راهنمای امنیت نهایی وردپرس – گام به گام (۲۰۲۴ – بروز شده)

امنیت وردپرس موضوعی بسیار مهم برای هر صاحب وب سایتی است. گوگل هر روز بیش از ۱۰۰۰۰ وب سایت را برای بدافزار و حدود ۵۰۰۰۰ وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد.

اگر در مورد وب سایت خود جدی هستید، پس باید به بهترین شیوه های امنیتی وردپرس توجه کنید.

در این راهنما از ایوسی، ما تمام نکات امنیتی برتر وردپرس را برای کمک به محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک می گذاریم.

در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی برای حفظ امنیت سایت شما می توان انجام داد.

در ایوسی، ما معتقدیم که امنیت حذف ریسک نیست چراکه امکان حذف کامل آن وجود ندارد. پس موضوع در مورد کاهش ریسک است. به عنوان یک مالک وب سایت، کارهای زیادی می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر در زمینه فناوری اطلاعات کافی نداشته باشید).

ما تعدادی گام عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.

برای آسان کردن این کار، ما یک جدول از محتوا ایجاد کرده ایم تا به شما کمک کند به راحتی در راهنمای امنیتی نهایی وردپرس خود حرکت کنید.

---

فهرست مطالب

مبانی امنیت وردپرس

• چرا امنیت وردپرس مهم است؟
• به روز نگه داشتن وردپرس
• رمز عبور و مجوزهای کاربر
• نقش میزبانی وب

امنیت وردپرس در مراحل آسان (بدون کدنویسی)

• یک راه حل پشتیبان وردپرس را نصب کنید
• بهترین افزونه امنیتی وردپرس
• فعال کردن فایروال برنامه وب (WAF)
• انتقال سایت وردپرس به SSL/HTTPS

امنیت وردپرس برای کاربران DIY

• نام کاربری پیش فرض “admin” را تغییر دهید
• غیرفعال کردن ویرایش فایل
• غیرفعال کردن اجرای فایل PHP
• محدود کردن تلاش برای ورود
• احراز هویت دو عاملی را اضافه کنید
• پیشوند پایگاه داده وردپرس را تغییر دهید
• محافظت از رمز عبور WP-Admin و ورود به سیستم
• فهرست بندی و مرور دایرکتوری را غیرفعال کنید
• XML-RPC را در وردپرس غیرفعال کنید
• خروج خودکار کاربران بیکار
• سوالات امنیتی را به ورود به وردپرس اضافه کنید
• اسکن وردپرس برای بدافزارها و آسیب پذیری ها
• تعمیر سایت وردپرس هک شده
• سرقت هویت و محافظت از شبکه

---

لطفاً برای تکمیل این فرم، جاوا اسکریپت را در مرورگر خود فعال کنید. طراحی وب سایت: راهی برای جذب مشتریان و افزایش فروش آنلاین شما آیا میخواهید کسب و کار آنلاین خود را به سطح جدیدی برسانید؟ با یک وب سایت حرفه‌ای، میتوانید به مشتریان اعتماد بیشتری القا کنید و فروش آنلاین خود را افزایش دهید. طراحی وب سایت حرفه‌ای به شما امکان می‌دهد تا هویت برند خود را به صورت جذاب نمایش دهید و محصولات و خدمات خود را به نمایش بگذارید. همچنین، با بهینه سازی وب سایت، میتوانید در موتورهای جستجو (مثل گوگل) بالاترین رتبه را کسب کنید و بیشترین ترافیک را به سمت وب سایت خود جذب کنید. با ما تماس بگیرید (یا اطلاعات تماس‌تان را برای ما ارسال کنید) و ما به شما کمک خواهیم کرد تا یک وب سایت منحصر به فرد داشته باشید. ۰۹۱۳۳۹۵۷۹۲۰ نام * نام نام خانوادگی تلفن همراه * درخواست مدنظر شما * مشاوره کسب‌وکار آنلاین طراحی وب‌سایت تولید محتوا سئو امنیت وب‌سایت ارسال

آماده؟ بیا شروع کنیم.

مبانی امنیت وردپرس

همان‌طور بیان شد یکی از پرکاربردترین و محبوبترین سیستم مدیریت محتوای وب مبتنی بر وردپرس است. با این حال، مانند هر سیستم دیگری، وردپرس نیز به تنهایی قابل آسیب پذیر است. برای محافظت از وبسایت خود در برابر حملات و افراد مخرب، نیازمند مطالعه و درک مبانی امنیت وردپرس هستیم. این مقدمه به طور خلاصه به بحث درباره چگونگی بهبود امنیت وردپرس، شناسایی ضعف ها و راهکارهای اصلاح آنها می پردازد. با هم دست به کار شده و این عالمه از اطلاعات را فرا بگیریم تا وبسایتمان را در برابر تهدیدات آنلاین محافظت کنیم.

چرا امنیت وب سایت مهم است؟

یک سایت وردپرسی هک شده می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر، رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می توانند بدافزار را بین کاربران شما توزیع کنند.

بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وب سایت خود، به هکرها باج افزار پرداخت می کنید.

در مارس ۲۰۱۶، گوگل گزارش داد که به بیش از ۵۰ میلیون کاربر وب سایت در مورد وب سایتی که بازدید می کنند هشدار داده شده است که ممکن است حاوی بدافزار یا سرقت اطلاعات باشد.

علاوه بر این، گوگل هر هفته حدود ۲۰۰۰۰ وب سایت را برای بدافزار و حدود ۵۰۰۰۰ وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.

اگر وب سایت شما یک تجارت است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید.

مانند اینکه مالکان کسب و کار مسئولیت محافظت از ساختمان فروشگاه فیزیکی خود را دارند، به عنوان یک مالک کسب و کار آنلاین، مسئولیت محافظت از وب سایت کسب و کار شما بر عهده شماست.

امنیت وب سایت در حفاظت از اطلاعات حساس و شخصی کاربران، جلوگیری از هکرها و مخربان و حفظ سلامت سایت و اعتماد کاربران به آن بسیار حائز اهمیت است. امنیت وب سایت به شما کمک می‌کند تا: حفظ اطلاعات کاربران: وب سایت‌ها اغلب اطلاعات مشتریان، کاربران و بازدیدکنندگان را ذخیره و پردازش می‌کنند. اگر وب سایت شما مورد حملات و دسترسی غیرمجاز قرار گیرد، اطلاعات حساس مانند رمز عبور ها، اطلاعات کارت اعتباری و سایر اطلاعات شخصی ممکن است برای هکرها قابل دسترسی باشد. با تضمین امنیت وب سایت، می‌توانید اطلاعات کاربران را در برابر حملات و دسترسی های غیرمجاز محافظت کنید. حفظ رتبه و سئو: موتورهای جستجو مانند گوگل به وب سایت هایی که امنیت مناسبی دارند، اولویت می‌دهند. در واقع، گوگل با ارائه گواهینامه SSL به وب سایت ها اعلام می‌کند که آنها به پروتکل امن HTTPS پیوسته اند. این امر بهبود رتبه سئو وب سایت شما را تضمین می‌کند و برای جذب بیشترین ترافیک موثر است. جلوگیری از تزریق کد: حملات آسیب پذیری ها مانند حقوق دسترسی قابل تزریق (Injection) یکی از رایج ترین روش های هکرها برای دسترسی به سیستم و استفاده از آن است. به عنوان مثال، حملات SQL Injection به کد SQL سایت حمله می‌کنند و به هکرها اجازه می‌دهد به بانک داده ها دسترسی پیدا کنند و اطلاعات را نقصان برسانند. با رعایت نکات امنیتی مناسب، می‌توانید این نوع حملات را متوقف کنید و امنیت سایت خود را تامین کنید. حفاظت از سطح کاربران: امنیت وب سایت می‌تواند از حملات Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) جلوگیری کند. در حملات XSS، هکرها کد ناخواسته را به صفحات وب سایت درج می‌کنند و وقتی کاربران به این صفحات دسترسی می‌یابند، کد خبیث اجرا می‌شود. حملات CSRF به طور مشابه، کاربران را به انجام عملیات ناخواسته‌ای متقاعد می‌کند. با استفاده از بررسی های امنیتی مناسب و تکنیک های مناسب، می‌توانید این نوع حملات را به حداقل برسانید. و … به طور کلی، امنیت وب سایت باید همواره در نظر گرفته شود زیرا عدم رعایت آن می‌تواند منجر به سوءآفرینی، خرابی سایت و دسترسی هکرها به اطلاعات حساس کاربران شود.

[ بازگشت به بالا ↑ ]

به روز نگه داشتن وردپرس

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و به روز می شود. به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند. برای نسخه‌های اصلی، باید به‌روزرسانی را به‌صورت دستی آغاز کنید.

وردپرس همچنین دارای هزاران افزونه و تم است که می توانید در وب سایت خود نصب کنید. این پلاگین ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور منظم به روز رسانی را نیز منتشر می کنند.

این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. شما باید مطمئن شوید که هسته وردپرس، افزونه ها و پوسته شما به روز هستند.

[ بازگشت به بالا ↑ ]

رمزهای عبور قوی و مجوزهای کاربر

رایج ترین تلاش های هک وردپرس از رمزهای عبور سرقت شده استفاده می کند. شما می توانید با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند، این کار را دشوار کنید. نه فقط برای بخش مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.

بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است. خوبی این است که دیگر نیازی به یادآوری رمزهای عبور ندارید. می توانید از یک پسورد منیجر استفاده کنید. راهنمای ما در مورد نحوه مدیریت رمزهای عبور وردپرس را ببینید.

راه دیگر برای کاهش خطر این است که به کسی اجازه ندهید به حساب مدیریت وردپرس خود دسترسی داشته باشد مگر اینکه کاملاً مجبور باشید . اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید ، مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را درک کرده‌اید.

[ بازگشت به بالا ↑ ]

نقش میزبانی وردپرس

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند. یک ارائه دهنده میزبانی مشترک خوب مانند Hostinger ، Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات رایج انجام می دهد.

در اینجا نحوه عملکرد یک شرکت میزبانی وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما آمده است.

• آنها به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارند.
• همه شرکت های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند
• آنها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها از یک آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
• آنها آماده به کارگیری برنامه های بازیابی فاجعه و حوادث هستند که به آنها امکان می دهد در صورت بروز حادثه بزرگ از داده های شما محافظت کنند.

در یک برنامه میزبانی مشترک، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این خطر آلودگی بین سایتی را باز می کند که در آن هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند.

استفاده از سرویس میزبانی مدیریت شده وردپرس ، بستر امن تری را برای وب سایت شما فراهم می کند. شرکت های میزبان وردپرس مدیریت شده، پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می دهند.

[ بازگشت به بالا ↑ ]

امنیت وردپرس در مراحل آسان (بدون کدنویسی)

ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. به خصوص اگر اهل فن نیستید. حدس بزنید – شما تنها نیستید.

ما به هزاران کاربر وردپرس کمک کرده ایم تا امنیت وردپرس خود را تقویت کنند.

ما به شما نشان خواهیم داد که چگونه می توانید امنیت وردپرس خود را تنها با چند کلیک بهبود بخشید (بدون نیاز به کدنویسی).

اگر می توانید اشاره و کلیک کنید، می توانید این کار را انجام دهید!

یک راه حل پشتیبان وردپرس را نصب کنید

پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز ۱۰۰٪ امن نیست. اگر وب سایت های دولتی را می توان هک کرد، پس سایت شما نیز می تواند هک شود.

پشتیبان‌گیری به شما این امکان را می‌دهد تا در صورت وقوع اتفاق بدی، به سرعت سایت وردپرس خود را بازیابی کنید.

تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد که می توانید از آنها استفاده کنید. مهم‌ترین چیزی که در مورد پشتیبان‌گیری باید بدانید این است که باید به طور مرتب نسخه‌های پشتیبان کامل سایت را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.

توصیه می کنیم آن را در یک سرویس ابری مانند آمازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.

بر اساس تعداد دفعاتی که وب سایت خود را به روز می کنید، تنظیم ایده آل ممکن است یک بار در روز یا تهیه نسخه پشتیبان در زمان واقعی باشد.

خوشبختانه این کار را می توان به راحتی با استفاده از افزونه هایی مانند Duplicator ، UpdraftPlus یا BlogVault انجام داد . آنها هر دو قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است (بدون نیاز به کدنویسی).

[ بازگشت به بالا ↑ ]

بهترین افزونه امنیتی وردپرس

بعد از پشتیبان‌گیری، کاری که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت را راه‌اندازی کنیم که همه چیزهایی که در وب‌سایت شما اتفاق می‌افتد را پیگیری کند.

این شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره است.

خوشبختانه، این همه می تواند توسط بهترین افزونه امنیتی رایگان وردپرس، Sucuri Scanner ، برطرف شود.

باید افزونه رایگان Sucuri Security را نصب و فعال کنید . برای جزئیات بیشتر، لطفا راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.

پس از فعال سازی، باید به منوی Sucuri در مدیریت وردپرس خود بروید. اولین کاری که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. این امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.

کار بعدی که باید انجام دهید این است که از منوی تنظیمات بر روی تب ‘Hardening’ کلیک کنید. هر گزینه را مرور کنید و روی دکمه “اعمال سخت شدن” کلیک کنید.

این گزینه ها به شما کمک می کند تا مناطق کلیدی را که هکرها اغلب در حملات خود استفاده می کنند، قفل کنید. تنها گزینه سخت‌سازی که ارتقای پولی است، فایروال Web Application است که در مرحله بعد توضیح خواهیم داد، بنابراین فعلاً از آن صرفنظر کنید.

همچنین بسیاری از این گزینه‌های «سخت‌سازی» را در ادامه این مقاله برای کسانی که می‌خواهند بدون استفاده از افزونه یا مواردی که به مراحل اضافی مانند «تغییر پیشوند پایگاه داده» یا «تغییر نام کاربری مدیر» نیاز دارند، انجام دهند، پوشش داده‌ایم.

پس از بخش سخت شدن، تنظیمات پیش فرض افزونه برای اکثر وب سایت ها به اندازه کافی خوب است و نیازی به تغییر ندارد. تنها چیزی که ما سفارشی کردن آن را توصیه می کنیم «هشدارهای ایمیل» است.

تنظیمات پیش‌فرض هشدار می‌تواند صندوق ورودی شما را با ایمیل‌ها شلوغ کند. توصیه می‌کنیم برای اقدامات کلیدی مانند تغییرات در افزونه‌ها، ثبت نام کاربر جدید و غیره هشدار دریافت کنید. می‌توانید هشدارها را با رفتن به تنظیمات Sucuri » Alerts پیکربندی کنید.

این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین تمام تب ها و تنظیمات را مرور کنید تا تمام کارهایی که انجام می دهد مانند اسکن بدافزار، گزارش های حسابرسی، ردیابی تلاش برای ورود ناموفق و غیره را مشاهده کنید.

[ بازگشت به بالا ↑ ]

فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس خود استفاده از فایروال برنامه وب (WAF) است.

فایروال وب سایت تمام ترافیک مخرب را حتی قبل از رسیدن به وب سایت شما مسدود می کند.

فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند.

فایروال سطح برنامه – این افزونه های فایروال، ترافیک را زمانی که به سرور شما می رسد، اما قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

برای کسب اطلاعات بیشتر، لیست ما از بهترین افزونه های فایروال وردپرس را ببینید.

ما از Sucuri به عنوان بهترین فایروال برنامه وب برای وردپرس استفاده و توصیه می کنیم. می‌توانید در مورد اینکه چگونه Sucuri به ما کمک کرد تا هزاران حمله وردپرس را مسدود کنیم ، بخوانید .

بهترین بخش در مورد فایروال Sucuri این است که دارای ضمانت پاکسازی بدافزار و حذف لیست سیاه نیز می باشد. اساساً اگر قرار باشد تحت نظارت آنها هک شوید، آنها تضمین می کنند که وب سایت شما را تعمیر می کنند (مهم نیست چند صفحه داشته باشید).

[ بازگشت به بالا ↑ ]

سایت وردپرس خود را به SSL/HTTPS منتقل کنید

SSL (لایه سوکت های امن) پروتکلی است که انتقال داده ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می‌شود کسی نتواند اطراف خود را بو بکشد و اطلاعات را بدزدد.

هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل را در کنار آدرس وب سایت خود در مرورگر خواهید دید.

گواهینامه های SSL معمولاً توسط مقامات گواهی صادر می شود و قیمت آنها از ۸۰ دلار تا صدها دلار در سال شروع می شود. به دلیل هزینه اضافی، اکثر صاحبان وب سایت ترجیح دادند از پروتکل ناامن استفاده کنند.

برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت تا گواهینامه های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.

در حال حاضر، شروع به استفاده از SSL برای تمام وب سایت های وردپرسی خود آسان تر از همیشه است. در حال حاضر بسیاری از شرکت های هاستینگ گواهینامه SSL رایگان برای وب سایت وردپرس شما ارائه می دهند .

[ بازگشت به بالا ↑ ]

امنیت وردپرس برای کاربران DIY

اگر تمام کارهایی را که تا به حال ذکر کردیم انجام دهید، در این صورت وضعیت بسیار خوبی دارید.

اما مانند همیشه، کارهای بیشتری وجود دارد که می توانید برای تقویت امنیت وردپرس خود انجام دهید.

برخی از این مراحل ممکن است به دانش کدنویسی نیاز داشته باشد.

نام کاربری پیش فرض “admin” را تغییر دهید

در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که نام‌های کاربری نیمی از اعتبار ورود به سیستم را تشکیل می‌دهند، این امر انجام حملات brute-force را برای هکرها آسان‌تر می‌کند.

خوشبختانه، وردپرس از آن زمان این را تغییر داده است و اکنون از شما می‌خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید .

با این حال، برخی از نصب‌کنندگان وردپرس با یک کلیک، هنوز نام کاربری پیش‌فرض مدیر را روی «admin» تنظیم می‌کنند. اگر متوجه شدید که چنین است، پس احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید .

از آنجایی که وردپرس به طور پیش‌فرض به شما اجازه تغییر نام کاربری را نمی‌دهد، سه روش برای تغییر نام کاربری وجود دارد.

1. یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
2. از افزونه Username Changer استفاده کنید
3. نام کاربری را از phpMyAdmin به روز کنید

ما هر سه مورد را در راهنمای دقیق خود در مورد نحوه صحیح تغییر نام کاربری وردپرس خود (گام به گام) پوشش داده ایم .

توجه: ما در مورد نام کاربری به نام “admin” صحبت می کنیم، نه نقش مدیر.

[ بازگشت به بالا ↑ ]

غیرفعال کردن ویرایش فایل

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و فایل های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. در دستان اشتباه، این ویژگی می تواند یک خطر امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.

با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید .

همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

[ بازگشت به بالا ↑ ]

غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس

یکی دیگر از راه‌های تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن نیازی نیست، مانند /wp-content/uploads/.

شما می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و چسباندن این کد انجام دهید:

سپس، باید این فایل را به‌عنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه‌های /wp-content/uploads/ وب‌سایت خود آپلود کنید .

برای توضیح دقیق تر، راهنمای ما در مورد نحوه غیرفعال کردن اجرای PHP در فهرست های خاص وردپرس را ببینید

همچنین، می توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

[ بازگشت به بالا ↑ ]

محدود کردن تلاش برای ورود

به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند. این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.

این را می توان به راحتی با محدود کردن تلاش های ناموفق برای ورود به سیستم برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید، به طور خودکار به آن رسیدگی می شود.

با این حال، اگر راه اندازی فایروال را ندارید، مراحل زیر را ادامه دهید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید. برای جزئیات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.

پس از فعال‌سازی، برای راه‌اندازی افزونه، به صفحه تنظیمات » Login LockDown مراجعه کنید.

برای دستورالعمل‌های دقیق، نگاهی به راهنمای ما بیندازید که چگونه و چرا باید تلاش‌های ورود در وردپرس را محدود کنید.

[ بازگشت به بالا ↑ ]

احراز هویت دو عاملی را اضافه کنید

تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.

اکثر وب سایت های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان را می دهند که آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعال‌سازی، باید روی پیوند «تأیید دو عاملی» در نوار کناری مدیریت وردپرس کلیک کنید.

در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator، Authy و LastPass Authenticator موجود است.

توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در فضای ابری نسخه پشتیبان تهیه کنید. این برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است. همه ورود به حساب کاربری شما به راحتی بازیابی می شود.

ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد. با این حال، دستورالعمل ها برای همه برنامه های احراز هویت مشابه است. برنامه authenticator خود را باز کنید و سپس روی دکمه Add کلیک کنید.

از شما پرسیده می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

این همه است، برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه بعد که وارد وب سایت خود می شوید، پس از وارد کردن رمز عبور از شما کد احراز هویت دو مرحله ای خواسته می شود.

به سادگی برنامه authenticator را روی گوشی خود باز کنید و کدی را که روی آن می بینید وارد کنید.

[ بازگشت به بالا ↑ ]

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس شما استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر می شود. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.

شما می توانید با دنبال کردن آموزش گام به گام ما در مورد نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت، پیشوند پایگاه داده خود را تغییر دهید .

توجه: اگر به درستی انجام نشود، می تواند سایت شما را خراب کند. فقط در صورتی ادامه دهید که با مهارت های کدنویسی خود احساس راحتی کنید.

[ بازگشت به بالا ↑ ]

محافظت از رمز عبور مدیریت و صفحه ورود به وردپرس

به طور معمول، هکرها می توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این به آنها اجازه می دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا کنند.

شما می توانید حفاظت رمز عبور اضافی را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می کند.

دستورالعمل های گام به گام ما را در مورد نحوه محافظت با رمز عبور دایرکتوری مدیریت وردپرس (wp-admin) دنبال کنید.

[ بازگشت به بالا ↑ ]

فهرست بندی و مرور دایرکتوری را غیرفعال کنید

هکرها می توانند از مرور دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیری شناخته شده دارید یا خیر، بنابراین آنها می توانند از این فایل ها برای دسترسی به آن استفاده کنند.

مرور دایرکتوری همچنین می تواند توسط افراد دیگر برای بررسی فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود فهرست سازی و مرور دایرکتوری را خاموش کنید.

شما باید با استفاده از FTP یا فایل منیجر cPanel به وب سایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری ریشه وب سایت خود پیدا کنید. اگر نمی توانید آن را در آنجا ببینید، به راهنمای ما در مورد اینکه چرا نمی توانید فایل htaccess. را در وردپرس ببینید مراجعه کنید .

پس از آن باید خط زیر را در انتهای فایل htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید. برای اطلاعات بیشتر در مورد این موضوع، به مقاله ما در مورد نحوه غیرفعال کردن مرور دایرکتوری در وردپرس مراجعه کنید.

[ بازگشت به بالا ↑ ]

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش‌فرض در وردپرس ۳.۵ فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند.

به دلیل ماهیت قدرتمند خود، XML-RPC می تواند به طور قابل توجهی حملات brute-force را تقویت کند.

به عنوان مثال، به طور سنتی اگر یک هکر بخواهد ۵۰۰ رمز عبور مختلف را در وب سایت شما امتحان کند، باید ۵۰۰ تلاش جداگانه برای ورود به سیستم انجام دهد که توسط پلاگین قفل ورود مسدود شده و مسدود می شود.

اما با XML-RPC، یک هکر می تواند از تابع system.multicall برای آزمایش هزاران رمز عبور با مثلاً ۲۰ یا ۵۰ درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.

۳ راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در آموزش گام به گام خود در مورد نحوه غیرفعال کردن XML-RPC در وردپرس توضیح داده ایم .

نکته: روش .htaccess بهترین روش است زیرا کمترین مصرف منابع را دارد.

اگر از فایروال برنامه کاربردی وب که قبلاً ذکر شد استفاده می کنید، فایروال می تواند از آن مراقبت کند.

[ بازگشت به بالا ↑ ]

خروج خودکار کاربران بیکار در وردپرس

کاربرانی که وارد سیستم شده اند گاهی اوقات از صفحه نمایش دور می شوند و این یک خطر امنیتی است. شخصی می تواند جلسه خود را ربوده، رمز عبور را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.

به همین دلیل است که بسیاری از سایت های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می کنند. شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.

شما باید افزونه Inactive Logout را نصب و فعال کنید. پس از فعال‌سازی، برای پیکربندی تنظیمات افزونه ، به تنظیمات » صفحه خروج غیر فعال مراجعه کنید.

به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید.

[ بازگشت به بالا ↑ ]

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس دسترسی غیرمجاز را برای کسی سخت تر می کند.

با نصب افزونه WP Security Questions می توانید سوالات امنیتی اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.

برای دستورالعمل‌های دقیق‌تر، به آموزش ما در مورد نحوه افزودن سؤالات امنیتی به صفحه ورود به سیستم وردپرس مراجعه کنید.

[ بازگشت به بالا ↑ ]

اسکن وردپرس برای بدافزارها و آسیب پذیری ها

اگر یک افزونه امنیتی وردپرس نصب کرده اید، آن افزونه ها به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می کنند.

با این حال، اگر کاهش ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را اجرا کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید.

اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت شما می روند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.

اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت وردپرس هک شده را تمیز کنند.

این ما را به بخش بعدی می رساند، پاکسازی بدافزارها و سایت های وردپرس هک شده.

[ بازگشت به بالا ↑ ]

تعمیر سایت وردپرس هک شده

بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.

تمیز کردن سایت وردپرس می تواند بسیار سخت و زمان بر باشد. اولین توصیه ما این است که اجازه دهید یک متخصص از آن مراقبت کند.

هکرها درهای پشتی را روی سایت های آسیب دیده نصب می کنند و اگر این درهای پشتی به درستی رفع نشوند، احتمالاً وب سایت شما دوباره هک می شود.

اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای تعمیر وب سایت شما، اطمینان حاصل می کند که سایت شما برای استفاده مجدد ایمن است. همچنین از شما در برابر هر گونه حملات بعدی محافظت می کند.

برای کاربران ماجراجو و DIY، ما راهنمای گام به گام تعمیر سایت وردپرس هک شده را گردآوری کرده ایم .

[ بازگشت به بالا ↑ ]

سرقت هویت و محافظت از شبکه

به عنوان صاحبان مشاغل کوچک، بسیار مهم است که از هویت دیجیتال و مالی خود محافظت کنیم زیرا عدم انجام این کار می تواند منجر به زیان های قابل توجهی شود. هکرها و مجرمان می توانند از هویت شما برای سرقت نام دامنه وب سایت شما ، هک کردن حساب های بانکی شما و حتی ارتکاب جرمی استفاده کنند که ممکن است شما مسئول آن باشید.

در سال ۲۰۲۰، ۴.۷ میلیون مورد سرقت هویت و کلاهبرداری از کارت اعتباری به کمیسیون تجارت فدرال (FTC) گزارش شده است.

به همین دلیل است که توصیه می کنیم از یک سرویس محافظت از سرقت هویت مانند Aura استفاده کنید (ما خودمان از Aura استفاده می کنیم).

آنها محافظت از دستگاه و شبکه وای فای را از طریق VPN رایگان (شبکه خصوصی مجازی) خود ارائه می دهند که اتصال اینترنت شما را با رمزگذاری درجه نظامی در هر کجا که هستید ایمن می کند. این برای زمانی که در حال سفر هستید یا از یک مکان عمومی مانند استارباکس به مدیر وردپرس خود متصل می شوید عالی است، بنابراین می توانید به صورت ایمن و خصوصی آنلاین کار کنید.

سرویس مانیتورینگ تاریک وب آنها به طور مداوم وب تاریک را با استفاده از هوش مصنوعی رصد می کند و اگر رمز عبور، شماره امنیت اجتماعی و حساب های بانکی شما به خطر افتاده است به شما هشدار می دهد.

این به شما امکان می دهد سریعتر عمل کنید و بهتر از هویت دیجیتال خود محافظت کنید.

[ بازگشت به بالا ↑ ]

این همه است، امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی وردپرس را یاد بگیرید و همچنین بهترین افزونه های امنیتی وردپرس را برای وب سایت خود کشف کنید.

همچنین ممکن است بخواهید راهنمای نهایی سئوی وردپرس ما برای بهبود رتبه بندی سئوی خود و نکات تخصصی ما در مورد چگونگی افزایش سرعت وردپرس را ببینید.