همانطور که در قسمت اول آموزش امنیت وردپرس توضیح دادیم وردپرس یک پلتفرم رایگان و امن است که گاهی اوقات به رلیل عدم رعایت نکات امنیتی از طرف مدیران سایت ها مورد حمله هکر ها قرار گیرد. با هک شدن وب سایت شما میتواند شهرت و اعتبار خود را میان کاربرانش از دست بدهد ، گوگل سایت شما را از نتایج جستجوی خود حذف کند و خسارات جبران ناپذیر مالی به همراه داشته باشد. در نتیجه افزایش امنیت سایت جزء الویت های هر سایت قرار میگیرد. شما در مقاله قبل با برخی از روش های ارتقاء امنیت وب سایت های وردپرس آشنا شدید حال در بخش دوم این مقاله قصد داریم شما را با روش های دیگر جهت بهبود امنیت سایت وردپرس آموزش دهیم . در ادامه با گروه فنی رایانه کمک همراه باشید.
شرکت رایانه کمک علاوه برای خدمات تلفنی و سراسری درب منزل ، به منظور جلب رضایت کاربران خود در وبلاگ های رایانه کمک ، انواع آموزش های کاربردی در زمینه های کامپیوتر و تلفن همراه می آموزد. همچنین برای باخبر شدن از ترفند های جالب گوشی و کاربرد نرم افزار های مختلف میتوانید صفحه رسمی اینستاگرام رایانه کمک را دنبال کنید.
ما در سری آموزش های وردپرس در 11 جلسه به مفاهیم اولیه برای راه اندازی یک سایت وردپرس و ایجاد صفحه بندی های مختلف در سایت پرداخته اما اگر جزء افردای هستید که با تماشای ویدیو های آموزشی راحت ترید توصیه میکنم حتما از بسته های آموزشی کار با کامپیوتر ما استفاده کنید.
راه های افزایش ایمن سازی سایت وردپرس
غیرفعال کردن گزینه ویرایشگر در پنل مدیریت
به صورت پیش فرض وردپرس با استفاده از گزینه ویرایشگر به شما این امکان را می دهد تا بدون نیاز به وارد شدن به صفحه مدیریت هاست سی پنل سایت خود کد های قالب و افزونه ها را ویرایش کنید و باوجود اینکه هرچند این امکان جذاب و کاربردی به نظر میرسد اما بهتر است بدانید که یکی از مهم ترین تهدیداتی که برای هر سایت وردپرس ممکن است به وجود بیاید ، ویرایش کد های قالب توسط افراد غیرمجاز است.
با غیرفعال کردن گزینه ویرایشگر در پنل مدیریت وردپرس شما میتوانید حتی زمانی که سایتتان دچار مشکل شده است از کد های آن محافظت کنید.
ویرایشگر کد های قالب وردپرس در بخش نمایش و ویرایشگر کد های افزونه های وردپرس در بخش افزونه از نوار سمت راست پنل مدیریت قرار دارد.
برای غیرفعال کردن گزینه ویرایشگر کد ابتدا وارد هاست سی پنل خود شوید و پوشه Public_html را انتخاب کنید.
در اینجا بر روی فایل wp-config.php راست کلیک کرده و گزینه edit را انتخاب کنید ، سپس قطعه کد زیر را قبل از عبارت ‘that’s all, stop esiting! Happy publishing’ قرار دهید و تغییرات انجام شده را ذخیره کنید.
define( 'DISALLOW_FILE_EDIT', true );
همچنین علاوه بر این کار شما میتوانید قطعه کد زیر را در فایل functions.php اضافه کنید.
<?php function remove_editor_menu() {
remove_action('admin_menu', '_add_themes_utility_last', 101);
}
add_action('_admin_menu', 'remove_editor_menu', 1);
?>
اما اگر تسلط کافی بر روی کد های سایت ندارید و نمی خواهید در کد های وب سایت تغییراتی ایجاد کنید می توانید از افزونه امنیتی Sucuri WordPress برای اینکار استفاده کنید.
ایجاد سوال امنیتی توسط افزونه Captcha
برای جلوگیری از حملات خودکار ربات ها در وب سایت ها بهتر است با استفاده از افزونه Captcha یک سری سوالات امنیتی ایجاد کنیم.
در این گونه حملات ، ربات ها بصورت همزمان تعداد زیادی کامنت شامل لینک های تبلیغاتی یا عضویت در سایت شما اضافه می کنند و باعث به وجود آمدن اختلال در وب سایت شما می شوند.
اما در چنین مواردی کپچا می تواند با طرح سوالات امنیتی ، ریاضی یا مثلا تصویری از اعداد و حروف مانع این حملات شود.
افزونه های معروف ساخت Captcha :
- افزونه reCaptcha by BestWebSoft
افزونه reCaptcha by BestWebSoft یکی از محبوب ترین افزونه های ساخت کپچا است از این افزونه می توانید برای جلوگیری از ورود هرزنامه و ربات های مخرب برای ورود به صفحات مدیریت سیستم ، ثبت نام کاربران جدید و بازیابی رمز عبور فراموش شده ، فرم نظرات ، فرم تماس ها و ... استفاده کنید.
ابتدا افزونه reCaptcha by BestWebSoft را دانلود کرده و بر روی سایت خود نصب کنید. سپس وارد تب جدید Google Captcha که به داشبورد وردپرس اضافه شده است شوید و در پایین گزینه تنظیمات می توانید کلید های API Google را وارد کنید تا سایت شما به ویژگی reCaptcha متصل شود.
برای دریافت کلید های API Google ابتدا وارد سایت خود شوید و در کنسول گوگل ثبت نام کنید ، حالا کلید ها را کپی کرده و در قسمت API Google افزونه paste کرده و تغییرات را ذخیره کنید.
در قسمت General میتوانید فرم هایی که می خواهید از آن ها برای ری کپچا استفاده کنید را فعال کنید.
- افزونه WordPress ReCaptcha Integration
برای فعالسازی افزونه WordPress ReCaptcha Integration نیز مانند افزونه reCaptcha برای دریافت کلید ابتدا باید وب سایت خود را در گوگل کنسول ثبت نام کنید.
از ویژگی های این افزونه می توان به سازگاری با افزونه های WooCommerce ، BuddyPress ، bbPress و .... اشاره کرد.
تغییر لقب مدیر وب سایت از طریق دیتابیس
در مقاله قبل برای تغییر نام کاربری مدیریت سایت ما به شما یه سری افزونه معرفی کردیم اما اگر در بخش کدنویسی سایت تسلط کافی دارید برای این کار می توانید وارد صفحه phpmyadmin سایت خود شوید و در بخش sql قطعه کد زیر را وارد کنید:
UPDATE wp_users SET user_login = 'New' WHERE user_login = 'Old';
توجه داشته باشید بجای عبارت new در واقع نام کاربری جدید مد نظرتان و بجای عبارت Old نام کاربری قدیمی مدیر وب سایت خود را قرار دهید.
برای تغییر نام کاربری از طریق دیتابیس روش دیگری که وجود دارد این است که پس از ورود به صفحه phpmyadmin ، دیتابیس مورد نظر خود را انتخاب کنید و بر روی گزینه wp-users کلیک کنید.
گزینه edit رکورد مربوط به مدیریت سایت خود را انتخاب کنید و در فیلد مربوطه نام کاری و نام کاربری جدید موردنظرتان را وارد کنید.
نکته : دقت داشته باشید قبل از اینکه اقدام به انجام هر کاری بر روی سایت کنید حتما نسخه بکاپ یا پشتیبانی از دیتابس خود تهیه کنید.
فعال سازی پروتکل https
وب سایت هایی که از پروتکل https استفاده می کنند معمولا نسبت به وب سایت هایی که از پروتکل http استفاده می کنند امنیت بالاتری دارند. اطلاعات بر روی پروتکل های https ، رمزگذاری شده اند در نتیجه امکان سرقت اطلاعات تقریبا از بین میرود.
همچنین علاوه بر مسائل امنیتی ، پروتکل https تاثیر چندانی بر روی رتبه سئو سایت شما دارد زیرا به تازگی موتورهای جستجو تصمیم گرفتند وب سایت هایی را که از این پروتکل استفاده نمی کنند از نتایج جستجو حذف کنند.
با فعالسازی https ، قفلی که کنار نوارد url مرورگر قرار دارد به رنگ سبز در می آید که این موضوع میتواند باعث افزایش اعتماد کاربران به وب سایت شود.
بعد از اینکه SSL را از شرکت معتبر ارائه دهنده SSL برای سایت خود خریداری کردید وارد منو پیشخوان وردپرس شوید و از نوارابزار سمت راست گزینه تنظیمات همگانی شده را انتخاب کنید.
حال نشانی سایت خود را از http به https تغییر دهید.
برای تغییر لینک های دیگر سایت هم می توانید از افزونه Really Simple SSL استفاده کنید.
بعد از دانلود و نصب افزونه بر روی وردپرس وارد منو تنظیمات آن شوید و هر چهارگزینه موجود را انتخاب کنید.
با استفاده از این افزونه تمامی لینک های موجود در سایت شما از http به https تغییر می کند.
نکته : اگر به لینک یا محتوای سایت دیگری که از سرویس https استفاده نمی کند در سایت خود لینک داده باشید ، سایت شما دچار اختلال خواهد شد که برای رفع این مشکل می توانید در فایل functions.php قطعه کد زیر را وارد کنید :
function rsssl_exclude_http_url($html) {
$html = str_replace("https://www.domain.com", "https://www.domain.com", $html);
return $html;
}
add_filter("rsssl_fixer_output","rsssl_exclude_http_url");
استفاده از سرویس Hash گذاری بر روی نام کاربری و رمز عبور
در قسمت اول افزایش امنیت وردپرس در مورد متد hashing و فواید استفاده از آن مفصلاً صحبت کردیم اما جالب است بدانید این فرایند رمزگذاری را با استفاده از افزونه chap secure login نیز انجام دهید.
این افزونه فرایند رمزگذاری را با استفاده از پروتکل Chap ، توسط الگوریتم SHA-256 انجام می دهد که این نوع رمزگذاری زمانی که شما نمی توانید از ssl یا پروتکل های امن دیگر استفاده کنید برای شما مفید باشد.
احراز هویت دو مرحله ای
یکی از مهم ترین روش های تامین امنیت در وردپرس استفاده از سیستم احراز هویت دو مرحله ایست. شما با استفاده از این سیستم می توانید جلوی حملات Brute force را بگیرید.
برای استفاده از احراز هویت دومرحله ای ما افزونه wordfence Security را پیشنهاد میدهیم.
محدود کردن دسترسی افراد
برای اینکه از برقراری امنیت سایت وردپرسی خود نهایت اطمینان را بدست آورد ، سعی کنید حتما دسترسی وب سایت خود را محدود کرده و فقط به افرادی که مورد اعتماد شما هستند دسترسی ورود و ویرایش دهید تا افراد متفرقه نتوانند مشکلی را برای سایت شما به وجود آورند.
پنهان کردن فایل های .htaccess و wp-config.php
همانطور که میدانید فایل های .htaccess و wp-config.php جزء فایل های حساس وردپرس محسوب میشوند زیرا اکثر تغییرات را میتوان از طریق ویرایش کدهای موجود در این دوفایل انجام داد. در نتیجه برای حفظ و برقراری امنیت سایت وردپرسی خود بهتر است فایل های .htaccess و wp-config.php را پنهان کنید تا کمتر در معرض تهاجم هکر ها قرار گیرید.
برای اینکار میتوانید از افزونه Yoast SEO که امکان پنهان کردن فایل ها را دراختیار ما قرار میدهد استفاده کنید.
فعالسازی کلید های امنیتی وردپرس
یکی دیگر از روش های برقراری امنیت در وردپرس استفاده از کلید های امنیتی برای احراز هویت است زیرا این کار باعث میشود تا از کوکی ها و رمز های سیستم شما محافظت شود.
برای استفاده از کلید های امنیتی در وردپرس می توانید در فایل wp-config.php یک سری تغییرات لازم را انجام دهید.
استفاده از سیستم XML-RPC
سیستم XML-RPC یک رابط کاربری است که برای استفاده از افزونه های زیادی میتوانید استفاده کنید . اما نکنه مهمی که باید به ان توجه کنید این است که برای کار کردن با سیستم XML-RPC لازم است تسلط زیادی بر روی آن داشته باشید در غیر این صورت ممکن است با اضافه کردن آن خطرات زیادی سایت شما را تهدید کند.
استفاده از یک هاست مطمئن
بدون شک مهم ترین نکته برای برقرار امنیت یک سایت وردپرسی استفاده از یک هاست مطمئن میباشد.
اگر هاستی که استفاده میکنید امنیت کافی را نداشته باشد ممکن است حتی حملات مستقیماً بر روی هاست شما صورت گیرد و اطلاعاتتان از بین برود.
بررسی امنیت قالب وردپرس
بعضی از هکر ها هم با پیدا کردن خلل هایی که در قالب های وردپرسی ممکن است وجود داشته باشند به سایت نفوذ پیدا میکنند.
برای اطمینان از امنیت قالب وردپرس خود می توانید از افزونه Theme Check استفاده کنید .
روش کار با این افزونه بسیار راحت و آسان می باشد، پس از دانلود و نصب افزونه به فیلد نمایش نوار ابزار سایت گزینه ای به نام Theme Check اضافه میشود.
بر روی آن کلید کنید و در صفحه ای برایتان باز میشود قالب موردنظر خود را انتخاب کرده و بر روی Check it کلیک کنید.
با کلید بر روی این دکمه افزونه شروع به عیب یابی قالب وردپرسی شما می کند. درصورتی که قالب شما دچار مشکل باشد پیام ارور برای شما ارسال می کند.
نکته : دقت داشته باشید که هیچگاه از افزونه ها و قالب های نال برای سایت خود استفاده نکنید ، زیرا ممکن است این افزونه ها و قالب ها حاوی یک سری کد مخرب باشند که شما متوجه نشوید و پس از نصب آن ، سایت شما دچار مشکل شود.
کلام آخر
امیدوارم مطلب راه های افزایش امنیت وردپرس مفید بوده باشد. در صورت بروز هرگونه مشکل در زمینه کامپیوتری و تلفن همراه میتوانید با شماره تماس های رایانه کمک 9099071540 و 9099071540 تماس بگیرد و مشکل خود را با کارشاناسان ناجیان کمک رایانه ما مطرح کنید.