تامین امنیت وردپرس و جلوگیری از هک وردپرس

در این مقاله  قصد داریم به معرفی راه‌های تامین امنیت وردپرس بپردازیم که با استفاده کردن از این روش‌ها میتوانید امنیت سایت خودتان را افزایش داده و از هر گونه نفوذ و هک در سایت تا حد بسیار بالایی جلوگیری کنید. پس اگر شما هم در امنیت سایتتان دچار مشکل شدید و از سوی برخی افراد مورد حمله قرار می‌گیرید تا انتهای این مقاله با ما همراه باشید تا با فعال کردن و اضافه کردن روش‌های امنیتی که در این مقاله با هم مرور می‌کنیم امنیت وردپرس را افزایش دهیم.

نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس

زمانی که یک سایت هک شده و مورد نفوذ قرار میگیره کلیه اطلاعات موجود در سایت مورد سرقت قرار خواهد گرفت. در بدترین شرایط برخی افراد بعد از نفوذ بدون اینکه چیزی متوجه بشید با قرار دادن کدهای مخرب در بخش‌های مختلف سایت کاری می‌کنند که اطلاعات سایت شما را به صورت دائمی استخراج کنند. در ظاهر همه چیز در سایت شما به درستی کار میکند و مشکلی نمی‌بینید اما اطلاعات مهم سایت شما و کاربرانی که در سایتتان هستند مدام در حال درز کردن به جایی هست.

پس از همین ابتدا که شروع به نصب وردپرس می‌کنید لازمه کلیه روش‌های افزایش امنیت وردپرس را به کار ببندید و از هک سایت و نفوذ در وردپرس جلوگیری کنید. از طرفی هم تامین امنیت یک سایت صرفا محدود به سیستم مدیریت محتوا نبوده و به هاست و سرور شما هم بر میگرده که باید در سطح بالایی از نظر امنیتی قرار داشته باشد. بنابراین در قدم اول سعی کنید از هاستی استفاده کنید که امنیت بالایی داشته باشد. در مقالات بعدی به نحوه افزایش امنیت در هاست هم خواهم پرداخت.

تهیه نسخه پشتیبان به صورت فول بک‌آپ از هاست مهم‌ترین مسئله‌ای هست که در تامین امنیت وردپرس باید به اون توجه کنید. با استفاده از نسخه پشتیبان وردپرس که به صورت کامل تهیه شده باشد هرگاه مشکلی از نظر امنیتی برای سایت پیش اومد میتوانید به راحتی با بازگردانی نسخه پشتیبان در کوتاه‌ترین زمان ممکن مشکل خودتون را برطرف کنید. بنابراین سعی کنید همیشه تا میتوانید در بازه‌های زمانی کوتاه که حداقل هر دو روز یک بار باشد از هاست سی پنل یا دایرکت ادمین خودتان یک فول بک آپ تهیه کنید.

1. به‌روز رسانی مداوم وردپرس

مهم ترین مسئله در تامین امنیت سایت‌های وردپرسی به روز بودن ورپرس و افزونه‌ها و قالب‌هایی هست که ازشون استفاده می‌کنید. تیم وردپرس مدام در حال افزودن قابلیت‌های جدید و رفع مشکلات و باگ‌های امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت می‌شود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونه‌ها و قالب‌های استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.

موضوع دیگه در به روز بودن وردپرس استفاده از افزونه و قالب وردپرس از منابع رسمی و مطمئن هست. متاسفانه به دلیل مشکلات تحریم و بالا بودن نرخ ارز برای خرید محصولات اورجینال بسیاری از سایت‌های فروش قالب و افزونه وردپرس هستند که محصولات منتشر شده را بدون خرید از منابع و با دانلود از سایت‌هایی که مشخص نیست با چه هدفی این فایل‌ها را برای دانلود قرار داده‌اند باعث نفوذ و هک سایت می‌شوند. بیشترین عاملی که مربوط به هک وردپرس میشه به دلیل همین مسئله رخ میده، پس سعی کنید تا جای ممکن حتما قالب و افزونه‌ای که استفاده می‌کنید را از منبع اصلی خریداری کنید.

2. بک‌آپ گیری منظم وردپرس

بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشود که در اکثر مواقع شاید متوجه این مسئله نشوید. از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود. چرا که برای چندین میزبانی این مشکل پیش اومده که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایت‌ها به صورت کامل از صفحه اینترنت محو شدند و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایت‌ها به باد رفت.

پس سعی کنید همیشه خودتان هم از سایت نسخه بک آپ تهیه کنید تا اگر مشکلات این چنین رخ داد یا سایت هک شد بتوانید از فایل بک‌آپ برای اطمینان از سالم بودن کلیه فایل‌ها موجود در سایت به ادامه فعالیت بپردازید. بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است.

3. افزایش امنیت فایل wp-config.php

فایل wp-config.php یکی از مهم‌ترین فایل‌های هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدانید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.

4. افزایش امنیت فایل htaccess.

یکی دیگه از فایل‌های مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد. این فایل با استفاده از دستوراتی که میتواند اجرا کند در محافظت از فایل‌ها و پوشه‌های وردپرس نقش به‌سزایی را دارد که میتوانید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.

5. افزایش امنیت پوشه wp-admin

پوشه wp-admin هم یکی از مهم‌ترین پوشه‌های وردپرس هست که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده دارد که با دسترسی به این پوشه میشود به راحتی با تزریق کدهایی در فایل‌های موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتوانید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.

6. استفاده از رمز عبور قوی و سطح دسترسی

ساده‌ترین راه و شایع‌ترین روش برای هک و نفوذ در سایت‌های وردپرسی به دلیل استفاده از رمز عبور سست به وجود میاد. موضوع استفاده نکردن از رمز قوی صرفا محدود به وردپرس نیست و اگر پیگیر اخبار فناوری بوده باشید، هر ساله گزارشات بسیار زیادی مبنی بر هک ایمیل کاربران منتشر میشود که در اون از رمزهای سست و معمولی استفاده کرده بودند.

انتخاب سطح دسترسی درست برای کاربران هم یکی دیگه از نکاتی هست که باید بهش توجه داشته باشید. معمولا در سایت‌های زیادی که به صورت تیمی عمل می‌کنند بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که همین مسئله باعث میشود امنیت وردپرس در خطر قرار بگیرد. باید این نکته را به خاطر داشته باشید که هیچ لزومی ندارد شما که تیم تشکیل دادید حتما باید همه اعضا دارای نقش کاربری مدیر کل باشند، چرا که لو رفتن رمز یکی از کاربران باعث میشه تا کل سایت هک شود.  کافیه یکی از اعضا که مسئولیت کدنویسی و طراحی بخش سایت را داره این نقش کاربری را داشته باشید و بقیه اعضای تیم از نقش‌هایی مثل نویسنده و ویرایشگر استفاده کنند.

7. افزایش امنیت صفحه ورود به وردپرس

صفحه ورود در وردپرس یکی از صفحات مهمی هست که نگهداری از اون هم برای جلوگیری از هک سایت و هم برای جلوگیری از حملات DDOS بسیار مهم و کلیدی هست. بنابراین با به وجود اومدن روش‌های امنیتی مثل قرار دادن سوال امنیتی، استفاده از ورود دو مرحله‌ای گوگل و… این روش‌ها هم به وردپرس راه باز کردند که استفاده کردن ازشون میتواند حسابی سایت را ایمن کند.

8. مخفی کردن نام کاربری وردپرس

در اکثر قالب‌های وردپرس وقتی روی نام نویسنده یک نوشته کلیک کنید به صفحه نویسنده هدایت خواهید شد. که در اون نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده می‌شود. بنابراین اگر میبینید که نیازی به این قابلیت ندارید میتوانید چنین امکانی را از قالب خودتان غیرفعال کنید. یا اینکه با استفاده از روش‌های موجود آدرس صفحه نویسنده را بر اساس آی‌دی نویسنده تعیین کنید که نام کاربری نویسنده‌ها مشخص نشود که در مقالات بعدی به معرفی این راهکار خواهم پرداخت.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

با قرار دادن کد بالا در فایل htaccess. هاست خودتان میتوانید صفحات مربوط به نویسنده‌ها را در وردپرس به صفحه اصلی ریدایرکت کنید.

9. استفاده از SSL در وردپرس

استفاده از پروتکل امن HTTPS این امکان را به سایت شما میدهد که کلیه داده‌ها در محیطی امن رد و بدل شوند. بنابراین با استفاده از SSL در وردپرس میتوانید امنیت سایت را در حالت‌های مختلفی افزایش دهید. پیشنهاد می‌کنم حتما از SSL استفاده کرده و امنیت وردپرس را بیشتر کنید.

10. غیرفعال کردن مشاهده پوشه‌های هاست

یکی از نکاتی که کاربران کمتر بهش توجه می‌کنند. بر اساس کانفیگ هاست ممکنه این قابلیت در هاست غیرفعال نشده باشد مرور پوشه ها در سایت است. Directory browsing میتواند توسط هکرها مورد استفاده قرار گرفته. و فایل‌های موجود در هر پوشه به راحتی بررسی شده. و با پیدا کردن راه‌های نفوذ به راحتی سایت شما هک شود. این مورد به هینجا محدود نمیشود. و افراد میتوانند با پیدا کردن پوشه‌های شما فایل‌های موجود در هاست را هم مورد سرقت قرار دهند. بنابراین لازمه این قابلیت را غیرفعال کنید. برای این منظور کارهای زیر را طی کنید.

1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
2. فایل htaccess. را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
3. دستور Options -Indexes را در انتهای فایل .htaccess اضافه کنید.
4. در نهایت فایل را ذخیره کنید.

11. غیرفعال کردن ویرایشگر قالب و افزونه

یکی از قابلیت‌های وردپرس استفاده از ویرایشگر کد در پیشخوان وردپرس هست. که در منوهای نمایش و افزونه‌ها قرار دارد.  با استفاده از این دو منو به ترتیب میتوانید به کلیه فایل‌های قالب وردپرس و افزونه وردپرس دسترسی داشته. و آنها را ویرایش کنید. اگر شخصی بتواند وارد پیشخوان وردپرس شود به راحتی میتواند با وارد کردن کدهای مخرب کارهای خراب کارانه در سایتتان ایجاد کند که برای غیرفعال کردن این قابلیت میتوانید به ترتیب زیر عمل کنید.

1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
2. فایل wp-config.php را که در ریشه هاست قرار دارد را انتخاب کرده و به صفحه ویرایش فایل مراجعه کنید.
3. حالا قطعه کد زیر را در بخش define این فایل قرار داده و ذخیره کنید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

بعد از قرار دادن کد بالا امکان ویرایش فایل‌های قالب و افزونه از طریق ویرایشگر پیشخوان وردپرس غیرفعال خواهد شد.

12. غیرفعال کردن اجرای فایل PHP در وردپرس

هاست به شما این اجازه میده تا هر فایلی را در هر جایی قرار داده و با دستورات PHP هر کاری که میخواهید. در سایت انجام دهید. برخی دایرکتوری‌ها هستند. که اصلا نیازی به اجرای فایل‌های PHP در اونها نخواهید داشت. که مهم‌ترین این بخش پوشه uploads وردپرس هست که فایل‌های چند رسانه‌ای مثل تصویر، ویدئو، صوت و… در این مسیر قرار می‌گیرد. بنابراین لازمه اجرای دستورات PHP را در این مسیر با استفاده از روش زیر غیرفعال کنید.

1. وارد هاست خود شده و به مسیر public_html/wp-content/uploads مراجعه کنید.
2. یک فایل با نام htaccess. بسازید و کدهای زیر را در آن قرار دهید.

<Files *.php>
deny from all
</Files>

بعد از قرار دادن کد بالا در فایل htaccess. که در این پوشه قرار دارد به صورت کلی امکان اجرای PHP در این مسیر غیرفعال خواهد شد.

تامین امنیت وردپرس و جلوگیری از هک وردپرس

13. غیرفعال کردن XML-RPC

فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد. که از جمله این موارد میشود. به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویس‌هایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتواند همزمان 20 درخواست را به سایت ارسال کرده. و اقدام به پیدا کردن رمز ورود در وردپرس بکند. که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست. پس بهتره با استفاده از مقاله آموزش غیرفعال کردن XML-rpc اقدام به غیرفعال کردن این قابلیت در وردپرس بکنید.

14. بررسی فعالیت کاربران در وردپرس

یکی دیگه از راه‌های امنیت وردپرس این هست که رفتار کاربران سایت خودتان را زیر نظر بگیرید. این رفتار می تواند توسط سیستم آمار گیر سایت و یا افزونه‌ها صورت بگیرد. که در صورت شناسایی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده. و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید.

تغییر دوره‌ای رمز کلیه کاربران در وردپرس

معمولا کاربرانی که در سایت ثبت نام می‌کنند هیچ اقدامی برای تغییر دوره‌ای رمز عبور خودشان انجام نمی‌دهند. این مشکلات برای هر سایتی زیاد شاید مهم نباشد و به چشم نیاد. اما برای سایت‌های فروشگاه فایل که از ووکامرس یا افزونه‌های دیگر استفاده می‌کنند خیلی مهم هست. پس خودتان باید دست به کار شده و در بازه‌های زمانی چند ماهه کاری کنید. که کاربران خودشان اقدام به تغییر رمز در وردپرس بکنند.

تامین امنیت وردپرس و جلوگیری از هک وردپرس

15. استفاده از افزونه امنیت وردپرس

افزونه‌های امنیتی مختلفی برای وردپرس ساخته شده‌اند که امکان فراهم کردن قابلیت‌های امنیتی را در وردپرس به شما خواهند داد. افزونه wordfence وردپرس یکی از پرطرفدارترین افزونه‌های امنیتی در وردپرس هست. که به شما امکان افزایش امنیت وردپرس و جلوگیری از هک سایت را خواهد داد. با استفاده از این افزونه میتوانید بیشتر راهکارهایی که در بالا به معرفی آنها پرداختیم. را فقط با این افزونه فراهم کنید.

یکی دیگه از افزونه‌های امنیتی در وردپرس افزونه امنیت وردپرس iThemes Security هست. که امکاناتی مثل بک آپ گیری خودکار از دیتابیس وردپرس را به شما میدهد. که هر زمان سایت مورد حمله قرار گرفته بود بتوانید. با استفاده از نسخه پشتیبان وردپرس مشکلات را برطرف کنید.