امنیت سایت وردپرس یکی از موضوعاتی است که با توجه به گسترش استفاده از وردپرس و متن باز یا open source بودن ، امکان هک و ایجاد مشکلات امنیتی در آن وجود دارد. گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد.
اگر قصد دارید روی کسب و کار خود سرمایه گذاری کنید و سایت کاملی را طراحی کنید باید به امنیت وردپرس توجه کنید. در این مقاله قصد داریم به صورت مرحله به مرحله ، راهکارهای مناسبی را به شما توصیه کنیم.
در حالی که هسته نرم افزار وردپرس بسیار امن است و به طور منظم توسط صدها توسعه دهنده بازرسی می شود، باز هم از لحاظ امنیتی باگ هایی دارد که باید حتما مدنظر طراحان سایت و وب مسترها قرار گیرد.
ما در رشدانش اعتقاد داریم که شما جهت افزایش امنیت علاوه بر حذف برخی ریسک ها ، باید برخی ریسک ها را کاهش دهید.
با رشدانش همراه باشید تا به صورت قدم به قدم به بررسی راهکارهای امنیتی در سایت های وردپرسی بپردازیم.
چرا امنیت سایت وردپرس مهم است؟
سایت های وردپرسی در صورت هک شدن به اعتبار کسب و کار شما خدشه وارد می کنند . در صورت هک شدن و از دست رفتن اطلاعات کاربران ، ممکن است سایر سرویس های شما تحت الشعاع قرار بگیرد و سرقت های زیادی از اطلاعات شما انجام گیرد و شما برای برگشت به حالت اولیه متحمل ضررهای بسیاری گردید.
در مارس 2016، گوگل طی گزارشی اعلام کرد که به بیش از 50 میلیون کاربر در مورد برخی وب سایت ها ، گزارش دادند که ممکن است حاوی بدافزار یا سرقت اطلاعات باشند.
حال به بررسی راهکارهای افزایش امنیت وردپرس می پردازیم :
به روز نگه داشتن وردپرس
وردپرس یک نرم افزار متن باز یا open source است که به طور مرتب باید بروز گردد که هر چند مدت یکبار نسخه جدیدی ارائه می گردد .
وردپرس همچنین دارای هزاران افزونه و تم است که می توانید در وب سایت خود نصب کنید. این پلاگین ها و تم ها توسط توسعه دهندگان متناسب با نسخه های وردپرس اقدام به ارائه نسخه های بروز می کنند و نیاز هست که شما در جهت بروزرسانی آن ها نیز اقدام کنید.
این به روز رسانی های وردپرسی برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. شما باید مطمئن شوید و به صورت دوره ای عملیات بروز رسانی را چک کنید که هسته وردپرس، افزونه ها و پوسته شما به روز هستند.
پسوردهای قوی و دسترسی کاربران را مدیریت کنید
یکی از مرسوم ترین روش ها برای هک وردپرس با استفاده از هک کردن رمز های عبور ساده می باشد . شما باید برای قسمت های مختلف از قبیل ناحیه مدیریت وردپرس، حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند از پسورد قوی استفاده کنید.
در صورتی که استفاده از رمز های پیچیده را دوست ندارید سعی کنید از افزونه هایی که جهت مدیریت رمز ها به مرورگر شما متصل می شود استفاده کنید و شک نکنید که دیر یا زود باید این کار را انجام دهید.
دقت کنید که در مورد ارائه نقش به کاربرانی که قصد ورود به بک اند سایت دارند درست عمل کنید . به عنوان مثال دسترسی وب مستر با طراح سایت یا نویسنده متفاوت می باشد.
نقش هاست وردپرس
سرویس هاست وردپرس یا شرکت هاستینگ شما نقش مهمی را در امنیت سایت وردپرسی شما دارد. یک هاست خوب از امکانات امنیتی مختلفی در جهت افزایش امنیت استفاده می کند و به محض مشاهده حرکت خاص یا مشکوکی در سایت شما ، اقدامات مناسبی انجام می دهد.
اقدامات شرکت هاستینگ در خصوص افزایش امنیت وردپرس
برخی از مهمترین اقدامات شرکت هاستینگ در محافظت از سایت شما عبارتنداز :
- بررسی مداوم فعالیت های در حال انجام در سایت شما
- بکارگیری ابزارهای مناسب برای جلوگیری از حملات DDOS در مقیاس بزرگ
- آنها نرم افزار سرور، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سوء استفاده هکرها و باگ های امنیتی در نسخه های قدیمی جلوگیری کنند.
- از برنامه های پشتیبانی مناسب برای مدیریت در مواقع بحران استفاده می کنند.
ایجاد امنیت در وردپرس در چند مرحله ساده (بدون کدنویسی)
مسلما بهبود امنیت وردپرس برای مبتدیان یک مساله پیچیده و حساس هست که باید توسط یک کدنویس حرفه ای انجام گیرد. در این بخش قصد داریم راهکارهایی را به شما معرفی کنیم تا بدون نیاز به کدنویس بتوانید امنیت سایت وردپرسی خود را افزایش دهید.
نصب افزونه پشتیبان گیری از وردپرس
یگ افزونه مناسب در جهت پشتیبان گیری از وردپرس نصب کنید. گرفتن بک اپ یا پشتیبان از سایت شما به صورت دوره ای و منظم ، اولین قدم در جلوگیری از هک می باشد زیرا شما به محض ایجاد آلودگی و هک در سیستم می توانید به نسخه پشتیبانی که شاید هنوز آلوده نشده برگردید.
انتخاب بهترین افزونه امنیتی وردپرس
بعد از انتخاب افزونه پشتیبان گیری ، بهتر است از یک افزونه امنیتی مناسب مثل All in one wp security ، IThemes Security Pro ، Wordfence security بهره بگیرید. افزونه های امنیتی فعالیت هایی از قبیل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و غیره را انجام می دهند. افزونه های رایگان هم وجود دارد ولی استفاده از نسخه های پریمیوم می تواند امنیت بالاتری برای شما ایجاد کنند.
چند افزونه برتر امنیت وردپرس
در این بخش قصد داریم ویژگی ها و قابلیت های چند افزونه برتر امنیتی وردپرسی را بررسی کنیم.
افزونه Hide My Wp Ghost
افزونه Hide My Wp Ghost یک افزونه امنیتی در وردپرس است که به عنوان یک افزونه ی مخفی ساز و محافظ وردپرس و پایگاه داده در برابر حملات و تزریق های اسکریپتی محسوب می شود. همچنین با افزونه وردپرس Ghost ورود URL به سیستم wp شما را پنهان کرده و URL مدیر را تغییر نام می دهد. حملات امنیتی XSS ،SQL Injection را به وب سایت وردپرس شما شناسایی و مسدود می کند.
با افزونه Hide My Wp Ghost می توانید وردپرس خود را به هر سیستم مدیریت محتوای دیگری شبیه سازی کنید و وردپرس خود را از تمام ابزارهای اسکن سایت مانند وپلایزر و… مخفی کنید. همچنین از حملات هکرها به وردپرس و پایگاه داده آن جلوگیری کنید .کنترل سرعت سایتتان را به دست بگیرید و آنرا افزایش دهید.
افزونه امنیتی سکیوپرس، SecuPress
برخی از مهمترین قابلیت های پلاگین امنیتی و ضد هک سکیوپرس شامل محافظت از کلیدهای امنیتی، امکان مسدود کردن IP ها، امکان تغییر پیشوند پایگاه داده، امکان مسدود سازی بازدید ربات های بد، دارای فایروال و بسیاری امکانات دیگر می باشد.
افزونه امنیتی سکیوپرس مشکلات امنیتی سایت را به سرعت شناسایی و اصلاح می کند همچنین دارای قابلیت ضد نفوذ نیز می باشد که هرگونه تلاش برای هک وب سایت شما را مسدود می سازد و دسترسی به سایت شما را کنترل می کند. علاوه بر این داده های شما در یک مکان امن و محافظت شده ذخیره می شوند.
افزونه امنیتی Hide My WP
برخی از مهمترین امکانات افزونه Hide My WP
- تغییر آدرس ورود به صفحه پیشخوان وردپرسی
- پنهان کردن پرونده های wp admin
- URL ورود به مدیریت وردپرسی خود را پنهان کنید و با URL دلخواه جایگزین کنید.
- تغییر فهرست افزونه ها و نام پلاگین های هش شده
- تغییر URL بارگذاری پوشه شامل وردپرس URL AJAX و غیره
- URL های قدیمی و پیش فرض وردپرس خود را غیرفعال کنید و با URL های جدید جایگزین کنید
- فرستنده ایمیل پیش فرض وردپرس را تغییر دهید
- از صفحه 404 سفارشی استفاده کنید
- کلاس های غیر ضروری را حذف کنید
- بدنه ی کلاس های استفاده شده را از موارد غیر ضروری خالی کنید.
افزونه امنیتی iThemes Security
یکی از افزونه های امنیتی وردپرسی است که قابلیت های بسیاری را در اختیار شما قرار می دهد برخی از مهمترین قابلیت های این افزونه عبارتنداز :
- محافظت در برابر حملات Brute Force
- تشخیص تغییر فایل ها
- قفل کردن کاربران مشکوک
- اطلاعیه های ایمیل
- امکان بکارگیری خدمات کپچای گوگل
- امکان محدود کردن دسترسی برخی از کاربران به وسیله آی پی
- امکان تغییر نام پوشه wp-content
- پشتیبان گیری از پایگاه داده
- تغییر پیشوند پایگاه داده جهت سخت تر کردن عملیات نفوذ و هک
- حفاظت از بروت فورس محلی
- مخفی کردن و تغییرآدرس صفحه ورود و wp-admin
- پیکربندی SSL
- تغییر خودکار و بهبود تنظیمات سرور جهت بالابردن امنیت وردپرس
- لینک های جادویی
- زمانبندی اسکن سیستم
- انقضاء رمز عبور
- کاهش کامنت های اسپم
- اسکن بدافزارهای سیستم
- احراز هویت دو مرحله ای
- کاملا بومی و فارسی سازی شده
- بررسی امنیت کاربر
- فعال کردن ورود با استفاده از تایید دو مرحله ای
- افزودن کپچا برای محافظت از سایت
- جلوگیری از ارسال نظرات اسپم
افزونه امنیتی wordfence
افزونه wordfence یک افزونه وردپرس امنیت جامع است که تمامی موارد امنیتی را یکجا در خود داشته باشند. برخی از افزونه ها تنها به امنیت هسته وردپرس و بروزرسانی افزونه ها و قالب پرداخته شده است. برخی از افزونه فقط فایروال هستند و تعداد کمی هم اسکنر هستند اما تنها افزونه ای که تمامی موارد موثر امنیتی در آن وجود دارد افزونه وردفنس است.
برخی از مهمترین امکانات افزونه امنیتی وردفنس wordfence pro عبارتنداز :
- تمامی ویژگی های نسخه رایگان
- تنظیمات پیشرفته امنیتی سایت شما
- امکان اسکن پیشرفته افزونه ها و قالب های سایت شما
- امکان اسکن آسیب پذیری
- امکان اسکن قدرت پسورد ها
- قابلیت اسکن فایل های عمومی سایت شما
- با امکان اسکن و شناسایی بدافزار ها
- امکان اسکن ایمیل های تبلیغاتی و اسپم
- ارائه آمار دقیق و کامل از اسکن های انجام شده
- احراز هویت دو مرحله ای
- امکان نمایش ترافیک آنلاین سایت
- جستجوی Whois ( مالکان دامنه ها )
- امکان درون ریزی و برون ریزی تنظیمات افزونه امنیتی وردفنس
- محافظت از حملات شناخته شده امنیتی
- پنهان کردن نسخه وردپرس
هشدارهای ایمیل امنیتی را تنظیم کنید
هشدارهای امنیتی را به نوعی تنظیم کنید که گزارش آن برای شما ایمیل گردد و در جریان فعالیت های امنیتی وب سایت قرار گیرید.
فعال کردن فایروال (WAF) Web Application Firewall
ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس خود استفاده از فایروال (WAF) است. در برخی افزونه های امنیتی ، فایروال به صورت پیش فرض وجود دارد که می توانید آن را به صورت دقیق فعال کنید.
فایروال وب سایت تمام ترافیک مخرب را حتی قبل از رسیدن به وب سایت شما مسدود می کند.
معرفی دو افزونه کاربردی فایروال
DNS Level Website Firewall
این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند.
Application Level Firewall
این افزونه های فایروال، ترافیک را زمانی که به سرور شما می رسد، اما قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.
فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند.
نصب گواهینامه SSL/HTTPS
SSL یک پروتکل امنیتی جهت انتقال اطلاعات به صورت رمزنگاری شده بین وب سایت و مرورگر می باشد.
نحوه کار SSL
هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می کند، همچنین علامت قفل را در کنار آدرس وب سایت خود در مرورگر خواهید دید.
شما می توانید از نسخه های رایگان SSL که توسط برخی شرکت های هاستینگ ارائه می گردد استفاده کنید البته که استفاده از اس اس ال های پولی که به صورت اشتراکی امکان خرید آن ها وجود دارد به مراتب توصیه می شود.
یک سازمان به نام Let’s Encrypt تصمیم گرفت گواهینامه های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.
در ادامه راهکارهای دیگری را بررسی خواهیم کرد که شاید نیاز کمی به دانش کدنویسی داشته باشد.
افزونه ssl
جهت فعال سازی ssl دقیق تر بر روی سایت و ریدایرکت صفحات قبلی http می توانید از افزونه های ssl مثل افزونه Really Simple SSL Pro که البته نسخه رایگان آن نیز وجود دارد با امکانات محدودتر .
در ادامه قصد داریم به صورت تصویری به بررسی ssl و انواع آن ، مزایای آن و نحوه کارکرد پروتکل https بپردازیم. حتما اسلایدهای زیر را به دقت مطالعه نمایید.
تغییر آدرس صفحه ورود به پیشخوان
یکی از مواردی که یک باگ امنیتی در وردپرس محسوب می شود آدرس ورود به پنل پیشخوان وردپرس می باشد که در صورت عدم تغییر آن ، هکر ها می توانند به راحتی به صفحه پیشخوان شما دسترسی داشته باشند و در جهت تشخیص رمز ورود اقدام کنند. عموما آدرس پیشخوان وردپرس به صورت domain.com/wp-admin می باشد که حتما باید قسمت wp-admin به نام دیگری تغییر کند.
در بسیاری از افزونه های امنیتی این قابلیت در اختیار شما قرار گرفته تا بتوانید آدرس ورود به پیشخوان را تغییر دهید.
نام کاربری پیش فرض “admin” را تغییر دهید
در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که نامهای کاربری نیمی از اعتبار ورود به سیستم را تشکیل میدهند، این امر انجام حملات brute-force را برای هکرها آسانتر میکند.
خوشبختانه، وردپرس از آن زمان این را تغییر داده است و اکنون از شما می خواهد که در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید.
با این حال، برخی از نصبکنندگان وردپرس با یک کلیک، هنوز نام کاربری پیشفرض مدیر را روی «admin» تنظیم میکنند که حتما باید این نام تغییر کند زیرا باعث احتمال نفوذ به سایت شما خواهد شد.
از آنجایی که وردپرس به طور پیشفرض به شما اجازه تغییر نام کاربری را نمیدهد، سه روش برای تغییر نام کاربری وجود دارد.
- یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
- از افزونه Username Changer استفاده کنید
- نام کاربری را از phpMyAdmin به روز کنید
غیرفعال کردن ویرایش فایل
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و فایل های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید.
غیرفعال کردن ویرایش فایل در وردپرس
با افزودن کد زیر در فایل wp-config.php به راحتی می توانید این کار را انجام دهید.
1 2 | // Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
البته این قابلیت در برخی افزونه های امنیتی نیز قرار داده شده است.
غیرفعال کردن اجرای فایل PHP در برخی دایرکتوری های وردپرس
یکی دیگر از راههای تقویت امنیت وردپرس، غیرفعال کردن اجرای فایل PHP در دایرکتوریهایی است که به آن نیازی نیست، مانند /wp-content/uploads/.
شما می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و چسباندن این کد انجام دهید:
1 2 3 |
deny from all
|
در مرحله بعد، باید این فایل را به صورت htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه های /wp-content/uploads/ در وب سایت خود آپلود کنید.
همچنین این اقدام نیز بوسیله برخی افزونه های امنیتی قابل انجام است.
محدود کردن تلاش برای ورود به سایت
به طور پیش فرض، وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند. این مورد به نوعی یک باگ امنیتی محسوب می شود و ربات های بسیاری در جهت ورود به سایت شما تلاش می کنند .
این باعث می شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.
برای جلوگیری از این مورد می توانید با استفاده از افزونه های امنیتی در جهت بستن آی پی هایی که تلاش های زیادی جهت ورود به سیستم داشتن اقدام کنید.
می توانید از افزونه Login Security جهت ایجاد محدودیت استفاده کنید با استفاده از آن میتوانید دسترسی تک تک کاربران وبسایت وردپرسی خود با هر نقشی را محدود یا مسدود کنید.
افزونه محدود کننده لاگین کاربران وردپرس قابلیت کنترل ورود کاربران به حساب کاربری یا پنل مدیریت سایت را داراست با استفاده از این افزونه کاربردی وردپرس میتوانید دسترسی لاگین هر کاربر را بر اساس کشور، زمان یا با آیپی خاص محدود یا مسدود نمائید و امنیت وبسایت خود را افزایش دهید.
احراز هویت دو عاملی را اضافه کنید Two Factor Authentication
تکنیک احراز هویت دو مرحله ای از کاربران می خواهد که با استفاده از روش احراز هویت دو مرحله ای وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.
اکثر وب سایت های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان را می دهند که آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.
ابتدا باید افزونه Two Factor Authentication را نصب و فعال کنید. پس از فعالسازی، باید روی پیوند «تأیید دو عاملی» در نوار کناری مدیریت وردپرس کلیک کنید.
تنظیمات دو عاملی Authenticator
در مرحله بعد، باید یک برنامه احراز هویت را روی گوشی خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator، Authy و LastPass Authenticator موجود است.
توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حساب های خود در فضای ابری نسخه پشتیبان تهیه کنید. این برای مواقعی که گوشی شما گم شود، ریست شود یا گوشی جدیدی بخرید بسیار مفید است. همه ورود به حساب کاربری شما به راحتی بازیابی می شود.
ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد. با این حال، دستورالعمل ها برای همه برنامه های احراز هویت مشابه است. برنامه authenticator خود را باز کنید و سپس روی دکمه Add کلیک کنید.
اضافه کردن وب سایت
از شما پرسیده می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.
این همه است، برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه بعد که وارد وب سایت خود می شوید، پس از وارد کردن رمز عبور از شما کد احراز هویت دو مرحله ای خواسته می شود.
کد احراز هویت دو عاملی خود را وارد کنید
به سادگی برنامه authenticator را روی گوشی خود باز کنید و کدی را که روی آن می بینید وارد کنید.
اضافه کردن کد امنیتی برای قسمت های مختلف
شما می توانید با استفاده از سایت سرویس رایگان ریکپچا گوگل جهت فعال کردن قابلیت ریکپچا بر روی صفحات مختلف سایت خود ، فرم ها ، ورود به صفحات کاربری ، ثبت کامنت و دیدگاه توسط کاربر اقدام کنید. گوگل دو ورژن به صورت V2 , V3 در اختیار قرار داده که متناسب با نوع سایت خود می توانید از این ریکپچا استفاده کنید.
همچنین می توانید از افزونه هایی مثل افزونه کپچا captcha بهره بگیرید .به وسیله آن میتوانید یک سیستم کد امنیتی کپچا برای قسمت های مختلف وبسایت وردپرسی خود ایجاد کنید. این افزونه وردپرس به شما این امکان را میدهد تا بتوانید برای بخش های وبسایت وردپرسی خود که شامل بخش ثبت نام یا ورود و موارد دیگر میباشد را کد امنیتی کپچا ایجاد کنید. در افزونه کپچا وردپرس شما می توانید برای انواع حالت های کد امنیتی شخصی سازی را انحام دهید به عنوان مثال برای حالت محاسبات ریاضی شما می توانید از جمع، تفرق و ضرب استفاده کنید. همانظور که می دانید یکی از روش های مخرب برای هر سایت وردپرسی اسپم است که این اسپم در قالب دیدگاه ها یا نظرات بیشتر به سایت شما ضربه خواهد زد. ربات ها هم روی بخش های مختلف یا فرم های ورودی سایت شما مشکل زا خواهند بود.
پیشوند پایگاه داده یا دیتابیس وردپرس را تغییر دهید
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند تمام جداول در پایگاه داده وردپرس استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، حدس زدن نام جدول شما برای هکرها آسان تر می شود. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.
حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم
به طور معمول، هکرها می توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این به آنها اجازه می دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا کنند.
شما می توانید حفاظت رمز عبور اضافی را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می کند.
فهرست بندی و مرور دایرکتوری را غیرفعال کنید
هکرها می توانند از مرور دایرکتوری استفاده کنند تا بفهمند آیا فایلی با آسیب پذیری شناخته شده دارید یا خیر، بنابراین آنها می توانند از این فایل ها برای دسترسی به آن استفاده کنند.
مرور دایرکتوری همچنین می تواند توسط افراد دیگر برای بررسی فایل های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود فهرست سازی و مرور دایرکتوری را خاموش کنید.
شما باید با استفاده از FTP یا فایل منیجر cPanel به وب سایت خود متصل شوید. سپس، فایل htaccess. را در دایرکتوری ریشه وب سایت خود پیدا کنید.
پس از آن باید خط زیر را در انتهای فایل htaccess اضافه کنید:
Options -Indexes
فراموش نکنید که فایل htaccess. را ذخیره کرده و دوباره در سایت خود آپلود کنید.
XML-RPC را در وردپرس غیرفعال کنید
XML-RPC به طور پیشفرض در وردپرس 3.5 فعال شده است زیرا به اتصال سایت وردپرس شما با برنامههای وب و موبایل کمک میکند.
به دلیل ماهیت قدرتمند خود، XML-RPC می تواند به طور قابل توجهی حملات brute-force را تقویت کند.
به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 رمز عبور مختلف را در وب سایت شما امتحان کند، باید 500 تلاش جداگانه برای ورود به سیستم انجام دهد که توسط افزونه های امنیتی شناسایی و مسدود می شود.
اما با XML-RPC، یک هکر می تواند از تابع system.multicall برای آزمایش هزاران رمز عبور با مثلاً 20 یا 50 درخواست استفاده کند.
به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.
خروج خودکار کاربران بدون فعالیت در وردپرس ( لاگ اوت کردن خودکار کاربر )
کاربرانی که وارد سیستم شده اند گاهی اوقات برای مدت زمانی هیچ فعالیت در سایت انجام نمی دهند ( یک باگ امنیتی )
به همین دلیل است که بسیاری از سایت های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می کنند. شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.
برخی افزونه های امنیتی این قابلیت را پوشش می دهند. با تنظیم مدت زمان مشخص ، در جهت خارج کردن اتوماتیک کاربران غیرفعال اقدام می شود.
سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید
افزودن یک سوال امنیتی به صفحه ورود به سیستم وردپرس ، می تواند به عنوان یک هوش مصنوعی در جهت جلوگیری از ربات ها موثر باشد.
با نصب افزونه WP Security Questions می توانید سوالات امنیتی اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات » صفحه سؤالات امنیتی مراجعه کنید.
اسکن وردپرس برای بدافزارها و آسیب پذیری ها
اگر یک افزونه امنیتی وردپرس نصب کرده اید، آن افزونه ها به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می کنند و وردپرس شما را اسکن می کند.
با این حال، اگر افت ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو مشاهده کردید، ممکن است بخواهید به صورت دستی یک اسکن را اجرا کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید.
اجرای این اسکن های آنلاین کاملاً ساده است، شما فقط URL های وب سایت خود را وارد می کنید و خزنده های آنها از طریق وب سایت شما می روند تا به دنبال بدافزارها و کدهای مخرب شناخته شده بگردند.
اکنون به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت وردپرس هک شده را تمیز کنند.
تعمیر سایت وردپرس هک شده
بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.
تمیز کردن سایت وردپرس می تواند بسیار سخت و زمان بر باشد. اولین توصیه ما این است که اجازه دهید یک متخصص وردپرس از آن مراقبت کند.
امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی وردپرس را یاد بگیرید و همچنین بهترین افزونه های امنیتی وردپرس را برای وب سایت خود پیدا کنید و بکار گیرید.
محافظت از محتوا
در برخی موارد شما می خواهید از محتوا خود در برابر کپی رایتینگ محافظت کنید . در این موارد بهتر است از افزونه های حفاظت در برابر کپی رایتینگ استفاده کنید. البته در برخی افزونه های امنیتی این قابلیت قرار داده شده است.
افزونه امنیت محتوا High protect content از افزونه هایی است که می تواند در جهت جلوگیری از کپی کردن متن با غیر فعال کردن راست کلیک و کلیدهای میانبر به شما کمک کند .