آرتا رسانه

آژانس دیجیتال مارکتینگ آرتا رسانه با سالها تجربه کنار شماست

تماس برای مشاوره
خرید سایت

آکادمی آرتا رسانه با دوره های آموزشی رایگان

چرا افزایش امنیت وردپرس مهم است؟

اگر وبسایت وردپرسی شما هک شود ، شما در معرض از دست دادن داده‌های مهم ، دارایی‌ها و اعتبار قرار دارید. علاوه بر این ، افزایش امنیت وردپرس از این جهت مهم است که می‌تواند داده‌های شخصی مشتریان شما و اطلاعات صورتحساب را به مخاطره بیندازد.

هزینه‌های خسارت‌های حمله سایبری می‌تواند تا سال 2025 به 10.5 تریلیون دلار در سال برسد. قطعا شما نمی‌خواهید هدف هکر شوید و به آن کمک کنید.

قبل از اقدام به خرید سایت وردپرسی بهتر است از روش های افزایش امنیت آن نیز اطلاعاتی کسب کنید.

بر اساس پایگاه داده آسیب‌پذیری WPScan ، این نوع متداول از آسیب‌پذیری‌های امنیتی وردپرس عبارت‌اند از:

  • جعل درخواست مابین سایت (CSRF): کاربر را مجبور می‌کند که عملیات‌های ناخواسته را در یک برنامه وب معتبر اجرا کند.
  • حمله انکار سرویس توزیع‌شده (DDoS): با غرق کردن خدمات آنلاین با اتصالات ناخواسته ، سایت را غیرقابل دسترس می‌کند.
  • دور زدن احراز هویت: به هکرها دسترسی به منابع وبسایت شما بدون بررسی احراز هویت آن‌ها می‌دهد.
  • تزریق SQL (SQLi): سیستم را مجبور می‌کند که پرس‌وجوهای SQL خبیث را اجرا کرده و داده‌ها را در پایگاه داده‌ها تغییر دهد.
  • اسکریپت‌نویسی مابین سایت (XSS):کد خبیثی را تزریق می‌کند که سایت را به یک ابزار انتقال بدافزار تبدیل می‌کند.
  • درج فایل محلی (LFI): سایت را مجبور می‌کند که فایل‌های خبیث قرار گرفته بر روی سرور وب را پردازش کند.

چگونه امنیت سایت وردپرسی را افزایش دهیم؟

  •  سایت خود را به روز نگه دارید.
  •  از اعتبارات ورود امن به wp-admin استفاده کنید.
  •  برای صفحه مدیریت فهرست امن و فهرست مسدود را تنظیم کنید.
  •  از یک قالب معتبر وردپرس استفاده کنید.
  •  یک گواهینامه SSL برای انتقال امن داده نصب کنید.
  •  قالب‌ها و افزونه‌های استفاده نشده وردپرس را حذف کنید.
  • احراز هویت دو مرحله‌ای را فعال کنید.
  •  به طور منظم پشتیبان‌گیری انجام دهید.
  • تعداد تلاش‌های ناموفق ورود به سیستم را را محدود کنید.
  • آدرس URL صفحه ورود به وردپرس را تغییر دهید.
  • 1کاربران بیکار را به طور خودکار خارج کنید.
  • 1فعالیت کاربران را نظارت کنید.
  •  به طور منظم سایت خود را برای بدافزارها اسکن کنید.
  •  قابلیت گزارش خطاهای PHP را غیرفعال کنید.
  •  به یک میزبان وب امن‌تر مهاجرت کنید.
  •  ویرایش فایل‌ها را غیرفعال کنید.
  •  با استفاده از .htaccess اجرای فایل‌های PHP را غیرفعال کنید و پرونده wp-config.php را محافظت کنید.
  •  پیشوند پیش‌فرض پایگاه داده‌های وردپرس را تغییر دهید.
  •  قابلیت XML-RPC را غیرفعال کنید.
  •  نسخه وردپرس خود را مخفی کنید.
  •  لینک‌دهی گرم را از سایر وبسایت‌ها مسدود کنید.
  •  مجوز‌های فایل و پوشه را مدیریت کنید.

روش‌های کلی برای بهبود امنیت وبسایت

در این بخش، شش نکته کلی امنیت وردپرس را که نیازی به دانش فنی پیشرفته و سرمایه‌گذاری با ریسک بالا ندارند، بررسی می‌کنیم. حتی یک مبتدی هم می‌تواند این کارهای ساده را انجام دهد، مانند به‌روزرسانی نرم‌افزار وردپرس و حذف قالب‌های استفاده نشده.

آپدیت نسخه وردپرس 

وردپرس به طور منظم بروزرسانی‌های نرم‌افزاری را برای بهبود عملکرد و امنیت ارائه می‌دهد. این بروزرسانی‌ها همچنین سایت شما را در برابر تهدیدات سایبری محافظت می‌کنند.

به‌روزرسانی نسخهوردپرس یکی از ساده‌ترین راه‌ها برای بهبود امنیت وردپرس است. با این حال، تقریباً 50٪ سایت‌های وردپرسی بر روی نسخه قدیمی‌تر وردپرس کار می‌کنند که آن‌ها را بیشتر در معرض خطر قرار می‌دهد.

برای بررسی اینکه آیا نسخه جدیدترین وردپرس را دارید، به بخش مدیریت وردپرس خود وارد شوید و به داشبورد → بروزرسانی‌ها در پنل منوی سمت چپ بروید. اگر نشان می‌دهد که نسخه شما به‌روز نیست، به‌شدت توصیه می‌کنیم آن را به‌محض امکان به‌روز کنید.

روش های افزایش امنیت وردپرس

بر روی تاریخ‌های انتشار بروزرسانی آینده نگه دارید تا اطمینان حاصل کنید که سایت شما نسخه قدیمی وردپرس را اجرا نمی‌کند.

همچنین پیشنهاد می‌کنیم قالب‌ها و افزونه‌های نصب‌شده در سایت وردپرسی خود را به‌روز کنید. قالب‌ها و افزونه‌های منسوخ‌شده ممکن است با نرم‌افزار اصلی وردپرس به‌روزرسانی‌شده تعارض داشته باشند، باعث بروز خطاها و قرار گرفتن در معرض تهدیدات امنیتی می‌شوند.

برای حذف قالب‌ها و افزونه‌های منسوخ، این مراحل را دنبال کنید:

  • به بخش مدیریت وردپرس خود بروید و به داشبورد → بروزرسانی‌ها بروید.
  • به بخش قالب‌ها و افزونه‌ها بروید و لیست قالب‌ها و افزونه‌های آماده برای به‌روزرسانی را بررسی کنید.
  • توجه داشته باشید که می‌توانید همه آن‌ها را به طور همزمان یا جداگانه به‌روز کنید. روی به‌روزرسانی افزونه‌ها کلیک کنید.
روش های متعدد افزایش امنیت وردپرس

فعال کردن به‌روزرسانی‌های خودکار کار بار شما را کاهش می‌دهد، اما ممکن است به علت عدم سازگاری با افزونه‌ها یا قالب‌های قدیمی، سایت شما را دچار خرابی کند. اگر این گزینه را فعال کنید، اطمینان حاصل کنید که سایت شما به طور منظم پشتیبان‌گیری می‌شود تا در صورت بروز خطا، بتوانید به نسخه قبلی برگردید.

حذف قالب‌ها و افزونه‌های استفاده نشده وردپرس

قالب‌ها و افزونه‌هایی که دیگر استفاده نمی‌شوند یا به‌روز نیستند، دروازه‌های امنیتی آسیب‌پذیری را باز می‌کنند. برای حفظ امنیت سایت وردپرسی خود، توصیه می‌شود که قالب‌ها و افزونه‌های استفاده نشده را حذف کنید.

برای حذف یک قالب یا افزونه استفاده نشده از وردپرس، به بخش مدیریت وردپرس خود بروید و به داشبورد → قالب‌ها (برای قالب) یا داشبورد → افزونه‌ها (برای افزونه‌ها) بروید. سپس روی قالب یا افزونه‌ای که می‌خواهید حذف کنید کلیک کنید و دکمه “حذف” را بزنید.

افزایش امنیت وردپرس بدون افزونه

فعال کردن احراز هویت دو عاملی

احراز هویت دو عاملی یک روش امکمل امنیتی است که برای دسترسی به حساب کاربری وردپرسی شما نیاز به یک رمز عبور و یک کد تأیید موقتی دارد. این کد معمولاً از طریق یک برنامه مانند Google Authenticator یا Authy بر روی تلفن همراه شما ارسال می‌شود.

برای فعال کردن احراز هویت دو عاملی در وردپرس، افزونه‌ای مانند Two-Factor یا Wordfence Login Security را نصب و فعال کنید. این افزونه‌ها به شما امکان می‌دهند تا احراز هویت دو عاملی را برای حساب کاربری وردپرسی خود تنظیم کنید و کنترل دسترسی کاربران به سایتتان را افزایش دهید.

افزایش امنیت وردپرس با افزونه

ایجاد پشتیبان‌های منظم

ایجاد پشتیبان‌های منظم از سایت وردپرسی شما به شما امکان می‌دهد تا در صورت بروز مشکل یا حمله امنیتی به سایت خود برگردید. پشتیبان‌گیری منظم اطلاعات شما را در مقابل از دست رفتن داده‌ها یا خرابی سایت محافظت می‌کند.

افزونه‌های مختلفی مانند UpdraftPlus یا BackupBuddy وجود دارند که به شما کمک می‌کنند تا به طور خودکار و منظم از سایت وردپرسی خود پشتیبان بگیرید. همچنین، برخی از شرکت‌های هاستینگ وب نیز خدمات پشتیبان‌گیری را در بسته‌های خود ارائه می‌دهند.

محدود کردن تعداد تلاش‌های ناموفق ورود

برای جلوگیری از حملات نیروی خام (brute force) و حفاظت از وردپرس، می‌توانید تعداد تلاش‌های ناموفق ورود به سایت خود را محدود کنید. این کار باعث می‌شود که حمله‌کنندگان پس از از چندین تلاش ناموفق، از دسترسی به صفحه ورود به سایت شما محروم شوند. برای این کار، افزونه‌ای مانند Login LockDown یا WP Limit Login Attempts را نصب و فعال کنید.

افزایش امنیت وردپرس با روش های مختلف

انواع روش های افزایش امنیت وردپرس

تغییر URL صفحه ورود به وردپرس

تغییر URL صفحه ورود به وردپرس از /wp-admin یا /wp-login.php به یک آدرس دلخواه دیگر، می‌تواند به افزایش امنیت سایت شما کمک کند. این کار باعث می‌شود که ربات‌ها و حمله‌کنندگان نتوانند به راحتی صفحه ورود به سایت شما را پیدا کنند.

برای تغییر URL صفحه ورود به وردپرس، افزونه‌ای مانند WPS Hide Login یا iThemes Security را استفاده کنید.

خروج خودکار کاربران بیکار

کاربرانی که برای مدت طولانی بیکار هستند، ممکن است به عنوان یک ریسک امنیتی تلقی شوند. با خروج خودکار کاربران بیکار، شما می‌توانید از سایت خود در برابر دسترسی‌های غیرمجاز محافظت کنید.

افزونه‌ای مانند Inactive Logout را نصب و فعال کنید تا کاربرانی که به مدت مشخصی بیکار بمانند، به طور خودکار از سایت خارج شوند.

افزایش امنیت وردپرس با روش های متعدد

رصد فعالیت کاربران

نظارت بر فعالیت کاربران به شما اجازه می‌دهد تا تغییرات مشکوک را شناسایی و از سوء استفاده‌های احتمالی جلوگیری کنید. افزونه‌هایی مانند WP Activity Log یا Simple History را نصب و فعال کنید تا بتوانید فعالیت‌های کاربران را رصد و گزارش بگیرید.

بررسی منظم سایت برای بدافزار

بررسی منظم سایت شما برای شناسایی و حذف بدافزار می‌تواند به حفظ امنیت وردپرس بهتر کمک کند. از ابزارهای امنیتی مانند Sucuri SiteCheck یا Wordfence برای اسکن و پاکسازی سایت خود استفاده کنید.

غیرفعال کردن قابلیت گزارش خطاهای

گزارش خطاهای PHP می‌تواند اطلاعات حساسی را برای حمله‌کنندگان فاش کند. بنابراین، بهتر است این قابلیت را غیرفعال کنید. برای این کار، فایل wp-config.php را ویرایش کرده و خط زیر را اضافه کنید:

انتقال به یک میزبان وب امن‌تر

میزبان‌های وب مختلف سطوح متفاوتی از امنیت را ارائه می‌دهند. اگر امنیت سایت شما برای میزبان فعلی‌تان اولویت نیست، ممکن است بخواهید به دنبال یک میزبان با امکانات امنیتی قوی‌تر بگردید.

غیرفعال کردن ویرایش فایل‌ها

وردپرس به صورت پیش‌فرض اجازه می‌دهد که افزونه‌ها و قالب‌ها را از طریق محیط مدیریت ویرایش کنید. اما این قابلیت می‌تواند یک ریسک امنیتی باشد. برای غیرفعال کردن ویرایش فایل‌ها، خط زیر را به فایل wp-config.php اضافه کنید:

define('DISALLOW_FILE_EDIT', true);

استفاده از .htaccess برای غیرفعال کردن اجرای فایل‌های PHP و حفاظت از فایل wp-config.php

برای افزایش امنیت سایت وردپرسی خود، می‌توانید از فایل .htaccess استفاده کنید تا اجرای فایل‌های PHP را در پوشه‌های خاصی غیرفعال کنید و فایل wp-config.php را محافظت کنید. برای این کار، کدهای زیر را به فایل .htaccess اضافه کنید:

<Files *.php>
deny from all
</Files```
<Files wp-config.php>
order allow,deny
deny from all
</Files>

این کدها باعث می‌شوند که دسترسی به فایل‌های PHP و فایل wp-config.php برای همه کاربران مسدود شود.

تغییر پیشوند پیش‌فرض پایگاه داده وردپرس

پیشوند پیش‌فرض جداول پایگاه داده وردپرس “wp_” است. با تغییر این پیشوند، می‌توانید سایت خود را در برابر حملاتی که به دنبال این پیشوند هستند محافظت کنید. برای این کار، می‌توانید از افزونه‌هایی مانند iThemes Security یا WP-DBManager استفاده کنید.

غیرفعال کردن ویژگی XML-RPC

ویژگی XML-RPC در وردپرس به اپلیکیشن‌ها و سایر سیستم‌ها اجازه می‌دهد که با سایت شما ارتباط برقرار کنند. با این حال، این ویژگی می‌تواند در برابر حملات مواجه شود. برای غیرفعال کردن XML-RPC، خط زیر را به فایل .htaccess اضافه کنید:

<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

مخفی کردن نسخه وردپرس

با مخفی کردن نسخه وردپرس، می‌توانید از اطلاعاتی که به حمله‌کنندگان کمک می‌کند جلوگیری کنید. برای این کار، خط زیر را به فایل functions.php قالب خود اضافه کنید:

remove_action('wp_head', 'wp_generator');

جلوگیری از هات‌لینکینگ از سایت‌های دیگر

هات‌لینکینگ به این معناست که سایت‌های دیگر به طور مستقیم به فایل‌های میزبانی شده در سایت شما لینک می‌دهند. این می‌تواند منجر به افزایش ترافیک و استفاده از پهنای باند شود. برای جلوگیری از هات‌لینکینگ، کدهای زیر را به فایل . htaccess خود اضافه کنید:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ - [NC,F,L]

یادداشت: ‘yourdomain.com’ را با نام دامنه خود جایگزین کنید.

این کد باعث می‌شود تا تصاویر سایت شما فقط از طریق دامنه شما و گوگل قابل دسترسی باشند. سایر سایت‌ها نمی‌توانند به طور مستقیم به تصاویر سایت شما لینک دهند.

مدیریت مجوزهای فایل و پوشه

مجوزهای فایل و پوشه برای مشخص کردن سطح دسترسی کاربران به فایل‌ها و پوشه‌های میزبانی شده بر روی سرور استفاده می‌شود. مجوزهای مناسب به شما کمک می‌کند تا سایت خود را در برابر دسترسی‌های غیرمجاز محافظت کنید.

برای اطمینان از امنیت سایت وردپرسی خود، مجوزهای زیر را برای فایل‌ها و پوشه‌های مربوطه تنظیم کنید:

  • پوشه‌ها: 755
  • فایل‌ها: 644

    • برای تغییر مجوزها، از طریق FTP یا مدیریت فایل هاست به سرور خود دسترسی پیدا کرده و مجوزهای مربوطه را تنظیم کنید.

    با اجرای مراحل بالا و رعایت روش‌های امنیتی پیشنهادی، می‌توانید از امنیت بیشتری برای سایت وردپرسی خود برخوردار شوید. همچنین می‌توانید از افزونه‌های امنیتی وردپرس مانند Wordfence یا iThemes Security برای مدیریت بهتر امنیت سایت استفاده کنید.

    پیمایش به بالا