کلاس آموزش طراحی سایت

راهنمای نهایی امنیت وردپرس – گام به گام (۲۰۲۱)

امنیت وردپرس موضوعی است که از اهمیت زیادی برای هر صاحب وب سایت برخوردار است. Google هر روز حدود 10،000+ وب سایت را برای بدافزار و حدود 50،000 وب سایت را برای هر هفته برای فیشینگ در لیست سیاه قرار می دهد.

اگر در مورد وب سایت خود جدی هستید ، باید به بهترین اقدامات امنیتی وردپرس توجه کنید. در این راهنما ، ما بهترین نکات امنیتی WordPress را برای کمک به شما در محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک خواهیم گذاشت.

wordpresssecurityguide

 

در حالی که نرم افزار اصلی وردپرس بسیار ایمن است و توسط صدها نفر از توسعه دهندگان به طور منظم کنترل می شود ، اما کارهای زیادی می توان برای ایمن نگه داشتن سایت شما انجام داد.

ما تعدادی اقدامات عملی داریم که می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید.

برای سهولت کار ، ما یک جدول محتوا ایجاد کرده ایم که به شما کمک می کند تا به راحتی از طریق راهنمای امنیتی نهایی وردپرس خود حرکت کنید.

فهرست مطالب

مبانی امنیت وردپرس

  • چرا امنیت وردپرس مهم است؟
  • به روزرسانی وردپرس
  • گذرواژه ها و مجوزهای کاربر
  • نقش میزبانی وب

امنیت وردپرس در مراحل آسان (بدون کدگذاری)

  • یک راه حل پشتیبان گیری از وردپرس نصب کنید
  • بهترین پلاگین امنیتی وردپرس
  • فعال کردن فایروال برنامه وب (WAF)
  • سایت وردپرس را به SSL / HTTPS منتقل کنید

امنیت وردپرس برای کاربران DIY

  • نام کاربری پیش فرض “مدیر” را تغییر دهید
  • ویرایش پرونده را غیرفعال کنید
  • اجرای فایل PHP را غیرفعال کنید
  • تلاشهای ورود به سیستم را محدود کنید
  • تأیید اعتبار دو عامل را اضافه کنید
  • پیشوند پایگاه داده وردپرس را تغییر دهید
  • از WP-Admin محافظت کنید و وارد شوید
  • نمایه سازی فهرست و فهرست را غیرفعال کنید
  • XML-RPC را در وردپرس غیرفعال کنید
  • به طور خودکار از کاربران بیکار خارج شوید
  • س Securityالات امنیتی را به ورود به وردپرس اضافه کنید
  • اسکن وردپرس برای بدافزار و آسیب پذیری ها
  • رفع یک سایت هک شده وردپرس

آماده؟ بیایید شروع کنیم.

چرا امنیت وب سایت مهم است؟

یک سایت هک شده وردپرس می تواند آسیب جدی به درآمد و اعتبار کسب و کار شما وارد کند. هکرها می توانند اطلاعات کاربر ، رمزهای عبور ، نرم افزارهای مخرب را سرقت کنند و حتی می توانند بدافزار را به کاربران شما توزیع کنند.

بدتر از همه ، ممکن است خود را در ازای پرداخت باج افزار به هکرها بدست آورید تا فقط به وب سایت خود دسترسی پیدا کنید.

whysecurityisimportant

 

در مارس ۲۰۱۶ ، گوگل گزارش داد که بیش از ۵۰ میلیون کاربر وب سایت در مورد وب سایتی که از آن بازدید می کنند هشدار داده شده است ممکن است حاوی بدافزار یا اطلاعات سرقت باشد.

علاوه بر این ، Google هر هفته حدود 20،000 وب سایت را برای بدافزار و حدود 50،000 وب سایت را برای فیشینگ در لیست سیاه قرار می دهد.

اگر وب سایت شما یک تجارت است ، پس باید بیشتر به امنیت وردپرس خود توجه کنید.

مشابه نحوه مسئولیت صاحبان مشاغل در محافظت از ساختمان فیزیکی فروشگاه خود ، به عنوان یک مالک مشاغل آنلاین مسئولیت محافظت از وب سایت مشاغل خود بر عهده شماست.

 

به روزرسانی وردپرس

wpupdates

 

وردپرس یک نرم افزار منبع باز است که به طور منظم نگهداری و به روز می شود. به طور پیش فرض ، وردپرس به طور خودکار به روزرسانی های جزئی را نصب می کند. برای نسخه های اصلی ، شما باید دستی را به روز کنید.

وردپرس همچنین دارای هزاران افزونه و تم است که می توانید روی وب سایت خود نصب کنید. این افزونه ها و مضامین توسط توسعه دهندگان شخص ثالث که مرتباً نیز به روزرسانی می کنند ، نگهداری می شود.

این به روزرسانی های وردپرس برای امنیت و ثبات سایت وردپرسی شما بسیار مهم است. شما باید اطمینان حاصل کنید که هسته ، افزونه ها و موضوع وردپرس شما به روز باشد.

 

رمزهای عبور قوی و مجوزهای کاربر

strongpasswords

 

رایج ترین تلاش های هک وردپرس از رمزهای عبور سرقت شده استفاده می کند. با استفاده از رمزهای عبور قوی تر که برای وب سایت شما منحصر به فرد هستند ، می توانید این کار را دشوار کنید. نه فقط برای منطقه مدیریت وردپرس ، بلکه همچنین برای حساب های FTP ، پایگاه داده ، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند.

بسیاری از مبتدیان استفاده از رمزهای عبور قوی را دوست ندارند زیرا به سختی به خاطر سپرده می شوند. خوبی این است که دیگر نیازی به یادآوری رمزهای عبور نیست. می توانید از مدیر رمز عبور استفاده کنید. به راهنمای ما در مورد نحوه مدیریت رمزهای عبور وردپرس مراجعه کنید .

راه دیگر برای کاهش خطر این است که به هرکسی اجازه دسترسی به حساب مدیر وردپرس خود را ندهید ، مگر اینکه کاملاً مجبور شوید . اگر یک تیم بزرگ یا نویسنده مهمان دارید ، قبل از افزودن حساب های کاربری و نویسندگان جدید به سایت وردپرس خود ، مطمئن شوید که نقش و قابلیت های کاربر را در وردپرس درک کرده اید .

 

نقش میزبانی وردپرس

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرسی شما دارد. یک ارائه دهنده میزبانی مشترک مشترک مانند Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می دهد.

در اینجا نحوه کار یک شرکت میزبان وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما ارائه شده است.

  • آنها به طور مداوم شبکه خود را از نظر فعالیت مشکوک کنترل می کنند.
  • همه شرکت های میزبان خوب ابزارهایی برای جلوگیری از حملات گسترده DDOS در اختیار دارند
  • آنها نرم افزار سرور ، نسخه های php و سخت افزار خود را به روز نگه می دارند تا از سو hack استفاده آسیب پذیری های امنیتی در نسخه قدیمی توسط هکرها جلوگیری کنند.
  • آنها آماده استفاده از نقشه های بازیابی حوادث و حوادث هستند که به آنها امکان می دهد از داده های شما در صورت تصادف بزرگ محافظت کنند.

در یک برنامه میزبانی مشترک ، شما منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این در صورتی که هکر بتواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند ، خطر آلودگی بین سایت را باز می کند.

استفاده از سرویس میزبانی شده وردپرس بستر ایمن تری را برای وب سایت شما فراهم می کند. شرکت های مدیریت شده میزبان وردپرس پشتیبان گیری خودکار ، به روزرسانی خودکار وردپرس و پیکربندی های امنیتی پیشرفته تری را برای محافظت از وب سایت شما ارائه می دهند

ما WPEngine را به عنوان ارائه دهنده میزبانی مدیریت شده وردپرس مورد نظر خود پیشنهاد می کنیم. آنها همچنین محبوب ترین در صنعت هستند. ( کوپن ویژه WPEngine ما را ببینید ).

همچنین می توانید Liquid Web را که جایگزین مناسبی برای WP Engine است ، امتحان کنید.

 

امنیت وردپرس در مراحل آسان (بدون کدگذاری)

ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. مخصوصاً اگر اهل فن نباشید. حدس بزنید – شما تنها نیستید.

ما به هزاران کاربر وردپرس در تقویت امنیت وردپرس خود کمک کرده ایم.

ما به شما نشان خواهیم داد که چگونه فقط با چند کلیک می توانید امنیت وردپرس خود را بهبود بخشید (بدون نیاز به کدگذاری).

اگر می توانید اشاره و کلیک کنید ، می توانید این کار را انجام دهید!

یک راه حل پشتیبان گیری از وردپرس نصب کنید

wpbackup

 

پشتیبان گیری اولین دفاع شما در برابر هرگونه حمله وردپرس است. به یاد داشته باشید ، هیچ چیز 100٪ امن نیست. اگر وب سایت های دولتی می توانند هک شوند ، وب سایت های شما نیز می توانند این کار را انجام دهند.

در صورت بروز اتفاقات بد ، پشتیبان گیری به شما امکان می دهد به سرعت سایت وردپرس خود را بازیابی کنید.

افزونه های پشتیبان وردپرس رایگان و پولی زیادی وجود دارد که می توانید از آنها استفاده کنید. مهمترین نکته ای که باید در مورد تهیه نسخه پشتیبان بدانید این است که شما باید به طور مرتب پشتیبان گیری از سایت کامل را در یک مکان از راه دور (نه حساب میزبانی خود) ذخیره کنید.

توصیه می کنیم آن را در سرویس ابری مانند آمازون ، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.

براساس تعداد دفعات به روزرسانی وب سایت خود ، تنظیمات ایده آل ممکن است یک بار در روز یا پشتیبان گیری در زمان واقعی باشد.

خوشبختانه این کار با استفاده از افزونه هایی مانند UpdraftPlus یا BlogVault به راحتی قابل انجام است . هر دو قابل اطمینان هستند و از همه مهمتر استفاده از آنها آسان است (نیازی به کدگذاری نیست).

 

بهترین پلاگین امنیتی وردپرس

پس از تهیه نسخه پشتیبان ، کار بعدی که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت راه اندازی کنیم که همه اتفاقات وب سایت شما را ردیابی کند.

این شامل نظارت بر یکپارچگی پرونده ، تلاشهای ناموفق برای ورود به سیستم ، اسکن بدافزار و غیره است.

خوشبختانه ، این می تواند توسط بهترین افزونه رایگان امنیتی وردپرس ، Sucuri Scanner مراقبت شود .

شما باید پلاگین رایگان Sucuri Security را نصب و فعال کنید . برای اطلاعات بیشتر ، لطفاً به راهنمای گام به گام نحوه نصب افزونه وردپرس مراجعه کنید .

پس از فعال سازی ، باید به فهرست Sucuri در مدیر وردپرس خود بروید. اولین کاری که از شما خواسته می شود انجام دهید ایجاد یک کلید API رایگان است. این امکان ورود به سیستم حسابرسی ، بررسی یکپارچگی ، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.

sucuri apikey

 

مورد بعدی ، شما باید بر روی برگه “سخت شدن” از فهرست تنظیمات کلیک کنید. از هر گزینه استفاده کرده و بر روی دکمه “اعمال سخت” کلیک کنید.

security hardening

 

این گزینه ها به شما کمک می کند تا مناطق اصلی را که هکرها اغلب در حملات خود استفاده می کنند قفل کنید. تنها گزینه سخت افزاری که به روزرسانی پرداخت می شود ، Firewall Web Application Web است که در مرحله بعد توضیح خواهیم داد ، بنابراین فعلاً از آن صرف نظر کنید.

همچنین بعداً در این مقاله به بسیاری از این گزینه های “سخت سازی” برای کسانی که می خواهند بدون استفاده از افزونه یا مواردی که به مراحل دیگری مانند “تغییر پیشوند پایگاه داده” یا “تغییر نام کاربری مدیر” نیاز دارند ، پرداخته ایم.

بعد از قسمت سخت شدن ، تنظیمات پیش فرض افزونه برای اکثر وب سایت ها به اندازه کافی مناسب است و نیازی به هیچ تغییری نیست. تنها چیزی که توصیه می کنیم شخصی سازی کنید “هشدارهای ایمیل” است.

تنظیمات پیش فرض هشدار می تواند صندوق ورودی شما را با ایمیل سر و صدا کند. ما توصیه می کنیم هشدارها را برای اقدامات اصلی مانند تغییر در افزونه ها ، ثبت نام کاربر جدید و غیره دریافت کنید. با رفتن به تنظیمات Sucuri »هشدارها می توانید هشدارها را پیکربندی کنید.

emailalerts

 

این افزونه امنیتی وردپرس بسیار قدرتمند است ، بنابراین همه برگه ها و تنظیمات را مرور کنید تا تمام کارهایی که انجام می دهد مانند اسکن بدافزار ، گزارش های حسابرسی ، ردیابی تلاش برای ورود به سیستم و غیره.

فعال کردن فایروال برنامه وب (WAF)

ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس ، استفاده از فایروال برنامه وب (WAF) است.

فایروال وب سایت قبل از اینکه به وب سایت شما برسد ، همه بازدیدهای مخرب را مسدود می کند.

فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها امکان می دهد فقط ترافیک اصلی را به وب سرور شما ارسال کنند.

Application Level Firewall – این افزونه های فایروال پس از اینکه به سرور شما رسید اما قبل از بارگذاری اکثر اسکریپت های وردپرس ، میزان بازدید را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.

برای کسب اطلاعات بیشتر ، به لیست بهترین پلاگین های فایروال وردپرس ما مراجعه کنید .

sucuriwaf

 

ما از Sucuri به عنوان بهترین فایروال برنامه وب برای وردپرس استفاده و پیشنهاد می کنیم . می توانید در مورد چگونگی کمک Sucuri به ما در جلوگیری از 450000 حمله وردپرس در یک ماه بخوانید .

sucuriblockchart

 

بهترین قسمت در مورد فایروال Sucuri این است که با پاک سازی بدافزار و تضمین حذف لیست سیاه نیز همراه است. اساساً اگر قرار باشد زیر ساعت آنها هک شوید ، آنها تضمین می کنند که وب سایت شما را برطرف خواهند کرد (مهم نیست که چند صفحه داشته باشید).

این ضمانت بسیار محکمی است زیرا تعمیر وب سایت های هک شده بسیار گران است. کارشناسان امنیتی معمولاً هر ساعت 250 دلار هزینه می گیرند. در حالی که می توانید کل پشته امنیتی Sucuri را با 199 دلار در سال دریافت کنید.

با فایروال Sucuri امنیت WordPress خود را بهبود بخشید »

Sucuri تنها ارائه دهنده فایروال سطح DNS نیست. دیگر رقبای محبوب Cloudflare است. مقایسه ما با Sucuri vs Cloudflare (موافقان و مخالفان) را ببینید .

 

سایت وردپرس خود را به SSL / HTTPS منتقل کنید

SSL (لایه سوکت های امن) پروتکلی است که انتقال داده را بین وب سایت شما و مرورگر کاربران رمزگذاری می کند. این رمزگذاری باعث می شود که کسی در اطراف بو و سرقت اطلاعات را دشوار کند.

howsslworks

 

هنگامی که SSL را فعال کنید ، وب سایت شما به جای HTTP از HTTPS استفاده می کند ، همچنین علامت قفل در کنار آدرس وب سایت خود را در مرورگر مشاهده خواهید کرد.

گواهینامه های SSL معمولاً توسط مقامات صدور گواهینامه صادر می شوند و قیمت آنها از 80 دلار تا صدها دلار در هر سال شروع می شود. با توجه به هزینه اضافه شده ، بیشتر دارندگان وب سایت تصمیم گرفتند از پروتکل ناامن استفاده کنند.

برای رفع این مشکل ، یک سازمان غیر انتفاعی به نام Let’s Encrypt تصمیم گرفت گواهی SSL رایگان را به دارندگان وب سایت ارائه دهد. پروژه آنها توسط Google Chrome ، Facebook ، Mozilla و بسیاری از شرکتهای دیگر پشتیبانی می شود.

اکنون ، شروع به استفاده از SSL برای همه وب سایت های وردپرس خود از همیشه آسان تر است. اکنون بسیاری از شرکت های میزبان گواهی SSL رایگان برای وب سایت وردپرس شما ارائه می دهند .

همچنین بخوانید:   چگونه تصاویر را برا عملکرد بهتر وب بدون از دست دادن کیفیت بهینه کنیم

اگر شرکت میزبان شما یکی را ارائه نمی دهد ، پس می توانید یکی را از Domain.com خریداری کنید . آنها بهترین و مطمئن ترین معامله SSL را در بازار دارند. همراه با 10 هزار دلار ضمانت امنیتی و مهر امنیتی TrustLogo.

امنیت وردپرس برای کاربران DIY

اگر همه کارهایی را که تاکنون ذکر کردیم انجام دهید ، حال شما کاملاً خوب است.

اما مثل همیشه ، کارهای سخت دیگری وجود دارد که می توانید برای تقویت امنیت وردپرس خود انجام دهید.

برخی از این مراحل ممکن است به دانش کدگذاری نیاز داشته باشند.

نام کاربری پیش فرض “مدیر” را تغییر دهید

در زمان های قدیم ، نام کاربری مدیر پیش فرض وردپرس “admin” بود. از آنجا که نام های کاربری نیمی از اطلاعات ورود به سیستم را تشکیل می دهند ، این حملات را برای هکرها آسان تر می کند.

خوشبختانه ، وردپرس از آن زمان تاکنون این مورد را تغییر داده است و اکنون شما را ملزم به انتخاب نام کاربری سفارشی هنگام نصب وردپرس می کند .

با این حال ، برخی از نصب کنندگان وردپرس با یک کلیک ، هنوز نام کاربری مدیر پیش فرض را روی “مدیر” تنظیم می کنند. اگر چنین موردی را مشاهده کردید ، احتمالاً ایده خوبی است که میزبانی وب خود را تغییر دهید .

از آنجا که وردپرس به شما اجازه تغییر نام کاربری را به طور پیش فرض نمی دهد ، سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.

  1. نام کاربری مدیر جدید ایجاد کنید و نام قدیمی را حذف کنید.
  2. از افزونه تغییر نام کاربری استفاده کنید
  3. نام کاربری را از phpMyAdmin به روز کنید

ما در راهنمای دقیق خود در مورد چگونگی تغییر صحیح نام کاربری وردپرس (گام به گام) ما به این سه مورد پرداخته ایم .

توجه: ما در مورد نام کاربری به نام “مدیر” صحبت می کنیم ، نه نقش مدیر.

 

ویرایش پرونده را غیرفعال کنید

وردپرس دارای یک ویرایشگر کد داخلی است که به شما امکان می دهد تم و پرونده های پلاگین خود را از قسمت مدیر وردپرس ویرایش کنید. در دست اشتباه ، این ویژگی می تواند یک خطر امنیتی باشد به همین دلیل توصیه می کنیم آن را خاموش کنید.

fileeditinwp

 

با افزودن کد زیر در پرونده wp-config.php به راحتی می توانید این کار را انجام دهید .

۱
۲
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

متناوباً ، می توانید این کار را با استفاده از یک ویژگی کلیک کنید در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم ، با یک کلیک انجام دهید.

 

در برخی از دایرکتوری های وردپرس اجرای فایل PHP را غیرفعال کنید

روش دیگر برای سخت کردن امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در فهرست هایی است که نیازی به آن نیست مانند / wp-content / uploads /.

می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را جای گذاری کنید:

۱
۲
۳
<Files *.php>
deny from all
</Files>

در مرحله بعدی ، باید این فایل را به صورت .htaccess ذخیره کرده و با استفاده از سرویس گیرنده FTP آن را در / wp-content / uploads / پوشه ها در وب سایت خود بارگذاری کنید .

برای توضیحات بیشتر ، به راهنمای ما در مورد چگونگی غیرفعال کردن اجرای PHP در برخی از فهرست های وردپرس مراجعه کنید

متناوباً ، می توانید این کار را با استفاده از یک ویژگی کلیک کنید در افزونه رایگان Sucuri که در بالا به آن اشاره کردیم ، با یک کلیک انجام دهید.

 

تلاشهای ورود به سیستم را محدود کنید

به طور پیش فرض ، وردپرس به کاربران اجازه می دهد تا هر زمان که بخواهند وارد سیستم شوند. این باعث می شود سایت وردپرسی شما در برابر حملات brute force آسیب پذیر شود. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی می کنند رمزهای عبور را بشکنند.

با محدود کردن تلاشهای ناموفق برای ورود به سیستم ، کاربر می تواند به راحتی برطرف شود. اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، به طور خودکار از آن مراقبت می شود.

با این حال ، اگر نصب فایروال را ندارید ، مراحل زیر را دنبال کنید.

ابتدا باید افزونه Login LockDown را نصب و فعال کنید. برای جزئیات بیشتر ، به راهنمای گام به گام نحوه نصب افزونه وردپرس مراجعه کنید .

پس از فعال سازی ، برای تنظیم افزونه به تنظیمات »ورود به صفحه LockDown مراجعه کنید.

loginlockdownoptions

 

برای دستورالعمل های دقیق ، به راهنمای ما در مورد چگونگی و چرایی تلاش برای ورود به سیستم در وردپرس نگاهی بیندازید .

 

تأیید اعتبار دو عامل را اضافه کنید

روش احراز هویت دو عاملی با استفاده از روش احراز هویت دو مرحله ای ، کاربران را مجبور به ورود می کند. اولین مورد نام کاربری و رمز عبور است و مرحله دوم نیاز به احراز هویت با استفاده از دستگاه یا برنامه جداگانه دارد.

اکثر وب سایت های آنلاین برتر مانند Google ، Facebook ، Twitter به شما امکان می دهند آن را برای حساب های خود فعال کنید. همچنین می توانید همان عملکرد را به سایت وردپرس خود اضافه کنید.

ابتدا باید پلاگین Two Factor Authentication را نصب و فعال کنید. پس از فعال سازی ، باید روی پیوند “Two Factor Auth” در نوار کناری مدیریت وردپرس کلیک کنید.

twofactorbarcode

 

در مرحله بعدی ، باید برنامه تأیید اعتبار را در تلفن خود نصب و باز کنید. چندین مورد از آنها مانند Google Authenticator ، Authy و LastPass Authenticator در دسترس است.

ما توصیه می کنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما امکان می دهند از حسابهای خود در cloud پشتیبان تهیه کنید. این مورد درصورت گم شدن تلفن ، تنظیم مجدد یا خرید تلفن جدید بسیار مفید است. تمام ورود به سیستم حساب شما به راحتی بازیابی می شود.

ما از LastPass Authenticator برای آموزش استفاده خواهیم کرد. با این حال ، دستورالعمل ها برای همه برنامه های خودکار مشابه هستند. برنامه احراز هویت خود را باز کنید و سپس روی دکمه افزودن کلیک کنید.

addsite

 

از شما سال می شود که آیا می خواهید یک سایت را به صورت دستی اسکن کنید یا بارکد را اسکن کنید. گزینه اسکن بارکد را انتخاب کنید و سپس دوربین تلفن خود را بر روی QRcode نشان داده شده در صفحه تنظیمات افزونه قرار دهید.

این همه ، برنامه احراز هویت شما اکنون آن را ذخیره می کند. دفعه دیگر که وارد وب سایت خود می شوید ، پس از وارد کردن رمز ورود ، کد auth دو عاملی از شما خواسته می شود.

enter2stepauth

 

به سادگی برنامه تأیید اعتبار را در تلفن خود باز کنید و کدی را که روی آن می بینید وارد کنید.

 

پیشوند پایگاه داده وردپرس را تغییر دهید

به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند تمام جداول موجود در پایگاه داده وردپرس شما استفاده می کند . اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند ، حدس زدن نام جدول شما برای هکرها آسان تر است. به همین دلیل است که توصیه می کنیم آن را تغییر دهید.

با دنبال کردن آموزش گام به گام نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت ، می توانید پیشوند پایگاه داده خود را تغییر دهید .

توجه: اگر این کار به درستی انجام نشود ، می تواند سایت شما را خراب کند. فقط در صورت احساس راحتی با مهارت رمزگذاری ، اقدام کنید.

 

از رمز عبور محافظت کنید از وردپرس و صفحه ورود به سیستم

 

 

به طور معمول ، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون هیچ محدودیتی درخواست کنند. این به آنها امکان می دهد ترفندهای هک شده خود را امتحان کنند یا حملات DDoS را انجام دهند.

می توانید حفاظت اضافی از رمز عبور را در سطح سمت سرور اضافه کنید ، که به طور موثر این درخواست ها را مسدود می کند.

دستورالعمل های گام به گام ما را در مورد چگونگی محافظت از رمز عبور مدیر وردپرس (wp-admin) ما دنبال کنید .

 

نمایه سازی فهرست و فهرست را غیرفعال کنید

disabledirectorybrowsing

 

هکرها می توانند از فهرست دایرکتوری استفاده کنند تا بفهمند آیا پرونده ای با آسیب پذیری های شناخته شده دارید یا خیر ، بنابراین آنها می توانند با استفاده از این پرونده ها دسترسی پیدا کنند.

افراد دیگر می توانند از فهرست دایرکتوری برای جستجوی پرونده های شما ، کپی کردن تصاویر ، یافتن ساختار دایرکتوری و سایر اطلاعات استفاده کنند. به همین دلیل توصیه می شود فهرست بندی فهرست و فهرست را خاموش کنید.

شما باید با استفاده از مدیر پرونده FTP یا cPanel به وب سایت خود متصل شوید. سپس ، پرونده .htaccess را در دایرکتوری ریشه وب سایت خود قرار دهید. اگر نمی توانید آن را در آنجا مشاهده کنید ، به راهنمای ما مراجعه کنید که چرا نمی توانید فایل htaccess را در وردپرس مشاهده کنید .

پس از آن ، باید خط زیر را در انتهای پرونده .htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل .htaccess را ذخیره و بارگذاری کنید تا به سایت خود بازگردد برای اطلاعات بیشتر در مورد این موضوع ، به مقاله ما در مورد نحوه غیرفعال کردن فهرست فهرست در وردپرس مراجعه کنید .

 

XML-RPC را در وردپرس غیرفعال کنید

XML-RPC به طور پیش فرض در وردپرس 3.5 فعال شده است زیرا به شما کمک می کند سایت وردپرس خود را با وب و برنامه های تلفن همراه متصل کنید.

به دلیل ماهیت قدرتمند خود ، XML-RPC می تواند حملات brute-force را به میزان قابل توجهی تقویت کند.

به عنوان مثال ، به طور معمول اگر یک هکر بخواهد ۵۰۰ گذرواژه مختلف را در وب سایت شما امتحان کند ، مجبور است ۵۰۰ تلاش ورود به سیستم جداگانه انجام دهد که توسط پلاگین logdown lockdown گیر و مسدود می شود.

اما با XML-RPC ، یک هکر می تواند با استفاده از تابع system.multicall هزاران رمز عبور را با 20 یا 50 درخواست درخواست کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید ، توصیه می کنیم آن را غیرفعال کنید.

۳ روش برای غیرفعال کردن XML-RPC در وردپرس وجود دارد که ما در آموزش گام به گام نحوه غیرفعال کردن XML-RPC در وردپرس به همه آنها پرداخته ایم .

نکته: بهترین روش htaccess است زیرا کمترین میزان مصرف منابع را دارد.

اگر از فایروال برنامه وب که قبلاً ذکر شد استفاده می کنید ، پس می توان این فایروال را از آن مراقبت کرد.

 

به طور خودکار کاربران بیکار را در وردپرس خارج کنید

کاربران وارد شده می توانند گاهی از صفحه دور شوند و این یک خطر امنیتی است. شخصی می تواند جلسه خود را ربوده ، گذرواژه ها را تغییر دهد یا در حساب خود تغییراتی ایجاد کند.

به همین دلیل بسیاری از سایت های بانکی و مالی به طور خودکار از یک کاربر غیرفعال خارج می شوند. همچنین می توانید عملکرد مشابهی را در سایت وردپرس خود پیاده سازی کنید.

شما باید پلاگین Inactive Logout را نصب و فعال کنید. پس از فعال سازی ، برای پیکربندی تنظیمات افزونه به صفحه تنظیمات » صفحه غیرفعال خارج شوید.

inactiveuserlogout

 

به سادگی مدت زمان را تنظیم کنید و یک پیام خروج اضافه کنید. فراموش نکنید که برای ذخیره تنظیمات خود بر روی دکمه ذخیره تغییرات کلیک کنید.

 

سوالات امنیتی را به صفحه ورود به وردپرس اضافه کنید

wpsecurityquestion

 

افزودن س securityال امنیتی به صفحه ورود به وردپرس دسترسی به غیرمجاز را برای کسی دشوارتر می کند.

با نصب افزونه WP Security Questions می توانید س questionsالات امنیتی اضافه کنید. پس از فعال سازی ، برای پیکربندی تنظیمات افزونه باید به صفحه تنظیمات »س Quesالات امنیتی بروید.

برای راهنمایی های دقیق تر ، به آموزش ما در مورد چگونگی افزودن سوالات امنیتی به صفحه ورود وردپرس مراجعه کنید .

 

اسکن وردپرس برای بدافزار و آسیب پذیری ها

malwarescan

 

اگر یک افزونه امنیتی وردپرس نصب کرده باشید ، آن پلاگین ها به طور منظم از نظر بدافزار و نشانه های نقض امنیت بررسی می شوند.

با این حال ، اگر یک افت ناگهانی در بازدید از وب سایت یا رتبه بندی جستجو مشاهده کردید ، ممکن است بخواهید دستی اسکن کنید. می توانید از افزونه امنیتی وردپرس خود استفاده کنید ، یا از یکی از این بدافزارها و اسکنرهای امنیتی استفاده کنید .

اجرای این اسکن های آنلاین کاملاً رو به جلو است ، شما فقط URL های وب سایت خود را وارد کرده و خزنده های آنها از طریق وب سایت شما به دنبال بدافزار شناخته شده و کد مخرب می گردند.

اکنون بخاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند بدافزار را حذف کنند یا یک سایت هک شده وردپرس را تمیز کنند.

این ما را به بخش بعدی می رساند ، بدافزارها و سایت های وردپرس هک شده را پاکسازی می کنیم.

 

رفع یک سایت هک شده وردپرس

بسیاری از کاربران وردپرس اهمیت هک شدن نسخه پشتیبان و امنیت وب سایت را درک نمی کنند.

تمیز کردن سایت وردپرس بسیار دشوار و وقت گیر است. اولین توصیه ما این است که اجازه دهید یک متخصص از آن مراقبت کند.

هکرها دربهای پشتی را در سایتهای آسیب دیده نصب می کنند و اگر این درب پشتی ها به درستی برطرف نشود ، وب سایت شما احتمالاً دوباره هک می شود.

اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای رفع مشکل وب سایت شما اطمینان از استفاده مجدد سایت شما را تضمین می کند. همچنین از شما در برابر حملات بعدی محافظت می کند.

برای کاربران ماجراجو و DIY ، ما راهنمای گام به گام در مورد رفع یک سایت هک شده وردپرس را تهیه کرده ایم .

 

این همه ، امیدواریم این مقاله به شما کمک کند تا بهترین روش های امنیتی وردپرس را یاد بگیرید و همچنین بهترین پلاگین های امنیتی وردپرس را برای وب سایت خود کشف کنید.

آشکار سازی:ما در تیلو وب با پایبندی به اصول اخلاقی و اجتماعی به قانون کپی رایت احترام می گزاریم و اعلام می نماییم این مطلب از سایت
www.wpbeginner.com
برداشت و ترجمه شده است.با سپاس از توجه شما.

 

یوتیوب ما: TILOWEB

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دنبال چی میگردی؟

اگر چیزی پیدا نکردی به پشتیبانی پیام بده