وردپرس

همواره یکی از بزرگترین دغدغه های مدیران وب سایت های وردپرسی امنیت بخش مدیریت می باشد. نکاتی که در زیر آمده است، مجموعه ایست جامع از آنچه یک مدیر سایت وردپرسی برای حفاظت از پنل مدیریت خود نیاز دارد.

برای اطمینان از امنیت بیشتر، “وردپرس با طعم فارسی” استفاده از تمامی این  ۱۳ نکته را به شما پیشنهاد می کند.

۱- ایجاد لینک ورود سفارشی

همانطور که میدانید، تمامی کاربران برای ورود به بخش مدیریت (پیشخوان سایت) می بایست از مسیر wp-admin.php استفاده کنند. حال آنکه اگر شما در مکان های مختلف از رمز عبور مشابه استفاده کرده باشید و در نتیجه رمز عبور شما در خطر باشد، هکر ها براحتی می توانند وب سایت شما را هک کنند. افزونه ای با نام “Stealth Login” این امکان را به شما می دهد تا لینک های مربوط به بخش ورود، خروج، مدیریت و ثبت نام را بصورت سفارشی تعریف نمایید. همچنین با فعال کردن Stealth mode می توانید از دسترسی کاربران به مسیر wp-admin.php جلوگیری کنید. آنگاه آدرس موردنظرتان را برای لینک ورودی سایت خود تعریف کنید. اگرچه این کار امنیت ۱۰۰% سایت را تضمین نمی کند، اما با تغییر مسیر ورودی، هکر را در مواردی که قصد هک رمز ورود شما را دارد با مشکل روبه رو می کند.

۲- استفاده از کلمه عبور قوی

این نکته بنظر پیش پا افتاده است اما در واقع یکی از مهمترین نکات در زمینه ایمن سازی بخش مدیریت سایت می باشد. سعی کنید از گذرواژه هایی استفاده کنید که براحتی قابل شناسایی نباشند، برای اینکار می توانید از نشانگر میزان امنیت گذرواژه که در وردپرس موجود است، استفاده نمایید. همچنین پیشنهاد میشود گذرواژه خود را بصورت دوره ای (بطور مثال هر ماه) تغییر دهید.

۳- محدودیت تعداد دفعات تلاش کاربر در ورود به سایت

گاهی ممکن است هکرها تصور کنند که گذرواژه شما را در اختیار دارند و یا اینکه برای بدست آوردن آن از اسکریپتی استفاده کنند. در این حالت، مهمترین چیزی که می تواند به شما کمک کند امنیت وب سایت خود بالا ببرید، محدود کردن تعداد تلاش در ورود به سایت می باشد. بدین منظور شما میتوانید با فعال سازی افزونه Limit Login Attempt، برای تعداد تلاش کاربر در ورود به سایت محدودیت تعیین نمایید، با این کار هکر ها شانس کمتری برای رمزیابی دارند و در صورت اعمال محدودیت کاربر برای مدت زمان مشخصی از ورود به سایت محروم خواهد بود.

۴- استفاده از صفحات ایمن SLL برای ورود

شما برای ورود به بخش مدیریت سایت خود میتوانید از کانال های رمزگذاری شده SLL استفاده کنید، با این کار آدرس های شما با //:https همراه خواهد شد. بدین منظور شما می بایست شرکت ارائه دهنده هاست وب سایت تان در جریان امر قرار دهید. پس از هماهنگی با شرکت مذکور، کد زیر را در فایل wp-config.php اضافه نمایید:

همچنین میتوانید افزونه ای با نام Admin SLL استفاده کنید. استفاده از افزونه نسبت به روش بالا بسیار راحت تر است. لازم به ذکر است که این افزونه تنها با نسخه های ۲٫۷ و جدیدتر وردپرس سازگاری دارد.

۵- حفظ امنیت گذرواژه در پوشه Wp-Admin

داشتن دو گذرواژه به هیچ وجه اشتباه نمی باشد، برعکس، اینکار به افزایش امنیت بخش مدیریت وب سایت تان می افزاید. برای اینکار تنها لازم است افزونه AskApache Password Protect را دانلود و نصب نمایید. این افزونه گذرواژه را کدگذاری می کند و همچنین مجوز های فایلی با امنیت معتبر را برروی هر دو قرار می دهد.

۶- ایجاد محدودیت بر اساس IP بازدیدکنندگان

شما می توانید دسترسی به پنل Wp-Admin را محدود نمایید و تنها به IP آدرس های مشخص اجازه ورود بدهید. بدین منظور ابتدا فایل htaccess. را در پوشه /wp-admin/ ایجاد کنید، و سپس کد زیر را در آن وارد نمایید:

حال برای اجرای این هک IP آدرس را تغییر دهید.

۷- هرگز کاربران خود را admin (مدیر) قرار ندهید

کاربر admin اولین کاربری می باشد که پس از شروع به کار وردپرس در بخش کاربران یافت می شود. از نظر امنیتی در بسیاری موارد حملات هکرها از طریق حساب کابری ادمین بوده است. پیشنهاد می شود پس از ایجاد یک کاربر جدید و قرار دادن تمام اختیارات برای آن، کاربر ادمین را بصورت کامل حذف کنید.

۸- حذف پیغام خطا در صفحه ورود کاربر

در حالت عادی هنگامیکه گذرواژه یا نام کاربری اشتباه وارد شود، پیغام خطایی با همین عنوان نمایش داده می شود. در مواردی که هکر قصد هک کردن سایت شما را دارد، اگر گذرواژه را بطور اشتباه وارد نماید با پیغام خطا مواجه می شود و در نتیجه متوجه می شود که نام کاربری صحیح است و این یعنی یک قدم به هک وب سایت شما نزدیک شده است. برای حذف کامل این پیغام لازم است که کد زیر را در فایل functions.php وارد نمایید.

همچنین افزونه ای با عنوان Secure WordPress موجود می باشد که همین عملکرد را ارائه می کند.

۹- استفاده از گذرواژه کد شده برای ورود

این روش برای مواقعی که SSL غیر فعال می باشد بسیار کارآمد است. افزونه ای با عنوان Semisecure Login Reimagined عمل کد کردن گذرواژه را انجام میدهد و در نتیجه باعث افزایش امنیت پنل مدیریت می شود. برای استفاده از این افزونه می بایست جاوا اسکریپت فعال باشد.

۱۰- حفاظت از وردپرس توسط آنتی ویروس

آنتی ویروس راهکاری مفید و موثر برای حفظ امنیت وب سایت شما در مقابل اسپم ها و سوء استفاده های احتمالی می باشد. این افزونه روزانه بصورت خودکار وب سایت شما را چک کرده و از طریق ایمیل به شما اطلاع رسانی می کند.

۱۱- استفاده از آخرین نسخه وردپرس

از آنجا که پس از انتشار نسخه های جدید وردپرس، این شرکت پس از چندی باگ ها و مشکلات احتمالی را اعلام می کند، در نتیجه لازم است که همواره وردپرس خود را بروز رسانی نمایید.

۱۲- گذرواژه یکبار مصرف

افزونه گذرواژه یکبار مصرف با ارائه گذرواژه هایی که تنها برای یکبار ورود قابل استفاده می باشند امنیت بخش مدیریت وب سایت شما را تضمین می کند. بیشترین مورد استفاده این افزونه در مکان های عمومی مانند کافی نت ها می باشد که خطر سرقت گذرواژه همواره کاربران را تهدید می کند.

۱۳- افزونه دیوارآتش وردپرس (WordPress Firewall)

این دیوار آتش پارامترهای مشکوک را شناسایی و رهگیری کرده و از انها جلوگیری می کند. همچنین بیشتر افزونه های دیگر وردپرس را نیز در مقابل این خطر پشتیبانی می کند. برای برخورداری از بیشترین امنیت ممکن می توانید با ایجاد تنظیمات لازم این افزونه را پیش از دیگر افزونه ها اجرا کنید.

نکته آخر :

رعایت تمامی این قدمها به معنای جلوگیری ۱۰۰% از هک شدن نیست. بلکه مانند قفل فرمان اتومبیل که دزد را معطل می کند، این موارد نیز کار هکر در هک کردن سایت وردپرسی شما را به تاخیر می اندازد که در نهایت ممکن است هکر بی خیال ماجرا شود و یا با کل کل فراوان، تا شما را هک نکند، دست برندارد!

چند پیوند در این رابطه :

+ و + و +