چک لیست امنیتی ساده برای سایت های وردپرس

آیا می دانستید روزانه بیش از 100000 وب سایت هک می شوند؟ درست است، جرایم سایبری یک تهدید جدی برای هر شرکتی است و هرکسی که سایت وردپرسی داشته باشد نیز ایمن نیست. من با هکرها برخورد داشتم (و مجبور شدم سایت وردپرس خود را بازیابی کنم)، و شما احتمالاً می دانم که زشت بود.

هکرها فعالانه به دنبال وب‌سایت‌های آسیب‌پذیر برای شکستن و سرقت داده‌هایی هستند که می‌توانند برای سود پولی یا اهداف مخرب خالص منتشر کنند. برای محافظت از خود و سایت ارزشمندتان، باید به طور جدی به تقویت امنیت وردپرس خود فکر کنید.

با توجه به اینکه وقتی هکرها به وب سایت شما نفوذ می کنند، درآمد، زمان و تلاش خود را از دست خواهید داد، ما چک لیست امنیتی زیر را ایجاد کرده ایم که می توانید از آن برای ایمن سازی وب سایت وردپرس خود استفاده کنید. اجرای همه موارد امنیتی در پست حتی برای افرادی که اولین بار هستند نیز نسبتاً آسان است:

1. وردپرس را به‌روزرسانی کنید
2. به‌روزرسانی تم‌ها و افزونه‌ها
3. از گذرواژه‌های منحصربه‌فرد و قوی استفاده کنید
4. یک افزونه امنیتی وردپرس را نصب کنید
5. هاست وردپرس عالی را انتخاب کنید
6. از SSL (HTTPS)

استفاده کنید

7. یک نسخه پشتیبان کامل از سایت ایجاد کنید
8. از فایروال برنامه وب (WAF) استفاده کنید
9. غیرفعال کردن ویرایش فایل در مدیریت وردپرس
10. صفحه ورود خود را ایمن کنید
11. افزودن احراز هویت
12. خروج کاربران غیرفعال
13. برای بدافزار و مشکلات اسکن کنید
14. از VPN استفاده کنید

همان‌طور که می‌بینید، ما پست را به بخش‌های مختلفی تقسیم می‌کنیم که همه چیز را از انتخاب یک میزبان امن گرفته تا سخت‌تر کردن ناحیه مدیریت و سایر موارد را پوشش می‌دهد. شما باید برخی از وظایف امنیتی مانند به روز رسانی مضامین خود را به طور منظم تکرار کنید. سایر وظایف یک چیز یکباره هستند، اما هنوز هم تأثیر قابل توجهی در حفظ امنیت سایت شما دارند. آنچه را که باید اصلاح کنید بررسی کنید و فوراً این کار را انجام دهید زیرا هکرها نیز زمان را تلف نمی کنند.

1. وردپرس

را به روز کنید

هسته وردپرس به طور منظم مورد بازرسی و بررسی آسیب‌پذیری‌های امنیتی قرار می‌گیرد. اگر نقص ها و اشکالات امنیتی شناسایی شوند، توسعه دهندگان اصلی معمولاً به روز رسانی های تعمیر و نگهداری را منتشر می کنند. به روز رسانی های جزئی به طور خودکار در وب سایت وردپرس شما نصب می شوند.

با این حال، برای همه نسخه‌های اصلی باید وردپرس را به‌صورت دستی به‌روزرسانی کنید. این یک فرآیند نسبتاً مستقیم است زیرا شما یک پیام آزاردهنده در مدیر وردپرس خود دریافت می کنید. تنها 22 درصد از وب سایت ها بر روی آخرین نسخه وردپرس اجرا می شوند که با توجه به آسان بودن به روز رسانی آن ناراحت کننده است.

در 78 درصد باقیمانده قرار نگیرید زیرا اساساً با به‌روزرسانی نکردن وب‌سایت خود، سایت خود را در معرض انواع حملات قرار می‌دهید. معمولاً، هکرها اولین گروهی از افراد هستند که در مورد هر گونه آسیب پذیری در نسخه های قدیمی باخبر می شوند، زیرا آنها برای انجام حملات موفقیت آمیز روی نقص ها حساب می کنند.

قبل از به‌روزرسانی وردپرس توصیه می‌کنیم یادداشت‌های انتشار را بخوانید تا ببینید چه چیزی تغییر کرده است و یک نسخه پشتیبان تهیه کنید. از وب سایت شما (فقط برای ایمن بودن). به این ترتیب اکنون می‌بینید که وقتی روی دکمه به‌روزرسانی کلیک می‌کنید چه انتظاری داشته باشید، و اگر مشکلی پیش بیاید، یک خطای ایمن دارید.

2. تم ها و افزونه ها را به روز کنید

در حین به روز رسانی هسته وردپرس، فراموش نکنید که تم ها و افزونه های خود را نیز به روز کنید. هکرها به خصوص به تم ها و افزونه های قدیمی با حفره های امنیتی شناخته شده علاقه دارند.

آنها از این آسیب پذیری های امنیتی سوء استفاده می کنند و حتی ممکن است یک درب پشتی را در یک تم یا افزونه قدیمی پنهان کنند. اگر به‌روزرسانی نکنید، آن‌ها می‌توانند هر زمان که بخواهند وب‌سایت شما را هک کنند.

برای جلوگیری از از دست دادن سبک های سفارشی خود، توصیه می کنیم از طرح زمینه کودک وردپرس استفاده کنید. تم والدین به این ترتیب، هنگام به‌روزرسانی طرح زمینه، سفارشی‌سازی‌های خود را از دست نخواهید داد.

همچنین باید تم‌های غیرفعال، افزونه‌ها و نصب‌های بلااستفاده وردپرس را حذف کنید. نه تنها در پهنای باند صرفه جویی می کنید و وب سایت خود را سریعتر می کنید، بلکه هکرها را نیز در خلیج.

یک نکته سریع دیگر، هرگز مضامین و افزونه‌های ممتاز «ته‌شده» را دانلود نکنید. فقط با منابع قابل اعتماد مانند WordPress.org، Envato، یا دیگر فروشگاه های تم معتبر بروید.

3. از رمزهای عبور منحصر به فرد و قوی

استفاده کنید

تعجب خواهید کرد که بدانید اکثر وب سایت ها زمانی که افراد بد اطلاعات ورود شما را می دزدند هک می شوند. علاوه بر این، حملات brute force بسیار رایج هستند و شامل بمباران صفحه ورود به سیستم شما با هزاران ترکیب نام کاربری-گذرواژه می‌شوند تا زمانی که چیزی مشخص شود.

اگر از نام‌های کاربری و گذرواژه‌های ضعیف (مانند “admin” یا “12345” بدنام استفاده می‌کنید، نفوذ به وب‌سایت شما را برای هکرها بسیار آسان می‌کنید. به ایجاد رمزهای عبور منحصر به فرد و قوی عادت کنید که مرتباً آنها را تغییر می دهید. حتی می‌توانید از یک تولیدکننده آنلاین رایگان، مانند این از LastPass استفاده کنید.

مدیریت بسیاری از رمزهای عبور قوی می تواند مشکل ساز باشد. برای کمک، من اغلب به مدیران رمز عبور مانند 1Password یا LastPass و سایر موارد متکی هستم. از رمز عبور یکسان در چندین وب سایت استفاده مجدد نکنید و همیشه اطلاعات ورود خود را ایمن نگه دارید. اطمینان حاصل کنید که کاربران وردپرس شما نیز از رمزهای عبور قوی استفاده می کنند.

هنگامی که در آن هستید – به یاد داشته باشید که از رمزهای عبور قوی برای ایمیل، cPanel، پایگاه داده MySQL و حساب های FTP خود نیز استفاده کنید.

4. یک افزونه امنیتی وردپرس

را نصب کنید

هر وقت یک وب سایت وردپرس جدید ایجاد می کنم، معمولاً چندین پلاگین واقعی دارم که تقریباً به طور خودکار نصب می کنم. من یک افزونه ضد هرزنامه، فرم تماس 7، کدهای کوتاه ساده و Solid Security، افزونه امنیتی وردپرس من.

این افزونه به من این امکان را می دهد که دفاع وردپرس خود را بدون عرق کردن تقویت کنم. دارای ویژگی های بسیار زیادی است که باعث می شود افراد بد از وب سایت های من دور نشوند. پیکربندی افزونه بسیار ساده است. شما باید در کمترین زمان آماده باشید.

بهترین افزونه‌های امنیتی وردپرس ویژگی‌های مختلفی را به شما ارائه می‌دهند، بنابراین حتماً قبل از نصب بررسی کنید تا مطمئن شوید که همه ویژگی‌هایی را که برای ایمن کردن کل وب‌سایت خود نیاز دارید، بدون توجه به اینکه چقدر منحصربه‌فرد هستند، دریافت می‌کنید. ویژگی‌های استاندارد عبارتند از اسکن بدافزار، مسدود کردن IP، جلوگیری از brute-force، احراز هویت دو مرحله‌ای، و موارد دیگر – بررسی بسیاری از کادرهای این چک لیست امنیتی که در حال حاضر می‌خوانید!

5. میزبانی عالی وردپرس

را انتخاب کنید

معمولاً، مبتدیان اولین پکیج هاست ارزانی را که با آن مواجه می‌شوند، انتخاب می‌کنند. من آن را مخالف شما نمی‌دانم زیرا شما چیز بهتری نمی‌دانید، اما میزبانی مشترک ارزان قیمت (یا حتی رایگان) می‌تواند شما را در معرض خطرات امنیتی قرار دهد. من این را به درستی می دانم زیرا در دو شرکت میزبانی مختلف که میزبانی مشترک ارائه می دهند هک شده ام.

هاست اشتراکی شامل به اشتراک گذاری یک سرور با هزاران وب سایت دیگر است. این امر خطر آلودگی متقاطع را افزایش می دهد. یعنی یک هکر می تواند به سایت شما دسترسی پیدا کند حتی اگر وب سایت شخص دیگری نقطه اصلی حمله باشد.

هاست مدیریت شده وردپرس، از طرف دیگر، فقط بر روی وب سایت های وردپرس تمرکز دارد. شما سروری را با دیگران به اشتراک نمی گذارید و گزینه های امنیتی بیشتری برای ایمن ماندن دریافت می کنید. آنها پشتیبانی اختصاصی را نیز ارائه می‌دهند، و اگر بدترین اتفاق بیفتد، گزینه‌های بازیابی بیشتری را ارائه می‌دهند.

اگر باید از هاست اشتراکی استفاده کنید، بگویید با وبلاگی شروع می‌کنید که هنوز درآمدی ندارد، مطمئن شوید که سایت‌ها ایزوله شده‌اند یا «حبس شده‌اند». اگر یک وب‌سایت تجاری یا تجارت الکترونیک دارید، استفاده از بهترین میزبانی وردپرس که می‌توانید با بودجه خود متناسب باشید، سودمند است. کلمه go – مانند میزبانی VPS، اختصاصی یا مدیریت شده وردپرس.

6. از SSL (HTTPS)

استفاده کنید

امروزه، بسیاری از شرکت‌های میزبان وردپرس گواهینامه‌های رایگان SSL را از کلمه go و به دلایلی خوب ارائه می‌دهند. گواهینامه های SSL وب سایت شما را نسبت به سایت های بدون SSL ایمن تر می کند. Google همچنین استفاده از گواهی‌های SSL را برای محافظت از داده‌های وب‌سایت خود توصیه می‌کند (و مطمئن شوید که کاربران می‌دانند آیا از SSL استفاده می‌کنید یا نه).

HTTPS از HTTP قبلی ایمن تر است. وب‌سایتی که از HTTPS استفاده می‌کند، تمام داده‌هایی را که بین مرورگر کاربر و سرورهای شما حرکت می‌کند، رمزگذاری می‌کند. اگر هکری ارتباطات را رهگیری کند، فقط داده های رمزگذاری شده را پیدا می کند.

نصب گواهی‌های SSL در اکثر میزبان‌های وب به آسانی A، B، C است. اکثر نصب‌کننده‌های یک کلیکی ارائه می‌دهند که کل فرآیند را آسان می‌کند. به سادگی وارد cPanel خود شوید و روی یک دکمه کلیک کنید تا گواهینامه های SSL خود را نصب و مدیریت کنید. اگر رویکرد عملی تری می خواهید، بیایید رمزگذاری کنیم را بررسی کنید.

7. یک نسخه پشتیبان کامل از سایت

ایجاد کنید

وقتی هکرها من را از سلطنت خلع کردند، مجبور شدم وب‌سایت‌هایم را از ابتدا بازسازی کنم، سردردی که اگر مطمئناً پشتیبان گیری از وردپرس.

اما نه، پشتیبان‌هایی که با میزبان وب من بود در طول حمله خراب شدند، و نه، من راه‌حل ثانویه پشتیبان نداشتم. یک مورد کلاسیک از قرار دادن همه تخم مرغ های خود در یک سبد که درس سختی به من داد.

امروزه، من یک نسخه پشتیبان کامل از وب سایت ایجاد می کنم که شامل فایل ها و پایگاه داده های وب سایت من است. من عمدتاً از ManageWP استفاده می کنم، اما از افزونه Duplicator نیز استفاده می کنم. برای ذخیره نسخه پشتیبان در رایانه و در Google Drive.

من از شما می‌خواهم که به طور مرتب پشتیبان‌گیری کامل ایجاد کنید. بسیاری از راه‌حل‌های پشتیبان‌گیری وردپرس به شما این امکان را می‌دهند که کل فرآیند را خودکار کنید، در وقت شما صرفه‌جویی می‌کند و به شما آرامش می‌دهد.

8. از فایروال برنامه وب (WAF)

استفاده کنید

برای افزودن یک لایه امنیتی اضافی به سایت وردپرس خود و خواب بهتر در شب، فایروال برنامه وب (WAF) را فعال کنید. یک WAF از وب سایت شما با مسدود کردن ترافیک مخرب مدت ها قبل از ورود به سایت شما محافظت می کند. این یک اقدام پیشگیرانه برای جلوگیری از مرگ افراد بد در مسیر خود قبل از ایجاد هر گونه آسیب است.

فایروال ترافیک ورودی شما را فیلتر می کند و هکرها را حذف می کند و در عین حال به کاربران قانونی اجازه عبور می دهد. بسیاری از شرکت های امنیتی وردپرس، فایروال برنامه های وب را در کنار سایر ویژگی ها ارائه می دهند. گزینه های محبوب در صنعت عبارتند از Sucuri و Cloudflare.

9. غیرفعال کردن ویرایش فایل در ادمین وردپرس

CMS وردپرس دارای یک ویرایشگر کد فوق العاده است که به شما امکان می دهد فایل های افزونه و تم را در داشبورد مدیریت وردپرس خود ویرایش کنید. ویرایشگر کد یک ابزار عالی برای در اختیار داشتن است، اما در دستان اشتباه، هکرها می توانند از آن برای تخریب یا اضافه کردن بدافزار به وب سایت شما استفاده کنند.

همیشه می‌توانید فایل‌های تم و افزونه‌های خود را (در صورت نیاز) از طریق FTP یا مدیر فایل در cPanel ویرایش کنید، به این معنی که می‌توانید به طور کلی ویرایشگر کد را در وردپرس غیرفعال کنید. شما نمی خواهید هکرهایی که به بخش مدیریت وردپرس شما دسترسی دارند به ویرایشگر کد دسترسی داشته باشند، زیرا می توانند با چند خط کد آسیب زیادی وارد کنند.

چه باید کرد؟ می‌توانید ویرایشگر کد داخلی را با استفاده از افزونه رایگان Sucuri Security غیرفعال کنید. همچنین می‌توانید کد زیر را به فایل wp-config.php خود اضافه کنید:

// ویرایش فایل را مجاز نکنید
define('DISALLOW_FILE_EDIT'، true);

ما در حال حرکت هستیم.

10. صفحه ورود خود را ایمن کنید

معمولاً، فرم ورود در وردپرس شما دارای دو فیلد است. نام کاربری و رمز عبور. با توجه به اینکه مهاجمان و ربات‌ها روز به روز باهوش‌تر می‌شوند، چگونه می‌توانید از دسترسی هکرها به بخش مدیریت وردپرس خود جلوگیری کنید؟ ساده است؛ شما CAPTCHA یا سوالات امنیتی را اضافه می کنید که دسترسی غیرمجاز را برای هر کسی سخت تر می کند.

و برای افزودن CAPTCHA یا سوالات امنیتی به صفحه ورود خود نیازی به ویرایش کد ندارید. یک افزونه محبوب وردپرس معروف به WP Security Question وجود دارد که پیکربندی و استفاده از آن آسان است. اگر می‌خواهید از CAPTCHA استفاده کنید، می‌توانید از کاپچای ورود ساده، WordFence، یا یکی از بسیاری از گزینه های موجود به صورت رایگان در WordPress.org.

در همان زمان، می‌توانید نشانی اینترنتی wp-login خود را به چیزی منحصربفرد تغییر دهید. به این ترتیب، ربات‌ها و هکرها در تلاش برای حدس زدن URL صفحه ورود شما مشکل خواهند داشت. wp-login در حال حاضر در بین هکرها محبوب است، بنابراین تغییر URL به چیز دیگری کاملا منطقی است. می توانید از افزونه ای مانند WPS Hide Login استفاده کنید.

11. افزودن احراز هویت

به‌علاوه، اجرای احراز هویت دو مرحله‌ای و چند مرحله‌ای را در نظر بگیرید. در صورتی که یک هکر به جزئیات ورود شما دسترسی پیدا کند، نمی تواند وارد سایت وردپرس شما شود. گزینه های زیادی وجود دارد، اما Google Authenticator یک انتخاب محبوب است.

به غیر از آن، ورود به سیستم را در صفحه ورود خود محدود کنید. اگر یک بازدیدکننده می‌خواهد با حسابی وارد شود که وجود ندارد یا بارها سعی می‌کند وارد شود، به احتمال زیاد یک هکر یا رباتی است که می‌خواهد به‌صورت بی‌رحمانه وارد شود. می‌توانید از افزونه‌ای مانند محدود کردن تلاش برای ورود به سیستم یا Login Lockdown برای دور نگه داشتن این عناصر مزاحم.

12. خروج از سیستم کاربران غیرفعال

وقتی یک وب سایت وردپرس چند کاربره دارید، نمی توانید به طور کامل نحوه یا مکان دسترسی کاربران به وب سایت شما را کنترل کنید. یک نویسنده ممکن است تصمیم بگیرد از Wi-Fi عمومی رایگان برای انجام آخرین کارهای مقاله استفاده کند. یک طراح وب ممکن است میز خود را ترک کند و از یک استراحت یک ساعته ناهار برگردد.

در چنین سناریوهایی، کاربر شما ممکن است ناآگاهانه وب سایت شما را در معرض خطرات امنیتی قرار دهد. ممکن است یک فرد مخرب جلسه آنها را تصاحب کند، جزئیات آنها را ویرایش کند و به سادگی ویران کند. اگر طرف غیرمجاز بداند چه کاری انجام می‌دهد، می‌تواند به راحتی حساب کاربر را تصاحب کند و به آن آسیب برساند.

چه باید کرد؟ می توانید پس از یک دوره از پیش تعریف شده، کاربران غیرفعال را به طور خودکار از سیستم خارج کنید. و بهترین بخش؟ پلاگین هایی برای این منظور وجود دارد. یکی از گزینه های محبوب، افزونه خروج غیرفعال است که شامل گزینه هایی برای سفارشی کردن زمان بیکاری قبل از خروج، پیام بازشو سفارشی یا تغییر مسیر می باشد. خروج، و مهلت زمانی با توجه به نقش کاربر.

13. اسکن بدافزار و مشکلات (به طور منظم)

اغلب فراموش می شود، اسکن منظم وب سایت وردپرس خود می تواند به شما در شناسایی مشکلات امنیتی در مراحل اولیه کمک کند. فقط یک ثانیه طول می کشد تا یک هکر به وب سایت شما نفوذ کند و همه کارهای زشت را انجام دهد. دقیقاً به همین دلیل است که باید همیشه در راس امور قرار بگیرید.

بسیاری از امنیت وردپرس افزونه هایی برای اسکن بدافزار عفونت ها، آسیب پذیری های امنیتی شناخته شده، اسکریپت های قدیمی، brute حملات زور، پشتیبان‌گیری‌های موجود و غیره. افزونه ها گزارش های دقیقی در مورد مشکلات شناخته شده برای شما ارسال می کنند، بنابراین می توانید آنها را برطرف کنید یا یک متخصص استخدام کنید.

اسکنرهای وب سایت زیادی مانند Sucuri SiteCheck وجود دارد که می توانید از آنها برای بررسی سریع سایت خود استفاده کنید. تنها کاری که باید انجام دهید این است که URL خود را وارد کنید و ابزارها به طور خودکار وب سایت شما را بررسی می کنند. پس از آن، آنها به شما گزارشی از آنچه را که باید اصلاح کنید ارائه می دهند. پس از دریافت گزارش، فوراً تمام آسیب‌پذیری‌های امنیتی را برطرف کنید.

14. از VPN

استفاده کنید

اگر وب‌سایتی دارید که حاوی اطلاعات حساسی است که هرگز نباید در دست هکرها قرار گیرد، از یک شبکه خصوصی مجازی (VPN) استفاده کنید، بیشتر در هنگام استفاده از Wi-Fi عمومی رایگان. VPN از شما در برابر حملات Man-in-Middle که در شبکه های عمومی رایج است، از جمله در خانه و محل کار محافظت می کند.

یک شبکه خصوصی مجازی تضمین می کند که حتی اگر مهاجمان به سیستم دسترسی پیدا کنند و اطلاعات شما را بدزدند، نمی توانند با داده هایی که از شما می گیرند کاری انجام دهند. اگر یک شبکه اینترنتی دارید که با افراد زیادی به اشتراک می گذارید، همیشه قبل از دسترسی به بخش مدیریت وردپرس خود از VPN استفاده کنید.

گزینه های امنیتی دیگر وردپرس

به کارهای بیشتری نیاز دارید؟ ما دوست داریم وب سایت شما را همیشه ایمن نگه داریم، بنابراین موارد امنیتی اضافی را در اینجا به چک لیست خود اضافه کنید:

• غیرفعال کردن اجرای فایل PHP در /wp-content/wp-uploads/
• پیوند پایگاه داده وردپرس خود را تغییر دهید
• گذرواژه از صفحه‌های مدیریت و ورود به سیستم در سمت سرور محافظت می‌کند
• غیرفعال کردن نمایه سازی دایرکتوری
• در صورت عدم نیاز، WP REST API و XML-RPC را غیرفعال کنید
• هسته وردپرس را ویرایش یا تغییر ندهید – بجای آن افزونه ای بنویسید یا از آن استفاده کنید که عملکرد مورد نیاز شما را ارائه دهد
• اطمینان حاصل کنید که وب سایت شما آخرین نسخه PHP را اجرا می کند
• از یک برنامه آنتی ویروس در رایانه خود استفاده کنید
• کنسول جستجوی Google را فعال کنید
• آسیب‌پذیری‌های XSS و SQL Injection را کاهش دهید (ممکن است برای کمک به این دو به یک فرد با فن‌آوری بیشتر نیاز داشته باشید)

در واقع، تعداد اقداماتی که می توانید برای محافظت از سایت خود بردارید بی پایان است. اما اگر بتوانید 14 موردی که فهرست کرده‌ایم را بررسی کنید، گام بزرگی برای ایمن کردن سایت شما خواهد بود.

---

ایمن سازی وب سایت وردپرس شما چالش برانگیز است اما غیرممکن نیست. با ابزارها و مهارت‌های مناسب، می‌توانید به سرعت امنیت وردپرس خود را تقویت کنید و عوامل بد را دور نگه دارید.

به عنوان خلاصه، همیشه وب سایت خود را به روز نگه دارید. علاوه بر این، هرگز تم ها یا پلاگین ها را از سایت های غیر قابل اعتماد دانلود نکنید. و برای ایمن بودن در صورت وقوع بدترین اتفاق، همیشه یک راه حل پشتیبان قابل اعتماد در محل خود داشته باشید.

امیدواریم تمام نکاتی را که برای ایمن سازی وب سایت وردپرس خود و در نتیجه کسب و کار آنلاین نیاز دارید، یافته باشید. اگر سوالی دارید یا به کمک نیاز دارید که چگونه وب سایت وردپرس خود را ایمن کنید، لطفاً در نظرات با ما در میان بگذارید. ایمن بمانید!