امنیت وردپرس (wordpress-security) و ضد هک شدن سیستم مدیریت محتوای وردپرس، با دو روش قابل انجامه.
یکی با افزونه های امنیتی وردپرس مثل (امنیت کامل وردپرس-وردفنس-آیتمز سکیوریتی) و یکی هم افزایش امنیت بدون افزونه است.
من افشین اصغری هستم طراح سایت حرفه ای در کرج، همراه من باش تا یه آموزش خفن و رایگان رو تا آخر پیش بریم.
قبل از شروع آموزش امنیت وردپرس به 2 نکته دقت کنید:
نکته اول : اهمیت امنیت وبسایت
اگه وبسایت شما هک بشه، هکر میتونه تمامی اطلاعات مهم شما رو سرقت کنه، و یا اینکه دستکاری های زیادی رو در سایت انجام بده، بدون اینکه شما آگاه بشید!
یعنی تا شما بیاید و نفوذ هکر رو تشخیص بدید و باگ های امنیتی رو ببندید، اون کار خودش رو کرده و تامام!
پس بهتره از همون اول، قبل از اینکه سایت شما هک بشه، به فکر افزایش امنیت وردپرس باشید و تمام راه های نفوذ رو قبل از تست هکر ببندید.
نکته دوم : کدوم روش افزایش امنیت بهتره؟!
برای افزایش امنیت وردپرس باید از ترکیب هر دو روش (با افزونه-بدون افزونه) استفاده کنید، چون یک سری کارها رو هیچ کدوم از افزونه ها انجام نمیدن (مثل آپدیت منظم)
اما این آموزش بصورت تخصصی راجع به روش ارتقای امنیت سایت وردپرسی بدون افزونه است و به امید خدا یک آموزش کامل دیگه هم بصورت رایگان و سریع برای روش افزایش امنیت با افزونه های مهم وردپرس منتشر می کنم.
افزایش امنیت وردپرس با 10 تکنیک سریع
خاصیت این آموزش رایگان امنیت وردپرس اینه که به زبان ساده گفته شده و اجرای اون خیلی سریع قابل انجامه…
1-تغییر پیشوند جداول دیتابیس
وقتی دارید وردپرس رو نصب میکنید، همیشه در مرحله دوم از شما اطلاعات دیتابیس (database) رو میپرسه که در کادر آخر این مرحله بصورت پیشفرض عبارت _wp وجود داره که در تصویر زیر با رنگ قرمز مشخص شده.
ثابت بودن این عبارت در تمامی سایت های وردپرسی ، خودش یک نوع باگ امنیتی محسوب میشه که هکر بتونه تست نفوذش رو بخوبی انجام بده.
💡 ساده ترین و سریع ترین راه بستن این باگ امنیتی ، تغییر همین دو حرف wp هست که بجاش میتونید یک عبارت انگلیسی تا 6 کاراکتر (ترکیب حروف انگلیسی و اعداد) بنویسید (مثلا _erg4sw) و در آخر undrline رو حتما بهش اضافه کنید.
2-امنیت نام کاربری و پسورد وردپرس
یکی از ساده ترین روش های نفوذ هکرها به سایت وردپرسی شما اینه که یه ربات میخرن (یا رایگان دانلود میکنن) و میندازن به جون فرم نام کاربری و رمز ورود به وردپرس…
اونقدر موارد مختلف رو چک میکنه که به نتیجه برسه…
یا اینکه هکر آشناست و حدس میزنه که شما از چه رمزی (احتمالا شماره موبایل یا کدملیتون) استفاده کردید
و یا اینکه با همین رمز و ایمیل وردپرس رفتید و در ده ها سایت دیگه ثبت نام کردید… و صاحب یکی از اون سایت ها میاد و همون اطلاعات رو در صفحه ورود به وردپرس شما چک میکنه (یا شانس! یا اقبال!)
💡 پس یک راه ساده اینه که در قسمت نام کاربری از کلمات کلیشه ای مثل admin و یا اسم و فامیل خودتون استفاده نکنید! و همچنین پسورد امنی رو برای ورود به وردپرس انتخاب کنید که مفهومی نداشته باشه…
راستی اگه برای تغییر نام کاربری و یا رمز وردپرس مشکلی داشتید تو کامنت ها بپرسید، یا در واتساپ بهم پیام بدید.
3-حذف Duplicator برای کاهش خطر هک وردپرس
این مورد فقط وقتی اتفاق میفته که دارید وردپرس رو بصورت بسته نصبی آماده (قالب آماده وردپرس) install می کنید.
در این مواقع همیشه در مرحله آخر نصب علاوه بر نمایش پیغام (نصب با موفقیت انجام شد!) یک هشدار امنیتی هم به شما میده که باید افزونه داپلیکیتور و فایل های نصبی رو حذف کنید.
💡 تو این مرحله روی دکمه (admin login) بزنید و یک بار وارد وردپرس بشید تا سیستم بصورت خودکار خیلی از فایل های خطرناک امنیتی داپلیکیتور رو حذف کنه…
بعد دوباره وارد هاست بشید و در مسیر public_html>wp-content<plugins پوشه duplicator رو کلا حذف کنید تا خیالتون راحت باشه…
البته اگر در root یعنی همون پوشه اول public_html فایل هایی میبینید که مربوط به نصب بودن و یا اسمی از داپلیکیتور روی اونها وجود داره اونها رو هم کلا دیلیت کنید.
و بعد با خیال راحت بگید : ایزی ایزی تامام!
4-انتخاب هاست ایمن
یکی از روش های هک وبسایت شما ، اینه که از طریق whois میفهمن که از چه شرکتی هاست خریداری کردید.
بعد اون هکر یه تست نفوذ برای شرکت هاستینگ انجام میده و اگه موفق بشه سرور رو هک کنه، علاوه بر سایت شما تونسته حداقل 10 تا سایت مهم دیگه رو هم هک کنه.
💡 پس در انتخاب هاست، بهتره به جای اینکه دنبال هاست های ارزان و یا رایگان باشید، حتما نکات مهمی مثل اعتبار و ایمنی سرور اون شرکت رو بررسی کنید.
5-آپدیت وردپرس-افزونه ها و قالب
هر سیستم مدیریت محتوای اختصاصی و یا آماده (فرقی نمیکنه) دارای باگ های امنیتی هست که در آپدیت ها برطرف میشه.
وردپرس هم از این قاعده مستثنی نیست، پس باید همیشه هشدارهای بروزرسانی افزونه، قالب و خود وردپرس رو جدی بگیرید.
با هر آپدیت وردپرس، کلی مشکلات امنیتی خودبخود برطرف میشه و امکانات جدید و بروز هم به سایت شما افزوده میشن.
💡 نکته: سیستم های اختصاصی برای هر آپدیت باید کدنویسی انجام بدن که این هزینه زیادی رو بر کارفرما تحمیل میکنه، بنابراین هر سایتی که بشه وردپرسی اجرا بشه، منطقی تر هست که سراغ کدنویسی اختصاصی و دردسرهای بعدش نریم!
6-انتخاب دقیق افزونه و قالب با لایسنس معتبر
این مورد امنیتی اگرچه از دید کاربران و حتی برخی کارشناسان طراحی سایت معمولا پنهان هست، ولی تاثیر زیادی در امنیت وردپرس داره.
اگر قالب یا افزونه ای که روی وردپرس نصب می کنید بصورت قفل شکسته (نال شده) باشه، در اکثر مواقع کسی که این کار رو انجام داده اهدافی مثل هک و آلوده کردن کدهای وبسایت هدف رو داره.
بنابراین اگر بخوام برای آموزش سریع امنیت وردپرس یه راه حل بهتون بگم، و شما رو درگیر حرفای پیچیده نکنم دو نکته رو بهتون تاکید میکنم:
-
قالب و افزونه نال شده ممنوع 🚫
به هیچ عنوان از قالب ها و افزونه هایی که سایت های متقلب دارن رایگان منتشر میکنن استفاده نکنید و از اینکه دارید قوانین رو دور میزنید خوشحال نباشید. چون علاوه بر محروم شدن از بروزرسانی اصولی اون محصول، دارید یک سری مشکلات امنیتی که اصلا نمیدونید چیه به سایت خودتون اضافه می کنید.
-
قالب هایی که تست نشدن ممنوع 🚫
قالب هایی که بعنوان محصولات جدید وارد مارکت وردپرس میشن ، هنوز در مرحله آزمون و خطا هستن.
پس بهتره در سایت های راست چین و ژاکت، از فیلتر قالب های پرفروش استفاده کنید و از 10 پیشنهاد اول خریدتون رو انجام بدید. (قالب زیر 1000 فروش هنوز در مرحله تسته، پس سراغش نرید)
-
افزونه هایی که معروف و شناخته شده نیستن ممنوع 🚫
از نصب افزونه های زیاد و افزونه هایی که نمیشناسید دقیقا چی هستن و تازه منتشر شدن خودداری کنید.
این پلاگین ها هم علاوه بر ایجاد مشکلات امنیتی برای وردپرس، ممکنه با افزونه های مهم دیگه (مثل یواست سئو-wp rocket-المنتور-امنیت کامل وردپرس و…) تداخل داشته باشن و عملکرد سایت شما رو بهم بریزن.
7- بکاپ گیری منظم
بکاپ گیری منحصر به وردپرس نیست و هر سیستمی باید بکاپ داشته باشه تا در صورت اختلال در کارکرد ، بتونیم به حالت درست و استانداردش برگردونیم.
اگرچه شرکت هاستینگ معتبر ، از کل سایت شما هر هفته یک فول بکاپ تهیه میکنه (شامل همه فایل ها و دیتابیس) ولی به این فکر کنید که اگر خود اون شرکت وسرورهاش هک یا مسدود بشن، اونوقت میخواهید چکار کنید؟!
💡 پس اگر سایت شما مهمه، و خوب طراحی و سئو شده، حتما ماهانه یکبار خودتون دستی بکاپ بگیرید و روی سیستم شخصی یا هارد اکسترنال نگهداری کنید.
8- اتصال وردپرس به CDN
قبل از توضیح باید جواب بدیم که CDN چیست؟
CDN چیز خوبی است که سایت های ایرانی ازش غافل اند! 😆
مخفف Content Delivery Network به معنی شبکه توزیع محتواست، که با اتصال سایت به ده ها سرور در سراسر دنیا باعث میشه سرعت و امنیت سایت شما افزایش پیدا کنه.
💡 مثلا اگر هاست شما روی سرور ایران باشه و یکی بخواد از امریکا یا اروپا سایت رو ببینه (مثلا ربات گوگل) سایت براش خیلی دیر باز میشه… ولی اگه از CDN استفاده کنید ، هر کاربر به نزدیکترین سرور در منطقه خودش متصل خواهد شد و
این علاوه بر افزایش چشمگیر سرعت سایت، باعث جلوگیری از حملات DDos و ارتقای امنیت وردپرس میشه!
شرکت های معروفی که دارن خدمات رایگان CDN ارائه میدن زیادن که بهترین اون ها کلودفلر cloudflare هست.
💡 برای اتصال وردپرس به CDN میتونید با متخصصین مرشینا در تماس باشید و بابت هزینه کمی که پرداخت میکنید ، خیالتون از این بابت راحت باشه.
9- نصب گواهینامه امنیتی SSL
SSL مخفف Secure Sockets Layer (لایه اتصال امن) هست که باعث میشه اطلاعات رد و بدل شده بین کاربر و سرور توسط هکرها به سرقت نرن!
اگه به عنوان کاربر معمولی دارید از یک وبسایت استفاده میکنید باید به علامت قفل در کنار آدرس اون سایت دقت کنید، که این نشون میده اون سایت امنیت داده ها رو از طریق SSL فراهم کرده.
و یک راه ساده دیگه برای تشخیص استفاده از گواهینامه امنیتی ssl توجه به ابتدای آدرس اون صفحه است. اگر آدرس با http شروع شده، قطعا از SSL استفاده نشده و اگر با https شروع شده، اون سایت امنیتش رو با SSL افزایش داده!
پس بهتره به سایت هایی که SSL ندارن و علامت هشدار در کنار آدرسشون نوشته میشه، اعتماد نکنیم و کلا سایت رو ببندیم.
💡 بعنوان طراح سایت حتما این گواهینامه امنیتی رو روی سایت وردپرسی خودتون نصب کنید، و بعد حتما با افزونه really simple ssl امنیتش رو در تمام وبسایت خودتون گسترش بدید.
10- حذف فایل های اطلاعاتی از هاست
هر دزدی قبل از سرقت بزرگش باید راجع به اون محل تحقیق کنه و اطلاعات کسب کنه. اولین چیزی که هکر لازم داره بدونه اینه که سایت شما با چی طراحی شده و اگه وردپرسیه نسخه (ورژن) چنده و…
دو فایل License.html و REDME.TXT حاوی اطلاعات اولیه مهمی راجع به سایت شما هستن که اگه پاکشون نکنید، همه میتونن براحتی بهشون دسترسی پیدا کنن. (با یه کوچولو اطلاعات فنی)
💡 بعد از نصب وردپرس، برید سراغ پوشه public_html در هاست خودتون و این دو فایل License.html و REDME.TXT رو کلا دیلیت کنید. البته بعد از آپدیت وردپرس دوباره سر و کله شون پیدا میشه که راه حلش رو تو کامنت ها بهتون میگم 🙂
آزمون آموزشی امنیت وردپرس
من هر دوشنبه در استوری های پیج مرشینا در اینستاگرام، یک آزمون طراحی سایت / آموزش سئو حرفه ای / امنیت وردپرس و موضوعات مشابه برگزار می کنم.
سوال زیر یکی از مهمترین سوالات امنیتی طراحی سایت هست که همه باید بدونن و من راجع بهش در پیج اینستاگرام توضیح دادم.
حتما به پیج ما به ادرس mershina2022 سر بزنید و از قسمت هایلایت ها وارد بخش آزمون بشید.
راستش نه! اگه از وردپرس بدون هیچ تغییری استفاده کنی، براحتی هک میشه، ولی اگه راه افزایش امنیت وردپرس رو بلد باشی ، تو یک ساعت میتونی کاری کنی که پدر جد هکرهای دنیا هم نتونن کوچکترین نفوذی به سایتت داشته باشن 🙂 تو این پست نکات زیادی رو برای امنیت وردپرس نوشتم که حتما بدردت میخوره...
اگه خود وردپرس رو بلد باشی، آموزش صفر تا 100 افزایش امنیت وردپرس (در حد تیم ملی) کلا یک روز بیشتر طول نمیکشه برای آموزش سریع و ساده به بخش مقالات مرشینا سر بزن آیا وردپرس ضد هک هست؟
آموزش امنیت وردپرس سخته؟
از همراهی شما ممنونم. لایک و کامنت یادتون نره.
اگر این صفحه رو با زدن ستاره favorite کنید در واقع save کردید و به رشد مرشینا کمک میکنه 🙂
