چک لیست کامل امنیت وردپرس جدید

چک لیست کامل امنیت وردپرس 2023 موضوعی است که امروز قصد داریم آن را باهم بررسی کنیم. از اونجایی که امنیت سایت های وردپرسی یکی از مهم ترین کارهایی است که باید انجام بدهید بنابراین شما همیشه باید این چک لیست را بررسی و آپدیت کنید تا مطمئن شوید سایتتان حداقل فاکتورهای امنیتی را رعایت کرده باشد.

چک لیست کامل امنیت وردپرس

در این مقاله قصد دارید حدود 40 فاکتور مهم سایت های وردپرسی را بررسی و توضیح بدیم که اگر سعی کنید همه این فاکتورهای امنیتی را در ساییتتان رعایت کنید هک شدن سایتتان را به حداقل می رسانید.

جای فایل wp-config.php را تغییر دهید

wp-config یکی از مهم‌ترین فایل‌های وردپرس است که حاوی اطلاعاتی از قبیل پیشوند جداول، نام کاربری و رمز عبور پایگاه داده، زبان وردپرس، کلیدهای امنیتی و سایر جزئیات ضروری می‌باشد. این اقدامات امنیتی، به خصوص در چک لیست امنیتی، برای حفاظت از اطلاعات حیاتی و جلوگیری از حملات هک به wp-config حائز اهمیت است.

برای جلوگیری از قرار گرفتن فایل wp-config.php در ریشه (root) به عنوان مکان پیش‌فرض، می‌توانید به راحتی این فایل را به یک پوشه دیگر منتقل کنید. این اقدام نه تنها امنیت سیستم را افزایش می‌دهد بلکه اطلاعات حساس مانند پیکربندی دیتابیس و سایر جزئیات مهم در wp-config را مخفیانه نگه می‌دارد.

برای انجام این کار، به فایل wp-config.php در ریشه سایت خود بروید و روی آن کلیک کنید. سپس گزینه “Move” را انتخاب کنید و فایل را به مقصد مورد نظر در پوشه‌های دلخواه منتقل کنید.

تغییر مجوز دسترسی به فایل wp-config:

در ادامه چک لیست کامل امنیت وردپرس، می‌توانید مجوز دسترسی به فایل wp-config.php را به‌روزرسانی کرده و دسترسی به این فایل را با دقت مدیریت کنید. این کار از طریق پنل کنترل (سی‌پنل) امکان‌پذیر است.

ابتدا وارد پنل کنترل خود شوید و به بخش مربوط به فایل‌ها و دایرکتوری‌ها بروید. پس از یافتن فایل wp-config.php، روی آن راست کلیک کنید. سپس گزینه “Permission” یا “مجوز دسترسی” را انتخاب نمایید.

در پنجره مجوز دسترسی، می‌توانید تنظیمات دقیقی را اعمال کنید. برای افزایش امنیت، توصیه می‌شود مجوز دسترسی را به حالت “خواندن” (Read) تغییر دهید. این کار به کاربران اجازه خواندن اطلاعات فایل را می‌دهد اما امکان تغییر در آن را نخواهند داشت.

از این طریق، حفاظت بیشتری در برابر تغییرات ناخواسته در فایل wp-config.php فراهم خواهید کرد و امنیت سایت خود را بهبود خواهید داد.

تغییر کلیدهای امنیتی (SALT) وردپرس:

یکی از موارد چک لیست کامل امنیت وردپرس برای تقویت امنیت سایت وردپرس خود، تغییر دوره‌ای کلیدهای امنیتی یا SALT ضروری است. این کلیدها در زمان نصب به صورت خودکار ایجاد شده و برای افزایش امنیت و رمزنگاری اطلاعات حساس در فایل wp-config.php استفاده می‌شوند.

برای انجام این کار، می‌توانید به فایل wp-config.php در ریشه سایت خود مراجعه کرده و بخشی که SALT ها در آن قرار دارند را پیدا کنید. سپس، با مراجعه به سایت وردپرس SALT، یک ست فشرده از کلیدهای جدید تولید کنید.

سپس، کلیدهای جدید را به جای کلیدهای قدیمی در فایل wp-config.php جایگزین کنید. این اقدام به سادگی از طریق ویرایش فایل انجام می‌شود. با این تغییرات، اطلاعات ارسالی از وردپرس به سرور به‌طور امن‌تر رمزنگاری می‌شود و خطر حملاتی که از طریق کلیدهای امنیتی ممکن است انجام شوند، به حداقل ممکن می‌رسد.

توجه داشته باشید که این عملیات را با دقت انجام دهید و همواره کلیدهای امنیتی را به صورت دوره‌ای تغییر دهید تا امنیت سایت شما حفظ شود.

فعال کردن احراز هویت دومرحله‌ای برای افزایش امنیت:

احراز هویت دومرحله‌ای یکی از بهترین راهکارها برای افزایش امنیت حساب کاربری شماست. این قابلیت به شما این امکان را می‌دهد که علاوه بر وارد کردن نام کاربری و رمز عبور، یک مرحله دیگر از تأیید هویت را انجام دهید.

برای فعال کردن احراز هویت دومرحله‌ای، می‌توانید از این مراحل پیروی کنید:

1. وارد پنل مدیریت حساب کاربری خود شوید.
2. به بخش “تنظیمات امنیتی” یا “حریم خصوصی” بروید.
3. گزینه “احراز هویت دومرحله‌ای” یا “Two-Factor Authentication” را پیدا کنید.
4. روش‌های احراز هویت دومرحله‌ای را انتخاب کنید، مثلاً از طریق پیامک یا اپلیکیشن‌های احراز هویت.
5. دستورالعمل‌های به‌روزرسانی را دنبال کرده و اطلاعات مورد نیاز را وارد کنید.

حالا هر زمان که وارد حساب کاربری خود می‌شوید، علاوه بر نام کاربری و رمز عبور، باید یک کد احراز هویت دومرحله‌ای را وارد کنید که به تلفن همراه یا ایمیل شما ارسال شده است. این اقدام به شما اطمینان می‌دهد که حساب کاربری شما از لحاظ امنیتی بسیار قوی است و دسترسی به آن بسیار محدود شده است.

تغییر آدرس ورود به پیشخوان در وردپرس:

برای افزایش امنیت و جلوگیری از حملات، تغییر آدرس ورود به پیشخوان وردپرس اقدامی مهم است. این کار را می‌توانید به یکی از دو روش زیر انجام دهید:

1. استفاده از افزونه امنیتی:

• نصب یک افزونه امنیتی مانند “سکوریتی” (Security) که امکان تغییر آدرس ورود به پیشخوان (wp-admin) را فراهم می‌کند.
• پس از نصب افزونه، به بخش تنظیمات امنیتی آن بروید و گزینه‌های مربوط به تغییر آدرس ورود را پیدا کنید.
• آدرس جدید مورد نظر خود را وارد کرده و تغییرات را ذخیره کنید.

1. تغییر نام فایل wp-login.php:

• به فایل منیجر هاست یا FTP خود متصل شوید.
• به دایرکتوری اصلی وب‌سایتتان بروید.
• فایل wp-login.php را پیدا کنید.
• نام فایل را به یک نام دلخواه تغییر دهید، مثلاً my-login.php.
• حالا با استفاده از آدرس جدید (با نام جدید) به پیشخوان وارد شوید، مانند: example.com/my-login.php.

توجه: هنگام انجام این تغییرات، حتماً اطمینان حاصل کنید که دسترسی به وب‌سایت خود را از دست نمی‌دهید و از تغییرات انجام شده پشتیبان گیری کنید.

محدود کردن تعداد ورود کاربران در وردپرس:

برای جلوگیری از حملات بروت فورس و محافظت از حساب کاربری شما در وردپرس، می‌توانید تعداد ورود کاربران را محدود کنید. این کار را می‌توانید با استفاده از افزونه‌ها یا تغییرات در فایل functions.php انجام دهید. در اینجا نحوه اجرای این اقدامات آورده شده است:

استفاده از افزونه:

1. نصب افزونه Limit Login Attempts Reloaded:

• وارد پیشخوان وردپرس شوید.
• به بخش “افزونه‌ها” بروید و “افزودن جدید” را انتخاب کنید.
• در باکس جستجو “Limit Login Attempts Reloaded” را وارد کرده و افزونه را نصب و فعال کنید.

1. تنظیمات افزونه:

• پس از فعالسازی، به بخش “تنظیمات” و سپس “محدود کننده تلاش‌های ورود” بروید.
• تنظیمات مربوط به تعداد تلاش‌ها و زمان مسدودیت را تنظیم کنید.
• تغییرات را ذخیره کنید.

استفاده از functions.php:

در صورت تمایل به اجرای این اقدام بدون استفاده از افزونه، کد زیر را به فایل functions.php قالب وردپرس خود اضافه کنید:

function limit_login_attempts() {
    $login_attempts = 3; // تعداد تلاش‌ها قابل تنظیم است.
    $lockout_duration = 600; // مدت زمان مسدودیت به ثانیه (در اینجا 600 ثانیه یا 10 دقیقه).

    if (isset($_COOKIE['login_attempts'])) {
        $_COOKIE['login_attempts']++;
    } else {
        setcookie('login_attempts', 1, time() + $lockout_duration, '/');
    }

    if ($_COOKIE['login_attempts'] > $login_attempts) {
        header('HTTP/1.1 403 Forbidden');
        echo 'Too many login attempts. Please try again later.';
        exit;
    }
}
add_action('wp_login_failed', 'limit_login_attempts'); // اجرا کردن تابع در صورت شکست ورود.

این کد تعداد تلاش‌های ورود را محدود کرده و اگر کاربر در تعداد مشخصی بار اشتباه نام کاربری یا رمزعبور را وارد کند، به مدت زمان مسدودیت از ورود به حساب کاربری او جلوگیری می‌شود.

از پسورد و نام کاربری ضعیف استفاده نکنید!

برای تقویت امنیت حساب کاربری خود، حائز اهمیت استفاده از نام کاربری و رمزعبور قوی باشد. در زیر، راهکارهایی برای ایجاد اطلاعات ورود امن تر آمده است:

1. نام کاربری:

• اجتناب از استفاده از نام کاربری‌های پیش‌فرض مانند “admin” یا “test”.
• انتخاب یک نام کاربری متنوع و غیرقابل پیش‌بینی با استفاده از حروف، اعداد و نمادها.

1. رمزعبور:

• جلوگیری از انتخاب رمزهای ساده مانند “1234” یا “password”.
• استفاده از ترکیب حروف بزرگ و کوچک، اعداد و نمادها در رمز عبور.
• اجتناب از استفاده از کلمات یا اطلاعات شخصی قابل پیش‌بینی در رمزعبور.
• تعیین یک رمزعبور با حداقل ۱۲ کاراکتر برای افزایش پیچیدگی.

مثال:

• نام کاربری: SecureUser123
• رمزعبور: #Str0ngP@ss!word

با اعمال این اصول، امنیت حساب کاربری شما بهبود یافته و خطر هک شدن سایت به شدت کاهش خواهد یافت.

پنهان کردن نسخه فعلی وردپرس

برای افزایش امنیت سایت و جلوگیری از حملات هک، پنهان کردن ورژن وردپرس از سایت می‌تواند مفید باشد. به منظور اجرای این اقدام، می‌توانید از روش‌های زیر استفاده کنید:

1. استفاده از افزونه امنیتی:
   نصب یک افزونه امنیتی مانند “Hide My WP” یا “WP Hide & Security Enhancer” می‌تواند به شما کمک کند ورژن وردپرس را مخفی کنید. این افزونه‌ها قابلیت‌های مختلفی ارائه می‌دهند که جلوی شناسایی ورژن را می‌گیرند.
2. تغییر نام فایل‌ها و مسیرها:
   با تغییر نام فایل‌ها و مسیرهای مرتبط با وردپرس، می‌توانید ورژن را پنهان کنید. به عنوان مثال، نام پوشه wp-content و فایل‌هایی که حاوی اطلاعات ورژن هستند را تغییر دهید.
3. اصلاح فایل functions.php:
   با ویرایش فایل functions.php قالب فعلی یا افزونه‌های فعال، می‌توانید کدهایی را اضافه کنید تا اطلاعات ورژن را پنهان کند. به عنوان مثال، اضافه کردن کدهایی مانند زیر:

   remove_action('wp_head', 'wp_generator');

توجه داشته باشید که قبل از اعمال تغییرات، بهتر است یک پشتیبان از سایت خود ایجاد کرده و اطمینان حاصل کنید که تغییرات به درستی اعمال شده‌اند و به کارکرد سایت آسیبی نرسیده است.

غیرفعال کردن Reset API در وردپرس

برای افزایش امنیت سایت و جلوگیری از دسترسی به داده‌های وردپرس از طریق REST API، می‌توانید اقدامات زیر را انجام دهید:

1. استفاده از افزونه امنیتی:
   نصب یک افزونه امنیتی مثل “Disable REST API” می‌تواند به شما کمک کند REST API را غیرفعال کنید. این افزونه‌ها گاهی اوقات گزینه‌های خاصی را برای کنترل دسترسی به REST API فراهم می‌کنند.
2. تغییر تنظیمات فایل functions.php:
   با ویرایش فایل functions.php قالب یا افزونه‌های فعال، می‌توانید REST API را به صورت دستی غیرفعال کنید. این کار با اضافه کردن کد زیر امکان‌پذیر است:

   add_filter('rest_enabled', '__return_false');
   add_filter('rest_jsonp_enabled', '__return_false');

3. استفاده از فایروال:
   تنظیمات فایروال می‌تواند کمک کند REST API را به طور کلی یا برای برخی از منابع غیرفعال کنید. این کار به وسیله افزودن قوانین در فایروال امکان‌پذیر است.
4. تغییر تنظیمات فایل .htaccess:
   افزودن قوانین به فایل .htaccess نیز یک راهکار دیگر است. به عنوان مثال:

   <IfModule mod_rewrite.c>
   RewriteEngine On
   RewriteRule ^wp-json/ - [L]
   </IfModule>

توجه داشته باشید که قبل از اعمال تغییرات، بهتر است یک پشتیبان از سایت خود ایجاد کنید و اطمینان حاصل کنید که تغییرات به درستی اعمال شده‌اند و به کارکرد سایت آسیبی نرسیده است.

از نسخه اصلی وردپرس استفاده کنید

برای افزایش امنیت سایت خود، می‌توانید از روش‌های زیر برای دانلود و نصب وردپرس استفاده کنید:

1. استفاده از سایت رسمی:
   برای دانلود وردپرس، بهتر است همیشه از سایت رسمی WordPress یعنی wordpress.org استفاده کنید. آدرس دقیق فایل دانلود وردپرس به این شکل خواهد بود:

   https://wordpress.org/latest.zip

2. استفاده از داشبورد وردپرس:
   شما همچنین می‌توانید از داشبورد وردپرس خود برای به‌روزرسانی نسخه استفاده کنید. در بخش “Dashboard” به “Updates” بروید و گزینه “Update Now” را انتخاب کنید.
3. استفاده از افزونه‌های مدیریت افزونه و قالب:
   برخی افزونه‌های مدیریت افزونه و قالب به شما این امکان را می‌دهند که وردپرس را مستقیماً از داخل داشبورد وردپرس به‌روزرسانی یا نصب کنید.
4. استفاده از افزونه‌های امنیتی:
   افزونه‌های امنیتی مانند Wordfence یا Sucuri نیز ممکن است قابلیت‌هایی برای مدیریت به‌روزرسانی‌ها و دانلود فایل‌های امن داشته باشند.

با استفاده از روش‌های معتبر برای دانلود و نصب وردپرس، می‌توانید از امنیت سایت خود اطمینان حاصل کنید و جلوی ورود مشکلات احتمالی امنیتی را بگیرید.

بروزرسانی وردپرس یادتون نره

ویرایش و بهبود امنیت وب‌سایت یکی از مسائل مهم در مدیریت یک سایت وردپرس است. به طور کلی، می‌توانید با رعایت مراحل زیر امنیت سایت وردپرس خود را افزایش دهید:

1. بروزرسانی و نگهداری منظم:

• همیشه از آخرین نسخه وردپرس استفاده کنید.
• قالب و افزونه‌های خود را نیز به‌روزرسانی کنید.
• از افزونه‌های معتبر و تازه‌ترین نسخه‌های آنها استفاده کنید.

دسترسی کاربران را محدود کنید

ترتیب دسترسی‌ها برای کاربران را محدود سازید. در وردپرس، انواع نقش‌های کاربری از جمله مدیر، نویسنده، مشترک و سایران، سطح‌های مختلف دسترسی را دارند. به عنوان مثال، نقش نویسنده اجازه نوشتن و انتشار پست‌ها را دارد، اما نمی‌تواند افزونه‌ها را نصب یا حذف کند. از سوی دیگر، نقش مدیر توانایی تغییر در تمامی بخش‌های سایت را دارد.

برای تقویت امنیت سایت، اقدام به بررسی کاربران با نقش مدیر کنید و دسترسی‌هایی که به آن‌ها اختصاص داده شده و شما آنها را شناخته‌اید را حذف کنید. این اقدام مهمی است که باید هم‌اکنون در لیست امنیتی شما جای بگیرد.

افزونه امنیتی از نان شب واجب تره

یک افزونه امنیتی را نصب کنید، گام مهمی در تقویت امنیت سایت شماست. افزونه‌های امنیتی مانند Wordfence و iThemes با ارائه ویژگی‌هایی چون جلوگیری از حملات بروت فورس، شناسایی و مسدود کردن IPهای مشکوک، تشخیص بدافزارها، اعمال احراز هویت دو مرحله‌ای، اجبار به استفاده از رمز عبورهای قوی، غیرفعال سازی آپلود کدها و سایر اقدامات امنیتی، به شما کمک می‌کنند تا از حملات هکرها محافظت کرده و سطح امنیتی سایت خود را ارتقا دهید.

ssl را داخل سایت فعال کنید

SSL یک لایه امان اضافی برای سایت شما فراهم می‌کند. با اجرای SSL، ارتباط بین شما و کاربران به صورت امن برقرار می‌شود و این موضوع موجب افزایش اعتماد کاربران، بهبود امنیت و تاثیر مثبت در رتبه‌بندی سئو می‌شود. فعال کردن SSL بسیار ساده است و می‌توانید به راحتی از نسخه‌ی http به https تغییر دهید.

قابلیت ویرایش قالب و افزونه هار را در سایت غیرفعال کنید

برای غیرفعال کردن امکان ویرایش تم و پلاگین‌ها در وردپرس، شما می‌توانید از تنظیمات wp-config استفاده کنید. برای این کار، به مراحل زیر پیشنهاد می‌شود:

1. وارد شوید به فایل wp-config.php که در ریشه وب‌سایت وردپرس قرار دارد.
2. باز کنید این فایل با یک ویرایشگر متنی مانند Notepad یا Visual Studio Code.
3. در انتهای فایل، خطوط زیر را اضافه کنید:

define('DISALLOW_FILE_EDIT', true);

4. ذخیره کرده و تغییرات را اعمال کنید.

با اضافه کردن این خط کد، شما امکان ویرایش تم و پلاگین‌ها از طریق مدیریت وردپرس را غیرفعال می‌کنید. حالا فایل wp-config.php باید مشابه به شکل زیر باشد:

<?php
/**
 * The base configuration for WordPress
 *
 * The wp-config.php creation script uses this file during the
 * installation. You don't have to use the web site, you can
 * copy this file to "wp-config.php" and fill in the values.
 *
 * This file contains the following configurations:
 *
 * * MySQL settings
 * * Secret keys
 * * Database table prefix
 * * ABSPATH
 *
 * @link https://codex.wordpress.org/Editing_wp-config.php
 *
 * @package WordPress
 */

// ... کدهای دیگر ...

define('DISALLOW_FILE_EDIT', true);

/* That's all, stop editing! Happy publishing. */

با این تغییر، افراد دیگر نمی‌توانند از طریق مدیریت وردپرس تغییراتی در فایل‌های تم یا پلاگین‌ها ایجاد یا اعمال کنند.

همچنین اگر دوست دارید بیشتر در مورد کدهای افزونه نویسی و طراحی قالب بدونید می تونید یکسری به دوره های جامع آموزش پلاگین نویسی و آموزش طراحی قالب بزنید.

هر از گاهی رمز و پسورد رو تغییر دهید

تغییر دوره‌ای نام کاربری و رمز عبور یکی از اقدامات امنیتی مهم در مدیریت یک وب‌سایت است. برای انجام این کار در وردپرس، مراحل زیر را دنبال کنید:

1. تغییر رمز عبور:

• وارد پیشخوان وردپرس شوید.
• از منوی سمت چپ، به قسمت “کاربران” (Users) بروید.
• بر روی حساب کاربری خود کلیک کنید.
• در صفحه ویرایش حساب کاربری، به قسمت “تغییر رمز عبور” بروید.
• یک رمز عبور قوی و مناسب انتخاب کنید و آن را ذخیره کنید.

1. تغییر نام کاربری:

• برخی از افزونه‌های امنیتی ممکن است این قابلیت را در اختیار شما قرار دهند. یک افزونه امنیتی نظیر Wordfence یا Sucuri Security را نصب کرده و دستورالعمل‌های ارائه شده توسط این افزونه را دنبال کنید.
• در صورتی که افزونه‌های مشابهی نصب نکرده‌اید، به طور پیش‌فرض وردپرس این امکان را به صورت مستقیم ارائه نمی‌دهد. برای تغییر نام کاربری باید از روش‌های متنوعی مانند افزونه‌های مدیریت کاربران استفاده کنید یا از طریق دستکاری دیتابیس این تغییر را اعمال کنید. توجه داشته باشید که دستکاری دیتابیس باید با دقت انجام شود و همیشه قبل از هر تغییری، پشتیبان‌گیری از دیتابیس انجام شود.

با انجام این مراحل، امنیت حساب کاربری شما در وردپرس افزایش می‌یابد. همچنین، مواردی نظیر استفاده از افزونه‌های امنیتی و بروزرسانی منظم وردپرس و پلاگین‌ها و تم‌ها نیز از اهمیت بالایی برخوردارند.

غیرفعال کردن XML-RPC:

برای غیرفعال کردن XML-RPC در وردپرس، می‌توانید از افزونه‌های امنیتی یا افزودن کد به فایل functions.php استفاده کنید. یکی از راه‌ها این است که کد زیر را به فایل functions.php اضافه کنید:

// غیرفعال کردن XML-RPC
add_filter('xmlrpc_enabled', '__return_false');

با اضافه کردن این کد، XML-RPC در وردپرس غیرفعال می‌شود.

استفاده از Captcha:

برای استفاده از Captcha در وردپرس، می‌توانید از افزونه‌های Captcha یا reCAPTCHA از گوگل استفاده کنید. گام‌های عمل به شرح زیر است:

1. ساخت یک حساب reCAPTCHA:

• به سایت reCAPTCHA بروید.
• بر روی “Admin Console” کلیک کنید و وارد حساب Google خود شوید یا یک حساب جدید ایجاد کنید.
• یک پروژه جدید ایجاد کنید و نوع reCAPTCHA v2 Checkbox را انتخاب کنید.

1. دریافت کد API:

• در بخش “Keys”، کلید‌های Site و Secret خود را دریافت کنید.

1. نصب و تنظیم افزونه Captcha:

• وارد داشبورد وردپرس شوید.
• به بخش “افزونه‌ها” بروید و یک افزونه Captcha نصب و فعال کنید.
• در تنظیمات افزونه، کلید‌های Site و Secret را وارد کنید.

استفاده از افزونه‌های Captcha به شما این امکان را می‌دهد که در فرم‌ها و صفحات وردپرس خود از تصویر تشخیصی یا reCAPTCHA برای جلوگیری از حملات هکرها و ربات‌ها استفاده کنید.

تغییر پیشوند جداول:

پیشوند جداول در وردپرس از پیش‌فرض “wp_” استفاده می‌کند. اگر بخواهید پیشوند جداول را تغییر دهید، باید در هنگام نصب وردپرس یا حتی بعد از نصب، از گزینه‌های مربوطه استفاده کنید. اما تغییر پیشوند جداول یک فعل حساس است و نیاز به دقت دارد، زیرا ممکن است تغییر آن به برخی مشکلات منجر شود.

تغییر پیشوند در هنگام نصب وردپرس:

هنگام نصب وردپرس، در مرحله تنظیمات دیتابیس، شما می‌توانید پیشوند جداول را تغییر دهید. مراحل زیر را دنبال کنید:

1. وارد پوشه‌ی وردپرس شوید.
2. فایل wp-config.php را با یک ویرایشگر متنی باز کنید.
3. خطوط مربوط به تنظیمات دیتابیس را پیدا کنید.
4. پیشوند جداول را تغییر دهید. به عنوان مثال، اگر می‌خواهید پیشوند را به “newprefix_” تغییر دهید: $table_prefix = 'newprefix_';
5. فایل را ذخیره کرده و نصب وردپرس را ادامه دهید.

تغییر پیشوند پس از نصب:

اگر وردپرس شما قبلاً نصب شده است و می‌خواهید پیشوند جداول را تغییر دهید، از افزونه‌هایی مانند “Better Search Replace” استفاده کنید. این افزونه به شما این امکان را می‌دهد که به راحتی پیشوند جداول را در پایگاه داده‌ی وردپرس تغییر دهید.

بکاپ‌گیری روزانه:

برای بکاپ‌گیری روزانه از سایت وردپرس، می‌توانید از راه‌های زیر استفاده کنید:

1. استفاده از افزونه‌ها:

• افزونه‌های متعددی برای بکاپ‌گیری از وردپرس وجود دارند، از جمله UpdraftPlus و BackupBuddy. این افزونه‌ها به شما امکان مدیریت و برگرداندن بکاپ‌هایتان را می‌دهند.

1. استفاده از ابزارهای هاستینگ:

• بسیاری از سرویس‌های هاستینگ امکان بکاپ‌گیری از سایت‌های وردپرس را ارائه می‌دهند. از پنل کنترل هاست خود یا از ابزارهایی مانند cPanel یا Plesk استفاده کنید.

1. استفاده از اسکریپت‌های دستی:

• اگر ترجیح می‌دهید از روش دستی استفاده کنید، می‌توانید از دستورات MySQL برای بکاپ گیری از دیتابیس و از FTP برای بکاپ گیری از فایل‌ها استفاده کنید.

در هر صورت، اطمینان حاصل کنید که بکاپ‌هایتان به صورت منظم انجام می‌شوند و قابل بازگردانی هستند.

دانلود از منابع معتبر:

• قالب از سایت رسمی:
  اگر یک قالب خاص را انتخاب کرده‌اید، بهترین راه از سایت رسمی توسعه‌دهنده آن یا از فروشگاه‌های معتبری مانند ThemeForest خریداری کنید. اینجاست که شما از نسخه اصلی و بروز قالب بهره‌مند می‌شوید.
• استفاده از منابع معتبر:
  اگر از یک منبع غیر از سایت رسمی بخواهید قالبی را دریافت کنید، اطمینان حاصل کنید که از یک منبع معتبر، نظیر WordPress.org یا سایت‌های مطرح دیگر، استفاده می‌کنید.

۲. بروزرسانی قالب:

• بروزرسانی به ورژن جدید:
  همانطور که اشاره کردید، بروزرسانی قالب به ورژن‌های جدید بسیار اهمیت دارد. این بروزرسانی‌ها شامل رفع باگ‌ها، بهبود امنیت، و اضافه شدن ویژگی‌های جدید می‌شوند. به صورت دوره‌ای قالب‌های خود را بروز کنید.

حذف قالب‌های بدون استفاده:

• به حداقل رسانید:
  قالب‌های بدون استفاده را حذف کنید تا از منابع سرور و فضا بهینه‌سازی شود. این عمل همچنین احتمال وقوع مشکلات امنیتی را کاهش می‌دهد.
• بررسی امنیت:
  اگر یک قالب را غیرفعال کرده‌اید و از آن استفاده نمی‌کنید، بهتر است همواره آن را حذف کنید تا از لحاظ امنیتی هم خیالتان راحت باشد.

با انجام این اقدامات، وب‌سایت شما از نظر امنیتی بسیار بهتر خواهد بود و احتمال مشکلاتی مانند نفوذ یا کدهای مخرب کاهش پیدا می‌کند.

بروزرسانی افزونه‌ها:

بروزرسانی افزونه‌های وردپرس بسیار اهمیت دارد تا بهترین امکانات، بهینه‌سازی‌ها، و رفع مشکلات امنیتی را داشته باشید. مراحل بروزرسانی به صورت زیر است:

1. ورود به داشبورد وردپرس:

• به داشبورد وردپرس خود وارد شوید.

1. بخش افزونه‌ها:

• در منوی سمت چپ، به “افزونه‌ها” بروید.

1. بررسی بروزرسانی‌ها:

• در بخش افزونه‌ها، افزونه‌هایی که نیاز به بروزرسانی دارند، با یک نماد وضعیت خاص نشان داده می‌شوند. از بخش “بروزرسانی‌ها” می‌توانید این اطلاعات را ببینید.

1. بروزرسانی انتخابی یا همگانی:

• بر روی گزینه “بروزرسانی همگانی” کلیک کنید تا همه‌ی افزونه‌ها به آخرین نسخه بروزرسانی شوند.
• یا اگر تمایل به بروزرسانی افزونه‌ها به صورت جداگانه دارید، بر روی “بروزرسانی” زیر هر افزونه کلیک کنید.

1. تصدیق برخورداری از بکاپ:

• قبل از بروزرسانی، بهتر است از سایت خود بکاپ بگیرید. افزونه‌های بکاپ مانند UpdraftPlus برای این منظور مفید هستند.

دانلود از منابع معتبر:

• استفاده از افزونه‌های معتبر:
• افزونه‌های وردپرس را از منابع معتبر و مستقیماً از مخزن افزونه‌های وردپرس یا از سایت رسمی توسعه‌دهنده آنها دریافت کنید.
• استفاده از فروشگاه‌های معتبر:
• اگر نسخه پولی افزونه را می‌خواهید، از فروشگاه‌های امن و معتبر مانند CodeCanyon استفاده کنید.

جایگزینی افزونه‌های قدیمی:

• بررسی نیازها:
• بررسی کنید که آیا افزونه‌هایی که مدت زیادی است بروزرسانی نشده‌اند، هنوز نیازمندی شما هستند یا خیر.
• جستجوی جایگزین:
• در صورت لزوم، به دنبال افزونه‌های جدید و بروز با ویژگی‌های مشابه بگردید.
• آزمایش جدید:
• هر افزونه جدید را در یک محیط تستی آزمایش کنید تا از سازگاری و عملکرد صحیح آن اطمینان حاصل کنید.

همیشه قبل از هر تغییر مهمی مثل بروزرسانی یا تغییر افزونه، از بکاپ گیری کامل اطمینان حاصل کنید تا در صورت وقوع هر مشکلی، بتوانید به حالت قبلی بازگردید.

نکته مهم:

از هاستینگ معتبر و امن استفاده کنید

۱. اقدامات امنیتی:

• Firewall:
  اطمینان حاصل کنید که شرکت هاستینگ از فایروال نرم‌افزاری و سخت‌افزاری قوی برخوردار است. این ویژگی می‌تواند حملات مخرب را مهار کند.
• SSL رایگان:
  بررسی کنید که آیا شرکت هاستینگ SSL رایگان ارائه می‌دهد یا خیر. این ویژگی مهم برای افزایش امانت و اعتماد وب‌سایت شما است.
• پشتیبانی از CDN:
  حضور یک CDN (شبکه توزیع محتوا) می‌تواند سرعت و امنیت وب‌سایت را افزایش دهد.

۲. بکاپ روزانه:

• استفاده از بکاپ‌های روزانه:
  اطمینان حاصل کنید که شرکت هاستینگ بکاپ روزانه از سایت‌های کاربران می‌گیرد. این کار می‌تواند در صورت وقوع مشکلات به سرعت داده‌ها را بازیابی کند.

۳. مقابله با حملات:

• مقاومت در برابر DDoS:
  یک شرکت هاستینگ قوی باید دارای تکنولوژی مقاومت در برابر حملات DDoS باشد تا سایت شما در مقابل افزایش ترافیک و حملات حفاظت شود.

۴. تنظیمات CPanel:

• قابلیت‌های امنیتی در CPanel:
  بررسی کنید که آیا پنل مدیریتی شما (مثل CPanel) دارای ابزارهایی مانند Viruse Scanner، IP Block یا Mod Security برای افزایش امانت است.

۵. آنتی اسپم و آنتی ویروس:

• محافظت در برابر اسپم و ویروس:
  اطمینان حاصل کنید که شرکت هاستینگ از نرم‌افزارهای مختلف جلوگیری از اسپم و ویروس‌ها استفاده می‌کند.

۶. هاست اختصاصی:

• توصیه به هاست اختصاصی:
  در صورت امکان و حساسیت بالا، توصیه می‌شود هاست اختصاصی را در نظر بگیرید. این نوع هاست امنیت و سرعت بیشتری را فراهم می‌کند.

۷. پشتیبانی قوی:

• پشتیبانی مؤثر:
  بررسی کنید که شرکت هاستینگ پشتیبانی قوی و تیم تخصصی برای حل مشکلات فوری دارد یا خیر. این مهم است زیرا در صورت بروز هر گونه مشکل، به یک تیم قوی وابسته خواهید بود.

انتخاب یک شرکت هاستینگ با این ویژگی‌ها، به شما کمک می‌کند تا وب‌سایت شما در برابر حملات مخرب محافظت شده و بهترین سرویس را ارائه دهد.

تغییر نام و مخفی کردن WP-Content:

1. تغییر نام پوشه wp-content:

• می‌توانید نام پوشه wp-content را به یک نام دلخواه تغییر دهید. این کار باعث می‌شود که هکرها به راحتی به پوشه مربوطه دسترسی نیاز نداشته باشند.
• برای این کار، پوشه wp-content را به نام دیگری تغییر نام دهید و سپس این تغییرات را در فایل wp-config.php و functions.php اعمال کنید.

1. تغییر مسیر پوشه wp-content:

• به جای تغییر نام، می‌توانید مسیر پوشه wp-content را به مسیر دیگری انتقال دهید. این اقدام باعث می‌شود که محل قرارگیری فایل‌ها و پوشه‌های مهم وب‌سایت شما مخفی بماند.

غیرفعال کردن اجرای فایل‌های PHP:

1. استفاده از فایل htaccess:

• برای جلوگیری از اجرای فایل‌های PHP در یک پوشه خاص (برای مثال, wp-content/uploads/):
  • درون این پوشه، یک فایل با نام .htaccess بسازید یا ویرایش کنید.
  • کد زیر را درون این فایل قرار دهید:
  <Files *.php> deny from all </Files>
• این کد جلوگیری از اجرای هر فایل PHP درون این پوشه را فراهم می‌کند.

غیرفعال کردن Directory Browsing:

1. استفاده از فایل htaccess:

• برای غیرفعال کردن Directory Browsing در پوشه wp-content/uploads/:
  • درون این پوشه، یک فایل با نام .htaccess بسازید یا ویرایش کنید.
  • کد زیر را درون این فایل قرار دهید:
  Options -Indexes
• این کد باعث می‌شود که هنگام ورود به این پوشه از طریق مرورگر، لیست محتوای آن نمایش داده نشود و Directory Browsing غیرفعال شود.

با این اقدامات، امنیت وب‌سایت شما در مقابل حملات مختلف افزایش می‌یابد و اطلاعات حیاتی و مهم‌ترین فایل‌ها مخفی و محافظت شده می‌شوند.

خب در این مقاله چک لیست کامل امنیت وردپرس رو باهم بررسی کردیم. به جرأت می تونم بگم اگر تمام این نکات چک لیست کامل امنیت وردپرس رو داخل سایتتون انجام دهید احتمال هک شدن و آلود شدن وبسایت شما بسیار پایین است.