امنیت در وردپرس را چگونه تامین کنیم؟ معرفی راهکارهایی برای افزایش امنیت در وردپرس

وردپرس یک CMS خوب برای مدیریت سایت است! این سیستم مدیریت محتوا امکانات بسیاری را در اختیار شما قرار داده و به سادگی می توانید امنیت سایت خود را افزایش دهید. این در حالی است که اگر برخی نکات امنیتی را نادیده بگیرید، میتوانید باعث راحتی کار هکرهای خرابکار شوید!

انجام چند نکته امنیتی ساده می تواند سایت شما را در برابر بسیاری از حمله های اینترنتی ایمن کند. البته همواره به این نکته توجه داشته باشید که امنیت وب سایت ها هرگز ۱۰۰% نیست! تلاش ما باید به سمتی باشد که امنیت در بالاترین سطح ممکن قرار گیرد.

برای امنیت در وردپرس  فایل config.php را به یک سطح بالاتر انتقال دهید

به طور پیشفرض وردپرس ابتدا در روت وب سایت به دنبال این فایل می گردد و در مرحله دوم، یک Level بالاتر آمده و آنجا را جستجو می کند.

نام کاربری Admin را تغییر دهید

انجام اینکار از طریق phpMyAdmin امکان پذیر است.

رمز عبور قوی انتخاب کنید

انتخاب رمز عبور پیچیده که از کاراکتر های حروف بزرگ و کوچک انگلیسی به همراه اعداد و علامت ها تشکیل شده باشد می تواند بسیار مفید باشد.

همیشه وردپرس را به روز رسانی کنید

به روز رسانی های وردپرس را جدی بگیرید! تنبلی نکنید! فقط چند کلیک برای به روز رسانی کافی است…

ورژن وردپرس را مخفی کنید

این کار را قبلا در مقاله { حذف کدهای غیر ضروری از Head در وردپرس } توضیح داده ایم (البته مفصل تر)

بررسی File Permission ها

کافی است به Cpanel یا نرم افزار سرور خود وارد شوید. پرمیشن فایل ها باید ۷۴۴ باشد و برای فولدر ها ۶۴۴ یا ۷۵۵ مناسب است. دقت کنید که ۷۷۷ نباشند!

همیشه Backup بگیرید!

هم از فایل ها و هم از اطلاعات به طور مداوم بک آپ بگیرید.

از پلاگین ها کمتر استفاده کنید

تعداد پلاگین بیشتر، یعتی امکان وجود حفره امنیتی بیشتر. بنابراین فقط و فقط در موارد ضروری از پلاگین ها استفاده کنید. در سایر موارد سعی کنید با برنامه نویسی در Functions و یا پلاگین های اختصاصی، نیاز خود را رفع نمایید.

اعمال محدودیت ها با استفاده از htaccess

قطع دسترسی به wp-config.php – قرار دادن در روت

<Files wp-config.php>
 Order Allow,Deny
 Deny from all
</Files>

قطع دسترسی به wp-content – قرار دادن در wp-content

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

جلوگیری از مشاهده دایرکتوری – قرار دادن در روت

# directory browsing
Options All -Indexes

جلوگیری از اجرای فرمت های غیرمجاز در فولدر upload

# Secure /uploads/ directory from unwanted file types
<Files ~ ".*..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch ".(jpg|jpeg|jpe|gif|png|tif|tiff)$">
Order Deny,Allow
Allow from all
</FilesMatch>

حذف پیام های خطا در صفحه ورود

به هنگام ورود، اگر تصادفاً نام کاربری را صحیح وارد نمایید، خطای سیستم به نحوی خواهد بود که صحیح بودن نام کاربری را مشخص می کند.

بنابراین هکر از صحت نام کاربری اطمینان پیدا کرده و اقدام به امتحان کردن سایر رمزهای عبور می کند.

می توانیم به سادگی نمایش پیام های خطا را در صفحه لاگین غیر فعال کنیم. کافی است کد زیر را در functions.php قرار دهید:

add_filter('login_errors',create_function('$a', "return null;"));

غیرفعال کردن ویرایش قالب و پلاگین

در بسیاری از حمله ها ابتدا هکر به داشبورد دسترسی پیدا می کند و سپس با تغییر در کدهای قالب، فایل شلر خود را آپلود کرده و اقدام به دسترسی به سطوح بالاتر می کند. ما می توانیم با غیرفعال کردن امکان ویرایش قالب و پلاگین جلوی این مورد را بگیریم. کافی است کد زیر را در wp-config.php وارد نمایید:

define( 'DISALLOW_FILE_EDIT', true);

در انتها بازهم یادآور می شوم که امنیت هرگز و در هیچ کجا، ۱۰۰% نیست.