردانی بک‌آپ در وردپرس به سادگی سایت خود را بدون هیچ مشکلی مجددا اجرا کنید.

۶- جلوگیری از هرزنامه یا اسپم

برای جلوگیری از ارسال نظرات اسپم در وردپرس ۲ راهکار وجود دارد:

  • مرور و بازبینی تنظیمات مربوط به دیدگاه‌ها
  • معرفی افزونه‌های وردپرسی ضد اسپم
گام اول: تایید خودکار نظرات در وردپرس

برای این کار ابتدا به مسیر تنظیمات> گفت و گوها در پیشخوان وردپرس می‌رویم، سپس مشابه تصویر زیر تیک گزینه نویسنده باید یک دیدگاه پذیرفته شده داشته باشد را فعال کنید.

با این کار هرگاه که کاربری با ایمیل خودش در سایت نظری ارسال می‌کند و شما آن نظر را تایید می‌کنید از این پس هرگاه که دیدگاهی در سایت ارسال کند بدون نیاز به تایید دیدگاه، نظر ارسالی از همون کاربر در سایت به طور خودکار تایید شده و منتشر خواهد شد.

جلوگیری از ارسال نظرات اسپم

بنابراین اولین گام مهم در استفاده از این امکان اینه تا به درستی یک دیدگاه را بررسی کنید و اگر کاربر مورد نظر را به عنوان اسپمر قلمداد نکردید دیدگاه اونو تایید کنید تا از این پس نظراتی که از سوی چنین کاربری ارسال میشه به صورت خودکار در سایت تایید شد و نمایش داده شود.

گام دوم: بررسی محتوای نظرات

همونطور که در تصویر بالا مشاهده می‌کنید دومین قابلیتی که در اختیار شما قرار داره اینست که می‌توانید تا با استفاده از گزینه بررسی دیدگاه تعیین کنید تا:

  • اگر در دیدگاهی بیش از n تعداد لینک وجود داشت دیدگاه مورد نظر تایید نشده و در صف بررسی قرار بگیرد تا به صورت دستی اقدام به تایید آن دیدگاه در وردپرس کنید.

به طور مثال اگر تعیین کرده باشید که در محتوای یک دیدگاه 1 لینک وجود داشته باشه بنابراین اون دیدگاه دیگه به صورت خودکار تایید نشده و باید به صورت دستی بعد از بررسی آن تایید کنید.

  • هنگامی که محتوای خاصی در فرم نام، ایمیل و یا محتوای دیدگاه وجود داشت که شامل موارد انتخاب شده بود دیدگاه در صف بررسی قرار بگیره.

با استفاده از این قابلیت کافیه تا مشابه تصویر بالا در فیلدی که در هر خط چند عبارت هاست، خرید، سایت، آموزش قرار داده شده‌اند شما هم هر کلماتی که بسته به موضوع سایت فکر می‌کنید تا برخی افراد برای ارسال دیدگاه‌های اسپم به کار ببرند را وارد کنید تا اگر چنین محتوایی در دیدگاه بود تایید نشده و در صف بررسی قرار بگیرد.

گام سوم: لیست سیاه در دیدگاه‌های وردپرس

لیست سیاه هم این امکان را به شما می‌دهد تا در صورتی‌که واژه‌ای در یک دیدگاه وجود داشت آن دیدگاه به عنوان جفنگ تلقی شده و از این پس هرگاه کاربری که با آن ایمیل در سایت اقدام به ارسال دیدگاه کرد به صورت دائمی دیدگاه‌های ارسال شده از سوی وی به پوشه جفنگ‌ها در وردپرس منتقل شوند. برای این کار کافیه تا آدرس ایمیل، آدرس سایت، کلمات مورد نظر و… را در فیلد سیاه‌نامه‌ی دیدگاه‌ها مشابه تصویر زیر وارد کنید.

لیست سیاه نظر کاربران

راهکار دوم: استفاده از افزونه اکیسمت

بعد از نصب وردپرس و مراجعه به قسمت افزونه‌ها حتما به افزونه‌ای با نام اکیسمت برخورد کردید که به صورت پیش‌فرض در وردپرس نصب شده است. این افزونه توسط تیم وردپرس طراحی شده و به صورت پیشفرض هم در سایت نصب شده و تنها کاری که بعد از نصب وردپرس باید انجام بدین اینه تا اونو فعال کرده و ازش استفاده کنید. افزونه Akismet وردپرس یکی از بهترین راهکارها برای جلوگیری از ارسال نظرات اسپم در وردپرس هستش که به صورت خودکار میتونه تا دیدگاه‌های جفنگ را شناسایی کرده و از ارسال چنین دیدگاه‌هایی جلوگیری کند.

این مطلب بخاطر درخواست بعضی دوستان که در مورد افزایش امنیت سایت وردپرس خود احساس نیاز داشتن را تهیه کردم.
امیدوارم که این آموزش افزایش امنیت سایت وردپرس مورد توجه و پسند شما دوستان عزیز قرار گرفته باشد و با استفاده از این آموزش افزایش امنیت سایت وردپرس توانسته باشید با معرفی راهکارهایی که ارائه کردم از شر نظرات اسپم و کاربرانی که اقدام به ارسال دیدگاه‌های جفنگ در وردپرس می‌کنند خلاص شوید.
اگر در مورد همین مطلب یا مطالب دیگری در زمینه سایت و سئوی سایت سوالی داشتید در قسمت نظریات همین مطلب برام بنویسید تا جواب آن را بطور شخصی یا در قالب یک محتوا ارائه دهم.

ابراهیم اسدی؛ مشاور بازاریابی و توسعه‌دهنده کسب‌وکارهای آنلاین

ابراهیم ایدی مشاور بازاریابی