گام به گام امنیت وردپرس(قسمت اول)
امنیت وردپرس موضوعی است که از اهمیت زیادی برای صاحبان وب سایت ها برخوردار است. Google هر روز در حدود بیش از 10،000 وب سایت را به دلیل وجود بدافزار و حدود 50،000 وب سایت را هر هفته در لیست سیاه قرار می دهد.
اگر وب سایت شما دارای اهمیت است، باید به اقدامات امنیتی وردپرس توجه کنید. در این راهنما، ما بهترین نکات امنیتی وردپرس را برای کمک به شما در محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک خواهیم گذاشت.
نرم افزار اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعه دهندگان به طور منظم مورد بررسی قرار می گیرد، اما کارهای زیادی می توان برای حفظ امنیت سایت انجام داد.
معتقدیم که امنیت فقط رفع خطر نیست و در مورد کاهش خطر نیز می باشد. به عنوان یک مالک وب سایت ، موارد زیادی وجود دارد که می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر اهل فن نیستید).
برای سهولت کار، ما یک فهرست ایجاد کرده ایم که به شما کمک می کند تا به راحتی از طریق راهنمای امنیتی برای وردپرس خود استفاده کنید.
مبانی امنیت وردپرس
چرا امنیت وب سایت مهم است؟
به روزرسانی وردپرس
گذرواژه ها و مجوزهای کاربران
نقش میزبانی وب در امنیت
امنیت وردپرس در مراحل آسان (بدون کدگذاری)
پلاگین پشتیبان گیری از وردپرس نصب کنید
بهترین پلاگین امنیتی وردپرس
فعال کردن فایروال وب (WAF)
سایت وردپرس را به SSL / HTTPS منتقل کنید
امنیت وردپرس برای کاربران DIY
نام کاربری پیش فرض “admin” را تغییر دهید
ویرایش پرونده را غیرفعال کنید
اجرای فایل PHP را غیرفعال کنید
تلاشهای ورود به سیستم را محدود کنید
تأیید اعتبار دو مرحله ای اضافه کنید
پیشوند پایگاه داده وردپرس را تغییر دهید
از WP-Admin محافظت کنید سپس وارد شوید
دایرکتوری بروزینگ را غیر فعال کنید
XML-RPC را در وردپرس غیرفعال کنید
خارج شدن کابران غیر فعال به صورت خودکار
سوالات امنیتی را برای ورود به وردپرس اضافه کنید
اسکن وردپرس برای بدافزار و آسیب پذیری ها
رفع یک سایت هک شده وردپرس
چرا امنیت وب سایت مهم است؟
یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر ، رمزهای عبور و حتی می توانند بدافزار را به کاربران شما توزیع کنند.
بدتر از همه ، ممکن است سایت خود را در ازای پرداخت باج افزار به هکرها بدست آورید تا فقط به وب سایت خود دسترسی پیدا کنید.
در مارس 2016 ، گوگل گزارش داد که بیش از 50 میلیون کاربر، در مورد وب سایتی که از آن بازدید می کنند هشدار داده شده که ممکن است حاوی بدافزار یا اطلاعات سرقت شده باشد.
علاوه بر این ، Google هر هفته حدود 20،000 وب سایت را برای بدافزار و حدود 50،000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.
اگر وب سایت شما یک وب سایت تجاری است، پس باید بیشتر به امنیت وردپرس خود توجه کنید.
به روزرسانی وردپرس
وردپرس یک نرم افزار open source است که به طور منظم باید به روز رسانی شود. به طور پیش فرض ، وردپرس به صورت خودکار به روزرسانی های جزئی را نصب می کند. برای نسخه های اصلی، شما باید به صورت دستی بروزرسانی را انجام دهید.
وردپرس دارای هزاران افزونه و تم است که می توانید آنها روی وب سایت خود نصب کنید. این افزونه ها و مضامین توسط توسعه دهندگان شخص ثالث که مرتباً نیز به روزرسانی می کنند ، نگهداری می شود.
این به روزرسانی های وردپرس برای امنیت و ثبات سایت وردپرسی شما بسیار مهم است. شما باید اطمینان حاصل کنید که هسته ، افزونه ها و وردپرس شما به روز باشند.
رمزهای عبور قوی و سطح دسترسی کاربران
رایج ترین تلاش های هک وردپرس، مربوط به رمزهای عبور سرقت شده می باشد. با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند، می توانید این کار را دشوار کنید. نه فقط برای حوزه مدیریت وردپرس، همچنین برای حساب های FTP ، پایگاه داده ، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.
راه دیگر برای کاهش خطر این است که به هرکسی اجازه دسترسی به حساب admin وردپرس خود را ندهید، مگر اینکه مجبور شوید. اگر یک تیم بزرگ یا نویسنده مهمان دارید ، قبل از افزودن حساب های کاربری و نویسندگان جدید به سایت وردپرس خود ، مطمئن شوید که نقش و قابلیت های کاربر را در وردپرس درک کرده اید.
نقش میزبانی وب در امنیت
سرویس میزبانی ، مهمترین نقش را در امنیت سایت وردپرسی شما دارد. یک ارائه دهنده میزبانی اشتراکی مانند پویاسازان اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می دهد.
در اینجا نحوه کار یک شرکت میزبان وب در پس زمینه برای محافظت از وب سایت ها و داده های شما ارائه شده است.
آنها به طور مداوم شبکه خود را از نظر فعالیت مشکوک کنترل می کنند.
همه شرکت های میزبان وب ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند.
نرم افزار و سخت افزار سرور را به روز نگه می دارند تا از آسیب پذیری های امنیتی شناخته شده در نسخه قدیمی توسط هکرها جلوگیری کنند.
در یک میزبانی اشتراکی، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. در صورتی که هکر بتواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند ، خطر آلودگی بین سایت را باز می کند.
استفاده از سرویس میزبانی وردپرس بستر ایمن تری را برای وب سایت شما فراهم می کند. شرکت های مدیریت شده میزبان وردپرس پشتیبان گیری خودکار ، به روزرسانی خودکار وردپرس و پیکربندی های امنیتی پیشرفته تری را برای محافظت از وب سایت شما ارائه می دهند.
امنیت وردپرس در مراحل آسان (بدون کدگذاری)
ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. مخصوصاً اگر اهل فن نباشید. ما به شما نشان خواهیم داد که چگونه فقط با چند کلیک می توانید امنیت وردپرس خود را بهبود بخشید (بدون نیاز به کدگذاری).
از وردپرس خود بک آپ تهیه کنید.
پشتیبان گیری اولین اقدام شما در برابر هرگونه حمله می باشد. به یاد داشته باشید ، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی قابل هک باشند ، روی وب سایت های شما نیز می توانند این کار را انجام دهند.
در صورت بروز اتفاقات، پشتیبان گیری به شما امکان می دهد به سرعت سایت وردپرس خود را بازیابی کنید.
افزونه های پشتیبان وردپرس رایگان و پولی زیادی وجود دارد که می توانید از آنها استفاده کنید. مهمترین نکته ای که باید در مورد تهیه نسخه پشتیبان بدانید این است که شما باید به طور مرتب پشتیبان گیری از سایت به صورت کامل در یک مکان از راه دور (نه حساب میزبانی خود) ذخیره کنید.
توصیه می کنیم آن را در سرویس ابری مانند آمازون ، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.
براساس تعداد دفعات بروزرسانی وب سایت ، تنظیم ایده آل بهتر است یک بار در روز پشتیبان گیری در زمان مناسب انجام شود.
خوشبختانه این کار با استفاده از افزونه هایی مانند VaultPress یا UpdraftPlus به راحتی قابل انجام است. هر دو قابل اطمینان هستند و از همه مهمتر استفاده از آنها بسیارآسان است .
بهترین پلاگین امنیتی وردپرس
پس از تهیه نسخه پشتیبان ، کار بعدی که باید انجام دهیم این است که یک سیستم نظارت راه اندازی کنیم که همه اتفاقات وب سایت شما را ردیابی کند.
این شامل نظارت بر یکپارچگی پرونده ، تلاشهای ناموفق برای ورود به سیستم ، اسکن بدافزار و غیره است.
خوشبختانه، این مورد می تواند توسط بهترین پلاگین رایگان امنیتی وردپرس ، Sucuri Scanner مراقبت شود.
شما باید پلاگین رایگان Sucuri Security را نصب و فعال کنید.
پس از فعال سازی، باید به فهرست Sucuri در مدیر وردپرس خود بروید. اولین کاری که از شما خواسته می شود انجام دهید ایجاد یک کلید API رایگان است. این امکان ورود به سیستم حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.
مورد بعدی ، شما باید بر روی برگه “Hardening” از منوی تنظیمات کلیک کنید. از گزینه ها استفاده کرده و سپس بر روی دکمه “Apply Hardening” کلیک کنید.
این گزینه ها به شما کمک می کند تا مناطق اصلی را که هکرها اغلب در حملات خود استفاده می کنند قفل کنید. تنها گزینه سخت افزاری که یک نسخه قابل پرداخت است ، Firewall Web Application Web است که در مرحله بعد توضیح خواهیم داد ، بنابراین فعلاً از آن صرف نظر کنید.
بعداً در این مقاله به بسیاری از این گزینه های ” Hardening ” برای کسانی که می خواهند بدون استفاده از افزونه یا مواردی که به مراحل دیگری مانند “تغییر پیشوند پایگاه داده” یا “تغییر نام کاربری مدیر” نیاز دارند ، پرداخته می شود.
بعد از قسمت Hardening ، تنظیمات پیش فرض افزونه برای اکثر وب سایت ها به اندازه کافی خوب است و نیازی به تغییر ندارند. تنها چیزی که توصیه می کنیم شخصی سازی کنید «هشدارهای ایمیل» است.
تنظیمات پیش فرض هشدار می تواند صندوق ورودی شما را با ایمیل های هشدار پر کند. ما توصیه می کنیم هشدارها را برای اقدامات اصلی مانند تغییر در افزونه ها، ثبت نام کاربر جدید و غیره دریافت کنید. می توانید با رفتن به تنظیمات Sucuri ، هشدارها را پیکربندی کنید.
این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام برگه ها و تنظیمات را مرور کنید تا تمام کارهایی که انجام می دهد مانند اسکن بدافزار ، گزارش های حسابرسی، ردیابی تلاش برای ورود به سیستم و غیره را مشاهده کنید.