از آنجا که وردپرس پیشگام امروز برای سیستم های مدیریت محتوا و وبلاگ نویسی است، هکرها اغلب امنیت وب سایت وردپرس را هدف قرار می دهند. اگر چه وب سایتی که با WP در حال اجراست، نسبتا آسان است، ولی باید تمام اقدامات احتیاطی امنیتی لازم را انجام دهید. در غیر این صورت، تمام اطلاعات وب سایت شما (یا شرکت شما یا بازدید کنندگان سایت شما) در معرض خطر قرار خواهد گرفت. بنابراین در این مقاله، درباره بهترین شیوه های امنیتی صحبت می کنیم.
1- بهبود امنیت وب سایت وردپرس با به روز رسانی به طور منظم
مهمترین چیزهایی که شما باید انجام دهید این است که به طور مرتب تمام فایل های خود و پلاگین ها یا افزونه های وردپرس را به روز رسانی کنید. پچ های امنیتی یا وصله های رایانشی جدید برای WP و تمام پلاگین های مختلف به طور مرتب عرضه می شوند. و داشتن آخرین نسخه باعث می شود که دسترسی مجرمان سایبری به سایت شما دشوارتر شود.
مهم نیست که آیا این آسیب پذیری ها کوچک و ظاهرا ناچیز باشد. شما باید یک مرور کامل امنیت انجام دهید و اطمینان حاصل کنید همه آخرین به روز رسانی ها و نسخه ها را نصب کنید. هر گونه آسیب پذیری در وردپرس ممکن است. بنابراین هرکاری که می توانید در خصوص امنیت وب سایت و وردپرس خود انجام دهید.
2- پنل مدیریت خود را امن کنید.
پنل مدیریت وردپرس منطقه ای است که می توانید تمام تغییرات و اقدامات لازم را در سایت خود انجام دهید. مهم است که دسترسی پنل مدیریت را فقط به افرادی که نیاز هست محدود کنید. اگر شما هیچ ثبت نامی در سایت خود ندارید، بازدید کنندگان وب سایت نیازی به دسترسی به / wp-login / یا / wp-admin / ندارند.
اقدام بعدی این است که IP دستگاه خود را به فایل /.htaccess/ که در پنل مدیر WordPress قرار دارد اضافه کنید. به صورت زیر جایگزین کنید:
- <Files wp-login.php>
- order deny, allow
- Deny from all
- Allow from xx.xxx.xxx.xxx
- </Files>
برای اجازه دسترسی ورود به سیستم از چند مکان یا رایانه، فقط یک عبارت دیگر از « Allow from xx.xxx.xxx.xxx» در خطوط بالا اضافه کنید. سپس آدرس های اضافی را وارد کنید. اما آیا به طور مداوم مکان خود را عوض می کنید و از شبکه های Wi-Fi استفاده می کنید؟ بنابراین نیاز دارید تا دسترسی به پنل مدیریت خود را بدون در نظر گرفتن آدرس IP انجام دهید، در نظر داشته باشید که میزان تلاش برای لاگین به صفحه مدیریت وب سایت را مقدار کمی قرار دهید.
3- از استفاده از نام کاربری” admin” اجتناب کنید.
ممکن است به نظر می آید تغییر پیش وند wp زیاد مهم نباشد و بسیاری از مردم هرگز نام کاربری WP پیش فرض را تغییر نمی دهند. بنابراین، با اینکار شانس بیشتری به هکر ها برای حدس نام کاربری داده اید. معمولا برای حدس کلمه عبور و نام کاربری از انواع خاصی از نرم افزارها استفاده می کنند که تعداد زیادی نام کاربری و کلمه عبور را برای لاگین به صفحه مدیریت تست می کند. با توجه به مواردی که گفته شد تست کلمه “admin” برای هکر ها اغلب موفق است، بنابراین از این اشتباه تازه کارانه جلوگیری کنید و نام کاربری دیگری را تنظیم کنید.
4- رمزهای عبور خود را تقویت کنید.
همان قانونی که در بخش 3 گفته شد برای کلمات عبور نیز صادق است. بسیاری از کاربران و مدیران سایت از عبارات ساده استفاده می کنند و اولین چیزی را که در ذهنشان می آید به عنوان کلمه عبور وارد می کنند. مهم نیست کلمه عبور شما از نظر شما چقدر منحصر به فرد است، احتمال بالایی دارد که بسیاری از مردم از کلمه عبور مشابه استفاده کنند. بنابراین از آنجا که یک هکر به راحتی می تواند این را تشخیص دهد باید برای تنظیم کلمه عبور کمی طولانی تر فکر کنید.
افراد معمولا درباره کلمات عبور خود فکر نمی کنند. اما هکرها در مورد آنچه که مردم بیشتر از آن استفاده می کنند فکر می کنند و به راه خود می رسند. اطمینان حاصل کنید که از یک جمله استفاده کنید که برای شما مشخص است و شما به راحتی می توانید به یاد داشته باشید. از حروف اول هر کلمه استفاده کنید. و سپس تعداد و نمادها را به صورت متناوب اضافه کنید تا پیچیدگی آن افزایش یابد.
5- افزونه های امنیتی نصب کنید.
6- نرم افزارهای مخرب و ویروس ها را پاک کنید.
اگر کامپیوتر شما امن نیست، پس از استفاده از آن برای ورود به وب سایت، وردپرس خود را نیز آسیب پذیر خواهید کرد. بنابراین اگر بدافزار یا ویروسی را بر روی رایانه خود داشته باشید، هکر می تواند هنگام ورود به سایت، از طریق استفاده از ویروس ها به سرعت اطلاعاتی که نیاز دارند را بدست آورند.
شاید شما فکر می کنید بزرگترین تهدیدات به صورت آنلاین رخ می دهد و از حملات مستقیم است. اما بسیاری از هکرها بدافزارهای هوشمند را ایجاد می کنند که در طول سال ها روی کامپیوتر شما نشسته است. آنها اطلاعات مهمی مانند اطلاعات ورود را سرقت می کنند. به همین دلیل است که باید یک نرم افزار ضد ویروس خوب نصب کنید. از این رو، آن را به طور مرتب به روزرسانی کنید و به طور مرتب کامپیوتر خود را اسکن کنید تا اطمینان حاصل شود که سیستم شما پاک است.
7- بررسی امنیتی را در وردپرس انجام دهید.
وردپرس یک داشبورد مدیریتی است که از طریق آن می توانید به راحتی می توانید وب سایت را مدیریت، پیکربندی و نصب کنید. اگر وردپرس را نصب کرده اید، در اینجا انجام یک بررسی امنیتی وب سایت وردپرس را خواهید دید.
پوشه محتوا وردپرس
در WP-content/folder چندین فایل پی اچ پی غیرقانونی وجود دارد که می تواند به یک سایت وردپرس آسیب برساند. پس از نصب وردپرس، می توانید فایل های پی اچ پی را مستقیما از این پوشه اجرا کنید. این چک امنیتی بررسی خواهد کرد که آیا اجرای فایل PHP ممنوع است یا خیر.
فایل پیکربندی
اطلاعات مهم حساس، از جمله اعتبارسنجی دسترسی به پایگاه داده، در فایل WP-config.php وجود دارد. پس از نصب وردپرس، فایل WP-config.php را اجرا کنید. با استفاده از بررسی امنیتی آن، قادر خواهید بود هر گونه دسترسی ناخواسته به این فایل را مسدود کنید. زیرا اگر پردازش فایل پی اچ وب سرور خاموش باشد، هر هکر می تواند محتوای فایل WP-config.php خود را وارد کند. علاوه بر این، باید بدانید که این مشکل امنیتی در هر دو /web.config/ یا /.htaccess/ می تواند ظاهر شود.
مجوزهای مرورگر دایرکتوری
اگر مرورگر دایرکتوری فعال باشد، می تواند برای هکر ها فرصت بدست آوردن اطلاعات مهم وب سایت را فراهم کند. از جمله اینکه سایت چگونه ساخته شده است، کدام پلاگینها را دارد، و غیره.
پیشوند پایگاه داده
هر نصب وردپرس از نام گذاری یکسان برای جداول پایگاه داده استفاده می کند. اگر شما فقط از استاندارد / WP_ / prefix برای نام جدول پایگاه داده خود استفاده می کنید، ساختار پایگاه داده مخفی نخواهد بود. بدین معنا که هرکسی می تواند اطلاعاتی را از آن بدست آورد. بنابراین، باید تمام پیشوندهای جدول پایگاه داده را از پیش فرض / WP_ / تغییر دهید.
مجوز برای فایل ها و دایرکتوری ها
اگر مجوزهای شما با خط مشی های امنیتی مطابقت نداشته باشند، پس تمامی فایل هایی که نمی توانند مطابق باشند، آسیب پذیر خواهند بود. پس از اتمام نصب، دایرکتوری ها و فایل های شما ممکن است مجوز های مختلفی داشته باشند. با استفاده از بررسی امنیت وب سایت وردپرس ، می توانید تأیید کنید که آیا مجوز ها به درستی تنظیم شده اند. این باید 755 دایرکتوری، 600 برای WP-config.php و 644 برای همه فایل های دیگر باشد.
اطلاعات نسخه
تمام نسخه های وردپرس دارای آسیب پذیری های مختلف امنیتی هستند. به همین دلیل است که باید از نمایش نسخه ای که استفاده می کنید جلوگیری کنید، زیرا هکرها ممکن است ضعف های آن را بداند. هکرها می توانند نسخه وردپرس را در فایل /redme.html/ و metadata پیدا کنند.