14 روش حرفه ای برای افزایش امنیت وردپرس

امنیت یکی از مهمترین مواردی می باشد که وبسایت های مختلف شخصی ، فروشگاهی ، شرکتی و … باید تا حد بالایی دارای آن باشند. این امنیت دیتاهای مشتریان و بازدیدکنندگان شما را در مقابل هکر ها و دزدهای اینترنتی حفظ خواهد کرد. هکر ها به شدت در صدد دسترسی به دیتاهای مشتریان شما می باشند. آنها می خواهند اطلاعاتی شامل پسوورد ها ، ایمیل ها و شماره های تماس را بدست اورده و از آنها سو استفاده کنند. تخمین زده شده است که در سال 2021 بیش از 86 میلیارد بار ، حمله برای دزدی کلمات عبور صورت گرفته است و روزانه به طور متوسط 30 هزار وبسایت هک شده اند !

هکر ها از روش های مختلفی برای دسترسی به دیتاهای وبسایت ها استفاده می کنند . در قدم اول امنیت وبسایت ها بررسی شده و حفره های موجود پیگیری میشود . ذکر این نکته ضروری است که هکر ها برای هک وبسایت های معمولی، از ربات هایی استفاده میکنند که به صورت اتوماتیک حفره ها را کشف کرده و عملیات لازم برای هک را انجام میدهند. بدین ترتیب ممکن است یک هکر با استفاده از ربات هایی که برنامه نویسی کرده روزانه چند صد وبسایت را هک کند !

وبسایت های وردپرسی با توجه به اینکه نزدیک به 50 درصد حجم CMS ها در دنیای وب را شامل می شوند ، درصد هک شدن بالایی دارند. سازندگان وردپرس به صورت مستمری در حال اپدیت آن و رفع مشکلاتش می باشند که همین موضوع سبب افزایش ایمنی وردپرس نسبت به CMS های شخصی سازی شده می باشد .

در این مطلب از وبسایت کافه سئو روش های مختلفی را برای افزایش هر چه بیشتر امنیت وبسایت وردپرسی شما در مقابل نفوذ هکر ها و خطرات مشابه بیان خواهیم کرد .

اقداماتی با سطح ابتدایی برای افزایش امنیت وردرپس :

به منظور درک هر چه بهتر اهمیت اقدامات مورد نیاز برای ارتقای امنیت وبسایت وردپرسی ، اقدام به دسته بندی اقدامات به صورت اولیه ، اقدامات سطح متوسط و اقدامات سطح حرفه ای کرده ایم که در ادامه به از اقدامات اولیه شروع میکنیم …

1- استفاده از SSL در وبسایت

Secure Sockets Layer که مختصرا به آن SSL می گویند ، یک پروتکل امنیتی بسیار ویژه می باشد که داده های رد و بدل شده بین کاربر و مرورگر را رمزنگاری میکند و از دزدی دیتاها توسط هکر ها در میانه ی راه جلوگیری به عمل می آورد.

Ssl چه به صورت رایگان باشد چه پولی یک نیاز برای وبسایت ها می باشد و بخصوص در وبسایت های فروشگاهی که امنیت دیتاهای کاربران بسیار بالاست میتواند در رتبه  و ارزشدهی سایت نیز از طرف گوگل نقش موثری داشته باشد .

پس حتما از SSL در وبسایت خود استفاده کنید . مشخصه ی سایتهایی که SSL دارند ، در ادرس وبسایت آنهاست که ابتدای آن با https شروع می شود.

2- استفاده از پسوورد ایمن و قدرتمند :

یکی از اولین و مهمترین اقدامات در راه اندازی سایت ، انتخاب پسوورد مناسب برای وبسایت می باشد . پسوورد ایمن پسووردی است متشکل از حروف و اعداد . در انتخاب پسوورد به هیچ وجه از شماره تماس ، کد ملی و … استفاده نکنید. سعی کنید حتما یک حرف بزرگ ، یک حرف کوچک ، یکی از علائم همچون ؟ ! @ # $ و … در داخلش وجود داشته باشد .

وبسایت های مختلفی برای تولید پسووردهای تصادفی وجود دارند که از آنها نیز میتوانید استفاده کنید .

3- استفاده از افزونه های امنیتی :

وردپرس افزونه های امنیتی خوب و شناخته شده ای دارد که می توانند امنیت وبسایت شما را به میزان قابل توجهی افزایش دهند. این افزونه ها درخواست های زیادی که به سرور ارسال میشود را بلوک می کنند .

برای مثال اگر ربات ارسالی توسط هکر ، یوزر نیم admin  را وارد کند، برای رسیدن به پسوورد شروع به ارسال پسوورد های مختلف خواهد کرد. در این صورت اگر از نرم افزارهای امنیتی استفاده کنید ، پس از چند درخواست ، ای پی فرستنده پسوورد بلاک می شود و این خطر رفع خواهد شد. به صورت پیشفرض چنین امکانی در وردپرس وجود ندارد.

از دیگر امکانات این افزونه ، بررسی کدهای سایت و قالب می باشد . در صورت مشاهده ی هرگونه کد یا اسکریپت مخرب ، اطلاعات لازم به کاربر ارسال می شود.

از جمله شاخته شده ترین افزونه های امنیتی وردرپرس می توان به موارد زیر اشاره کرد :

1. Wordfence Security
2. iThemes Security
3. Jetpack
4. و …

4- اپدیت وردرپس و افزونه ها :

پیدا کردن حفره های امنیتی یکی از مهمترین راه های نفوذ به سایت ها می باشد . حتی سیستم عامل ویندوز و بزرگترین و شناخته شده ترین برنامه ها و بازی ها نیز راه خلاصی از دست این حفره های امنیتی ندارند. تنها راه کاهش ریسک ، کشف حفره ها و رفع آنها توسط اپدیت های امنیتی می باشد .

از این رو همواره سعی کنید که وردپرس خود و افزونه های مورد استفاده در آن را اپدیت نگه دارید . در برخی مواقع ممکن است وردپرس به صورت اتوماتیک و بدون دریافت اجازه از شما اپدیت هایی را انجام دهد . این اپدیت ها تماما امنیتی هستند و بدون اجازه ی کاربر بر روی سایت اعمال می شوند تا مشکلی از نظر امنیتی برای سایت ایجاد نشود .

افزونه ها نیز شرایطی مشابه دارند. در انتخاب افزونه ها بیشترین حساسیت را بخرج دهید و حداکثر تلاش خود را کنید که افزونه ها را از فروشگاه خود وردرپس به وبسایت خود اضافه کنید. برخی از سایت های معتبر خارجی همچون تم فارست نیز وجود دارند که افزونه های پولی را قرار میدهند.

5- عدم استفاده از پلاگین ها و قالب های نال شده :

افزونه ها و قالب های نال شده ، بسته های پولی رایگان شده می باشند. کد نویسان با دستکاری در کدهایی که مربوط به چک لایسنس افزونه می باشد، اقدام به نال یا رایگان کردن آن افزونه می کنند و آن را به صورت رایگان در فضای وب منتشر میکنند. بسیار مشاهده شده است که کدنویس اقدام به قرار دادن کدهای مخرب در داخل همین افزونه ها کرده است و کاربر از همه جا بیخبر با افزودن این برنامه به وبسایت خود قربانی هک شده است.

از این رو به هیچ وجه اقدام به استفاده از پلاگین های نال شده نکنید و در صورتی که در طراحی سایت از این افزونه ها استفاده شده است مورد را به طراح سایت گوش زد کنید.

6- همواره یک بک آپ از سایت نگهدارید

نگهداری بک آپ از سایت مطمئن ترین راه برای نجات سایت در مواقعی می باشد که امکان بازسازی خرابه های باقی مانده از هکر ها وجود ندارد. با توجه به اینکه اصولا امکان بک اپ گیری روزانه از سایت و نگهداری از آن در فضایی خارج از سایت را نخواهید داشت ، بهتر است از سرویس دهنده ای هاست خریداری کنید که به صورت روزانه بک اپ گیری اتوماتیک داشته باشد. ناگفته پیداست که تعداد بسیار کمی از سرویس دهنده ها امکان برقراری چنین امکانی دارند ، حداقل امکانی که میتوانید دل به آن ببنید این است که سرویس دهنده به صورت روزانه از دیتابیس شما بک اپ گیری انجام دهد.

در چنین شرایطی نیز اگر به سلامت اطلاعات خود اهمیت می دهید ، بهتر است به صورت هفتگی و یا حداقل ماهانه اقدام به بک اپ گیری از اطلاعات وبسایت های خود کنید و در مکانی امن انها را نگهداری کنید.

اقداماتی با سطح متوسط برای افزایش امنیت وردرپس :

در این بخش اقدامات تکمیلی با سطح متوسط برای افزایش امنیت سئو را معرفی میکنیم که استفاده از انها سطح امنیتی وبسایت شما را از متوسط بالاتر خواهد کرد و امکان دسترسی و هک ان با روش های معمول را دشوار خواهد کرد :

7- از نام کاربری Admin  استفاده نکنید :

به هیچ وجه از نام کاربری Admin برای دسترسی به پنل خود استفاده نکنید و در اولین قدم یوزر نیم دیگری برای خود انتخاب کنید. ربات هایی که هکر ها برای حدس و گمانه زنی کلمات کلیدی استفاده میکنند در اولین قدم اقدام به ورود با یوزر نیم ادمین خواهند کرد و از این رو پیشنهاد میشود از این یوزر نیم استفاده نشود.

اگر یوزر شما از اول بر روی Admin  قرار داشته است ، به صورت معمول قادر به تغییر ان نخواهید بود و باید از طریق ادیت دیتابیس و یا استفاده از افزونه های مخصوص اینکار اقدام به ادیت نام کاربری خود کنید.

8- صفحه ورود به وردپرس خود را تغییر دهید

یکی دیگر از اقداماتی که در این مرحله کارساز می باشد و بسیاری از ربات های ابتدایی را ریجکت میکند، استفاده از صفحه ی ورود با ادرسی متفاوت نسبت به ادرس دیفالت ودرپرس است . ادرس دیفالت به صورت WP-Admin می باشد که میتوانید با استفاده از ادیت دیتابیس و یا استفاده از افزونه های مختلف وردپرسی نسبت به تغییر آن اقدام نمایید.

توصیه ی اکید میکنیم که این آدرس را حتما تغییر دهید که تفاوت بسیاری در کاهش حمله های رباتی به وبسایت شما خواهد داشت. زمانی که ادرس مشخص باشد ، میزان ارسال رگوئست و درخواست به وبسایت به شدت افزایش پیدا میکند و این مورد میتواند باعث داون شدن وبسایت شما شود.

9- XML-RPC را غیرفعال کنید

پروتکل XML-RPC یکی از پروتکل هایی می باشد که وردپرس ان را به منظور سهولت در انتشار نوشته ها از راه دور طراحی کرده است. در 99 درصد مواقع سایت ها از این قابلیت استفاده نمیکنند و از آنجایی که این ویژگی یکی از مهمترین راه های نفوذ به وبسایت شما می باشد، غیرفعال کردن آن کاری بسیار ضروری برای شما تلقی خواهد شد.

برای غیرفعال کردن این مورد میتوانید از افزونه های جانبی مختلف استفاده کنید.

10- دسترسی به wp-config.php را محدود کنید

فایل wp-config.php در وردپرس یکی از مهمترین فایلهایی می باشد که اطلاعات مربوط به دیتابیس شما داخل ان ثبت شده است و امکان انجام اقدامات بسیاری از طریق دسترسی به آن برای هکر ها وجود دارد. از این رو دسترسی به این فایل را باید محدود کنید.

امکان تغییر میزان سطح دسترسی (permission) به این فایل از طریق هاست و همینطور اعمال محدودیت ها در دسترسی به آن از طریق .htaccess  وجود دارد.

11- وبسایت خود را اسکن کنید

در برخی موارد ممکن است وبسایت شما دچار برخی موارد مشکل دار شود که امکان نفوذ به وبسایت را آسان میکند. از این رو پیشنهاد میشود از افزونه های مخصوصی که به منظور اسکن و همینطور رصد لحظه ای مشکلات نفوذ بپذیری به سایت وجود دارد استفاده کنید تا در صورت پیدا کردن مشکلی ، از طریق ایمیل مشکلات به شما ارسال شده و نسبت به رفع انها اقدام کنید.

اقداماتی با سطح بالا برای افزایش امنیت وردرپس :

موارد بیان شده تا اینجا ، میتواند اقدامات بسیاری مناسب برای افزایش امنیت شما محسوب شود . اما اگر علاقه مند به افزایش هر چه بیشتر امنیت هستید موارد بیان شده در ادامه را مطالعه کنید .

این سری از اقدامات که در ادامه بیان میشود،  بیشتر به سمت سرور مربوط می باشد و در برخی از موارد بستگی به انتخاب یک سرویس دهنده ی مناسب از طرف شما دارد. در ادامه به صورت مختصری این موارد را بررسی میکنیم :

12 –  سرویس دهنده ای امن و مطمئن انتخاب کنید :

انتخاب یک سرویس دهنده ی امن و مطمئن شاید مهمترین قدم در افزایش و ارتقای امنیت شما باشد . از این رو به جای اینکه به دنبال ارزانترین شرکت ارائه دهنده ی خدمات باشید ، به دنبال بهترین باشید. شرکتی که کارکنان آن از لحاظ فنی در رتبه ی بالایی قرار داشته باشند و حداقل 95 درصد اپتایم داشته باشد انتخاب مناسبی است .

اهمیت شرکت های معتبر را میتوانید از افراد با تجربه جویا شوید . برخی از شرکت های ارائه دهنده ی هاست در داخل کشور وجود دارند که به سیستم اسکن لحظه ای بدافزار مجهز می باشند و در صورت اپلود بدافزار در هاست شما سریعا اخطار های لازم داده شده و فایل قرنتینه می شود.

همچنین سرویس دهنده هایی نیز وجود دارند که در صورت مواجهه سایت با حملات مختلف همچون دی داس به صورت اتوماتیک اقدام به بن و بلاک ای پی های ارسال دهنده ی درخواست می کنند تا مشکلی برای سایت بوجود نیاید .

از این رو بهترین را انتخاب کنید تا امنترین را بدست اورید !

13 – از آخرین نسخه PHP استفاده کنید.

همواره سعی کنید که اخرین نسخه ی PHP را از طریق هاست انتخاب کنید و سایت خود را بر اساس ان بالا بیاورید . ممکن است در برخی موارد به دلیل اپدیت نبودن کد های قالب امکان استفاده از نسخه های جدید PHP وجود نداشته باشد. در این صورت با تولید کننده ی قالب مکاتبه کنید تا با توجه به جدیدترین و پایدارترین نسخه ی PHP کدهای قالب را ادیت کند. اپدیت بودن نسخه ی PHP از مهمترین فاکتورها در بهینه سازی وبسایت محسوب میشود.

نسخه ی های قدیمی PHP با توجه به حفره های امنیتی کشف شده امکان هک بسیار بالاتری نسبت به نسخه های جدید دارند. نسخه های جدید همچنین در سرعت بارگذاری صفحات وبسایت تاثیر گذار می باشند و می توانند در سئو وبسایت شما نیز تاثیر مثبتی بگذارند.

14- خود را برای مواقع ضروری آماده کنید

اگر به هر دلیلی فشار بر سرور شما بر اساس درخواست ها و به نوعی DDOS بیش از حد باشد ، به مشکلات بسیاری برخواهید خورد و ممکن است سرویس دهنده به منظور رعایت حقوق سایر سایت هایی که بر روی سرور شما قرار دارند ، سرویس شما را مسدود کند. از این رو بهتر است یک الترنایتور برای چنین مواقعی در نظر گرفته باشید .

استفاده از سرویس های ابری که دارای سیستم های آنتی دیداس و فایروال های قوی می باشند می تواند وبسایت شما را از گزند چنین مشکلاتی دور نگهدارد. برای مثال استفاده از کلودفلر در چنین مواقعی فشار را بر روی سرور گرفته و به نوعی حمله کننده را مایوس خواهد کرد.

سرویس های مشابه به کلودفلر نیز وجود دارند که بهتر است اشنایی مختصری از آنها کسب کنید تا در زمان بروز احتمالی مشکل امکان عکس العمل سریع را داشته باشید .

سخن پایانی :

مطالب بیان شده در این نوشته از وبسایت کافه سئو بخصوص در دو قسمت ابتدایی ، نیازی به دانش فنی خاص ندارد و به راحتی میتوانید با کمی مطالعه و کسب اطلاع از چگونگی انجام کار نسبت به انجام تغییرات بیان شده اقدام کنید. بهتر است تمامی اقدامات را پیش از وقوع مشکل انجام دهید و موارد مربوط به کلودفلر و جابجایی های سریع را به حد اندازه مطالعه کنید تا در صورت بروز مشکل ، زمان را از دست نداده و سریعا به مقابله با تحدیدات اقدام کنید.