امنیت وردپرس با 10 نکته کلیدی

امنیت وردپرس را می‌توان با رعایت چند نکته کلیدی ایجاد کرد، البته وردپرس به تنهایی امنیت کامل را برای وب سایت شما ایجاد می کند و در حالت پیشفرض هیچ باگ امنیتی ندارد مگر مواقعی که تغییراتی در مدیریت محتوا وردپرس ایجاد می کنیم یا از افزونه ها و قالب های دارای باگ امنیتی استفاده کنیم.

بطور حتم تمامی موارد امنیتی مقدماتی و حرفه ای مورد نیاز برای سایت های مشتریان ما توسط پرسنل پشتیبانی شرکت فناوری اطلاعات برترین بطور پیوسته هر ماه بررسی و اقدامات لازم بصورت رایگان انجام می گیرد.

در نظر گرفتن این 10 مورد می تواند تا حد زیادی به بهبود امنیت سایت شما کمک کند

1 – استفاده از هاست مطئمن

همه ارائه دهندگان خدمات میزبانی وب دارای امنیت کامل نمی باشند، در نتیجه تعدادی زیادی از سایت های وردپرس هک شده در اثر نفوذ به هاست سایت شما می باشد.

انتخاب شرکت ارائه دهنده هاست کار آسانی نیست و تنها با مقایسه قیمت ها نباید اقدام به خرید کنیم بلکه عواملی دیگر همچون امنیت سرور، موقعیت سرور، مشخصات سخت افزاری سرور، آپتایم سرور و… در انتخاب شرکت ارائه دهنده هاست بسیار مهم می باشد.

در اینجا می توانید برای سفارش هاست امن با امکانات و سرعت بالا اقدام نمائید.

2 – بروز رسانی وردپرس، قالب ها، افزونه ها و همه چیز دیگر

هر نسخه چدید وردپرس شامل تغییرات امنیتی و رفع نقوص امنیتی نسخه قدیمی می باشد. اگر شما وردپرس خود را آپدیت آخرین نسخه وردپرس نکنید وب سایت خود را در برابر حمله هکر ها باز گذاشته اید.

بسیاری از هکرها سایت هایی را که از نسخه های قدیمی وردپرس با مسائل امنیتی شناخته شده استفاده میکنند مورد حمله قرار می دهند، پس چشمان خود را از صفحه داشبورد وب سایت خود بر ندارید تا در صورت وجود هشدار “بروز رسانی وردپرس” در اولین فرصت مدیریت محتوای وردپرس خود را آپدیت کنید.

البته فراموش نکنید، همین امر برای پلاگین های وردپرس ( افزونه ها ) و قالب های وردپرس اهمیت فراوارنی دارد و شما باید اطمینان حاصل کنید که همیشه از آخرین نسخه های منتشر شده استفاده می کنید. اگر شما همه چیز را بروز رسانی کنیداحتمال هک شدن وب سایت خود را تا حد زیادی کاهش می دهید.

3 – استفاده از کلمه عبور قوی

حدود 8% از وب سایت های وردپرس هک شده به دلیل استفاده از کلمه عبور ضعیف است.

اگر شما برای اکانت مدیریت وب سایت خود از کلمه های عبور همچون hamed123 یا asd123 و مشابه این استفاده می کنید باید هر چه سریعتر اقدام به تغییر پسورد خود با یک پسورد قوی تر اقدام کنید، برای اینکار می توانید یک جمله ای که هیچگاه فراموش نمی کنید را بصورت مخفف و خلاصه شده تبدیل به رمز عبور خود کنید و یا برای ایجاد کلمه عبور قوی از وب سایت passwordsgenerator استفاده کنید.

4 – هرگز از نام کاربری “admin” استفاده نکنید

در اوایل سال 2013 موج حمله بزرگی از سوی هکرها به سایت های وردپرسی با استفاده از روش تکرار تلاش به ورود بخش مدیریت با نام کاربری “admin” و پسوردهای متنوع رخ داد.

اگر شما از نام کاربری “admin” و کلمه عبور ضعیف استفاده می کنید، وب سایت شما به شدت در برابر حملات هکرها آسیب پذیر خواهد بود و می بایست در اسرع وقت اقدام به تغییر آن به کلمه غیر قابل پیش بینی کنید.

تا قبل از نسخه 3 وردپرس بعد از نصب بصورت اتوماتیک نام کاربری مدیر را “admin” تعریف می کرد ولی از نسخه 3 به بعد در هنگام نصب می توانید نام کاربری مدیریت را با نام دلخواه خود تعیین کنید.

در صورتی که قبلا از نام کاربری “admin” استفاده کرده اید هم اکنون می توانید یک کاربر جدید با دسترسی مدیر و نام کاربری دیگری ایجاد کنید و تمامی مطالب منتشر شده را به کاربر جدید اطلاق دهید و سپس کاربر قبلی را حذف نمائید.

5 – مخفی کردن نام کاربری خود از URL آرشیو نویسنده

راه دیگری که هکر ها می توانند نام کاربری شما را بیابند استفاده از URL آرشیو نویسنده ( Uniform resource locator – مشخص كننده منحصر به فرد منبع ) می باشد.

برای تغییر نام کاربری خود از داخل URL از مسیر ” کاربران > شناسنامه شما  > لقب ” استفاده کنید و سپس قسمت نمایش عمومی نام را بر روی لقب وارد کرده تنظیم نمایید.

6 – ایجاد محدودیت برای تلاش ورود به بخش مدیریت

هکر ها یا ربات های مخرب از روش brute-force attack تلاش دارند کلمه عبور شما را یافته و اقدام به نفوذ به سیستم مدیریت محتوا شما کنند، می توانید با ایجاد محدودیت در تعداد تلاش های ناموفق برای ورود به ازای هر IP تا حدودی خیالتان را راحت کنید.

برای اینکار استفاده از پلاگین Limit Login Attempts توصیه می شود. البته راه هایی برای دور زدن این پلاگین ها وجود دارد، برای مثال هکر ها می توانند از تعداد زیادی IP برای اینکار استفاده کنند. اما همچنان نصب اینگونه پلاگین ها برای احتیاط بیشتر توصیه می شود.

7 – غیر فعال کردن ویرایشگر فایل از طریق داشبورد

در حالت پیشفرض وردپرس شما می توانید از مسیر نمایش > ویرایشگر تمامی فایل های قالب خود را ویرایش نمایید.

مشکل اینجاست که اگر هکر موفق به ورود به مدیریت محتوا سایت گردد، می توانید هر کدی را داخل فایل های قالب اجرا نمایید.

در نتیجه غیر فعال کردن ویرایشگر ایده بسیار خوبی به نظر میرسد، به همین منظور کد زیر را در داخل فایل  wp-config.php وردپرس خود قرار دهید:

define( ‘DISALLOW_FILE_EDIT’, true );

8 – از قالب های رایگان دوری کنید

بهتر است از قالب های رایگان دوری کنید مخصوصا مواقعی که توسعه دهنده قالب معتبر نمی باشد.

دلیل اصلی این است که در قالب های رایگان بطور متوسط از هر 10 قالب، 8 قالب از کدگذاری base64 استفاده می کنند که ممکن است مورد استفاده قرار گیرد برای لینک های اسپم و یا سایر کدهای مخرب.

برای اطمینان از امنیت قالب سایت خود می توانید هم اکنون قالب اختصاصی خود را با امکانات مورد نیاز و امنیت بالا در بخش طراحی سایت سفارش دهید.

9 – تهیه نسخه پشتیبان ( بکاپ گیری )

پشتیبان گیری منظم از وب سایت دارای اهمیت بسیار زیادی می باشد، بسیاری از مردم به این نکته توجه نمی کنند تا زمانی که دیگه خیلی دیر شده است. حتی با بهترین اقدامات امنیتی هیچگاه سایت بطور 100% غیر قابل هک نخواهد بود و امنیت 100% وجود نخواهد داشت.

پس بکاپ گیری منظم و امن از وب سایت، شما را مطمئن خواهد ساخت که از کلیه مطالب و اطلاعات خود پشتیبانی خواهید داشت.

ما اینکار را بصورت روزانه، هفتگی و ماهیانه برای کلیه مشتریان هاست بصورت منظم بر روی سرور ها انجام خواهیم داد ولی اگز شما از هاست های قدرتمند فناوری اطلاعات برترین استفاده نمی کنید پیشنهاد می کنیم حتما از پلاگین هایی همچون WordPress Backup to Dropbox استفاده کنید و یا در اسرع وقت سفارش هاست خود را نزد ما بدهید تا بصورت رایگان سایت شما به سرورهای ما منتقل شود.

10 – استفاده از افزونه های امنیتی

در زیر لینک دانلود برخی از افزونه های امنیتی وردپرس ارائه می شود که می تواند تا حد زیادی در امنیت وب سایت شما تاثیر گذار باشند:

• http://wordpress.org/plugins/better-wp-security/
• http://wordpress.org/plugins/bulletproof-security/
• http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
• http://wordpress.org/plugins/sucuri-scanner/
• http://wordpress.org/plugins/wordfence/
• http://wordpress.org/plugins/websitedefender-wordpress-security/
• http://wordpress.org/plugins/exploit-scanner/