اگر طراح سایت وردپرسی هستید یا حتی از آن استفاده می کنید، باید به فکر امنیت سایت وردپرسی خود باشید. البته وردپرس نسبت به سایر سیستم عامل ها کم و بیش از امنیت مناسبی برخوردار است؛ اما با وجود پلاگین ها و افزونه های بسیاری که روی وردپرس قابل نصب است، ممکن است مهاجمانی وب سایت را تهدید کنند.
در این میان اقداماتی وجود دارند که با انجام دادن آنها می توانید برای ایمن سازی وب سایت خود اقدام کنید. حتی اگر دانش خاصی در این زمینه نداشته باشید، این اقدامات قابل انجام است. کافی است این مقاله را تا انتها مطالعه کرده و مراحل گفته شده را انجام دهید.
1. امنیت سایت وردپرسی با انتخاب رمز عبور و نام کاربری مناسب
اولین قدم برای بالا بردن امنیت وب سایت، انتخاب نام کاربری و کلمه عبور پیچیده است. برای بخش نام کاربری بسیاری از مدیران آن را روی حالت پیشفرض admin نگه می دارند که اصلا ایده خوبی نیست.
هر چه رمز عبور و نام کاربری خود را هوشمندانه تر انتخاب کنید، احتمال حملات سایبری به وب سایت شما کمتر خواهد بود. رمز عبور شما باید از قاعده CLU پیروی کند یعنی: پیچیده (Complex)، طولانی (Long) و منحصر به فرد (Unique) باشد.
اگر ساختن رمزهای طولانی و یونیک ذهن شما را درگیر کرده، چرا از ابزارهای ساخت رمز استفاده نمی کنید؟! 1Password وLastPass دو ابزار ساختن رمز هستند که کافی است طول رمز را به آنها بگویید تا رمز منحصر به شما را تولید کنند. با توجه به اینکه چقدر می خواهید سایت را ایمن سازی کنید، بهتر است از 20 کاراکتر و نشانه های کمتر استفاده شده مثل * و # در رمزهای خود استفاده کنید.
2. احزار هویت دو عاملی برای اعمال امنیت سایت وردپرسی
حتی اگر نام کاربری خود را به درستی انتخاب کرده اید و به کمک ابزارهای رمزساز، رمز عبور پیچیده و طولانی روی وب سایت خود گذاشته اید، باز هم هم ممکن است مورد حملات سایبری قرار بگیرید؛ مگر اینکه دست به دامان احراز هویت دو عاملی یا two-factor authentication شوید.
با فعال کردن این گزینه برای هر بار ورود به سایت لازم است تایید کنید که اطلاعات ورودی درست است. این کار معمولا به کمک یک کد که به دستگاه دیگر شما (معمولا گوشی تلفن همراه) ارسال می شود، تایید خواهد شد.
برای به کارگیری این احراز هویت روی وب سایت خود نیاز به پلاگین دارید. 2 پلاگین Google Authenticator و Rublon Plugin شما را برای برقراری امنیت بیشتر وب سایت همراهی می کنند. فقط کدهای بکاپ خود را در زمان استفاده از این ویژگی فراموش نکنید.
3. پنهان کردن wp-config.php و .htaccess
فایل هایی که پسوندهای گفته شده را دارند مربوط به بخش امنیت سایت وردپرسی هستند. این فایل ها اغلب اطلاعاتی از سیستم شما را در خود دارند که این داده ها مربوط به ساختارها و پیکربندی وب سایت شماست. بنابراین لازم است این فایل ها به شکل کامل از دسترس مهاجمان سایبری پنهان باشند.
پنهان کردن این فایل ها کار پیچیده ای نیست؛ اما اگر آن را به درستی انجام ندهید ممکن است وب سایت شما از دسترس خارج شود. پس ابتدا یک نسخه پشتیبان از سایت خود تهیه کرده و مراحل را با احتیاط طی کنید.
افزونه یوست سئو این کار را برای شما ساده تر می کند. کافی است به بخش ابزارها (Tools) رفته و گزینه File Editor یا ویرایش فایل را انتخاب کنید. یک دستور مشخص برای فایل هایی با پسوند wp-config.php و .htaccess وجود دارد که در زیر آنها را آورده ایم:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
و
<Files .htaccess>
order allow,deny
deny from all
</Files>
این کار، فایل های امنیتی شما را از دسترس هر فردی غیر از شما، خارج خواهد کرد.
4. غیر فعال کردن ویرایش فایل ها
در صورتی که مورد حمله سایبری قرار بگیرید، ساده ترین راه برای فرد هکر این است که از طریق Appearance > Editor در وردپرس اقدام کند. برای بالا بردن امنیت سایت وردپرسی خود می توانید ویرایش این فایل ها را از طریق ادیتور غیر فعال کنید.
برای این کار کافی است یک خط کد دیگر به کد نوشته شده برای wp-config.php اضافه کنید:
define(‘DISALLOW_FILE_EDIT’, true);
با این کار امکان تغییر تمپلت ها به کمک برنامه های محبوبتان برای شما وجود دارد. فقط نمی توانید این کار را به تنهایی از طریق وردپرس انجام دهید.
5. امنیت سایت وردپرسی با توجه به هاست آن
حتی اگر تمام مواردی که به امنیت وب سایت شما کمک می کند، رعایت کرده باشید اما میزبانی و هاست مناسبی را انتخاب نکرده باشید، احتمال حمله هکرها همچنان وجود دارد.
اگر یک مهاجم بتواند به هاست وب سایت شما دسترسی پیدا کند، می تواند کنترل تمام امور وب سایت شما را به دست بگیرد. بنابراین این موضوع یک اهمیت حیاتی دارد که میزبانی وب سایت خود را جدی بگیرید و به دنبال گزینه های ارزان قیمت نباشید.
هاست های اشتراکی به خصوص بیشتر درگیر حملات سایبری می شوند؛ چرا که هکرها از طریق وب سایت های دیگر راه ورود به دیگر سایت ها را پیدا می کنند. بنابراین از شرکت هایی برای میزبانی سایت خود استفاده کنید که اعتبار و شهرت خوبی دارند.
6. تاریخچه ورود به سیستم را پنهان کنید
حملات سایبری اغلب فرم ورود به وب سایت شما را هدف قرار می دهند. می توانید به کمک یک افزونه به نام All in One WP Security & Firewall plugin آدرس یا URL پیشفرض ورود به سایت وردپرسی یعنی /wp-admin/ را تغییر دهید تا امنیت سایت وردپرسی شما بیشتر شود. این URL پیشفرض که برای سایت های وردپرسی طراحی شده، توسط بسیاری از وب سایت ها استفاده می شود و برای حدس زدن آن نیاز به صرف هیچ زمانی نیست!
همچنین بهتر است تلاش های افراد (یک IP مشخص) برای ورود به سایت را محدود کنید. برای این محدودیت هم پلاگین های مختلفی وجود دارد که از سایت شما در برابر حملات هکری محافظت می کند.
7. انتخاب درست و هوشمندانه پلاگین ها
افزونه ها و پلاگین ها از مهم ترین راه های ورود به وب سایت و حملات سایبری هستند؛ به خصوص افزونه های رایگانی که در سر تا سر وب پخش می شوند. در نتیجه زمانی که می خواهید یک پلاگین را به سایت وردپرسی خود اضافه کنید حتما امتیاز آن را بررسی کنید. فراموش نکنید بررسی سطحی امتیاز 5 ستاره ای چیز خاصی به شما نمی گوید؛ نظرات افراد و بررسی های دقیق تری از پلاگین داشته باشید.
موضوع دیگری که امنیت سایت وردپرسی را در زمان افزودن پلاگین تهدید می کند، سازگاری است. اگر یک افزونه بیش از 1 سال به روز نشده باشد، می تواند خطری احتمالی و ناسازگار با وب سایت تلقی شود. البته گاهی افزونه ها نیازی به بروز رسانی خاصی ندارند که این موضوع را می توان با بررسی امتیازهای پلاگین ارزیابی کرد.
دیدگاه خود را بنویسید