وبلاگ

چگونه با وردپرس هک نشویم؟ آپدیت 2022

وردپرس محبوب ترین سیستم مدیریت محتوا (CMS) است که 43.2 درصد از کل وب سایت ها بر روی نرم افزار آن اجرا می شوند. متأسفانه، محبوبیت آن باعث جذب انواع مجرمان سایبری می شود که از آسیب پذیری های امنیتی این پلت فرم سوء استفاده می کنند.

این بدان معنا نیست که وردپرس دارای یک سیستم امنیتی وحشتناک است – نقض امنیتی نیز ممکن است به دلیل عدم آگاهی کاربران از امنیت رخ دهد. بنابراین، بهتر است قبل از اینکه وب سایت شما به یک هدف هکر تبدیل شود، اقدامات امنیتی پیشگیرانه را اعمال کنید.

ما در مورد 22 روش برای بهبود امنیت وردپرس و محافظت از سایت شما در برابر حملات سایبری مختلف صحبت خواهیم کرد. این مقاله شامل بهترین شیوه ها و نکات خواهد بود – با یا بدون افزونه وردپرس. برخی از روش ها برای پلتفرم های دیگری غیر از وردپرس نیز قابل اجرا هستند.

اگر وب سایت شما هک شود، خطر از دست دادن داده ها، دارایی ها و اعتبار را دارید. علاوه بر این، این حادثه می تواند اطلاعات شخصی و اطلاعات صورتحساب مشتریان شما را به خطر بیندازد.هزینه خسارات جرایم سایبری می تواند تا سال 2025 به 10.5 تریلیون دلار در سال برسد . مطمئناً شما نمی خواهید به هدف هکرها تبدیل شوید و در این امر سهیم باشید.

بر اساس پایگاه داده آسیب‌پذیری WPScan ، اینها برخی از رایج‌ترین انواع آسیب‌پذیری‌های امنیتی وردپرس هستند:

• جعل درخواست بین سایتی ( CSRF ) – کاربر را مجبور می کند تا اقدامات ناخواسته را در یک برنامه وب قابل اعتماد انجام دهد.
• حمله دی داس ( DDoS ) – سرویس های آنلاین را با پرکردن اتصالات ناخواسته از کار می اندازد و در نتیجه یک سایت را غیرقابل دسترس می کند.
• دور زدن احراز هویت – به هکرها امکان دسترسی به منابع وب سایت شما را بدون تأیید صحت آنها می دهد.
• تزریق SQL ( SQLi ) – سیستم را مجبور می کند تا کوئری های SQL مخرب را اجرا کند و داده ها را در پایگاه داده دستکاری کند.
• برنامه نویسی متقابل سایت ( XSS ) – کد مخربی را تزریق می کند که سایت را به یک انتقال دهنده بدافزار تبدیل می کند.
• گنجاندن فایل محلی ( LFI ) – سایت را مجبور به پردازش فایل های مخرب قرار داده شده در وب سرور می کند.

بهترین روش های عمومی برای بهبود امنیت وب سایت وردپرس چیست:

در این بخش، به شش نکته کلی امنیتی وردپرس می پردازیم که به دانش فنی پیشرفته و سرمایه گذاری های پرخطر نیاز ندارند. حتی یک مبتدی نیز می تواند این کارهای ساده مانند به روز رسانی نرم افزار وردپرس و حذف تم های بلااستفاده را انجام دهد.

1. نسخه وردپرس را به طور منظم به روز کنید

وردپرس به‌روزرسانی‌های نرم‌افزاری منظم را برای بهبود عملکرد و امنیت منتشر می‌کند. این به روز رسانی ها همچنین از سایت شما در برابر تهدیدات سایبری محافظت می کنند.به روز رسانی نسخه وردپرس یکی از ساده ترین راه ها برای بهبود امنیت وردپرس است. با این حال، نزدیک به 50٪ از سایت های وردپرس بر روی نسخه قدیمی وردپرس اجرا می شوند، که آنها را آسیب پذیرتر می کند.برای بررسی اینکه آیا آخرین نسخه وردپرس را دارید، قسمت مدیریت وردپرس خود را باز کنید و به پیشخوان،  آپدیت، در پنل بروید. اگر نشان می دهد که نسخه شما به روز نیست، توصیه می کنیم در اسرع وقت آن را به روز کنید.

مهم: قبل از هر کاری یک فول بک از طریق پنل هاست خود (سی پنل یا دایرکت ادمین) بگیرید که اگر تغییرات باعث مشکل احنمالی شد بتوانید بک آپ بر گردونید و اگر بلد نیستید با تماس با هاستینگ سایت خود بک آپ را تهیه کنید.اگر خودتان بک آپ می گیرید آن را دانلود و در جای امن در کامپیوتر خود نگهداری کنید

همچنین توصیه می کنیم تم ها و افزونه های نصب شده در سایت وردپرس خود را از طریق آپدیت افزونه ها به روز کنید. تم ها و افزونه های قدیمی ممکن است با نرم افزار اصلی وردپرس به روز شده تضاد داشته باشند و باعث ایجاد خطا و مستعد تهدیدات امنیتی شوند.

نکته:

فعال کردن به‌روزرسانی‌های خودکار بار کاری شما را کاهش می‌دهد، اما می‌تواند وب‌سایت شما را به دلیل ناسازگاری با افزونه‌ها یا تم‌های قدیمی‌تر خراب کند. اگر این گزینه را فعال کردید، مطمئن شوید که از وب سایت شما به طور منظم نسخه پشتیبان تهیه شده است تا در صورت بروز خطا بتوانید به نسخه قبلی برگردید.

2. از ورود امن WP-Admin استفاده کنید

یکی از رایج‌ترین اشتباهاتی که کاربران مرتکب می‌شوند استفاده از نام‌های کاربری ساده و قابل حدس زدن است، مانند «admin»،«administrator»یا «test» این سایت شما را در معرض خطر حملات(brute force) حدس نام کاربری قرار می دهد. علاوه بر این، مهاجمان نیز از این نوع حمله برای هدف قرار دادن سایت‌های وردپرسی که پسورد قوی ندارند، استفاده می‌کنند.

بنابراین، توصیه می کنیم نام کاربری و رمز عبور خود را منحصر به فرد و پیچیده تر کنید.

همچنین، این مراحل را برای ایجاد یک حساب کاربری جدید سرپرست وردپرس با نام کاربری جدید دنبال کنید:

• از داشبورد وردپرس خود به مسیر Users -> Add New بروید .
• یک کاربر جدید ایجاد کنید و نقش Administrator را به آن اختصاص دهید . پس از اتمام کار ، یک رمز عبور قوی اضافه کنید و دکمه افزودن کاربر جدید را بزنید.
• اعداد، نمادها و حروف بزرگ و کوچک را در رمز عبور خود بگنجانید. همچنین توصیه می کنیم از بیش از 12 کاراکتر استفاده کنید زیرا شکستن رمزهای عبور طولانی تر بسیار سخت تر است.

پس از ایجاد نام کاربری مدیریت وردپرس جدید، باید نام کاربری مدیریت قدیمی خود را حذف کنید. در اینجا مراحل انجام این کار وجود دارد:

• با اطلاعات کاربری جدید وردپرس خود وارد شوید.
• به قسمت کاربران-کاربر جدید بروید .
• اکانت مدیریت قدیمی را که می خواهید حذف کنید انتخاب کنید. منوی کشویی را به Delete تغییر دهید و روی Apply کلیک کنید .
• تمام پست های قدیمی را به کاربر جدید اختصاص دهید

3 Safelist و Blocklist را برای صفحه مدیریت تنظیم کنید

فعال کردن قفل URL از صفحه ورود شما در برابر آدرس های IP غیرمجاز و حملات brute force محافظت می کند. برای انجام این کار، به یک سرویس فایروال برنامه کاربردی وب (WAF) مانند Cloudflare یا Sucuri یا Wordfence  نیاز دارید .

با استفاده از Cloudflare، می توان یک قانون قفل منطقه را پیکربندی کرد . URL هایی را که می خواهید قفل کنید و محدوده IP مجاز برای دسترسی به این URL ها را مشخص می کند. هر کسی خارج از محدوده IP مشخص شده نمی تواند به آنها دسترسی داشته باشد.

Sucuri یک ویژگی مشابه به نام فهرست سیاه مسیر URL دارد. ابتدا آدرس صفحه ورود به سیستم را به لیست بلاک اضافه می کنید تا کسی نتواند به آن دسترسی داشته باشد. سپس، آدرس های IP مجاز را برای دسترسی به صفحه ورود به سیستم امن فهرست کنید.

از طرف دیگر، با پیکربندی فایل htaccess . سایت خود، دسترسی به صفحه ورود خود را محدود کنید. برای دسترسی به فایل به دایرکتوری ریشه خود بروید.

مهم! قبل از ایجاد هر گونه تغییری، اکیداً به شما توصیه می کنیم از فایل htaccess . نسخه پشتیبان تهیه کنید. اگر مشکلی پیش بیاید، می توانید سایت خود را به راحتی بازیابی کنید.

افزودن این قانون به .htaccess دسترسی به wp-login.php شما را تنها به یک IP محدود می کند. بنابراین، مهاجمان نمی توانند از مکان های دیگر وارد صفحه ورود به سیستم شما شوند.

و پیشنهاد ما:

افزونه ورد فنس | Wordfence که می توانید آن را از سایتهای معتبر ایرانی بخرید و با تنظیمات پیش فرض خود جلوی خیلی از حملات مخرب هکر را به سایت شما می گیرد.این افزونه به فارسی ترجمه شده است و به راحتی می توانید قوانین سختگیرانه برای سایت خود اعمال کنید

برای مثال اگر در ترافیک زنده این نرم افزار IP های زیادی با رنگ قرمز(ربات) مشخص و مسدود می شوند می توانید به کشور که این حملات از آنها صورت می گیرد توجه کنید و در الگو سفارشی آن کشور را مسدود یا برایش مشخص کنید مجاز به چند کلیک برای هر کاربر است و اگر برای مثال مشخص کنید 30 کلیک در دقیقه و ربات درخواست بیشتری ارسال کند قفل یا مسدود می شود.

و بیشمار تنظیمات حرفه ای دارد که در سایت ورد فنس کامل توضیح داده شده است.

تنها نقطعه ضعف آن بر خلاف فایروال های ابری این است که در سطح سرور انجام می شود. و خبر خوب این است که این زمان واقعا ناچیز است 1 به 300.000 ثانیه

یعنی یک IP مخرب در 300.000 ام ثانیه شناسایی و مسدود می شود و به راحتی بدون اینکه فشاری به هاست و سرور بیاد جلوی حملات هکر ها رو می گیرد.

4. از قالب های وردپرس قابل اعتماد استفاده کنید

تم های وردپرس نال شده نسخه های غیرمجاز تم های اصلی هستند. در بیشتر موارد این تم ها برای جذب کاربران با قیمت کمتری فروخته می شوند. با این حال، آنها معمولا مشکلات امنیتی زیادی دارند.اغلب، ارائه دهندگان تم نال شده هکرهایی هستند که تم اصلی اصلی را هک کرده و کدهای مخرب، از جمله بدافزار و پیوندهای هرزنامه را درج کرده اند. علاوه بر این، این تم ها می توانند درهای پشتی برای سایر سوء استفاده ها باشند که می توانند سایت وردپرس شما را به خطر بیندازند.از آنجایی که تم‌های نال شده به صورت غیرقانونی توزیع می‌شوند، کاربران آن‌ها هیچ حمایتی از توسعه‌دهندگان دریافت نمی‌کنند. این به این معنی است که اگر سایت شما هر گونه مشکلی دارد، باید نحوه رفع آنها را بیابید و خودتان سایت وردپرس خود را ایمن کنید.برای جلوگیری از تبدیل شدن به یک هدف هکر، توصیه می کنیم یک تم وردپرس را از مخزن رسمی یا توسعه دهندگان مورد اعتماد آن انتخاب کنید. از طرف دیگر، مضامین شخص ثالث را در بازارهای موضوعی رسمی مانند ThemeForest ، که در آن هزاران تم ممتاز در دسترس هستند، بررسی کنید.

5. گواهی SSL را نصب کنید

لایه سوکت های امن (SSL) یک پروتکل انتقال داده است که داده های مبادله شده بین وب سایت و بازدیدکنندگان آن را رمزگذاری می کند و سرقت اطلاعات مهم را برای مهاجمان دشوارتر می کند.

علاوه بر این، گواهی‌های SSL همچنین بهینه‌سازی سایت برای موتورهای جستجو سئو را تقویت می‌کند و به آن کمک می‌کند بازدیدکنندگان بیشتری جذب کند.وب‌سایت‌هایی که گواهی SSL نصب کرده‌اند، به جای HTTP از HTTPS استفاده می‌کنند، بنابراین شناسایی آنها آسان است.پس از نصب گواهی SSL در حساب میزبانی خود، آن را در وب سایت وردپرس خود فعال کنید.پس از اتمام، URL سایت خود را از HTTP به HTTPS تغییر دهید. برای انجام این کار، به تنظیمات -> عمومی بروید و قسمت آدرس سایت (URL) را پیدا کنید تا URL آن را تغییر دهید.

مقاله گواهی‌های SSL را بخوانید.

6. پلاگین ها و تم های استفاده نشده وردپرس را حذف کنید

نگه داشتن پلاگین ها و تم های استفاده نشده در سایت می تواند مضر باشد، به خصوص اگر افزونه ها و تم ها به روز نشده باشند. افزونه ها و تم های قدیمی خطر حملات سایبری را افزایش می دهند زیرا هکرها می توانند از آنها برای دسترسی به سایت شما استفاده کنند.

برای حذف یک افزونه وردپرس استفاده نشده مراحل زیر را دنبال کنید:

• به  قسمت افزونه ها بروید .
• لیست تمام افزونه های نصب شده را مشاهده خواهید کرد. روی غیر فعال کردن وسپس حذف در زیر نام افزونه کلیک کنید.

در همین حال، در اینجا مراحل حذف یک تم استفاده نشده وجود دارد:

• از داشبورد مدیریت وردپرس خود، به Appearance -> Themes بروید .
• روی تمی که می خواهید حذف کنید کلیک کنید.
• یک پنجره پاپ آپ ظاهر می شود که جزئیات تم را نشان می دهد. روی دکمه Delete در گوشه سمت راست پایین کلیک کنید.

نکته:

هنگام حذف یک پلاگین یا تم محبوب وردپرس از داشبورد وردپرس خود، ممکن است گزینه ای برای استفاده از حذف نصب سفارشی نداشته باشید، جایی که می توانید انتخاب کنید که تمام داده های مربوط به آن افزونه یا موضوع را به طور کامل حذف کنید. در این مورد، باید این کار را از طریق یک سرویس گیرنده FTP با دسترسی به پایگاه داده خود و حذف افزونه یا ورودی های تم به صورت دستی انجام دهید.

7. احراز هویت دو مرحله ای را برای WP-Admin فعال کنید

احراز هویت دو مرحله ای 2FA را فعال کنید تا فرآیند ورود به سایت وردپرس خود را تقویت کنید. این روش احراز هویت یک لایه دوم از امنیت وردپرس را به صفحه ورود اضافه می کند، زیرا برای تکمیل فرآیند ورود باید یک کد منحصر به فرد وارد کنید.

کد فقط از طریق یک پیام متنی یا یک برنامه احراز هویت شخص ثالث در دسترس شما است.

برای اعمال2FA در سایت وردپرس خود، افزونه امنیتی ورود مانند Wordfence Login Security را نصب کنید . علاوه بر این، باید یک برنامه احراز هویت شخص ثالث مانند Google Authenticator را روی تلفن همراه خود نصب کنید.

البته ورد فنس 5 کد 16 رقمی دانلودی در یک فایل به شما می دهد که با هر بار لاگین می توانید 5 کد جدید تولید کنید و کدهای قدیمی غیر فعال می شود

8. به طور منظم از وردپرس نسخه پشتیبان تهیه کنید

ایجاد منظم نسخه پشتیبان از سایت یک کار کاهشی مهم است زیرا به شما کمک می کند تا سایت خود را پس از حوادثی مانند حملات سایبری یا آسیب فیزیکی به مرکز داده بازیابی کنید. فایل پشتیبان باید شامل کل فایل های نصب وردپرس شما باشد، مانند پایگاه داده شما و فایل های اصلی وردپرس.

نکته:

من ذخیره نسخه پشتیبان وب سایت را در رایانه شخصی توصیه نمی کنم. در عوض، از برنامه های ذخیره سازی مانند Google Drive استفاده کنید. اما اگر تصمیم به انجام این کار دارید، بهترین راه این است که آن را حداقل در سه مکان مانند رایانه خود، یک درایو فلش USB و یک حافظه خارجی مانند Dropbox ذخیره کنید.

بهترین افزونه ها بک آپ بادی و آپ درفت پلاس هست و حتما نسخه پولی آن را بخرید

ولی من خودم از طریق هاست اقدام به تهیه بک آپ می کنم و به این افزونه ها اعتماد ندارم

9. محدود کردن تلاش برای ورود

وردپرس به کاربران خود اجازه می دهد تا تعداد نامحدودی تلاش برای ورود به سایت انجام دهند. متأسفانه، هکرها می توانند با استفاده از ترکیب های مختلف رمز عبور تا زمانی که رمز عبور مناسب را پیدا کنند، به زور به ناحیه مدیریت وردپرس شما راه پیدا کنند.

بنابراین، شما باید تلاش برای ورود به سیستم را برای جلوگیری از چنین حملاتی در وب سایت محدود کنید. محدود کردن تلاش های ناموفق همچنین به نظارت بر فعالیت های مشکوک در سایت شما کمک می کند.

اکثر کاربران فقط به یک بار امتحان یا چند بار تلاش ناموفق نیاز دارند، بنابراین باید به آدرس های IP مشکوک که به حد مجاز رسیده باشد مشکوک باشید.

یکی از راه های محدود کردن تلاش برای ورود به سیستم به منظور افزایش امنیت وردپرس استفاده از یک افزونه است. گزینه های بسیار خوبی در دسترس هستند، مانندWordfence

افزونه ورد فنس برای محدود کردن تلاش‌های ورود مجدد به سیستم – تعداد تلاش‌های ناموفق را برای آدرس‌های IP خاص پیکربندی می‌کند، کاربران را به لیست امن اضافه می‌کند یا آنها را به طور کامل مسدود می‌کند و کاربران وب‌سایت را در مورد زمان قفل باقی‌مانده مطلع می‌کند.

پیشنهاد ما: نصب نسخه پریمیوم wordfence و سپس به تنظیمات بروید و محدودیت برای لاگین مشخص کنید

10. آدرس صفحه ورود به وردپرس را تغییر دهید

برای برداشتن یک قدم بیشتر برای محافظت از وب سایت خود در برابر حملات brute force، URL صفحه ورود را تغییر دهید.همه وب‌سایت‌های وردپرس دارای URL پیش‌فرض برای ورود به سیستم هستند – yourdomain.com/wp-admin . استفاده از URL پیش فرض ورود به سیستم، هدف قرار دادن صفحه ورود شما را برای هکرها آسان می کند.

افزونه هایی مانند WPS Hide Login و Change wp-admin Login تنظیمات URL سفارشی ورود به سیستم را فعال می کنند.

11. خروج خودکار کاربران بیکار

بسیاری از کاربران فراموش می کنند که از وب سایت خارج شوند و جلسات خود را در حال اجرا بگذارند. از این رو، به شخص دیگری که از همان دستگاه استفاده می کند اجازه می دهد به حساب های کاربری خود دسترسی داشته باشد و به طور بالقوه از داده های محرمانه سوء استفاده کند. این امر به ویژه برای کاربرانی که از رایانه های عمومی در کافی نت ها یا کتابخانه های عمومی استفاده می کنند صدق می کند.استفاده از افزونه امنیتی وردپرس مانند Inactive Logout یکی از ساده‌ترین راه‌ها برای خروج خودکار از حساب‌های کاربری غیرفعال است.

12. نظارت بر فعالیت کاربر

با ردیابی فعالیت‌ها در ناحیه مدیریت، هرگونه اقدام ناخواسته یا مخربی را که وب سایت شما را در معرض خطر قرار می‌دهد، شناسایی کنید. ما این روش را برای کسانی توصیه می کنیم که چندین کاربر یا نویسنده دارند که به وب سایت وردپرس خود دسترسی دارند. این به این دلیل است که کاربران ممکن است تنظیماتی را که نباید تغییر دهند، مانند تغییر تم ها یا پیکربندی افزونه ها، تغییر دهند.با نظارت بر فعالیت های آنها، متوجه خواهید شد که چه کسی مسئول آن تغییرات ناخواسته است و اگر شخص غیرمجاز به وب سایت وردپرس شما نفوذ کرده باشد.

ساده ترین راه برای ردیابی فعالیت کاربر استفاده از افزونه وردپرس است، مانند:

WP Activity Log  تغییرات را در چندین ناحیه وب سایت، از جمله پست ها، صفحات، تم ها و افزونه ها نظارت می کند. همچنین فایل‌های تازه اضافه شده، فایل‌های حذف شده و تغییرات در هر فایلی را ثبت می‌کند.

13. بدافزار را بررسی کنید

موسسه AV-TEST هر روز بیش از 450000 بدافزار جدید و برنامه های کاربردی ناخواسته (PUA) را ثبت می کند. برخی از بدافزارها حتی ماهیت چند شکلی دارند، به این معنی که می توانند خود را تغییر دهند تا از شناسایی امنیتی جلوگیری کنند.بنابراین، اسکن منظم سایت خود بسیار مهم است زیرا مهاجمان همیشه انواع جدیدی از تهدیدات را توسعه می دهند.خوشبختانه، بسیاری از افزونه های اسکنر هک وردپرس عالی می توانند بدافزارها را اسکن کرده و امنیت وردپرس را بهبود بخشند.

• Wordfence  یک افزونه امنیتی محبوب وردپرس با به‌روزرسانی‌های امضای بدافزار بلادرنگ و اعلان‌های هشدار است که به شما اطلاع می‌دهد که آیا سایت دیگری سایت شما را برای فعالیت مشکوک در لیست مسدود کرده است.
• Sucuri Security یکی از بهترین افزونه های امنیتی موجود در بازار است که گواهینامه های مختلف SSL، اسکن بدافزار از راه دور و ویژگی های اقدام امنیتی پس از هک را ارائه می دهد.

چگونه وردپرس را بدون استفاده از پلاگین ایمن کنیم؟

همچنین می توان امنیت وب سایت خود را بدون استفاده از افزونه ها افزایش داد. بیشتر این کارها شامل بهینه سازی کد سایت شما است، اما نیازی به نگرانی نیست – ما به شما نشان خواهیم داد که چگونه این کار را مرحله به مرحله انجام دهید.

1. PHP Error Reporting را غیرفعال کنید

گزارش خطای PHP اطلاعات کاملی را در مورد مسیرهای وب سایت و ساختار فایل شما نمایش می دهد و آن را به یک ویژگی عالی برای نظارت بر اسکریپت های PHP سایت شما تبدیل می کند.با این حال، نشان دادن آسیب پذیری های وب سایت شما در باطن یک نقص امنیتی جدی وردپرس است.به عنوان مثال، اگر افزونه خاصی را نمایش دهد که پیام خطا در آن ظاهر شده است، مجرمان سایبری می توانند از آسیب پذیری های آن افزونه استفاده کنند.

دو راه برای غیرفعال کردن گزارش خطای PHP وجود دارد – از طریق فایل PHP یا کنترل پنل حساب میزبانی شما.

برای تغییر فایل PHP مراحل زیر را دنبال کنید(غیرفعال سازی خطا های PHP)

فایل wp-config.php سایت خود را با استفاده از یک سرویس گیرنده FTP مانند FileZilla یا مدیر فایل ارائه دهنده هاست خود باز کنید .

1. در ابتدا، شما نیاز دارید تا فایل wp-config.php وردپرس خود را ویرایش کنید.
2. در فایل wp-config.php وردپرس خود، به دنبال کد زیر بگردید:

;define(‘WP_DEBUG’, true)

3. بجای مقدار true، مقدار false قرار گیرد

;define(‘WP_DEBUG’, false)

2. به یک میزبان وب امن تر مهاجرت کنید

اگر محیط میزبانی مستعد حملات سایبری باشد، اقدامات امنیتی چندگانه وردپرس اهمیت چندانی نخواهد داشت. ارائه‌دهنده هاست شما باید فضای امنی را برای تمام داده‌ها و فایل‌های وب‌سایت شما در سرور خود تضمین کند، بنابراین بسیار مهم است که فضایی را انتخاب کنید که از سطح امنیتی عالی برخوردار باشد.

اگر فکر می کنید شرکت میزبانی وب فعلی شما به اندازه کافی امن نیست، وقت آن رسیده است که وب سایت وردپرس خود را به یک پلتفرم میزبانی جدید منتقل کنید. در اینجا مواردی است که باید هنگام جستجوی یک میزبان وب ایمن در نظر بگیرید:

نوع میزبانی وب – به دلیل اشتراک منابع، انواع میزبانی مشترک و وردپرس نسبت به سایر انواع میزبانی در برابر حملات سایبری آسیب پذیرتر هستند. میزبانی وب را انتخاب کنید که VPS یا هاست اختصاصی را نیز برای جداسازی منابع شما ارائه می دهد.

امنیت – یک ارائه دهنده هاست خوب شبکه خود را برای فعالیت مشکوک نظارت می کند و به طور دوره ای نرم افزار و سخت افزار سرور خود را به روز می کند. آنها همچنین باید از امنیت سرور و محافظت در برابر انواع حملات سایبری برخوردار باشند.

ویژگی ها – صرف نظر از نوع میزبانی، داشتن پشتیبان گیری خودکار و ابزارهای امنیتی برای جلوگیری از بدافزار یکی از ویژگی های ضروری برای محافظت از سایت وردپرس شما است. در بدترین حالت، می‌توانید از آن برای بازیابی یک وب‌سایت در معرض خطر استفاده کنید.

پشتیبانی – انتخاب یک شرکت هاستینگ با تیم پشتیبانی 24/7 با دانش فنی عالی ضروری است. آنها به شما کمک می کنند از داده های خود محافظت کنید و با مشکلات فنی و ایمنی که ممکن است رخ دهد مقابله کنید.

3. ویرایش فایل را خاموش کنید

وردپرس دارای یک ویرایشگر فایل داخلی است که ویرایش فایل های PHP وردپرس را آسان می کند. با این حال، اگر هکرها کنترل آن را به دست آورند، این ویژگی می تواند مشکل ساز شود.به همین دلیل برخی از کاربران وردپرس ترجیح می دهند این قابلیت را غیرفعال کنند. برای غیرفعال کردن ویرایش فایل ، خط کد زیر را به فایل wp-config.php اضافه کنید:

;define( ‘DISALLOW_FILE_EDIT’, true )

اگر می خواهید دوباره این ویژگی را در سایت وردپرس خود فعال کنید، به سادگی کد قبلی را از wp-config.php با استفاده از یک سرویس گیرنده FTP یا مدیر فایل ارائه دهنده هاست خود حذف کنید.

4. محدود کردن دسترسی با استفاده از فایل htaccess

فایل htaccess تضمین می کند که پیوندهای وردپرس به درستی کار می کنند. بدون اینکه این فایل قوانین صحیح را اعلام کند، خطاهای 404 Not Found زیادی را در سایت خود دریافت خواهید کرد. علاوه بر این، htaccess  می تواند دسترسی از IP های خاص را مسدود کند، دسترسی را به تنها یک IP محدود کند، و اجرای PHP را در پوشه های خاص غیرفعال کند. در زیر به شما نشان خواهیم داد که چگونه از .htaccess برای تقویت امنیت وردپرس خود استفاده کنید.

مهم! همیشه قبل از ایجاد هر گونه تغییری در فایل htaccess موجود خود نسخه پشتیبان تهیه کنید. این می تواند به شما کمک کند اگر مشکلی پیش آمد به راحتی سایت خود را بازیابی کنید.

غیرفعال کردن اجرای PHP در پوشه های خاص

هکرها اغلب اسکریپت های درب پشتی را در پوشه Uploads آپلود می کنند. به طور پیش فرض، این پوشه فقط فایل های رسانه ای آپلود شده را میزبانی می کند، بنابراین نباید حاوی هیچ فایل PHP باشد.

برای ایمن سازی سایت وردپرس خود، اجرای PHP را در پوشه با ایجاد یک فایل htaccess جدید در /wp-content/uploads/ با این قوانین غیرفعال کنید:

<Files *.php>

deny from all

</Files>

محافظت از فایل wp-config.php

فایل wp-config.php در فهرست اصلی شامل تنظیمات هسته وردپرس و جزئیات پایگاه داده MySQL است. بنابراین، فایل معمولاً هدف اصلی یک هکر است.با اجرای این قوانین htaccess از این فایل محافظت کنید و وردپرس را ایمن نگه دارید :

<files wp-config.php>

order allow,deny

deny from all

</files>

5. پیشوند پیش فرض پایگاه داده وردپرس را تغییر دهید

6. XML-RPC را غیرفعال کنید

XML-RPC یک ویژگی وردپرس برای دسترسی و انتشار محتوا از طریق دستگاه های تلفن همراه، فعال کردن بک بک و پینگ بک و استفاده از افزونه Jetpack در وب سایت وردپرس شما است.با این حال، XML-RPC دارای نقاط ضعفی است که هکرها می توانند از آنها سوء استفاده کنند. این ویژگی به آن‌ها اجازه می‌دهد بدون شناسایی توسط نرم‌افزار امنیتی چندین بار وارد سیستم شوند و سایت شما را مستعد حملات brute force می‌کند.هکرها همچنین می توانند از عملکرد پینگ بک XML-RPC برای انجام حملات DDoS استفاده کنند. این به مهاجمان اجازه می دهد تا پینگ بک را به هزاران وب سایت به طور همزمان ارسال کنند که می تواند سایت های مورد نظر را خراب کند.برای تعیین اینکه آیا XML-RPC فعال است یا خیر، سایت خود را از طریق یک سرویس اعتبارسنجی XML-RPC اجرا کنید و ببینید آیا پیام موفقیت آمیزی دریافت می کنید یا خیر. این بدان معناست که تابع XML-RPC در حال اجرا است.

می توانید عملکرد XML-RPC را با استفاده از یک افزونه یا به صورت دستی غیرفعال کنید.

غیرفعال کردن XML-RPC با استفاده از یک پلاگین

استفاده از یک پلاگین راه سریعتر و ساده تر برای مسدود کردن ویژگی XML-RPC در وب سایت شما است. توصیه می کنیم از افزونه Disable XML-RPC Pingback استفاده کنید. به طور خودکار برخی از عملکردهای XML-RPC را خاموش می کند و از انجام حملات هکرها با استفاده از این نقص امنیتی وردپرس جلوگیری می کند.

7. نسخه وردپرس را مخفی کنید

اگر هکرها بدانند که از کدام نسخه وردپرس استفاده می کنید، می توانند راحت تر وارد سایت شما شوند. آنها می توانند از آسیب پذیری های آن نسخه برای حمله به سایت شما استفاده کنند، به خصوص اگر نسخه قدیمی وردپرس باشد.خوشبختانه، این امکان وجود دارد که اطلاعات سایت خود را با استفاده از ویرایشگر قالب وردپرس مخفی کنید. برای انجام این کار مراحل زیر را دنبال کنید:

با افزونه WP Hide & Security Enhancer به راحتی اینکار را انجام دهید

در تب general/html  این افزونه هر 2 گزینه را روی yes قرار دهید تا ورژن وردپرس سایت مخفی شود.

در تب ReWrite  این افزونه جلوی خیلی از حملات هکرها را می توانید بگیرید که در ادامه توضیح می دهیم:

این افزونه دارای تعداد زیادی تب هست که هر کدام یک کار خوب انجام می دهد از مخفی کردن ورژن وردپرس و نام غالب و تغییر مسیر پلاگین ها البته توی برخی از تب ها و تغییرات آن دقت کنید تا سایت شما خراب نشود.(بک آپ فراموش نشود)

در صفحه باز شده روی سربرگ Json Rest کلیک کنید. این گزینه را روی حالت yes قرار دهید.بدین ترتیب ویژگی REST API وردپرس غیرفعال خواهد شد. وجلوی خیلی از حملات گرفته می شود. به نظر ما وقت بزارید و اکثر گزینه ها روی yes  تنظیم کنید.

• غیر فعال کردن حملات هکر ها که به شکل زیر است:

https:// ://exmple.com /wp-json

• غیر فعال کردن XML-RPC

Disable XML-RPC

• غیر فعال کردن دیدن نویسنده ها

8. Hotlinking را مسدود کنید

Hotlinking اصطلاحی است که وقتی شخصی دارایی وب سایت شما، معمولاً یک تصویر، را در وب سایت خود نمایش می دهد، استفاده می شود. هر بار که مردم از وب سایتی بازدید می کنند که دارای لینک های مستقیم به محتوای شما است، از منابع وب سرور شما استفاده می کند و سرعت سایت شما را کاهش می دهد.

اگر شما دوست ندارید hotlink روی وب سایت خود داشته باشید که البته طبیعی هم هست میتوانید از قسمت hotlink protection درCpanel  استفاده کنید.

برای فعال کردنhotlink protection  اینکار را انجام دهید:

وارد هاست(سی پنل) خود شوید.

از قسمت security گزینه hotlink protection را انتخاب کنید.

سپس در قسمت URLs to allow access لینک هایی که اجازه دسترسی به سایت شما دارند از جمله نام دامین خود را وارد کنید. می توانید فقط نام سایت خود را وارد کنید تا هیچ سایتی نتواند هات لینک کند.

در قسمت Block direct access for the following extensions (comma-separated) پسوندهای مورد نظر خود (jpg,jpeg,gif,png,bmp) که مایل هستید از انها محافظت کنید را وارد کنید. هنگامی که شما نوع فایل های مورد نظر را مسدود می کنید، این نوع فایل ها را دیگر نمیتوانند از وب سایت شما دریافت کنند.

اگر گزینه

 Allow direct requests (for example, when you enter the URL of an image in a browser). 

اگر گزینه بالا را انتخاب کنید، به افرادی که لینک عکس سایت شما را به صورت مستقیم در ادرس مرورگر باز کنند اجازه میدید که فایل مورد نظر باز شود.

اما با انتخاب Redirect the request to the following URL مشخص میکنید که اگر کاربر با دسترسی مستقیم به ادرس مورد نظر(معمولا عکس) اجازه دانلود نداشت به چه لینکی هدایت شود.

در پایان Submit نمایید.

9. مجوزهای فایل را مدیریت کنید

با تعیین اینکه کدام کاربران می توانند فایل ها یا پوشه های وردپرس شما را بخوانند، بنویسند یا اجرا کنند، از دسترسی هکرها به حساب مدیریت خود جلوگیری کنید. می توانید از File Manager، سرویس گیرنده FTP یا از طریق خط فرمان میزبان وب خود برای مدیریت مجوزهای فایل و پوشه استفاده کنید .به طور کلی، مجوزها به طور پیش فرض تنظیم می شوند که ممکن است بسته به فایل ها یا پوشه های مختلف متفاوت باشد. مخصوصاً برای پوشه wp-admin و فایل wp-config ، مطمئن شوید که فقط به Owner اجازه نوشتن آن را می دهید.

آیا وردپرس به فایروال نیاز دارد؟

راه اندازی یک فایروال وب سایت ضروری است زیرا به محافظت از سایت وردپرس شما در برابر تلاش های هک یا سایر اشکال حملات سایبری با مسدود کردن ترافیک ناخواسته کمک می کند. از آنجایی که وردپرس فایروال وب سایت داخلی ندارد، می توانید با دانلود افزونه ای مانند Sucuri یا wordfence  آن را راه اندازی کنید.

آیا وردپرس به راحتی هک می شود؟

وردپرس یک پلت فرم امن است تا زمانی که صاحب وب سایت اقدامات امنیتی مناسبی را اعمال کند و به طور منظم از نگهداری وب مراقبت کند.به خاطر داشته باشید که امنیت وردپرس نه تنها به فناوری بلکه به عوامل انسانی نیز مربوط می شود . مهم نیست که امنیت وب شما چقدر عالی است، اگر هیچ گونه تدابیر امنیتی انجام ندهید، سایت شما به راحتی می تواند یکی از آن سایت های وردپرس هک شده باشد.

چرا وردپرس من امن نیست؟

اگر مرورگر شما نشان می دهد که سایت وردپرس شما ایمن نیست، به این معنی است که سایت شما گواهی SSL ندارد یا SSL به درستی پیکربندی نشده است. برای رفع مشکل، یکی را نصب کنید یا به HTTPS تغییر دهید.

آیا افزونه امنیتی برای وردپرس ضروری است؟

بله، نصب یک پلاگین امنیتی اسکنر هک مانند Jetpack و wordfence وSucuri می تواند به محافظت طولانی مدت از سایت شما کمک کند. به یاد داشته باشید که فقط موارد ضروری را نصب کنید زیرا داشتن افزونه های زیاد می تواند سایت شما را خراب کند.

چگونه می توانم سایت وردپرس خود را بدون افزونه ایمن کنم؟

با اطمینان از اینکه از یک میزبان وب ایمن استفاده می کنید شروع کنید. در غیر این صورت، فورا به یک هاست امن تر مهاجرت کنید. سپس، پیکربندی سایت خود را برای امنیت بهتر وردپرس تغییر دهید، مانند مدیریت مجوزهای فایل، غیرفعال کردن گزارش خطای PHP و XML-RPC، و محدود کردن دسترسی به فایل wp-config.php . علاوه بر این، هات لینک را از سایر وب سایت ها مسدود کنید.

چرا وردپرس اینقدر هک می شود؟

بسیاری از سایت های وردپرس هک می شوند زیرا مالک وب سایت اقدامات امنیتی وردپرس را به اندازه کافی اعمال نمی کند. این باعث می شود که این سایت ها با آسیب پذیری های مختلفی روبرو شوند که راه را برای مهاجمان بالقوه باز می کند. مهاجمان همچنین به طور منظم وب سایت های وردپرس را هدف قرار می دهند زیرا تقریباً نیمی از وب سایت های موجود از آن استفاده می کنند.

چرا سایت وردپرس من مورد حمله قرار می گیرد؟

سایت وردپرس شما ممکن است دارای آسیب‌پذیری‌های امنیتی مانند افزونه‌های قدیمی، رمزهای عبور ضعیف و دسترسی محافظت نشده به فهرست wp-admin باشد. به طور منظم تعمیر و نگهداری وب سایت را اعمال کنید و از چک لیست امنیتی وردپرس ما استفاده کنید تا مطمئن شوید که اقدامات امنیتی کافی را برای سایت خود اعمال کرده اید و از آن در برابر هرگونه حمله احتمالی محافظت می کنید.

بهترین افزونه امنیتی وردپرس چیست؟

این به نیاز وب سایت شما بستگی دارد، اما ما Wordfence یا Sucuri را به عنوان بهترین افزونه های امنیتی وردپرس برای محافظت جامع از آنها توصیه می کنیم. هر دو ویژگی‌های مشابهی از جمله اسکنر وردپرس بدافزار، فایروال برنامه وب که ترافیک مخرب را مسدود می‌کند و نظارت بر ترافیک را ارائه می‌دهند. اگر وب سایت شما یک فروشگاه تجارت الکترونیک است، Sucuri می تواند انتخاب خوبی باشد، اما اگر به دنبال یک افزونه امنیتی عالی وردپرس هستید، Wordfence یک گزینه قوی است.