چگونه می توانیم امنیت وردپرس را افزایش دهیم؟ (۱۶ تکنیک)

افزایش امنیت سایت وردپرس مقوله بسیار مهمی است که تمامی صاحبان کسب و کارها توجه خود را به آن معطوف کرده اند. با توجه به افزایش روزافزون هک شدن وب سایت های مختلف و از دست رفتن کل سرمایه و پیدایش راه های هک و فیشینگ جدید در سال ۲۰۲۱ شما هم باید بتوانید با راهکارهای جدید و تضمینی، امنیت وب سایت خود را ارتقاء ببخشید.

ضرورت امنیت سایت در کسب و کارهای اینترنتی

ممکن است شما یک کسب و کار اینترنتی را جهت فروش محصولات منحصر به فرد خود راه‌اندازی کرده باشید. در عصر حاضر سیل عظیمی از کاربران همواره به دنبال آن هستند که آنچه به آن نیاز دارند را از وبسایت های اینترنتی خریداری کنند. زیرا مراجعه حضوری می تواند زمان و هزینه آنها را افزایش دهد. وب سایتی که میزبان فروش یک کالا می باشد طبیعتاً دارای سیستم تراکنش و پرداخت اینترنتی می باشد.

با توجه به گسترده شدن سیستم برنامه نویسی در حوزه هک افرادی که به معنای واقعی هکر هستند به راحتی می‌توانند وب سایت هایی که از لحاظ امنیتی ضعیف هستند را در بخش تراکنش مالی دچار مشکل کنند. به طوری که حتی می‌توانند وجه پرداختی مشتریان را به سمتی که آنها تمایل دارند هدایت کنند. اما نباید نگران این موضوع باشید چرا که برنامه ریزی دقیق در جهت افزایش امنیت وب سایت وردپرسی که زیر مجموعه ای از فرآیند پشتیبانی سایت است می تواند به طور کامل عملکرد هکرها را مختل کند.

افزایش امنیت وردپرس برای حفظ اطلاعات و برند تجاری

بسیاری از بیزینس های تجاری که تبدیل به یک برند اساسی شده اند و طیف گسترده ای از مشتریان خاص خود را دارند قطعا از طرق مختلف همچون ایمیل یا عضویت آنلاین با کاربران خود در ارتباط می‌باشند. اگر اطلاعات و داده هایی که بین شما و کاربران وجود دارد به نوعی فاش شود نمی توان گفت که چه کارهایی را میتوان با این اطلاعات انجام داد. سرقت هویت، به دست آوردن داده های عمومی و خصوصی، تخریب ساختاری سرور و همه این المان‌ها ناشی از کاهش امنیت سیستم وردپرس خواهد بود. بنابراین برندهای تجاری عظیم سرمایه بزرگی را به منظور افزایش امنیت وردپرس در نظر میگیرند. شما حتی میتوانید در شبکه های اجتماعی مانند اینستاگرام نیز ببینید که چقدر اکانت‌ها توسط کاربران امنیتی حفاظت می‌شود. حال در مورد وب سایت که یک منبع درآمد عظیم هستند باید کارهای اساسی تری را انجام دهیم.

افزایش امنیت وردپرس تنها منحصر به سرمایه شما نیست

بسیاری از دارندگان وب سایت های تجاری و کسب و کار آنلاین تصور میکنند که با افزایش امنیت وردپرس تنها وبسایت آنها حفظ می‌شود و این موضوع هیچ ارتباطی به کاربران آنها ندارد. بلکه بالعکس افزایش امنیت برای کاربران، مشتریان و افرادی که از شما خدمات دریافت می‌کنند نیز میباشد و باعث می‌شود مخاطبان اعتماد بیشتری به بهره برداری از سایت شما داشته باشند. به دلیل اطمینان بیشتر قطعآ در مراحل بعدی و آینده نیز مجددا به منظور دریافت خدمات باز خواهند گشت.

اگر آنها احساس کنند که اطلاعات اساسی آنها قرار است به نوعی سرقت شود هیچ نوع همکاری را حتی خرید ساده نیز از سایت انجام نخواهند داد. تفاوتی ندارد که این اطلاعات از نوع تماس یا اطلاعات پرداخت بانکی باشد که معمولا در اکثر سیستم های خرید آنلاین تمامی داده های مرتبط با کارت های بانکی ذخیره خواهد شد.

اگر در اول راه هستید و می‌خواهید یک وب سایت بیزینسی راه بیندازید باید بدانید که پرداخت هزینه مرتبط با قیمت طراحی سایت با وردپرس پایان کار نیست بلکه باید سرمایه های دیگری نیز به منظور حفظ امنیت در قالب پلن های پشتیبانی در نظر بگیرید.

گوگل علاقه زیادی به وب سایت های امن دارد!

باز هم فراتر از اینها افزایش امنیت وردپرس تنها منحصر به سرمایه شما و همچنین مشتریان نیست, بلکه فراتر از آن مرتبط با سیستم گوگل نیز می‌باشد. درواقع ربات های گوگل پروتکل های امنیتی سایت را به شکل کاملا هوشمند بررسی میکنند. به عبارت ساده تر گوگل تنها به خزش محتوا و لینک های داخلی نمیپردازد. بلکه به واسطه ساختار پیچیده ای که دارد می‌تواند یک ارزیابی دقیقی نسبت به امنیت سایت داشته باشد. بر همین اساس است که میتواند به یک سایت وردپرسی رتبه و امتیاز بدهد.

چرا افزایش امنیت سایت وردپرس مهم است؟

چرا باید به فکر قوی کردن امنیت سایت وردپرسی خودمان باشیم؟ امنیت سایت وردپرسی به عنوان پلتفرمی که تا سال ۲۰۲۱، حدود ۴۰% کل وب سایت های دنیا از آن استفاده می کنند موضوع بسیار مهمی است. بد نیست بدانید که روزانه بیش از ۱۰ هزار وب سایت به خاطر داشتن بدافزار و فایل های مخرب و حدود ۵۰ هزار وب سایت به خاطر عملیات فیشینگ در هر هفته توسط گوگل وارد لیست سیاه می شوند.

منبع باز یا اُپن سورس بودن وردپرس باعث شده تا برخی از صاحبان کسب و کار دلیل آن را حمله زیاد هکرها قلمداد کنند اما با این وجود وردپرس نسبت به سایر سیستم های مدیریت محتوا (CMS) امنیت بیشتری دارد.

از طرفی منبع باز بودن وردپرس به معنای امکان دسترسی راحت آن برای هکرها نیست بلکه برای تغییر و بهینه سازی محیط آن متناسب با نیاز یک کسب و کار توسط توسعه دهندگان می باشد. برای اهمیت بسیار بالای مسأله افزایش امنیت سایت وردپرس بد نیست روزانه به وب سایت Internet Live Stats page سر بزنید و تغییر آمار آن را در لحظه ببینید که چه تعداد سایت هک می شوند! در ادامه به نکات و ترفندهای بسیار مهمی اشاره می کنیم که برای افزایش امنیت سایت وردپرس در سال ۲۰۲۱ ضروری هستند.

افزایش امنیت سایت وردپرس در سال ۲۰۲۱ با ۱۵ ترفند ساده

نکات و ترفندهای مهم در سال ۲۰۲۱ که برای افزایش امنیت سایت وردپرس الزامیست:

افزایش امنیت سایت وردپرسی برای تمامی کسب و کارها از استارتاپ های کوچک تا شرکت های بزرگ و معتبر دنیا امری بدیهی و بسیار مهم به شمار می رود. هر سال با توجه به تغییرات حملات هکری و مسائل امنیتی متفاوت، باید راهکارهای جدیدتر و پیشرفته تری را اتخاذ کرد تا امنیت کسب و کار تضمین شود. در این بخش به نکات و ترفندهای طلایی افزایش امنیت سایت وردپرس در سال ۲۰۲۱ می پردازیم:

۱- تهیه بکاپ یک تکنیک اولیه برای افزایش امنیت وب سایت وردپرسی

اگرچه اقدامات مرتبط با افزایش امنیت سایت وردپرسی تا حد بسیار زیادی می‌تواند به عنوان یک حفاظت همه جانبه تلقی شود. اما همه روزه راه های نفوذ و هک کردن وب سایت های کاری و تجاری گسترده تر می شوند و ممکن است شما به عنوان یک صاحب یا مدیر وب سایت با صحنه های خارج از انتظار خود روبرو شوید.

در چنین شرایطی اولین اقدامی که معمولاً در حوزه امنیت سایت وردپرسی جزو موارد پایه محسوب می شود تهیه نسخه پشتیبان از وبسایت می باشد. زمانی که شما به صورت منظم و دوره ای از سایت خود بکاپ گیری می کنید خیالتان از بابت همه چیز راحت خواهد بود. زیرا حتی اگر سایت شما کاملاً نابود شود به راحتی میتوانید از نسخه هایی که قبلا پشتیبان گیری کرده اید استفاده کنید و تمام محتواها و قالب کلی سایت خود را مانند روز اول بارگذاری کنید.

۲- پلتفرم وردپرس را آپدیت شده نگه دارید.

صدها توسعه دهنده وب بر روی امنیت و مسائل و مشکلات وردپرس کار می کنند و دائما آپدیت های مختلف برای آن منتشر می شود. آپدیت های جزئی به طور اتوماتیک دانلود و نصب می شوند اما برای آپدیت های اصلی و بزرگ باید به شکل دستی اقدام کنید. از طرفی هزاران پلاگین و تم وجود دارند که می توان روی وب سایت نصب کرد. برای این برنامه ها نیز به شکل جداگانه توسط شرکت های سازنده آپدیت منتشر می شود که نباید از آنها غافل شد. پلاگین یا وردپرس آپدیت نشده باعث ایجاد حفره امنیتی بزرگی برای حملات هکرها می شود پس در اولویت کارهای خود قرار دهید.

پیشنهاد میشود این مقاله را مطالعه فرمائید : رفع مشکل هک کلمات ژاپنی در نتایج گوگل

۳- اطلاعات ورود به سایت خود را قویتر کنید.

بسیاری از حملات هکرها از طریق دزدیدن پسوردهای ضعیف است پس از رمز عبور قدرتمند و یونیک برای حساب کاربری ادمین وردپرس استفاده کنید. ضمنا قدرتمندسازی پسورد اکانت های FTP، پایگاه داده، هاستینگ وردپرس و آدرس ایمیل انتخابی را فراموش نکنید. برخی افراد چون نمی توانند پسوردهای سخت و پیچیده را به خاطر بسپارند از انواع ساده استفاده می کنند که احتمال هک شدن آنها بالاست. لازم نیست پسورد خود را حفظ کنید چون نرم افزارهای مخصوص این کار وجود دارند ضمن اینکه آنتی ویروس هایی مثل کسپرسکی بانک ذخیره پسورد با چندین لایه امنیتی دارند.

افزایش امنیت سایت وردپرس با انتخاب پسورد قدرتمند

۴- شرکت هاستینگ امن و قدرتمند انتخاب کنید.

یکی از مهمترین اقدامات برای افزایش امنیت سایت وردپرس انتخاب شرکت هاستینگ امن و قدرتمند است. این شرکت ها دائما شبکه خود را از لحاظ وجود فعالیت های مشکوک بررسی می کنند، از ابزارهای حرفه ای برای جلوگیری از حملات DDoS استفاده می کنند، همیشه نرم افزارهای سرور، نسخه های PHP و سخت افزار خود را آپدیت نگه می دارند. ضمنا هاست وردپرس مدیریت شده نسبت به نوع اشتراکی امنیت بیشتری دارد.

۵- نصب پلاگین امنیتی

یکی از راه های افزایش امنیت وردپرس، بعد از گرفتن نسخه پشتیبان، نصب پلاگین های امنیتی است تا دائما وب سایت شما را از جنبه های مختلف مثل تلاش های ناموفق برای لاگین شدن، بدافزار و ویروس ها و غیره بررسی کنند. در این زمینه می توانید روی پلاگین های رایگان و قدرتمندی مثل wordfence، All in One WP Security، iThemes Security و غیره حساب ویژه باز کنید.

۶- فعالسازی فایروال برنامه های تحت وب یا WAF

یکی از ساده ترین راه ها برای افزایش امنیت سایت وردپرس فعال سازی WAF است. این فایروال تمامی ترافیک های مشکوک و مخرب را قبل از ورود به سایت مسدود می کند. این پلاگین ها در دو سطح DNS Level Website Firewall و Application Level Firewall عمل می کنند. یکی از نمونه های معروف آن Sucuri Firewall است که قابلیت پاکسازی بدافزار و حذف بلک لیست هم دارد.

۷- دریافت گواهینامه SSL و مهاجرت به HTTPS

SSL یا لایه سوکت امن پروتکلی است که همه نقل و انتقالات داده ها را بین وب سایت و مرورگر رمزنگاری می کند. معمولا می توانید این گواهینامه را از شرکت های طراحی سایت نیز بگیرید یا شرکت های هاست نیز گاهی اوقات به شکل رایگان ارائه می کنند.

۸- نام کاربری پیش فرض «admin» را تغییر دهید.

قبلا نام کاربری پیش فرض وردپرس، admin بود و این یعنی نیمی از راه هک کردن و ورود غیر قانونی به حساب کاربری را هموار کرده اید اما الان در زمان نصب می توانید نام کاربری دلخواه وارد کنید. حتما نام پیش فرض را تغییر دهید و اگر از فراموش کردن آن می ترسید حتما از نرم افزار ذخیره پسورد استفاده کنید.

پلاگین Sucuri یکی از پلاگین های قدرتمند برای افزایش امنیت سایت وردپرس

۹- غیر فعال کردن File Editing

وردپرس یک ادیتور کد داخلی دارد تا افراد بتوانند در اکانت ادمین وردپرس، فایل های پلاگین و تم خود را ویرایش کنند. این قابلیت یک خطر امنیتی ایجاد می کند به همین دلیل توصیه می کنیم آن را غیر فعال کنید. برای اینکار کد دستوری :

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

کد شماره ۱ 

را در فایل wp-config.php وارد کنید.

۱۰- محدود کردن تعداد دفعات ورود به وردپرس

یکی از راه های هوشمندانه برای افزایش امنیت سایت وردپرس این است که کاربران پس از چندین بار اشتباه وارد کردن پسورد امکان ورود نداشته باشند و احراز هویت شوند. در حالت پیش فرض کاربران هر تعداد دفعات که اطلاعات ورود خود را اشتباه وارد کنند مشکلی پیش نمی آید و این دقیقا همان چیزی است که هکرها نیاز دارند. اگر WAF را نصب کرده باشید به طور اتوماتیک این تنظیمات اعمال شده در غیر این صورت از پلاگین Login LockDown می توانید استفاده کنید.

۱۱- اضافه کردن احراز هویت دو عاملی یا ۲FA

احراز هویت دو عاملی یعنی شیوه احراز هویت دو مرحله ای که در مرحله اول از طریق یوزرنیم و پسورد وارد حساب کاربری خود می شوید و در مرحله دوم از طریق احراز هویت با دستگاه یا اپلیکیشن ثانویه. دقیقا مشابه با ورود به جیمیل، فیسبوک یا توئیتر که کد احراز هویت به شماره موبایل یا ایمیلی که قبلا ثبت کرده اید ارسال می شود که با تأیید آن اجازه ورود داده می شود. برای فعال کردن این قابلیت از پلاگین Two Factor Authentication استفاده نمایید.

احراز هویت دو عاملی یا ۲FA برای افزایش امنیت سایت وردپرس

۱۲- غیر فعال کردن Directory Indexing and Browsing

Directory Browsing به هکرها کمک می کند تا فایل هایی که حفره امنیتی دارند را بررسی کرده و از آنها برای ورود استفاده کنند. همچنین این امکان را فراهم می کند تا سایر افراد بتوانند فایل های شما را ببینند، تصاویر را کپی کنند و به ساختار دایرکتوری شما پی ببرند. به همین دلیل باید آن را غیر فعال کنید. برای اینکار باید با کمک مدیریت فایل FTP یا cPanel وارد وب سایت شده و فایل .htaccess را در root directory پیدا کرده و خط دستوری زیر را به انتهای آن اضافه کنید. سپس تغییرات را ذخیره کنید.

Options -indexes

کد شماره ۲ 

۱۳- Log out کردن اتوماتیک کاربران در وردپرس

اگر به سایت بانک ها و مشابه آن دقت کرده باشید پس از چند دقیقه اگر فعالیتی نداشته باشید به طور اتوماتیک از حساب کاربری خارج می شوید. چون هکرها می توانند از اطلاعات ورود آنها استفاده کرده، پسوردها را تغییر دهند یا حتی در اکانت آنها تغییرات مدنظر خود را اعمال کنند. این مورد برای وب سایت هم رخ می دهد. برای فعال سازی این قابلیت توصیه می کنیم پلاگین Inactive Logout را نصب کنید تا به افزایش امنیت سایت وردپرس خود کمک کرده باشید.

۱۴- از تم های کرک شده استفاده نکنید

وردپرس هزاران تم رایگان و پولی یا نسخه پریمیوم دارد. نسخه های پولی طبیعتا امنیت بالاتر و قابلیت های بیشتری دارند. به همین دلیل برخی سایت ها این تم ها را کرک کرده اند تا همه بتوانند به شکل رایگان از آن استفاده کنند اما استفاده از آنها بسیار خطرناک است و به احتمال زیاد حفره امنیتی زیادی دارند.

جهت افزایش امنیت سایت وردپرس از قالب های کرک نشده استفاده کنید

۱۵- غیر فعال کردن قابلیت Error Reporting

در حالت عادی قابلیت Error Reporting یا گزارش خطا فعال است. این قابلیت به شما کمک می کند تا نوع تم و یا پلاگینی که باعث بروز خطا در وردپرس شده را بفهمید. برای افزایش امنیت سایت وردپرس بهتر است این قابلیت را غیر فعال کنید چون موقع گزارش یک خطا، مسیر سرور را هم نشان می دهد.

هکرها از این اطلاعات استفاده می کنند تا بفهمند چطوری و کجا می توانند از نقطه ضعف های وب سایت شما سوء استفاده کنند. برای غیر فعال سازی کافیست کد دستوری زیر را در فایل wp-config.php وارد کنید:

error_reporting(0);
@ini_set(‘display_errors’, ۰);

کد شماره ۳ 

۱۶- غیر فعال کردن XML-RPC

با اینکه XML-RPC برای سیستم وردپرسی شما مورد نیاز است تا به اپلیکیشن های تحت وب و موبایلی وصل شود ولی یک خطر امنیتی بزرگ هم ایجاد می کند تا هکرها بتوانند حملات بروت فورس (Brute Force) انجام دهند. به طور معمول اگر هکرها بخواهند ۱۰۰۰ پسورد مختلف را تست کنند باید هزار بار تلاش برای لاگین کردن انجام دهند (login attempt) که با نصب و فعال سازی پلاگین هایی که گفتیم چنین کاربرانی بلاک می شوند.

به همین دلیل توصیه می کنیم برای افزایش امنیت سایت وردپرس آن را غیر فعال کنید. پلاگینی مثل iThemes این کار را انجام می دهد. ضمنا با ابزار XML-RPC Validator می توانید بفهمید که در حال حاضر فعال هست یا خیر.

برای افزایش امنیت سایت وردپرس، XML-RPC را غیر فعال کنید

خدمات یاس وب در زمینه طراحی و توسعه سایت با پشتیبانی امنیتی حرفه ای

تیم یاس وب با بیش از چندین سال سابقه در زمینه طراحی و توسعه وب سایت و ارائه خدمات پشتیبانی وردپرس با شرکت های بسیار معتبر داخلی در حال همکاری می باشد. پشتیبانی وب سایت در یاس وب به دو قسمت فنی و محتوایی تقسیم می گردد. در پشتیبانی فنی کلیه ایرادات مربوط به طراحی سایت و صفحات و موارد امنیتی رفع می شوند. پشتیبانی محتوایی نیز شامل تولید محتواهای یونیک و اختصاصی و بهینه سازی شده طبق اصول سئو می باشد.

پکیج های پشتیبانی سایت در ۴ نوع ساده، برنزی، نقره ای و طلایی قرار گرفته اند تا متناسب با نیاز و بودجه خود بتوانید انتخاب کنید. برای کسب اطلاعات بیشتر و آشنایی با لیست خدمات هر پکیج به بخش خدمات پشتیبانی سایت مراجعه کرده و از مشاوره رایگان با کارشناسان ما بهره مند شوید.