9 نکته برای افزایش امنیت وردپرس
با سلام خدمت شما دوستان عزیز و همراهان گرامی مِستر آموز.
همان طور که می دانید هک شدن سایتمان چقدر میتواند دردسر ساز شود. به همین دلیل امنیت یک وبسایت از اهمیت بسیار بالایی برخورد دار است. این مقاله به بررسی 9 نکته مفید برای امنیت وردپرس می پردازیم. با ما همراه باشید.
محصولات ما برای امنیت بالاتر، با دقت بهینه سازی شده اند. با این حال، زمانی که سایتی را اجرای میکنیم باز هم تعداد انگشت شماری از خطرات امنیتی بالقوه وجود دارد، که ما هیچ کنترلی بر آنها نداریم. شما به عنوان مالک وب سایت، برای امن نگه داشتن وب سایت خود، نیاز به توجه به این خطرات امنیتی بالقوه دارید.
اینجا ما 9 رویکرد را بررسی میکنیم که شما می توانید برای بهبود بخشیدن به امنیت وردپرس خود انجام دهید.
1- از میزبانی امن استفاده کنید
همه ی ارائه دهندگان خدمات میزبانی وب مثل هم ایجاد نشده اند و در حقیقت، اکانتهای آسیب پذیر میزبانی در درصد زیادی از سایت های وردپرس که از آنها استفاده کرده اند، هک شده اند.
وقتی می خواهیم یک ارائه دهنده میزبانی وب را انتخاب کنید، به سادگی به سراغ ارزانترین آنها نروید. ابتدا تحقیقات خود راانجام دهید و مطمئن شوید که از شرکتی که به خوبی تثبیت شده و رکورد خوبی از اقدامات امنیتی قوی دارد، خرید کنید.
که قعطا این امر همیشه ارزش پرداخت کمی هزینه اضافه تر برای آرامش ذهن شما و مشتریاتون را دارد، زیرا که می دانید سایت شما ایمن است.
در اینجا برخی از راه حل های میزبانی که توسط ما توصیه شده است را پیدا می کنید.
2- همه چیز را به روز رسانی کنید
هر نسخه جدید وردپرس شامل بهینه سازی ها و تعمیراتی است که آسیب پذیری های واقعی یا بالقوه را نشان می دهد.اگر شما سایت خود را با آخرین نسخه وردپرس به روز رسانی نکنید، می توانید وب سایت خود را در معرض حملات هکر ها قرار دهید.
اکثرا هکرها عمدا نسخه های قدیمی تر وردپرس که مشکلات امنیتی شناخته شده بیشتری دارند را مورد هدف قرار می دهند، بنابراین همیشه حواستان به اخطارهای داشبوردتان باشد و از پیام های “لطفا به روز رسانی کنید” چشم پوشی نکنید. برای دیدن مطالب آموزش بروز رسانی دستی وردپرس و رفع مشکل بروز رسانی خودکار روی هر مطلب کلیک کنید.
همین کار را برای پلاگین ها و افزونه ها هم انجام بدید و آنها را هم بروز رسانی کنید. اگر همه چیز را به روز رسانی شده نگه دارید، کمتر امکان دارد که سایت شما هک شود.
3- رمز عبورتان را تقویت کنید
با توجه به infographic، حدود ۸% از وب سایت های هک شده ، به علت نداشتن کلمات عبور قوی است.
توجه داشته باشید که اگر کلمه عبور وردپرس شما چیزی مانند ‘let me in’ یا ‘abc123’ یا ‘password’ باشد (این رمز عبور ها از آنچه شما فکر می کنید، شایع تر هستند!)، باید آن را سریعا تغییر بدهید و به چیز امن تری تغییر دهید.
برای داشتن یک رمز عبور قوی از چیزی استفاده کنید که به خاطر داشتن آن آسان باشد، اما شکستن آن بسیار سخت، پیشنهاد ما اینه که از یک دستور العمل رمز عبور خوب استفاده کنید.
اگر احساس تنبلی می کنید، می توانید یک مدیر رمز عبور، مانند LastPass که همه ی کلمات عبور شما را به خاطر داشته باشد، استفاده کنید. اگر از این روش استفاده می کنید، مطمئن شوید که رمز عبور اصلی شما خوب و قوی است.
4-هرگز ازکلمه ی “admin” به عنوان نام کاربری خود استفاده نکنید
از حوالی چند سال پیش موجی از حملات brute-force بر روی سایت های وردپرس در سراسر وب راه اندازی شده بود، که تلاش های مکرر برای ورود با استفاده از نام کاربری ‘admin’ همراه با یک سری کلمات عبور مشترک، می شد.
خیلی از مدیران و صاحبان وب سایت ها از نام کاربری مشترک “admin” استفاده می کنند. این افراد اگر رمز عبور قوی ندارند کار هکر ها را راحت میکنند و قربانی حملات هکرها قرار میگیرند. به شدت توصیه می شود که نام کاربری خود را به چیزی که کمتر آشکار است تغییر دهید.
اکثرا هنوز هم از “admin” به عنوان نام کاربری استفاده می کنند زیرا که به یک نوع استاندارد تبدیل شده، و به خاطر داشتن آن کار آسان است. برخی از وب سایت های میزبان از اسکریپت های auto-install که هنوز هم نام کاربری ‘admin’ را به طور پیش فرض تنظیم می کنند، استفاده می کنند.
برای رفع کردن این مشکل، به سادگی یک حساب کاربری مدیر جدید برای خودتان با استفاده از یک نام کاربری مختلف، ایجاد کنید، با نام کاربری جدید وارد شوید و و حساب “admin” اصلی را حذف کنید.
اگر پست هایی دارید که توسط حساب “admin” منتشر شده اند، بعد از حذف کردن، می توانید تمام پست های قبلی را به حساب کاربری جدید خود اختصاص دهید.
5- نام کاربری خود را ازURL بایگانی نویسنده پنهان کنید
روش دیگر که یک هکر سایت به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.
وردپرس به طور پیش فرض نام کاربری شما را درURL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شما modir است، صفحه آرشیو نویسنده شما چیزی شبیه به http://yoursite.com/author/modir خواهد بود.
به دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها، که در اینخا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.
6-تعداد دفعات تلاش برای ورود را محدود کنید.
بعضی وقتا هکرها با استفاده از یک ربات از حمله ی brute-force برای شکستن رمز عبور شما تلاش می کنند، محدود کردن تعداد دفعات تلاش های شکست خورده از یک آدرس IP مشخص برای ورود به سیستم، مفید خواهد بود.
محدود کردن تعداد دفعات تلاش برای ورود فقط این کار را انجام می دهد: به شما اجازه می دهد که مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش های مجدد شکست خورده برای ورود به سیستم، قفل خواهد شد.
راه هایی هم برای دور زدن این کار وجود دارد، زیرا که برخی از حمله کننده ها، از تعداد زیادی از آدرس های IP مختلف استفاده می کنند، اما هنوز هم به عنوان احتیاط بیشتر ارزش انجام دادن را دارد.
7- ویرایش فایل ها از طریق داشبورد را غیر فعال کنید
در یک نصب وردپرس به طور پیش فرض، شما می توانید به نمایش / ویرایشگر رفته و هر یک از فایل های تم خود را دقیقا در داخل داشبورد ویرایش کنید.
مشکل این است که اگر یک هکر موفق به دسترسی به پنل مدیریت شما شد، آنها نیز می تواند فایل های شما را به این ترتیب ویرایش کنند، و هر کدی را که می خواهند اجرا کنند.
پس ایده ی خوبی است که این روش ویرایش فایل ها را با اضافه کردن موارد زیر به فایل wp-config.php خود، غیر فعال کنید:
define( ‘DISALLOW_FILE_EDIT’, true );
8- سعی کنید از تم های رایگان استفاده نکنید
اصلی ترین دلیل برای استفاده نکردن از تم های رایگان اغلب می تواند شامل چیزهایی مانند رمز گذاری base64 باشند، که ممکن است به شکل نا محسوسی برای وارد کردن لینک های اسپم در سایت شما، و یا کدهای مخرب دیگری که می تواند همه نوع مشکلی ایجاد کند، مورد استفاده قرار گیرد، به طور میانگین ۸ عدد از ۱۰ عدد سایتی که تم رایگان ارائه می دهند حاوی کد base64 هستند.
و اگر شما هم میخواهید از یک تم رایگان استفاده کنید، فقط باید از آنهایی استفاده کنید که توسط شرکت های سازنده ی تم مورد اعتماد توسعه یافته باشند، و یا از آنهایی که در مخزن رسمی تم های WordPress.org در دسترس هستند، استفاده کنید.
توجه: همان منطق در مورد پلاگین ها هم صدق می کند. فقط از پلاگین هایی که در لیست WordPress.org ذکر شده اند، و یا توسط یک توسعه دهنده معتبر ساخته شده اند، استفاده کنید.
9- یک نسخه ی پشتیبان نگه دارید
اتفاق خبر نمی دهد! بسیاری از مردم تا زمانی که دیگر خیلی دیر شده است، یک فایل پشتیبان نمی گیرند. هیچ وقت نمی دانید که چه وقت اتفاق غیر منتظره ای رخ خواهد داد که ممکن است سایت شما را برای یک حمله آماده کند.
در صورتی که این اتفاق بیافتد، باید مطمئن باشید که تمام محتوای شما به آسانی باز خواهد گشت، به طوری که بتوانید به راحتی سایت خود را به شکوه سابق آن بازگردانید.
Codex وردپرس به شما می گوید که دقیقا چگونه از سایت خود پشتیبان گیری کنید، و در صورتی که این کار بیش از حد سخت به نظر می رسد، می توانید از یک پلاگین مانند WordPress Backup to Dropbox استفاده کنید که به طور منظم و خودکار از سایت شما پشتیبان گیری کند.
یکی دیگر از راه های افزایش امنیت وب سایت وردپرسی شما استفاده از افزونه های امنیتی برای وردپرس است که در آینده برخی از این افزونه ها را معرفی میکنیم. پس با مِستر آموز همراه باشید. به امید دیداری دیگر.
موفق و پیروز باشید.