جلوگیری از هک شدن وردپرس در برابر هکرها با [15] روش عملی و موثر

5/5 - (1 امتیاز)

برای جلوگیری از هک شدن وردپرس با 15 روش عملی و موثر که در این مقاله به آن اشاره می کنیم، امنیت سایت شما به حد بسیار مطلوبی می رساند. اگر دوست عزیزم توام یک طراح سایتی و وردپرس انجام میدی ، حتما موضوع تامین امنیت سایت وردپرسی خود ، برات اهمیت بالایی داره و یکی از درگیری هاتون هست . موضوع امنیت سایت یک موضوعی که اهمیت زیادی داره که به سادگی نباید از کنارش عبور کنید.

هر روز ممکن سایت شما توسط هزاران هکر و افراد سودجو مورد حمله قرار بگیرد .درسته که امنیت سایت اهمیت بالایی دارد،اما هیچ وقت نمیتوانید امنیت یک سیستم رو بطور قطعی اعلام کنید اما حتما باید روش های بالابردن امنیت سایت رو انجام دهید پس تا اخر مقاله با من همراه باش !

برای طراحی سایت و بروزرسانی وردپرس به یک لپ تاپ استوک خوب نیاز داری !

فهرست مطالب

برای جلوگیری از هک شدن وردپرس چه کارهایی بکنیم ؟

سایت وردپرس شما ممکن به روش های مختلفی مورد هک قرار بگیرد.بعضی وقت ها به طوری سایت شما هک میشود که هیچگونه مشکلی در سایتتون به وجودنمیاره و شما متوجه نمیشوید .اما با انجام دادن چند تا کار ساده میتوانند تمام اطلاعات شما را به صورت دائمی دریافت کنند مثل ، قرار دادن کد های مخرب در بخش های گوناگون .

پس دوست عزیزم اگر تازه قصد این رو دارید که وردپرس نصب کنید ، از همین اول قدم های لازم رو برای تامین امنیت سایت انجام بده تا دچار مشکل نشوی. فقط تلاش های تیم محتوا در راستای افزایش امنیت کافی نیست ، شما لازم برای سایت خودتون از هاست و سروری که سطح بالایی دارد استفاده کنید .

پس از اینکه اینکه هاست و سرور مناسب تهیه کردید ، وظایفی که مربوط به تیم محتوا در راستای افزایش امنیت سایت های وردپرسی است نوبتشون میرسد . که ما در ادامه مقاله به این موضوع ها خواهیم پرداخت :

1.بروزرسانی و ارتقا وردپرس

یکی از مهم ترین کار هایی که ما برای جلوگیری از هک شدن وردپرس انجام میدیم، به روز بودن وردپرس است. همچنین افزونه ها و قالب هایی که در سایت استفاده کردید هم باید همیشه بروز باشند. بعد از اینکه شما وردپرس و به روز رسانی کردید بسیاری از مشکلاتتون و باگ های موجود در ان برطرف میشود و اپشن و قابلیت های جدید به ان اضافه میشود .

2. برای جلوگیری از هک شدن وردپرس مرتب بکاپ بگیرید !

3.افزایش سطح امنیت فایل WP-Confing.php

اطلاعاتی که در دیتابیس سایت وردپرس وجود دارد ، در داخل فایل WP-Confing.php ذخیره میشود . پس این فایل از مهم ترین فایل های وردپرس است که باید در نگهداری اطلاعات ان دقت لازم رو داشته باشید ، و تمام کارهایی که برای محدود کردن سطح دسترسی به آن لازم است و انجام دهید. برای جلوگیری از هک شدن وردپرس حتما این تغییر را اعمال کنید.

4. جلوگیری از هک شدن وردپرس با ایمن کردن فایل htaccess

یکی دیگه از فایل های که در وردپرس مهم است ، فایل htaccess است . که با استفاده از ان میتوانیم تغییراتی که لازم ونیاز روی سایت انجام دهیم . و از همه مهم تر با این فایل میتوانید امنیت کافی رو از طریق دستوراتی که این فایل گزاشته اجرا کنید تا به نتیجه دلخواه برسید .

5.تامین امنیت پوشه wp-admin

با توجه به نام پوشه معلوم است که ، این پوشه مربوط است به مدیریت پیشخوان وردپرس . و کدهای فایل های موجود در سایت هم شامل میشود. و برای جلوگیری از هک شدن سایت میتونید روی پوشه wp-admin در هاست رمز نگاری کنید .

6.استفاده کردن از پسورد قوی تر

اگر انتخابمون رمز عبور های سست برای سایتمون باشه ، درصد هک و نفوذش زیاد میشود . میخوام ساده ترین و رایج ترین روش جلوگیری از هک و نفوذ سایت های وردپرسی رو بهتون بگم ، استفاده از رمز عبور بسیار قوی و معتبر است . حتما لازم دونستم این نکته و بهتون بگم که برای بسیار بالا بردن امنیت وردپرس بهتر برای هر قسمت جداگانه یک رمز قوی قرار بدهید . مانند بخش های مختلف مثل : ورود به هاست ، اکانت FTP ، دیتابیس سایت و…

7.جلوگیری از هک شدن وردپرس با ارتقا صفحه لاگین

همونطور که همتون میدونید صفحه وردپرس ورودیش ، یکی از مهمترین صفحاتی است که میتونید برای جلوگیری از هک شدن سایت و حملات DDOS استفاده کنید .

راه هایی که در این صفحه میتوان برای امنیت اعمال کرد شامل موارد زیر میشود: قرار دادن سوالات متدوادل امنیتی ، استفاده از ورود دوحرحله ای گوگل و….

با استفاده از روش های زیر که توضیح میدهم میتوانید از همان ابتدا ورود به سایت ، امنیت سایت خودتون وتضمین کنید .

الف – ادرس wp-admin را ویرایش دهید .

صفحه اولی که باعث میشه به صورت پیش فرض وارد وردپرس شویم با ادرس wp-admin/ است که در ادامه سایت و باز میکنه .اطلاع داشته باشید که اگر کسی از user و password شما مطلع باشد به راحتی با وارد شدن به صفحه wp-admin وارد پیشخوان سایتتون میشود . به همین دلیل برای جلوگیری از هک شدن وردپرس بهتر است، آدرسی که در پیش فرض ورود به وردپرس است را تغییر دهید .

ب – ایجاد محدودیت به ورود وردپرس

بطور مثال شما اینگونه فرض کنید که میتوانید به مقدار دلخواه وارد وردپرس شوید و یا حتی اگه رمز و نام کاربری خود را اشتباه وارد کنید ، بدون وجود محدودیت امکان ورود به شما میدهد . اما شما میتونید با یک ترفند ، یک سریع محدودیت بعد از تکرار چند بار نام کاربری و رمز عبور دیگر حتی اگر رمز و نام کاربری صحیح وارد کرده باشید اجازه اینکه ورود کنید به شما ندهد.

پ – عدم اجازه ورود با ایمیل

اپشن جدیدی که از نسخه 3 به بعد در وردپرس اضافه شده این است که ، یوزر موجود بجز وارد کردن نام کاربری و رمز عبور میتواند به کمک ایمیل موجود خودش با افراد زیادی در ارتباط باشه ، حتی ممکن درصد نفوذی که در سایت میخواهند بکنند بیشتر شود . بخاطر همین دلیل بهترین کار این است که این اپشن رو از طریق هاست سایت خودتون غیر فعال کنید .

برای انجام دادن این کار هم باید ابتدا واردهاست سایت مورد نظرتون شوید ، بعدش وارد پوشه public-html شوید و بعد وارد پوشه wp-content شوید.

در صفحه ای که باز میشود براتون وارد پوشه themes میشود و قالبی که اکنون از ان مورد استفادتون است واردش شوید ، قطعه کد زیر را در فایل functions.php قالب قرار داده و ذخیره کنید .

remove_filter(

‘authenticate’,’wp_authenticate_email_password’, 20) ;

با گزاشتن کد دیگه ، فقط با استفاده از user و password وارد وردپرست شو دوست عزیزم .

ت – ساخت کپچا در وردپرس

بعضی وقت ها حمله از طرف های دیگه ای ام هست مثل از طریق اسپم که صورت میگیرد ، فقط لازم نیست که شخص وارد سایت شود تا سایت را هک کند فقط با استفاده از این کار دائما برای سایت شما درخواست ارسال میشود و CPU و منابع هاست شما رو درگیر میکند ،که این کار باعث میشه سایت به مرور زمان از دست شما خارج شود و اسیب جدی وارد کند . وقتی این اتفاق می افتد بهترین کار این است که از کپچا وردپرس استفاده کنید .

ث – استفاده از ورود دو حرحله ای گوگل در وردپرس

تازگی ها گوگل یک اپشن اضافه کرده به اسم تحت عنوان ورود دو مرحله ای وردپرس ، که توسط برنامه به اسم Google Authenticator انجام میشود .

ج – اضافه کردن سوال امنیتی در صفحه ورود وردپرس

یکی دیگه از روش های افزایش امنیت در وردپرس سوال و جواب امنیتی است . که اگر این اپشن و استفاده کنی ، زمان وارد شدن وارد صفحه شناسنامه میشوید ، یکی از سوال های امنیتی که موجود است و رو با جواب مورد نظر انتخاب کنید تا دیگه کسی نتواند جز خودتون وارد وردپرستون شود.

چ – غیر فعال کردن ارور های وردپرس

زمانی که شما رمز عبور یا نام کاربریتون رو اشتباه وارد میکنید براتون پیغامی می اید با عنوان ، معتبر نبودن رمز عبور یا شناسه کاربری که بهتون نمایش داده میشود ، که هکر با اپشن میتواند متوجه شود کدوم قسمت را اشتباه وارد کرده و باید تمرکز بیشتری رو کدوم قسمت بزارد برای ورود به وردپرس .

پیشنهاد ویژه
بهترین نرم افزار های برنامه نویسی برای لپ تاپ

برای جلوگیری از نشان دادن پیغام در وردپرس کافی قطعه کد که در زیر بهتون گفتم در فایل functions.php قالب وردپرسی خود وارد کنید .

// Remove error message on login screen

add_filter(‘login_errors’, create_function(‘$a’, ‘return null;’));

8.نام کاربری نویسنده وردپرس را پنهان کنید

تو بیشترین قالب های وردپرسی زمانی که روی نویسنده یک نوشته کلیک میکنید صفحه ای براتون باز میکند که ، نام کاربری نویسنده و مشخصات ان نوشته شده است . اگر شما تمایل ندارید که نام کاربری نویسنده نمایش داده شود ، باید این قابلیت رو غیر فعال کنید یا ، ادرس صفحه نویسنده بر اساس id نویسنده تعیین شود .

و باز هم با قرار دادن کدی که بهتون میگویم در فایل htaccess هاست خودتون میتونید صفحات مربوط به نویسنده را در وردپرس به صفحه اصلی برگردانید .

9.تغییر دادن پیشوند جدول های وردپرس

جدول هایی که در دیتابیس وردپرس بصورت پیشقرض با پیشوند _wp ذخیره میشوند . برای بالابردن امنیت سایت بهتر است. یادتون نره در هنگام نصب وردپرستون پیشوند _wp را تغییر دهید .

10.بکاربردن ssl در وردپرس

برای اینکه بتونید همه ی داده های سایتتون رو در مکان امن منتقل کنید ، بهترین کار این است که از پروتوکل امن HTTPS استفاده کنید . که بتونید با نصب SSL تو وردپرستون تامین امنیت سایتتون رو در جهت پروتکل HTTPS استفاده کنید .

11.عدم نمایش پوشه های هاست

بعضی وقت ها به دلیل مشکلاتی که در کانفینگ کردن هاست به وجود میاد ، شاید به دلیل تماشا کردن پوشه های هاست که غیر فعال نشده است .

هکر ها توانایی این رو دارن با استفاده از Directory browsing فایل هایی که داخل هر پوشه مشاهده میکنند رو، راهی برای نفوذش در سایت شما پیدا کنند .باز هم با در دسترس داشتن پوشه های هاست ، اطلاعات هاستی که شما دارید به راحتی قابل سرقت خواهد بود . پس بنابراین بهترین کار این است که برای حفظ امنیت سایت وردپرس خودتون ، نمایش دادن پوشه های هاست رو غیر فعال کنید . و برای انجام دادن این کار مراحل زیر را طی کنید :

ابتدا وارد پوشه public_html شوید و بعدش فایل htaccess رو انتخاب کنید .

حالا در اخرین مرحله این فایل دستور Options-lndexes رو اضافه کنید و فایل رو save کنید .

12. عدم ویرایش قالب و افزونه های سایت

وردپرس این اپشن و بهتون میده که با استفاده کردن از ویرایشگری که در پیشخوان وردپرس دارید هر تغییری طبق سلیقه خودتون درسایت ایجاد کنید .برای اضافه کردن این کد هم میتونید ، وارد منونمایش و افزونه هاتون شوید تا برا اینکه تمام فایل های قالب وردپرس و افزونه های وردپرس به راحتی به ویرایششون دسترسی پیدا کنید.

اما اگر با استفاده کردن از این قالب هم ، کسی توانایی ورود به سایت شمارو پیدا کند با هر راه حلی ، به راحتی میتواند کد های مخرب را از این طریق وارد ساییتون بکند و براتون استرس ایجاد کند .بخاطر همین برای جلوگیری از ویرایش قالبتون یا افزونه هاتون ، اول سایت مد نظر رو ، وارد هاست سایتش میشویم و پوشه public_html رو باز میکنیم ، و بعد ، روی فایل wp-config.php کلیک راست کنید و گزینه edit را انتخاب کنید .

حالا صفحه ای که براتون با ز میشود در بخش define قطعه کد زیر که بهتون گفتیم وارد کنید :

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

و اخرین کاری که باید انجام دهید تا دیگه ، ویرایش قالب و افزونه ها از طریق ویرایشگر پیشخوان وردپرس غیر فعال بشه این است که سیو کنید .

13.عدم اجرای فایل PHP در وردپرس

هاست اپشن های زیادی دارد که در اختیار ما میگزارد یکی از این اپشن ها ، توانایی این رو دارد که هر فایلی را در بخش های مختلف هاست قرار دهد یا با کمک کدهای دستوری که در php است داخل سایت تغییر ایجاد کند . اما یک سریع دایرکتوری هم وجود دارد که نیازی به اجرای فایل PHP ندارند ، مثل فایل های چند رسانه ای ، تصاویر ، ویدئو و صوت و…

با استفاده از این اپشن هم میتوانند هکر ها راه نفوذ به کدهای PHP پیدا کنند . پس بهترین راه حل این است که ، دسترسی به فایل های PHP رو متوقف کند .

برای اینکه اجرای فایل PHP در وردپرس متوقف کنید باید مراحل زیر را به ترتیب انجام دهید :

اول از همه وارد هاست سایت مورد نظر شوید و پوشه public_html انتخاب کنید .

و بعدش وارد پوشه ای به اسم wp-config شوید و پوشه updoads باز کنید .

داخل این پوشه فایلی به اسم htccess. وجود دارد ، کد زیر را داخلش وارد کنید و بعد ذخیره کنید .

Deny from all

و حالادیگر فایل PHP اجرا نخواهد شد .

14.غیر فعال کردن فایل XML-RPC

دوست عزیزم شما با استفاده از این فایل XML-RPC ، توانایی این رو پیدا میکنید که از راه دور سایت وردپرس خود را مدیریت کنید . در نتیجه توانایی این هم پیدا میکنید که با استفاده از سرویس IFTTT از طریق اندروید یا ویندوز انجام دهید .

15.مدیریت کردن و کنترل کردن فعالیت های کاربران

رفتاری که کاربران با سایت دارند میتواند تاثیر بزاره روی امنیت سایت . به عنوان مثال امکان این وجود دارد که به مرور زمان با استفاده سیستم های امارگیری وردپرس یا افزونه های مختلف به مورد های مشکوکی بربخورید که در صورت مواجه شدن باهاش بهترین کار این است که ، اکانت کاربر مورد نظر را غیر فعال کنید یا بصورت دوره ای رمز تمام کاربرانی که روی سایت موجودن را تغییر دهید.

این موضوع و اکثر کاربرا بهش توجه ندارند ، اما بهترین کار این است که در یک بازه زمانی مشخص رمز خودتون و تغییر دهید ، البته این نکته و توجه د اشته باشید که این کار بیشتر برای سایت های فروشگاهی مهم است ، برای سایت های دیگر خیلی ضروریتی ندارد.