اگرجه سایت های وردپرس معمولا از امنیت بالایی برخوردار هستند اما توجه به امنیت سایت نیز از جمله مواردی است که نباید از آن غافل شد. بنابراین به آموزش نحوه ی بهبود و افزایش امنیت سایت WordPress میخواهیم بپردازیم.از آنجایی که وردپرس محبوب و پرکاربردترین سیستم مدیریت محتوا (CMS) و وبلاگ نویسی محسوب می شود، تعجبی ندارد که به طور مکرر مورد حملات سایبری هکرها قرار می گیرد. داشتن سایت ورد پرس شما را مجاب می کند برای حفظ امنیت اطلاعات خود و کاربران سایت، تلاشی دو چندان داشته باشید. در این مبحث توضیح مختصری در خصوص نحوه ی ایمن سازی سایت در اختیار شما قرار می دهیم. لازم به ذکر است اقدامات امنیتی، اگرچه امنیت سایت را به مراتب افزایش می دهد، اما آن را ۱۰۰ درصد در مقابل حملات هکرها ایمن نمی سازد.
نکات امنیتی برای سایت WordPress:
۱٫ بروز نگه داشتن سایت و افزونه های WordPress
۲٫ محافظت از ناحیه ی کاربری مدیریتی سایت وردپرس (Admin Area)
۳٫ خودداری از بکار بردن نام کاربری “admin”
۴٫ استفاده از گذرواژه ی های قوی (strong password)
۵٫ اعتبارسنجی دو بخشه (two-factor authentication)
۶٫ اطمینان از مستقر بودن سایت در میزبان امن (host)
۷٫ اطمینان از محفوظ بودن رایانه از ویروس و بدافزار
بروز نگه داشتن سایت و افزونه های WordPress
اطمینان از بروز بودن فایل های اصلی (core) WordPress و نیز تمامی افزونه های آن از اهمیت ویژه ای برخوردار است. بیشتر ویرایش های نوین WordPress و افزونه های آن دارای patch های امنیتی هستند. اگرچه سو استفاده از حفره ها و کاستی های امنیتی امر آسانی نیست، با این حال توصیه می شود آن ها را کاملا شناسایی کرده و برطرف نمایید.
محافظت از ناحیه ی کاربری مدیریت سایت (Admin Area)
محدود کردن امکان دسترسی به ناحیه ی admin سایت به کاربرانی که واقعا به آن نیاز دارند در حفظ امنیت سایت نقش مهمی را ایفا می کند. اگر سایت شما از قابلیت ثبت (registration) و ایجاد محتوا در سمت کاربر (front-end) پشتیبانی نمی کند، در آن صورت بازدیدکنندگان سایت به صورت پیش فرض اجازه ی دسترسی به پوشه ی /wp-admin/ یا فایل wp-login.php را نخواهند داشت. بهترین کاری که می توانید انجام دهید این است که آدرس IP را (به وسیله ی سایت هایی همچون whatismyip.com) بدست آورده، کدهای زیر در فایل .htaccess (پوشه ی Admin) وارد نمایید. سپس آدرس IP را جایگزین xx.xxx.xxx.xxx در فایل ذکر شده نمایید.
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
اگر می خواهید به چندین کامپیوتر (مانند رایانه ی محل کار، رایانه ی شخصی، لپ تاپ) اجازه ی دسترسی دهید، کافی است یک دستور Allow from xx.xxx.xxx.xxx دیگر در خط بعدی داخل فایل یاد شده درج نمایید.
در صورتی که لازم داشته باشید به ناحیه ی Admin از هر IP دسترسی داشته باشید، محدود کردن ناحیه ی کاربری Admin به یک یا تعداد انشگت شماری آدرس IP مشکل ساز خواهد بود. در چنین مواردی توصیه ی ما بر این است که تعداد تلاش های ناموفق و نادرست برای ورود به سایت را محدود نمایید. با این کار سایت را در برابر هکرهایی که با زور می خواهند وارد سایت شوند یا سعی دارند گذرواژه ی شما را حدس بزنند، محافظت خواهید کرد. جهت محدود سازی تعداد تلاش های ناموفق برای ورود به سایت، پیشنهاد می کنیم پلاگین کارآمدی به نام Limit login attempts را نصب خواهیم کرد.
از بکار بردن واژه ی “admin” به عنوان نام کاربری خودداری نمایید
بیشتر هکرها فرض می گیرند نام کاربری لازم برای ورود به ناحیه ی مدیریت سایت، واژه ی “admin” می باشد. می توانید به راحتی غالب حملات سایبری که با زور می خواهند وارد سایت شوند را با انتخاب نام کاربری مناسب دفع کنید. در صورت راه اندازی یک سایت جدید، در همان زمان نصب WordPress از شما درخواست می شود یک نام کاربری برای لاگین به ناحیه ی Admin ارائه نمایید. اگر قبلا یک سایت با WordPress ایجاد کرده و در دست دارید، می توانید دستورالعمل هایی که در مباحث قبلی این سری آموزش برای تغییر اسم کاربری تشریح کردیم را دنبال کنید.
استفاده از گذرواژه های قوی
شاید برای شما تعجب برانگیز باشد که هنوز هزاران کاربر هستند که گذرواژه ی ورود به ناحیه ی admin سایت خود را “password” یا “۱۲۳۴۵۶” انتخاب می کنند. بدیهی است که حدس زدن پسوردهایی از این دست کار دشواری نبوده و در واقع جزء اولین راه هایی است که هکر برای دسترسی به ناحیه ی admin مورد استفاده قرار می دهد. یک پسورد خوب می تواند جمله ی کامل باشد که برای شما معنی دار بوده و می توانید آسان به خاطر بیاورید. این دست از گذرواژه ها بسیار کارآمدتر از عبارت های بی معنی و مجزا هستند که به عنوان پسورد مورد استفاده قرار می گیرند.
فعال سازی اعتبارسنجی دو بخشه (two-factor authentication)
اعتبار سنجی دو بخشه (Two-factor authentication یا ۲FA و یا ۲-Step Verification ) یک فناوری در زمینه ی بهبود امنیت است که در سال ۱۹۸۴ به ثبت رسیده و وظیفه ی آن شناسایی و احراز هویت کاربران از طریق دو مولفه مختلف می باشد. این دو مولفه می تواند آیتمی باشد که فقط کاربر مورد نظر می داند، دارد یا از وی جدایی ناپذیر می باشد.
فعال سازی اعتبارسنجی دو بخشه در وب سایتی که با WordPress ایجاد شده، امنیت را به طور قابل توجهی بهبود می بخشد. یکی از آسان ترین راه های پیاده سازی این امکان استفاده از افزونه ی Clef و اعتبارسنجی از طریق تلفن همراه باشد.
سایت خود را بر روی میزبان (host) امن مستقر نمایید
میزان امنیت سایت شما رابطه ی نزدیکی با میزان امنیت حساب میزبانی وب (hosting account) دارد. اگر کاربری بتواند از کاستی موجود در نسخه ی قدیمی PHP یا یک سرویس در محیط میزبانی وب (hosting web) سو استفاده کند، دیگر داشتن آخرین نسخه ی منتشر شده ی WordPress کمکی به شما نمی کند. به همین خاطر توصیه می شود، میزبانی سایت خود را به شرکتی محول کنید که امنیت را در اولویت اول قرار می دهد. برخی از امکانات که میزبان باید از آن ها پشتیبانی کند، عبارت اند از:
۱٫ پشتیبانی از آخرین ویرایش PHP و MySQL
۲٫ جداسازی حساب های کاربری (account isolation)
۳٫ firewall برنامه ی تحت وب
۴٫ سامانه ی تشخیص نفوذ/ Intrusion detecting system (وظیفه شناسایی و تشخیص هر گونه استفاده غیرمجاز به سیستم، سو استفاده و یا آسیب رسانی توسط هر دو دسته کاربران داخلی و خارجی را بر عهده دارند.)
کامپیوتر بایستی از هر گونه ویروس و بدافزار عاری باشد
اگر رایانه ی شما ویروسی شده یا بدافزار در آن نفوذ کرده است، در آن صورت هکر می تواند به آسانی به اطلاعات مورد نیاز برای ورود به سایت (username و password) دسترسی پیدا کرده (از روش متعارف لاگین به سایت استفاده کند) و تمامی مکانیزم های امنیتی که شما درنظر گرفته اید را دور بزند. به همین خاطر اکیدا توصیه می شود که آنتی ویروس نصب شده بر روی رایانه ی خود را به طور منظم آپدیت کنید. با این کار امنیت تمامی رایانه هایی که به سایت wordpress شما دسترسی دارند به طور قابل توجه ای افزایش می یابد.