گام به گام امنیت وردپرس(قسمت سوم)

گام به گام امنیت وردپرس(قسمت سوم)

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در پایگاه داده وردپرس استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند ، حدس زدن نام جدول شما برای هکرها آسان تر است. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.

با دنبال کردن آموزش گام به گام نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت ، می توانید پیشوند پایگاه داده خود را تغییر دهید.

توجه: اگر این کار به درستی انجام نشود ، سایت شما ممکن است با مشکل روبرو شود. فقط در صورت احساس راحتی با مهارت رمزگذاری ، اقدام نمایید.

پسورد پروتکت وردپرس، ادمین و صفحه لاگین

به طور معمول ، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون هیچ محدودیتی درخواست کنند. این به آنها امکان می دهد ترفندهای هک شده خود را امتحان کنند یا حملات DDoS را انجام دهند.

می توانید حفاظت اضافی از رمز عبور در سمت سرور اضافه کنید ، که به طور موثر این درخواست ها را مسدود می کند.

غیر فعال کردن Directory Indexing و Browsing Directory  

هکرها می توانند از فهرست دایرکتوری استفاده کنند تا بفهمند آیا پرونده ای با آسیب پذیری های شناخته شده دارید یا خیر ، بنابراین آنها می توانند با استفاده از این پرونده ها دسترسی پیدا کنند.

افراد می توانند با استفاده از Browsing Directory  برای جستجوی پرونده های شما ، کپی کردن تصاویر، یافتن ساختار دایرکتوری و سایر اطلاعات استفاده کنند. به همین دلیل توصیه می شوددایرکتوری بروزینگ را غیرفعال کنید.

شما باید با استفاده از FTP یا cPanel’s file manager  به وب سایت خود متصل شوید. سپس ، پرونده .htaccess را در فهرست ریشه وب سایت خود قرار دهید.

پس از آن ، باید خط زیر را در انتهای پرونده .htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل .htaccess را ذخیره و بارگذاری کنید.

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به شما کمک می کند سایت وردپرس خود را به وب و برنامه های تلفن همراه متصل کنید.

به دلیل ماهیت قدرتمند خود ، XML-RPC می تواند حملات brute-force را به میزان قابل توجهی تقویت کند.

به عنوان مثال ، به طور معمول اگر یک هکر بخواهد 500 گذرواژه مختلف را در وب سایت شما امتحان کند ، مجبور است 500 تلاش ورود به سیستم جداگانه انجام دهد که توسط پلاگین logdown lockdown  مسدود می شود.

اما با XML-RPC ، یک هکر می تواند با استفاده از تابع system.multicall هزاران رمز عبور را با 20 یا 50 رکوئست درخواست کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید ، توصیه می کنیم آن را غیرفعال کنید.

3 روش برای غیرفعال کردن XML-RPC در وردپرس وجود دارد که ما در آموزش گام به گام نحوه غیرفعال کردن XML-RPC در وردپرس به همه آنها پرداخته ایم.

نکته: روش .htaccess بهترین روش است زیرا کمترین میزان مصرف منابع را دارد.

اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، فایروال می تواند از این مسئله مراقبت کند.

فعالسازی خودکار خارج شدن کاربران غیر فعال

کاربران وارد شده می توانند از سیستم خود دور شوند و این یک خطر امنیتی است. شخصی می تواند session را ربوده ، گذرواژه ها را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.

به همین دلیل بسیاری از سایت های بانکی و مالی به طور خودکارکاربران غیر فعال را خارج میکنند. همچنین می توانید عملکرد مشابهی را در سایت وردپرس خود پیاده سازی کنید.

شما باید پلاگین Inactive Logout را نصب و فعال کنید. پس از فعال سازی ، برای پیکربندی به مسیر زیر رفته Settings » Inactive Logout و تنظیمات پلاگین را انجام دهید.

به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود ، روی دکمه ذخیره تغییرات کلیک کنید.

سوالات امنیتی را به صفحه ورود وردپرس اضافه کنید.

افزودن سوال امنیتی به صفحه ورود وردپرس، دسترسی غیرمجاز را برای افراد دشوارتر می کند.

با نصب افزونه WP Security Questions می توانید سوالات امنیتی اضافه کنید. پس از فعال سازی ، برای پیکربندی تنظیمات افزونه باید به صفحه Settings » Security Questions page  بروید.

اسکن وردپرس برای بدافزار و آسیب پذیری ها

اگر یک افزونه امنیتی وردپرس نصب کرده باشید ، آن پلاگین ها به طور منظم از نظر بدافزار و نشانه های نقض امنیت بررسی می شوند.

با این حال ، اگر یک افت ناگهانی در بازدید وب سایت یا رتبه بندی google مشاهده کردید ، ممکن است بخواهید اسکن دستی انجام دهید. می توانید از افزونه امنیتی وردپرس استفاده کرده و یا یکی از بدافزارها و اسکنرهای امنیتی استفاده کنید.

اجرای این اسکن های آنلاین کاملاً پیشرفته است ، شما فقط URL های وب سایت خود را وارد کرده و ربات های آنها از طریق وب سایت شما به دنبال بدافزار شناخته شده و کد مخرب می گردند.

اکنون بخاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت هک شده وردپرس را پاکسازی کنند.

رفع یک سایت هک شده وردپرس

بسیاری از کاربران وردپرس تا زمان هک شدن وب سایت خود ، به اهمیت پشتیبان گیری و امنیت وب سایت پی نمی برند.

پاکسازی سایت وردپرس بسیار دشوار و وقت گیر است. اولین توصیه ما این است که اجازه دهید یک متخصص از آن پشتیبانی کند.

هکرها دربهای پشتی را در سایتهای آسیب دیده نصب می کنند و اگر این درب پشتی ها به درستی برطرف نشود ، وب سایت شما احتمالاً دوباره هک می شود.

امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی وردپرس را یاد بگیرید و همچنین بهترین پلاگین های امنیتی وردپرس را برای وب سایت خود فعال کنید.