۱۰ راهکار ساده و مفید برای افزایش امنیت وب سایت

هک شدن یک وبساتی که شما سالها برای آن زحمت کشیده اید یک واقعیت غم انگیزی است بنابراین امنیت وبسایت وردپرس یک امر ضروری میباشد. هنگامی که شما خود یک وبسایت وردپرس را ایجاد میکنید شما باید یک نام کاربری و رمز عبور که به سختی بتوان آن را حدس زد برای سایت خود انتخاب کنید.

در این آموزش ما برای شما چند راه حل موثر برای بالا بردن امنیت وبسایت ارائه خواهیم داد که همه کاربران بتوانند از آن استفاده کنند.

۱: غیر فعال کردن ویرایش پوسته ها و افزونه های وردپرس

یکی از ویژگی های مفید وردپرس این است که به صاحبان وب سایت اجازه انعطاف پذیری بیشتری میدهد تا آنها بتوانند به صورت دلخواه تم ها و افزونه های خود را از طریق داشبورد وردپرس ویرایش کنند. اما این ویژگی در بیشتر وبسایت ها در حال لغو شدن است. با استفاده از این ویژگی که یک خطای جزئی است ممکن است سایت شما سقوط کرده و هکر ها به راحتی بتوانند رمزهای شما را حدس زده و وب سایت شما را هک کنند. بنابراین شما میتوانید خود با غیر فعال کردن افزونه ها و ویرایشگر تم ها، از تغییرات احتمالی جلوگیری کنید.

برای انجم این کار کد زیر را در فایل wp-config.php قرار دهید:

define( 'DISALLOW_FILE_EDIT', true );

۲: فعال کردن Two-Factor Authentication ( ورود دو مرحله ای )

استفاده از Two-factor authentication یکی از قابل اطمینان ترین راه حل ها برای محافظت از حساب های آنلاین شما میباشد. در حالی که وردپرس استفاده از ورود دو مرحله ای را ضروری نمیداند در هر صورت شما میتوانید برای استفاده از ورود دو مرحله ای در وبلاگ خود افزونه های زیر را نصب و فعال نمایید:

• Google Authenticator
• Authy
• Clef
• Rublon

۳: محدود کردن ورود برای تلاش های ناموفق

راه های بسیاری وجود دارد که هکر ها بتوانند به وب سایت شما دسترسی داشته باشند و یکی از رایج ترین تکنیک های مورد استفاده حمله bruteforce میباشد. یک هکر سعی می کند ترکیبی از نام کاربری و کلمه عبور را برای ورود به وب سایت شما بارها و بارها استفاده کند تا با موفقیت وارد وب سایت شما شود.

از آنجایی که همه ما میدانیم وردپرس به طور پیش فرض در برابر این حملات محافظت نمی شود بنابراین شما باید از افزونه های خاص برای این مورد استفاده کنید تا دسترسی  هکر ها به وب سایت خود را کاهش دهید. نام این افزونه Jetpack است که میتوانید از وب سایت شما در برابر حملات Bruteforce محافظت کند.

۴: اسکن کردن وبسایت به صورت منظم

فایل های تم ها، افزونه ها، لینک ها، و دیگر عناصر میتوانند به ظاهر برای دسترسی به وبسایت شما بی ضرر باشد بنابراین قبل از انجام هر اقدامی در ابتدا برای وبلاگ خود یک افزونه اسکن امنیتی نصب نمایید تا به صورت منظم وبلاگ شما را اسکن نماید و اگر فایل شما تغییر داده شود به شما اطلاع دهد.

یکی از بهترین افزونه ها برای انجام این کار افزونه اسکن امنیتی Wordfence میباشد. علاوه بر این شما میتوانید هم به صورت دستی و هم به صورت خودکار اسکن وبسایت خود را انجام دهید. آن نیز هنگامی که فعالیت های مشکوکی باشد به شما اطلاع میدهد.

دیگر افزونه هایی که با استفاده از آنها میتوانید وب سایت خود را عوامل مخرب محافظت کنید:

• Sucuri Security Scanner
• Acunetix WP Security
• iThemes Security (formerly known as “Better WP Security”)

۵: تغییر دادن هاست خود

تحقیقات نشان میدهد که ۴۰ درصد از وبسایت های وردپرسی از طریق آسیب پذیری امنیتی بر روی پلت فرم های هاست های وردپرس هک میشوند. این مورد هک خیلی بیشتر از هک از طریق رمز عبور میباشد. هاست شما نقش مهمی در هک شدن و یا نشدن وب سایت شما دارد پس شما باید در انتخاب هاست خود نیز اطمینان حاصل نمایید.

۶ : مخفی کردن شماره نسخه وردپرس خود

از آنجایی که وردپرس به صورت پیش فرض شماره نسخه خود را نمایش میدهد این امر باعث میشود که به راحتی پیگیری کرد که چگونه بسیاری از وبسایت های وردپرس فعال هستند. با این حال، این هم می تواند یک منبع عظیمی از مشکل باشد هکر ها و ربات ها میتوانند شماره نسخه وردپرس شما را هدف قرار داده و از آن سوء استفاده کنند. شما به راحتی می توانید این مشکل را با پنهان کردن شماره نسخه وردپرس حل کنید برای پنهان کردن شماره نسخه وردپرس خود، به سادگی کد زیر به فایل functions.php خود را اضافه کنید:

 add_filter( 'the_generator', '__return_null' );

۷: غیر فعال کردن گزارش خطای PHP

هنگامی که یک افزونه یا یک تم وردپرس به درستی کار نمیکند یک گزارش خطای PHP نمایش داده میشود با این حال در این مزیت یک ضعف نهفته است: وقتی که گزارش خطای PHP نمایش داده میشود این گزارش خطا شامل تمام مسیر سرور شما میباشد و شامل اطلاعاتی میباشد که میتوانند برای سوء استفاده هکر ها مورد استفاده قرار گیرد. شما می توانید با غیرفعال کردن گزارش خطا PHP  از وب سایت خود محافظت کنید  برای انجام این کار کد زیر را به فایل wp-config.php خود را اضافه کنید:

error_reporting(0);
@ini_set(‘display_errors', 0);

۸: کار بر روی فایل های دسترسی وردپرس خودتان

وقتی نوبت به پیشگیری سایت وردپرس خود از سوء استفاده امنیتی می آید، ضروری است که از مجوز های فایل های دسترسی اطمینان حاصل کنید. این عمل باعث میشود که دسترسی هکر ها به افزونه ها و تم ها و یا فایل های سرور وب سایت شما دشوار باشد اطمینان حاصل کنید که:

• پوشه دسترسی وردپرس ۷۵۰  یا ۷۵۵ تعیین شده است.
• مجوز های فایل های دسترسی ۶۴۰یا ۶۴۴ تعیین شده است.
• دسترسی wp-config.php   ، ۶۰۰ تنظیم شده است.

۹: اطمینان از پشتیبان گیری منظم

حتی وب سایت های بزرگ با یک تیم از کارشناسان امنیتی و مشاوران هک، باید به صورت منظم از وب سایت خود نسخه پشتیبان تهیه نمایند این عمل میتواند وب سایت شما را ۹۹٫۹٪  قوی تر بسازد.

بنابراین بهترین امنیت شما در برابر حمله هکر ها تهیه نسخه پشتیان خوب از وب سایت خودتان میباشد. مطمئن شوید که از وب سایت خود به صورت منظم در صورت امکان به صورت روزانه نسخه پشتیبان تهیه نمایید با تهیه نسخه پشتیبانی اگر وب سایت شما هک شده باشد شما میتوانید دوباره فایل ها ذخیره شده خود را بازگردانید.

برخی از بهترین افزونه های پشتیبان گیری که شما میتوانید از آنها استفاده کنید:

• BackUpWordPress
• Ready! Backup
• VaultPress
• BackupBuddy

۱۰: محدود کردن دسترسی به صفحه ورود شما

یک راه بسیار آسان و قابل اعتماد برای محافظت از وب سایت خود در برابر هکرها به طور کامل مسدود کردن دسترسی به wp-admin و فایل wp-login.php صفحه خودتان میباشد. تنها در صورتی که  IP  تغییر نمی کند میتوانید از این راه حل استفاده کنید.

برای محدود کردن دسترسی به صفحه ورود خود، کد زیر را در فایل .htaccess خود قرار دهید:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^Your IP address 1$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>