چگونه امنیت وردپرس را ارتقا دهیم + نکات کلیدی

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که 43.2 درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند. متأسفانه، محبوبیت آن انواع مجرمان سایبری را که از آسیب‌پذیری‌های امنیتی این پلتفرم سوء استفاده می‌کنند، جذب می‌کند.

این بدان معنا نیست که WordPress دارای یک سیستم امنیتی وحشتناک است – نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد. بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.

بخوانبد: آموزش استفاده از SFTP (پروتکل انتقال فایل SSH)

چرا باید یک وب سایت وردپرسی را ایمن کنید؟

اگر وب سایت وردپرس شما هک شود، خطر از دست دادن داده ها، دارایی ها و اعتبار مهم را دارید. علاوه بر این، این مسائل امنیتی می تواند داده های شخصی و اطلاعات صورتحساب مشتریان شما را به خطر بیندازد.

هزینه خسارات جرایم سایبری می تواند تا سال 2025 به 10.5 تریلیون دلار در سال برسد. مطمئناً شما نمی خواهید به یک هدف هکر تبدیل شوید و در آن سهیم باشید.

• جعل درخواست بین سایتی (CSRF) – کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه وب قابل اعتماد انجام دهد.
• حمله انکار سرویس توزیع شده (DDoS) – خدمات آنلاین را با پر کردن اتصالات ناخواسته از کار می‌اندازد و در نتیجه یک سایت را غیرقابل دسترسی می‌کند.
• دور زدن احراز هویت – به هکرها امکان دسترسی به منابع وب سایت شما را بدون تأیید صحت آنها می دهد.
• تزریق SQL (SQLi) – سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا کند و داده ها را در پایگاه داده دستکاری کند.
• برنامه نویسی متقابل سایت (XSS) – کد مخربی را تزریق می کند که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.
• گنجاندن فایل محلی (LFI) – سایت را مجبور به پردازش فایل های مخرب قرار داده شده در وب سرور می کند.

چک لیست امنیتی وردپرس و نکات اضافی

اجرای یک یا دو اقدام امنیتی وردپرس برای ایمن کردن وب سایت وردپرس شما کافی نخواهد بود

چک لیست امنیتی وردپرس ما را دانلود کنید تا به پیگیری پیشرفت خود در اعمال اقدامات امنیتی مهم در وب سایت خود کمک کنید. ما همچنین نکات امنیتی وردپرس را برای کمک به محافظت بیشتر از سایت خود به اشتراک می گذاریم.

بهترین روش های عمومی برای بهبود امنیت وب سایت

در این بخش، به شش نکته کلی امنیتی وردپرس می پردازیم که به دانش فنی پیشرفته و سرمایه گذاری های پرخطر نیاز ندارند. حتی یک مبتدی نیز می‌تواند این کارهای ساده مانند به‌روزرسانی نرم‌افزار وردپرس و حذف تم‌های بلااستفاده را انجام دهد.

1. نسخه وردپرس را به طور منظم به روز کنید

وردپرس به‌روزرسانی‌های نرم‌افزاری منظم را برای بهبود عملکرد و امنیت منتشر می‌کند. این به روز رسانی ها همچنین از سایت شما در برابر تهدیدات سایبری محافظت می کنند.

به روز رسانی نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است. با این حال، نزدیک به 50٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.

برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، وارد بخش مدیریت وردپرس خود شوید و به داشبورد → به روز رسانی ها در پانل منوی سمت چپ بروید. اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.

به تاریخ های انتشار به روز رسانی آینده توجه داشته باشید تا مطمئن شوید که سایت شما نسخه قدیمی وردپرس را اجرا نمی کند.

همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را به روز کنید. تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.

این مراحل را دنبال کنید تا از شر تم ها و افزونه های قدیمی خلاص شوید

1. به پنل مدیریت وردپرس خود بروید و به Dashboard → Updates بروید.
2. به قسمت پلاگین ها و تم ها بروید و لیست تم ها و افزونه های آماده برای به روز رسانی را بررسی کنید. توجه داشته باشید که می توان آنها را به یکباره یا جداگانه به روز کرد.
3. روی Update Plugins کلیک کنید.
   

2. از اعتبارنامه ورود امن WP-Admin استفاده کنید

یکی از رایج‌ترین اشتباهاتی که کاربران مرتکب می‌شوند استفاده از نام‌های کاربری ساده و قابل حدس زدن است، مانند «admin»، «administrator» یا «test». این سایت شما را در معرض خطر حملات brute force قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایت‌های وردپرسی که پسورد قوی ندارند، استفاده می‌کنند.

بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.

از طرف دیگر، این مراحل را برای ایجاد یک حساب کاربری جدید سرپرست وردپرس با نام کاربری جدید دنبال کنید:

1. از داشبورد وردپرس خود، به قسمت Users → Add New بروید.
   
2. یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید. یک رمز عبور اضافه کنید و پس از اتمام کار، دکمه افزودن کاربر جدید را فشار دهید.

اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید. همچنین توصیه می کنیم از بیش از 12 کاراکتر استفاده کنید زیرا شکستن رمزهای عبور طولانی تر بسیار سخت تر است.

اگر برای ایجاد رمز عبور قوی به کمک نیاز دارید، از ابزارهای آنلاین مانند LastPass و 1Password استفاده کنید. همچنین می توانید از خدمات مدیریت رمز عبور آنها برای ذخیره ایمن رمزهای عبور قوی استفاده کنید. به این ترتیب، شما مجبور نیستید آنها را حفظ کنید.

پس از ایجاد نام کاربری مدیریت وردپرس جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل انجام این کار وجود دارد:

1. پس از ایجاد نام کاربری مدیریت وردپرس جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل انجام این کار وجود دارد:
2. به Users → All Users بروید.
   
3. اکانت مدیریت قدیمی را که می خواهید حذف کنید انتخاب کنید. منوی کشویی Bulk Actions را به Delete تغییر دهید و روی Apply کلیک کنید.

برای ایمن نگه داشتن سایت خود، همچنین مهم است که قبل از ورود به سیستم، شبکه را بررسی کنید. اگر به طور ناآگاهانه به Hotspot Honeypot متصل هستید، شبکه ای که توسط هکرها اداره می شود، در معرض خطر لو رفتن اعتبار ورود به اپراتورها هستید.

حتی شبکه‌های عمومی مانند وای‌فای کتابخانه مدرسه ممکن است آنقدر که به نظر می‌رسد امن نباشند. هکرها می توانند اتصال شما را رهگیری کرده و داده های رمزگذاری نشده، از جمله اعتبار ورود به سیستم را به سرقت ببرند.

به همین دلیل، توصیه می کنیم هنگام اتصال به یک شبکه عمومی از VPN استفاده کنید. این یک لایه رمزگذاری برای اتصال فراهم می کند و رهگیری داده ها را سخت تر می کند و از فعالیت های آنلاین شما محافظت می کند.

3. Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید

فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند. برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri نیاز دارید.

با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد. URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند. هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد

Sucuri دارای ویژگی مشابهی به نام لیست سیاه مسیر URL است. ابتدا آدرس صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد. سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.

از طرف دیگر، با پیکربندی فایل htaccess. سایت خود، دسترسی به صفحه ورود خود را محدود کنید. برای دسترسی به فایل به دایرکتوری ریشه خود بروید.

افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.

</Files>

این قانون باید بعد از دستورات # BEGIN WordPress و # END WordPress قرار گیرد، همانطور که در زیر نشان داده شده است.

این قانون حتی اگر IP ثابت نداشته باشید اعمال می شود، زیرا می توانید ورود به سیستم را به محدوده مشترک ISP خود محدود کنید.

همچنین می توانید از این قانون برای محدود کردن سایر URL های احراز هویت شده مانند /wp-admin استفاده کنید.

4. از قالب های مورد اعتماد وردپرس استفاده کنید

تم های نال شده وردپرس نسخه های غیرمجاز تم های اصلی هستند. در بیشتر موارد، این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولا مشکلات امنیتی زیادی دارند.

اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند. علاوه بر این، این تم ها می توانند درهای پشتی برای سوء استفاده های دیگری باشند که می توانند سایت وردپرس شما را به خطر بیندازند.

از آنجایی که تم های نال شده به صورت غیرقانونی توزیع می شوند، کاربران آن ها هیچ گونه حمایتی از سوی توسعه دهندگان دریافت نمی کنند. این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.

برای جلوگیری از تبدیل شدن به یک هدف هکر، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید. از طرف دیگر، تم های شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید.

5. گواهی SSL را نصب کنید

لایه سوکت های امن (SSL) یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.

علاوه بر این، گواهی‌های SSL همچنین بهینه‌سازی سایت وردپرس را برای موتورهای جستجو (SEO) تقویت می‌کند و به آن کمک می‌کند بازدیدکنندگان بیشتری جذب کند.

وب‌سایت‌هایی با گواهی SSL نصب شده از HTTPS به جای HTTP استفاده می‌کنند، بنابراین شناسایی آنها آسان است.

اکثر شرکت های هاستینگ شامل SSL با برنامه های خود هستند. به عنوان مثال، Hostinger یک گواهی رایگان Let’s Encrypt SSL را در تمام برنامه های میزبانی خود ارائه می دهد.

پس از نصب گواهی SSL در حساب میزبانی خود، آن را در وب سایت وردپرس خود فعال کنید.

افزونه هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می توانند جنبه های فنی و فعال سازی SSL را با چند کلیک کنترل کنند. نسخه پریمیوم Really Simple SSL می‌تواند هدرهای HTTP Strict Transport Security را فعال کند که استفاده از HTTPS را هنگام دسترسی به سایت اعمال می‌کند.

پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به تنظیمات → عمومی بروید و قسمت آدرس سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.

6. پلاگین ها و تم های استفاده نشده وردپرس را حذف کنید

نگه داشتن پلاگین ها و تم های استفاده نشده در سایت می تواند مضر باشد، به خصوص اگر افزونه ها و تم ها به روز نشده باشند. افزونه ها و تم های قدیمی خطر حملات سایبری را افزایش می دهند زیرا هکرها می توانند از آنها برای دسترسی به سایت شما استفاده کنند.

برای حذف یک افزونه وردپرس استفاده نشده مراحل زیر را دنبال کنید:

1. به Plugins → Installed Plugins بروید
2. لیست تمام افزونه های نصب شده را مشاهده خواهید کرد. روی Delete در زیر نام افزونه کلیک کنید.
   

توجه داشته باشید که دکمه حذف تنها پس از غیرفعال کردن افزونه در دسترس خواهد بود.

در همین حال، در اینجا مراحل حذف یک تم استفاده نشده وجود دارد:

1. از داشبورد مدیریت وردپرس خود، به Appearance → Themes بروید.
2. روی تمی که می خواهید حذف کنید کلیک کنید.
3. یک پنجره پاپ آپ ظاهر می شود که جزئیات تم را نشان می دهد. روی دکمه Delete در گوشه سمت راست پایین کلیک کنید.