در این بخش درباره امنیت در وردپرس و راهکارهای اصولی برای بالا بردن امنیت وردپرس و نرم افزارهای کاربردی امنیت سایت های مدیریت محتوا مخصوصا وردپرس که دارای طرفداران زیادی در بین طراحان وب سایت در سراسر جهان هست مطالبی جمع آوری و ارائه می گردد که امیدواریم مورد توجه قرار گیرد.
هرچند در بروزرسانی های اخیر وردپرس بالاخص وردپرس نسخه ۴ به بعد مقوله امنیت وردپرس بیشتر در نظر گرفته شده ولی در اینجا می خواهیم مواردی از امنیت را ارائه دهیم که در هیچ کدام از نسخه های وردپرس مورد توجه قرار نگرفته اند.
در سایت وردپرس جهانی امنیت وردپرس به صورت یک لیست برای کاربران ارائه شده ولی برای درک بهتر و کاربردی تر بنده قصد دارم مواردی را به صورت عملی برای شما ارائه دهم که در زیر به صورت مرحله به مرحله بیان شده.
۱- از نام کاربری admin حدالمقدور استفاده نکنید. هرچند هکرها می توانند نام کاربری شما را پیدا کنند ولی آسان کردن این راه برای آنها جایز نیست. بنابر این سعی کنید از نام های دیگری برای نام کاربری ورود به پنل مدیریت وردپرس استفاده کنید. این کار هیچ هزینه ای برای شما ندارد پس اولین سد را جلوی هکرها قرار دهید. همیشه به خاطر داشته باشید که امنیت از بین بردن خطرات نیست بلکه کاهش آنهاست. پس تا آنجا که می توانید خطر را کم کنید.
برای تغییر نام ادمین (منظور نام ادمین است نه نقش آن) وارد لینک افزودن>کاربران شده و یک کاربر با دسترسی Administrator ساخته و پس از آن کاربر با نام admin را حذف کنید.
۲- رعایت اصل دسترسی کمتر برای کارمندان یا کاربران. سایت وردپرس جهانی در باره مقوله دسترسی کاربران و اینکه دسترسی به کاربران باید با توجه به نیاز واقعی آنها باشد بحث شده. بهتر است این مقاله را مطالعه کنید و از دسترسی های بی مورد با نقش مدیر به کاربران سازمان خود خودداری کنید و احتمال خطر را کاهش دهید. و امنیت وردپرس را افزایش دهید.
۳- از پسوردهای پیچیده و غیرمعمولی استفاده کنید. همیشه این سه حرف را به خاطر داشته باشید CLU پیچیده، بلند و منحصربفرد Complex Long Unique از اینکه پسوردهای پیچیده را فراموش می کنید هیچ نگرانی به خود راه ندهید. برای همین منظور نرم افزارهایی مانند ۱password و Lastpass طراحی شده اند. با این نرم افزارها می توانید پسوردهای پیچیده خود را بیاد بیاورید. و امنیت وردپرس را افزایش دهید.
۴- فایل های .htaccess و wp-config را مخفی کنید.
یکی از موارد بسیار مهم امنیتی سایت های مدیریت محتوا مانند وردپرس و جوملا از دسترس خارج کرده این دو فایل است. این کار را با دو کد زیر می توانید انجام دهید و بسیار ساده است و نیاز به تخصص خاصی ندارد کافی است که کدهای زیر را کپی کرده و در فایل .htaccess سایت خود قرار دهید. و امنیت وردپرس سایت را افزایش دهید.
<Files wp-config.php>
order allow,deny
deny from all
</Files>
برای امنیت فایل wp-config.php از کد زیر در فایل .htaccess استفاده کنید.
<Files .htaccess>
order allow,deny
deny from all
</Files>
با این کار امنیت وردپرس سایت شما چند برابر افزایش خواهد یافت چرا که دیگر دسترسی به دو فایل مهم سایت شما توسط هکرها از بین خواهد رفت.
۵- پسوند جداول دیتابیس سایت وردپرسی خود را تغییر دهید.
به صورت پیش فرض این پسوند به صورت wp_ است همانند شکل هنگام نصب وردپرس می توانید از پسوندهای دیگری استفاده کنید تا احتمال خطر و تشخیص توسط هکرها کاهش پیدا کند.
۶- امکان ادیت کردن فایل ها را از بین ببرید. اولین کاری که نفوذگران در سایت انجام میدهند تغییر فایل ها است. بنابر این می توانید با استفاده از دستور زیر امکان تغییر و ادیت فایل ها را از بین ببرید. این بار کد زیر را در فایل wp-config.php اضافه کنید. و امنیت وردپرس را افزایش دهید.
define(‘DISALLOW_FILE_EDIT’, true);
