راهنمای گام به گام بالا بردن امنیت وردپرس (۲۰۱۹)

بازدید : 123
نویسنده : علی یوسفی
راهنمای گام به گام بالا بردن امنیت وردپرس (۲۰۱۹)
1 امتیاز از 1 رای
زمان مطالعه : 22 دقیقه
انتشار : ۲۷ اسفند , ۱۳۹۷
بروزرسانی : ۲۰ فروردین , ۱۳۹۸
راهنمای گام به گام بالا بردن امنیت وردپرس (۲۰۱۹)

امنیت وردپرس یک موضوع مهم برای هر صاحب وب سایت است. گوگل لیست سیاه هر روز برای نرم افزارهای مخرب حدود ۱۰،۰۰۰+ وب سایت و حدود ۵۰،۰۰۰ فیشینگ در هر هفته دارد . اگر شما در مورد وب سایت خود جدی هستید، باید به بهترین شیوه های امنیتی وردپرس توجه داشته باشید. در این راهنمای ما تمام نکات امنیتی برتر وردپرس را برای وب سایت خود در برابر هکرها و بدافزارها به اشتراک می گذاریم. wordpresssecurityguide

در حالی که نرم افزار هسته ی وردپرس بسیار امن است و صدها توسعه دهنده آن را به طور مرتب حسابرسی می کنند، می توان برای حفظ امنیت سایت خود تلاش کرد.ما اعتقاد داریم که امنیت صرفا در مورد حذف خطر نیست ,کاهش خطر نیز باید لحاظ شود. به عنوان یک صاحب وبسایت، برای بهبود امنیت وردپرس خود می توانید کارهای زیادی انجام دهید. (حتی اگر شما از طرز تفکر تکنیکی ندارید)

ما تعدادی از اقدامات عملی که شما می توانید برای محافظت از وب سایت خود در برابر آسیب پذیری های امنیتی انجام دهید به شما معرفی می کنیم. برای آسان کردن کار ، ما یک جدول محتوا ایجاد کرده ایم تا به راحتی از طریق راهنمای امنیت وردپرس نهایی به رفع مشکل شما بپردازیم .

مطالبی که درباره امنیت وردپرس خواهیم گفت

مبانی امنیت وردپرس

  • چرا امنیت وردپرس مهم است؟
  • به روز نگه داشتن وردپرس
  • یوزر و پسورد قوی برای کاربر
  • نقش web hosting

امنیت وردپرس در مراحل آسان (بدون کدگذاری)

  • راه حل نصب بک آپ وردپرس
  • بهترین پلاگین امنیتی وردپرس
  • فعال کردن برنامه فایروال وب (WAF)
  • انتقال سایت وردپرس به SSL / HTTPS

امنیت وردپرس برای کاربران DIY

  • تغییر دادن نام کاربری پیش فرض “admin”
  • غیر فعال کردن ویرایش فایل
  • غیر فعال کردن اجرای فایل php
  • محدود کردن تعداد Login
  • اضافه کردن دو فاکتور تأیید اعتبار
  • تغییر پیشوند Database وردپرس
  • غیر فعال کردن فهرست فهرست گذاری و مرورگر
  • غیر فعال کردن XML-RPC در وردپرس
  • به صورت خودکار کاربران غیرفعال را خارج کنید
  • اضافه کردن سوالات امنیتی به login وردپرس
  • اسکن وردپرس برای تروجان و آسیب پذیری ها
  • فیکس کردن یک سایت وردپرس هک شده

چرا امنیت وب سایت مهم است؟

سایت وردپرس هک شده می تواند باعث آسیب جدی به درآمد کسب و کار و شهرت شما شود. هکرها می توانند اطلاعات کاربر، رمزهای عبور، نصب نرم افزارهای مخرب را سرقت کنند و حتی می توانند نرم افزارهای مخرب را به کاربران خود توزیع کنند. بدتر از همه، ممکن است خودتان را مجبور به پرداخت هکرها به هکرها کنید تا بتوانید دسترسی به وب سایت خود را دوباره به دست آورید. whysecurityisimportant

در مارس ۲۰۱۶، گوگل گزارش داد که بیش از ۵۰ میلیون وبسایت وجود دارد که ممکن است حاوی نرم افزارهای مخرب یا سرقت اطلاعات باشند . اگر وب سایت شما یک کسب و کار باشد، باید توجه بیشتری به امنیت وردپرس خود داشته باشید. همانطور که از صاحب کسب و کار مسئولیت حفاظت از ساختمان فروشگاه فیزیکی خود را دارد، به عنوان یک صاحب کسب و کار آنلاین، مسئولیت شما در حفاظت از وب سایت کار شماست.

به روز نگه داشتن وردپرس

wpupdates

وردپرس یک نرم افزار منبع باز است که به طور مرتب نگهداری و به روزرسانی می شود. به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند. برای نسخه های اصلی، شما باید به صورت دستی به روز رسانی را انجام دهید(این آپدیت ها در سایت وردپرس  منتشر میشوند). وردپرس نیز با هزاران افزونه و تم که در در وب سایت خود نصب کرده اید، می آید. این افزونه ها و قالب ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور مرتب به روز رسانی می شوند. این به روز رسانی های وردپرس برای امنیت و ثبات سایت وردپرس بسیار ضروری است. شما باید مطمئن شوید که هسته اصلی، پلاگین ها و تم های وردپرس شما به روز می شود.

یوزر و پسورد قوی برای کاربر

strongpasswords

شایع ترین هک شدن وردپرس تلاش برای استفاده از کلمات عبور به سرقت رفته است. با استفاده از کلمه عبور قوی تر که برای وب سایت شما باعث می شود این کار را برای آنان دشوار کنید. نه فقط برای منطقه مدیریت وردپرس، همچنین برای حسابهای FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس های ایمیل سفارشی شما که از نام دامنه سایت شما استفاده می کنند. بسیاری از مبتدی ها دوست ندارند از کلمات عبور قوی استفاده کنند چون آنها رمز های سخت را به یاد نمی آورند. خبر خوب این است که شما لازم نیست رمزهای عبور را به یاد داشته باشید. شما می توانید از یک مدیر رمز عبور استفاده کنید.

راه دیگری برای کاهش خطر این است که به هر کسی به حساب کاربری مدیریت وردپرس خود خود را ندهید . اگر شما یک نویسنده بزرگ یا تیم مهمان دارید، قبل از اینکه حساب کاربری و نویسندگان جدید خود را به سایت WordPress اضافه کنید، مطمئن شوید که نقش و قابلیت های کاربر در WordPress را درک می کنید.

نقش میزبان وردپرس

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس شما ایفا می کند. یک ارائه دهنده میزبانی وب خوب مانند Bluehost یا Siteground اقدامات اضافی را برای محافظت از سرور خود در برابر تهدیدات رایج انجام می دهد. در اینجا این است که شرکت hosting وب خوب چگونه در پس زمینه کار می کند تا از وب سایت ها و داده های شما محافظت کند.

  • آنها به طور مداوم شبکه خود را برای فعالیت مشکوک نظارت می کنند.
  • همه شرکتهای hosting خوب دارای ابزارهایی برای جلوگیری از حملات DDOS در مقیاس بزرگ هستند.
  • آنها نرم افزار و سخت افزار سرور خود را به روز نگه می دارند تا هکرها از یک آسیب پذیری امنیتی شناخته شده در یک نسخه قدیمی استفاده نکنند.
  • آنها با استفاده از برنامه هایی استفاده می کنند  می توانند از اطلاعات شما در مورد حوادث بزرگ محافظت کنند.

در یک پلن هاستینگ مشترک، منابع سرور را با بسیاری از مشتریان دیگر به اشتراک می گذارید. این به خطر آلودگی متقابل سایت وجود دارد که در آن هکر ها می توانند از یک سایت همسایه برای حمله به وب سایت شما استفاده کنند. با استفاده از سرویس هاستینگ وردپرس مدیریت شده یک پلتفرم امن تر برای وب سایت شما فراهم می کند. شرکت های مدیریت هاستینگ وردپرس پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر را برای محافظت از وب سایت شما ارائه می دهند.

امنیت وردپرس با مراحل آسان (بدون رمزگذاری)

ما می دانیم که بهبود امنیت وردپرس می تواند یک فکر وحشتناک برای مبتدیان باشد. ما هزاران نفر از کاربران وردپرس را در سخت افزاری امنیتی وردپرس کمک کرده ایم. ما به شما نشان می دهیم که چگونه می توانید امنیت وردپرس خود را تنها با چند کلیک بهبود بخشید (بدون کد نویسی مورد نیاز).اگر شما می توانید اشاره و کلیک کنید کار تمام شده است .

راه حل نصب Backup وردپرس

wpbackup

بک آپ گیری اولین دفاع شما در برابر هر حمله وردپرس است. به یاد داشته باشید هیچ چیز ۱۰۰٪ امن نیست. اگر وب سایت های دولتی را می توان هک کرد، پس وبسایت شما هم قابلیت هک شدن را دارد . بک آپ گیری به شما اجازه می دهد تا به سرعت به سایت وردپرس خود در صورت بروز هر چیز اشتباهی دسترسی داشته باشید . پلاگین های پشتیبان گیری وردپرس رایگان و پرداختی وجود دارد که می توانید از آن استفاده کنید. مهمترین چیزی که شما باید درباره بک آپ رعایت کنید این است که شما باید به طور مرتب بک آپ کامل سایت را در یک مکان در مکانی دیگر ذخیره کنید (نه حساب هاستینگ خود). توصیه می کنیم آن را در یک سرویس بزرگ مانند آمازون، Dropbox یا سرویس های خصوصی مانند Stash ذخیره کنید. با توجه به آنکه چند وقت یکبار یاست خود را آپدیت می کنید بک آپ گیری می تواند یک بار در روز یا لحظه ای باشد .

خوشبختانه این را می توان به راحتی با استفاده از پلاگین ها مانند VaultPress یا UpdraftPlus انجام می شود. هر دو قابل اعتماد بوده و از همه مهمتر استفاده از آن آسان است (بدون کد نویسی های مورد نیاز).

بهترین پلاگین امنیتی وردپرس

پس از بک آپ گیری، کاری که باید انجام دهیم این است که یک سیستم حسابرسی و نظارت داشته باشیم که همه چیز را که در وب سایت شما اتفاق می افتد، ردیابی کند. این شامل نظارت کامل بر پرونده، تلاش ورود به سیستم، اسکن بدافزار و غیره است. خوشبختانه،همه این ها می تواند توسط بهترین پلاگین امنیتی رایگان وردپرس، Sucuri Scanner مراقبت شود. شما باید پلاگین رایگان Sucuri Security را نصب و فعال کنید. برای جزئیات بیشتر، لطفا مراحل گام به گام راهنمای نحوه نصب پلاگین وردپرس را مشاهده کنید.

پس از فعال سازی، شما باید در منوی Sucuri در مدیر WordPress خود وارد شوید. اولین چیزی که از شما خواسته می شود این است که یک کلید API رایگان ایجاد کنید. این امکان ورود به حسابرسی، بررسی صحت، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم می کند.

sucuri-apikey

کار بعدی که شما باید انجام دهید، بر روی زبانه ‘Hardening’ از منوی تنظیمات کلیک کنید. روی هر گزینه بروید و روی دکمه “اعمال سخت شدن” کلیک کنید.security-hardening

این گزینه ها به شما درزمینه های کلیدی که هکرها اغلب در حملات خود استفاده می کنند بتوانید قفل کنید. تنها گزینه سخت افزاری که یک ارتقاء پرداخت می شود، فایروال برنامه وب است که ما در مرحله بعدی توضیح خواهیم داد. ما همچنین بسیاری از گزینه های “سخت افزاری” را در این مقاله برای کسانی که می خواهند بدون استفاده از یک افزونه یا مواردی که نیاز به مراحل دیگری مانند “تغییر پیشوند پایگاه داده” یا “تغییر نام کاربری مدیریت” را دارند، اورده ایم .پس از بخش سخت شدن، تنظیمات پلاگین پیش فرض به اندازه کافی برای اکثر وب سایت ها مناسب است و نیازی به تغییر ندارد. تنها چیزی که ما توصیه به سفارشی کردن آن است می کنیم ‘ایمیل هشدار’ است .

تنظیمات هشدار پیش فرض می تواند صندوق پستی شما را با ایمیل ها درهم آمیزد. توصیه میکنیم هشدارهایی برای اقدامات کلیدی مانند تغییرات در پلاگینها، ثبت نام کاربر جدید و غیره دریافت کنید. شما میتوانید هشدارها را با رفتن به Sucuri Settings Alerts دریافت کنید.emailalerts

این پلاگین امنیتی وردپرس بسیار قدرتمند است، بنابراین از طریق تمام زبانه ها و تنظیمات دقت کنید که همه چیز را مشاهده کنید مانند اسکن بدافزار، حسابرسیLog ها، ردیابی تلاش ناموفق و غیره

 فعال سازی فایروال وب(WAF)

ساده ترین راه محافظت از سایت شما و اطمینان در مورد امنیت وردپرس شما با استفاده از فایروال وب برنامه (WAF) است. فایروال وب سایت قبل از اینکه ترافیک مخرب حتی به وب سایت شما برسد، تمامشان مسدود می کند.

  •  DNS Level Web Firewall – این فایروال تراکنش وب سایت شما را از طریق cloud proxy servers خود هدایت می کند. این اجازه می دهد تا آنها فقط ترافیک واقعی را به سرور وب شما ارسال کنند.
  • Application Level Firewall – این افزونه های فایروال پس از رسیدن به سرورشما قبل از بارگذاری بیشتر اسکریپت های  WordPress، ترافیک را بررسی می کنند . این روش به اندازه فایروال DNS Level در کاهش بار سرور مؤثر نیست.

sucuritywaf

ما Sucuri را به عنوان بهترین برنامه فایروال وب برای وردپرس استفاده می کنیم و آن را به شما توصیه می کنیم.sucuriblockchart

بهترین بخش در مورد فایروال Sucuri این است که پاک کردن تروجان و حذف لیست سیاهرا برای شما ضمانت می کنند. اساسا اگر سایت شما هک شود ، آنها تضمین می کنند که وب سایت شما را تعمیر می کنند (مهم نیست چند صفحه ای وجود دارد). این یک ضمانت بسیار قوی است زیرا تعمیر وب سایت های هک شده گران است. کارشناسان امنیتی معمولا ۲۵۰ دلار در ساعت هزینه می کنند. در حالی که شما می توانید این هزینه را با استفاده از  Sucuri به ۱۹۹ دلار در سال تبدیل کنید .

Sucuri تنها ارائه دهنده فایروال DNS Level نیست و یکی دیگر از رقیب محبوب آن Cloudflare است. مقایسه ما درباره  Sucuri vs. Cloudflare (نکات مثبت و منفی) را ببینید.

نحوه انتقال سایت وردپرس خود به SSL / HTTPS

(SSL (Secure Sockets Layer یک پروتکل است که انتقال داده های بین وب سایت شما و مرورگر کاربران را پنهان می کند . این رمزگذاری باعث می شود که کسی برای خرابکاری و سرقت اطلاعات آمده است کارش سخت تر شود .howsslworks

پس از اینکه SSL را فعال کردید، وبسایت شما از HTTPS به جای HTTP استفاده می کند، شما همچنین یک نشانه قفل در کنار آدرس وب سایت خود را در مرورگر خواهید دید. سرتیفیکیت SSL به طور معمول توسط نویسندگان آن صادر می شود و قیمت آنها هر ساله از ۸۰ دلار تا صدها دلار افزایش می یابد. با توجه به هزینه اضافه شده، بیشتر صاحبان سایت ها تصمیم به ادامه استفاده از پروتکل ناامن گرفتند. برای برطرف کردن این مشکل ، یک سازمان به نام Let’s Encrypt شروع به ارائه گواهی های رایگان SSL به صاحبان وب سایت ها کرد . با توجه به این، اکنون استفاده از SSL برای تمام وبسایتهای وردپرس شما راحت تر از همیشه شده است.

امنیت وردپرس برای کاربران DIY

اگر همه چیزهایی را که تا کنون ذکر کرده ایم، انجام داده باشید ، پس شما وضعیت بسیار خوبی دارید اما می توانید امنیت وردپرس خود را سخت تر کنید. برخی از این مراحل ممکن است نیاز به دانش برنامه نویسی داشته باشند .

نام کاربری پیش فرض “admin” را تغییر دهید

در گذشته، نام کاربری پیش فرض مدیر در وردپرس “admin” بود. از آنجا که نام کاربری نیمی از اعتبار ورود را تشکیل می دهد، این امر هکرها را ترغیب به حملات خشونت آمیز می کند. خوشبختانه وردپرس از آن زمان تغییر کرده است و در حال حاضر شما نیاز به انتخاب یک نام کاربری سفارشی در هنگام نصب وردپرس دارید. با این حال، برخی از نصب کننده های وردپرس با یک کلیک، هنوز نام کاربری admin admin را به “admin” تنظیم می کنند.

از آنجا که وردپرس اجازه نمی دهد که نام کاربری به طور پیش فرض را تغییر دهید، سه روش برای تغییر نام کاربری وجود دارد:

  • یک نام کاربری جدید ایجاد کرده و نسخه قبلی را پاک کنیم
  • از پلاگین تغییر نام کاربری استفاده کنید
  •  از طریق phpMyAdmin نام کاربری را به روزرسانی کنید

غیر فعال کردن ویرایش فایل

وردپرس همراه با یک ویرایشگر کد ساخته شده است که به شما اجازه می دهد که تم و فایل های پلاگین خود را از قسمت مدیریت وردپرس خود ویرایش کنید. در این حالت، این ویژگی می تواند یک خطر امنیتی باشد؛ چرا که ما توصیه می کنیم آن را خاموش کنید. fileeditinwp
شما می توانید این کار را با اضافه کردن کد زیر در فایل wp-config.php خود انجام دهید.

به صورت متناوب، می توانید با استفاده از ویژگی Hardening در پلاگین رایگان Sucuri که ما در بالا ذکر کردیم، این کار را با یک کلیک انجام دهید.

غیر فعال کردن اجرای فایل پی اچ پی در دایرکتوری های خاص وردپرس

راه دیگری برای سخت کردن امنیت وردپرس شما بوسیله غیرفعال کردن اجرای فایل پی اچ پی در دایرکتوری هایی است که در آن نیازی به / wp-content / uploads / و امثال آن نیست. شما می توانید این کار را با باز کردن یک ویرایشگر متن مانند Notepad انجام دهید و این کد را وارد کنید:

بعد، شما باید این فایل را به عنوان .htaccess ذخیره کنید و آن را در مسیر wp-content / uploads / folders در وبسایت خود به وسیله یک سرویس گیرنده FTP آپلود کنید.شما، می توانید با استفاده از ویژگی Hardening در پلاگین Sucuri رایگان که ما در بالا ذکر کردیم، این کار را با یک کلیک انجام دهید.

محدود کردن تعداد login

به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا به همان اندازه که می خواهند وارد شوند. این سایت سایت وردپرسی شما را در برابر حملات هکر ها آسیب پذیر می کند ,به اینگونه که رمزهای عبور را با تلاش برای ورود با ترکیب های مختلف امتحان می کنند . این مشکل می تواند به راحتی توسط محدود کردن تلاش ورودی ناموفق که کاربر می تواند انجام دهد برطرف شود. اگر از فایروال وب برنامه استفاده می کنید که قبلا ذکر شد، از این قضیه به طور خودکار مراقبت می شود. با این حال، اگر فایروال را به صورت نصب نداشته باشید، مراحل زیر را ادامه دهید:

اول، شما باید پلاگین Login LockDown را نصب و فعال کنید. برای جزئیات بیشتر، مراحل گام به گام راهنمای نحوه نصب پلاگین وردپرس را ببینید. پس از فعال سازی، از طریق تنظیمات »  Login LockDown برای راه اندازی افزونه اقدام کنید.loginlockdownoptions

اضافه کردن Two Factor Authentication

تکنیک احراز هویت دو عامله ی نیاز به ورود به سیستم ,با استفاده از یک روش احراز هویت دو مرحله ای کار می کند . اولین آن نام کاربری و رمز عبور است و مرحله دوم نیاز به تایید هویت شما با استفاده از یک دستگاه یا برنامه جداگانه است . اکثر وب سایت های آنلاین اینترنتی مانند Google، Facebook، Twitter، به شما اجازه می دهند آن را برای حساب هایتان فعال کنید. شما همچنین می توانید همان قابلیت را به سایت WordPress اضافه کنید. اول، شما نیاز به نصب و فعال کردن پلاگین two factor Authentication  دارید . پس از فعال سازی، شما باید بر روی لینک «two factor Auth» در نوار کناری مدیر WordPress کلیک کنید.

twofactorbarcode

بعد، شما باید یک برنامه تأییدی هویت را بر روی گوشی خود نصب و باز کنید. به عنوان مثال می توان  Google Authenticator، Authy و LastPass Authenticator را نام برد . توصیه میکنیم از LastPass Authenticator یا Authy استفاده کنید زیرا هر دو به شما این امکان را میدهند تا حسابهایتان را به Cloud آپلود کنید. در صورتی که گوشی شما گم شده یا شما یک گوشی جدید خریداری کرده اید این امکان بسیار مفید است که تمام ورودی های حساب کاربری شما به راحتی انجام بازیابی شوند .

ما از Authenticator LastPass برای آموزش استفاده خواهیم کرد. با این حال، دستورالعمل ها برای همه برنامه های آفیس مشابه هستند. برنامه تأیید هویت خود را باز کنید و سپس روی دکمه افزودن کلیک کنید.

addsite

از شما خواسته خواهد شد که آیا می خواهید یک سایت را به صورت دستی اسکن یا به وسیله بار کد این کار را انجام دهید . گزینه بارکد اسکن را انتخاب کنید و سپس دوربین گوشی خود را بر روی QRcode نشان داده شده در صفحه تنظیمات پلاگین بگیرید . حال، برنامه احراز هویت شما اکنون آن را ذخیره می کند و دفعه بعد که به وبسایت خود وارد می شوید، پس از وارد کردن گذرواژه از شما دو کد عامل مجاز درخواست خواهد شد.

enter2stepauth

به سادگی برنامه تأیید هویت را بر روی گوشی خود باز کنید و کدی را که روی آن مشاهده می کنید وارد کنید.

تغییر پیشوند دیتا بیس وردپرس

به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول در پایگاه داده وردپرس استفاده می کند. اگر سایت وردپرس شما از پیشوند پیش فرض وردپرس استفاده می کند، هکرها راحت تر می توانند نام جدول شما را حدس بزنند .به همین دلیل توصیه می کنیم آن را تغییر دهید.

حفاظت از رمز عبور مدیریت وردپرس و صفحه ورود به سیستم

به طور معمول، هکرها می توانند پوشه wp-admin و صفحه ورود شما را بدون محدودیت درخواست کنند. این به آنها اجازه می دهد تا کلاهبرداری های هکری خود را انجام دهند یا حملات DDoS را اجرا کنند. شما می توانید حفاظت از رمز عبور اضافی را به server-side level اضافه کنید که به طور موثر آن درخواست آن ها را مسدود می کند.

غیر فعال کردن فهرست فهرست گذاری و مرورگر

disabledirectorybrowsing

مرورگر دایرکتوری می تواند توسط هکرها مورد استفاده قرار گیرد تا فایلی را که دارای آسیب پذیری های شناخته شده است شناسایی کرده و بتوانند به این فایل ها دسترسی داشته باشند . مرورگر دایرکتوری همچنین می تواند توسط افراد دیگر مورد استفاده قرار گیرد تا فایل های شما را بررسی کنند، تصاویر را کپی کنند، ساختار دایرکتوری شما و سایر اطلاعات را پیدا کنند. به همین دلیل است که به شدت توصیه می شود که نمایه سازی و مرورگر صفحات را غیرفعال کنید. شما باید با استفاده از FTP یا مدیر فایل cPanel به وب سایت خود وصل شوید. بعد، فایل .htaccess را در دایرکتوری Root وب سایت خود قرار دهید.

پس از آن، شما باید خط زیر را در انتهای فایل htaccess اضافه کنید:

Options -Indexes

فراموش نکنید که فایل .htaccess را در سایت خود ذخیره و آپلود کنید.

غیر فعال کردن XML-RPC در وردپرس

XML-RPC به طور پیش فرض در وردپرس ۳٫۵ فعال شده است زیرا به شما کمک می کند که سایت وردپرس خود را با برنامه های وب و تلفن همراه متصل کنید. به دلیل ماهیت قدرتمند آن، XML-RPC می تواند احتمال حملات بیرحمانه را به طور قابل توجهی تقویت کند.به عنوان مثال، به طور سنتی اگر یک هکر می خواست ۵۰۰ کلمه عبور مختلف را در وبسایت شما امتحان کند، باید ۵۰۰ اقدام به ورود مجدد را انجام دهد که توسط افزونه ورود به سیستم قفل می شوند. اما با استفاده از XML-RPC، یک هکر میتواند از عملکرد system.multicall برای تست هزاران کلمه عبور با ۲۰ یا ۵۰ درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیر فعال کنید. ۳ راه برای غیرفعال کردن XML-RPC در وردپرس وجود دارد و ما همه آنها را در گام خود با آموزش گام در مورد چگونگی غیر فعال کردن XML-RPC در وردپرس قرار داده ایم. اگر از فایروال وب برنامه استفاده می کنید که قبلا ذکر شده است، می توانید از طریق فایروال آن را انجام دهید.

به صورت خودکار کاربران غیرفعال در وردپرس را از وبسایت خارج کنید

گاهی اوقات کاربرانی که وارد سیستم شده اند، می توانند از صفحه نمایش دور بمانند و این امر یک خطر امنیتی است. شخص دیگری می تواند اکانت آن ها را برباید و کلمه عبور را تغییر دهد یا تغییراتی را در حساب انجام دهد. به همین دلیل است که بسیاری از بانک های بانکی و سایت های مالی به طور خودکار کاربر غیر فعال را خارج می کنند. شما می توانید عملکرد مشابه در سایت وردپرسی خود را نیز اجرا کنید. شما باید پلاگین Logout را نصب و فعال کنید. پس از فعالسازی به ادرس Settings » Inactive Logout بروید تا تنظیمان پیکربندی را انجام دهید .inactiveuserlogout

به سادگی زمان را تنظیم کرده و پیام Logout را اضافه کنید. فراموش نکنید که روی دکمه Save Change را کلیک کنید تا تنظیمات شما ذخیره شود.

سوالات امنیتی را در وردپرس در صفحه ورود اضافه کنید

wpsecurityquestion

اضافه کردن یک سوال امنیتی به صفحه ورود به وردپرس باعث می شود که دسترسی غیر مجاز سخت تر می شود. شما می توانید سؤالات امنیتی را با نصب افزونه WP Security Questions اضافه کنید. پس از فعال سازی، برای تنظیم پلاگین باید از صفحه Settings » Security Questions بازدید کنید.

اسکن وردپرس برای تروجان و آسیب پذیری ها

malwarescan

اگر شما یک پلاگین امنیتی وردپرس نصب کرده اید، آن پلاگین ها به طور مرتب برای بدافزار و علائم نقض امنیتی بررسی می کنند .با این حال، اگر کاهش ناگهانی ترافیک وب سایت یا رتبه بندی جستجو را مشاهده کنید، ممکن است بخواهید اسکن را به صورت دستی اجرا کنید. شما می توانید پلاگین امنیتی وردپرس خود را استفاده کنید، یا از یکی از این نرم افزارهای مخرب و اسکنرهای امنیتی استفاده کنید.

زمانی که این اسکن های به صورت آنلاین است، شما فقط URL های وب سایت خود را وارد کنید و از طریق وب سایت خود به دنبال بدافزار شناخته شده و کد مخرب بگردید.در حال حاضر به یاد داشته باشید که اکثر اسکنرهای امنیتی وردپرس فقط می توانند وب سایت شما را اسکن کنند. آنها نمی توانند نرم افزارهای مخرب را حذف کنند و یا یک سایت وردپرس هک شده را پاک کنند. این ما را به بخش بعدی , تمیز کردن بدافزار و سایت های وردپرس هک شده می برد.

فیکس کردن یک سایت وردپرس هک شده

بسیاری از کاربران وردپرس اهمیت پشتیبان گیری و امنیت وب سایت را تا زمانی که وبسایت آنها هک شده است، درک نمی کنند. تمیز کردن یک سایت وردپرس می تواند بسیار دشوار و وقت گیر باشد. اولین توصیه ما این است که یک شخص حرفه ای بتواند از آن مراقبت کند. هکرها backdoors را در سایت های آسیب دیده نصب می کنند و اگر این بدافزار به درستی نصب نشده باشند، وب سایت شما احتمالا مجددا هک خواهد شد. اجازه دادن به یک شرکت امنیتی حرفه ای مانند Sucuri برای رفع حک وب سایت شما اطمینان حاصل خواهد کرد که سایت شما برای استفاده مجدد از امنیت کافی برخوردار است. همچنین شما را در برابر حملات آینده محافظت خواهد کرد.

 با وجود همه اینها، ما امیدواریم که این مقاله به شما کمک کند بهترین شیوه های امنیتی وردپرس را بیاموزید و بهترین پلاگین های امنیتی وردپرس را برای وب سایت خود بیابید.


دیدگاه بگذارید

avatar
  اشتراک در  
اطلاع از
  • قالب آموزش آنلاین هنرستان وردپرسقالب آموزش آنلاین هنرستان بهترین قالب آموزشی وردپرس که هم ایرانیه هم حرفه ای و هم ارزان میتونی به راحتی وب سایت آموزش آنلاین خودت رو با وردپرس طراحی کنی کافیه دمو و تصاویر این قالب حرفه ای آموزش آنلاین وردپرس رو تماشا کنی. قالب آموزش آنلاین هنرستان وردپرس قالب فروش دوره هنرستان یک راه […]
  • قالب خبری وردپرس فرست نیوز | First News WordPress Themeقالب خبری وردپرس First News یکی از پوسته های مناسب وب سایت های خبری است که با سلیقه ایرانی طراحی شده است بعلاوه توجه خاصی به متد های روز برای راحتی کاربران از استفاده قالب وب سایت شده است به طوری که با استفاده از پوسته خبری وردپرس فرست نیوز میتوانید به راحتی تمامی اجزای […]

مطالب مرتبط

پر بازدید ترین مطالب وردپرس

ویرایش پیشخوان وردپرس با ساخت افزونه سفارشی داشبورد من

ویرایش پیشخوان وردپرس با ساخت افزونه سفارشی داشبورد من

شاید شما هم از دسته افرادی هستید که پروزه های سفارشی با وردپرس انجام می

مطالعه بیشتر
پیدا کردن کد های مخرب وردپرس و آموزش رفع آن

پیدا کردن کد های مخرب وردپرس و آموزش رفع آن

پیدا کردن کد های مخرب وردپرس و آموزش رفع آن | شناسایی و یافتن کدهای

مطالعه بیشتر
معرفی قالب های برتر سال ۲۰۱۸

معرفی قالب های برتر سال ۲۰۱۸

معرفی قالب های برتر سال ۲۰۱۸ ، پوسته های وردپرسی ، بهترین قالب های رایگان

مطالعه بیشتر
آموزش راه اندازی فروشگاه اینترنتی محصولات دانلودی با EDD در وردپرس

آموزش راه اندازی فروشگاه اینترنتی محصولات دانلودی با EDD در وردپرس

آموزش راه اندازی فروشگاه اینترنتی با edd در وردپرس ، ایزی دیجیتال دانلود ، فزونه

مطالعه بیشتر
آموزش سرچ کنسول | بخش دوم | Search Console

آموزش سرچ کنسول | بخش دوم | Search Console

آموزش سرچ کنسول ، تنظیمات و نکات پیشرفته و حرفه ای در گوگل وبمستر ،

مطالعه بیشتر
قالب وردپرس چند منظوره رایگان و فارسی Hostel با فونت زیبا

قالب وردپرس چند منظوره رایگان و فارسی Hostel با فونت زیبا

امروز قالب وردپرس فارسی و رایگان hostel در اختیار شما کاربران عزیز قرار داده ایم

مطالعه بیشتر
تابع the_title() عنوان پست در حال نمایش در وردپرس | the_title() | Function

تابع the_title() عنوان پست در حال نمایش در وردپرس | the_title() | Function

برای نمایش عنوان پست در حال نمایش می بایست از تابع the_title() استفاده کرد ،

مطالعه بیشتر
صفحه فرود یا Landing Page چیست؟

صفحه فرود یا Landing Page چیست؟

صفحه فرود یا Landing Page چیست؟ ، اهداف لندینگ پیج ، نکات مهم در بهینه

مطالعه بیشتر

ایمیلت رو وارد کن ، قالب و افزونه جایزه بگیر

Scroll Up
کانال آپارات ما اینستاگرام مبنای وردپرس