جامع‌ترین راهنمای امنیت وردپرس + ترفندهای مهم آن

امنیت وردپرس یکی از مقوله‌‌های مهم در طراحی سایت و سئو آن است که می‌تواند سهم مهمی در حفاظت از اعتبار برند و جلوگیری از دستبرد اطلاعات سایت داشته باشد. جالب است بدانید که هر ثانیه چیزی در حدود 2800 حمله سایبری روی سایت‌های مختلف رخ می‌دهد. هرچقدر سایت شما محبوب‌تر و مشهورتر باشد، احتمال قرار گرفتن در تیررس هکرها و اخاذی از شما با داون کردن سایت یا دسترسی به اطلاعات کاربران بیشتر است. بنابراین اگر فکر می‌کنید رقبایی دارید که حاضرن به کسب‌و‌کار شما آسیب بزنن یا اطلاعات مهمی را در پلتفرم آنلاین خود نگهداری می‌کنید، حتما تا انتهای این مقاله همراه ما باشید؛ چراکه می‌خواهیم جامع‌ترین آموزش امنیت وردپرس را به صورت عملی به شما آموزش دهیم.

منظور از امنیت وردپرس چیست؟

وردپرس یکی از سیستم‌های مدیریت محتوا و از سایت‌ سازهای قدرتمندی است که امروزه در حدود 43 درصد از کل سایت‌های دنیا برپایه آن ساخته شده‌اند. در کنار مباحث مهمی همچون طراحی، راه اندازی و نیز سئو این نوع پلتفرم‌ها، شما باید از امنیت سایت خود اطمینان داشته باشید؛ چراکه تضمین کننده اعتبار برند، جلوگیری از سرقت اطلاعات کاربران و ضربه زدن به کسب‌و‌کارتان خواهد بود.

نکته: تامین امنیت سایت برای سایت‌های فروشگاهی از اهمیت بالاتری برخوردار است و به همین خاطر قیمت طراحی سایت فروشگاهی کمی بیشتر می‌باشد. شما می‌توانید با تامین امنیت کامل پلتفرم خود، اعتماد مشتریان را از طریق ایمن بودن سایت بدست آورید.

مقوله امنیت وردپرس تنها محدود به پسوردها و اطلاعات ورود کاربران نمی‌شود. در کل می‌توان به 5 بخش عمده زیر اشاره کرد که عبارتند از:

1. کدنویسی وردپرس: یکی از راه‌های نفوذ به سایت، استفاده از کدهای آن است. این کار می‌تواند به شیوه‌های مختلفی انجام شود. عموما هکرها از روی کدنویسی سایت اطلاعات مهمی را دریافت می‌کنند؛ مانند محل ذخیره سازی داده‌ها، تشخیص نوع قالب، تشخیص پلاگین‌ها و غیره. شما می‌توانید با کمک یک متخصص وردپرس، اطلاعات مهم کدهای سایت خود را پنهان کنید.
2. پلاگین‌ها: همانطور که گفتیم، یکی از مهم‌ترین بخش‌ها در امنیت سایت، بررسی پلاگین‌های سایت شما است. هکرها می‌توانند در صورت وجود نقاط ضعف در پلاگین‌ها، از آنها برای ایجاد اختلال در سایت شما و از کار انداختن آن یا ایجاد تداخل و درخواست‌های اضافی استفاده کنند.
3. قالب‌ها: قضیه قبلی در مورد پلاگین‌ها نیز صدق می‌کند. بهتر است قالب‌ها و پلاگین‌ها با کمک افزونه یا دانش برنامه نویسی، تغییر نام داده شده تا با این روش، از هک شدن و ارائه اطلاعات اضافی جلوگیری شود.
4. جلوگیری از حملات: جنبه دیگر امنیت سایت، جلوگیری از حملات سایت شما است. معمولا هکرها از 7 نوع روش بر روی سایت‌ها استفاده می‌کنند که شامل حملات بدافزار، فیشینگ، دیداس، مرد میانی، پر کردن اعتبار نامه، حمله اسپری کردن رمز عبور و حملات با دستگاه‌های تلفن همراه است. جالب است بدانید بخشی از این حملات به صورت ناخواسته با نصب وی‌ پی‌ ان‌ها و بد افزارها از گوشی هزاران کاربر موبایل انجام می‌شود تا حجم ترافیک و پهنای باند سایت را مصرف کرده و ارور 404 را برای سایت شما ایجاد کند.

کاربران و وبمسترها می‌بایست حتما بخشی از بودجه هزینه طراحی سایت را برای تامین امنیت وردپرس سایت خود درنظر بگیرند.

چرا باید به امنیت وردپرس اهمیت دهیم؟

دلایل بسیار زیادی را می‌توان برای رعایت امنیت سایت‌ها از جمله امنیت وردپرس بیان کرد که بخشی از آنها را در ادامه به صورت خلاصه بیان می‌کنیم:

• سئو سایت

بخشی از فرآیند سئو مربوط به ایمن بودن سایت شما است که از نظر گوگل اهمیت دارد. به عنوان مثال امروزه گوگل تنها سایت‌های ایمن را جزو پیشنهادات اول خود نمایش می‌دهد. همچنین می‌توان به اخذ گواهی نامه SSL برای سایت‌ها اشاره کرد که یکی از اصلی‌ترین فاکتورها برای رتبه بندی سایت شما به شمار می‌آیند. اگر نمی‌دانید سئو چیست پیشنهاد می‌کنیم حتما سری مقالات سایت SEOEDU را مطالعه کنید.

• برندسازی

مورد دیگری که می‌توان راجع به اهمیت امنیت وردپرس بیان کرد، برندسازی است. در واقع ایمن بودن سایت شما و عدم وجود هیچ گونه سابقه‌ای از هک یا سرقت اطلاعات کاربران می‌توانند اعتماد کاربران را به پلتفرم شما و ایمن بودن آن افزایش دهد. در نتیجه برندسازی از طریق اعتماد سازی و اطمینان خاطر انجام می‌شود.

• جلوگیری از درز اطلاعات و ثبت شکایت

در صورتی که اطلاعات کاربران شما از طریق این پلتفرم فاش شود، به احتمال بسیار زیاد امکان اخاذی از شما یا کاربران وجود خواهد داشت. به همین دلیل ممکن است سایت شما به عنوان یک مقصر شناخته شود و شکایاتی از کاربران ثبت گردد. این کار می‌تواند وجهه کسب‌وکار شما را نابود کرده و به صورت مقطعی یا دائمی بر سئو آن نیز اثر بگذارد.

مهم ترین راه های نفوذ هکرها به سیستم وردپرس چیست؟

قبل از اینکه بخواهیم به صورت کامل راجع به راه‌ها و چک لیست امنیت وردپرس صحبت کنیم، ابتدا بهتر است با راه‌های نفوذ هکرها به سایت یا نحوه ایجاد اختلال برای این پلتفرم‌ها آشنا شوید. در این خصوص می‌توان به 3 مورد کلی اشاره کرد که عبارتند از:

• دسترسی: در این حالت هکرها می‌توانند با پیدا کردن آدرس URLهای سایت شما که دسترسی آن برای همه امکان پذیر است، اطلاعات سایت شما را دریافت ‌کنند. در این حالت ممکن است بتوانند کلیدها و رمزهای عبور شما را دریافت کنند. چند روش در این بخش وجود دارند که عبارتند از: حملات بروت فورس، مهندسی سوشیال، حملات XSS یا CSRF، حملات مرد میانی یا MITM، استفاده از Keyloggerها. این روش‌ها در نفوذ و به خطر انداختن امنیت وردپرس بیشتر استفاده می‌شوند.
• آسیب پذیری‌های نرم افزاری: شاید بتوان گفت بیش از 90 درصد از وبمسترهای معمولی نمی‌توانند امنیت سایت خود را به طور کامل تامین کنند. از جمله روش‌هایی که هکرها از این طریق برای به خطر انداختن امنیت سایت استفاده می‌کنند عبارتند از: اجرای کد از راه دور یا روش RCE، گنجاندن یا آپلود کردن از راه دور / لوکال فایل از طریق فیلدهای ورودی ارائه شده توسط کاربر و روش SQLi که براثر عدم تامین کامل امنیت سایت ممکن است منجر به ایجاد اختلال در پلتفرم شما شود.
• ادغام‌های شخص ثالث: استفاده از سرویس‌ها یا ماژول‌های سوم شخص که منجر به حملات بدافزاری گردد. در این حالت شما به عنوان وبمستر کنترلی بر این سرویس‌ها ندارید و با اعتماد، سایت خود را به ارائه دهنده چنین خدماتی می‌سپارید.

نحوه تامین امنیت وردپرس + چک لیست روش های آن

برای کسانی که نمی‌دانند چگونه امنیت سایت را بالا ببریم؟ حال با ما باشید تا به سراغ راهکارهای تامین امنیت وردپرس برویم. مجموعه روش‌هایی که در ادامه بیان می‌شوند، ممکن است از طریق افزونه امنیت وردپرس، کدنویسی، برخی تنظیمات و غیره انجام شوند که تنوع بالایی داشته و می‌تواند تا حد خوبی امنیت سایت وردپرسی شما را برای انواع حملات حفظ کند. تلاش شده‌ است راهکارها به صورت عملی، کوتاه و مختصر بیان شوند. این موارد عبارتند از:

1-   بروزرسانی مداوم سیستم مدیریت محتوای وردپرس

وردپرس به صورت مداوم در حال بروزرسانی و ارائه نسخه‌های جدید خود است که باگ‌ها و راه‌های نفوذ هکرها را بسته نگه می‌دارد. بنابراین هر زمانی که نسخه جدیدی از وردپرس شما اعلان شد، بهتر است به قسمت پیشخوان رفته و آن را بروزرسانی کنید. تخمین زده می‌شود بیش از 50 درصد از سایت‌های وردپرسی همچنان روی ورژن‌های قدیمی خود هستند که این عامل می‌تواند خود راه را برای هک کردن سایت شما و کاهش امنیت وردپرس ایجاد کند.

برای انجام این کار ابتدا به پیشخوان وردپرس رفته و روی گزینه اول یعنی “داشبورد” کلیک کنید. حال در قسمت “آپدیت یا بروزرسانی”، آخرین نسخه وردپرس را بررسی و نصب نمایید.

بروزرسانی افزونه‌ها و قالب‌ها

همانند مورد قبل و با توجه به دلایلی مشابه، شما باید افزونه‌ها و قالب‌های‌تان را همیشه بروز نگهدارید. این کار می‌تواند اصلاحات باگ‌های امنیتی که هراز گاهی توسط تیم سازنده انجام شده است را برای نسخه‌های قدیمی انجام دهد. برای این کار به همان بخش “آپدیت یا بروزرسانی” در بخش داشبورد رفته و کمی به قسمت پایین‌تر اسکرول کنید. حال می‌توانید افزونه‌هایی که آپدیت می‌شوند را مشاهده نمایید. برای آپدیت قالب باید فایل آپدیت را دریافت نموده و آن را از طریق بخش پوسته و افزودن قالب آپلود کنید. همچنین می‌توانید این کار را مطابق با راهنمای آپدیت قالب که توسط پشتیبانی پوسته‌های وردپرسی ارائه می‌شوند انجام دهید.

نکته: حتما پیش از آپدیت هرچیزی در سایت خود، یک بکاپ از طریق هاست از سایت‌تان ایجاد کنید. این اقدام حتما در بخش طراحی سایت فروشگاهی و یا سایت‌های دیگری که دارید می‌بایست درنظر گرفته شود.

2-   تغییر و استفاده از پسورد قدرتمند

اگر به عنوان مدیر سایت در این پلتفرم حضور دارید، لازم است برای تمامی اشخاصی که سطح دسترسی بالاتری دارند، از رمزهای عبور قدرتمندی استفاده کنید که به راحتی قابل پیشگویی نباشد. این کار برای جلوگیری از نفوذ و به خطر افتادن امنیت وردپرس یک گام بسیار ساده اما مهم است. چه برای انسان یا برای ربات‌ها که می‌توانند روزانه هزاران رمز عبور را روی سایت شما چک کنند. این کار می‌تواند راهکار موثری علیه روش بروت فورس باشد.

به قسمت Users رفته و روی گزینه “ویرایش” کاربر موردنظر خود کلیک کنید. حال می‌توانید پسورد جدیدی را برای او تعیین نمایید. پیشنهاد می‌شود از رمزعبوری با حروف بزرگ و کوچک، اعداد، سمبل‌ها تا 12 کاراکتر استفاده کنید که بسیار سخت و تقریبا غیر قابل پیش بینی خواهند بود.

نکته: ابزارهای lastpass و نیز 1password نیز می‌توانند به شما در ایجاد پسورد رندوم کمک کنند.

3-   حذف کاربران قدیمی

این نکته بسیار مهمی است که اکانت‌های سطح بالا و قدیمی خود را که مدت‌هاست استفاده نمی‌کنید حذف نمایید. چراکه ممکن است هکرها بتوانند به اطلاعات آن نفوذ کرده و از این طریق وارد سایت شما شوند.

4-   فعال کردن سیف لیست و بلاک لیست برای صفحه ورود ادمین

شما می‌توانید برای صفحه ورود ادمین سایت خود، آدرس‌های غیر مجاز و حملات بروت فورس را خنثی کنید. در این حالت به یک سرویس فایروال یا WAF مانند کلودفلر احتیاج دارید. همچنین می‌توانید از Sucuri نیز استفاده کنید. کلودفلر می‌تواند یک منطقه جغرافیایی را برای URLهای سایت شما تعیین کند که تنها کاربران با آی‌پی‌های آن کشورها می‌توانند به سایت شما دسترسی داشته باشند.

همچنین شما می‌توانید با ویرایش فایل .htaccess سایت خود نیز برای این کار اقدام کنید. حتما قبل از انجام این کار، یک بکاپ از سایت خود بگیرید. حال باید یک قانون در این فایل ایجاد کنید که یک یا چند آی پی خاص بتوانند به wp-admin.php دسترسی داشته باشند. به عنوان مثال از کد زیر استفاده کنید:

# بلاک کردن ورودی ها برای Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>

# بلاک کردن آی پی ها برای Apache 2.4
<Files “wp-login.php”>
Require all denied
</Files>

این قانون را می‌توانید پس از دستورات # BEGIN WordPress و # END WordPress قرار دهید.

نکته: ممکن است بدافزارهای پیشرفته توانایی آن را داشته باشند که توسط سیستم‌های ارائه دهنده فهرست‌های بلاک قابل شناسایی نباشند. بنابراین روش safelisting بهتر خواهد بود اما نیاز به دانش و تخصص بیشتری دارد.

دیگر راهکارهای ایمن کردن صفحه لاگین

برخی دیگر از راه‌ حل‌هایی که می‌توانید برای ایمن کردن این صفحه درنظر بگیرید عبارتند از:

• محدود کردن تعداد تلاش‌های ورود: این کار را با افزونه Limit Login Attempts یا برخی سرویس‌های میزبانی فایروال انجام دهید.
• اضافه کردن ریکپچا: یک راه حل بسیار مهم که باید همیشه آن را درنظر بگیرید، اضافه کردن ریکپچا است. برای این کار از افزونه reCAPTCHA از BestWebSoft یا Login No Captcha reCAPTCHA استفاده کنید.
• فعال کردن خروج خودکار: شما می‌توانید از افزونه Inactive Logout برای انجام این کار استفاده کنید.

5-   بروزرسانی آخرین نسخه PHP

یکی دیگر از مهم‌ترین راه حل‌ها آن است که نسخه PHP هاست خود را به آخرین نسخه هماهنگ با وردپرس ارتقا دهید. این کار به جهت آنکه نسخه‌های جدیدتر می‌توانند در مقابله با هکرها بهتر عمل کرده و کدهای منسوخی ندارند و نیز به علت سریعتر بودن آنها، پیشنهاد می‌شود.

6-   فعال سازی SSL/HTTPS

یکی از فناوری‌هایی که می‌تواند وب سایت شما را ایمن‌تر کند، رمزنگاری ترافیک بین سایت شما و رایانه بازدیدکنندگان است. شما می‌توانید از SSLهای رایگان که توسط سرویس دهندگان هاست و فضای ذخیره سازی سایت ارائه می‌شوند استفاده کنید. برای این کار از پشتیبانی هاست کمک بگیرید.

7-   غیرفعال کردن فایل xmlrpc.php

یکی از روش‌هایی که می‌توانید برای افزایش امنیت سایت خود استفاده کنید، غیر فعال کردن فایل xmlrpc.php است. این فایل یک پروتکل ارتباطی است که می‌تواند وردپرس را قادر بسازد تا وب و برنامه‌های تلفن همراه با هم تعامل داشته باشید. با این حال این قابلیت بعد از ادغام شدن REST API وردپرس استفاده نشده است و چندان هم امن نیست؛ به همین خاطر هکرها از آن برای وارد کردن ضربه به امنیت وردپرس با ایجاد درخواست‌هایی حاوی صدها دستور استفاده می‌کنند.

چک لیست امنیت سایت وردپرس

شما می‌توانید از راهکارهایی که در این بخش بیان کردیم برای افزایش ایمنی سایت خود استفاده کنید. چک لیست امنیت وردپرس در ابتدای این بخش ذکر شده است که می‌توانید برای ارتقا امنیت سایت خود استفاده کنید. پیشنهاد می‌کنیم اگر سایت بزرگی یا مهمی دارید، حتما از یک متخصص امنیت وردپرس و هاستینگ قدرتمند و مسئولیت پذیر استفاده کنید. همچنین بکاپ مداوم از سایت خود تهیه نمایید.

معرفی بهترین افزونه های امنیتی وردپرس

برای بسیاری از وبمسترها که نمی‌توانند به صورت تخصصی امنیت وردپرس سایت خود را تامین کنند، استفاده از افزونه امنیت کامل وردپرس پیشنهاد می‌شود. چنین نکاتی در آموزش سئو و دوره‌های سایت ما ارائه شده است که می‌توانید آنها را نیز مشاهده کنید. چند مورد از مهم‌ترین پلاگین‌ها در این بخش عبارتند از:

• افزونه وردفنس سکیوریتی | Wordfence Security: شاید بتوان لقب بهترین افزونه امنیت سایت را به این مورد اختصاص داد. وردفنس یکی از پلاگین‌های کامل برای تامین امنیت سایت شماست که می‌تواند امکانات زیر را ارائه کند: اسکن بدافزارها، جلوگیری کردن از فعالیت‌های مشکوک، ایجاد فایروال برای سایت، ارسال هشدار امنیتی که می‌توانید با ایمیل آن را دریافت کنید و غیره. پیشنهاد می‌کنیم در روند طراحی سایت وردپرس از این افزونه برای تامین امنیت پلتفرم خود استفاده کنید.
• افزونه آیتمز سکیوریتی | iThemes Security: این پلاگین امنیت وردپرس نیز بسیار محبوب است و می‌توانید به کمک آن داده‌های حملات بروت فورس، کاربران ممنوعه، ایجاد احراز هویت دو مرحله‌ای، گزارش تغییر فایل‌ها، اسکن بد افزارها و غیره را مشاهده کنید.
• افزونه سوکوری سکیوریتی | Sucuri Security: یکی از افزونه‌های محبوب دیگری که می‌توان در بخش امنیت وردپرس معرفی کرد، Sucuri Security نام دارد. امکانات مهم این افزونه عبارتند از: اسکن و حذف بدافزارها، ارائه فایروال، تامین امنیت ورود و ردیابی کاربران، مسدود کردن ترافیک مخرب و راه اندازی سریع و آسان.

شما می‌توانید از مقالات آموزش وردپرس رایگان در سایت ما و دیگر سایت‌ها برای تنظیمات صحیح این پلاگین‌ها استفاده کنید. تولید محتوا سایت SEOEDU در راستای حل مشکلات و چالش‌های واقعی سئو است که می‌توانید آنها را از وبلاگ سایت مشاهده کنید.

پرسش های متداول

برخی از پرسش های متداولی که ممکن است شما کاربران راجع به امنیت وردپرس داشته باشید عبارتند از:

• آیا وردپرس امن است؟

در پاسخ به این پرسش باید بدانید وردپرس به صورت کلی یک سیستم مدیریت محتوای ایمن درنظر گرفته می‌شود که راهی برای دور زدن آن وجود ندارد. با این حال ایمنی وردپرس باید با درنظر گرفتن راهکارهایی که در این بخش بیان کردیم تکمیل شود، در غیر اینصورت نقاط ضعفی برای مختل کردن وب سایت شما وجود خواهد داشت. راهکارهای ارائه شده در مقاله پیش رو به عنوان یک دوره امنیت وردپرس کامل درنظر گرفته می‌شود که می‌توانید از ان استفاده کنید.

• متداول‌ترین مشکلات امنیتی سایت های وردپرسی چیست؟

در پاسخ می‌توان به موارد مختلفی اشاره کرد رایج‌ترین آنها عبارتند از: حملات بروت فورس، اسکریپت بین سایت یا حمله XSS، نفوذ به دیتابیس، حمله درب پشتی، حملات داس و فیشینگ.

• آسیب پذیری‌های رایج سایت‌‌های وردپرسی را نام ببرید.

به طور کلی می‌توان 4 قسمت را به عنوان آسیب پذیری‌های رایج سایت‌های وردپرسی درنظر گرفت که عبارتند از: پلاگین‌ها، نسخه‌های قدیمی وردپرس که هنوز آپدیت نشده‌اند، صفحه لاگین و نیز قالب‌ها.

شما کاربران می‌توانید علاوه بر مطالعه مقالات SEOEDU که دسترنج تولید محتوا متنی حرفه‌ای و کاربردی در زمینه سئو است، از دوره‌های آموزشی ما نیز استفاده کنید. کافیست حتما سری به منوی در بخش “جدیدترین دوره‌ها” بزنید.