چهارشنبه , تیر ۵ ۱۳۹۸
صفحه اصلی / وردپرس / ایمن سازی وب سایت وردپرس

ایمن سازی وب سایت وردپرس

امن کردن سایت های وردپرسی

وردپرس یکی از قویترین سیستم های مدیریت محتوا می باشد که به شما امکان راه اندازی هر نوع وب سایتی را می دهد و هم اکنون با توجه به راحتی استفاده از آن به عنوان محبوب ترین سیستم مدیریت محتوا شناخته می شود. با توجه به تعداد بالای استفاده کنندگان از وردپرس و شناخت بالای کاربران از کد نویسی داخلی آن امکان هک نمودن آن برای کاربران سودجو وجود دارد. در صورتی که وردپرس را با تنظیمات پیش فرض نصب نموده اید وب سایت شما هم اکنون ایمن سازی نگردیده است و ممکن است دچار مشکلات امنیتی گردد. برای آنکه از وب سایت وردپرس خود محافظت نمایید حتما می بایست آن را ایمن سازی نمایید و در حقیقت امنیت وب سایت وردپرس مهترین بخش دغدغه استفاده از وردپرس می باشد. برای آنکه امنیت وب سایت وردپرسی خود را بالا ببرید می توانید دستورالعمل های ایمن سازی وردپرس

را در وب سایت خود انجام دهید.

تغییر آدرس wp-admin

 

امنیت هاست و تنظیمات آن

اولین مرحله از ایمن سازی وردپرس تهیه هاست امن و مطمئن می باشد که تنظیمات امنیتی درستی داشته باشد. هاست خود را از شرکت معتبری تهیه نمایید تا نگران تنظیمات هاستینگ نباشد زیرا ممکن است تنظیمات سرور وب سایت شما را نا امن نماید.

به روز رسانی وردپرس

برای آنکه از ایمن بودن هسته وردپرس مطمئن باشید همیشه آخرین نسخه آن را داشته باشید. پس از ورود به کنترل پانل وردپرس در صورتی که سیستم مدیریت محتوای وردپرس شما قدیمی می باشد پیغامی مبنی بر بروز رسانی وردپرس برای شما نمایش داده می گردد که در صورتی که وب سایت شما به روز نیست حتما آن را به روز رسانی نمایید. البته قبل از این کار حتما با طراح وب سایت خود مشورت نمایید.

ایمن سازی فایل htaccess

بهتر است فایل htaccess وردپرس خود را امن سازی نمایید که این کار را می توانید با اضافه کردن کد زیر در فایل htaccess خود انجام دهید.

 <files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

 

ایمن سازی فلدر wp-admin

فلدر wp-admin مربوط به فایل های مدیریت وب سایت می باشد که ایمن سازی آن بسیار مهم می باشد و برای آنکه آن را امن سازی نمایید کافی این فلدر را رمز گذاری نمایید که این کار را می توانید از کنترل پانل هاست خود بخش رمز گذاری بر روی فلدرانجام دهید. پس از رمز گذاری بر روی این فلدر در صورتی که کاربری قصد داشته باشد این فلدر را رویت نمایید حتما می بایست نام کاربری و رمزی را که برای دسترسی به این فلدر مشخص نموده اید وارد نماید. دسترسی به این فلدر یکی از روش هایی می باشد که هکرها از آن برای دسترسی به سیستم مدیریت محتوای شما استفاده می نمایند پس به ایمن سازی آن توجه نمایید.

امن سازی فلدر wp-includes

فلدر wp-includes یکی از فلدرهای وردپرس می باشد که فایل های منطقی وردپرس و مورد نیاز برای راه اندازی وردپرس در آن قرار می گیرند و می توان لایه امنیتی جدیدی به این فلدر نیز اضافه نمود. برای امن سازی این فلدر می توان از .htaccess استفاده نمود و کد زیر را در این فایل اضافه نمود.

  # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>
# BEGIN WordPress

البته برای آنکه دستور بالا کار کند می بایست سرور شما از mod_rewrite پشتیبانی نماید.

امن سازی فایل wp-config.php

فایل wp-config.php مسئول نگهداری متغیرهای کلیدی وردپرس نظیر اطلاعات دیتابیس می باشد و بنابراین امنیت آن بسیار مهم می باشد و برای آنکه این فایل را امن سازی نمایید می توانید از .htaccess استفاده نمایید و کد زیر را به این فایل خود اضافه نمایید:

 <files wp-config.php>
order allow,deny
deny from all
</files>

همچنین می توانید این فایل را خارج از ریشه اصلی وب سایت نگهداری نمایید تا دسترسی به آن ممکن نباشد و همچنین می توانید برای امنیت بیشتر آن دسترسی آن را بر روی ۴۰۰ تنظیم نمایید تا اجازه خواندن فقط برای وب سایت باشد.

 

ایمن سازی وردپرس با غیر فعال سازی ویرایش فایل ها

می توانید دسترسی برای ویرایش فایل ها از طریق کنترل پانل سیستم مدیریت محتوا را با کد زیر که در فایل wp-config.php خود اضافه می نمایید محدود نمایید.

 define(‘DISALLOW_FILE_EDIT’, true);

که البته این کار باعث می گردد خود شما نیز نتوانید فایل های قالب را از طریق سیستم وردپرس خود تغییر دهید.

استفاده از پلاگین های ایمن سازی وردپرس

پلاگین های ایمن سازی وردپرس وجود دارند که دارای امکاناتی برای امن سازی وردپرس می باشند که با استفاده از آنها می توانید به راحتی وب سایت وردپرس خود را امن سازی نمایید و برای استفاده از آنها کافی است پلاگین را بر روی سیستم مدیریت محتوای خود نصب نموده و فعال سازی نمایید سپس تنظیمات امنیتی آن را ست نمایید. پلاگین ها نظیر iThemes Security یا All in One WP Security از این موارد هستند. برخی از پلاگین ها نظیر WordFence در هسته وردپرس عمل می نماید و فایروال را در همان هسته فعال می نمایند. برخی از شرکت ها نیز خدمات فایروال بین هاستینگ و اینترنت ارائه می نمایند که شرکت های نظیر CloudFlare, Sucuri و Incapsula از این موارد هستند.

ایمن سازی وردپرس با تغییر نام مدیریت سایت

نام مدیریت وب سایت در وردپرس به صورت پیش فرض admin می باشد که برخی از هکرها با دانستن این موضوع اقدام به ورود به وب سایت می نمایند و بنابراین بهتر است نام کاربری مدیر وب سایت را چیزی به جز admin بگذارید که این کار را می توانید از طریق phpmyadmin وب سایت خود انجام دهید. اطلاعات کاربران در جدول prefix_users قرار داد و در ستون user_login نام کاربری مورد نظر خود را چیزی به جز admin درج نمایید.

ایمن سازی وردپرس با تغییر پیش نام جداول

جداول دیتابیس وردپرس معمولا با پیشوند نام wp_ ایجاد می گردند و بهتر است این نام پیشوند را به هر چیزی جز آن تغییر دهید.

بک آپ گیری از وب سایت

در صورتی که همه نکان امنیتی را رعایت نموده باشید باز ممکن است وب سایت شما دچار مشکلاتی گردد و بهتر است از دیتابیس و فایل های وب سایت خود فایل پشتیبان تهیه نمایید. همچنین هاستی تهیه نمایید که به صورت اتوماتیک فایل های پشتیبان از وب سایت در فواصل زمانی مختلف تهیه می نماید.

بررسی و مونیتور وب سایت

بهتر است فایل های لاگ و بازدیدکنندگان وب سایت خود را به صورت دوره ای روزانه یا هفتگی بررسی نموده تا در صورتی که در بخش از سایت مشکلی به وجو آمد بتوانید سریعا از آن مطلع گردید.

عدم استفاده از پلاگین های اضافی

توصیه می گردد در صورتی که به پلاگین خاصی احتیاج ندارید حتما آن را از سیستم وردپرس خود حذف نمایید و حتما پلاگین ها را از سایت رسمی پلاگین های وردپرس در آدرس https://wordpress.org/plugins نصب نمایید.

در پایان بهتر است امن سازی وب سایت خود را زیر نظر متخصص برنامه نویسی و طراحی وردپرس انجام دهید تا همه موارد به درستی انجام گردند.

 

 

ایمن سازی وردپرس با .htaccess

فایل .htaccess جهت کنترل آپاچی  می باشد این فایل نام مشخصی ندارد و همه آنرا با همان پسوند .htaccess صدا میزنند در ادامه ۸ روش را برای ایمن تر شدن وردپرس به شما توصیه خواهیم کرد.

نکته: حتمن پیش از اعمال هر تغییری در این فایل لطفا از آن بکاپ تهیه کنید چون تغییرات نادرست باعث اختلال در لود وب سایت شما خواهد شد.

چطور در فایل .htaccess تغییر ایجاد کنیم
فایل .htaccess در پوشه Public_html شما می باشد بروی آن راست کلیک و code edit راانتخاب کنید، اگر از افزونه ی Yoast SEO استفاده می کنید، می توانید از طریق ‘Edit Files’ در settings این افزونه فایل .htaccess را مشاهده و ویرایش کنید.

۱- محافظت از فایل wp-config.php

wp-config از فایلهای مهم در ریشه سایت شماست که دارای اطلاعات حساس دیتابیس وردپرس شامل نام کاربری ، پسورد و نام هاست می باشد هیچ کاربر عمومی نباید به این فایل دسترسی داشته باشد دسترسی به این فایل مساوی با هک شدن سایت است برای جلوگیری از دسترسی به این فایل کدهای زیر را در فایل .htaccess قرار دهید:

# Deny access to wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>

۲- ایمن سازی پوشه wp-includes
wp-includes یکی از اصلی ترین پوشه ها در پیکربندی وردپرس است علی الخصوص بعلت دسترسی به اسکریپت ها باید توجه بیشتری به ایمن سازی آن شود، کدهای زیر دسترسی به این پوشه را مسدود می کند:

# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

۳- دسترسی به مدیریت وردپرس فقط با IP
شما می توانید با یک IP مشخص که در کد زیر وارد می شود تعیین کنید که غیر از IP تعیین شده در [insert your IP address] هیچ IP دیگری به مدیریت وردپرس شما یا بهتر است بگویم به پوشه ی wp-admin دسترسی نداشته باشد:

# Limit logins and admin by IP
order deny,allow
allow from [insert your IP address]
deny from all

۴-بلاک کردن اسپمرها
هریک از ما حتما با اسپمرها مواجه شده ایم برای بلاکه کردن، بسادگی می توانیم IP اسپمر را در دستور زیر قرار دهیم تا مانع از دسترسی آن شویم :

# Block one or more IP address.
order allow, deny
deny from xxx.xxx.x.x [bad IP address 1]
deny from xxx.xxx.x.x [bad IP address 2]
deny from xxx.xxx.x.xx [bad IP address 3]
allow from all

۵- غیرفعال کردن مشاهده محتویات پوشه
پوشه هایی که دارای فایل index نمی باشند به سادگی می توان محتویات آنها را مشاهده کرد و این پوشه ها حفره و بسیار خطرناک هستند برای مسدود کرد این حفره از کدهای زیر کمک بگیرید:

 

# Disable directory browsing
Options -Indexes

۶-غیرفعال کردن Hotlinking
مطلبی را با متن و تصویر کامل در بلاگ خود می نویسید، شخصی متن شما را کپی می کند و تصاویر را به صورت لینک از روی وب سایت شما می خواند علاوه بر کپی، از پهنای باند(bandwidth) شما سو استفاده می کند با کدهای زیر می توانید از این سو استفاده جلوگیری کنید:

# Prevent image hotlinking script.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.\.)?www.[insert your domain name] [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

۷-فشرده سازی اطلاعات برای کاربر
جهت کاهش حجم صفحات سایت می توانید آنها را با کد زیر فشرده سازید و پس از درخواست مشاهده سایت، صفحات فشرده برای مرورگر کاربر ارسال می شود و مرورگر پس از دریافت صفحات فشرده آنها را به صورت اتوماتیک از حالت فشرده خارج می کند و سایت با سرعت بیشتری برای کاربر لود خواهد شد:

#Gzip
AddOutputFilterByType DEFLATE text/html text/xml text/css text/plain AddOutputFilterByType DEFLATE image/svg+xml application/xhtml+xml application/xml AddOutputFilterByType DEFLATE application/rdf+xml application/rss+xml application/atom+xml AddOutputFilterByType DEFLATE text/javascript application/javascript application/x-javascript AddOutputFilterByType DEFLATE application/x-font-ttf application/x-font-otf AddOutputFilterByType DEFLATE font/truetype font/opentype
#End Gzip

۸- جلوگیری از دسترسی به .htaccess
در پایان برای جلوگیری از دسترسی به خود فایل .htaccess دستورات زیر را استفاده کنید:

# Deny access to all .htaccess files
<files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

درباره admin

این مطالب را نیز ببینید!

افزونه فوق امنیتی iThemes Security Pro وردپرس

افزونه امنیتی وردپرس Security Pro از آن دسته از افزونه هایی است که جای آن …

دیدگاهتان را بنویسید