۱۰ راهکار افزایش امنیت سایت های وردپرسی
وردپرس یکی از محبوب ترین و پرکاربرد ترین ابزار های طراحی سایت می باشد وردپرس به دلیل ساده بودن و امکانات فراوان از محبوبیت خاصی بین طراحان سایت برخوردار است به دلیل محبوبیت این ابزار همواره در معرض نفوذ هکر ها قرار دارد ما در این مقاله به شما 10 راهکاری که به افزایش امنیت سایت شما کمک میکند را معرفی می کنیم.
نکته مهم : قبل از انجام هر تغییر از اطلاعات سایت بکاپ بگیرید
1.بروزرسانی
یکی از کارهای که به امنیت سایت شما کمک میکند بروزرسانی مداوم وردپرس می باشد بروزرسانی هسته وردپرس،قالب، و افزونه های یکی از راههای جلوگیری از نفوذ هکر ها به سایت شما می باشد توسعه دهندگان همواره با بروزرسانی محصولات خود سعی بر افزایش امنیت محصولات خود دارند
2.افزایش امنیت فایل wp-config.php
فایل wp-config.php یکی از مهم ترین فایل های سایت می باشد که اطلاعات مهم و حیاتی سایت مانند اطلاعات دیتابیس و غیره در این فایل قرار دارد در ادامه با چند راهکار برای افزایش امنیت این فایل با ما همراه باشید
1.انتقال فایل wp-config به مکان دیگر
این فایل به طور پیش فرض در پوشه ریشه سایت شما قرار دارد. در واقع در هر زیر شاخه ای که شما سایت تان را ایجاد یا قالب را نصب می کنید این پوشه همانجا قرار دارد. برای لوکال می توانید با یک کپی پیست ساده این کار را انجام دهید. ولی در هاست واقعی روی فایل wp-config.php کلیک کرده و گزینه move را بزنید و سپس به آن مسیر بدهید. فایل wp-config.php در محل نصب وردپرس قرار دارد. برای مثال اگر در روت نصب کنید در public-html قرار دارد.
2.افزایش امنیت فایل wp-config.php از طریق فایل htaccess
در cpanel وارد روت اصلی (public-html یا محل نصب وردپرس) شوید و ویرایش فایل htaccess را بزنید کد زیر را به انتهای فایل htaccess اضافه کنید. این کدها مانع از هک داخلی و تغییر کدها می شوند و فایل wp-config.php را ایمن می کنند. بعد از آن تغییرات فایل را ذخیره کنید. دقت کنید که کد در جای مناسبی قرار داده شود.
<files wp-config.php>
order allow, deny
deny from all
<files/>
3.افزایش امنیت فایل htaccess
یکی دیگر از فایل های مهم سامانه مدیریت محتوا وردپرس که هک شدن سایت با استفاده از آن هم امکان پذیر است، فایل htaccess است! در واقع این فایل شامل دستوراتی است که با وارد کردن آن، روی سایت اعمال می شود. دستوراتی که در این فایل وجود دارد، در محافظت از فایل ها و پوشه های وردپرس نقش بسیار مهمی خواهد داشت. برای محافظت از این فایل هم راه های مختلفی وجود دارد
۱- جلوگیری از دسترسی به فایل های مهم
فایل wp-config.php برای اعمال کانفیگ بر روی وردپرس می باشد و مهم ترین اطلاعات سایت مانند اطلاعات دیتابیس سایت در آن قرار دارد و اگر شخصی به آن دسترسی پیدا بکند می تواند سایت شما را براحتی هک کند.
شما می توانید تنظیمات فایل htaccess را به گونه ای انجام دهید که این فایل و فایل های مهم دیگر مانند php.ini و نیز خود htaccess. از دسترس خارج شود.
برای این کار گافی است کد زیر را در فایل htaccess. وارد کنید. با اعمال این کد اجازه دسترسی به فایل های مهم را می بندید.
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$"> Order deny,allow Deny from all </FilesMatch>
در صورت لزوم نام فایل php.ini را درست کنید (ممکن است php5.ini یا php7.ini باشد). اطمینان حاصل کنید که کدها را خارج BEGIN WordPress# و END WordPress# قرار می دهید. هر کدی داخل این فضا توسط وردپرس ویرایش می شود و ممکن است تغییرات شما اعمال نشود.
اگر می خواهید فقط مدیریت سایت به فایل wp-config.php دسترسی داشته باشد. کافی است کد زیر را وارد کنید.
# Protects wp-config <Files wp-config.php> Order Allow,Deny Allow from xx.xx.xx.xxx Deny from all </Files>
در کد بالا، خط Allow from xx.xx.xx.xxx به جای xx.xx.xx.xxx آدرس IP خودتان را وارد کرده و محتویات فایل htaccess. در وردپرس را بروز کنید.
۲- تنظیمات فایل htaccess برای جلوگیری از دسترسی به فایل های PHP
شما می توانید با اعمال کد زیر، اجازه دسترسی به فایل های PHP و تزریق بدافزارها در آنها را به دیگران ندهید.
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/ RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L] RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
۳- جلوگیری از اجرا شدن فایل های PHP
یکی از مکانهایی که هکرها برای آپلود بدافزارها از آن استفاده می کنند، فایل wp-content/uploads است. اگر هکر موفق به هک کردن سایت شما شود می توانید دسترسی او به فایل wp-content/uploads را ببندید و مانع از از اجرای کدهای بد در سایت خود شوید.
برای این کار کافی است قطعه کد زیر را به فایل htaccess. اضافه کنید:
<Directory "/var/www/wp-content/uploads/"> <Files "*.php"> Order Deny,Allow Deny from All </Files> </Directory>
۴- تنظیمات فایل htaccess برای غیرفعال کردن تزریق کدهای مخرب
از قطعه کد زیر برای جلوگیری از تزریق کدهای مخرب توسط هکرها در داخل فایل های PHP موجود خود استفاده کنید.
Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]
4.افزایش امنیت پوشه wp-admin
یکی از قسمت های مهم وردپرس قسمت مدیریت یا پیشخوان سایت می باشد کد های این قسمت در پوشه wp-admin قراردارد اگر هکرها به این قسمت دسترسی پیدا کنند می توانند تمام بخش های سایت را در دسترس خود قرار دهند پوشه wp-admin یکی از پوسته های اصلی و حیاتی سایت شما می باشد برای محافظت از این پوسته راهکارهای مختلفی وجود دارد
رمز گذاری روی wp-admin در دایرکت ادمین
ابتدا وارد فایل منیجر شوید.
سپس روی Protect کلیک کنید:
Encrypt-the-folder-wp-admin-directadmin-1
در قسمت ۱: یک پیغام نمایشی دلخواه وارد کنید.
در قسمت۲: یوزر نیم مورد نظر خود را وارد کنید.
در قسمت ۳: رمز عبور را وارد کنید.
در قسمت ۴: تکرار رمز عبور
در پایان تیک Protect را فعال کرده و روی گزینه Save کلیک کنید.
5.تغییر آدرس مسیر ورود به سایت
یکی از راه های ارتقاء سطح امنیت سایت تغییر آدرس مسیر ورود به پیشخوان سایت می باشد راه های زیادی برای تغییر مسیر ورود به پیشخوان سایت وجود دارد یکی از آسان ترین راه استفاده از افزونه جهت تغییر مسیر می باشد.
افزونه های زیر برای تغییر آدرس پیشخوان طراحی و تنظیم شده است
افزونه WPS Hide Login
بعد از نصب افزونه، در پیشخوان وردپرس به مسیر تنظیمات > عمومی بروید. در انتهای صفحه در قسمت Login URL آدرس مورد نظر خود را وارد کنید.
6.افزایش امنیت صفحه ورود به وردپرس
یکی از راه های بسیار مهم برای هک وردپرس، استفاده از صفحه ورود است! گاهی اوقات هکران با استفاده از حملات DDOS می خواهند به سایت شما دسترسی داشته باشند که اگر صفحه ورود امنیت خوبی نداشته باشد، این کار به سادگی امکان پذیر است.
یکی از راه های افزایش امنیت صفحه ورود استفاده از کپچا برای این صفحه است.
7.مخفی کردن نام کاربری وردپرس
یکی از قابلیت های وردپرس، این است که مطالب هر نویسنده در صفحه مربوط به آرشیو آن نویسنده دیده می شود. در نگاه اول شاید این مسئله خوب باشد اما اگر تخصصی تر آن را بررسی کنیم، خطرناک است. در واقع صفحه آرشیو نویسنده همان نام کاربری نویسنده است که هکران با کمک آن می توانند برای ورود به سایت تلاش کنند.
به همین دلیل پیشنهاد می کنیم نوع نمایش صفحه نویسنده را تغییر دهید تا نام کاربری شما به راحتی قابل تشخیص نباشد. برای این کار می توانید از کد زیر استفاده کنید:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* – [F]
# END block author scans
این کا را می توانید در فایل htaccess. که در هاست وجود دارد، قرار دهید.
8.غیرفعال کردن ویرایشگر قالب و افزونه
قالب و افزونه های سامانه مدیریت محتوا وردپرس از کدهای مختلف تشکیل شده اند که هر گونه تغییر کد، می تواند اتفاقات زیادی در سایت شما بیندازند. گاهی اوقات هکران با دسترسی به این بخش، تغییرات مخربی در سایت انجام می دهند که برای هیچ کسب و کار آنلاینی خوشایند نیست. به همین دلیل پیشنهاد می کنیم ویرایشگر قالب و افزونه را که معمولاً کمتر به آن نیاز دارید، غیر فعال کنید. این کار هم به سادگی انجام می شود و کافی است قطعه کد زیر استفاده کنید:
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
این کد را در مسیر Public_html/wp-confing.php قرار دهید. کافی است کد را در آن کپی کرده و سپس ذخیره کنید
9.غیرفعال کردن اجرای فایل های PHP در سایت وردپرسی
تمام هاست های میزبانی قابلیت اجرای کدهای php را دارند و برنامه نویس ها به کمک کد می توانند هر کاری انجام دهند. گاهی اوقات شما افراد تازه ای به سایت خود اضافه می کنید که قابلیت آپلود را دارند.
در این صورت یک فایل php در رسانه سامانه مدیریت محتوا وردپرس آپلود می کنند و با اجرای آن، درخواست های مخربی روی سایت انجام می دهند. به همین دلیل بهتر است در برخی پوشه ها که اصلاً نیازی به اجرای فایل های php نیست، این قابلیت را غیرفعال کنید. برای این کار از کد زیر استفاده کنید:
<Files *.php>
deny from all
</Files>
کافی است این کد را در htaccess قرار دهید و آن را ذخیره کنید.
10.تهیه قالب و افزونه از مارکتهای معتبر
یکی از مهم ترین دلایل هک شدن سایت های وردپرسی، استفاده از قالب و پلاگین های نامعتبر است! گاهی اوقات کاربران پلاگین های پولی را به صورت رایگان و نال شده استفاده می کنند که در اکثر مواقع مشکل امنیتی دارند. در واقع سایت هایی که پلاگین را نال می کنند، باگ امنیتی در آن قرار می دهند تا به سایت شما دسترسی داشته باشند. به همین دلیل پیشنهاد می کنیم حتماً از فروشگاه های معتبر قالب و افزونه تهیه کنید تا خیالتان بابت سالم بودن فایل و عدم ایجاد مشکل امنیتی برای سایت راحت باشد.
در این مقاله سعی شد تعداد از راهکار های افزایش امنیت سایت را برای شما بیان کنیم امیدوارم این پست به افزایش امنیت سایت شما کمک کند.