معرفی ترفندهای امنیتی سایت وردپرسی

اگر یک سئوکار و توسعه‌دهنده‌وب هستید، یا به هر صورتی با وردپرس سروکار دارید، متوجه شده‌اید که حفظ امنیت سایت وردپرسی تا چه اندازه مهم است. گوگل بیش از ۱۰،۰۰۰ وب‌سایت را در روز به خاطر بدافزارها و هر هفته حدود ۵۰،۰۰۰ وب‌سایت را به دلیل فیشینگ در لیست سیاه خود قرار می‌دهد. بنابراین اگر وب‌سایتتان برایتان مهم است، بایستی به ترفندهای امنیتی سایت وردپرسی توجه کنید.

وردپرس یک CMS متن باز است، به‌این‌صورت‌که هرکسی می‌تواند به سورس کد اصلی آن دسترسی داشته باشد. همین ویژگی وردپرس باعث شده است توسعه‌دهنده‌های زیادی از سراسر جهان با این CMS سروکار داشته باشند و در صورت مشاهده هر باگ امنیتی سریعاً آن را رفع کنند. با این حال، نکات امنیتی وجود دارد که لازم است حتما رعایت کنید. ما در این مقاله چند مورد از مهم‌ترین نکات امنیتی که لازم است برای محافظت از وب‌سایت خود در برابر هکرها و بدافزارها رعایت کنید را با شما به اشتراک گذاشته‌ایم. تا آخر این مقاله با ما همراه باشید.

درباره‌ی وردپرس

وردپرس یک سیستم مدیریت محتوا (CMS) رایگان و متن باز بر اساس PHP و MySQL است. همچنین یکی از محبوب‌ترین پلتفرم‌های ساخت وب‌سایت است که میلیون‌ها وب‌سایت در سراسر جهان از آن برای ساخت و مدیریت حضور آنلاین خود در شبکه اینترنت استفاده می‌کنند.

وردپرس طیف گسترده‌ای از تم‌ها و افزونه‌های قابل تنظیم را در اختیار کاربران قرار داده و به آن‌ها اجازه می‌دهد تا به راحتی محتوای وب‌سایتشان از جمله متن، تصاویر، ویدیوها و … را ایجاد و مدیریت کنند. افزونه‌ها می‌توانند ویژگی‌هایی مانند بهینه‌سازی موتورهای جستجو، ادغام رسانه‌های اجتماعی و قابلیت‌های تجارت الکترونیک را ارائه دهند که این امر وردپرس را به یک پلتفرم همه کاره برای مشاغل، وبلاگ‌ویس‌ها و افراد عادی تبدیل می‌کند.

متن باز بودن وردپرس با اینکه تاثیر زیادی در امنیت و محبوبیت آن دارد، باعث شده این CMS محبوب در معرض خطراتی مانند تزریق بدافزار، هک، فیشینگ و … هم قرار بگیرد.

به دلیل سهولت استفاده از وردپرس، صاحب وبسایت‌ها برای امنیت آن وقت نمی‌گذارند. بنابراین یکی دیگر از دلایل رایج پایین بودن امنیت سایت‌های وردپرسی، استفاده افراد مبتدی و بدون دانش تخصصی از این سیستم مدیریت محتوا و بی‌توجهی به مسائل امنیتی آن است.

چرا به امنیت وردپرس نیاز دارید؟

امنیت وبسایت‌ها معمولا نادیده گرفته می‌شود اما واضح است که امنیت برای هر وبسایتی لازم و مهم است. فرقی ندارد که تا چه حد وبسایت شما شهرت و ارزش مادی دارد، اگر وب‌سایت وردپرسی شما هک شود، خطر از دست دادن داده‌ها، دارایی‌ها و اعتبار در پیش روی شماست. به علاوه، این مسائل امنیتی می‌تواند داده‌های شخصی و اطلاعات صورتحساب مشتریان شما را هم به خطر بیندازد. علاوه بر هک و یا به خطر افتادن داده‌ها، امنیت سایت روی سئو و بازاریابی دیجیتال آن هم تاثیرگذار است.

برای از دست ندادن اعتماد مشتری بهتر است که روی امنیت وبسایت خود سرمایه‌گذاری کنید. از استفاده از رمزهای عبور قوی و به‌روزرسانی افزونه‌ها گرفته تا نصب یک افزونه امنیتی و نظارت بر ترافیک و سایر نکاتی که در ادامه مقاله بیان می‌کنیم، این نکات به شما کمک می‌کنند تا سایت خود را در برابر هکرها ایمن نگه دارید. کاربران وب‌سایت شما انتظار دارند که با وبسایتی امن روبه‌رو باشند و با خیال راحت اطلاعات خود را به شما بسپارند.

چگونه وردپرس خود را امن کنیم؟

تنها یک یا دو اقدام برای ایمن کردن وردپرس کافی نیست. ما در این مقاله چک لیستی با ۷ گام ساده و کاربردی برای کمک به محافظت بیشتر از سایت‌های وردپرسی را با شما به‌اشتراک گذاشتیم:

سایت خود را به‌روز نگه دارید.

۱.در انتخاب یوزرنیم و پسورد کاربر ادمین دقت کنید.

۲.از یک قالب وردپرس قابل اعتماد استفاده کنید.

۳.یک گواهی SSL برای انتقال امن داده‌ها نصب کنید.

۴.تم‌ها و افزونه‌های استفاده نشده وردپرس را حذف کنید.

۵.Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید.

۶.احراز هویت دو مرحله‌ای را فعال کنید.

در ادامه تمام موارد ذکر شده در بالا را به‌طور مفصل بررسی خواهیم کرد:

۱. سایت خود را به‌روز نگه دارید

با گذشت زمان و بروز تهدیدات امنیتی جدید، تیم توسعه وردپرس به‌روزرسانی‌هایی را برای مقابله با این تهدیدات منتشر می‌کند. به‌روزرسانی‌های جدید اغلب شامل وصله‌های (patch) امنیتی و رفع آسیب‌پذیری‌هایی هستند که می‌توانند توسط هکرها مورد سوءاستفاده قرار بگیرند. اگر از نسخه قدیمی وردپرس استفاده می‌کنید، سایت شما ممکن است در برابر این تهدیدات امنیتی آسیب‌پذیر باشد چون اصلاحیه‌ها اعمال نشده‌اند. اول باید بررسی کنید ببینید وردپرس شما نیاز به به‌روز‌رسانی دارد یا خیر.

برای بررسی به‌روزرسانی‌ها، وارد داشبورد وردپرس خود شوید و به بخش به‌روز‌رسانی‌ها بروید. اگر به‌روز‌رسانی لازم باشد، یک اعلان مشاهده می‌کنید. روی دکمه “به‌روز‌رسانی اکنون” کلیک کنید. وردپرس به طور خودکار آخرین نسخه را دانلود و نصب می‌کند. اگر اعلان نیاز به به‌روز‌رسانی را مشاهده کردید پیشنهاد می‌کنیم هرچه سریع‌تر آن را به‌روز کنید.

قبل از به‌روز‌رسانیِ خود وردپرس، توصیه می‌کنیم هر افزونه‌ای را که نصب کرده‌اید را به‌روز کنید. به خاطر اینکه بعضی اوقات افزونه‌ها در سازگاری با نسخه جدید وردپرس مشکل دارند.

پس از تکمیل به‌روزرسانی، بهتر است که سایتتان را بررسی کنید تا مطمئن شوید همه چیز طبق انتظار کار می‌کند. به دنبال پیوندهای شکسته، تصاویر گم شده یا مشکلات دیگر باشید. اگر مشکلی پیدا کردید، می‌توانید با استفاده از نسخه بک‌آپ، سایتتان را به حالت قبلی بازگردانید.

توجه: اگر تنظیماتی را برای سفارشی‌سازی وردپرستان انجام داده‌اید، مثل اضافه کردن تم‌ها یا افزونه‌های سفارشی، بهتر است که قبل از به‌روزرسانی سایتتان از این تغییرات نسخه پشتیبان تهیه کنید.

۲. در انتخاب یوزرنیم و پسورد کاربر ادمین دقت کنید

هکرها به سادگی سایت‌های وردپرسی که پسورد قوی ندارند و از یوزرنیم‌های ساده و همگانی مثل administrator، admin یا test استفاده می‌کنند را هدف حمله قرار می‌دهند. بنابراین، توصیه می‌کنیم نام‌ کاربری و رمزعبور منحصربه‌فرد و پیچیده‌تری انتخاب کنید.

می‌توانید مراحل زیر را برای ایجاد یک حساب کاربری جدید در وردپرس  دنبال کنید: 

1. 1. از داشبورد وردپرس خود به مسیر کاربران > افزودن بروید.

2. 2. یک کاربر جدید ایجاد کنید و نقش مدیرکل را به آن اختصاص دهید.

3. 3. یک رمزعبور اضافه کنید و بعد دکمه افزودن کاربر جدید را فشار دهید.

اعداد، نمادها و حروف بزرگ و کوچک را در رمزعبور خود جا دهید. پیشنهاد ما استفاده از بیش از ۱۲ کاراکتر برای پیچیده‌تر کردن پسورد است. هرچه رمزعبور طولانی‌تر باشد ایمن‌تر است. با این حال، الزاماً برای قوی بودن رمزعبور لازم نیست که این رمز طولانی و پیچیده باشد؛ فقط کافیست به جای حروف شناخته شده از نمادها و اعداد خاص استفاده کنید. مثلا استفاده از @l*x@nder58 به جای Alexander! بهتر است.

بعد از ایجاد حساب کاربری مدیریت جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل حذف حساب کاربری قدیمی را به ترتیب بیان کردیم:

1. 1. با اطلاعات کاربری جدید وردپرس خود وارد شوید.

2. 2. به بخش کاربران > همه کاربران بروید.

3. 3. اکانت مدیریت قدیمی که می‌خواهید حذف کنید را پیدا کنید و روی گزینه پاک کردن کلیک کنید.

۳. از یک قالب وردپرس قابل اعتماد استفاده کنید

باتوجه به وجود قالب‌های شکسته و هک شده که به نام قالب‌های نال‌شده شهرت دارند، بیشتر ارائه‌دهندگان تم‌های نال‌شده با دستکاری کدها و یا تزریق کدهای مخرب به این قالب‌ها برای رسیدن به اهدافشان این قالب‌ها را به فروش می‌رسانند. قالب‌های نال معمولاً هک شده نسخه‌های پرمیوم هستند که به صورت غیرقانونی توزیع می‌شوند و هیچ حمایت و پشتیبانی را هم از طرف توسعه‌دهنده‌ها دریافت نمی‌کنند.

بیشتر کاربران به دلیل قیمت پایین این قالب‌ها به سمت آن‌ها می‌‌روند. برای پیشگیری از تبدیل شدن به یک طعمه، پیشنهاد می‌کنیم یک تم وردپرس را از منبع رسمی یا توسعه‌دهنده‌های مورد اعتماد آن انتخاب کنید.

۴. یک گواهی SSL برای انتقال امن داده‌ها نصب کنید

Secure Sockets Layer یا همان لایه سوکت‌های امن، پروتکلی برای ایجاد پیوندهای امن بین رایانه‌های تحت شبکه‌ست. SSL به طور گسترده‌ای برای ارتباط امن از طریق اینترنت، به ویژه برای وب‌سایت‌ها استفاده می‌شود. با رمزگذاری داده‌ها در حین انتقال و اطمینان از اینکه فقط گیرنده مورد نظر می‌تواند آن را رمزگشایی کند، یک کانال امن برای انتقال داده‌ها بین مشتری و سرور فراهم می‌کند. این کار سرقت اطلاعات مهم را برای هکرها سخت‌تر می‌کند.

وب سایت‌هایی که گواهی SSL را نصب کرده‌اند به جای HTTP از HTTPS استفاده می‌کنند، بنابراین تشخیص آن‌ها آسان است.

پس از نصب گواهی SSL در حساب میزبانی (هاست، سرورمجازی، …) خود، آن را در وب‌سایت وردپرس خود فعال کنید. افزونه‌هایی مانند Really Simple SSL یا SSL Insecure Content Fixer می‌توانند جنبه‌های فنی و فعال‌سازی SSL را با چند کلیک ساده کنترل کنند. نسخه پریمیوم Really Simple SSL می‌تواند هدرهای HTTP Strict Transport Security را فعال کند که استفاده از HTTPS را هنگام دسترسی به سایت اعمال می‌کند.

بعد از اتمام، باید URL سایتتان را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به قسمت تنظیمات > عمومی بروید و قسمت نشانی سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.

۵. تم‌ها و افزونه‌های استقاده نشده وردپرس را حذف کنید

افزونه‌ها و تم‌های به‌روز نشده و استفاده نشده می‌تواند خطر حملات سایبری را افزایش دهد، چون هکرها به راحتی می‌توانند به وسیله آن‌ها به سایت شما دسترسی پیدا کنند. برای حذف یک افزونه وردپرسی استفاده نشده مراحل زیر را دنبال کنید:

1. 1. به مسیر افزونه‌ها > افزونه‌های نصب شده بروید.

2. 2. در این بخش لیست تمام افزونه‌های نصب شده را مشاهده می‌کنید. قبل از حذف هر افزونه‌ای باید دقت کنید که افزونه موردنظر باید غیرفعال باشد.

برای حذف یک تم استفاده نشده هم باید مراحل زیر را طی کنید:

1. 1. از داشبورد وردپرس به نمایش > پوسته بروید.

2. 2. روی تمی که می‌خواهید حذف کنید، کلیک کنید.

3. 3. یک پنجره پاپ‌آپ ظاهر می‌شود که جزئیات تم را نشان می‌دهد. روی دکمه حذف در گوشه پایین سمت چپ کلیک کنید.

۶. Safelist و Blocklist را برای صفحه مدیریت خود تنظیم کنید

فعال کردن قفل URL از صفحه ورود شما در برابر آدرس‌های IP غیرمجاز و حملات Brute Force محافظت می‌کند. اگر به طور خلاصه بخواهیم حملات Brute Force را تعریف کنیم، می‌توانیم بگوییم این حملات به وسیله هکرها با حدس زدن پسورد و بررسی تمام حالات ممکن برای پیدا کردن پسورد صحیح با نرم افزارهای مخصوص انجام می‌شود. برای محافظت از این حملات، به یک سرویس فایروال برنامه کاربردی وب (WAF) مثل Cloudflare یا Sucuri نیاز دارید.

با استفاده از Cloudflare، می‌توانید یک قانون قفل منطقه را پیکربندی کنید؛ به این صورت که URLهایی را که می‌خواهید قفل و محدوده IP مجاز برای دسترسی به این URLها را مشخص می‌کنید. هر کسی خارج از محدوده IP مشخص شده نمی‌تواند به آن‌ها دسترسی داشته باشد.

Sucuri دارای ویژگی مشابهی به نام لیست سیاه مسیر URL است. اول آدرس صفحه ورود به سیستم را به Blocklist اضافه می‌کنید تا کسی نتواند به آن دسترسی داشته باشد. در مرحله بعد، آدرس IPهای مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.

۷. احراز هویت دو مرحله‌ای را فعال کنید

احراز هویت دو مرحله‌ای یک لایه امنیتی اضافی به فرآیند ورود شما اضافه می‌کند و دسترسی هکرها به سایت شما را خیلی سخت‌تر می‌کند. همچنین رمزهای عبور را می‌توان از طریق روش‌های مختلفی مثل حملات فیشینگ یا نقض اطلاعات به سرقت برد. احراز هویت دو مرحله‌ای به جلوگیری از دسترسی غیرمجاز حتی در صورت به خطر افتادن رمزعبور کمک می‌کند.

به‌طورکلی، احراز هویت دو مرحله‌ای یک راه ساده و موثر برای بهبود امنیت سایت وردپرس شما و محافظت در برابر دسترسی‌های غیرمجاز است. برای فعال کردن احراز هویت دو مرحله‌ای در وردپرس، می‌توانید از افزونه‌ای مثل Google Authenticator یا Duo Security استفاده کنید. در اینجا مراحل تنظیم احراز هویت دو مرحله‌ای با استفاده از افزونه Google Authenticator را به ترتیب نوشته‌ایم:

1. 1. افزونه Google Authenticator را در سایت وردپرس خود نصب کنید. می‌توانید این کار را از قسمت افزودن افزونه در داشبورد وردپرس خود انجام دهید.

2. 2. بعد از نصب افزونه، آن را فعال کنید.

3. 3. به صفحه نمایه کاربری که می‌خواهید احراز هویت دو مرحله‌ای را برای آن فعال کنید رجوع و روی تب راز کلیک کنید.

4. 4. سپس در قسمت گزینه‌های دو عاملی، Google Authenticator را انتخاب کنید.

5. 5. یک کد QR و کد مخفی نمایش داده می‌شود. از برنامه Google Authenticator در تلفن هوشمند خود برای اسکن کد QR یا وارد کردن دستی کد مخفی استفاده کنید.

6. 6. در گوشی هوشمندتان، به محض اینکه از شما خواسته شد به سایت وردپرس وارد شوید، کد ایجاد شده توسط برنامه Google Authenticator را وارد کنید.

7. 7. این فرایند را برای هر کاربر دیگری که می‌خواهید احراز هویت دو مرحله‌ای را فعال کنید، تکرار کنید.

سخن آخر

وردپرس یک سیستم مدیریت محتوای محبوب (CMS) که برای ایجاد و مدیریت وب‌سایت‌ها استفاده می‌شود. بااین‌حال، مثل هر نرم‌افزار دیگری، در برابر تهدیدات امنیتی مثل هک، بدافزار و سرقت اطلاعات، آسیب‌پذیر است. در این مقاله نکاتی که به شما در ارتقای امنیت سایت وردپرسی کمک می‌کند را بررسی کردیم. ممنون که تا آخر مقاله همراه ما بودید. خوشحال می‌شویم نظراتتان راجع‌به مقاله را در قسمت نظرات کاربران برای ما بنویسیدحذف