جدیدترین شیوه‌های تامین امنیت وردپرس که نباید از آن غافل شد!!

امنیت وردپرس یک موضوع مهم برای هر صاحب وب‌سایتی است. هر هفته، گوگل فهرست سیاهی (blacklists) از 20،000 وب‌سایت که به بدافزار آلوده شده‌اند و حدود 50،000 مورد را برای فیشینگ منتشر می‌کند.

اگر شما در مورد وب‌سایت خود جدی هستید و به امنیت آن فکر می‌کنید، باید به بهترین شیوه‌های امنیتی وردپرس توجه داشته باشید. در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای محاظت از وب‌سایت شما در برابر هکرها و بدافزارها، به اشتراک خواهیم گذاشت.

در حالی‌که هسته اصلی نرم‌افزار وردپرس بسیار امن است و صدها توسعه‌دهنده آن را به طور مرتب بررسی می‌کنند، اما روش‌های بسیاری وجود دارد که می تواند انجام شود تا وب‌سایت وردپرسی شما  امن‌تر شود.

ما معتقدیم که مقوله امنیت، صرفاً در مورد رفع خطر نیست، بلکه در مورد کاهش خطر نیز صدق می‌کند. به عنوان یک صاحب وب‌سایت، برای ارتقای امنیت وردپرس خود (حتی اگر طرز تفکر شما به این مسئله تکنیکی و هوشمندانه نیست) می‌توانید کارهای زیادی انجام دهید.

در اینجا ما تعدادی از اقدامات و گام‌های عملی که می‌توانید برای بهبود امنیت وردپرس خود انجام دهید، آورده‌ایم.

چرا امنیت وب‌سایت مهم است؟

سایت وردپرس هک‌شده می‌تواند باعث آسیب جدی به درآمد کسب‌وکار و شهرت شما شود. هکرها می‌توانند اطلاعات کاربر، رمزهای عبور، نصب نرم‌افزارهای مخرب را سرقت کنند و حتی می‌توانند نرم‌افزارهای مخرب را به کاربران خود توزیع کنند.

مراقب با‌ج‌‌افزارها باشید. باج‌افزارها نوعی از بدافزارهای مخرب هستند که به سیستم‌های رایانه‌ای (کامپیوتر – لپ‌تاپ – تلفن همراه و …) قربانی حمله کرده و دسترسی کاربر به اطلاعاتش را از بین می‌برند و در ازای باز کردن دسترسی، درخواست پرداخت مبلغ به حساب طراح باج افزار می‌کنند.

افزایش امنیت وردپرس در صفحه‌ی ورود به پیشخوان

 حتماً مطلع هستید که صفحه ورود هریک از سیستم‌های مدیریت محتوا، به‌صورت پیش‌فرض نام خاصی برای خود دارند. صفحه‌ی ورود پیش‌فرض وردپرس wp-login.php است که خود این مسئله سبب می‌شود که امکان دسترسی به آن راحت‌تر و ورود هکرها به سایت آسان‌تر شود. 

برای جلوگیری از این مشکل از افزونه امنیتی Stealth Login Page استفاده کنید. کار مهم این افزونه این است که با نصب آن شما بخشی تحت عنوان «ورود مخفیانه» در زیر منوی تنظیمات پیشخوان وردپرس خواهید داشت و با انجام تنظیمات آن، در هنگام ورود به پنل مدیریت سایت، علاوه‌بر یوزرنیم و پسورد گزینه کد کاربری را مشاهده خواهید کرد که حتماً باید آن را وراد کنید در غیر این صورت اجازه راه یافتن به قسمت مدیریت را نخواهید داشت هرچند که پسورد را درست وارد کرده باشید. با این راهکار امنیتی دسترسی به سایت شما سخت‌تر و امنیت وردپرس شما تا حد قابل توجهی حفظ می‌شود.

نکات امنیتی مهم برای انتخاب رمز

در انتخاب کمله رمز نهایت دقت را داشته باشید و از کلماتی که به راحتی حدس زده می‌شوند (مانند نام سایت)، استفاده نکنید. حتماً از ترکیب حروف انگلیسی کوچک و بزرگ، اعداد و کاراکترهایی مثل *، &، @ و … استفاده کنید. برای ساخت یک رمز قوی می‌تواید در قسمت انتخاب رمز عبور، میزان قدرت را مشاهده کنید و یا از سایت‌های ساخت رمز عبور قوی استفاده کنید. 

برنامه‌های مدیریت رمز نیز در این زمینه به شما کمک خواهند کرد. راهکار دیگری که می‌توانیم به شما معرفی کنیم این است که در مرورگر خود با ایمیل‌تان اکانت یا حساب کاربری بسازید و رمزهای خود را  آن‌جا ذخیره کنید.

در ابتدا شما را با نوعی از حملات کرکینگ (Cracking) به نام بروت فورس (Brute Force) که یکی از متداول‌ترین حملات برای دستیابی به پسوردها است آشنا می‌کنیم. این حمله با ارسال هزاران یوزنیم و پسورد بر روی صفحه لاگین وب سایت‌ها‌، ایمیل‌‌ها و انواع صفحاتی که برای ورود به اکانت هستند، شکل می‌گیرد و هکر با این روش تمام عبارت‌های ممکن را  مورد بررسی قرار می‌دهد تا پسورد شما را حدس بزند. برای همین است که تاکید می‌کنیم که پسوردهای قوی و پیچیده انتخاب کنید تا احتمال موفقیت هکرها را تا جای ممکن کاهش دهید.

سطح دانش خود را افزایش دهید.

پیشنهاد ما به مدیران وب‌سایت‌ها و کسانی که دارای رمز عبور و نام کاربری مهم در وب‌سایتی هستند این است که سطح دانش و معلومات خود را در این زمنیه افزایش دهند تا با شناخت این حملات و مقابله با آن‌ها وب‌سایت ایمن‌تری داشته باشند. یکی از مواردی که می‌توان به آن اشاره کرد و از اهمیت بالایی برخوردار است، محدود کردن تعداد دفعات ورود کاربران است تا پس از چند بار ورود ناموفق دیگر نتواند از یک آدرس خاص استفاده کند.

افزونه‌های متعددی برای این کار وجود دارد پلاگین All In One WP Security And Firewall یکی از بهترین پلاگین‌های امنیتی 2018 است که این مشکل را به آسانی برای شما رفع می‌کند.

بروز رسانی منظم وردپرس، قالب و پلاگین‌ها

همانطور که می‌دانید نرم‌افزار مدیریت محتوای وردپرس رایگان است و توسط جامعه‌ای از توسعه دهندگان، توسعه یافته است. با هر نسخه جدید، آن‌ها مشکلات و نواقص را رفع می‌کنند، ویژگی‌های جدیدی را به آن اضافه می‌کنند، عملکردها و کارایی آن را بهبود می‌بخشند و ویژگی‌های موجود را تقویت می‌کنند تا با استانداردهای جدید، بروز شود.

بنابراین مادامی که سایت وردپرسی خود را به روز نکنید، سرعت و امنیت وردپرس شما در معرض خطر قرار می‌گیرید و از بهبودها و ویژگی‌های جدید عقب می‌ماند.

شما همیشه باید وردپرس را به آخرین نسخه آن ارتقا دهید. هنگامی که یک نسخه جدید از وردپرس در دسترس است، یک پیام بروز رسانی در صفحه مدیریت وردپرس خود دریافت خواهید کرد. با کلیک روی لینک آن به سادگی وردپرس خود را آپدیت کنید.

تغییر نام کاربری Admin

یک اقدام امنیتی عالی برای جلوگیری از دسترسی غیرمجاز به داشبورد مدیریت وردپرس شما تغییر یا استفاده از کلمه کاربری امن و مطمئن است. این کار برای محافظت در برابر نیروی بی‌رحم حملات بروت فورس نیز اقدام درست و عاقلانه‌ای خواهد بود.

استفاده از گواهینامه SSL

شاید بپرسید SSL چیست و اصلاً استفاده از آن چه ضرورتی دارد. گواهینامه بین‌المللی SSL (Socket Secure Layer Certificates)، یک پروتکل امنیتی استاندارد است که گواهینامه آن از سوی چند شرکت معتبر و خاص به وب‌سایت‌ها داده می‌شود. 

کاربرد اصلی SSL این است که اطلاعاتی که در بستر نا امن اینترنت بین کاربران و سایت‌ها رد و بدل می‌شود را توسط الگوریتم‌های پیشرفته رمزنگاری (Encryption) می‌کند. این رمزنگاری به شکلی انجام می‌شود که اگر هکرها در بین راه به اطلاعات شما دسترسی پیدا کردند، نتوانند اطلاعات اصلی را مشاهده کنند و تشخیص دهند.

وقتی بازدیدکنندگان با وب‌سایت‌هایی  روبرو می‌شوند که با گواهینامه SSL ایمنی شده‌اند، یک علامت قفل بسته شده و عبارت https:// در آدرس URL نمایش داده خواهد شد. این بدین معنی است که این سایت از امنیت بالایی برخوردار است در نتیجه اعتماد بیشتری نسبت به آن و صاحب وب‌سایت پیدا می‌کنند.

بنابراین اگر امنیت وردپرس و سایت‌تان برای‌تان مهم است، به فکر تهییه لایسنس SSL باشید. در این زمنیه نیز می‌توانید از افزونه‌ Really Simple SSL استفاده و این لایسنس را به راحتی برای سایت خود فعال کنید. 

علاوه‌بر نکات فوق، دلایل زیر ضرورت استفاده از لایسنس امنیتی SSL را دوچندان می‌کند. این موارد را به دقت مطالعه کنید.

حفاظت برای محتوا و کاربران

حتی اگر وب‌سایت شما هیچ مدرک یا داده‌های کاربری برای محافظت ندارد، باز هم باید از محتوای خود برای جلوگیری از هک شدن، محافظت کنید. همچنین باید نگران حفظ حریم خصوصی کاربران خود باشید زیرا هکرها هنوز هم می‌توانند شما را مورد هدف قرار دهند.

ارتقا وب‌سایت استاتیک به پروتوکل امنیتی HTTPS ارتباط بین وب‌سایت شما و مرورگر بازدیدکننده شما را رمزگذاری می‌کند. داشتن SSL نیز به شما اطمینان می‌دهد که کد منبع شما دست نخورده است و از دست هکرهای مزاحم در امان هستید.

بهبود ترافیک سایت و کیفیت امنیت وردپرس

اگر شما دنبال  افزایش ترافیک سایت خود هستید، گواهی SSL مطمئناً می‌تواند به یاری شما بیاید. گوگل در سال 2014 به حمایت و طرفداری از وبسایت‌هایی که از HTTPS استفاده می‌کنند آمد و در جستجوهای وب به آن‌ها کمک  شایانی کرد.

ارتقاء به HTTPS همچنین می‌تواند داده‌های Google Analytics شما را بهبود بخشد؛ زیرا این امر به شما اجازه می‌دهد لینک‌های ورودی از وب‌سایت‌های HTTPS را اضافه کنید.

   امنیت وردپرس توام با اعتماد عمومی و اعتبار وب‌سایت

تغییرات جدید الگوریتم‌های گوگل که در حال پیاده‌سازی است مطمئناً شهرت وب‌سایت شما را تحت تاثیر قرار می‌دهد.

اگر شما دارای یک وبلاگ مشاوره حقوقی یا یک وب‌سایت آموزشی هستید، نشانگر «Not Secure» در نوار آدرس شما، جلوه و صورت خوشی برای نام تجاری شما نخواهد داشت.
مطالعات انجام شده در این زمینه نشان داده که 9 نفر از 10 کاربر به طور غریزی به وب‌سایت‌هایی با شاخص‌های امنیتی اعتماد بیشتری دارند، همان شاخص‌هایی که وب‌سایت شما هنگام دریافت گواهی SSL اخذ می‌کند. بنابراین این موضوع مهمی است که باید در مورد آن  کمی بیشتر فکر کنید.

محبوبیت و نفوذ Google

از سال 2016، مرورگر Google Chrome توسط بیش از 2 میلیارد کاربر فعال (از طریق رایانه‌ها و گوشی‌های هوشمند خود) در سراسر جهان مورد استفاده قرار گرفته است.  

چه شما موافق این موضوع باشید یا خیر، جای تعجب نیست که وب‌سایت شما با استفاده از مرورگر کروم، احتمالاً بیشتر مشاهده خواهد شد.

استفاده از SSL لزوماً  تنها به نفع  گوگل نیست. با انتخاب اینکه با ابتکار گوگل همکاری نکنید، حتماً  اعتماد کاربران خود را از دست خواهید داد. بنابراین اگر شما هم با این ابتکار و مزیت بزرگ گوگل همراه باشید امنیت قابل توجهی را به سایت خود و مشتریان‌تان هدیه خواهید داد.

تهیه نسخه پشتیبان یا بکاپ از سایت

این روزها مدیریت سایت کار راحتی شده اما این بدین معنی است که شما  هرگز دچار اشتباه نمی‌شوید. وب سایت شما می‌تواند هک شود، ممکن است پس از بروز رسانی، دچار وقفه شود و یا یا بعضی مواقع پیش می‌آید که  فایل‌های مهم را به اشتباه حذف کنید و …

تهیه یک نسخه پشتیبان همه نگرانی شما را برای مشکلاتی که اشاره کردیم برطرف می‌کند. پس همیشه یک نسخه پشتیبان از سایت وردپرسی خود داشته باشید و آن را در مقابل حوادث مختلف بیمه و امنیت وردپرس خود را افزایش دهید. با افزونه All-in-One WP Migration به راحتی و در عرض چند دقیقه از سایت خود بکاپ بگیرید.

تهیه هاست امن و مطمئن 

برای تهییه یک هاست مناسب و امن نکات بسیار مهمی وجود دارد که حتماً باید قبل از خرید به آن توجه کنید. همیشه شرکت هاستینگی (ارائه‌دهندگان خدمات میزبانی وب) را انتخاب کنید که کنترل پنل امن و آسانی را در اختیار شما بگذارد تا استفاده و کار با آن برای‌تان آسان باشد، خدمات پشتیبانی با کیفیت و منظمی (7/24) را به شما ارائه دهد و از اطلاعات شما به بهترین شکل ممکن محافظت کند.

هرگز سراغ هاست‌های ارزان قیمت نروید چراکه کیفیت مناسبی ندارند و نمی‌توانند میزبان خوبی برای ترافیک بالای سایت شما باشند و با اختلالات لحظه‌ای  اعتبار سایت و کسب‌وکار شما را به خطر می‌اندازند.

این شرکت‌ها علاوه‌بر اینکه شلوغی داخل سرورهای‌شان زیاد است از سخت‌افزارهای ضعیف و سرورهای مجازی استفاده می‌کنند و به دلیل اینکه میزبانی وب‌سایت‌های زیادی را برعهده دارند مشکلات متعددی برای کاربران هاست ایجاد می‌کنند.

از قالب‌ها و افزونه‌های کرک شده پرهیز کنید!

همانطور که می‌دانید وب‌‌‌سایت‌هایی که با سیستم مدیریت محتوا (CMS) مانند وردپرس ساخته شده‌اند نیاز به نصب قالب دارند. در واقع تم یا قالب است که ظاهر اصلی سایت شما را نمایان می‌سازد، بنابراین باید به قدری جذاب باشد تا کاربران سایت شما را شیفته خود کند و روی مارکت و خدماتی که ارائه می‌دهید، تاثیر مثبتی  بگذارد.

قالب‌های پرمیوم (ورژن پولی) گران هستند و نسخه‌های رایگان جذاب و کارآمد نیستند. هنگام تهیه قالب و افزونه‌های مختلف برای سایت خود توجه داشته باشید نسخه اصل آن را خریداری کنید. چون نسخه‌های کرک یا به اصطلاح نال (null) شده که به وفور و به صورت غیرقانونی در اینترنت وجود دارد به کدهای مخرب آلوده هستند، بروز نبوده و حفره‌های امنیتی در آن‌ها وجود دارد که همین امر بستر مناسبی را برای هکرها فراهم می‌کند.