امنیت وردپرس یک موضوع بسیار مهم برای هر صاحب وب سایت است.
اگر در مورد وب سایت خود جدی هستید، باید به بهترین شیوه های امنیتی وردپرس توجه کنید. در غیر این صورت، شما ممکن است یکی از بیش از ۱۰،۰۰۰ وب سایت Google باشید که هر روز برای بدافزار و فیشینگ در لیست سیاه قرار می گیرد.
در این راهنما، ما نکات امنیتی برتر وردپرس خود را برای کمک به محافظت از وب سایت خود در برابر هکرها و بدافزارها به اشتراک خواهیم داشت.
در حالی که نرم افزار اصلی وردپرس بسیار امن است و به طور منظم توسط صدها توسعه دهنده حسابرسی می شود، هنوز کارهای زیادی باید انجام شود تا سایت شما امن باشد.
در WPBeginner، ما معتقدیم که امنیت فقط در مورد حذف خطر نیست. همچنین در مورد کاهش خطر است. به عنوان یک صاحب وب سایت، کارهای زیادی وجود دارد که می توانید برای بهبود امنیت وردپرس خود انجام دهید، حتی اگر تکنولوژی را درک نکنید.
در این مقاله، ما لیستی از اقدامات عملی را که می توانید برای محافظت از وب سایت خود در برابر اسیب پذیری های امنیتی انجام دهید، جمع بندی می کنیم.
برای اسان کردن ان، ما یک جدول از محتویات ایجاد کرده ایم تا به شما کمک کند تا به راحتی از طریق راهنمای امنیتی نهایی وردپرس ما حرکت کنید.
فهرست
مبانی امنیت وردپرس
- چرا امنیت وردپرس مهم است
- وردپرس را به روز نگه دارید
- استفاده از کلمات عبور قوی و مجوز کاربر
- درک نقش میزبانی وردپرس
امنیت وردپرس در مراحل اسان (بدون کدنویسی)
- راه حل پشتیبان وردپرس را نصب کنید
- نصب یک پلاگین امنیتی وردپرس معتبر
- فعال کردن فایروال برنامه وب (WAF)
- سایت وردپرس خود را به SSL / HTTPS منتقل کنید
امنیت وردپرس برای کاربران DIY
- تغییر نام کاربری مدیریت پیشفرض
- غیرفعالسازی ویرایش پرونده
- غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوری های وردپرس
- محدود کردن تلاش های ورود
- اضافه کردن احراز هویت دو عامل (۲FA)
- تغییر پیشوند پایگاه داده وردپرس
- حفاظت از رمز عبور صفحه مدیریت و ورود وردپرس
- غیرفعال کردن نمایهسازی و مرور فهرست راهنما
- غیر فعال کردن XML-RPC در وردپرس
- به صورت خودکار از کاربران بیکار در وردپرس خارج شوید
- اضافه کردن سوالات امنیتی به وردپرس ورود
- اسکن وردپرس برای نرم افزارهای مخرب و اسیب پذیری
- رفع هک وردپرس سایت
آماده ؟ بیا شروع کنیم
چرا امنیت وب سایت مهم است
یک وب سایت وردپرس هک شده می تواند باعث اسیب جدی به درامد و شهرت کسب و کار شما شود. هکرها می توانند اطلاعات کاربر و رمزهای عبور را سرقت کنند، نرم افزارهای مخرب را نصب کنند و حتی بدافزار را به کاربران شما توزیع کنند.
بدتر از همه، شما ممکن است خود را در حال پرداخت باج افزار به هکرها فقط برای دسترسی مجدد به وب سایت خود پیدا کنید.
گوگل هر روز به ۱۲ تا ۱۴ میلیون کاربر هشدار می دهد که وب سایتی که می خواهند از ان بازدید کنند ممکن است حاوی بدافزار یا سرقت اطلاعات باشد.
علاوه بر این، گوگل روزانه حدود ۱۰،۰۰۰ وب سایت را برای بدافزار یا فیشینگ در لیست سیاه قرار می دهد.
همانطور که صاحبان کسب و کار با یک مکان فیزیکی مسئولیت حفاظت از اموال خود را دارند، صاحبان کسب و کار انلاین باید توجه بیشتری به امنیت وردپرس خود داشته باشند.
وردپرس را به روز نگه دارید
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2023/12/easy-updates.png” /></figure>
<p><span lang= "Easily update WordPress")
وردپرس یک نرم افزار منبع باز است و به طور منظم نگهداری و به روز می شود. به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند.
برای انتشار عمده، شما باید به صورت دستی به روز رسانی را اغاز کنید.
وردپرس همچنین با هزاران پلاگین و تم همراه است که می توانید در وب سایت خود نصب کنید. این افزونه ها و تم ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور منظم به روز رسانی ها را نیز منتشر می کنند.
این به روز رسانی وردپرس برای امنیت و ثبات سایت وردپرس شما بسیار مهم است. شما باید اطمینان حاصل کنید که هسته وردپرس، افزونه ها و تم شما به روز هستند.
استفاده از کلمات عبور قوی و مجوز کاربر
رایج ترین تلاش های هک وردپرس از رمزهای عبور سرقت شده استفاده می کنند. شما می توانید این کار را با استفاده از گذرواژه های قوی تر که منحصر به وب سایت شما هستند، دشوار کنید.
ما فقط در مورد منطقه مدیریت وردپرس صحبت نمی کنیم. به یاد داشته باشید که رمزهای عبور قوی برای حساب های FTP، پایگاه داده ها، حساب های میزبانی وردپرس و ادرس های ایمیل سفارشی که از نام دامنه سایت شما استفاده می کنند، ایجاد کنید.
بسیاری از مبتدیان دوست ندارند از رمزهای عبور قوی استفاده کنند زیرا به یاد اوردن انها دشوار است. نکته خوب این است که دیگر نیازی به یاداوری رمزهای عبور ندارید زیرا فقط می توانید از یک مدیر رمز عبور استفاده کنید.
راه دیگری برای کاهش خطر این است که به هیچ امکان دسترسی به حساب کاربری وردپرس خود را ندهید مگر اینکه کاملا مجبور باشید.
اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اضافه کردن حساب های کاربری و نویسندگان جدید به سایت وردپرس خود، اطمینان حاصل کنید که نقش ها و قابلیت های کاربر را در وردپرس درک می کنید.
درک نقش میزبانی وردپرس
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2023/07/wpengine.jpg” /></a></figure>
<p><span lang= "WP Engine WordPress Hosting Homepage")
سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما بازی می کند. یک ارائه دهنده میزبانی مشترک خوب مانند Hostinger، Bluehost یا SiteGround اقدامات بیشتری را برای محافظت از سرورهای خود در برابر تهدیدات مشترک انجام می دهد.
در اینجا فقط چند راه وجود دارد که شرکت های میزبانی وب خوب در پس زمینه برای محافظت از وب سایت ها و داده های شما کار می کنند:
- انها به طور مداوم شبکه خود را برای فعالیت های مشکوک نظارت می کنند.
- همه شرکت های میزبانی خوب ابزارهایی برای جلوگیری از حملات DDoS در مقیاس بزرگ دارند.
- انها نرم افزار سرور، نسخه های PHP و سخت افزار خود را به روز نگه می دارند تا از هکرها از بهره برداری از یک اسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند.
- انها برنامه های بازیابی و حوادث فاجعه را اماده کرده اند که به انها اجازه می دهد تا در صورت وقوع یک حادثه بزرگ از داده های شما محافظت کنند.
در یک برنامه میزبانی مشترک، منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. خطر الودگی متقابل سایت وجود دارد که در ان یک هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند.
در مقابل، استفاده از یک سرویس میزبانی وردپرس مدیریت شده یک پلت فرم امن تر برای وب سایت شما فراهم می کند. شرکت های میزبانی وردپرس مدیریت شده پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت خود ارائه می دهند
ما WP Engine را به عنوان ارائه دهنده میزبانی وردپرس مدیریت شده ترجیح می دهیم. انها همچنین محبوب ترین ارائه دهنده در صنعت هستند.
اطمینان حاصل کنید که شما بهترین معامله با استفاده از کوپن WP موتور ویژه ما.
امنیت وردپرس در چند مرحله اسان (بدون کدنویسی)
ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد، اگر شما فنی نیستید. حدس بزنید چه چیزی – شما تنها نیستید.
ما به هزاران نفر از کاربران وردپرس در سخت تر کردن امنیت وردپرس خود کمک کرده ایم.
ما به شما نشان خواهیم داد که چگونه می توانید امنیت وردپرس خود را فقط با چند کلیک (بدون نیاز به برنامه نویسی) بهبود بخشید.
اگر می توانید اشاره و کلیک کنید، می توانید این کار را انجام دهید!
۱. راه حل پشتیبان وردپرس را نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هر حمله وردپرس است. به یاد داشته باشید، هیچ چیز ۱۰۰٪ امن نیست. اگر وب سایت های دولتی می توانند هک شوند، پس وب سایت شما نیز می تواند هک شود.
پشتیبان گیری به شما اجازه می دهد تا به سرعت سایت وردپرس خود را در صورتی که اتفاق بدی رخ دهد، بازیابی کنید.
بسیاری از پلاگین های پشتیبان وردپرس رایگان و پرداخت شده وجود دارد که می توانید از انها استفاده کنید. مهمترین چیزی که هنگام پشتیبان گیری باید بدانید این است که شما باید به طور منظم پشتیبان گیری کامل سایت را در یک مکان از راه دور (نه حساب میزبانی خود) ذخیره کنید.
ما توصیه می کنیم ان را در یک سرویس ابری مانند امازون، Dropbox یا ابرهای خصوصی مانند Stash ذخیره کنید.
بر اساس اینکه چند بار وب سایت خود را به روز می کنید، تنظیمات ایده ال ممکن است یک بار در روز یا پشتیبان گیری در زمان واقعی باشد.
خوشبختانه این کار را می توان به راحتی با استفاده از افزونه هایی مانند Duplicator، UpdraftPlus یا BlogVault انجام داد. انها هر دو قابل اعتماد و مهمتر از همه اسان برای استفاده (بدون برنامه نویسی مورد نیاز).
برای اطلاعات بیشتر، راهنمای ما در مورد چگونگی پشتیبان گیری از وب سایت وردپرس خود را ببینید.
نصب یک پلاگین امنیتی وردپرس معتبر
پس از پشتیبان گیری، کار بعدی که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت ایجاد کنیم که هر چیزی را که در وب سایت شما اتفاق می افتد پیگیری کند.
این شامل نظارت بر یکپارچگی فایل، تلاش های ناموفق برای ورود، اسکن بدافزار و موارد دیگر است.
خوشبختانه، شما به راحتی می توانید با نصب یکی از بهترین افزونه های امنیتی وردپرس مانند Sucuri از این موضوع مراقبت کنید.
شما باید پلاگین رایگان Sucuri Security را نصب و فعال کنید. برای اطلاعات بیشتر، لطفا راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.
در حال حاضر، شما می توانید به داشبورد Sucuri Security بروید تا ببینید ایا پلاگین مشکلات فوری با کد وردپرس شما پیدا کرده است.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2024/02/sucuri-overview-dashboard.png” /></figure>
<p lang= "Setting up the Sucuri WordPress security plugin")
کار بعدی که باید انجام دهید این است که به صفحه Sucuri Security » Settings بروید و روی تب “Hardening” کلیک کنید.
تنظیمات پیش فرض برای اکثر وب سایت ها به خوبی کار می کند، بنابراین شما می توانید با کلیک بر روی دکمه “Apply Hardening” برای هر گزینه، انها را فعال کنید.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2024/02/security-hardening-sucuri-.png” /></figure>
<p lang= "Hardening your WordPress blog or website")
این به شما کمک می کند تا مناطق کلیدی را که هکرها اغلب در حملات خود استفاده می کنند، قفل کنید.
نکته: ما راه های بیشتری را برای سخت شدن وب سایت شما بعدا در این مقاله پوشش خواهیم داد، مانند تغییر پیشوند پایگاه داده و نام کاربری مدیریت. با این حال، اینها فنی تر هستند و ممکن است نیاز به دانش برنامه نویسی داشته باشند.
پس از بخش سخت شدن، سایر تنظیمات پیش فرض پلاگین برای اکثر وب سایت ها به اندازه کافی خوب است و نیازی به تغییر ندارد.
تنها چیزی که ما توصیه می کنیم سفارشی هشدارهای ایمیل است که می تواند در برگه “هشدارها” صفحه تنظیمات یافت شود.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2024/02/sucuri-alerts-security.png” /></figure>
<p lang= "Customizing your website's security alerts")
به طور پیش فرض، هشدارهای ایمیل زیادی دریافت خواهید کرد که می تواند صندوق ورودی شما را به هم ریخته کند.
ما توصیه می کنیم هشدارها را فقط برای اقدامات کلیدی که می خواهید در مورد ان مطلع شوید، مانند تغییرات پلاگین و ثبت نام کاربر جدید، فعال کنید.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2024/02/customizing-alerts-security.png” /></figure>
<p lang= "Customizing your WordPress security notifications")
این افزونه امنیتی وردپرس بسیار قدرتمند است، بنابراین از طریق تمام زبانه ها و تنظیمات مرور کنید تا همه کارهایی را که انجام می دهد مانند اسکن بدافزار، سیاهههای مربوط به حسابرسی، ردیابی تلاش برای ورود ناموفق و موارد دیگر را ببینید.
فعال کردن فایروال برنامه وب (WAF)
ساده ترین راه برای محافظت از سایت شما و اعتماد به نفس در مورد امنیت وردپرس شما استفاده از فایروال برنامه وب (WAF) است.
فایروال وب سایت تمام ترافیک مخرب را قبل از اینکه حتی به وب سایت شما برسد مسدود می کند.
- یک فایروال وب سایت سطح DNS ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کند. این اجازه می دهد تا ان را به ارسال تنها ترافیک واقعی به وب سرور خود را.
- یک فایروال سطح برنامه هنگامی که به سرور شما می رسد ، ترافیک را بررسی می کند ، اما قبل از بارگیری بیشتر اسکریپت های وردپرس. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارامد نیست.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2012/02/howsucuriworks.png” /></figure>
<p> </p>
<p> </p>
<figure class= "How website firewall blocks attacks")
بهترین بخش در مورد فایروال Sucuri این است که همچنین با پاکسازی بدافزار و تضمین حذف لیست سیاه همراه است. این بدان معنی است که اگر شما تحت نظارت انها هک شوید، انها تضمین می کنند که وب سایت شما را تعمیر کنند، مهم نیست که چند صفحه دارید.
این یک گارانتی بسیار قوی است زیرا تعمیر وب سایت های هک شده گران است. کارشناسان امنیتی به طور معمول بیش از ۲۵۰ دلار در ساعت هزینه می کنند، در حالی که شما می توانید کل پشته امنیتی Sucuri را برای ۱۹۹ دلار برای یک سال کامل دریافت کنید.
گفته می شود، Sucuri تنها ارائه دهنده فایروال سطح DNS نیست. رقیب محبوب دیگر Cloudflare است.
سایت وردپرس خود را به SSL / HTTPS منتقل کنید
SSL (Secure Sockets Layer) یک پروتکل است که انتقال داده ها را بین وب سایت شما و مرورگر کاربر رمزگذاری می کند. این رمزگذاری باعث می شود که کسی برای بو کشیدن و سرقت اطلاعات سخت تر شود.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2023/08/howsslworks.png” /></figure>
<p><span lang= "How SSL Works")
هنگامی که SSL را فعال می کنید، ادرس وب سایت شما از HTTPS به جای HTTP استفاده می کند. شما همچنین یک قفل یا علامت ایکون مشابه را در کنار ادرس وب سایت خود در مرورگر مشاهده خواهید کرد.
گواهینامه های SSL معمولا توسط مقامات گواهینامه صادر می شوند و قیمت انها از ۸۰ تا صدها دلار در سال شروع می شود. با توجه به هزینه های اضافی، اکثر صاحبان وب سایت در گذشته تصمیم گرفتند از پروتکل ناامن استفاده کنند.
برای رفع این مشکل، یک سازمان غیر انتفاعی به نام Let’s Encrypt تصمیم گرفت گواهینامه های SSL رایگان را به صاحبان وب سایت ارائه دهد. پروژه انها توسط Google Chrome، فیس بوک، موزیلا و بسیاری از شرکت های دیگر پشتیبانی می شود.
اسان تر از همیشه شروع به استفاده از SSL برای تمام وب سایت های وردپرس خود کنید. بسیاری از شرکت های میزبانی در حال حاضر یک گواهی SSL رایگان برای وب سایت وردپرس شما ارائه می دهند.
اگر شرکت میزبانی شما یکی را ارائه نمی دهد، می توانید یک گواهینامه SSL را از Domain.com خریداری کنید. انها بهترین و مطمئن ترین معاملات SSL را در بازار دارند. این گواهینامه دارای ضمانت امنیتی ۱۰،۰۰۰ دلاری و مهر امنیتی TrustLogo است.
امنیت وردپرس برای کاربران DIY
اگر شما همه چیز را که ما تا کنون ذکر کردیم انجام دهید، پس شما در فرم بسیار خوبی هستید.
اما مثل همیشه، کارهای بیشتری وجود دارد که می توانید برای سخت تر کردن امنیت وردپرس خود انجام دهید.
به خاطر داشته باشید که برخی از این مراحل ممکن است نیاز به دانش برنامه نویسی داشته باشند.
تغییر نام کاربری مدیریت پیشفرض
در روزهای گذشته، نام کاربری پیش فرض مدیریت وردپرس “admin” بود. از انجا که نام های کاربری نیمی از اعتبار ورود را تشکیل می دهند، این امر هکرها را برای انجام حملات brute-force اسان تر می کند.
خوشبختانه، وردپرس از ان زمان این را تغییر داده است و اکنون شما باید یک نام کاربری سفارشی را در زمان نصب وردپرس انتخاب کنید..
با این حال، برخی از نصب کنندگان وردپرس با یک کلیک هنوز نام کاربری پیش فرض مدیریت را به “admin” تنظیم می کنند. اگر متوجه این موضوع شوید، احتمالا ایده خوبی است که میزبانی وب خود را تغییر دهید.
از انجا که وردپرس به شما اجازه نمی دهد نام کاربری را به طور پیش فرض تغییر دهید، سه روش وجود دارد که می توانید برای تغییر نام کاربری استفاده کنید.
- یک نام کاربری جدید ایجاد کنید و نام کاربری قدیمی را حذف کنید.
- استفاده از وصلۀ تغییر نام کاربری
- به روز رسانی نام کاربری از phpMyAdmin
توجه داشته باشید: فقط برای روشن شدن، ما در مورد تغییر نام کاربری به نام “admin” صحبت می کنیم، نه نقش کاربر مدیر، که گاهی اوقات “admin” نیز نامیده می شود.
غیرفعالسازی ویرایش پرونده
وردپرس همراه با یک ویرایشگر کد داخلی است که به شما اجازه می دهد تا پرونده های تم و پلاگین خود را از منطقه مدیریت وردپرس خود ویرایش کنید.
در دست اشتباه، این ویژگی می تواند یک خطر امنیتی باشد، به همین دلیل توصیه می کنیم ان را خاموش کنید.
شما به راحتی می توانید این کار را با اضافه کردن کد زیر به فایل wp-config.php خود و یا با یک پلاگین قطعه کد مانند WPCode (توصیه می شود):
|
۱
۲
|
// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true ); |
ما به شما نشان می دهیم که چگونه این کار را گام به گام در راهنمای ما در مورد چگونگی غیرفعال کردن ویرایشگرهای تم و پلاگین از پنل مدیریت وردپرس انجام دهید.
متناوبا، شما می توانید این کار را با ۱ کلیک با استفاده از ویژگی Hardening در پلاگین Sucuri رایگان ذکر شده در بالا انجام دهید.
غیرفعال کردن اجرای فایل PHP در برخی از دایرکتوری های وردپرس
راه دیگری برای سخت تر کردن امنیت وردپرس شما غیرفعال کردن اجرای فایل PHP در دایرکتوری هایی است که نیازی به ان نیست، مانند /wp-content/uploads/.
شما می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad و چسباندن این کد انجام دهید:
|
۱
۲
۳
|
<Files *.php>deny from all</Files> |
بعد، شما باید این فایل را به عنوان .htaccess ذخیره کنید و ان را در پوشه /wp-content/uploads/ در وب سایت خود با استفاده از یک سرویس گیرنده FTP اپلود کنید..
متناوبا، شما می توانید این کار را با ۱ کلیک با استفاده از ویژگی Hardening در پلاگین Sucuri رایگان که در بالا ذکر شد انجام دهید.
محدود کردن تلاش های ورود
به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا هر چند بار که می خواهند وارد سیستم شوند. این باعث می شود سایت وردپرس شما در برابر حملات brute-force اسیب پذیر باشد. این جایی است که هکرها سعی می کنند رمزهای عبور را با تلاش برای ورود به سیستم با ترکیبات مختلف بشکنند.
این را می توان به راحتی با محدود کردن تلاش های ناموفق ورود به سیستم یک کاربر می تواند ثابت کند. اگر از فایروال برنامه وب که قبلا ذکر شد استفاده می کنید، این به طور خودکار مراقبت می شود.
با این حال، اگر فایروال را تنظیم نکرده اید، می توانید با استفاده از مراحل زیر پیش بروید.
اول، شما نیاز به نصب و فعال کردن پلاگین رایگان Limit Login Attempts Reloaded دارید.
پس از فعال سازی، افزونه شروع به محدود کردن تعداد تلاش های ورود کاربران می کند.
تنظیمات پیش فرض برای اکثر وب سایت ها کار می کند، با این حال، شما می توانید انها را با مراجعه به تنظیمات » محدود کردن صفحه تلاش های ورود و کلیک بر روی زبانه تنظیمات در بالا سفارشی کنید. به عنوان مثال، برای مطابقت با قوانین GDPR، می توانید روی کادر انتخاب “انطباق GDPR” کلیک کنید.
اضافه کردن احراز هویت دو عامل (۲FA)
روش احراز هویت دو عاملی نیاز به ۲ مرحله مختلف برای ورود کاربران دارد:
- اولین قدم نام کاربری و رمز عبور است.
- مرحله دوم مستلزم ان است که شما از یک کد از یک دستگاه یا برنامه در اختیار خود استفاده کنید که هکرها نمی توانند به ان دسترسی پیدا کنند، مانند گوشی هوشمند شما.
اکثر وب سایت های انلاین برتر مانند گوگل، فیس بوک و توییتر به شما اجازه می دهند ان را برای حساب های خود فعال کنید. شما همچنین می توانید همان قابلیت را به سایت وردپرس خود اضافه کنید.
ابتدا باید افزونه WP 2FA – Two-factor Authentication را نصب و فعال کنید. برای اطلاعات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.
یک جادوگر کاربر پسند به شما کمک می کند پلاگین را تنظیم کنید و سپس یک کد QR به شما داده می شود.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2021/06/2fawp2fascanqrcode.png” /></figure>
<p lang= "Use Your Authenticator App to Scan the QR Code")
شما باید کد QR را با استفاده از یک برنامه احراز هویت در تلفن خود مانند Google Authenticator، Authy و LastPass Authenticator اسکن کنید.
توصیه می کنیم با استفاده از این برنامه LastPass Authenticator یا Authy زیرا انها اجازه می دهد تا شما را به بالا حساب های خود را به ابر. این بسیار مفید است در صورتی که تلفن شما گم شده است، تنظیم مجدد، و یا شما خرید یک تلفن جدید. تمام ورود به حساب شما به راحتی بازیابی خواهد شد.
اکثر این برنامه ها به روش مشابهی کار می کنند و اگر از Authy استفاده می کنید، به سادگی روی دکمه “+” یا “Add account” در برنامه احراز هویت کلیک کنید.
 100vw, 690px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2021/06/2fawp2fayoudonthaveanyaccountsyet.png” /></figure>
<p><span lang= "Click the + Button to Add an Account")
این به شما اجازه می دهد کد QR را در رایانه خود با استفاده از دوربین تلفن خود اسکن کنید. ممکن است ابتدا لازم باشد به برنامه اجازه دسترسی به دوربین را بدهید.
پس از دادن نام حساب، می توانید ان را ذخیره کنید.
دفعه بعد که وارد وب سایت خود می شوید، پس از وارد کردن رمز عبور خود، کد احراز هویت دو عاملی را از شما خواسته می شود.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2021/06/2fawp2faenterauthenticationcode.png” /></figure>
<p lang= "Users Must Enter an Authentication Code Before Logging In")
به سادگی برنامه احراز هویت را در تلفن خود باز کنید و یک کد یک بار را مشاهده خواهید کرد.
سپس می توانید کد را در وب سایت خود وارد کنید تا ورود به سیستم را به پایان برسانید.
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2021/06/2fawp2fatokenexpiresin.png” /></figure>
<p> </p>
<h2 id= "Find Your 2FA Token")
تغییر پیشوند پایگاه داده وردپرس
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس خود استفاده می کند.
اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، هکرها می توانند حدس بزنند که نام جدول شما چیست. به همین دلیل است که ما توصیه می کنیم ان را تغییر دهید.
توجه داشته باشید: تغییر پیشوند پایگاه داده می تواند سایت شما را خراب کند اگر به درستی انجام نشود. فقط در صورتی این کار را انجام دهید که با مهارت های برنامه نویسی خود احساس راحتی کنید.
حفاظت از رمز عبور صفحه مدیریت و ورود وردپرس
 100vw, 680px” data-lazy-src=”https://www.wpbeginner.com/wp-content/uploads/2012/07/passwordadminaskingyoutosignin.png” /></figure>
<p><span lang= "Password protect WordPress admin example")
به طور معمول، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون هیچ محدودیتی درخواست کنند. این به انها اجازه می دهد تا ترفندهای هک خود را امتحان کنند یا حملات DDoS را اجرا کنند.
شما می توانید حفاظت از رمز عبور اضافی را در سطح سمت سرور اضافه کنید، که به طور موثر این درخواست ها را مسدود می کند.
غیرفعال کردن نمایهسازی و مرور فهرست راهنما
هنگامی که ادرس یکی از پوشه های وب سایت خود را در یک مرورگر وب تایپ می کنید، صفحه وب به نام index.html در صورت وجود به شما نشان داده می شود. اگر وجود نداشته باشد، به جای ان لیستی از فایل ها در ان پوشه به شما نشان داده می شود. این به عنوان مرور دایرکتوری شناخته می شود.
مرور دایرکتوری می تواند توسط هکرها مورد استفاده قرار گیرد تا دریابند که ایا فایل هایی با اسیب پذیری های شناخته شده دارید یا نه، بنابراین می توانند از این فایل ها برای دسترسی استفاده کنند.
مرور دایرکتوری همچنین می تواند توسط افراد دیگر برای بررسی فایل های شما، کپی تصاویر، پیدا کردن ساختار دایرکتوری و سایر اطلاعات استفاده شود. به همین دلیل است که به شدت توصیه می شود فهرست بندی و مرور دایرکتوری را خاموش کنید.
شما باید با استفاده از FTP یا مدیر فایل ارائه دهنده میزبانی وب خود به وب سایت خود متصل شوید. بعد، فایل .htaccess را در دایرکتوری ریشه وب سایت خود قرار دهید.
پس از ان، شما باید خط زیر را در انتهای فایل .htaccess اضافه کنید:
Options -Indexes
فراموش نکنید که فایل .htaccess را در سایت خود ذخیره و اپلود کنید.
غیر فعال کردن XML-RPC در وردپرس
XML-RPC یک API اصلی وردپرس است که به اتصال سایت وردپرس شما با برنامه های وب و تلفن همراه کمک می کند. این به طور پیش فرض از زمان وردپرس ۳.۵ فعال شده است.
با این حال، به دلیل ماهیت قدرتمند ان، XML-RPC می تواند به طور قابل توجهی حملات brute-force را تقویت کند.
به عنوان مثال، اگر یک هکر به طور سنتی می خواست ۵۰۰ رمز عبور مختلف را در وب سایت شما امتحان کند، باید ۵۰۰ تلاش جداگانه برای ورود انجام دهد. این را می توان گرفتار و مسدود شده توسط محدود ورود به سیستم تلاش بارگذاری مجدد پلاگین.
اما با XML-RPC، یک هکر می تواند از عملکرد system.multicall برای امتحان هزاران رمز عبور با ۲۰ یا ۵۰ درخواست استفاده کند.
به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم ان را غیرفعال کنید.
نکته: روش htaccess بهترین روش است زیرا کمترین منابع را دارد. روش های دیگر برای مبتدیان اسان تر است.
متناوبا، این مراقبت به طور خودکار اگر شما با استفاده از یک فایروال برنامه وب (WAF) همانطور که قبلا ذکر شد.
به صورت خودکار از کاربران بیکار در وردپرس خارج شوید
کاربران وارد شده گاهی اوقات می توانند از صفحه نمایش دور شوند و این یک خطر امنیتی است. کسی می تواند جلسه خود را ربود، رمزهای عبور را تغییر دهد یا تغییراتی در حساب خود ایجاد کند.
به همین دلیل است که بسیاری از سایت های بانکی و مالی به طور خودکار یک کاربر غیر فعال را از سیستم خارج می کنند. شما می توانید قابلیت های مشابه را در سایت وردپرس خود نیز تنظیم کنید.
شما باید پلاگین Inactive Logout را نصب و فعال کنید. پس از فعال سازی، به صفحه تنظیمات » ورود غیر فعال مراجعه کنید تا تنظیمات خروج را سفارشی کنید.
به سادگی مدت زمان را تنظیم کنید و یک پیام خروج را اضافه کنید. سپس، فراموش نکنید که بر روی دکمه “ذخیره تغییرات” در پایین صفحه کلیک کنید تا تنظیمات خود را ذخیره کنید.
سوالات امنیتی را به صفحه ورود وردپرس اضافه کنید
اضافه کردن یک سوال امنیتی به صفحه ورود وردپرس شما باعث می شود که کسی دسترسی غیر مجاز را حتی سخت تر کند.
شما می توانید سوالات امنیتی را با نصب افزونه Two Factor Authentication اضافه کنید. پس از فعال سازی، شما باید از صفحه احراز هویت چند عاملی » Two Factor برای پیکربندی تنظیمات افزونه بازدید کنید.
این به شما اجازه می دهد انواع مختلفی از احراز هویت دو عاملی را به سایت خود اضافه کنید، از جمله سوالات امنیتی.
اسکن وردپرس برای نرم افزارهای مخرب و اسیب پذیری
اگر یک افزونه امنیتی وردپرس نصب کرده اید، به طور معمول بدافزار و نشانه های نقض امنیتی را بررسی می کند.
با این حال، اگر کاهش ناگهانی ترافیک وب سایت یا رتبه بندی جستجو را مشاهده کنید، ممکن است بخواهید به صورت دستی بدافزار را اسکن کنید. شما می توانید این کار را با استفاده از افزونه امنیتی وردپرس یا یکی از بهترین نرم افزارهای مخرب و اسکنرهای امنیتی انجام دهید.
اجرای این اسکن های انلاین بسیار ساده است. شما فقط URL وب سایت خود را وارد می کنید و خزنده های انها از طریق وب سایت شما به دنبال بدافزار شناخته شده و کد مخرب هستند.
در حال حاضر، به خاطر داشته باشید که اکثر اسکنرهای امنیتی وردپرس تنها می توانند به شما هشدار دهند اگر سایت شما حاوی بدافزار باشد. انها نمی توانند بدافزار را حذف کنند یا یک سایت وردپرس هک شده را تمیز کنند.
این ما را به بخش بعدی می رساند، تمیز کردن بدافزار و سایت های وردپرس هک شده.
رفع هک وردپرس سایت
بسیاری از کاربران وردپرس اهمیت پشتیبان گیری و امنیت وب سایت را تا زمانی که وب سایت انها هک نشده است، درک نمی کنند.
تمیز کردن یک سایت وردپرس می تواند بسیار دشوار و وقت گیر باشد. اولین توصیه ما این است که اجازه دهید یک حرفه ای از ان مراقبت کند.
هکرها درهای پشتی را در سایت های اسیب دیده نصب می کنند و اگر این درهای پشتی به درستی ثابت نشوند، وب سایت شما احتمالا دوباره هک خواهد شد.
اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای رفع وب سایت شما اطمینان حاصل خواهد کرد که سایت شما برای استفاده مجدد ایمن است. همچنین از شما در برابر هرگونه حمله در اینده محافظت خواهد کرد.
نکته پاداش: سرقت هویت و حفاظت از شبکه
به عنوان یک صاحب کسب و کار کوچک، بسیار مهم است که از هویت دیجیتال و مالی خود محافظت کنید. عدم انجام این کار می تواند منجر به تلفات قابل توجهی شود.
هکرها و مجرمان می توانند از هویت شما برای سرقت نام دامنه وب سایت شما، هک کردن حساب های بانکی شما و حتی ارتکاب جرایمی که می توانید مسئول ان باشید، استفاده کنند.
۵.۷ میلیون سرقت هویت و تقلب کارت اعتباری در سال ۲۰۲۳ به کمیسیون تجارت فدرال (FTC) گزارش شده است.
به همین دلیل است که ما توصیه می کنیم از یک سرویس حفاظت از سرقت هویت مانند Aura استفاده کنید. ما Aura را توصیه می کنیم و خودمان از ان استفاده می کنیم.
انها حفاظت از شبکه دستگاه و وای فای را از طریق VPN رایگان (شبکه خصوصی مجازی) ارائه می دهند که اتصال اینترنت شما را با رمزگذاری درجه نظامی در هر کجا که هستید تضمین می کند.
این عالی است برای زمانی که شما در حال سفر و یا اتصال به مدیر وردپرس خود را از یک مکان عمومی مانند استارباکس، بنابراین شما می توانید انلاین با خیال راحت و خصوصی کار می کنند.
سرویس نظارت بر وب تاریک انها به طور مداوم از هوش مصنوعی استفاده می کند تا در صورت به خطر افتادن رمزهای عبور، شماره های امنیت اجتماعی و حساب های بانکی شما به شما هشدار دهد.
این به شما اجازه می دهد تا سریعتر عمل کنید و از هویت دیجیتال خود بهتر محافظت کنید.
ما امیدواریم که این مقاله به شما کمک کند تا بهترین شیوه های امنیت وردپرس را یاد بگیرید و پلاگین های امنیتی وردپرس را برای وب سایت خود کشف کنید.
){kind=link}
بدون دیدگاه