8 اقدام برای امنیت وردپرس _ ایمن نگه داشتن سایت

تهدیدهای امنیتی، منحصر به وردپرس نیستند.

هر پلتفرم، چه خصوصی و چه منبع باز، 24/7 مورد حمله قرار می‌گیرد.

خوشبختانه، جامعه وردپرس راه‌حل‌های زیادی برای آسان‌تر کردن کار ارائه می‌دهد.

در زیر چند مرحله کلیدی برای محافظت از سایت وردپرس در برابر تهدیدهای امنیتی.

چگونه از سایت وردپرس محافظت کنیم

هشت اقدام اساسی وجود دارد که همه ناشران وردپرس باید برای کاهش فعالیت‌ها و آسیب‌پذیری‌های مخرب در نظر بگیرند.

پیروی از این بهترین شیوه‌ها کمک می‌کند تا اطمینان حاصل شود که یک سایت وردپرس برای مقابله با یورش هکرهایی که هر روز وب‌سایت‌ها را بررسی می‌کنند، آماده است:

• از HTTPS استفاده کنید.
• از کلمه “admin” به عنوان نام کاربری سرپرست خود استفاده نکنید.
• استفاده از رمزهای عبور قوی را اجباری کنید.
• افزونه ها و تم ها را به روز کنید.
• طرح پشتیبان‌گیری از وب‌سایت.
• استفاده از افزونه ها را به حداقل برسانید.
• احراز هویت دو مرحله ای.
• یک فایروال و اسکنر آسیب پذیری وردپرس را نصب کنید.

بیایید هر یک از این موارد را با جزئیات بیشتری بررسی کنیم.

1. HTTPS/SSL

اکنون، اکثر سایت‌ها از HTTPS استفاده می‌کنند. اما اگر سایت شما از HTTPS استفاده نمی کند، با میزبان وب خود در مورد افزودن گواهی SSL رایگان مشورت کنید.

فقط آدرس وردپرس و آدرس سایت را با استفاده از https:// تنظیم کنید. این را می توان در برگه تنظیمات عمومی انجام داد.

اگر سایت در حال ارتقاء از حالت ناامن به ایمن است، افزونه واقعا ساده SSL (که توسط بیش از 5 میلیون وب سایت استفاده می شود) ارزش بررسی دارد، زیرا واقعاً با مدیریت تغییر مسیرها و سایر وظایف مرتبط، تبدیل به HTTPS را ساده می کند.

SSL واقعا ساده همچنین با ارائه گزینه ای برای افزودن هدرهای امنیتی به کاهش تهدیدات امنیتی مانند جعل کلیک و حملات جعل بین سایتی کمک می کند.

این روزها، نصب گواهی SSL کار آسانی است.

بسیاری از میزبان‌های وب گواهینامه‌های SSL رایگان ارائه می‌دهند – به علاوه، این یک عامل رتبه‌بندی شناخته شده در Google است.

پس از تبدیل به HTTPS، بهتر است بررسی کنید که هیچ صفحه‌ای درخواست پیوند یا محتوای HTTP را نداشته باشد.

بررسی محتوای ترکیبی ضروری است.

محتوای ترکیبی زمانی است که دارایی‌های وب‌سایت ناامن (اسکریپت‌ها، تصاویر، ویدیوها و غیره) از صفحات HTTPS.

سایت خود را با قفل گمشده خزیده تا به سرعت مواردی از محتوای مختلط را شناسایی کرده و سپس اصلاح کنید خطاها با پیوند دادن به دارایی های HTTPS.

2. از نام کاربری سرپرست امن

استفاده کنید

تعداد زیادی از حملات امنیتی علیه صفحه ورود به سیستم وردپرس با نام کاربری “Admin” انجام می شود.

دو نوع حمله اصلی وجود دارد که سعی در شکستن رمز ورود به سیستم دارند:

• نیروی بی رحم.
• حمله به فرهنگ لغت.

حمله brute force زمانی است که نرم افزار هک خودکار سعی می کند رمز عبور مدیریت را با استفاده از ترکیب های مختلف کلمات، حروف و اعداد حدس بزند.

حمله فرهنگ لغت زمانی است که نرم افزار هک از رمزهای عبور رایج برای حدس زدن ورود سرپرست استفاده می کند.

در بسیاری از موارد، نام کاربری سرپرست این نرم افزار “Admin” است.

استفاده نکردن از کلمه “Admin” به عنوان یک نام کاربری یک مرحله ساده است که به امنیت یک سایت وردپرس کمک می کند.

برای برداشتن این قدم، می‌توانید با افزونه امنیتی Wordfence برای مسدود کردن خودکار هر انسان یا رباتی که سعی می کند با نام کاربری Admin وارد شود.

3. گذرواژه‌های قوی را اجرا کنید

به هیچ‌کس، به‌ویژه کاربرانی که دارای امتیازات در سطح سرپرست هستند، اجازه ندهید گذرواژه‌ای ایجاد کنند که قوی نیست.

حتی کاربران با امتیازات پایین وب سایت، مانند سطح مشترک، می توانند به یک بردار حمله تبدیل شوند. بنابراین، اجرای رمزهای عبور قوی برای همه افرادی که می توانند وارد سایت وردپرس شوند، مهم است.

افزونه امنیت وردپرس iThemes ، با بیش از 1 میلیون کاربر، تقویت رمز ورود به سیستم و همچنین احراز هویت دو مرحله ای را ارائه می دهد.

با استفاده از پلاگین Wordfence می توانید یک خط‌مشی امنیت وردپرس و رمز عبور که گذرواژه‌های قوی را اعمال می‌کند استفاده کنید.

4. به روز رسانی پلاگین ها و تم ها

برخی از به‌روزرسانی‌های افزونه‌ها، تم‌ها و خود نصب اصلی وردپرس برای رفع آسیب‌پذیری‌ها (پچ) هستند.

عدم به روز رسانی نرم افزار می تواند منجر به آسیب پذیر شدن سایت شود.

اکثر به‌روزرسانی‌ها به خوبی کار می‌کنند. در موارد نادر، یک به‌روزرسانی ممکن است چیزی را در نرم‌افزار تغییر دهد که با افزونه یا طرح زمینه دیگری درگیر می‌شود و باعث از کار افتادن سایت می‌شود.

اگر این اتفاق بیفتد، اگر از سایت پشتیبان‌گیری شده باشد، به راحتی می‌توانید سایت را به حالت قبلی برگردانید.

بهترین راه برای به روز رسانی پلاگین ها و تم ها این است که سایت را مرحله بندی کنید و بررسی کنید که آیا سایت با نرم افزار به روز شده آنطور که باید کار می کند.

اما اگر سایت را مرحله بندی نمی کنید، گزینه دوم این است که از سایت نسخه پشتیبان تهیه کنید و سپس آن را به روز کنید.

سایت را تست کنید تا مطمئن شوید همه چیز کار می کند. اگر سایت دچار مشکل شد، آن را با نسخه پشتیبان برگردانید.

گزینه سوم این است که همه افزونه‌ها را به‌روزرسانی خودکار تنظیم کنید تا حتی نیازی به فکر کردن به آن نباشید. اگر چیزی خراب شد، آن را به حالت قبلی برگردانید.

5. از وب سایت وردپرس خود نسخه پشتیبان تهیه کنید

تهیه نسخه پشتیبان از یک وب سایت به صورت روزانه بسیار مهم است.

موارد زیادی وجود دارد که ممکن است اشتباه پیش برود، و یک نسخه پشتیبان از وقوع یک فاجعه‌بار برای سایت جلوگیری می‌کند.

افزونه پشتیبانی وردپرس UpdraftPlus، با بیش از 3 میلیون کاربر، یک افزونه محبوب است و راه حل قابل اعتماد.

من از آن در همه وب‌سایت‌هایم استفاده می‌کنم و می‌توانم آن را با اطمینان توصیه کنم زیرا امنیت وردپرس را بالا می برند. من را به مناسبت طراحی مجدد وب سایتی که به خوبی پیش نرفت، نجات داد و به من این امکان را داد که به راحتی سایت را به نسخه قبلی بازگردانم.

یک راه حل محبوب دیگر WP Rollback نام دارد.

WP Rollback بیش از 200000 نصب دارد و افرادی که نرم افزار را ایجاد می کنند، توسعه دهندگان وردپرس مورد اعتماد و متخصص هستند.

با تم ها و افزونه هایی که از WordPress.org دانلود می شوند به خوبی کار می کند.

6. استفاده از پلاگین ها را به حداقل برسانید

هر افزونه ای که نصب می شود، احتمال اینکه یکی از آنها سایت را در معرض آسیب پذیری قرار دهد افزایش می دهد و امنیت وردپرس را به خطر می اندازند.

علاوه بر دلایل امنیتی، استفاده از افزونه‌های زیاد می‌تواند بر عملکرد سایت تأثیر بگذارد، و همچنین احتمال تداخل کد بین دو یا چند افزونه را افزایش می‌دهد و سایت را از کار می‌اندازد.

از قبل برنامه ریزی کنید که از کدام افزونه ها را می خواهید برای انجام آنچه نیاز دارید استفاده کنید.

برخی از افزونه‌ها می‌توانند چندین کار را انجام دهند و نیازی به نصب یک افزونه مستقل برای انجام آن یک کار را از بین ببرند.

7. اجرای احراز هویت دو مرحله ای

احراز هویت دو عاملی اصطلاحاً به این دلیل است که برای ورود به سایت وردپرس با فعال بودن این ویژگی به دو شکل شناسایی نیاز است.

اولین عامل نام کاربری و رمز عبور است.

دومین عامل، شکل دوم احراز هویت است، معمولاً با برنامه‌ای مانند Authy یا Google Authenticator که در تلفن همراه کاربر وجود دارد.

بنابراین، حتی اگر یک هکر به نام کاربری و رمز عبور دسترسی پیدا کند، نمی‌تواند بدون احراز هویت دوم وارد سیستم شود.

افزونه های وردپرس زیادی برای افزودن این ویژگی وجود دارد، از جمله:

WP 2FA

WP 2FA یک انتخاب محبوب برای افزودن احراز هویت دو مرحله‌ای است .

از چندین روش احراز هویت دو مرحله‌ای، از جمله Google Authenticator، Authy، پیوند ایمیل، OTP ایمیل، و اعلان فشاری پشتیبانی می‌کند.

روش‌های دیگری مانند احراز هویت صوتی و واتس‌اپ با نسخه حرفه‌ای موجود است.

امنیت ورود به سیستم Wordfence

Wordfence یک نام تجاری قابل اعتماد است. پلاگین احراز هویت دو مرحله ای مستقل آن از Authenticator، Authy، 1Password و FreeOTP پشتیبانی می کند.

به‌علاوه، افزونه‌های امنیتی مانند Wordfence و iThemes Security همچنین گزینه هایی برای روشن کردن احراز هویت دو مرحله ای دارد.

8. یک افزونه امنیت وردپرس

افزونه‌های امنیتی مفید هستند زیرا می‌توانند هر حفره امنیتی را ببندند و هکرهایی را که می‌خواهند از آن آسیب‌پذیری‌ها استفاده کنند، مسدود کنند.

دو نوع افزونه امنیت وردپرس وجود دارد:

• سخت کردن و اسکن امنیتی.
• دیوار آتش.

در اینجا چند ابزار پیشنهاد می کنم.

Sucuri Security

Sucuri یک انتخاب قابل اعتماد برای یک افزونه امنیتی است. متعلق به GoDaddy است.

Sucuri یک سایت را برای بدافزار اسکن می‌کند و گزینه‌هایی را برای سخت‌تر کردن سایت در برابر سوء استفاده‌ها ارائه می‌دهد.

انتخاب Sucuri آسان است زیرا مکمل یک افزونه فایروال، مانند Wordfence است.

نسخه پولی همچنین دارای فایروال است.

Jetpack Protect

Jetpack Protect توسط Automattic، شرکت سازنده WordPress ایجاد شده است. com، Akismet، WPScan، و WooCommerce، در میان دیگران.

Jetpack Protect اسکن روزانه بدافزار هسته، افزونه‌ها و تم‌های وردپرس را انجام می‌دهد.

این افزونه رایگان نسبتاً جدید است – در سال 2022 به یک افزونه مستقل تبدیل شد.

امنیت Wordfence – فایروال، اسکن بدافزار و امنیت ورود

Wordfence یک انتخاب محبوب برای امنیت وردپرس است. بیش از 4 میلیون نصب فعال وجود دارد.

Wordfence به عنوان یک دیوار آتش برای محافظت از یک وب سایت و امنیت وردپرس در برابر حملات هک عمل می کند و می تواند ربات های هک خودکار و هکرهای واقعی را در زمان واقعی ممنوع کند اگر فعالیت با الگوی یک هکر مطابقت داشته باشد.

کاربران می توانند فایروال Wordfence را با قوانینی پیکربندی کنند که می تواند فوراً هکرها را مسدود کند.

Wordfence همچنین با ارائه احراز هویت دو مرحله‌ای و غیرفعال کردن اجرای PHP در پوشه‌هایی که PHP نباید اجرا شود، به سخت‌تر شدن سایت در برابر هک شدن کمک می‌کند و امنیت وردپرس را بالا می برد.

یکی دیگر از مزایای Wordfence این است که وقتی افزونه نیاز به روز رسانی داشته باشد، این افزونه یادآورهای ایمیل را ارسال می کند.

نسخه پولی Wordfence قوانین فایروال را برای محافظت در برابر جدیدترین سوء استفاده ها به محض اطلاع Wordfence دریافت می کند.

امنیت iThemes

iThemes Security یک افزونه همه کاره است که یک وب سایت را اسکن و سخت می کند و همچنین ربات های بد را به عنوان فایروال مسدود می کند. بیش از یک میلیون نصب فعال وجود دارد و به نوعی برای امنیت وردپرس انتخابی درست می باشد.

iThemes بسیاری از فعالیت‌های مرتبط با امنیت را انجام می‌دهد، که آن را به یک انتخاب محبوب برای کسانی تبدیل می‌کند که ترجیح می‌دهند یک افزونه برای انجام همه این کارها انجام شود.

مراحل امنیتی اضافی وردپرس را بردارید

اینها مراحل اضافی برای ایجاد یک وضعیت امنیتی قوی هستند.

نسخه PHP خود را بررسی کنید

PHP نرم افزاری است که وردپرس روی آن اجرا می شود.

نسخه‌های قدیمی PHP می‌توانند یک سایت را در معرض آسیب‌پذیری‌های امنیتی قرار دهند.

مطمئن شوید که نسخه PHP مورد استفاده به وضعیت پایان عمر (EOL) نرسیده است.

اسکن آسیب پذیری آنلاین

در اینجا سه ​​ابزار آنلاین وجود دارد که آسیب‌پذیری‌ها را اسکن می‌کنند یا می‌گویند سایتی هک شده است:

آینده امنیت وردپرس

هکرها به همه سایت‌ها حمله می‌کنند، صرف نظر از اینکه از چه سیستم مدیریت محتوا (CMS) استفاده می‌شود.

WordPress محبوب ترین CMS در جهان است که آن را به هدف محبوب هکرها تبدیل می کند. .

خوشبختانه، وردپرس دارای یک جامعه بزرگ است که برای حفظ امنیت آن تلاش می کند، که مزیتی است که سایر پلتفرم ها امنیت وردپرس را ندارند.

همه دارندگان وب‌سایت وردپرس باید زمانی را در نظر بگیرند تا مطمئن شوند که اقدامات لازم برای حفظ کامل امنیت سایت وردپرس آنها انجام شده است.