این روزها بسیاری از افراد وردپرس را به عنوان CMS برای طراحی سایت خود انتخاب می کنند. در تماس با شرکت های هاستینگ به دنبال خرید هاست وردپرس هستند (خرید هاست وردپرس). در مورد مزایای وردپرس و مقایسه آن با جوملا در اینجا صحبت شده است. پس از نصب وردپرس بر روی هاست وردپرس و نصب تم دلخواه و پلاگین های وردپرس موردنیاز همواره باید نکاتی را در رابطه با نگهداری از سایت خود در نظر داشته باشید. در این مقاله قصد داریم 10 نکته مهم امنیتی وردپرس را با هم مرور کنیم.
محبوبیت زیاد وردپرس زمینه را برای حملات مختلف مثل اسپم بات ها و بروت فورس و غیره فراهم می کند. نضب های غیر ایمن وردپرس فرصت ایجاد حملات DDoS را فراهم می کند و یا باعث ارسال تعداد زیادی ایمیل اسپم می شود منجر به بلاک شدن IP می شود. اکثر این حملات به صورت اتوماتیک انجام می شود و در صورتی که از نام کاربری پیش فرض و رمز عبور ساده ای استفاده شود به راحتی قابل انجام است. همچنین باید دقت داشته باشید که وردپرس، تم و پلاگین های خود را همیشه به روز نگه دارید. در غیراینصورت در برابر حملات بسیار آسیب پذیر خواهید بود.
متاسفانه بیشتر صاحبان وب سایت از این واقعیت آگاه نیستند. و زمانی متوجه می شوند که بسیار دیر شده، ترافیک سایتشان کم شده، رتبه آن ها در گوگل پایین آمده و IP آن ها بلاک شده است. به دلیل اهمیت این موضوع در ادامه 10 نکته مهم امنیتی را با هم مرور می کنیم که حتما پس از خرید هاست وردپرس آن ها را مد نظر داشته باشید و به کار بگیرید.
1. نام کاربری جدید بسازید.
به جای استفاده از نام کاربری پیش فرض “admin” از یک نام کاربری جدید استفاده کنید. پس از تعریف این نام کاربری جدید، Admin را حذف کنید. یکی از نقاط آسیب پذیر مرسوم توسط هکرها و ربات ها دسترسی به وردپرس شما از این قسمت است. شما می توانید از قسمت Users گزینه Add new را از داشبورد وردپرس انتخاب کنید.
2. از رمز عبورهای پیچیده استفاده کنید.
از رمز عبورهای ساده هرگز استفاده نکنید! ممکن است برخی از نام خود، یا تاریخ تولدشان به عنوان رمز عبور استفاده کنند. ممکن است به خاطر سپردن این رمزهای عبور ساده است اما به راحتی قابل هک شدن می باشد. پس از پسوردهای قوی و ایمین که حداقل دارای 8 کاراکتر و ترکیبی از حروف بزرگ و کوچک و اعداد و علامت است استفاده کنید. همچنین شما می توانید از پسورد سازهای آنلاین نیز استفاده کنید مانند Dinopass.
3. نام مستعار نویسنده خود را تغییر دهید.
از نام نویسنده خود به عنوان نام کاربری استفاده نکنید، چرا که نام نویسنده در هر بلاگی نشان داده می شود. نام نویسنده را می توانید در قسمت داشبورد وردپرس خود منوی Users و Your profile بروید و فیلد Nickname را انتخاب کنید.
4. یک پلاگین امنیتی نصب کنید.
پلاگین های امنیتی بسیاری برای وردپرس وجود دارد که می تواند از وردپرس شما محافظت کند. این پلاگین ها با اسکن کردن کدهای مخرب از هک شدن بلاگ و یا سایت شما جلوگیری می کند. دو پلاگین معروفی که می توانید از آنها استفاده کنید WordFence security، iThemes security است. این افزونه ها کارهای زیادی را برای افزایش امنیت سایت شما انجام می دهند که از آن جمله می توان به محافظت از حملات Brute force، الزام به استفاده از رمز عبور قوی، انجام اسکن های امنیتی و مسدود کردن ترافیک ربات های مزاحم اشاره کرد.همچنین از این افزونه ها به صورت ترکیبی با گوگل احراز هویت دو مرحله ای داشته باشید.
5. تمامی IPها به غیر از IP که به wp-admin وارد می شوید را بلاک کنید.
یک راه دیگر برای افزایش امنیت سایت شما ایجاد یک لیست سفید برای IPهایی است که لاگین به wp-admin دارند. کافیست کد زیر را به فایل htaccess. خود استفاده کنید.
1 2 3 4 5 6 7 8 |
order deny,allow deny from all # whitelist home IP address allow from 22.33.44.55 # whitelist work IP address allow from 22.33.44.55 # whitelist holiday IP address allow from 22.33.44.55 |
دقت کنید که باید IP خود را در قسمت مربوطه جایگزین کنید.
6. URLهای مربوط به login و admin را تغییر دهید.
از پلاگین iThemes security می توانید استفاده کنید تا URLهای خود را که شامل wp-admin و wp-login است، تغییر دهید. بدین ترتیب هک از طریق ربات های مخرب و دسترسی به صفحات لاگین امکان پذیر نخواهد بود.
7. اجازه ندهید کاربران به صورت مهمان ثبت نام کنند.
اگر وبلاگ و یا وب سایت شما مبتنی بر عضویت نیست، دلیلی وجود ندارد که اجازه دهید بازدیدکنندگان حساب به صورت مهمان ایجاد نمایند. برای غیرفعال کردن ثبت نام به صورت مهمان به قسمت تنظیمات وردپرس خود بروید و تیک گزینه “Anyone can register” را بردارید.
8. گزینه pingback را در وردپرس غیرفعال کنید.
سایت های وردپرسی که گزینه pingback برای آن ها فعال است، مستعد حملات DDoS می باشند. این گزینه به صورت پیش فرض در وردپرس فعال است که شما باید آن ها را غیرفعال کنید. برای این کار کافیست از قسمت Settings به بخش Default Article settings بروید و تیک گزینه Allow link notifications from other blogs بردارید.
9. از ابزارهای گوگل وبمستر استفاده کنید.
گوگل وبمستر یکی از ابزارهای بسیار مفید برای بررسی وضعیت امنیت سایت وردپرسی شماست. شما با ایجاد یک حساب می توانید از این قابلیت استفاده کنید. گوگل می تواند هرگونه مشکل امنیتی در کدهای شما را پیدا کند و بهئ شما هشدار دهد. با رفع این مشکل می توانید مانع از کاهش رتبه سایت در موتورهای جستجو شوید.
10. وردپرس، تم و پلاگین های خود را بروزرسانی کنید.
همواره به یاد داشته باشید که از آخرین نسخه وردپرس استفاده کنید. به روز نکردن وردپرس راه را برای سو استفاده باز می کند. همچنین باید تم و پلاگین های خود را به روز کنید. چرا که بروز نکردن این ها هم باعث بروز مشکلات جدی می شود. در صورتی که وردپرس و پلاگین ها به روز نباشند پیام به روز بودن آن در داشبود وردپرس قابل مشاهده است.
نفیسه دانشگرمقدم
Latest posts by نفیسه دانشگرمقدم (see all)
- نحوه ارسال هرزنامه ها به صورت اسپم - آذر ۲۸, ۱۴۰۰
- 7 نکته برای کاهش اندازه دیتابیس وردپرس - دی ۳۰, ۱۳۹۹
- نحوه تعریف فوروارد ایمیل در cPanel - آذر ۲۴, ۱۳۹۹