+5 راهکار پیشرفته برای امنیت وردپرس

امنیت وردپرس یکی از مهم‌ترین مسائل برای مدیر هر وب‌سایت است. شاید تعجب کنید اگر بدانید که گوگل روزانه 10 هزار سایت را به خاطر مشکلات امنیتی از نتایج موتور جستجوی گوگل حذف می‌کند!

اگر شما برای توسعه سایتتان تصمیم جدی گرفته‌اید و به سایت خود به چشم یک تفریح یا کار موقت نگاه نمی‌کنید، لازم است که توجه ویژه‌ای به مسئله امنیت داشته باشید.

با وجود اینکه سیستم مدیریت محتوای وردپرس، امنیت مناسبی دارد و به صورت منظم به وسیله صدها توسعه دهنده‌ای مورد بررسی و آزمایش قرار می‌گیرد، اما همچنان کارهای بسیاری هست که می‌تواند به شما کمک کند تا بتوانید امنیت وردپرس وب‌سایت خود را ارتقاء دهید.
بهتر است توجه داشته باشید که همواره منظور از امنیت، خطر نابودی نیست، بلکه ما در آقای وب معتقدیم که خطر از دست دادن رتبه و جایگاه نیز باید در جایگاه حفظ امنیت قرار گیرد.

تا انتهای این نوشته با ما در آقای وب همراه باشید.

راهکارهای افزایش امنیت وردپرس

در این مقاله از آقای وب، می‌خواهیم به راهکارهایی بپردازیم که به کمک آن‌ها می‌توانید امنیت وردپرس وب‌سایت خود را به شکل چشم‌گیری ارتقاء دهید. تا جایی که ممکن بوده در نوشتن این مقاله سعی کرده‌ایم که از نوشتن‌ کدهای پیچیده خودداری کنیم و این راهکارها را به نحوی ارائه کنیم، که حتی اگر از دانش برنامه نویسی بالایی برخوردار نیستید، بتوانید به راحتی از مزایای این نوشته بهره‌مند شوید.
از همین رو راهکارهای ارائه شده برای امنیت وردپرس در این نوشته به سه قسمت تقسیم شده است. پیشنهاد ما این است که از ابتدا تا انتهای این مقاله را مطالعه نمایید.

اصول پایه امنیت وردپرس

برای حفظ امنیت وردپرس، یکسری اصول و قواعد ابتدایی وجود دارد که رعایت آن‌ها بسیار ساده و در عین حال بسیار مهم است. رعایت این اصول نیاز به هیچ دانش خاصی ندارد اما عدم رعایت آن‌ها، می‌تواند اثر غیر قابل جبرانی بر روی وب‌سایت شما داشته باشد. در ادامه اصول ابتدایی امنیت وردپرس ارائه شده است.

همواره از آخرین نسخه وردپرس استفاده کنید

وردپرس یک سیستم مدیریت محتوای متن باز است. این به این معناست که هر توسعه دهنده‌ای می‌تواند تک به تک کدهای آن را مشاهده کند، آن ها را ویرایش کند و بنابر نیاز خود از آن‌ها استفاده نماید.
همچنین به سبب متن باز بودن وردپرس استفاده از آن رایگان است و کاربران برای استفاده از وردپرس نیاز به پرداخت هیچ هزينه‌ای ندارند.
این سیستم مدیریت محتوا همواره در حال بروزرسانی و بهبود است و توسعه‌ دهندگان بسیاری به صورت مرتب بر روی آن کار می‌کنند.

بروزرسانی‌های کوچک

وردپرس برای بروزرسانی‌های کوچک اما ضروری را بدون اطلاع کاربر نصب می‌کند و این موضوع را از طریق ارسال یک ایمیل به مدیران سایت اطلاع رسانی می‌کند. این‌گونه آپدیت‌های کوچک اکثرا پچ (patch) هستند و برای برطرف کردن یک مشکل امنیتی ارائه می‌شوند تا امنیت وردپرس بهبود پیدا کند، اما آیا تا کنون با خود گفته‌اید که چرا وردپرس بدون تایید کاربر نسبت به نصب آن‌ها اقدام می‌کند؟
این کار به دو دلیل است:

1. مشکل امنیتی موجود، بسیار پرخطر (Critical) است و برطرف نشدن سریع آن می‌تواند عواقب مخربی برای سایت میلیون‌ها کاربر در سرتاسر جهان ایجاد کند.
2. معمولا همراه با هر آپدیت، فایل یا گزارشی تحت عنوان patch note ارائه می‌شود که در آن توسعه دهندگان باید اشاره کنند که با نصب این بروزرسانی چه تغییراتی بر روی هسته وردپرس اعمال می‌شود، چه مشکلاتی حل شده است و چه امکاناتی افزوده شده است. اما اگر برای مشکلات امنیتیِ Critical پچ نوت ارائه شود و هکرها از مشکلات امنیتی موجود مطلع شوند، ممکن است پیش از اقدام کاربران به نصب بروزرسانی جدید، چندین سایت هک شود. از همین رو وردپرس این آپديت‌ها را به صورت خودکار نصب کرده و سپس پچ نوت را ارائه می‌کند. این مسئله جلوی سوءاستفاده هکرها را خواهد گرفت.

بروزرسانی‌های بزرگ

برخلاف موارد گفته شده در قسمت قبل، بروزرسانی‌های عظیم، که شامل تغییرات وسیع هستند، حتما نیاز به تایید کاربر دارند و وردپرس به صورت خودکار این بروزرسانی‌ها را نصب نمی‌کند.

این بروزرسانی‌ها به شیوه‌های مختلفی به کاربر اطلاع رسانی می‌شود. این کار به این خاطر است که مدیر سایت، پیش از نصب هر کدام از این بروزرسانی‌ها، اقدام به ایجاد بکاپ از سایت وردپرسی خود نماید. با این کار خطر از دست رفتن اطلاعات سایت به صفر می‌رسد و چنانچه پس از نصب بروزرسانی مشکلی ایجاد شود، کاربر با بازیابی نسخه پشتیبان، می‌تواند همه چیز را به روال عادی بازگرداند.
با خواندن این قسمت به اهمیت بروزرسانی‌ وردپرس و افزونه‌های خود پی بردید، از همین رو پیشنهاد می‌کنیم که پس از ارائه بروزرسانی جدید برای وردپرس و افزونه‌های نصب شده بر روی وب‌سایتتان، در اولین فرصت نسبت به آپدیت وردپرس و افزونه‌های سایت خود اقدام کنید.

استفاده از پسوردهای قوی برای امنیت وردپرس

خوب است بدانید که در اکثر موارد، هکرها برای دسترسی به سایت شما از طریق پسوردها اقدام می‌کنند. در همین راستا شما می‌توانید به راحتی با انتخاب پسوردهای پیچیده و تغییر دوره‌ای رمزعبورهای خود، امنیت وردپرس وب‌سایت خود را ارتقاء دهید. اما مشکلی که هست، در اکثر موارد کاربران تنها به عوض کردن پسورد حساب مدیر (ادمین سایت) اکتفا می‌کنند، درحالی که باید بدانید این مسئله فراتر از این‌هاست. در ادامه لیستی از حساب‌هایی که باید به صورت دوره‌ای پسوردهای آن‌ را عوض کنید، ارائه کرده‌ایم. این چک لیست، می‌تواند در این مسیر همراه خوبی برای شما باشد:

• حساب FTP
• حساب‌های متصل به دیتابیس
• اکانت‌های ادمین سایت (پیشخوان وردپرس)
• حساب‌های ایمیل دامنه (info و…)

بسیاری از مدیران تازه کار، یا حتی باسابقه، رابطه خوبی با پسوردهای پیچیده ندارند، اما امروزه با وجود نرم افزارهای مدیریت پسورد مختلف و ابزارهای گوناگون، این مسئله بسیار ساده شده است. پس بهتر است که با استفاده از پسوردهای پیچیده و طولانی (بین 12 تا 18 کاراکتر) و عوض کردن دوره‌ای رمز عبور حساب‌های کاربری خود، بر سر امنیت وردپرس وب‌سایت‌تان ریسک نکنید.

به نقش کاربران و دسترسی‌ها توجه کنید

یکی دیگر از اصول پایه برای حفظ امنیت وردپرس، مدیریت دسترسی کاربران به محتوای سایت است. قانونی نانوشته در رابطه با امنیت سایت وجود دارد که می‌گوید: «تا زمانی که به طور قطع، مجبور به ارائه دسترسی سایت خود به شخص یا سازمانی نیستید، این کار را انجام ندهید.»

ارائه دسترسی ادمین به یک کاربر، همچون زمانیست که شما کلید منزل خود را در اختیار شخصی قرار می‌دهید. این کار را تنها در صورتی انجام دهید که اعتماد کاملی به آن شخص دارید. از طرفی اگر تیم بزرگی دارید و لازم است که به هر فرد دسترسی‌های خاصی تعلق بگیرد، لازم است که در رابطه با نقش‌های کاربری و سیستم دسترسی وردپرس تحقیقات مختلفی انجام دهید.

یکی از بهترین پلاگین‌ها برای امنیت وردپرس در زمینه نقش‌های کاربری و مدیریت دسترسی کاربران، افزونه User Role Editor می‌باشد. پیش از این در مقاله‌ای از نت افزار بلاگ به بررسی این افزونه پرداخته‌ایم که از طریق لینک زیر، می‌توانید نسبت به مطالعه این مقاله اقدام نمایید.

مدیریت دسترسی کاربران وردپرس با افزونه User Role Editor

با اطلاع از مسائل ذکر شده، شما اصول پایه امنیت وردپرس را فرا گرفته‌اید. در ادامه به سراغ بررسی راهکارهای ساده برای افزایش امنیت وردپرس می‌رویم.

راهکارهای ساده برای افزایش امنیت وردپرس

وردپرس معمولا یک راهکار ساده و بی‌نقص برای کاربرانیست که بدون دانش برنامه نویسی به دنبال ایجاد یک سایت برای خود هستند. در این قسمت از مقاله‌ی راهنمای جامع امنیت وردپرس، می‌خواهیم بدون حتی نوشتن یک خط کد، امنیت وردپرس را به طرز چشمگیری ارتقاء دهیم. توجه داشته باشید که این مسئله به این معنا نیست که شما برای انجام این مراحل نیاز به هیچ دانشی ندارید. برای افزایش امنیت وردپرس، لازم است که با مفهوم وردپرس آشنایی مناسبی داشته باشید و بتوانید به خوبی از ابزارهای موجود بهره ببرید.

پیدا کردن یک راه حل دائمی و قابل اعتماد برای ایجاد بکاپ

داشتن یک بکاپ سالم، کامل و مطمئن، اولین راهکار برای افزایش امنیت سایت است. همان‌طور که در مقاله “روش‌های مقابله با هک شدن وردپرس” ذکر کردیم؛ داشتن یک بکاپ مانند یک قلعه امن است، که حتی در صورت هک شدن سایت، می‌توانید به آن پناه ببرید. توجه داشته باشید که هیچ سایتی 100 درصد امن نیست. اگر یک سایت دولتی یا سایتی به وسعت دیسکورد، ؛ Yahoo و… هک می‌شود، پس سایت شما هم قابل هک شدن است. بکاپ‌ها به سریع‌ترین شکل ممکن قادرند که وضعیت سایت شما را در صورت بروز مشکل، به حالت اولیه برگردانند.

برای ایجاد بکاپ راهکارهای مختلفی وجود دارد. برخی از این موارد عبارتند از:

• تهیه بکاپ از طریق کنترل پنل دایرکت ادمین
• تهیه نسخه پشتیبان از طریق افزونه‌ها
• ایجاد بکاپ از طریق استفاده از CronJob ها

چیزی که در این نوشته در رابطه با بکاپ می‌خواهیم به آن بپردازیم، اهمیت دوره بکاپ گیری و محل ذخیره آن است. توجه داشته باشید که بکاپ گیری زمانی مثمر ثمر خواهد بود که از قابلیت بازیابی آن و زمان تهیه بکاپ، اطلاع کامل داشته باشیم. بسیار دیده شده است که کاربران مرتبا نسبت به ایجاد بکاپ اقدام کرده‌اند، اما آخرین بکاپ‌های آن‌ها قابل بازیابی نیست و به همین دلیل بسیاری از تلاش‌های تیم مدیریت سایت به هدر رفته است. بنابراین به صورت مرتب و دوره‌ای بکاپ‌های خود را تست کنید و ببینید که آیا قابل بازیابی (Restore) هستند یا خیر.

بکاپ‌های خود را در فضاهای مختلف ذخیره کنید

مسئله بعدی محل ذخیره بکاپ است. سعی کنید که تمامی بکاپ‌های خود را در یک فضای ابری همچون Google Drive، One Drive، Dropbox و… ذخیره کنید و آخرین بکاپ خود را بر روی یک فضای آفلاین، همچون حافظه سیستم رومیزی خود داشته باشید. همواره پیشنهاد می‌کنیم که از فضای هاست خود به منظور ذخیره بکاپ‌ها استفاده نکنید و تنها آخرین بکاپ را بر روی هاست خود داشته باشید.

با رعایت این اصول، همواره یک نسخه پشتیبان مناسب و قابل اعتماد از سایت خود خواهید داشت که در صورت نیاز، می‌توانید به آن رجوع کنید. توجه داشته باشید که تنبلی در گرفتن بکاپ‌های دوره‌ای و عدم اطمینان از سلامت آن، یکی از بزرگترین پشیمانی‌های کاربرانیست که سایت خود و زحمت چند ماهه و چند ساله خود را از دست داده‌اند!

استفاده از SSL

شاید اشاره به این مسئله کمی عجیب به نظر برسد، اما باید بدانید که هنوز هم بسیاری از کاربران از پروتکل SSL بر روی سایت خود استفاده نمی‌کنند. این پروتکل ارتباط سایت و مرورگر کاربر را رمزنگاری می‌کند. این مسئله به شدت بر روی امنیت سایت تاثیر مثبت دارد و موجب می‌شود که ریسک سرقت اطلاعات کاربر بسیار کاهش یابد.

پس از فعالسازی SSL، سایت شما برای برقراری ارتباط با کاربر به جای استفاده از HTTP از HTTPS استفاده خواهد کرد و علامت یک قفل در کنار آدرس صفحه قرار خواهد گرفت که این مسئله به معنای رمزنگاری اطلاعات بین مرورگر و وب‌سایت شماست.

پیش از آغاز فعالیت سازمان Lets Encrypt، به دلیل هزینه‌های بالای گواهینامه SSL، اکثر مدیران سایت‌ها استفاده از این استاندارد را رد کردند. در همین زمان شرکت‌های بزرگی همچون گوگل، فیسبوک، موزیلا و بسیاری از شرکت‌های دیگر تصمیم به راه اندازی پروژه Lets Encrypt گرفتند. این پروژه برای ارائه گواهینامه رایگان SSL به صاحبان سایت‌ها راه اندازی شده است. بنابراین شما اکنون می‌توانید بدون پرداخت هیچ هزینه‌ای با استفاده از آموزش زیر، نسبت به فعالسازی SSL بر روی سایت خود اقدام کنید.

آموزش نصب گواهینامه SSL رایگان Let’s Encrypt

اما آیا با روی کار آمدن Lets Encrypt، شرکت‌های ارائه دهنده لایسنس SSL بیکار نشستند؟

شرکت‌های بزرگ ارائه دهنده گواهینامه SSL همچون Certum، هزینه‌های بسیاری کردند و سرویس خود را به طرز چشمگیری ارتقاء دادند. حتما شما هم می‌دانید که با خرید یک گواهینامه SSL حرفه‌ای همچون گواهینامه‌های سرتوم می‌توانید نماد اعتماد 2 ستاره دریافت کنید. چیزی که با گواهینامه‌های Lets Encrypt امکان پذیر نیست. پیش از این مقاله کاملی در رابطه با نحوه خرید و فعالسازی گواهینامه SSL شرکت Certum نوشته‌ایم، که با کلیک بر روی لینک زیر، می‌توانید نسبت به مطالعه آن اقدام کنید.

آموزش خرید و استفاده از گواهینامه SSL شرکت سرتوم

بهترین افزونه‌های امنیت وردپرس را بررسی، و یکی را نصب کنید

پس از اینکه از بکاپ‌های سایت خود مطمئن شدیم، اکنون وقت آن رسیده که از یک ابزار مناسب برای اضافه کردن چندین قابلیت امنیتی مختلف استفاده کنیم. در این قسمت نیاز هر سایت، سلیقه مسئول امنیت سایت، سطح آشنایی مسئولان سایت با ابزارها، متدها و قابلیت‌های وردپرس تاثیرگذار هستند.

رایج ترین پلاگین‌های امنیتی وردپرس در زمان نگارش این مقاله عبارتند از:

تمامی افزونه‌های ذکر شده از طریق مخزن افزونه‌های وردپرس قابل بررسی، ارزیابی و نصب هستند. بیش از 50 درصد امکانات تمامی افزونه‌های امنیتی با یکدیگر مشابه هستند و 50 درصد باقی مانده تعیین کننده این است که شما از کدام افزونه استفاده می‌کنید. برخی مولفه‌ها همچون نظارت بر یکپارچگی فایل‌ها، اعلان تغییر در فایل‌های سایت، بررسی لاگین‌های ناموفق و نهایتا اسکن فایل‌های خطرناک، از جمله مواردی هستند که از لازمه‌های یک افزونه امنیتی خوب است.

تمامی افزونه‌هایی که در این قسمت به آن‌ها اشاره کردیم، از موارد گفته شده بهره می‌برند و می‌توانند دستیار مناسبی برای ارتقای امنیت سایت باشند.

بررسی و مقایسه این افزونه‌های امنیتی وردپرس از حوصله این مقاله خارج است، بنابراین این کار را بر عهده خودتان می‌گذاریم تا بتوانید با مقایسه افزونه‌ها با یکدیگر به شناخت درستی از هرکدام برسید. با این وجود، بزودی مقاله‌ای مجزا در این زمینه از بلاگ آقای وب منتشر خواهد شد، که می‌توانید با مراجعه مجدد به سایت ما، نسبت به مطالعه آن اقدام نمایید.

با یک فایروال آنلاین (WAF) از سایت خود محافظت کنید

یکی از بهترین و مناسب‌ترین راه‌ها برای ارتقای امنیت سایت، استفاده از یک فایروال وب اپلیکیشن (WAF) در مقابل درخواست‌های سایت است. با این کار کلیه درخواست‌های سایت پیش از ارسال به سرور، از یک دیوار آتش عبور می‌کند که بسته به تنظیمات آن وب اپلیکیشن، درخواست‌ها فیلتر می‌شوند.

با این کار درخواست‌های مخرب به صورت کلی به سرور ارسال نمی‌شود و درخواست‌های مشکوک، راستی آزمایی می‌شوند. حتما برای شما هم پیش آمده که پیش از ورود به یک سایت، از شما خواسته شده که یک Captcha را تکمیل کنید و ثابت کنید که ربات نیستید!

سایتی که این راستی آزمایی را به شما نشان می‌دهد، در حال استفاده از یک فایروال وب اپلیکیشن است و درخواست شما بنابر دلایلی همچون استفاده از VPN، به عنوان یک درخواست مشکوک درنظر گرفته شده است.

برای استفاده از WAF راه‌های بسیاری وجود دارد. نصب و کانفیگ دستی فایروال و استفاده از CDN از رایج‌‌ترین راه‌ها برای استفاده از WAF بر روی وب‌سایت شماست. پیش از این در مقالاتی به بررسی نحوه اتصال وردپرس به CDN های کلودفلر و ابر آروان پرداخته‌ایم که با مطالعه آن‌ها می‌توانید سایت خود را به یکی از این دو شبکه توزیع محتوا متصل کرده و از فایروال وب اپلیکیشن تعبیه شده در هر کدام استفاده نمایید.

نحوه اتصال وردپرس به CDN کلودفلر

نحوه اتصال وردپرس به CDN ابر آروان

لازم به ذکر است که استفاده از پلن‌های پایه فایروال‌های Cloudflare و ابر آروان رایگان بوده و برای دسترسی به امکانات پیشرفته هرکدام، ملزم به پرداخت هزینه خواهید بود.

راهکارهای پیشرفته افزایش امنیت وردپرس

پس از اتصال سایت به CDN و استفاده از دیوار آتش، تقریبا می‌توان گفت که راهکارهای ساده به پایان می‌رسند. در پایان این مرحله سایت شما به پروتکل SSL مجهز شده، از یک پلاگین امنیتی بهره می‌برد و با استفاده از یک وب اپلیکیشن فایروال، درخواست‌های ارسالی به سایت شما تجزیه و تحلیل می‌شود. همچنین بکاپ‌هایی از سایت خود در اختیار دارید که در صورت بروز هرگونه مشکلی می‌توانید از آن‌ها استفاده کنید. از اینجا به بعد باید برای ارتقای امنیت سایت وردپرسی خود، دست به کیبورد شوید!

اگر می‌خواهید کار را برای افراد سودجو و هکرها سخت‌تر از همیشه کنید، در ادامه با ما همراه باشید.

ویرایشگر فایل وردپرس را غیرفعال کنید

سیستم مدیریت محتوای وردپرس از یک ویرایشگر کد داخلی بهره می‌برد که به ادمین سایت یا بهتر است بگوییم، هر کاربری با دسترسی ادمین، امکان ویرایش کدهای قالب و افزونه‌ها را می‌دهد. این قابلیت در نگاه اول بسیار کاربردیست، اما چه می‌شود اگر این امکان در دست فرد نادرستی قرار بگیرد؟

کلیه کدهای قرار گرفته در پوشه Themes و Plugins قابل تفسیر هستند. این به این معناست که کدهای قرار گرفته در این دو پوشه قابل اجرا هستند و هکر با دسترسی به پیشخوان می‌تواند کدهای مدنظر خود را به سایت هدف تزریق کند. از همین رو پیشنهاد می‌کنیم که این قابلیت را غیرفعال کنید.

برای این کار تنها کافیست که فایل wp-config.php را در دایرکتوری Public_html پیدا کرده و قطعه کد زیر را قبل از عبارت “That’s all, stop editing! Happy publishing” قرار دهید.

define( 'DISALLOW_FILE_EDIT', true );

در نهایت تغییرات را ذخیره کنید. با این کار باید گزینه ویرایشگر از مسیرهای زیر حذف شود:

• پیشخوان => نمایش => ویرایشگر
• پیشخوان => افزونه‌ها => ویرایشگر

کاربرانی که افزونه امنیتی Sucuri را انتخاب کردند، می‌توانند از طریق تنظیمات این افزونه، بدون درگیرشدن با کدنویسی این قابلیت را غیرفعال کنند.

رمزگذاری صفحه ورود به پیشخوان

به صورت پیش‌فرض، برای ورود به پیشخوان وردپرس تنها کافیست که عبارت wp-admin یا wp-login.php را در انتهای آدرس سایت وارد کنید. همچون :

abc.com/wp-admin/
abc.com/wp-login.php

همانطور که ما از این مسئله آگاه هستیم، هکرها نیز از این مسئله مطلع هستند. این امر موجب می‌شود که افراد سودجو بتوانند برای دسترسی به پیشخوان وردپرس از تکنیک‌های مختلف خود بدون هیچ مانعی استفاده کنند. همچنین این مسئله، ریسک داون شدن سایت به وسیله حملات بروت فورس (Brute Force) را نیز افزایش می‌دهد.

پیش از این مقاله‌ای برای حل این مسئله و رمزگذاری بر روی صفحه ورود تهیه کرده‌ایم، که با کلیک بر روی لینک زیر، می‌توانید نسبت به مطالعه آن اقدام کنید.

رمزگذاری بر روی صفحه ورود به پیشخوان وردپرس

قطع دسترسی خارجی به فایل wp-config.php

فایل wp-config یکی از مهم‌ترین فایل‌های وردپرس است که اطلاعات کلیدی سایت شما در آن وجود دارد. داده‌هایی همچون نام کاربری و رمزعبور دیتابیس، همگی در این فایل قرار دارند.

برای مسدود کردن دسترسی به این فایل، باید قطعه کد زیر را در فایل htaccess. در دایرکتوری public_html قرار دهید.

<files wp-config.php>
order allow,deny
deny from all
</files>

بهترین زمان برای اعمال این رشته کد زمانیست که مراحل توسعه سایت شما به پایان رسیده‌است. برخی افزونه‌ها برای اعمال قابلیت‌های خود نیاز به ویرایش فایل wp-config.php دارند که با اعمال رشته کد بالا، جلوی این دسترسی گرفته خواهد شد.

احراز هویت دو مرحله‌ای را برای مدیران اجباری کنید

یکی از مهم‌ترین روش‌های برقراری امنیت در وردپرس استفاده از سیستم احراز هویت دو مرحله‌ای (2FA) می‌باشد. با استفاده از این قابلیت می‌توانید، یک بار برای همیشه خیال خود را از بابت حملات Brute Force راحت کنید.

با پیاده سازی این سیستم پس از اینکه رمز عبور حساب کاربری خود را وارد می‌کنید، یک رمز دوم از شما خواسته خواهد شد که این رمز را باید از اپلیکیشن نصب شده بر روی موبایلتان وارد کنید. سیستم احراز هویت دو مرحله‌ای در نسخه رایگان افزونه امنیتی Wordfence، در دسترس است. سایر کاربران برای فعالسازی این قابلیت می‌توانند از افزونه Two Factor Authentication کمک بگیرند.

نحوه کار با این افزونه بسیار راحت است. پس از نصب افزونه تنها کافیست که از طریق نوار کناری پیشخوان، بر روی گزینه “Two Factor Auth” کلیک نمایید. پس از آن نیاز به یک اپلیکیشن احراز هویت خواهید داشت.

پیشنهاد ما استفاده از اپلیکیشن Microsoft Authenticator است. این اپلیکیشن هم برای سیستم عامل IOS و هم برای سیستم عامل اندروید در دسترس است. مهم‌ترین ویژگی این نرم افزار این است که برخلاف اپلیکیشن احراز هویت گوگل، داده‌های شما را بر روی یک فضای ابری ذخیره می‌کند و با پاک شدن اپلیکیشن، دسترسی شما نسبت به رمز دوم اکانت‌هایتان را از دست نخواهید داد.

با انجام احراز هویت دو مرحله‌ای می‌توانید امنیت وردپرس را تا حد چشم گیری افزایش دهید.

پس از نصب اپلیکیشن تنها کافیست که QR Code ارائه شده در صفحه افزونه را با تلفن همراه خود اسکن کنید. با این کار احراز هویت دوعاملی بر روی سایت شما فعال خواهد شد. از این پس، با هر بار وارد کردن نام کاربری و رمز عبور خود، مستقیما وارد پیشخوان نخواهید شد و در صفحه‌ای مشابه با تصویر بالا، رمز دوم از شما خواسته می‌شود که با وارد کردن آن از داخل اپلیکیشن Microsoft Authenticator، می‌توانید به پیشخوان وردپرس وارد شوید.

غیرفعال‌سازی اجرای فایل‌های PHP در برخی دایرکتوری‌ها

یکی دیگر از کارهایی که می‌توان برای افزایش امنیت وردپرس انجام داد، غیرفعالسازی اجرای کدهای PHP در برخی از دایرکتوری‌هاست. یک دایرکتوری همچون دایرکتوری uploads، هیچ نیازی به قابلیت اجرای کدهای PHP ندارد. این دایرکتوری محل ذخیره فایل‌ها، تصاویر، مدیا و کلیه محتواهایی است، که شما از طریق آپلودر رسانه وردپرس، آن‌ها را به سایت خود اضافه می‌کنید.

یکی از رایج‌ترین کارهای هکرها، تزریق فایل‌های مخرب به این دایرکتوری می‌باشد. به واسطه شلوغی زیاد این دایرکتوری و وجود فایل‌های بسیار در آن، معمولا جستجو به دنبال یک فایل مخرب در دایرکتوری uploads، برای کاربران تازه‌کار مقداری دشوار است. از همین رو پیشنهاد می‌کنیم که اجرای فایل‌های PHP در این دایرکتوری را متوقف کنید تا حتی در صورت دسترسی فرد سودجو به دایرکتوری uploads، نتواند فایل‌های مخرب خود را اجرا کند.

برای غیرفعالسازی اجرای فایل‌های PHP در دایرکتوری uploads، تنها کافیست که رشته کد زیر را با استفاده از یک ویرایشگر متنی مانند ++Notepad در داخل یک فایل متنی کپی کنید.

<Files *.php>
deny from all
</Files>

نهایتا این فایل را با نام htaccess. ذخیره کرده و در دایرکتوری uploads، بارگذاری کنید. با این ترفند دیگر تمامی اسکریپت‌های PHP در داخل دایرکتوری uploads، قابل اجرا نخواهند بود و هکر نمی‌تواند با استفاده از این مسیر به سایت شما آسیبی برساند.

کاربرانی که افزونه امنیتی Sucuri را انتخاب کردند، می‌توانند از طریق تنظیمات این افزونه، بدون درگیرشدن با کدنویسی این قابلیت را غیرفعال کنند.

سخن پایانی

با انجام راهکارهای ذکر شده، اکنون سایت وردپرسی شما در جایگاه امنیتی بسیار مناسبی قرار دارد. اکنون دیگر کافیست که تمرکز خود را بر روی بروزرسانی مرتب هسته وردپرس و افزونه‌های سایت خود قرار دهید. همچنین پیشنهاد می‌کنیم که برای امنیت وردپرس به صورت روزانه به داشبورد افزونه امنیتی خود سر بزنید و وضعیت فایل‌ها، حملات دفع شده، لاگین‌های ناموفق و… را مرتبا چک کنید.

همان طور که بارها در طول این نوشته اشاره کردیم، در گرفتن دوره‌ای بکاپ‌ها تنبلی نکنید و به خاطر داشته باشید که یک بکاپ سالم، گاها می‌تواند زحمات چندین ساله شما را در کمتر از چند ثانیه بازگرداند، پس امنیت وردپرس را دست کم نگیرید.

وردپرس یک سیستم مدیریت محتوای متن باز است که درصد بالایی از کل وب‌سایت‌های دنیا از آن استفاده می‌کنند. این CMS، طی سال‌ها بارها به‌روزرسانی شده و به عنوان یک سیستم مدیریت محتوای امن شناخته می‌شود که هک‌کردن آن نسبت به گذشته بسیار دشوارتر شده است. با این وجود، وردپرس به دلیل آمار استفاده بالا همچنان یکی از بهترین هدف‌ها برای هکرهاست. با رعایت اصول و موارد گرفته شده در این نوشته، می‌توانید به طرز چشمگیری امنیت وردپرس خود را ارتقاء دهید.

در اینجا مقاله جامع افزایش امنیت وردپرس به پایان می‌رسد. نهایتا امیدواریم که از این نوشته بهره کافی را برده باشید. هدف ما در تیم آقای وب، پاسخگویی به سوالات و برطرف کردن مشکلات اولیه شماست. پس چنانچه سوالی در رابطه با این نوشته دارید، از طریق بخش ارسال نظرات در پایین این صفحه با ما در ارتباط باشید.

موفقیت همراه راهتان باد.

Copy URL
URL Copied