راهنمای امنیت نهایی وردپرس

امنیت نهایی وردپرس موضوعی بسیار مهم برای هر صاحب وب سایتی است. گوگل هر روز بیش از ۱۰۰۰۰ وب سایت را برای بدافزار و حدود ۵۰۰۰۰ وب سایت را برای phishing (یکی از رایج ترین حملات سایبری) هر هفته در لیست سیاه قرار می‌دهد.

اگر به سایت وردپرسی خود اهمیت می‌دهید، پس باید به بهترین شیوه‌های امنیتی وردپرس توجه کنید و باید امنیت آن را در الویت قرار دهید. در این راهنما، ما تمام نکات امنیتی وردپرس را برای کمک به محافظت از وب سایت شما در برابر هکرها و بدافزارها به اشتراک می‌گذاریم.

در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بازرسی می‌شود، کارهای زیادی برای حفظ امنیت سایت شما می‌توان انجام داد.

در پارس اوستا، ما معتقدیم که امنیت فقط حذف ریسک نیست، در واقع در مورد کاهش ریسک است. به عنوان یک صاحب وب سایت، کارهای زیادی می‌توانید برای بهبود امنیت سایت وردپرسی خود انجام دهید (حتی اگر در زمینه فناوری، اطلاعات کافی ندارید).

ما تعدادی گام عملی که برای محافظت از وب سایت شما در برابر آسیب پذیری‌های امنیتی می‌توانید انجام دهید را ارائه می‌دهیم. برای آسانی کار، ما یک فهرست از محتوا ایجاد کرده‌، تا به راحتی امنیت نهایی وردپرس خود را افزایش دهید.

---

چرا امنیت وب سایت مهم است؟

یک سایت وردپرسی هک شده می‌تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکر ها می‌توانند اطلاعات کاربر و رمزهای عبور را بدزدند، نرم افزارهای مخرب نصب کنند و حتی می‌توانند بدافزار را بین کاربران شما توزیع کنند.

بدتر از همه، ممکن است متوجه شوید که فقط برای دسترسی مجدد به وب سایت خود، مجبورید به هکرها باج افزار پرداخت کنید.

در مارس ۲۰۱۶، گوگل گزارش داد که به بیش از ۵۰ میلیون کاربر در مورد وب سایتی که بازدید می‌کنند هشدار داده که ممکن است حاوی بدافزار یا سرقت اطلاعات باشد.

علاوه بر این، گوگل هر هفته حدود ۲۰۰۰۰ وب سایت را برای بدافزار و حدود ۵۰۰۰۰ وب سایت را برای phishing در لیست سیاه قرار می‌دهد.

اگر وب سایت شما تجاری است، پس باید به امنیت وردپرس خود توجه بیشتری داشته باشید.

همانند مالکان کسب و کار که مسئولیت محافظت از ساختمان فروشگاه فیزیکی خود را دارند، به عنوان صاحب کسب و کار آنلاین، مسئولیت محافظت از وب سایت کسب و کار شما بر عهده شماست.

---

بروزرسانی وردپرس

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و بروز می‌شود و به طور پیش فرض و خودکار به روز رسانی های جزئی را نصب می‌کند. برای نسخه‌های اصلی، باید بروزرسانی را به‌ صورت دستی آغاز کنید.

وردپرس همچنین دارای هزاران افزونه و تم است که می‌توانید بر روی وب سایت خود نصب کنید. این افزونه‌ها و تم‌ها توسط توسعه دهندگان شخص ثالث نگهداری می‌شوند که به طور منظم بروزرسانی آن‌ها را منتشر می‌کنند.

این بروزرسانی‌های وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم هستند. پس باید مطمئن شوید که هسته وردپرس، افزونه‌ها و قالب شما به روز هستند.

---

رمزهای عبور قوی و مجوزهای کاربر

رایج ترین تلاش‌های هک وردپرس استفاده از رمزهای عبور سرقت ‌شده است. شما می‌توانید با استفاده از رمزهای عبور قوی‌تر، این کار را دشوار کنید. نه فقط برای بخش مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی که از نام دامنه سایت شما استفاده می‌کنند.

بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به خاطر سپردن آنها سخت است و نکته جالب این است که دیگر نیازی به یادآوری رمزهای عبور ندارید می‌توانید از یک پسورد منیجر استفاده کنید.

راه دیگر برای کاهش خطر این است که به کسی اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید، مگر اینکه مجبور باشید. اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اضافه کردن حساب‌های کاربری و نویسندگان جدیدی به سایت وردپرس خود مطمئن شوید که نقش‌ها و قابلیت‌های کاربر در وردپرس را می‌دانید.

بیشتر بخوانید : حمله Brute Force چیست؟ + نحوه جلوگیری از حمله بروت فورس به سایت وردپرسی

---

نقش هاست وردپرس

سرویس هاست وردپرس شما مهمترین نقش را در امنیت سایت ایفا می‌کند. یک شرکت هاستینگ خوب مانند ایران سرور، پارس پک یا لیمو هاست، اقدامات اضافی برای محافظت از سرورهای خود در برابر تهدیدات رایج را انجام می‌دهد.

در اینجا نحوه عملکرد یک شرکت هاستینگ خوب برای محافظت از وب سایت‌ها و داده‌های شما بیان شده است .

• به طور مداوم شبکه خود را برای فعالیت مشکوک زیر نظر دارد.
• همه شرکت‌های هاستینگ خوب ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ دارند.
• نرم افزار سرور، نسخه های php و سخت افزار خود را بروز نگه می‌دارند تا مورد سوء استفاده هکرها در برابر آسیب پذیری امنیتی در نسخه قدیمی قرار نگیرند.
• آماده به کارگیری برنامه‌های بازیابی هستند تا در صورت بروز حادثه بزرگ از داده‌های شما محافظت کنند.

در هاست اشتراکی، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می‌گذارید. این کار خطر اینکه هکر از یک سایت همسایه برای حمله به وب سایت شما استفاده کند را به وجود می آورد.

استفاده از سرویس میزبانی مدیریت شده وردپرس، بستر امن‌تری را برای وب سایت شما فراهم می‌کند. شرکت‌های میزبانی مدیریت شده وردپرس، پشتیبان‌گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می‌دهند.

ما ایران سرور را به عنوان سرویس هاستینگ مدیریت شده وردپرس توصیه می‌کنیم.

---

امنیت وردپرس بدون کدنویسی

ما می‌دانیم که بهبود امنیت وردپرس می‌تواند برای مبتدیان میتواند دشوار به نظر برسد. ما به هزاران کاربر وردپرس کمک کرده‌ایم تا امنیت وردپرس خود را تقویت کنند.

ما به شما نشان می‌دهیم که چگونه امنیت وردپرس خود را تنها با چند کلیک بدون نیاز به کدنویسی بهبود بخشید.

پشتیبان وردپرس را نصب کنید

پشتیبان گیری اولین دفاع ما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید، هیچ چیز ۱۰۰٪ امن نیست، اگر وب سایت‌های دولتی را می‌توان هک کرد، پس سایت شما نیز قابل هک شدن است.

پشتیبان‌گیری به شما این امکان را می‌دهد تا در صورت وقوع اتفاق بد، به سرعت سایت وردپرس خود را بازیابی کنید.

 تعداد زیادی افزونه پشتیبان وردپرس رایگان و پولی وجود دارد که می‌توانید از آن ها استفاده کنید. مهم‌ترین چیزی که در مورد پشتیبان‌گیری این است که باید به طور مرتب نسخه‌های پشتیبان کامل سایت را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.

توصیه می‌کنیم آن را در یک سرویس ابری مانند آمازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.

بر اساس تعداد دفعاتی که وب سایت خود را به روز می‌کنید، تنظیم ایده آل ممکن است یک بار در روز یا در زمان واقعی تهیه نسخه پشتیبان باشد. خوشبختانه این کار را می‌توان به راحتی با استفاده از افزونه‌هایی مانند Duplicator، UpdraftPlus یا BlogVault انجام داد. هر دو قابل اعتماد بوده و از همه مهمتر استفاده از آن ها آسان و بدون نیاز به کدنویسی است.

---

بهترین افزونه امنیتی وردپرس

بعد از پشتیبان‌گیری، کاری که باید انجام دهیم این است که سیستم حسابرسی و نظارت، راه‌اندازی کنیم که همه چیزهایی که در وب‌سایت شما اتفاق می‌افتد را پیگیری کند.

این سیستم شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود به سیستم، اسکن بدافزار و … است. خوشبختانه، همه این موارد توسط بهترین افزونه امنیتی رایگان وردپرس به نام اسکنر Sucuri، برطرف می‌شود.

باید افزونه رایگان Sucuri Security را نصب کنید.

پس از فعال سازی به منوی Sucuri در مدیریت وردپرس خود بروید و اولین کاری که از شما خواسته می‌شود این است که یک کلید API رایگان ایجاد کنید که امکان ثبت حسابرسی، بررسی یکپارچگی، هشدارهای ایمیل و سایر ویژگی‌های مهم را فراهم می‌کند.

کار بعدی که باید انجام دهید این است که از منوی تنظیمات روی زبانه “Hardening” کلیک کرده  و سپس روی دکمه

“Apply Hardening” کلیک کنید.

این گزینه‌ها به شما این امکان را می‌دهد تا مناطق کلیدی که هکرها اغلب در حملات خود استفاده می‌کنند را قفل کنید. تنها گزینه ی “hardening option” که به‌روزرسانی آن پولی است، “Web Application Firewall” نام دارد که در مرحله بعد توضیح می‌دهیم.

همچنین بسیاری از گزینه‌های «Hardenin» را در این مقاله برای کسانی که می‌خواهند بدون استفاده از افزونه یا مواردی که به مراحل اضافی مانند «تغییر پیشوند پایگاه داده» یا «تغییر نام کاربری مدیر» نیاز هست انجام دهند را پوشش داده‌ایم.

پس از بخش «Hardenin»، تنظیمات پیش‌ فرض پلاگین برای اکثر وب‌سایت‌ها به اندازه کافی خوب هست و نیازی به تغییر ندارند. تنها چیزی که ما سفارشی کردن آن را توصیه می‌کنیم «هشدارهای ایمیل» است.

تنظیمات پیش‌فرض هشدار، می‌تواند صندوق ورودی شما را با ایمیل‌ها شلوغ کند. توصیه ما این است برای اقدامات کلیدی مانند تغییرات در افزونه‌ها، ثبت نام کاربر جدید و غیره هشدار دریافت کنید. می‌توانید هشدارها را با رفتن  “Sucuri Settings >> Alerts” پیکربندی کنید.

این افزونه امنیتی وردپرس، بسیار قدرتمند است، تمام تب‌ها و تنظیمات را مرور کرده تا تمام کارایی آن مانند اسکن بدافزار, Audit Log (ممیزی لاگ (Audit Log یا Audit Trail) در واقع ثبت رویدادها و تغییرات است), ردیابی تلاش ناموفق برای ورود به سیستم و… را مشاهده کنید.

---

فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس خود استفاده از فایروال برنامه وب (WAF) است.

فایروال وب سایت تمام ترافیک مخرب را حتی قبل از رسیدن به وب سایت شما مسدود می‌کند.

فایروال وب سایت سطح DNS: این فایروال‌ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت کرده و به آنها اجازه می‌دهد که فقط ترافیک واقعی را به سرور وب شما ارسال کنند.

فایروال سطح برنامه: این افزونه‌های فایروال، ترافیک را زمانی که به سرور شما می‌رسد، قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می‌کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

ما  Sucuri را  به عنوان بهترین فایروال برنامه وب برای وردپرس توصیه می‌کنیم. می‌توانید در مورد اینکه چگونه Sucuri به ما کمک کرد تا ۴۵۰۰۰۰ حمله وردپرس را در یک ماه مسدود کنیم را بخوانید.

 فایروال Sucuri دارای ضمانت پاکسازی بدافزار و حذف لیست سیاه نیز است و اگر قرار باشد تحت نظارت آنها هک شوید، تضمین می‌کنند که وب سایت شما را تعمیر خواهد شد. در واقع این یک گارانتی بسیار قوی است زیرا تعمیر وب سایت‌های هک شده گران بوده و کارشناسان امنیتی معمولا ۲۵۰ دلار در ساعت دریافت می‌کنند این در حالیست که می‌توانید کل پشته امنیتی Sucuri را با ۱۹۹ دلار در سال دریافت کنید. امنیت وردپرس خود را با فایروال Sucuri بهبود بخشید.

Sucuri تنها ارائه دهنده فایروال سطح DNS نیست و رقیب محبوب دیگری به نام  Cloudflare دارد. مقاله مقایسه Sucuri در مقابل Cloudflare (مزایا و معایب) ما را مطالعه کنید.

---

انتقال سایت وردپرس به SSL/HTTPS

SSL (لایه سوکت های امن) پروتکلی است که انتقال داده‌ها را بین وب سایت شما و مرورگر کاربران رمزگذاری می‌کند. این رمزگذاری باعث می‌شود کسی نتواند اطلاعات شما را بدزدد.

هنگامی که SSL را فعال کردید، وب سایت شما به جای HTTP از HTTPS استفاده می‌کند، همچنین علامت قفل را در کنار آدرس وب سایت خود در مرورگر خواهید دید.

گواهی نامه‌های SSL معمولا توسط مراجع صدور گواهی‌نامه، صادر می‌شوند. و قیمت آنها از ۸۰ دلار تا صدها دلار در سال شروع می‌شود. به دلیل هزینه اضافی، اکثر صاحبان وب سایت ترجیح دادند از پروتکل ناامن استفاده کنند.

برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت تا گواهینامه‌های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت‌های دیگر پشتیبانی می‌شود.

در حال حاضر، شروع به استفاده از SSL برای تمام وب سایت‌های وردپرسی آسان تر از همیشه است و در حال حاضر بسیاری از شرکت‌های هاستینگ گواهینامه SSL رایگان برای وب سایت وردپرس شما ارائه می‌دهند.

اگر شرکت میزبان شما گواهینامه های SSL را ارائه نمی‌دهد، می‌توانید یکی از آن‌ها را از Domain.com خریداری کنید. آنها بهترین و مطمئن ترین معامله SSL را در بازار دارند و دارای ضمانت امنیتی ۱۰۰۰۰ دلاری و مهر امنیتی TrustLogo  هستند.

---

امنیت وردپرس برای کاربران DIY

اگر تمام کارهایی را که تا به حال ذکر کردیم را انجام دهید، در این صورت وضعیت بسیار خوبی دارید.

اما مانند همیشه، کارهای بیشتری وجود دارد که می‌توانید برای تقویت امنیت وردپرس خود انجام دهید که برخی از این مراحل ممکن است به دانش کدنویسی نیاز داشته باشد.

---

نام کاربری پیش فرض “admin” را تغییر دهید

در قدیم نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که نام‌های کاربری نیمی از اعتبار ورود به سیستم را تشکیل می‌دهند، این امر حملات brute-force را برای هکرها آسان‌تر می‌کند.

خوشبختانه وردپرس این موضوع را تغییر داده و حالا از شما می‌خواهد در زمان نصب وردپرس یک نام کاربری سفارشی انتخاب کنید.

با این حال، برخی از نصب‌کنندگان وردپرس ، هنوز نام کاربری پیش‌فرض ادمین را روی «admin» تنظیم می‌کنند که اگر متوجه شدید اینگونه است، بهتر است میزبانی وب خود را تغییر دهید.

از آنجایی که وردپرس به طور پیش‌فرض به شما اجازه تغییر نام کاربری را نمی‌دهد، سه روش برای تغییر نام کاربری وجود دارد.

1. یک نام کاربری ادمین جدید ایجاد کنید و نام کاربری قبلی را حذف کنید.
2. از افزونه Username Changer استفاده کنید.
3. نام کاربری را “phpMyAdmin” بگذارید.

---

غیرفعال کردن ویرایش فایل

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می‌دهد تم و فایل‌های افزونه خود را مستقیماً از ناحیه مدیریت وردپرس خود ویرایش کنید. در عین حال ، این ویژگی می‌تواند یک خطر امنیتی باشد به همین دلیل توصیه می‌کنیم آن را خاموش کنید.

شما می‌توانید به راحتی این کار را با اضافه نمودن کد زیر در فایل wp-config.php انجام دهید.

همچنین، این کار را با استفاده از ویژگی Hardening در پلاگین رایگان Sucuri که در بالا به آن اشاره شد، می‌توان انجام داد.

---

غیرفعال کردن اجرای فایل PHP در فهرست های خاص وردپرس

یکی دیگر از راه های افزایش امنیت وردپرس، غیر فعال کردن اجرای فایل PHP در دایرکتوری‌هایی است که به آن ها نیازی نیست مانند /wp-content/uploads/.

شما می‌توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و پیست کردن این کد انجام دهید:

در مرحله بعد، باید این فایل را به صورت htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه های /wp-content/uploads/ در وب سایت خود آپلود کنید.

همچنین، می‌توانید با استفاده از ویژگی Hardening در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم، این کار را با یک کلیک انجام دهید.

---

محدود کردن تلاش برای ورود

به طور پیش فرض، وردپرس به کاربران این امکان را می‌دهد که هر چند بار که می‌خواهند وارد سیستم شوند که این کار باعث می‌شود سایت وردپرس شما در برابر حملات بی رحمانه آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم سعی در شکستن رمزهای عبور دارند.

 می‌توان به راحتی با محدود کردن تلاش‌های ناموفق برای ورود به سیستم این مشکل را برطرف کرد. اگر از فایروال برنامه وب که قبلاً ذکر شده استفاده می‌کنید، به طور خودکار به آن رسیدگی می‌شود.

با این حال، اگر قصد راه اندازی فایروال را ندارید، مراحل زیر را ادامه دهید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید.

پس از فعال‌سازی برای راه‌اندازی افزونه، به صفحه Settings >> Login LockDown مراجعه کنید.

---

احراز هویت دو عاملی را اضافه کنید

تکنیک احراز هویت دو مرحله‌ای از کاربران می‌خواهد که با استفاده از روش احراز هویت دو مرحله‌ای وارد سیستم شوند. اولین مورد، نام کاربری و رمز عبور است، و در مرحله دوم باید با استفاده از دستگاه یا برنامه جداگانه احراز هویت شوید.

اکثر وب سایت‌های آنلاین برتر مانند گوگل، فیس بوک، توییتر به شما این امکان را می‌دهند که آن را برای حساب‌های خود فعال کرده و البته می‌توانید همین قابلیت را به سایت وردپرس خود اضافه کنید.

ابتدا باید افزونه Two Factor Authentication را نصب و فعال کرده و پس از فعال‌سازی، باید روی پیوند «تأیید دو عاملی» در نوار کناری مدیریت وردپرس کلیک کنید.

در ادامه باید یک اپلیکیشن احراز هویت را روی گوشی خود نصب و باز کنید که چندین مورد از آن ها مانند Google Authenticator، Authy، و Last Pass Authenticator در دسترس هستند.

توصیه می‌کنیم از Last Pass Authenticator یا Authy استفاده کنید؛ زیرا هر دو به شما امکان می‌دهند از حساب‌های خود در فضای ابری نسخه پشتیبان تهیه کنید؛ این قابلیت در مواقعی که گوشی شما گم شده، ریستارت شده یا گوشی جدیدی خریداری می‌کنید، بسیار مفید است و تمام لاگین‌های حساب شما به راحتی بازیابی خواهند شد.

ما از برنامه Last Pass Authenticator برای این آموزش استفاده کرده‌ایم البته، دستورالعمل‌ها برای همه برنامه‌های احراز هویت مشابه هستند. برنامه authenticator را باز کرده و سپس روی دکمه Add کلیک کنید.

از شما پرسیده می‌شود که آیا می‌خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه اسکن بارکد را انتخاب کنید و سپس دوربین گوشی خود را روی کد QR نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

برنامه احراز هویت شما آن را ذخیره می‌کند و دفعه بعد که وارد وب سایت خود می‌شوید، پس از وارد کردن رمز عبور از شما کد احراز هویت دو مرحله ای خواسته می‌شود.

تنها کافی است اپلیکیشن احراز هویت را در گوشی خود باز کنید و کدی که روی آن می‌بینید را وارد کنید.

---

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس شما استفاده می‌کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می‌کند، حدس زدن نام جدول شما برای هکرها آسان تر می‌شود و به همین دلیل  توصیه می‌کنیم آن را تغییر دهید.

توجه داشته باشید که اگر به درستی این کار  انجام نشود، می‌تواند سایت شما را خراب کند پس در صورتی که با مهارت‌های کدنویسی آشنا هستید مراحل را انجام دهید.

---

محافظت از رمز عبور مدیریت و صفحه ورود به وردپرس

به طور معمول، هکرها می‌توانند پوشه wp-admin و صفحه لاگین شما را بدون هیچ محدودیتی درخواست کنند. این کار به آنها این اجازه را می‌دهد تا ترفندهای هک خود را امتحان کرده یا حملات DDoS را اجرا کنند.

شما می‌توانید حفاظت رمز عبور اضافی را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست‌ها را مسدود می‌کند.

---

فهرست بندی و مرور دایرکتوری را غیرفعال کنید

هکرها می‌توانند از مرور دایرکتوری استفاده کنند تا بفهمند آیا فایلی آسیب پذیر دارید یا خیر، بنابراین می‌توانند از این فایل‌ها برای دسترسی استفاده کنند.

مرور دایرکتوری همچنین می‌تواند توسط افراد دیگر برای بررسی فایل‌های شما، کپی کردن تصاویر، یافتن ساختار دایرکتوری شما و سایر اطلاعات استفاده شود. به همین به شدت توصیه می‌شود فهرست سازی و مرور دایرکتوری را خاموش کنید.

شما باید با استفاده از FTP یا فایل منیجر CPanel به وب سایت خود متصل شوید سپس، فایل htaccess را در دایرکتوری ریشه (root)  وب سایت خود پیدا کنید.

پس از آن باید خط زیر را در انتهای فایل htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل htaccess را ذخیره کرده و دوباره در سایت خود آپلود کنید.

---

XML-RPC را در وردپرس غیرفعال کنید

RPC به طور پیش‌فرض در وردپرس ۳.۵ فعال شده است زیرا به اتصال سایت وردپرس شما با برنامه‌های وب و موبایل کمک می‌کند.

به دلیل ماهیت قدرتمند خود، XML-RPC می‌تواند به طور قابل توجهی حملات brute-force را تقویت کند.

به عنوان مثال، به طور سنتی اگر یک هکر بخواهد ۵۰۰ رمز عبور مختلف را در وب سایت شما امتحان کند، باید ۵۰۰ تلاش جداگانه برای ورود به سیستم انجام دهد که توسط افزونه قفل ورود دستگیر و مسدود می‌شود.

اما با XML-RPC، یک هکر می‌تواند از تابع system.multicall برای آزمایش هزاران رمز عبور با مثلاً ۲۰ یا ۵۰ درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی‌کنید، توصیه می‌کنیم آن را غیرفعال کنید.

نکته: روش htaccess بهترین روش است زیرا کمترین مصرف منابع را دارد.

اگر از فایروال برنامه کاربردی وب که قبلاً ذکر شد استفاده می‌کنید، فایروال می‌تواند از آن مراقبت کند.

---

خروج خودکار کاربران بیکار در وردپرس

کاربرانی که وارد سیستم شده‌اند گاهی اوقات از صفحه نمایش دور می‌شوند و این یک خطر امنیتی است. شخصی می‌تواند، رمز عبور صفحه خود را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.

به همین دلیل است که بسیاری از سایت‌های بانکی و مالی به طور خودکار یک کاربر غیرفعال را از سیستم خارج می‌کنند. شما می‌توانید عملکرد مشابهی را در سایت وردپرس خود نیز پیاده سازی کنید.

شما باید افزونه Inactive Logout را نصب و فعال کنید. پس از فعال‌سازی، برای پیکربندی تنظیمات افزونه، به تنظیمات >> صفحه خروج غیر فعال مراجعه کنید.

به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید.

---

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

اضافه کردن یک سوال امنیتی به صفحه ورود وردپرس باعث می‌شود که دسترسی غیر مجاز برای افراد دشوارتر شود.

با نصب افزونه WP Security Questions می‌توانید سوالات امنیتی اضافه کنید. پس از فعال سازی، برای پیکربندی تنظیمات افزونه باید به تنظیمات >> صفحه سؤالات امنیتی مراجعه کنید.

---

اسکن وردپرس برای بدافزارها و آسیب پذیری‌ها

اگر یک افزونه امنیتی وردپرس نصب کرده‌اید، آن افزونه‌ها به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می‌کنند.

با این حال، اگر افت ناگهانی در ترافیک وب سایت یا رتبه بندی جستجو مشاهده کردید، ممکن است مایل باشید به صورت دستی یک اسکن اجرا کنید. می‌توانید از افزونه امنیتی وردپرس خود استفاده کنید یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید.

اجرای این اسکن‌های آنلاین کاملاً ساده است، شما فقط URL‌های وب سایت خود را وارد می‌کنید و خزنده‌های (crawlers) آنها از طریق وب سایت شما به دنبال بدافزارها و کدهای مخرب شناخته شده می‌روند.

به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می‌توانند وب سایت شما را اسکن کنند. آنها نمی‌توانند بدافزار را حذف یا یک سایت وردپرس هک شده را تمیز کنند.

این موضوع را در بخش بعدی شرح می‌دهیم.

---

تعمیر سایت وردپرس هک شده

بسیاری از کاربران وردپرس تا زمانی که وب سایت آنها هک نشود، اهمیت پشتیبان گیری و امنیت وب سایت را درک نمی‌کنند.

تعمیر سایت وردپرس می‌تواند بسیار سخت و زمان بر باشد به همین دلیل توصیه ما این است که اجازه دهید یک متخصص از آن مراقبت کند.

هکرها درهای پشتی را روی سایت‌های آسیب دیده نصب می‌کنند و اگر این درهای پشتی به درستی رفع نشوند، احتمالاً وب سایت شما دوباره هک می‌شود.

اجازه دادن به یک شرکت امنیتی حرفه‌ای مانند Sucuri برای تعمیر وب سایت، سایت شما را برای استفاده مجدد ایمن کرده و  از شما در برابر هر گونه حملات بعدی محافظت می‌کند.

---

نکته طلایی: سرقت هویت و محافظت از شبکه

به عنوان صاحبان کسب و کاره ای کوچک، بسیار مهم است که از هویت دیجیتال و مالی خود محافظت کنیم؛ زیرا عدم انجام این کار می‌تواند منجر به خسارت‌های قابل توجهی شود.
هکرها و مجرمان می‌توانند از هویت شما برای سرقت نام دامنه وب سایت شما استفاده کنند، حساب‌های بانکی شما را هک کنند و حتی مرتکب جرمی شوند که شما می‌توانید مسئول آن باشید.

در سال ۲۰۲۰، ۴.۷ میلیون مورد سرقت هویت و کلاهبرداری از کارت‌های اعتباری به کمیسیون تجارت فدرال گزارش شد.

به همین دلیل توصیه می‌کنیم از یک سرویس حفاظت از سرقت هویت مانند Aura استفاده کنید.

آن‌ها حفاظت از شبکه وای فای دستگاه را از طریق VPN رایگان خود (شبکه خصوصی مجازی)ارائه می دهند که ارتباط اینترنتی شما را با رمزگذاری سرتاسری در هر جایی که باشید، ایمن می‌کند.
این موضوع برای زمانی که در حال سفر یا اتصال به ادمین وردپرس خود از یک مکان عمومی مانند استارباکس هستید، بسیار عالی است، بنابراین می‌توانید با خیال راحت و به صورت خصوصی کار کنید.

سرویس نظارت بر dark web با استفاده از هوش مصنوعی به طور مداوم بر dark web نظارت می‌کند و در صورتی که رمز عبور، شماره امنیت اجتماعی و حساب‌های بانکی شما به خطر افتاده باشد، به شما هشدار می‌دهد.

این به شما اجازه می‌دهد تا سریع تر و بهتر از هویت دیجیتالی خود محافظت کنید.

امیدواریم این مقاله به شما کمک کرده باشد بهترین روش‌های امنیتی وردپرس را یاد بگیرید و همچنین بهترین پلاگین‌های امنیتی وردپرس را برای وب سایت خود کشف کنید.

---

اگر این مقاله را دوست داشتید، لطفاً در کانال یوتیوب ما برای آموزش‌های ویدیویی وردپرس سابسکرایب کنید. همچنین می‌توانید ما را در توییتر و فیس بوک پیدا کنید.

مثل همیشه، اگر سوالی دارید، ما اینجا هستیم تا به شما کمک کنیم. مهم نیست که مشکل شما چقدر کوچک است، تنها کافیست پشتیبانی را باز کنید و از متخصصان تیم پشتیبانی بخواهید تا در اسرع وقت برای کمک به شما تماس خواهد گرفت.