۱۰ روش کاملا موثر در افزایش امنیت سایت در وردپرس !

هکرها سیاه پوشان نقاب گزاری نیستند که فقط شب ها کار می کنند و به خبیث های تیپیکال هالیوودی هیچ ربطی ندارند. در واقع بیشتر آن ها کدنویسان ماهر و باهوشی هستند که از برخی خلاها استفاده می کنند تا اطلاعاتی از یک منبع به دست بیاورند و در راستای اهداف خود یا سفارش دهندگان از آن استفاده کنند. اخلاقی نیست اما واقعی است! درباره  سیستم مدیریت محتوای وردپرس بسیار می شنویم که امنیت بالایی ندارد و می تواند به دست این هکر ها بیفتد. در این مطلب از آژانس دیجیتال مارکتینگ تاس روش های افزایش امنیت وردپرس را بررسی خواهیم کرد. تا انتهای مطلب با ما همراه باشید و بخوانید:

• آيا باید نگران امنیت وردپرس باشیم؟
• ۱۰ روش افزایش امنیت سایت وردپرسی 
• چطور سایت هک شده را بازیابی کنیم؟

پیشنهاد می کنیم مطالعه کنید: طراحی سایت با وردپرس بهتر است یا HTML/CSS؟

آیا باید نگران امنیت وردپرس باشیم؟

به طور کلی باید بگوییم وردپرس محیط ایمنی است. اما برخی موارد مثل مدیریت ضعیف، پلاگین های جانبی زیاد و عدم آشنایی به جزییات آن ها و… می تواند راه هایی را برای هکر ها باز بگذارد.

سایت هک شده می تواند خسارات جدی به در آمد و کسب و کار شما وارد کند.  هکرها می توانند اطلاعات کاربر ، رمزهای عبور ، نرم افزارهایتان را سرقت کنند و حتی می توانند بدافزار را در قالب های مختلف بین کاربران شما پخش کنند. حتی ممکن است مجبور شوید در ازای پرداخت باج سایت خودتان را پس بگیرید.

گوگل هر هفته حدود ۲۰ هزار وبسایت را به دلیل بدافزارها و ۵۰ هزار وبسایت را به دلیل فیشینگ در لیست سیاه خود قرار می دهد. اگر وبسایت شما تجاری است و به نوعی با پرداخت یا خرید محصول در ارتباط است بایستی توجه بیشتری به امنیت آن داشته باشید.

۱. به روز باشید

وردپرس نرم افزار منبع بازی است که مدام به روزرسانی می شود. بسیاری از این به روز رسانی ها بدون اطلاع شما انجام می شوند اما موارد اصلی و مهم بایستی به صورت دستی انجام شود. همواره اطمینان حاصل کنید که هسته اصلی، افزونه ها و تم های وردپرس شما با به روزترین نسخه همگام شده است.

۲. رمز عبور قدرتمند انتخاب کنید

ممکن است برایتان خوشایند نباشد که کنار هزار تا رمز عبور دیگر یک رمز عبور وردپرسی طول و دراز را هم به خاطر بسپرید. اما باید بدانید رایج ترین روشی که هکر ها برای دسترسی به سایت ها استفاده می کنند استفاده از رمز عبور است. رمز عبور بایستی شامل اعداد و حروف و البته حروف بزرگ و کوچک باشد. و چیزی مثل سال تولدتان نباشد که همه بتوانند حدس بزنند.

مراقب دسترسی هایی که به افراد و کارمندان تان می دهید باشید. نیازی نیست که تمام همکارانتان دسترسی کامل به مدیریت وردپرس داشته باشند. خوب است پیش از افزودن عضو جدید، از دسترسی های مختلف مدیر، ادیتور و… وردپرس آگاه شوید و برای هرکس میزان دسترسی را متناسب با نیاز مجموعه تعیین کنید.

۳. نقش هاست وردپرس را نادیده نگیرید!

بهتر است از هاست های معتبر استفاده کنید تا کمتر دغدغه امنیت را داشته باشید. یک هاست خوب به طور مداورم شبکه هایش را از نظر فعالیت مشکوک زیر نظر می گیرد. شرکت های هاستینگ خوب ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند و نرم افزار سرور، نسخه های php و سخت افزارهایشان را به روز نگه می دارند تا از هک شدن در امان بمانند.

یادتان باشد که در برنامه هاست مشترک شما منابع سرور را با چندین مشتری دیگر مشترک هستید. بنابراین راه برای هک شدن از طریق این همسایه ها بازتر می شود.

۴. از افزونه های بک آپ وردپرس استفاده کنید

افزونه های رایگان و پولی زیادی برای بک آپ وردپرس در فروشگاه این سیستم وجود دارند. به کمک آن ها می توانید از ذخیره شدن اطلاعات خود اطمینان داشته باشید و بدانید که در صورت بروز هرگونه اتفاقی به سرعت می توانید سایت خود را بازیابی کنید.

تنها نکته ای که باید درنظر داشته باشید این است که اطلاعات بک آپ را روی یک منبع راه دور یا ریموت ذخیره کنید. ذخیره بک آپ روی حساب هاست خودتان فایده چندانی برایتان نخواهد داشت.

سرویس های ابری مثل آمازون، دراپ باکس یا Stash می توانند گزینه های مناسبی باشند.

اگر سایت شما در فواصل زمانی کوتاه به روز می شود و بک آپ گرفتن دستی از اطلاعات بسیار زمان بر است، پیشنهاد می کنیم از افزونه هایی مثل UpdraftPlus یا BlogVault که ایمن و کاربردی و ساده هستند استفاده کنید.

۵. فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت خود و اطمینان از امنیت وردپرس ، استفاده از فایروال برنامه وب (WAF) است. فایروال وب سایت قبل از اینکه به وب سایت شما برسد ، همه بازدیدهای مخرب را مسدود می کند. از دو مورد زیر می توانید استفاده کنید:

فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پراکسی ابر خود هدایت می کنند. این به آنها امکان می دهد فقط ترافیک اصلی را به وب سرور شما ارسال کنند.

Application Level Firewall – این افزونه های فایروال پس از اینکه به سرور شما رسید اما قبل از بارگذاری اکثر اسکریپت های وردپرس ، میزان بازدید را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

۶. سایت وردپرس خود را به SSL / HTTPS منتقل کنید

هنگامی که SSL را فعال کنید ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، در مرورگر علامت قفل کنار آدرس وب سایت خود را مشاهده خواهید کرد. این اقدام علاوه بر امنیت سایت روی سئو نیز تاثیرگذار است.

۷. در برخی از دایرکتوری های وردپرس اجرای فایل PHP را غیرفعال کنید

روش دیگر برای تقویت امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در فهرست هایی است که نیازی به آن نیست مانند / wp-content / uploads /.

این کار را می توانید با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را جای گذاری کنید:

1
2
3
<Files * .php>
deny from all
</ Files>
در مرحله بعدی ، باید این فایل را به صورت .htaccess ذخیره کرده و با استفاده از سرویس گیرنده FTP آن را در / wp-content / uploads / پوشه ها در وب سایت خود بارگذاری کنید.

۸. فایل XML-RPC وردپرس را غیر فعال کنید

این فایل اجازه مدیریت وردپرس از راه دور توسط دستگاه های اندرویدی و ویندوز و سرویس هایی مثل IFTTT  را صادر می کند. بنابراین یک هکر معمولی با استفاده از تابع system.multicall می تواند به طور همزمان ۲۰ درخواست به سایت ارسال کند و رمز ورود به وردپرس را به ددست بیاورد. همچنین حملات DDOS  نیز از این روش بسیار ساده تر انجام می شود. بهتر است با یکی از روش های استفاده از افزونه یا کدنویسی در فانکشن یا  فایل htaccess. این فایل را غیرفعال کنید.

۹. افزونه افزایش امنیت را نصب کنید

این افزونه کاربردی در تامین امنیت وردپرس بسیار تاثیرگذار است. از قابلیت های آن می توان به موارد زیر اشاره کرد:

حسابرسی فعالیت های امنیتی

 نظارت بر یکپارچگی پرونده

 اسکن کردن بدافزار از راه دور

 نظارت بر لیست سیاه

 تقویت موثر امنیتی

 اقدامات امنیتی پس از هک

 اعلان های امنیتی

 فایروال وب سایت

۱۰ .تأیید اعتبار دو عاملی را اضافه کنید

روش احراز هویت دو عاملی با استفاده از روش احراز هویت دو مرحله ای ، کاربران را مجبور به ورود می کند. اولین مورد نام کاربری و رمز ورود است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد.

برای این کار ابتدا باید پلاگین Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی ، باید روی پیوند “Two Factor Auth” در نوار کناری مدیریت وردپرس کلیک کنید.

در مرحله بعدی ، باید برنامه تأیید اعتبار را در تلفن خود نصب و باز کنید.  بهترین نمونه های این برنامه ها شامل Google Authenticator ، Authy و LastPass Authenticator در دسترس است.

ما توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در cloud پشتیبان تهیه کنید. این مورد درصورت گم شدن تلفن ، تنظیم مجدد یا خرید تلفن جدید بسیار مفید است. تمام ورود به سیستم حساب شما به راحتی بازیابی می شود.

چطور سایت هک شده را بازیابی کنیم؟

برای این کار بهتر است از حرفه ای ها کمک بگیرید. اما برای این که بدانید روش کار به طور خلاصه چطور است در ابتدا باید نوع هک را تشخیص بدهید و ببینید به چه مواردی دسترسی یا عدم دسترسی دارید. سپس با هاست خود ارتباط برقرار کنید و شرایط را توضیح دهید و دستورالعمل های آن ها را دنبال کنید. بعد به سراغ بک آپ هایتان بروید و سعی کنید سایت را بازیابی کنید. سپس برای وجود بدافزارها سایت را اسکن کنید. و در وهله آخر تمام پسوردها و کلیدهای مخفی را تغییر بدهید.

جمع بندی

در این مقاله ده روش جلوگیری از هک شدن و افزایش امنیت وردپرس را معرفی کردیم. اگر در این باره هنوز سوالی در ذهن دارید می توانید از بخش نظرات زیر همین پست از ما بپرسید. اگر تجربه مفیدی دارید از همین قسمت با سایر کاربران به اشتراک بگذارید. فراموش نکنید که برای تمامی خدمات طراحی سایت از جمله طراحی سایت شرکتی می توانید روی تاس حساب کنید.