چطور امنیت سایت وردپرسمون رو افزایش بدیم؟

من از وبسایت وردپرس استفاده میکنم. چه اقدامات امنیتی باید انجام بدم؟ آیا تا حالا این سوال رو از خودتون پرسیدین؟

این آموزش به شما نشون میده که چطور از سایتتون محافظت کنین. ما قصد داریم چند مرحله ساده رو نشون بدیم:

از هاست ایمن استفاده کنین

استفاده از هاست ایمن، محافظت شده و قابل اعتماد ضروری است. کمی تحقیق کنین و هاستی رو انتخاب کنین که همه نیازهای شما رو برآورده کنه و تدابیر امنیتی قوی داشته باشه.

سایتتون رو به‌روز نگه دارین

برای حفظ امنیت وبسایتتون، وردپرس،پوسته‌ها و پلاگین‌ها رو بعد از هر نسخه جدید به روز کنین. هر نسخه جدید شامل رفع اشکالات امنیتی و باگ‌ها و ویژگی‌های جدید است.

مطمئن شین که تمام به‌روزرسانی‌های اصلی رو انجام میدین. پیام‌های به‌روزرسانی در پنل مدیریتتون رو نادیده نگیرین. درمورد نسخه‌های جدید در بخش به‌روزرسانی‌های داشبورد وردپرس به شما اطلاع داده میشه.

برای دریافت اطلاعات درباره به‌روزرسانی‌ها، Appearance > Themes page رو باز کنین، و برای دیدن پیام به‌روزرسانی پلاگین‌ها، Plugins > Installed Plugins pages رو در بخش مدیریتتون باز کنین.

قبل از انجام هرگونه به‌روزرسانی مطمئن شین که از سایتتون نسخه پشتیبان تهیه کردین.

همیشه از جزییات ورود قوی استفاده کنین

محبوب‌ترین راه برای هک سایت‌ها، سرقت جزییات ورود به وردپرس هست. این کار برای هکرهای حرفه‌ای بسیار آسون هست و اون‌ها میتونن این کار رو با استفاده از ابزارهای مختلف انجام بدن.

نام کاربری. هرگز از admin به‌عنوان نام کاربری‌تون استفاده نکنین. ما قویا توصیه می‌کنیم برای ورود به سیستم از ایمیل استفاده کنین. یا از نام کابری دیگری که ساده نیست استفاده کنین.

رمزعبور. میدونستین که محبوب‌ترین رمزهای عبور admin، admin123، یا 123456 هستن؟ سعی کنین از چنین جزییات ورود ساده‌ای خودداری کنین.

شما به راحتی میتونین یک رمز عبور قوی از پنل مدیریت وردپرستون ایجاد کنین. برای دسترسی به password generator، پروفایلتون رو در زیر تب Users باز کنین. برای دریافت رمز عبور قوی، صفحه رو در بخش مدیریت حساب به پایین اسکرول کنین. روی دکمه Generate کلیک کنین و یک رمز عبور قوی ایجاد کنین. مطموئن شین که رمز عبورتون دارای حروف بزرگ و کوچیک، اعداد و نمادها باشه.

استفاده از جزییات دسترسی مختلف برای بخش مدیریت وردپرس، FTP، و هاستینگ cPanel ایده خوبی هست. جزییات مختلف ورود به سیستم به شما این امکان رو میده که خطرات رو به حداقل برسونین.

دسترسی‌های ورود رو محدود کنین

برای جلوگیری از حمله brute-force، میتونین تعداد تلاش‌های ناموفق برای ورود به سیستم رو از یک آدرس IP محدود کنین. دو راه برای انجامش وجود داره:

• میتونین تعداد زیادی پلاگین limit Login Attempts رو در وبسایت رسمی وردپرس پیدا کنین. این پلاگین‌ها به شما این امکان رو میدن که تلاش‌های ورود به سیستم رو محدود کنین و آدرس IP رو بعد از تلاشهای ناموفق برای ورود قفل کنین.
• یکی دیگر از راه‌های عالی برای محافظت از سایتتون، اجازه دسترسی به یک یا چند آدرس IP هست. برای انجام این کار، کد زیر رو به فایل اضافه کنین:
• RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$ RewriteRule ^(.*)$ - [R=403,L]

  1 2 3 4 5

  RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$ RewriteRule ^(.*)$ - [R=403,L]

  
  123\.123\.123\.123 باید به آدرس IP شما تغییر کنه. بعد از انجام این تغییر، شما تنها فردی خواهید بود که میتونه به بخش مدیریت وردپرس دسترسی داشته باشه.

از پوسته‌های رایگان اجتناب کنین

استفاده از پوسته رایگان همیشه یک خطر بزرگ است. این پوسته‌ها ممکنه حاوی هرزنامه یا کد مخرب باشن، که بر امنیت سایت شما تاثیر میذاره.

اگر واقعا می‌خواهین از پوسته رایگان استفاده کنین، اونهایی رو انتخاب کنین که توسط شرکت‌های مورد اعتماد ایجاد شدن. فقط مطمئن شین مواردی رو که دیگه استفاده نمی‌کنین رو حذف کنین. علاوه بر پوسته‌های رایگان، پلاگین‌های رایگان هم مهم هستن.

ویرایش فایل از طریق داشبورد رو غیرفعال کنین

وردپرس دارای ویرایشگر فایل inbuild است. میتونین اون رو در قسمت Appearance > Editor page پیدا کنین. این به شما این امکان رو میده که فایل هرکدوم از پوسته‌هاتون رو مستقیما در داشبورد ویرایش کنین. اما این ویژگی میتونه خطر آفرین هم باشه. اگر یک هکر موفق به دسترسی به پنل مدیریت شما بشه، میتونه از بخش مدیریت سایتتون کد رو مدیریت کنه. برای جلوگیری از این خطرات، ایده خوبیه که این گزینه رو غیرفعال کنین. برای غیرفعال کردنش فایل wp-config.php رو از مسیر روت سرورتون ویرایش کنین. خطوط زیر رو اضافه کنین:

یک نسخه پشتیبان نگه دارین

آخرین مورد، پشتیبان‌گیری از سایتتون هست. شما نمیتونین 100درصد مطمئن باشین که سایتتون هک نمیشه. داشتن یک نسخه پشتیبان، همیشه ایده خوبیه. اگر اتفاق بدی افتاده باشه، میتونین از نسخه پشتیبان برای بازیابی سایت وردپرستون استفاده کنین.