آموزش امنیت وردپرس 【از 0 تا 100】

امنیت یکی از مهم ترین مسائل مطرح در فضای مجازی و اینترنت است که تمامی مدیران سایت را نگران کرده است. نگرانی مدیران سایت از نفوذ و حمله توسط نفوذگران، مدیران امنیت را به فکر مقاوم سازی زبان‌های برنامه نویسی وب در مقابله حمله‌های نفوذگران محافظت می‌کند در مقاله آموزش امنیت وردپرس به مواردی که می‌تواند سایت شما را ایمن کند اشاره می‌کنیم.

علاقه نفوذگران به وردپرس؟

وردپرس محبوب‌ترین سیستم مدیریت محتوا است که به صورت رایگان و متن باز ارائه می‌شود. این سیستم مدیریت محتوا حدود 30 درصد تمام سایت‌های موجود در اینترنت را تشکیل داده است که به بیش از 3 میلیون سایت می‌رسد همین عامل نفوذگران را علاقه مند به نفوذ به این سایت ها می‌کنند یکی از دلایل این که نفوذگران علاقه به نفوذ به این سایت ها دارند این است که اگر بتوانند یک سایت وردپرسی را هک کنند می توانند به بقیه هم از همان روش نفوذ کنند یکی دیگر از دلایل علاقمندی نفوذگران به این سایت ها عدم توانایی پشتیبانی به موقع و دائم مدیران وردپرس از  این CMS است.

البته تیم وردپرس به صورت مداوم بروزرسانی ارائه می‌دهد و مشکلات امنیتی این CMS را حل می‌کند ولی باز هم جای کار هست و قابل مقاوم سازی بیشتر است البته این نکته قابل ذکر است که بیشتر این حملات به خاطر عدم توانایی مدیریت صحیح مدیران سایت ها است نه وردپرس.

راه‌های افزایش امنیت وردپرس

برای این که سایت خود را از نفوذ محافظت کنیم باید راه‌های صحیح مقاوم سازی وردپرس را بداینم. راه‌های زیادی برای مقاوم سازی سایت های وردپرسی وجود دارد که باید حتما از آن‌ها استفاده کنید تا مورد نفوذ واقع نشوید یا حتی اگر به سایت شما نفوذ شد اطلاعات شما از بین نرود در این مقاله به آموزش امنیت وردپرس و راه های آن پرداخته ایم.

1. استفاده از نام کاربری و گذرواژه قوی

یکی از راه‌هایی که کار نفوذگر را سخت می‌کند و در مواردی بسیاری از نفوذ جلوگیری می‌کند نام کاربری و گذرواژه است هر چقدر نام کاربری و گذرواژه شما قوی باشد ضامن امنیت سایت شما می‌شود در وردپرس یک سیستم رمز دهی قوی وجود دارد که پیشنهاد می‌شود از آن استفاده کنید.

به علاوه با تعیین سطح دسترسی کاربران از نفوذ می‌توان جلوگیری کرد در وردپرس سطح های دسترسی مانند نویسنده، مدیرکل، ویرایشگر و کاربر معمولی وجود دارد که با تعیین سطح دسترسی هر کاربر می‌توان از امنیت سایت خود در این قسمت مطمئن باشید.

2. به روزرسانی مدوام وردپرس

وردپرس برای افزایش امنیت بروزرسانی های مداومی منتشر می‌کند که شما حتما باید آن را بروز کنید به علاوه قالب و افزونه های مورد استفاده شما هم بروزرسانی هایی منتشر می‌کنند که باید حتما از آن ها را بروز کنید.

3. بک آپ گیری از اطلاعات سایت

شما باید به صورت روزانه از اطلاعات خود بک آپ بگیرید تا در صورت نفوذ به سایت شما اطلاعات شما تخریب یا از بین نرود و در امان باشد.

4. افزایش امنیت فایل .htaccess

یکی از مهم ترین فایل های وردپرس است که کارهایی نظیر محافظت از فایل و فولدر های شما را انجام می‌دهد با افزایش امنیت این فایل از نفوذ به آن و به خطر افتادن فایل‌های شما جلوگیری کنید.

5. افزایش امنیت wp-config.php

یکی دیگر از فایل های بسیار مهم که اطلاعات دیتابیس را در خود نگه می‌دارد با افزایش امنیت در این فایل شما از نفوذ به دیتابیس سایتتان جلوگیری می‌کنید.

6. افزایش امنیت wp-admin

این فایل وظیفه نگه‌داری فایل‌های مربوط به پیشخوان را در خود نگه می‌دارد امنیت این فایل حتما باید افزایش یابد تا از نفوذ به وردپرس جلوگیری کرد.

7. تغییر پیشوند جداول وردپرس

در زمان نصب وردپرس در هاست یا لوکال هاست یک گزینه به اسم پیشوند جداول وجود دارد که با wp_ نشان داده می‌شود شما باید حتما این گزینه را به چیز دیگر مانند netiko@# تغییر دهید دقت داشته باشید اسمی که انتخاب می کنید سخت باشد و نامرتبط به کلمه جدول یا اسم سایت که غیرقابل حدس باشد.

8. استفاده از SSL

سایت‌ها به صورت پیش فرض از HTTP استفاده می‌کنند شما باید از سرویس HTTPS استفاده کنید تا اطلاعات شما در محیطی امن ارسال و دریافت شود و غیرقابل دستکاری یا نفوذ باشد یکی از فاکتور های مهم آموزش امنیت وردپرس همین استفاده از پروتکل HTTPS به جای HTTP است .

9. مخفی کردن نام کاربری

در اغلب قالب‌های وردپرس وقتی بر روی نام نویسنده کلیک کنید به صفحه نویسنده منتقل می‌شوید و نام کاربری آن را مشاهده می‌کنید این زمینه ساز نفوذ است اگر مایل بودید این ویژگی را لغو کنید.

10. غیرقابل مشاهده کردن پوشه‌های هاست

یکی از راه‌هایی که نفوذگران به راحتی می‌توانن سایت شما را مورد نفوذ قرار دهند پوشه های هاست (Directory Browsing) است شما باید این قابلیت را در هاست غیرفعال کنید.

برای این کار شما باید محتویات پوشه .htaccess را تغییر دهید و دستور Option –indexes را به انتهای فایل اضافه کنید به همین سادگی.

11. استفاده از افزونه امنیت وردپرس

با نصب افزونه‌های امنیتی شما می‌توانید امنیت سایت خود را بالا ببرید یکی از این افزونه‌ها که iThemes Security نام دارد می‌‎توانید از فایل ‌های وردپرس بک آپ بگیرید تا هر زمان که به مشکل خوردید از آن بک آپ استفاده کنید.

12. بررسی رفتار کاربران

با افزونه‌هایی می‌توان رفتار کاربران خود را زیر نظر داشت تا اگر به رفتار مشکوکی برخورد کردید می‌توانید به سرعت به رفع این نقطه ضعف بپردازید.

13. تغییر رمز کاربران به صورت دوره‌ای

شما باید هر از چندگاهی رمز تمامی کاربران را عوض کنید تا امنیت سایت را بالا ببرید این کار بهتر در هر 3 ماه یکبار انجام شود.

14. غیرفعال کردن فایل XML-RPC

این فایل امکان ارتباط از راه درو در وردپرس راه فعال می‌کند تا مثلا با استفاده از اندروید یا برنامه ویندوز وردپرس اشاره کرد. نفوذگر می‌تواند با استفاده از این ویژگی چندین درخواست را همزمان بدهد و سبب حمله DDOS شود و سایت شما را از کار بیاندازد پس شما باید این ویژگی را غیرفعال کنید.

15. غیرفعال کردن ویرایشگر قالب و افزونه‌ها

با استفاده از ویرایشگر می‌توان به فایلهای افزونه‌ها و قالب دسترسی داشت اگر نفوذگر موفق به ورود به پیشخوان شود می‌تواند با قرار دادن قطعه کدهای مخرب مانند بمب منطقی باعث از کار افتادن سایت شما شود. برای غیرفعال کردن این ویژگی باید در فایل wp_config.php قسمت define را ویرایش و قطعه کدی را به آن اضافه کرد.

16. امنیت صفحه ورود به وردپرس

صفحه ورود به وردپرس یکی از مهم ترین صفحات وردپرس است که با استفاده از روش‌هایی مثل کد کپچا و یا تایید دومرحله‌ای گوگل می‌توان امنیت آن را تضمین کرد. برای تامین امنیت این صفحه راه‌های مختلفی وجود دارد که به هرکدام می‌پردازیم.

آموزش افزایش امنیت وردپرس در صفحه ورود

همانطور که گفتیم امن بودن صفحه ورود بسیار مهم می باشد برای همین به شما پیشنهاد می کنیم حتما این موارد را برای افزایش امنیت وردپرس خود انجام دهید تا مشکل خاصی در این زمینه برای شما به وجود نیاید.

مطلب مرتبط وردپرسی: آموزش کار با وردپرس

1. کد کپچا

از کد کپچا از میتوان برای جلوگیری از حمله‌های DDOS استفاده کرد و ورود ربات به سایت خود استفاد کرد. از این ویژگی حتما استفاده کنید.

2. تغییر آدرس wp_admin

یکی از راه‌های فهمیدن این که سایت با وردپرس ساخته شده است یا نه همین آدرس است که شما را به صفحه هدایت می‌کند و اگر نفوذگر رمز و نام کاربری شما را داشته باشد مستقیما به پیشخوان می‌برد و نفوذگر می‌توانند هر کاری با سایت شما بکند شما باید این آدرس را تغییر دهید.

3. محدود کردن تعداد ورود

در وردپرس محدودیتی برای استفاده از تعداد دفعات سعی برای ورود به سایت وجود ندارد شما می‌توانید این گزینه را محدود کنید تا اگر کاربر مثلا اگر بیشتر از 3 بار سعی ناموفق برای ورود داشت نتوانتد دیگر سعی دوباره کند و وارد شود.

4. غیرفعال کردن پیغام خطای ورود

وقتی نفوذگر سعی در ورود کند اگر نام یا گذرواژه را اشتباه بزند وردپرس به اطلاع می‌دهد که کدام را اشتباه زده است و نفوذگر متوجه می‌شود که باید روی کدام گزینه کار کند شما با غیرفعال کرد این گزینه شما می‌توانید نفوذگر را برای ورود گیج کنید تا نفهمد که کدام قسمت را اشتباه کرده است.

5. افزودن سوال امنیتی

با این گزینه شما می‌توانید برای ورود یک سوال امنیتی از کاربر بپرسید تا برای ورود به آن سوال جواب دهد تا اگر کاربر اشتباه جواب داد سوال امنیتی را نتواند وارد کند.

6. ورود دو مرحله‌ای گوگل

گوگل چند سالی است که یک قابلیت اضافه کرده است که با آن می‌توانید به جای ارسال کد تایید به ایمیل یا شماره شما ارسال می‌شود از کدهایی که این برنامه که داخل گوشی نصب می‌شود استفاده کنید اسم این برنامه گوگل Google Authenticator است.

6. ورود با ایمیل

در وردپرس قابلیتی وجو دارد که شما می‌توانید به جای نام کاربری برای ورود از ایمیل استفاده کنید شاید این قابلیت خوب باشد ولی می‌تواند باعث نفوذ به سایت شما شود پس بهتر است این گزینه را غیرفعال کنید.

جمع بندی آموزش امنیت وردپرس

امنیت در دنیای امروز مهم ترین مبحث است که همه افراد را به تکاپو برای داشتن و برقراری آن کرده است یکی از بخش های مهم که باید از امنیت بالایی برخوردار باشد سایت ها می‌باشند زیرا اطلاعات مهمی را در فضای انتشار می ‌دهند. سایت های وردپرسی به خاطر یکی بودن ساختار کد نویسی و ضعف های موجودش مورد علاقه نفوذ گران قرار گرفته است ما در مقاله آموزش امنیت وردپرس سعی کردیم بهترین و کامل ترین راه های امنیت را به شما ارائه دهیم.