۱۳ راهکار برای افزایش امنیت در وردپرس (WordPress)
وردپرس یکی از بهترین و رایجترین سیستمهای مدیریت محتواست که طرفداران زیادی هم داره. اما… سایتهای وردپرسی در صورتی که یکسری اقدامات رو انجام ندن، به راحتی قابل هک شدن و نفوذ هستن. برای افزایش امنیت وردپرس، راههای مختلفی وجود داره که با انجام اونها، میتونید تا حد خیلی خوبی امنیت سایت وردپرسیتون رو افزایش بدید. در ادامه، این روشهارو بررسی کردم. با من، رسول کیوانپور، همراه باشید.
1- نصب پلاگین امنیتی
راحتترین روش، نصب یک پلاگین امنیتی و فایروال هستش. معروفترین پلاگینهای امنیتی وردپرس Wordfence و All-In-One Security (AIOS) و Solid Security (iThemes) هستن.
با نصب یکی از این سه پلاگین، خیلی از موارد امنیتی که در ادامه میگم به راحتی قابل تنظیم هستش و نیاز به انجام دستی اونها نیست.
Ref: wedevs.com
۲- تغییر آدرس ورود سایت
در حالت عادی، آدرس لاگین هر سایت وردپرسی بصورت site.com/wp-login.php یا site.com/wp-admin هستش. حتما بهتره این URL تغییر کنه و با یک آدرس رندوم و پیچیدهتر جایگزین بشه.
==> قابل انجام هم با پلاگینهای امنیتی و یا پلاگین WPS Hide Login و هم بصورت دستی از طریق ادیت فایل WP-login.php در هاست.
| بیشتر بخوانید: |
۳- تغییر یوزرنیم پیشفرض ادمین
برای جلوگیری از حملات Brute Force Login Attacks حتما یوزرنیم پیشفرض admin رو تغییر بدید و از نام کاربری دلخواه استفاده کنید. در واقع اگر نام کاربری پیشفرض admin رو عوض نکنید، هکرها نام کاربری رو دارند و فقط کافیه پسورد رو حدس بزنن.
۴- فعال کردن ورود دو مرحلهای (2FA)
حتما برای اکانتهای کاربری، ورود دو مرحلهای (2FA) رو فعال کنید. برای گرفتن کد دو مرحلهای از برنامهای مثل Google Authenticator میتونید استفاده کنید.
==> قابل انجام با پلاگینهای امنیتی و یا پلاگین Two Factor Authentication
۵- محدود کردن تعداد دفعات ورود اشتباه
برای جلوگیری از حملات Brute Force، تعداد دفعاتی که هر IP میتونه برای ورود تلاش کنه در صورتی که اطلاعاتش رو اشتباه بزنه، محدود کنید.
==> قابل انجام با پلاگینهای امنیتی و یا پلاگین Login LockDown یا بصورت دستی از طریق اضافه کردن یکسری کدها به فایل functions.php
۶- اضافه کردن کپچا (CAPTCHA) به صفحه Login
برای جلوگیری از حملات Brute Force و دور نگه داشتن رباتها، حتما بهتره برای صفحه ورود از کپچا استفاده کنید.
==> قابل انجام با پلاگینهای امنیتی و یا پلاگینهایی مثل CAPTCHA 4WP یا reCaptcha by BestWebSoft
Ref: sadjawebsolutions.com
۷-بستن قابلیت ادیت فایلها
فایلهای وردپرس و پلاگینها از طریق داشبورد قابل ادیت هستن. با استفاده از پلاگینهای امنیتی یا بصورت دستی، بهتره این قابلیت بسته بشه.
کافیه دستور زیر به فایل wp-config.php اضافه بشه:
define(‘DISALLOW_FILE_EDIT’, true);
۸- بستن Directory Browsing & Indexing
بهتره قابلیت مرور و ایندکس کردن دایرکتوری سایت بسته بشه تا هکرها به لیست فایلهای موجود در هاست دسترسی نداشته باشن.
==> قابل انجام بصورت دستی از طریق اضافه کردن دستور زیر به فایل htaccess:
Options -Indexes
| بیشتر بخوانید: |
۹- غیر فعال کردن XML-RPC
قابلیت XML-RPC یک ویژگی وردپرس هستش که برای دسترسی به محتوا از طریق اپلیکیشنهای وب و موبایل کاربرد داره. اما یکسری ضعفها داره که برای مسائل امنیتی و جلوگیری از حملات DDoS، بهتره غیر فعال بشه.
==> قابل انجام با پلاگینهای امنیتی و یا پلاگین Disable XML-RPC-API یا بصورت دستی از طریق اضافه کردن یکسری کدها به فایل htaccess
۱۰- یک مدیر کل کافیه!
داشتن فقط یک اکانت با دسترسی مدیر کل یا Super Admin کافیه؛ بقیه کاربرا بهتره نقشهای نویسنده (Author) یا ویرایشگر (Editor) داشته باشن و سطح دسترسیشون کامل نباشه.
همچنین همه کاربرا مخصوصا کاربرای با سطح دسترسی Super Admin و Administrator بهتره از پسوردهای پیچیده و طولانی استفاده کنن.
۱۱- پلاگین اضافی ممنوع
تقریبا میشه گفت هر کاری رو توی وردپرس، بصورت دستی و بدون پلاگین هم میشه انجام داد؛ فقط یک ذره سرچ و دقت میخواد. از طرفی، معمولا پلاگینها نقاط ضعف و باگهایی دارن که بعضیاشون راه رو برای نفوذ هکرها هموار میکنه. در نتیجه، بهتره پلاگینهای بلا استفاده رو پاک کنیم و پلاگین اضافی نصب نکنیم و کارها رو تا جای ممکن، بصورت دستی و بدون پلاگین انجام بدیم.
۱۲ و ۱۳- بک آپ منظم + آپدیت منظم وردپرس و پلاگینها
این ۲ مورد هم که جزو بدیهیات هستن و حتما باید بصورت منظم انجام بشن 🙂
نسخهی خلاصه و PDF این مطلب رو توی لینکدین گذاشتم؛ از اونجا دانلود کنید👇
پست لینکدین رسول کیوان پور در مورد افزایش امنیت سایت وردپرسی
منابع:
5- malcare.com