امروزه صدها هزار وبسایت در سراسر دنیا با استفاده از سیستم مدیریت محتوای وردپرس راه اندازی شده اند و همین موضوع باعث شده هکرها وقت بیشتری برای استفاده از ضعف های امنیتی که ممکن است بر روی سایت های وردپرسی وجود داشته باشد می گذارند تا به این ترتیب با حداقل انرژی بازار بزرگتری برای تست نفوذ داشته باشند زیرا وردپرس برای آنها یک بازار بزرگ محسوب می شود و همین امر افزایش امنیت وردپرس را برای مدیر مسئول یک وبسایت راه اندازی شده با وردپرس دو چندان می کند.
نکته هایی برای افزایش امنیت وردپرس
نکات مربوط به افزایش امنیت وردپرس بیشتر از هر کسی به خود شما بر می گردد زیرا این خود شما هستید که وردپرس را انتخاب کرده اید. بنابراین ما تنها به نکاتی می پردازیم که به شما به عنوان مدیر یک سایت وردپرسی مربوط می شود و مباحث تخصصی مربوط به امنیت هاست و سرور را به مقالات دیگری که مخاطبمان مدیران سرور باشد موکول می کنیم.
1- برای میزبانی سایت خود یک شرکت هاستینگ معتبر که به آن اطمینان دارید انتخاب کنید.
2- اگر شرکت هاستینگ مورد نظر شما سرویس ویژه وردپرس مانند هاست وردپرس دارد از آن سرویس استفاده نمایید.گفتنی است هاست های آسان رایان کاملا مناسب و سازگار با وردپرس هستند.
“به این دلیل که معمولا این نوع هاست ها از نظر امنیتی نیز برای وردپرس بهینه سازی شده اند”
3- فایل نصبی وردپرس را از خود سایت وردپرس دانلود کنید و یا از سایت های مورد اعتماد که فایل را دستکاری نکرده باشند.
4- قبل از نصب هرگونه فایل غیرضروری (خصوصا فایلهای php که نیازی به آنها ندارید) را اگر از قبل روی هاست شما قرار دارند حذف کنید چون معمولا این فایل ها با باز شدن فایل فشرده مربوط به نصب وردپرس دیگر احتمال کمی وجود دارد که حذف شوند و چه بسا در آینده مشکلات امنیتی برای سایت شما به وجود بیاورند.
5- از نامهای غیر ساده برای نام دیتابیس و نام کاربری و رمزهای پیچیده برای اتصال نام کاربری مربوط به دیتابیسی که می خواهید وردپرس را روی آن نصب کنید استفاده نمایید.
6- نام پرفیکس دیتابیس که در زمان وارد کردن اطلاعات دیتابیس در وردپرس وارد می کنید را از حال پیش فرض به حالتی سختتر تغییر دهید.
7- همواره از سیستم کامپیتور امن با آنتی ویروس بروز به وردپرس وصل شده و سایت را مدیریت کنید.
8- بعد از اتمام نصب اولیه تمام فایلها، قالبها و افزونه های پیشفرض را که نیازی نیستند، حذف کنید.
فایل هایی مانند wp-config-sample.php
قالب هایی مانند قالب دوهزار و *** اگر جزء قالب های مورد استفاده ی شما نمی باشند
افزونه هایی مانند hello dooly و هر افزونه ی دیگری که نیازی به آن ندارید.
9- بعد از نصب وردپرس سعی کنید برخی آدرسهای پیشفرض مانند آدرس پوشه ی wp-content را تغییر دهید.
10- سطح دسترسی فایل wp-config.php را بعد از نصب وردپرس روی 444 قرار دهید.
11- برای دایرکتوری wp-admin بعد از نصب کردن وردپرس رمز قرار دهید.
12- از نام کاربری پیشفرض که “admin” می باشد استفاده نکنید و آنرا به نام غیر روند دیگری تغییر دهید.
13- از استفاده از رمزهای پیچیده برای نام کاربری خود در وردپرس استفاده نمایید.
14- با استفاده از پلاگین های مرتبط برای فرم لاگین و سایر فرمهای خود در وردپرس کد کپچا قرار دهید.
15- از نصب هرگونه قالب و پلاگین از منابع غیر معتبر و سایتهای اسکریپت رایگان خودداری نمایید.
16- بهترین منبع برای نصب قالب و افزونه مخزن خود وردپرس و سایت های معتبر و شناخته شده می باشند.
17- قالب و پلاگینها و خود وردپرس را مداوم بروزرسانی کنید و قالب و پلاگینهایی بدون بروزرسانی را حذف کنید.
18- از پلاگینهای امنیتی معتبر مانند wordfence استفاده نموده و به صورت مداوم وردپرس خود را با ان اسکن کنید.
19- فایل های پیشفرض وردپرس را حداقل در فولدر اصلی بشناسید و نسبت به هرگونه فایل مشکوک حساس باشید.
20- و نکته ی آخر اینکه همیشه به یاد داشته باشید که همواره معمولا امنیت سرور و امنیت برنامه نویسی خود وردپرس بر عهده ی اشخاص دیگری است که اغلب متخصص می باشد و بیشتر احتمال ایجاد مشکل برای سایت اقداماتی است که خودتان باید انجام دهید یا انجام ندهید.
اطمینان داشته باشید با رعایت نکات فوق احتمال هک سایت شما تا 99 درصد کاهش می یابد.
نکاتی که در اینجا توضیح داده شد اقدامات قبل از هک جهت افزایش امنیت وردپرس است.
اقدمات پس از هک شدن وردپرس را در مطلبی دیگر مورد بررسی قرار خواهیم داد.
نکته هایی برای افزایش امنیت وردپرس
نکات مربوط به افزایش امنیت وردپرس بیشتر از هر کسی به خود شما بر می گردد زیرا این خود شما هستید که وردپرس را انتخاب کرده اید. بنابراین ما تنها به نکاتی می پردازیم که به شما به عنوان مدیر یک سایت وردپرسی مربوط می شود و مباحث تخصصی مربوط به امنیت هاست و سرور را به مقالات دیگری که مخاطبمان مدیران سرور باشد موکول می کنیم.
1- برای میزبانی سایت خود یک شرکت هاستینگ معتبر که به آن اطمینان دارید انتخاب کنید.
2- اگر شرکت هاستینگ مورد نظر شما سرویس ویژه وردپرس مانند هاست وردپرس دارد از آن سرویس استفاده نمایید.گفتنی است هاست های آسان رایان کاملا مناسب و سازگار با وردپرس هستند.
“به این دلیل که معمولا این نوع هاست ها از نظر امنیتی نیز برای وردپرس بهینه سازی شده اند”
3- فایل نصبی وردپرس را از خود سایت وردپرس دانلود کنید و یا از سایت های مورد اعتماد که فایل را دستکاری نکرده باشند.
4- قبل از نصب هرگونه فایل غیرضروری (خصوصا فایلهای php که نیازی به آنها ندارید) را اگر از قبل روی هاست شما قرار دارند حذف کنید چون معمولا این فایل ها با باز شدن فایل فشرده مربوط به نصب وردپرس دیگر احتمال کمی وجود دارد که حذف شوند و چه بسا در آینده مشکلات امنیتی برای سایت شما به وجود بیاورند.
5- از نامهای غیر ساده برای نام دیتابیس و نام کاربری و رمزهای پیچیده برای اتصال نام کاربری مربوط به دیتابیسی که می خواهید وردپرس را روی آن نصب کنید استفاده نمایید.
6- نام پرفیکس دیتابیس که در زمان وارد کردن اطلاعات دیتابیس در وردپرس وارد می کنید را از حال پیش فرض به حالتی سختتر تغییر دهید.
7- همواره از سیستم کامپیتور امن با آنتی ویروس بروز به وردپرس وصل شده و سایت را مدیریت کنید.
8- بعد از اتمام نصب اولیه تمام فایلها، قالبها و افزونه های پیشفرض را که نیازی نیستند، حذف کنید.
فایل هایی مانند wp-config-sample.php
قالب هایی مانند قالب دوهزار و *** اگر جزء قالب های مورد استفاده ی شما نمی باشند
افزونه هایی مانند hello dooly و هر افزونه ی دیگری که نیازی به آن ندارید.
9- بعد از نصب وردپرس سعی کنید برخی آدرسهای پیشفرض مانند آدرس پوشه ی wp-content را تغییر دهید.
10- سطح دسترسی فایل wp-config.php را بعد از نصب وردپرس روی 444 قرار دهید.
11- برای دایرکتوری wp-admin بعد از نصب کردن وردپرس رمز قرار دهید.
12- از نام کاربری پیشفرض که “admin” می باشد استفاده نکنید و آنرا به نام غیر روند دیگری تغییر دهید.
13- از استفاده از رمزهای پیچیده برای نام کاربری خود در وردپرس استفاده نمایید.
14- با استفاده از پلاگین های مرتبط برای فرم لاگین و سایر فرمهای خود در وردپرس کد کپچا قرار دهید.
15- از نصب هرگونه قالب و پلاگین از منابع غیر معتبر و سایتهای اسکریپت رایگان خودداری نمایید.
16- بهترین منبع برای نصب قالب و افزونه مخزن خود وردپرس و سایت های معتبر و شناخته شده می باشند.
17- قالب و پلاگینها و خود وردپرس را مداوم بروزرسانی کنید و قالب و پلاگینهایی بدون بروزرسانی را حذف کنید.
18- از پلاگینهای امنیتی معتبر مانند wordfence استفاده نموده و به صورت مداوم وردپرس خود را با ان اسکن کنید.
19- فایل های پیشفرض وردپرس را حداقل در فولدر اصلی بشناسید و نسبت به هرگونه فایل مشکوک حساس باشید.
20- و نکته ی آخر اینکه همیشه به یاد داشته باشید که همواره معمولا امنیت سرور و امنیت برنامه نویسی خود وردپرس بر عهده ی اشخاص دیگری است که اغلب متخصص می باشد و بیشتر احتمال ایجاد مشکل برای سایت اقداماتی است که خودتان باید انجام دهید یا انجام ندهید.
اطمینان داشته باشید با رعایت نکات فوق احتمال هک سایت شما تا 99 درصد کاهش می یابد.
نکاتی که در اینجا توضیح داده شد اقدامات قبل از هک جهت افزایش امنیت وردپرس است.
اقدمات پس از هک شدن وردپرس را در مطلبی دیگر مورد بررسی قرار خواهیم داد.