آیا سایت وردپرس امن است؟

13 نکته برای بالا بردن سایت وردپرس

اگر شما هم مانند اکثر صاحبان سایت وردپرس هستید، احتمالاً همین سؤالات را می‌پرسید: آیا سایت وردپرس امن است؟ چگونه سایت وردپرس خود را ایمن کنم؟ در حالی که نمی توانید امنیت سایت را تضمین کنید، می توانید چندین قدم برای بهبود و به حداکثر رساندن امنیت وردپرس خود بردارید. به خواندن ادامه دهید تا یاد بگیرید چگونه سایت وردپرس خود را ایمن کنید! اگر برای امنیت وب سایت خود به کمک حرفه ای نیاز دارید، با وبسازان نوین تماس بگیرید. با خدمات تعمیر و نگهداری وب سایت خود، می توانیم امنیت سایت شما را به صورت 24 ساعته به روز کرده و حفظ کنیم. برای کسب اطلاعات بیشتر با ما تماس بگیرید.

1. سایت وردپرس خود را از HTTP به HTTPS منتقل کنید

برای کاربران، همچنین موتورهای جستجو، یک وب‌سایت HTTP ناامن به نظر می‌رسد و هست. برای بالا بردن امنیت سایت خود، سایت را از HTTP به HTTPS، تغییر دهید تا برای کاربران، موتورهای جستجو ایمن شود. این فرآیند شامل دریافت گواهینامه SSL (لایه سوکت های امن) است که می تواند رایگان یا تا 5 میلیون در سال هزینه داشته باشد.

شرکت میزبان شما ممکن است گواهی SSL را به صورت رایگان در اختیار شما قرار دهد. در هر صورت، زمانی که گواهی SSL دریافت می کنید، باید با شرکت میزبان خود چت کنید. شرکت میزبان شما باید گواهی SSL شما را اضافه کند تا آن را به نام دامنه شما مرتبط کند.

پس از تکمیل این مرحله، می توانید سایت وردپرس خود را با یکی از گزینه های زیر ایمن کنید:

• از یک افزونه استفاده کنید: یک افزونه وردپرس مانند Really Simple SSL باعث می شود تا گواهی SSL شما و همچنین به روز رسانی سایت شما به HTTPS سریع و ساده باشد. فقط افزونه را دانلود کنید و دستورالعمل ها را دنبال کنید.
• از یک توسعه دهنده استفاده کنید: یک رویکرد دستی برای انتقال یک سایت وردپرس از HTTP به HTTPS شامل کمک یک توسعه دهنده است. توسعه دهنده شما باید آدرس سایت و آدرس وردپرس شما را (از طریق منوی تنظیمات عمومی) به روز کند و تغییر مسیرها را تنظیم کند.

اگر سابقه ای در زمینه توسعه وب ندارید، از یک افزونه برای ایمن سازی سایت وردپرس خود استفاده کنید. تلاش برای افزودن گواهی SSL می‌تواند منجر به محتوای تکراری شود، که می‌تواند به دید سایت شما در نتایج جستجو در Google آسیب برساند. محتوای تکراری به این دلیل اتفاق می افتد که موتورهای جستجو هر دو نسخه وب سایت شما نسخه HTTP و HTTPS را می بینند.

یک تغییر مسیر همه صفحات HTTP شما را به نسخه HTTPS آنها ارسال می کند. ایجاد تغییر مسیر از محتوای تکراری جلوگیری می کند، به علاوه کاربران را به صفحه ای امن می فرستد. افزونه ای مانند Really Simple SSL این فرآیند را برای شما انجام می دهد و سایت شما را برای همه ایمن می کند.

2. URL صفحه ورود خود را سفارشی کنید

آیا می دانستید که هر سایت وردپرس دارای یک URL ورود به سیستم است؟ URL پیش فرض ورود به سیستم wp-login.php یا wp-admin است. این ویژگی (که می توانید آن را تغییر دهید) نقطه شروع مناسبی برای هک کردن وب سایت شما در اختیار هکرها قرار می دهد.

به همین دلیل است که باید URL صفحه ورود خود را سفارشی کنید. با تغییر URL صفحه ورود خود، وب سایت خود را ایمن تر و برای هکرها چالش برانگیزتر می کنید. یک توسعه دهنده یا افزونه ای مانند تغییر نام wp-login.php یا iThemes Security می تواند URL ورود پیش فرض شما را برای شما تغییر دهد.

با هر دو روش، می خواهید یک URL منحصر به فرد برای ورود به سایت وردپرس خود ایجاد کنید. برای مثال، می‌توانید «دسترسی به سایت» را به‌عنوان URL ورود به سیستم جدید یا «lets-login» انتخاب کنید.

3. نام کاربری “admin” خود را به روز کنید

نام کاربری admin برای امنیت وردپرس هنگام ایجاد یک سایت وردپرس، بسیاری از کاربران “admin” پیش فرض را به عنوان نام کاربری حساب خود انتخاب می کنند. این تصمیم در مورد امنیت وردپرس یک نگرانی مهم است زیرا اطلاعات دیگری را برای دسترسی به حساب شما در اختیار هکرها قرار می دهد، مانند URL ورود به سیستم. در این سناریوی بسیار رایج، هکرها URL ورود به سیستم و نام کاربری ورود به سیستم شما را می دانند تنها چیزی که نیاز دارند رمز عبور شما است.

اگر نام کاربری حساب شما “admin” است، می توانید آن را به چند روش تغییر دهید:

• از یک افزونه استفاده کنید: افزونه ای مانند Username Changer به روز رسانی نام کاربری شما را سریع می کند. آن را نصب کنید و سپس به منوی “Users” رفته و “Username Changer” را انتخاب کنید. سپس می توانید کاربر دارای حساب مدیریت را انتخاب کنید و نام کاربری حساب کاربری او را به روز کنید.
• ایجاد یک کاربر جدید: شرکت ها همچنین می توانند یک کاربر جدید در وردپرس ایجاد کنند که نقش مدیر را اشغال کند. پس از ایجاد کاربر جدید و تنظیم مجوزهای آنها، می توانید کاربر قدیمی را با نام کاربری “admin” حذف کنید.
• تغییر phpMyAdmin: از طریق cPanel یا دایرکت ادمین، یک کنترل پنل میزبانی وب، می توانید نام کاربری حساب را تغییر دهید. این اصلاح شامل ورود یک توسعه دهنده به سی پنل شما، انتخاب جدول کاربری شما و تنظیم مقدار ورود کاربر است.

در بیشتر موارد، شرکت شما می خواهد یا از یک افزونه استفاده کند یا یک کاربر جدید برای ایمن سازی سایت شما ایجاد کند.

4. به روز رسانی های وردپرس را نصب کنید

وردپرس به طور معمول به روز رسانی هایی را منتشر می کند که شامل ویژگی های جدید، اصلاحات و وصله های امنیتی است که از سایت شما محافظت می کند. به روز رسانی سایت وردپرس خود با به روزترین نسخه به حفظ امنیت وب سایت شما کمک می کند. می توانید با ثبت نام برای اعلان های ایمیل، در جریان به روز رسانی های وردپرس باشید. علاوه بر این، می توانید برای مطالعه و دانلود آخرین بروزرسانی به وب سایت WordPress.org مراجعه کنید.

داشبورد وردپرس شما نیز به‌روزرسانی‌ها را به شما هشدار می‌دهد. در حالی که می‌توانید وصله‌های وردپرس را خودتان مدیریت کنید، داشتن یک برنامه‌نویس مفید است. اکثر سایت‌های وردپرس دارای افزونه‌هایی هستند که می‌توانند هنگام به‌روزرسانی به آخرین نسخه وردپرس با مشکل مواجه شوند.

به عنوان مثال، یک افزونه قدیمی می تواند ویژگی های سایت را شکسته، آسیب پذیری ها را باز کند و حتی وب سایت شما را غیرقابل دسترسی کند. یک توسعه دهنده می تواند به شما در جلوگیری از این سردردها کمک کند. علاوه بر به روز رسانی سایت وردپرس خود، باید افزونه های خود را نیز به روز کنید تا هر گونه آسیب پذیری را برطرف کنید.

با دنبال کردن این مراحل، آخرین نسخه پلاگین خود را پیدا کنید:

• وارد حساب کاربری وردپرس خود شوید
• روی “افزونه ها” از نوار کناری سمت راست کلیک کنید
• فیلتر “اپدیت افزونه ها” را انتخاب کنید

سپس می توانید به روز رسانی های موجود را بررسی کنید. قبل از ارتقای افزونه، اشکال گزارش شده را بررسی کنید. نسخه‌های جدید اغلب می‌توانند با مشکلاتی همراه باشند که توسعه‌دهنده افزونه آن‌ها را اصلاح می‌کند.

انتظار یک یا دو هفته پس از انتشار به روز رسانی می تواند به شما کمک کند از این اشکالات جلوگیری کنید و در عین حال سایت خود را ایمن نگه دارید.

5. شماره نسخه وردپرس خود را مخفی کنید

“هر کسی می تواند با مشاهده کد منبع سایت شما، شماره نسخه وردپرس شما را مشاهده کند.”  شماره نسخه وردپرس شما یکی دیگر از اطلاعات مفید برای هکرها است. هنگامی که یک هکر می داند که وب سایت شما از کدام نسخه وردپرس استفاده می کند، می تواند حمله خود را بر اساس آن تنظیم کند. هر کسی می تواند با مشاهده کد منبع سایت شما، شماره نسخه وردپرس شما را مشاهده کند.

اگر از نسخه قدیمی وردپرس استفاده می کنید، یک هکر ممکن است آسیب پذیری را هدف قرار دهد که نسخه بعدی آن را برطرف کرده است. با استفاده از یک افزونه امنیتی وردپرس، مانند Sucuri Security یا iThemes Security، شماره نسخه سایت خود را پنهان کنید.

همچنین می‌توانید به صورت دستی به مشکل رسیدگی کنید و از یک توسعه‌دهنده بخواهید که فایل functions.php شما را تغییر دهد تا شماره نسخه وردپرس شما در مکان‌هایی مانند فید RSS ظاهر نشود.

6. رمز عبور خود را با یک تولید کننده رمز عبور ایجاد کنید

شما همچنین می توانید امنیت وردپرس خود را با یک تولید کننده رمز عبور بهبود ببخشید. ابزار تولید رمز عبور امنیتی وردپرس گذرواژه هایی که به راحتی قابل به خاطر سپردن هستند، مانند نام سگ یا روز تولد فرزندتان، اغلب ضعیف هستند و هکرها به راحتی می توانند آن را بشکنند. اگر می خواهید امنیت وردپرس خود را به حداکثر برسانید، باید از یک تولید کننده رمز عبور استفاده کنید.

یک مولد رمز عبور، مانند LastPass، به شما کمک می کند تا رمزهای عبور اصلی و غیرقابل شکستن ایجاد کنید. همچنین شما را از دردسر برآوردن الزامات رمز عبور، مانند حروف بزرگ، اعداد یا نمادها نجات می دهد. می‌توانید به LastPass بگویید که هر یک از این ویژگی‌ها را شامل (یا حذف) کند.

7. پوشه wp-admin خود را با یک رمز عبور قفل کنید

دایرکتوری wp-admin حاوی تمام فایل‌هایی است که عملکردهای مدیریتی در سایت وردپرس شما را تامین می‌کنند. هنگامی که دایرکتوری wp-admin خود را با رمز عبور محافظت می کنید، کاربران را مجبور می کنید دو رمز عبور وارد کنند: یکی برای ورود به داشبورد وردپرس و دیگری برای دسترسی به قسمت مدیریت وردپرس. هکرهایی که به دایرکتوری wp-admin شما دسترسی پیدا می کنند می توانند هر تغییری را که می خواهند در وب سایت شما ایجاد کنند.

به این دلیل که دایرکتوری wp-admin حاوی تمام فایل‌هایی است که عملکردهای مدیریتی در سایت وردپرس شما را تامین می‌کنند. اگر تصمیم دارید دایرکتوری wp-admin خود را ایمن کنید، باید با توسعه دهنده خود کار کنید. توسعه دهنده شما باید وارد سی پنل شما شود و حفاظت از عملکرد دایرکتوری شما را به روز کند.

8. از احراز هویت دو مرحله ای (2FA) استفاده کنید

احراز هویت دو مرحله ای (2FA) در حال تبدیل شدن به یک راه حل امنیتی محبوب وردپرس است. افزونه 2FA برای امنیت وردپرس با 2FA، کاربران برای ورود به سایت وردپرس خود باید دو قطعه اطلاعات را وارد یا ارائه دهند. به عنوان مثال، آنها ممکن است نام کاربری و رمز عبور خود را ارائه کنند و سپس به یک سوال امنیتی پاسخ دهند یا ورود به سیستم خود را در دستگاه دوم مانند تلفن هوشمند خود تأیید کنند.

نیاز به دو شکل احراز هویت برای امنیت وردپرس بسیار خوب عمل می کند. حتی اگر یک هکر به نام کاربری و رمز عبور یکی از اعضای تیم دسترسی پیدا کند، 2FA از ورود آنها به سایت شما جلوگیری می کند زیرا هکر نمی تواند نوع دوم احراز هویت را ارائه دهد، مانند پاسخ دادن به یک سوال امنیتی از طریق تلفن هوشمند آن عضو تیم. با این حال، بدون 2FA، آن هکر می تواند در یک لحظه وارد وب سایت شما شود.

اگر می خواهید احراز هویت دو مرحله ای را امتحان کنید، می توانید از افزونه Google Authenticator استفاده کنید.

9. برای حفظ امنیت سایت وردپرس خود، کاربران غیر فعال را بوت کنید

وارد شدن به حساب وردپرس خود در حالی که از رایانه یا لپ‌تاپ خود دور هستید می‌تواند باعث بروز سریع مشکلات امنیتی شود. به عنوان مثال، اگر در حال سفر هستید و لپ تاپ خود را بدون مراقبت رها می کنید (یا آن را فراموش می کنید)، شخصی می تواند به راحتی به سایت وردپرس شما دسترسی داشته باشد و آن را تغییر دهد. به همین دلیل است که می خواهید کاربران بیکار را بوت کنید.

افزونه کاربر غیرفعال برای امنیت وردپرس برای مثال، ممکن است پس از 15 یا 30 دقیقه عدم فعالیت، کاربران را از سیستم خارج کنید. هر مدت زمانی که تعیین کنید، می توانید از این ویژگی برای بهبود امنیت وردپرس خود و محافظت از سایت خود استفاده کنید. افزونه هایی مانند Inactive Logout می توانند به شما در راه اندازی و استفاده از این معیار امنیتی کمک کنند.

10. پیشوند wp-table خود را برای جلوگیری از حملات SQL تغییر دهید

مانند URL های صفحه ورود، وردپرس از یک پیشوند پایگاه داده پیش فرض استفاده می کند: wp- پیشوند پایگاه داده پیش فرض می تواند مشکلاتی ایجاد کند زیرا سایت شما را در برابر حملات تزریق SQL (زبان پرس و جوی ساختاریافته) آسیب پذیر می کند. هکرها می دانند که هر وب سایتی (مگر اینکه تغییر کند) از این پیشوند پایگاه داده استفاده می کند. به همین دلیل است که می خواهید مال خود را تغییر دهید.

چند نمونه از جایگزین ها عبارتند از:

• ourwp-
• sitewp-
• originalwp-

به روز رسانی پیشوند پایگاه داده شما به یک افزونه مانند امنیت iThemes یا یک توسعه دهنده نیاز دارد.

11. فایل wp-config.php خود را انتقال دهید

فایل wp-config.php شما راهی سریع برای ایمن کردن سایت وردپرس شما ارائه می دهد. یک فایل wp-config.php حاوی اطلاعات حیاتی نصب وردپرس است. وقتی نوبت به دایرکتوری ریشه (یا /) وب سایت شما می رسد، مهم ترین فایل است، بنابراین می خواهید از آن در برابر هکرها محافظت کنید، به خصوص در صورت نقض امنیتی.

محافظت از wp-config.php یک راه حل سریع است آن را جابجا کنید. فایل wp-config.php خود را به سطحی بالاتر از دایرکتوری ریشه خود منتقل کنید، که دسترسی به فایل wp-config.php شما را برای هکرها تقریبا غیرممکن می کند. جابجایی فایل به کمک توسعه دهنده نیاز دارد.

در حالی که وردپرس دسترسی آسانی به فایل wp-config.php شما خواهد داشت، هکرها این امکان را ندارند.

12. برای محافظت در برابر حملات DDoS سرمایه گذاری کنید

حملات Distributed Denial of Service (DDoS) برای هر کسی اتفاق می افتد. در حالی که معمولاً در مورد حملات DDoS و از بین بردن وب سایت های برندهای بزرگ مانند Target یا Sony می شنوید، این حملات برای مشاغل کوچکتر نیز اتفاق می افتد. به عنوان مثال، گروهی از هکرها می توانند یک سری حملات به وردپرس انجام دهند.

به همین دلیل است که ارزش در نظر گرفتن DDoS Protection را دارد. برنامه DDoS برای امنیت وردپرس ارائه دهندگان حفاظت از DDoS شامل Sucuri و Cloudflare هستند. این شرکت ها به شما کمک می کنند تا حملات DDoS را شناسایی و مسدود کنید، که از آفلاین شدن سایت شما جلوگیری می کند.

اگر تصمیم به سرمایه گذاری در حفاظت از DDoS دارید، باید هزینه سرویس را بپردازید.

13. به طور منظم از سایت وردپرس خود نسخه پشتیبان تهیه کنید

یک پاسخ خوب به “آیا سایت وردپرس امن است؟” “هرگز” است. در حالی که می توانید اقدامات پیشگیرانه ای برای محافظت از وب سایت خود انجام دهید، هرگز به امنیت 100٪ وردپرس نخواهید رسید. هکرها به کشف آسیب پذیری ها و توسعه راه هایی برای شکستن امنیت سایت ادامه خواهند داد. به همین دلیل است که تهیه نسخه پشتیبان از وب سایت ضروری است.

یک نسخه پشتیبان از سایت وردپرسی شما آخرین نسخه امن وب سایت خود را در اختیار شما قرار می دهد. افزونه پشتیبان گیری برای امنیت وردپرس در صورت نقض امنیتی، می توانید از آن نسخه پشتیبان برای بازیابی سایت خود استفاده کنید. شما می‌توانید به‌روزترین نسخه وب‌سایت خود را داشته باشید و از روند انجام مجدد تمام کارهای گذشته خود صرف نظر کنید.

این یک برد کوچک در یک زمان پر استرس است. می توانید از سایت وردپرس خود با افزونه ها یا به صورت دستی نسخه پشتیبان تهیه کنید. افزونه ها مانند VaultPress به شما این امکان را می دهند که به طور خودکار از وب سایت خود نسخه پشتیبان تهیه کنید.

به عنوان مثال، می‌توانید هر ماه، روز یا هفته یک افزونه از سایت خود نسخه پشتیبان تهیه کنید. در بیشتر موارد، این افزونه ها به یک برنامه پولی نیاز دارند.

آیا وبسازان نوین به بالا بردن امنیت سایت شما کمک می کند؟

آیا وردپرس امن است؟ امنیت وب سایت یک مسئله حیاتی برای هر صاحب سایت است. اگر یک کسب و کار دارید، ارائه یک وب سایت امن به کاربران ضروری است. حتی اگر پرداخت‌های آنلاین را قبول و پردازش نمی‌کنید، می‌خواهید یک سایت وردپرس ایمن و سازگار با سئو داشته باشید تا کاربران را هنگام مرور وب‌سایت خود راحت کند و رتبه شما را در نتایج جستجو در Google بهبود بخشد، وب سازان نوین می تواند به امن کردن سایت وردپرس شما کمک کند.

با خدمات طراحی سایت در کرج و تعمیر و نگهداری وب سایت خود و همچنین تیم توسعه دهندگان داخلی خود، خدمات و دانشی را برای به حداکثر رساندن امنیت وردپرس شما ارائه می دهیم.