اخرین مطالب بلاگ

امنیت وردپرس

 

۲۵ ترفند ساده امنیتی وردپرس برای ایمن نگه داشتن وب سایت

آیا واقعیت دارد که یک اسکریپت متن باز در برابر انواع حملات آسیب پذیر است؟ و اگر چنین است ، چگونه وب سایت وردپرس خود را ایمن می کنید؟ در اینجا چندین ترفند ساده ارایه می شود که می تواند به شما کمک کند امنیت وب سایت وردپرس خود را حتی بیشتر کنید. پس از اجرای این تکنیک ها و پیگیری بررسی های مستمر امنیتی وردپرس ، امنیت وب سایت وردپرس خود تامین میشود.

قسمت (الف): با اطمینان از امنیت hosting ، وب سایت وردپرس خود را ایمن کنید

تقریباً همه شرکت های host ادعا می کنند که یک محیط بهینه برای وردپرس فراهم می کنند ، اما آیا آنها این کار را می کنند؟

1. فقط با میزبان های خوب کار کنید (Work only with good hosts)

شما فقط باید با میزبانی مطمئن ، با کیفیت و ایمن کار کنید. افراد از نظر کیفیت میزبانی کلی و همچنین جنبه های جداگانه تنظیمات میزبانی آنها ، از قبیل امنیت ، قابلیت اطمینان ، سرعت و غیره ، متفاوت هستند. برخی از میزبانان به راحتی زیر سطح هستند و تحت استرس خوب عمل نمی کنند. بیشتر اوقات حتی نمی دانید که میزبان، امنیت وب سایت شما را به اندازه کافی جدی نمی گیرد. مواردی از قبیل افزایش حملات هکرها ، خرابی مکرر ، عملکرد پایین ، همه اینها ممکن است در نتیجه مکانیسم های امنیتی ناکافی موجود باشد. ساده ترین و بهترین راه حل این است که به میزبان دیگری بروید که از امنیت بیشتری برخوردار باشد. به طور کلی ، هرچه بیشتر هرینه بپردازید ، میزبان شما بهتر خواهد بود.

۲. از پرونده wp-config.php محافظت کنید (Protect the wp-config.php file)

فایل wp-config.php اطلاعات مهمی در مورد نصب وردپرس شما دارد و مهمترین فایل در فهرست ریشه سایت شماست. محافظت از آن به معنای ایمن سازی اصلی وبسایت وردپرس شما است. فایل wp-config.php خود را بردارید و آن را به سطح بالاتر از دایرکتوری ریشه خود منتقل کنید. حال سوال این است که اگر آن را در جای دیگری ذخیره کنید ، چگونه سرور به آن دسترسی پیدا می کند؟ در معماری فعلی وردپرس ، تنظیمات فایل پیکربندی در بالاترین لیست اولویت قرار گرفته است. بنابراین ، حتی اگر یک پوشه بالای دایرکتوری ریشه ذخیره شده باشد ، وردپرس همچنان می تواند آن را مشاهده کند.

۴. ویرایش فایل را نپذیرید(Disallow file editing)

اگر کاربری به مدیریت داشبورد وردپرس شما دسترسی داشته باشد ، می تواند فایلی را که بخشی از نصب وردپرس شما هستند ویرایش کند. این شامل تمام پلاگین ها و تم ها است. اگر ویرایش فایل را نپذیرید ، هیچ کس نمی تواند هیچ یک از پرونده ها را اصلاح کند، حتی اگر یک هکر دسترسی مدیر به داشبورد وردپرس شما را پیدا کند. برای انجام این کار ، موارد زیر را به فایل wp-config.php (در انتهای آن) اضافه کنید:

define(‘DISALLOW_FILE_EDIT’, true);

۳- مجوزهای دسترسی را با دقت تنظیم کنید (Set directory permissions carefully)

مجوزهای دسترسی اشتباه ممکن است خطرناک باشند ، به خصوص اگر در یک محیط میزبانی مشترک کار می کنید.
در چنین حالتی ، تغییر فایل ها و مجوزهای دایرکتوری اقدام خوبی برای ایمن سازی وب سایت در سطح میزبانی است. تنظیم مجوزهای دایرکتوری روی “755” و پرونده ها روی “644” از کل سیستم فایل – دایرکتوری ها ، زیر شاخه ها و پرونده های جداگانه محافظت می کند. این کار را می توان به صورت دستی از طریق File Manager در کنترل پنل میزبانی خود انجام داد ، یا از طریق ترمینال (متصل به SSH) – از دستور “chmod” استفاده کنید. برای اطلاعات بیشتر در مورد شمای صحیح مجوز برای وردپرس یا برای بررسی تنظیمات مجوز فعلی خود پلاگین iThemes Security را نصب کنید.

۵- لیست دایرکتوری را با .htaccess غیرفعال کنید(Disable directory listing with .htaccess)

اگر directory جدیدی به عنوان بخشی از وب سایت خود ایجاد کنید و پرونده index.html را در آن قرار ندهید ، ممکن است بازدیدکنندگان شما بتوانند لیست کاملی از directory موجود در آن directory را بدست آورند.
به عنوان مثال ، اگر پوشه ای به نام “data” ایجاد کنید ، می توانید با وارد کردن http://www.example.com/data/ در مرورگر خود همه موارد را در آن فهرست مشاهده کنید. بدون رمز عبور و یا هر چیز دیگری که مورد نیاز است.
با افزودن کد زیر در پرونده .htaccess می توانید از این امر جلوگیری کنید:

Options All -Indexes

۶. همه لینک های داغ را مسدود کنید (Block all hotlinking)

اگر شما یک تصویر را به صورت آنلاین پیدا کرده اید و می خواهید آن را در وب سایت خود به اشتراک بگذارید. اول از همه ، شما به مجوز یا پرداخت هزینه آن تصویر احتیاج دارید ، در غیر این صورت انجام این کار غیرقانونی است. اما اگر مجوز بگیرید ، می توانید مستقیماً URL تصویر را بکشید و از آن برای قرار دادن عکس در پست خود استفاده کنید. مشکل اصلی در اینجا این است که تصویر در سایت شما نشان داده می شود ، اما در سرور سایت دیگری میزبانی می شود.

از این منظر ، شما هیچ کنترلی بر باقی ماندن یا عدم عکس در سرور ندارید. ممکن است این کار را با وب سایت شما انجام شود. اگر می خواهید وب سایت وردپرس خود را ایمن کنید ، hotlinking اساساً شخص دیگری است که برای نشان دادن تصویر در وب سایت خود ، عکس شما را می گیرد و پهنای باند سرور شما را می دزدد. در پایان ، سرعت بارگیری کندتر و احتمال هزینه های بالای سرور را مشاهده خواهید کرد.
اگرچه برخی روشهای دستی برای جلوگیری از هات لینک وجود دارد ، اما آسانترین روش یافتن یک افزونه امنیتی وردپرس برای این کار است. به عنوان مثال ، افزونه All in One WP Security and Firewall شامل ابزارهای داخلی برای مسدود کردن همه hotlink ها است.

۷. فهمیدن و محافظت در برابر حملات DDoS (Understand, and protect, against DDoS attacks)

حمله DDoS نوع متداولی برای حمله به پهنای باند سرور شماست ، جایی که مهاجم از چندین برنامه و سیستم برای سربار بیش از حد سرور شما استفاده می کند. اگرچه حمله ای از این دست فایل های سایت شما را به خطر نمی اندازد ، اما اگر این مشکل حل نشود ، برای مدت طولانی سایت شما را خراب می کند. معمولاً شما فقط در مورد حملات DDoS می شنوید که این اتفاق برای شرکت های بزرگی مانند GitHub یا Target بیفتد. اگر این مسئله شما را نگران می کند ، توصیه می کنیم برای برنامه های برتر Sucuri یا Cloudflare ثبت نام کنید. این راه حل ها دارای فایروال های برنامه وب برای تجزیه و تحلیل پهنای باند مورد استفاده و جلوگیری از حملات DDoS به طور کامل هستند.

قسمت (ب): با محافظت از صفحه ورود به سیستم و جلوگیری از حملات بی رحمانه ، وب سایت وردپرس خود را ایمن کنید

URL استاندارد صفحه ورود به وردپرس را همه می دانند. وب سایت از آنجا قابل دسترسی است، کافیست /wp-login.php یا / wp-admin / را در انتهای نام دامنه خود اضافه کنید. سفارشی کردن URL صفحه ورود به سیستم این اولین کاری است که هنگام شروع امنیت وب سایت خود باید انجام دهید. برخی مسئولیت ها وجود دارد که شما باید به عنوان صاحب وب سایت از آنها مراقبت کنید. بنابراین سوال اصلی این است که شما برای نجات سایت خود از هک شدن چه کاری انجام می دهید؟ محافظت از صفحه ورود به سیستم و جلوگیری از حملات brute force یکی از بهترین کارهایی است که می توانید انجام دهید. در اینجا چند پیشنهاد برای ایمن سازی صفحه ورود به وب سایت وردپرس وجود دارد:

۸- ویژگی قفل وب سایت و کاربران ممنوع را تنظیم کنید (Set up a website lockdown feature and ban users)

یک ویژگی قفل برای تلاشهای ناموفق برای ورود می تواند مشکل هک را حل کند. هر زمان که اقدام به هک کردن با رمزهای عبور اشتباه تکراری شود ، سایت قفل می شود و شما از این فعالیت غیر مجاز مطلع می شوید.
افزونه iThemes Security یکی از بهترین پلاگین های موجود است. این افزونه آدرس IP مهاجم را ممنوع می کند.

۹- برای تأیید امنیت وردپرس از احراز هویت دو فاکتوری استفاده کنید (Use two-factor authentication for WordPress security)

معرفی یک ماژول احراز هویت دو فاکتوری (2FA) در صفحه ورود به سیستم ، اقدام امنیتی خوب دیگری است. در این حالت ، کاربر جزئیات ورود به سیستم را برای دو جز مختلف ارائه می دهد. صاحب وب سایت تصمیم می گیرد که این دو کدامند. این می تواند یک رمزعبور معمولی باشد که به دنبال آن یک سوال محرمانه ، یک کد مخفی ، مجموعه ای از نویسه ها باشد. برنامه Google Authenticator وجود دارد که یک کد مخفی به تلفن شما می فرستد. به این ترتیب فقط شخصی که تلفن شما را دارد می تواند وارد سایت شما شود.

۱۰-  برای ورود به سیستم از ایمیل خود استفاده کنید (Use your email to login)

به طور پیش فرض ، برای ورود به وردپرس باید نام کاربری خود را وارد کنید. استفاده از شناسه ایمیل به جای نام کاربری رویکرد ایمن تری است. دلایل آن کاملاً واضح است. پیش بینی نام های کاربری آسان است ، در حالی که شناسه های ایمیل چنین نیستند. همچنین ، هر حساب کاربری وردپرس با یک آدرس ایمیل منحصر به فرد ایجاد می شود ، و آن را به یک شناسه معتبر برای ورود به سیستم تبدیل می کند. چندین افزونه امنیتی وردپرس به شما امکان می دهد صفحات ورود به سیستم را تنظیم کنید تا همه کاربران برای ورود به سیستم از آدرس ایمیل خود استفاده کنند.

۱۲- برای امنیت وب سایت وردپرس خود URL ورود به سیستم را تغییر نام دهید (Rename your login URL to secure your WordPress website)

تغییر URL ورود به سیستم کاری آسان است. به طور پیش فرض ، از طریق wp-login.php یا wp-admin اضافه شده به URL اصلی سایت ، می توان به راحتی به صفحه ورود وردپرس دسترسی داشت.
وقتی هکرها آدرس مستقیم صفحه ورود شما را می دانند ، می توانند وارد شوند. آنها سعی می کنند با GWDb خود وارد شوند (Guess Work Database ، یعنی پایگاه داده ای با نام های کاربری و رمزهای عبور حدس زده شده ؛ به عنوان مثال username: admin and password: p@ssword… با میلیون ها ترکیب از این قبیل)
در این مرحله ، ما تلاش می کنیم ورود کاربر را محدود کرده و نام کاربری را برای شناسه های ایمیل عوض کنیم. اکنون می توانیم URL ورود را جایگزین کرده و از شر 99٪ حملات مستقیم brute force خلاص شویم. این ترفند کوچک دسترسی شخص غیرمجاز به صفحه ورود را محدود می کند. فقط شخصی با آدرس اینترنتی دقیق می تواند این کار را انجام دهد. ساده ترین راه برای تغییر URL ورود به سیستم ، استفاده از پلاگین WPS Hide Login است. فقط آدرس صفحه ورود به سیستم جدید خود را وارد کنید و تغییرات را ذخیره کنید. می توانید URL را روی هر چیزی که می خواهید تنظیم کنید.

۱۲- رمزهای عبور خود را تنظیم کنید (Adjust your passwords)

با رمزهای عبور خود بازی کنید و مرتباً آنها را تغییر دهید تا وب سایت وردپرس خود را ایمن کنید. با افزودن کلمات اضافی و طولانی تر کردن رمزهای عبور ، قدرت آنها را بهبود ببخشید. بسیاری از افراد عبارتهای طولانی را انتخاب می کنند زیرا پیش بینی این موارد برای هکرها تقریباً غیرممکن است اما به خاطر سپردن آنها از یک تعداد عدد و حرف تصادفی تقریباً آسان است. استفاده از یک عبارت پیچیده اغلب ایمن تر و همچنین به یادآوری 10 برابر آسان تر است.

۱۳- از مدیریت رمز عبور استفاده کنید(Use a password manager)

همه ما می دانیم که باید رمزهای عبور خود را اغلب تغییر دهیم و شکستن آنها دشوار است. ما می دانیم که “باید” چه کاری انجام دهیم ، اما همیشه چیزی نیست که برای آن وقت داشته باشیم.اینجاست که برخی از مدیران رمز عبور با کیفیت وارد عمل می شوند. آنها نه تنها رمزهای ورود ایمن برای شما ایجاد می کنند بلکه سپس آنها را در داخل یک طاق امن ذخیره می کنند ، که باعث می شود دیگر نیازی به یادآوری آنها نداشته باشید.

۱۴- کاربران بیکار را به طور خودکار از سایت خود خارج کنید (Automatically log idle users out of your site)

کاربرانی که صفحه wp-admin سایت شما را روی صفحه های خود باز می گذارند می توانند تهدیدی جدی برای امنیت وردپرس باشند. هر رهگذری می تواند اطلاعات موجود در وب سایت شما را تغییر دهد ، حساب کاربری شخص را تغییر دهد یا حتی سایت شما را به کلی خراب کند. با اطمینان از خروج افراد از سایت برای مدت زمان مشخصی که بیکار هستند ، می توانید از این امر جلوگیری کنید.
با استفاده از افزونه ای مانند BulletProof Security می توانید این مورد را تنظیم کنید. این افزونه به شما امکان می دهد برای کاربران بیکار محدودیت زمانی سفارشی تعیین کنید ، پس از آن به طور خودکار از سیستم خارج می شوند.
قسمت (ج): وب سایت وردپرس خود را از طریق داشبورد مدیر ایمن کنید
برای یک هکر ، جذاب ترین قسمت یک وب سایت داشبورد مدیر است که در واقع محافظت شده ترین قسمت از همه است. بنابراین ، حمله به قوی ترین قسمت چالش واقعی است. در صورت تحقق این امر ، یک پیروزی اخلاقی و دسترسی صدمه زیادی به هکر به همراه دارد.

۱۵- از پوشه wp-admin محافظت کنید (Protect the wp-admin directory)

فهرست wp-admin قلب هر وب سایت وردپرسی است. بنابراین ، اگر این قسمت از سایت شما خراب شود ، کل سایت ممکن است آسیب ببیند. یک راه ممکن برای جلوگیری از این امر محافظت از پوشه از دایرکتوری wp-admin است. با چنین اقدام امنیتی وردپرس ، مالک وب سایت می تواند با ارسال دو رمز عبور به داشبورد دسترسی پیدا کند. یکی از صفحه ورود محافظت می کند ، و دیگری منطقه مدیر وردپرس را محافظت می کند. تنظیم این امر معمولاً تنظیم تنظیمات میزبانی شما از طریق cPanel است. هنوز هم اگر مراحل درست را دنبال کنید انجام این کار چندان دشوار نیست.

۱۶- برای رمزگذاری داده ها از SSL استفاده کنید (Use SSL to encrypt data)

اجرای گواهینامه SSL (لایه امن سوکت) یک اقدام هوشمند برای ایمن سازی پنل مدیریت است. SSL انتقال داده ایمن بین مرورگرهای کاربر و سرور را تضمین می کند ، و باعث می شود هکرها نتوانند اتصال شما را قطع کنند یا اطلاعات شما را جعل می کنند. دریافت گواهی SSL برای وب سایت وردپرس خود ساده است. می توانید یکی را از یک شرکت شخص ثالث خریداری کنید یا بررسی کنید که آیا شرکت میزبان شما یکی را به صورت رایگان ارائه می دهد یا خیر. گواهی SSL همچنین بر رتبه بندی وب سایت شما در Google تأثیر می گذارد. Google تمایل دارد سایتهای دارای SSL را بالاتر از آنهایی که فاقد آن هستند رتبه بندی کند. این یعنی ترافیک بیشتر. فعال کردن SSL در سایت وردپرسی خود بسیار ساده است. در 99٪ موارد ، تنها کاری که شما باید انجام دهید نصب پلاگین Really Simple SSL و فعال سازی آن است. تنظیمات دیگری لازم نیست.

۱۷- حسابهای کاربری را با دقت اضافه کنید (Add user accounts with care)

اگر وبسایت شما چند نویسنده دارد ، باید با چندین نفری که به پنل مدیریت شما دسترسی دارند برخورد کنید. این می تواند وب سایت شما را در معرض تهدیدات امنیتی وردپرس قرار دهد. می توانید از افزونه ای مانند Force Strong Passwords استفاده کنید اگر می خواهید از امنیت هر رمز عبوری که کاربران ایجاد می کنند مطمین شوید. این فقط یک اقدام پیشگیرانه است ، اما بهتر از داشتن چندین کاربر با رمزهای عبور ضعیف است.

۱۸- نام کاربری مدیر را تغییر دهید (Change the admin username)

در هنگام نصب وردپرس خود ، هرگز نباید “admin” را به عنوان نام کاربری برای حساب مدیر اصلی خود انتخاب کنید. چنین نام کاربری آسان برای حدس زدن برای هکرها قابل دسترسی است. تنها چیزی که آنها باید بفهمند رمز ورود است ، سپس کل سایت شما به دست اشتباه می رسد. افزونه iThemes Security می تواند با ممنوع کردن بلافاصله هر آدرس IP که می خواهد با آن نام کاربری وارد سیستم شود ، چنین تلاش هایی را متوقف کند.

۱۹- فایل های خود را کنترل کنید (Monitor your files)

اگر برخی از افزونه های امنیت وردپرس را اضافه می کنید، تغییرات فایل های وب سایت خود را از طریق افزونه هایی مانند Wordfence یا iThemes Security ، را کنترل کنید.

قسمت (د): وب سایت وردپرس خود را از طریق پایگاه داده ایمن کنید

تمام داده ها و اطلاعات سایت شما در پایگاه داده ذخیره می شود. مراقبت از آن بسیار مهم است. در اینجا چند کار وجود دارد که می توانید برای امنیت بیشتر آن انجام دهید:

۲۰- پیشوند جدول پایگاه داده وردپرس را تغییر دهید (Change the WordPress database table prefix)

اگر تاکنون وردپرس را نصب کرده اید پس با پیشوند wp- table که در پایگاه داده وردپرس استفاده می شود آشنا هستید. استفاده از پیشوند پیش فرض پایگاه داده سایت شما را مستعد حملات تزریق SQL می کند. با تغییر wp- به اصطلاح دیگر می توان از چنین حملاتی جلوگیری کرد. به عنوان مثال ، می توانید آن را mywp- یا wpnew- کنید. اگر قبلاً وب سایت وردپرس خود را با پیشوند پیش فرض نصب کرده اید ، می توانید از چند افزونه برای تغییر آن استفاده کنید. پلاگین هایی مانند WP-DBManager یا iThemes Security می توانند تنها با یک کلیک یک دکمه به شما در انجام کار کمک کنند. (اطمینان حاصل کنید که قبل از انجام هر کاری با پایگاه داده ، از سایت خود پشتیبان تهیه کرده اید).

۲۱- برای تهیه امنیت وب سایت خود بطور مرتب پشتیبان تهیه کنید (Make backups regularly to secure your WordPress website)

وب سایت وردپرس شما هر چقدر هم که امن باشد ، همیشه جای پیشرفت دارد. اما در پایان روز ، نگه داشتن یک نسخه پشتیبان از سایت خارج از سایت شاید بهترین پادزهر باشد بدون توجه به آنچه اتفاق می افتد. اگر نسخه پشتیبان تهیه کرده اید ، می توانید وب سایت وردپرس خود را در هر زمان که بخواهید به حالت عملیاتی برگردانید. چند افزونه وجود دارد که می تواند در این زمینه به شما کمک کند. اگر به دنبال یک راه حل برتر هستید ، من VaultPress توسط Automattic را توصیه می کنم ، که عالی است. این افزونه هر هفته پشتیبان گیری می کند. و اگر هر اتفاق بدی رخ دهد ، می توان به راحتی و فقط با یک کلیک سایت را بازیابی کرد.
برخی از وب سایت های بزرگتر پشتیبان گیری را هر ساعت انجام می دهند ، اما برای اکثر سازمان ها کاملاً اضافه کاری می کند. شما باید اطمینان حاصل کنید که بسیاری از نسخه های پشتیبان پس از ایجاد نسخه جدید ، از آنجا که هر فایل پشتیبان فضای درایو شما را اشغال می کند ، حذف می شوند. با این اوصاف ، توصیه می شود برای اکثر سازمان ها پشتیبان گیری هفتگی یا ماهانه انجام شود. علاوه بر نسخه پشتیبان تهیه ، VaultPress همچنین سایت را از نظر بدافزار بررسی می کند و در صورت بروز هرگونه سایه ای به هشدار می دهد.

۲۲- رمزهای عبور قوی برای پایگاه داده خود تنظیم کنید (Set strong passwords for your database)

گذرواژه قوی برای کاربر اصلی پایگاه داده ضروری است زیرا این رمز عبوری است که وردپرس برای دسترسی به پایگاه داده از آن استفاده می کند. مثل همیشه ، از حروف بزرگ ، کوچک ، اعداد و نویسه های خاص برای رمز عبور استفاده کنید. عبارات عبور نیز عالی هستند. یک بار دیگر LastPass را برای تولید و ذخیره رمز عبور تصادفی توصیه می شود. ابزاری رایگان و سریع برای ساختن رمزهای عبور قوی ، ایجاد رمز ورود امن است.

۲۳- گزارش های حسابرسی خود را کنترل کنید (Monitor your audit logs)

هنگامی که چند سایت وردپرس را اجرا می کنید یا یک وب سایت را با چند نویسنده اداره می کنید ، درک نوع فعالیت کاربر ضروری است. ممکن است نویسندگان و همکاران شما در حال تغییر رمزهای عبور باشند ، اما موارد دیگری نیز وجود دارد که ممکن است شما مایل نباشید اتفاق بیفتد. به عنوان مثال ، تغییرات زمینه و ویجت فقط به سرپرستان اختصاص دارد. هنگامی که گزارش حسابرسی را بررسی می کنید ، می توانید مطمئن شوید که سرپرستان و مشارکت کنندگان شما در تلاش نیستند بدون تأیید چیزی را در سایت شما تغییر دهند.
افزونه WP Security Audit Log لیست کاملی از این فعالیت را به همراه اعلان ها و گزارش های ایمیل ارائه می دهد. در ساده ترین حالت ، گزارش حسابرسی می تواند به شما کمک کند تا ببینید نویسنده ای در ورود به سیستم با مشکل روبرو است. اما این افزونه همچنین ممکن است فعالیت مخربی را از یکی از کاربران شما نشان دهد.

قسمت (ه): وب سایت وردپرس خود را از طریق themes and plugins امن کنید

themes and plugins مواد ضروری برای هر وب سایت وردپرس هستند. متأسفانه ، آنها همچنین می توانند تهدیدهای جدی امنیتی باشند. بیایید دریابیم که چگونه می توانیم تم ها و افزونه های WordPress شما را به روش صحیح ایمن کنیم:

۲۴- برای امنیت وردپرس مرتباً به روز شوید (Update regularly for WordPress security)

هر محصول نرم افزاری خوبی توسط توسعه دهندگان خود پشتیبانی می شود و هر از چند گاهی به روز می شود. این به روزرسانی ها برای رفع اشکالات و گاهی اوقات وصله های امنیتی حیاتی هستند. وردپرس و افزونه های آن تفاوتی ندارند.
به روزرسانی نکردن تم ها و افزونه ها می تواند مشکل ساز شود. بسیاری از هکرها به این واقعیت اعتماد می کنند که مردم نمی توانند از بروزرسانی افزونه ها و تم های خود خسته شوند. بیشتر اوقات ، این هکرها از اشکالاتی که قبلا برطرف شده اند سو استفاده می کنند. بنابراین ، اگر از هر محصول WordPress استفاده می کنید ، آن را مرتباً به روز کنید. پلاگین ها ، تم ها ، همه چیز. خبر خوب این است که وردپرس به طور خودکار به روزرسانی ها را برای کاربران خود ایجاد می کند ، بنابراین شما ایمیلی دریافت می کنید که به شما در مورد به روزرسانی و اطلاعات مربوط به اصلاحات داشبورد خود اطلاع می دهد.
در مورد پلاگین ها ، این موارد باید با رفتن به پلاگین ها در داشبورد خود به صورت دستی به روز شوند. وقتی یک افزونه نسخه جدیدی داشته باشد ، به شما اطلاع می دهد و پیوندی را برای به روزرسانی اکنون ارائه می دهد. به عنوان یک گزینه جایگزین ، می توانید یک برنامه میزبانی وردپرس مدیریت شده را انتخاب کنید. همراه با بسیاری از ویژگی های دیگر و بهبود امنیت وردپرس شما ، میزبانی با کیفیت مدیریت به روز رسانی خودکار را برای تمام عناصر سایت وردپرس شما ارائه می دهد. برخی از ارائه دهندگان میزبان مدیریت شده Kinsta ، SiteGround و Flywheel هستند.

۲۵- شماره نسخه وردپرس خود را حذف کنید (Remove your WordPress version number)

شماره نسخه فعلی وردپرس شما را می توان به راحتی پیدا کرد. در واقع همان جا در نمای منبع سایت شما نشسته است. همچنین می توانید آن را در پایین داشبورد خود مشاهده کنید. اگر هکرها بدانند از کدام نسخه از وردپرس استفاده می کنید ، برای آنها آسان تر است که حمله مناسب را تنظیم کنند. می توانید شماره نسخه خود را تقریباً با هر پلاگین امنیتی وردپرس که در بالا ذکر کردم پنهان کنید. برای دستیابی به رویکرد دستی تر (و همچنین حذف شماره نسخه از فیدهای RSS) ، افزودن عملکرد زیر را به پرونده functions.php خود در نظر بگیرید:

function wpbeginner_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpbeginner_remove_version’);

حرف آخر در مورد چگونگی امنیت وب سایت وردپرس

هرچه بیشتر به امنیت وردپرس خود اهمیت دهید ، نفوذ به یک هکر دشوارتر می شود. با این حال ، به همان اندازه امنیت ، اهمیت عملکرد وب سایت نیز هست. اصولاً بدون وب سایتی که سریع بارگیری شود ، بازدیدکنندگان شما هرگز فرصتی برای مصرف محتوای شما نخواهند داشت. یک بازدید کننده متوسط وب سایت قبل از ناامید شدن و رفتن فقط 2 ثانیه صبر می کند.

 

مدیرسایت
مدیرسایت