امنیت وردپرس موضوعی است که از اهمیت زیادی برای هر صاحب وب سایت برخوردار است. Google هر روز در حدود 10،000+ وب سایت را برای بدافزار و حدود 50،000 وب سایت را برای هر هفته در لیست سیاه قرار می دهد.
اگر در مورد وب سایت خود جدی هستید ، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این راهنما ، ما بهترین نکات امنیتی WordPress را برای کمک به شما در محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک خواهیم گذاشت.
در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعه دهندگان به طور منظم مورد بازرسی قرار می گیرد ، کارهای زیادی می توان برای حفظ امنیت سایت شما انجام داد.
در WPBeginner ، ما معتقدیم که امنیت فقط رفع خطر نیست. این همچنین در مورد کاهش خطر است. به عنوان یک مالک وب سایت ، موارد زیادی وجود دارد که می توانید برای بهبود امنیت وردپرس خود انجام دهید (حتی اگر اهل فن نیستید).
ما تعدادی اقدامات عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.
برای سهولت کار ، ما یک جدول محتوا ایجاد کرده ایم که به شما کمک می کند تا به راحتی از طریق راهنمای امنیتی نهایی وردپرس خود حرکت کنید.
فهرست مطالب h4>
اصول امنیت وردپرس
امنیت وردپرس در مراحل آسان (بدون کدگذاری)
امنیت وردپرس برای کاربران DIY
آماده هستید؟ بیایید شروع کنیم.
چرا امنیت وب سایت مهم است؟ h4>
یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر ، رمزهای عبور ، سرقت نرم افزار مخرب را سرقت کنند و حتی می توانند بدافزار را به کاربران شما توزیع کنند.
بدترین ، ممکن است خود را در ازای پرداخت باج افزار به هکرها بدست آورید تا فقط به وب سایت خود دسترسی پیدا کنید.
در مارس 2016 ، گوگل گزارش داد که بیش از 50 میلیون کاربر وب سایت در مورد وب سایتی که از آن بازدید می کنند ممکن است حاوی بدافزار یا سرقت اطلاعات باشد ، اخطار داده شده است.
علاوه بر این ، هر هفته Google حدود 20،000 وب سایت را برای بدافزار و حدود 50،000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.
اگر وب سایت شما یک کسب و کار است ، پس باید بیشتر به امنیت وردپرس خود توجه کنید.
مانند اینکه مسئولیت محافظت از ساختمان فیزیکی فروشگاه آنها به عهده صاحبان مشاغل است ، به عنوان یک مالک مشاغل آنلاین مسئولیت محافظت از وب سایت مشاغل خود به عهده شما است.
[ بازگشت به بالا ↑ ]
به روزرسانی وردپرس h4>
وردپرس یک نرم افزار منبع باز است که به طور منظم حفظ و به روز می شود. به طور پیش فرض ، وردپرس به طور خودکار به روزرسانی های جزئی را نصب می کند. برای نسخه های اصلی ، شما باید دستی را به روز کنید.
وردپرس همچنین دارای هزاران افزونه و تم است که می توانید روی وب سایت خود نصب کنید. این افزونه ها و مضامین توسط توسعه دهندگان شخص ثالث که مرتباً به روزرسانی ها را نیز منتشر می کنند ، نگهداری می شوند.
این به روزرسانی های وردپرس برای امنیت و ثبات سایت وردپرسی شما بسیار مهم است. شما باید اطمینان حاصل کنید که هسته ، افزونه ها و طرح زمینه WordPress شما به روز باشد.
[ بازگشت به بالا ↑ ]
گذرواژه ها و مجوزهای کاربر قوی h4>
رایج ترین اقدامات هک وردپرس از رمزهای عبور سرقت شده استفاده می کند. با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند ، می توانید این کار را دشوار کنید. نه فقط برای قسمت مدیریت وردپرس ، بلکه همچنین برای حساب های FTP ، پایگاه داده ، میزبانی وردپرس حساب ، و آدرسهای ایمیل سفارشی که از نام دامنه سایت شما استفاده می کنند.
بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به سختی به خاطر سپرده می شوند. نکته خوب این است که دیگر نیازی به یادآوری رمزهای عبور نیست. می توانید از مدیر رمز عبور استفاده کنید. راهنمای ما را در نحوه مدیریت رمزهای عبور وردپرس .
راه دیگر برای کاهش خطر این است که به کسی اجازه دسترسی به حساب سرور وردپرس خود را ندهید ، مگر اینکه کاملاً مجبور هستید . اگر یک تیم بزرگ یا نویسنده مهمان دارید ، مطمئن شوید که نقشها و قابلیتهای کاربر در وردپرس قبل از اینکه حسابهای کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید.
[ بازگشت به بالا ↑ ]
نقش میزبانی وردپرس h4>
خدمات میزبانی وردپرس مهمترین نقش را در امنیت سایت وردپرس شما دارد. یک میزبانی مشترک خوب ارائه دهنده مانند Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می دهد.
در اینجا نحوه کار یک شرکت میزبان وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما وجود دارد.
- آنها به طور مداوم شبکه خود را از نظر فعالیت مشکوک رصد می کنند.
- همه شرکتهای میزبان خوب ابزاری در دست دارند که از حملات گسترده DDOS جلوگیری می کند
- آنها نرم افزار و سخت افزار سرور خود را به روز نگه می دارند تا از سو hack استفاده آسیب پذیری امنیتی شناخته شده در نسخه قدیمی توسط هکرها جلوگیری کنند.
- آنها آماده استفاده از نقشه های بازیابی حوادث و حوادث هستند که به آنها امکان می دهد از داده های شما در صورت تصادف بزرگ محافظت کنند.
در یک برنامه میزبانی مشترک ، منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این خطر در صورت آلوده شدن از طریق سایت در جایی که یک هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند ، باز می شود.
استفاده از مدیریت میزبانی وردپرس بستر امن تری را برای وب سایت شما فراهم می کند. شرکتهای مدیریت شده میزبان وردپرس پشتیبان گیری خودکار ، به روزرسانی خودکار وردپرس و پیکربندی های امنیتی پیشرفته تری را برای محافظت از وب سایت شما ارائه می دهند
ما WPEngine را به عنوان مورد نظر خود توصیه می کنیم ارائه دهنده میزبانی وردپرس مدیریت شده. آنها همچنین محبوب ترین در صنعت هستند. (به کوپن WPEngine ما مراجعه کنید).
[ بازگشت به بالا ↑ ]
امنیت وردپرس در مراحل آسان (بدون کدگذاری) h4>
ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. مخصوصاً اگر اهل فن نباشید. حدس بزنید – شما تنها نیستید.
ما به هزاران کاربر وردپرس در تقویت امنیت وردپرس خود کمک کرده ایم.
ما به شما نشان خواهیم داد که چگونه فقط با چند کلیک می توانید امنیت وردپرس خود را بهبود بخشید (بدون نیاز به کدگذاری).
اگر می توانید با اشاره و کلیک کلیک کنید ، می توانید این کار را انجام دهید!
راه حل پشتیبان گیری از وردپرس را نصب کنید h4>
پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید ، هیچ چیز 100٪ امن نیست. اگر می توان وب سایت های دولتی را هک کرد ، وب سایت شما نیز می تواند این کار را انجام دهد.
پشتیبان گیری به شما این امکان را می دهد که در صورت وقوع اتفاق بد ، سایت وردپرس خود را به سرعت بازیابی کنید
تعداد زیادی رایگان و پولی وجود دارد افزونه های پشتیبان گیری از وردپرس که می توانید استفاده کنید. مهمترین نکته ای که باید در مورد تهیه نسخه پشتیبان بدانید این است که شما باید به طور مرتب پشتیبان گیری از سایت کامل را در یک مکان از راه دور (نه حساب میزبانی خود) ذخیره کنید.
ما توصیه می کنیم آن را در یک سرویس ابری مانند آمازون ، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.
بر اساس تعداد دفعات به روزرسانی وب سایت خود ، تنظیمات ایده آل ممکن است یک بار در روز یا پشتیبان گیری در زمان واقعی باشد.
خوشبختانه با استفاده از افزونه هایی مانند VaultPress a این کار به راحتی قابل انجام است. > یا UpdraftPlus . هر دو قابل اطمینان هستند و از همه مهمتر استفاده از آنها آسان است (نیازی به کدگذاری نیست).
[ بازگشت به بالا ↑ ]
بهترین افزونه امنیتی وردپرس h4>
پس از پشتیبان گیری ، مورد بعدی که باید انجام دهیم این است که یک سیستم ممیزی و نظارت راه اندازی کنیم که همه موارد رخ داده در وب سایت شما را ردیابی کند.
این شامل نظارت بر یکپارچگی پرونده ، تلاشهای ناموفق برای ورود به سیستم ، اسکن بدافزار و غیره است
خوشبختانه این مورد توسط بهترین پلاگین رایگان امنیتی وردپرس قابل مراقبت است ، اسکنر Sucuri .
شما باید Sucuri رایگان را نصب و فعال کنید پلاگین امنیتی . برای جزئیات بیشتر ، لطفاً به راهنمای گام به گام ما در نحوه نصب افزونه وردپرس .
پس از فعال سازی ، باید به فهرست Sucuri در مدیر وردپرس خود بروید. اولین کاری که از شما خواسته می شود انجام دهید ایجاد یک کلید API رایگان است. این امکان ورود به سیستم حسابرسی ، بررسی یکپارچگی ، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.
مورد بعدی که باید انجام دهید این است که از فهرست تنظیمات روی برگه “سخت شدن” کلیک کنید. از هر گزینه استفاده کرده و بر روی دکمه “اعمال سخت شدن” کلیک کنید.
این گزینه ها به شما کمک می کند تا مناطق اصلی را که هکرها اغلب در حملات خود استفاده می کنند قفل کنید. تنها گزینه سخت افزاری که یک نسخه قابل پرداخت است ، Firewall Web Application است که در مرحله بعدی توضیح خواهیم داد ، بنابراین فعلاً از آن صرف نظر کنید.
همچنین بعداً در این مقاله به بسیاری از این گزینه های “سخت سازی” برای کسانی که می خواهند بدون استفاده از افزونه یا مواردی که به مراحل دیگری مانند “تغییر پیشوند پایگاه داده” یا “تغییر نام کاربری مدیر” نیاز دارند ، پرداخته ایم. “.
بعد از قسمت سخت شدن ، تنظیمات پیش فرض افزونه برای اکثر وب سایت ها به اندازه کافی خوب است و نیازی به تغییر ندارند. تنها چیزی که توصیه می کنیم سفارشی سازی شود “هشدارهای ایمیل” است.
تنظیمات پیش فرض هشدار می تواند صندوق ورودی شما را با ایمیل ها سر و صدا کند. ما توصیه می کنیم هشدارها را برای اقدامات اصلی مانند تغییر در افزونه ها ، ثبت نام کاربر جدید و غیره دریافت کنید. می توانید با رفتن به تنظیمات Sucuri »هشدارها ، هشدارها را پیکربندی کنید.
این افزونه امنیتی وردپرس بسیار قدرتمند است ، بنابراین تمام برگه ها و تنظیمات را مرور کنید تا تمام کارهایی که انجام می دهد مانند اسکن بدافزار ، گزارش های حسابرسی ، ردیابی تلاش برای ورود به سیستم و غیره.
فایروال برنامه وب (WAF) را فعال کنید h4>
ساده ترین راه برای محافظت از سایت خود و اطمینان از امنیت وردپرس ، استفاده از فایروال برنامه وب (WAF) است.
فایروال وب سایت قبل از اینکه به وب سایت شما برسد ، همه ترافیک های مخرب را مسدود می کند.
فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها امکان می دهد فقط ترافیک اصلی را به وب سرور شما ارسال کنند.
Firewall Level Application – این افزونه های فایروال پس از اینکه به سرور شما رسید اما قبل از بارگذاری بیشتر اسکریپت های WordPress ، ترافیک را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.
برای کسب اطلاعات بیشتر ، به لیست بهترین افزونه های فایروال وردپرس .
ما استفاده و توصیه می کنیم Sucuri به عنوان بهترین فایروال برنامه وب برای وردپرس. می توانید در مورد چگونگی Sucuri به ما کمک کرد 450،000 حمله وردپرس را در یک ماه مسدود کنیم .
بهترین قسمت در مورد فایروال Sucuri این است که با پاک سازی بدافزار و تضمین حذف لیست سیاه نیز همراه است. اساساً اگر قرار باشد زیر ساعت آنها هک شوید ، آنها تضمین می کنند که وب سایت شما را برطرف می کنند (مهم نیست که چند صفحه داشته باشید).
این ضمانت نامه بسیار محکمی است زیرا تعمیر وب سایت های هک شده بسیار گران است. کارشناسان امنیتی معمولاً هر ساعت 250 دلار هزینه می گیرند. در حالی که می توانید کل پشته امنیتی Sucuri را با 199 دلار در سال تهیه کنید.
امنیت وردپرس خود را با فایروال Sucuri بهبود بخشید ”
Sucuri تنها ارائه دهنده فایروال سطح DNS نیست. دیگر رقبای محبوب Cloudflare است. مقایسه بازگشت به بالا ↑ ]
سایت وردپرس خود را به SSL / HTTPS منتقل کنید h4>
SSL (لایه سوکت های امن) پروتکلی است که انتقال داده را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود که کسی در اطراف بو و سرقت اطلاعات را دشوار کند.
هنگامی که SSL را فعال کردید ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، همچنین علامت قفل کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد.
گواهینامه های SSL معمولاً توسط مقامات صدور گواهینامه صادر می شوند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع می شود. با توجه به هزینه اضافه شده ، بیشتر دارندگان وب سایت تصمیم گرفتند از پروتکل ناامن استفاده کنند.
برای رفع این مشکل ، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت گواهینامه های SSL رایگان را به دارندگان وب سایت ارائه دهد. پروژه آنها توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکتهای دیگر پشتیبانی می شود.
اکنون شروع به استفاده از SSL برای همه وب سایت های وردپرس خود از همیشه آسان تر است. اکنون بسیاری از شرکت های میزبان عنوان گواهی SSL رایگان برای وب سایت وردپرس خود .
اگر شرکت میزبان شما یکی را ارائه نمی کند ، می توانید یکی را از Domain.com . آنها بهترین و مطمئن ترین معامله SSL را در بازار دارند. با 10 هزار دلار ضمانت امنیتی و مهر امنیتی TrustLogo ارائه می شود.
امنیت وردپرس برای کاربران DIY
اگر همه کارهایی را که تاکنون ذکر کردیم انجام دهید ، حال شما کاملاً خوب است.
اما مثل همیشه ، کارهای سخت دیگری می توانید انجام دهید تا امنیت وردپرس خود را سخت تر کنید.
برخی از این مراحل ممکن است به دانش کدگذاری نیاز داشته باشند.
نام کاربری پیش فرض “admin” را تغییر دهید h4>
در قدیم ، نام کاربری مدیر پیش فرض وردپرس “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند ، این حملات را برای هکرها آسان تر می کند.
خوشبختانه ، وردپرس از آن زمان تاکنون این مورد را تغییر داده و اکنون شما را ملزم به انتخاب نام کاربری سفارشی در زمان نصب وردپرس .
با این وجود ، برخی از نصب کنندگان وردپرس با یک کلیک ، هنوز نام کاربری مدیر پیش فرض را روی “مدیر” تنظیم می کنند. اگر چنین موردی را مشاهده کردید ، احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید .
از آنجا که وردپرس به شما اجازه تغییر نام کاربری را به طور پیش فرض نمی دهد ، سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.
- نام کاربری مدیر جدید ایجاد کنید و نام قدیمی را حذف کنید.
- از افزونه تغییر نام کاربری استفاده کنید
- نام کاربری را از phpMyAdmin به روز کنید
ما هر سه مورد را در راهنمای دقیق خود در مورد نحوه تغییر صحیح نام کاربری وردپرس (گام به گام) .
توجه: ما در مورد نام کاربری به نام “مدیر” صحبت می کنیم ، نه نقش مدیر.
[ بازگشت به بالا ↑ ]
غیر فعال کردن ویرایش پرونده h4>
وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد فایل ها و تم های خود را از قسمت مدیر وردپرس خود ویرایش کنید. در دست اشتباه ، این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را خاموش کنید.
با افزودن کد زیر در پرونده wp-config.php .
// ویرایش پرونده را ممنوع کنید
تعریف ('DISALLOW_FILE_EDIT' ، درست است)؛
متناوباً ، می توانید این کار را با استفاده از ویژگی سخت شدن در افزونه رایگان Sucuri که در بالا ذکر کردیم ، با یک کلیک انجام دهید.
[ بازگشت به بالا ↑ ]
غیرفعال کردن اجرای فایل PHP در بعضی از دایرکتوری های وردپرس h4>
روش دیگر برای تقویت امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در فهرست هایی است که نیازی به آن نیست مانند / wp-content / uploads /.
می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را جای گذاری کنید:
انکار از همه Files>
در مرحله بعد ، شما باید این فایل را به صورت .htaccess ذخیره کرده و با استفاده از سرویس گیرنده FTP .
برای توضیحات بیشتر ، به راهنمای ما در نحوه غیرفعال کردن اجرای PHP در برخی دایرکتوری های وردپرس
متناوباً ، می توانید این کار را با استفاده از ویژگی سخت شدن در افزونه رایگان Sucuri که در بالا ذکر کردیم ، با یک کلیک انجام دهید.
[ بازگشت به بالا ↑ ]
محدود کردن تلاشهای ورود h4>
به طور پیش فرض ، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند. این باعث می شود سایت وردپرسی شما در برابر حملات brute force آسیب پذیر شود. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در رمز عبور دارند.
با محدود کردن تلاشهای ناموفق برای ورود به سیستم ، می توان این مشکل را به راحتی برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، به طور خودکار از آن مراقبت می شود.
با این وجود ، اگر تنظیمات فایروال را ندارید ، مراحل زیر را دنبال کنید.
ابتدا باید نحوه نصب افزونه وردپرس .
پس از فعال سازی ، برای راه اندازی افزونه به صفحه تنظیمات »ورود به سیستم LockDown مراجعه کنید.
برای دستورالعمل های دقیق ، نگاهی به راهنمای ما در چگونه و چرا باید تلاش برای ورود به سیستم را در وردپرس محدود کنید .
[ بازگشت به بالا ↑ ]
افزودن احراز هویت دو عامل h4>
روش احراز هویت دو عاملی با استفاده از روش احراز هویت دو مرحله ای ، کاربران را مجبور به ورود می کند. اولین مورد نام کاربری و گذرواژه است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد.
اکثر وب سایت های آنلاین برتر مانند Google ، Facebook ، Twitter به شما امکان می دهند آن را برای حساب های خود فعال کنید. همچنین می توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.
ابتدا باید پلاگین احراز هویت دو عامل . پس از فعال سازی ، باید روی پیوند “Two Factor Auth” در نوار کناری مدیریت وردپرس کلیک کنید.
بعد ، شما باید یک برنامه تأیید اعتبار را در تلفن خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator ، Authy و LastPass Authenticator در دسترس است.
توصیه می کنیم از LastPass Authenticator یا تأیید زیرا هر دو به شما امکان می دهند از حساب های خود در ابر پشتیبان تهیه کنید. درصورت گم شدن تلفن ، تنظیم مجدد یا خرید تلفن جدید ، این بسیار مفید است. تمام ورود به سیستم حساب شما به راحتی بازیابی می شود.
ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد. با این حال ، دستورالعمل ها برای همه برنامه های خودکار مشابه هستند. برنامه احراز هویت خود را باز کنید و سپس روی دکمه افزودن کلیک کنید.
از شما سال می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه بارکد اسکن را انتخاب کنید و سپس دوربین تلفن خود را بر روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.
این همه ، برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه دیگر که وارد وب سایت خود می شوید ، پس از وارد کردن رمز ورود ، کد auth دو عاملی از شما خواسته می شود.
به سادگی برنامه تأیید اعتبار را در تلفن خود باز کنید و کدی را که روی آن می بینید وارد کنید.
[ بازگشت به بالا ↑ ]
پیشوند پایگاه داده وردپرس را تغییر دهید h4>
به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند تمام جداول پایگاه داده وردپرس . اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند ، حدس زدن نام جدول شما برای هکرها آسان تر است. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.
می توانید با دنبال کردن آموزش گام به گام ما در نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت .
توجه: اگر سایت شما به درستی انجام نشود ، می تواند سایت شما را خراب کند. فقط در صورت احساس راحتی با مهارت رمزگذاری ، اقدام کنید.
[ بازگشت به بالا ↑ ]
رمز عبور محافظت از مدیر وردپرس و صفحه ورود h4>
به طور معمول ، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون محدودیت درخواست کنند. این به آنها امکان می دهد ترفندهای هک شده خود را امتحان کنند یا حملات DDoS را انجام دهند.
می توانید حفاظت اضافی از رمز عبور را در سطح سرور اضافه کنید ، که به طور موثر این درخواست ها را مسدود می کند.
دستورالعمل های گام به گام ما را در نحوه محافظت از رمز عبور مدیر وردپرس (wp-admin) .
[ بازگشت به بالا ↑ ]
نمایه سازی فهرست و فهرست را غیرفعال کنید h4>
هکرها می توانند از فهرست دایرکتوری استفاده کنند تا بفهمند آیا پرونده ای با آسیب پذیری های شناخته شده دارید یا خیر ، بنابراین آنها می توانند با استفاده از این پرونده ها دسترسی پیدا کنند.
برای جستجوی پرونده های شما ، کپی کردن تصاویر ، یافتن ساختار دایرکتوری و سایر اطلاعات ، افراد دیگر می توانند از فهرست فهرست استفاده کنند. به همین دلیل توصیه می شود فهرست بندی فهرست و فهرست را خاموش کنید.
شما باید با استفاده از مدیر پرونده FTP یا cPanel به وب سایت خود متصل شوید. سپس ، پرونده .htaccess را در فهرست ریشه وب سایت خود قرار دهید. اگر نمی توانید آن را در آنجا ببینید ، به راهنمای ما در چرا نمی توانید فایل htaccess را در وردپرس مشاهده کنید .
پس از آن ، باید خط زیر را در انتهای پرونده .htaccess اضافه کنید:
گزینه ها - شاخص ها
ذخیره و بارگذاری فایل .htaccess را به سایت خود فراموش نکنید. برای اطلاعات بیشتر در مورد این موضوع ، به مقاله ما در مورد مراجعه کنید. نحوه غیرفعال کردن فهرست فهرست در وردپرس .
[ بازگشت به بالا ↑ ]
غیرفعال کردن XML-RPC در وردپرس h4>
XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به شما کمک می کند سایت وردپرس شما را با برنامه های وب و موبایل متصل کنید.
به دلیل ماهیت قدرتمندی که دارد ، XML-RPC می تواند حملات brute-force را به میزان قابل توجهی تقویت کند.
به عنوان مثال ، به طور معمول اگر یک هکر بخواهد 500 گذرواژه مختلف را در وب سایت شما امتحان کند ، باید 500 بار ورود به سیستم جداگانه انجام دهد که توسط پلاگین ورود به سیستم قفل شده مسدود و مسدود می شود.
اما با XML-RPC ، یک هکر می تواند با استفاده از عملکرد system.multicall هزاران رمز عبور را با 20 یا 50 درخواست درخواست کند.
به همین دلیل است که اگر از XML-RPC استفاده نمی کنید ، توصیه می کنیم آن را غیرفعال کنید.
3 راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد ، و همه آنها را در آموزش گام به گام ما در نحوه غیرفعال کردن XML-RPC در وردپرس .
نکته: روش .htaccess بهترین روش است زیرا کمترین منابع را دارد.
اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، می توان این فایروال را از آن مراقبت کرد.
از بین رفتن خودکار کاربران بیکار در وردپرس h4>
کاربران وارد شده می توانند گاهی از صفحه دور شوند و این یک خطر امنیتی است. شخصی می تواند جلسه خود را ربوده ، گذرواژه ها را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.
به همین دلیل بسیاری از سایت های بانکی و مالی به طور خودکار از یک کاربر غیرفعال خارج می شوند. شما می توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.
شما باید غیرفعال را نصب و فعال کنید. افزونه ورود به سیستم . پس از فعال سازی ، برای پیکربندی تنظیمات افزونه به صفحه تنظیمات »خروج غیرفعال مراجعه کنید.
به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید.
س Screenالات امنیتی را به صفحه ورود وردپرس اضافه کنید h4>
افزودن س securityال امنیتی به صفحه ورود به سیستم وردپرس دسترسی غیرمجاز برای کسی را حتی دشوارتر می کند.
می توانید س questionsالات امنیتی را با نصب پلاگین س Securityالات امنیتی WP . پس از فعال سازی ، برای پیکربندی تنظیمات افزونه باید به صفحه تنظیمات »س Quesالات امنیتی بروید.
برای جزئیات بیشتر ، به آموزش ما در نحوه افزودن س questionsالات امنیتی به صفحه ورود وردپرس .
در حال اسکن وردپرس برای بدافزار و آسیب پذیری h4>
اگر یک افزونه امنیتی وردپرس نصب کرده باشید ، آن پلاگین ها به طور منظم از نظر بدافزار و علائم نقض امنیت بررسی می شوند.
با این وجود ، اگر افت ناگهانی در بازدید از وب سایت یا رتبه بندی جستجو ، پس ممکن است بخواهید دستی اسکن را اجرا کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید ، یا از یکی از اینها استفاده کنید بدافزار و اسکنرهای امنیتی .
اجرای این اسکن های آنلاین کاملاً رو به جلو است ، شما فقط URL های وب سایت خود را وارد کرده و خزنده های آنها از طریق وب سایت شما به دنبال بدافزار شناخته شده و کد مخرب می گردند.
اکنون بخاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت هک شده وردپرس را تمیز کنند.
این امر ما را به بخش بعدی می رساند ، بدافزارها و سایت های وردپرس هک شده را تمیز می کنیم.
رفع سایت هک شده وردپرس h4>
بسیاری از کاربران وردپرس تا زمان هک شدن وب سایت خود ، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی کنند.
تمیز کردن سایت وردپرس بسیار دشوار و وقت گیر است. اولین توصیه ما این است که اجازه دهید یک متخصص از آن مراقبت کند.
هکرها backdoors در سایتهای آسیب دیده ، و اگر این درهای پشتی به درستی برطرف نشوند ، وب سایت شما احتمالاً دوباره هک خواهد شد.
اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri a > برای اصلاح وب سایت خود اطمینان حاصل کنید که سایت شما برای استفاده مجدد از آن ایمن است. همچنین از شما در برابر حملات بعدی محافظت می کند.
برای کاربران ماجراجو و DIY ، راهنمای گام به گام در رفع یک سایت هک شده وردپرس .
همه اینها است ، امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی WordPress را بیاموزید و همچنین بهترین افزونه های امنیتی WordPress را برای وب سایت خود کشف کنید.
اگر این مقاله را دوست داشتید ، لطفاً در کانال YouTube برای آموزش های ویدئویی وردپرس. همچنین می توانید ما را در Twitter و فیس بوک .
منبع:
https://www.wpbeginner.com/beginners-guide/the-ultimate-wordpress-security-guide-step-by-step/.