اگر وبسایت وردپرسی شما هک شود ، شما در معرض از دست دادن دادههای مهم سایتتان قرار دارید. علاوه بر این، افزایش امنیت وردپرس از این جهت مهم است که میتواند دادههای شخصی مشتریان شما و اطلاعات صورتحساب را به مخاطره بیندازد.
قبل از اقدام به خرید سایت وردپرسی بهتر است از روش های افزایش امنیت آن نیز اطلاعاتی کسب کنید.
بر اساس پایگاه داده آسیبپذیری WPScan ، این نوع متداول از آسیبپذیریهای امنیتی وردپرس عبارتاند از:
پیشنهاد مطالعه: زامبی پیج چیست؟
در این بخش، شش نکته کلی امنیت وردپرس را که نیازی به دانش فنی پیشرفته و سرمایهگذاری با ریسک بالا ندارند، بررسی میکنیم. حتی یک مبتدی هم میتواند این کارهای ساده را انجام دهد، مانند بهروزرسانی نرمافزار وردپرس و حذف قالبهای استفاده نشده.
وردپرس به طور منظم بروزرسانیهای نرمافزاری را برای بهبود عملکرد و امنیت ارائه میدهد. این بروزرسانیها همچنین سایت شما را در برابر تهدیدات سایبری محافظت میکنند.
بهروزرسانی نسخهوردپرس یکی از سادهترین راهها برای بهبود امنیت وردپرس است. با این حال، تقریباً 50٪ سایتهای وردپرسی بر روی نسخه قدیمیتر وردپرس کار میکنند که آنها را بیشتر در معرض خطر قرار میدهد.
برای بررسی اینکه آیا نسخه جدیدترین وردپرس را دارید، به بخش مدیریت وردپرس خود وارد شوید و به داشبورد → بروزرسانیها در پنل منوی سمت چپ بروید. اگر نشان میدهد که نسخه شما بهروز نیست، بهشدت توصیه میکنیم آن را بهمحض امکان بهروز کنید.
بر روی تاریخهای انتشار بروزرسانی آینده نگه دارید تا اطمینان حاصل کنید که سایت شما نسخه قدیمی وردپرس را اجرا نمیکند.
همچنین پیشنهاد میکنیم قالبها و افزونههای نصبشده در سایت وردپرسی خود را بهروز کنید. قالبها و افزونههای منسوخشده ممکن است با نرمافزار اصلی وردپرس بهروزرسانیشده تعارض داشته باشند، باعث بروز خطاها و قرار گرفتن در معرض تهدیدات امنیتی میشوند.
برای حذف قالبها و افزونههای منسوخ، این مراحل را دنبال کنید:
فعال کردن بهروزرسانیهای خودکار کار بار شما را کاهش میدهد، اما ممکن است به علت عدم سازگاری با افزونهها یا قالبهای قدیمی، سایت شما را دچار خرابی کند. اگر این گزینه را فعال کنید، اطمینان حاصل کنید که سایت شما به طور منظم پشتیبانگیری میشود تا در صورت بروز خطا، بتوانید به نسخه قبلی برگردید.
پیشنهاد مطالعه: چک لیست سئو تکنیکال
قالبها و افزونههایی که دیگر استفاده نمیشوند یا بهروز نیستند، دروازههای امنیتی آسیبپذیری را باز میکنند. برای حفظ امنیت سایت وردپرسی خود، توصیه میشود که قالبها و افزونههای استفاده نشده را حذف کنید.
برای حذف یک قالب یا افزونه استفاده نشده از وردپرس، به بخش مدیریت وردپرس خود بروید و به داشبورد → قالبها (برای قالب) یا داشبورد → افزونهها (برای افزونهها) بروید. سپس روی قالب یا افزونهای که میخواهید حذف کنید کلیک کنید و دکمه “حذف” را بزنید.
احراز هویت دو عاملی یک روش امکمل امنیتی است که برای دسترسی به حساب کاربری وردپرسی شما نیاز به یک رمز عبور و یک کد تأیید موقتی دارد. این کد معمولاً از طریق یک برنامه مانند Google Authenticator یا Authy بر روی تلفن همراه شما ارسال میشود.
برای فعال کردن احراز هویت دو عاملی در وردپرس، افزونهای مانند Two-Factor یا Wordfence Login Security را نصب و فعال کنید. این افزونهها به شما امکان میدهند تا احراز هویت دو عاملی را برای حساب کاربری وردپرسی خود تنظیم کنید و کنترل دسترسی کاربران به سایتتان را افزایش دهید.
ایجاد پشتیبانهای منظم از سایت وردپرسی شما به شما امکان میدهد تا در صورت بروز مشکل یا حمله امنیتی به سایت خود برگردید. پشتیبانگیری منظم اطلاعات شما را در مقابل از دست رفتن دادهها یا خرابی سایت محافظت میکند.
افزونههای مختلفی مانند UpdraftPlus یا BackupBuddy وجود دارند که به شما کمک میکنند تا به طور خودکار و منظم از سایت وردپرسی خود پشتیبان بگیرید. همچنین، برخی از شرکتهای هاستینگ وب نیز خدمات پشتیبانگیری را در بستههای خود ارائه میدهند.
پیشنهاد ویژه: تهیه دوره سئو سایت مبتدی تا پیشرفته
برای جلوگیری از حملات نیروی خام (brute force) و حفاظت از وردپرس، میتوانید تعداد تلاشهای ناموفق ورود به سایت خود را محدود کنید. این کار باعث میشود که حملهکنندگان پس از از چندین تلاش ناموفق، از دسترسی به صفحه ورود به سایت شما محروم شوند. برای این کار، افزونهای مانند Login LockDown یا WP Limit Login Attempts را نصب و فعال کنید.
تغییر URL صفحه ورود به وردپرس از /wp-admin یا /wp-login.php به یک آدرس دلخواه دیگر، میتواند به افزایش امنیت سایت شما کمک کند. این کار باعث میشود که رباتها و حملهکنندگان نتوانند به راحتی صفحه ورود به سایت شما را پیدا کنند.
برای تغییر URL صفحه ورود به وردپرس، افزونهای مانند WPS Hide Login یا iThemes Security را استفاده کنید.
کاربرانی که برای مدت طولانی بیکار هستند، ممکن است به عنوان یک ریسک امنیتی تلقی شوند. با خروج خودکار کاربران بیکار، شما میتوانید از سایت خود در برابر دسترسیهای غیرمجاز محافظت کنید.
افزونهای مانند Inactive Logout را نصب و فعال کنید تا کاربرانی که به مدت مشخصی بیکار بمانند، به طور خودکار از سایت خارج شوند.
نظارت بر فعالیت کاربران به شما اجازه میدهد تا تغییرات مشکوک را شناسایی و از سوء استفادههای احتمالی جلوگیری کنید. افزونههایی مانند WP Activity Log یا Simple History را نصب و فعال کنید تا بتوانید فعالیتهای کاربران را رصد و گزارش بگیرید.
پیشنهاد ویژه: استعلام قیمت سئو ارزان و به صرفه
بررسی منظم سایت شما برای شناسایی و حذف بدافزار میتواند به حفظ امنیت وردپرس بهتر کمک کند. از ابزارهای امنیتی مانند Sucuri SiteCheck یا Wordfence برای اسکن و پاکسازی سایت خود استفاده کنید.
گزارش خطاهای PHP میتواند اطلاعات حساسی را برای حملهکنندگان فاش کند. بنابراین، بهتر است این قابلیت را غیرفعال کنید. برای این کار، فایل wp-config.php را ویرایش کرده و خط زیر را اضافه کنید:
میزبانهای وب مختلف سطوح متفاوتی از امنیت را ارائه میدهند. اگر امنیت سایت شما برای میزبان فعلیتان اولویت نیست، ممکن است بخواهید به دنبال یک میزبان با امکانات امنیتی قویتر بگردید.
وردپرس به صورت پیشفرض اجازه میدهد که افزونهها و قالبها را از طریق محیط مدیریت ویرایش کنید. اما این قابلیت میتواند یک ریسک امنیتی باشد. برای غیرفعال کردن ویرایش فایلها، خط زیر را به فایل wp-config.php اضافه کنید:
define('DISALLOW_FILE_EDIT', true);
استفاده از .htaccess برای غیرفعال کردن اجرای فایلهای PHP و حفاظت از فایل wp-config.php
برای افزایش امنیت سایت وردپرسی خود، میتوانید از فایل .htaccess استفاده کنید تا اجرای فایلهای PHP را در پوشههای خاصی غیرفعال کنید و فایل wp-config.php را محافظت کنید. برای این کار، کدهای زیر را به فایل .htaccess اضافه کنید:
<Files *.php>
deny from all
</Files```
<Files wp-config.php>
order allow,deny
deny from all
</Files>
این کدها باعث میشوند که دسترسی به فایلهای PHP و فایل wp-config.php برای همه کاربران مسدود شود.
پیشوند پیشفرض جداول پایگاه داده وردپرس “wp_” است. با تغییر این پیشوند، میتوانید سایت خود را در برابر حملاتی که به دنبال این پیشوند هستند محافظت کنید. برای این کار، میتوانید از افزونههایی مانند iThemes Security یا WP-DBManager استفاده کنید.
ویژگی XML-RPC در وردپرس به اپلیکیشنها و سایر سیستمها اجازه میدهد که با سایت شما ارتباط برقرار کنند. با این حال، این ویژگی میتواند در برابر حملات مواجه شود. برای غیرفعال کردن XML-RPC، خط زیر را به فایل .htaccess اضافه کنید:
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>
با مخفی کردن نسخه وردپرس، میتوانید از اطلاعاتی که به حملهکنندگان کمک میکند جلوگیری کنید. برای این کار، خط زیر را به فایل functions.php قالب خود اضافه کنید:
remove_action('wp_head', 'wp_generator');
هاتلینکینگ به این معناست که سایتهای دیگر به طور مستقیم به فایلهای میزبانی شده در سایت شما لینک میدهند. این میتواند منجر به افزایش ترافیک و استفاده از پهنای باند شود. برای جلوگیری از هاتلینکینگ، کدهای زیر را به فایل . htaccess خود اضافه کنید:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ - [NC,F,L]
یادداشت: ‘yourdomain.com’ را با نام دامنه خود جایگزین کنید.
این کد باعث میشود تا تصاویر سایت شما فقط از طریق دامنه شما و گوگل قابل دسترسی باشند. سایر سایتها نمیتوانند به طور مستقیم به تصاویر سایت شما لینک دهند.
مجوزهای فایل و پوشه برای مشخص کردن سطح دسترسی کاربران به فایلها و پوشههای میزبانی شده بر روی سرور استفاده میشود. مجوزهای مناسب به شما کمک میکند تا سایت خود را در برابر دسترسیهای غیرمجاز محافظت کنید.
برای اطمینان از امنیت سایت وردپرسی خود، مجوزهای زیر را برای فایلها و پوشههای مربوطه تنظیم کنید:
برای تغییر مجوزها، از طریق FTP یا مدیریت فایل هاست به سرور خود دسترسی پیدا کرده و مجوزهای مربوطه را تنظیم کنید.
با اجرای مراحل بالا و رعایت روشهای امنیتی پیشنهادی، میتوانید از امنیت بیشتری برای سایت وردپرسی خود برخوردار شوید. همچنین میتوانید از افزونههای امنیتی وردپرس مانند Wordfence یا iThemes Security برای مدیریت بهتر امنیت سایت استفاده کنید.