15 نکته طلایی برای امنیت وردپرس

سعید ناصریسعید ناصریاکتبر 1, 20202min0

وردپرس محبوب ترین پلتفرم مدیریت محتوا است که نه تنها مورد توجه بسیاری از کاربران و مدیران وب نیست بلکه مورد توجه افراد سودجو و هکرها قرار می گیرد. بنابراین ، امنیت وردپرس همیشه مورد توجه مدیران سایت و توسعه دهندگان قرار گرفته است.
دلایل زیادی برای هک و هک شدن وب سایت شما وجود دارد. هکرها همیشه به دنبال راهی برای نفوذ به وب سایت شما و سو mis استفاده از منابع و اطلاعات آن هستند. به عنوان مثال ، آنها وب سایت شما را هک می کنند زیرا آنها می خواهند اطلاعات شما را بدزدند یا از منابع وب سایت برای ارسال ایمیل های گسترده و هرزنامه استفاده می کنند. یا حتی آنها از وب سایت شما به عنوان رابط (زامبی) برای پوشش اقدامات مخرب خود استفاده می کنند!
در این پست ، ما فقط با 15 مرحله ایمن سازی وردپرس و افزایش امنیت وب سایت در برابر حملات به شما کمک خواهیم کرد. پس با ما همراه باشید

0- میزبانی

حدود 41٪ از ورود به وردپرس از طریق آسیب پذیری در سرورهای میزبان بوده است. این آمار نسبتاً قابل توجه است اما درست است! بنابراین ، در ابتدا لازم است تحقیقات خوبی در مورد شرکت ارائه دهنده خدمات میزبانی انجام شود ، زیرا این شرکت های میزبان هستند که مسئولیت اطمینان از امنیت سرورها را در بالاترین سطح ممکن دارند.
کارشناسان پشتیبانی ما با پشتیبانی از بیش از 10 سال تجربه ، نه تنها تمام زیرساخت های فنی و امنیتی را در میزبان سرورها بلکه با ساخت و استفاده از سیستم های هوشمند و برنامه ریزی شده ضمن نظارت بر وب سایت های شما ، پیاده سازی کرده اند. آنها عوامل تخریب را سریع پیدا می کنند و واکنش نشان می دهند.

1. سطح دسترسی به پرونده ها و پوشه ها

سطح دسترسی استاندارد برای پرونده ها 644 و برای پوشه ها 755 است. بنابراین اگر دسترسی به فایل یا پوشه از مسیر نصب وردپرس بیشتر از این مقادیر بود ، حتماً آنها را تغییر دهید.
پشتیبانی ها این کار را با اجرای رول های امنیتی به صورت خودکار انجام می دهند ، اما باید همیشه این نکته را در ذهن داشته باشید.

2. آدرس ورود به سیستم ، نام کاربری و رمز ورود مدیر را تغییر دهید

برای ورود به پنل مدیریت وردپرس سعی کنید نام کاربری غیرقابل پیش بینی را انتخاب کنید. کلماتی مانند admin ، master و موارد مشابه اولین عامل نفوذ به وب سایت شما هستند. اگر هنوز از یک نام کاربری و رمز عبور ساده استفاده می کنید ، توصیه می کنیم نام کاربری و رمز عبور مدیر را با استفاده از 2 راهنمای زیر تغییر دهید.
نحوه تغییر نام کاربری وردپرس
نحوه تغییر رمز ورود وردپرس

پس از تغییر نام کاربری و رمز عبور ، باید آدرس صفحه ورود به سیستم را از wp-admin یا wp-login.php به آدرس دیگری تغییر دهید.
نحوه تغییر آدرس ورود به وردپرس

3- ورود 2 مرحله ای را فعال کنید

یکی از مهمترین پارامترهای تأیید اعتبار ، چند مرحله ای بودن آن است. فعال کردن ورود دو مرحله ای دسترسی به پنل مدیریت را دشوارتر و پیچیده تر می کند. بنابراین هکرها و ربات ها دیگر نمی توانند به راحتی به پنل مدیریت وردپرس دسترسی پیدا کنند.
روش های زیادی برای فعال کردن ورود دو مرحله ای یا حتی چند مرحله ای وجود دارد که مهمترین آنها در زیر ذکر شده است:

از افزونه Google Authenticator استفاده کنید
هنگام استفاده از افزونه Google Authenticator ، هنگام ورود به وردپرس ، علاوه بر نام کاربری و رمزعبور ، یک کد امنیتی نیز درخواست می شود که به طور تصادفی تولید می شود و توسط ربات ها قابل شناسایی نیست. این کد با استفاده از یک برنامه موبایل مبتنی بر Android و iPhone تولید شده و پس از 1 دقیقه منقضی می شود.
نحوه نصب افزونه Google Authenticator
برنامه Android Authenticator Google را بارگیری کنید
برنامه iPhone Authenticator iPhone را بارگیری کنید

4- تغییر پیشوند جداول پایگاه داده (table_prefix)

مدت هاست که تغییر پیشوند جدول پایگاه داده به عنوان راهی برای جلوگیری از حملات SQL Injection پیشنهاد می شود. اما اگرچه تغییر پیشوند برای هکر کمی دردسر ساز است ، اما هکر با اجرای یک پرس و جو ساده به شرح زیر می تواند به راحتی پیشوند جدول جدول وردپرس را پیدا کند!

زیرشاخه متمایز ("TABLE_NAME" از 1 برای (LENGTH ("TABLE_NAME") -8)) را انتخاب کنید
از برنامه_اطلاعات. جداول WHERE
`TABLE_NAME` مانند & # 39؛٪ postmeta & # 39 ؛؛

بنابراین ، تغییر پیشوند لزوماً از وقوع حمله SQL Injection جلوگیری نمی کند ، بلکه فقط مرحله کار را به تأخیر می اندازد. با این حال ، در صورت تمایل ، می توانید پیشوند جداول پایگاه داده را هنگام نصب وردپرس یا حتی پس از استفاده از افزونه Change DB Prefix از wp تغییر دهید ، به عبارت دیگر.

5- ایمن سازی پوشه wp-admin

با پیروی از این دستورالعمل ها ، نام کاربری و رمز عبور از طریق سرور در صفحه ورود به سیستم ارائه می شود. این رمز عبور سدی محکم در برابر نفوذ است که استفاده از آن را به شما توصیه می کنیم.
نحوه رمزگذاری وردپرس از طریق میزبان ها

6- ایمن سازی wp-config.php

افزودن کد زیر به پرونده .htaccess دسترسی به پرونده مهم wp-config.php را غیرفعال می کند:

سفارش اجازه ، انکار
انکار از همه

7- ایمن سازی wp-περιλαμβάνει

ایمن سازی پوشه wp-მოიცავს به دلیل دسترسی به اسکریپت ها مهم است. بنابراین لازم است که کد زیر را در انتهای پرونده .htaccess قرار دهید. مسیر نصب وردپرس را اضافه کنید.

# پرونده های فقط شامل را مسدود کنید

بازنویسی موتور روشن
بازنویسی پایگاه /
RewriteRule ^ wp-admin / شامل / – (F ، L)
بازنویسی قانون! ^ شامل Wp / – (S = 3)
RewriteRule ^ wp-περιλαμβάνει / (^ /) + . PHP $ – (F ، L)
RewriteRule ^ wp-include / js / tinymce / langs /.+ . Php – (F ، L)
RewriteRule ^ wp-περιλαμβάνει / موضوع-همكار / – (F ، L)

برای اطمینان از اینکه وردپرس جایگزین کد قبلی نیست ، حتماً کد فوق را پس از # پایان وردپرس در انتهای پرونده وارد کنید.

8- ایمن سازی مسیر wp-content / uploads

مسیر آسیب پذیر دیگر وردپرس پوشه uploads است. در این پوشه ، پرونده های وب سایت ، به ویژه پرونده های رسانه ای ، ذخیره می شوند. بنابراین ، فایل PHP در این مسیر نیازی به اجرا ندارد. برای جلوگیری از اجرای فایل های PHP در این مسیر یک پرونده .htaccess. در پوشه بارگذاری ها ایجاد کنید و کد زیر را در آن قرار دهید:

# اعدام PHP را بکشید

انکار از همه

الگویی که استفاده می کنید ممکن است پوشه بارگذاری را با استفاده از اجرای کد PHP مدیریت کند. بنابراین ، اگر وب سایت شما پس از استفاده از کد فوق مشکلی داشته باشد ، مجبور است کد فوق را از پرونده .htaccess حذف کند. شما هستید.

9- ویرایش فایل را از طریق وردپرس غیرفعال کنید

هرکسی که به پنل مدیریت وردپرس دسترسی داشته باشد می تواند به راحتی اطلاعات مخرب را در بسیاری از پرونده ها و افزونه های قالب وردپرس اصلاح ، حذف یا حتی تزریق کند.
بنابراین ، توصیه می کنیم برای غیرفعال کردن این ویژگی ، کد زیر را به انتهای پرونده wp-config.php اضافه کنید. در این حالت ، تنها راه ویرایش پرونده دسترسی به پنل میزبان و FTP است.

تعریف (& # 39؛ DISALLOW_FILE_EDIT & # 39؛ ، درست)؛

10- قسمت اشکال زدایی وردپرس را غیرفعال کنید

گاهی اوقات بخشی از وب سایت شما دارای مشکلی است اما شما دلیل این مشکل را نمی دانید. بنابراین می توانید بخش اشکال زدایی وردپرس را برای نمایش خطاها و رفع مشکل فعال کنید. اما بسیار مهم است که بعد از رفع مشکل دوباره اشکال زدایی یا اشکال زدایی را غیرفعال کنید.
بنابراین مطمئن شوید که دو کد زیر در پرونده wp-config.php وجود دارد:

define (& # 39؛ WP_DEBUG & # 39؛ ، false)؛
define (& # 39؛ WP_DEBUG_DISPLAY & # 39؛ ، false)؛

11- XML-RPC را غیرفعال کنید

XML-RPC امکان انتقال داده از راه دور را فراهم می کند. فرض کنید شما یک برنامه یا نرم افزار ایجاد کرده اید که به وردپرس متصل می شود و از طریق آن محتوا را در وبلاگ آپلود می کنید و .. خوب ، شاید این ویژگی یک ویژگی خوب به نظر برسد ، اما مطمئناً همینطور است. اما با استفاده از این فناوری ، حمله به وب سایت ، به ویژه حملات DDOS بسیار آسان است. بنابراین ، از آنجا که از این ویژگی زیاد استفاده نمی شود ، بهتر است آن را از ابتدا غیرفعال کنید.
برای غیرفعال کردن XML-RPC ، کافیست کد زیر را به انتهای پرونده .htaccess اضافه کنید:

سفارش را انکار کنید ، اجازه دهید
انکار از همه

از آنجا که بیشتر کد در پرونده .htaccess تا این مرحله وجود دارد. ذخیره می شوند بنابراین شما به خود فایل .htaccess نیاز دارید. از امکان ویرایش محافظت کنید. برای انجام این کار ، کد زیر را به این پرونده اضافه کنید:

# امن کردن پرونده .htaccess

سفارش اجازه ، انکار
انکار از همه
راضی کردن همه

12- کلید امنیتی و نمک را تغییر دهید

اگر به محتویات فایل wp-config.php توجه کنید ، در انتهای پرونده پس از اطلاعات پایگاه داده ، 6 تا 8 خط کد را مشاهده می کنید که با کلمه تعریف شروع شده اند. این کدها که معمولاً طولانی و قابل درک نیستند ، الگوریتمی برای ارتباطات وردپرس و عملکرد آن در بخشهای مختلف ایجاد می کنند. اما توصیه می کنیم هر چند وقت یک بار (ماهانه) این الگوریتم ها را تغییر دهید ، خصوصاً اگر وب سایت شما قبلاً هک شده باشد.
برای این کار به صفحه تولید الگوریتم های وردپرس مراجعه کنید. به محض مراجعه به صفحه ، کدها بصورت تصادفی تولید می شوند. فقط کد موجود در پرونده wp-config.php را جایگزین کنید.
https://api.wordpress.org/secret-key/1.1/salt/

13- فایروال و پلاگین امنیتی

با دنبال کردن مراحل بالا ، سیستم وردپرس شما تا حد زیادی امن خواهد بود ، اما پلاگین های امنیتی نیز می توانند مفید باشند. پلاگین های امنیتی با نظارت مداوم وردپرس ، پرونده های مخربی را پیدا می کنند و به شما کمک می کنند وب سایت خود را در برابر حملات Brute-Force ، ارسال هرزنامه ، ورود به سیستم مشکوک ، SQL Injection و … محافظت کنید.
البته بسیار مهم است که همیشه از نسخه های اصلی و به روزرسانی این افزونه ها استفاده کنید و تنظیمات داخل آنها را به درستی انجام دهید.
این شامل پلاگین های امنیتی وردپرس است:
Wordfence Security
امنیت BulletProof
iThemes Security

علاوه بر این ، در تمام سرورهای HiSupport ، فایروال مبتنی بر وب Mod_Security به صورت مدیریت شده در دسترس شما است و ما همیشه با اجرای سیستم های هوشمند و برنامه ریزی شده وب سایت های شما را رصد می کنیم.

14- پشتیبان گیری (پشتیبان گیری)

به خاطر امنیت یا هر چیز دیگری مهم نیست. پشتیبان گیری قسمت مهمی در مدیریت وب سایت شماست. پشتیبان گیری در مواقع بحرانی به کار شما می آید ، بنابراین چه مشکلی داشته باشید و چه نداشته باشید ، نیاز به تهیه نسخه پشتیبان اجتناب ناپذیر است ، زیرا با داشتن نسخه پشتیبان ، هر زمان که مشکلی داشته باشید ، می توانید بدون نگرانی سریع مشکل را برطرف کنید.
بنابراین ، ما توصیه می کنیم که یک برنامه قوی برای پشتیبان گیری از اطلاعات وب سایت طراحی کنید.
برای ایجاد نسخه پشتیبان دو روش وجود دارد:
از کلیه اطلاعات وب سایت و میزبانی خود یک نسخه پشتیبان تهیه کنید
در این روش علاوه بر وردپرس ، از قسمتهای دیگر میزبان شما مانند ایمیل ، تنظیمات و نیز نسخه پشتیبان تهیه می شود.
سرورهای HiSupport برای تهیه نسخه پشتیبان از کلیه اطلاعات وب سایت شما در 3 دوره روزانه ، هفتگی و ماهانه ، بصورت محلی و از راه دور طراحی و پیکربندی شده اند. مجموع این پشتیبان ها به 850 بار در سال می رسد.

از افزونه های زیر استفاده کنید:
VaultPress
افزونه VaultPress به قدری قدرتمند و حرفه ای است که نه تنها به صورت دستی و خودکار از وردپرس پشتیبان تهیه می کند ، بلکه آن را به روشی خاص نیز حفظ می کند. برای استفاده از این افزونه ، باید از وب سایت wordpress استفاده کنید. .com مشترک شوید.
BackWP به بالا
افزونه BackWP up نیز یکی از حرفه ای ها در ایجاد پشتیبان گیری خودکار وردپرس و ذخیره آن در مکان مورد نظر شما است ، مانند: میزبان ، dropbox ، ایمیل و ….
پشتیبان گیری از وردپرس
امکان ایجاد پشتیبان گیری حرفه ای و صادرات / واردات آسان از ویژگی های این افزونه است.
Updraftplus
این پلاگین تنظیمات بسیار ساده ای دارد بنابراین کار با آن بسیار آسان است.
WP-DB-Backup
همانطور که از نام آن پیداست ، WP-DB-Backup فقط از پایگاه داده و جداول داخل آن پشتیبان تهیه می کند.

15- دوباره به روز کنید ، به روز کنید و دوباره به روز کنید!

وب سایت خود را همیشه به روز نگه دارید. پلاگین ها ، قالب ها ، وردپرس ، همیشه باید معتبر و به روز باشند. اکیداً توصیه می شود از نرم افزار null / crack استفاده نکنید و همیشه با انتشار نسخه جدید ، بلافاصله مراحل به روزرسانی را اجرا کنید.
اجرای فرآیند بروزرسانی نه تنها باعث بهبود عملکرد وب سایت شما می شود ، بلکه مشکلات و حفره های امنیتی وردپرس و سایر اجزای آن را نیز برطرف می کند.
نحوه به روزرسانی وردپرس

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

هفت + بیست =