راهنمایی‌های مفید برای افزایش امنیت وردپرس

اگر شما هم مانند بسیاری دیگر از وردپرس برای طراحی سایت خود استفاده می‌کنید و ساعت‌ها وقت صرف کرده‌اید تا وبسایت جدید خود را آماده نمائید، باید بدانید که سیستم‌های مدیریت محتوا (مانند وردپرس و جوملا) به واسطه محبوبیت زیاد ، امکانات و پشتیبانی بسیار مناسبی دارند ، ولی اگر سایت شما به‌روز نباشد یا مشکلات امنیتی داشته باشد ، این فراگیر بودن وردپرس می تواند سایت شما را به سادگی قربانی حملات هکرها کند، در این مقاله با بیان ۱۰ راهکار مفید ،شما را در بالا بردن سطح امنیت وردپرس یاری خواهیم داد

امنیت یک جنبه مهم در سایت است و باید مراقب همه اقدامات خود باشید ، از دانلود وردپرس در شروع کار گرفته تا  پوسته و پلاگینی که به رایگان نصب می‌کنید باید معتبر و مورد اطمینان باشد.امنیت یک فرآیند مستمر است و همیشه باید مراقب آن باشید ، در ادامه به بیان نکاتی می‌پردازیم که امنیت سایت شما را بهبود می‌بخشد(این نکته به معنای غیرقابل نفوذ شدن سایت نیست)

افزایش امنیت وردپرس

•  از Admin به عنوان نام کاربری مدیریت استفاده نکنید

همه ما (از جمله هکرها) خوب میدانیم Admin رایج‌ترین نام‌کاربری پیشخوان وردپرس است؛اگر در حال حاضر سایت وردپرس فعال با نام کاربری admin دارید، مراحل زیر را انجام دهید:

1. یک کاربر جدید با امتیازات مدیریت ایجاد کنید
2. اگر کاربر Admin تنها کاربر شما بود ، همه پست‌ها و صفحات را به کاربرجدید اختصاص دهید
3. کاربر قدیمی admin را حذف نمائید

• از رمز عبور قدرتمند استفاده کنید(طولانی، شامل اعداد،حروف بزرگ و کوچک و نمادها)

کلمه عبور خیلی مهم و حیاتی است ، آن را دست کم نگیرید؛ آیا میدانید رایج‌ترین کلمات عبور در سال ۲۰۱۴ کدامند؟ باورکردنی نیست ولی متاسفانه پنج رمزعبور رایج هستند که توسط مشاور امنیتی  Mark Burnett (که طی یک دوره یک ساله ۱۰ میلیون رمزعبور را از وب استخراج کرده است )جمع‌آوری و به اشتراک گذاشته شده‌اند.

1. ویژگی‌های کیلیدی یک رمزعبور قوی:
2. کلمه معناداری در آن وجود نداشته باشد تا از حملات فرهنگ لغت جلوگیری شود
3. نمادها و اعداد در آن وجود داشته باشد
4. حداقل ۱۵ کاراکتر باشد
5. اگر نمی‌دانید چه رمزعبوری مناسب است ، می توانید strongpasswordgenerator.com استفاده کنید

• از ورود دو مرحله‌ای(two-factor authentication) استفاده کنید

ورود دو مرحله ای راهکاری عالی برای احراز هویت شما به عنوان مالک سایت است، Apple iCloud ،Google ،Dropbox و بسیاری از سرویس‌دهندگان مطرح دیگر از این قابلیت استفاده می‌کنند، خب شما چرا برای وردپرس خود از آن بهره نمی‌برید؟!

برای استفاده از ورود دو‌مرحله‌ای در وردپرس نیاز به نصب یکی از پلاگین‌های موجود دارید؛ دو پلاگین عالی برای وردپرس در این زمینه معرفی میکنیم

1. Rublon  (ورود دو مرحله‌ای مبتنی بر ایمیل)
2. Clef (ورود دو مرحله‌ای مبتنی بر دوربین گوشی)

• غیرفعال کردن راهنما در زمان ورود

هر زمان که نام کاربری یا رمز عبور را غلط وارد کنید ، در صفحه ورود وردپرس به شما اعلام می‌شود که نام‌کاربری اشتباه است یا رمزعبور وارد شده با نام کاربری مطابقت ندارد.شاید هرگز به آن توجه نکرده باشید ، اما این یک فرصت طلایی برای هکرهاست ، به همین دلیل بهتر است این اطلاعات را از بین ببرید؛ با افزودن یک اسکریپت در فایل function.php می توانید این کار را انجام دهید

function no_wordpress_errors()

{  return ‘What the heck are you doing?! Back off!’;}

add_filter( ‘login_errors’, ‘no_wordpress_errors’ );

به جای عبارت “What the heck are you doing?! Back off!” می توانید متن مورد نظر خود راوارد کنید

• دانلود وردپرس و پلاگین‌ها از منابع شناخته شده و معتبر

پلاگین‌ها یکی از قوی‌ترین عناصر در دنیای وردپرس هستند و امروزه بیش از ۴۰۰۰۰ پلاگین در مخزن وردپرس در دسترس قرار دارد.اما پلاگین‌ها را از جاهای دیگر هم می توان تهیه کرد مانند Code Canyon،Mojo Code،GitHub،WPD و…

1. قبل از دانلود پلاگین از هر کجا به نکات زیر توجه کنید:
2. بررسی ، نظرات کاربران در مورد پلاگین و نویسنده و توسعه‌دهنده آن
3. اگر پشتیانی ارائه می شود باید ببینید رایگان است یا پولی
4. آیا نویسنده پلاگین به کاربران پاسخ داده است
5. هرگز فراموش نکنید قبل از دانلود یک پلاگین بکاپ کامل از سایت و دستابیس خود تهیه نمائید

دانلود آخرین نسخه وردپرس از سرورهای مینی‌سافت

• وردپرس خود را همواره به روزرسانی کنید

هر وقت یک مشکل امنیتی به وجود بیاید، باید منتظر یک patch  جدید باشیم ، این یعنی حفظ امنیت کاملا نسبی و یک فرآیند مستمر است.اینکه وردپرس شما همیشه آخرین نسخه پایدار باشد یک امتیاز بزرگ محسوب می‌شود.

از وردپرس۳٫۷+ به‌روز رسانی‌های جزئی و امنیتی به صورت خخودکار انجام می‌شود،ولی برای به‌روزرسانی فایل‌های اصلی ، پلاگین‌هاو پوسته باید آنها را از طریق پیشخوان یا FTP انجام دهید.مسلما به‌روزرسانی علاوه بر بهبود وضعیت امنیتی، بهبود عملکرد،رفع اشکالات و باگ‌ها ، سازگاری بهتر و قابلیت‌های جدیدتر هم به ارمغان خواهد آورد.

• وردپرس خود را تمیز نگه دارید

در یک محیط به‌روز شده وردپرس، هیچ جایی برای چیزهای استفاده نشده مانند پلاگین غیرفعال ، پوسته قدیمی و… وجود نخواهد داشت.چرا که وقتی از آن استفاده نشود ، ممکن است به‌روزرسانی هم نشود و این یعتی تهدید امنیتی

• ردیاب‌ها (trackbacks) را غیرفعال کنید

Pingbacks و trackbacks خبر می‌دهند که محتوای شما به صفحه‌ی دیگری در وب لینک شده است و بسیاری از کاربران به آن اهمیت نمی‌دهند.از طریق ردیابها (trackbacks) هکرها می توانند حملات DDoS را انجام داده و از سایر سایت‌های تمیز وردپرس هم برای مقاصد کثیف خود بهره ببرند.

برای هر وب‌سایت جدید وردپرس لازم است که این ویژگی را از طریق زیر غیرفعال کنید:

تنظیمات > گفت‌وگو‌ها > اجازه دادن به دیگر سایت‌ها برای فرستادن بازتاب بر نوشته‌های تازه

• تنظیم سطح‌دسترسی (permissions) درست برای فایل‌ها و پوشه‌ها

مجوزها یا پرمیشن فایل یا پوشه تعیین کننده آن است که چه کسی چه چیزی را می تواند بخواند ، بنویسد یا ویرایش و دسترسی به آن داشته باشد. این مجوزها با مقدار سه عدد برای هر فایل یا پوشه تعیین می‌شود.از آنجا که این مقادیر مشخص میکند که کدام کاربر می تواند فایل یا پوشه‌ای را ویرایش یا حذف کند باید مقادیر زیر را قرار دهید

پوشه‌ها = ۷۵۵

فایل‌ها  = ۶۴۴

توجه کنید تا جای ممکن از پرمیشن ۷۷۷ برای فایل یا پوشه استفاده نکنید برای اینکه با این کار به تمامیکاربران دسترسی کامل خواهید داد ، برای کسب اطلاعات بیشتر در خصوص پرمیشن‌ها بروید به اینجا

• جلوگیری از نمایش دایرکتوری در وردپرس

زمانی که وب‌سرور شما فایل index.html یا index.php را پیدا نکند ، در یک صفحه دایرکتوری را نمایش خواهد داد که شامل تما پوشه‌ها و فایل‌های سایت شما خواهد بود.برای غیرفعال کردن این حالت باید در فایل htaccess. سایت شما عبارت زیر وجود داشته باشد:

Options All -Indexes

البته  با وجود این  مطمئن شوید که پوشه‌های wp-content/themes و wp-content/plugins یک فایل index.php خالی داشته باشند.

این متن همچنان به روزرسانی خواهد شد….