تامین امنیت وردپرس [23 تکنیک برای جلوگیری از هک وردپرس]

تامین امنیت وردپرس و جلوگیری از هک سایت یکی از دغدغه‌های مهم مدیران وردپرسی است که نمیتوان به سادگی از کنار این موضوع عبور کرد. بنابراین در این آموزش افزایش امنیت وردپرس را به طور کامل بررسی خواهیم کرد و روش های جلوگیری از هک وردپرس را عنوان میکنیم.

وردپرس به دلیل محبوبیتی که در بین انواع سایت سازها دارد همواره در معرض هک و نفوذ قرار میگیرد. استفاده از سیستم مدیریت محتوای وردپرس برای راه اندازی بسیاری از سایت ها هم، باعث بیشتر و بیشتر شدن موضوع هک سایت وردپرسی شده است. از آنجایی که بحث امنیت یک موضوع نسبی است و نمیشود گفت یک سیستم امنیت کامل دارد بنابراین لازم است که از تمامی راهکارهای موجود برای افزایش امنیت در وردپرس کمک بگیرید.

در این مقاله از رسانه نکست میزبان فا قصد داریم به معرفی راه های تامین امنیت وردپرس بپردازیم که با استفاده از این روش‌ ها میتوانید امنیت سایت خود را افزایش داده و از هر گونه نفوذ و هک در سایت تا حد بسیار بالایی جلوگیری کنید. پس اگر شما هم در امنیت سایت خود دچار مشکل شدید و از سوی برخی افراد مورد حمله قرار می گیرید تا انتهای این مقاله با ما همراه باشید تا با فعال کردن و اضافه کردن روش‌های امنیتی که در این مقاله با هم مرور می کنیم امنیت وردپرس را افزایش دهیم.

آموزش افزایش امنیت وردپرس

زمانی که یک سایت هک شده و مورد نفوذ قرار میگیرد کلیه اطلاعات موجود در سایت مورد سرقت قرار خواهد گرفت. در بدترین شرایط برخی افراد بعد از نفوذ، بدون اینکه شما متوجه چیزی شوید با قرار دادن کدهای مخرب در بخش های مختلف سایت کاری می کنند که بتوانند به راحتی اطلاعات سایت شما را به صورت دائمی استخراج کنند.

گاها در ظاهر همه چیز در سایت شما به درستی کار میکند و مشکلی نمی بینید اما اطلاعات مهم سایت شما و کاربرانی که در سایت شما هستند مدام در حال درز کردن به خارج از سایت هستند.

پس از همین ابتدا که شروع به نصب وردپرس می کنید لازم است کلیه روش های افزایش امنیت وردپرس را به کار ببندید و از هک سایت و نفوذ در وردپرس جلوگیری کنید. از طرفی تامین امنیت یک سایت صرفا محدود به سیستم مدیریت محتوا نبوده و به هاست و سرور شما هم بر میگردد که باید در سطح بالایی از نظر امنیتی قرار داشته باشد. بنابراین در قدم اول سعی کنید از هاستی استفاده کنید که امنیت بالایی داشته باشد. در مقالات بعدی به نحوه افزایش امنیت در هاست هم خواهم پرداخت.

روش های جلوگیری از هک وردپرس

براساس آمار منتشر شده اصلی ترین و البته شایع ترین دلایلی که آمار هک شدن وبسایت ها را افزایش داده موارد زیر است که باتوجه ویژه به آنها می توانید تا حد زیادی امنیت سایت وردپرسی خود را افزایش دهید.

• رمزهای عبور ضعیف یا تکراری (چگونه برای وردپرس یک پسورد قوی بسازیم؟)
• استفاده از قالب یا افزونه های نال شده
• عدم بروزرسانی هسته وردپرس
• عدم بروزرسانی قالب و افزونه ها
• دسترسی افراد غیر مجاز به هاست
• وجود یوزرهای متعدد و غیرفعال روی وردپرس
• و…

تهیه نسخه پشتیبان به صورت فول بکاپ از هاست مهم ترین مساله ای است که در تامین امنیت وردپرس باید به آن توجه کنید. با استفاده از نسخه پشتیبان وردپرس که به صورت کامل تهیه شده هرگاه مشکلی از نظر امنیتی برای سایت پیش آمد میتوانید به راحتی با بازگردانی نسخه پشتیبان در کوتاه ترین زمان ممکن مشکل خود را برطرف کنید. بنابراین سعی کنید همیشه در بازه های زمانی کوتاه که حداقل هر دو روز یک بار است از هاست سی پنل یا دایرکت ادمین خود یک فول بک آپ تهیه کنید. برای این منظور میتوانید از آموزش نحوه تهیه فول بک‌آپ از هاست سی پنل استفاده کنید.

بسیار مهم است که قبلا از هر تغییری یک بکاپ کامل از سایت و دیتابیس خود تهیه کنید تا در صورت بروز مشکل یا تداخل آن را بازگردانی کنید چراکه پیکربندی سایت ها با یکدیگر متفاوت است و ممکن است کدی که در سایر وبسایت ها به خوبی عمل میکند، روی سایت شما تداخل داشته بباشد. بنابراین مسئولیت این اقدام بر عهده شماست!

1- افزایش امنیت سایت با به روز رسانی مداوم وردپرس

یکی از راه های نفوذ هکرهاف بروز نبودن وبسایت است. درمقوله تامین امنیت سایت های وردپرسی به روز بودن ورپرس و افزونه ها و قالب هایی که ازآنها استفاده می کنید اهمیت زیادی دارد. تیم وردپرس مدام در حال افزودن قابلیت های جدید و رفع مشکلات و باگ های امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت می شود باید در اولین فرصت اقدام به آپدیت وردپرس کنید. برای افزونه ها و قالب های استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید. اگر تمایل به آپدیت خودکار هسته وردپرس دارید راهنمای نحوه تنظیم بروز رسانی وردپرس به صورت خودکار را مطالعه کنید.

2- بروزرسانی قالب و افزونه های وردپرسی

موضوع دیگر در به روز بودن وردپرس تهیه افزونه و قالب وردپرس از منابع رسمی و مطمئن است. متاسفانه به دلیل مشکلات تحریم و بالا بودن نرخ ارز برای خرید محصولات اورجینال بسیاری از سایت های فروش قالب و افزونه وردپرس، محصولات منتشر شده را بدون خرید از منابع و با دانلود از سایت هایی که مشخص نیست با چه هدفی این فایل ها را برای دانلود قرار داده اند باعث نفوذ و هک سایت می شوند. بیشترین آمار هک وردپرس متعلق به سایت های استفاده کننده از قالب و افزونه های نال شده است پس سعی کنید تا جای ممکن حتما قالب و افزونه ای که در نظر دارید استفاده کنید را از منبع اصلی خریداری کنید. قالب و افزونه نال شده امکان بروزرسانی ندارند پس حتی اگر مطمئن باشید که فایل های سالمی را دانلود میکنید در آینده ای نه چندان دور به دلیل عدم بروزرسانی آنها، دچار مشکل خواهید شد و سایتتان سراسر باگ خواهد بود!

3- حذف افزونه های غیر فعال و بلااستفاده

وجود قالب و افزونه های متعدد امنیت سایت وردپرسی شما را به خطر می اندازد حتی برخی از افزونه ها دارای باگ امنیتی هستند که شانس هکرها برای نفوذ به وردپرس را دوچندان می کنند. در مرحله اول مطمئن شوید افزونه هایی که روی سایت شما فعال هستند همگی بروز باشند و در گام دوم تمام افزونه های بلااستفاده و غیر فعال را حذف کنید. در نهایت درمورد افزونه های فعال یک بازنگری داشته باشید و مواردی که نیاز نیست یا اهمیت چندانی ندارند را نیز حذف کنید. تا حد امکان سعی کنید از افزونه ها به صورت فکر شده استفاده کنید گاها میبینیم برای مواردی از افزونه استفاده می شود که نیاز مبرمی محسوب نمی شوند.

4- بک آپ گیری منظم وردپرس

بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشوند و در اکثر مواقع شاید متوجه این مسئله نشوید.سعی کنید همیشه از سایت خود نسخه بک آپ تهیه کنید تا اگر مشکلاتی در سایت شما رخ داد و یا سایت هک شد، بتوانید اطلاعات و فایل های کامل و سالم سایت خود را بدون مشکل بازیابی کنید و و به ادامه فعالیت خود در بستر سایت بپردازید. بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است.

5- رصد فعالیت کاربران وردپرس

با رصد فعالیت کاربران، خیلی سریع از وضعیت وبسایت خود و مخاطرات احتمالی اطلاع خواهید یافت. دیدن فعالیت هر کاربر به شما این امکان را می دهد که بدانید هر شخص روی سایت دقیقا چه کارهایی انجام داده است. WP Activity Log یکی از کارامدترین افزونه هایی است که به شما در رصد فعالیت کاربران سایتتان کمک میکند. این افزونه یک گزارش کامل از اقداماتی که توسط هر شخص صورت گیرفته را لیست خواهد کرد.

6- افزایش امنیت فایل wp-config.php

فایل wp-config.php یکی از مهم ترین فایل های هر سایت وردپرسی است که حاوی اطلاعات دیتابیس مثل یوزر و پسورد آن است. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هرراهی که بلد هستید، دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.

7- جلوگیری از هک وردپرس با افزایش امنیت فایل htaccess.

htaccess یکی دیگر از فایل های مهم در وردپرس است که با استفاده از این فایل میتوان کارهای مختلفی را روی سایت اعمال کرد. این فایل با استفاده از دستوراتی که قادر به اجرا کردن آنها است، در محافظت از فایل ها و پوشه های وردپرس نقش به سزایی دارد که با استفاده کردن از دستورات فایل htaccess. میتوانید امنیت سایت را افزایش دهید. رول ها و قوائد عموما در این فایل تعریف می شوند و وجود اختلال در این فایل می تواند منجر به از دسترس خارج شدن سایتتان شود.

8- افزایش امنیت پوشه wp-admin

پوشه wp-admin هم یکی از مهم ترین پوشه های وردپرس است و همانطور که از اسم این پوشه مشخص است، کارهای مربوط به مدیریت پیشخوان وردپرس را بر عهده دارد و با دسترسی به این پوشه میتوان به راحتی با تزریق کدهایی در فایل های موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتوانید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید. یا اینکه سعی کنید دسترسی به هاست خود را در اختیار هرشخصی قرار ندهید.

9- استفاده از رمز عبور قوی و سطح دسترسی

استفاده کردن از رمز عبور سست ساده ترین و شایع ترین موردی است که کار هکرها را آسان میکند و از عمده دلایل هک شدن سایت ها محسوب می شود. موضوع استفاده نکردن از رمز قوی صرفا محدود به وردپرس نیست و اگر پیگیر اخبار فناوری بوده باشید، هرساله گزارشات بسیار زیادی مبنی بر هک ایمیل کاربران منتشر میشود که در آن از رمزهای سست و معمولی استفاده کرده بودند. استفاده از رمز عبور صرفا محدود به رمز استفاده شده در وردپرس نیست. بلکه باید برای هر بخش از سایت خود مثل ورود به هاست، اکانت FTP، دیتابیس سایت و… هم از رمز قوی استفاده کنید.

10- توجه به سطح دسترسی کاربران زمان نقش های وردپرس

انتخاب سطح دسترسی درست برای کاربران هم یکی دیگر از نکاتی است که باید به آن توجه داشته باشید. معمولا در سایت های زیادی که به صورت تیمی عمل می کنند بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که همین مسئله باعث میشه امنیت وردپرس در خطر قرار بگیرد. باید این نکته را به خاطر داشته باشید که هیچ لزومی ندارد که همه اعضای تیم شما دارای نقش کاربری مدیر کل باشند، چرا که لو رفتن رمز یکی از کاربران باعث هک شدن کل سایت میشود. در بهترین حالت باید یکی از کاربران که مسئولیت کد نویسی و طراحی بخش های مختلف سایت را دارد نقش مدیر کل را داشته باشد و بقیه اعضای تیم تنها نقش نویسنده یا ویرایشگر را داشته باشند. در جدول زیر می توانید نقش کاربری و دسترسی مربوطه را مشاهده کنید و تغییراتی در سطح دسترسی کاربران خود اعمال کنید. دقت کنید به هر کدام بنابر نیازی که دارد دسترسی دهید، نه بیشتر!

نقش کاربری	توضیح	سطح دسترسی
سوپر ادمین	بالاترین حد ممکن که علاوه بر دسترسی به کل وبسایت، امکان مدیریت وردپرس شبکه را دارد.	بالاترین سطح دسترسی در وردپرس شبکه
ادمین	تمام دسترسی های یک مدیر را دارد مثل مدیریت کاربران و حذف و اضافه کردن، نب و فعال و غیرفعالسازی قالب و افزونه و…	بالاترین سطح دسترسی در وبسایت وردپرسی
ویرایشگر	دسترسی به بخش نوشته ها، امکان ویرایش نوشته های خود و دیگران و انتشار آنها	سطح بالاتر از نویسنده (مدیریت نوشته همگان و انتشار)
نویسنده	تنها به نوشته های خود دسترسی دارند (امکان ایجاد نوشته، ویرایش و انتشار نوشته خود) به نوشته سایر افراد دسترسی ندارند.	مدیریت نوشته های خود و امکان انتشار
مشارکت کننده	امکان ایجاد و ویرایش نوشته های خود را دارند اما امکان انتشار ندارند.	مدیریت نوشته های خود ولی عدم امکان انتشار
مشترک	محدودترین سطح دسترسی که تنها امکان نظردهی و بررسی و مشاهده پروفایل خود را دارد.	دسترسی فقط به پروفایل کاربری

11- افزایش امنیت پیشخوان وردپرس

صفحه ورود در وردپرس یکی از صفحات مهمی است که نگهداری از آن، هم برای جلوگیری از هک سایت و هم برای جلوگیری از حملات DDOS بسیار مهم وکلیدی است. بنابراین با روش های امنیتی مثل قرار دادن سوال امنیتی، پیاده سزی روش ورود دو مرحله ای گوگل و… میتوانید سایت را بسیار ایمن تر کنید. در ادامه به معرفی برخی از این روش ها میپردازیم.

• تغییر آدرس صفحه ورود به وردپرس
• محدودیت در تعداد دفعات ورود به وردپرس
• محدودیت در ورود با ایمیل در وردپرس
• استفاده از کپچا وردپرس
• ورود دو مرحله ای گوگل در وردپرس
• افزودن سوال امنیتی در صفحه ورود وردپرس
• غیرفعال کردن پیغام خطاهای وردپرس

تغییر آدرس صفحه ورود به وردپرس

وردپرس به صورت پیشفرض از آدرس wp-login.php برای صفحه ورود استفاده میکند که با مراجعه کردن به آدرس wp-admin هم به صورت خودکار به این صفحه هدایت خواهید شد. بنابراین اگر شخصی نام کاربری و رمز شما را بلد باشد به راحتی میتواند وارد پیشخوان وردپرس شده و کارهایی روی آن انجام دهد. برای همین میتوانید این آدرس و آدرس wp-admin را تغییر داده و از آدرس دلخواه استفاده کنید.

محدودیت در تعداد دفعات ورود به وردپرس

وردپرس به صورت پیشفرض هیچ محدودیتی برای تعداد دفعات تلاش برای ورود در سایت قرار نداده. اما راهکاری وجود دارد که میتوانید تعداد دفعات ورود به وردپرس محدود کنید به طوری که اگر بیش از تعداد دفعات مشخص شده، شخصی در صدد ورود به سایت بود برای مدت مشخصی حتی با رمز و نام کاربری درست هم قادر به ورود در وردپرس نباشند.

محدودیت در ورود با ایمیل در وردپرس

از نسخه 3 به بعد وردپرس قابلیتی به این سیستم مدیریت محتوا اضافه شد که علاوه بر نام کاربری با ایمیلی که دارید هم بتوانید در وردپرس وارد شوید. بنابراین ازآنجایی که با این ایمیل با بسیاری از افراد در ارتباط هستید پس امکان نفوذ در سایت بدون دانستن نام کاربری فراهم خواهد بود. برای غیرفعال کردن این قابلیت وارد هاست خود شده و سپس به مسیر /public_html/wp-content/themes/ مراجعه کنید. حالا وارد پوشه قالبی که استفاده میکنید شده و قطعه کد زیر را در فایل فانکشن قالب (functions.php) قرار داده و آن را ذخیره کنید.

remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );

بعد از قرار دادن کد بالا امکان ورود با ایمیل در وردپرس را نخواهید داشت و فقط با استفاده از نام کاربری میتوانید وارد وردپرس شوید.

استفاده از کپچا وردپرس

یکی ازراه های حمله به وردپرس با استفاده از تلاش برای ورود در سایت یا ارسال دیدگاه اسپم صورت میگیرد که حتما هم لزومی ندارد فرد وارد سایت شود بلکه هدف این است که که مدام درخواستی به سایت شما ارسال شده و CPU و منابع هاست شما درگیر میشود و در نهایت سایت از دسترس خارج خواهد شد. برای جلوگیری از این کار میتوانید از کپچا وردپرس استفاده کنید. استفاده از کپچا میتواند از نظرات اسپم هم جلوگیری کند.

ورود دو مرحله ای گوگل در وردپرس

چند سالی است که گوگل برنامه Google Authenticator را برای فراهم کردن قابلیت ورود دو مرحله‌ای ارائه کرده است. در این پروژه نیازی نیست که حتما کد تایید برای ورود به اکانت را از طریق SMS دریافت کنید، بلکه میتوانید برنامه مخصوص اندروید و IOS را را روی تلفن همراه خود نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید میشوند را برای کد ورود استفاده کنید. این سیستم محدود به محصولات گوگل نیست و با استفاده از این قابلیت میتوانید امکان ورود دو مرحله‌ای گوگل در وردپرس را هم فراهم کنید. برای این منظور آموزش فعالسازی تایید هویت دو مرحله ای گوگل هنگام ورود به وردپرس را دنبال کنید.

افزودن سوال امنیتی در صفحه ورود وردپرس

یکی دیگر از راه های افزایش امنیت در وردپرس استفاده از قابلیت سوال و جواب امنیتی است. در این روش هر کاربر میتواند با مراجعه به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب کرده و با تعیین جواب وقتی اقدام به ورود در سایت میکند تا زمانی که جواب تعیین شده را وارد نکرده قادر به ورود در وردپرس نخواهد بود برای این منظور از افزونه های وردپرسی نیز می توانید کمک بگیرید.

غیرفعال کردن پیغام خطاهای وردپرس

وقتی نام کاربری یا رمز عبور اشتباهی در صفحه ورود وردپرس وارد کنید پیام “نام کاربری xxx اشتباه است و یا شناسه معتبر نیست” نمایش داده میشود. هکر با توجه به پیام نمایش داده شده تشخیص میدهد که کدام یکی از اطلاعات ورود اشتباه هستند و در نهایت بعد از یافتن یکی از اطلاعات درست میتواند روی مورد بعدی تمرکز کرده و در زمان کوتاه ترین اقدام به هک سایت بکند.

// Remove error message on login screen
add_filter('login_errors', create_function('$a', 'return null;'));

برای غیرفعال کردن این قابلیت ابتدا از فایل functions.php یک بکاپ تهیه کنید سپس کد بالا را در فایل فانکشن قالب (functions.php) قرار داده و ذخیره کنید.

12- باگ امنیتی وردپرس و مخفی کردن نام کاربری وردپرس

در اکثر قالب های وردپرس وقتی بر روی نام نویسنده یک نوشته کلیک کنید به صفحه نویسنده هدایت خواهید شد که در آن نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده می‌شود! بنابراین اگر میبینید که نیازی به این قابلیت ندارید میتوانید چنین امکانی را از قالب خود غیرفعال کنید یا اینکه با استفاده از روش‌های موجود آدرس صفحه نویسنده را بر اساس آی دی نویسنده تعیین کنید که نام کاربری نویسنده ها مشخص نشود. اگر ان قابلیت فعال باشد، نام کاربری به سادگی قابل تشخیص خواهد بود و با پیدا کردن رمز عبور به راحتی می توان وارد وبسایت وردپرسی شما شد.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

با قرار دادن کد بالا در فایل htaccess. هاست خود میتوانید صفحات مربوط به نویسنده‌ها را در وردپرس به صفحه اصلی ریدایرکت کنید. البته وجود صفحه نویسنده مفید و کاربردی است توصیه ما این است که قابلیت نمایش نام کاربری نویسنده را مخفی کنید.

13- تغییر پیشوند جداول وردپرس

در حالت پیش‌فرض، وردپرس از _wp به عنوان پیشوند جداول در پایگاه داده وردپرس استفاده میکند. حالا در صورتی که هنگام نصب وردپرس اقدام به تغییر دادن آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد پیشنهاد می شو در ابتدا زمان نصب وردپرس پیشوند متفاوتی انتخاب کنید چنانچه بعد از نصب وردپرس تصمیم گرفتید که چنین اقدامی کنید میتوانید آموزش تغییر پیشوند جداول وردپرس را مطالعه کنید.

14- استفاده از SSL در وردپرس

استفاده از پروتکل امن HTTPS این امکان را به سایت شما میدهد که کلیه داده ها در محیطی امن رد و بدل شوند. بنابراین با استفاده از SSL در وردپرس میتوانید امنیت سایت را در حالت‌های مختلفی افزایش دهید. پیشنهاد میکنم حتما از SSL استفاده کرده و امنیت وردپرس را افزایش دهید.

15- غیرفعال کردن مشاهده پوشه های هاست

یکی از نکاتی که کاربران کمتر به آن توجه میکنند و بر اساس کانفیگ هاست ممکن است این قابلیت در هاست غیرفعال نشده باشد مرور پوشه ها در سایت است. Directory browsing میتواند توسط هکرها مورد استفاده قرار گرفته و فایل های موجود در هر پوشه به راحتی بررسی شده و با پیدا کردن راه های نفوذ به راحتی سایت شما هک شود. این مورد به همینجا محدود نمیشود و افراد میتوانند با پیدا کردن پوشه های شما فایل های موجود در هاست را هم مورد سرقت قرار دهند. بنابراین بهتر است این قابلیت را غیرفعال کنید. برای این منظور کارهای زیر را طی کنید.

1. وارد هاست خود شده و به مسیر public_html مراجعه کنید. (به محل نصب وردپرس)
2. فایل htaccess. را در ریشه وب سایت خود جستجو کرده و سپس برای ویرایش آن اقدام کنید.
3. دستور Options -Indexes را در انتهای فایل .htaccess اضافه کنید.
4. در نهایت فایل را ذخیره کنید.

در صورتی که از وردپرس برای ساخت فروشگاه اینترنتی استفاده میکنید باید بدانید که فروشگاه ساز ووکامرس این کار را به صورت خودکار انجام میدهد.

16- غیرفعال کردن ویرایشگر قالب و افزونه

یکی از قابلیت های وردپرس استفاده از ویرایشگر کد در پیشخوان وردپرس است که در منوهای نمایش و افزونه ها قرار دارد و با استفاده از این دو منو به ترتیب میتوانید به کلیه فایل های قالب وردپرس و افزونه وردپرس دسترسی داشته و آنها را ویرایش کنید. اگر شخصی بتواند وارد پیشخوان وردپرس شود به راحتی میتواند با وارد کردن کدهای مخرب کارهای خراب کارانه در سایت شما ایجاد کند که برای غیرفعال کردن این قابلیت میتوانید به ترتیب زیر عمل کنید.

1. وارد هاست خود شده و به مسیر public_html مراجعه کنید.
2. فایل wp-config.php را که در ریشه هاست قرار دارد را انتخاب کرده و به صفحه ویرایش فایل مراجعه کنید. (قبل از هر اقدامی از این فایل بکاپ بگیرید تا در صورت بروز مشکل آن را بازگردانی کنید).
3. حالا قطعه کد زیر را در بخش define این فایل قرار داده و ذخیره کنید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

بعد از قرار دادن کد بالا امکان ویرایش فایل های قالب و افزونه از طریق ویرایشگر پیشخوان وردپرس غیرفعال خواهد شد.

17- غیرفعال کردن اجرای فایل PHP در وردپرس

هاست به شما این اجازه را میدهد تا هر فایلی را در هر جایی قرار داده و با دستورات PHP هر کاری که میخواهید در سایت انجام دهید. برخی دایرکتوری ها هستند که اصلا نیازی به اجرای فایل های PHP در آنها نخواهید داشت از مهم ترین آنها پوشه uploads وردپرس است که فایل های چند رسانه ای مثل تصویر، ویدئو، صوت و… در این مسیر قرار میگیرد. بنابراین لازمه اجرای دستورات PHP را در این مسیر را با روش زیر غیرفعال کنید.

1. وارد هاست خود شده و به مسیر public_html/wp-content/uploads مراجعه کنید.
2. از فایل htaccess یک بکاپ تهیه کنید تا در صورت بروز مشکل آن را بازگردانی کنید.
3. کدهای زیر را در htaccess قرار دهید.

<Files *.php>
deny from all
</Files>

بعد از قرار دادن کد بالا در فایل htaccess. که در این پوشه قرار دارد به صورت کلی امکان اجرای PHP در این مسیر غیرفعال خواهد شد.

18- امینت سایت وردپرس با غیرفعال کردن XML-RPC

فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد که از جمله این موارد میشود به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویس‌هایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتواند همزمان 20 درخواست را به سایت ارسال کرده و اقدام به پیدا کردن رمز ورود در وردپرس کند که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست. پیشنهاد ی کنیم راهنمای افزایش امنیت سایت با غیرفعال کردن xml-rpc وردپرس را حتما مطالعه کنید.

19- بررسی فعالیت کاربران در وردپرس

یکی دیگر ازراه های امنیت وردپرس این است که رفتار کاربران سایت خود را زیر نظر بگیرید. این رفتار میتواند توسط سیستم آمار گیر سایت و یا افزونه ها صورت بگیرد که در صورت شناسایی و مشکوک شدن به کاربری کافیست اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید.

20- تغییر دوره ای رمز کلیه کاربران در وردپرس

معمولا کاربرانی که در سایت ثبت نام میکنند برای تغییر دوره ای رمز عبور هیچ اقدامی انجام نمیدهند. این مشکلات برای هر سایتی شاید مهم نباشد و به چشم نخورد، اما برای سایت های فراشگاه فایل که از ووکامرس یا افزونه های دیگر استفاده میکنند خیلی مهم هست. پس خودتان باید دست به کار شده و در بازه های زمانی چند ماهه کاری کنید که کاربران اقدام به تغییر رمز در وردپرس کنند.

21- استفاده از افزونه امنیت وردپرس

افزونه های امنیتی مختلفی برای وردپرس ساخته شده‌ که امکان فراهم کردن قابلیت‌های امنیتی را در وردپرس به شما خواهند داد. افزونه امنیت وردپرس iThemes Security امکاناتی مثل بک آپ گیری خودکار از دیتابیس وردپرس را به شما میدهد که هر زمان سایت مورد حمله قرار گرفتد با استفاده از نسخه پشتیبان وردپرس بتوانید مشکلات را برطرف کنید. در راهنمای معرفی بهترین افزونه های امنیتی وردپرس لیست کاملی را برای شما معرفی کرده ایم.

22- اسکن امنیتی سایت

روی هاست شما ابزارهای امنیتی برای اسکن ارائه شده است که می توانید در خصوص شناسایی ویروس و بدافزارها از آن ها استفاده کنید در این خصوص می توانید راهنمای ویروس یابی در سی پنل را مطالعه کرده و در بازه های زمانی منظم هاست خود را اسکن کنید. در سرویس های هاست میزبان فا اسکن امنیتی به طور مرتب صورت میگیرد و در صورت وجود موارد مشکوک اطلاع داده خواهد شد.

23- مخفی کردن نسخه وردپرس

به صورت پیش فرض کاربران می توانند نسخه فعلی وردپرس شما را مشاهده کنند این مساله شاید ساده به نظر برسد اما می تواند باعث به خطر افتادن امنیت وبسایت شما شود درواقع ممکن است به هر دلیلی هسته وردپرس خود را بروز نکرده باشید در چنین شرایطی با مشاهده نسخه وردپرس شما و سوء استفاده از باگ های موجود به سادگی امکان قربانی شدن شما وجود دارد.

عموما همزمان با ارائه نسخه جدید سیستم مدیریت محتوای وردپرس، باگ ها و مشکلات نسخه قبلی نیز طی گزارشاتی به صورت عمومی منتشر می شود بنابراین اینکه همواره وردپرس خود را بروز نگه دارید اهمیت خاص خودش را دارد اما باید در نظر داشته باشید که نسخه وردپرسی که استفاده میکنید هم قابل مشاهده نباشد. قبلا آموزشی برای مخفی کردن ورژن وردپرس ارائه کردیم که می توانید در این خصوص استفاده کنید.

تشخیص وبسایت وردپرسی هک شده

گاها تشخیص اینکه وبسایت هک شده کمی دشوار است و علائم بسیار ناواضحی از هک شدن سایت وجود دارد حتی گاهی اوقات کدهای مخربی به سایت وردپرسی تزریق شده اما صاحب وبسایت از وجود آنها بی اطلاع است. اما همیشه نشانه های زیر را جدی بگیرید:

• به اعلان و هشدارهای افزونه های امنیتی توجه کنید.
• ایمیل های میزبانی درخصوص موارد مشکوک را حتما پیگیری کنید.
• اگر به خطوط عجیب و غریبی از کدها برخورد کردید حتما از یک فرد متخصص بخواهید آنها را بررسی کند.
• اگر با کاهش سرعت ناگهانی و بدون سابقه مواجه شدید حتما آن را جدی بگیرید.
• تاریخچه ایمیل های ارسال شده از سمت وردپرس را بررسی کنید.
• ریدایرکت ها را جدی بگیرید.
• از ابزارهای اسکن امنیتی برای بررسی سلامت سایت کمک بگیرید و در صورت مشاهده علائم مشکوک این موصوع را با یک متخصص امنیتی مطرح کنید.
• همواره لیست کاربران و فعالیت های انجام شده توسط هر فرد را بررسی کنید و در صورت وجود موارد مشکوک، فعالیت های انجام شده وی را دنبال کنید.

در نهایت می توانید آموزش پاکسازی وب سایت هک شده بدون از دست رفتن اطلاعات را نیز مطالعه کنید تا بدانید در شرایط بحرانی چطور باید عمل کرد.

سوالات متداول درباره آموزش افزایش امنیت وردپرس

سخن آخر

امنیت سایت وردپرسی و انجام اقدامات پیشگیرانه برای جلوگیری از هک وردپرس بسیار مهم و البته ضروری است. در این جلسه به آموزش امنیت در وردپرس پرداختیم و گفتیم چه روش هایی برای ارتقاء سطح امنیت سایت وردپرسی وجود دارد و چطور می توان در برابر باگ امنیتی وردپرس مصون ماند. امیدوارم که این آموزش هم مورد توجه و پسند شما قرار گرفته باشه و با استفاده از راهکارهای معرفی شده در این مقاله بتوانید امنیت وردپرس را افزایش داده و اقدام به جلوگیری از هک وردپرس و نفوذر در سایت خودتون بکنید. در صورتی که در رابطه با این آموزش سوال یا مشکلی داشتید در بخش دیدگاه‌ها اعلام کنید تا در کوتاه ترین زمان ممکن پاسخگوی شما باشیم.