آموزش کامل راه های جلوگیری از هک شدن وبسایت وردپرسی

هک چیست؟ و هک شدن وبسایت به چه معنا میباشد؟

در حالت کلی و به زبان ساده دسترسی به محیط شخصی و مدیریتی شما در هر سیستم را هک میگویند و در واقع سیستم شما هک شده است. هک وبسایت نیز به این صورت میباشد هر کس که به صورت غیر قانونی به سیستم مدیریت محتوای شما دسترسی داشته باشد در واقع سیستم شما هک شده است.

علائم یک وبسایت هک شده؟

هکرها معمولا به دلیل نشان دادن قدرت و دانش خود یک سیستم را هک میکنند که در این حالت معمولا یک پیام در صفحه اصلی سایت نمایش میدهند یا سایت شما را به یک سایت دیگر ریدایرکت میکنند. ولی هکرهایی نیز هستند که میخواهند از فایل های شما استفاده کرده یا سایت شما را کلا تخریب کنند، این هکر ها معمولا از طرف همکاران یا آشنایان شما میباشند پس دقت کنید در این حالت معمولا خود را به عنوان یک کاربر معرفی کرده و بعد از هک کردن سیستم، خود را به عنوان مدیر سایت معرفی میکنند یا دسترسی خود را افزایش میدهند تا از فایل های شما استفاده کنند پس همیشه کاربران و شناسنامه خود را در پیشخوان وردپرس چک کنید.
نوشته ها و برگه های خود را چک کنید که آخرین بازدید از طرف چه کسی میباشد یا ایمیل های نامشخص که به مدیر ارسال میشود. هر تغییر لحظه ای در سایت خود را بررسی کرده و فایل های اصلی وردپرس را بازرسی کنید تا کد مخربی در آن وجود نداشته باشد چون هکر ها خبر نمیکنند پس هوشیار باشید.

 

راه های جلوگیری از هک شدن وبسایت

هک وبسایت یک امر بسیار مهمی میباشد که باید به آن توجه بسیاری شود چون امکان دارد هر وبسایتی که میشناسید هک شود پس نگران نباشید و کارهای پیشگیری هک وبسایت را انجام دهید تا درصد هک وبسایت شما به حداقل برسد. کارهای بسیاری در امر جلوگیری از هک وبسایت وجود دارد که هر یک از آن ها به نوبه خود بسیار مهم میباشد پس سعی کنید همه راه های ممکن را ببندید تا وبسایت شما هک نشود یا حداقل هک کردن وبسایت شما آنقدر سخت باشد تا هر کسی نتواند آن را هک کند.

اگر راه های پیشگیری از هک وبسایت در این آموزش را انجام دهید نگران هک شدن وبسایت خود نباشید. راه های بیشماری برای جلوگیری از هک وبسایت وجود دارد که شما تقریبا با آن ها آشنایی نسبی دارید پس هر کار کوچکی که احساس میکنید به سایت شما کمک میکند را روی سایت خود پیاده کنید.

– – – – – – – – – – کارهایی که قبل از نصب وردپرس یا قالب باید انجام داد – – – – – – – – – –

۱- انتخاب یک هاست قدرتمند و معتبر:

از یک شرکت معتبر هاست قدرتمند تهیه کنید چون هر کاری که روی قالب یا وردپرس خود برای جلوگیری از هک انجام دهید باز هم از طرف هاست هک خواهید شد پس در انتخاب شرکت هاستینگ دقت کنید. این را هم در نظر داشته باشید پول زیاد دلیل بر خوب و قوی بودن هاست نمیباشد شما قبل از خرید باید دقت کنید که رم و مموری هاست شما چقدر است یا در هر ثانیه چه تعداد کاربر میتواند به صورت همزمان در سایت شما فعالیت کند یا بکاپ برداری از سرویس شما به چه صورت خواهد بود.
پس این موارد را به عنوان سوالات قبل از خرید هاست در نظر داشته باشد.

۲- انتخاب رمز ورود بسیار قوی برای ورود به پنل کاربری هاستینگ و دسترسی cpanel:

بعد از خرید هاست، رمز ورود خود را به سخت ترین رمز ورود ممکن تغییر دهید تا براحتی امکان حدس یا یادداشت آن وجود نداشته باشد از انتخاب تاریخ تولد، کد ملی، شماره شناسنامه یا هر رمز دیگر که قابل حدس باشد خودداری کنید. رمز هاست خود را به هیچ کس حتی پشتیبان قالب یا شخص دیگری ندهید و در صورت نیاز فقط دسترسی cpanel را برای کسانی که به آن ها اطمینان دارید ارسال کنید و بعد از اتمام کار رمز ورود cpanel را تغییر دهید.

۳- دانلود وردپرس از مرجع اصلی یعنی مخزن وردپرس ( wordpress.org ):

نسخه های جدید وردپرس برای نصب کردن را فقط از مخزن وردپرس دانلود کنید چون ممکن است سایت های دیگر داخل فایل وردپرس کدهای مخربی قرار داده باشند پس ریسک نکنید.

۴- بررسی فایل wp-config-sample.php قبل از نصب وردپرس و استفاده از کدهای امنیتی وردپرس ( secret-key ):

در این مرحله و بعد از آپلود فایل وردپرس در پوشه مورد نظر، فایل را از حالت فشرده خارج کنید در این هنگام قبل از شروع به نصب وردپرس، فایل wp-config-sample.php را ادیت ( ویرایش ) کنید و سپس فایل های موجود در تصویر زیر را پیدا کنید. همانطور که در تصویر زیر مشاهده میکنید یک آدرس سایتی با کادر قرمز مشخص شده است آدرس را کپی کرده و در مرورگر خود اجرا کنید. ( این کدها خاص بوده و هر وردپرس نصب شده یک کد مختص به خود دارد پس کدها را کپی نکنید )

همانند تصویر زیر اگر آدرس مشخص شده را در یک تب جدید اجرا کنید چندین کد امنیتی برای شما نمایش داده خواهد شد همه کدهای موجود را کپی کنید.

کدهایی که در تصویر بالا مشاهده میکنید را کپی کرده و همانند تصویر زیر به جای کد های مشخص شده با کادر آبی قرار دهید.

بعد از قرار دادن کدها باید همانند تصویر زیر در هاست شما موجود باشد. در اتمام صفحه را ذخیره کنید.

 

– – – – – – – – – – کارهایی که در هنگام نصب وردپرس و قالب باید انجام داد – – – – – – – – – –

۱- ایجاد یک دیتابیس جدید با رمز و نام بسیار قوی:

در هنگام نصب وردپرس نیاز است که یک دیتابیس جدید ایجاد شود پس در هنگام ایجاد دیتابیس از نام و رمزی استفاده کنید که قابل حدس زدن نباشد و همیشه از دکمه انتخاب رمز تصادفی استفاده کنید.

۲- انتخاب نام کاربری و رمز عبور بسیار قوی برای ورود به وردپرس:

همیشه از نام کاربری و رمز عبور نامشخص استفاده کنید تا حتی خودتان نیز امکان به یاد داشتن آن را نداشته باشید ( این موارد ساده به نظر می آید ولی اگر رمز عبور شما را یک نفر پیدا کند در واقع همه اطلاعات سایت شما در دستانش خواهد بود )

۳- خرید قالب از یک سایت معتبر:

یکی از اصلی ترین دلیل در هک شدن یک سایت، قالب میباشد پس سعی کنید از قالب های رایگان استفاده نکنید و اگر استفاده کردید از مخزن وردپرس قالب را به صورت مستقیم دانلود کنید. در مورد قالب های پرمیوم نیز فقط از سایت های معتبر خرید کنید چون مدیران سایت ها برای بالا بردن بازدید سایت خود از کدهای مخرب در داخل قالب استفاده میکنند پس در خرید قالب دقت کنید.

۴- اسکن فایل قالب خریداری شده برای یافتن فایل های آلوده یا مخرب ( Virustotal.com ):

بعد از خرید قالب مورد نظر و قبل از نصب، فایل را با کمک این سایت اسکن کنید تا در صورت وجود فایل های آلوده بتوانید آن را اصلاح کنید یا با پشتیبان قالب در ارتباط باشید تا مشکل را حل کرده و یا یک فایل سالم را برای شما ارسال کند.

– – – کارهایی که بعد از نصب وردپرس و قالب برای جلوگیری از حمله هکرها باید انجام داد – – –

۱- حذف فایل های readme.html و license.txt از هاست:

در جایی که وردپرس را نصب و اکسترکت کرده اید فایل های license.txt و readme.html بعد از نصب وردپرس ایجاد خواهند شد بهتر است این فایل ها را حذف کنید چون داخل آن ها اطلاعاتی در مورد نسخه وردپرس و … سایت شما وجود دارد که بهتر است بدست هکرها نیوفتد.

۲- آپدیت وردپرس، قالب و افزونه ها:

همیشه وردپرس، قالب و افزونه های موجود در سایت را آپدیت کنید تا اگر باگی در هر کدام از این موارد وجود داشت برطرف شد. همانطور که میدانید آپدیت ها برای بهبود نسخه قبلی منتشر میشوند پس همیشه آپدیت ها را انجام دهید.

۳- تغییر نام نمایشی مدیر:

از طریق پیشخوان به قسمت کاربران / شناسنامه شما رفته و نام نمایشی مدیر را تغییر دهید چون به صورت پیشفرض نام نمایشی در سایت همان نام کاربری شما میباشد پس حتما این نام را تغییر دهید.

۴- حذف قسمت ویرایشگر از پیشخوان وردپرس:

در بعضی موارد هکرها فقط رمز پیشخوان شما را پیدا کرده و وارد مدیریت وردپرس شما میشوند که در این صورت تنها راه برای دسترسی به کدهای قالب قسمت نمایش / ویرایشگر است پس کد زیر را در فایل wp-config.php قرار دهید تا قسمت ویرایشگر از پیشخوان شما مخفی شود.

 define( ‘DISALLOW_FILE_EDIT’, true );
 
۵- نصب افزونه های رایگان فقط از مخزن وردپرس:

در صورت نیاز برای نصب افزونه، حتما افزونه های مورد نیاز را مستقیم از مخزن وردپرس دانلود کنید تا از نظر نال بودن یا وجود کدهای مخرب مطمئن باشید.

۶- بررسی قسمت نشست ها در شناسنامه شما:

همیشه قسمت نشست ها را  از قسمت کاربران / شناسنامه شما بررسی کنید تا در صورت ورود افراد غیر مجاز بتوانید آن ها را بیرون کرده و رمز مدیریت وردپرس را تغییر دهید.

۷- حذف اخطار هایی که هنگام نادرست بودن نام کاربری یا رمز عبور در قسمت ورود به پیشخوان وردپرس نمایش داده میشود:

هنگام ورود به پیشخوان وردپرس سایت خود وقتی که نام کاربری یا رمز عبور را اشتباه وارد میکنید از طرف وردپرس یک پیام برای شما ظاهر میشود که رمز عبور یا نام کاربری را اشتباه وارد کرده اید این کار باعث میشود کسانی که سعی میکنند به پیشخوان شما وارد شوند متوجه می شوند که آیا نام کاربری را اشتباه وارد میکنند یا رمز عبور را؟ پس اگر این اخطار ها نمایش داده نشود کار آن ها سخت خواهد شد و دیگر متوجه نمیشوند کدام مورد را اشتباه وارد کرده اند.

برای حذف این اخطار ها باید کد زیر را در فایل functions.php قالب خود قرار دهید.

add_filter('login_errors',create_function('$a', "return null;"));

 

۸- تهیه بکاپ از همه قسمت های سایت:

بعد از پایان کار طراحی قالب یا بعد از اتمام یک روز کاری که تغییرات زیادی روی سایت انجام داده اید حتما یک بکاپ کلی از دیتابیس و کل سایت تهیه کنید تا در صورت بروز مشکل برای هاستینگ شما براحتی بتوانید از فایل بکاپ خود استفاده کنید.

 – – – – – – – – – – جلوگیری از هک وبسایت با نصب افزونه های امنیتی خاص – – – – – – – – – –

۱- چند مرحله ای کردن بخش ورود به مدیریت سایت:

بخش ورود به مدیریت سایت را حتما چند مرحله ای کنید تا به وسیله ربات امکان ورود به پیشخوان وجود نداشته باشد. روش های مختلفی برای دو مرحله ای کردن وجود دارد که در وبسایت نوین وردپرس مقاله های در این رابطه موجود میباشد.
افزونه های ورود چند مرحله ای

۲- استفاده از افزونه های کپچا در سایت:

حتما از افزونه های کپچا در سایت خود استفاده کنید چون معمولا حدس رمز ورود با استفاده از ربات ها انجام میشود به همین دلیل استفاده از این افزونه ها مانع یا حداقل راه ورود را سخت میکنند.
افزونه های کپچا

۳- تغییر پیشوند نام جداول دیتابیس:

این کار باعث بالا رفتن امنیت وبسایت شما میشود چون دیتابیس اصلی ترین بخش یک سایت میباشد پس اقدامات لازم برای بالا رفتن امنیت دیتابیس را انجام دهید. یکی از بهترین راه ها برای بالا بردن امنیت دیتابیس ها تغییر نام پیشوند دیتابیس ها میباشد که راه های مختلفی دارد یکی از آسان ترین راه ها استفاده از افزونه Change DB Prefix میباشد ولی در صورت آشنا بودن میتوان با استفاده از کدنویسی نیز این موارد را تغییر دهید.

۴- استفاده از افزونه امنیتی Wordfence:

اگر این افزونه در سایت شما نصب باشد براحتی میتواند کدهای مخرب را شناسایی کند پس حتما از این افزونه یا افزونه های مشابه پیدا کردن کدهای مخرب استفاده کنید.
افزونه امنیتی Wordfence

۵- آدرس ورود به پیشخوان خود را تغییر دهید:

یکی از بهترین راه ها برای گمراه کردن هکر ها تغییر آدرس ورود به پیشخوان میباشد افزونه های زیادی در این باره وجود دارد که همه آن ها تقریبا در آرشیو وبسایت موجود میباشد. پس آدرس پیشفرض ورود به پیشخوان را حتما تغییر دهید.
افزونه تغییر آدرس ورود به پیشخوان

راه های بسیاری زیادی برای بالا بردن امنیت وبسیات وجود دارد که شما باید همه آن ها را انجام دهید بعضی از قسمت ها بسیار ساده به نظر می آید ولی در واقع بسیار مهم میباشد پس همه آن ها را یک به یک روی سایت خود اعمال کنید. همانطور که گفته شد افزونه های رایگان را حتما از مخزن وردپرس دانلود کنید و در صورت امکان سعی کنید از افزونه های کمی در سایت خود استفاده کنید.

به زودی فیلم آموزشی در رابطه با امنیت وبسایت در نوین وردپرس منتشر خواهد شد و همه موارد گفته شده در این مطلب نیز به صورت تصویری برای شما توضیح داده خواهد شد.

با تشکر از همراهی شما

راستی ! با عضویت در کانال تلگرام نوین وردپرس حتی یک مطلب وردپرس را هم از دست نخواهید داد...             عضویت در کانال

یک پیشنهاد برای شما:

آموزش غیرفعال کردن خطاهای php در وردپرس

آموزش غیرفعال کردن خطاهای php در وردپرس

اگر سایت وردپرس دارید حتما تاکنون با خطاهای warning برخورد داشته اید و بارها بفکر این افتاده اید که باید چه اقدامی انجام داد تا این خطاهای php دیگر روی سایت شما نمایش داده نشود. از…

ارسال دیدگاه

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری با * مشخص شده است.

کد امنیتی زیر را وارد کنید: *

کد امنیتی زیر را وارد کنید: *