وردپرس محبوبترین سیستم مدیریت محتوا است و بیش از ۳۰% وبسایت ها از آن استفاده می­ کنند. این در حالی است که با پیشرفت وردپرس، توجه هکرها معطوف آن شده و سایت های مبتنی بر وردپرس را هدف قرار داده ­اند. هیچ سایتی، از این قاعده مستثنی نیست. اگر تدابیر امنیتی لازم را  اتخاذ نکنید، امکان هک شدنتان وجود دارد. درست مثل هر تکنولوژی دیگری، باید امنیت وب­سایت خود را نیز مرتبا بررسی کنید.

در اینجا قصد داریم ۱۰ راه­ تامین امنیت وب­سایت وردپرس مطرح کنیم:

  1. هاستینگ خوب داشته باشید:

ساده ترین راه برای تامین امنیت وب­سایت استفاده از شرکت هاستینگ مطمئنی است که چندین لایه امنیتی دارد.

استفاده از شرکت هاستینگی که خدمات ارزان تری ارائه می ­دهد شاید وسوسه کننده باشد، چون صرفه جویی در هاستینگ یعنی می­ توانید آن هزینه را، صرف کارهای دیگری کنید.  اما نباید وسوسه شوید. این کار اغلب منجر به بروز صدمات جبران ناپذیر می ­شود. ممکن است اطلاعات شما به کلی پاک شده و آدرس وب­سایت شما، مراجعین را به جای دیگری هدایت کند.

صرف اندکی هزینه بیشتر برای شرکت هاستینگ مناسب، یعنی برخورداری از چندین لایه امنیتی بیشتر. استفاده از هاستینگ خوب فایده دیگری هم دارد و آن بهره ­مندی از سرعت بیشتر در وب­سایت است.

  1. از تم های کرک شده استفاده نکنید:

تم های پولی و ارائه شده توسط  وردپرس بسیار حرفه ای تر  هستند و قابلیت تنظیم بیشتری نسبت به تم های رایگان دارند. توسعه دهندگان حرفه­ای، این تم ها طراحی کرده­ و آنها را مطابق با استانداردهای وردپرس تست کرده­ اند. در تنظیم تم ها هیچ محدودیتی ندارید و در صورت بروز هر مشکلی در تم ها، وردپرس به شما پشتیبانی ارائه خواهد کرد. مهم تر این است که مرتبا تم ها به روز رسانی می­ شوند.

اما برخی از سایت­ها تم­ های کرک شده عرضه می ­کنند. این تم­ ها نسخه هک شده تم های پولی بوده و غیر قانونی می­باشند. همچنین استفاده از آنها بسیار خطرناک است. این قبیل تم ها دستورات مخرب مخفی دارند که ممکن است وب­سایت یا دیتا بیس شما را به کلی نابود کرده یا رمز شما را ثبت کند.

  1. افزونه امنیتی وردپرس نصب کنید:

بررسی مرتب امنیت وب­سایت برای جلوگیری از نفوذ بد افزارها کاری زمان بر است و برای این کار باید دانش برنامه ­نویسی خود را همیشه به روز کنید، در غیر این صورت شاید حتی متوجه نشوید که در حال نگاه کردن به دستورات یک بد افزار هستید. ورد پرس می­ داند که همه مردم توسعه دهنده نیستند بنابراین افزونه امنیتی ورد پرس را عرضه کرده تا به آنها کمک کند. یک افزونه امنیتی همیشه مراقب امنیت وب­سایت شما است، بد افزارها را شناسایی می­کند و  هر لحظه در حال بررسی سایت شما است تا ببیند چه اتفاقاتی در آن رخ می­ دهد.

یکی از افزونه های امنیتی Sucuri.net است. آنها به کاربران خود، خدماتی همچون بررسی فعالیت های امنیتی، بررسی جامعیت داده­ ها، اسکن بد افزارها، نظارت بر لیست سیاه، توانمند سازی امنیتی، اقدامات امنیتی پس از هک شدن، هشدارهای امنیتی و حتی فایروال( برای کاربرانی که حساب خود را ارتقا داده باشند) ارائه می­ دهند.

  1. از رمزی قدرتمند استفاده کنید:

رمز ها نقش مهمی در امنیت سایت به عهده دارند که اغلب به آن بی توجه هستیم. اگر از یک رمز ساده استفاده می­کنید مثل ۱۲۳۴۵۶  یا ABC123 لازم است همین الان رمز خود را تغییر دهید. این رمزها بسیار راحت در یاد می­مانند در عین حال حدس زدن آنها هم کاری ندارد. یک کاربر حرفه­­ای می­تواند به راحتی رمز شما را هک کرده و وارد سایت شود.

باید از یک رمز پیچیده استفاده کنید یا حتی می ­توانید از رمزی استفاده کنید که به صورت تصادفی توسط یکی از برنامه های مدیریت رمز تولید شده است.

  1. اصلاح فایل را غیر فعال کنید.

زمانی که یک سایت وردپرس راه اندازی می­ کنید امکانی وجود دارد که  با استفاده از آن می­ توانید تم و افزونه های خود را مدیریت کنید.  می ­توانید از طریق رفتن به قسمت Appearance و سپس Editor به تنظیمات تم دسترسی پیدا کنید و از طریق Plugins سپس Editor افزونه های خود را تنظیم کنید.

توصیه می­ کنیم به محض اینکه سایت شما باز شد این قابلیت را غیر فعال کنید. اگر هکرها بتوانند به پنل ادمین ورد پرس وارد شوند، می­ توانند دستورات مخرب خود را به تم یا افزونه های شما اضافه کنند. برخی اوقات این کد ها به قدری نا محسوس هستن که ممکن است وقتی که کار از کار گذشته متوجه وجود آن شوید.

برای غیرفعال کردن امکان تنظیم مجدد افزونه ها یا تم، تنها باید دستور DISALLOW_FILE_EFIT’,true را در فایل wp-config.php اضافه کنید.

  1. پروتکل امنیتی SSL را نصب کنید:

این روزها SSL برای تمامی سایت­ها مفید است. در ابتدا SSL برای تامین امنیت سایت از لحاظ انجام عملیات های مالی مثل بررسی واریزی ها ضروری بود. اما حالا گوگل به اهمیت این پروتکل پی برده و در نتیجه جست و جو ها جایگاه به خصوصی برای سایت­های دارای SSL قائل می­شود.

SSL برای هر سایتی با اطلاعات حساس مثل: رمزها یا اطلاعات کارت اعتباری، ضروری است. بدون SSL تمامی اطلاعاتی که بین مرورگر کاربر و وب­سایت شما رد و بدل می­ شود در یک متن ساده ذخیره می ­شود. هکرها می ­توانند این فایل را پیدا­ کنند. با استفاده از SSL اطلاعات حساس قبل از تبادل بین کاربر و سرور، رمزگذاری می­ شوند، با این کار هم تشخیص این تبادلات سخت تر شده هم امنیت سایت شما بالا می ­رود.

وب­سایت ­هایی که اطلاعات حساسی دارند، متوسط قیمت SSL بین 70 تا 199 دلار در سال است. اگر هیچ گونه اطلاعات حساسی دریافت نخواهید کرد نیازی نیست برای SSL هزینه کنید. تقریبا تمامی شرکت­های هاستینگ سرویس رایگانی با عنوان رمزگذاری به روش SSL در اختیار تان قرار می­ دهند که می­ توانید بر روی سایت خود نصب کنید.

  1. آدرس ورود به وردپرس را عوض کنید:

به طور پیش فرض برای ورود به وردپرس آدرس شما به صورت Yoursite.com/wp-admin می­ باشد. اگر این آدرس را  در همان حالت پیش فرض قرار دهید ممکن است هکرها با به کار گیری ترکیبی از رمزهای مختلف، برای ورود به سایت شما اقدام کنند. اگر بخواهید کاربران تان حساب کاربری داشته باشند، ممکن است ثبت نام های مجازی زیادی داشته باشید. برای جلوگیری از این امر، می­ توانید آدرس ورود ادمین را تغییر داده یا سوال امنیتی به صفحه ثبت نام و ورود اضافه کنید.

نکته ای برای حرفه ای ها: می­ توانید با اضافه کردن افزونه احراز هویت دو مرحله­ ای به سایت خود، امنیت آن را چندین برابر کنید. در این صورت هر گاه بخواهید وارد حساب خود شوید باید یک مرحله دیگر هم طی کنید، برای مثال می­ توانید از رمز دوم یا نوشتن ایمیل استفاده کنید. این یک روش امنیتی خوب برای جلوگیری از ورود هکرها به سایت شما است.

نکته ای برای حرفه های: همچنین می­ توانید بررسی کرده و ببینید کدام IP بیشترین میزان تلاش ناموفق برای ورود به سایت داشته و آن IP ها را بلاک کنید.

  1. برای دفعات ورود ناموفق مرز تعیین کنید:

به طور پیش فرض، وردپرس به کاربران اجازه داده هر چند بار که می­ خواهند ورود ناموفق داشته باشند. وجود چنین قابلیتی برای افرادی که رمز خود را زیاد فراموش می­ کنند مفید است، اما راه را برای هکرها باز می­گذارد تا با ترکیبی از رمز ها به هک کردن سایت شما مشغول باشند.

با محدود کردن ورود های ناموفق، کاربران قبل از بسته شدن موقت حسابشان قادرند تنها به تعداد محدودی رمز اشتباه وارد کنند. با این کار قبل از اینکه هکرها موفق شوند جلوی حساب بسته می­شود.

می­ توانید این کار را به راحتی از طریق افزونه “ login limit attempts” وردپرس انجام دهید. بعد از نصب افزونه می ­توانید تعداد دفعات ورود ناموفق را با رفتن به Settings و Login Limit Attempts تغییر دهید.

  1. فایل های wp-config.php و .htaccess را پنهان کنید:

این یک روش پیشرفته برای افزایش امنیت سایت است، اگر در مورد امنیت سایت خود جدی هستید یک روش مطمئن، پنهان کردن فایل های .htaccess و  wp-config.php است تا هکرها نتوانند به آن دسترسی پیدا کنند.

توصیه ما این است که برای اجرای این کار از توسعه دهندگان حرفه ای کمک بگیرید، بسیار ضروری است که قبل از هر کاری از سایت بکاپ گرفته شود سپس با دقت و احتیاط دیگر فعالیت ها صورت بگیرد. اگر مرتکب یک اشتباه گردید ممکن است دیگر نتوانید به سایت دسترسی داشته باشید.

  1. نسخه وردپرس خود را به روز رسانی کنید:

یک روش خوب برای تامین امنیت وب­سایت، به روز نگه داشتن نسخه ورد پرس است. با هر نسخه، توسعه دهندگان تغییرات کوچکی انجام می­ دهند که هر از چند گاهی این تغییرات مربوط به توانایی های امنیتی وردپرس می­ باشد. به روز نگه داشتن سایت می ­تواند به شما کمک کند تا در برابر راه های نفوذی که قبلا هکرها شناسایی کرده­اند، در امان بمانید و هدف آنها قرار نگیرید.

به روز رسانی کردن تم و افزونه ها هم دقیقا به همین علت اهمیت بالایی دارد.

به طور پیش فرض وردپرس آپدیت های کوچک را خودش به روز رسانی می­ کند. اما در خصوص آپدیت های بزرگتر باید  مستقیما از پنل ادمین وردپرس استفاده کنید.

نتیجه گیری:

تامین امنیت یکی از مهمترین قسمت­های مدیریت وب­سایت می­ باشد. اگر توجهی به تامین امنیت سایت وردپرس نداشته باشید، هکرها به راحتی به سایت شما حمله خواهند کرد. تامین امنیت وب­سایت کار چندان سختی نیست و حتی می ­توان بدون صرف هزینه آن را تامین کرد.

نظرات

نظر (به‌وسیله فیس‌بوک)