چک لیست امنیت وردپرس 2024 شامل 22 مورد ضروری

میزان امنیت وردپرس چقدر است؟

میزان امنیت وردپرس همچون دیگر ابزارهای طراحی سایت جای بحث و تامل دارد، با اینکه وردپرس یک سیستم مدیریت محتوای ایمن محسوب می‌شود و جایگاه خاصی در برنامه نویسی دارد، اما مانند سایر CMSها می‌تواند در برابر حملات آسیب پذیر باشد. سایت‌هایی که از وردپرس استفاده می‌کنند همیشه مورد حمله‌های سایبری قرار می‌گیرند. این در حالی است که تقریبا 43 درصد سایت‌ها از سیستم مدیریت محتوای وردپرس استفاده می‌کنند.

وردپرس همواره تیم امنیتی متشکل از محققان و مهندسان مطرح را برای تامین امنیت خود به کار می‌گیرد. این تیم همواره پشت سیستم هستند و نقاط آسیب‌پذیری سیستم را بررسی می‌کنند و به‌روزرسانی‌های امنیتی وردپرس را انجام می‌دهند. تا زمانیکه وردپرس فعال است، امنیت کاربران تامین است.

وردپرس یک نرم‌افزار متن باز است، به این معنی که کد منبع برای تغییر و توزیع در دسترس همه قرار دارد. هرچند این ویژگی برای بهینه‌سازی و تنظیم خیلی خوب است، اما از نظر امنیتی نقظه ضعف وردپرس محسوب می‌شود. اگر افردای که از وردپرس برای مدیریت محتوای خود استفاده می‌کنند، آن را به درستی پیکربندی و یا ایمن نکرده باشند و چک لیست امنیت وردپرس را رعایت نکرده باشند، باید انتظار مشکلات امنیتی بی‌شماری را داشته باشند. اگر امنیت سایت به خوبی تامین نشود، برای هکرها بهترین شرایط فراهم است تا سایت شما را مورد حمله قرار دهند. وردپرس معتقد است که امنیت در واقع به معنای کاهش ریسک است، نه از بین بردن کامل خطر، پس به طور کلی می‌توان گفت که وردپرس ایمن است، اما در صورتی که کاربران مسئله امنیت را جدی بگیرند و چک لیست امنیت وردپرس را رعایت نمایند و اقدامات لازم برای تامین امنیت را انجام دهند.

مشکلات امنیتی وردپرس

مشکلات امنیتی وردپرس زمانی خود را بروز می‌دهند که اقدامات لازم برای تامین امنیت آن انجام نشود، در این صورت سایت وردپرس در معرض خطرات امنیتی قرار می‌گیرد. از جمله رایج‌ترین حملات سایبری که برای وردپرس وجود دارند می‌توان به موارد زیر اشاره نمود:

• حملات Brute-Force

این حمله، ساده‌ترین حمله سایبری است. ورود brute-force زمانی اتفاق می‌افتد که هکرها ترکیب‌های نام کاربری و رمز عبور را به صورت اتوماتیک وارد کنند تا در نهایت یکی از آنها درست باشد و بتوانند وارد حساب کاربری شوند. حملات Brute-force فقط امکان ورود به سیستم را نمی‌دهد، بلکه دسترسی به تمام اطلاعاتی که رمزگذاری شده‌اند را نیز ایجاد می‌کنند.

• حمله Cross-Site Scripting یا XSS

XSS زمانی اتفاق می‌افتد که مهاجم کد مخرب را از سمت Server Side یا Client Side به وب‌سایت هدف «تزریق» می‌کند تا اطلاعات را استخراج کند و در عملکرد سایت اختلال ایجاد کند. پرکاربردترین روش نفوذ، افزودن کدهای مخرب به انتهای URL است که در اختیار کاربر قرار می‌گیرد و به محض کلیک کاربر، کد اجرا می‌شود. همچنین هکر با دسترسی به دیتابیس وب‌سایت و قرار دادن اسکریپت، امکان آلوده‌کردن صفحه‌ی وب را در مقیاسی بزرگ‌تر دارد.

• Database Injections

این حمله با عنوان تزریق SQL نیز شناخته می‌شود و زمانی اتفاق می‌افتد که هکر رشته کد آسیب رسان را از طریق برخی از ورودی‌های کاربر مانند فرم تماس، به وب‌سایت ارسال می‌کند. سپس وب‌سایت کد را در پایگاه داده خود ذخیره می‌کند. این حمله مشابه حمله XSS، کد آسیب رسان برای به دست آوردن یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده، روی وب‌سایت اجرا می‌شود.

• درب پشتی (Backdoors)

در پشتی فایلی حاوی کد است که به مهاجم اجازه می‌دهد تا ورود استاندارد وردپرس را دور بزند و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان درهای پشتی را در میان سایر فایل‌های منبع وردپرس قرار می‌دهند، به طوریکه پیدا کردن آن توسط کاربرانی که تجربه زیادی ندارند دشوار است. حتی اگر فایل Backdoors را حذف کنید، هکرها می‌توانند از انواع دیگری از کدها استفاده کنند تا بتوانند وب‌سایت را دور بزنند. البته باید این نکته را در نظر داشت که وردپرس برای انواع فایل‌هایی که کاربران می‌توانند آپلود کنند محدودیتی ایجاد می‌کند تا احتمال این نوع حمله را کم کند، اما نباید آن را دست کم گرفت و چک لیست امنیت وردپرس و اقدامات امنیتی لازم برای جلوگیری از آن را باید اجرا نمود.

• حملات انکار سرویس (DoS)

حملات DoS با هدف از دسترس خارج کردن وب‌سایت انجام می‌شوند. به این صورت که هکر تعداد زیادی درخواست را به صورت همزمان به سایت ارسال می‌کند. تعداد این درخواست‌ها بیشتر از ظرفیت پاسخ سایت است. در نتیجه، سایت از دسترس خارج شده و حتی کاربران واقعی نمی‌تواند به اطلاعات آن دسترسی پیدا کند. نوع دیگر حمله، DDoS است که چندین سیستم با یکدیگر شبکه زامبی تشکیل می‌دهند و به صورت همزمان درخواست‌های خود را به یک سرور ارسال می‌کنند.

• فیشینگ (Phishing)

در این حمله، مهاجم تحت عنوان یک شرکت یا خدمت قانونی ارتباط برقرار می‌کند، هدف را وادار می‌کند که اطلاعات شخصی خود را در اختیار آنها قرار دهد، از وب‌سایت‌های خطرناک دیدن کند و یا بدافزاری را دانلود کند. اگر هکر بتواند به حساب وردپرس دسترسی پیدا کند، می‌تواند حملات فیشینگ را علیه مشتریان صاحب حساب نیز انجام دهد و خود را به عنوان نیرویی از سایت هدف جا بزند.

• Hotlinking

Hotlinking زمانی اتفاق می‌افتد که وب‌سایت دیگری محتوای جاسازی شده (embedded content) (معمولاً یک تصویر) را بدون اجازه شما نشان می‌دهد، به طوری که محتوا متعلق به مهاجم است و می‌توان تشخیص داد که برای سایت میزبان نیست. البته هات لینک بیشتر دزدی است تا حمله! صاحب هر سایتی باید به ازای محتوایی که داخل صفحه خود قرار می‌دهد و حجمی که مصرف می‌کند، هزینه پرداخت کند. با این نوع حمله، بدون پرداخت هزینه محتوا در سرور دیگری به نمایش گذاشته می‌شود.

بیشتر بدانیم: امنیت سایت چیست و چگونه آن را تامین کنیم؟

قسمت‌های آسیب‌پذیر وردپرس

هکرها برای اینکه بتوانند به یک سایت حمله کنند باید حفره‌هایی که در امنیت صفحه وجود دارد را شناسایی کرده و آنها را هدف قرار دهند. نقاط آسیب‌پذیر وردپرس که هدف مهاجمین قرار می‌گیرند شامل موارد زیر هستند:

• افزونه‌های null شده

افزونه‌های تجاری که به صورت رایگان منتشر می‌شوند را اصطلاحا افزونه نال شده می‌گویند. سازنده‌ این افزونه‌ها، آنها را به صورت تجاری و برای فروش منتشر می‌کنند، ولی در منابع نامعتبر به صورت رایگان در اختیار مصرف‌کنندگان قرار می‌گیرد. با توجه به اینکه هکرها به کد منبع این افزونه‌ها دسترسی دارند، به راحتی می‌توانند از طریق آنها به سایت حمله کرده و عملکرد آن را مختل نمایند.

• آسیب‌پذیری وردپرس از راه نسخه‌های قدیمی

در نسخه‌های جدید، چک لیست امنیت وردپرس برای اصلاح آسیب پذیری‌های امنیتی بروزرسانی شده است. بعد از اینکه این نقاط و  حفره های امنیتی شناسایی و رفع می‌شوند، توسط وردپرس به عنوان دلیل بروزرسانی اعلام می‌شوند. در نتیجه، هکرها به خوبی می‌دانند برای حمله به اشخاصی که از نسخه‌های قدیمی وردپرس استفاده می‌کنند، باید از کدام نقاط اقدام کنند.

• آسیب‌پذیری وردپرس از مسیر صفحه ورود

صفحه ورود به بک‌اند (back-end) تمام وب‌سایت‌های وردپرسی به صورت پیش‌فرض با اضافه کردن /wp-admin یا /wp-login.php به انتهای URL اصلی سایت است. این آدرس مورد حمله مهاجمان قرار می‌گیرد و سعی می‌کنند با استفاده از حمله brute force وارد آن شوند.

• آسیب‌پذیر وردپرس توسط قالب‌ها

حتی قالب وردپرس می‌تواند سایت را در برابر حملات سایبری آسیب‌پذیر کند. امکان دارد قالب‌های منسوخ با نسخه‌های جدید وردپرس سازگای نداشته باشند و دسترسی آسانی به فایل‌های منبع فراهم کنند. بعلاوه، تعداد زیادی از قالب‌های شخص ثالث (third-party themes) استانداردها و چک لیست امنیت وردپرس را رعایت نمی‌کنند و مشکلات سازگاری و آسیب‌های مشابهی را ایجاد می‌کنند.

همچنین بخوانید: معرفی بهترین قالب فروشگاهی وردپرس 2023

محتوای مرتبط: هک وردپرس

چک لیست امنیت وردپرس و بهترین اقدامات تامین امنیت 

برای تامین امنیت یکسری اقدامات وجود دارد که می‌توانید در این زمینه کمک کننده باشد که شامل:

چک لیست امنیت وردپرس: ورود خود را ایمن کنید

تامین امنیت وردپرس از مهمترین نکات است. چرا که اساسی‌ترین گام برای ایمن‌سازی وب‌سایت، ایمن نگه داشتن حساب‌های کاربری در برابر تلاش‌های هکرها برای ورود است. برای ورود ایمن به موارد زیر توجه نمایید:

• رمزعبور قوی داشته باشید

جهت افزایش امنیت وردپرس به رمزگذاری‌ها دقت کنید، متاسفانه هنوز هم بسیاری از افراد از رمز «123456» برای حساب کاربری خود استفاده می‌کنند. در حالیکه رمزهای قابل حدس به هکرها اجازه می‌دهد به راحتی به اطلاعات شما دسترسی پیدا کنند و یک راه ساده برای آسیب رساندن پیدا کنند. اگر از وردپرس برای تامین امنیت خود استفاده می‌کنید، اطمینان حاصل کنید که تمام کاربران شما از رمز عبور و پسورد قوی استفاده می‌کنند.

• فعال کردن احراز هویت دو مرحله‌ای

از دیگر موارد افزایش امنیت وردپرس 2FA است. احراز هویت دو مرحله‌ای از کاربران می‌خواهد تا ورود خود را با دستگاه دوم تأیید کنند. این راه یکی از ساده‌ترین و در عین حال موثرترین روش‌ها برای ایمن سازی ورود است.

• هیچ حسابی را با نام کاربری "admin" نسازید

برای افزایش امنیت وردپرس حتی به یوزرنیم هم باید توجه داشته باشید، اولین نام کاربری که هکرها برای ورود به سیستم امتحان می‌کنند، admin است. در نتیجه با انتخاب این نام کاربری، شانس هکرها را برای دسترسی به اطلاعات خود بیشتر می‌کنید. اگر حساب کاربری با این نام ایجاد کرده‌اید، یک حساب کاربری جدید با نام دیگری ایجاد کنید. همچنین می‌توانید از مدیر یا طراح سایت درخواست کنید که از طریق دیتابیس، نام کاربری را تغییر دهد. این کار را می‌توانید با استفاده از افزونه "امنیت کامل وردپرس و فایروال" انجام دهید. عموما در طراحی سایت با وردپرس ، طراحان به این موضوع توجه ندارند و برای راحتی کار خودشان از Admin به عنوان نام کاربری استفاده می کنند.

• محدود کردن تعداد تلاش‌های ورود

قرار دادن سقف برای تعداد دفعاتی که کاربر در مدت زمان معینی می‌تواند وارد سایت شود از حمله هکرها جلوگیری می‌کند. برخی از سرویس‌های هاستینگ و فایروال‌ها این قابلیت را ایجاد می‌کنند، اما می‌توانید افزونه‌هایی مانند Limit Login Attempts را نصب کنید.

• افزودن کپچا جهت افزایش امنیت وردپرس

افزودن کپچا جهت افزایش امنیت وردپرس بسیار تاثیرگذار است. کپچا یکی از اقدام‌های امنیتی بسیار پرکاربرد است که اغلب وب‌سایت‌ها از آن استفاده می‌کنند. کپچا با تایید اینکه یک انسان وارد سایت می‌شود، یک لایه امنیتی جدید به ورود اضافه می‌کند.

• افزایش امنیت وردپرس: فعال کردن خروج خودکار

در جهت اقداماتی که برای افزایش امنیت وردپرس انجام می‌دهید،  حتما به خاطر داشته باشید که پس از اتمام کار، از حساب کاربری خود خارج شوید. به علاوه می‌توانید افزونه Inactive Logout را نصب کنید تا از ورود افراد غریبه به حساب کاربری خود جلوگیری کنید. 

از هاست امن وردپرس استفاده کنید

همچنین بهتر است برای تامین امنیت وردپرس و در راستای رعایت چک لیست امنیت وردپرس از هاست امن وردپرسی استفاده کنید. وقتی که تامین کننده هاست خود را انتخاب می‌کنید باید عوامل زیادی را در نظر بگیرید، اما امنیتی که تامین می‌کند باید در اولویت باشد. سرویسی را انتخاب کنید که اقدامات خوبی برای تامین امنیت شما در نظر گرفته باشند و در صورت بروز حمله، سایت را به سرعت بازیابی کند. همچنین توجه داشته باشید که استفاده از هاست رایگان وردپرس برای امنیت سایت خطر آفرین است و بهتر است صرفا جهت تست و موارد غیرضروری از آن استفاده کنید.

نسخه وردپرس خود را به‌روز کنید

نسخه‌های قدیمی وردپرس همیشه هدف حمله هکرها هستند. با توجه به اینکه پس از به‌روزرسانی نقاط ضعف نسخه قدیمی وردپرس اعلام می‌شود، هکرها از این نقطه برای حمله و آسیب رساندن به سایت استفاده می‌کنند. اطمینان حاصل کنید که وردپرس خود را به طور منظم به‌روزرسانی می‌کنید تا آسیب‌پذیری‌های نسخه قبل را از بین ببرید.

قبل از به‌روزرسانی وردپرس، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و حتما بررسی کنید که افزونه‌های شما با آخرین نسخه سازگاری داشته باشند. برای به‌روزرسانی افزونه‌ها نیز می‌توانید از دستورالعمل‌هایی که در سایت وردپرس قرار دارد، استفاده نمایید.

از آخرین نسخه PHP استفاده کنید

ارتقاء به آخرین نسخه PHP یکی از مهم‌ترین اقداماتی است که می‌توانید برای حفظ امنیت وب‌سایت وردپرس خود انجام دهید. وقتی که نسخه جدید PHP آمده باشد، داخل داشبورد وردپرس به شما اطلاع رسانی می‌شود. برای به‌روزرسانی باید وارد حساب کاربری پنل هاست شوید. اگر دسترسی به پنل هاست ندارید از تامین کننده هاست خود درخواست کنید تا این کار را انجام دهد.

از افزونه امنیت وردپرس استفاده کنید

از افزونه امنیت وردپرس استفاده کنید که برای سایت‌های وردپرس به شدت توصیه می‌شود. این افزونه‌ها بسیاری از اقدامات دستی مرتبط با امنیت سایت را برای شما انجام می‌دهند که می‌توان به اسکن کردن برای اطلاع از تلاش‌های ورود به سایت، تغییر فایل‌های منبعی که سایت را در معرض خطر قرار می‌دهند، بازیابی و تنظیم مجدد سایت وردپرس و جلوگیری از سرقت محتوا، اشاره نمود. برخی از افزونه‌ها تمام این کارها را به تنهایی انجام می‌دهند و نیاز نیست برای تمام این اقدامات از چند افزونه استفاده کنید. پیش از نصب هر افزونه از قانونی و معتبر بودن آن اطمینان حاصل کنید.

استفاده از قالب امن وردپرسی

استفاده از قالب امن وردپرسی به اندازه افزونه‌های امنیت وردپرس اهمیت دارند. قبل از نصب قالب اطمینان حاصل کنید که با استانداردهای وردپرس مطابقت دارد تا به سایت شما آسیب نرساند.

افزایش امنیت وردپرس: SSL/HTTPS را فعال کنید

یکی دیگر از اقدامات چک لیست امنیت وردپرس استفاده از فناوری SSL (Secure Sockets Layer) است که ارتباط بین وب‌سایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری می‌کند و اطمینان می‌دهد که ترافیک بین سایت شما و سیستم بازدیدکنندگان در مقابل مداخله‌های ناخواسته ایمن است و جلوی نفوذ ربات‌ها را می‌گیرد. برای فعال سازی ssl هم می‌توانید به صورت دستی اقدام کنید و هم افزونه ssl را نصب کنید.

بیشتر بدانیم: چگونه یک گواهی SSL رایگان در وردپرس تنظیم کنیم

تامین امنیت وردپرس توسط فایروال

تامین امنیت وردپرس توسط فایروال یکی دیگر از موارد چک لیست امنیت وردپرس است. استفاده از فایروال یک روش‌ در دسترس و ایمن است. فایروال بین شبکه میزبان وردپرس شما و سایر شبکه‌هایی که با سایت شما در ارتباط هستند قرار می‌گیرد و به صورت خودکار از ورود ترافیک غیرمجاز به سایت شما جلوگیری می‌کند. فایروال‌ها با از بین بردن ارتباط مستقیم سایت شما با سایر سایت‌ها فعالیت‌های مخرب را دور نگه می‌دارد. برای این کار می‌توانید افزونه Web Application Firewall (WAF) را نصب کنید.

افزایش امنیت wordpress: نسخه پشتیبان سایت خود را تهیه کنید

نسخه‌ی پشتیبان ناجی سایت‌های هک شده است و امنیت سایت وردپرسی شما را تضمین می‌کند. هک شدن و از دست دادن تمام اطلاعات سایت یکی از بدترین اتفاقاتی است که می‌تواند برای هرسایتی رخ دهد. حتما از سایت وردپرس خود نسخه پشتیبان تهیه کنید تا در زمان هک شدن یک نسخه از اطلاعات خود را داشته باشید. بهتر است که بک‌آپ گیری خودکار را برای سایت خود فعال کنید.

اسکن‌های امنیتی وردپرس را به طور منظم انجام دهید

انجام اسکن‌های امنیتی وردپرس به صورت معمولی و حداقل یک بار در ماه می‌تواند به تامین امنیت سایت شما کمک زیادی کند و از مهمترین موارد چک لیست امنیت وردپرس است. شما می‌توانید این کار را از طریق افزونه‌ها انجام دهید.

بیشتر بدانیم: آموزش بکاپ گیری و بازگردانی بک آپ در وردپرس و معرفی افزونه

اقدامات پیشرفته افزایش امنیت وردپرس

بعد از انجام اقدامات پایه‌ای تامین امنیت وردپرس، می‌توانید اقدامات پیشرفته‌تری انجام دهید تا از آسیب به سایت جلوگیری کنید. این اقدامات شامل موارد زیر هستند:

برای ورودی‌های کاربر کاراکترهای خاصی را محدود کنید

اگر بخشی از سایت خود برای پاسخ بازدیدکنندگان به صورت تکمیل فرم یا هر فرمتی که اجازه ورود اطلاعات را می‌دهد، مشخص کرده‌اید باید چک لیست امنیت وردپرس را به صورت کامل در مورد آن رعایت نمایید. به این معنی که اعمال فیلتر برای ورودی‌های سایت ضروری است. محل ثبت ورودی سایت فرصت مناسبی برای حمله‌های XSS است که هکرها بتوانند کدهای مخرب را به سایت تزریق کنند.

برای انجام این کار هم می‌توانید کاراکترهای خاصی را در قسمت ورودی سایت فیلتر کنید، هم از افزونه‌هایی که کد مخرب را شناسایی می‌کنند، استفاده نمایید. استفاده از افزونه فرم وردپرس که به صورت خودکار این کاراکترها را فیلتر می‌کند نیز می‌تواند از این حملات جلوگیری نماید.

همچنین بخوانید: آموزش ساخت فرم تماس در وردپرس

سطوح دسترسی کاربران را محدود کنید

برای تامین و تضمین امنیت وردپرس سطح دسترسی متفاوتی به کاربران سایت بدهید. وردپرس شش نقش برای هر کاربر دارد. به عنوان مثال اگر سه کاربر با سطح دسترسی ویرایشگر داشته باشید، احتمال هک شدن سایت بالا می‌رود و آن را آسیب‌پذیر می‌کند. با محدود کردن سطح دسترسی ادمین از حملات brute-force جلوگیری کنید تا حتی اگر هکری اطلاعات ورود کاربر admin را درست حدس زده باشد، میزان آسیبی که وارد می‌شود را محدود کرده باشید.

از مانیتورینگ وردپرس استفاده کنید

استفاده از سیستم مانیتورینگ برای سایت شما را از هرگونه فعالیت مشکوکی که در سایت انجام می‌شود، آگاه می‌کند. در حالت ایده‌آل، به مرور زمان متوجه فعالیت غیرطبیعی داخل سایت وردپرس خود می‌شوید، اما بهتر است با نصب افزونه مانیتورینگ زودتر از آن آگاه شوید.

ثبت فعالیت کاربر

با ثبت فعالیت کاربران می‌توانید از تمام تغییراتی که در سایت رخ می‌دهد و فردی که آن را انجام می‌دهد، مطلع شوید. در نتیجه، می‌توانید متوجه وقوع فعالیت مشکوک شده و از آن جلوگیری نمایید، مانند تلاش برای تغییر رمز عبور، تغییر قالب یا افزونه‌ها و یا نصب و غیر فعال کردن افزونه، این افزونه به پاکسازی بعد از هک شدن نیز کمک می‌کند، زیرا نشان می‌دهد که چه فعالیت اشتباهی در چه زمانی رخ داده است.

البته تمام فعالیت‌های تغییر رمز عبور یا اصلاح فایل نشانه هکر نیست، اما اگر تعداد کاربران سایت شما زیاد است، بهتر است که بررسی درست و دقیقی از فعالیت آنها داشته باشید.

URL پیش‌فرض ورود به وردپرس را تغییر دهید.

URL پیش‌فرض برای صفحه ورود به وردپرس برای هر سایت وردپرسی ثابت و مشخص است. افزونه‌هایی مانند WPS Hide Login URL صفحه ورود را برای شما تغییر می‌دهند.

ویرایش فایل را در داشبورد وردپرس غیرفعال کنید

به طور پیش‌فرض، سطح دسترسی مدیرکل در وردپرس اجازه ویرایش کد فایل را دارد. اگر هکرها با دسترسی مدیرکل، وارد سایت شوند به راحتی می‌توانند از این طریق به سایت آسیب برسانند. برای این کار می‌توانید از راه های زیر اقدام نمایید:

• افزونه‌ای که ویرایش کد را غیرفعال می‌کند نصب کنید

• هنگام دادن دسترسی به کاربر این امکان را غیرفعال کنید

• اگر کاربری دسترسی ویرایش دارد، از طریق سی پنل (cpanel) هاست سایت، آن را غیرفعال کنید.

همچنین بخوانید: آموزش نصب وردپرس در سی پنل راهنمای تصویری

پیشوند فایل دیتابیس خود را تغییر دهید

اسم فایل‌هایی که پایگاه داده سایت وردپرس هستند به طور پیش‌فرض با "wp_" شروع می‌شوند و هکرها به راحتی می‌توانند با تشخیص آن، حمله SQL انجام دهند. برای جلوگیری از این آسیب به سایت، نام فایل‌های دیتابیس خود را تغییر دهید. این کار را می‌توانید هنگام نصب وردپرس انجام دهید. دیتابیس تمام محتوای سایت را ذخیره می‌کند و آسیب به آن می‌تواند ضربه‌های غیرقابل جبرانی وارد کند. در نتیجه بهتر است تمام تلاش خودتان را برای حفاظت از دیتابیس انجام دهید. برای این کار می‌توانید از افزونه نیز استفاده کنید.

فایل xmlrpc.php خود را غیر فعال کنید.

XML-RPC یک پروتکل ارتباطی است که به وردپرس اجازه می‌دهد با وب خارجی و برنامه‌های تلفن همراه تعامل داشته باشد. البته از زمان ظهور WordPress REST API، استفاده از XML-RPC بسیار کمتر شده‌است. اما بعضی افراد هنوز هم از آن برای راه‌اندازی حمله استفاده می‌کنند.

تکنولوژی XML-RPC به هکرها اجازه می‌دهد که بتوانند صدها دستور به سایت ارسال کنند و حمله brute force را آسان‌تر می‌کند. بعلاوه، XML-RPC در مقایسه با REST API امنیت کمتری دارد. بهتر است اگر سایت شما از XML-RPC استفاده نمی‌کند، آن را غیرفعال کنید تا احتمال آسیب سایت در برابر حملات را کمتر کنید.

افزایش امنیت وردپرس با حذف حساب پیش‌فرض ادمین

با حذف حساب پیش‌فرض ادمین یک قدم گام دیگر به ایمن‌سازی وردپرس نزدیک می‌شوید. یکی از اقدامات امنیتی که می‌تواند تا حد زیادی جلوی آسیب به سایت شما را بگیرد، حذف حساب پیش‌فرض ادمین و ایجاد یک حساب کاربری دیگر با همان سطح دسترسی است.

نسخه وردپرس خود را مخفی کنید

مخفی کردن نسخه وردپرس یکی دیگر از مراحل ایمن‌سازی سایت وردپرسی است. البته این اقدام برای نسخه‌های 5 به بعد وردپرس خیلی ضروری نیست. همانطور که پیش‌تر گفته شد وردپرس بعد از هر به‌روزرسانی مشکل‌هایی که در نسخه قبل وجود داشت را اعلام می‌کند، اما از نسخه 5 به بعد مشکلات امنیتی اعلام نمی‌شود. در نتیجه جای نگرانی نیست.

چرا باید از افزونه امنیتی وردپرس استفاده کنیم؟

میلیون‌ها وب‌سایت در هر زمانی در هفته به بدافزار آلوده می‌شوند. یک وب سایت به طور متوسط روزانه 94 بار مورد حمله قرار می‌گیرد، که این حمله‌ها شامل وب سایت‌های غیر وردپرسی هم می‌شود. یک نقض امنیتی در وب‌سایت شما می‌تواند آسیب جدی به کسب و کار وارد کند. در اینجا چند نمونه از نقص‌های امنیتی قرار شده است:

• هکرها می‌توانند داده‌های شما یا داده‌های متعلق به کاربران و مشتریان شما را بدزدند.

• یک وب‌سایت در معرض خطر می‌تواند برای توزیع کدهای مخرب بین کاربران ناآگاه و سایر وب‌سایت‌ها استفاده شود.

• ممکن است شما برای همیشه داده‌ها را از دست بدهید، دسترسی به وب سایت خود را از دست بدهید، یا ممکن است داده‌های شما گروگان گرفته شوند.

• هر زمان که بخواهید می‌توانید سایت وردپرس خود را از نظر نقض امنیتی اسکن کنید. با این حال، تمیز کردن یک سایت وردپرس هک شده بدون کمک تیم حرفه‌ای برای کاربران غیر فنی دشوار است.

افزونه‌های امنیت وردپرس

افزونه‌‌های امنیتی وردپرس را می‌توان کاربردی‌ترین افزونه‌ برای مدیران سایت، کارشناسان و برنامه نویسان دانست. در هر دقیقه چیزی بالغ بر 90 هزار حمله مخرب و هکری به وب‌سایت‌های وردپرسی انجام می‌شود. حملات همیشه در کنار کار افشای اطلاعات مهم می‌تواند خسارت‌های مالی بسیار زیادی به مدیران وب‌سایت‌ها وارد نماید. همچنین به زیرساخت‌های سایت از جمله سئو که بر رنکینگ سایت تاثیرگذار است، نیز آسیب برساند. اما تیم وردپرس برای رفع این مشکلات راه‌حلی را پیش روی مدیران سایت‌ها قرار داده‌است و آن استفاده از افزونه‌های امنیتی است.

از جمه رایج‌ترین دلایل حملات هکرها به سایت‌ها می‌توان استفاده از نام کاربری پیش فرص، گذرواژه‌های ضعیف و ناامن و تکراری و قدیمی بودن ورژن وردپرس دانست. که وردپرس با بروزرسانی‌های مکرر و همچنین ارائه افزونه‌ها توانسته تا حد زیادی این مشکلات را رفع نماید. در ادامه چند مورد از بهترین افزونه‌های امنیتی ورد پرس را بررسی خواهیم نمود.

افزونه امنیتی وردپرس MalCare

• امتیاز : 4.1 از 5

• تعداد نصب: بیش از 200 هزار نصب فعال

• نسخه وردپرس مورد نیاز: 4.0 یا بالاتر

توضیحات

افزونه امنیتی MalCare سریع‌ترین افزونه شناسایی و حذف بدافزار است که توسط آژانس‌ها و developer های زیادی مورد استفاده قرار می‌گیرد. این افزونه بالاترین کارآیی را دارد، قابل اعتماد است و استفاده راحتی دارد. بعلاوه، از الگوریتم‌های خودآموز (Self-learn algorithms) استفاده می‌کند تا به‌روزترین تکنولوژی‌های امنیتی را تامین کند. این افزونه 7 لایه قدرتمند امنیتی ایجاد می‌کند تا بتواند هر گونه حمله‌ای را دفع نماید. افزونه MalCare بر اساس تعداد لایه‌های امنیتی که ایجاد می‌کند، در سه سطح عرضه می‌شود. اگر سایت وردپرسی از کار بیافتد، این افزونه به شما اطلاع می‌دهد تا قبل اینکه بازدیدکنندگان خود را از دست بدهید، نسبت به بازیابی آن اقدام کنید.

از مزایای این افزونه می‌توان به این موارد اشاره کرد:

• مبتنی بر ابر است

• سرعت سایت را کند نمی‌کند

• همه نوع بدافزار را شناسایی و آثار آن را حذف می‌کند

• ورود ربات‌های هکر به صفحه را مسدود می‌کند

• ترافیک مخرب را شناسایی و مسدود می‌کند

• استفاده آسانی دارد

• به کاربران اجازه می‌دهد ورود از تمام کشورها را مسدود کنند

• پاکسازی نامحدود دارد

لینک دانلود افزونه: https://fa.wordpress.org/plugins/malcare-security/

افزونه امنیتی وردپرس Wordfence Security – Firewall & Malware Scan

• امتیاز : 4.7 از 5

• تعداد نصب: بیش از 4 میلیون نصب فعال

• نسخه وردپرس مورد نیاز: 3.9 یا بالاتر

توضیحات

افزونه امنیت وردپرسی وردفنس از جدیدترین قوانین فایروال برای شناسایی هرگونه آثار بدافزار و آدرس‌های IP مخرب استفاده می‌کند تا سایت را ایمن نگه دارد. همچنین احراز هویت دو مرحله‌ای دارد که امنیت بیشتری برای وردپرس ایجاد می‌کند. از جمله مزایایی که این افزونه دارد می‌توان به این موارد اشاره کرد:

• وب-اپلیکیشن برای شناسایی ترافیک مخرب و مسدود کردن آن

• از سایت در نقطه پایانی محافظت می‌کند که باعث یکپارچه سازی عمیق با وردپرس می‌شود. برخلاف همتاهای مبتنی بر ابر، امکان شکستن رمزگذاری آن و افشای داده‌ها وجود ندارد

• با محدود کردن تلاش‌های ورود به سیستم از حملات brute force جلوگیری می‌کند

• اسکنر مرکزی آن فایل‌ها، قالب‌ها و افزونه‌ها را اسکن می‌کند تا هرگونه URL مخرب، اسپم‌های سئو ، ردایرکت‌های مخرب و تزریق کد را شناسایی کند.

• فایل‌ها، قالب‌ها و افزونه‌های اصلی و مرکزی را با مخازن وردپرس مقایسه می‌کند تا یکپارچگی آن را چک کند. در صورت وجود هرگونه مغایرت آن را گزارش می‌دهد

• سایت را چک می‌کند و در صورت وجود هرگونه احتمال آسیب، اطلاع رسانی می‌کند

در نسخه پریمیوم:

• آی‌پی سایت را چک می‌کند تا هرگونه فعالیت مخرب،  قرار گرفتن در بلک لیست، ایجاد اسپم و یا هرگونه مشکلات امنیتی را گزارش کند

• درخواست‌هایی که از آی‌پی‌های مخرب ارسال می‌شوند را در بلک لیست قرار می‌دهد  تا از سایت محافظت کند

لینک دانلود افزونه: https://fa.wordpress.org/plugins/wordfence/

افزونه امنیتی وردپرس Sucuri Security

• امتیاز : 4.2 از 5

• تعداد نصب: بیش از 800 هزار نصب فعال

• نسخه وردپرس مورد نیاز: 3.6 یا بالاتر

توضیحات

افزونه امنیتی وردپرس Sucuri Security یکی از پلاگین‌های رایگان است که وضعیت امنیتی فعلی را تکمیل می‌کند. از جمله ویژگی‌های امنیتی که این افزونه به وب‌سایت ارائه می‌دهد می‌توان به موارد زیر اشاره نمود:

• بررسی فعالیت‌های امنیتی

• نظارت بر یکپارچگی فایل

• اسکن بدافزار از راه دور

• نظارت بر بلک لیست

• ایجاد امنیت سفت و سخت

• اقدامات امنیتی پس از هک

• اطلاعیه‌های امنیتی

• فایروال وب‌سایت (با پرداخت هزینه)

لینک دانلود افزونه: https://fa.wordpress.org/plugins/sucuri-scanner/

امنیت کامل وردپرس و فایروال

• امتیاز : 4.8 از 5

• تعداد نصب: بیش از 1 میلیون نصب فعال

• نسخه وردپرس مورد نیاز: 5.6 یا بالاتر

• "این افزونه با زبان فارسی سازگار است"

توضیحات:

افزونه امنیت کامل وردپرس و فایروال در سه سطح "پایه"، "متوسط" و "پیشرفته" طبقه‌بندی می‌شود و  با بررسی آسیب‌پذیری‌ها، پیاده‌سازی و اجرای آخرین شیوه‌ها و تکنیک‌های امنیتی توصیه شده وردپرس، خطر امنیتی را کاهش می‌دهد. از ویژگی‌های این افزونه می‌توان به موارد زیر اشاره نمود:

• می‌توانید با استفاده از آن نام حساب کاربری admin را تغییر دهید.

• حساب کاربری که نام نمایشی و نام کاربری یکسان داشته باشد را شناسایی می‌کند. یکسان بودن نام کاربری و نام نمایشی یکی از نقاط ضعف سایت محسوب می‌شود که به هکرها اجازه ورود راحت‌تر را می‌دهد.

• امکان ایجاد رمز عبود قوی را می‌دهد.

• برای جلوگیری از حملات Brute Force از ویژگی Login Lockdown استفاده می‌کند. در این سیستم کاربرانی که از یک محدوده آدرس آی پی خاصی هستند برای زمان تعیین شده‌ای بلاک می‌شوند. همچنین می‌تواند تلاش‌های مکرر یک کاربر برای ورود به سایت را از طریق ایمیل اطلاع رسانی کند.

• به عنوان مدیر سایت، می‌توانید فهرست کاربرانی که بلاک شده‌اند را مشاهده کنید و آدرس‌های آی‌پی انبوه یا فردی را باز کنید.

• امکان قفل کردن خودکار محدوده‌های آدرس IP که تلاش می‌کنند با نام کاربری نامعتبر وارد سیستم شوند.

• امکان مشاهده لیست تمامی کاربرانی که در حال حاضر وارد سایت شما شده‌اند.

• اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم ورود به وردپرس

• اضافه کردن Google reCaptcha یا کپچای ریاضی ساده به فرم رمز عبور فراموش شده سیستم WP Login

لینک دانلود افزونه: https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

افزونه امنیتی وردپرس BulletProof Security

• امتیاز : 4.8 از 5

• تعداد نصب: بیش از 40 میلیون نصب فعال

• نسخه وردپرس مورد نیاز: 3.8 یا بالاتر

توضیحات:

فزونه امنیتی وردپرس BulletProof Security مشکلاتی که برای سایر افزونه‌ها به وجود آمده‌است را به صورت اتوماتیک برطرف می‌کند. از جمله ویژگی‌های این افزونه می‌توان به موارد زیر اشاره نمود:

• نصب برنامه با استفاده از یک کلیک

• رفع خودکار مشکلات نصب

• پوشه پنهان افزونه‌ها

• امنیت ورود و نظارت

• خروج از جلسه خودکار

• تهیه پشتیبان

• حالت نگهداری بک‌اند و فرانت‌اند

• زمانیکه به‌روزرسانی‌های قالب و یا افزونه‌های جدید وجود داشته باشد، از طریق ایمیل اطلاع‌رسانی می‌کند.

• سیستم مانیتورینگ ورود به دیتابیس

• ابزار مقایسه اطلاعات دیتابیس

لینک دانلود افزونه: https://fa.wordpress.org/plugins/bulletproof-security/

افزونه امنیتی وردپرس iThemes Security

• امتیاز : 4.6 از 5

• تعداد نصب: بیش از 1 میلیون نصب فعال

• نسخه وردپرس مورد نیاز: 5.8 یا بالاتر

• "این افزونه با زبان فارسی سازگار است"

توضیحات:

افزونه امنیتی وردپرس iThemes Security یکی از  بهترین پلاگین‌های ایمن‌سازی wordpress است، که می‌تواند در کمتر از 10 دقیقه امنیت کامل برای سایت شما برقرار کند. این افزونه 6 نوع قالب امنیتی ارائه می‌کند که می‌توانید بر اساس نوع سایت خود، قالب مناسب را انتخاب کنید که شامل موارد زیر می‌شوند:

• تجارت الکترونیک

• شبکه

• بلاگ

• نمونه کار (Portfolio)

• بروشور (Brochure)

• Non-Profit

تمام فعالیت‌های امنیتی سایت را در تمام ساعات شبانه‌روز بررسی می‌کند و بر آن نظارت دارد و آمار تمام فعالیت های امنیتی سایت از جمله حملات brute force، کاربران بلاک شده، قفل‌های فعال و نتایج اسکن سایت را در قسمت داشبورد نشان می‌دهد.

این افزونه ورود ایمن را با لایه‌های امنیتی زیر تامین می‌کند:

• احراز هویت دو مرحله‌ای: با وارد کردن کد امنیتی و رمز عبور، ورود به وردپرس را در برابر حمله کاربران تقریبا غیرقابل نفوذ می‌کند. این افزونه با تامین کردن چند روش احراز هویت، ورود به حساب کاربری را ایمن می‌کند.

• نیازمندی‌های رمز عبور: در کمتر از یک دقیقه می‌توانید خط مشی مخصوص خود را برای ورود به حساب کاربری ایجاد کنید.

• ری کپچا (در نسخه pro)

• ورود بدون رمز عبور (در نسخه pro)

• دستگاه‌های مورد اعتماد (در نسخه pro)

لینک دانلود افزونه: https://fa.wordpress.org/plugins/better-wp-security/

افزونه امنیتی وردپرس Inactive Logout

• امتیاز : 4.7 از 5

• تعداد نصب: بیش از 10 هزار نصب فعال

• نسخه وردپرس مورد نیاز: 5.6 یا بالاتر

توضیحات:

افزونه امنیتی وردپرس Inactive Logout پس از مدت زمان خاصی که کاربر فعالیتی داخل حساب کاربری خود ندارد، آن را از حساب کاربری خارج می‌کند. پیکربندی و استفاده از این افزونه بسیار آسان است. پس از نصب و فعال کردن افزونه، می‌توانید بازه زمانی مجاز غیرفعال بودن کاربر را از قسمت تنظیمات به سادگی تنظیم کنید. به علاوه می‌توانید تنظیمات را به گونه‌ای ثبت کنید که قبل از خارج شدن از حساب کاربری، اتمام جلسه را از طریق یک پیام اطلاع رسانی کند. از جمله ویژگی‌های این افزونه می‌توان به موارد زیر اشاره نمود:

• تغییر زمان غیرفعال بودن

• قبل از خارج شدن از حساب کاربری، 10 ثانیه شمارش معکوس نشان دهد

• بعد از مدت زمان مشخصی که کاربر غیرفعال بود، به جای خارج شدن از حساب کاربری پیامی به صورت پاپ آپ نشان دهد تا کاربر را هوشیار کند. 

• امکان ورود همزمان دو نفر به حساب کاربری را نمی‌دهد

• کاربری ساده

• اگر کاربر در پنجره‌های متفاوتی وارد حساب کاربری خود شده‌است، از حساب کاربری خارج نکند.

در نسخه پیشرفته پس از 2 دقیقه غیرفعال بودن کاربر، صفحه مرورگر را می بندد.

لینک دانلود افزونه: https://fa.wordpress.org/plugins/inactive-logout/

افزونه امنیتی وردپرس SSL واقعاً ساده

• امتیاز : 5 از 5

• تعداد نصب: بیش از 5 میلیون نصب فعال

• نسخه وردپرس مورد نیاز: 4.9 یا بالاتر

• "این افزونه با زبان فارسی سازگار است"

توضیحات:

SSL Really Simple تنظیمات را به صورت خودکار شناسایی می‌کند و وب‌سایت را برای اجرا بر روی HTTPS پیکربندی می‌کند. در نسخه Pro امکانات بیشتری دارد که می‌توان به بهبود امنیت، امنیت محتوا و سیاست‌های سایت و امنیت پیشرفته سرتیترها اشاره کرد.

لینک دانلود افزونه: https://fa.wordpress.org/plugins/really-simple-ssl/

افزونه وردپرس All-In-One WP Security

• امتیاز : 4.5 از 5

• تعداد نصب: بیش از 1 میلیون نصب فعال

• نسخه وردپرس مورد نیاز: 5 یا بالاتر

• "این افزونه با زبان فارسی سازگار است"

توضیحات:

All-in-One WordPress Security یا AIOS یک افزونه قدرتمند نظارت و فایروال امنیت وردپرس است. این افزونه به شما امکان می دهد تا به راحتی بهترین شیوه‌های امنیتی وردپرس را در وب سایت خود اعمال کنید.

دارای ویژگی‌هایی مانند قفل ورود به سیستم برای جلوگیری از حملات brute force، فیلتر IP، نظارت بر یکپارچگی فایل، نظارت بر حساب کاربری، اسکن الگوهای مشکوک در پایگاه داده و موارد دیگر است. همچنین دارای یک فایروال پایه در سطح وب سایت است که می‌تواند الگوهای رایج را شناسایی کرده و آنها را برای شما مسدود کند. همچنین می‌توانید IPهای مشکوک را به صورت دستی در لیست سیاه قرار دهید.

AIOS برای چه کسانی بهتر است؟

AIOS گزینه خوبی برای سایت‌های پر محتوا است که باید از کار خود محافظت کنند. AIOS با جلوگیری از iFrame، غیرفعال کردن هرزنامه نظرات و همچنین امکان کنترل فیدهای RSS و Atom ، می‌تواند سایت شما را ایمن نگه دارد. همچنین توسط این افزونه می‌توانید به راحتی راست کلیک را بر روی سایت خود غیرفعالی نمایید.داین کار باعث می‌شود ربات‌ها و کاربران نتوانند مطالب روی سیات شما را کپی کنند.

لینک دانلود افزونه:  https://fa.wordpress.org/plugins/all-in-one-wp-security-and-firewall/