راهکارهای امنیت و ایمن سازی سایت وردپرس

امروز با قسمت اول امنیت در وردپرس در خدمت شما هستیم.

تصمیم گرفتیم مقاله کاملی پیرامون امنیت در وردپرس منتشر کنیم تا راهنمای کاملی برای دوست داران وردپرس قابل دسترس باشد.

• اولین و مهمترین موضوع قبل ازهرگونه تنظیمات امنیتی، موضوع بکاپ است، همیشه همیشه همیشه باید از اطلاعات خود بصورت مداوم بک آپ گیری کنیم، گاهی تنها گزینه نجات بخش بکاپ است پس اگر به بکاپ گیری منظم توجه نمیکنید دیر یا زود باید منتظر خبرهای بدی باشید.
• اگر هاست اشتراکی دارید از سرویس دهنده خود بپرسید بک آپ گیری به چه صورت و در چه بازه هایی انجام میشود. سعی کنید بصورت مداوم از طریق کنترل پنل شخصا بک آپ گیری کنید، شاید سوالی که برای شما مطرح شود این باشد که فضای هاست من محدود است و نمیتوانم بک آپ های زیادی نگهداری کنم! بله اگر فضای هاست شما محدود است نگهداری اطلاعات بروی هاست سخت میشود، گزینه جایگزین دانلود کردن بک آپ بروی سیستم شخصی است و یا راهکار بهتر استفاده از یک فضای پشتیبان که بک آپ ها را در آن نگهداری کنید. اگر در انتقال بک آپ ها به فضای پشتیبان مشکل دارید از پشتیبان هاست خود بخواهید تا این کار را برای شما انجام دهد. اگر هیچ کدام از موارد بالا امکان پذیر نبود سعی کنید حتما از دیتابیس سایت بک آپ بگیرید، معمولا دیتابیس ها کم حجم هستند و مشکلی در بکاپ گیری و دانلود ندارند.

اگر از cPanel  استفاده میکنید وارد گزینه Backup  شوید، در قسمت Download a MySQL Database Backup نام تمام دیتابیس های سایت شما وجود دارد، با کلیک بروی نام هر کدام از دیتابیس ها میتوانید آن را دانلود کنید.
راهکار دیگر دانلود دیتابیس استفاده از phpmyadmin  است، از طریق cPanel  وارد phpmyadmin  شوید و دیتابیس مورد نظر را انتخاب کنید و گزینه Export  را انتخاب و خروجی را به فرمت SQL  دانلود کنید.

در Directadmin  هم با وارد شدن به قسمت Create/Restore Backups  میتواند از هر قسمتی از سایت که مایل هستید بک آپ بگیرید، البته بک آپ ها در هاست ذخیره میشود و شما پس از بک آپ گیری باید آن را از هاست خود دانلود کنید.

• اگر مالک سرور هستید، دسترسی های بیشتری دارید، و میتوانید براحتی با استفاده از پنل مدیریت و Terminal با استفاده از تنظیمات و اسکریپت های مختلف نسبت در بازه های زمانی دلخواه به بک آپ گیری مداوم اقدام کنید، حتی میتوانید تنظیمات را برای ذخیره سازی بروی فضاهای ابری مانند google drive  یا Dropbox  را نیز انجام دهید، اگر تخصص و دانش کافی در این موضوع را ندارید با مدیر سرور خود مشورت کنید.

اکنون پس از اطمینان از انجام روال بک آپ گیری منظم به امن سازی وردپرس خواهیم پرداخت. در تمام توضیحات زیر اگر میخواهید فایلی را ویرایش یا تغییر دهید حتما قبل از تغییرات یک کپی از آن تهیه کنید تا در صورت بروز مشکل امکان استفاده از فایل با تنظیمات اصلی وجود داشته باشد.

• امنیت صفحه مدیریت وردپرس

یکی از بهترین روش ها استفاده از IP اختصاصی برای اینترنت می باشد، اگر شما و مدیران سایت دارای IP  اختصاصی برای اینترنت خود باشید این امکان فراهم میشود که دسترسی به صفحه مدیریت  سایت تنها از طریق IP  های اختصاصی شما فراهم شود و سایرین نمیتوانند به این صفحه دسترسی داشته باشند. برای این کار میتوانید از فایل .htaccess  در پوشه /wp-admin/  استفاده کنید.

کد ‍‍زیر را در htaccess  قرار دهید.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

بجای xx.xx.xx.xxx باید IP خود را قرار دهید. اگر چند IP  دارید باید از چند خط برای allow from  استفاد کنید.

• راهکار دیگر برای افزایش امنیت صفحه مدیریت وردپرس استفاده از قابلیت Password Protection بروی پوشه wp-admin استفاده کنید. برای فعال سازی این قابلیت از راهنمای زیر استفاده کنید.

قرار دادن پسورد بروی پوشه ها و دایرکتوری ها

• راهکار دیگری که ممکن است به امنیت صفحه مدیریت کمک کند تغییر آدرس پیش فرض صحفه مدیریت از wp-admin به آدرس دیگری است. برای این کار پلاگین های مختلفی وجود دارد که میتوانید از آن ها استفاده کنید. بدون پلاگین نیز میتوانید آدرس را تغییر دهیر اما این کار نیاز به تغییر در کدها دارد، میتوانید از یک متخصص وردپرس کمک بگیرید.البته اگر کاربر هاست وردپرس نیترو سرورستاپ هستید نگرانی در این زمینه وجود ندارد زیرا سرورستاپ در تنظیمات فایروال تغییراتی داده است که در صورتی که اطلاعات لاگین در مدیریت وردپرس، ۳ مرتبه در کمتر از ۱ دقیقه اشتباه وارد شود، ‍IP شخص مهاجم بصورت خودکار برای ۱ ساعت بسته خواهد شد. 
•  غیرفعال کردن Directory Browsing

توصیه میشود Directory Browsing را غیرفعال کنید تا امکان مشاهده و بررسی فایل های سایت را در مسیر های خاص نداشته باشند. متاسفانه وردپرس بصورت پیش فرض این قابلیت را در برنامه خود غیرفعال نکرده است و شما باید بصورت دستی این کار را انجام دهید.

این ویژگی در صورتی که فعال باشد اطلاعات زیادی را در اختیار نفوذگران قرار میدهد مانند لیست تمام پلاگین ها و قالب ها و فایل ها.

برای غیرفعال کردن این ويژگی باید کد زیر را در htaccess  در مسیر مربوط قرار دهید.

Options –Indexes

مسیرهایی که پیشنهاد میشود که در آن این قابلیت را غیرفعال کنید بصورت زیر است

/wp-content/
/wp-content/plugins/
/wp-content/themes/
/uploads/
/images/

اگر از ‍cPanel استفاده میکنید و با فایل htaccess آشنایی ندارید میتوانید براحتی نمایش فایل در پوشه ها و مسیرهای دلخواه خود را براحتی غیرفعال کنید. برای این کار در cPanel خود گزینه Indexes را انتخاب کنید.

پس از وارد شدن به این قسمت وارد مسیرهای مورد نظر خود شوید و روی پوشه مورد نظر کلیک کنید، در پنجره باز شده No Index را انتخاب کنید و تغییرات را دخیره کنید.

اگر شما مدیر سرور هستید و از cPanel استفاده میکنید باید آگاه باشید cPanel نیز بصورت پیش فرض قابلیت Directory Browsing را غیرفعال نمیکند و شما باید وارد WHM سرور خود شوید و به قسمت Apache Configuration کلیک کنید و سپس گزینه Global Configuration را انتخاب کنید، در صفحه تنظیمات تیک Indexes را بردارید و تنظیمات را ذخیره و بروی Rebuild Configuration and Restart Apache کلیک کنید، هم اکنون در سرور بصورت کلی برای تمام اکانت های قابلیت Directory Browsing غیرفعال شد.

خبر خوب برای کسانی که از Directadmin استفاده میکنند این است که این کنترل پنل بصورت پیش فرض این ویژگی را غیرفعال میکند و نیازی به تغییری از سمت کاربران وجود ندارد.

ما در سرورستاپ این ويزگی را در تمام سرورهای غیرفعال کردیم پس جای نگرانی وجود ندارد.

• جلوگیری از اجرا شدن فایل php در مسیر های خاص

برای جلوگیری از آپلود فایل های php  مخرب توسط هکرها در مسیرهایی که کمتر دیده میشوند باید از آپلود آنها در هاست جلوگیری کنید. برای این کار کد زیر را در .htaccess  قرار دهید.

<Files *.php>
deny from all
</Files>

هر فرمت دیگری بجز php  را نیز میتوانید اضافه کنید. به عنوان مثال در مسیر هایی مانند wp-content  عبارت زیر را استفاده کنید.

Files ~ “.(xml|css|jpeg|png|gif|js)$”

مسیرهایی که پیشنهاد میشود که در آن این قابلیت را غیرفعال کنید بصورت زیر است

/wp-content/uploads/ /wp-includes/

برای مطالعه قسمت دوم راهکارهای امنیت در وردپرس کلیک کنید.