۱۰ نکات امنیتی وردپرس برای حفاظت از سایت شما از تهدیدات سایبری

با کد تمیز، رابط کاربر پسند و پشتیبانی از پلاگین های قابل تعویض، وردپرس، سیستم مدیریت محتوای ترجیحی (CMS) توسط میلیون ها وب مسترها با تجربه است. با استفاده از این پلتفرم، شما می توانید به سرعت یک وبسایت کاملا کاربردی را بدون مشکل با کد پیچیده HTML و CSS ایجاد کنید.
با این حال، مانند دیگر پلت فرم های CMS، وردپرس از حملات اینترنتی مصون نیست. اگر یک هکر دسترسی مدیا به سایت شما را به دست آورد، ممکن است دادههای شما را سرقت کند، کاربران را به وبسایت دیگری هدایت کند یا به بازدیدکنندگان خدمات بدافزاری بدهد. برای محافظت از سایت وردپرس خود از تهدیدات اینترنتی مثل این، ۱۰ راهنمایی سایبری که در اینجا آورده شده است را دنبال کنید.
۱) Plugins Wisely را انتخاب کنید
پلاگین ها به شما امکان اضافه کردن قابلیت به سایت وردپرس خود را به آسانی، اما شما باید آنها را عاقلانه انتخاب کنید. پلاگین های آسیب پذیر ارائه می دهد که از طریق آن هکر می تواند سایت شما را نفوذ کند. هنگامی که یک افزونه دارای یک آسیب پذیری امنیتی است، یک هکر می تواند از این آسیب پذیری برای دستیابی به دسترسی مدیر یا سایر امتیازات غیر مجاز بهره برداری کند. براساس یک مطالعه انجام شده توسط Sucuri، این رایجترین تهدید اینترنتی است که سایتهای وردپرس حساس هستند.
شما می توانید سایت خود را از این نوع تهدید محافظت کنید، محدود کردن استفاده از پلاگین ها و انتخاب پلاگین های معتبر و قابل اعتماد. و هنگامی که یک توسعه دهنده یک نسخه جدید را منتشر می کند، افزونه را به محض بروز رسانی به حداکثر رسانده تا احتمال خطر کاهش یابد. پلاگین های منسوخ احتمالا شامل آسیب پذیری های امنیتی از پلاگین های فعلی و به روز هستند.
۲) نام کاربری خود را تغییر دهید
هکر تنها نیاز به دو چیز برای ورود به سایت وردپرس خود و تغییر کد HTML برای اهداف نابکارانه خود: نام کاربری و رمز عبور مربوطه. به طور پیش فرض، وردپرس حساب کاربری مدیر را با نام کاربری "admin" ایجاد می کند، که به طور معمول در بالای یا پایین پست های جدید نمایش داده می شود بسته به تنظیمات موضوع. بنابراین، هکر تنها نیاز به رمز عبور برای نفوذ به سایت.
برای محافظت از سایت وردپرس خود از این آسیب پذیری، نام کاربری خود را به شخص دیگری غیر از «admin» تغییر دهید و تنظیمات سایت خود را تغییر دهید تا از نمایش این نام جلوگیری شود. این شامل ورود به سایت شما و انتخاب کاربران> اضافه کردن جدید است، پس از آن شما می توانید یک نام کاربری جدید را با نقش مدیر ایجاد کنید. پس از ایجاد، کاربر جدید را در زیر User> All Users قرار دهید و نام دیگری را برای فیلد «Nickname» ایجاد کنید. در نهایت، بر روی جعبه کشویی برای "Display name publicly as" کلیک کنید و نام مستعار جدید را انتخاب کنید. وردپرس اکنون نام مستعار خود را در پست ها و صفحات به جای نام کاربری مدیریت خود نمایش می دهد.
۳) به روز رسانی وردپرس
از آنجا که اغلب دارای آسیب پذیری های امنیتی ناخواسته هستند، اجرای یک نسخه قدیمی وردپرس در سایت شما، خطر حمله سایبری را افزایش می دهد. هنگامی که یک آسیب پذیری امنیتی را کشف می کنند، توسعه دهندگان وردپرس با انتشار یک نسخه جدید با تغییرات لازم امنیتی، آن را حل می کنند. این همه وب سایت ها را با استفاده از آخرین نسخه در برابر آسیب پذیری محافظت می کند. با این حال، سایت هایی که به استفاده از نسخه های قدیمی تر ادامه می دهند، حساس به آسیب پذیری باقی خواهند ماند.
به طور پیش فرض، وردپرس به طور خودکار فایل های اصلی خود را برای نسخه های جزئی اما مهم منتشر نمی کند. برای بهترین محافظت، شما باید با کلیک کردن بر روی دکمه "لطفا بهروزرسانی" در بالای داشبورد سایت خود به صورت دستی نصب وردپرس خود را به صورت دستی به روز کنید. سایت خود را حداقل یک بار در هفته بررسی کنید تا ببینید آیا یک نسخه جدید از وردپرس در دسترس است، نگه داشتن آن را به آخرین نسخه به روز رسانی کنید.
۴) از یک رمز عبور قوی استفاده کنید
یک رمز عبور قوی و منحصر به فرد اولین خط دفاع شما در برابر تهدیدات اینترنتی است. بر اساس یک مطالعه انجام شده توسط WP WhiteSecurity، ۸ درصد از تمام ورودی های وردپرس مربوط به یک رمز عبور ضعیف است. اگر سایت شما یک رمز عبور ضعیف داشته باشد، یک هکر می تواند از نرم افزار استفاده کند تا به صورت اتوماتیک وارد سایت شما با هزاران عبارات اسپم شود تا بتواند آن را درست پیدا کند، که به عنوان حمله ی خشونت آمیز شناخته می شود.
وردپرس در حال حاضر یک ژنراتور رمز عبور دارد که رمزهای عبور آهن را شامل می شود که متشکل از دوازده کاراکتر تصادفی است. به جای استفاده از یک کلمه یا عبارت به آسانی به عنوان رمز عبور خود، از رمزعبور ایجاد شده استفاده کنید. به طور خلاصه، شما می توانید یک عبارت عبور از چهار عبارت تصادفی، با یا بدون فضای ایجاد کنید.
۵) تأیید اعتبار دو عامل را فعال کنید
اگر چه مدت طولانی طول می کشد، یک هکر متعهد می تواند با استفاده از یک حمله خشونت آمیز، ورود خود به سایت را از بین ببرد. احراز هویت دو عامل سایت شما را از این حملات محافظت می کند با افزودن گام دیگری به روند ورود به سیستم. به عنوان مثال، علاوه بر نام کاربری و ورود به سیستم، ممکن است لازم باشد که یک PIN ارسال شده به ایمیل یا دستگاه تلفن همراه خود را وارد کنید. مگر اینکه یک هکر به حساب ایمیل یا گوشی هوشمند شما دسترسی داشته باشد، به غیر از اینکه هکر رمز عبور شما را می داند، نمی تواند به سایت شما دسترسی پیدا کند. برای پیاده سازی این ویژگی، یک پلاگین احراز هویت دو عامل در سایت خود نصب کنید.
۶) تغییر از HTTP به HTTPS
تغییر سایت خود از HTTP به HTTPS یک اتصال قوی تر امن تر ایجاد می کند که کمتر به تهدیدات اینترنتی آسیب می رساند. با استفاده از پروتکل HTTP استاندارد، هکر می تواند تمام داده های ارسال شده بین سایت شما و بازدید کنندگان خود را با استفاده از یک حمله در میان (MITM) ببینید. HTTPS از رمزگذاری ترافیک سایت شما جلوگیری می کند. تمام داده های ارسال شده بین سایت شما و بازدیدکنندگان آن رمزگذاری شده اند، و حصول اطمینان از این که هیچ کس دیگر نمی تواند آن را ببیند.
برای ارتقاء سایت وردپرس خود با HTTPS، باید یک گواهینامه SSL از یک گواهینامه CA (CA) خریداری کنید، آن را بر روی سرور خود نصب کنید و آدرس سایت خود را پیکربندی کنید تا منعکس کننده پیشوند دامنه جدید باشد. برای کسب اطلاعات بیشتر در مورد چگونگی راه اندازی HTTPS، با میزبان وب خود تماس بگیرید.
۷) محدود کردن تعداد تلاش های ورود
وردپرس تعداد دفعاتی را که شما می توانید وارد شوید را محدود نمی کند. اگر شما نمی توانید رمز عبور خود را به خاطر بسپارید، می توانید بدون اجازه وردپرس خود را قفل کنید. اما این بدان معنی است که هکرها می توانند تعداد نامحدودی از تلاش های ورود را ایجاد کنند و خطر امنیتی را برای سایت شما ایجاد کنند.
شما می توانید تعداد تلاش های ورود به سایت خود را با نصب پلاگین مانند تلاش های ورود به سیستم WP محدود است. اگر کسی تلاش می کند تا با استفاده از نام کاربری و رمز عبور اشتباه پنج یا چند بار متوالی در وب سایت خود وارد سیستم شوید، پلاگین ۱۰ دقیقه آن را قفل می کند.
۸) تغییر آدرس ورودی
در نظر گرفتن تغییر آدرس سایت سایت خود را به طوری که سخت تر برای افراد نابکار برای پیدا کردن. وردپرس معمولا از وب سایت شما (dot) com / wp-admin برای آدرس ورودی استفاده می کند. اگر یک هکر می داند یا مشکوک سایت شما در حال اجرا وردپرس است، می تواند از این آدرس استاندارد بازدید کند و به عنوان مدیر ثبت نام می کند.
برای تغییر URL ورود به سایت خود، باید یک افزونه مانند WPS Hide Login را نصب کنید. پس از نصب، هر کسی که از آدرس ورودی استاندارد بازدید می کند، پیام "اوه! این صفحه را نمیتوان یافت. "
9) پلاگین Cybersecurity را نصب کنید
البته، نصب پلاگین امنیتی سایبری نیز می تواند سایت شما را از تهدیدات اینترنتی محافظت کند. جستجو در مخزن پلاگین وردپرس برای "امنیت سایبری"، دهها افزونه امنیتی سایبری را نشان می دهد. با بیش از ۲ میلیون دانلود Wordfence یک انتخاب محبوب است. این یک فایروال است که ترافیک را برای علائم فعالیت مشکوک تجزیه و تحلیل می کند و به طور خودکار درخواست برای محتوای مخرب را مسدود می کند.
۱۰) پشتیبان گیری
عدم ایجاد پشتیبان گیری منظم (نگاه کنید به «آیا میزبان وب شما واقعا پشتیبان گیری می کند؟»article) اگر سایت شما هک شده باشد می تواند یک سردرد شدید ایجاد کند. شما می توانید پست ها و صفحات خود را حذف کنید و کد تم شما اصلاح شود. بسته به اندازه سایت شما و میزان آسیب، ممکن است صدها ساعت کار برای بازگرداندن سایت شما به حالت اصلی، قبل از هک شدن، طول بکشد.
هرچند پلاگین هایی هستند که به طور خودکار پشتیبان گیری را ایجاد می کنند، آنها همیشه به عنوان در نظر گرفته نمی شوند. شما می توانید پشتیبان گیری دستی را فقط در چند مرحله آسان ایجاد کنید. این شامل دانلود فایل های سایت شما از سرور آن با استفاده از یک پروتکل انتقال پرونده (FTP) و دانلود پایگاه داده سایت از پانل کنترل میزبانی وب (به عنوان مثال، world، cPanel) است.
اجازه ندهید که هکرها وب سایت را خراب کنند که شما برای ساخت چنین کاری سخت کار کردید. این ۱۰ نکته را برای ایجاد امنیت سایت خود تقویت کنید.
دربارهی ما
PlanetHoster مفتخر است میزبانی وب در کانادا و میزبانی وب در فرانسه. ما حدود ۱۰۰ هزار وب سایت وردپرس را میزبانی می کنیم. در صورت تمایل به با تیم ما تماس بگیرید اگر هر سوالی دارید.
سایر مقالات مربوط به وردپرس:
- https://blog.planethoster.com/en/5-free-must-have-wordpress-plugins-for-e-commerce/
- https://blog.planethoster.com/en/wordcamp-paris-2015-follow-up-a-success/
- https://blog.planethoster.com/en/performance-test-of-cmsscripts-on-shared-hosting/
- https://blog.planethoster.com/en/wordcamp-paris-here-we-are/