نکاتی جهت افزایش امنیت وردپرس

طراحی و محتوا

wordpress security icon

وردپرس سیستم مدیریت محتوای ساده در عین حال قدرتمند است که پتانسیل راه اندازی انواع سایت‌های شخصی، شرکتی، خبری و .. را دارد. محبوبیت وردپرس در بین کاربران داخل کشور، به دلیل تعداد افزونه‌ها و قالب‌های بسیار بالاست. سیستم مدیریت محتوای وردپرس به تنهایی دارای امنیت مناسبی است. اما پوسته‌ها و پلاگین‌های موجود با رعایت نکردن برخی مسائل باعث به خطر افتادن امنیت سایت وردپرسی شما می‌شوند. در این مقاله برخی از نکات افزایش امنیت وردپرس لیست شده است.

چگونه وردپرس را ایمن کنم؟

1. نام کاربری وردپرس را Admin نگذارید.

برای افزایش امنیت وردپرس، از نام کاربری پیشفرض Admin استفاده نکنید. در صورتی که هکر متوجه شود از نام کاربری Admin استفاده می‌کنید، با اعمال حملات Brute Force اقدام به پیدا کردن رمز عبور شما می کند.
برای تغییر نام کاربری در وردپرس می توانید از پلاگین WPVN – Username Changer استفاده کنید.

2. پسورد وردپرس را قوی کنید.

8 درصد از وب سایت‌های وردپرسی هک شده به دلیل داشتن کلمه عبور ضعیف هک شده‌اند.
یک رمز خوب ترکیبی از اعداد، حروف با کاراکترهای کوچک و بزرگ می‌باشد. رمز شما نباید قابل حدس زدن باشد یا در دیکشنری موجود باشد. هنگام نصب وردپرس از رمز‌های بی ربط و بی معنی استفاده کنید.
برای داشتن یک رمز قوی می‌توانید به سایت Strong Password Generator رجوع کنید.

3. بروز رسانی وردپرس، افزونه‌ها و پلاگین‌ها رابطور مداوم انجام دهید.

همواره در سیستم‌های مدیریت محتوا نظیر وردپرس، به علت کدباز بودن سیستم مشکلات امنیتی نقاط ضعف بسیاری کشف می‌شود. هکر‌ها عمدتاً نسخه‌های قدیمی تر وردپرس را که مشکلات امنیتی شناخته شده تری دارند را هدف قرار می‌دهند. از اینرو توسعه دهندگان سیستم بطور مداوم با ارائه پچ‌های بروزرسانی مختلف آن را اصلاح می‌کنند.
همیشه حواستان به اخطارهای داشبورد وردپرس باشد و از پیام‌هایی مبنی بر بروز رسانی، چشم پوشی نکنید.
همین امر در مورد تم‌ها و پلاگین‌ها نیز صدق می‌کند.

4. از قالب‌های وردپرس رایگان استفاده نکنید.

چنانچه قالب رایگان توسط یک توسعه دهنده معتبر ساخته نشده است، از آن استفاده نکنید. قالبهای رایگان اغلب می‌تواند دارای کدهای رمزگذاری base64 باشد که ممکن است به شکل نامحسوسی برای وارد کردن لینک‌های اسپم در سایت شما یا کدهای مخرب دیگری که می‌تواند همه نوع مشکلی ایجاد کند، مورد استفاده قرار گیرد.
طبق آمار منتشر شده، 8 سایت از 10 سایتی که از قالب رایگان استفاده می‌کنند، حاوی کد base64 می باشند.

5. تعداد دفعات تلاش برای ورود به وردپرس را محدود کنید.

در برخی موارد هکر یا یک ربات با استفاده از brute-force سعی بر شکستن رمز عبور شما می‌کند.
با محدود نمودن تعداد دفعات تلاش برای ورود به وردپرس، می‌توانید مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش‌های مجدد شکست خورده قفل خواهد شد.
اینکار را می توانید با استفاده از پلاگین Limit Login Attempts انجام دهید.

6. یک نسخه پشتیبان تهیه کنید.

معمولاً بکاپ گیری بصورت منظم توسط میزبان انجام می‌شود. اما ممکن است موقعی سایت شما دچار مشکل شود که بکاپ خراب بر روی بکاپ سالم جایگزین شده است. همواره می‌توانید با استفاده از قسمت بکاپ گیری در هاست و سپس دانلود بکاپ ضریب امنیتی را افزایش دهید.
در صورتی که اینکار برای شما بیش از حد سخت به نظر می‌رسد، می‌توانید از پلاگین WordPress Backup to Dropbox استفده نمایید تا بکاپ گیری بطور خودکار و منظم انجام شود.

7. از فایل wp-config.php محافظت کنید.

فایل wp-config.php شامل تمامی اطلاعات محرمانه سایت وردپرسی شماست.
محافظت از فایل به هر جهت مهم است و یکی از آسان ترین راه‌ها جهت بالا بردن امنیت این فایل، وارد نمودن کدهای زیر در htaccess می‌باشد.
<Files wp-config.php>
order allow,deny
deny from all
</Files>

8. از فایل htaccess محافظت کنید.

در مورد قبلی با استفاده از htaccess توانستیم از wp-config.php محافظت کنیم. اما برای حفاظت از htaccess چکار کنیم؟ کافیست کدهای زیر را در فایل htaccess خود قرار دهید.
<Files .htaccess>
order allow,deny
deny from all
</Files>

9. از مدیریت وردپرس حفاظت کنید.

برای ایمن سازی پوشه wp-admin کافیست از آموزش رمزگذاری پوشه‌ در دایرکت ادمین کمک بگیرید.

10. از میزبانی امن استفاده کنید.

همه ارائه دهندگان میزبانی وب، فعالیت همسانی ندارند. در هنگام انتخاب به سراغ ارزانترین نروید و مطمئن شوید از شرکتی که اقدامات امنیتی قوی دارد، خرید می‌کنید.