امنیت وردپرس موضوعی است که برای تمام صاحبان وب سایت وردپرسی، اهمیت زیادی دارد. Google هر روز بیش از 10 هزار وبسایت را به علت داشتن بدافزار (malware) و هر هفته نیز حدود 50 هزار وبسایت را به دلیل فیشینگ در لیست سیاه قرار میدهد. بنابراین اگر وبسایت خود را مهم میدانید باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این مقاله برخی از اصلیترین نکات و راهکارهای امنیتی WordPress را برای محافظت از وبسایت خود در برابر هکرها و بدافزارها بررسی میکنیم.
نرمافزار اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعهدهندگان به طور منظم مورد بازرسی قرار میگیرد اما امنیت وردپرس خیلی مهم و اساسی است، به همین دلیل توصیه میکنیم که با راهکارهای زیادی برای هرچه بیشتر امنیت وب سایت وردپرسی خود آشنا شوید، برخی از این راهکارها عبارتند از:
وردپرس پس از هر نسخه جدید خود نسبت به قبل بهبود مییابد، امنیت وردپرس نیز بالا میرود، بسیاری از اشکالات و آسیبپذیریهای آن برطرف میشوند و همچنین در صورت کشف هرگونه باگ مخرب، تیم اصلی توسعهدهنده وردپرس بلافاصله آن را برطرف کرده و نسخه جدید امن تری را منتشر میکنند.
بعضی از تمهای رایگان (به اصطلاح Nulled یا نالشده) وردپرس از روی نسخههای اصلی پرمیوم، سرقت و ساخته شدهاند که با وجود مقرون به صرفه بودن، اغلب دارای مشکلات امنیتی مانند بدافزار، لینکهای ناخواسته و backdoor (نوعی نفوذ بدافزار توسط هکرها) هستند. به همین دلیل بهتر است تمهای وردپرس را از منابع و فروشگاههای رسمی آن یا توسعه دهندگان معتبر تهیه کنید و از خرید تمهای نال شده که امنیت وب سایت وردپرسی شما را به خطر میاندازند نیز خودداری کنید.
پلاگینهای وردپرس خود را بهروزرسانی کرده و نسخههای قدیمی موجود در وب سایت خود را حذف کنید.
علاوه بر نکته ذکرشده در بخش قبل، باید تم و پلاگینهای فعلی نصب شده روی سایت خود را نیز همواره به روزرسانی کنید؛ چرا که مانند اکثر محصولات نرمافزاری، این موارد نیز ممکن است هر چند وقت یک بار خراب شوند یا حفرههای امنیتی در آنها کشف شود که با نصب نسخه جدید حل میشوند. از سوی دیگر نیز داشتن پلاگینهای منسوخ و در عین حال فعال در وبسایت شما، خطر حملات سایبری را افزایش میدهد. بنابراین بهتر است آنها را به کلی از وردپرس خود حذف کنید و امنیت وب سایت وردپرسی خود حفظ کنید.
پیشنهاد میکنیم مقاله ی زیر را از دست ندهید:
سئو وب سایت وردپرس و پلاگین های آن
تهیه نسخه backup از سایت خود به معنای تهیه نسخهای از تمام دادههای سایت و ذخیره آن در مکانی امن است . بنابراین در صورت بروز هر اتفاق بدی، سایت خود را با استفاده از نسخه backup مجدداً راهاندازی کنید. برای Bakup گرفتن از سایت وردپرسی خود باید یک پلاگین مخصوص نصب کنید و امنیت وردپرس خود را بررسی کنید.
ورودهای خود به سیستم (login) را محدود کنید و رمز ورودتان را نیز هر چند وقت یک بار تغییر دهید.
به فرم login سیستم خود اجازه وارد کردن نامحدود نام کاربری و رمز ورود را ندهید، زیرا این دقیقاً همان چیزی است که به موفقیت یک هکر در نفوذ به وبسایت شما کمک میکند. برای محدود کردن تلاشهای احتمالی ورود به سیستم میتوانید از پلاگینهای خاصی مانند Login LockDown و WP Limit Login Attempts استفاده کنید. همچنین با تغییر رمزهای عبور خود (مثلاً 2 الی 3 ماه یک بار)، احتمال هک شدن وبسایت خود را بیشتر کاهش میدهید.
یکی دیگر از نکات امنیت وردپرس مربوط به نصب فایروالهاست:
URL ای که به طور پیشفرض برای ورود به داشبورد وردپرس شما استفاده میشود یا wp-login.php یا wp-admin است که بعد از URL اصلی وبسایت شما اضافه میشود (به عنوان مثال YOURSITE.com/wp-login.php). این دو URL، دردسترسترین URL ها برای هکرهایی است که میخواهند وارد پایگاه داده شما شوند. بنابراین با تغییرنام آن (به عنوان مثال YOURSITE.com/I_love_my_site)، احتمال این که مورد حمله هکرها قرار بگیرید کاهش مییابد. پلاگین iThemes Security میتواند این ترفند را برای شما انجام دهد.
SSL که مخفف Secure Socket Layer و به معنی لایه سوکت امن است، یک استراتژی عالی است که از طریق آن میتوانید دادههای admin خود را رمزگذاری کنید. SSL در واقع انتقال داده بین مرورگر کاربر و سرور را ایمن میکند. برای دریافت گواهینامه SSL دو روش وجود دارد:
فایل wp-config.php یکی از مهمترین فایلهای آسیب پذیر سایت شماست. این فایل حاوی اطلاعات و دادههای مهم نصب کلی وردپرس بوده و از نظر فنی، هسته اصلی سایت وردپرس شما محسوب میشود. یک کار ساده ای که میتوانید برای محافظت از آن انجام دهید این است که آن را به یک قدم بالاتر از دایرکتوری ریشه وردپرس خود منتقل کنید. توجه کنید که سایت شما تحت تأثیر این حرکت قرار نمیگیرد، اما هکرها دیگر نمیتوانند آن را پیدا کنند. و امنیت وب سایت وردپرسی شما را تهدید کنند.
وردپرس یک ویرایشگر فایل داخلی را ارائه میدهد که به راحتی به شما امکان ویرایش فایلهای PHP را میدهد. اما اگر هکرها کنترل آن را بدست آورند، این ویژگی وردپرس میتواند به شمشیری دو لبه تبدیل شود! به همین دلیل برخی از کاربران وردپرس ترجیح میدهند این ویژگی را بهطورکامل غیرفعال کنند. شما با افزودن کد زیر به فایل wp-config.php میتوانید آن را غیرفعال کنید:
define( ‘DISALLOW_FILE_EDIT’, true );
در صورتی که بخواهید این ویژگی را مجدداً فعال کنید، کافی است کد قبلی را از فایل wp-config.php با استفاده از سرویس FTP یا File Manager ارائهدهنده هاست خود حذف کنید.
جمعبندی
توجه داشته باشید که راهکارهای افزایش امنیت وبسایت وردپرسی شما به این موارد محدود نمیشوند و راهکارهای زیاد دیگری نیز وجود دارند که برخی از آنها ساده و برخی پیچیدهتر هستند و حتی به کدنویسی نیز احتیاج دارند. بنابراین باید مقالات زیاد دیگری را در این خصوص مطالعه کنید تا با دانش امنیتی خود، اجازه نفوذ هیچ هکری را به وبسایت خود ندهید.
جهت مشاوره دیجیتال مارکتینگ تماس بگیرید.
مشاوران سپنتا مفتخر به ارائه مشاوره رایگان به شما هستند.