امنیت سایت وردپرسی

Shape Image One
Shape Image One
 Shape Image Four
 Shape Image Four
 Shape Image Four
 Shape Image Four
 Shape Image Four
 Shape Image Four

یکی از مهم ترین کارها پس از طراحی یک وبسایت اینترنتی، ایجاد امنیت و جلوگیری از هک شدن می باشد. در حالتی که شما وبسایت خود را با سیستم مدیریت محتوای قدرتمند وردپرس، ساخته باشید، میتوانید با استفاده از پلاگین های امنیتی وردپرس، امنیت سایت وردپرسی خود را فراهم کنید. این کار را میتوانید با تنظیمات ساده و سریع پلاگین ها در زمان خیلی کم انجام دهید.

به دلیل محبوبیت وردپرس در سراسر جهان، پلاگین های زیادی برای این cms قدرتمند ساخته میشود. که برای موضوع امنیت نیز پلاگین های زیادی در مخزن وردپرس وجود دارد. یکی از محبوبت ترین ها را در این مقاله آموزش میدهیم.

پلاگین امنیتی all in one security :

یکی از محبوب ترین پلاگین های امنیتی وردپرس، all in one security (امنیت کامل وردپرس و فایروال) می باشد. که با 900,000 نصب فعال و دریافت 1,068 رای پنج ستاره یکی از بهترین ها بشمار می آید.

برای نصب و فعال سازی این افزونه به داشبورد وردپرس در سایت خود بروید. و از قسمت افزونه ها -> افزودن، داخل باکس جستجو، عبارت all in one security را تایپ کنید و افزونه را نصب و فعال کنید.

آموزش کامل تنظیمات all in one security :

در این مقاله بطور کامل همه بخش های این پلاگین را بررسی میکنیم. تا براحتی امنیت سایت وردپرسی خود را با این پلاگین قدرتمند انجام دهید.

قبل از شروع کار به شما پیشنهاد میکنم که یک افزونه فارسی ساز وردپرس در سایت وردپرسی خود نصب و فعال کنید. تا تنظیمات را راحت تر متوجه شوید و انجام دهید. پیشنهاد من به شما افزونه WP Shamsi (تاریخ شمسی و فارسی ساز وردپرس) است.

پس از نصب شدن این پلاگین در سایت شما، یک گزینه در فهرست داشبورد وردپرس به نام “امنیت کامل وردپرس” ایجاد میشود. که شامل یکسری زیر منو میباشد.

زیر منوی اول داشبورد نام دارد. که اطلاعات کلی سیستم شما را نشان میدهد و در انتهای کار این قسمت را بررسی میکنیم.

تنظیمات :

همان طور که در تصویر بالا و در وبسایت خود مشاهده میکنید، این قسمت دارای 5 زبانه می باشد. در 3 قسمت اول میتوانید از پایگاه داده سایت خود، فایل htaccess و فایل wp-config.php یک نسخه پشتیبان تهیه کنید.

و اما قسمت چهارم که مشخصات نسخه وردپرس نام دارد. شما با فعال کردن تیک “پاک کردن فراداده ها“، نسخه وردپرس و استایل های سایت خود را از دید هکرها پنهان میکنید.

در هر قسمت از تنظیمات این پلاگین، توضیحات کامل به زبان فارسی در بالای همان قسمت داده شده است. توضیحات ما خلاصه همان توضیحات خود افزونه می باشد. و همچنین ما فقط بخش های قابل تنظیم برای امنیت را توضیح میدهیم. پس اگر قسمتی توضیح داده نشد، به معنای این است که کار قابل انجامی وجود ندارد. اما پیشنهاد من این است که شما همه قسمت ها را کامل مطالعه کنید.

حساب های کاربری :

برای امنیت سایت وردپرسی خود، باید نام های کاربری مدیران سایت طوری انتخاب شوند که برای هکرها قابل حدس زدن نباشند. و همچنین نام کاربری با نام نمایشی یکسان نباشد. چرا که اگر یکسان باشد، هکر با دیدن نام نمایشی شما در سایت، نام کاربری شما را متوجه میشود.

ورود کاربران :

برای جلوگیری از هکرهایی که با حدس زدن رمز حساب شما، اقدام به تلاش های مداوم میکنند، گزینه قفل ورود قرار داده شده است. این مورد حملات یکی از راه های حمله بورت فورث به حساب می آید. با نام کاربری شما پسوردهای زیادی را تست میکنند تا بالاخره به پسورد درست حساب شما دست پیدا کند. برای جلوگیری از این نوع حملات، تنظیمات قفل ورود را فعال کنید.

شما در قسمت خروج اجباری، میتوانید مدیران سایت خود را پس از گذشت زمانی مشخص از سایت خارج کنید. و این مورد برای حالتی کارآمد است که شخص غریبه ای به کامپیوتر شخصی مدیران سایت شما بتوانند دسترسی داشته باشند. درغیر اینصورت فوق العاده آزاردهنده است و پیشنهاد من فعال نکردن این قسمت است 🙂 .

زبانه های رکورد ورودهای ناموفق، گزارش فعالیت های حساب و کاربران وارد شده هم کاملا واضح می باشند.

نام نویسی کاربران :

برای امنیت بیشتر وبسایت خود بهتر است برای ثبت نام کاربران تایید دستی را فعال کنید. تا از اقدامات ربات ها در امنیت باشید. و همچنین در صفحه ثبت نام خود کد امنیتی قرار دهید.

و اما یکی دیگر از اقدامات امنیتی در این مرحله، ظرف عسل می باشد. عملکرد این قسمت به اینصورت است که با قرار دادن یک فیلد مخفی در فرم ثبت نام، از تلاش ربات ها برای ثبت نام در سایت شما باخبر میشود. سپس آن ها را به لوکال هاست هدایت میکند.

امنیت پایگاه داده :

این قسمت شامل دو زبانه پیشوند دیتابیس و فایل پشتیبان دیتابیس می باشد. بطور پیش فرض در وردپرس، پیشوند جدول های دیتابیس شما _wp است. و دانستن این موضوع کار را برای هکر ها آسان میکند. پس برای امنیت دیتابیس خود، پیشوند جدول های پایگاه داده سایت خود را در این قسمت تغییر دهید. یک کلمه غیرقابل پیش بینی انتخاب کنید و در فیلد موردنظر وارد کنید. خیلی سریع پیشوند تمام جدول های دیتابیس شما تغییر میکند.

این افزونه امنیتی قابلیت پشتیبان گیری خودکار از دیتابیس سایت شما را نیز دارد. و با تعریف بازه زمانی و انجام تنظیمات این قسمت میتوانید این گزینه را فعال کنید.

امنیت فایل های سیستم :

وردپرس بصورت پیش فرض مجوزهای امنیتی درستی را برای فایل های خود قرار میدهد. اما گاهی ممکن است برخی افزونه ها یا کاربران این مجوزها را تغییر داده باشند. در اولین زبانه این بخش، میتوانید برای هر فایلی که نیاز است، تنظیم مجوزهای پیشنهادی را کلیک کنید و امنیت را بالا ببرید.

در حالتی که به هر دلیلی، هکر به پیشخوان وبسایت شما نفوذ کرده باشد، اگر امکان ویرایش کدهای وبسایت برای او فعال باشد، به سرعت کدهای مخرب خود را به سایت شما تزریق میکند. پس برای جلوگیری از این اقدام، گزینه غیرفعال کردن ویرایش فایل های php را در زبانه دوم این بخش، فعال کنید.

با فعال کردن قسمت “دسترسی به فایل های وردپرس” نیز میتوانید فایل های پیش فرض وردپرسی سایت خود را از دید هکرها پنهان کنید. تا اطلاعات کلیدی سایت شما را متوجه نشوند.

مدیریت فهرست سیاه :

این قسمت برای موردی است که شما بخواهید یک یا تعدادی آی پی بخصوص را بلاک کنید که نتوانند سایت شما را ببینند. که پیشنهاد من رد کردن این قسمت است.

فایروال :

بخش اصلی این پلاگین، تنظیمات فایروال است که امنیت زیادی به سایت شما میدهد. این بخش شامل 7 زبانه می باشد. پیشنهاد من به شما این است که تمام گزینه های این زبانه ها را جز قسمت آخر که همان “قوانین سفارشی” است، فعال کنید.

بورت فورث :

یکی از راه های جلوگیری از حملات بورت فورث، تغییر url صفحه ورود می باشد. در حالت پیش فرض آدرس صفحه ورود به شکل yourdomain/wp-admin است. شما باید این آدرس را طوری تغییر دهید که هکر ها قادر به پیدا کردن صفحه ورود به داشبورد وردپرس نباشند.

این بخش از تنظیمات پلاگین امنیت کامل وردپرس، این امکان را به شما می دهد که آدرس صفحه ورود خود را تغییر دهید.

این بخش شامل 5 زبانه می باشد. که شما برای انجام این کار باید یکی از دو زبانه اول یعنی “تغییر نام صفحه ورود” یا “جلوگیری از بورت فورث بر اساس کوکی” را فعال کنید.

پیشنهاد من به شما گزینه اول می باشد. در این حالت شما یک نام انتخابی برای آدرس صفحه ورود خود انتخاب میکنید. و آدرس صفحه ورود شما به این شکل yourdomain/Your chosen name میشود.

در قسمت “کد امنیتی برای ورود“، شما میتوانید برای صفحات مختلفی که در این قسمت وجود دارد کدامنیتی قرار دهید. که پیشنهاد من به شما فعال کردن تمام موارد این زبانه می باشد. حال اگر برای سایت خود کد امنیتی گوگل یعنی recaptcha فعال کرده باشید با وارد کردن کلید سایت و کلید مخفی در اولین قسمت این زبانه، در تمام صفحات گفته شده، کد امنیتی گوگل نمایش داده میشود. در غیر اینصورت یک کد امنیتی ساده پیش فرض خواهید داشت.

برای فعال کردن کد امنیتی گوگل برای سایت خود میتوانید مقاله « فعال کردن recaptcha » را مطالعه کنید. قرار دادن کد امنیتی در فرم دیدگاه ها در این قسمت وجود ندارد. و در بخش جلوگیری از اسپم در موردش صحبت میکنیم.

در زبانه “لیست سفید ورود” میتوانید فقط به تعداد مشخصی از آی پی هایی که تعیین میکنید اجازه دسترسی به صفحه ورود را بدهید. و دیگران اجازه دسترسی به صفحه ورود شما را ندارند. پیشنهاد من به شما فعال نکردن این قسمت است.

زبانه “گلدان عسل” هم، همانطور که در بالا توضیح دادیم، به تشخیص ربات هایی می پردازد که برای ورود به سایت شما اقدام میکنند. پس فعال کردن این قسمت را فراموش نکنید.

تنظیمات بورت فورث در افزونه all in one security

جلوگیری از اسپم :

برای محافظت فرم دیدگاه های خود از ربات ها، باید در قسمت فرستادن دیدگاه نیز کد امنیتی  قرار دهید. در اولین قسمت این بخش این امکان برای شما فراهم شده و با فعال کردن تیک “فعال کردن کد امنیتی در فرم دیدگاه ها” میتوانید انجامش دهید. اما پیشنهاد من به شما استفاده از افزونه جانبی دیگری برای این موضوع می باشد.

میتوانید علت این موضوع و افزونه پیشنهادی را در مقاله « قرار دادن کد امنیتی در فرم دیدگاه ها در وردپرس » بخوانید.

فراموش نکنید که در این قسمت، گزینه دوم یعنی “بازداشتن ربات‌های جفنگ‌نویس از فرستادن دیدگاه” را حتما فعال کنید.

دو قسمت بادی پرس و بی بی پرس هم در صورتیکه افزونه های موردنظر در سایت شما فعال باشند، قابل تنظیم است.

اسکنر :

اگر هکر ها از هر طریقی امکان تزریق کدهای مخرب خود را به سایت شما داشته باشند، با انجام این کار در فایل های شما تغییر ایجاد میکنند. شما با فعال کردن شناسایی تغییر فایل بطور خودکار، از این موضوع آگاه میشوید. پس تنظیمات شناسایی فایل را حتما فعال کنید.

تنظیمات بیشتر :

این بخش شامل 4 قسمت است که در زبانه اول شما میتوانید عمل “راست کلیک” را در سایت خود غیرفعال کنید. تا از کپی برداری مطالب و استفاده از تصاویر سایت شما جلوگیری شود.

بخش بعدی “فریم ها” که “فعال کردن حفاظت از آیفریم IFRAME” می باشد، به معنای استفاده از مطالب (متن،تصویر یا ویدئو) سایت شما از طریق آی فریم در یک سایت دیگر است که باعث مصرف پهنای باند شما خواهد شد.

در قسمت شمارش کاربران، نمایش اطلاعات کاربران از طریق آدرس های احتمالی ممنوع میشود.

پیشنهاد من به شما، فعال کردن سه زبانه اول و غیر فعال ماندن قسمت آخر یعنی “WP REST API” می باشد.

در این مرحله، تمام گزینه های امنیتی که پلاگین all in one security برای ما قرار داده بود را فعال کرده ایم. حالا میتوانید به بخش داشبورد این پلاگین بروید. و امتیاز امنیت سایت وردپرسی خود را مشاهده کنید.

گزینه های دیگری نیز برای امنیت سایت وردپرسی وجود دارد که از اختیار پلاگین ها خارج است. برای مثال سعی کنید افزونه ها، خود وردپرس و قالب سایت خود را به روز نگه دارید. و از نسخه های قدیمی استفاده نکنید.

با انجام موارد گفته شده، شما یک وبسایت کاملا خفاظت شده خواهید داشت.

با امتیاز دادن به این مقاله آموزشی، ما را از کیفیت آن مطلع کنید!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

*

code