افزایش امنیت وردپرس بصورت رایگان و حرفه ای

افزایش امنیت وردپرس یکی از مهم‌ترین اقداماتی است که هر مدیر سایت باید جدی بگیرد. با رعایت اصول امنیت حرفه‌ای وردپرس می‌توان از نفوذ هکرها، حملات مخرب و از دست رفتن اطلاعات جلوگیری کرد. اجرای تنظیمات درست و استفاده از ابزارهای معتبر، پایه‌ای‌ترین راه برای داشتن سایتی امن و پایدار است. ما در این آموزش نکات بسیار مهم و کاربردی را به شما آموزش میدهیم.

دقت داشته باشید که علاوه بر راهکارهای پایه برای افزایش امنیت وردپرس مانند استفاده از رمزهای عبور قدرتمند و ترکیبی، به‌روزرسانی منظم افزونه‌ها و هسته وردپرس، و انتخاب هاستینگ معتبر، روش‌های پیشرفته‌تری نیز وجود دارد. در این بخش قصد داریم راهکارهای فنی‌تر و تخصصی را معرفی کنیم تا بتوانید سطح امنیت حرفه ای وردپرس خود را به شکل قابل توجهی ارتقا دهید

غیرفعال کردن ویرایش فایل‌ها در وردپرس

وردپرس به‌طور پیش‌فرض یک ویرایشگر داخلی دارد که امکان تغییر مستقیم فایل‌های قالب و افزونه‌ها را از بخش مدیریت فراهم می‌کند. شاید این قابلیت در نگاه اول کاربردی باشد، اما در واقع می‌تواند یک تهدید جدی برای امنیت سایت باشد. به همین دلیل، برای افزایش امنیت وردپرس توصیه می‌شود این قابلیت را غیرفعال کنید.

اگر نیاز به افزودن کدهای CSS سفارشی دارید، بهترین روش این است که آن‌ها را در فایل استایل قالب فرزند (Child Theme) قرار دهید، نه از طریق ویرایشگر داخلی.

برای غیرفعال کردن ویرایشگر، کافی است کد زیر را به فایل wp-config.php اضافه کنید یا از افزونه‌های مدیریت کد مانند WPCode استفاده نمایید:

// جلوگیری از ویرایش فایل‌ها
define( 'DISALLOW_FILE_EDIT', true );

این کار تنها با یک خط کد انجام می‌شود و به شکل قابل توجهی سطح امنیت حرفه ای وردپرس شما را افزایش خواهد داد.

علاوه بر این، اگر ترجیح می‌دهید بدون تغییر فایل‌ها این قابلیت را غیرفعال کنید، می‌توانید از بخش Hardening در افزونه رایگان Sucuri استفاده کنید. این افزونه تنها با یک کلیک امکان غیرفعال‌سازی ویرایشگر قالب و افزونه‌ها را فراهم می‌کند.

جلوگیری از اجرای فایل‌های PHP در پوشه‌های خاص وردپرس

یکی از روش‌های مهم برای افزایش امنیت وردپرس، محدود کردن اجرای فایل‌های PHP در مسیرهایی است که نیازی به آن ندارند؛ برای مثال پوشه‌ی /wp-content/uploads/. این کار باعث می‌شود هکرها نتوانند از طریق فایل‌های آپلود شده به سایت نفوذ کنند.

برای انجام این کار کافی است یک فایل متنی جدید با نرم‌افزاری مثل Notepad باز کنید و کد زیر را داخل آن قرار دهید:

<Files *.php>
deny from all
</Files>

سپس فایل را با نام .htaccess ذخیره کرده و از طریق FTP در مسیر /wp-content/uploads/ سایت خود آپلود کنید. با این روش ساده، سطح امنیت حرفه ای وردپرس شما به شکل قابل توجهی افزایش پیدا می‌کند.

اگر به دنبال راه‌حل سریع‌تر هستید، افزونه رایگان Sucuri این قابلیت را در بخش Hardening تنها با یک کلیک در اختیار شما قرار می‌دهد.

غیرفعال کردن ایندکس و مرور پوشه‌ها در وردپرس

وقتی آدرس یکی از پوشه‌های سایت را در مرورگر وارد کنید، اگر فایل index.html وجود داشته باشد همان صفحه نمایش داده می‌شود. اما اگر چنین فایلی وجود نداشته باشد، مرورگر لیستی از فایل‌های موجود در آن پوشه را نشان می‌دهد. این قابلیت که به آن Directory Browsing گفته می‌شود، می‌تواند تهدیدی جدی برای امنیت سایت باشد.

هکرها با استفاده از این روش می‌توانند فایل‌هایی با آسیب‌پذیری شناخته‌شده را شناسایی کرده و از آن‌ها برای نفوذ به سایت استفاده کنند. علاوه بر این، افراد دیگر نیز قادر خواهند بود ساختار پوشه‌های شما را مشاهده کرده، تصاویر را کپی کنند و به اطلاعات حساس دسترسی پیدا کنند. به همین دلیل، برای افزایش امنیت وردپرس توصیه می‌شود ایندکس و مرور پوشه‌ها را غیرفعال کنید.

برای انجام این کار باید از طریق FTP یا فایل منیجر هاست خود به سایت متصل شوید. سپس فایل .htaccess را در مسیر اصلی سایت پیدا کنید.

در مرحله بعد، کافی است خط زیر را به انتهای فایل .htaccess اضافه کنید:

Options -Indexes

پس از ذخیره تغییرات، فایل را دوباره در هاست آپلود کنید. با این روش ساده، سطح امنیت حرفه ای وردپرس شما به شکل قابل توجهی افزایش خواهد یافت.

غیرفعال کردن XML-RPC در وردپرس

XML-RPC یکی از APIهای اصلی وردپرس است که امکان اتصال سایت شما به اپلیکیشن‌های وب و موبایل را فراهم می‌کند. این قابلیت از نسخه 3.5 وردپرس به‌طور پیش‌فرض فعال شده است.

با وجود کاربردهای مفید، این ویژگی می‌تواند خطر بزرگی برای امنیت سایت باشد؛ زیرا امکان اجرای حملات Brute Force را به شکل گسترده فراهم می‌کند. به‌طور معمول، اگر هکری بخواهد 500 رمز عبور مختلف را امتحان کند، باید 500 بار تلاش جداگانه انجام دهد. افزونه‌هایی مانند Limit Login Attempts Reloaded می‌توانند چنین تلاش‌هایی را شناسایی و مسدود کنند.

اما با استفاده از قابلیت system.multicall در XML-RPC، هکر قادر است هزاران رمز عبور را تنها با 20 یا 50 درخواست امتحان کند. به همین دلیل، اگر از XML-RPC استفاده نمی‌کنید، توصیه می‌شود آن را غیرفعال کنید تا سطح افزایش امنیت وردپرس شما بالاتر برود.

بهترین روش برای غیرفعال کردن XML-RPC استفاده از فایل .htaccess است، زیرا کمترین فشار را بر منابع سرور وارد می‌کند.

کد زیر را در htaccess. قرار دهید:

# Block WordPress XML-RPC requests
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

اگر از فایروال اپلیکیشن وب (WAF) استفاده کنید، این قابلیت به‌طور خودکار مدیریت می‌شود و نیازی به تغییرات دستی نخواهید داشت. با این کار، سطح امنیت حرفه ای وردپرس شما به شکل قابل توجهی افزایش پیدا می‌کند.

اسکن وردپرس برای بدافزار و آسیب‌پذیری‌ها

یکی از مهم‌ترین اقدامات برای افزایش امنیت وردپرس، بررسی منظم سایت برای شناسایی بدافزارها و نشانه‌های نفوذ است. اگر افزونه امنیتی روی سایت نصب کرده باشید، این کار به‌طور خودکار و دوره‌ای انجام می‌شود.

با این حال، اگر متوجه کاهش ناگهانی ترافیک یا افت رتبه در نتایج جستجو شدید، بهتر است یک اسکن دستی انجام دهید. این کار را می‌توانید با استفاده از افزونه‌های امنیتی وردپرس یا ابزارهای آنلاین اسکن بدافزار انجام دهید.

روش کار این ابزارها بسیار ساده است؛ کافی است آدرس سایت خود را وارد کنید تا خزنده‌های آن‌ها کل صفحات را بررسی کرده و وجود کدهای مخرب یا بدافزارهای شناخته‌شده را گزارش دهند.

نکته مهم این است که بیشتر اسکنرهای وردپرس تنها قادر به هشدار دادن هستند و نمی‌توانند بدافزار را حذف کنند یا سایت هک‌شده را پاک‌سازی نمایند. بنابراین، اسکن تنها مرحله اول است و برای رسیدن به سطح بالای امنیت حرفه ای وردپرس باید اقدامات تکمیلی مثل پاک‌سازی و بازگردانی فایل‌های آلوده را نیز انجام دهید.

برخی اسکنر های آنلاین را در زیر لیست میکنیم:

Google Safe Browsing – Google Transparency Report

Website Security Checker | Malware Scan | Sucuri SiteCheck

Free Online Malware Scanner: Scan Your Website for Malware

افزونه افزایش امنیت وردپرس

افزونه تجاری IThemes Security Pro

سوالات متداول و کاربردی برای افزایش امنیت وردپرس

امنیت وردپرس یکی از مهم‌ترین دغدغه‌های مدیران سایت است و همیشه پرسش‌های زیادی در این زمینه مطرح می‌شود. در ادامه به رایج‌ترین سوالات و پاسخ‌ها درباره افزایش امنیت وردپرس می‌پردازیم.

آیا وردپرس امن است؟

وردپرس به‌طور پیش‌فرض با ساختار امن طراحی شده و اگر به‌روزرسانی‌های آن را به‌طور منظم انجام دهید، سطح امنیت بالایی خواهد داشت. با این حال، به دلیل محبوبیت زیاد، هکرها معمولاً سایت‌های وردپرسی را هدف قرار می‌دهند. خوشبختانه با رعایت چند نکته ساده می‌توانید احتمال نفوذ را به حداقل برسانید.

چه عواملی سایت وردپرسی را در معرض خطر قرار می‌دهد؟

هکرها از روش‌های مختلفی برای نفوذ استفاده می‌کنند؛ از حدس زدن رمز عبور گرفته تا نصب بدافزار و سوءاستفاده از ضعف‌های کدنویسی. این تهدیدات می‌توانند اطلاعات شما را سرقت کرده یا کنترل سایت را در دست بگیرند.

هر چند وقت یک‌بار باید وردپرس را به‌روزرسانی کنم؟

به‌روزرسانی منظم هسته وردپرس، قالب‌ها و افزونه‌ها ضروری است. بسیاری از آپدیت‌ها شامل رفع مشکلات امنیتی هستند. توصیه می‌شود حداقل هفته‌ای یک بار بررسی کنید و در صورت امکان از قابلیت آپدیت خودکار استفاده نمایید.

آیا نیاز به افزونه امنیتی دارم؟

استفاده از افزونه امنیتی اجباری نیست، اما می‌تواند سطح امنیت حرفه ای وردپرس شما را به‌طور چشمگیری افزایش دهد. این افزونه‌ها مانند یک دیوار دفاعی عمل کرده و از سایت در برابر حملات و بدافزارها محافظت می‌کنند.

از کجا بفهمم سایت من هک شده است؟

نشانه‌های هک شدن سایت شامل مواردی مانند ایجاد کاربران ناشناس، فایل‌های مشکوک، کند شدن سرعت سایت، تغییر مسیر بازدیدکنندگان به سایت‌های دیگر یا دریافت هشدار از گوگل و هاستینگ است.

اگر سایت هک شد چه باید کرد؟

در صورت هک شدن، آرامش خود را حفظ کنید و سریع اقدام نمایید. می‌توانید با شرکت هاستینگ تماس بگیرید، از افزونه‌های امنیتی برای پاک‌سازی استفاده کنید یا از متخصصان کمک بگیرید. اگر نسخه پشتیبان دارید، سایت را از آن بازگردانی کنید و حتماً رمزهای عبور وردپرس، دیتابیس و FTP را تغییر دهید.