وردپرس با داشتن بیش از یک میلیون وب سایت در سراسر جهان، مورد علاقه طراحان و توسعه دهندگان وب سایت است. اما، این محبوبیت بهایی دارد. این سایتهای وردپرس را به هدف ترجیحی هکرها تبدیل میکند و امنیت وردپرس را به نگرانی بزرگی برای صاحبان وبسایت تبدیل میکند. طبیعتاً ما را به سؤال بعدی می رساند.
آیا وردپرس امن است؟
پاسخ کوتاه: بله. به عنوان یک پلتفرم، وردپرس امن است. توسعه دهندگان آن به طور دوره ای از ایمنی آن اطمینان می یابند و به محض اینکه آسیب پذیری در معرض دید قرار می گیرد، به روز رسانی ها و وصله ها را منتشر می کنند تا از سایت های وردپرس در برابر هکرها محافظت کنند .
اما حقیقت این است که هیچ سایت وردپرسی به صورت مجزا وجود ندارد. از پلاگین ها و تم های شخص ثالث استفاده می کند، توسط افرادی توسعه و مدیریت می شود که ممکن است همیشه از بهترین شیوه های امنیتی وردپرس پیروی نکنند .
یک مثال زمانی است که صاحبان وب سایت نمی توانند به روز رسانی های وردپرس را نصب کنند و به اجرای سایت های خود در نسخه های قدیمی و در نتیجه شناخته شده و آسیب پذیر ادامه می دهند.
یک طرح امنیتی خوب وردپرس پایه ای قوی از اقدامات امنیتی است که تضمین می کند دسترسی هکرها، دسترسی به آن و آسیب رساندن به سایت شما دشوارتر است.
ما این راهنمای امنیتی وردپرس را گردآوری کردهایم تا دقیقاً بدانید که چگونه یک سایت وردپرس را ایمن کنید.
15 بهترین روش برای امنیت وردپرس
اجازه دهید اکنون به 15 مورد از بهترین روش های امنیتی وردپرس که می توانند وب سایت شما را در برابر هکرها ایمن نگه دارند، بپردازیم:
از هاست ایمن استفاده کنید
میزبان وب وردپرس شما مسئول امنیت وب سایت شما در سطح سرور است. وقتی صحبت از امنیت وب سایت وردپرس می شود، سعی کنید به یک هاست ایمن یا مدیریت شده تر بروید. یکی از راههای شروع، یافتن میزبان مناسبی است که میتواند ویژگیهای امنیتی مانند گواهینامه SSL، پشتیبانگیری منظم و خدمات اسکن بدافزار را ارائه دهد.
شرکت های میزبانی مانند Bluehost و Kinsta بهترین انتخاب ها برای میزبانی سایت های وردپرسی هستند.
علاوه بر این، اگر وبسایت خود را بر روی یک میزبان وب مشترک (که میزبان چندین وبسایت است) اجرا میکنید، احتمالاً زمان خوبی برای تغییر به میزبانی مدیریت شده با منابع سرور اختصاصی است. با میزبانی مدیریت شده، سرعت وب سایت و تجربه کاربری بهتری دارید که می تواند به تکمیل تلاش های سئوی شما کمک کند .
رمزهای عبور قوی ایجاد کنید
ساده ترین اقدام امنیتی وردپرس این است که اطمینان حاصل شود که هر حساب کاربری جدید با رمزهای عبور قوی برای خنثی کردن حملات brute force پیکربندی شده است. این حملات با حدس زدن اعتبار کاربری مناسب به حساب کاربری غیرمجاز دسترسی پیدا می کنند. بهترین راه برای آمادگی بهتر در برابر آنها، ایجاد گذرواژههای قویتر و غیرقابل حدس زدن است.
رمزهای عبور ضعیف مانند “12346” یا “password” زندگی هکرها را آسان تر می کند. مطمئن شوید که گذرواژههای شما حروف عددی و ترکیبی از حروف الفبا، اعداد و کاراکترهای خاص مانند @ یا _ هستند. رمز عبور خود را به طور منظم (هر 3 یا 6 ماه) تغییر دهید تا سایت شما همیشه محافظت شود.
فعال کردن احراز هویت دو مرحله ای (2FA)
در حالی که داشتن رمزهای عبور قوی تر ضروری است، افزودن یک لایه امنیتی دیگر مانند 2FA یک حرکت هوشمندانه برای محافظت از وب سایت شما است. در 2FA، پس از وارد کردن اعتبار ورود به سیستم در مرحله اول، یک رمز عبور یکبار مصرف (OTP) یا کد مخفی به دستگاه شما ارسال می شود. در مرحله دوم باید این کد را وارد کنید.
به زبان ساده، 2FA یک لایه حفاظتی دیگر به لاگین شما اضافه می کند.
برای سایت های وردپرس، تنها کاری که برای فعال کردن 2FA باید انجام دهید، نصب یک افزونه 2FA مانند Google Authenticator است.
نام کاربری “admin” پیش فرض خود را تغییر دهید
آیا به استفاده از مدیر پیش فرض وردپرس خود با نام کاربری “admin” ادامه می دهید؟ این می تواند یک تهدید امنیتی باشد و می تواند حملات بی رحمانه را در صفحه ورود شما تسهیل کند.
راه حل عملی برای ایمن سازی صفحه ورود به وردپرس این است که نام کاربری پیش فرض مدیر را به چیزی منحصربفردتر و حدس زدن سخت تر تغییر دهید. گزینه دیگر حذف کاربر پیش فرض مدیریت و ایجاد یک مدیر جدید با نام کاربری منحصر به فرد است.
از حملات brute force جلوگیری کنید
به یاد دارید که در مورد حملات وحشیانه در نقطه 2 صحبت کردیم؟ خوب، رمزهای عبور قوی و 2FA برای جلوگیری از حملات brute force کافی نیستند زیرا هکرها هنوز هم می توانند راه های جدیدی برای حدس زدن اعتبار کاربر ابداع کنند. بنابراین، برای ایمن سازی صفحات ورود خود به موارد بیشتری نیاز دارید.
در اینجا برخی اقدامات اضافی وجود دارد:
- سعی کنید تعداد تلاش برای ورود به سیستم را به حداکثر 3 یا 4 محدود کنید.
- همه کاربران (از جمله مدیران) را با نام های کاربری منحصر به فرد پیکربندی کنید.
- صفحه ورود یا URL وردپرس را مخفی کنید.
- از راهحلهای امنیتی مانند بدافزار برای مسدود کردن فعالانه حملات مخرب استفاده کنید
سایت خود را همیشه به روز نگه دارید
ما نمی توانیم به اندازه کافی روی این مورد تاکید کنیم – بیشتر هک های موفق در سایت های وردپرس با نسخه های نرم افزار قدیمی یا قدیمی اتفاق می افتد. از این رو، ادامه اجرای وب سایت خود بر روی یک نسخه نرم افزار قدیمی می تواند یک خطر امنیتی بزرگ باشد.
هکرها اغلب از نقایص امنیتی نسخه های قدیمی WP برای منافع خود سوء استفاده می کنند. یکی از موثرترین روش ها برای اطمینان از امنیت سایت های وردپرس این است که به طور منظم هسته وردپرس خود و همچنین افزونه ها و تم های نصب شده خود را به آخرین نسخه وردپرس به روز کنید.
به طور منظم از وب سایت خود نسخه پشتیبان تهیه کنید
اگرچه به شدت یک معیار امنیتی نیست، اما امنیت وردپرس بدون پشتیبان گیری منظم از فایل های وب سایت و جداول پایگاه داده شما ناقص است. داشتن یک نسخه پشتیبان مفید تضمین می کند که زمان خرابی و خطر از دست دادن داده ها را به حداقل می رساند.
در حالی که میتوانید به صورت دستی نسخههای پشتیبان تهیه کنید، افزونههای پشتیبانگیری خودکار مانند BlogVault یا BackupBuddy میتوانند به شما در زمانبندی پشتیبانگیری در فرکانس انتخابی خود کمک کنند.
یک گواهی SSL اضافه کنید
گواهی SSL چه کاری انجام می دهد؟ به طور موثر، SSL (یا لایه سوکت ایمن) تمام داده های منتقل شده بین وب سایت شما و مرورگر کاربر را رمزگذاری می کند.
سایت خود را از HTTP به HTTP امن (یا HTTPS) منتقل کنید تا از ایمنی داده های خود و همچنین بازدیدکنندگان وب سایت خود اطمینان حاصل کنید. تغییر به HTTPS مزیت دیگری نیز دارد. یک وب سایت دارای SSL نیز مورد علاقه و رتبه بالاتر موتور جستجوی گوگل قرار گرفته است.
می توانید گواهینامه SSL را از شرکت میزبانی وب فعلی خود دریافت کنید – یا آن را به طور مستقل با استفاده از افزونه های SSL شخص ثالث مانند Let’s Encrypt یا DigiCert دریافت کنید.
سایت وردپرس خود را سخت کنید
اگر قصد دارید وب سایت خود را از طیف وسیعی از حملات آنلاین تقویت کنید، اقدامات سختسازی وردپرس اقدامات فنی توصیه شده توسط تیم امنیتی وردپرس است.
برخی از اقدامات سختسازی شامل مسدود کردن اجرای فایلهای PHP، غیرفعال کردن ویرایش فایلها و تغییر کلیدهای امنیتی و غیره است. همانطور که میتوانید حدس بزنید، این مراحل از نظر فنی کمی پیشرفتهتر هستند و نیاز به دانش کاری در زمینه باطن وردپرس و ابزارهای دیگر دارند.
اگر به دنبال راهی بدون دردسر برای سختتر کردن سایت خود هستید، میتوانید از قابلیت سختسازی داخلی وردپرس که افزونههای امنیتی وردپرس مانند MalCare حاوی آن هستند، استفاده کنید. میتوانید از گردش کار سختسازی وردپرس MalCare برای اجرای بیشتر اقدامات سختسازی با چند کلیک از طریق داشبورد آن استفاده کنید.
دسترسی کاربران به سایت خود را محدود کنید.
دسترسی نامحدود کاربر به بخش های حیاتی وردپرس مانند پنل مدیر می تواند یک خطر امنیتی بزرگ باشد. هرچه تعداد کاربران مجاز بیشتر باشد، هکرها راحت تر می توانند هر یک از این حساب های کاربری را به خطر بیاندازند و به وب سایت دسترسی پیدا کنند.
یکی از راه های اثبات شده برای ایمن سازی وردپرس ، محدود کردن دسترسی فقط به کاربران قابل اعتماد یا کسانی است که حقوق مدیریت دارند. کاربران با امتیازات کمتر مانند مشترکین یا مشارکت کنندگان باید با دسترسی محدود پیکربندی شوند.
از افزونه امنیتی وردپرس استفاده کنید
یکی از دلایلی که ما یک پلاگین امنیتی خودکار را توصیه می کنیم این است که نمی توانید به صورت دستی از وب سایت خود در برابر هک های مختلف 24*7 – تمام روز و هر روز محافظت کنید. پلاگینهای امنیتی برای اسکن و شناسایی مداوم بدافزارها در سایت شما طراحی شدهاند تا بتوانند بدافزارهای سختتر را که ممکن است از دست بدهید، شناسایی کرده (و پاک کنند).
دلیل دیگری وجود دارد که چرا افزونه های امنیتی احتمالا بهترین راه برای ایمن سازی سایت وردپرس هستند. افزونه های امنیتی مانند Sucuri و MalCare، علاوه بر اسکن و حذف بدافزار، اکثر مراحل ذکر شده در این راهنمای امنیتی وردپرس را نیز ترکیب می کنند.
به عنوان مثال، پلاگین امنیتی MalCare اقدامات ورود به سیستم وردپرس مانند مدیریت کاربر، 2FA و غیره را با ویژگی های پیشرفته تر مانند سخت شدن وردپرس و محافظت از دیوار آتش ترکیب می کند تا شما را به محافظت از وب سایت 360 درجه نزدیک کند.
XML-RPC را در وردپرس غیرفعال کنید
ویژگی XML-RPC در وردپرس که به آن فراخوانی از راه دور XML نیز گفته می شود، به کاربران راه دور امکان می دهد فایل ها را در سایت وردپرس شما آپلود کنند. این یک ویژگی نسخه قدیمی وردپرس است که هنوز در آخرین نسخه ها فعال است. از آنجایی که این می تواند یک تهدید امنیتی باشد، توصیه می شود این ویژگی را غیرفعال کنید.
تنها کاری که باید انجام دهید این است که افزونه “Disable XML-RPC” را برای سایت های وردپرسی نصب و فعال کنید.
غیرفعال کردن مرور دایرکتوری
برای وبسایتهایی که خود میزبانی میشوند، تسهیلات مرور دایرکتوری راحت است – اما میتواند توسط مجرمان سایبری برای جستجوی افزونهها/موضوعات آسیبپذیر و فایلهای وبسایت پشتیبان مورد سوء استفاده قرار گیرد. هکرها می توانند از ابزارهای FTP برای دسترسی به دایرکتوری نصب وردپرس شما و کاوش فایل های باطن استفاده کنند.
بهترین راه غیرفعال کردن مرور دایرکتوری با استفاده از ابزار FileZilla FTP است. می توانید این کار را با افزودن یک خط به فایل “.htaccess” خود انجام دهید.
گزینه ها -شاخص ها
مخفی کردن نسخه وردپرس
به همه کاربران وردپرس توصیه می شود، مخفی کردن یا حذف نسخه وردپرس می تواند در توقف بیشتر حملات سایبری موثر باشد. هنگامی که هکرها نسخه وردپرس شما را می شناسند، می توانند از آسیب پذیری هایی که مخصوص این نسخه هستند سوء استفاده کنند.
شما می توانید این کار را با ایجاد تغییرات دستی در کد خود انجام دهید. برای این کار باید کدی را مانند شکل زیر در فایل function.php قرار دهید:
مرحله 1: در حساب میزبان خود، به پوشه public_html بروید (cPanel > File Manager > public_html).
مرحله 2: در پوشه public_html، به wp-content دسترسی پیدا کنید و پوشه تم فعال خود را انتخاب کنید و به دنبال فایل function.php بگردید.
مرحله 3: روی فایل function.php کلیک راست کرده و Edit را انتخاب کنید. در اینجا، کد زیر را قرار دهید.
[php]
function wpbeginner_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpbeginner_remove_version’);
[/php]
این تغییرات را ذخیره کنید تا شماره نسخه وردپرس در هر جایی از سایت شما نمایش داده نشود.
پیشوند پایگاه داده خود را تغییر دهید
هکرها می توانند به راحتی پایگاه داده وردپرس شما را با جستجوی جداول پایگاه داده با علامت پیش فرض “wp_” هدف قرار دهند. با تغییر پارامتر زیر در فایل wp-config.php می توانید به راحتی این پیشوند پایگاه داده پیش فرض را تغییر دهید :
$table_prefix = ‘wp_’;
هر یک از این 15 اقدام برای بهبود امنیت سایت وردپرس شما طراحی شده است . در مرحله بعد، اجازه دهید به 6 آسیب پذیری رایج که همچنان در سال 2021 سایت های وردپرس را آزار می دهند نگاه کنیم.
آسیب پذیری های یک سایت وردپرسی
چگونه هکرها از نسخه های قدیمی، پایگاه داده های ناامن و نقش های نامناسب کاربر استفاده می کنند؟ در اینجا شش نوع آسیب پذیری که معمولاً در سایت های وردپرس ایجاد می شود، آورده شده است:
تزریق SQL
هدف این حمله کاربران وردپرسی است که از پایگاه داده MySQL برای ذخیره سوابق خود استفاده می کنند. هنگامی که هکرها به پایگاه داده وردپرس شما دسترسی پیدا کنند، به راحتی می توانند کنترل وب سایت شما را در دست بگیرند. با تزریق SQL، هکرها میتوانند حسابهای کاربری مشکوکی ایجاد کنند که با حقوق مدیریت اختصاص داده شده است تا سایت شما را در معرض خطر قرار دهند.
اسکریپت بین سایتی (XSS)
معمولاً زمانی که کاربران وردپرس پلاگین آسیب پذیری را در سایت خود نصب می کنند، حملات اسکریپت بین سایتی یا XSS تسهیل می شود. این یک کد جاوا اسکریپت مخرب را بارگیری می کند که می تواند داده های ارزشمند را بدون شناسایی سرقت کند. پلاگین های فرم آنلاین معمولا برای حملات XSS استفاده می شوند.
فیشینگ
برای حملات فیشینگ، هکرها اغلب از وجود یک پلاگین/موضوع قدیمی یا اعتبارنامه ضعیف برای ورود سوء استفاده می کنند. هنگامی که آنها به سایت وردپرس دسترسی پیدا کردند، کنترل را به دست می گیرند و ایمیل های اسپم (با پیوندهای اسپم یا پیوست) را به پایگاه کاربر ثبت شده ارسال می کنند. از طریق فیشینگ، آنها می توانند کاربران واقعی را فریب دهند تا جزئیات کارت اعتباری خود را به اشتراک بگذارند یا محصولات جعلی بخرند.
افزایش امتیاز
چه اتفاقی میافتد وقتی هکرها کنترل حساب کاربری با امتیازات پایینتری مانند مشترک یا مشارکتکننده را در دست بگیرند؟ آنها نمی توانند آسیب زیادی وارد کنند، به همین دلیل است که از افزایش امتیاز برای نادیده گرفتن امتیازات کاربر موجود استفاده می کنند. این نوع حمله همچنین ناشی از آسیب پذیری های افزونه است که به آنها اجازه می دهد مجوزهای پیش فرض اختصاص داده شده به آنها را لغو کنند.
هک دارویی
هک های دارویی که به عنوان هرزنامه سئو نیز شناخته می شوند، توسط افزونه ها/موضوعات آسیب پذیر یا اعتبارنامه های ضعیف امکان پذیر می شوند. هنگامی که هکرها به وب سایت دسترسی پیدا کردند، بدافزار favicon.ico را برای هدف قرار دادن صفحات وب با رتبه بالا نصب می کنند و آنها را با کلمات کلیدی اسپم آلوده می کنند. هدف فهرست کردن وب سایت مورد نظر برای کلمات کلیدی فروش محصولات دارویی جعلی یا ممنوع است.
هک کلمه کلیدی ژاپنی
هک کلمه کلیدی ژاپنی مانند هک های دارویی، کلمات کلیدی ژاپنی اسپم را به صفحات وب شما تزریق می کند.
هنگامی که صفحات وب شما توسط موتورهای جستجو نمایه می شوند ، در نهایت در نتایج جستجو برای این کلمات کلیدی نامرتبط و هرزنامه فهرست می شوند. سپس کاربران ناآگاه روی لینک ها کلیک کرده و به سایت های ناخواسته ای هدایت می شوند که توسط هکرها اداره می شوند.
چرا امنیت وردپرس مهم است
شش آسیبپذیری رایج که در بخش قبل مورد بحث قرار گرفت، تنها برخی از روشهای شناختهشدهای هستند که هکرها سایتهای وردپرس را هدف قرار میدهند. هک بیشتر از یک وب سایت صدمه می زند. می تواند بر هر جنبه ای از تجارت شما تأثیر بگذارد. در اینجا فقط برخی از راه هایی که هک این کار را انجام می دهد آورده شده است.
- ایجاد تغییر چهره در صفحات مهم مانند صفحه اصلی یا صفحه اصلی شما به شدت بر تجربه کاربر وب سایت تأثیر می گذارد
- به خطر انداختن داده های حساس مانند سوابق مشتری از طریق نقض داده ها
- باعث خرابی می شود که می تواند ترافیک وب سایت را از بین ببرد و رتبه شما را در موتورهای جستجو کاهش دهد
- به خطر انداختن امنیت کاربران
- و در نهایت به درآمد و شهرت آسیب می رساند
اگرچه هیچ اقدام امنیتی نمی تواند به شما قول محافظت 100٪ در برابر هکرها را بدهد، پیروی از این 15 روش بهترین کاری است که می توانید انجام دهید تا زندگی هکرها را سخت تر کنید.
در مورد امنیت وردپرس، “پیشگیری بهتر از درمان است” چیزی بیش از یک کلیشه دیگر است. این اقدامات به اندازه ایجاد محتوا یا تمرکز بر سئو بخش بزرگی از برنامه نگهداری وب سایت شما است.