راهنمای امنیت وردپرس – گام به گام (2020)
فهرست مطالب
- 1
- 2 جدیدترین شیوههای تامین امنیت وردپرس که نباید از آن غافل شد!!
- 3
- 4
- 5
- 6 چرا امنیت وبسایت مهم است؟
- 7
- 8
- 9
- 10 افزایش امنیت وردپرس در صفحهی ورود به پیشخوان
- 11 حتماً مطلع هستید که صفحه ورود هریک از سیستمهای مدیریت محتوا، بهصورت پیشفرض نام خاصی برای خود دارند. صفحهی ورود پیشفرض وردپرس wp-login.php است که خود این مسئله سبب میشود که امکان دسترسی به آن راحتتر و ورود هکرها به سایت آسانتر شود.
- 12
- 13
- 14 نکات امنیتی مهم برای انتخاب رمز
- 15 سطح دانش خود را افزایش دهید.
- 16
- 17 بروز رسانی منظم وردپرس، قالب و پلاگینها
- 18 تغییر نام کاربری Admin
- 19 استفاده از گواهینامه SSL
- 20 حفاظت برای محتوا و کاربران
- 21 بهبود ترافیک سایت و کیفیت امنیت وردپرس
- 22 امنیت وردپرس توام با اعتماد عمومی و اعتبار وبسایت
- 23 محبوبیت و نفوذ Google
- 24 تهیه نسخه پشتیبان یا بکاپ از سایت
- 25 تهیه هاست امن و مطمئن
- 26 از قالبها و افزونههای کرک شده پرهیز کنید!
جدیدترین شیوههای تامین امنیت وردپرس که نباید از آن غافل شد!!
امنیت وردپرس یک موضوع مهم برای هر صاحب وبسایتی است. هر هفته، گوگل فهرست سیاهی (blacklists) از 20،000 وبسایت که به بدافزار آلوده شدهاند و حدود 50،000 مورد را برای فیشینگ منتشر میکند.
اگر شما در مورد وبسایت خود جدی هستید و به امنیت آن فکر میکنید، باید به بهترین شیوههای امنیتی وردپرس توجه داشته باشید. در این راهنما، ما تمام نکات امنیتی برتر وردپرس را برای محاظت از وبسایت شما در برابر هکرها و بدافزارها، به اشتراک خواهیم گذاشت.
در حالیکه هسته اصلی نرمافزار وردپرس بسیار امن است و صدها توسعهدهنده آن را به طور مرتب بررسی میکنند، اما روشهای بسیاری وجود دارد که می تواند انجام شود تا وبسایت وردپرسی شما امنتر شود.
ما معتقدیم که مقوله امنیت، صرفاً در مورد رفع خطر نیست، بلکه در مورد کاهش خطر نیز صدق میکند. به عنوان یک صاحب وبسایت، برای ارتقای امنیت وردپرس خود (حتی اگر طرز تفکر شما به این مسئله تکنیکی و هوشمندانه نیست) میتوانید کارهای زیادی انجام دهید.
در اینجا ما تعدادی از اقدامات و گامهای عملی که میتوانید برای بهبود امنیت وردپرس خود انجام دهید، آوردهایم.
چرا امنیت وبسایت مهم است؟
سایت وردپرس هکشده میتواند باعث آسیب جدی به درآمد کسبوکار و شهرت شما شود. هکرها میتوانند اطلاعات کاربر، رمزهای عبور، نصب نرمافزارهای مخرب را سرقت کنند و حتی میتوانند نرمافزارهای مخرب را به کاربران خود توزیع کنند.
مراقب باجافزارها باشید. باجافزارها نوعی از بدافزارهای مخرب هستند که به سیستمهای رایانهای (کامپیوتر – لپتاپ – تلفن همراه و …) قربانی حمله کرده و دسترسی کاربر به اطلاعاتش را از بین میبرند و در ازای باز کردن دسترسی، درخواست پرداخت مبلغ به حساب طراح باج افزار میکنند.
افزایش امنیت وردپرس در صفحهی ورود به پیشخوان
حتماً مطلع هستید که صفحه ورود هریک از سیستمهای مدیریت محتوا، بهصورت پیشفرض نام خاصی برای خود دارند. صفحهی ورود پیشفرض وردپرس wp-login.php است که خود این مسئله سبب میشود که امکان دسترسی به آن راحتتر و ورود هکرها به سایت آسانتر شود.
برای جلوگیری از این مشکل از افزونه امنیتی Stealth Login Page استفاده کنید. کار مهم این افزونه این است که با نصب آن شما بخشی تحت عنوان «ورود مخفیانه» در زیر منوی تنظیمات پیشخوان وردپرس خواهید داشت و با انجام تنظیمات آن، در هنگام ورود به پنل مدیریت سایت، علاوهبر یوزرنیم و پسورد گزینه کد کاربری را مشاهده خواهید کرد که حتماً باید آن را وراد کنید در غیر این صورت اجازه راه یافتن به قسمت مدیریت را نخواهید داشت هرچند که پسورد را درست وارد کرده باشید. با این راهکار امنیتی دسترسی به سایت شما سختتر و امنیت وردپرس شما تا حد قابل توجهی حفظ میشود.
نکات امنیتی مهم برای انتخاب رمز
در انتخاب کمله رمز نهایت دقت را داشته باشید و از کلماتی که به راحتی حدس زده میشوند (مانند نام سایت)، استفاده نکنید. حتماً از ترکیب حروف انگلیسی کوچک و بزرگ، اعداد و کاراکترهایی مثل *، &، @ و … استفاده کنید. برای ساخت یک رمز قوی میتواید در قسمت انتخاب رمز عبور، میزان قدرت را مشاهده کنید و یا از سایتهای ساخت رمز عبور قوی استفاده کنید.
برنامههای مدیریت رمز نیز در این زمینه به شما کمک خواهند کرد. راهکار دیگری که میتوانیم به شما معرفی کنیم این است که در مرورگر خود با ایمیلتان اکانت یا حساب کاربری بسازید و رمزهای خود را آنجا ذخیره کنید.
در ابتدا شما را با نوعی از حملات کرکینگ (Cracking) به نام بروت فورس (Brute Force) که یکی از متداولترین حملات برای دستیابی به پسوردها است آشنا میکنیم. این حمله با ارسال هزاران یوزنیم و پسورد بر روی صفحه لاگین وب سایتها، ایمیلها و انواع صفحاتی که برای ورود به اکانت هستند، شکل میگیرد و هکر با این روش تمام عبارتهای ممکن را مورد بررسی قرار میدهد تا پسورد شما را حدس بزند. برای همین است که تاکید میکنیم که پسوردهای قوی و پیچیده انتخاب کنید تا احتمال موفقیت هکرها را تا جای ممکن کاهش دهید.
سطح دانش خود را افزایش دهید.
پیشنهاد ما به مدیران وبسایتها و کسانی که دارای رمز عبور و نام کاربری مهم در وبسایتی هستند این است که سطح دانش و معلومات خود را در این زمنیه افزایش دهند تا با شناخت این حملات و مقابله با آنها وبسایت ایمنتری داشته باشند. یکی از مواردی که میتوان به آن اشاره کرد و از اهمیت بالایی برخوردار است، محدود کردن تعداد دفعات ورود کاربران است تا پس از چند بار ورود ناموفق دیگر نتواند از یک آدرس خاص استفاده کند.
افزونههای متعددی برای این کار وجود دارد پلاگین All In One WP Security And Firewall یکی از بهترین پلاگینهای امنیتی 2018 است که این مشکل را به آسانی برای شما رفع میکند.
بروز رسانی منظم وردپرس، قالب و پلاگینها
همانطور که میدانید نرمافزار مدیریت محتوای وردپرس رایگان است و توسط جامعهای از توسعه دهندگان، توسعه یافته است. با هر نسخه جدید، آنها مشکلات و نواقص را رفع میکنند، ویژگیهای جدیدی را به آن اضافه میکنند، عملکردها و کارایی آن را بهبود میبخشند و ویژگیهای موجود را تقویت میکنند تا با استانداردهای جدید، بروز شود.
بنابراین مادامی که سایت وردپرسی خود را به روز نکنید، سرعت و امنیت وردپرس شما در معرض خطر قرار میگیرید و از بهبودها و ویژگیهای جدید عقب میماند.
شما همیشه باید وردپرس را به آخرین نسخه آن ارتقا دهید. هنگامی که یک نسخه جدید از وردپرس در دسترس است، یک پیام بروز رسانی در صفحه مدیریت وردپرس خود دریافت خواهید کرد. با کلیک روی لینک آن به سادگی وردپرس خود را آپدیت کنید.
تغییر نام کاربری Admin
یک اقدام امنیتی عالی برای جلوگیری از دسترسی غیرمجاز به داشبورد مدیریت وردپرس شما تغییر یا استفاده از کلمه کاربری امن و مطمئن است. این کار برای محافظت در برابر نیروی بیرحم حملات بروت فورس نیز اقدام درست و عاقلانهای خواهد بود.
استفاده از گواهینامه SSL
شاید بپرسید SSL چیست و اصلاً استفاده از آن چه ضرورتی دارد. گواهینامه بینالمللی SSL (Socket Secure Layer Certificates)، یک پروتکل امنیتی استاندارد است که گواهینامه آن از سوی چند شرکت معتبر و خاص به وبسایتها داده میشود.
کاربرد اصلی SSL این است که اطلاعاتی که در بستر نا امن اینترنت بین کاربران و سایتها رد و بدل میشود را توسط الگوریتمهای پیشرفته رمزنگاری (Encryption) میکند. این رمزنگاری به شکلی انجام میشود که اگر هکرها در بین راه به اطلاعات شما دسترسی پیدا کردند، نتوانند اطلاعات اصلی را مشاهده کنند و تشخیص دهند.
وقتی بازدیدکنندگان با وبسایتهایی روبرو میشوند که با گواهینامه SSL ایمنی شدهاند، یک علامت قفل بسته شده و عبارت https:// در آدرس URL نمایش داده خواهد شد. این بدین معنی است که این سایت از امنیت بالایی برخوردار است در نتیجه اعتماد بیشتری نسبت به آن و صاحب وبسایت پیدا میکنند.
بنابراین اگر امنیت وردپرس و سایتتان برایتان مهم است، به فکر تهییه لایسنس SSL باشید. در این زمنیه نیز میتوانید از افزونه Really Simple SSL استفاده و این لایسنس را به راحتی برای سایت خود فعال کنید.
علاوهبر نکات فوق، دلایل زیر ضرورت استفاده از لایسنس امنیتی SSL را دوچندان میکند. این موارد را به دقت مطالعه کنید.
حفاظت برای محتوا و کاربران
حتی اگر وبسایت شما هیچ مدرک یا دادههای کاربری برای محافظت ندارد، باز هم باید از محتوای خود برای جلوگیری از هک شدن، محافظت کنید. همچنین باید نگران حفظ حریم خصوصی کاربران خود باشید زیرا هکرها هنوز هم میتوانند شما را مورد هدف قرار دهند.
ارتقا وبسایت استاتیک به پروتوکل امنیتی HTTPS ارتباط بین وبسایت شما و مرورگر بازدیدکننده شما را رمزگذاری میکند. داشتن SSL نیز به شما اطمینان میدهد که کد منبع شما دست نخورده است و از دست هکرهای مزاحم در امان هستید.
بهبود ترافیک سایت و کیفیت امنیت وردپرس
اگر شما دنبال افزایش ترافیک سایت خود هستید، گواهی SSL مطمئناً میتواند به یاری شما بیاید. گوگل در سال 2014 به حمایت و طرفداری از وبسایتهایی که از HTTPS استفاده میکنند آمد و در جستجوهای وب به آنها کمک شایانی کرد.
ارتقاء به HTTPS همچنین میتواند دادههای Google Analytics شما را بهبود بخشد؛ زیرا این امر به شما اجازه میدهد لینکهای ورودی از وبسایتهای HTTPS را اضافه کنید.
امنیت وردپرس توام با اعتماد عمومی و اعتبار وبسایت
تغییرات جدید الگوریتمهای گوگل که در حال پیادهسازی است مطمئناً شهرت وبسایت شما را تحت تاثیر قرار میدهد.
اگر شما دارای یک وبلاگ مشاوره حقوقی یا یک وبسایت آموزشی هستید، نشانگر «Not Secure» در نوار آدرس شما، جلوه و صورت خوشی برای نام تجاری شما نخواهد داشت.
مطالعات انجام شده در این زمینه نشان داده که 9 نفر از 10 کاربر به طور غریزی به وبسایتهایی با شاخصهای امنیتی اعتماد بیشتری دارند، همان شاخصهایی که وبسایت شما هنگام دریافت گواهی SSL اخذ میکند. بنابراین این موضوع مهمی است که باید در مورد آن کمی بیشتر فکر کنید.
محبوبیت و نفوذ Google
از سال 2016، مرورگر Google Chrome توسط بیش از 2 میلیارد کاربر فعال (از طریق رایانهها و گوشیهای هوشمند خود) در سراسر جهان مورد استفاده قرار گرفته است.
چه شما موافق این موضوع باشید یا خیر، جای تعجب نیست که وبسایت شما با استفاده از مرورگر کروم، احتمالاً بیشتر مشاهده خواهد شد.
استفاده از SSL لزوماً تنها به نفع گوگل نیست. با انتخاب اینکه با ابتکار گوگل همکاری نکنید، حتماً اعتماد کاربران خود را از دست خواهید داد. بنابراین اگر شما هم با این ابتکار و مزیت بزرگ گوگل همراه باشید امنیت قابل توجهی را به سایت خود و مشتریانتان هدیه خواهید داد.
تهیه نسخه پشتیبان یا بکاپ از سایت
این روزها مدیریت سایت کار راحتی شده اما این بدین معنی است که شما هرگز دچار اشتباه نمیشوید. وب سایت شما میتواند هک شود، ممکن است پس از بروز رسانی، دچار وقفه شود و یا یا بعضی مواقع پیش میآید که فایلهای مهم را به اشتباه حذف کنید و …
تهیه یک نسخه پشتیبان همه نگرانی شما را برای مشکلاتی که اشاره کردیم برطرف میکند. پس همیشه یک نسخه پشتیبان از سایت وردپرسی خود داشته باشید و آن را در مقابل حوادث مختلف بیمه و امنیت وردپرس خود را افزایش دهید. با افزونه All-in-One WP Migration به راحتی و در عرض چند دقیقه از سایت خود بکاپ بگیرید.
تهیه هاست امن و مطمئن
برای تهییه یک هاست مناسب و امن نکات بسیار مهمی وجود دارد که حتماً باید قبل از خرید به آن توجه کنید. همیشه شرکت هاستینگی (ارائهدهندگان خدمات میزبانی وب) را انتخاب کنید که کنترل پنل امن و آسانی را در اختیار شما بگذارد تا استفاده و کار با آن برایتان آسان باشد، خدمات پشتیبانی با کیفیت و منظمی (7/24) را به شما ارائه دهد و از اطلاعات شما به بهترین شکل ممکن محافظت کند.
هرگز سراغ هاستهای ارزان قیمت نروید چراکه کیفیت مناسبی ندارند و نمیتوانند میزبان خوبی برای ترافیک بالای سایت شما باشند و با اختلالات لحظهای اعتبار سایت و کسبوکار شما را به خطر میاندازند.
این شرکتها علاوهبر اینکه شلوغی داخل سرورهایشان زیاد است از سختافزارهای ضعیف و سرورهای مجازی استفاده میکنند و به دلیل اینکه میزبانی وبسایتهای زیادی را برعهده دارند مشکلات متعددی برای کاربران هاست ایجاد میکنند.
از قالبها و افزونههای کرک شده پرهیز کنید!
همانطور که میدانید وبسایتهایی که با سیستم مدیریت محتوا (CMS) مانند وردپرس ساخته شدهاند نیاز به نصب قالب دارند. در واقع تم یا قالب است که ظاهر اصلی سایت شما را نمایان میسازد، بنابراین باید به قدری جذاب باشد تا کاربران سایت شما را شیفته خود کند و روی مارکت و خدماتی که ارائه میدهید، تاثیر مثبتی بگذارد.
قالبهای پرمیوم (ورژن پولی) گران هستند و نسخههای رایگان جذاب و کارآمد نیستند. هنگام تهیه قالب و افزونههای مختلف برای سایت خود توجه داشته باشید نسخه اصل آن را خریداری کنید. چون نسخههای کرک یا به اصطلاح نال (null) شده که به وفور و به صورت غیرقانونی در اینترنت وجود دارد به کدهای مخرب آلوده هستند، بروز نبوده و حفرههای امنیتی در آنها وجود دارد که همین امر بستر مناسبی را برای هکرها فراهم میکند.
دیدگاهتان را بنویسید