۱۶ راهکار کارآمد برای افزایش امنیت وردپرس

حالا سایت‌ داشتن خیلی راحت است! فقط کافی است از یکی از سیستم‌های مدیریت محتوا یا CMS‌ها کمک بگیرید و انواع مختلف سایت‌ها را بسازید. اما ساختن سایت یک چیز است و تامین امنیت آن چندین چیز! احتمالاً با وردپرس آشنایی دارید. معروف‌ترین CMS دنیا که محبوبیت زیادی بین کاربران دارد. در این مقاله می‌خواهیم راجع به تامین امنیت وردپرس صحبت کنیم و راهکارهایی برای آن ارائه کنیم.

چرا تامین امنیت وردپرس اهمیت دارد؟

چرا هیچکس دوست ندارد دزدها وارد خانه یا مغازه‌اش شوند؟! به همان دلیل هم تامین امنیت وردپرس و البته هر نوع سایتی اهمیت دارد!

هکرها (از نوع بدشان) می‌توانند خیلی بی‌رحم و مضر باشند.  ممکن است اطلاعات محرمانه کاربران‌تان را بدزدند، ممکن است لیست پسوردهای سایت‌تان را برای استفاده در حملات بروت فورس بدزدند، ممکن است روی سایت‌تان نرم‌افزارهای مخرب نصب کنند یا بدتر از آن، آن‌ها را به دستگاه‌های کاربران سایت بفرستند. 

حتی شاید بدشان نیاید تا در ازای اطلاعات، از صاحب سایت باج هم بگیرند. مقاله باج‌افزار چیست را بخوانید تا چگونگی طی شدن این فرایند را متوجه شوید.

همه این موارد، در نهایت موجب از بین رفتن اعتبار و حیثیت صاحب سایت و خود برند می‌شوند. به‌خصوص اگر سایت‌ متعلق به کسب‌و‌کاری باشد، اهمیت حفظ امنیت چندین برابر می‌شود.

پس فهمیدیم که چرا تامین امنیت وردپرس باید یکی از اصلی‌ترین دغدغه‌های صاحبان سایت باشد.

حالا اگر موافق باشید، ببینیم چه کارهایی می‌توان انجام داد تا امکان به‌خطر افتادن سایت را به حداقل رساند!

۱۶ روش کارآمد برای افزایش امنیت وردپرس

همیشه پیشگیری بهتر از درمان است! اهمیت این موضوع را درک نخواهید کرد مگر زمانی که خدایی ناکرده دچار مریضی شوید. وقتی صحبت از تامین امنیت وردپرس و راهکارهای آن می‌شود،  بخش زیادی از راه‌حل‌ها مختص جلوگیری از وقوع حادثه هستند. 

در ادامه ۱۶ راهکار را آورده‌ایم که اجرای برخی از آن‌ها بسیار ساده است؛ اما برخی از آن‌ها هم بهتر است توسط فردی بلدکار اجرا شوند تا دردسرساز نشوند! این آخرین چیزی است که می‌خواهیم! اینکه خودمان با دست خودمان امنیت سایت‌مان را به خطر بیندازیم!

خب برویم سراغ راهکارها:

۱- از افزونه‌های امنیتی استفاده کنید

استفاده از افزونه امنیت وردپرس، مصداق بارز پیشگیری است.

احتمالاً اینکه بخواهید دائماً سایت‌تان را زیر نظر داشته باشید تا مشکلی رخ ندهد کار طاقت‌فرسایی است! در اصل نشدنی است. مگر می‌شود ۲۴ ساعت و ۷ روز هفته همه‌چیز را رصد کرد؟! خبر خوب اینکه هستند افزونه‌هایی که اینکار را انجام می‌دهند.

این افزونه‌ها تمام فعالیت‌های سایت را تحت نظر می‌گیرند و در صورت مشاهده هرگونه مورد مشکوک، یا خودشان اقدام به حذف آن می‌کنند یا صاحب سایت را خبردار می‌کنند. افزونه‌های زیادی وجود دارند که چنین وظایفی را برعهده می‌گیرند. از معروف‌ترین آن‌ها می‌توان به WordFence و Security Sucuri اشاره کرد.

۲- از پسوردهای قوی استفاده کنید

شاید باورتان نشود، اما هنوز هم بسیاری از پسوردها در دنیای اینترنت، بیش‌ازحد ساده هستند. مثلاً ۱۲۳۴۵! یا با کمی خلاقیت: abc12345. سایت‌هایی که از چنین پسوردهایی استفاده می‌کنند، طعمه بسیار خوبی برای حملات بروت فورس هستند؛ چراکه پسوردشان به راحتی قابل حدس زدن است.

پس یک راهکار ساده برای افزایش امنیت وردپرس، استفاده از پسوردهای پیچیده متشکل از حروف کوچک و بزرگ، اعداد و نمادها است! حتی بهتر است همین پسوردهای پیچیده را هم به‌طور مداوم تغییر دهید تا خیال‌تان همه‌جوره راحت شود.

۳- URL دسترسی به داشبورد را تغییر دهید

در حالت پیش‌فرض، اگر بخواهید به داشبورد یک سایت وردپرسی دسترسی پیدا کنید، آدرس زیر کارتان را راه می‌اندازد:

yoursite.com/wp-admin

این بد است!

درست مثل این می‌ماند که آدرس خانه‌تان را در اختیار دزدها قرار دهید تا با فراغ بال، نهایت تلاش‌شان را برای ورود بکنند! بهتر نیست کاری کنیم که از همان ابتدا موفق به پیدا کردن‌مان نشوند؟!

 تغییر این URL از حالت پیش‌فرض، درست مثل مخفی کردن آدرس است.  وقتی پیدا کردن راه ورود به سایت برای هکرها سخت شود، مسلماً امنیت هم تا حد قابل‌قبولی افزایش می‌یابد.

۴- برای ورود ناموفق، محدودیت تعیین کنید

در حالت پیش‌فرض، می‌توانید بدون محدودیت، هرچندبار که دوست دارید برای ورود به داشبورد وردپرس تلاش کنید. مهم نیست چندبار نام کاربری یا کلمه عبور یا حتی هر دو را اشتباه وارد می‌کنید، باز هم فرصت هست؛ البته بهتر است که نباشد!

وقتی برای این مسئله محدودیت تعیین کنید، کاربر پس از چند اقدام ناموفق (مثلاً ۵ دفعه)، به‌طور موقت حتی امکان تلاش مجدد را هم نخواهد داشت. اگر مقاله حملات بروت فورس را خوانده باشید، می‌دانید که این روش چقدر برای دلسرد کردن مجرمان سایبری کارآمد است.

۵- نام کاربری را از admin تغییر دهید

باز هم باید به حالت پیش‌فرض این سیستم مدیریت محتوا اشاره کنیم. در حالت پیش‌فرض، نام کاربری مدیر سایت admin است. حالا اجازه دهید از شما بپرسیم: بهتر نیست که آن را عوض کنیم؟! قطعاً بهتر است. چرا باید نام کاربری سایت‌مان در اختیار دیگران باشد؟ این موضوع فقط باعث می‌شود هک کردن سایت برای هکرها راحت‌تر شود.

وقتی این ۴ راهکار (پسورد قوی، تغییر URL دسترسی به داشبورد، محدود کردن تلاش برای ورود و تغییر نام کاربری پیش‌فرض) را اجرا کنید، به‌میزان چشمگیری امنیت سایت‌تان افزایش پیدا خواهد کرد.

حالا اگر در کنار این‌ها، از احراز هویت دو مرحله‌ای هم برای ورود بهره ببرید که چه بهتر! همچنین می‌توانید لیستی از  IPهایی که بیشترین تلاش ناموفق برای ورود داشتند را تهیه کنید و اجازه دسترسی را کلاً از آن‌ها سلب کنید!

۶- از قالب‌های درست‌و‌حسابی استفاده کنید

دنیای وردپرس پر است از قالب‌های مختلف با ظاهر جذاب و دلربا! اما خب برخی از این قالب‌ها می‌توانند امنیت سایت‌تان را تهدید کنند؛ البته بیشتر قالب‌هایی که توسط توسعه‌دهندگان حرفه‌ای تهیه می‌شوند، هیچ مشکلی ندارند.

 قالب‌هایی که کرک‌شده هستند و به‌نوعی به‌صورت دزدی پخش می‌شوند، آن‌هایی هستند که می‌توانند مشکل‌ساز باشند.  ممکن است در ساختار چنین قالب‌هایی، کدهایی قرار داشته باشد که عملکرد سایت را مختل کند و حتی به‌عنوان یک رخنه امنیتی عمل کند.

حتماً دقت داشته باشید که قالب سایت‌تان را از سایت‌ها و افراد معتبر تهیه کنید تا مشکلی برای‌تان پیش نیاید.

۷- با گواهی SSL اتصالات را ایمن کنید

وقتی قرار باشد اطلاعات از سایتی به مرورگر یک کاربر (یا برعکس) فرستاده شود، به‌صورت پیش‌فرض از پروتکل Http استفاده می‌شود. در این حالت، اطلاعات به‌شکل متنی هستند که هکرها به‌راحتی می‌توانند به آن دسترسی پیدا کنند؛ اما وقتی SSL به کار گرفته شود، پروتکل Https به میدان می‌آید و اطلاعات ردوبدلی را رمزنگاری می‌کند.

به این ترتیب، دیگر سرقت اطلاعات هنگام انتقال، برای هکرها به‌سادگی گذشته نخواهد بود. یکی از راهکارهای پیشگیرانه در افزایش امنیت وردپرس، همین استفاده از گواهی SSL یا نسخه پیشرفته‌ترش TLS است.

۸- دائماً وردپرس و پلاگین‌هایش را به‌روزرسانی کنید

اگر قبلاً از وبلاگ ما دیدن کرده باشید، می‌دانید که هر ماه گزارش مفصلی از آسیب‌پذیری‌های وردپرس در اختیار مخاطبان‌مان قرار می‌دهیم. این آسیب‌پذیری‌ها به‌خاطر کشف رخنه‌های امنیتی در هسته اصلی و افزونه‌های این سیستم مدیریت محتوا ایجاد می‌شوند.

ساده‌ترین راهکار برای رفع این مشکلات، به‌روزرسانی دائم وردپرس و افزونه‌هایی است که از آن‌ها استفاده می‌کنید. در غیر این‌صورت، یک لقمه حاضر و آماده برای هکرها خواهید بود که به‌راحتی می‌توانند از غفلت‌تان سوءاستفاده کنند.

۹- نگذارید دیگران ورژن وردپرس‌تان را ببینند!

یک قانون نانوشته وجود دارد که می‌گوید:

 هرچقدر بیشتر درموردت بدانند، راحت‌تر می‌توانند به تو آسیب برسانند! 

این قانون راجع به تامین امنیت وردپرس هم صدق می‌کند. نسخه مورد استفاده وردپرس هر سایت، در قسمت هدر آن نمایش داده می‌شود. اگر آسیب‌پذیری‌ای در این نسخه وجود داشته باشد، چنین چیزی حکم کارت دعوت برای آدم‌ بدهای اینترنت را دارد!

البته همان مورد قبلی، یعنی به‌روز نگه داشتن نسخه وردپرس، خیال‌تان را راحت‌تر می‌کند؛ اما خب کار که از محکم‌کاری عیب نمی‌کند. می‌کند؟!

۱۰- پیوسته بک‌آپ بگیرید

هرچقدر هم رعایت کنید و مواظب باشید، باز هم احتمال آسیب دیدن سایت وجود دارد. همیشه هکرهایی هستند که با انواع حملات سایبری سایت را هدف بگیرند؛ اما می‌دانید،  سایت خیلی مهم نیست! البته نه اینکه نباشد، ولی قطعاً محتویات آن اهمیت بیشتری نسبت به خودش دارند. پس پیوسته بک‌آپ بگیرید! 

در این صورت، اگر احیاناً روزی از خواب پا شدید و دیدید سایت بر باد رفته، اقلاً به محتویاتش دسترسی دارید.

این‌ها راهکارهایی بودند که پیاده‌سازی‌شان، نیاز به دانش خاصی ندارد. برای موارد بعدی، بد نیست اگر کمی دانش برنامه‌نویسی داشته باشید؛ یا حداقل کار را به کاردان بسپارید!

۱۱- قابلیت File Editing را غیرفعال کنید

داخل داشبود وردپرس، ویرایشگر کدی وجود دارد که با کمک آن می‌توان قالب‌ها و افزونه‌های سایت را دستکاری کرد. توصیه می‌شود بعد از راه‌اندازی سایت، این ابزار (قابلیت) را غیرفعال کنید.

برای دسترسی به این Code Editor دو راه دارید:

Appearance > Editor

Plugins > Editor

توجه داشته باشید که اگر هکری به این قسمت دست پیدا کند، می‌تواند کدهای مخربی را در ساختار سایت‌تان مخفی کند و خب …. احتمالاً دوست ندارید این اتفاق بیفتد.

البته که راه منطقی‌تر، همان به‌روز نگه داشتن نسخه وردپرس و پلاگین‌ها و قالب‌ها است.

۱۳- فایل‌های htaccess. و wp-config.php را مخفی کنید

هکرها تحت هیچ شرایطی نباید به این دو فایل دسترسی داشته باشند!! همین کار هم به‌تنهایی می‌تواند تاثیر بسیار زیادی در افزایش امنیت وردپرس داشته باشد. حالا اگر این راهکار را در کنار مسائل دیگر مثل استفاده از افزونه امنیت وردپرس قرار دهید که چه بهتر!

نکته:  قبل از انجام اینکار، لازم است از تمام محتویات سایت بک‌آپ گرفته شود.  به‌ همین خاطر، بهتر است یک دولوپر حرفه‌ای و کاربلد اینکار را انجام دهد.

برای مخفی کردن این دو فایل، ابتدا باید به فایل wp-config.php بروید و کد زیر را اضافه کنید:

فایل wp-config.php

در مرحله بعد باید به شکلی مشابه، کد زیر را در فایل htaccess. قرار دهید:

فایل htaccess.

۱۴- از WAF استفاده کنید

این عبارت مخفف Web Application Firewall است. به‌ بیان ساده، WAF مثل نگهبانی است که جلوی وب‌سایت شما قرار می‌گیرد و از ورود افراد مشکوک جلوگیری می‌کند؛ البته بهتر است بگوییم از ورود ترافیک مشکوک جلوگیری می‌کند.

اینکار در دو سطح DNS و اپلکیشن انجام می‌شود. بدون شک در حالت اول، امنیت بهتر تامین می‌شود.

۱۵- از آخرین نسخه PHP استفاده کنید

حتماً و حتماً از آخرین نسخه PHP در وردپرس سایت‌تان استفاده کنید. ستون فقرات هسته اصلی وردپرس، پایتون و PHP است. به همین خاطر، اهمیت زیادی دارد که از آخرین نسخه آن استفاده کنید.

نکته جالب اینکه بسیاری از صاحبان سایت نسبت به همین موضوع بی‌توجه هستند. تقریباً ۷۷.۵ درصد از کاربران از نسخه آخر PHP استفاده نمی‌کنند! هر نسخه PHP تا ۲ سال پشتیبانی کامل ارائه می‌کند و پس از آن باید به نسخه جدید کوچ کرد.

۱۶- از هاستینگ معتبر سرویس بگیرید

عمداً این مورد را آخر آوردیم!! گفتیم شاید فکر کنید هدف‌مان از نوشتن این مقاله، تبلیغ سرویس خودمان بوده که خب حقیقتاً هدف اصلی‌مان این نبود! اما بیایید ببینیم ارائه‌دهنده هاست، چه کارهایی می‌تواند برای تامین امنیت سایت انجام دهد:

1. به‌طور مداوم شبکه و ترافیک ورودی را برای شناسایی موارد مشکوک رصد می‌کنند!
2. با استفاده از ابزارهایی که دارند، از وقوع حملات DDoS جلوگیری می‌کنند.
3. همواره نرم‌افزارهای مرتبط با سرور، PHP و سخت‌افزارها را به‌روز نگه می‌دارند تا در مقابل آسیب‌پذیری‌ها مقاوم باشند.
4. برای شرایط بحران برنامه‌های مختلف دارند تا بتوانند درصورت وقوع مشکل، سایت‌تان را سرپا نگه دارند.

همان‌طور که دیدید، هاستینگ می‌تواند تاثیر زیادی بر امنیت وردپرس داشته باشد. حالا اگر می‌خواهید خیال‌تان از طرف ارائه‌کننده هاست راحت باشد و خودتان با آرامش خاطر سراغ راهکارهای دیگر بروید، توصیه می‌کنیم به صفحه فروش هاست در سایت ما سری بزنید و با توجه به نیازتان، بهترین پلن ممکن را انتخاب کنید.

حرف پایانی

همان‌طور که دیدید، افزایش امنیت وردپرس کار خیلی پیچیده‌ای نیست و معمولاً با اتخاذ راهکارهای ساده، تا حد بسیار زیادی می‌توان از وقوع مشکلات امنیتی جلوگیری کرد.

اگر دوستی دارید که نگران امنیت سایت وردپرسی‌اش است، این مقاله را برای او بفرستید.