آیا وردپرس امن است؟
قبل از اینکه سراغ معرفی راهکارهای افزایش امنیت سایت برویم، باید این شبهه را برای همیشه برطرف کنیم که آیا استفاده از وردپرس ایمن است یا نه؟ در سال 2009 میلادی، زمانی که این سیستم مدیریت محتوا در ابتدای مسیر رشد خود قرار داشت، انتقادهایی برای حفظ حریم خصوصی کاربران مطرح شد. بسیاری از متخصصان معتقد بودند که وردپرس نمیتواند به طور کافی امنیت وبسایتهای مختلف را حفظ کند. اما تیم توسعهدهنده این CMS قدرت خود را به همگان نشان داد.
این تیم در طی 28 روز 4 وصله امنیتی را به WordPress اضافه کرد و از آن روز تا امروز همچنان در حال بهروزرسانی این CMS و حل کردن مشکلات امنیتی آن است. از طرف دیگر توسعهدهندگان وبسایت هم در حال ارائه انواع افزونه بالا بردن امنیت وردپرس هستند که همین موضوع توانسته این سیستم مدیریت محتوا را به یکی از ایمنترین گزینهها برای طراحی انواع وبسایت تبدیل کند. اما اگر هنوز هم برای استفاده از این سیستم در طراحی سایت خود شک دارید، پیشنهاد میکنیم مقاله وردپرس خوبه یا بد را در وبلاگ ما مطالعه کنید.
نحوه افزایش امنیت وردپرس
هر چقدر هم که یک سیستم مدیریت محتوا قدرتمند و ایمن باشد، باز هم هکرهایی پیدا میشوند که رخنههای امنیتی سایتها را پیدا کرده و از طریق آنها نفوذ کنند. به همین دلیل لازم است که با نحوه افزایش امنیت وردپرس آشنا باشید تا بتوانید تا حد امکان همه سوراخ سنبههای سایت خود را بپوشانید. در ادامه مهمترین راهکارهای افزایش امنیت سایت WordPress را به شما آموزش دادهایم.
1- به روز رسانی دائمی
یکی از روشهای افزایش امنیت وب سایت وردپرسی به روز رسانی دائمی آن است. در هر آپدیتی که برای این سیستم مدیریت محتوا ارائه میشود، سپرهای امنیتی جدیدی در برابر تهدیدهای سایبری ایجاد شدهاند که میتواند باعث افزایش امنیت وردپرس شود. بنابراین حتما همه افزونهها، قالب و تم و قسمتهای مختلف را در وب سایت خودتان آپدیت کنید تا هیچ راهی برای نفوذ باقی نماند. به علاوه میتوانید به روز رسانی خودکار را فعال کنید تا هرگز این کار عقب نیفتد.
2- فعال کردن ورود ایمن
یکی از اشتباهاتی که بسیاری از طراحان مبتدی سایت وردپرسی انجام میدهند، این است که از نامهای کاربری ساده مثل Admin و Test استفاده میکنند. از سوی دیگر رمزهای عبوری که انتخاب میکنند، بسیار ساده هستند؛ با این بهانه که هیچوقت آنها را فراموش نمیکنند. اما پیشنهاد ما به شما این است که از رمزهای تصادفی وردپرس استفاده کنید که ایمنی بالایی دارند و آنها را در جای امنی بگذارید تا فراموشتان نشود. به علاوه برای هر عضو جدید، یک نام کاربری جدید و ایمن انتخاب کنید که قابل حدس زدن نباشد.
3- خرید هاست ایمن
یکی از راهکارهای افزایش امنیت سایت این است که هاست خودتان را از شرکتهای معتبر خریداری کنید؛ در غیر این صورت هر چقدر هم از انواع افزونه بالا بردن امنیت وردپرس استفاده کرده و یا راهکارهای دیگر را امتحان کنید، باز هم دادههایتان در معرض خطر هستند. شرکتهای ارائهدهنده خدمات هاست و میزبانی که اعتبار خوبی دارند، به طور خودکار امکانات امنیتی خوبی را ارائه میدهند. در عین حال مانع از هک شدن سایت شما خواهند شد. برای انتخاب یک هاست مناسب، میتوانید مقاله ما درباره نکات مهم در خرید سرور و هاست را مطالعه کنید.
4- فعال کردن تایید دو مرحله ای
یکی دیگر از پاسخهای سوال چگونه امنیت سایت وردپرس را بالا ببریم این است که تایید دو مرحله ای را فعال کنید. برای مثال میتوانید در زمان ورود به سایت، کد مخصوصی را به ایمیل افراد ارسال کنید. در نتیجه حتی اگر کسی به اطلاعاتی مانند رمز کاربری و پسورد افراد دسترسی داشته باشد، باز هم برای ورود به سایت نیاز به اطلاعات دیگری خواهد داشت.
5- تغییر آدرس صفحه ورود به وردپرس
هر سایتی که با استفاده از WordPress طراحی میشود، از آدرس پیشفرض wp-login.php برای صفحه ورود خود استفاده میکند. در این صورت هر کسی میتواند به راحتی به این صفحه دسترسی پیدا کرده و با زدن نام کاربری و پسورد، به اطلاعات سایت نفوذ کند. بنابراین برای افزایش امنیت وب سایت وردپرسی لازم است که این آدرس را تغییر دهید.
6- محدود کردن تعداد دفعات ورود به وبسایت
یکی دیگر از راهکارهای افزایش امنیت سایت وردپرسی این است که تعداد دفعات ورود به سایت را در یک بازه زمانی مشخص محدود کنید. به این ترتیب اگر کسی تلاش کند که با زدن رمزهای عبور مختلف راهی برای ورود پیدا کند، بدون شک مسدود خواهد شد.
7- پرسیدن یک سوال امنیتی
برای اینکه بتوانید راحتتر احراز هویت افراد را انجام دهید و امنیت سایت خود را بالا ببرید، میتوانید یک سوال امنیتی را به وبسایت خود اضافه کنید. این سوالی باید به صورتی باشد که فقط خود فرد جواب آن را بداند. برای مثال درباره غذاهای مورد علاقه، اولین مدرسهای که رفته است یا رنگی که از آن متنفر است سوال کنید. برای این کار تنها کافی است وارد بخش Setup Questions شوید و یک پرسش را تایپ کنید. در نتیجه هر زمان که فردی قصد ورود به سایت را داشته باشد یا از گزینه فراموشی رمز عبور استفاده کند، این سوال برای او نمایش داده میشود.
8- استفاده از https و SSL
یکی دیگر از راهکارهای افزایش امنیت سایت وردپرسی گرفتن گواهی SSL و استفاده از https است. به عبارت بهتر باید بدانید که این مورد یکی از اولین اقدامی است که یک شرکت طراحی سایت معتبر برای افزایش امنیت وب سایت انجام میدهد. یکی از خدمات اصلی طراحی سایت در اصفهان گروه لاک پشت برای بالا بردن ایمنی سایتهای وردپرسی، استفاده از پروتکل ارتباط امن بر روی تمام ساب دامنههای اصلی است.
9- استفاده از کلیدهای امنیتی
اگر به دنبال پاسخی برای سوال چگونه امنیت سایت وردپرس را بالا ببریم هستید، پیشنهاد ما به شما استفاده از کلیدهای امنیتی یا SALT در کدنویسی سایت است. با استفاده از این کلیدها میتوانید اطلاعات مهم را تصادفی کرده و همه اطلاعاتی را که در کوکیهای مرورگر ذخیره میشوند، رمزگذاری کنید. در نتیجه میتوانید خیلی راحت از رمز عبور کاربران خود یا اطلاعاتی مانند دادههای حساب بانکی افراد محافظت کنید.
10- بهینه سازی متا تگ های html
یکی از متا تگهای html که به صورت پیشفرض در سورس کد سایت شما وجود دارد، به نام generation شناخته میشود. کاربران با استفاده از این متاتگ میتوانند خیلی راحت به نسخه وردپرسی که برای طراحی سایت استفاده کردهاید، دسترسی پیدا کنند. باید بدانید این دقیقا همان چیزی است که یک هکر به دنبال آن میگردد! زیرا خیلی راحت به دنبال باگهای امنیتی میرود و از آنها برای نفوذ به سایت استفاده میکند. پس حتما این قسمت را از متا تگهای head سایت پاک کنید.
11- استفاده از قابلیت کپچا و ریکپچا
یکی از مواردی که امروزه میتوان در صفحه ورود بسیاری از سایتها کدهای کپچا و ریکپچا است. این موضوع یکی از راهکارهای افزایش امنیت سایت است که توسط گوگل طراحی شده و با استفاده از آن شما میتوانید از ارسال نظرات اسپم توسط رباتها یا نفوذ آنها به سایت جلوگیری کنید. CAPTCHA و reCAPTCHA یک نوع اقدام امنیتی هستند که به عنوان راهی برای احراز هویت هم شناخته میشوند.
12- حذف کردن افزونه ها یا کاربران غیرفعال
اگر پلاگینی بر روی سایت وردپرسی نصب کردهاید که مدت زیادی بدون استفاده مانده است، در اسرع وقت آن را حذف کنید. زیرا این افزونههای بدون استفاده که در بیشتر موارد فراموش شده و به روز رسانی نمیشوند، یکی از تهدیدات جدی برای امنیت سایت به شمار میروند. از سوی دیگر باید کاربرانی را هم که مدت زیادی در سایت غیرفعال بودهاند، حذف کنید. زیرا این افراد رمز عبور خود را به روز رسانی نکردهاند و این موضوع میتواند امنیت وبسایت وردپرسی را به خطر بیندازد.
افزونه بالا بردن امنیت وردپرس
حال که با نحوه افزایش امنیت وردپرس آشنا شدید، میخواهیم تعدادی افزونه برای بالا بردن امنیت وردپرس را به شما معرفی کنیم. جدول زیر نام و کاربرد برخی از محبوبترین و پرکاربردترین این پلاگینها را نشان میدهد.
Limit Attemptsمحدود کردن تعداد دفعات تلاش برای ورود به پیشخوانتعیین زمان محدود کردن کاربر.
تعیین تعداد دفعات مجاز برای تلاش در ورود.
امکان اضافه کردن یک IP به لیست سیاه در صورت تلاش بیش از حد.
| نام افزونه | کاربرد | توضیحات |
|---|---|---|
| Sucuri Security | اسکن و بررسی تمامی فایلهای موجود در سایت برای یافتن بدافزار | اسکن محتوای کلی سایت. نمایش لیست موارد امنیتی مورد نیاز برای افزایش امنیت وب سایت. ارائه لیست کامل ورود و خروج کاربران به پیشخوان. بررسی اسپم سایت. |
| WPS Hide Login | تغییر آدرس ورود به پیشخوان و بخش مدیریتی | سازگار با وردپرس نسخه 4.1 و بالاتر |
| WP Hide & Security Enhancer | مخفی کردن وردپرسی بودن سایت | مخفی کردن آدرسدهیهای سایت و آدرس ورود به پیشخوان. محدود کردن امکان دسترسی مستقیم به پوشهها. حذف نسخه وردپرس از کدهای html. |
| iThemes Security | دارای 30 ماژول امنیتی برای افزایش امنیت وب سایت | محدود کردن آسیبهای وارده به سایت در صورت نفوذ. محدود کردن تعداد دفعات تلاش برای ورود به سایت. قابلیت فعال کردن احراز هویت دو مرحله ای. ایجاد کلمههای عبور قوی. قابلیت اضافه کردن کد reCAPTCHA. |
| Google Authenticator | فعالسازی تایید هویت دو مرحله ای | قابلیت تنظیم زمان ورود کد تایید |
در نهایت باید بگوییم …
افزایش امنیت وب سایت یکی از مهمترین اقداماتی که هر طراح سایتی باید به آن توجه کند. ما در گروه لاک پشت این موضوع را یکی در دسته یکی از اصلیترین خدمات پشتیبانی سایت خود قرار دادهایم و در زمان طراحی اولیه وبسایت هم با نهایت دقت و حساسیت آن را دنبال خواهیم کرد. امروزه در طراحی سایت وردپرسی در اصفهان از افزونههای مختلفی برای بالا بردن امنیت وب سایت استفاده میشود؛ اما باید بدانید که زیاد شدن تعداد افزونهها هم ممکن است راهی برای نفوذ هکرها به وبسایت باز کنند. به همین دلیل در این مقاله از لاک پشت به بررسی راهکارهای افزایش امنیت سایت بدون نیاز به نصب تعداد زیادی افزونه پرداختیم.
سوالات متداول (FAQ)
آیا ووکامرس برای طراحی سایت فروشگاهی ایمن است؟
بله. به دلیل اینکه ووکامرس از امکانات زیادی مانند احراز هویت دو مرحله ای و ایجاد رمز عبورهای تصادفی برای حفظ امنیت کاربران خود استفاده میکند. برای افزایش امنیت وب سایت در زمان استفاده از ووکامرس هم میتوانید اقداماتی را که در این مقاله پیشنهاد شدند انجام دهید.
چگونه میتوان سایت را از http به https تبدیل کرد؟
برای این کار نیاز به نصب گواهینامه SSL دارید که مربوط به خدمات هاست و دامنه میشود. برای اینکه بدانید برای نصب این گواهی نیاز به پرداخت هزینه دارید یا خیر؟ باید با پشتیبان هاست تماس بگیرید.
آیا استفاده از تم و قالب رایگان، امنیت سایت را به خطر میاندازد؟
هرچند هیچ پاسخ قطعی در این مورد وجود ندارد؛ اما باید بدانید که تمها و قالبهای رایگان معمولا امکانات زیادی را در اختیار شما قرار نمیدهند و ممکن است که از نظر ایمنی هم مشکل داشته باشند. به همین دلیل توصیه میشود که حتما از قالبهای معتبر با ضریب امنیتی بالا استفاده کنید.
آیا ابزاری برای بررسی امنیت وب سایت وردپرسی وجود دارد؟
بله شما میتوانید با نصب بعضی از افزونهها مانند WPScan و Sucuri گزارشهایی را درباره امنیت وب سایت وردپرسی دریافت کنید که به شما در شناخت نقاط ضعف آن کمک خواهند کرد.
