امنیت وردپرس برای تمامی افرادی که وب سایت دارند، بحثی بسیار مهم و اساسی است. گوگل روزانه 10 هزار وب سایت که مورد حملات بدافزاری قرارگرفته و هر هفته 50 هزار وب سایت که هدف حملات فیشینگ واقع شدهاند را در لیست سیاه خود قرار می دهد. اگر به عنوان یک صاحب وب سایت، نگران امنیت وردپرس هستید، توصیه میکنیم به نکات زیر توجه کرده و با استفاده از این نکات امنیت وب سایت خود را افزایش دهید.
امنیت وردپرس از اهمیت بالایی برخوردار است
در واقع برای افزایش امنیت وردپرس به زمان و آموزش کافی نیاز دارید. با اینکه هسته اصلی وردپرس بسیار امن است و به طور مرتب توسعهدهندگان نقاط ضعف آن را بررسی و برطرف میکنند، برای افزایش امنیت وب سایت خود میتوانید کارهای زیادی انجام دهید.
برخی بر این باورند که امنیت به معنی از بین بردن کامل خطرات موجود نیست؛ بلکه کاهش خطرات احتمالی را میتوان نوعی امنیت دانست. یک مدیر وب سایت، برای افزایش امنیت وردپرس میتواند کارهای زیادی انجام دهد.
اهمیت امنیت وردپرس
تامین امنیت وردپرس چه اهمیتی دارد؟ یک وب سایت هک شده می تواند به تجارت، درآمد و شهرت شما ضربه شدیدی وارد کند. هکرها میتوانند اطلاعات کاربران و رمز آنها را برداشته، بدافزار های مخرب روی وب سایت نصب کرده و حتی میتوانند این بدافزار ها را بین کاربران وب سایت منتشر کنند.
ممکن است اوضاع بدتر شده و برای اینکه بتوانید دوباره به وب سایت خود دسترسی پیدا کنید، مجبور شوید که به هکرها باج بدهید.
پیشنهاد مطالعه: آشنایی کامل با هک و امنیت
نصب باج افزار بر روی وب سایت
اگر قصد دارید از وب سایت خود درآمد کسب کنید، باید به مسائل امنیتی آن بیشتر توجه کنید. درست همانطور مسئول فروشگاه باید مراقب اقلام و کالاهای موجود باشد، صاحب کسب و کار اینترنتی نیز باید مراقب وبسایت تجاری خود باشد.
بالا بردن امنیت وردپرس
وردپرس یک نرم افزار متن باز بوده که به طور مداوم به روز رسانی شده و ایرادات آن برطرف می شود. به طور پیش فرض، وردپرس آپدیت های کم حجم و کوچک را به صورت خودکار نصب می کند. اما نصب آپدیت های بزرگ باید به صورت دستی صورت بگیرد.
علاوه بر این، افزونهها و تمهای زیادی برای وردپرس وجود دارد که میتوانید آنها را بر روی وب سایت خود نصب کنید. این تمها و افزونهها توسط شرکتهای سوم شخص توسعه داده شده که به طور منظم بهروزرسانی میشوند.
بهروزرسانی یکی از اصلیترین روش های افزایش امنیت وردپرس می باشد. باید هسته، افزونه ها و تم های خود را همیشه بهروز نگه دارید.
رمز قوی و مجوز دهی به کاربران
متداولترین روش برای هک وب سایت های مبتنی بر وردپرس، استفاده از رمزهای سرقت شده است. برای مقابله با این روش می توانید از رمزهای قویتری استفاده کنید. تنها انتخاب رمز قوی برای ورود به قسمت ادمین کافی نیست، باید برای حساب های FTP، بانک اطلاعاتی، حساب هاستینگ و ایمیلی که با آن دامنه وب سایت را خریداری کردهاید نیز رمز های قدرتمندی انتخاب کنید.
بسیاری از مبتدیان، به خاطر سختی به خاطر سپردن رمز های قوی، از رمز های ساده استفاده میکنند. اما دیگر نیازی به حفظ کردن رمز ندارید. امروزه نرم افزار ها و افزونه ها مدیریت رمز زیادی در دسترس عموم قرار گرفته که کار ایجاد رمز و به خاطر سپردن آن را به جای شما انجام می دهند.
یکی دیگر از روشهای افزایش امنیت وردپرس این است که به هیچکس دیگری به غیر از خودتان دسترسی ادمین ندهید. اگر تیم بزرگی بر روی وب سایت کار میکنند یا چند نویسنده در وب سایت شما فعالیت میکنند، قبل از ایجاد حسابهای جدید از قابلیت ها و کارایی انواع حسابهای کاربری موجود در وردپرس، باید به میزان کافی اطلاعات کسب کنید.
انتخاب هاست ایمن
شرکتی که هاستینگ وب سایت شما را بر عهده دارد، نقشی اساسی در امنیت آن ایفا میکند. یک هاست مناسب برای مقابله با حملات متداول تدابیر امنیتی لازم را اتخاذ میکند. یک شرکت هاستینگ خوب، برای حفظ امنیت وب سایت شما، کارهای زیر را انجام میدهد:
- به طور مداوم شبکه خود را بررسی کرده و علاوه بر تشخیص فعالیتهای مشکوک با آن مقابله میکنند.
- تمامی هاستهای مطمئن، برای جلوگیری از حملات DDoS تدابیر امنیتی لازم را فراهم میکنند.
- آنها نرم افزار و سخت افزار سرور خود را به روز نگه میدارند. با این کار تا حد زیادی می توان در برابر بهره جویی هکرها از نقطه ضعف های شناخته شده جلوگیری کرد.
- یک شرکت خوب برای بازگرداندن اطلاعات در صورت بروز حادثه ناگهانی، کاملا آمادگی دارد.
به همین دلیل بهتر است در انتخاب هاست ایمن دقت داشته باشید. یک هاستینگ ایمن باید به صورت خودکار از وب سایت شما بکاپ گرفته و آپدیتهای وردپرس را در اختیارتان قرار دهد. علاوه بر این باید برای حفظ امنیت وب سایت شما تنظیمات پیشرفته ای در نظر بگیرد.
برای افزایش امنیت وردپرس خود میتوانید از نکات زیر استفاده کنید:
از یک افزونه بکاپ گیری استفاده کنید
در واقع این بکاپ ها اولین خط دفاعی در برابر حملات هستند. به خاطر داشته باشید که هیچ چیزی 100% امن نیست. در فضای اینترنت، شاهد هک شدن وب سایت های دولتی بوده ایم، بنابراین سایت شما هم از این قاعده مستثنی نیست و ممکن است هدف قرار گرفته شود. در صورتی که اتفاقی برای سایت شما رخ داد، می توانید با استفاده از بکاپ وب سایت خود را ریکاوری کنید. برای این کار افزونه های رایگان و پولی بسیار زیادی وجود دارد. به طور مرتب از وب سایت خود بکاپ گرفته و آن را در محلی به غیر از اکانت هاست خود ذخیره کنید. بهترین راه ذخیره کردن وب سایت در فضا های ابری مثل Dropbox می باشد.
برای تهیه نسخه پشتیبان می توانید از افزونه های Vaultpress و Updraftplus استفاده کنید. برای راه اندازی این دو افزونه نیازی به کد نویسی ندارید.
بهترین افزونه امنیت وردپرس
بهترین راه افزایش امنیت وردپرس پس از بکاپ گیری، استفاده از افزونه های امنیتی است. این افزونه ها سیستم وب سایت شما را بررسی کرده و آن را تحت نظر نگه می دارند. این بررسی ها شامل بررسی یکپارچگی داده ها، ورود های ناموفق، بررسی بدافزار و غیره می باشد. بهترین افزونه امنیت وردپرس که کاملا رایگان است، Sucuri Scanner نام دارد.
پس از اینکه این افزونه را بر روی وب سایت خود نصب و راه اندازی کردید، در پنل ادمین به منو مربوط به افزونه وارد شوید. اولین کاری که از شما خواسته میشود این است که یک کلید API ایجاد کنید. با این کار بررسی لاگین ها و یکپارچگی دادهها، هشدار از طریق ایمیل و برخی قابلیت های دیگر فعال میشود.
در قدم بعدی وارد تب Hardening شده و تمامی تنظیمات لازم را انجام دهید.
با این کار میتوانید بخش هایی از وب سایت که هدف اغلب هکرها است، از دسترس خارج کنید. تنها بخش پولی این افزونه، مربوط به قسمت فایروال می باشد.
فعال سازی فایروال تحت وب
راحت ترین راه برای حفظ امنیت وب سایت، فعال سازی فایروال می باشد. فایروال های تحت وب هرگونه ترافیک مخربی را قبل از ورود به وب سایت متوقف می کنند. به طور کلی فایروال ها به دو دسته تقسیم می شوند.
دسته اول فایروال های سطح DNS و دسته دوم فایروال های سطح اپلیکیشن هستند. فایروال های سطح DNS تمامی ترافیک وب سایت شما را از طریق سرور های پروکسی انجام می دهند.
با این کار تنها ترافیک های اصلی وارد وب سایت می شوند. فایروال های سطح اپلیکیشن به محض ورود ترافیک به وب سایت و قبل از بارگذاری اسکریپت های وردپرس، آن را بررسی می کنند. این روش به اندازه کافی تاثیر گذار نبوده و احتمال عبور داده ها و بدافزار های مخرب از آن وجود دارد.
کلید های امنیتی وردپرس
کلید های امنیتی وردپرس از چند متغیر تصادفی تشکیل شده که باعث افزایش میزان رمزنگاری اطلاعاتی می شود که در کوکی های کاربر ذخیره شده اند. در کل 4 کلید امنیتی وجود دارد که شامل AUTH_KEY، SECURE_AUTH_KEYT، LOGGED_IN_KEY و LOGGED_IN_KEY می باشد.
اهمیت استفاده از کلید های امنیتی وردپرس
این کلیدها شکستن و دستیابی به رمز شما را سختتر میکند. یک رمز بدون رمز نگاری، مثل username یا wordpress به راحتی قابل شناسایی و هک شدن هستند. اما هک کردن رمزی کاملا تصادفی و غیرقابل پیشبینی مثل 88a7da62429ba6ad3cb3c76a09641fc شاید سالها طول بکشد. برای افزایش امنیت وب سایت خود باید از کلید های امنیتی وردپرس استفاده کنید.
چگونه این کلید ها را بر روی وب سایت خود فعال کنیم؟
در وب سایتهای وردپرس به طور پیش فرض این کلیدهای امنیتی تعریف نشدهاند. به عبارت دیگر باید صاحب وب سایت این کلیدها را به سایت خود اضافه کرده و امنیت وردپرس را افزایش دهد. انجام دادن این کار برای افرادی که با پروتکل FTP آشنایی دارند کار ساده ای است.
در مرحله اول باید کلید امنیتی مخصوص خود را ایجاد کنید. وردپرس یک کلید ساز تصادفی دارد که می تواند این کلید امنیتی را برای شما ایجاد کند. توصیه می کنیم به جای اینکه برای خودتان کلید بسازید از این قابلیت وردپرس استفاده کنید.
در قدم دوم باید فایل wp-config.php را کمی تغییر دهید. توصیه میکنیم این کارها را به افراد خبره سپرده یا قبل از اعمال هر تغییری بر روی فایل فوق، از وب سایت خود نسخه پشتیبان تهیه کنید. این فایل در پوشه root قرار دارد. در خط 45 این فایل باید کدی شبیه به تصویر زیر مشاهده کنید.
در این قسمت کلیدهایی که در مرحله اول دریافت کردهاید را به ترتیب در این خط ها الصاق کنید. سپس فایل wp-config را ذخیره کنید. نیازی به حفظ کردن کلیدهای امنیتی فوق نیست.
