راهکارهای افزایش امنیت وردپرس

how to ensure WordPress Security and protect your website

امروز با قسمت دوم راهکارهای افزایش امنیت وردپرس در خدمت شما هستیم، برای مطالعه قسمت اول راهکارهای امنیت و ایمن سازی وردپرس کلیک کنید.

در این قسمت با امنیت در تنظیمات و اطلاعات وردپرس در خدمت شما هستیم.

• پاک کردن قالب ها، پلاگین ها بدون استفاده

مطمئنا باید این کار را انجام دهید، اگر از قالب یا پلاگینی استفاده نمیکنید آن ها را حذف کنید زیرا وجود هر گونه المان اضافی بصورت بالقوه میتواند سایت را با مخاطره روبرو کند، بنابراین اگر پلاگین یا قالبی دارید که دیگر قرار نیست از آن ها استفاده کنید، آن ها را پاک کنید.

• آپدیت مداوم وردپرس، پلاگین ها و قالب

این دقیقا همان کاری است که انجام نمیدهیدم و بزرگ ترین ضربه را به سایت ما وارد میکند، هنوز هم افرادی را مشاهده میکنیم که اصلا آگاهی از بروزرسانی سایت ندارند و این موضوع را نمیدانند یا ندیده میگیرند، حتما از پلاگین های معتبر استفاده کنید که بصورت مداوم بروزرسانی مشوند.

برای بروز رسانی مداوم هسته وردپرس بصورت خود کار کد زیر را به wp-config.php  اضافه کنید.  

define( 'WP_AUTO_UPDATE_CORE', true );

• بروزرسانی وردپرس و پلاگین ها براحتی از داخل مدیریت وردپرس قابل انجام است، برای دریافت بروزرسانی قالب نیز با شرکت فروشنده قالب در ارتباط باشید.

پلاگین برای بروز رسانی خودکار وردپرس نیز وجود دارد، میتوانید از پلاگین automatic-plugin-updates استفاده کنید.

می توانید با اضافه کردن یک کد زیر به فایل wp-config.php، قالب و پلاگین خود قابلیت بروزرسانی خودکار را بدون نیاز به پلاگین اضافه فراهم کنید.

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

• از قالب ها و پلاگین های متفرقه و نامطمئن استفاده نکنید.

همه دوست دارند برای قالب یا پلاگین هزینه نکنند واین دلیلی برای استفاده از قالب های رایگان با منبع نامعتبر میشود. هر قالب یا پلاگینی را از هر سایتی دانلود و نصب نکنید، رایگان بودن سایت در ابتدا جذاب به نظر برسد اما در آینده به دلیل عدم وجود بروزرسانی و گسترش دهنده باگ هایی پیدا خواهد شد و سایت شما مورد نفوذ هکرها قرار خواهد گرفت. از جایی سرویس بگیرید که دارای پشتیبانی و خدمات پس از فروش باشد.

• دسترسی به فایل های پر اهمیت:

فایل های مهم سایت خود را امن تر کنید. دسترسی به فایل های پراهمیت وردپرس را بسیار محدود کنید و در حالت read-only قرار دهید. (پرمیژن این فایل ها را بروی ۴۴۴ تنظیم کنید)

برخی از فایل های مهم وردپرس: htaccess – wp-config.php – wp-settings.php- wp-blog-header.php و فایل functions.php قالب سایت

بهتر است امکان ویرایش فایل ها را از طریق پنل مدیریت وردپرس غیر فعال کنید برای اینکار خط زیر را به فایل wp-config.php  اضافه نمایید.

define( ‘DISALLOW_FILE_EDIT’, true );

• امنیت در دیتابیس:

  یکی از مهمترین مراحل افزایش امنیت وردپرس، امنیت دیتابیس سایت است.

   در گام اول نام دیتابیس و یوزرهای دیتابیس را پیچیده انتخاب کنید، از استفاده از کلماتی مثل db ، wp، user، sql  و سایر کلمات قابل حدس خودداری کنید، سعی کنید یک نام بی معنی شامل تعدادی کارکتر مختلف استفاده کنید مانند: wlhy

  پسورد دیتابیس را پیچیده انتخاب کنید، شامل حرف کوچک، حرف بزرگ و اعداد و دارای حداقل ۸ کارکتر

  در زمان نصب وردپرس پیشوند table  های دیتابیس را از wp  به نام دلخواه دیگری تغییر دهید. پیشوند پیش فرض کار را برای حملات Sql Injection  بسیار راحت میکند.

  –  پرمیژن فایل wp-config.php  را بروی 400  قرار دهید.

  توجه:
  نام کاربری اکانت های مدیریتی وردپرس براحتی قابل کشف است، کافی است آدرس زیر را در مرورگر وارد کنید

   

  YOURSITE.com/?author=1

  بجای YOURSITE.com نام سایت را وارد کنید. با تغییر عدد ۱ به اعداد بالاتر نام کاربری تمام اعضای سایت مشخص خواهد شد.

  بدست آوردن نام های کاربری (username) به این آسانی راه را برای حملات brute force و بدست آوردن پسورد بسیار راحت میکند.

  برای پنهان کردن این موضوع باید nicename  اکانت کاربری را از طریق phpmyadmin تغییر دهید.

  کافی است به phpmyadmin سایت وردپرس خود وارد شوید و در Table مربوط به wp_users نام درج شده در ستون user_nicename  مقابل user مورد نظر را تغییر دهید.بصورت پیش فرض user_login و user_nicename باهم یکسان است اما شما باید برای امنیت بیشتر user_nicename را به نام غیرمشابه دیگری تغییر دهید.

• امنیت شخصی:
  این موضوع یکی از مهم ترین قسمت های امنیت جهت افزایش امنیت وردپرس است که متاسفانه کمتر به آن توجه میشود، شما باید مطمئن باشید سیستمی که از آن به سایت یا هاست متصل میشوید، ویروسی ویا آلوده به تروجان نباشد، از استفاده از نرم افزارهای متفرقه بروی سیستم خود پرهیز کنید، رمزها را بروی مرورگر و یا نرم افزارها ذخیره نکنید،‌ پسوردها را در اختیار سایرین قرار ندهید، از قرار دادن پسوردهای ساده و قابل حدس بروی هاست و دیتابیس سایت خود پرهیز کنید. هرگز از سیستم های غیرمطمئن به سایت خود لاگین نشوید. پس از اتمام کار در صفحه مدیریت وردپرس حتما logout کنید.در پایان اگر نیاز به کمک و راهنمایی بیشتری دارید با سرورستاپ در ارتباط باشید.