25 ترفند امنیت وردپرس

25 ترفند ساده امنیتی وردپرس شاید همه چیزی که شما برای امنیت سایت خود لازم دارید نباشد .  اما می تواند بسیار مفید باشد .

;بسیاری از دارندگان وب سایت از امنیت وردپرس شکایت کرده اند. تصور این است که وردپرس  در برابر انواع حملات آسیب پذیر است. آیا این یک واقعیت است؟ و اگر چنین است ، چگونه وب سایت وردپرس خود را ایمن کنیم ؟

خوشبختانه ، نبود امنیت وردپرس یک افسانه است. در حقیقت وب سایت های وردپرس بسیار امن تر از سیستم های مدیریت محتوا  دیگر است .

امروز ، من قصد دارم در مورد چندین ترفند ساده صحبت کنم که می تواند به شما کمک کند امنیت وب سایت وردپرس خود را بیشتر کنید.

پس از اجرای این روش ها و پیگیری بررسی های مستمر امنیتی وردپرس ، در تلاش باشید تا وب سایت وردپرس خود را برای همیشه امن نگه دارید .

فهرست مطالب

وردپرس

وردپرس یک نرم افزار طراحی و مدیریت وب سایت می باشد . وردپرس محبوبترین سیستم مدیریت محتوا در سطح جهان می باشد . از آن می توان برای طراحی انواع وب سایت استفاده کرد . 39% از وب سایت های موجود در اینترنت ، از وردپرس استفاده می‌کنند. از وبلاگ‌های سرگرمی تا بزرگترین سایت‌های خبری آنلاین.

اگر می خواهید اطلاعات بیشتری در مورد وردپرس داشته باشید مقاله ما را  درباره وردپرس مطالعه کنید .

سیستم مدیریت محتوا چیست ؟ مقاله ما را درباره سیستم مدیریت محتوا   را مطالعه کنید  .

 

 

1. از هاستینگ معتبر استفاده کنید

سرور و هاستی که  سایت شما را میزبانی می کند در امنیت سایت  بسیار تاثیر گذار است . تدابیر امنیتی آن چیزی نیست که ابتدا به نظر برسد . فقط وقتی توی دردسر افتادید متوجه می شوید که چقدر مهم بود است .

شما فقط باید با میزبانی مطمئن ، با کیفیت و ایمن کار کنید. به نظر می رسد این توصیه واضح است ، درست است؟

کم و بیش ، همه فکر می کنند میزبانی آنها عالی است تا اینکه برای اولین بار چیزی خراب شود.

خبر بد اینجاست که اکثر اوقات حتی نمی دانید که میزبان امنیت وب سایت شما را به اندازه کافی جدی نمی گیرد. مواردی از قبیل افزایش حملات هکرها ، خرابی مکرر ، عملکرد پایین ، همه اینها ممکن است در نتیجه مکانیسم های امنیتی ناکافی موجود باشد.

واقعیت این است که شما واقعاً نمی خواهید “آن شرکت  را اصلاح کنید”. ساده ترین و بهترین راه حل این است که به میزبان دیگری بروید که از امنیت بیشتری برخوردار باشد.همیشه برای امنیت سایت خود هزینه کنید .

 

2. از پرونده wp-config.php محافظت کنید

پرونده  یا فایل wp-config.php یکی از فایل های وردپرس در ریشه هاست می باشد . در این فایل اطلاعات مهم در مورد اطلاعات ورود به دیتابیس سایت شما قرار دارد . این فایل اطلاعات مهمی در مورد نصب وردپرس شما دارد و مهمترین پرونده در فهرست ریشه سایت شماست. محافظت از آن به معنای ایمن سازی وردپرس است.

برای امنیت وردپرس  فایل wp-config.php را  غیرقابل دسترس کنید، این تاکتیک باعث می شود نفوذ به  سایت شما برای هکرها دشوار باشد.فرایند محافظت بسیار آسان است. فقط پرونده wp-config.php خود را بردارید و آن را به سطح بالاتر از دایرکتوری ریشه خود منتقل کنید.

حال سئوال  این است که اگر آن را در جای دیگری ذخیره کنید ، چگونه سرور به آن دسترسی پیدا می کند؟

در معماری فعلی وردپرس ، تنظیمات فایل پیکربندی در بالاترین لیست اولویت قرار گرفته است. بنابراین ، حتی اگر یک پوشه بالای دایرکتوری ریشه ذخیره شده باشد ، وردپرس همچنان می تواند آن را مشاهده کند.

مخفی کردن فایل wp-config.php در وردپرس

در هر سایت وردپرسی فایل wp-config در یک مکان پیش فرض یعنی مسیر public_html در هاست قرار داره. از این رو تغییر محل فایل میتونه مانع از افتادن فایل در دست هکرها بشه. خوشبختانه، وردپرس به فایل wp-config این اجازه رو میده که با قرار گرفتن در مسیری جدا و خارج از نصب وردپرس هم کار خودش رو به خوبی انجام بده. به عنوان مثال، اگر سایت شما در روت هاست نصب شده و به اصطلاح در مسیر public_html قرار گرفته باشه، فایل پیکربندی به طور پیش فرض در پوشه public_html حضور خواهد داشت. اما شما میتونید wp-config را در خارج از پوشه public_html قرار داده و بدون مشکل همچنان سایت شما کار بکنه.

دستورالعمل مخفی کردن فایل w-config.php وردپرس

  • ابتدا وارد هاست خود شده و سپس روی گزینه File manager کلیک کنید تا به مسیر مدیریت فایل‌ها در هاست هدایت شوید.
  • سپس وارد مسیر public_html شده و دنبال فایل wp-config.php بگردید.
  • روی فایل راست کلیک کرده و گزینه Move را انتخاب کنید.
  • مسیر مورد نظر برای انتقال فایل را انتخاب کنید و سپس فایل را انتقال دهید.
  • با کلیک روی دکمه New File در هاست خود یک فایل جدید با نام wp-config.php در مسیر public_html بسازید و کدهای زیر را در آن قرار دهید.

 

define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../path/to/wp-config.php');

حالا همونطور که در کد بالا میبینید به جای ../path/to/wp-config.php مسیری که فایل اصلی wp-config.php را به اون منتقل کردید را وارد کرده و فایل را ذخیره کنید.

 دسترسی  فایل wp-config.php را تغییر دهید .

این پیکربندی در مقابل حملات آسیب پذیر هست و ضروریه تا آنها را  ایمن کنید. یکی از راه‌های انجام این کار تغییر محل ذخیره فایل wp-config.php هست که در بالا توضیح داده شد اگرچه برخی از توسعه دهندگان ممکنه با این کار مخالفت کنند، اما تعداد زیادی فکر می‌کنند که این کار ایده خوبی هست.

یکی دیگر از اقدامات امنیتی که میتونید انجام بدین محدود کردن مجوز این فایل هست که در آموزش نحوه تغییر سطح دسترسی فایل ها در سی پنل cpanel به نحوه تغییر پرمیژن فایل‌ها در هاست پرداختیم. برای اینکه بتونید فایل wp-config.php رو به این روش ایمن کنید باید مجوز فایل را روی 600 تنظیم کنید تا فقط صاحبان واقعی قادر به ویرایش فایل wp-config.php باشند. برای این کار روی فایل wp-config.php راست کلیک کرده و گزینه Change Permissions رو انتخاب کنید. سپس در پنجره باز شده دقیقا تیک گزینه‌های مورد نظر رو برای Read و Write که در ستون user قرار داره انتخاب کنید تا سطح دسترسی روی 600 قرار بگیره.

افزایش امنیت فایل wp-config.php وردپرس

از بارگذاری فایل wp-config به صورت مستقیم از طریق مرورگر جلوگیری . برای این کار روی فایل htaccess. راست کلیک کرده و گزینه Edit رو انتخاب کنید. سپس کدهای زیر را به فایل اضافه کنید :

# protect wpconfig.php 
<files wp-config.php> 
order allow,deny
deny from all 
</files>

در صورتی که فایل htaccess. رو در مسیر public_html هاست سی پنل ندارید باید بدونید که این فایل جزو فایل‌های مخفی هست. برای نمایش این فایل روی دکمه Settings که در بالای صفحه قرار داره کلیک کنید. سپس در پنجره باز شده تیک گزینه show hidden files رو انتخاب کنید و در نهایت روی دکمه save کلیک کنید که فایل‌های مخفی رو هم بتونید ببینید.

 

3 – غیر فعال کردن ویرایش پرونده ها در وردپرس

اگر کسی به پنل مدیریت  وردپرس شما دسترسی داشته باشد ، می تواند فایلی را که بخشی از نصب وردپرس شما هستند ویرایش کند. این شامل تمام افزونه ها و قالب یا پوسته ها ست  است. این می تواند کار هکرها را راحت کند به راحتی می توانند یک فایل مخرب برای اضافه کردن هر فایلی که لازم دارند را داشته باشند . یا از راه های دیگر سایت شما را تخریب کنند .

اگر ویرایش فایل را غیر فعال کنید  ، هیچ کس نمی تواند هیچ یک از پرونده ها را نمی تواند از طریق پیشخوان وردپرس ویرایش  کند – حتی اگر یک هکر دسترسی مدیریت  وردپرس شما را بدست آورد.

برای انجام این کار ، موارد زیر را به پرونده wp-config.php (در انتهای آن) اضافه کنید:

define('DISALLOW_FILE_EDIT', true);

4 – مجوزهای فهرست وردپرس را با دقت تنظیم کنید

مجوزهای فهرست اشتباه ممکن است کشنده باشند ، به خصوص اگر در یک محیط میزبانی مشترک کار می کنید.

در چنین حالتی ، تغییر پرونده ها و مجوزهای دایرکتوری اقدام خوبی برای ایمن سازی وب سایت در سطح میزبانی است. تنظیم مجوزهای دایرکتوری روی “755” و پرونده ها روی “644” از کل سیستم فایل – دایرکتوری ها ، زیر شاخه ها و پرونده های جداگانه محافظت می کند.

این کار را می توان به صورت دستی از طریق File Manager در کنترل پنل میزبانی خود انجام داد ، یا از طریق ترمینال (متصل به SSH) – از دستور “chmod” استفاده کنید.

برای تنظیمات مجوز فعلی فایل یا دایرکتوریهای وردپرس  می توانید افزونه iThemes Security را نصب کنید.

5 -نمایش داخل دایرکتوری وردپرس را غیر فعال کنید .

فهرست  دایرکتوری را با htaccess غیرفعال کنید. اگر فهرست جدیدی به عنوان بخشی از وب سایت خود ایجاد کنید و پرونده index.html را در آن قرار ندهید ، ممکن است تعجب کنید که بازدیدکنندگان شما می توانند لیست کاملی از فهرست موجود در آن فهرست را دریافت کنند.

به عنوان مثال ، اگر پوشه ای به نام “data” ایجاد کنید ، می توانید با تایپ http://www.example.com/data/ در مرورگر خود همه موارد را در آن فهرست مشاهده کنید. بدون رمز عبور و یا هر چیز دیگری مورد نیاز است.

برای جلوگیری از آن می توانید یک فایل خالی با نام index.html یا index.php ایجاد کنید . همچنین می توانید با  افزودن کد زیر در پرونده .htaccess می توانید از این امر جلوگیری کنید:

Options All -Indexes

6. همه hotlinking وردپرس را مسدود کنید

بگذارید بگوییم شما یک تصویر را به صورت آنلاین پیدا کرده اید و می خواهید آن را در وب سایت خود به اشتراک بگذارید. اول از همه ، شما به مجوز یا پرداخت هزینه آن تصویر احتیاج دارید ، در غیر این صورت انجام این کار غیرقانونی است. اما اگر مجوز بگیرید ، می توانید مستقیماً URL تصویر را بکشید و از آن برای قرار دادن عکس در پست خود استفاده کنید. مشکل اصلی در اینجا این است که تصویر در سایت شما نشان داده می شود ، اما در سرور سایت دیگری میزبانی می شود.

از این منظر ، شما هیچ کنترلی بر باقی ماندن یا عدم عکس در سرور ندارید. اما همچنین مهم است که درک کنیم مردم ممکن است این کار را با وب سایت شما انجام دهند.

غیر فعال کردن هات لبنک های وردپرس

اگر می خواهید وب سایت وردپرس خود را ایمن کنید ، hotlinking اساساً شخص دیگری است که برای نشان دادن تصویر در وب سایت خود از شما عکس می گیرد و پهنای باند سرور شما را می دزد. در پایان ، سرعت بارگیری کندتر و احتمال هزینه های بالای سرور را مشاهده خواهید کرد.

اگرچه برخی روشهای دستی برای جلوگیری از هات لینک وجود دارد ، اما آسانترین روش یافتن یک افزونه امنیتی وردپرس برای این شغل است. به عنوان مثال ، افزونه All in One WP Security and Firewall شامل ابزارهای داخلی برای مسدود کردن همه hotlink ها است.

افزونه All in One WP Security and Firewall

 

درباره افزونه امنیتی All In One WP Security وردپرس

یک پلاگین جامع ، آسان برای استفاده ، پایدار و با پشتیبانی از رطوبت خوب
وردپرس خود یک بستر بسیار امن است. با این حال ، با استفاده از یک افزونه امنیتی که بسیاری از اقدامات امنیتی خوب را اعمال می کند ، می توانید امنیت و دیوار آتش اضافی به سایت خود اضافه کنید.

افزونه All In One WordPress Security امنیت وب سایت شما را به سطح کاملا جدیدی می رساند.

این افزونه توسط متخصصان طراحی و نوشته شده است و استفاده از آن آسان و قابل فهم است.

با بررسی آسیب پذیری ها ، و با اجرای و اجرای آخرین اقدامات و روش های امنیتی توصیه شده وردپرس ، خطر امنیتی را کاهش می دهد.
All In One WP Security همچنین از یک سیستم درجه بندی امتیازات امنیتی بی سابقه برای اندازه گیری میزان محافظت از سایت شما بر اساس ویژگی های امنیتی فعال شده استفاده می کند.

قوانین امنیتی و فایروال ما به “اساسی” ، “متوسط” و “پیشرفته” طبقه بندی می شوند. به این ترتیب می توانید قوانین دیوار آتش را به طور تدریجی و بدون شکستن عملکرد سایت خود اعمال کنید.

افزونه All In One WordPress Security سرعت سایت شما را کم نمی کند و 100٪ رایگان است.

برای جزئیات بیشتر به صفحه افزونه امنیت وردپرس مراجعه کنید.

لینک افزونه در فهرست افزونه های وردپرس : https://wordpress.org/plugins/all-in-one-wp-security-and-firewall

 

7. درک ، و محافظت در برابر حملات DDoS

حمله DDoS نوع متداولی برای حمله به پهنای باند سرور شماست ، جایی که مهاجم از چندین برنامه و سیستم برای سربار بیش از حد سرور شما استفاده می کند. اگرچه حمله ای از این دست پرونده های سایت شما را به خطر نمی اندازد ، اما اگر این مشکل حل نشود ، برای مدت طولانی سایت شما را خراب می کند. معمولاً شما فقط در مورد حملات DDoS می شنوید که این اتفاق برای شرکت های بزرگی مانند GitHub یا Target بیفتد. آنها توسط آنچه بسیاری از آنها به عنوان تروریست های سایبری یاد می کنند ، انجام می شود ، بنابراین ممکن است انگیزه صرفا ویرانی باشد.

با این اوصاف ، نیازی نیست که شما یک شرکت بزرگ باشید  تا در معرض خطر باشید.

اگر این مسئله شما را نگران می کند ، توصیه می کنیم برای برنامه های برتر Sucuri یا Cloudflare ثبت نام کنید. این راه حل ها دارای فایروال های برنامه وب برای تجزیه و تحلیل پهنای باند مورد استفاده و جلوگیری از حملات DDoS به طور کامل هستند.

 

حمله DOS (داس) چیست؟

در پاسخ به dos چیست بایستی گفت حملات Dos و DDos یکی از خطرناک ترین و جدیدترین حملاتی است که در بستر اینترنت انجام می‌شود هدف از این حملات خراب کردن سرویس مورد نظر نیست بلکه شبکه و سرور مورد نظر را وادار به ناتوانی در ارائه سرویس عادی با هدف قرار دادن پهنای باند شبکه یا اتصال پذیری می‌نماید. این حملات با ارسال بسته‌های داده به قربانی انجام می‌شود که شبکه یا ظرفیت پردازشی قربانی را غرق در بسته‌های اطلاعاتی می‌کند و مانع دستیابی کاربران و مشتریان به سرویس می‌شود.

حمله DOS (داس) چیست؟

به صورت کلی زمانی یک حمله دیداس به سایت در نظر گرفته می‌شود که دسترسی به یک کامپیوتر یا منبع شبکه عمداً در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. این حملات لزوماً داده‌ها را مستقیماً یا همیشگی تخریب نمی‌کنند، اما عمداً دسترس پذیری منابع را به خطر می‌اندازند. در حملات Dos بسته‌های اطلاعاتی به طور مستقیم از سیستم Hacker یا Attacker ارسال می‌شود و به طور کلی یک سیستم اطلاعاتی در این حمله نقش دارد و بالطبع یک IP مسئول انجام Attack است.

تفاوت حملات Dos و DDos در چیست؟

DOS ‪(denial-of-service)‬ و DDOS ‪(distributed denial-of-service )‬ حملاتی هستند که در آن نفوذگر با ارسال درخواست‌های زیاد به یک کامپیوتر یا سرور منجر به خارج شدن آن از دسترس می‌گردد.
در حملات Dos نفوذگر از یک سیستم درخواست‌ها را ارسال می‌کند. ولی در حملات DDos که نوعی از حملات از Dos می‌باشد، حملات از طریق چند سیستم صورت می‌گیرد. در این نوع حملات نفوذگر امکان دارد از کامپیوتر شما برای حمله به سیستم دیگری استفاده کند به شکلی که کنترل کامپیوتر شما را به دست گرفته و از آن برای حمله به دیگر سرویس‌ها استفاده میکند.

در کل هدف از هر دو نوع حمله خارج نمودن سرور از دسترس کاربران می‌باشد.

حملات مخرب dos&ddos

 

نحوه جلوگیری و جلوگیری از حمله DDoS به وردپرس

حملات DDoS می تواند بصورت هوشمندانه پنهان شده و مقابله با آنها دشوار باشد. با این حال ، با برخی از بهترین اقدامات اساسی امنیتی ، می توانید از تأثیر حملات DDoS بر روی وب سایت وردپرس خود جلوگیری کرده و به راحتی متوقف کنید.

در اینجا مراحلی وجود دارد که شما باید برای جلوگیری و جلوگیری از حملات DDoS به سایت وردپرس خود انجام دهید.

 

Remove DDoS / Brute Force Attack Verticals

بهترین نکته در مورد وردپرس انعطاف پذیری بالا است. وردپرس به افزونه ها و ابزارهای شخص ثالث اجازه می دهد تا در وب سایت شما ادغام شده و ویژگی های جدیدی اضافه کنند.

برای انجام این کار وردپرس چندین API را در دسترس برنامه نویسان قرار می دهد. این API ها روشی است که در آن افزونه ها و خدمات شخص ثالث وردپرس می توانند با وردپرس تعامل داشته باشند.

با این حال ، برخی از این API ها می توانند در هنگام حمله DDoS با ارسال تعداد زیادی درخواست ، مورد سو استفاده قرار گیرند. برای کاهش درخواست ها می توانید با خیال راحت آنها را غیرفعال کنید.

XML RPC را در وردپرس غیرفعال کنید

XML-RPC به برنامه های شخص ثالث اجازه می دهد تا با وب سایت وردپرس شما ارتباط برقرار کنند. به عنوان مثال ، برای استفاده از برنامه وردپرس در دستگاه تلفن همراه خود به XML-RPC نیاز دارید.

اگر مانند اکثریت قریب به اتفاق کاربرانی هستید که از برنامه تلفن همراه استفاده نمی کنند ، می توانید با افزودن کد زیر به پرونده .htaccess وب سایت خود ، XML-RPC را غیرفعال کنید.


# Block WordPress xmlrpc.php requests

order deny,allow
deny from all

 

REST API را در وردپرس غیرفعال کنید

WordPress JSON REST API به افزونه ها و ابزارها امکان دسترسی به داده های وردپرس ، به روزرسانی مطالب و یا حتی حذف آنها را می دهد. در اینجا چگونگی غیرفعال کردن REST API در وردپرس وجود دارد.

اولین کاری که باید انجام دهید نصب و فعال سازی افزونه Disable WP Rest API است. برای جزئیات بیشتر ، به راهنمای گام به گام نحوه نصب افزونه وردپرس مراجعه کنید.

لینک افزونه در فهرست افزونه های وردپرس : https://wordpress.org/plugins/disable-wp-rest-api

این افزونه  به راحتی REST API را برای تمام کاربران غیرفعال شده غیرفعال می کند.

 

استفاده از کلودفلر Cloudflare برای امنیت وردپرس

کلودفلر Cloudflare  این امکان رو به شما میده که اگر حمله‌ای به سایت صورت گرفت تا حد بسیار زیادی از این کار جلوگیری میکنه و شخص حمله کننده هر حمله‌ای که انجام بده در واقع به سرورهای کلودفلر میزنه که تاثیری روی سایت شما نخواهد داشت.

 

 با محافظت از صفحه ورود به سیستم  وب سایت وردپرس خود را ایمن کنید

URL استاندارد صفحه ورود به وردپرس را همه می دانند. باطن وب سایت از آنجا قابل دسترسی است  کافیست /wp-login.php یا / wp-admin / را در انتهای نام دامنه خود اضافه کنید و به صفحه لاگین وردپرس وارد بشوید . به این طریق قسمت از هک سایت انجام شده است .

آنچه من توصیه می کنم سفارشی کردن URL صفحه ورود به سیستم و حتی تعامل صفحه است. این اولین کاری است که اید هنگام شروع امنیت وب سایت خود انجام دهیم .

مسئولیت های کاربر و مدیریت وردپرس

زیرا معمولاً تقصیر کاربر است که سایت وی هک می شود. برخی مسئولیت ها وجود دارد که شما باید به عنوان صاحب وب سایت از آنها مراقبت کنید. بنابراین سوال اصلی این است که شما برای نجات سایت خود از هک شدن چه کاری انجام می دهید؟ محافظت از صفحه ورود به سیستم و جلوگیری از حملات brute force یکی از بهترین کارهایی است که می توانید انجام دهید.

در اینجا چند پیشنهاد برای ایمن سازی صفحه ورود به وب سایت وردپرس وجود دارد:

 

رمز و پسورد شما یک هدیه نیست

زیاده دیده شده بسیاری از مدیران نه تنها از رمز و پسورد خود حفاظت نمی کنند و آنرا مانند یک هدیه به دیگران اهدا  می کنند . آنها معمولا می گویند

  • ایشان منشی جدید من است
  • ایشان آدم خوبی است
  • ایشان دوست من است
  • سایت من هک نمی شود

اما این توصیه ما را داشته باشید که نام کاربری و رمز ورود به سایت شما یک هدیه نیست . از آن مراقبت کنید. به فکر امنیت سایت خود باشید و برای آن هزینه کنید . امنیت را مهم بدانید و برای امن تر شدن سایت خود تلاش کنید .

 

8- ویژگی قفل وب سایت وردپرس را تنظیم کرده و کاربران را ممنوع کنید

شما می توانید تعداد ورودهای ناموفق را محدود کنید . همین کار ساده می تواند بر امنیت سایت شما تاثیر بگذارد.
یک ویژگی قفل برای تلاشهای ناموفق برای ورود می تواند مشکل عظیم تلاش های بی رحمانه مداوم را حل کند. هر زمان که اقدام به هک کردن با رمزهای عبور اشتباه تکراری شود ، سایت قفل می شود و شما از این فعالیت غیر مجاز مطلع می شوید.

افزونه iThemes Security یکی از بهترین پلاگین های موجود است و مدتهاست که از آن استفاده می کنم. این افزونه از این نظر چیزهای زیادی برای ارائه دارد. قبل از اینکه افزونه آدرس IP مهاجم را ممنوع کند ، همراه با بیش از 30 اقدام امنیتی جذاب وردپرس دیگر ، می توانید تعداد مشخصی از تلاش های ورود ناموفق را تعیین کنید.

 

معرفی افزونه امنیتی iThemes Security وردپرس

لینک دسترسی افزونه در فهرست افزونه های وردپرس : https://wordpress.org/plugins/better-wp-security

افزونه iThemes Security

ITHEMES SECURITY جزء بهترین افزونه های امنیت سایت های وردپرس است .

نام قدیم این افزونه Better WP Security بود . این افزونه بیش از 30 راه برای امنیت و محافظت از سایت وردپرس به شما ارائه می دهد.

روزانه به طور متوسط 30،000 وب سایت جدید هک می شود. سایت های وردپرسی به دلیل آسیب پذیری افزونه ها ، رمزهای عبور ضعیف و نرم افزارهای منسوخ شده می توانند هدف آسانی برای حملات باشند.

اکثر مدیران  وردپرس نمی دانند کهوب سایتی  آسیب پذیر دارند . و وقتی به امنیت سایت اهمیت می دهند که آثار مخرب هک سایت خود راتجربه کنند .  اما iThemes Security برای قفل کردن وردپرس ، رفع حفره های امنیتی  ، جلوگیری از حملات خودکار و تقویت اعتبار کاربر کار می کند. با ویژگی های پیشرفته برای کاربران باتجربه ، افزونه امنیتی وردپرس ITHEMES SECURITY  می تواند به امن شدن وردپرس کمک کند.

 

9. برای تأیید امنیت وردپرس از احراز هویت دو عاملی two-factor authentication استفاده کنید

معرفی یک ماژول احراز هویت دو عاملی (2FA) در صفحه ورود به سیستم ، اقدام امنیتی خوب دیگری است. در این حالت ، کاربر جزئیات ورود به سیستم را برای دو جز مختلف ارائه می دهد. صاحب وب سایت تصمیم می گیرد که این دو کدامند. این می تواند یک رمزعبور معمولی باشد که به دنبال آن یک پرسش امنیتی ، یک کد امنیتی  ، مجموعه ای از نویسه ها یا محبوب تر ، برنامه Google Authenticator وجود دارد ، که کد مخفی را به تلفن شما می فرستد. و تنها از طریق کد دریافتی می توان وارد شد و این خیلی عالی است .

من ترجیح می دهم هنگام نصب 2FA در هر یک از وب سایت های خود ، از یک کد مخفی استفاده کنم.

افزونه Google Authenticator فقط در چند کلیک به من در این زمینه کمک می کند.

 

معرفی افزونه Google Authenticator برای امنیت ورد به وردپرس

لبنک افزونه در فهرست افزونه های وردپرس :https://wordpress.org/plugins/miniorange-2-factor-authentication

افزونه Google Authenticator

افزونه Google Authenticator یکی از بهترین افزونه های تأیید هویت دو مرحله ای وردپرس است که یک لایه امنیتی بیشتر را به وب سایت وردپرس شما اضافه می کند.

تأیید هویت دو مرحله ای یا احراز اصالت دو مرحله ای از سایت شما در برابر سرقت رمز عبور، حملات فیشینگ و حتی حملات بروت فورس محافظت کرده و دسترسی به پنل مدیریت شما را برای فرد دیگری غیرممکن می سازد. با این کار می توانید موجب افزایش امنیت وردپرس شوید و لایه دیگری از امنیت را به سایت خود اضافه کنید.

 

ایمنی مناسب ورود به پنل مدیریت وردپرس

به این ترتیب حتی اگر شخصی موفق به حدس زدن نام کاربری و رمز عبور شما شود، باز هم نمی تواند به سایت شما دسترسی پیدا کند زیرا به اطلاعات دیگری نیاز دارد که به تلفن همراه شما ارسال می شود و شامل یک کد امنیتی تصادفی با محدودیت زمانی است.

ساده ترین راه برای فعال کردن تأیید هویت دو مرحله ای (2FA) از طریق افزونه ای به نام Google Authenticator است.

افزونه Google Authenticator تأیید هویت دو مرحله ای را با استفاده از اپلیکیشن Google Authenticator فراهم می کند. این اپلیکیشن تنها در دستگاه های iOS، Android، Windows Phone، webOS، PalmOS و BlackBerry کار می کند. یعنی برای ورود به وب سایت خود به تلفن هوشمند نیاز دارید.

از آنجا که وبلاگ شما به طور مستقیم با دستگاه تلفن همراه شما ارتباط دارد، شما تنها فردی هستید که به کد منحصر به فرد مورد نیاز برای ورود به سایت تان دسترسی دارید. این کد به خاطر اهداف امنیتی در مدت زمان کوتاهی منقضی می شود.

10. برای ورود به وردپرس از ایمیل خود استفاده کنید

به طور پیش فرض ، برای ورود به وردپرس باید نام کاربری خود را وارد کنید. استفاده از شناسه ایمیل به جای نام کاربری رویکرد ایمن تری است. دلایل آن کاملاً واضح است. پیش بینی نام های کاربری آسان است ، در حالی که شناسه های ایمیل چنین نیستند. همچنین ، هر حساب کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می شود ، و آن را به یک شناسه معتبر برای ورود به سیستم تبدیل می کند.

چندین افزونه امنیتی وردپرس به شما امکان می دهد صفحات ورود به سیستم را تنظیم کنید تا همه کاربران برای ورود به سیستم از آدرس ایمیل خود استفاده کنند.

 

افزونه Force Login With Email

لینک افزونه در فهرست افزونه های وردپرس : https://wordpress.org/plugins/force-login-with-email

 

ورود با ایمیل توسط  افزونه Email Login Auth است. این یک افزونه وردپرس بسیار ساده است که به کاربران امکان می دهد با آدرس ایمیل حساب خود وارد سیستم شوند. فقط نصب کنید ، آن را فعال کنید و دوباره وارد سیستم شوید! همچنین می توانید ورود به سیستم را با نام کاربری فقط برای همه کاربران یا فقط برای “مدیر” غیرفعال کنید.

نحوه استفاده
پس از نصب ، افزونه را فعال کنید.
اکنون شما و کاربرانتان می توانید با استفاده از آدرس ایمیل حساب آنها وارد سیستم شوید!
توسط این افزونه و تنظیمات آن شما می توانید ورود و لاگین فقط با ایمیل و رمز شدنی باشد.

 

11. برای امنیت  وردپرس خود URL ورود به وردپرس را تغییر نام دهید

شما در این روش آدرس ورود به سایت خود را عوض می کنید و آدرس ورود استاندارد وردپرس را تغییر می دهید . آدرس جدید را خود شما می دانید و حدس آن کار سختی خواهد بود . توسط این روش امنیت شما افزایش می یابد .
تغییر URL ورود به سیستم کاری آسان است. به طور پیش فرض ، از طریق wp-login.php یا wp-admin اضافه شده به URL اصلی سایت ، به راحتی می توانید به صفحه ورود وردپرس دسترسی پیدا کنید.

وقتی هکرها آدرس مستقیم صفحه ورود شما را می دانند ، می توانند بی رحمانه وارد شوند. آنها سعی می کنند با GWDb خود وارد شوند (Guess Work Database ، یعنی پایگاه داده ای با نام های کاربری و رمزهای عبور حدس زده شده ؛ به عنوان مثال نام کاربری: مدیر و رمز عبور: p @ ssword … با میلیون ها ترکیب از این قبیل)

در این مرحله ، ما در حال حاضر تلاش برای ورود کاربر را محدود کرده و نام کاربری را برای شناسه های ایمیل عوض کرده ایم. اکنون می توانیم URL ورود را جایگزین کرده و از شر 99٪ حملات مستقیم brute force خلاص شویم.

این ترفند کوچک دسترسی شخص غیرمجاز به صفحه ورود را محدود می کند. فقط شخصی با آدرس اینترنتی دقیق می تواند این کار را انجام دهد.

ساده ترین راه برای تغییر URL ورود به سیستم ، استفاده از پلاگین WPS Hide Login به درستی است. استفاده از آن بسیار ساده است. فقط آدرس صفحه ورود به سیستم جدید خود را وارد کنید و تغییرات را ذخیره کنید. می توانید URL را روی هر چیزی که می خواهید تنظیم کنید.

 

معرفی افزونه WPS Hide Login

لینک افزونه در فهرست افزونه های وردپرس : https://wordpress.org/plugins/wps-hide-login

افزونه wps-hide-login/

 

WPS Hide Login یک افزونه بسیار سبک است که به شما امکان می دهد به راحتی و با خیال راحت آدرس صفحه فرم ورود را به هر آنچه می خواهید تغییر دهید. به معنای واقعی کلمه نام پرونده ها را تغییر نمی دهد یا تغییر نمی دهد و همچنین قوانین بازنویسی را اضافه نمی کند. این به سادگی درخواست های صفحه را رهگیری می کند و در هر وب سایت وردپرس کار می کند. فهرست wp-admin و صفحه wp-login.php غیرقابل دسترسی می شوند ، بنابراین باید url را علامت گذاری کنید یا به خاطر بسپارید. غیرفعال کردن این افزونه سایت شما را دقیقاً به همان وضعیت قبلی برمی گرداند.

 

12. رمزهای عبور خود را در وردپرس  تنظیم کنید

با رمزهای عبور خود بازی کنید و مرتباً آنها را تغییر دهید تا وب سایت وردپرس خود را ایمن کنید. با افزودن کلمات اضافی و طولانی تر کردن رمزهای عبور ، قدرت آنها را بهبود ببخشید.

توجه داشته باشید که ما لزوماً به شما توصیه نمی کنیم که حروف بزرگ و کوچک ، اعداد و حروف خاص بیشتری را به گذرواژه خود اضافه کنید. در عوض بسیاری از افراد عبارتهای طولانی را انتخاب می کنند زیرا پیش بینی این موارد برای هکرها تقریباً غیرممکن است.

 

13. از مدیر رمز عبور استفاده کنید

بسیار خوب ، همه ما می دانیم که باید رمزهای عبور خود را اغلب تغییر دهیم و شکستن آنها دشوار است. ما می دانیم که “باید” چه کاری انجام دهیم ، اما همیشه چیزی نیست که برای آن وقت داشته باشیم.

اینجاست که برخی از مدیران رمز عبور با کیفیت وارد عمل می شوند. آنها نه تنها رمزهای ورود ایمن برای شما ایجاد می کنند بلکه سپس آنها را در داخل یک طاق امن ذخیره می کنند ، که باعث می شود دیگر نیازی به یادآوری آنها نداشته باشید.

👉 در اینجا یک مقایسه عمیق ما با بهترین مدیران رمز ورود در بازار وجود دارد.

 

 

14. کاربران بیکار را به طور خودکار از وردپرس خود خارج کنید

کاربرانی که صفحه wp-admin سایت شما را روی صفحه های خود باز می گذارند می توانند تهدیدی جدی برای امنیت وردپرس باشند. هر رهگذری می تواند اطلاعات موجود در وب سایت شما را تغییر دهد ، حساب کاربری شخص را تغییر دهد یا حتی سایت شما را به کلی خراب کند. با اطمینان از خروج افراد از سایت برای افراد پس از مدت کوتاهی بیکار بودن ، می توانید از این امر جلوگیری کنید.

با استفاده از افزونه ای مانند BulletProof Security می توانید این مورد را تنظیم کنید. این افزونه به شما امکان می دهد برای کاربران بیکار محدودیت زمانی سفارشی تعیین کنید ، پس از آن به طور خودکار از سیستم خارج می شوند.

 

معرفی افزونه BulletProof Security

لینک افزونه در فهرست افزونه های وردپرس :https://wordpress.org/plugins/bulletproof-security

افزونه bulletproof-security

حفاظت از امنیت وردپرس:

اسکنر بدافزار ، فایروال ، امنیت ورود به سیستم ، پشتیبان گیری از DB ، ضد هرزنامه و موارد دیگر. موارد برجسته ویژگی امنیتی را در زیر مشاهده کنید. جزئیات ویژگی BulletProof Security را در بخش راهنمای سQالات متداول در زیر مشاهده کنید. با افزودن کد سفارشی اضافی BulletProof Security Bonus وب سایت وردپرس خود را حتی بیشتر ایمن کنید. به کد سفارشی پاداش امنیتی BulletProof در بخش راهنمای سQالات متداول در زیر مراجعه کنید. پلاگین امنیتی وردپرس موثر ، قابل اعتماد و آسان.

 

نکات برجسته BULLETPROOF SECURITY

    • جادوگر تنظیمات با یک کلیک
    • جادوگر راه اندازی AutoFix (لیست خودکار | تنظیم خودکار | خودکار تمیز کردن)
    • MScan Malware Scanner
    • .htaccess حفاظت از امنیت وب سایت (فایروال ها)
    • پوشه های پلاگین پنهان | پرونده های Cron (HPF)
    • ورود به سیستم امنیت و نظارت
    • JTC-Lite (نسخه محدود BPS Pro JTC Anti-Spam | Anti-Hacker)
    • خروج از جلسه بیکار (ISL)
    • انقضا کوکی Auth (ACE)
    • پشتیبان گیری DB: کامل | پشتیبان گیری DB جزئی | دستی | پشتیبان گیری DB برنامه ریزی شده | پشتیبان گیری از
    • طریق پست الکترونیکی | Cron Backup های
    • قدیمی را حذف کنید
    • تغییر دهنده پیشوند جدول DB
    • ورود به سیستم امنیت
    • ورود به سیستم خطای HTTP
    • FrontEnd | حالت تعمیر و نگهداری BackEnd
    • UI Theme Skin Changer (3 پوسته پوسته)
    • اطلاعات گسترده سیستم (صفحه اطلاعات سیستم)
    • گزینه های بروزرسانی خودکار وردپرس
    • نکات برجسته BULLETPROOF SECURITY PRO PRO
    • جادوگر تنظیمات با یک کلیک
    • جادوگر راه اندازی AutoFix (لیست خودکار | تنظیم خودکار | خودکار تمیز کردن)
    • سیستم تشخیص و پیشگیری از نفوذ خودکار (ARQ IDPS)
    • سیستم تشخیص و پیشگیری از نفوذ قرنطینه (ARQ IDPS)
    • مانیتور فایل در زمان واقعی (IDPS)
    • MScan Malware Scanner
    • DB Monitor Intrusion Detection System (IDS)
    • ابزار DB Diff: ابزار مقایسه داده ها
    • پشتیبان گیری DB: کامل | پشتیبان گیری DB جزئی | دستی | پشتیبان گیری DB برنامه ریزی شده | پشتیبان گیری از طریق پست الکترونیکی | Cron Backup های قدیمی را حذف کنید
    • وضعیت و اطلاعات DB: وضعیت و اطلاعات پایگاه داده گسترده

    دیگر ویژگی ها و دستورالعمل ها

    • فایروال پلاگین (IP Firewall): لیست سفید خودکار و به روزرسانی آدرس IP در زمان واقعی
    • ضد هرزنامه JTC | ضد هکر
    • پوشه محافظ ضد بهره برداری (UAEG) را بارگذاری می کند
    • .htaccess حفاظت از امنیت وب سایت (فایروال ها)
    • پوشه های پلاگین پنهان | پرونده های Cron (HPF)
    • php.ini امنیت وب سایت سفارشی
    • ورود به سیستم امنیت و نظارت با هشدار داشبورد | نمایش وضعیت و گزینه ها / ویژگی های اضافی
    • خروج از جلسه بیکار (ISL)
    • انقضا کوکی Auth (ACE)
    • F-Lock: فقط قفل پرونده را بخوانید
    • FrontEnd | حالت تعمیر و نگهداری BackEnd
    • ورود به سیستم امنیت
    • ورود به سیستم خطای HTTP
    • ورود به سیستم خطای PHP
    • تغییر دهنده پیشوند جدول DB
    • S-Monitor: هسته نظارت و هشدار
    • ابزارهای حرفه ای: 16 مینی پلاگین
    • Heads Up داشبورد نمایش وضعیت
    • UI Theme Skin Changer (3 پوسته پوسته)
    • اطلاعات گسترده سیستم (صفحه اطلاعات سیستم)
    • گزینه های بروزرسانی خودکار وردپرس
    • قسمت (ج): وب سایت وردپرس خود را از طریق داشبورد مدیر ایمن کنید

برای یک هکر ، جذاب ترین قسمت یک وب سایت داشبورد مدیریت سایت  است که در واقع محافظت شده ترین قسمت از همه است. بنابراین ، حمله به قوی ترین قسمت چالش واقعی است. در صورت تحقق این امر ، یک پیروزی اخلاقی و دسترسی صدمه زیادی به هکر به همراه دارد.

در اینجا کارهایی است که می توانید برای امنیت داشبورد مدیر وب سایت وردپرس خود انجام دهید:

15. از پوشه wp-admin محافظت کنید

دایرکتوری wp-admin قلب هر وب سایت وردپرسی است. بنابراین ، اگر این قسمت از سایت شما خراب شود ، کل سایت ممکن است آسیب ببیند.

یک راه ممکن برای جلوگیری از این امر محافظت از پوشه از دایرکتوری wp-admin است. با چنین اقدام امنیتی وردپرس ، مالک وب سایت می تواند با ارسال دو رمز عبور به داشبورد دسترسی پیدا کند. یکی از صفحه ورود محافظت می کند ، و دیگری منطقه مدیر وردپرس را محافظت می کند.

تنظیم این امر معمولاً تنظیمات میزبانی شما از طریق cPanel است. هنوز هم اگر مراحل درست را دنبال کنید انجام این کار چندان دشوار نیست.

 

16. برای رمزگذاری داده ها در وردپرس از SSL استفاده کنید

اجرای گواهینامه SSL  یک اقدام هوشمند برای ایمن سازی پنل مدیریت است. SSL انتقال داده ایمن بین مرورگرهای کاربر و سرور را تضمین می کند ، و باعث می شود هکرها نتوانند اتصال شما را قطع کنند یا اطلاعات شما را جعل کنند.

دریافت گواهی SSL برای وب سایت وردپرس خود ساده است. می توانید یکی را از یک شرکت شخص ثالث خریداری کنید یا بررسی کنید که آیا شرکت میزبان شما یکی را به صورت رایگان ارائه می دهد یا خیر.

من در اکثر سایت های خود از گواهی SSL منبع باز رایگان رمزگذاری می کنیم. هر شرکت میزبانی خوبی آنرا به صورت رایگان ارائه می دهد.

گواهی SSL همچنین بر رتبه بندی وب سایت شما در Google تأثیر می گذارد. Google تمایل دارد سایتهای دارای SSL را بالاتر از آنهایی که فاقد آن هستند رتبه بندی کند. این یعنی ترافیک بیشتر.

فعال کردن SSL در سایت وردپرسی خود بسیار ساده است. در 99٪ موارد ، تنها کاری که شما باید انجام دهید نصب پلاگین Really Simple SSL و فعال سازی آن است. تنظیمات دیگری لازم نیست

 

افزونه Really Simple SSL

لینک افزونه در فهرست افزونه های وردپرس : https://wordpress.org/plugins/really-simple-ssl

افزونه Really Simple SSL

 

افزونه Really Simple SSL به طور خودکار تنظیمات شما را شناسایی کرده و وب سایت شما را برای اجرای https پیکربندی می کند. برای سبک نگه داشتن آن ، گزینه ها به حداقل می رسند. کل سایت به SSL منتقل می شود.

فرقی نمیکنه شما گواهینامه اس اس ال خریداری کردید یا از گواهینامه های رایگان مثل Let’s Encrypt استفاده می کنید . در هر حالت باید بعد از خرید و نصب گواهینامه در هاست ، کلیه فایل های سایت رو از طریق پروتکل SSL و با پیشوند HTTPS لود کنید .

برای لود صحیح فایل ها باید از افزونه Really Simple SSL استفاده کنید . این افزونه تمام آیتم های لود شده سایت رو از طریق اس اس ال بارگذاری میکنه و اینطوری قفل سبزرنگ در کنار آدرس سایتتون در مرورگر به طور کامل دیده میشه و هیچ اخطاری هم دریافت نمی کنید

توجه

دقت داشته باشید با این کار هر عکس و ویدئویی در سایت قرار میگیره چه از هاست خودتون باشه چه از هاست دیگران از طریق HTTPS لود میشه . پس اگر دارید محتوایی رو از سایت های دیگه داخل سایتتون قرار میدید و اون سایت ها اس اس ال ندارن ، ممکنه با فعال کردن این گزینه، اون فایل ها نمایش داده نشن .

منبع :

https://www.codeinwp.com/blog/secure-your-wordpress-website/

منتظر به روزرسانی مقاله باشید .

 

دیدگاهتان را بنویسید