افزایش امنیت وردپرس در ۱۳ مرحله

افزایش امنیت وردپرس مهم‌ترین و اصلی‌ترین دغدغه برای هر وبمستر می‌باشد و اگر به درستی رعایت نشود باعث خدمات جبران ناپذیر و خسارت زیادی به وبسایت شده و هکران قادر خواهند بود تا از سایت شما سواستفاده کنند. این سوال همواره برای کاربران و وبمستران وردپرسی وجود دارد که چگونه میزان افزایش امنیت وردپرس را بیشتر و بیشتر کنیم؟!

در این مقاله از ایکس اسکریپت قصد دارم به بررسی مواردی برای افزایش امنیت وردپرس بپردازم که در آن به ذکر ۱۳ مورد از راهکارهای مهم در امنیت وردپرس اشاره خواهم کرد.

افزایش امنیت وردپرس

مسئله امنیت صرفا به وردپرس محدود نبوده و حتی اگر از CMSهای رایگان و حتی اختصاصی برای مدیریت وبسایت خود استفاده می‌کنید همواره باید در جهت افزایش امنیت آن بهترین راهکارهای پیش‌رو را در دست گرفته و از آنها استفاده کنید.

برخی بر این باورند که با استفاده از نرم‌افزارهای مدیریت محتوای وب همچون وردپرس دیگر لزومی ندارد تا بر روی امنیت آن فکر کنند و به دلیل همین تفکر اشتباه در کمال ناباوری می‌بینیم که روزانه وبسایت‌های وردپرسی به هر طریق مورد حمله و هک قرار می‌گیرند. البته این به این معنی نسیت که امنیت وردپرس مناسب نباشد.

۱- انتخاب هاستینگ معتبر

مهمترین مسئله برای امنیت وردپرس این است که یک میزبان مطمئن برای خود انتخاب کنید که دارای اعتبار و سابقه درخشانی بوده و علاوه بر کیفیت خدماتی که ارائه می‌دهد سرور خود را به خوبی کانفیگ کرده و از تمامی موارد موجود برای ارتقا امنیت وبسایت شما استفاده کرده باشد. پیشنهاد ما به شما این است که از هاست مخصوص وردپرس استفاده نمایید.

متاسفانه کاربرانی هستند که صرفا از دید اقتصادی اقدام به خرید هاست کرده و به دلیل انتخاب هاستینگ‌های نامعتبر سایت خود را به همراه کلیه اطلاعات با ماه‌ها تلاش و علاقه‌ای که برای مدیریت سایت خود به خرج داده‌اند را یک شبه به باد فنا می‌دهند.

۲- بررسی و انتخاب صحیح افزونه‌های وردپرس

همواره و بارها و بارها در مقالات مختلف و سایت‌های گوناگون گفته شده است که هیچ‌گاه افزونه‌هایی را که به آنها اعتمادی ندارید را نصب نکرده و از آن استفاده نکنید.

همیشه باید سعی کنید افزونه‌هایی که استفاده می‌کنید در مخزن وردپرس به ثبت رسیده باشند و از استفاده افزونه‌هایی که سایت‌های مختلف به جای لینک دادن به صفحه مخرن وردپرس آن را در سایت خود آپلود کرده‌اند دوری کنید.

۳- امنیت پوسته‌های وردپرس را بررسی کنید

متاسفانه پوسته‌های رایگان وردپرس که در سایت‌های دیگر معرفی و استفاده می‌شوند دارای کدهای مخربی هستند بنابراین اگر قصد دارید تا از پوسته‌ای استفاده کنید سعی کنید آن را خریداری کنید. و اگر هم توان خرید یک پوسته را ندارید پوسته‌های رایگان را از هرجایی دانلود و نصب نکنید.

مخزن وردپرس یکی از بهترین مکانهای موجود برای استفاده از پوسته‌های وردپرس است که می‌توانید یکی از آنها را انتخاب کرده و در صورتی که فارسی سازی نشده‌اند با کمی وقت آن را فارسی سازی کنید.

۴- همواره از آخرین نسخه وردپرس استفاده کنید

از زمان اولین انتشار وردپرس این سیستم مدیریت محتوا مدام در حال به‌روزرسانی بوده و توسعه‌دهندگان آن هر بار مشکلات امنیتی را برطرف کرده و با کشف حفره‌های امنیتی هسته وردپرس و حتی افزونه‌ها امنیت آن را بیشتر و بیشتر می‌کنند.

از ابتدای انتشار وردپرس نیز همواره مشکلات امنیتی ریز و درشتی برطرف شده‌اند که در صورت کشف آن توسط هکرها مطمئنا سایت‌های بسیاری ممکن بود تا هک شوند.

۵- استفاده از رمز عبور قوی

طبق بررسی‌های انجام گرفته برای کرک کردن و هک رمز در هر جایی میانگین کاربرانی که صرفا از رمزهایی با حروف کوچک استفاده کرده و ارقام آنها ۶ رقم بوده است به طور میانگین در مدت زمان ۱۰ دقیقه شناسایی شده است.

بنابراین رمز که شما استفاده می‌کنید باید شامل اعداد، حروف بزرگ و کوچک، کاراکترها و سیمبل‌ها و حتی کاراکتر فاصله باشد تا به راحتی شناسایی نشود.

۶- رمز خود را مرتبا عوض کنید

هر رمزی قابل شناسایی خواهد بود فقط کافی است تا بهترین روش برای شناسایی آن را پیدا کرده و زمان مناسب را برای پیدا کردن رمز گذاشت. بنابراین حتی اگر از رمز طولانی با انواع کاراکترهای موجود استفاده کنید لازم است تا در بازه‌های زمانی مختلفی رمز عبور خود را تغییر دهید.

به صورت میانگین پیشنهاد می‌شود تا در هر بازه زمانی مشخصی به صورت مرتب رمز خود را عوض کنید تا امکان هک سایت وجود نداشته باشد.

۷- از نقش کاربری صحیح استفاده کنید

متاسفانه بسیاری از کاربران هستند که نقش کاربری مناسبی را انتخاب نمی‌کنند. اگر کاربری وظیفه دارد تا صرفا برای شما اقدام به ارسال نوشته کند و از طرفی برای انتشار مطالب نیز لازم به تایید آنها باشد نیازی به داشتن دسترسی با نویسنده نیست و شما می‌تواند نقش کاربری وی را بر روی مشارکت‌کننده انتخاب کند.

در مقابل نیز کاربرانی هستند که برای رفع مشکلات سایت رمز و اطلاعات اکانت مدیریت خود را در اختیار سایرین قرار می‌دهند. اگر قصد دارید تا دسترسی به بخشی را به کاربران بدهید حتما از مقاله تغییر سطح دسترسی در وردپرس استفاده کنید.

۸- از یک متخصص استفاده کنید

وردپرس نیز مانند هر سیستم مدیریت محتوایی برای مدیریت نیازمند دانش‌های فنی در زمینه برنامه نویسی می‌باشد که هر کسی در این زمینه دارای دانش کافی نمی‌باشد.

بنابراین اگر در زمینه کدنویسی وردپرس دانش کافی را ندارید سایت خود را در بازه‌های زمانی مشخصی به یک متخصص بسپارید تا کلیه موارد امنیتی آن را مورد بررسی قرار داده و آنها را رفع کند.

۹- از سیستم خود مطمئن شوید

هکران همیشه لازم نیست تا با استفاده از حملات پی در پی سایت شما را مورد حمله قرار دهند. بلکه آنها می‌توانند به راحتی با استفاده از یک ویروس ساده اطلاعات شما را به دست بیاورند.

علاوه بر آن سیستم کامپیوتری و دستگاه‌های مختلفی که از آن استفاده می‌کنید می‌باشد که باید دارای امنیت کافی باشد، در بروزرسانی اخیر وردپرس قابلیتی به آن اضافه شده است که در صفحه ویرایش شناسنامه قادر خواهید بود تا با کلیک بر روی یک دکمه در صورتی که از سیستم‌های دیگر وارد سایت شده و در حال لاگین باقی هستید از انها خارج شوید.

۱۰- تغییر پیشوند پایگاه داده وردپرس

راه اندازی یک وب سایت وردپرسی کار راحتی است، اما این راحتی می تواند موجب سقوط هم شود. به هنگام راه اندازی وردپرس یکی از اطلاعاتی که پرسیده می شود، پیشوند برای جدول های پایگاه داده است که البته لزومی ندارد که خودتان آن را ویرایش کنید، چراکه وردپرس آن را به صورت پیشفرض خودش تکمیل می کند.

خیلی‌ها این مرحله را نادیده گرفته و از همان پیشوند پیشفرض اقدام به نصب وردپرس می‌کنند که کار شناسایی جدول‌های پایگاه داده را برای هکر آسان می‌کند. تغییر پیشوند البته جلوی هکر را نخواهد گرفت اما جلوی حمله‌های نرم‌افزاری را می‌تواند بگیرد.

پس بهتر است که پیشوندی به جزء مقدار پیشفرض را استفاده کنید.

۱۱- استفاده از گواهینامه SSL

اگر در سایت خود داده‌هایی را از کاربران دریافت می‌کنید و در مقابل نیز داده‌هایی را برای آنها ارسال می‌کنید، حتما گواهی SSL تهیه کنید.

با تهیه SSL پروتکل وب سایت از HTTP به HTTPS که امن‌تر است تغییر پیدا خواهد کرد و دیگر شنود اطلاعات غیرممکن خواهد شد. همچنین در نظر داشته باشید که مرورگرهای معروفی مانند گوگل کروم و موزیلا فایرفاکس نیز در نسخه های جدید وب سایت های بدون SSL را ناامن نشان می‌دهند!

۱۲- بررسی دسترسی برای آپلود فایل

ماهیت برخی از وب سایت‌ها به گونه‌ای است که بازدیدکنندگان بتوانند فایل‌هایی را در سایت آپلود کنند. در چنین شرایطی در اگر یک شخص هکر فایل مخرب را بتواند آپلود کند، امنیت سایت با خطر جدی مواجه خواهد بود. به همین دلیل در انجام این کار بسیار محتاط باشید و در صورت امکان از یک شخص متخصص کمک بگیرید تا راه کارهای مقابله با فایل های مخرب را پیاده سازی کند.

البته اگر یک وب سایت عادی دارید، بهتر است که اصلا چنین دسترسی به بازدید کنندگان داده نشود.

۱۳- رمزگذاری پوشه wp-admin

پوشه مربوط به مدیریت وردپرس wp-admin است. بر روی این پوشه یک رمز عبور از طریق پنل هاست قرار دهید تا امنیت سایت را در مقابل نفوذهای احتمالی افزایش دهید.

در این حالت اگر شخصی بخواهد وارد قسمت مدیریت وردپرس شود در مرحله اول باید یوزر و رمزی که برای پوشه قرار داده اید را رد کند و سپس فرم لاگین وردپرس نمایش داده شود.