۶ترفند افزایش امنیت سایت وردپرس در برابر هکرها
هر کسبوکار سنتی یا آنلاین برای اینکه مسیر رشد و پیشرفت را طی کند، نیاز به مراقبت و امنیت دارد، بویژه کسبوکارهای آنلاین باید برای افزایش امنیت سایت وردپرس خود تلاش مضاعف داشته باشد.
همینطور که کسبوکارهای سنتی مثل فروشگاهها یا مراکز خدماتی با نصب دوربین مدار بسته، گارد ریل، استخدام نگهبان و… ایجاد امنیت میکنند، در فضای مجازی هم کسبوکارها نیاز به انجام اقدامات امنیتی چون؛ افزایش امنیت سایت وردپرس خود دارند، تا بتوانند در مسیر رشد برندسازی و درآمدسازی گام بردارند.
ما در این مطلب ۶ترفند امنیتی سایت را برای مراقبت از کسبوکارهای آنلاین و افزایش امنیت سایت ارایه میدهیم و مطمئنیم با انجام این اقدامات یک سایت وردپرس با امنیت بالا خواهید داشت.
بدون شک شما که درحال مطالعه این صفحه هستید در صدد افزایش امنیت سایت وردپرس خود هستید، اما نگران سایت خود نباشید، چون پلتفرم سایتساز وردپرس به خودی خود امن است و با اجرای ترفندهایی که در این مطلب گفته شده سایت فروشگاهی شما را بسیار قدرتمند و امن خواهد ساخت.
برای مطالعه بیشتر: چرا کسبوکارها باید وبسایت داشته باشند؟
معرفی ۶ترفند امنیت سایت وردپرس
در این مطلب 6ترفند برای افزایش امنیت سایت وردپرس به مسائل زیر میپردازیم، و بدون شک شما با انجام این 6 ترفند امنیت سایت خود را افزایش خواهید داد.
- تعیین نام کاربری و کلمه عبور خاص و غیرقابل تشخیص
- معرفی استاندارترین افزونههای امنیتی وردپرس
- آموزش جلوگیری از حملات هکرها ( بروت فورس)
- امنیت پایگاه داده
- امنیت فایلهای وردپرس
- پیکربندی فایروال
- جلوگیری از هرزنامه یا اسپم
۱- تعیین نام کاربری و کلمه عبور خاص و غیرقابل تشخیص
۱- کلمه عبور انتخابی شما باید حداقل دارای ۸ کاراکتر باشد.
۲- برای نام کاربری و کلمه عبور سایت از نام خود و اعضای خانواده استفاده نکنید.
۳- برای نام کلمه عبور از لغت خاص و یا معکوس آن یا کلمات معنادار استفاده نکنید.
۴- برای هر اکانتی یک کلمه عبور جداگانه استفاده کنیدُ و از کلمه عبورهای قدیمی استفاده نکنید.
۵- کلمه رمز عبور باید ترکیبی از حروف، اعداد و کاراکترهای خاص (نمادها) تشکیل شود.
۶- از الگوهای خاص مثل؛ شماره ملی، شماره شناسنامه، شماره موبایل و اعداد 1 2 3 4 5 … استفاده نکنید.
۷- از کلمات عبور بمدت زیاد استفاده نکنید و طی دورههای یکماهه، سهماهه و … تغییر داده شوند.
۸- هرگز رمز عبور خود را در جای ناامن یادداشت نکن، بلکه آن را به حافظه بسپار یا در جای امن نگهداری کن.
چگونه یک کلمه عبور قوی بسازیم؟
من همیشه یک روش ساده برای ساختن رمز عبور دارم که هم دوستش دارم و از طرفی فراموشم نمیشود و مهمتر اینکه خیلی قوی و غیرقابل دسترس است، که عبارتست از:
- مرحله اول: یک جملهای که براتون مهم و دوستداشتنی است را بنویسید، مثلا:
keshvare iran az 85 melun nafar jameeat va 28 ostan tashkil shodeh ast
- مرحله دوم: حرف اول کلمات را کنار هم مینویسیم: kia85mnjv28otsha
- مرحله سوم: به اول و آخر یا وسط آن، اعداد یا کاراکترهایی را اضافه نمایید به طور مثال #kia85mnjv28otsha@
با انجام مراحل بالا بدون شک شما یک پسورد امن و قدرتمند ایجاد کردهاید که احتمال خطای فراموشی آن بسیار کم میباشد.
از طریق سایتهای زیر به امن بودن رمز عبورت مطمئن شوید!
پس از ساختن پسورد جدید به سایت های زیر، مراجعه تا میزان امنیت و قدرت پسوردتان و نیز مدت زمانی که طول می کشد تا پسورد مربوطه، توسط نرم افزارها و حملات Brute-force هک شود، را مشاهده نمایید.
۲- معرفی استاندارترین افزونه امنیتی وردپرس
بهترین افزونه امنیتی وردپرس – All in one WordPress Security
All In One WP Security یک افزونه امنیتی تمام عیار است که میتواند همه بخشهای وبسایت شما را تحت پوشش خود قرار دهد. موضوع جالب درباره این افزونه، این است که کاملا رایگان است و به هیچ عنوان سرعت سایت وردپرسی شما را کاهش نمیدهد!
علت انتخاب افزونه All in one WordPress Security، بخاطر امکانات گسترده و خفن این افزونه است که مهمترین امکانات آن عبارتست از:
امنیت حساب کاربری
یکی از مشکلات وردپرس نام کاربری یکسان برای کاربران سایت است، که احتمال هک شدن سایت تا 50% افزایش مییابد.
با افزونه All In One WP Security میتوانید نام کاربری پیش فرض ” ADMIN” وردپرس را تغییر دهید، و نامی دلخواه برای خود انتخاب کنید. در ضمن این افزونه میتواند میزان قدرت رمز عبور شما را تعیین کند.
امنیت ورود کاربران
با قابلیت Login Lockdown این افزونه میتوانید از حملات ورود به سیستم جلوگیری کنید. با استفاده از تنظیمات پیکربندی میتوانید تعیین کنید که کاربران با چه IP حق ورود به وبسایت شما را دارند. اگر شخصی یا رباتی برای ورود به سیستم تلاشهای زیادی انجام دهد، توسط افزونه All In One WP Security بلاک یا قفل خواهد شد.
امنیت ثبت نام کاربر
یکی از قابلیتهای افزونه All In One WP Security تایید دستی حسابهای کاربری است. با فعال کردن این قابلیت میتوانید به صورت دستی تمامی ثبت نامیها را بررسی کنید تا از ثبت نام حسابهای کاربری هرزنامه یا ساختگی جلوگیری کنید.
میتوانید قابلیت Honeypot را فعال کنید تا از ثبت نام رباتها جلوگیری کنید.
امنیت پایگاه داده
با استفاده از افزونه All In One WP Security میتوانید پیشوند wp را به هر پیشوند دلخواه دیگری تغییر دهید. همچنین میتوانید با یک کلیک از تمامی دادههای دیتابیس به صورت خودکار پشتیبانی گیری کنید.
امنیت فایلهای وبسایت
میتوانید با غیرفعال کردن ویرایش فایلها از ناحیه مدیریت وردپرس، از کد PHP خود محافظت کنید.
افزونه All In One WP Security میتواند تمام گزارشات ارسالی از طرف هاست را دریافت کند و آنها را در یک منو به شما نشان دهد.
با این کار شما میتوانید به سرعت از وجود مشکل در سرور خود مطلع شوید و آن را رفع کنید.
با این افزونه میتوانید از دسترسی افراد به فایلهای readme.html، License.txt و wp-config-sample.php در سایت وردپرس خود جلوگیری کنید.
پشتیبانگیری و بازیابی فایلهای ضروری وردپرس
با افزونه All In One WP Security میتوانید به راحتی از فایلهای HTACCESS و WP-CONFIG.PHP پشتیبانگیری کنید تا در صورت خرابی فایلها، با بازیابی دوباره آنها مشکل سایت خود را رفع کنید.
همچنین میتوانید محتویات فایلهای فعال WP-CONFIG.PHP و HTACCESS را از طریق داشبورد مدیریت کنید.
بهبود عملکرد فایروال
این افزونه به شما این امکان را میدهد که به راحتی از طریق فایل htaccess. حفاظت فایروال زیادی را به سایت خود اضافه کنید. یک فایل htaccess قبل از هر کد دیگری در سایت شما توسط وب سرور پردازش خواهد شد. بنابراین فایروال قبل از اینکه اطلاعات سایت شما به سرقت برود، کدها یا اسکریپتهای مخرب را متوقف میکند. به طور کلی افزونه All In One WP Security موارد زیر را در فایروال شما بهبود میبخشد:
- فعال کردن مرکز کنترل دسترسی.
- فعال شدن سریع انتخاب تنظیمات فایروال اعم از پایه، متوسط و پیشرفته.
- ممنوع کردن فرستادن دیدگاه از راه پراکسی.
- قفل کردن دسترسی به پروندهی Debug Log
- از کار انداختن ردیابی و رهگیری.
- جلوگیری از کدهای مخرب..
- ویژگی حفاظت از آسیب پذیری PingBack وردپرس.
- امکان جلوگیری از خزیدن رباتهای جعلی گوگل در سایت شما.
- امکان جلوگیری از هات لینک شدن تصاویر. با این کار وبسایتهای دیگر نمیتوانند به طور مستقیم به تصاویر سایت شما لینک دهند.
- امکان اضافه کردن قوانین سفارشی برای مسدود کردن دسترسی به منابع مختلف سایت
جلوگیری از حملات BRUTE FORCE
حملات بروت فورس، حملاتی هستند که به منظور دستیابی به رمز ورود شما صورت میگیرند.
- میتوانید با فعال کردن گزینه پیشگیری از حملات بروت فورس در افزونه All In One WP Security از هک شدن جلوگیری کنید. در واقع این قابلیت بر پایه کوکیهای سایت شما کار میکند و مانع از ورود رباتها به سایت شما میشود.
- امکان افزودن یک کپچای ساده ریاضی به فرم ورود به وردپرس برای مبارزه با حملاتbrute force.
- امکان مخفی کردن صفحه ورود ادمین. آدرس صفحه ورود به وردپرس خود را تغییر نام دهید تا رباتها و هکرها نتوانند به URL ورودی وردپرس شما دسترسی پیدا کنند.
- این ویژگی به شما امکان میدهد صفحه ورود پیش فرض (wp-login.php) را به چیزی که دوست دارید، تغییر دهید.
- امکان استفاده از Login Honeypot که به کاهش تلاشهای brute force برای ورود به سیستم توسط رباتها کمک میکند.
امنیت در برابر ارسال نظرات اسپم
فعالترین آدرسهای IP را که دائماً بیشترین نظرات هرزنامه را تولید میکنند نظارت کنید و فورا آنها را با کلیک یک کلیک مسدود کنید.
یک کپچا به فرم نظر وردپرس خود اضافه کنید تا امنیت در برابر هرزنامه نظرات را افزایش دهید.
جلوگیری از کپی محتوای سایت
امکان غیرفعال کردن کلیک راست، انتخاب متن و گزینه کپی برای سایت شما. در واقع با این کار از به سرقت رفتن محتواهای تولید شده جلوگیری خواهید کرد.
پشتیبانی از بیشتر زبانها
یکی دیگر از مزیتهای افزونه All In One WP Security پشتیبانی از زبان فارسی است. این افزونه از زبانهای زیر پشتیبانی میکند:
- فارسی
- انگلیسی
- آلمانی
- اسپانیایی
- فرانسوی
- مجاری
- ایتالیایی
- سوئدی
- روسی
- چینی
- پرتغالی
- برزیلی
۳- آموزش جلوگیری از حملات هکرها ( بروت فورس)
حملات Brute Force برای هککردن سیستم رمزگذاری شده با رمز عبور یا سرور یا نرم افزار یا برنامه های کاربردی سازماندهی میشوند.
در این نوع حمله فرد مهاجم بدون اجازه کاربر یا سرپرست به اطلاعات حساس دسترسی پیدا میکند.
این حملات توسط هکرهای کلاه سیاهی انجام میشود که میخواهند از دادههای سرقت شده سوء استفاده کنند.
برای جلوگیری بهتر است سیستم خود را ایمن کنید و یا از هکر کلاه سفید برای ایمن کردن آن کمک بگیرید.
بنابرین بهترین راه مبازره با این گونه حملات این است که عیب های سیستم خود را پیدا کنید، مثلا:
- برای امنیت بیشتر سایت میتوانید از هکرهای کلاه سفید استفاده کنید.
- دومین گام امنیتسازی سایت، اینست که رمزهای عبور و پسوردهای قوی و غیر قابل حدس بسازید.
- محدود کردن تعداد خطای ورود کاربران به پروفایل سایت (۳بار) اگر تعداد تلاشها برای ورود به سیستم از حد مجاز عبور کند؛ سیستم به صورت خودکار مسدود می شود.
۴- امنیت پایگاه داده
یکی از مهم ترین بخش های هر وب سایتی، پایگاه داده آن می باشد. در واقع پایگاه داده فضایی است که تمامی اطلاعات مهم یک وب سایت مانند: پست ها، صفحات، کاربران و … در آن ذخیره می شود.
به دلیل اهمیت این بخش، اغلب توسط هکرها مورد نفوذ قرار می گیرد. بنابراین اگر می خواهید سایت خود را ایمن کنید، بهترین روش افزایش امنیت پایگاه داده وردپرس و بهینه سازی پایگاه داده وردپرس می باشد.
1- نام کاربری (Admin) خود را تغییر دهید
2- تغییر ID مدیر
3- پیشوند پایگاه داده را تغییر دهید.
4- محدود کردن امتیازات کاربر دیتابیس
5- از سایت خود پشتیبان تهیه کنید
6- جداول سفارشی را حذف کنید
۵- امنیت فایلهای وردپرس
یکی از فایل های بسیار مهم و کاربردی در روت وردپرس فایل wp-config.php است. حفظ امنیت سایت در مقابل هک مساله بسیار مهمی است.
یکی از راه های افزایش امنیت سایت وردپرسی در مقابل هکرها استفاده از فایل wp-config.php است. در این قسمت طرز محافظت از این فایل را بطور مختصر ارایه میدهم.
- یک روش این است که با افزایش امنیت فایل wp-config.php از سایت خود محافظت کنید.
- روش دیگری که برای افزایش امنیت وردپرس وجود دارد تغییر در فایل wp-config است.
افزایش امنیت فایل wp-config
✔️ انتقال فایل wp-config به مکان دیگر
✔️ افزایش امنیت فایل wp-config.php از طریق فایل htaccess
✔️ تغییر فایل wp-config.php
✔️ تنظیم مجوزهای مناسب فایل wp-config.php
✔️ تغییر و ایجاد کلیدهای امنیتی
افزایش امنیت وردپرس با wp-config.php
✔️ اجبار به استفاده از FTPS برای انتقال فایل
✔️ تغییر پیشوند پایگاه داده
✔️ محدود کردن امکان ویرایش تم و پلاگین ها
✔️ فعال کردن خطایابی وردپرس با با فایل wp-config
با انجام همه این کارها، ما نحوه محافظت از سایت وردپرسی خودمونو با فایل wp-config.php یاد گرفتیم اما این راهکارها تنها بخش کوچکی از کارهایی هستند که با استفاده ازشون میتونید امنیت وردپرس رو ارتقا بدین.
چند اقدام دیگر امنیتی که عبارتند از:
- استفاده از یک افزونه امنیتی وردپرس
- استفاده از یک گواهینامه SSL وردپرس
- استفاده از یک نام کاربری و رمز عبور منحصر به فرد و قوی
- اجرای احراز هویت HTTP و احراز هویت دو مرحلهای در وردپرس
- اما مهمتر از همه این موارد یک مسئله که خیلی اولویت بالایی داره ایجاد بک آپ در وردپرس هست که اگر زمانی با مشکلی امنیتی مواجه شدید که قادر به رفع اون نشدید بتونید با بازگردانی بکآپ در وردپرس به سادگی سایت خود را بدون هیچ مشکلی مجددا اجرا کنید.
۶- جلوگیری از هرزنامه یا اسپم
برای جلوگیری از ارسال نظرات اسپم در وردپرس ۲ راهکار وجود دارد:
- مرور و بازبینی تنظیمات مربوط به دیدگاهها
- معرفی افزونههای وردپرسی ضد اسپم
گام اول: تایید خودکار نظرات در وردپرس
برای این کار ابتدا به مسیر تنظیمات> گفت و گوها در پیشخوان وردپرس میرویم، سپس مشابه تصویر زیر تیک گزینه نویسنده باید یک دیدگاه پذیرفته شده داشته باشد را فعال کنید.
با این کار هرگاه که کاربری با ایمیل خودش در سایت نظری ارسال میکند و شما آن نظر را تایید میکنید از این پس هرگاه که دیدگاهی در سایت ارسال کند بدون نیاز به تایید دیدگاه، نظر ارسالی از همون کاربر در سایت به طور خودکار تایید شده و منتشر خواهد شد.
بنابراین اولین گام مهم در استفاده از این امکان اینه تا به درستی یک دیدگاه را بررسی کنید و اگر کاربر مورد نظر را به عنوان اسپمر قلمداد نکردید دیدگاه اونو تایید کنید تا از این پس نظراتی که از سوی چنین کاربری ارسال میشه به صورت خودکار در سایت تایید شد و نمایش داده شود.
گام دوم: بررسی محتوای نظرات
همونطور که در تصویر بالا مشاهده میکنید دومین قابلیتی که در اختیار شما قرار داره اینست که میتوانید تا با استفاده از گزینه بررسی دیدگاه تعیین کنید تا:
- اگر در دیدگاهی بیش از n تعداد لینک وجود داشت دیدگاه مورد نظر تایید نشده و در صف بررسی قرار بگیرد تا به صورت دستی اقدام به تایید آن دیدگاه در وردپرس کنید.
به طور مثال اگر تعیین کرده باشید که در محتوای یک دیدگاه 1 لینک وجود داشته باشه بنابراین اون دیدگاه دیگه به صورت خودکار تایید نشده و باید به صورت دستی بعد از بررسی آن تایید کنید.
- هنگامی که محتوای خاصی در فرم نام، ایمیل و یا محتوای دیدگاه وجود داشت که شامل موارد انتخاب شده بود دیدگاه در صف بررسی قرار بگیره.
با استفاده از این قابلیت کافیه تا مشابه تصویر بالا در فیلدی که در هر خط چند عبارت هاست، خرید، سایت، آموزش قرار داده شدهاند شما هم هر کلماتی که بسته به موضوع سایت فکر میکنید تا برخی افراد برای ارسال دیدگاههای اسپم به کار ببرند را وارد کنید تا اگر چنین محتوایی در دیدگاه بود تایید نشده و در صف بررسی قرار بگیرد.
گام سوم: لیست سیاه در دیدگاههای وردپرس
لیست سیاه هم این امکان را به شما میدهد تا در صورتیکه واژهای در یک دیدگاه وجود داشت آن دیدگاه به عنوان جفنگ تلقی شده و از این پس هرگاه کاربری که با آن ایمیل در سایت اقدام به ارسال دیدگاه کرد به صورت دائمی دیدگاههای ارسال شده از سوی وی به پوشه جفنگها در وردپرس منتقل شوند. برای این کار کافیه تا آدرس ایمیل، آدرس سایت، کلمات مورد نظر و… را در فیلد سیاهنامهی دیدگاهها مشابه تصویر زیر وارد کنید.
راهکار دوم: استفاده از افزونه اکیسمت
بعد از نصب وردپرس و مراجعه به قسمت افزونهها حتما به افزونهای با نام اکیسمت برخورد کردید که به صورت پیشفرض در وردپرس نصب شده است. این افزونه توسط تیم وردپرس طراحی شده و به صورت پیشفرض هم در سایت نصب شده و تنها کاری که بعد از نصب وردپرس باید انجام بدین اینه تا اونو فعال کرده و ازش استفاده کنید. افزونه Akismet وردپرس یکی از بهترین راهکارها برای جلوگیری از ارسال نظرات اسپم در وردپرس هستش که به صورت خودکار میتونه تا دیدگاههای جفنگ را شناسایی کرده و از ارسال چنین دیدگاههایی جلوگیری کند.
ابراهیم اسدی؛ مشاور بازاریابی و توسعهدهنده کسبوکارهای آنلاین
مطالب مرتبط
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.