یکی از مهم ترین مسائل در سایت و به طور کلی فضای اینترنت، امنیت است که در صورت رعایت نکردن آن، مشکلاتی زیادی برای صاحبان وب سایت ها و همچنین کاربران آن ها به وجود خواهد آمد. بسیاری از افراد طراحی سایت و یا پشتیبانی سایت وردپرس خود را به اشخاص و شرکت های دیگری می سپارند که مسئله امنیت را جدی نگرفته و اقدامات لازم را انجام نمی دهند. لذا ممکن است خسارات زیادی را برایشان پدید آورد. در این مجموعه مقالات به طور کامل تمامی نکات عمومی و تخصصی امنیت وردپرس ( امنیت سایت وردپرسی ) آموزش داده شده است.

بسیاری از افراد ادعا می کنند که از آن جایی که وردپرس یک سیستم مدیریت محتوای عمومی است، پس از امنیت پایینی برخوردار است. اما این طور نیست.

هر وب سایت، با هر روشی که طراحی شده باشد نیاز به یک سری اقدامات امنیتی دارد که در صورت رعایت نکردن، امنیت آن دچار مشکل خواهد شد.

همجنین نکته بسیار مهمی که وجود دارد این است که وب سایت هایی که به صورت اختصاصی کد نویسی میشوند و از cms های اختصاصی استفاده می کنند، در صورتی که کمترین خطا و باگی داخل کد هایشان وجود داشته باشد، از نظر امنیت دچار مشکل شده و خسارات زیادی را پدید می آورد. اما در خصوص وردپرس، در صورتی که از قالب ها و افزونه های معتبر استفاده شود، چون کد نویسی بسیار قوی دارند هرگز دچار این دست مشکلات نخواهد شد و البته برای حفظ امینت سایت باید یک سری اقدامات نیز انجام داد که به طور کامل در این مقالات امنیت وردپرس آموزش خواهیم داد.

 

اهمیت امنیت سایت وردپرسی

1- بسیاری از اطلاعاتی که در فضای وب وجود دارد هویتی به شمار می رود. برای مثال زمانی که یک نقر وارد سایت شما می شود و از درگاه پرداخت وب سایت شما استفاده می کند، اطلاعات کارت خود را وارد کرده و در صورتی ک سایت شما از امنیت کافی برخوردار نباشد، اطلاعات کارت و حساب آن کاربر ممکن است به دست افراد سودجو و ربات ها بیفتد. 

 

2- اولین معیار هر فردی در اینترنت امنیت است. در صورتی که کاربران وارد وب سایتی شوند که احساس عدم امنیت به آن ها دهد، به سرعت سایت را ترک کرده و دیگر وارد آن سایت نمی شوند. 

 

3- در صورتی که سایت شما مورد حمله و نفوذ هکر ها و ربات ها قرار گیرد دچار خسارات و مشکلات بسیار زیادی خواهد شد و در نتیجه ممکن است حاصل تمام تلاش های شما از بین برود.

 

 

امنیت سایت وردپرسی

امنیت وردپرس

مقدمات عمومی امنیت وردپرس

 

1- استفاده نکردن از قالب ها و افزونه های رایگان:

قالب و افزونه اگر اورجینال نباشد امنیت سایت را در معرض خطر قرار می دهد. زمانی که شما قالب یا افزونه ای را به صورت رایگان تهیه می کنید، مطمئن باشید که اورجینال نیست؛ حتی اگر ادعا شده باشد که هست. زیرا کسی که اصل آن را خریده باشد، آن را به صورت رایگان و یا خیلی ارزان در اختیار سایرین قرار نمیدهد.  البته بسیاری از افرونه ها و قالب ها به صورت رایگان داخل مخزن وردپرس وجود دارند که حتما آن ها را باید از همان جا یا از داخل سایت wordpress.org تهیه نمایید. افزونه ها و قالب های غیر رایگان را نیز از سایت های معتبری مانند ابزار وردپرس و ماکت میتوانید خریداری کنید.

 

2- استفاده از هاستینگ معتبر و مناسب 

یکی از بهترین شرکت های ارائه دهنده هاست و دامنه، سایت میهن وب هاست است که می توانید از آن استفاده کنید. 

 

 

3- آپدیت بودن قالب ها و افزونه ها و به خصوص خود وردپرس

 

4- گرفتن بک آپ به صورت منظم ( روزانه، هفتگی و یا ماهانه)

 

5- استفاده نکردن از کلمه ادمین (admin) برای نام کاربری

 

6- استفاده از پسورد های قوی (استفاده از انواع کاراکتر ها مانند حروف کوچک و بزرگ و اعداد)

 

7- نگه نداشتن فایل هایی که نیازی به آن ها نیست

همچنین پس از نصب افزونه ها و قالب ها و اکسترکت کردن فایل های زیپ، حتما فایل زیپ را پاک کنید. چرا که ممکن است بعضی هکر ها و ربات ها با استفاده از همین فایل ها به سایت شما نفوذ کنند. 

 

8- اعتماد نکردن به ایمیل های ناشناس

 

 

 

اقدامات لازم برای بالا بردن امنیت سایت وردپرسی

 

1-غیر فعال سازی ویرایشگر کد وردپرس

یکی از اعمالی که باید برای بالابردن امنیت سایت وردپرسی انجام دهیم، غیر فعال کردن ویرایشگر کد وردپرس است. اگر با وردپرس کار کرده باشید میدانید که در وردپرس در هیچ جا شما کاری با کد ها ندارید و در واقع به کد دسترسی ندارید، مگر در قسمت ویرایشگر در قسمت نمایش و یا افزونه ها (تصویر زیر)

 

غیر فعال سازی ویرایشگر کد وردپرس | امنیت وردپرس

غیر فعال سازی ویرایشگر کد وردپرس

غیر فعال سازی ویرایشگر کد وردپرس | امنیت وردپرس

ویرایشگر وردپرس

 

در صورتی که پیشخوان وردپرس شما هک شود، هکر میتواند از این فسمت ویرایشگر، کد های شما را تغییر داده و یا قسمت هایی از کد شما را مخفی کند و باعث شود در آینده سایت شما دچار مشکل شود و یا اصلا سایت شما را به طور کامل پاک کند. پس ما باید این ویرایشگر را از داخل پیشخوان حذف کنیم.   

این کار را مینتوانیم از دو راه انجام دهیم:

 

  • روش دستی

برای غیر فعال کردن ویرایشگر به صورت دستی، وارد سی پنل سایت خود شده و از قسمت file manager، وارد روت هاست (public_html) خود شوید. در این قسمت فایلی وجود دارد به نام wo-config.php . وارد قسمت ویرایش این فایل شده و کد زیر را در انتهای فایل و قبل از /* That’s all, stop editing! Happy blogging. */  کد زیر را واردکنید:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
سپس فایل را ذخیره کنید. پس از انجام این مراحل، وقتی وارد پیشخوان وردپرس می شوید، دیگر در گزینه نمایش و افزونه خبری از گزینه ویرایشگر وجود ندارد.
  • روش غیر دستی ( ابزار و افزونه)

 روش دیگر برای غیر فعال کردن قسمت ویرایشگر وردپرس، استفاده از افزونه امنیتی iThemes Security  است. این افزونه در مخزن وردپرس وجود دارد که میتوانید از آنجا نصب و فعالسازی کنید. 

 

 

امنیت سایت وردپرسی

ithemes security

 

 

بعد از نصب و فعالساری این افزونه، قسمتی  به منوی سمت راست پیشخوان وردپرس اضافه می شود که بسته به فارسی یا انگلیسی بودن نسخه افزونه، با نام امنیت یا security نمایش داده می شود. با فعال کردن این افزونه، به صورت اتوماتیک بخش ویرایشگر از قسمت نمایش و افزونه ها حذف خواهد شد. اما اگر خذف نشد از روش زیر این کار را انجام دهید:

وارد گزینه ی تنظیمات (settings)  شوید. از قسمت system tweaks (ترفندهای وردپرس)، گزینه configure settings (پیکربندی تنظیمات) را بزنید و از آن جا گزینه ی ویرایشگر پرونده (file editor) را فعال یا غیر فعال کنید.

 

 

2- محدود کردن 404

هکر ها و ریات ها برای نفوذ به یک سایت، یک سری آدرس ها را از جمله آدرس فایل های اجرایی (فایل هایی که پسوند php، txt و … دارند) پشت دامنه سایت مورد نظر در داخل مرورگر وارد می کنند. مانند:

rashasite.ir/wp-content/uploads.php

با وارد کردن این آدرس ها، صفحه 404 سایت باز می شود. اما به همین صورت تعداد بسیار زیادی url های مختلف را  (صدها و یا حتی هزاران) امتحان می کنند تا بالاخره در یک جایی و در یک فایلی یک روزنه ای به سایت پیدا کرده و کد هایی را تزریق کنند. 

کاری که ما باید بکنیم این است که تعداد دفعات 404 را محدود به تعداد کمی ( برای مثال 10 تا 20 عدد) بکنیم (محدود کردن به کمتر از این تعداد هم خوب نیست. چرا که ممکن است کاربری داخل سایت شما در اثر جستجو و یا وارد کردن url های اشتباه به صورت ناخواسته جندین بار با صفحه 404 برخورد کند و یا حتی ممکن است گوگل نیز بلاک شود) تا در صورتی که یک ip بیشتر از تعدادی که ما مشخص کردیم به صفحات 404 برخورد کرد، مسدود و بلاک شود. برای این کار میتوان از همان افزونه ی iThemes Security استفاده کرد.

لازم به ذکر است که اشتباه بسیاری از سئو کاران این است که با استفاده از یک سری افزونه ها تنظیم میکنند که تمام صفحات 404 وب سایتشان به صفحه اصلی سایتشان ریدایرکت شود. این کار اشتباه است و باعث می شود افزونه ی iThemes Security و افرونه های مشابه نتوانند تعداد جستجو های 404 را تشهیص داده و ip مورد نظر را مسدود کنند. 

 

 

امنیت وردپرس

404

 

بخش اول آموزش امنیت سایت وردپرسی به پایان رسید. در بخش های بعد با ما همراه باشید تا نکات مهم و کاربردی امنیت وردپرس را بیاموزید. 

 

موفق باشید.

4/5

ارسال پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *