وردپرس یکی از پرطرفدارترین سایت ساز های دنیاست ولی وردپرس به تنهایی ایمن نیست و باید ایمن سازی شود که در صورت عدم توجه به این موضوع ممکن هست سایتتون در آینده با مشکلات جدی رو به رو شود.
امنیت یک سایت حتما به هک نشدن آن نیست و خیلی وقت ها سایت ها با افزونه های آلوده و یا افزونه های از رده خارج یا حتی افزونه هایی که فکر میکنید عالی هستند و بروز هستند هم ویروسی میشود.
خیلی از افزونه ها توسط یک شخص نوشته شده و تیمی قدرتمند ندارند که همواره روی امنیت آن کار کنند.
اگر سایت ما هک یا ویروسی شود چه اتفاقی خواهد افتاد؟ شاید فکر کنید اگر سایت شما هک شود با یک ریستور بک آپ که هاستینگ گرفته مشکل شما حل میشود و سایت در دسترس قرار میگیرد اما اصلا اینطور نیست. خیلی وقت ها اصلا شما متوجه هک شدن هم نخواهید شد سایت هک شده و هکر کدهای تبلیغاتی خود را در سایت قرار میدهد اما شما متوجه این تبلیغات مخفی نخواهید شد تا بعد از ۱۰ روز خواهید دید آمار شما کم شده و ورودی گوگل شما ۰ خواهد شد.
شاید بعد سایت خود را در گوگل سرچ کنید و ببینید به طور کلی در نتایج نیستید و هر کجا هم هستید یک سایت با اطلاعات چینی یا … در نتایج مشاهده میکنید. دامنه شما با مطالب چینی!
خب این نوع ویروس تبلیغاتی در سایت شما قرار میدهند که سایت فقط برای ربات های گوگل اون تبلیغات را نمایش میدهد و با این وجود شما مدتی متوجه این تبلیغات نمیشوید و زمانی که متوجه میشوید هزاران لینک در گوگل با اون تبلیغات ایجاد شده.
حالا اگر سایت را درست کنید و اون لینک ها را حذف کنید سایت شما دارای هزاران لینک ۴۰۴ خواهد بود که دیگه اون سایت هیچ وقت در گوگل محبوب و در نتایج بالا نخواهد آمد.
علاوه بر این موارد ممکن است هکر از سایت برای ارسال ایمیل استفاده کند که حداقل چیزی که اتفاق می افتد این است که سایت شما مسدود شده و مجبورید میزبانی خود را تغییر دهید.
اما چرا چند دقیقه وقت نذارید و بدون پرداخت هیچ هزینه ای سایت رو خودتون ایمن نکنید تا از این همه مشکلات که گفته شد جلوگیری کنید؟
اگر قصد رفع این مشکل را دارید و یک سرویس فعال در زدگیگ دارید میتوانید این آموزش را مطالعه کنید.
ایمن سازی وردپرس
در اولین قدم توصیح شدید میشه از کل هاست یک فول بک آپ بگیرید.
آموزش ایجاد فول بک آپ در سی پنل
توجه کنید در آموزش بالا فقط بخش ایجاد فول بک آپ رو انجام بدید.
بعد از بک آپ گرفتن با خیال آسوده به نصب افزونه امنیتی میپردازیم.
1- نصب افزونه امنیتی
برای نصب به مدیریت وردپرس رفته و از منو افزونه ها به بخش افزودن افزونه بروید. کلمه کلیدی iThemes Security را سرچ کرده و افزونه iThemes Security را نصب کنید.
2- رفتن به تنظیمات افزونه
از دو بخش میتوانید به تنظیمات افزونه وارد شوید. اول از بخش افزونه ها و دوم از منو سمت راست منو امنیت.
هر دو منو در عکس زیر مشخص شده اند.
3-رفتن به منو بررسی امنیت
از سمت راست منو امنیت و زیر منو برسی امنیت را کلیک کنید.
بعد روی ایمن کردن secure site کلیک کنید.
هنگامی که دکمه زیر کلیک می شود، ماژول های زیر فعال و پیکربندی می شوند:
- کاربران مسدود
- پشتیبانگیری پایگاه داده
- محافظت مقابل حملات Brute Force محلی
- محافظت مقابل حملات Brute Force شبکه
- استواری گذراژه ها
- ترفندهای وردپرس
بعد منتظر بمانید تا افزونه پیشنهاد های پیش فرض خود را فعال کند.
با این کار تنظیمات زیر انجام میشود:
تقویت امنیت رمزعبور
تنظیمات REST API در ترفند وردپرس را به “Access Restricted” تغییر داد.
کاربران مسدود بعنوان توصیه شد فعال شد.
پشتیبانگیری پایگاه داده بعنوان توصیه شد فعال شد.
محافظت مقابل حملات Brute Force محلی بعنوان توصیه شد فعال شد.
ترفندهای وردپرس بعنوان توصیه شد فعال شد.
در اینجا میتوانید ایمیل خود را وارد کنید تا اطلاعیه های افزونه برای شما ارسال شود. اما زیاد ضروری نیست.
بر روی بستن کلیک کنید.
5- رهگیری 404
نیازی به فعال کردن این مورد نیست چون اگر خطای 404 زیاد داشته باشید باعث ارسال ایمیل زیاد شده و هاست شما مسدود میشود.
4- تب تنظیمات کلی
از تب تنظیمات کلی روی پیکربندی تنظیمات کلیک کنید.
اول تیک گزینه زیر را بزنید.
نوشتن در پروندهها اجازه دهید افزونه در wp-config.php و .htaccess بنویسد.
بعد پایینتر تیک گزینه زیر را بزنید.
لیست سیاه متخلفین را تکرار کنید فعالسازی تکرار کردن لیست سیاه متخلفین
اگر این انتخاب شود IP کامپیوتر متخلف به لیست “کاربران مسدود” اضافه می شود بعد از اینکه به تعداد مسدودی لیست زیر برسد.
بعد ذخیره کنید و از تنظیمات این تب خارج شوید.
5- مرکز اعلانات
مدیریت و پیکربندی ایمیل های ارسال شده توسط iThemes Security مربوط به ماژول های تنظیمات مختلف. در صورت ارسال خطا در هنگام ارسال ایمیل، در اینجا گزارش می شود.
میتوانید این بخش را فعال یا غیرفعال کنید.
6- کاربران مسدود
این ویژگی به شما اجازه مسدود کردن عوامل کاربری و میزبانها از سایت شما بطور کامل بدون نیاز به پیکربندی سرور می دهد.هر IP یا عوامل کاربری که در لیست زیر باشد اجازه دسترسی به سایت شما نخواهد داشت.
در این بخش میتوانید تیک گزینه زیر را بزنید
لیست سیاه پیشفرض عال کردن ویژگی لیست سیاه HackRepair.com
7-خارج از دسترس
غیرفعال کردن دسترسی به پیشخوان وردپرس طبق زمانبندی.
این مورد توصیه نمیشود.
8- پشتیبانگیری پایگاه داده مرکز اعلانات
یکی از بهترین راه های محافظت از خود در برابر حمله، دسترسی به پایگاه داده پشتیبان سایت شماست. اگر چیزی به اشتباه برسد، می توانید سایت خود را با بازگرداندن پایگاه داده از یک پشتیبان و جایگزین کردن فایل ها با موارد تازه دریافت کنید. برای ایجاد یک پشتیبان از پایگاه داده خود برای این منظور از دکمه زیر استفاده کنید. شما همچنین می توانید پشتیبان گیری خودکار را برنامه ریزی کنید و پشتیبان گیری های قبلی را بارگیری یا حذف کنید.
دکمه زیر را فشار دهید تا یک پشتیبان از پایگاه داده با استفاده از تنظیمات ذخیره شده ایجاد شود.
در این بخش میتوانید تنظیم کنید هر روز از اطلاعات دیتابیس شما بک آپ تهیه شود. و به ایمیل شما ارسل شود.اگر قصد تنظیم این مورد را دارید فقط ارسال با اییمل را انتخاب کنید چون اگر در هاست ذخیره شود خیلی زود هاست شما پر خواهد شد.
9- ترفندهای سیستم
تنظیمات پیشرفته که باعث بهبود امنیت با تغییر پیکربندی سرور برای این سایت می شود.
به طور کلی مورد 9 و موردی بعدی که خواهیم گفت به عنوان مورد 10 مهمترین بخش های ایمن کردن سایت هستند.
این دو بخش انجام شود 90 درصد امنیت تامین میشود.
ترفند های سیستم را فعال کنید:
بعد مطابق عکس زیر بر روی پیکربندی تنظیمات کلیک کنید:
موارد زیر را حتما و با تاکید توصیه میکنم فعال کنید
پروندههای سیستمی
غیرفعال کردن مرور دایرکتوری
روشهای درخواست
رشته های Query مشکوک
رشتههای آدرس طولانی
دسترسیهای نوشتن پرونده
PHP در بارگذاری
PHP در بارگذاری
PHP در قالب
توجه کنید گزینه زیر به هیچ وجه فعال نشود:
در نهایت ذخیره کنید.
10- ترفندهای وردپرس
در این مرحله ترفندهای وردپرس را فعال و روی پیکربندی تنظیمات کلیک کنید.
بخش های زیر را تیک بزنید و فعال کنید.
Windows Live Writer Header
ویرایش URI سربرگ
دیدگاه هرزنامه
ویرایشگر پرونده
XML-RPC را روی غیرفعال کردن XML-RPC تنظیم کنید مطابق زیر:
تلاش های احراز هویت چندگانه در هر درخواست XML-RPC را روی بلاک تنظیم کنید.
بازنشانی API را روی دسترسی محدود تنظیم کنید.
پیام خطای ورود را تیک بزنید.
اجبار برای نام مستعار منحصربفرد را تیک بزنید.
غیرفعال کردن بایگانی کاربر اضافی را فعال کنید.
محافظت در مقابل Tabnapping را فعال کنید.
ورود با ایمیل یا نامکاربری: بهتره یکی از گزینه این مورد را انتخاب کنید مثلا فقط با نام کاربری
تیک Mitigate Attachment File Traversal Attack را بزنید
در آخر میتوانید روی سایت خود پروتکل SSL نصب کنید.