امنیت وردپرس موضوعی بسیار مهم برای هر صاحب سایت است چون اگر سایت هک شود و با سایر مشکلات امنیتی رو به رو شود باید هزینه های زیادی به لحاظ مادی و معنوی بپردازد. سایت هک می شود و به دلیل آلوده شدن سایت از نتایج موتورهای جست و جو حذف می شود، برای تعمیر آن باید به مهندسین امنیت پول پرداخت کنید و وقتی که سایت شما در دسترس نباشد درآمدی هم نیست.
بدترین چیز هم این است که برند شما لطمه می خورد چون کاربران می بینند که سایت شما هک شده با با مشکلات امنیتی دست و پنجه نرم می کند و حتی اگر سایت را تعمیر کنید نمی توانند به شما اعتماد کنند. گوگل هر روز بیش از 10000 وب سایت را برای بدافزار و حدود 50000 وب سایت را برای فیشینگ هر هفته در لیست سیاه قرار می دهد. اگر در مورد موارد مربوط به سایت خود جدی هستید، پس باید به بهترین روش های بهبود امنیت وردپرس توجه کنید.
ما در این راهنما در سایت برترآموز، بهترین نکات امنیتی وردپرس را برای جلوگیری از هک شدن سایت شما توسط هکرها به اشتراک می گذاریم، پس در ادامه هم با ما همراه باشید. در نظر داشته باشید که نرم افزار اصلی وردپرس خیلی امن است و به صورت منظم و دوره ای توسط صدها برنامه نویس و متخصص امنیت بررسی می شود، اما باید بگوییم که امنیت در اینترنت یک چیز 100% نیست و می توانید با انجام کارهای زیادی برای بهبود امنیت سایت، امنیت سایت خود را بیش از پیش بالا ببرید. البته اگر سایت وردپرسی دارید، قبل از هر چیز بهتر است یادگیری وردپرس را در اولویت خود قرار دهید.
همانطور که گفتیم، یک سایت وردپرسی هک شده، آسیب جدی به درآمد و اعتبار برند شما وارد می کند. همچنین سایت های آلوده در گوگل حذف می شوند و اگر دارید بر روی سئو سایت خود کار می کنید باید بدانید که اگر سایت شما ویروسی شد، خیلی سریع از گوگل محو می شود. البته جای نگرانی نیست چون می توان آن را بازگردانی کرد اما به هر حال دردسرهای مربوط به خودش را دارد.
هکرها می توانند دیتاهای مربوط به کاربر و رمزهای عبور را برای دسترسی به بخش های مختلف وردپرس بدزدند، نرم افزارهای مخرب نصب کنند و از این طریق به اهدافشان برسند و حتی می توانند یک یا چند بدافزار را بدون اطلاع هیچکس، بین کاربران سایت توزیع کرده و دستگاه های آنان را آلوده کنند. حتی یکی از روش های دیگر هکرها برای دریافت پول این است که شما دستیابی به دیتاهای سایت خود باید به هکرها باج پرداخت کنید.
در ماه مارس 2016، گوگل گزارش داد که به بیش از 50 میلیون کاربر سایت های مختلف در مورد سایت هایی که از آن ها بازدید می کنند هشدار داده است که ممکن است حاوی بدافزار یا سرقت اطلاعات باشد. علاوه بر این خبر، گوگل هر هفته حدود 20000 سایت را برای مشکلات امنیتی و بدافزار و حدود 50000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد. پس باید امنیت سایت خود را بالا ببرید تا جز 20000 سایت بدشانس هفته نباشید. چون گوگل به محض متوجه شدن این موضوع که سایت شما ویروسی شده یا آلوده به بدافزار است آن را از نتایج گوگل حذف می کند.
پس اگر مدیر سئو هستید هم امنیت سایت مهم است. بعضی از مدیران سایت ها، امیدی به سایت خود ندارد یا یک پروژه آزمایشی دارند و برایشان مهم نیست که سایت پابرجا بماند یا خراب شود ام اگر سایت شما یک سایت تجارت اینترنتی است حتما باید به امنیت آن توجه کنید.
نکته اول برای بالا بردن امنیت سایت وردپرس آپدیت آن است. وردپرس یک نرم افزار اپن سورس یا متن باز است که توسط تیم وردپرس و داوطلبان زیادی به طور مرتب نگهداری و به روز می شود. البته به طور پیش فرض، وردپرس به صورت خودکار آپدیت های کوچک را دانلود و نصب می کند اما برای نسخه های اصلی، باید به روزرسانی را بهصورت دستی انجام دهید. همچنین اگر قالب یا پلاگین پریمیوم دارید باید آپدیت نسخه اصلی آن را از سایت توسعه دهنده دانلود کرده و نصب نمایید.
وردپرس همچنین دارای هزاران پلاگین و قالب است که می توانید بسته به نیاز خود آن ها را در سایت نصب کنید. این پلاگین ها و قالب ها توسط برنامه نویس های شخص ثالث ساخته شده اند (افرادی که همکار وردپرس محسوب نمی شوند). پس باید به هنگام نصب از تمیز بودن آن ها اطمینان داشته باشید. بهتر است نسخه را از سایت های اصلی توسعه دهنده دانلود نمایید.
به این علت به روزرسانی وردپرس مهم است که گاها در نسخه های قدیمی وردپرس یا قالب و افزونه های نصب شده، باگ های امنیتی به وجود می آید یا به علت قدیمی بودن نسخه، دسترس پذیری هکرها راحت تر می شود. آپدیت های وردپرس برای امنیت و ماندگاری سایت وردپرسی بسیار پراهمیت هستند و شما باید مطمئن شوید که هسته اصلی نرم افزار وردپرس، افزونه ها و قالب شما به روز هستند.
رایج ترین تلاش ها برای هک سایت وردپرسی شما، استفاده از رمزهای عبوری است که هکرها به آن ها دسترسی پیدا کرده اند. شما می توانید با استفاده از رمزهای عبور قوی تر که منحصر به فرد سایت شما هستند، این کار را برای تیم های نفوذگر سخت تر کنید. رمزهای عبور سخت را نه فقط برای بخش مدیریتی و داشبورد وردپرس، بلکه برای حساب های هاست، دیتابیس، اکانت های هاست و خرید قالب و افزونه و آدرس های ایمیل شما که از نام دامنه سایت شما استفاده می کنند ([email protected]) استفاده کنید.
بسیاری از افراد تازه کار، استفاده از پسوردهای قوی را دوست ندارند زیرا یادگیری و به خاطر سپردن آنها سخت است. اگر پسوردهای خیلی سخت انتخاب می کنید، می توانید از یک پسورد منیجر استفاده کنید. بیشتر مرورگرهای مطرح دارای بخش مدیریت پسوردها هستند که رمزهای عبور شما را ذخیره می کنند اما امکان دارد که مرورگر حذف شده و دیتاهای شما (من جمله پسوردها) از بین بروند. البته اگر با اکانت جمیل در گوگل کروم لاگین باشید با حذف مرورگر هم می توانید دوباره به اطلاعات خود دسترسی داشته باشید. پیشنهاد این است که در چند داکیومنت در کامپیوتر خود و فضای امن ابری، پسوردهای خود را داشته باشید تا اگر مشکلی به وجود آمد به رمزهای عبور دسترسی داشته باشید.
راه دیگر برای کاهش ریسک هک شدن سایت با رمز عبور این است که به کسی اجازه ندهید به حساب مدیریت وردپرس خود دسترسی داشته باشد مگر اینکه کاملاً مجبور باشید . اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حسابهای کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید ، مطمئن شوید که نقشها و قابلیتهای کاربر در وردپرس را بلد هستید و به هر فرد مطابق شغلی که دارد دسترسی بدهید. و نکته مهم این است که به هیچ غریبه ای برای دادن پسورد یا اجازه لاگین به اکانت های مدیریتی اعتماد نکنید.
یک تجربه
یکی از سئوکاران در یک گروه می گفت که برای انجام یک پروژه کوچک به یک ناشناس دسترسی داده است و آن فرد به آن سایت بدافزار تزریق کرده و باعث شده که سئو سایت با مشکل مواجه شده و صفحات از نتایج SERP گوگل حذف شود. خبر بد این بود که سایت هم از کارفرما بود و به این علت بیش از 30 میلیون تومان پول قرارداد و حدود 7 ماه تلاش تیم سئو نابود شده است.
سرویس هاست وردپرس یکی از مهمترین نقش ها را در امنیت سایت وردپرسی شما ایفا می کند. در نظر داشته باشید که هاست وردپرس کاملا برای سایت های وردپرسی بهینه شده است اما اگر از سایر هاست ها استفاده می کنید به شما پیشنهاد می دهیم که مقاله هاست چی بخرم را مطالعه نمایید. در ادامه نحوه عملکرد یک شرکت هاستینگ خوب برای محافظت ازسایت ها و داده های شما آمده است.
هاست های اشتراکی، هاست هایی هستند که شرکت های هاستینگ در آن ها منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارند و قیمتی ارزان تر هم دارند. اما استفاده از آن ها احتمال دارد که برای سایت خطرآفرین باشد. چون هکر می تواند از یک سایت همسایه (سایتی که بر روی سرور اشتراکی شما میزبانی می شود) برای حمله به وب سایت شما استفاده کند.
افزایش امنیت سایت وردپرس می تواند یک استرس وحشتناک برای افراد مبتدی ایجاد کند که کدنویسی بلد نیستند و اگر خیلی از مسائل فنی وردپرس سر در نمی آورید، شما تنها نیستید. چون ما در برترآموز سعی داریم که به مدیران سایت های وردپرسی در افزایش امنیت سایت وردپرس آن ها کمک کنیم. در ادامه ما به شما نشان خواهیم داد که چگونه می توانید امنیت سایت وردپرس خود را تنها با چند کلیک و البته بدون نیاز به کدنویسی افزایش دهید. اگر بلدید با موس کار کرده و کلیک کنید حتما می توانید کارهای ادامه را انجام دهید.
بکاپ گیری از سایت اولین دفاع شما در برابر هرگونه حمله به سایتتان است. چون به یاد داشته باشید، هیچ چیز آن هم در فضای اینترنت به صورت 100٪ امن نیست و اگر وب سایت های دولتی با آن همه باد و ادعا را می توان هک کرد، پس سایت شما نیز می تواند هک شود. اما نکته مهم این است که بکاپ گیری به شما این امکان را میدهد تا در صورت به وقوع پیوستن هر اتفاق بدی، به سرعت سایت وردپرسی خود را بازیابی کنید.
افزونه های زیادی برای بکاپ گیری وردپرس به صورت رایگان و پولی وجود دارد که می توانید از آنها استفاده کنید. مهم ترین چیزی که در مورد بکاپ گیری باید بدانید این است که باید به طور منظم نسخههای پشتیبان کامل سایت را در یک فضای ابری به جز هاست سایت خود نگهداری کنید و می توانید یک نسخه از آن را در سیستم شخصی یا لپ تاپ خود داشته باشید، اما امن ترین مکان، فضاهای ابری است.
تعداد بکاپ گیری از سایت به تعداد دفعاتی بستگی دارد که سایت خود را به روزرسانی می کنید. برای مثال اگر روزی 5 محصول یا 5 مقاله به سایتتان اضافه می کنید، بکاپ صبح قدیمی تر از بکاپ شب است اما ایده آل ترین نوع بکاپ گیری ممکن است بسته به سایت شما 1 بار در روز تا 1 بار در ماه باشد و پیشنهاد ما بکاپ گیری هفتگی است چون هم نیازی نیست که هر روز از سایت خود بکاپ بگیرید و هم به جای ماهی 1 بار، ماهی 4 بار بکاپ می گیرید.
این کار را می توان به راحتی با استفاده از افزونه هایی مانند UpdraftPlus یا BlogVault انجام داد. این دو پلاگین قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است (بدون نیاز به کدنویسی هستند).
بعد از بکاپ گیری از سایت، کاری که باید انجام دهیم این است که یک بالا بردن امنیت سایت را راهاندازی کنیم که همه اتفاقاتی که در سایت شما رخ می دهد را رصد و کنترل کند. هیچ چیز به اندازه پلاگین های افزایش امنیت وردپرس نمی توانند این کار را انجام دهند پس پیشنهاد می کنیم که افزونه برای افزایش امنیت سایت خود نصب کنید. کار پلاگین های امنیت وردپرس نظارت بر یکپارچگی فایل ها، رصد و کنترل تلاش های ناموفق برای ورود به سیستم و در صورت لزوم بلاک IPهای مشکوک، اسکن بدافزار و موارد دیگر می شود.
در مقاله بهترین پلاگین های افزایش امنیت وردپرس درباره 8 مورد از بهترین پلاگین های امنیتی وردپرس صحبت کردیم. اما در این بخش می خواهیم به یک پلاگین امنیتی معرفی شده بپردازیم که نسبت به سایر پلاگین ها بهتر است. همه مشکلات و کارهای امنیتی سایت شما می تواند با بهترین پلاگین افزایش امنیت رایگان وردپرس یعنی Sucuri حل شود. می توانید پلاگین رایگان Sucuri Security را نصب و فعالسازی کنید.
پس از فعال سازی باید به منوی Sucuri در داشبورد مدیریتی وردپرس خود بروید و اولین کاری که از شما خواسته می شود این است که یک API Key رایگان بسازید. API Key به شما امکان ثبت بررسی مسائل امنیتی سایت، بررسی یکپارچگی فایل ها، فرستادن هشدارهای امنیتی در قالب ایمیل و دریافت چند ویژگی دیگر را می دهد. گام دومی که باید انجام دهید این است که از منوی تنظیمات روی گزینه Hardening کلیک کنید. در این مرحله باید سخت شدن امنیت همه گزینه ها را فعال کرده تا در بالاترین سطح امنیتی قرار بگیرید.
SSL یک پروتکل امنیتی است که انتقال داده ها را بین سایت شما و مرورگر کاربران کدگذاری می کند. این کار باعث می شود که امنیت سایت بالاتر برود و هر کسی توانایی دستیابی به اطلاعات شما یا کاربران را نداشته باشد. همچنین SSL را می توان یک فاکتور سئو در نظر گرفت و گوگل به مدیران سایت ها توصیه می کند که از این پروتکل امن استفاده کنند.
اگر SSL را فعال کنید، سایت شما به جای HTTP از HTTPS استفاده می کند و یک علامت قفل سبز رنگ در کنار آدرس وب سایت خود در مرورگر خواهید دید. برای دریافت SSL باید گواهینامه تهیه کنید. گواهینامه ها معمولا توسط سازمان های ارائه گواهی صادر می شوند و به دو نوع رایگان و غیر رایگان تقسیم می شود. ابتدا نوع غیررایگان را توضیح می دهیم. نوع غیر رایگان SSL، خود دارای چند نوع دیگر است که قیمت های متفاوتی دارند و پرداخت آن ها نیز به صورت سالانه یا چندساله است. قیمت آن ها حدود 200 هزار تومان به بالاست.
حالا به نوع رایگان آن می پردازیم. به دلیل هزینه اضافی که خرید SSL برای وبمسترها و مدیران سایت ها وارد می کند، اکثر صاحبان سایت ها ترجیح دادند از پروتکل ناامن HTTP استفاده کنند. برای رفع این مشکل، یک سازمان غیرانتفاعی به نام Let’s Encrypt تصمیم گرفت گواهینامه های SSL رایگان را به مدیران سایتها ارائه دهد. نکته مهم این است که پروژه آنها توسط گوگل کروم، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.
به علاوه در حال حاضر استفاده از گواهینامه SSL برای سایت از هر زمانی ساده تر است چون بسیاری از شرکت های هاستینگ به منظور ایجاد مزیت رقابتی بر روی سرویس های هاست خود SSL رایگان ارائه می دهند و در نظر داشته باشید که نوع پولی و رایگان SSL تفاوت چندانی با هم ندارند و حتی گران ترین SSL هم به جز چند مزیت نه چندان بزرگ، فرقی با SSLهای رایگان یا ارزان ندارد. اگر SSL را نصب کردید و هنوز هم سایت شما به HTTPS منتقل نشد بهتر است از پشتیبان هاست خود یا افزونه نصب SSL واقعا ساده استفاده کنید.
در گذشته نام کاربری پیش فرض ادمین وردپرس “admin” بود. از آنجایی که یوزنیم نیمی از کار ورود به سیستم را تشکیل میدهد (برای ورود به سایت شما یک یوزنیم لازم است و یک پسورد و هکرها یوزنیم شما را دارند و یعنی نصف راه را رفته اند)، این موضوع انجام حملات brute-force را برای هکرها آسان تر می کند.
خوشبختانه در حال حاضر، وردپرس از آن زمان این مشکل را حل کرده است و در حال حاضر وقتی که می خواهید وردپرس را نصب کنید از شما می خواهد که در زمان نصب، یک نام کاربری سفارشی و دلخواه انتخاب کنید. با این حال، برخی از نصب کننده های وردپرس که وردپرس را به صورت خودکار نصب می کنند، هنوز هم یوزرنیم پیشفرض مدیریتی را روی admin تنظیم میکنند. از آنجایی که وردپرس پس از نصب و ساخت سایت وردپرس، به طور پیش فرض به شما اجازه تغییر یوزنیم را نمی دهد، سه روش برای تغییر یوزنیم پس از بالا آمدن سایت وجود دارد.
خود وردپرس دارای یک ادیتور کد درون سیستمی است که به شما امکان می دهد قالب و فایل های پلاگین خود را مستقیماً از بخش داشبورد مدیریت وردپرس ویرایش کنید. اگر یک اشتباه در کدهای سایت رخ بدهد احتمال دارد که عملکرد آن با اختلال ایجاد شده و این ویژگی می تواند یک ریسک امنیتی باشد، به همین دلیل توصیه می کنیم آن را خاموش کنید.
با افزودن کد زیر در فایل wp-config.php در هاست خود به راحتی می توانید ویرایش فایل سایت را خاموش کنید.
1 2 | // Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
همچنین، می توانید این کار را با یک کلیک با استفاده از ویژگی Hardening در پلاگین نسخه رایگان Sucuri که در بالا ذکر کردیم، انجام دهید.
وردپرس به طور پیش فرض به کاربران این امکان را می دهد که هر چند بار که می خواهند وارد سیستم شوند و در واقع می توانند هر چقدر که می خواهند برای ورود به سایت شما تلاش انجام دهند. این مشکل باعث می شود سایت وردپرسی شما در برابر حملات بی رحمانه تیم های نفوذگر، آسیب پذیر باشد. هکرها با تلاش نامحدود برای ورود به سیستم با تست های مختلف سعی در شکستن و پیدا کردن رمزهای عبور دارند. می توان این چالش را به راحتی و با محدود کردن تلاش های ناموفق برای ورود به سیستم که کاربر می تواند انجام دهد برطرف کرد. برای این کار می توانید از پلاگین های امنیتی مختللف استفاده داشته باشید.
در این مقاله سعی داشتیم چند راه حرفه ای برای افزایش امنیت سایت وردپرسی شما ارائه دهیم و نکاتی که ارائه شد بیشتر بدون کدنویسی و با نصب پلاگین بودند تا کاربرانی که توسعه وردپرس و کدنویسی بلد نیستند هم از این راهنما استفاده داشته باشند. اگر نظر، تجربه یا حرفی برای گفتن دارید آن را در بخش کامنت ها با ما به اشتراک بگذارید.
بابک حیدریان مهر. دانشجوی کارشناسی مترجمی زبان انگلیسی، محقق و متخصص SEO & Digital Marketing "زندگی ممکن است پُر از درد و رنج باشد، اما واکنشِ ماست که حرف آخر را میزند". فردیش نیچه
سلام
مرسی از سایت فوق العاده تون
من از دوره شما استفاده کردم و واقعا تاثیر گذار بود
و با کمک دوره شما
وب سایت sorinet که خدمات طراحی سایت رو ارایه میکنه
سئو کردم.
مرسی ازتون
سلام رفیق
خشوحالیم که برات مفید بوده
ایشالله روی همه کلمه لینک 1 ببینمت