چک لیست امنیت کامل وردپرس

اگر به وب‌سایت و کسب‌و‌کار اینترنتی خود اهمیت می‌دهید، باید بهترین شیوه‌های افزایش امنیت وردپرس را به کار بگیرید. خوشبختانه روش‌های بسیاری برای تامین امنیت سایت‌های وردپرسی در برابر کاربران و نرم‌افزارهای مخرب وجود دارد.

تنظمیات wp-config

• تغییر کلید امنیتی (ژنراتور ارایه شده توسط WordPress.org)

صفحه ورود

•  تعداد ورود ناموفق به سیستم را محدود کنید. (توسط افزونه Limit Login Attempts Reloaded)
•  احراز هویت ۲ عاملی را فعال کنید (احراز هویت گوگل )
•  از رمز عبوری حاوی حروف بزرگ، کوچک، اعداد و کاراکترهای خاص استفاده کنید. (ایجاد پسورد )
•  رمز عبور مدیرکل را بصورت ماهانه تغییر دهید.
•  پیام های خطای ورود به سیستم را سفارشی کنید.
•  اگر از wp rest api استفاده نمیکنید آنرا غیر فعال کنید (غیر فعال کردن API REST)

پنل مدیریت

•  از پوشه wp-admin توسط فایل htaccess محافظت کنید. (فقط فایل های لازم را رفع انسداد کنید )
•  وردپرس را به روز نگه دارید.
•  حساب کاربری با نقش مدیرکل ایجاد نکنید. در صورت وجود، یک حساب مدیر جدید ایجاد کنید و حساب قدیمی را حذف کنید.
•  یک حساب ویرایشگر ایجاد کنید و فقط از آن برای انتشار مطالب استفاده کنید.
•  پروتکل SSL را برای وردپرس پیاده سازی کنید.
•  برای بررسی تغییرات فایل ها افزونه ای نصب کنید.‌ (پیشنهاد ما افزونه وردفنس است.)
•  وب سایت را از نظر ویروس و نقض امنیت اسکن کنید.

پوسته‌ها

•  پوسته را به روز نگه دارید.
•  پوسته‌های استفاده نشده را حذف کنید.
•  پوسته‌ها را فقط از منابع معتبر تهیه و استفاده کنید.
• نسخه وردپرس را از پوسته حذف کنید.

افزونه‌ها

• همه افزونه‌ها را به روز نگه دارید.
• افزونه‌های استفاده نشده را حذف کنید.
• افزونه‌ها را فقط از منابع معتبر دانلود و استفاده کنید.
• افزونه‌های جدید را با افزونه‌های قدیمی جایگزین کنید.
•  قبل از نصب هر افزونه‌ای کامل تحقیق کنید و در صورتیکه نیاز داشتید نصب کنید.

پایگاه داده

•  پیشوند جداول پیشفرض را تغییر دهید. (tutorial)
•  برنامه هفتگی برای تهیه نسخه پشتیبان از پایگاه داده داشته باشید. (Backup WP, WP DB Backup etc. )
•  از یک رمز عبور قوی حاوی حروف بزرگ، کوچک، اعداد و کاراکترهای خاص برای نام کاربری پایگاه داده استفاده کنید. (password generator)

ارائه دهنده میزبانی هاست

•  یک ارائه دهنده میزبانی قابل اعتماد استفاده کنید.
•  فقط از طریق SFTP یا SSH به سرور خود متصل شوید.
•  سطح دسترسی تمامی پوشه‌ها را روی 755 و پرونده‌ها را روی 644 تنظیم کنید. (accourding to the Codex)
•  مطمئن شوید که فایل wp-config.php توسط دیگران قابل دسترسی نیست.
•  فایلهای license.txt ،wp-config-sample.php و readme.html را حذف کنید.
•  با افزودن کد زیر ویرایش پرونده را از طریق wp-config.php غیرفعال کنید : define('DISALLOW_FILE_EDIT',true);
•  با افزودن کد زیر از لیست دایرکتوری از طریق htaccess. جلوگیری کنید : Options All -Indexes

1. افزونه امنیت وردپرس شما را نجات می‌دهد

افزونه wordfence یکی از بهترین پلاگین‌های ضد فیشینگ و افزایش امنیت وردپرس است که با ارائه یک فایروال و اسکنر آنتی ویروس قدرتمند قادر است به صورت زنده از سایت وردپرسی شما محافظت کند.

2. کلیدهای امنیتی WordPress را پیکربندی کنید

یک خطای پیکربندی می تواند فاجعه به بار آورد. فایل WP-CONFIG.PHP پیکربندی سایت و پارامترهای اتصال به دیتا بیس را نگهداری می کند که به یک مهاجم امکان می دهد کنترل سایت را در دست بگیرد. بنابراین اولین قدم این است؛ دسترسی به این فایل را محدود کنید و کلمه عبور را به صورت دوره‌ای تغییر دهید.

برای محدود کردن دسترسی به فایل WP-CONFIG، در هاست وردپرسی خود وارد شده و سطح دسترسی فایل مربوطه را روی 644 قرار دهید تا در عین اینکه کاربران بتوانند از آن استفاده کنند، قادر به تغییر نباشند. در تصویر زیر می توانید مجوزهای دسترسی به پوشه‌های مختلف را تغییر دهید.

• برای اجبار به تغییر دوره‌ای رمز عبور از افزونه‌های مرتبط استفاده کنید.
• علاوه بر این برای پوشه WP-ADMIN خود که در هاست شما قرار دارد، رمز و نام کاربری تعیین کنید.

3. از لاگین وردپرس حفاظت کنید

• صفحه ورود وردپرس را پنهان کنید: از افزونه Itheme security برای تغییر url ورود به پیشخوان وردپرس استفاده کنید. از این به بعد دیگر آدرس wp-admin و wp-login.php در دسترس کاربران نخواهد بود. چندین افزونه برای این منظور وجود دارد که با روش‌های مختلفی اینکار را انجام می‌دهند. برخی در هسته وردپرس این تغییر را انجام داده برخی دیگر در فایل ‎.htaccess

به عنوان مثال بعد از درج کد زیر، banana.php نام صفحه ورود به پیشخوان شده است و جایگزین wp-login.php می‌شود.

• از تنظیمات قفل ورود استفاده کنید: به عنوان مثال پس از 5 تلاش ناموفق کاربر برای ورود به پیشخوان یا پنل مدیریت، حساب کاربری وی را مسدود کنید. اینکار برای متوقف کردن ربات و هکرها بسیار کاربردی است. افزونه login lockdown اینکار را برای شما انجام می‌دهد.
• از ایمیل بجای نام کاربری استفاده کنید: حفظ کردن نام کاربری برای اعضای سایت دشوارتر از ایمیل آن‌ها است. بنابراین ورود با ایمیل را به جای یک نام کاربری ساده برای آن‌ها قرار دهید.

4. وردپرس خود را آپدیت نگه دارید

در نسخه‌های آپدیت وردپرس و افزونه‌ها مشکلات احتمالی آن‌ها رفع شده و بهبودهایی از نظر سرعت و امنیت حاصل می‌شود. بهتر است در اسرع وقت آپدیت‌های موجود در پیشخوان را انجام دهید. برای مشاهده لیست آپدیت‌های مورد نیاز از پیشخوان بروزرسانی‌ها را کلیک کنید.

علاوه بر بروز رسانی مداوم، می‌توان از افزونه‌های بهبود سرعت و کش جهت افزایش عملکرد سایت وردپرسی خود استفاده کنید. یکی از این پلاگین‌ها افزونه wp rocket است. که سرعت سایت وردپرسی را در مواردی چندین برابر کرده است.

5. فعال کردن تأیید هویت دو عاملی در صفحه ورود (FA2)

فعال کردن احراز هویت دو عاملی وردپرس بسیار مهم است. اگر رمز عبور شما توسط حملات فیشینگ و یا سایر روش‌ها به سرقت برود دیگر هیچ مانعی برای ورود به حساب کاربری شما وجود ندارد. و این عواقب بدی چون سرقت موجودی و حساب کاربری شما را بدنبال دارد.

یکی از روش‌های تائید هویت دوعاملی استفاده از افزونه digits به عنوان پلاگینی برای ثبت‌نام با شماره موبایل در وردپرس است. به این ترتیب با استفاده از درگاه‌های معتبر پیامکی، ثبت‌نام و ورود با شماره موبایل انجام می‌شود و از ورود کاربران اسپم جلوگیری می‌شود.

6. لطفا از نام کاربری Admin استفاده نکنید

بهترین روش محافظت از سایت وردپرسی انتخاب نام کاربری و رمز عبور قوی توسط کاربران سایت است. طول رمز عبور، استفاده از علائم و اعداد و ترکیب حروف بزرگ و کوچک بسیار مهم است. طول 14 کاراکتر ایده‌ال است.

اعتبار پسوردهای وردپرس خود را به طور مرتب بازبینی و در خواست تغییر آن‌ها را ارسال کنید. برای این منظور از password generatorهای آنلاین استفاده کنید.

لطفا بیخیال نام کاربری admin شوید.

7. پیام‌های خطا را به صورت عمومی نمایش دهید

در هنگام ورود نام کاربری و گذرواژه نادرست، خطاهای احتمالی قالب و مشکلات ناسازگاری افزونه‌ها تنها باید پیام‌های عمومی مثل «اطلاعات ورودی نادرست است» نمایش داده شود. غیر فعال کردن نمایش خطا در وردپرس می‌تواند در فایل wp- config.php و توسط کد زیر انجام شود.

8. غیرفعال کردن API REST در وردپرس

Wp rest API بازیابی داده‌ها را با استفاده از درخواست GET آسان می‌کند و معمولا برای طراحی اپلیکیشن برای سایت‌های وردپرسی کاربرد دارد. در صورتیکه نیازی به آن ندارید بهتر است غیر فعال شده تا از حملات DDOS جلوگیری شود. برای اینکار کد زیر را در فایل Function.php قرار دهید.

9. نقش‌های کاربری مختلف تعریف کنید

بسیاری از کاربران تازه کار وردپرس نمی دانند که نقش ها چه اهمیتی دارند و به همه کاربران تازه وارد نقش مدیریت را اختصاص می دهند. به طور پیش فرض وردپرس 6 نقش کاربری دارد که مدیریت بالاترین سطح آن است. این نقش کاربر را قادر می کند به همه تنظیمات قالب و افزونه های نصب شده دسترسی داشته باشند.

10. از SSL در سایت وردپرسی خود استفاده کنید

از سال 2019 گواهینامه SSL برای گوگل اهمیت ویژه‌ای پیدا کرد. به طوری که مرورگر کروم شروع به علامت گذاری وب سایت‌های غیر https به عنوان یک سایت غیر ایمن کرد. احتمالا موتور جستجوی گوگل نیز به سایت‌های https اهمیت بیشتری در رتبه‌بندی بدهد.

۱۱. دیتابیس خود را ایمن کنید

مشاغل الکترونیکی که داده‌های حساس‌تری دارند بیشتر درگیر حملات سایبری می‌شوند. حمله‌کنندگان از طریق دسترسی به پایگاه داده کار خود را انجام می‌دهند. بنابراین برای کاهش سطح حمله یا نقاط ورودی برای مهاجمین چند قدم زیر را بردارید:

• پیشوند جداول دیتابیس را تغییر دهید: یک روش ساده تغییر پیشوند جدول دیتابیس در هنگام نصب وردپرس است که با WP_‎ شروع می‌شود.
• تهیه نسخه پشتیبان از پایگاه داده: تهیه نسخه بک آپ از دیتابیس یعنی شما در هر زمان می‌توانید سایت خود را در قبال حملات هکرها و عدم دسترسی به پیشخوان بازیابی کنید. اگر نمی‌خواهید به صورت دستی اینکار را انجام دهید، افزونه‌های متنوعی برای این منظور وجود دارد.

12. از هاست ایمن استفاده کنید

هاست ایمن یکی از مهمترین و اولیه‌ترین نیازهای یک سایت است که مهمترین نقش را در امنیت برعهده دارد. برخی از ویژگی‌هایی که یک میزبان باید ارائه کنند در زیر لیست شده است:

• پارامترهای امنیت مرکز داده
• سیستم امنیت سمت سرور از قبیل فایروال و نرم‌افزار آنتی مالویر
• افزودنی‌های SSL
• بک آپ خودکار
• مدیریت بروزرسانی‌ها

آموزش وردپرس بسیاری از قالب‌های چند منظوره و فروشگاهی را می‌توانید در راست چین مشاهده کنید. این آموزش‌ها شامل تنظیمات قالب و معرفی افزونه‌های امنیت و سرعت وردپرس است.

بهبود سئو سایت وردپرس

سئوی سایت یکی از مواردی است که همه وب مستران و مدیران سایت بدنبال بهبود آن هستند. تصور کنید محصولات و مقالات کاربردی شما در ویترین گوگل نمایش داده نشود، همه زحمات شما به هدر می‌رود چون در صفحه اول گوگل نمایش داده نمی‌شود.

افزونه‌‌های زیادی برای سئوی بخش‌های مختلف سایت مورد استفاده قرار می‌گیرد. اما افزونه yoast به جرات یکی از بهترین‌های وردپرس است. تغییر نامک، عنوان سئو، توضیحات متا، لینک دهی داخلی و خارجی، تعریف کلمات کلیدی و … تنها بخشی از مواردی است که این پلاگین، شما را راهنمایی می‌کند.

این افزونه در سئوی مطالب، محصولات و همه پست تایپ‌های از قبیل مشتریان، پورتفولیو و … می‌تواند مورد استفاده قرار گیرد. راهنمای این افزونه بسیار کاربردی است.

چک لیست امنیتی وردپرس را می توان به دو گروه تقسیم کرد. گروه اول که مربوط به مواردی است که باید روی هر سایت وردپرسی انجام شود. گروه دوم مربوط به کسانی است که به دنبال امنیت بیشتر سایت شان هستند که با عمل کردن به آنها سایت تا حد زیادی در برابر تهدیدات هکرها امن خواهد شد.

بخش اول افزایش امنیت وردپرس

1. همیشه وردپرس را به روز نگه دارید
2. در هسته وردپرس تغییر ایجاد نکنید
3. همیشه از به روز بودن تمامی افزونه ها اطمینان حاصل نمایید
4. افزونه های بلااستفاده و غیرفعال را حذف کنید
5. همیشه از به روز بودن تمامی پوسته ها اطمینان حاصل نمایید
6. افزونه ها، قالب ها و تمامی اسکریپت ها را از منابع رسمی وردپرس دانلود کنید
7. از فضای میزبانی امن استفاده کنید
8. سایت شما از آخرین نسخه PHP استفاده کند
9. نام کاربری Admin را تغییر دهید
10. از رمزهای عبور قوی و بلند استفاده کنید
11. از رمزهای عبور تکراری استفاده نکنید
12. از لو رفتن رمزهای عبور به واسطۀ انتقال رمز به صورت متن ساده جلوگیری کنید
13. فقط از شبکه های امن سایت خود را به روز کنید
14. از آنتی ویروس قوی روی رایانه شخصی استفاده کنید
15. میز فرمان گوگل یا Google Search Console را برای سایت تان فعال کنید
16. از افزونه های بررسی امنیت سایت استفاده کنید
17. نسخه پشتیبانی تهیه کنید

بخش دوم افزایش امنیت وردپرس

1. محدود کردن تعداد دفعات ورود ناموفق
2. فعال کردن ورود دو مرحله ای
3. مطمئن شوید جواز دسترسی پرونده ها صحیح است
4. پیشوند جداول وردپرس را تغییر دهید
5. کلیدهای تعیین هویت مخفی وردپرس را تنظیم کنید
6. اجرای PHP را غیرفعال کنید
7. پایگاه های داده وردپرس را از هم جدا کنید
8. دسترسی کاربر پایگاه داده را محدود کنید
9. ویرایش پرونده از پیشخوان را غیر فعال کنید
10. پرونده wp-‌config.php را امن کنید
11. XML-RPC را در صورت بلااستفاده بودن غیرفعال کنید
12. نمایش خطاهای PHP را غیرفعال کنید
13. یک دیوار آتش روی وردپرس نصب کنید
14. از دیوار آتش شبکه تحویل محتوا CDN استفاده نمایید
15. بررسی امنیت سایت با گزارش گیری های امنیتی سایت