وردپرس بیش از 40 درصد وب سایت های جهان را پشتیبانی می کند که گواهی بر قابلیت اطمینان و امنیت آن است. با توجه به تعداد بالای کاربران و افزایش پیچیدگی تهدیدات امنیتی و سایبری، وردپرس نمی تواند به تنهایی امنیت سایت شما را تضمین نماید و داشتن چک لیست امنیت وردپرس دارای اهمیت زیادی می باشد.
خوشبختانه، مدیریت امنیت سایت وردپرسی کار دشواری نیست. با پیاده سازی چندین اقدام امنیتی ساده، می توانید از وب سایت در برابر تهدیدات امنیتی و سایبری محافظت کرده و به این صورت ضمن تضمین امنیت داده ها تداوم فعالیت کسب و کار را محقق نمایید.
این مقاله به بررسی بهترین روش های امنیتی وردپرس خواهد پرداخت و بهترین راهکارها برای محافظت از وب سایت در برابر تهدیدات خارجی با بررسی مداوم چک لیست امنیت وردپرس را ارائه می دهد.
چرا امنیت وردپرس برای کسب و کار آنلاین شما اهمیت دارد؟
ملاحظات امنیتی دیجیتال به اندازه اجرای کمپین های بازاریابی اثربخش و تولید محتوای با کیفیت، دارای اهمیت است. بسیاری از کسبوکارها اطلاعات حساس مانند جزئیات مشتریان، اطلاعات پرداخت و داده های اختصاصی را گردآوری می کنند و هرگونه نقض امنیتی می تواند منجر به خسارات مالی قابل توجه و خدشه دار شدن وجهه سازمان شود.
حفظ اعتماد مشتریان امری حیاتی است. مواجهه شدن مشتریان با هشدارهای امنیتی یا تجربه نقض داده ها، می تواند باعث کاهش اعتماد آنها شده و در نتیجه، منجر به کاهش وفاداری مشتریان و افت چشمگیر کسبوکار شود.
جلوگیری از وقفه در عملکرد وب سایت امری حیاتی است. هرگونه اختلال جهت دسترسی به وب سایت می تواند بر درآمد، اعتبار برند و رضایت مشتری تاثیر منفی بگذارد. این امر به ویژه برای سایت های تجارت الکترونیک حائز اهمیت است. هر دقیقه توقف در عملکرد این نوع سایت ها می تواند باعث از دست دادن فرصت های فروش زیادی شود.
عدم تامین امنیت مناسب برای یک وب سایت می تواند باعث عواقب حقوقی جدی شود. بسیاری از حوزه های قضایی، حفاظت داده های شخصی را الزامی دانسته و برای نقض این قوانین، جریمه های سنگین مالی و پیگردهای قانونی در نظر گرفته اند.
موتورهای جستجو به وب سایت های امن در رتبه بندی سئو اولویت بالاتری می دهند. یک وب سایت امن نه تنها اعتماد کاربران را جلب می کند بلکه جهت بهبود رتبه سایت در موتورهای جستجو و افزایش ترافیک ارگانیک آن نیز کمک شایانی نموده و باعث سودآوری کسبوکار شما می گردد.
.webp)
تصویر(1)
مشکلات رایج امنیتی در وردپرس
وب سایت های مبتنی بر وردپرس به دلیل محبوبیت گسترده و ساختار متن باز خود، همواره در معرض طیف وسیعی از تهدیدات امنیتی قرار دارند. این تهدیدات امنیتی می توانند به یکپارچگی و عملکرد سایت آسیب وارد کنند.
شناخت دقیق این تهدیدات امنیتی و اتخاذ تدابیر مناسب، امری ضروری برای حفاظت موثر و افزایش امنیت وردپرس می باشد.
- نرمافزارهای قدیمی: وب سایت های مبتنی بر وردپرس زیادی از نسخه های قدیمی هسته، قالب ها و افزونه ها استفاده می کنند. این امر آنها را در برابر طیف گسترده ای از آسیب پذیری های امنیتی شناخته شده قرار می دهد.
- رمزهای عبور ضعیف: استفاده از رمزهای عبور قابل حدس موجب می شود تا مهاجمان توسط حملات Brute Force به سیستم نفوذ کنند.
- آسیب پذیری افزونه ها: افزونه های نا امن یا بروز نشده می توانند همانند دروازه هایی برای نفوذ مهاجمان عمل کرده و امنیت وب سایت را به خطر بیندازد.
- حملات Brute Force: مهاجمان ترکیبات مختلف نام کاربری و رمز عبور را آزمایش می کنند تا بتوانند به پنل مدیریت دسترسی غیرمجاز پیدا نمایند.
- حملات SQL Injection: این حمله یکی از جدی ترین تهدیدات امنیتی است که از آسیب پذیری های پایگاه داده سوء استفاده می نماید. طی آن، مهاجمان با تزریق کدهای مخرب درون فیلدهای ورودی وب سایت، وارد پایگاه شده و به اطلاعات حساس دسترسی پیدا می کنند.
- حملات اسکریپت بین سایتی (XSS): در حمله Cross-Site Scripting مهاجمان کدهای مخرب جاوا اسکریپت را به صفحات وب تزریق می کنند. این اسکریپت ها می توانند اقدام به سرقت اطلاعات حساس یا سشن کاربران (hijacking user sessions) نمایند.
- جعل درخواست بین سایتی (CSRF): این حمله یک آسیب پذیری امنیتی در وب سایت ها است که باعث می شود مهاجم بتواند کاربر احراز هویت شده را به انجام عملیاتی غیرمجاز وادار کند. این امر می تواند موجب به خطر افتادن حساب های کاربری شود.
- حملات گنجاندن فایل (File inclusion exploits): این نوع حمله زمانی رخ می دهد که مهاجمان با دستکاری مسیر فایل ها در کد، امکان اجرای اسکریپت های مخرب را روی سرور فراهم می آورند.
- اسپم و بدافزار: سایت های آلوده اغلب همانند بستری برای توزیع اسپم یا بدافزار عمل می کنند که می تواند امنیت داده ها و حریم خصوصی بازدیدکنندگان را به خطر بیندازد.
- فیشینگ: مهاجمان سایبری با بهرهگیری از تکنیک های فیشینگ و جعل هویت نهادهای معتبر، کاربران را به افشای اطلاعات حساس شخصی خود ترغیب می کنند.
- نشت یا افشا داده ها (Data leaks): تدابیر امنیتی ناکافی می تواند باعث افشای غیرمجاز داده های حساس شده و ضمن آسیب جدی به وجهه سازمان سبب پرداخت جریمه های سنگین قانونی گردد.
- حملات DDoS: این نوع حمله سایبری توسط ارسال حجم عظیمی از ترافیک به سمت یک سیستم، توان پردازشی آن را اشباع کرده و در نتیجه، دسترسی کاربران مجاز با اختلال مواجه می گردد.
با شناخت دقیق آسیب پذیری های رایج، مدیران وب سایت های وردپرسی قادر خواهند بود تدابیر امنیتی لازم جهت مقابله با تهدیدات سایبری را بکار گیرند.
.webp)
تصویر(2)
اصول امنیتی وردپرس: چک لیست امنیت وردپرس
لایه های امنیتی پیشرفته و کارآمد، امنیت وب سایت وردپرسی شما را به بالاترین سطح رسانده و از داده های ارزشمندتان محافظت می کنند. برای شروع، پیاده سازی دقیق تاکتیک های زیر ضروری است و باید این چک لیست امنیت وردپرس همیشه توسط شما بررسی و اجرا گردد:
1. همواره هسته وردپرس، قالب ها و افزونه ها را بروز نگه دارید
اولین مورد از چک لیست امنیت وردپرس بروز نگه داشتن سایت می باشد. بروزرسانی های مستمر هسته وردپرس، قالب ها و افزونه ها، عاملی کلیدی جهت حفظ امنیت وب سایت محسوب می شود. این آپدیت ها اغلب شامل رفع مشکلات امنیتی هستند که از سایت شما در برابر آسیب پذیری های شناخته شده محافظت می کنند. امکان خودکارسازی فرآیند بروزرسانی افزونه ها و هسته از داشبورد وردپرس فراهم شده است.
علاوه بر بروزرسانی های منظم، حذف کلیه افزونه ها، قالب ها و حساب های کاربری بلا استفاده، جهت کاهش خطرات امنیتی، امری ضروری است. کاهش تعداد راه های نفوذ هکرها، به افزایش امنیت وردپرس کمک شایانی خواهد کرد.
بروز بودن نسخه PHP نیز از اهمیت بالایی برخوردار است زیرا نسخه های قدیمی PHP می توانند آسیب پذیری هایی را ایجاد نمایند که منجر به تهدیدات امنیتی شوند. خوشبختانه، اکثر شرکت های ارائه دهنده خدمات میزبانی وب، بروزرسانی های PHP را به صورت خودکار انجام می دهند تا به افزایش امنیت وردپرس تان کمک کنند.
2. استفاده از رمزهای قوی و منحصر به فرد جهت افزایش امنیت وردپرس
مورد دوم از چک لیست امنیت وردپرس، تنظیم رمزهای قوی می باشد. رمزهای قوی، برای انسان ها و سیستم های خودکار، به سختی قابل حدس است. در نتیجه احتمال دسترسی غیرمجاز از طریق صفحه ورود کاهش یافته و امنیت سایت وردپرس را افزایش می دهند.
به منظور ایجاد رمزهای امن در مرحله دوم از چک لیست امنیت وردپرس، رعایت موارد زیر توصیه می شود:
-
ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص را استفاده کنید.
-
طول رمز عبور را حداقل ۱۲ کاراکتر در نظر بگیرید.
-
از کلمات شناخته شده خودداری کنید تا در برابر حملات دیکشنری مقاوم باشید.
-
از نام خود، برند یا آدرس وب سایت در رمز استفاده نکنید.
-
رمزهای خود را به صورت دوره ای بروزرسانی نمایید تا امنیت آنها حفظ شود.
3. فعالسازی احراز هویت دو مرحلهای (2FA)
2FA با ایجاد یک لایه امنیتی اضافی، نیازمند تایید هویت در دو مرحله مجزا است. در این صورت، علاوه بر رمز عبور، کد یک بار مصرف نیز برای ورود به حساب الزامی می باشد.
این کد از طریق پیامک برای دستگاه تلفن همراه کاربر ارسال می شود و همانند یک سد دفاعی قوی در برابر دسترسی های غیرمجاز عمل می کند. حتی در صورتی که رمز عبور به خطر بیفتد، هکرها بدون داشتن کد نمی توانند وارد حساب شما شوند که در نتیجه افزایش امنیت وردپرس را شاهد خواهید بود.
.webp)
تصویر(3)
برای افزایش امنیت وردپرس خود، می توانید از افزونه هایی استفاده کنید که امکان پیاده سازی احراز هویت دو مرحلهای (2FA) را فراهم می آورند. همچنین با بهرهگیری از کلیدهای عبور (passkeys)، باعث بهبود تجربه کاربری و افزایش سرعت ورود به سیستم شوید.
کلیدهای عبور نیازی به رمز عبور و 2FA ندارند و از داده های بیومتریک (مثل اثر انگشت و شناسایی چهره) یا احراز هویت مبتنی بر دستگاه استفاده می نمایند. همچنین passkey ها فرآیند ورود کاربران را تسریع می بخشند. به طور متوسط، ورود توسط کلیدهای عبور تنها ۱۴.۹ ثانیه زمان بر است، در حالی که این مدت زمان توسط رمزعبور به ۳۰.۴ ثانیه افزایش می یابد.
4. پشتیبان گیری منظم از سایت وردپرسی و حفظ امنیت سایت وردپرس
چک لیست امنیت وردپرس در مرحله چهارم، پشتیبان گیری مداوم از سایت را هدف قرار می دهد. در صورت بروز هرگونه مشکل امنیتی، خرابی سرور یا خطای انسانی، داشتن یک نسخه پشتیبان بروز به شما امکان بازیابی کامل وب سایت را خواهد داد. در این زمینه می توانید از افزونه های مختلف موجود نیز استفاده نمایید.
5. از یک فایروال وب اپلیکیشن (WAF) برای افزایش امنیت وردپرس استفاده کنید
مرحله پنجم چک لیست امنیت وردپرس، استفاده از فایروال می باشد. WAF یک سیستم امنیتی پیشرفته است که با شناسایی، فیلتر و انسداد ترافیک مخرب ورودی، از وب سایت در برابر انواع حملات سایبری محافظت می کند و باعث افزایش امنیت وردپرس می شود. این سیستم توسط نظارت دقیق بر تمامی ترافیک ورودی و خروجی، از سایت شما مقابل تهدیدات رایجی مانند SQL injection ،XSS و حملات DDoS محافظت می نماید.
ساده ترین و موثرترین روش برای راه اندازی یک فایروال قوی، استفاده از افزونه های امنیتی پیشرفته یا انتخاب سرویس میزبانی با قابلیت firewall خواهد بود. با بهرهگیری از این راهکارها، پیکربندی سیستم به صورت خودکار انجام شده و کدنویسی دستی نیازی نخواهد بود.
6. انتخاب یک ارائه دهنده میزبانی وب که امنیت را در اولویت قرار می دهد
ششمین مرحله در چک لیست امنیت وردپرس انتخاب ارائه دهنده میزبانی وب است. انتخاب یک شرکت که بر امنیت متمرکز است، گام بسیار مهمی جهت محافظت از وب سایت شما محسوب می شود. به دنبال سرویس دهندگانی باشید که موارد زیر را پشتیبانی می نمایند:
- محافظت توسط فایروال: فایروال به عنوان یک مکانیزم امنیتی، با نظارت دقیق بر ترافیک ورودی و خروجی، شناسایی و مسدودسازی بسته های داده مخرب، از دسترسی غیرمجاز ممانعت می کند.
- اسکن بدافزار: فرآیندی جهت شناسایی و حذف نرم افزارهای مخرب بوده که ممکن است به وب سایت نفوذ کرده باشند.
- رمزنگاری SSL: لایه اتصال امن (Secure Sockets Layer یا SSL) با ایجاد یک کانال ارتباطی رمزنگاری شده بین وب سایت و کاربران، از محرمانگی و یکپارچگی داده ها در طول انتقال محافظت می کند.
- پشتیبان گیری خودکار: فرآیندی است که طی آن کپی داده های وب سایت به صورت منظم و خودکار تهیه می شود تا در صورت بروز حوادثی مانند حذف داده ها یا خرابی فایل ها، امکان بازیابی سریع و کامل آنها فراهم گردد.
- نظارت مداوم شبکه: این فرآیند شامل پایش لحظه به لحظه ترافیک شبکه و شناسایی سریع هرگونه فعالیت مشکوک یا تهدید امنیتی است. با این روش، می توان به وقایع امنیتی واکنش نشان داد و از بروز خسارت های جدی جلوگیری کرد.
علاوه بر این، نوع میزبانی انتخابی نیز در سطح امنیت نقش مهمی ایفا می کند. سرورهای اختصاصی و مجازی (VPS) با منابع جداگانه، سطح امنیت بالاتری نسبت به میزبانی های اشتراکی ارائه می دهند. این جداسازی منابع، احتمال نفوذ و دسترسی غیرمجاز سایر کاربران را کاهش می دهد و باعث افزایش امنیت وردپرس می شود.
7. جهت ارتقای امنیت سایت وردپرس، سایت خود را به SSL/HTTPS تغییر دهید
.webp)
تصویر(4)
تغییر سایت به HTTPS هفتمین مرحله از چک لیست امنیت وردپرس می باشد. رمزنگاری SSL ارتباط بین وب سایت شما و کاربران را ایمن می سازد. همچنین تضمین می کند که سایت شما توسط HTTPS (نسخه امن HTTP) بارگذاری می شود و از اطلاعات حساس در برابر ردیابی محافظت می کند.
علاوه بر تامین امنیت، پروتکل SSL مزایایی همچون بهبود رتبه را به همراه دارد. گوگل، SSL را یکی از عوامل تعیین کننده در رتبه وب سایت ها می داند. همچنین گواهی SSL موجب افزایش اعتماد کاربران می گردد.
اکثر شرکت های هاستینگ معتبر، رمزگذاری SSL را به صورت پیش فرض برای تمامی کاربران خود فعال می نمایند. پیش از انتخاب هرگونه پلن میزبانی، لازم است صحت این ادعا مورد بررسی قرار گیرد. بر اساس آمارهای سال ۲۰۲۳، بالای ۸۵ درصد وب سایت ها از گواهینامه SSL بهرهمند بوده اند و این امر به عنوان یک راهکار موثر جهت تامین امنیت اطلاعات کاربران محسوب می شود.
8. تغییر آدرس پیش فرض ورود به وردپرس جهت افزایش امنیت
هشتمین مرحله در چک لیست امنیت وردپرس تغییر آدرس ورود به پیشخوان می باشد. تغییر آدرس پیش فرض ورود به پیشخوان وردپرس یک اقدام امنیتی ساده اما موثر است که می تواند با کاهش خطر دسترسی غیر مجاز، امنیت سایت وردپرسی را افزایش دهد.
به طور پیش فرض، سایت های وردپرس از آدرس های wp-admin/ یا wp-login.php/ برای ورود استفاده می کنند. این URL ها قابل پیش بینی می باشند و معمولا هدف حملات brute force توسط مهاجمانی قرار می گیرند که قصد دسترسی به حساب های مدیریتی را دارند.
.webp)
تصویر(5)
جهت ارتقا سطح امنیت وب سایت، توصیه می شود آدرس ورود پیش فرض، به یک آدرس خاص و غیرقابل پیش بینی تغییر یابد. این تغییر می تواند به صورت دستی یا با استفاده از افزونه های تخصصی انجام شود. سفارشی سازی آدرس ورود، سایت را در برابر ربات های خودکار (Automated Bots) و مهاجمان احتمالی (Potential Attackers) ایمن تر می سازد.
تغییر آدرس ورود، ضمن افزایش سطح امنیت وب سایت، مستلزم اطلاع رسانی به کاربران مجاز جهت جلوگیری از هرگونه سردرگمی می باشد. این اقدام، علاوه بر تقویت تدابیر امنیتی، به حفظ داده های حساس و جلب اعتماد کاربران کمک شایانی می کند.
9. محدود کردن تعداد تلاش های ورود
محدود کردن تعداد تلاش های ورود، یک روش موثر برای جلوگیری از حملات brute force است که در آن مهاجمان دائما تلاش می کنند با ترکیب نام کاربری و رمز عبور، به سیستم دسترسی پیدا نمایند. توسط برخی افزونه ها می توانید حد مجاز را برای تعداد تلاش های ورود تعیین کنید و پس از رسیدن به آن، کاربر را مسدود نمایید.
این مرحله از چک لیست امنیت وردپرس، سرور شما را در برابر حملات مکرر ورود محافظت می کند.
10. استفاده از شبکه توزیع محتوا (CDN)
استفاده از شبکه توزیع محتوا دهمین مرحله در چک لیست امنیت وردپرس می باشد. CDN توسط تکنیک های کش کردن محتوا در سرورهای نزدیک به کاربران، باعث کاهش زمان پاسخ گویی شده و پایداری وب سایت در برابر نوسانات ترافیک را افزایش می دهد. این فناوری با نظارت مستمر بر ترافیک ورودی، همانند یک لایه دفاعی موثر مقابل حملات DDoS عمل می نماید.
CDN توسط تکنیک کش کردن (caching)، نسخه های ذخیره شده محتوا را به کاربران ارائه می دهد که باعث کاهش بار روی سرور در مواجهه با حملات می شود. علاوه بر این، اعمال محدودیت نرخ (rate-limiting) روی درخواست های یک آدرس IP واحد و مسدودسازی آدرس های آی پی مخرب یا ربات ها (به ویژه در ترکیب با فایروال) از دیگر ویژگی های امنیتی CDN محسوب می شود.
11. ارتقاء نسخه PHP
زبان برنامه نویسی PHP هسته اصلی سیستم مدیریت محتوای وردپرس را تشکیل می دهد و یازدهمین مرحله در چک لیست امنیت وردپرس می باشد. نسخه های قدیمی تر PHP ممکن است آسیب پذیری هایی داشته باشند که هکرها از آنها برای نفوذ به وب سایت ها استفاده می کنند. ارتقاء منظم به آخرین نسخه پایدار PHP، تضمینی برای بهرهمندی از ویژگی های امنیتی پیشرفته، بهبود عملکرد و رفع ایرادات موجود در نسخه های قبلی است.
اکثر ارائه دهندگان خدمات میزبانی وب، امکان بروزرسانی آسان نسخه PHP را توسط پنل کاربری خود فراهم می نمایند. قبل انجام هرگونه ارتقاء، برای جلوگیری از بروز مشکلات احتمالی مرتبط با سازگاری قالب ها یا افزونه ها، توصیه می شود که اقدام به تهیه نسخه پشتیبان کامل شامل تمامی اطلاعات سایت، مخصوصا فایل ها و پایگاه داده ها نمایید.
استفاده از آخرین نسخه PHP، سرعت و کارایی سایت را به طور قابل توجهی بهبود می بخشد که می تواند تاثیر مثبتی بر تجربه کاربری و رتبه سئو داشته باشد. بسیاری از افزونه ها و قالب های مدرن برای عملکرد صحیح به نسخه های جدیدتر PHP نیاز دارند. ارتقاء نسخه PHP، گامی ضروری در جهت حفظ امنیت و کارایی وب سایت وردپرسی است.
12. محافظت از فایل wp-config.php
فایل wp-config.php به عنوان یکی از اجزای حیاتی هسته وردپرس، حاوی اطلاعات محرمانه ای مانند مشخصات پایگاه داده و کلیدهای احراز هویت است که برای عملکرد صحیح وب سایت ضروری می باشند.
.webp)
تصویر(6)
روشی موثر جهت ارتقاء سطح امنیت فایل wp-config.php، انتقال آن به یک سطح بالاتر از دایرکتوری ریشه وردپرس (root) است. با اجرای این اقدام، دسترسی مستقیم به فایل از طریق وب محدود شده و در عین حال، عملکرد صحیح سیستم مدیریت محتوای وردپرس تضمین می گردد. علاوه بر این، اعمال محدودیت های دسترسی توسط تنظیم مجوزهای فایل روی 440 یا 400، اطمینان می دهد که تنها سرور قادر به خواندن اطلاعات بوده و از هرگونه دسترسی غیرمجاز جلوگیری می شود.
یکی دیگر از لایه های حفاظتی که جهت ارتقا امنیت وب سایت استفاده می گردد، اعمال محدودیت های دسترسی با افزودن قوانین خاص به فایل htaccess. می باشد. برای مثال:
<files wp-config.php>
order allow,deny
deny from all
</files>
13. تغییر پیشوند پایگاه داده وردپرس
تغییر پیشوند پیش فرض پایگاه داده، یک روش امنیتی توصیه شده است که می تواند به محافظت سایت وردپرس شما در برابر حملات SQL injection کمک کند و سیزدهمین مرحله از چک لیست امنیت وردپرس می باشد. پیشوند پیش فرض _wp بسیار شناخته شده است، لذا این اطلاعات می تواند به دست مهاجمان افتاده و امکان سوء استفاده از نقاط ضعف موجود در پلاگین ها یا قالب های نا امن را فراهم کند. تغییر این پیشوند، می تواند خطر نفوذ به پایگاه داده را کاهش دهد.
جهت تغییر امن پیشوند پایگاه داده می توانید از افزونه ای طراحی شده برای این منظور استفاده کنید یا آن را به صورت دستی توسط phpMyAdmin ویرایش نمایید.
در صورت تمایل به اعمال تغییرات دستی، حتما از پایگاه داده خود نسخه پشتیبان تهیه کنید. لازم است prefix جداول دیتابیس و مقدار پیشوند در فایل wp-config.php را به صورت هماهنگ تغییر دهید.
اگرچه تغییر پیشوند پایگاه داده تمامی تهدیدات تزریق SQL را برطرف نمی کند اما یک لایه امنیتی در برابر حملات خودکار ایجاد می نماید. این تغییر ساده، حملات سطح پایین تر را دفع کرده و به ارتقای امنیت سایت کمک شایانی می نماید. تغییر پیشوند تنها بخشی از یک استراتژی امنیتی جامع است که شامل بروزرسانی های منظم و تنظیم رمز قوی نیز می شود.
تکنیک های پیشرفته برای بهبود و افزایش امنیت وردپرس
حال که چک لیست امنیت وردپرس ارائه شد باید با تکنیک های پیشرفته بهبود و ارتقا آن نیز آشنا شوید. با توجه به پیچیدگی روزافزون حملات سایبری، اتخاذ تدابیر امنیتی پیشرفته امری ضروری است. برای ارتقای سطح امنیت سیستم ها و داده های خود، توصیه می شود اقدامات زیر را مدنظر قرار دهید:
1. تغییر نام کاربری پیش فرض "admin"
در نسخه های قدیمی تر وردپرس، نام کاربری مدیر سایت به صورت "admin" تنظیم شده است. این امر یک نقطه ضعف امنیتی محسوب می شود زیرا مهاجمان با آگاهی از نام کاربری، تنها با حدس زدن رمز عبور می توانند وارد سیستم شوند. برای ارتقاء سطح امنیت سایت وردپرسی، توصیه می شود یک حساب کاربری مدیر جدید با نام منحصر به فرد ایجاد نمایید. سپس از حساب پیش فرض خارج شده و توسط کاربری جدید وارد شوید.
در نهایت، حساب مدیر پیش فرض را حذف کرده و اطمینان حاصل نمایید که تمامی محتوا و تنظیمات آن به کاربر جدید منتقل شده است. تغییر پیشوند پایگاه داده نیز به عنوان یک اقدام امنیتی قوی توصیه می شود. prefix یا پیشوند، رشته ای می باشد که در ابتدای نام تمامی جداول پایگاه داده وردپرس قرار می گیرد و به طور پیش فرض "_wp" است. تغییر این پیشوند، فرآیند حدس زدن نام جداول توسط مهاجمان را دشوارتر میسازد و امنیت سایت به میزان قابل توجهی افزایش پیدا می کند.
برای انجام این کار، می توانید از ابزارهایی مانند phpMyAdmin یا دستورات MySQL استفاده کنید و تمامی جداول پایگاه داده را با پیشوند جدید نام گذاری نمایید.
.webp)
تصویر(7)
2. غیرفعال کردن امکان ویرایش فایل ها در وردپرس
ویرایشگر فایل های وردپرس یک ویژگی داخلی است که امکان ویرایش مستقیم فایل های قالب و افزونه ها را از طریق داشبورد مدیریت فراهم می آورد. اگرچه این ویژگی برای اعمال تغییرات سریع بسیار مفید است اما در صورت دسترسی غیر مجاز افراد به بخش مدیریت، خطرات امنیتی قابل توجهی همراه خواهد داشت.
هکرها می توانند از این قابلیت سوء استفاده کرده و با تزریق کدهای مخرب، به اطلاعات حساس دسترسی پیدا کنند یا کنترل کامل وب سایت را در دست بگیرند. برای کاهش خطرات امنیتی ناشی از ویرایشگر فایل های وردپرس، می توانید با افزودن قطعه کد زیر به فایل wp-config.php این ویژگی را غیرفعال کنید.
define( 'DISALLOW_FILE_EDIT', true );
3. جلوگیری از اجرای فایل های PHP در برخی دایرکتوری های وردپرس
ممانعت از اجرای فایل های PHP در دایرکتوری های مشخص، به عنوان یک اقدام پیشگیرانه برای مقابله با تهدیدات امنیتی وب سایت شما انجام می گیرد.
دایرکتوری هایی مانند /wp-content/uploads/ اغلب توسط مهاجمان سایبری مورد هدف قرار می گیرند تا اسکریپت های مخرب PHP را آپلود و به سیستم شما نفوذ کنند. با محدود کردن اجرای فایل های PHP در این دایرکتوری ها، از خطر سوء استفاده کاسته می شود. برای اعمال این محدودیت، یک فایل htaccess. خالی در دایرکتوری موردنظر ایجاد کرده و کد زیر را درج نمایید:
<Files *.php>
deny from all
</Files>
با اعمال این تنظیمات، دسترسی به کلیه فایل های PHP موجود در آن دایرکتوری کاملا مسدود می گردد. بدین ترتیب، حتی اگر مهاجم موفق به آپلود اسکریپت مخرب در این دایرکتوری شود، امکان بهره برداری از آن را نخواهد داشت. نظارت منظم بر آپلود و حفظ مجوزهای سخت گیرانه، امنیت را ارتقا می دهد.
4. غیرفعال کردن شناسایی (indexing) و نمایش دایرکتوری ها
غیرفعال سازی شناسایی (indexing) و نمایش دایرکتوری ها یکی از اقدامات اساسی در ارتقا سطح امنیت وب سایت وردپرسی است. زمانی که این قابلیت فعال باشد، مهاجمان می توانند ساختار دایرکتوری سایت شما را مشاهده کرده و به اطلاعات حساس دسترسی پیدا کنند. این امر می تواند باعث سوء استفاده از آسیب پذیری های موجود در سیستم و به خطر افتادن امنیت کلی وب سایت شود.
برای جلوگیری از نمایش فهرست دایرکتوری ها، لازم است فایل تنظیمات سرور به نام htaccess. را ویرایش کنید. این فایل در ریشه اصلی وردپرس شما قرار دارد.
با افزودن کد زیر به انتهای فایل htaccess. می توانید از نمایش فهرست دایرکتوری ها جلوگیری کنید:
Options -Indexes
با افزودن دستور فوق به فایل htaccess.، سرور از نمایش فهرست محتویات دایرکتوری ها خودداری کرده و در صورت درخواست چنین فهرستی، خطای 403 (ممنوعیت دسترسی) را باز می گرداند.
با اجرای این تغییر، مانع دسترسی غیرمجاز به دایرکتوری های حاوی اطلاعات حساس خواهید شد و احتمال شناسایی و بهرهبرداری از نقاط ضعف امنیتی را کاهش می دهید. بازبینی دوره ای تنظیمات سرور، به طور قابل توجهی از وب سایت شما در برابر تهدیدات امنیتی و احتمالی محافظت کرده و امنیت آن را ارتقا می بخشد.
در این بخش به اهمیت ارتقا امنیت وردپرس و معرفی چک لیست حفاظت از آن، پرداخته شد. همچنین 4 مورد از تکنیک های پیشرفته در این زمینه نیز ارائه گردید. جهت مطالعه مابقی موارد می توانید به قسمت دوم مقاله مراجعه نمایید.