امنیت در سایت همانند محافظت از خانه و محل زندگی شماست. وقتی خانه یا محل کار خود را ترک می‌کنید، درها و پنجره‌ها را نمی‌بندید؟ چرا برای وب سایت خود همین کار را نمی‌کنید؟

امنیت یک سایت وردپرسی قرار نیست به آسانی صورت گیرد. وردپرس مانند سایر وب سایت‌ها می‌تواند مورد حمله هکرها قرار گیرد. بنابراین با اجرای نکات امنیتی و اقدامات پیشگیرانه سایت خود را از آسیب‌‌پذیری‌های احتمالی محافظت کنید.

در این بین چندین پلاگین امنیتی مانند افزونه ithemes security وجود دارند که اکثر حفره های امنیتی را پوشش می دهند. در این مطلب شما را با دستورالعمل‌های اجرای امنیت وردپرس از OWASP آشنا می‌کنیم. در این بین مواردی وجود دارد که رعایت آن‌ها علاوه بر امنیت به بهبود سئو سایت وردپرسی نیز کمک بزرگی می‌کند.

امنیت سایت

چک لیست و پلن امنیت وردپرس

این یک شایعه است که می‌گوید وردپرس از رایج‌ترین سیستم‌های مدیریت محتوای هک شده است. توجه کنید که امنیت وردپرس پایین نیست. این مائیم که در هنگام راه‌اندازی سایت نکات امنیتی را در نظر نمی‌گیریم. یک برنامه امنیتی دقیق به همراه بروزرسانی‌های منظم می‌تواند از حملات هکرها جلوگیری کند. چک لیست امنیتی زیر را گام به گام اجرا کنید.

1. افزونه امنیت وردپرس شما را نجات می‌دهد

افزونه wordfence یکی از بهترین پلاگین‌های ضد فیشینگ و افزایش امنیت وردپرس است که با ارائه یک فایروال و اسکنر آنتی ویروس قدرتمند قادر است به صورت زنده از سایت وردپرسی شما محافظت کند.

2. کلیدهای امنیتی WordPress را پیکربندی کنید

یک خطای پیکربندی می تواند فاجعه به بار آورد. فایل WP-CONFIG.PHP پیکربندی سایت و پارامترهای اتصال به دیتا بیس را نگهداری می کند که به یک مهاجم امکان می دهد کنترل سایت را در دست بگیرد. بنابراین اولین قدم این است؛ دسترسی به این فایل را محدود کنید و کلمه عبور را به صورت دوره‌ای تغییر دهید.

برای محدود کردن دسترسی به فایل WP-CONFIG، در هاست وردپرسی خود وارد شده و سطح دسترسی فایل مربوطه را روی 644 قرار دهید تا در عین اینکه کاربران بتوانند از آن استفاده کنند، قادر به تغییر نباشند. در تصویر زیر می توانید مجوزهای دسترسی به پوشه‌های مختلف را تغییر دهید.

تغییر مجوزهای دسترسی به پوشه‌های وردپرس

  • برای اجبار به تغییر دوره‌ای رمز عبور از افزونه‌های مرتبط استفاده کنید.
  • علاوه بر این برای پوشه WP-ADMIN خود که در هاست شما قرار دارد، رمز و نام کاربری تعیین کنید.

3. از لاگین وردپرس حفاظت کنید

  • صفحه ورود وردپرس را پنهان کنید: از افزونه Itheme security برای تغییر url ورود به پیشخوان وردپرس استفاده کنید. از این به بعد دیگر آدرس wp-admin و wp-login.php در دسترس کاربران نخواهد بود. چندین افزونه برای این منظور وجود دارد که با روش‌های مختلفی اینکار را انجام می‌دهند. برخی در هسته وردپرس این تغییر را انجام داده برخی دیگر در فایل ‎.htaccess

به عنوان مثال بعد از درج کد زیر، banana.php نام صفحه ورود به پیشخوان شده است و جایگزین wp-login.php می‌شود.

RewriteRule ^banana$ http://example.com/wp-login.php [NC,L]
  • از تنظیمات قفل ورود استفاده کنید: به عنوان مثال پس از 5 تلاش ناموفق کاربر برای ورود به پیشخوان یا پنل مدیریت، حساب کاربری وی را مسدود کنید. اینکار برای متوقف کردن ربات و هکرها بسیار کاربردی است. افزونه login lockdown اینکار را برای شما انجام می‌دهد.
  • از ایمیل بجای نام کاربری استفاده کنید: حفظ کردن نام کاربری برای اعضای سایت دشوارتر از ایمیل آن‌ها است. بنابراین ورود با ایمیل را به جای یک نام کاربری ساده برای آن‌ها قرار دهید.

4. وردپرس خود را آپدیت نگه دارید

در نسخه‌های آپدیت وردپرس و افزونه‌ها مشکلات احتمالی آن‌ها رفع شده و بهبودهایی از نظر سرعت و امنیت حاصل می‌شود. بهتر است در اسرع وقت آپدیت‌های موجود در پیشخوان را انجام دهید. برای مشاهده لیست آپدیت‌های مورد نیاز از پیشخوان بروزرسانی‌ها را کلیک کنید.

آپدیت کردن وردپرس

علاوه بر بروز رسانی مداوم، می‌توان از افزونه‌های بهبود سرعت و کش جهت افزایش عملکرد سایت وردپرسی خود استفاده کنید. یکی از این پلاگین‌ها افزونه wp rocket است. که سرعت سایت وردپرسی را در مواردی چندین برابر کرده است.

5. فعال کردن تأیید هویت دو عاملی در صفحه ورود (FA2)

فعال کردن احراز هویت دو عاملی وردپرس بسیار مهم است. اگر رمز عبور شما توسط حملات فیشینگ و یا سایر روش‌ها به سرقت برود دیگر هیچ مانعی برای ورود به حساب کاربری شما وجود ندارد. و این عواقب بدی چون سرقت موجودی و حساب کاربری شما را بدنبال دارد.

یکی از روش‌های تائید هویت دوعاملی استفاده از افزونه digits به عنوان پلاگینی برای ثبت‌نام با شماره موبایل در وردپرس است. به این ترتیب با استفاده از درگاه‌های معتبر پیامکی، ثبت‌نام و ورود با شماره موبایل انجام می‌شود و از ورود کاربران اسپم جلوگیری می‌شود.

تائید هویت دو عاملی در وردپرس

6. لطفا از نام کاربری Admin استفاده نکنید

بهترین روش محافظت از سایت وردپرسی انتخاب نام کاربری و رمز عبور قوی توسط کاربران سایت است. طول رمز عبور، استفاده از علائم و اعداد و ترکیب حروف بزرگ و کوچک بسیار مهم است. طول 14 کاراکتر ایده‌ال است.

اعتبار پسوردهای وردپرس خود را به طور مرتب بازبینی و در خواست تغییر آن‌ها را ارسال کنید. برای این منظور از password generatorهای آنلاین استفاده کنید.

لطفا بیخیال نام کاربری admin شوید.

7. پیام‌های خطا را به صورت عمومی نمایش دهید

در هنگام ورود نام کاربری و گذرواژه نادرست، خطاهای احتمالی قالب و مشکلات ناسازگاری افزونه‌ها تنها باید پیام‌های عمومی مثل «اطلاعات ورودی نادرست است» نمایش داده شود. غیر فعال کردن نمایش خطا در وردپرس می‌تواند در فایل wp- config.php و توسط کد زیر انجام شود.

define('WP_DEBUG', false);

8. غیرفعال کردن API REST در وردپرس

Wp rest API بازیابی داده‌ها را با استفاده از درخواست GET آسان می‌کند و معمولا برای طراحی اپلیکیشن برای سایت‌های وردپرسی کاربرد دارد. در صورتیکه نیازی به آن ندارید بهتر است غیر فعال شده تا از حملات DDOS جلوگیری شود. برای اینکار کد زیر را در فایل Function.php قرار دهید.

add_filter ('json_enabled', '__return_false');
add_filter ('json_jsonp_enabled', '__return_false');

9. نقش‌های کاربری مختلف تعریف کنید

بسیاری از کاربران تازه کار وردپرس نمی دانند که نقش ها چه اهمیتی دارند و به همه کاربران تازه وارد نقش مدیریت را اختصاص می دهند. به طور پیش فرض وردپرس 6 نقش کاربری دارد که مدیریت بالاترین سطح آن است. این نقش کاربر را قادر می کند به همه تنظیمات قالب و افزونه های نصب شده دسترسی داشته باشند.

10. از SSL در سایت وردپرسی خود استفاده کنید

از سال 2019 گواهینامه SSL برای گوگل اهمیت ویژه‌ای پیدا کرد. به طوری که مرورگر کروم شروع به علامت گذاری وب سایت‌های غیر https به عنوان یک سایت غیر ایمن کرد. احتمالا موتور جستجوی گوگل نیز به سایت‌های https اهمیت بیشتری در رتبه‌بندی بدهد.

در تصویر زیر گواهینامه ssl فعال شده را بر روی مرورگر مشاهده می‌کنید.

گواهینامه SSL

فعال بودن ssl موجب بالا رفتن سرعت سایت و بهبود رتبه در موتورهای جستجو می‌شود. همانطور که می‌دانید سرعت یکی از مهمترین پارامترهای سئوی تکنیکال است.

۱۱. دیتابیس خود را ایمن کنید

مشاغل الکترونیکی که داده‌های حساس‌تری دارند بیشتر درگیر حملات سایبری می‌شوند. حمله‌کنندگان از طریق دسترسی به پایگاه داده کار خود را انجام می‌دهند. بنابراین برای کاهش سطح حمله یا نقاط ورودی برای مهاجمین چند قدم زیر را بردارید:

  • پیشوند جداول دیتابیس را تغییر دهید: یک روش ساده تغییر پیشوند جدول دیتابیس در هنگام نصب وردپرس است که با WP_‎ شروع می‌شود.
  • تهیه نسخه پشتیبان از پایگاه داده: تهیه نسخه بک آپ از دیتابیس یعنی شما در هر زمان می‌توانید سایت خود را در قبال حملات هکرها و عدم دسترسی به پیشخوان بازیابی کنید. اگر نمی‌خواهید به صورت دستی اینکار را انجام دهید، افزونه‌های متنوعی برای این منظور وجود دارد.

12. از هاست ایمن استفاده کنید

هاست ایمن یکی از مهمترین و اولیه‌ترین نیازهای یک سایت است که مهمترین نقش را در امنیت برعهده دارد. برخی از ویژگی‌هایی که یک میزبان باید ارائه کنند در زیر لیست شده است:

  • پارامترهای امنیت مرکز داده
  • سیستم امنیت سمت سرور از قبیل فایروال و نرم‌افزار آنتی مالویر
  • افزودنی‌های SSL
  • بک آپ خودکار
  • مدیریت بروزرسانی‌ها

آموزش وردپرس بسیاری از قالب‌های چند منظوره و فروشگاهی را می‌توانید در راست چین مشاهده کنید. این آموزش‌ها شامل تنظیمات قالب و معرفی افزونه‌های امنیت و سرعت وردپرس است.

بهبود سئو سایت وردپرس

سئوی سایت یکی از مواردی است که همه وب مستران و مدیران سایت بدنبال بهبود آن هستند. تصور کنید محصولات و مقالات کاربردی شما در ویترین گوگل نمایش داده نشود، همه زحمات شما به هدر می‌رود چون در صفحه اول گوگل نمایش داده نمی‌شود.

افزونه‌‌های زیادی برای سئوی بخش‌های مختلف سایت مورد استفاده قرار می‌گیرد. اما افزونه yoast به جرات یکی از بهترین‌های وردپرس است. تغییر نامک، عنوان سئو، توضیحات متا، لینک دهی داخلی و خارجی، تعریف کلمات کلیدی و … تنها بخشی از مواردی است که این پلاگین، شما را راهنمایی می‌کند.

این افزونه در سئوی مطالب، محصولات و همه پست تایپ‌های از قبیل مشتریان، پورتفولیو و … می‌تواند مورد استفاده قرار گیرد. راهنمای این افزونه بسیار کاربردی است.

افزونه Yoast

در این مطلب در مورد آموزش امنیت وردپرس و چک لیست‌های آن صحبت شد. انتخاب نام کاربری و رمز عبور قوی، احراز هویت دوعاملی، محافظت از فایل‌های WP-config.php ،htaccess، تغییر نام پیشوند جداول پایگاه داده، مجوزهای دسترسی پوشه‌ها و فایل‌ها، انتخاب هاست ایمن و استفاده از افزونه‌های امنیتی مهمترین نکاتی بودند که مفصلا به آن‌ها پرداخته شد.

هر چند نمی‌‌توان ادعا کرد با رعایت استانداردهای امنیتی فوق راه نفوذ هکرها صد در صد بسته می‌شود، اما می‌توان گفت نفوذ به سایت بسیار دشوار خواهد بود و وبسایت شما امتیاز یک سایت ایمن را دریافت می‌کند. در تصویر زیر خلاصه موارد بیان شده آمده است.

امنیت در وردپرس

تابحال مشکل امنیتی یا سئو برای وب سایت وردپرسی شما رخ داده است؟ تجربه خود را با ما در میان بگذارید.

سلب‌ مسئولیت: مجموعه‌ «فرادرس» در تهیه‌ و تنظیم این مطلب نقشی نداشته و مسئولیتی راجع به صحت آن نمی‌پذیرد.

رپورتاژ آگهی171 بازدید

بر اساس رای 2 نفر

آیا این مطلب برای شما مفید بود؟

استارتاپ، محصول و خدمات خود را در مجله فرادرس معرفی کنید.

11 نظر در “چک لیست امنیت وردپرس و سئو

  1. من چون بعد از نصب قالب اومده بودم ssl رو فعال کرده بودم خطای mixcontenet داشتم و unsecure بود. بعد از کلی سرچ فهمیدم می شه با افزونه realy ssl میشه این خطا رو رفع کرد. از راست چین خریدم فک کنم ژاکتم داره

  2. من ایتم سکوریتی رو داشتم تازه رایگان، خیلی خوب بود مخصوصا بلاک کردن ای پی هایی که نظر اسپم میدن. بعد هم پریمیومش رو به دلایل امکانت بیشترش گرفتم

  3. درود
    عالی بود

  4. بهتون خسته نباشید میگم. مطلب مفید و کاربردی بود. من یک مشکلی دارم. ssl سایتم فعاله ولی موقع باز شدن پیغام unsecure میده. یک افزونه و یا راهکار برای حل این مشکل اعلام کنید. ممنون

  5. خیلی عالیییییی 🙂

    ممنون از اطلاعات مفیدتون

  6. اتفاقا سوال منم هست.. لطفا یکی جواب بده چون نمیشه همزمان هر دو افزونه امنیتی رو خرید یا نصب کرد.

  7. بسیار مفید و کاربردی
    سپاس از آموزش های خوبتون

  8. سلام مطالب خوبی بود به من خیلی کمک کرد .لطفا یه افزونه معرفی کنید که خودش اتوماتیک ادرس ورود به پیشخوان رو تغییر بده.

  9. پیشنهاد شما برای یک سایت فروشگاهی، بین افزونه وردفنس و ایتم سکوریتی کدومه؟

  10. یه سری نکات بود که میدونستیم مثلا نام ادمین خیلی واضحه که نباید استفاده کنیم. ولی بقیه موارد خوب بودن مخصوصا پیشوند دیتابیس و محافظت از فایل ها. تصورش رو می کنم که مثلا wp-config من رو تغییر بدن که کلا سایت نیاد بالا. فاجعه اس.
    حالا این وسط هاستمونم خوب نباشه و بک اپ جدید نده.
    دیگه هیچی عملا همه چی از دست رفته.
    مرسی خوب بود مطلب.خلاصه و مفید

    1. همه که مثل شما نمیدونستن نام کاربری ادمین که پیش فرض اکثر قالب هاست باید عوض بشه.
      بنظر من توی این چک لیست سعی شده همه نکات گفته بشه.
      من لذت بردم.ممنون

نظر شما چیست؟

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *