نقد پکیج: اولین سایت نقد و بررسی دوره های آموزشی

بالابردن امنیت وردپرس در سال 2023

عکس امنیت وردپرس

مقدمه

امنیت سایتتان فاکتوری است که به هیچ عنوان نمی توانید آن را حذف کنید. ممکن است زیر یک ساعت تمام زحمات شما به باد برود. این موضوع را جدی بگیرید و تمام نکات ارائه شده را جدی بگیرید.

گواهی ssl 

اولین چیزی که سایت وردپرس شما نیاز دارد ، گواهی ssl است. شما می توانید این گواهی را خریداری کنید. البته خیلی از هاست ها این مورد را به صورت رایگان در اختیار شما قرار می دهند. تنها کاری که باید انجام دهید ، فعال کردن آن است. 

همچنین پیشنهاد می شود از طریق افزونه ای مانند really simple ssl تمام صفحات را مجبور به استفاده از ارتباط رمزنگاری شده، کنید.

با استفاده از گواهی ssl ، کاربر مطمئن می شود ارتباط بین هاست و مرورگر رمزنگاری شده است.

رمز قوی 

یکی از اصولی ترین کارها این است که از رمز عبور قوی استفاده کنید. منظورمان این است که نام کاربری خود را از admin تغییر بدهید. همچنین رمزی انتخاب کنید که شامل عدد،حروف بزرگ،حروف کوچک و نشانه هایی مثل علامت تعجب،ستاره و … باشد. با این کار هکر به راحتی نمی تواند رمز عبور پنل وردپرس شما را حدس بزند. 

آپدیت افزونه ها 

روزانه ایرادات امنیتی زیادی کشف می شود. حتی برای خود وردپرس. شما نمی توانید در قبال این مورد کاری کنید. زیرا دسترسی به کد اصلی وردپرس ، یا افزونه های مختلف ندارید. مفید ترین کار این است که همیشه قالب،افزونه و وردپرس خود را آپدیت نگه دارید. این کار باعث می شود، اگر باگ امنیتی کشف شد هکر نتواند از آن ایراد امنیتی به خصوص ، برای سایت شما استفاده کند.

همچنین مطالعه کنید : نقد و بررسی دوره آموزش لینوکس lpic1 توسینسو

حذف افزونه های اضافه 

همان طور که در قسمت قبلی اشاره شد ، افزونه ها ممکن است حاوی ایرادات امنیتی باشند و هکر ها از آن برای هک کردن سایتتان استفاده کند. پس بهتر است افزونه های بلااستفاده را حذف کنید تا خیالتان از این بابت راحت تر باشد. 

حذف قالب های پیش فرض وردپرس 

قالب های پیش فرض وردپرس،داستان افزونه ها و ایرادات امنیتی مربوط به آنان را نیز دارد. اگر قصد دارید ، وب سایت قدرتمندی بسازید ، فکر نمی کنم نیاز به قالب های پیش فرض وردپرس داشته باشید. 

برای حذف این قالب ها وارد public_html شده و wp-content را انتخاب کنید. پس از آن وارد پوشه themes شوید. سپس محتویاتی که مربوط به قالب نصب شده خودتان نیست ، کاملا حذف کنید. 

بک آپ 

روزی ممکن است با هر روشی هکر بتواند به وب سایت شما نفوذ کند. اگر او قصد خرابکاری داشته باشد ، می تواند تمام فایل های وب سایت شما را حذف کند. بنابراین داشتن بک آپ از سایتتان جزو ضروری ترین کارهایی است که باید انجام دهید. 

شما می توانید از افزونه duplicator استفاده کنید. 

تغییر مسیر پیش فرض وردپرس 

تمام کسانی که با وردپرس کار کرده اند، می دانند با وارد کردن wp-admin جلوی آدرس وب سایت می توانند به پنل وردپرس دسترسی داشته باشند. بنابراین بسیار ضروری است تا این مسیر پیش فرض را تغییر دهید.  شما این کار را می توانید با افزونه wps hide login انجام دهید. 

همچنین مطالعه کنید : چگونه هکر بشوم ؟ حقیقت ماجرا ۲۰۲۳

غیرفعال کردن wp-login.php 

مانند قسمت قبل ، هکر ها می توانند با وارد کردن wp-login.php جلوی آدرس وب سایتتان ، وارد پنل وردپرس شوند.این موضوع بسیار حساس است. بنابراین این ویژگی باید غیر فعال شود. همین کار را هم می توانید با افزونه wps hide login استفاده کنید. 

رمز گذاری پوشه wp-admin 

محتویات پوشه wp-admin شامل اطلاعات بسیار حساسی است. از اسم پوشه مشخص است. فایل های مربوط به ادمین! مطمئن باشید شما دوست ندارید هکرها به فایل های wp-admin دسترسی داشته باشند. 

برای این کار اگر از cpanel استفاده می کنید، ابتدا وارد فایل منیجر مربوط به سایت خودتان شوید. و این مسیر را دنبال کنید : 

Public_html > wp-admin 

سپس روی این پوشه کلیک راست کنید و گزینه password protect انتخاب کنید . در صفحه جدید گزینه password protect this directory را تیک بزنید و save را انتخاب کنید. 

در صفحه جدید go back را انتخاب کنید.

سپس می توانید یک یوزرنیم و پسورد برای این پوشه انتخاب کنید. پیشنهاد می شود این مورد با پنل وردپرس تان مشابه نباشد.

غیرفعال کردن XML-RPC 

وردپرس از پروتکلی به نام XML-RPC استفاده می کند که برای بیشتر کاربران بی مصرف است! این پروتکل دستورات اجرایی را به صورت xml بر می گرداند. همین مورد باعث می شود تا هکرها بتوانند به پنل شما نفوذ کنند. 

برای غیرفعال کردن این پروتکل دردسر ساز از یک افزونه استفاده می کنیم : 

ابتدا افزونه disable xml-rpc را نصب کنید. 

سپس این افزونه را فعال کنید. 

و تمام ! نیازی به تنظیمات خاصی نیست. 

آپدیت نسخه php 

مانند هر چیز قدیمی شده ی دیگری در دنیای دیجیتال ، نسخه های قدیمی php هم نا امن است. برای آپدیت نسخه php خود وارد سی پنل شوید،در بخش software گزینه select php version را انتخاب کنید. در نهایت نسخه بروز php را انتخاب کنید. 

در پنل دایرکت ادمین این گزینه را در advanced features پیدا کنید. 

همچنین مطالعه کنید : نقد و بررسی دوره آموزش پایتون مقدماتی جادی

فعال کردن تایید دو مرحله ای 

بیایید و فرض کنیم هکر به هر طریقی توانست به پنل وردپرس شما نفوذ کند و رمز آن را حدس بزند. در این مرحله باید یک کد دیگری را وارد کند ، تا بتواند به سایت شما نفوذ کند. اما نکته اینجاست که این کد در اختیار شما است. 

برای فعال کردن قابلیت تایید دو مرحله ای وارد وردپرس شوید و از گزینه کاربران ، گزینه شناسنامه را انتخاب کنید. و سپس configure two-factor authentication و مراحل را به ترتیب جلو ببرید.

محدودیت نام کاربری / رمز عبور اشتباه 

اگر هکر بتواند پنل وردپرس شما را پیدا کند ، می تواند با استفاده از یک ربات تعداد زیادی از نام های کاربری و رمز عبور را تست کند. برای جلوگیری از این حمله می توان از افزونه Limit Login Attempts Reloaded استفاده کرد. 

با استفاده از این افزونه یک کاربر می تواند تنها 4 بار رمز عبور یا نام کاربری به اشتباه وارد کند. پس از آن برای 20 دقیقه مسدود می شود. شما می توانید از بخش تنظیمات این افزونه ، محدودیت ها را کمتر و بیشتر کنید. 

غیرفعال کردن ویرایشگر وردپرس 

با نفوذ به پنل مدیریت وردپرس تان ، نفوذگر می تواند با استفاده از ویرایشگر پوسته وردپرس کدهای مخرب اجرا کند. 

برای غیرفعال کردن این ویرایشگر به فایل wp-config.php مراجعه کنید و عبارت زیر را پیدا کنید: 

/* That’s all, stop editing! Happy blogging. */

سپس کد زیر را در بالای این خط اضافه کنید : 

define( ‘DISALLOW_FILE_EDIT’, true );

اضافه کردن ری کپچا 

با استفاده از ری کپچا می توانید مطمئن شوید ، در صورت پیدا شدن پنل وردپرس تان ،ربات ها نمی توانند نام کاربری و رمز عبوری وارد کنند. زیرا باید از مرحله “ربات نیستم” عبور کنند. برای این کار می توانید از افزونه simple google reCAPTCHA استفاده کنید. 

غیرفعال کردن ادیت فایل 

برای غیرفعال کردن ویرایش کدهای فایل هایی مثل wp-config.php وارد public_html بشوید. سپس در فایل .htaccess کد زیر را وارد کنید : 

<files wp-config.php>

order allow, deny

deny from all

<files/>

همچنین مطالعه کنید : نقد و بررسی دوره نتورک پلاس از سایت توسینسو

مجوز فقط خواندن

شما می توانید کاری کنید تا فایل  برای همه ی کاربران wp-config فقط قابل خواندن باشد. برای این کار فایل wp-config را پیدا کنید. سپس کلیک راست کنید. بعد از آن گزینه permission را انتخاب کنید. شما باید مجوز write را بردارید. سپس گزینه save را انتخاب کنید. 

تغییر پیشوند فایل های دیتابیس 

نفوذگران با استفاده از حملات sql ، می توانند به محتواهای دیتابیس شما نفوذ کنند. زیرا تمامی دایرکتوری دیتابیس های وردپرس با wp شروع می شوند. برای تغییر این مورد می توانید از افزونه change table prefix استفاده کنید. این موضوع بسیار ضروری است. زیرا هکرها می توانند با این روش به نام کاربری و رمز عبور شما دسترسی پیدا کنند. 

پنهان کردن ورژن وردپرس 

هکرها می توانند با چک کردن نسخه وردپرس شما ، آسیب پذیری هایی که برای آن نسخه از وردپرس کشف شده است ، استفاده کنند. بنابراین بهتر است نسخه وردپرس خودتان را از دید عموم پنهان کنید. 

برای این کار به فایل functions.php قالب خود مراجعه کنید و کد زیر را به این فایل اضافه کنید : 

function test_remove_version() {

return ”;

}

add_filter(‘the_generator’, ‘test_remove_version’);

غیرفعال کردن دایرکتوری بروزینگ

اگر با وارد کردن wp-content/uploads/ در جلوی آدرس وب سایتتان ، فایل هایی برای شما نمایش داده می شود ، خبر خوبی نیست. هکرها می توانند با استفاده از این موضوع متوجه شوند چه افزونه و قالب هایی نصب کرده اید و اگر باگ امنیتی در آنها دیده می شود ، از آن استفاده کند. 

برای غیر فعال کردن این ویژگی وارد پنل مدیریت خود شوید.(مثل cpanel) در بخش advanced گزینه indexes را انتخاب کنید. سپس جلوی public_html گزینه edit را انتخاب کنید. سپس گزینه no indexing را فعال و save کنید. 

تغییر پیغام خطای ورود به وردپرس

با وارد کردن نام کاربری یا رمز عبور پیغام خطایی برای شما نمایش داده می شود. با استفاده از آن متوجه می شوید که نام کاربری یا رمز عبورتان اشتباه است. هکرها هم می توانند با استفاده از این خطا ، مشکل کجاست. 

اگر بتوانیم این خطا را از دید عموم پنهان کنیم ، نفوذگر نمی تواند حدس بزند مشکل وارد نشدن از کجا نشات می گیرد. 

برای این کار کد زیر را به functions.php قالب خود اضافه کنید: 

function no_wordpress_errors(){

  return ‘Something is wrong!’;

}

add_filter( ‘login_errors’, ‘no_wordpress_errors’ );

 

غیرفعال کردن فایل های اجرایی PHP

در یک سری از دایرکتوری ها شما نیازی به اجرای فایل PHP ندارید. همانند /uploads . زیرا هکرها با آپلود کردن فایل های php می توانند به سایت شما دسترسی داشته باشند. برای غیرفعال کردن این ویژگی ، وارد wp-content و سپس uploads شوید. 

یک فایل به نام htaccess. ایجاد کنید. در نهایت کد زیر را به آن اضافه کنید:

<Files *.php>

deny from all

</Files>

مخفی کردن نام کاربری وردپرس

اگر فردی نام کاربری وردپرس شما را داشته باشد ، نصف مرحله را جلو رفته است. بنابراین برای محدود کردن دسترسی به نام کاربری تان این قطعه کد را به فایل .htaccess اضافه کنید : 

# BEGIN block author scans

RewriteEngine On

RewriteBase /

RewriteCond %{QUERY_STRING} (author=\d+) [NC]

RewriteRule .* – [F]

# END block author scans

افزونه های امنیتی 

شاید بتوان گفت مهم ترین بخش امنیت شما افزونه های امنیتی است که باید نصب کنید. ما سه افزونه به شما معرفی میکنیم:

  • Wordfence Security Pro
  • iThemes Security Pro
  • All-In-One Security (AIOS)

دو مورد اول نسخه پولی آن را تهیه کنید. مورد آخر قابلیت های رایگان آن برای شما کافی است. 

نقدهای مرتبط

5 1 رای
امتیازدهی به مقاله
اشتراک در
اطلاع از
guest

0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
درباره ما

اولین سایت نقد و بررسی دوره های آموزشی

به اشتراک‌گذاری نوشته
Facebook
Twitter
LinkedIn
Pinterest
تبلیغات
تبلیغات
گالری ما