وردپرس پرکاربردترین سیستم مدیریت محتوای متن باز دنیا می باشد که برای راه اندازی هر نوع وب سایتی از آن استفاده می شود. در این آموزش وردپرس شما راهکار ها و ترفند هایی را می آموزید که با آنها خواهید توانست در جهت
افزایش امنیت وردپرس و بهینه سازی آن
گام های موثری را بردارید.
این آموزش دربردارنده نکاتی جهت افزایش امنیت سایت های وردپرس,محافظت از فایل های وردپرس, اعمال محدودیت ورود, حفاظت از پایگاه داده و .. می باشد.
بروزرسانی وردپرس یکی از مهمترین و اصلی ترین بخش های این سیستم مدیریت محتوای متن باز می باشد. بروزرسانی های وردپرس شامل رفع باگ های امنیتی, اشکالات و افزودن ویژگی های جدید می شوند به طوری که پس از عرضه نسخه جدید وردپرس اکثر نویسندگان پوسته ها و افزونه های وردپرس اقدام به بروزرسانی و ارئه نسخه جدید افزونه یا قالب خود می کنند. همیشه بهترین نسخه وردپرس از لحاظ امنیت, آخرین نسخه آن می باشد پس بهتر است همیشه از آخرین نسخه وردپرس و همچنین قالب ها و افزونه ها استفاده کنید.
به این نکته هم توجه کنید که : اگر پوسته ها و افزونه هایی که قبلا استفاده می کردید با نسخه های جدید وردپرس کار نکردند به احتمال زیاد آنها آنقدر امن نیستند که بتوانند با نسخه جدید خود را سازگار کنند.
تمام اطلاعات محرمانه سایت وردپرسی شما در فایل wp-config.php واقع در روت وردپرس ( جایی که وردپرس را نصب کرده اید ) ذخیره شده اند. کلید های سری ( Secret keys ) نیز جزء یکی از اطلاعات ذخیره شده در این فایل هستند. بنابراین مطمئن شوید که کلید های سری جدید را جایگزین کلید های سری پیشفرض کرده باشید.
در حالت پیشفرض کلید های سری واقع در فایل wp-config.php به صورت زیر هستند.
* Authentication Unique Keys. *www.wpdesigner.ir * Change these to different unique phrases! * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service} * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again. * * @since 2.6.0 */ define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here');
تعداد زیادی از سایت هایی که با وردپرس راه اندازی می شوند از پیشوند جداول پیشفرض وردپرس یعنی ‘wp_’ استفاده می کنند. به دلیل اینکه اکثر سایت ها از این پیشوند برای جداول سایت خود استفاده می کنند افرادی که سعی در نفوذ و هک سایت شما را دارند به راحتی نام جداول وردپرس شما را می دانند و امنیت سایت شما کاهش پیدا می کند. برای اینکه امنیت سایت وردپرسی خود را بالا ببرید بهترین کار تغییر پیشوند جداول می باشد.
همانطور که قبلا هم اشاره کردیم, فایل wp-config.php شامل تمام اطلاعات محرمانه سایت شما می باشد. پس بسیار مهم است که به هر قیمتی از آن محافظت کنیم. یکی از آسان ترین راه ها جهت حفاظت از این فایل قرار دادن کد زیر در .htaccess می باشد.
<Files wp-config.php> order allow,deny deny from all </Files>
ما در نکته امنیتی قبل با استفاده از .htaccess توانستیم از فایل wp-config.php محافظت کنیم اما برای حفاظت از خود .htaccess باید چه کار کنیم؟ نگران نباشید ما می توانیم از فایل .htaccess به عنوان محافظ خودش استفاده کنیم. تنها کافی است تا کد پایین را در فایل .htaccess قرار دهید.
<Files wp-config.php> order allow,deny deny from all </Files>
یکی از ایده های خوب دیگر جهت افزایش امنیت وردپرس حذف meta نسخه وردپرس از سایت شما می باشد. تگ متای generator نشان می دهد که شما از کدام یک از ورژن های وردپرس استفاده می کنید. اگر شما حالت نمایش نسخه وردپرس را فعال بگذارید هکر ها به راحتی کمبود های امنیتی سایت شما را خواهند دانست. اگر شما به هر دلیلی نمی توانید وردپرس خود را بروز کنید حداقل می توانید این واقعیت را که شما از آخرین ورژن وردپرس استفاده نمی کنید را از دید هکر ها پنهان کنید.
برای حذف نسخه وردپرس تنها کافی است کد زیر را در functions.php قالب فعلی خود قرار دهید.
remove_action('wp_head', 'wp_generator');
شما می توانید یک گام جلوتر بروید و با استفاده از کد زیر نسخه وردپرس را از خوارک وردپرس نیز حذف کنید.
function wpt_remove_version() { return ''; } add_filter('the_generator', 'wpt_remove_version');
افزونه Acunetix WP Security افزونه ای مفید جهت اسکن نصب وردپرس و ارائه پیشنهاداتی مطابق با آن به شما می باشد. این افزونه موارد زیر را چک می کند:
این افزونه را از اینجا دانلود کنید.
افزونه خوب login lockdown می تواند تعداد دفعات مجاز برای ورود های ناموفق (Failed Login Attempts) را محدود کند. این افزونه زمانی که شخصی به صورت دستی یا توسط یک ربات سعی در حدس رمز سایت شما دارد بسیار مفید خواهد بود.
کاربران با مرور دایرکتوری سایت شما می توانند به اکثر فایل های موجود در هاست شما دسترسی داشته باشند. به طور پیش فرض امکان مرور دایرکتوری روی اکثر هاست ها فعال می باشد که می تواند یک ریسک امنیتی بزرگ برای شما به حساب آید.
برای جلوگیری از مرور دایرکتوری سایت خود کافی است تا کد زیر را در فایل htaccess قرار دهید.
Options -Indexes
وردپس به طور معمول حساب کاربری مدیریت سایت وردپرس شما را با نام “admin” ایجاد می کند. بنابراین admin اولین نام کاربری ای خواهد بود که هکر ها سعی در استفاده از آن خواهند داشت. از وردپرس ۳.۰ به بعد شما می توانید نام کاربری را در زمان نصب وردپرس تغییر دهید. پس در هنگام نصب وردپرس سعی در انتخاب نام کاربری ای بجز admin کنید.
به علاوه برای تمام کاربران سایت خود (همچنین پایگاه داده خود) رمز عبوری قوی انتخاب کنید. این کار می تواند تاثیر به سزایی در افزایش امنیت سایت شما بگذارد. از افزونه Strong Password Generator می توانید برای ساخت گذروازه هایی قوی استفاده کنید.
آخرین نکته امنیتی در این آموزش پشتیبان گیری است اما گمان نکنید که اهمیت پشتیبان گیری کم است. پشتیبان گیری مرتب از سایت خود حس امنیت بیشتری نسبت به موارد بالا به شما می دهد. افزونه های زیادی برای وردپرس وجود دارند که عملیات پشتیان گیری از سایت شما را مدیریت می کنند.
چند نمونه افزونه رایگان برای پشتیبان گیری از وردپرس شامل موارد زیر می شوند:
برای ثبت سفارش طراحی قالب وردپرس اینجا کلیک نمایید.
برای مشاوره رایگان سفارش طراحی قالب وردپرس اینجا کلیک نمایید.
برای تماس با طراح وردپرس اینجا کلیک نمایید