آموزش افزایش امنیت سایت وردپرسی + نکات طلایی
وردپرس بدون شک جزو یکی از بهترین سیستم های مدیریت محتوا ( CMS ) میباشد, وردپرس همیشه با ارائه آپدیت های منظم سعی بر این داشته است تا امنیت خود را تا حد ممکن به کاربرانش تضمین کرده باشد و محبوبیت خود را بالاتر برده باشد که در موضوع افزایش امنیت وردپرس تا حد قابل توجهی موفق هم بوده است; اما با این حال ممکن است در طول ارائه آپدیت ها, با باگها یا خطاهایی در لایه های مختلف از آپدیت های وردپرس روبرو شویم.
با توجه به اینکه وردپرس یک سیستم مدیریت محتوای معروف و تکمیلی است, پس بیشتر مورد تهدید های حملات امنیتی قرار میگیرد; پس لازم است با روش های افزایش امنیت وردپرس به طور کامل آشنا شویم.
علاوه بر مسائل قبلی, با توجه به اینکه وردپرس یک سیستم مدیریت محتوای معروف و تکمیلی است, پس بیشتر مورد تهدید های حملات امنیتی قرار میگیرد; ممکن است حتی بخاطر سهل انگاری در عدم استفاده از برخی روش های ساده برای افزایش امنیت وردپرس, بصورت ناخواسته باعث شوید تا سایت وردپرسی شما در برابر تهدید های امنیتی عملکرد ضعیفی داشته باشد.
طبیعتا مهمترین کار بعد از نصب وردپرس, افزایش امنیت وردپرس خواهد بود; لازم به ذکر است اگر در نصب وردپرس با مشکلی مواجه شده اید, میتوانید جهت رفع مشکل خود, به مقاله نصب وردپرس در هاست سی پنل از آسام سرور نیز مراجعه کنید.
پس بهتر است بدانیم که چگونه میتوانیم امنیت وردپرس را افزایش دهیم; در این مقاله راهکار های افزایش امنیت وردپرس را با جزئیات کامل و دقیق در حالت هایی از: توضیحاتی برای هر روش امنیتی, آموزش نحوه فعالسازی برخی از روش های امنیتی مهم و همچنین نحوه استفاده از روش های امنیتی را بیان خواهیم کرد.
3 نکته طلایی برای افزایش امنیت وردپرس
- استفاده از پلاگین reCaptcha
- دقت در خرید هاست از شرکتهای میزبانی هاست
- استفاده از تایید دو مرحله ای گوگل برای وردپرس
در اکثر مواقع با رعایت همین سه نکته اصلی, میتوانید از بروز حملات و تهدیدات امنیتی به سایت وردپرسی خود, به اندازه کافی جلوگیری کنید. شاید مفهوم سه موضوع گفته شده در حالت عادی کمی گنگ بنظر برسند; در ادامه به صورت کامل تری به توضیح هر یک از این سه موارد مهم خواهیم پرداخت.
استفاده از پلاگین reCaptcha Google
نصب و راه اندازی افزونه reCapcha میتواند تاثیر مثبتی بر افزایش امنیت سایت وردپرسی شما داشته باشد; این افزونه میتواند سایت وردپرسی شما را در مقابل ربات هایی که تعداد زیادی درخواست به سمت هاست شما ( اسپم ) میفرستد را, جلوگیری میکند.
در توضیحی ساده تر, reCaptcha میتواند سوالات امنیتی را ایجاد کند که پاسخ به سوالات داده شده برای ربات ها تقریبا غیر ممکن است, اما در مقابل, پاسخ به سوالات reCaptcha برای انسان کار ساده ای میباشد و اگر سوال پرسیده شده از طرف افزونه reCaptcha به اشتباه پاسخ داده شود, افزونه کاربر را ربات تشخیص میدهد و از ورود به سایت جلوگیری میکند.
اگر یک ربات قصد داشته باشد تا از نوع اسپم حملاتی را به سایت وردپرسی شما وارد کند باید تیک گزینه Im not a robot را وارد کند, اما با توجه به اینکه این نوع ربات ها نمیتوانند تیک این بخش را فعال کنند یا به سوالات امنیتی پاسخ بدهند, در نتیجه افرونه دسترسی ربات ها به سایت را مسدود میکند, پس سایت شما از نظر حملات اسپم از امنیت بالایی برخوردار خواهد بود.
نحوه فعالسازی و اعمال تغییرات در پلاگین reCaptcha
1. نصب پلاگین
ابتدا به بخش افزونه ها بروید و سپس از طریق بخش جستجوی افزونه ها نام افزونه مورد نظر خود ( reCaptcha ) را وارد کنید, در ادامه با توجه به عکس زیر; با کلیک روی گزینه ( نصب ), افزونه reCaptcha بصورت خودکار نصب خواهد شد.
2. فعالسازی پلاگین
پس از اتمام نصب افزونه بصورت خودکار, روی گزینه ( فعال نمایید ) که در تصویر زیر ملاحظه میکنید, جهت فعالسازی افزونه کلیک میکنیم.
3. تنظیم و راه اندازی پلاگین
جهت شروع تنظیم افزونه, ابتدا روی سربرگ ( تنظیمات ) کلیک میکنیم و سپس افزونه نصب شده reCaptcha را انتخاب میکنیم.
- پس از انتخاب افزونه و وارد شدن به افزونه; از بخش ( reCAPTCHA type ), گزینه اول یعنی: “V2 “I’m not a robot” را انتخاب میکنیم.
- جهت افزودن کلید های امنیتی برای افزونه reCaptcha, با توجه به تصویر زیر; روی گزینه Google, کلیک میکنیم و وارد صفحه Google reCaptcha میشویم.
- مطابق با تصویری که مشاهده میکنید, پس از ورود به صفحه reCaptcha Google, بخش اول از اطلاعات لازم برای ایجاد کلید های امنیتی را وارد میکنیم:
- در قسمت اول Label Name را برای وبسایت خود وارد میکنیم.
- در این قسمت, به دلیل اینکه نسخه دوم از تنظیم افزونه را استفاده خواهیم کرد, روی گزینه reCaptcha v2 کلیک میکنیم.
- از میان سه گزینه موجود, اولین گزینه: “I’m not a robot” را انتخاب میکنیم.
- اکنون نام دامنه سایت را در قسمت تعیین شده مینویسیم.
- در همان صفحه با اسکرول کردن به سمت پایین, بخش دوم از اطلاعات لازم برای ایجاد کلید های امنیتی را خواهیم داشت:
- میتوانیم ایمیل جدیدی را نیز در این قسمت وارد میکنیم.
- تیک گزینه Accept the reCaptcha Terms of service را فعال میکنیم.
- جهت تایید اطلاعات وارد شده, روی گزینه SUBMIT کلیک میکنیم.
پس از تکمیل اطلاعات, مطلبق با عکس زیر, دو کلید امنیتی برای افزونه reCaptcha از سایت شما ایجاد میشود:
- مطابق با تصویر زیر; کد ها را به ترتیب داده شده کپی کنید و در محیط وردپرس جاگذاری کنید; همچنین, میتوانید تیک گزینه های زیر را مطابق با تصویر زیر, برای اعمال افزونه در هر بخش از سایت انتخاب کنید.
- در بخش پایانی از تنظیم افزونه reCaptcha, با اسکرول کردن به سمت پایین در همان صفحه از وردپرس, تنظیمات پایانی زیر را نیز اعمال میکنیم:
- در این بخش پیام دلخواه خود را وارد میکنیم تا اگر شخص مورد نظر به هر دلیلی موفق به تایید افزونه امنیتی reCaptcha نشود, وردپرس بصورت خودکار پیام نوشته شده را به کاربر نشان دهد تا کاربر مجددا افزونه امنیتی را تایید کند.
- زبان مورد نظر خود را برای پلاگین reCaptcha وارد میکنیم.
- تعداد دفعات ورود غیر مجاز را وارد میکنیم. ( چون پلاگین بر روی Im Not A Robot تعیین شده است, زمانی این گزینه کار میکند که قبل از لود شدن پلاگین کپچا, فرد مورد نظر رمز و نام کاربری را وارد کند و اقدام به ورود به وردپرس را داشته باشد )
- تغییرات اعمال شده را با کلیک روی گزینه ذخیره تغییرات, تایید میکنیم.
دقت در انتخاب و خرید هاست از شرکتهای میزبانی هاستینگ
همیشه به دنبال خرید ارزان ترین پنل های هاست از شرکت های میزبانی هاست نباشید, گاهی اوقات پرداخت هزینه بیشتر برای خرید هاست, برای آرامش خاطر خود, جهت افزایش امنیت سایت امری ضروری محسوب میشود; این مورد را نیز در نظر داشته باشید که معروفیت یک شرکت هاستینگ دلیل مناسبی بر ارائه خدمات برتر, نیست.
ابتدا لازم است تا تحقیقات خود را نسبت به شرکتی که قصد خرید هاست از آن را دارید انجام دهید, ضعف امنیتی در شرکت های هاستینگ باعث میشود تا سرور شما در برابر تهدید های امنیتی عملکرد ضعیفی داشته باشد و احتمالا با کمترین ریسک امنیتی نیز سایت شما دچار اختلال شود. نکاتی که در ادامه به آنها خواهیم پرداخت, تاثیر غیر مستقیم و مستقیمی بر امنیت سایت وردپرسی شما خواهند داشت.
میزبانی هاست سایت با سرور مجازی امنیت بیشتری نسبت به هاست اشتراکی خواهد داشت؟
اگر در سرویس هاست اشتراکی هر یک از سایت های وصل شده به سرور دچار خطا های امنیتی شود, میتواند بر دیگر سایت ها نیز از لحاظ امنیتی اثر منفی داشته باشد; فرض کنید در محل کار هستید که توسط چند نفر دیگر نیز در کنار هم در یک واحد از آپارتمان مشغول به کار هستید در این میان اگر شخصی به هر دلیلی فراموش کند و درب اصلی را باز بگذارد, این احتمال وجود دارد تا امنیت افراد دیگر در آن واحد در خطر باشد.
در سرور مجازی میتوانید بصورت قابلیت سفارشی سازی بیشتری, تنظیمات امنیتی را تغییر دهید و به همین دلیل از امنیت بالاتری برخوردار هستید; اگر سایت شما به نحوی استفاه میشود که قرار است در آن اطلاعات مهم و خاصی میان شما و کاربر رد و بدل شود بهتر است از سرور مجازی استفاده کنید.
جهت مقایسه بیشتر سرور مجازی با هاست اشتراکی, مقاله ای که در مورد تفاوت های هاست اشتراکی با سرور مجازی نوشته شده است را نیز میتوانید مطالعه نمایید❗
بخشی از نکات امنیتی مورد توجه برای خرید هاست از شرکت هاستینگ مناسب
- پشتیبانی قوی و سرعت بالا در پاسخگویی, هنگام بروز مشکلات امنیتی جدی جهت جلوگیری به موقع از آنها
- پشتیبان گیری مداوم از دیتابیس و فایلها ( Full Backup )
- مانیتورینگ لحظه ای سرورها
- امکان استفاده از SSL به صورت رایگان
استفاده از تایید دو مرحله ای گوگل برای وردپرس
یکی از نکات مهم در حفظ امنیت سایت وردپرس شما, استفاده از تایید دو مرحله ای گوگل برای تایید هویت کاربر سایت شما خواهد بود; پس از فعال کردن تایید دو مرحله ای به منظور وارد شدن در حساب کاربری وردپرس خود, با استفاده از برنامه ای که شرکت گوگل برای تایید هویت دو مرحله ای در اختیار قرار داده است, رمز شش رقمی را که برنامه ایجاد خواهد کرد را در صفحه ورود وردپرس وارد میکنید و سپس میتوانید وارد حساب کاربری وردپرس خود شوید.
با توجه به این مورد, حتی اگر شخصی که به اطلاعات نام کاربری و رمز سایت شما دسترسی داشته باشد, بدون وارد کردن کد امنیتی گوگل, نمیتواند به حساب کاربری وردپرس سایت دسترسی داشته باشد. با استفاده از پلاگین Google Authenticator نسبت به فعالسازی تایید دو مرحله ای, اقدام میکنیم; پلاگین Google Authenticator را نیز مطابق با روش نصب پلاگین reCaptcha, در وردپرس نصب و فعال میکنیم.
نحوه اعمال تغییرات در پلاگین Google Authenticator
1. تنظیم و راه اندازی پلاگین
مشابه با تصویر زیر; جهت شروع تنظیم افزونه, ابتدا در منو فهرست سمت راست روی ( تنظیمات ) کلیک میکنیم و سپس افزونه نصب شده گوگل آتنتیکیتور ( Google Authenticator ) را انتخاب میکنیم.
- پس از کلیک روی پلاگین تایید دو مرحله ای, وارد صفحه تنظیمات گوگل آتنتیکیتور خواهیم شد; در این بخش تعیین میکنیم که پلاگین تایید دو مرحله ای گوگل بعد از اعمال تنظیمات, برای کدام یک از بخش های وردپرس شما اجرا شود.
پس از تعیین بخش های لازم برای اجرای تایید دو مرحله ای, جهت تایید بخش های انتخاب شده, روی گزینه ( ذخیره تغییرات ) کلیک میکنیم.
- اکنون در همان صفحه; جهت ورود به بخش دوم از تنظیمات تایید دو مرحله ای گوگل, مجددا در منو فهرست از سمت راست, روی گزینه ( کاربران ) کلیک میکنیم و گزینه سوم از سربرگ کاربران, یعنی ( شناسنامه ) را انتخاب میکنیم.
با اسکرول کردن به سمت پایین, بخش تنظیمات گوگل آتنتیکیتور را خواهیم دید, در بخش تنظیمات گوگل آتنتیکیتور, چهار گزینه مختلف را مشاهده میکنیم که در ادامه هر یک را به ترتیب توضیح خواهیم داد:
1. در این بخش, گزینه ( فعال ) را تیک میزنیم تا تغییراتی را که در سه قسمت بعدی از بخش تنظیمات گوگل آتنتیکیتور داده میشوند, در وردپرس راه اندازی شوند.
2. اگر گزینه حالت راحت را تیک بزنیم, مدت زمان لازم برای ورود کد امنیتی داده شده توسط اپلیکیشن تایید دو مرحله ای گوگل, به زمان چهار دقیقه افزایش میابد.
3. عنوان سایت را در این قسمت خواهیم نوشت تا در اپلیکیشن تایید دو مرحله ای گوگل, سایت شما با آن عنوان نمایش داده شود.
نکته: میتوانید از طریق بخش زیر; با کلیک روی گزینه های زیر, به لینک دانلود نسخه Android و iOS از اپلیکیشن Google Authenticator دسترسی داشته باشید:
4. گزینه ( راز ) یک کد مخفی و یا بخش بار کد اسکن را به ما نشان میدهد که توسط نرم افزار گوگل بارکد را اسکن میکنیم و یا کد داده شده را در نرم افزار تایید دو مرحله ای گوگل وارد میکنیم و تنظیمات پلاگین تایید دو مرحله ای گوگل از سایت وردپرسی ما به نرم افزار انتقال داده میشود و اطلاعات تایید هویت دو مرحله ای گوگل از وردپرس, در نرم افزار ذخیره میشود.
5. جهت ذخیره تنظیمات داده شده, روی گزینه ( به روز رسانی شناسنامه ) کلیک میکنیم.
اکنون پس از هر بار وارد کردن نام کاربری و رمز عبور سایت, در همان صفحه ورود به وردپرس; کد شش رقمی تایید هویت دو مرحله ای را که در اپلیکیشن Google Authenticator به شما ارسال خواهد شد را در کادر مخصوص به کد تایید دو مرحله ای, وارد میکنید.
مطابق با عکس زیر:
4 روش ساده امنیتی در وردپرس برای افزایش امنیت وردپرس
65.1 درصد از کل سایت های موجود در جهان از سیستم مدیریت محتوای وردپرس استفاده میکنند, پس هکر ها همیشه در تلاش هستند تا از راه های ساده نیز برای شکستن لایه های امنیتی وردپرس استفاده کنند. همین سهل انگاری در عدم رعایت چهار نکته ساده امنیتی در وردپرس و قانع بودن به تایید هویت دو مرحله ای و راه های اصلی افزایش امنیت وردپرس, میتواند بستر مناسبی را برای تهدیدات امنیتی به سایت شما باشد.
شما همیشه توانایی ایمن سازی صد در صد را نخواهید داشت, اما تا جایی که ممکن است باید اکثر روش های تاثیر گذار موجود نسبت به ایمن نگهداشتن سایت وردپرسی خود استفاده کنید و امنیت سایت خود را در درجه بالایی نگهدارید. در برخی از موارد نیز با رعایت نکردن ساده ترین نکات امنیتی, امنیت سایت وردپرسی شما کمتر میشود و ممکن است راه نفوذ مناسبی برای هکر ها یا حملات امنیتی جهت دسترسی به سایت شما ایجاد شود.
- بک آپ گیری از سایت
- بروز رسانی مداوم وردپرس
- داشتن رمز عبور قوی
- ایمن سازی ایمیل وصل شده به وردپرس
بک آپ گیری اطلاعات و نسخه پشتیبان سایت
فرض کنید به هر دلیلی, سایت شما برای مدتی از دسترس خارج شده است و پس از دسترسی به سایت وردپرسی خود, متوجه میشوید که بخشی از اطلاعات یا محتوا های موجود در سایت شما به کلی پاک شده است و یا برخی از فایل های آپلود شده دچار آسیب شده اند; در این هنگام شما میتوانید, نسخه پشتیبان گیری شده از اطلاعات و جداول سایت را که از طریق هاست سی پنل و یا افزونه های پشتیبان گیری انجام شده اند و به ایمیل شما ارسال شده اند, دیتابیس سایت و یا جداول پشتیبان گیری شده را مجددا در هاست سی پنل یا سایت خود درون ریزی کنید و سایت را به روال عادی خود بازگردانید.
آپدیت کردن وردپرس
یکی از دلایلی که وردپرس هر بار آپدیتی را منتشر میکند, بخاطر بهبود و یا افزایش لایه های امنیتی میباشد; اگر هنوز جزو افرادی هستید که معتقد هستید بروزرسانی وردپرس همیشه برای بهبود افزونه ها و یا ساختار نوشتاری و موارد فرعی است, کاملا اشتباه فکر میکنید. هر بار که وردپرس ضعف امنیتی را در هر یک از لایه های امنیتی خود مشاهده کند با انتشار نسخه جدید, امنیت لایه های امنیتی قبلی را نیز چند برابر میکند.
توجه داشته باشید که افزونه ها را نیز بروز رسانی کنید تا باگ های امنیتی موجود در افزونه های نصب شده نیز برطرف شوند تا راه های نفوذ به دیتابیس یک سایت وردپرسی از طریق باگها نیز بسته شده باشند.
انتخاب رمز عبور مناسب
استفاده کردن از رمز هایی با تعداد گذرواژه چهار یا شش رقمی و در عین حال ساده: ( 12234m ) تاثیر بسیار زیادی در کاهش امنیت سایت وردپرسی شما خواهد داشت; در اولین بخش به این توجه داشته باشید که رمز شما هر چقدر طولانی تر باشد امنیت بیشتری خواهد داشت یعنی تعداد گذرواژه استفاده شده حداقل دوازده رقم باشد, سعی کنید رمز انتخابی شما ترکیبی از اعداد, کاراکتر های خاص, شماره ها و حروف بزرگ و کوچک و نماد ها باشد: wbM8G*?))%Mk9]Z[
از رمز های یکسان در وردپرس استفاده نکنید, رمز ورودی حساب وردپرس سایت شما باید خاص و منحصر بفرد باشد و سعی کنید حدالامکان هر چند وقت یکبار, رمز خود را تغییر دهید و از استفاده کردن یک رمز به مدت طولانی خودداری کنید.
امنیت ایمیل وصل شده به وردپرس
ایمیلی که استفاده میکنید تاثیر بسیاز زیادی در افزایش امنیت وردپرس شما خواهد داشت, فرض کنید ایمیل شما دارای رمز عبور ضعیفی باشد و به راحتی هک شود یا حتی ایمیلی که استفاده میکنید در دسترس چندین مخاطب باشد و برای فرد دیگری نیز استفاده شده باشد; در اینصورت, اگر فردی به ایمیل شما دسترسی داشته باشد, میتواند در صفحه ورودی وردپرس شما, با انتخاب گزینه فراموشی رمز عبور, به کد تغییر رمزی که به ایمیل شما فرستاده شده است دسترسی داشته باشد و رمز ورودی حساب وردپرس سایت شما را نیز تغییر دهد.
پس حتما سعی کنید در عین حال, از امنیت بالای ایمیل خود نیز به اندازه کافی اطمینان حاصل نمایید و حتما از ایمیلی برای بازیابی رمز عبور فراموش شده استفاده کنید که فقط در دسترس شما باشد.
البته الان امنیت وردپرس بهتر از قبل شده و میشه گفت ایمنی بیشتری نسبت به نسخه های قبل تر داره، اینم به لطف متن باز بودنشه 🙌🙌
واقعاً پلاگین Captcha و این موارد تاثیری هم داره؟
یادتون باشه تایید دو مرحله ای رو حتماً فعال کنین این مورد مهم تره از نظر من.....