روش های برقراری امنیت وب سایت های فروشگاهی بر پایه وردپرس

امنیت وردپرس یک موضوع بسیار مهم برای هر وب سایت وردپرسی است. تقریبا می توان این گونه بیان نمود که هر هفته، گوگل لیست سیاهی از وب سایت ها برای بدافزار ها حدود ۲۰،۰۰۰ و تقریبا حدود ۵۰،۰۰۰ برای فیشینگ ارائه می دهد. اگر شما هم وب سایت وردپرسی دارید، باید بهترین شیوه های امنیتی وردپرس را به خاطر بسپارید. در این مقاله ما می خواهیم به معرفی برخی از روش های افزایش امنیت وردپرس بپردازیم.

اهمیت افزایش امنیت وردپرس

سایت وردپرس هک شده می تواند باعث آسیب جدی به درآمد کسب و کار و شهرت شما شود. هکرها با بد افزار ها می توانند اطلاعات کاربر، رمزهای عبور را سرقت کنند و سایت وردپرسی شما را هک نمایند.

همچنین گاهی اوقات برای دسترسی به سایت خود مجبور می شوید هزینه ای را به هکر ها پرداخت نمایید تا بتوانید مجددا به سایت خود دسترسی داشته باشید. اگر شما دارای یک وب سایت فروشگاهی برای کسب و کار آنلاین خود هستید، باید توجه بیشتری به امنیت وردپرس سایت خود داشته باشید.

در ادامه می خواهیم برخی از روش های برقراری امنیت وردپرس را بیان نماییم.

روش های برقراری امنیت وردپرس

۱- بروز رسانی وردپرس برای برقراری امنیت وردپرس

وردپرس یک نرم افزار منبع باز است که به طور مرتب بروز رسانی می شود. به طور پیش فرض، وردپرس به طور خودکار بروز رسانی های جزئی را انجام می دهد، اما برای نسخه های اصلی، شما باید به صورت دستی بروز رسانی را انجام دهید.

وردپرس دارای هزاران افزونه و تم است که می توانید در وب سایت خود آن ها را نصب نمایید. این افزونه ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری و به طور مرتب بروز رسانی می شوند.

بروز رسانی های وردپرس برای امنیت و ثبات سایت WordPress امری ضروری به شمار می آید. شما باید مطمئن باشید که هسته اصلی، پلاگین ها و تم های سایت وردپرس شما بروز شده اند.

۲-رمز عبور قوی انتخاب نمایید.

یکی از شایع ترین هک شدن سایت های وردپرس، استفاده از کلمات عبور ضعیف است.

با استفاده از کلمه عبور قوی تر که برای وب سایت شما منحصر به فرد است، می توانید این کار را دشوار کنید،اما نه تنها برای بخش مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس ایمیل رمز عبور قوی و منحصر به فرد انتخاب نمایید.

یکی از اصلی ترین دلایلی که مبتدیان از کلمات عبور قوی استفاده نمی کنند، می تواند این باشد که کلمه عبور قوی و سخت را ممکن است فراموش نمایند. برای رفع این مشکل کافیست از یک اپلیکیشن مدیریت رمز عبور استفاده نمایید.

۳- نقش هاست در امنیت وردپرس

سرویس هاست وردپرس شما مهم ترین نقش را در امنیت سایت وردپرسی شما دارد. یک ارائه دهنده هاست خوب مانند BlueHost یا Siteground اقدامات لازم را برای محافظت از سرور خود در برابر تهدیدات رایج هکرها انجام می دهد.

با این حال، در هاست وب، منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. در این صورت احتمال حمله هکرها از یک سایت همسایه برای حمله به وب سایت شما وجود دارد.

با استفاده از سرویس هاست وردپرس مدیریت شده یک پلتفرم امن تر برای وب سایت شما فراهم می کند. شرکت های مدیریت هاست وردپرس پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می دهند.

۴- backup وردپرس را فعال نمایید.

Backup اولین مرحله برای دفاع در برابر هر حمله به سایت وردپرسی است.هکرها اگر می توانند وب سایت های دولتی را هک نماید، پسهک کردن سایت های فروشگاهی شما نیز کار چندان سختی نیست. backup به شما اجازه می دهد تا به سرعت سایت وردپرس خود را در صورت بروز هر اتفاق بدی نجات دهید.

وردپرس پلاگین های پشتیبان گیری رایگان و پرداختی را دارد که می توانید از آن استفاده کنید. مهم ترین مواردی که شما باید در زمان پشتیبان گیری به خاطر داشته باشید، این است که شما باید به طور مرتب backup کامل سایت را به یک قسمت به جز حساب خود ذخیره کنید.

پیشنهاد می کنیم آن را در یک سرویس ابر همانند Dropbox یا Stash ذخیره کنید. خوشبختانه backup با استفاده از افزونه هایی همچون VaultPress یا BackupBuddy انجام می شود. کار با این دو افزونه بسیار ساده و راحت است.

۵-بهترین پلاگین امنیت وردپرس

پس از backup گیری، چیزی که باید انجام دهید، این است که یک سیستم حسابرسی و نظارت داشته باشد که همه ی آن چیزی را که در وب سایت شما اتفاق می افتد را ردیابی کند.

که این ردیابی و نظارت شامل نظارت کامل بر پرونده، تلاش ورود به سیستم، اسکن بدافزار و … است.

جالب است بدانید، این کار می تواند توسط بهترین پلاگین امنیتی رایگان وردپرس، Sucuri Scanner انجام شود. شما باید پلاگین رایگان Sucuri Security را نصب و فعال کنید. پس از فعال سازی، شما باید در منوی Sucuri در مدیر WordPress خود وارد شوید.

افزونه امنیت وردپرس

اولین چیزی که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. این امکان ورود به حسابرسی، بررسی صحت، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.

ساخت API رایگان

گام بعدی، که باید انجام دهید،کلیک کردن بر روی زبانه Hardening از منو Sucuri است.

افزونه امنیت وردپرس

این گزینه ها به شما کمک می کند زمینه های کلیدی که هکرها اغلب در حملات خود استفاده می کنند قفل نمایید. ت

پس از بخش Hardening ، تنظیمات پیش فرض دیگر این افزونه نیازی به تغییر ندارند. تنها چیزی که لازم است سفارشی کردن هشدارهای ایمیل است.

تنظیمات هشدار پیش فرض می تواند صندوق پستی را با ایمیل ها درهم آمیزد. پیشنهاد می کنیم هشدارهایی برای اقدامات کلیدی مانند تغییرات در پلاگین ها، ثبت نام کاربر جدید و … دریافت کنید. بنابراین می توانید هشدارها را با رفتن به Sucuri Settings Alerts پیکربندی کنید.

افزونه ایجاد امنیت وردپرس

این پلاگین امنیت وردپرس بسیار قوی است و یکی از بهترین پلاگین ها به شمار می آید.

۶-فایروال وب برنامه را فعال کنید (WAF)

ساده ترین راه محافظت از وب سایت وردپرسی فروشگاهی شما، استفاده از فایروال وب برنامه (WAF) است. فایروال قبل از اینکه حتی به وب سایت شما برسد، تمام ترافیک مخرب را متوقف می کند.

فایروال وب برنامه وردپرس

Sucuri یکی از بهترین فایروال وب برنامه برای وردپرس است. پیشنهاد می کنیم شما هم از از این برنامه منحصر به فرد در دنیای امروز استفاده نمایید.

Sucuri نه تنها ارائه دهنده فایروال است بلکه یکی از رقیب های محبوب Cloudflare به شمار می آید.

۷- نام کاربری admin را تغییر دهید.

اخیرا وردپرس ابا تغییراتی که نموده است در هنگام نصب آن نیاز به انتخاب یک نام کاربری سفارشی دارید.

با این حال، برخی از نصب کننده های وردپرس با یک کلیک، هنوز نام کاربری admin admin را به “admin” انتخاب می کنند.

از آنجا که وردپرس اجازه نمی دهد که به طور پیش فرض نام کاربری را تغییر دهید،با سه روش زیر می توانید نام کاربری را تغییر دهید.

نام کاربری جدید بسازید و نام کاربری قدیمی را پاک کنید.
با استفاده از پلاگین تغییر نام کاربری
به روزرسانی نام کاربری از phpMyAdmin

۸-غیر فعال کردن ویرایش فایل برای امنیت وردپرس

وردپرس همراه با یک ویرایشگر کد ساخته شده است که به شما اجازه می دهد که تم و فایل های پلاگین خود را از قسمت مدیریت وردپرس خود ویرایش کنید. در این حالت، این ویژگی می تواند یک خطر امنیتی باشد؛ چرا که ما توصیه می کنیم آن را خاموش کنید.

غیر فعال کردن ویرایش فایل

شما می توانید این کار را با اضافه کردن کد زیر در فایل wp-config.php خود انجام دهید.

افزایش امنیت وردپرس

غیر فعال کردن اجرای فایل پی اچ پی در دایرکتوری های خاص وردپرس

راه دیگری برای افزایش امنیت وردپرس شما بوسیله غیرفعال کردن اجرای فایل پی اچ پی در دایرکتوری هایی است که در آن نیازی نیست مانند / wp-content / uploads /.

شما می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را وارد کنید:

افزایش امنیت وردپرس

بعد، شما باید این فایل را به عنوان .htaccess ذخیره کنید و آن را با استفاده از یک سرویس گیرنده FTP در وب / وب سایت / wp-content / uploads / folders آپلود کنید.

۹-محدود کردن تلاش های ورود

به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا هر اندازه که می خواهند، وارد شوند. این مساله سایت سایت وردپرسی شما را آسیب پذیر می کند و هکرها سعی می کنند رمزهای عبور زیادی را برای ورود با ترکیب های مختلف امتحان نمایند.

این مساله را می توانید به راحتی با محدود کردن ورودهای ناموفق انجام شده توسط یک کاربر رفع کنید. برای انجام این کار ابتدا باید پلاگین Login LockDown را نصب و فعال کنید.

پس از فعال سازی، از تنظیمات »ورود به صفحه LockDown برای راه اندازی افزونه وارد شوید.

۱۰-تغییر پیشوند پایگاه داده وردپرس

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض وردپرس، استفاده می کند، هکرها به راحتی می توانند آن را حدس بزنند. به همین دلیل توصیه می کنیم حتما پیشوند پایگاه داده وردپرس را تغییر دهید.

۱۱-حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم

حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم

به طور معمول، هکرها می توانند پوشه wp-admin و صفحه ورود را بدون محدودیت درخواست کنند. این اجازه به آنها داده می شود تا ترفندهای هکری خود را امتحان کنند و یا حملات DDoS را اجرا کنند.

شما می توانید با اضافه نمودن حفاظت از رمز عبور اضافی در یک طرف سرور درخواست های آن ها را مسدود کنید.

۱۲-غیر فعال کردن نمایه سازی و مرور صفحات

غیر فعال کردن نمایه سازی و مرور صفحات

مرورگر دایرکتوری می تواند توسط هکرها مورد استفاده قرار گیرد تا فایلی را که دارای آسیب پذیری های شناخته شده است، را شناسایی کنند و بتوانند از این فایل ها برای دسترسی به سایت وردپرسی استفاده کنند.

همچنین مرورگر دایرکتوری می تواند توسط افراد دیگر مورد استفاده قرار گیرد تا فایل های خود را بررسی و تصاویر را کپی کنند. ساختار دایرکتوری شما و سایر اطلاعاتتان پیدا می کنند. به همین دلیل است که به شدت توصیه می شود که نمایه سازی و مرور صفحات را غیرفعال کنید.

شما باید با استفاده از FTP یا مدیر فایل cPanel به وب سایت خود وصل شوید. بعد، فایل .htaccess را در دایرکتوری ریشه وب سایت خود قرار دهید. سپس باید عبارت زیر را در انتهای فایل htaccess اضافه کنید:

options-indexes

و در نهایت فایل .htaccess را در سایت خود ذخیره و آپلود کنید.

۱۳-غیر فعال کردن XML-RPC در وردپرس

XML-RPC به طور پیش فرض در وردپرس ۳٫۵ فعال شده است،این امکان را به شما می دهد تا سایت وردپرس خود را با برنامه های وب و اپلیکیشن تلفن همراه متصل کنید.

به دلیل ماهیت قدرتمند آن، XML-RPC می تواند حملات خشونت آمیز را به طور قابل توجهی تقویت کند.

به عنوان مثال، به طور معمول اگر یک هکر با ۵۰۰ کلمه عبور مختلف می تواند وبسایت شما را امتحان کند، باید ۵۰۰ اقدام با ورود مجدد را انجام دهد که توسط افزونه ورود به سیستم قفل می شوند.

اما با استفاده از XML-RPC، یک هکر می تواند از عملکرد system.multicall برای تست هزاران کلمه عبور با ۲۰ یا ۵۰ درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نکنید و ۷یشنهاد می کنیم آن را غیر فعال کنید.

۱۴- log out کاربران بیکار وردپرس

گاهی اوقات کاربرانی که وارد سیستم شده اند، می توانند از صفحه نمایش دور بمانند و این امر یک خطر امنیتی است.

به همین دلیل است که بسیاری از بانک های و سایت های مالی به طور خودکار کاربران غیر فعال را خارج می کنند. شما می توانید عملکرد مشابه در سایت فروشگاهی وردپرسی خود انجام دهید.

شما باید پلاگین غیر فعال نمودن کاربران را نصب و فعال نمایید. پس از فعال سازی، از تنظیمات »صفحه ورود به سیستم غیر فعال، تنظیمات پلاگین را تغییر دهید.

log out کاربران بیکار وردپرس

به سادگی می توانید مدت زمان تعریف کرده و کادر کنار گزینه «غیرفعال کردن در wp admin» برای امنیت بهتر را علامت بزنید. فراموش نکنید که دکمه Save Change را کلیک کنید تا تنظیمات خود را ذخیره نمایید.

۱۵-سوالات امنیتی را به صفحه ورود اضافه کنید.

افزودن سوالات امنیتی

اضافه کردن یک سوال امنیتی به صفحه ورود به وردپرس باعث می شود امنیت وردپرس سایت شما افزایش یابد.

شما می توانید سؤالات امنیتی را با نصب افزونه WP Security Questions اضافه کنید. پس از فعال سازی، برای تنظیم پلاگین تنظیمات، باید از صفحه تنظیمات »صفحه سوالات امنیتی را مشاهده نمایید.

نتیجه گیری

در این مقاله برخی از بهترین روش های افزایش امنیت وردپرس بیان شده است. اگر شما هم یک وب سایت فروشگاهی وردپرسی دارید کافیست این روش های گفته شده را برای افزایش امنیت سایت وردپرسی خود بررسی نمایید تا با خیالی آسوده تر به کسب و کار خود بپردازید.