هکرها آماده نفوذ به سایت شما هستند، این راهنمای امنیتی وردپرس را با هشت مرحله آسان برای افزایش امنیت وب سایت وردپرس خود دنبال کنید. تهدیدات امنیتی سایت ها فقط منحصر به وردپرس نیستند، هر پلتفرمی، چه خصوصی و چه منبع باز، 24/7 مورد حمله قرار می گیرند، خوشبختانه جامعه وردپرس راه حل های زیادی برای آسان کردن کار ارائه می دهد، در زیر چند قدم کلیدی برای محافظت از سایت وردپرس در برابر تهدیدات امنیتی آورده شده است.
8 راه حل برای افزایش امنیت وبسایت وردپرسی
هشت اقدام اساسی وجود دارد که همه ناشران وردپرس باید برای کاهش فعالیتها و آسیب پذیری های مخرب در نظر بگیرند. پیروی از این بهترین شیوه ها به اطمینان از اینکه یک سایت وردپرس آماده مقابله با هجمه هکرهایی است که هر روز وب سایت ها را بررسی می کنند، کمک می کند:
- از HTTPS استفاده کنید.
- از کلمه “admin” به عنوان نام کاربری مدیریت خود استفاده نکنید.
- استفاده از رمزهای عبور قوی را اعمال کنید.
- افزونه ها و تم ها را به روز کنید.
- طرح پشتیبان گیری از وب سایت
- استفاده از افزونه ها را به حداقل برسانید.
- احراز هویت دو مرحله ای
- یک فایروال و اسکنر آسیب پذیری وردپرس نصب کنید.
بیایید هر یک از اینها را با کمی جزئیات بیشتر مرور کنیم.
1. افزودن HTTPS/SSL
در حال حاضر، بیشتر سایت ها از HTTPS استفاده می کنند، اما اگر سایت شما از HTTPS استفاده نمی کند، با پشتیبان هاست خود در مورد افزودن گواهی SSL رایگان مشورت کنید. فقط آدرس وردپرس و آدرس سایت را با استفاده از https:// تنظیم کنید، این کار را می توان در تب تنظیمات عمومی انجام داد.
اگر سایت از حالت ناامن به حالت امن ارتقا پیدا می کند، افزونه Really Simple SSL (که توسط بیش از 5 میلیون وب سایت استفاده می شود) ارزش بررسی دارد، زیرا واقعاً با مدیریت تغییر مسیرها و سایر وظایف مرتبط، تبدیل به HTTPS را ساده می کند. SSL Really Simple همچنین با ارائه گزینه ای برای افزودن هدرهای امنیتی به کاهش تهدیدات امنیتی مانند جعل کلیک و حملات جعل بین سایتی کمک می کند.
این روزها نصب گواهی SSL کار آسانی است. بسیاری از میزبان های وب گواهینامه های SSL رایگان ارائه میدهند – به علاوه، این یک عامل رتبهبندی شناخته شده در Google است. پس از تبدیل به HTTPS، بهتر است بررسی کنید که هیچ صفحه ای درخواست پیوند یا محتوای HTTP را نداشته باشد. بررسی محتوای ترکیبی ضروری است. محتوای مختلط زمانی است که داراییهای وبسایت ناامن (اسکریپتها، تصاویر، ویدیوها و غیره) از صفحات HTTPS به آن پیوند داده میشوند .
سایت خود را با Missing Padlock بررسی کنید تا به سرعت موارد محتوای مختلط را شناسایی کنید و سپس با پیوند دادن به دارایی های HTTPS، خطاها را برطرف کنید.
2. استفاده نام کاربری امن برای حساب مدیر
تعداد زیادی از حملات امنیتی علیه صفحه ورود به وردپرس با نام کاربری “Admin” انجام می شود. دو نوع حمله اصلی وجود دارد که سعی در شکستن رمز ورود به سیستم دارند:
- Brute force
- Dictionary attack
حمله brute force زمانی است که نرم افزار هک خودکار سعی می کند رمز عبور مدیریت را با استفاده از ترکیب های مختلف کلمات، حروف و اعداد حدس بزند. Dictionary attack زمانی است که نرم افزار هک از رمزهای عبور رایج برای حدس زدن ورود به سیستم استفاده می کند، در بسیاری از موارد، نام کاربری مدیریت که این نرم افزارها از آن استفاده می کنند “Admin” است، استفاده نکردن از کلمه “Admin” به عنوان نام کاربری مدیریت یک گام ساده است که به امنیت یک سایت وردپرس کمک می کند.
برای برداشتن این یک قدم جلوتر، میتوانید با افزونه امنیتی Wordfence یک قانون فایروال ایجاد کنید تا بهطور خودکار هر انسان یا رباتی را که میخواهد با نام کاربری Admin وارد شود، مسدود کند.
3. اعمال گذرواژه های قوی
به هیچ کس، به خصوص کاربرانی که دارای امتیازات در سطح مدیریت هستند، اجازه ندهید که رمز عبوری غیرقوی ایجاد کنند. حتی کاربران با امتیازات پایین وبسایت، مانند سطح مشترک، می توانند به یک بردار حمله تبدیل شوند. بنابراین، اجرای رمزهای عبور قوی برای همه افرادی که می توانند وارد سایت وردپرس شوند، مهم است.
افزونه محبوب iThemes Security WordPress با بیش از 1 میلیون کاربر، تقویت رمز عبور ورود به سیستم و همچنین احراز هویت دو مرحله ای را ارائه می دهد. یک خط مشی امنیتی رمز عبور که رمزهای عبور قوی را اعمال می کند نیز می تواند با استفاده از افزونه امنیتی Wordfence WordPress فعال شود.
4. بروز نگه داشتن قالب ها و پلاگین ها
برخی از بروزرسانی ها برای پلاگینها، تمها و خود هسته اصلی وردپرس برای رفع آسیب پذیریها (پچ) هستند. عدم به روز رسانی نرم افزار می تواند منجر به آسیب پذیر شدن سایت شود. اکثر به روز رسانی ها به خوبی کار می کنند. در موارد نادر، بروزرسانی ممکن است چیزی را در نرم افزار تغییر دهد که شروع به درگیری با افزونه یا موضوع دیگری میکند و باعث از کار افتادن سایت میشود.
اگر این اتفاق بیفتد، اگر از سایت بک آپ گرفته شده باشد، به راحتی می توان سایت را به حالت قبلی برگرداند. بهترین راه برای به روز رسانی پلاگین ها و تم ها این است که سایت را مرحله بندی کنید و بررسی کنید که آیا سایت با نرم افزار به روز شده آنطور که باید عمل می کند یا خیر، اما اگر سایت را مرحله بندی نمی کنید، گزینه دوم این است که از سایت بک آپ بگیرید و سپس آن را به روز کنید.
سایت را تست کنید تا مطمئن شوید همه چیز کار می کند. اگر سایت دچار مشکل شد، آن را با نسخه پشتیبان برگردانید. گزینه سوم این است که تمام پلاگین ها را به صورت خودکار به روز کنید تا حتی نیازی به فکر کردن به آن نداشته باشید. اگر چیزی شکست، آن را به حالت قبلی برگردانید.
5. پشتیبان گیری از وب سایت وردپرسی خود
پشتیبان گیری از یک وب سایت به صورت روزانه بسیار مهم است. چیزهای زیادی وجود دارد که ممکن است اشتباه پیش برود، و یک نسخه پشتیبان از وقوع یک فاجعهبار برای سایت جلوگیری میکند. افزونه پشتیبان وردپرس UpdraftPlus با بیش از 3 میلیون کاربر، یک راه حل محبوب و قابل اعتماد است. من از آن در تمام وب سایت های خود استفاده می کنم و می توانم آن را با اطمینان توصیه کنم.
به مناسبت طراحی مجدد وب سایت که به خوبی پیش نرفت، من را نجات داد و به من این امکان را داد که به راحتی سایت را به نسخه قبلی بازگردانم. راه حل محبوب دیگر افزونه WP Rollback نام دارد، افزونه WP Rollback بیش از 200000 نصب دارد و افرادی که نرم افزار را ایجاد می کنند توسعه دهندگان وردپرس مورد اعتماد و متخصص هستند.
6. استفاده حداقل از پلاگین ها
هر افزونه ای که نصب می شود احتمال اینکه یکی از آنها سایت را در معرض آسیب پذیری قرار دهد افزایش می دهد، جدای از دلایل امنیتی، استفاده از افزونه های زیاد می تواند بر عملکرد سایت تأثیر بگذارد و همچنین احتمال تداخل کد بین دو یا چند افزونه را افزایش می دهد و سایت را از کار می اندازد. از قبل برنامه ریزی کنید که از کدام افزونه ها می خواهید برای انجام آنچه نیاز دارید استفاده کنید. برخی از افزونهها میتوانند چندین کار را انجام دهند و نیازی به نصب یک افزونه مستقل برای انجام آن یک کار را از بین ببرند.
7. پیاده سازی احراز هویت دو مرحله ای
احراز هویت دو مرحله ای به این دلیل است که برای ورود به سایت وردپرس با فعال بودن این ویژگی به دو شکل شناسایی نیاز است. اولین فاکتور نام کاربری و رمز عبور است، عامل دوم، نوع دوم احراز هویت است، معمولاً با برنامهای مانند Authy یا Google Authenticator که روی تلفن همراه کاربر قرار دارد. بنابراین حتی اگر یک هکر به نام کاربری و رمز عبور دسترسی پیدا کند، بدون احراز هویت دوم قادر به ورود به سیستم نخواهد بود.
افزونه WP 2FA
افزونه WP 2FA یک انتخاب محبوب برای افزودن احراز هویت دو مرحله ای در مخزن وردپرس است. از چندین روش احراز هویت دو مرحله ای، از جمله Google Authenticator، Authy، لینک ایمیل، OTP ایمیل و اعلان پوش پشتیبانی می کند. روشهای دیگری مانند احراز هویت صوتی و واتساپ در نسخه Pro آن نیز وجود دارد.
8. نصب یک افزونه امنیتی وردپرس
افزونه های امنیتی مفید هستند زیرا می توانند هر حفره امنیتی را ببندند و هکرهایی را که سعی در سوء استفاده از آن آسیب پذیری ها دارند مسدود کنند.
دو نوع پلاگین امنیتی وردپرس وجود دارد :
- سخت شدن و اسکن امنیتی.
- دیواره آتش.
در اینجا چند ابزار است که من توصیه می کنم :
1. افزونه Wordfence – فایروال، اسکن بدافزار و امنیت ورود
Wordfence یک انتخاب محبوب برای امنیت وردپرس است. بیش از 4 میلیون نصب فعال وجود دارد و توصیه ما برای امنیت نصب این افزونه می باشد.
2. افزونه Sucuri Security
Sucuri یک انتخاب قابل اعتماد برای یک افزونه امنیتی است. متعلق به GoDaddy است. Sucuri یک سایت را برای بدافزار اسکن می کند و گزینه هایی را برای سخت کردن سایت در برابر سوء استفاده ها ارائه می دهد. انتخاب Sucuri آسان است زیرا مکمل یک افزونه فایروال مانند Wordfence است، نسخه پولی آن نیز شامل فایروال است.
3. افزونه Jetpack Protect
Jetpack Protect توسط Automattic، شرکتی که در WordPress.com، Akismet، WPScan و WooCommerce و غیره قرار دارد، ایجاد شده است. Jetpack Protect اسکن روزانه بدافزار هسته، پلاگین ها و تم های وردپرس را انجام می دهد. این افزونه رایگان نسبتاً جدید است – در سال 2022 به یک افزونه مستقل تبدیل شد.