خانه / نرم افزار کامپیوتر / هاستینگ – وب سایت / مدیریت محتوی / WordPress / افزایش امنیت وردپرس در مقابل هک با امن تر کردن سایت وردپرسی

افزایش امنیت وردپرس در مقابل هک با امن تر کردن سایت وردپرسی

افزایش امنیت وردپرس در مقابل هک شدن سایت با امن تر کردن سایت وردپرسی به چندین قسمت مختلف تقسیم می شود. مهمترین آن عبارتند از مخفی کردن ورژن وردپرس ، عدم دسترسی به فایل کانفیگ و اچ تی اکسس ، تغییر شاخه wp-admin در مقابل هجوم هکرها و ربات های مضر ، تغییر ID و نام admin  و قرار دادن پسورد سنگین ، استفاده از پلاگین ها یا افزونه های امنیتی معروف و به روزرسانی وردپرس، افزونه و قالب سایت وردپرسی که در ادامه نکات کاربردی را بیان می کنیم.

محدود کردن دسترسی به فایل wp-config.php و htaccess.

   شاید یکی از نکات کاربردی در افزایش امنیت وردپرس این موضوع باشد: – امفور- پیشنهاد می گردد فایل wp-config.php را به خارج از روت اصلی هاستتان منتقل کنید. یعنی اگر وردپرس در شاخه www یا همان فولدر /public_html قرار دارد، به فرضا /home/m4i.ir منتقل نمائید. ( همانطور که می دانید هر فایلی در /home یعنی بالاترین قسمت روت هاست شما قرار گیرد، در اینترنت قابل دسترسی نمی باشد )

افزایش امنیت وردپرس در مقابل هک با امن تر کردن سایت وردپرسی

   یکی دیگر از موارد مهم افزایش امنیت وردپرس این است که سطح دسترسی فایل wp-config.php را به ۴۰۰ و یا اگر به مشکل برخوردید ( از سمت هاست ) به ۶۰۰ تغییر دهید البته قبل از این کار بوسیله لینک secret-key متغیرهای داخل فایل کانفیگ را تغییر دهید. یعنی کدهایی که آن سایت نمایش می دهد و در هر بار رفرش تغییر می کند را جایگزین ۴ سطر زیر در فایل wp-config.php نمائید.

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');

همچنین با قرار دادن کد زیر در فایل اچ تی اکسس که در روت اصلی یا همان شاخه نصب وردپرس است، دسترسی به ۲ فایل مهم سایتتان را برای ربات ها و هکرها نا ممکن و سخت کنید.

# to protect wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>

# to protect the .htaccess file itself:
<Files .htaccess>
order deny,allow
deny from all
</Files>

مخفی کردن نسخه وردپرس :

      فایل version.php در مسیر نصب وردپرس و شاخه wp-includes در ابتدای آن، کد $wp_version = '11'; مشخص کننده ورژن وردپرس است و برای تمامی افزونه ها یا قسمت های مختلف CMS از عدد درج شده این خط، به عنوان ورژن استفاده می شود. می توان با تغییر آن به عدد بالاتر از ورژن فعلی وردپرستان که نصب دارید، در صورت نمایش ورژن وردپرس در سورس کدهای HTML مرورگرها ، ورژنی سوری به آنها نمایش داده شود و به نوعی هکر را به گمانه زنی ورژن اصلی وادار نمود. البته اگر وردپرس شما به روز است، تا حدودی جای نگرانی نیست و مخفی کردن ورژن وردپرس یا عدم نمایش ورژن بیشترین کاربردش برای ورژن های پائین تر از نسخه های جاری که در سایت وردپرس قرار دارد، است. ( به دلیل مشخص شدن باگ ها و اشکالات برنامه در ورژنهای قدیمی )

حذف کد نمایش ورژن وردپرس از هدر قالب :

      چنانچه در سورس کدهای هدر به کد زیر برخورد کردید

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

نسبت به حذف آن یا جایگزینی با کد زیر اقدام کنید تا از نمایش ورژن وردپرس در سورس کدهای نشان دهنده مرورگرها جلوگیری کنید.

<meta name="generator" content="WordPress" />

      می توانید به جای استفاده از کدهای بالا که نیاز به تغییرات در فایل هدر قالبتان است، خصوصا چنانچه مدام قالب سایتتان را تعویض می کنید، بهتر است از کد زیر که در فایل فانکشن قالب قرار می گیرد ( functions.php ) استفاده کنید.

function wpbeginner_remove_version() {
 return ''; 
}
 add_filter('the_generator', 'wpbeginner_remove_version');

      البته این نکته هم در نظر داشته باشید معمولا این کد با هر ورژنی سازگار نیست یا به عبارتی بعضی از کدهایی که در فایل فانکشن قرار می گیرند با بروزرسانی CMS شایدکارائی خود را از دست بدهند. علی ایحال چنانچه در نمایش ندادن ورژن وردپرس در مرورگرها موفق باشید، می توانید در تمامی صفحات سایتتان با افزایش امنیت وردپرس روبرو باشید.

حذف فایلهای غیر ضروری بعد از نصب وردپرس :

      به این نکته مهم و ساده توجه داشته باشید که پس از نصب وردپرس می بایست فایلهایی که عموما در آنها ورژن برنامه مشخص می شود و در CMS و هم در افزونه های مورد استفاده موجود است، را می بایست حذف کنید چرا که با اجرای آن بطور مثال اگر لینک http://m4i/readme.html در مرورگر باز کنید، ورژن برنامه در ابتدای آن قرار دارد. پس بهتر است بعد از نصب وردپرس فایل readme.html و License.txt و همچنین wp-config-sample.php ( در صورت وجود ) که بعد از راه اندازی سایت عملا فایلهای اضافی هستند و در ریشه اصلی می باشند، را پاک کنید.

افزونه های امنیتی وردپرس :

      استفاده بیش از حد از افزونه های امنیتی ضمن سنگین کردن لود صفحات سایتتان ، تاثیری در افزایش امنیت وردپرس ندارد. به عبارتی نهایتا ۳ افزونه های امنیتی استفاده کنید مثلا با افزونه OSE Firewall از اﻧﻮاع ﺣﻤﻼت ﺗﺰرﻳﻖ SQL مانند SQL Injection و افزونه Captcha از حملات Brute  force همچنین افزونه امنیتی Better WP Security استفاده نمائید.

نکات کاربردی در افزایش امنیت وردپرس :

    و در پایان این نکات را مد نظر داشته باشید: اگر هنگام شروع راه اندازی سایت هستید، در صورت امکان پیشوند جداول وردپرس که wp-xxxx می باشند را تغییر دهید. همیشه از پلاگین های معتبر استفاده کنید. وردپرس و پلاگین ها را به روزرسانی کنید. ضمنا در انتخاب و استفاده از قالب های ریپ شده یا بعضا قالبهای ترجمه شده مشکوک دقت کنید. زیرا مشاهده شده که کدهای مخرب در قالب یا افزونه های غیر معتبر جاسازی شده است. رمز قوی شامل اعداد، حروف کوچک و بزرگ و کارکترهای ویژه فراموش نشود ضمن آنکه یوزر ادمین را بهمراه آیدیش حتما تغییر دهید.

درباره مدیر سایت

مدیر سایت
« الصبر مفتاح الفرج » « ان الله مع الصابرین » صبر و ظفر هر دو دوستان قديمند، بـر ا ثـر صبــر نـوبت ظفـر آيد. Update, Backup & Security رمز موفقیت ادمین و پایداری شبکه ...

پاسخ بدهید

ایمیلتان منتشر نمیشودفیلدهای الزامی علامت دار شده اند *

*

✿ لطفاً معادله ی امنیتی زیر را ، در کادر مربوطه پُر نمائید ✿ *
Time limit is exhausted. Please reload CAPTCHA.

رفتن به بالا