7 نکته افزایش امنیت وردپرس

اکثر کاربران وردپرس فکر می‌کنند وردپرس نیاز به افزایش امنیت وردپرس ندارد و احتمال حمله یک هکر بسیار کم است. حقیقت این است که بیشتر از آنچه فکر می کنید اتفاق می افتد و متأسفانه اکثر مردم از آن خطر آگاه نیستند.

آیا گاهی هنگام جستجو در گوگل متوجه شده اید که برخی از نتایج با برچسب “این سایت ممکن است به رایانه شما آسیب برساند” می باشد؟ اینها وب سایت هایی هستند که هک شده اند و در نتیجه توسط گوگل در لیست سیاه قرار گرفته اند. نیازی به گفتن نیست که اکثر کاربران از این کار عصبانی می شوند و ممکن است دیگر هرگز از سایت شما بازدید نکنند. حتی اگر بتوانید سایت خود را از چنین حمله ای بازیابی کنید، مطمئناً به کسب و کار شما شهرت بدی خواهد داد.

من لیستی از نکاتی را جمع آوری کردم که می تواند امنیت وب سایت وردپرس شما را تا حد زیادی بهبود بخشد. لطفا توجه داشته باشید که نکات زیر برای تمامی نسخه های وردپرس اعمال می شود.

مراحل افزایش امنیت وردپرس

1. از رمزهای عبور قوی استفاده کنید

ممکن است بدیهی به نظر برسد اما از اینکه تعداد زیادی از کاربران این موضوع را نادیده می گیرند شگفت زده خواهید شد. مهم نیست چقدر برای ایمن سازی وب سایت خود تلاش می کنید، یک رمز عبور ضعیف می تواند همه چیز را خراب کند. کل امنیت وب سایت شما به آن رمز عبور بستگی دارد. اگر رمز عبور شما به اندازه کافی قوی نیست، حتی به خود زحمت خواندن ادامه این مقاله را هم نزنید.

در اینجا 3 نکته برای انتخاب رمز عبور آورده شده است:

• از چیزی تا حد امکان تصادفی استفاده کنید (هیچ کلمه، تاریخ تولد، یا اطلاعات شخصی وجود ندارد)
• حداقل از هشت کاراکتر استفاده کنید. هر چه رمز عبور طولانی تر باشد، حدس زدن آن سخت تر است
• از ترکیبی از حروف و اعداد بزرگ و کوچک استفاده کنید. گذرواژه ها به حروف بزرگ و کوچک حساس هستند، بنابراین از آن به نفع خود استفاده کنید.

2. وردپرس را همیشه به روز نگه دارید

ناگفته نماند که همیشه باید نصب وردپرس خود را به روز کنید. اگر آسیب پذیری کشف شود، تیم توسعه وردپرس با انتشار نسخه جدید آن را برطرف می کند. مشکل این است که اکنون این آسیب‌پذیری برای همه شناخته شده است، بنابراین نسخه‌های قدیمی وردپرس اکنون در برابر حملات آسیب‌پذیرتر هستند.

برای جلوگیری از تبدیل شدن به هدف چنین حمله ای، ایده خوبی است که شماره نسخه وردپرس خود را پنهان کنید. این عدد در داده های متا صفحه و در فایل readme.html دایرکتوری نصب وردپرس شما نشان داده شده است. برای مخفی کردن این شماره، باید فایل readme.html را حذف کرده و شماره نسخه هدر را با افزودن خط زیر به فایل functions.php پوشه تم خود حذف کنید.

<?php remove_action('wp_head', 'wp_generator');?>

3. مراقب قالب یا افزونه های مخرب باشید

برخی از تم ها و افزونه های وردپرس حاوی کدهای باگ یا حتی مخرب هستند. اغلب اوقات کدهای مخرب با استفاده از رمزگذاری پنهان می شوند، بنابراین به راحتی قابل شناسایی نیستند. به همین دلیل شما باید آنها را فقط از منابع معتبر دانلود کنید. هرگز تم ها/افزونه های دزدی یا تهی را نصب نکنید و از موارد رایگان خودداری کنید مگر اینکه از مخزن رسمی تم ها/افزونه های وردپرس دانلود شده باشند.

تم ها/افزونه های مخرب می توانند بک لینک های مخفی را در سایت شما اضافه کنند، اطلاعات ورود به سیستم را بدزدند و به طور کلی امنیت وب سایت شما را به خطر بیندازند.

4. ویرایش فایل را غیرفعال کنید

وردپرس به مدیران این حق را می دهد که قالب و فایل های افزونه را ویرایش کنند. این ویژگی می‌تواند برای ویرایش‌های سریع بسیار مفید باشد، اما می‌تواند برای هکری که موفق به ورود به داشبورد مدیریتی می‌شود نیز مفید باشد. مهاجم می تواند از این ویژگی برای ویرایش فایل های PHP و اجرای کدهای مخرب استفاده کند. برای غیرفعال کردن این ویژگی خط زیر را در فایل wp-config.php اضافه کنید.

define('DISALLOW_FILE_EDIT', true);

5. wp-config.php را ایمن کنید

wp-config.php شامل تنظیمات پیکربندی مهمی است و مهمتر از همه شامل نام کاربری و رمز عبور پایگاه داده شما است. بنابراین برای امنیت وب سایت وردپرس شما بسیار مهم است که هیچ کس به محتوای آن فایل دسترسی نداشته باشد.

در شرایط عادی محتوای آن فایل در دسترس عموم نیست. اما ایده خوبی است که با استفاده از قوانین.htaccess یک لایه حفاظتی اضافی اضافه کنید تا درخواست‌های HTTP را رد کنید.

فقط این را به فایل htaccess در ریشه وب سایت خود اضافه کنید:

<files wp-config.php>

order allow,deny

deny from all

</files>

6. به کاربران اجازه ندهید در فهرست های وردپرس شما مرور کنند

خط زیر را در فایل.htaccess در پوشه ای که وردپرس نصب کرده اید اضافه کنید:

Options -Indexes

با این کار مرور دایرکتوری غیرفعال می شود. به عبارت دیگر از دریافت لیست فایل های موجود در فهرست های شما بدون فایل index.html یا index.php جلوگیری می کند.

7. نام کاربری را تغییر دهید

هکرها می دانند که رایج ترین نام کاربری در وردپرس “admin” است. بنابراین بسیار توصیه می شود که یک نام کاربری متفاوت داشته باشید.

بهتر است نام کاربری خود را در طول مراحل نصب تنظیم کنید، زیرا پس از تنظیم نام کاربری، نمی توان آن را از داخل داشبورد مدیریت تغییر داد، اما دو راه برای دور زدن این موضوع وجود دارد.

راه اول این است که یک کاربر مدیر جدید از داشبورد مدیریت اضافه کنید. سپس از سیستم خارج شوید و دوباره به عنوان کاربر جدید وارد شوید. به داشبورد مدیریت رفته و کاربری با نام admin را حذف کنید. وردپرس به شما این امکان را می دهد که همه پست ها و لینک ها را به کاربر جدید نسبت دهید.

اگر بیشتر از فناوری آگاه هستید، می توانید نام کاربری خود را به سادگی با اجرای یک پرس و جوی SQL تغییر دهید. به phpmyadmin بروید پایگاه داده خود را انتخاب کنید و پرس و جو زیر را ارسال کنید:

UPDATE wp_users SET user_login = 'NewUsername' WHERE user_login = 'admin';

مهم است که به خاطر داشته باشید که حتی اگر تمام توصیه های من را اجرا کنید، هرگز نمی توانید 100٪ در برابر هکرها محافظت کنید. اما نکات بالا باید برای کاهش احتمال هک شدن کافی باشد.