چک لیست امنیتی ساده برای سایت های وردپرس

چک لیست امنیتی ساده برای سایت های وردپرس

آیا می دانید روزانه بیش از 100،000 وب سایت هک می شوند؟ درست است ، جرایم سایبری تهدیدی جدی برای هر شرکتی است و هرکسی که دارای یک سایت وردپرس باشد نیز ایمن نیست. من با هکرها فرار کرده ام (و مجبور شدم سایت وردپرس خود را بازیابی کنم) و احتمالاً می دانید زشت بود.


هکرها به طور فعال به دنبال وب سایتهای آسیب پذیر برای شکستن و سرقت داده هایی هستند که می توانند برای سود پولی یا قصد مخرب خالص منتشر کنند. برای محافظت از خود و سایت گرانبهای خود ، باید جدی فکر کنید که امنیت وردپرس را سخت تر کنید.

با توجه به اینکه هنگام هکرها به وب سایت شما درآمد ، وقت و تلاش خود را از دست می دهید ، لیست امنیتی امنیتی زیر را ایجاد کرده ایم که می توانید برای امنیت وب سایت وردپرس خود استفاده کنید. اجرای کلیه موارد امنیتی موجود در پست حتی برای تایمرهای اول نسبتاً آسان است:

همانطور که می بینید ، ما پست را به چندین قسمت می پوشانیم از انتخاب میزبان ایمن گرفته تا سخت شدن حوزه سرپرست شما و دیگران. باید برخی از کارهای امنیتی مانند به روزرسانی مضامین خود را به طور مرتب تکرار کنید. سایر کارها یک چیز یکپارچه است ، اما هنوز هم تأثیر قابل توجهی در ایمن نگه داشتن سایت خود دارید. آنچه را که باید برطرف کنید بررسی کنید و این کار را فوراً انجام دهید زیرا هکرها هم وقت خود را تلف نمی کنند.

لیست ساده امنیتی وردپرس

1. وردپرس را به روز کنید

هسته وردپرس مرتباً مورد بررسی قرار می گیرد و از نظر آسیب پذیری های امنیتی بررسی می شود. اگر نقص و اشکالات امنیتی شناسایی شود ، توسعه دهندگان اصلی معمولاً به روزرسانی های نگهداری را منتشر می کنند. به روزرسانی های جزئی در وب سایت وردپرس شما بطور خودکار نصب می شود.

با این وجود ، شما باید برای همه نسخه های اصلی وردپرس را به صورت دستی به روز کنید. این یک روند نسبتاً مستقیم رو به جلو است زیرا می توانید یک پیام مزاحم را در مدیر وردپرس خود دریافت کنید. فقط 22٪ وب سایت ها آخرین نسخه وردپرس را اجرا می کنند که با توجه به اینکه به روزرسانی آن آسان است ، ناراحت است.

78٪ باقیمانده نباشید ، زیرا اساساً با بروزرسانی وب سایت خود ، سایت خود را در معرض انواع حملات قرار می دهید. معمولاً هکرها اولین گروه افرادی هستند که در مورد هرگونه آسیب پذیری در نسخه های قدیمی اطلاعاتی کسب می کنند ، زیرا برای اجرای حملات موفقیت آمیز روی نقص ها حساب می کنند..

قبل از به روزرسانی وردپرس ، توصیه می کنیم یادداشت های نسخه را بخوانید تا ببینید چه چیزی تغییر کرده است و گرفتن نسخه پشتیبان از وب سایت شما (فقط برای ایمن بودن). به این ترتیب اکنون می توانید انتظار داشته باشید که با کلیک بر روی آن دکمه به روزرسانی ، و اگر یک نقص داشته باشید ، باید همه چیز بد پیش بیاید.

2. موضوعات و افزونه ها را به روز کنید

هنگام به روزرسانی هسته وردپرس ، فراموش نکنید که موضوعات و افزونه های خود را نیز به روز کنید. هکرها به تم ها و پلاگین های قدیمی که دارای حفره های امنیتی شناخته شده هستند علاقه دارند.

آنها از این آسیب پذیری های امنیتی سوء استفاده می کنند و حتی می توانند یک backdoor را در یک موضوع یا افزونه قدیمی پنهان کنند. اگر به روزرسانی نکنید ، آنها می توانند وب سایت شما را هروقت که بخواهد آنها هک کنند.

برای جلوگیری از از بین رفتن سبک های سفارشی ، توصیه می کنیم از یک تم کودک وردپرس برخلاف موضوع والدین استفاده کنید. به این ترتیب ، هنگام به روزرسانی موضوع خود ، سفارشی سازی خود را از دست نخواهید داد.

Yo همچنین باید تم های غیر فعال ، افزونه ها و نصب های غیر کاربردی وردپرس را از بین ببرد. نه تنها پهنای باند را ذخیره می کنید و وب سایت خود را سریعتر می کنید بلکه هکرها را نیز در معرض خطر قرار می دهید.

یادداشت سریع دیگر ، هرگز تم ها و افزونه های معتبر “nulled” را بارگیری نکنید. فقط با منابع معتبری مانند WordPress.org ، Envato یا سایر فروشگاه های معتبر فروشگاه بروید.

3. از رمزهای عبور منحصر به فرد و قوی استفاده کنید

با تعجب خواهید آموخت که اکثر وب سایت ها هنگامی که افراد بد سرقت اطلاعات ورود به سیستم را هک می کنند هک می شوند. علاوه بر این ، حملات زورگویی کاملاً متداول است و شامل بمباران صفحه ورود به سیستم شما با هزاران ترکیب نام کاربری و رمزعبور تا زمانی که چیزی شود.

اگر از نام کاربری و رمزهای عبور ضعیف استفاده می کنید (مانند “مدیر” بدنام یا “12345”) ، هکرها را به راحتی باورنکردنی می کنید تا وارد وب سایت شما شوند. این عادت را داشته باشید که رمزهای عبور منحصر به فردی و قوی را که مرتباً تغییر می دهید ایجاد کنید. شما حتی می توانید از یک مولد آنلاین رایگان استفاده کنید ، مثل این از LastPass.

مدیریت بسیاری از رمزهای عبور قوی می تواند یک مشکل باشد. برای کمک به ، من اغلب در میان دیگران به مدیران رمزعبور مانند 1Password یا LastPass اعتماد می کنم. از همان رمز عبور در چندین وب سایت استفاده مجدد نکنید و همیشه اطلاعات ورود خود را ایمن نگه دارید. اطمینان حاصل کنید که کاربران WordPress خود از رمزهای عبور قوی نیز استفاده می کنند.

در حالی که مشکلی ندارید – به یاد داشته باشید از رمزهای عبور قوی برای ایمیل ، cPanel ، پایگاه داده های MySQL و حساب های FTP خود استفاده کنید.

4- یک افزونه امنیتی WordPress نصب کنید

هر وقت وب سایت جدید وردپرس ایجاد می کنم ، معمولاً چندین پلاگین defacto دارم که تقریباً به صورت خودکار نصب می کنم. من یک افزونه ضد اسپم ، فرم تماس با ما 7 ، کد کوتاه Symple ، و iThemes Security دریافت می کنم ، افزونه امنیتی WordPress من است..

این افزونه به من این امکان را می دهد تا بدون شکستن عرق ، دفاعیات وردپرس خود را تقویت کنم. این ویژگی با بسیاری از ویژگی ها وجود دارد که باعث می شود افراد بدجنس را از وب سایت های من نسیم نگه دارند. پیکربندی افزونه بسیار آسان است. شما باید در هر زمان و بیدار شوید.

بهترین افزونه های امنیتی وردپرس ویژگی های مختلفی را به شما ارائه می دهند ، بنابراین قبل از نصب مطمئن شوید که از تمام ویژگی های مورد نیاز برای تأمین امنیت کل وب سایت خود ، فارغ از اینکه بی نظیر باشد ، دریافت می کنید. از ویژگی های استاندارد می توان به اسکن بدافزار ، مسدود کردن IP ، جلوگیری از زورگیری ، تأیید هویت دو عاملی و موارد دیگر اشاره کرد – بررسی بسیاری از جعبه های این لیست امنیتی که اکنون می خوانید!

5. میزبانی وب وردپرس عالی را انتخاب کنید

به طور معمول ، مبتدیان برای اولین بسته میزبانی ارزان که در آن قرار می گیرند ، بهار می شوند. من نمی خواهم این مسئله را در مقابل شما قرار دهم ، زیرا شما بهتر نمی دانید ، اما میزبانی مشترک ارزان (یا حتی رایگان) می تواند شما را در معرض خطرات امنیتی قرار دهد. من این واقعیت را می دانم از زمانی که روی دو شرکت میزبانی مختلف که میزبان مشترک را ارائه می دهند هک شده ام.

میزبانی مشترک به اشتراک گذاشتن سرور با هزاران وب سایت دیگر است. این خطر آلودگی به سطح سایت را افزایش می دهد. یعنی ، یک هکر می تواند به سایت شما دسترسی پیدا کند حتی اگر وب سایت شخص مورد نظر اصلی حمله باشد.

از طرف دیگر میزبانی وردپرس مدیریت شده فقط روی وب سایت های وردپرس تمرکز دارد. شما سرور خود را با دیگران به اشتراک نمی گذارید ، و گزینه های امنیتی بیشتری برای ایمن ماندن دریافت می کنید. آنها همچنین پشتیبانی اختصاصی را ارائه می دهند ، و بدترین حالت ممکن است در صورت بروز بدترین شرایط بازیابی شود.

اگر باید از هاست اشتراکی استفاده کنید ، بگویید که با یک وبلاگ که هنوز پول در نمی آورد ، شروع می کنید ، مطمئن شوید که سایت های جدا شده یا “زندانی” هستند. اگر یک وب سایت تجارت الکترونیکی یا تجارت الکترونیکی در حال اجرا هستید ، مبلغی را برای استفاده از بهترین هاستینگ وردپرس پرداخت می کنید که می توانید در بودجه خود متناسب با کلمه go بروید – مانند VPS ، اختصاصی ، یا مدیریت میزبانی وردپرس..

6. استفاده از SSL (HTTPS)

امروزه بسیاری از شرکت های میزبان وردپرس گواهینامه های رایگان SSL را از کلمه go و به یک دلیل خوب ارائه می دهند. گواهینامه های SSL وب سایت شما را نسبت به سایت های بدون SSL امن تر می کند. Google همچنین استفاده از گواهینامه های SSL را برای محافظت از داده ها در وب سایت شما توصیه می کند (و مطمئن شوید کاربران می دانند از SSL استفاده می کنید یا نه).

HTTPS نسبت به نسل قبل HTTP امن تر است. وب سایتی که از HTTPS استفاده می کند ، تمام داده های بین مرورگر کاربر و سرورهای شما را رمزگذاری می کند. اگر هکر ارتباطات را متوقف کند ، آنها فقط داده های رمزگذاری شده را پیدا می کنند که به اندازه یک مرد پا در یک مسابقه الاغ نیز مفید است

نصب گواهینامه های SSL در اکثر میزبان وب به آسانی A ، B ، C است. بیشتر نصب کننده های یک کلیک را ارائه می دهند که کل فرآیند را آسان می کند. به سادگی به cPanel خود وارد شوید و برای نصب و مدیریت گواهینامه های SSL خود روی یک دکمه واحد کلیک کنید. اگر دوست دارید رویکردی راحت تر داشته باشید ، بررسی کنید Let Letry Encrypt را بررسی کنید.

7. ایجاد یک نسخه پشتیبان کامل از سایت

هنگامی که هکرها مرا از بین بردند ، مجبور شدم وب سایت های خود را از ابتدا بازسازی کنم ، دردی که اگر از اطمینان خاطر به خاطر آوردن پشتیبان وردپرس به یاد داشته باشم ، می توانم از آن جلوگیری کنم..

اما نه ، نسخه پشتیبان تهیه شده با میزبان وب من در طول حمله خراب شد و نه ، من راه حل پشتیبان ثانویه ندارم. یک مورد کلاسیک برای قرار دادن همه تخم های شما در یک سبد که درس سختی را به من یاد داد.

امروزه ، من بکاپ گیری کامل وب سایت ایجاد می کنم که شامل پرونده ها و پایگاه داده های وب سایت من است. من عمدتا استفاده می کنم مدیریت WP, اما من هم از آن استفاده می کنم افزونه Duplicator برای تهیه نسخه پشتیبان در رایانه من و در Google Drive.

من از شما می خواهم که بطور منظم از نسخه پشتیبان تهیه کنید. بسیاری از راه حل های پشتیبان گیری از وردپرس به شما امکان می دهند تا کل فرایند را خودکار کنید ، در زمان خود صرفه جویی می کنید و به شما آرامش می بخشد.

8. استفاده از فایروال برنامه وب (WAF)

برای افزودن یک لایه امنیتی بیشتر به سایت وردپرس خود ، و خوابیدن بهتر در شب ، یک فایروال برنامه وب (WAF) را فعال کنید. یک WAF وب سایت شما را با مسدود کردن ترافیک مخرب مدتها قبل از رسیدن به سایت شما ، محافظت می کند. این یک اقدام پیشگیرانه برای متوقف کردن افراد بد مرده در مسیرهایشان قبل از آسیب دیدن است.

فایروال ترافیک ورودی شما را فیلتر می کند ، هکرها را در حالی که اجازه می دهد کاربران مشروع را از بین ببرند ، از بین می برد. بسیاری از شرکت های امنیتی وردپرس فایروال های برنامه وب را در کنار سایر ویژگی ها ارائه می دهند. گزینه های محبوب در صنعت شامل Sucuri و Cloudflare.

9. غیرفعال کردن ویرایش پرونده در مدیر وردپرس

CMS وردپرس دارای یک ویرایشگر کد فوق العاده است که به شما امکان می دهد فایل های افزونه و تم را در داشبورد سرور وردپرس خود ویرایش کنید. ویرایشگر کد ابزاری عالی برای در اختیار شماست ، اما هکرها با دست اشتباه می توانند از آن برای Default یا اضافه کردن بدافزار در وب سایت خود استفاده کنند..

شما همیشه می توانید پرونده ها و افزونه های خود را (در صورت لزوم اینگونه ویرایش کنید) از طریق FTP یا مدیر فایل در cPanel ویرایش کنید ، به این معنی که می توانید ویرایشگر کد را در WordPress به طور کلی غیرفعال کنید. شما نمی خواهید هکرهایی که به منطقه سرور وردپرس شما دسترسی پیدا می کنند به ویرایشگر کد دسترسی داشته باشند ، زیرا با چند خط کد می توانند صدمات زیادی وارد کنند.

چه کار کنیم؟ می توانید ویرایشگر کد داخلی را با استفاده از رایگان غیرفعال کنید امنیت Sucuri افزونه روش دیگر ، می توانید کد زیر را به کد خود اضافه کنید wp-config.php فایل:

// غیرفعال کردن ویرایش پرونده
تعریف ("DISALLOW_FILE_EDIT" ، درست)؛

ما در حال حرکت هستیم.

10. صفحه ورود خود را ایمن کنید

معمولاً فرم ورود به سیستم در وردپرس شما دارای دو قسمت است. نام کاربری و رمز عبور. با توجه به اینکه مهاجمان بی رحمانه و رباتها روز به روز باهوش تر می شوند ، چگونه می توانید هکرها را از دسترسی به منطقه سرور وردپرس خود متوقف کنید؟ ساده است؛ شما CAPTCHA یا سؤالات امنیتی را اضافه می کنید که دستیابی غیرمجاز را برای هر کسی سخت تر می کند.

و لازم نیست که کد را ویرایش کنید CAPTCHA را اضافه کنید یا سوالات امنیتی به صفحه ورود خود یک افزونه محبوب وردپرس وجود دارد که با نام آن شناخته می شود سوال امنیتی WP پیکربندی و استفاده آسان است. اگر مایل به استفاده از CAPTCHA هستید ، می توانید از آن استفاده کنید ورود ساده Captcha, WordFence, یا یکی از گزینه های بسیار دیگری که به طور رایگان در WordPress.org موجود است.

در عین حال ، می توانید آدرس اینترنتی wp-login خود را تغییر دهید به چیزی منحصر به فرد به این ترتیب ، رباتها و هکرها سخت سعی در حدس زدن URL به صفحه ورود به سایت شما دارند. wp-log در حال حاضر در بین هکرها محبوب است ، بنابراین تغییر آدرس اینترنتی به چیز دیگری منطقی است. می توانید از افزونه هایی مانند WPS مخفی کردن ورود.

11- تأیید اعتبار را اضافه کنید

علاوه بر این ، اجرای احراز هویت دو عاملی و چند عاملی را در نظر بگیرید. در صورت دسترسی یک هکر به اطلاعات ورود به سیستم ، آنها نمی توانند وارد سایت وردپرس شما شوند. گزینه های زیادی وجود دارد ، اما Google Authenticator یک انتخاب محبوب است.

به غیر از این ، ورود به سیستم را در صفحه ورود خود محدود کنید. اگر بازدید کننده سعی در ورود به سیستم با یک حساب کاربری دارد که وجود ندارد یا در حال بار دیگر تلاش برای ورود به سیستم است ، به احتمال زیاد آنها یک هکر یا ربات هستند که سعی می کنند به زور وارد کار خود شوند. می توانید از افزونه هایی مانند تلاش برای ورود به سیستم محدود کنید یا قفل ورود به سیستم برای نگه داشتن این عناصر مزاحم.

12. از کاربران غیرفعال خارج شوید

هنگامی که وب سایت WordPress چند کاربره دارید ، نمی توانید نحوه دسترسی کاربران به وب سایت شما را کاملاً کنترل کنید. یک نویسنده ممکن است تصمیم بگیرد که از Wi-Fi رایگان عمومی استفاده کند تا لمس نهایی در مورد یک مقاله انجام شود. یک طراح وب ممکن است میز خود را ترک کرده و از یک ساعت استراحت ناهار بازگردد.

در چنین حالاتی ، کاربر ممکن است وب سایت شما را ناآگاهانه در معرض خطرات امنیتی قرار دهد. یک شخص بدخواه ممکن است جلسه خود را به پایان برساند ، جزئیات خود را ویرایش کند و به راحتی ویران شود. اگر طرف غیرمجاز بداند که چه کاری انجام می دهد ، می تواند به راحتی حساب کاربر را به عهده بگیرد و خسارت وارد کند.

چه کار کنیم؟ می توانید کاربران غیرفعال را بطور خودکار پس از یک دوره از پیش تعریف شده خارج شوید. و بهترین قسمت؟ افزونه هایی برای این هدف دقیق وجود دارد. یکی از گزینه های محبوب این گزینه است خروج غیرفعال افزونه ای که شامل گزینه هایی برای سفارشی کردن زمان بیکار قبل از ورود ، پیام پاپ سفارشی یا تغییر مسیر در هنگام خروج ، و زمان بندی با توجه به نقش کاربر.

13. اسکن برای بدافزارها و مشکلات (به طور منظم)

غالباً فراموش شده ، اسکن وب سایت وردپرس خود را به طور منظم می تواند به شما کمک کند مشکلات امنیتی را زود هنگام شناسایی کنید. فقط یک ثانیه طول می کشد تا هکر وارد وب سایت شما شود و همه کارهای بد را انجام دهد. این دقیقاً به همین دلیل است که شما باید همیشه در صدر موارد باشید.

بسیاری از افزونه های امنیتی وردپرس برای اسکن عفونت های بدافزار ، آسیب پذیری های امنیتی شناخته شده ، اسکریپت های منسوخ شده ، حملات نیروی بی رحم ، پشتیبان گیری های غیر وجود و غیره استفاده می کنند. افزونه ها گزارش های مفصلی را در مورد مشکلات شناخته شده برای شما ارسال می کنند ، بنابراین می توانید آنها را برطرف کنید یا یک حرفه ای را استخدام کنید.

بسیاری از اسکنرهای وب سایت ، مانند Sucuri SiteCheck, که می توانید برای بررسی سایت خود در یک فلاش استفاده کنید. تنها کاری که باید انجام دهید اینست که آدرس اینترنتی خود را وارد کنید و ابزارها وب سایت شما را به صورت خودکار بررسی می کنند. پس از آن ، آنها گزارشی راجع به آنچه شما باید اصلاح کنید به شما پیشنهاد می دهند. پس از گزارش ، فوراً تمام آسیب پذیری های امنیتی را برطرف کنید.

14. از VPN استفاده کنید

اگر وب سایتی را نصب کرده اید که دارای اطلاعات حساسی است که هرگز نباید در اختیار هکرها قرار بگیرد ، در استفاده از یک شبکه خصوصی مجازی (VPN) ، بیشتر از آن هنگام استفاده از Wi-Fi رایگان عمومی را در نظر بگیرید. یک VPN شما را در مقابل حملات مردمی در وسط محافظت می کند که در شبکه های عمومی از جمله در خانه و محل کار رایج است.

یک شبکه خصوصی مجازی تضمین می کند که حتی اگر مهاجمین به سیستم دسترسی پیدا کنند و جزئیات شما را سرقت کنند ، نمی توانند با داده هایی که از شما می گیرند ، کاری انجام دهند. اگر شبکه اینترنتی دارید که با بسیاری از افراد به اشتراک می گذارید ، همیشه قبل از دسترسی به منطقه سرور وردپرس خود از VPN استفاده کنید.

سایر گزینه های امنیتی WordPress

به کارهای بیشتری نیاز دارید؟ ما دوست داریم وب سایت شما را همیشه امن نگه داریم ، بنابراین در اینجا موارد امنیتی اضافی برای اضافه کردن به لیست چک شما وجود دارد:

  • غیرفعال کردن اجرای پرونده PHP در / wp-content / wp-upload /
  • پیشوند پایگاه داده WordPress خود را تغییر دهید
  • رمز عبور از صفحات سرپرست خود و ورود به سیستم در سمت سرور محافظت می کند
  • نمایه سازی فهرست را غیرفعال کنید
  • در صورت لزوم WP REST API و XML-RPC را غیرفعال کنید
  • هسته وردپرس را ویرایش / تغییر ندهید – افزونه ای را که عملکردی را که به جای آن ارائه می دهد ، بنویسید یا از آن استفاده کنید
  • اطمینان حاصل کنید که وب سایت شما آخرین نسخه PHP را اجرا می کند
  • از یک برنامه آنتی ویروس در رایانه خود استفاده کنید
  • کنسول جستجوی Google را فعال کنید
  • آسیب پذیری های XSS و SQL Injection را کاهش دهید (ممکن است برای کمک به این دو نفر به فردی باهوش تر نیاز دارید)

واقعاً تعداد مراحلی که می توانید برای محافظت از سایت خود بردارید بی پایان است. اما اگر بتوانید 14 موردی را که ذکر کرده ایم ، بررسی کنید ، این یک گام بزرگ برای امنیت سایت شما است.


امنیت وب سایت وردپرس شما چالش برانگیز است اما غیرممکن نیست. با استفاده از ابزارها و مهارتهای مناسب می توانید به سرعت امنیت وردپرس خود را سخت کرده و بازیگران بد را دور نگه دارید.

به عنوان یک گزارش ، همیشه وب سایت خود را به روز نگه دارید. از این گذشته ، هرگز مضامین یا افزونه ها را از سایت های غیر قابل اعتماد بارگیری نکنید. و برای اینکه در بدترین وضعیت قرار داشته باشید باید بدترین حالت را داشته باشید ، همیشه یک راه حل پشتیبان قابل اعتماد در محل خود داشته باشید.

امیدواریم همه نکاتی را که برای تأمین امنیت وب سایت وردپرس خود ، از این رو تجارت آنلاین ، لازم دارید پیدا کرده باشید. اگر درمورد چگونگی تأمین وب سایت وردپرس خود سؤالی دارید یا نیاز به کمک دارید ، لطفاً در نظرات با ما در میان بگذارید. ایمن بمان!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map