با سلام ;
همانطور که می دانید ، وردپرس محبوب ترین سیستم مدیریت محتوای وب با بیش از 60,000,000 کاربر است .اکثر کمپانی ها و سازمان های معتبر بین المللی مانند TechCrunch, Mashable ,NBC, CNN, CBS و لیگ فوتبال ایالات متحده از این سیستم استفاده می کنند.در کل حدود 2,500,000,000 صفحه ی وردپرسی در وب وجود دارد که روزانه توسط بیش از 300,000,000 نفر در سراسر جهان خوانده می شوند .همچنین هر روز 500,000 پست جدید توسط وبلاگ نویسان وردپرسی ارسال می شود و نیز 400,000 نظر به پست ها داده می شود.
این آمار و ارقام ،گستره استفاده از وردپرس و قدرت آن را نشان می دهد و با توجه به اینکه در آینده نزدیک، سیر نزولی برای آن متصور نیست ، باید در آینده منتظر بالا رفتن زیاد این آمارها هم باشیم.بنابراین ما باید یاد بگیریم که چگونه باید خودمان را در برابر حملات محافظت کنیم.زیرا هیچ تکنولوژی محبوب و گسترده وب نیست که مورد توجه هکرها و روبوت ها قرار نداشته باشد.
امروز می خواهیم در مورد نکته ها ، ترفندها و افزونه هایی برای محاظت از سایت و بالا بردن امنیت آن صحبت کنیم.البته این به این معنی نیست که شما باید از تک تک آنها استفاده کنید.
1.همیشه بروز باشید !
اینکه وردپرس شما همیشه بروز باشد ، نکته بسیار مهمی است ، زیرا توسعه دهندگان آن روی حفره های امنیتی و باگ ها کار می کنند و آنها را در قالب اصلاحیه هایی منتشر می کنند که وقتی سیستم بروز می شود ، اعمال شده و مشکلات را رفع می کند.این پروسه فقط چند ثانیه طول می کشد ولی کمک می کند تا وردپرس به خوبی و روانی اجرا شده و با افزونه های جدید نیز بیشترین هماهنگی را داشته باشد.
2.رمز عبور پیچیده ، کلید اسرار !
این نباید چیز جدیدی برای شما باشد . اگر مدتی در محیط وب فعالیت کرده باشید حتما می دانید که انتخاب یک رمز پیچیده همیشه توصیه شده است.رمزی که شامل حروف بزرگ و کوچک ، اعداد و سمبل های مختلف مثل & و @ باشد تا نتوان به راحتی آن را حدس زد.
3.نگاهی هم به سطوح دسترسی فایل ها
فکر بدی نیست که به سطح دسترسی فایل های وردپرس نگاهی بیندازید . در انتهای این مطلب لینک یک مقاله قرار دارد که به صورت کامل شما را در مورد سطوح دسترسی و چگونگی کار با آنها آشنا می کند.به علاوه اینکه با استفاده از برنامه های FTP مثل برنامه رایگان filezilla تغییر سطوح دسترسی به راحتی امکانپذیر است ، پس ما هم همین رو پیشنهاد می کنیم .
4.استفاده از htaccess
فایل htaccess در پوشه اصلی هاست شما موجود است.با استفاده از آن می توانید IP های مختلف را محدود کنید و برای این کار و نحوه انجام آن ، لینک یک مطلب کامل در پایین همین پست موجود است.
5.رمز گذاری SSL
رمز نگاری SSL برای کد کردن داده های ارسالی از وبلاگ شما کاربرد دارد.این به این معنی است که اگر کسی بین سایت و کاربر ، مسیر را شنود یا قطع کند و به داده ها دسترسی پیدا کند ، باز هم نخواهد توانست آنها را بخواند زیرا کدگذاری شده اند.ولی خبر بد این است که SSL یه سرویس پولی است ولی با این حال فعال کردن آن در وردپرس کار بسیار آسانی است . کافیست کد زیر را به فایل wp-config.php اضافه کنید :
define (‘FORCE_SSL_ADMIN’, true);
6.همیشه پشتیبان بگیرید !
هر هفته یکبار پشتیبان گیری از سایت چیز بسیار خوبیست که من همیشه پیشنهاد می کنم. مهم نیست شما چقدر از وبلاگ تان محافظت می کنید ، زیرا هر اتفاقی ممکن است رخ دهد. اساسا شما نمی توانید جلوی همه اتفاقات را بگیرید ( به فرض منفجر شدن سرور یا hijack) بنابراین با داشتن یک بک آپ می توانید اوضاع را به حالت قبل برگردانید.
7.فایل wp-config.php را اسکورت کنید !
این یکی از فایل های بسیار مهم و حیاتی وردپرس شماست و باید تمام تلاش خود را برای حفاظت از آن انجام دهید .با قرار دادن چند خط کد زیر در فایل htaccess می توانید آن را از دسترس عموم خارج کنید :
<Files wp-config.php> order allow, deny deny from all </Files>
حالا فایل مورد نظر از دید کاربران عمومی مخفی شده و دسترسی هکرها و روبوت ها به آن نیز سخت تر می شود.
8.هرگز از نام کاربری “admin” برای ورود استفاده نکنید
یک اشتباه فراگیر این است که از همان نام کاربری پیش فرض “admin” برای مدیریت استفاده می شود.با این کار یکی از دو کلید ورود را تقدیم مهاجمان کرده اید و فقط رمز عبور باقی می ماند. پس اگر تازه می خواهید وردپرس را نصب کنید ، در همان مراحل نصب می توانید آن را به یک نام دیگر تغییر دهید و اگر از قبل نام کاربری شما همین است ، با phpmyadmin می توانید آن را در دیتابیس تغییر دهید ( توجه کنید که مسئولیت دستکاری و تغییر دیتابیس متوجه خود شماست و ما مسئولیتی در این مورد نداریم)
9.استفاده از SFTP به جای FTP
بسیاری اوقات فایل هایمان را با استفاده از FTP آپلود می کنیم اما می توانیم از گزینه امن آن (SFTP) استفاده کنیم تا فایل ها به صورت رمزنگاری شده به هاست ارسال شوند.راهنمای کامل این کار را می توانید در این لینک مشاهده کنید.
Login Lockdown
شما همچنین می توانید از پلاگین Login Lockdown نیز استفاده کنید ولی قبل از آن مطمئن شوید که رمز عبور را حفظ کرده اید.این پلاگین هر ورود نا موفق را به همراه IP آن شخص ذخیره می کند و اگر تعداد این ورود های ناموفق از تعدادی که شما قبلا مشخص کرده اید بیشتر شد ، همان IP تا 1 ساعت قادر به ورود نخواهد بود به صورت پیش فرض ، افزونه IP را که در عرض 5 دقیقه ، 3 ورود نا موفق داشته باشد را 1 ساعت محروم می کند.همچنین IP های مسدود شده را می توانید از پنل افزونه در داشبورد وردپرس حذف کنید .نیاز به گفتن نیست که با این کار کسانی که می خواهند رمز شما را حدس بزنند ، نمی توانند ! 🙂
امیدواریم با استفاده از این ترفندها توانسته باشید امنیت سایت خود را بالاتر برده و کار را برای هکر ها و روبوت ها سخت تر کنید .
منابع بیشتر برای مطالعه
آموزش سطوح دسترسی فایل ها در WordPress.org
امنیت وردپرس در WordPress.org
مسدود کردن دسترسی IP ها با htaccess. در htaccesstools
هک ها و ترفندهای افزایش امنیت وردپرس در Noupe
11 تا از بهترین ها برای افزایش امنیت وردپرس در ProBlogDesign
خیلی خوب بود ممنون از زحماتی که می کشین
ممنون عالی بود
سلام, نمیدونم چرا قسمت 7 واس سایت من مشکل داره و ارور 500 میده
بجز این میخام فایل کانفیگ رو سطح دسترسی رو تغییر بدم بازم ارور 500 میده و مجبورم بذارم رو 655 بمونه
میشه راهنمایی کنید این فایل رو چیکار کنم؟
ممنون
عالب بود .
با سلام و تشکر بخاطر این آموزش مفید
با اجازه شما این مطلب در “انجمن وردپرس فارسی گوگل پلاس” قرار گرفت.
ممنون خیلی مفید بود
مرسی .. مفید بود ..
Login Lockdown رو از کجا بگیرم ؟
وقتی مورد 7 رو انجام دادم خطای 500 interval روداد چرا؟
علی جان سلام
خوبی داداش
اینا رو ول کن
میگم گفتی به این وردپرس؟
قضیه قالب دسته ها رو میگم؟
نتیجه چی شد؟
سلام آقا رضا
راستش نه هنوز فرصت نکردم
سلام علی آقا
مطلب کاربردی بود. تغییر مکان و سطح دسترسی wp-config.php هم خیلی مهمه.
سلام آقا محسن عزیز
متشکرم ، بله همینطوره
موفقیت
هو،
سلام علیکم،
مورد1,2,3,6,8 و Login Lockdown موارد کارسازی هستن و باید رعایت بشن.
9 بهتره رعایت شه،4 هم استفاده های زیادی داره،نه تنها برای امنیت بلکه برای سئو و…(این و Login Lockdown و مورد 7 بعضی چیزاشون مشابه،نمیدونم چرا تو گزینه
های مختلف آورده!)
5که عملا استفاده نمیشه 🙂 ولی اگه وضعتون خوبه و همچنین سایتتون،حتما استفاده کنید.
مورد هفت هم تقریبا بی مورده،چون علتی براش نمیبینم!
برای تشخیص نوع سیستم که بعید میدونم،برای حمله ی مستقیم هم که ممکن نیست،نمیدونم علت این حرفش چی بوده!!
یا حق ج
سلام Goback جان
این ساختار منبع بود ما هم ذکر کردیم . مورد هفت رو منم دلیل دقیقش رو نمی دونم ولی تو بعضی از cms ها دیدم که دسترسی مستقیم به بعضی از فایل ها رو محدود می کنن حالا با برنامه نویسی ، htaccess یا هرچی
ممنون از توضیحات خوبتون
موفقیت 🙂
مطلب بسیار ضروری ای بود علی جان،
کاش در مورد افزونه ای هم که تصویرشو گذاشتی (اولین تصویر) توضیحی نوشته بودی.
افزونه WSD security بسیار افزونه ی خوبیه.کلا وردپرس و هاست رو زیر نظر داره و کوچکترین تغییری که در فایلها بوجود بیاد از طریق ایمیل خبر میده.
ممنون 😉
سلام آقا حامد عزیز
ممنونم ، حتما باید پلاگین جالبی باشه .در اولین فرصت سعی می کنم یه تستی بکنم
موفقیت 😉