چک لیست کامل امنیت وردپرس جدید
چک لیست کامل امنیت وردپرس 2023 موضوعی است که امروز قصد داریم آن را باهم بررسی کنیم. از اونجایی که امنیت سایت های وردپرسی یکی از مهم ترین کارهایی است که باید انجام بدهید بنابراین شما همیشه باید این چک لیست را بررسی و آپدیت کنید تا مطمئن شوید سایتتان حداقل فاکتورهای امنیتی را رعایت کرده باشد.
خلاصه این مطلب:
Toggleچک لیست کامل امنیت وردپرس
در این مقاله قصد دارید حدود 40 فاکتور مهم سایت های وردپرسی را بررسی و توضیح بدیم که اگر سعی کنید همه این فاکتورهای امنیتی را در ساییتتان رعایت کنید هک شدن سایتتان را به حداقل می رسانید.
جای فایل wp-config.php را تغییر دهید
wp-config یکی از مهمترین فایلهای وردپرس است که حاوی اطلاعاتی از قبیل پیشوند جداول، نام کاربری و رمز عبور پایگاه داده، زبان وردپرس، کلیدهای امنیتی و سایر جزئیات ضروری میباشد. این اقدامات امنیتی، به خصوص در چک لیست امنیتی، برای حفاظت از اطلاعات حیاتی و جلوگیری از حملات هک به wp-config حائز اهمیت است.
برای جلوگیری از قرار گرفتن فایل wp-config.php در ریشه (root) به عنوان مکان پیشفرض، میتوانید به راحتی این فایل را به یک پوشه دیگر منتقل کنید. این اقدام نه تنها امنیت سیستم را افزایش میدهد بلکه اطلاعات حساس مانند پیکربندی دیتابیس و سایر جزئیات مهم در wp-config را مخفیانه نگه میدارد.
برای انجام این کار، به فایل wp-config.php در ریشه سایت خود بروید و روی آن کلیک کنید. سپس گزینه “Move” را انتخاب کنید و فایل را به مقصد مورد نظر در پوشههای دلخواه منتقل کنید.
تغییر مجوز دسترسی به فایل wp-config:
در ادامه چک لیست کامل امنیت وردپرس، میتوانید مجوز دسترسی به فایل wp-config.php را بهروزرسانی کرده و دسترسی به این فایل را با دقت مدیریت کنید. این کار از طریق پنل کنترل (سیپنل) امکانپذیر است.
ابتدا وارد پنل کنترل خود شوید و به بخش مربوط به فایلها و دایرکتوریها بروید. پس از یافتن فایل wp-config.php، روی آن راست کلیک کنید. سپس گزینه “Permission” یا “مجوز دسترسی” را انتخاب نمایید.
در پنجره مجوز دسترسی، میتوانید تنظیمات دقیقی را اعمال کنید. برای افزایش امنیت، توصیه میشود مجوز دسترسی را به حالت “خواندن” (Read) تغییر دهید. این کار به کاربران اجازه خواندن اطلاعات فایل را میدهد اما امکان تغییر در آن را نخواهند داشت.
از این طریق، حفاظت بیشتری در برابر تغییرات ناخواسته در فایل wp-config.php فراهم خواهید کرد و امنیت سایت خود را بهبود خواهید داد.
تغییر کلیدهای امنیتی (SALT) وردپرس:
یکی از موارد چک لیست کامل امنیت وردپرس برای تقویت امنیت سایت وردپرس خود، تغییر دورهای کلیدهای امنیتی یا SALT ضروری است. این کلیدها در زمان نصب به صورت خودکار ایجاد شده و برای افزایش امنیت و رمزنگاری اطلاعات حساس در فایل wp-config.php استفاده میشوند.
برای انجام این کار، میتوانید به فایل wp-config.php در ریشه سایت خود مراجعه کرده و بخشی که SALT ها در آن قرار دارند را پیدا کنید. سپس، با مراجعه به سایت وردپرس SALT، یک ست فشرده از کلیدهای جدید تولید کنید.
سپس، کلیدهای جدید را به جای کلیدهای قدیمی در فایل wp-config.php جایگزین کنید. این اقدام به سادگی از طریق ویرایش فایل انجام میشود. با این تغییرات، اطلاعات ارسالی از وردپرس به سرور بهطور امنتر رمزنگاری میشود و خطر حملاتی که از طریق کلیدهای امنیتی ممکن است انجام شوند، به حداقل ممکن میرسد.
توجه داشته باشید که این عملیات را با دقت انجام دهید و همواره کلیدهای امنیتی را به صورت دورهای تغییر دهید تا امنیت سایت شما حفظ شود.
فعال کردن احراز هویت دومرحلهای برای افزایش امنیت:
احراز هویت دومرحلهای یکی از بهترین راهکارها برای افزایش امنیت حساب کاربری شماست. این قابلیت به شما این امکان را میدهد که علاوه بر وارد کردن نام کاربری و رمز عبور، یک مرحله دیگر از تأیید هویت را انجام دهید.
برای فعال کردن احراز هویت دومرحلهای، میتوانید از این مراحل پیروی کنید:
- وارد پنل مدیریت حساب کاربری خود شوید.
- به بخش “تنظیمات امنیتی” یا “حریم خصوصی” بروید.
- گزینه “احراز هویت دومرحلهای” یا “Two-Factor Authentication” را پیدا کنید.
- روشهای احراز هویت دومرحلهای را انتخاب کنید، مثلاً از طریق پیامک یا اپلیکیشنهای احراز هویت.
- دستورالعملهای بهروزرسانی را دنبال کرده و اطلاعات مورد نیاز را وارد کنید.
حالا هر زمان که وارد حساب کاربری خود میشوید، علاوه بر نام کاربری و رمز عبور، باید یک کد احراز هویت دومرحلهای را وارد کنید که به تلفن همراه یا ایمیل شما ارسال شده است. این اقدام به شما اطمینان میدهد که حساب کاربری شما از لحاظ امنیتی بسیار قوی است و دسترسی به آن بسیار محدود شده است.
تغییر آدرس ورود به پیشخوان در وردپرس:
برای افزایش امنیت و جلوگیری از حملات، تغییر آدرس ورود به پیشخوان وردپرس اقدامی مهم است. این کار را میتوانید به یکی از دو روش زیر انجام دهید:
- استفاده از افزونه امنیتی:
- نصب یک افزونه امنیتی مانند “سکوریتی” (Security) که امکان تغییر آدرس ورود به پیشخوان (wp-admin) را فراهم میکند.
- پس از نصب افزونه، به بخش تنظیمات امنیتی آن بروید و گزینههای مربوط به تغییر آدرس ورود را پیدا کنید.
- آدرس جدید مورد نظر خود را وارد کرده و تغییرات را ذخیره کنید.
- تغییر نام فایل wp-login.php:
- به فایل منیجر هاست یا FTP خود متصل شوید.
- به دایرکتوری اصلی وبسایتتان بروید.
- فایل wp-login.php را پیدا کنید.
- نام فایل را به یک نام دلخواه تغییر دهید، مثلاً my-login.php.
- حالا با استفاده از آدرس جدید (با نام جدید) به پیشخوان وارد شوید، مانند: example.com/my-login.php.
توجه: هنگام انجام این تغییرات، حتماً اطمینان حاصل کنید که دسترسی به وبسایت خود را از دست نمیدهید و از تغییرات انجام شده پشتیبان گیری کنید.
محدود کردن تعداد ورود کاربران در وردپرس:
برای جلوگیری از حملات بروت فورس و محافظت از حساب کاربری شما در وردپرس، میتوانید تعداد ورود کاربران را محدود کنید. این کار را میتوانید با استفاده از افزونهها یا تغییرات در فایل functions.php انجام دهید. در اینجا نحوه اجرای این اقدامات آورده شده است:
استفاده از افزونه:
- نصب افزونه Limit Login Attempts Reloaded:
- وارد پیشخوان وردپرس شوید.
- به بخش “افزونهها” بروید و “افزودن جدید” را انتخاب کنید.
- در باکس جستجو “Limit Login Attempts Reloaded” را وارد کرده و افزونه را نصب و فعال کنید.
- تنظیمات افزونه:
- پس از فعالسازی، به بخش “تنظیمات” و سپس “محدود کننده تلاشهای ورود” بروید.
- تنظیمات مربوط به تعداد تلاشها و زمان مسدودیت را تنظیم کنید.
- تغییرات را ذخیره کنید.
استفاده از functions.php:
در صورت تمایل به اجرای این اقدام بدون استفاده از افزونه، کد زیر را به فایل functions.php قالب وردپرس خود اضافه کنید:
function limit_login_attempts() {
$login_attempts = 3; // تعداد تلاشها قابل تنظیم است.
$lockout_duration = 600; // مدت زمان مسدودیت به ثانیه (در اینجا 600 ثانیه یا 10 دقیقه).
if (isset($_COOKIE['login_attempts'])) {
$_COOKIE['login_attempts']++;
} else {
setcookie('login_attempts', 1, time() + $lockout_duration, '/');
}
if ($_COOKIE['login_attempts'] > $login_attempts) {
header('HTTP/1.1 403 Forbidden');
echo 'Too many login attempts. Please try again later.';
exit;
}
}
add_action('wp_login_failed', 'limit_login_attempts'); // اجرا کردن تابع در صورت شکست ورود.
این کد تعداد تلاشهای ورود را محدود کرده و اگر کاربر در تعداد مشخصی بار اشتباه نام کاربری یا رمزعبور را وارد کند، به مدت زمان مسدودیت از ورود به حساب کاربری او جلوگیری میشود.
از پسورد و نام کاربری ضعیف استفاده نکنید!
برای تقویت امنیت حساب کاربری خود، حائز اهمیت استفاده از نام کاربری و رمزعبور قوی باشد. در زیر، راهکارهایی برای ایجاد اطلاعات ورود امن تر آمده است:
- نام کاربری:
- اجتناب از استفاده از نام کاربریهای پیشفرض مانند “admin” یا “test”.
- انتخاب یک نام کاربری متنوع و غیرقابل پیشبینی با استفاده از حروف، اعداد و نمادها.
- رمزعبور:
- جلوگیری از انتخاب رمزهای ساده مانند “1234” یا “password”.
- استفاده از ترکیب حروف بزرگ و کوچک، اعداد و نمادها در رمز عبور.
- اجتناب از استفاده از کلمات یا اطلاعات شخصی قابل پیشبینی در رمزعبور.
- تعیین یک رمزعبور با حداقل ۱۲ کاراکتر برای افزایش پیچیدگی.
مثال:
- نام کاربری:
SecureUser123
- رمزعبور:
#Str0ngP@ss!word
با اعمال این اصول، امنیت حساب کاربری شما بهبود یافته و خطر هک شدن سایت به شدت کاهش خواهد یافت.
پنهان کردن نسخه فعلی وردپرس
برای افزایش امنیت سایت و جلوگیری از حملات هک، پنهان کردن ورژن وردپرس از سایت میتواند مفید باشد. به منظور اجرای این اقدام، میتوانید از روشهای زیر استفاده کنید:
- استفاده از افزونه امنیتی:
نصب یک افزونه امنیتی مانند “Hide My WP” یا “WP Hide & Security Enhancer” میتواند به شما کمک کند ورژن وردپرس را مخفی کنید. این افزونهها قابلیتهای مختلفی ارائه میدهند که جلوی شناسایی ورژن را میگیرند. - تغییر نام فایلها و مسیرها:
با تغییر نام فایلها و مسیرهای مرتبط با وردپرس، میتوانید ورژن را پنهان کنید. به عنوان مثال، نام پوشه wp-content و فایلهایی که حاوی اطلاعات ورژن هستند را تغییر دهید. - اصلاح فایل functions.php:
با ویرایش فایل functions.php قالب فعلی یا افزونههای فعال، میتوانید کدهایی را اضافه کنید تا اطلاعات ورژن را پنهان کند. به عنوان مثال، اضافه کردن کدهایی مانند زیر:
remove_action('wp_head', 'wp_generator');
توجه داشته باشید که قبل از اعمال تغییرات، بهتر است یک پشتیبان از سایت خود ایجاد کرده و اطمینان حاصل کنید که تغییرات به درستی اعمال شدهاند و به کارکرد سایت آسیبی نرسیده است.
غیرفعال کردن Reset API در وردپرس
برای افزایش امنیت سایت و جلوگیری از دسترسی به دادههای وردپرس از طریق REST API، میتوانید اقدامات زیر را انجام دهید:
- استفاده از افزونه امنیتی:
نصب یک افزونه امنیتی مثل “Disable REST API” میتواند به شما کمک کند REST API را غیرفعال کنید. این افزونهها گاهی اوقات گزینههای خاصی را برای کنترل دسترسی به REST API فراهم میکنند. - تغییر تنظیمات فایل functions.php:
با ویرایش فایل functions.php قالب یا افزونههای فعال، میتوانید REST API را به صورت دستی غیرفعال کنید. این کار با اضافه کردن کد زیر امکانپذیر است:
add_filter('rest_enabled', '__return_false');
add_filter('rest_jsonp_enabled', '__return_false');
- استفاده از فایروال:
تنظیمات فایروال میتواند کمک کند REST API را به طور کلی یا برای برخی از منابع غیرفعال کنید. این کار به وسیله افزودن قوانین در فایروال امکانپذیر است. - تغییر تنظیمات فایل .htaccess:
افزودن قوانین به فایل .htaccess نیز یک راهکار دیگر است. به عنوان مثال:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^wp-json/ - [L]
</IfModule>
توجه داشته باشید که قبل از اعمال تغییرات، بهتر است یک پشتیبان از سایت خود ایجاد کنید و اطمینان حاصل کنید که تغییرات به درستی اعمال شدهاند و به کارکرد سایت آسیبی نرسیده است.
از نسخه اصلی وردپرس استفاده کنید
برای افزایش امنیت سایت خود، میتوانید از روشهای زیر برای دانلود و نصب وردپرس استفاده کنید:
- استفاده از سایت رسمی:
برای دانلود وردپرس، بهتر است همیشه از سایت رسمی WordPress یعنیwordpress.org
استفاده کنید. آدرس دقیق فایل دانلود وردپرس به این شکل خواهد بود:
https://wordpress.org/latest.zip
- استفاده از داشبورد وردپرس:
شما همچنین میتوانید از داشبورد وردپرس خود برای بهروزرسانی نسخه استفاده کنید. در بخش “Dashboard” به “Updates” بروید و گزینه “Update Now” را انتخاب کنید. - استفاده از افزونههای مدیریت افزونه و قالب:
برخی افزونههای مدیریت افزونه و قالب به شما این امکان را میدهند که وردپرس را مستقیماً از داخل داشبورد وردپرس بهروزرسانی یا نصب کنید. - استفاده از افزونههای امنیتی:
افزونههای امنیتی مانند Wordfence یا Sucuri نیز ممکن است قابلیتهایی برای مدیریت بهروزرسانیها و دانلود فایلهای امن داشته باشند.
با استفاده از روشهای معتبر برای دانلود و نصب وردپرس، میتوانید از امنیت سایت خود اطمینان حاصل کنید و جلوی ورود مشکلات احتمالی امنیتی را بگیرید.
بروزرسانی وردپرس یادتون نره
ویرایش و بهبود امنیت وبسایت یکی از مسائل مهم در مدیریت یک سایت وردپرس است. به طور کلی، میتوانید با رعایت مراحل زیر امنیت سایت وردپرس خود را افزایش دهید:
- بروزرسانی و نگهداری منظم:
- همیشه از آخرین نسخه وردپرس استفاده کنید.
- قالب و افزونههای خود را نیز بهروزرسانی کنید.
- از افزونههای معتبر و تازهترین نسخههای آنها استفاده کنید.
دسترسی کاربران را محدود کنید
ترتیب دسترسیها برای کاربران را محدود سازید. در وردپرس، انواع نقشهای کاربری از جمله مدیر، نویسنده، مشترک و سایران، سطحهای مختلف دسترسی را دارند. به عنوان مثال، نقش نویسنده اجازه نوشتن و انتشار پستها را دارد، اما نمیتواند افزونهها را نصب یا حذف کند. از سوی دیگر، نقش مدیر توانایی تغییر در تمامی بخشهای سایت را دارد.
برای تقویت امنیت سایت، اقدام به بررسی کاربران با نقش مدیر کنید و دسترسیهایی که به آنها اختصاص داده شده و شما آنها را شناختهاید را حذف کنید. این اقدام مهمی است که باید هماکنون در لیست امنیتی شما جای بگیرد.
افزونه امنیتی از نان شب واجب تره
یک افزونه امنیتی را نصب کنید، گام مهمی در تقویت امنیت سایت شماست. افزونههای امنیتی مانند Wordfence و iThemes با ارائه ویژگیهایی چون جلوگیری از حملات بروت فورس، شناسایی و مسدود کردن IPهای مشکوک، تشخیص بدافزارها، اعمال احراز هویت دو مرحلهای، اجبار به استفاده از رمز عبورهای قوی، غیرفعال سازی آپلود کدها و سایر اقدامات امنیتی، به شما کمک میکنند تا از حملات هکرها محافظت کرده و سطح امنیتی سایت خود را ارتقا دهید.
ssl را داخل سایت فعال کنید
SSL یک لایه امان اضافی برای سایت شما فراهم میکند. با اجرای SSL، ارتباط بین شما و کاربران به صورت امن برقرار میشود و این موضوع موجب افزایش اعتماد کاربران، بهبود امنیت و تاثیر مثبت در رتبهبندی سئو میشود. فعال کردن SSL بسیار ساده است و میتوانید به راحتی از نسخهی http به https تغییر دهید.
قابلیت ویرایش قالب و افزونه هار را در سایت غیرفعال کنید
برای غیرفعال کردن امکان ویرایش تم و پلاگینها در وردپرس، شما میتوانید از تنظیمات wp-config استفاده کنید. برای این کار، به مراحل زیر پیشنهاد میشود:
- وارد شوید به فایل wp-config.php که در ریشه وبسایت وردپرس قرار دارد.
- باز کنید این فایل با یک ویرایشگر متنی مانند Notepad یا Visual Studio Code.
- در انتهای فایل، خطوط زیر را اضافه کنید:
define('DISALLOW_FILE_EDIT', true);
- ذخیره کرده و تغییرات را اعمال کنید.
با اضافه کردن این خط کد، شما امکان ویرایش تم و پلاگینها از طریق مدیریت وردپرس را غیرفعال میکنید. حالا فایل wp-config.php باید مشابه به شکل زیر باشد:
<?php
/**
* The base configuration for WordPress
*
* The wp-config.php creation script uses this file during the
* installation. You don't have to use the web site, you can
* copy this file to "wp-config.php" and fill in the values.
*
* This file contains the following configurations:
*
* * MySQL settings
* * Secret keys
* * Database table prefix
* * ABSPATH
*
* @link https://codex.wordpress.org/Editing_wp-config.php
*
* @package WordPress
*/
// ... کدهای دیگر ...
define('DISALLOW_FILE_EDIT', true);
/* That's all, stop editing! Happy publishing. */
با این تغییر، افراد دیگر نمیتوانند از طریق مدیریت وردپرس تغییراتی در فایلهای تم یا پلاگینها ایجاد یا اعمال کنند.
همچنین اگر دوست دارید بیشتر در مورد کدهای افزونه نویسی و طراحی قالب بدونید می تونید یکسری به دوره های جامع آموزش پلاگین نویسی و آموزش طراحی قالب بزنید.
هر از گاهی رمز و پسورد رو تغییر دهید
تغییر دورهای نام کاربری و رمز عبور یکی از اقدامات امنیتی مهم در مدیریت یک وبسایت است. برای انجام این کار در وردپرس، مراحل زیر را دنبال کنید:
- تغییر رمز عبور:
- وارد پیشخوان وردپرس شوید.
- از منوی سمت چپ، به قسمت “کاربران” (Users) بروید.
- بر روی حساب کاربری خود کلیک کنید.
- در صفحه ویرایش حساب کاربری، به قسمت “تغییر رمز عبور” بروید.
- یک رمز عبور قوی و مناسب انتخاب کنید و آن را ذخیره کنید.
- تغییر نام کاربری:
- برخی از افزونههای امنیتی ممکن است این قابلیت را در اختیار شما قرار دهند. یک افزونه امنیتی نظیر Wordfence یا Sucuri Security را نصب کرده و دستورالعملهای ارائه شده توسط این افزونه را دنبال کنید.
- در صورتی که افزونههای مشابهی نصب نکردهاید، به طور پیشفرض وردپرس این امکان را به صورت مستقیم ارائه نمیدهد. برای تغییر نام کاربری باید از روشهای متنوعی مانند افزونههای مدیریت کاربران استفاده کنید یا از طریق دستکاری دیتابیس این تغییر را اعمال کنید. توجه داشته باشید که دستکاری دیتابیس باید با دقت انجام شود و همیشه قبل از هر تغییری، پشتیبانگیری از دیتابیس انجام شود.
با انجام این مراحل، امنیت حساب کاربری شما در وردپرس افزایش مییابد. همچنین، مواردی نظیر استفاده از افزونههای امنیتی و بروزرسانی منظم وردپرس و پلاگینها و تمها نیز از اهمیت بالایی برخوردارند.
غیرفعال کردن XML-RPC:
برای غیرفعال کردن XML-RPC در وردپرس، میتوانید از افزونههای امنیتی یا افزودن کد به فایل functions.php استفاده کنید. یکی از راهها این است که کد زیر را به فایل functions.php اضافه کنید:
// غیرفعال کردن XML-RPC
add_filter('xmlrpc_enabled', '__return_false');
با اضافه کردن این کد، XML-RPC در وردپرس غیرفعال میشود.
استفاده از Captcha:
برای استفاده از Captcha در وردپرس، میتوانید از افزونههای Captcha یا reCAPTCHA از گوگل استفاده کنید. گامهای عمل به شرح زیر است:
- ساخت یک حساب reCAPTCHA:
- به سایت reCAPTCHA بروید.
- بر روی “Admin Console” کلیک کنید و وارد حساب Google خود شوید یا یک حساب جدید ایجاد کنید.
- یک پروژه جدید ایجاد کنید و نوع reCAPTCHA v2 Checkbox را انتخاب کنید.
- دریافت کد API:
- در بخش “Keys”، کلیدهای Site و Secret خود را دریافت کنید.
- نصب و تنظیم افزونه Captcha:
- وارد داشبورد وردپرس شوید.
- به بخش “افزونهها” بروید و یک افزونه Captcha نصب و فعال کنید.
- در تنظیمات افزونه، کلیدهای Site و Secret را وارد کنید.
استفاده از افزونههای Captcha به شما این امکان را میدهد که در فرمها و صفحات وردپرس خود از تصویر تشخیصی یا reCAPTCHA برای جلوگیری از حملات هکرها و رباتها استفاده کنید.
تغییر پیشوند جداول:
پیشوند جداول در وردپرس از پیشفرض “wp_” استفاده میکند. اگر بخواهید پیشوند جداول را تغییر دهید، باید در هنگام نصب وردپرس یا حتی بعد از نصب، از گزینههای مربوطه استفاده کنید. اما تغییر پیشوند جداول یک فعل حساس است و نیاز به دقت دارد، زیرا ممکن است تغییر آن به برخی مشکلات منجر شود.
تغییر پیشوند در هنگام نصب وردپرس:
هنگام نصب وردپرس، در مرحله تنظیمات دیتابیس، شما میتوانید پیشوند جداول را تغییر دهید. مراحل زیر را دنبال کنید:
- وارد پوشهی وردپرس شوید.
- فایل
wp-config.php
را با یک ویرایشگر متنی باز کنید. - خطوط مربوط به تنظیمات دیتابیس را پیدا کنید.
- پیشوند جداول را تغییر دهید. به عنوان مثال، اگر میخواهید پیشوند را به “newprefix_” تغییر دهید:
$table_prefix = 'newprefix_';
- فایل را ذخیره کرده و نصب وردپرس را ادامه دهید.
تغییر پیشوند پس از نصب:
اگر وردپرس شما قبلاً نصب شده است و میخواهید پیشوند جداول را تغییر دهید، از افزونههایی مانند “Better Search Replace” استفاده کنید. این افزونه به شما این امکان را میدهد که به راحتی پیشوند جداول را در پایگاه دادهی وردپرس تغییر دهید.
بکاپگیری روزانه:
برای بکاپگیری روزانه از سایت وردپرس، میتوانید از راههای زیر استفاده کنید:
- استفاده از افزونهها:
- افزونههای متعددی برای بکاپگیری از وردپرس وجود دارند، از جمله UpdraftPlus و BackupBuddy. این افزونهها به شما امکان مدیریت و برگرداندن بکاپهایتان را میدهند.
- استفاده از ابزارهای هاستینگ:
- بسیاری از سرویسهای هاستینگ امکان بکاپگیری از سایتهای وردپرس را ارائه میدهند. از پنل کنترل هاست خود یا از ابزارهایی مانند cPanel یا Plesk استفاده کنید.
- استفاده از اسکریپتهای دستی:
- اگر ترجیح میدهید از روش دستی استفاده کنید، میتوانید از دستورات MySQL برای بکاپ گیری از دیتابیس و از FTP برای بکاپ گیری از فایلها استفاده کنید.
در هر صورت، اطمینان حاصل کنید که بکاپهایتان به صورت منظم انجام میشوند و قابل بازگردانی هستند.
دانلود از منابع معتبر:
- قالب از سایت رسمی:
اگر یک قالب خاص را انتخاب کردهاید، بهترین راه از سایت رسمی توسعهدهنده آن یا از فروشگاههای معتبری مانند ThemeForest خریداری کنید. اینجاست که شما از نسخه اصلی و بروز قالب بهرهمند میشوید. - استفاده از منابع معتبر:
اگر از یک منبع غیر از سایت رسمی بخواهید قالبی را دریافت کنید، اطمینان حاصل کنید که از یک منبع معتبر، نظیر WordPress.org یا سایتهای مطرح دیگر، استفاده میکنید.
۲. بروزرسانی قالب:
- بروزرسانی به ورژن جدید:
همانطور که اشاره کردید، بروزرسانی قالب به ورژنهای جدید بسیار اهمیت دارد. این بروزرسانیها شامل رفع باگها، بهبود امنیت، و اضافه شدن ویژگیهای جدید میشوند. به صورت دورهای قالبهای خود را بروز کنید.
حذف قالبهای بدون استفاده:
- به حداقل رسانید:
قالبهای بدون استفاده را حذف کنید تا از منابع سرور و فضا بهینهسازی شود. این عمل همچنین احتمال وقوع مشکلات امنیتی را کاهش میدهد. - بررسی امنیت:
اگر یک قالب را غیرفعال کردهاید و از آن استفاده نمیکنید، بهتر است همواره آن را حذف کنید تا از لحاظ امنیتی هم خیالتان راحت باشد.
با انجام این اقدامات، وبسایت شما از نظر امنیتی بسیار بهتر خواهد بود و احتمال مشکلاتی مانند نفوذ یا کدهای مخرب کاهش پیدا میکند.
بروزرسانی افزونهها:
بروزرسانی افزونههای وردپرس بسیار اهمیت دارد تا بهترین امکانات، بهینهسازیها، و رفع مشکلات امنیتی را داشته باشید. مراحل بروزرسانی به صورت زیر است:
- ورود به داشبورد وردپرس:
- به داشبورد وردپرس خود وارد شوید.
- بخش افزونهها:
- در منوی سمت چپ، به “افزونهها” بروید.
- بررسی بروزرسانیها:
- در بخش افزونهها، افزونههایی که نیاز به بروزرسانی دارند، با یک نماد وضعیت خاص نشان داده میشوند. از بخش “بروزرسانیها” میتوانید این اطلاعات را ببینید.
- بروزرسانی انتخابی یا همگانی:
- بر روی گزینه “بروزرسانی همگانی” کلیک کنید تا همهی افزونهها به آخرین نسخه بروزرسانی شوند.
- یا اگر تمایل به بروزرسانی افزونهها به صورت جداگانه دارید، بر روی “بروزرسانی” زیر هر افزونه کلیک کنید.
- تصدیق برخورداری از بکاپ:
- قبل از بروزرسانی، بهتر است از سایت خود بکاپ بگیرید. افزونههای بکاپ مانند UpdraftPlus برای این منظور مفید هستند.
دانلود از منابع معتبر:
- استفاده از افزونههای معتبر:
- افزونههای وردپرس را از منابع معتبر و مستقیماً از مخزن افزونههای وردپرس یا از سایت رسمی توسعهدهنده آنها دریافت کنید.
- استفاده از فروشگاههای معتبر:
- اگر نسخه پولی افزونه را میخواهید، از فروشگاههای امن و معتبر مانند CodeCanyon استفاده کنید.
جایگزینی افزونههای قدیمی:
- بررسی نیازها:
- بررسی کنید که آیا افزونههایی که مدت زیادی است بروزرسانی نشدهاند، هنوز نیازمندی شما هستند یا خیر.
- جستجوی جایگزین:
- در صورت لزوم، به دنبال افزونههای جدید و بروز با ویژگیهای مشابه بگردید.
- آزمایش جدید:
- هر افزونه جدید را در یک محیط تستی آزمایش کنید تا از سازگاری و عملکرد صحیح آن اطمینان حاصل کنید.
نکته مهم:
همیشه قبل از هر تغییر مهمی مثل بروزرسانی یا تغییر افزونه، از بکاپ گیری کامل اطمینان حاصل کنید تا در صورت وقوع هر مشکلی، بتوانید به حالت قبلی بازگردید.
از هاستینگ معتبر و امن استفاده کنید
۱. اقدامات امنیتی:
- Firewall:
اطمینان حاصل کنید که شرکت هاستینگ از فایروال نرمافزاری و سختافزاری قوی برخوردار است. این ویژگی میتواند حملات مخرب را مهار کند. - SSL رایگان:
بررسی کنید که آیا شرکت هاستینگ SSL رایگان ارائه میدهد یا خیر. این ویژگی مهم برای افزایش امانت و اعتماد وبسایت شما است. - پشتیبانی از CDN:
حضور یک CDN (شبکه توزیع محتوا) میتواند سرعت و امنیت وبسایت را افزایش دهد.
۲. بکاپ روزانه:
- استفاده از بکاپهای روزانه:
اطمینان حاصل کنید که شرکت هاستینگ بکاپ روزانه از سایتهای کاربران میگیرد. این کار میتواند در صورت وقوع مشکلات به سرعت دادهها را بازیابی کند.
۳. مقابله با حملات:
- مقاومت در برابر DDoS:
یک شرکت هاستینگ قوی باید دارای تکنولوژی مقاومت در برابر حملات DDoS باشد تا سایت شما در مقابل افزایش ترافیک و حملات حفاظت شود.
۴. تنظیمات CPanel:
- قابلیتهای امنیتی در CPanel:
بررسی کنید که آیا پنل مدیریتی شما (مثل CPanel) دارای ابزارهایی مانند Viruse Scanner، IP Block یا Mod Security برای افزایش امانت است.
۵. آنتی اسپم و آنتی ویروس:
- محافظت در برابر اسپم و ویروس:
اطمینان حاصل کنید که شرکت هاستینگ از نرمافزارهای مختلف جلوگیری از اسپم و ویروسها استفاده میکند.
۶. هاست اختصاصی:
- توصیه به هاست اختصاصی:
در صورت امکان و حساسیت بالا، توصیه میشود هاست اختصاصی را در نظر بگیرید. این نوع هاست امنیت و سرعت بیشتری را فراهم میکند.
۷. پشتیبانی قوی:
- پشتیبانی مؤثر:
بررسی کنید که شرکت هاستینگ پشتیبانی قوی و تیم تخصصی برای حل مشکلات فوری دارد یا خیر. این مهم است زیرا در صورت بروز هر گونه مشکل، به یک تیم قوی وابسته خواهید بود.
انتخاب یک شرکت هاستینگ با این ویژگیها، به شما کمک میکند تا وبسایت شما در برابر حملات مخرب محافظت شده و بهترین سرویس را ارائه دهد.
تغییر نام و مخفی کردن WP-Content:
- تغییر نام پوشه wp-content:
- میتوانید نام پوشه
wp-content
را به یک نام دلخواه تغییر دهید. این کار باعث میشود که هکرها به راحتی به پوشه مربوطه دسترسی نیاز نداشته باشند. - برای این کار، پوشه
wp-content
را به نام دیگری تغییر نام دهید و سپس این تغییرات را در فایلwp-config.php
وfunctions.php
اعمال کنید.
- تغییر مسیر پوشه wp-content:
- به جای تغییر نام، میتوانید مسیر پوشه
wp-content
را به مسیر دیگری انتقال دهید. این اقدام باعث میشود که محل قرارگیری فایلها و پوشههای مهم وبسایت شما مخفی بماند.
غیرفعال کردن اجرای فایلهای PHP:
- استفاده از فایل htaccess:
- برای جلوگیری از اجرای فایلهای PHP در یک پوشه خاص (برای مثال,
wp-content/uploads/
):- درون این پوشه، یک فایل با نام
.htaccess
بسازید یا ویرایش کنید. - کد زیر را درون این فایل قرار دهید:
<Files *.php> deny from all </Files>
- درون این پوشه، یک فایل با نام
- این کد جلوگیری از اجرای هر فایل PHP درون این پوشه را فراهم میکند.
غیرفعال کردن Directory Browsing:
- استفاده از فایل htaccess:
- برای غیرفعال کردن Directory Browsing در پوشه
wp-content/uploads/
:- درون این پوشه، یک فایل با نام
.htaccess
بسازید یا ویرایش کنید. - کد زیر را درون این فایل قرار دهید:
Options -Indexes
- درون این پوشه، یک فایل با نام
- این کد باعث میشود که هنگام ورود به این پوشه از طریق مرورگر، لیست محتوای آن نمایش داده نشود و Directory Browsing غیرفعال شود.
با این اقدامات، امنیت وبسایت شما در مقابل حملات مختلف افزایش مییابد و اطلاعات حیاتی و مهمترین فایلها مخفی و محافظت شده میشوند.
خب در این مقاله چک لیست کامل امنیت وردپرس رو باهم بررسی کردیم. به جرأت می تونم بگم اگر تمام این نکات چک لیست کامل امنیت وردپرس رو داخل سایتتون انجام دهید احتمال هک شدن و آلود شدن وبسایت شما بسیار پایین است.
درباره اسحاق شفایی
اسحاق شفایی مدیر وبسایت کیت وردپرس و دانشجوی کارشناسی ارشد Computer Science در دانشگاه پادوا ایتالیا هستم. چندین سال است که در حوزه وب فعالیت می کنم و تخصص اصلیم توسعه وب هست همچنین بعد از یادگیری علاقه زیادی به آموزش دادن دارم.
سایر نوشته های اسحاق شفایی
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.