چک لیست امنیتی ساده برای سایت های وردپرس
چک لیست امنیتی ساده برای سایت های وردپرس
آیا می دانستید روزانه بیش از 100000 وب سایت هک می شوند؟ درست است، جرایم سایبری یک تهدید جدی برای هر شرکتی است و هرکسی که سایت وردپرسی داشته باشد نیز ایمن نیست. من با هکرها برخورد داشتم (و مجبور شدم سایت وردپرس خود را بازیابی کنم)، و شما احتمالاً می دانم که زشت بود.
هکرها فعالانه به دنبال وبسایتهای آسیبپذیر برای شکستن و سرقت دادههایی هستند که میتوانند برای سود پولی یا اهداف مخرب خالص منتشر کنند. برای محافظت از خود و سایت ارزشمندتان، باید به طور جدی به تقویت امنیت وردپرس خود فکر کنید.
با توجه به اینکه وقتی هکرها به وب سایت شما نفوذ می کنند، درآمد، زمان و تلاش خود را از دست خواهید داد، ما چک لیست امنیتی زیر را ایجاد کرده ایم که می توانید از آن برای ایمن سازی وب سایت وردپرس خود استفاده کنید. اجرای همه موارد امنیتی در پست حتی برای افرادی که اولین بار هستند نیز نسبتاً آسان است:
- وردپرس را بهروزرسانی کنید
- بهروزرسانی تمها و افزونهها
- از گذرواژههای منحصربهفرد و قوی استفاده کنید
- یک افزونه امنیتی وردپرس را نصب کنید
- هاست وردپرس عالی را انتخاب کنید
- از SSL (HTTPS)
- یک نسخه پشتیبان کامل از سایت ایجاد کنید
- از فایروال برنامه وب (WAF) استفاده کنید
- غیرفعال کردن ویرایش فایل در مدیریت وردپرس
- صفحه ورود خود را ایمن کنید
- افزودن احراز هویت
- خروج کاربران غیرفعال
- برای بدافزار و مشکلات اسکن کنید
- از VPN استفاده کنید
استفاده کنید
همانطور که میبینید، ما پست را به بخشهای مختلفی تقسیم میکنیم که همه چیز را از انتخاب یک میزبان امن گرفته تا سختتر کردن ناحیه مدیریت و سایر موارد را پوشش میدهد. شما باید برخی از وظایف امنیتی مانند به روز رسانی مضامین خود را به طور منظم تکرار کنید. سایر وظایف یک چیز یکباره هستند، اما هنوز هم تأثیر قابل توجهی در حفظ امنیت سایت شما دارند. آنچه را که باید اصلاح کنید بررسی کنید و فوراً این کار را انجام دهید زیرا هکرها نیز زمان را تلف نمی کنند.
1. وردپرس
را به روز کنید
هسته وردپرس به طور منظم مورد بازرسی و بررسی آسیبپذیریهای امنیتی قرار میگیرد. اگر نقص ها و اشکالات امنیتی شناسایی شوند، توسعه دهندگان اصلی معمولاً به روز رسانی های تعمیر و نگهداری را منتشر می کنند. به روز رسانی های جزئی به طور خودکار در وب سایت وردپرس شما نصب می شوند.
با این حال، برای همه نسخههای اصلی باید وردپرس را بهصورت دستی بهروزرسانی کنید. این یک فرآیند نسبتاً مستقیم است زیرا شما یک پیام آزاردهنده در مدیر وردپرس خود دریافت می کنید. تنها 22 درصد از وب سایت ها بر روی آخرین نسخه وردپرس اجرا می شوند که با توجه به آسان بودن به روز رسانی آن ناراحت کننده است.
در 78 درصد باقیمانده قرار نگیرید زیرا اساساً با بهروزرسانی نکردن وبسایت خود، سایت خود را در معرض انواع حملات قرار میدهید. معمولاً، هکرها اولین گروهی از افراد هستند که در مورد هر گونه آسیب پذیری در نسخه های قدیمی باخبر می شوند، زیرا آنها برای انجام حملات موفقیت آمیز روی نقص ها حساب می کنند.
قبل از بهروزرسانی وردپرس توصیه میکنیم یادداشتهای انتشار را بخوانید تا ببینید چه چیزی تغییر کرده است و یک نسخه پشتیبان تهیه کنید. از وب سایت شما (فقط برای ایمن بودن). به این ترتیب اکنون میبینید که وقتی روی دکمه بهروزرسانی کلیک میکنید چه انتظاری داشته باشید، و اگر مشکلی پیش بیاید، یک خطای ایمن دارید.
2. تم ها و افزونه ها را به روز کنید
در حین به روز رسانی هسته وردپرس، فراموش نکنید که تم ها و افزونه های خود را نیز به روز کنید. هکرها به خصوص به تم ها و افزونه های قدیمی با حفره های امنیتی شناخته شده علاقه دارند.
آنها از این آسیب پذیری های امنیتی سوء استفاده می کنند و حتی ممکن است یک درب پشتی را در یک تم یا افزونه قدیمی پنهان کنند. اگر بهروزرسانی نکنید، آنها میتوانند هر زمان که بخواهند وبسایت شما را هک کنند.
برای جلوگیری از از دست دادن سبک های سفارشی خود، توصیه می کنیم از طرح زمینه کودک وردپرس استفاده کنید. تم والدین به این ترتیب، هنگام بهروزرسانی طرح زمینه، سفارشیسازیهای خود را از دست نخواهید داد.
همچنین باید تمهای غیرفعال، افزونهها و نصبهای بلااستفاده وردپرس را حذف کنید. نه تنها در پهنای باند صرفه جویی می کنید و وب سایت خود را سریعتر می کنید، بلکه هکرها را نیز در خلیج.
یک نکته سریع دیگر، هرگز مضامین و افزونههای ممتاز «تهشده» را دانلود نکنید. فقط با منابع قابل اعتماد مانند WordPress.org، Envato، یا دیگر فروشگاه های تم معتبر بروید.
3. از رمزهای عبور منحصر به فرد و قوی
استفاده کنید
تعجب خواهید کرد که بدانید اکثر وب سایت ها زمانی که افراد بد اطلاعات ورود شما را می دزدند هک می شوند. علاوه بر این، حملات brute force بسیار رایج هستند و شامل بمباران صفحه ورود به سیستم شما با هزاران ترکیب نام کاربری-گذرواژه میشوند تا زمانی که چیزی مشخص شود.
اگر از نامهای کاربری و گذرواژههای ضعیف (مانند “admin” یا “12345” بدنام استفاده میکنید، نفوذ به وبسایت شما را برای هکرها بسیار آسان میکنید. به ایجاد رمزهای عبور منحصر به فرد و قوی عادت کنید که مرتباً آنها را تغییر می دهید. حتی میتوانید از یک تولیدکننده آنلاین رایگان، مانند این از LastPass استفاده کنید.
مدیریت بسیاری از رمزهای عبور قوی می تواند مشکل ساز باشد. برای کمک، من اغلب به مدیران رمز عبور مانند 1Password یا LastPass و سایر موارد متکی هستم. از رمز عبور یکسان در چندین وب سایت استفاده مجدد نکنید و همیشه اطلاعات ورود خود را ایمن نگه دارید. اطمینان حاصل کنید که کاربران وردپرس شما نیز از رمزهای عبور قوی استفاده می کنند.
هنگامی که در آن هستید – به یاد داشته باشید که از رمزهای عبور قوی برای ایمیل، cPanel، پایگاه داده MySQL و حساب های FTP خود نیز استفاده کنید.
4. یک افزونه امنیتی وردپرس
را نصب کنید
هر وقت یک وب سایت وردپرس جدید ایجاد می کنم، معمولاً چندین پلاگین واقعی دارم که تقریباً به طور خودکار نصب می کنم. من یک افزونه ضد هرزنامه، فرم تماس 7، کدهای کوتاه ساده و Solid Security، افزونه امنیتی وردپرس من.
این افزونه به من این امکان را می دهد که دفاع وردپرس خود را بدون عرق کردن تقویت کنم. دارای ویژگی های بسیار زیادی است که باعث می شود افراد بد از وب سایت های من دور نشوند. پیکربندی افزونه بسیار ساده است. شما باید در کمترین زمان آماده باشید.
بهترین افزونههای امنیتی وردپرس ویژگیهای مختلفی را به شما ارائه میدهند، بنابراین حتماً قبل از نصب بررسی کنید تا مطمئن شوید که همه ویژگیهایی را که برای ایمن کردن کل وبسایت خود نیاز دارید، بدون توجه به اینکه چقدر منحصربهفرد هستند، دریافت میکنید. ویژگیهای استاندارد عبارتند از اسکن بدافزار، مسدود کردن IP، جلوگیری از brute-force، احراز هویت دو مرحلهای، و موارد دیگر – بررسی بسیاری از کادرهای این چک لیست امنیتی که در حال حاضر میخوانید!
5. میزبانی عالی وردپرس
را انتخاب کنید
معمولاً، مبتدیان اولین پکیج هاست ارزانی را که با آن مواجه میشوند، انتخاب میکنند. من آن را مخالف شما نمیدانم زیرا شما چیز بهتری نمیدانید، اما میزبانی مشترک ارزان قیمت (یا حتی رایگان) میتواند شما را در معرض خطرات امنیتی قرار دهد. من این را به درستی می دانم زیرا در دو شرکت میزبانی مختلف که میزبانی مشترک ارائه می دهند هک شده ام.
هاست اشتراکی شامل به اشتراک گذاری یک سرور با هزاران وب سایت دیگر است. این امر خطر آلودگی متقاطع را افزایش می دهد. یعنی یک هکر می تواند به سایت شما دسترسی پیدا کند حتی اگر وب سایت شخص دیگری نقطه اصلی حمله باشد.
هاست مدیریت شده وردپرس، از طرف دیگر، فقط بر روی وب سایت های وردپرس تمرکز دارد. شما سروری را با دیگران به اشتراک نمی گذارید و گزینه های امنیتی بیشتری برای ایمن ماندن دریافت می کنید. آنها پشتیبانی اختصاصی را نیز ارائه میدهند، و اگر بدترین اتفاق بیفتد، گزینههای بازیابی بیشتری را ارائه میدهند.
اگر باید از هاست اشتراکی استفاده کنید، بگویید با وبلاگی شروع میکنید که هنوز درآمدی ندارد، مطمئن شوید که سایتها ایزوله شدهاند یا «حبس شدهاند». اگر یک وبسایت تجاری یا تجارت الکترونیک دارید، استفاده از بهترین میزبانی وردپرس که میتوانید با بودجه خود متناسب باشید، سودمند است. کلمه go – مانند میزبانی VPS، اختصاصی یا مدیریت شده وردپرس.
6. از SSL (HTTPS)
استفاده کنید
امروزه، بسیاری از شرکتهای میزبان وردپرس گواهینامههای رایگان SSL را از کلمه go و به دلایلی خوب ارائه میدهند. گواهینامه های SSL وب سایت شما را نسبت به سایت های بدون SSL ایمن تر می کند. Google همچنین استفاده از گواهیهای SSL را برای محافظت از دادههای وبسایت خود توصیه میکند (و مطمئن شوید که کاربران میدانند آیا از SSL استفاده میکنید یا نه).
HTTPS از HTTP قبلی ایمن تر است. وبسایتی که از HTTPS استفاده میکند، تمام دادههایی را که بین مرورگر کاربر و سرورهای شما حرکت میکند، رمزگذاری میکند. اگر هکری ارتباطات را رهگیری کند، فقط داده های رمزگذاری شده را پیدا می کند.
نصب گواهیهای SSL در اکثر میزبانهای وب به آسانی A، B، C است. اکثر نصبکنندههای یک کلیکی ارائه میدهند که کل فرآیند را آسان میکند. به سادگی وارد cPanel خود شوید و روی یک دکمه کلیک کنید تا گواهینامه های SSL خود را نصب و مدیریت کنید. اگر رویکرد عملی تری می خواهید، بیایید رمزگذاری کنیم را بررسی کنید.
7. یک نسخه پشتیبان کامل از سایت
ایجاد کنید
وقتی هکرها من را از سلطنت خلع کردند، مجبور شدم وبسایتهایم را از ابتدا بازسازی کنم، سردردی که اگر مطمئناً پشتیبان گیری از وردپرس.
اما نه، پشتیبانهایی که با میزبان وب من بود در طول حمله خراب شدند، و نه، من راهحل ثانویه پشتیبان نداشتم. یک مورد کلاسیک از قرار دادن همه تخم مرغ های خود در یک سبد که درس سختی به من داد.
امروزه، من یک نسخه پشتیبان کامل از وب سایت ایجاد می کنم که شامل فایل ها و پایگاه داده های وب سایت من است. من عمدتاً از ManageWP استفاده می کنم، اما از افزونه Duplicator نیز استفاده می کنم. برای ذخیره نسخه پشتیبان در رایانه و در Google Drive.
من از شما میخواهم که به طور مرتب پشتیبانگیری کامل ایجاد کنید. بسیاری از راهحلهای پشتیبانگیری وردپرس به شما این امکان را میدهند که کل فرآیند را خودکار کنید، در وقت شما صرفهجویی میکند و به شما آرامش میدهد.
8. از فایروال برنامه وب (WAF)
استفاده کنید
برای افزودن یک لایه امنیتی اضافی به سایت وردپرس خود و خواب بهتر در شب، فایروال برنامه وب (WAF) را فعال کنید. یک WAF از وب سایت شما با مسدود کردن ترافیک مخرب مدت ها قبل از ورود به سایت شما محافظت می کند. این یک اقدام پیشگیرانه برای جلوگیری از مرگ افراد بد در مسیر خود قبل از ایجاد هر گونه آسیب است.
فایروال ترافیک ورودی شما را فیلتر می کند و هکرها را حذف می کند و در عین حال به کاربران قانونی اجازه عبور می دهد. بسیاری از شرکت های امنیتی وردپرس، فایروال برنامه های وب را در کنار سایر ویژگی ها ارائه می دهند. گزینه های محبوب در صنعت عبارتند از Sucuri و Cloudflare.
9. غیرفعال کردن ویرایش فایل در ادمین وردپرس
CMS وردپرس دارای یک ویرایشگر کد فوق العاده است که به شما امکان می دهد فایل های افزونه و تم را در داشبورد مدیریت وردپرس خود ویرایش کنید. ویرایشگر کد یک ابزار عالی برای در اختیار داشتن است، اما در دستان اشتباه، هکرها می توانند از آن برای تخریب یا اضافه کردن بدافزار به وب سایت شما استفاده کنند.
همیشه میتوانید فایلهای تم و افزونههای خود را (در صورت نیاز) از طریق FTP یا مدیر فایل در cPanel ویرایش کنید، به این معنی که میتوانید به طور کلی ویرایشگر کد را در وردپرس غیرفعال کنید. شما نمی خواهید هکرهایی که به بخش مدیریت وردپرس شما دسترسی دارند به ویرایشگر کد دسترسی داشته باشند، زیرا می توانند با چند خط کد آسیب زیادی وارد کنند.
چه باید کرد؟ میتوانید ویرایشگر کد داخلی را با استفاده از افزونه رایگان Sucuri Security غیرفعال کنید. همچنین میتوانید کد زیر را به فایل wp-config.php خود اضافه کنید:
// ویرایش فایل را مجاز نکنید define('DISALLOW_FILE_EDIT'، true);
ما در حال حرکت هستیم.
10. صفحه ورود خود را ایمن کنید
معمولاً، فرم ورود در وردپرس شما دارای دو فیلد است. نام کاربری و رمز عبور. با توجه به اینکه مهاجمان و رباتها روز به روز باهوشتر میشوند، چگونه میتوانید از دسترسی هکرها به بخش مدیریت وردپرس خود جلوگیری کنید؟ ساده است؛ شما CAPTCHA یا سوالات امنیتی را اضافه می کنید که دسترسی غیرمجاز را برای هر کسی سخت تر می کند.
و برای افزودن CAPTCHA یا سوالات امنیتی به صفحه ورود خود نیازی به ویرایش کد ندارید. یک افزونه محبوب وردپرس معروف به WP Security Question وجود دارد که پیکربندی و استفاده از آن آسان است. اگر میخواهید از CAPTCHA استفاده کنید، میتوانید از کاپچای ورود ساده، WordFence، یا یکی از بسیاری از گزینه های موجود به صورت رایگان در WordPress.org.
در همان زمان، میتوانید نشانی اینترنتی wp-login خود را به چیزی منحصربفرد تغییر دهید. به این ترتیب، رباتها و هکرها در تلاش برای حدس زدن URL صفحه ورود شما مشکل خواهند داشت. wp-login در حال حاضر در بین هکرها محبوب است، بنابراین تغییر URL به چیز دیگری کاملا منطقی است. می توانید از افزونه ای مانند WPS Hide Login استفاده کنید.
11. افزودن احراز هویت
بهعلاوه، اجرای احراز هویت دو مرحلهای و چند مرحلهای را در نظر بگیرید. در صورتی که یک هکر به جزئیات ورود شما دسترسی پیدا کند، نمی تواند وارد سایت وردپرس شما شود. گزینه های زیادی وجود دارد، اما Google Authenticator یک انتخاب محبوب است.
به غیر از آن، ورود به سیستم را در صفحه ورود خود محدود کنید. اگر یک بازدیدکننده میخواهد با حسابی وارد شود که وجود ندارد یا بارها سعی میکند وارد شود، به احتمال زیاد یک هکر یا رباتی است که میخواهد بهصورت بیرحمانه وارد شود. میتوانید از افزونهای مانند محدود کردن تلاش برای ورود به سیستم یا Login Lockdown برای دور نگه داشتن این عناصر مزاحم.
12. خروج از سیستم کاربران غیرفعال
وقتی یک وب سایت وردپرس چند کاربره دارید، نمی توانید به طور کامل نحوه یا مکان دسترسی کاربران به وب سایت شما را کنترل کنید. یک نویسنده ممکن است تصمیم بگیرد از Wi-Fi عمومی رایگان برای انجام آخرین کارهای مقاله استفاده کند. یک طراح وب ممکن است میز خود را ترک کند و از یک استراحت یک ساعته ناهار برگردد.
در چنین سناریوهایی، کاربر شما ممکن است ناآگاهانه وب سایت شما را در معرض خطرات امنیتی قرار دهد. ممکن است یک فرد مخرب جلسه آنها را تصاحب کند، جزئیات آنها را ویرایش کند و به سادگی ویران کند. اگر طرف غیرمجاز بداند چه کاری انجام میدهد، میتواند به راحتی حساب کاربر را تصاحب کند و به آن آسیب برساند.
چه باید کرد؟ می توانید پس از یک دوره از پیش تعریف شده، کاربران غیرفعال را به طور خودکار از سیستم خارج کنید. و بهترین بخش؟ پلاگین هایی برای این منظور وجود دارد. یکی از گزینه های محبوب، افزونه خروج غیرفعال است که شامل گزینه هایی برای سفارشی کردن زمان بیکاری قبل از خروج، پیام بازشو سفارشی یا تغییر مسیر می باشد. خروج، و مهلت زمانی با توجه به نقش کاربر.
13. اسکن بدافزار و مشکلات (به طور منظم)
اغلب فراموش می شود، اسکن منظم وب سایت وردپرس خود می تواند به شما در شناسایی مشکلات امنیتی در مراحل اولیه کمک کند. فقط یک ثانیه طول می کشد تا یک هکر به وب سایت شما نفوذ کند و همه کارهای زشت را انجام دهد. دقیقاً به همین دلیل است که باید همیشه در راس امور قرار بگیرید.
بسیاری از امنیت وردپرس افزونه هایی برای اسکن بدافزار عفونت ها، آسیب پذیری های امنیتی شناخته شده، اسکریپت های قدیمی، brute حملات زور، پشتیبانگیریهای موجود و غیره. افزونه ها گزارش های دقیقی در مورد مشکلات شناخته شده برای شما ارسال می کنند، بنابراین می توانید آنها را برطرف کنید یا یک متخصص استخدام کنید.
اسکنرهای وب سایت زیادی مانند Sucuri SiteCheck وجود دارد که می توانید از آنها برای بررسی سریع سایت خود استفاده کنید. تنها کاری که باید انجام دهید این است که URL خود را وارد کنید و ابزارها به طور خودکار وب سایت شما را بررسی می کنند. پس از آن، آنها به شما گزارشی از آنچه را که باید اصلاح کنید ارائه می دهند. پس از دریافت گزارش، فوراً تمام آسیبپذیریهای امنیتی را برطرف کنید.
14. از VPN
استفاده کنید
اگر وبسایتی دارید که حاوی اطلاعات حساسی است که هرگز نباید در دست هکرها قرار گیرد، از یک شبکه خصوصی مجازی (VPN) استفاده کنید، بیشتر در هنگام استفاده از Wi-Fi عمومی رایگان. VPN از شما در برابر حملات Man-in-Middle که در شبکه های عمومی رایج است، از جمله در خانه و محل کار محافظت می کند.
یک شبکه خصوصی مجازی تضمین می کند که حتی اگر مهاجمان به سیستم دسترسی پیدا کنند و اطلاعات شما را بدزدند، نمی توانند با داده هایی که از شما می گیرند کاری انجام دهند. اگر یک شبکه اینترنتی دارید که با افراد زیادی به اشتراک می گذارید، همیشه قبل از دسترسی به بخش مدیریت وردپرس خود از VPN استفاده کنید.
گزینه های امنیتی دیگر وردپرس
به کارهای بیشتری نیاز دارید؟ ما دوست داریم وب سایت شما را همیشه ایمن نگه داریم، بنابراین موارد امنیتی اضافی را در اینجا به چک لیست خود اضافه کنید:
- غیرفعال کردن اجرای فایل PHP در /wp-content/wp-uploads/
- پیوند پایگاه داده وردپرس خود را تغییر دهید
- گذرواژه از صفحههای مدیریت و ورود به سیستم در سمت سرور محافظت میکند
- غیرفعال کردن نمایه سازی دایرکتوری
- در صورت عدم نیاز، WP REST API و XML-RPC را غیرفعال کنید
- هسته وردپرس را ویرایش یا تغییر ندهید – بجای آن افزونه ای بنویسید یا از آن استفاده کنید که عملکرد مورد نیاز شما را ارائه دهد
- اطمینان حاصل کنید که وب سایت شما آخرین نسخه PHP را اجرا می کند
- از یک برنامه آنتی ویروس در رایانه خود استفاده کنید
- کنسول جستجوی Google را فعال کنید
- آسیبپذیریهای XSS و SQL Injection را کاهش دهید (ممکن است برای کمک به این دو به یک فرد با فنآوری بیشتر نیاز داشته باشید)
در واقع، تعداد اقداماتی که می توانید برای محافظت از سایت خود بردارید بی پایان است. اما اگر بتوانید 14 موردی که فهرست کردهایم را بررسی کنید، گام بزرگی برای ایمن کردن سایت شما خواهد بود.
ایمن سازی وب سایت وردپرس شما چالش برانگیز است اما غیرممکن نیست. با ابزارها و مهارتهای مناسب، میتوانید به سرعت امنیت وردپرس خود را تقویت کنید و عوامل بد را دور نگه دارید.
به عنوان خلاصه، همیشه وب سایت خود را به روز نگه دارید. علاوه بر این، هرگز تم ها یا پلاگین ها را از سایت های غیر قابل اعتماد دانلود نکنید. و برای ایمن بودن در صورت وقوع بدترین اتفاق، همیشه یک راه حل پشتیبان قابل اعتماد در محل خود داشته باشید.
امیدواریم تمام نکاتی را که برای ایمن سازی وب سایت وردپرس خود و در نتیجه کسب و کار آنلاین نیاز دارید، یافته باشید. اگر سوالی دارید یا به کمک نیاز دارید که چگونه وب سایت وردپرس خود را ایمن کنید، لطفاً در نظرات با ما در میان بگذارید. ایمن بمانید!