از آنجا که وردپرس پیشگام امروز برای سیستم های مدیریت محتوا و وبلاگ نویسی است، هکرها اغلب امنیت وب سایت وردپرس را هدف قرار می دهند. اگر چه وب سایتی که با WP در حال اجراست، نسبتا آسان است، ولی باید تمام اقدامات احتیاطی امنیتی لازم را انجام دهید. در غیر این صورت، تمام اطلاعات وب سایت شما (یا شرکت شما یا بازدید کنندگان سایت شما) در معرض خطر قرار خواهد گرفت. بنابراین در این مقاله، درباره بهترین شیوه های امنیتی صحبت می کنیم.
مهم نیست که آیا این آسیب پذیری ها کوچک و ظاهرا ناچیز باشد. شما باید یک مرور کامل امنیت انجام دهید و اطمینان حاصل کنید همه آخرین به روز رسانی ها و نسخه ها را نصب کنید. هر گونه آسیب پذیری در وردپرس ممکن است. بنابراین هرکاری که می توانید در خصوص امنیت وب سایت و وردپرس خود انجام دهید.
اقدام بعدی این است که IP دستگاه خود را به فایل /.htaccess/ که در پنل مدیر WordPress قرار دارد اضافه کنید. به صورت زیر جایگزین کنید:
برای اجازه دسترسی ورود به سیستم از چند مکان یا رایانه، فقط یک عبارت دیگر از « Allow from xx.xxx.xxx.xxx» در خطوط بالا اضافه کنید. سپس آدرس های اضافی را وارد کنید. اما آیا به طور مداوم مکان خود را عوض می کنید و از شبکه های Wi-Fi استفاده می کنید؟ بنابراین نیاز دارید تا دسترسی به پنل مدیریت خود را بدون در نظر گرفتن آدرس IP انجام دهید، در نظر داشته باشید که میزان تلاش برای لاگین به صفحه مدیریت وب سایت را مقدار کمی قرار دهید.
همان قانونی که در بخش 3 گفته شد برای کلمات عبور نیز صادق است. بسیاری از کاربران و مدیران سایت از عبارات ساده استفاده می کنند و اولین چیزی را که در ذهنشان می آید به عنوان کلمه عبور وارد می کنند. مهم نیست کلمه عبور شما از نظر شما چقدر منحصر به فرد است، احتمال بالایی دارد که بسیاری از مردم از کلمه عبور مشابه استفاده کنند. بنابراین از آنجا که یک هکر به راحتی می تواند این را تشخیص دهد باید برای تنظیم کلمه عبور کمی طولانی تر فکر کنید.
افراد معمولا درباره کلمات عبور خود فکر نمی کنند. اما هکرها در مورد آنچه که مردم بیشتر از آن استفاده می کنند فکر می کنند و به راه خود می رسند. اطمینان حاصل کنید که از یک جمله استفاده کنید که برای شما مشخص است و شما به راحتی می توانید به یاد داشته باشید. از حروف اول هر کلمه استفاده کنید. و سپس تعداد و نمادها را به صورت متناوب اضافه کنید تا پیچیدگی آن افزایش یابد.
شاید شما فکر می کنید بزرگترین تهدیدات به صورت آنلاین رخ می دهد و از حملات مستقیم است. اما بسیاری از هکرها بدافزارهای هوشمند را ایجاد می کنند که در طول سال ها روی کامپیوتر شما نشسته است. آنها اطلاعات مهمی مانند اطلاعات ورود را سرقت می کنند. به همین دلیل است که باید یک نرم افزار ضد ویروس خوب نصب کنید. از این رو، آن را به طور مرتب به روزرسانی کنید و به طور مرتب کامپیوتر خود را اسکن کنید تا اطمینان حاصل شود که سیستم شما پاک است.
در WP-content/folder چندین فایل پی اچ پی غیرقانونی وجود دارد که می تواند به یک سایت وردپرس آسیب برساند. پس از نصب وردپرس، می توانید فایل های پی اچ پی را مستقیما از این پوشه اجرا کنید. این چک امنیتی بررسی خواهد کرد که آیا اجرای فایل PHP ممنوع است یا خیر.
اطلاعات مهم حساس، از جمله اعتبارسنجی دسترسی به پایگاه داده، در فایل WP-config.php وجود دارد. پس از نصب وردپرس، فایل WP-config.php را اجرا کنید. با استفاده از بررسی امنیتی آن، قادر خواهید بود هر گونه دسترسی ناخواسته به این فایل را مسدود کنید. زیرا اگر پردازش فایل پی اچ وب سرور خاموش باشد، هر هکر می تواند محتوای فایل WP-config.php خود را وارد کند. علاوه بر این، باید بدانید که این مشکل امنیتی در هر دو /web.config/ یا /.htaccess/ می تواند ظاهر شود.
اگر مرورگر دایرکتوری فعال باشد، می تواند برای هکر ها فرصت بدست آوردن اطلاعات مهم وب سایت را فراهم کند. از جمله اینکه سایت چگونه ساخته شده است، کدام پلاگینها را دارد، و غیره.
هر نصب وردپرس از نام گذاری یکسان برای جداول پایگاه داده استفاده می کند. اگر شما فقط از استاندارد / WP_ / prefix برای نام جدول پایگاه داده خود استفاده می کنید، ساختار پایگاه داده مخفی نخواهد بود. بدین معنا که هرکسی می تواند اطلاعاتی را از آن بدست آورد. بنابراین، باید تمام پیشوندهای جدول پایگاه داده را از پیش فرض / WP_ / تغییر دهید.
اگر مجوزهای شما با خط مشی های امنیتی مطابقت نداشته باشند، پس تمامی فایل هایی که نمی توانند مطابق باشند، آسیب پذیر خواهند بود. پس از اتمام نصب، دایرکتوری ها و فایل های شما ممکن است مجوز های مختلفی داشته باشند. با استفاده از بررسی امنیت وب سایت وردپرس ، می توانید تأیید کنید که آیا مجوز ها به درستی تنظیم شده اند. این باید 755 دایرکتوری، 600 برای WP-config.php و 644 برای همه فایل های دیگر باشد.
تمام نسخه های وردپرس دارای آسیب پذیری های مختلف امنیتی هستند. به همین دلیل است که باید از نمایش نسخه ای که استفاده می کنید جلوگیری کنید، زیرا هکرها ممکن است ضعف های آن را بداند. هکرها می توانند نسخه وردپرس را در فایل /redme.html/ و metadata پیدا کنند.