۱۲ راهکار ساده برای برقراری امنیت کامل در وردپرس

امنیت وردپرس به قدری لازم و ضروری است که هرگز نمی‌توان آن را فراموش کرد. اینطور بگویم که فراموش کردن آن مساوی است با از بین رفتن تمام زحمتی است که برای سایت خود کشیده اید.
موضوع در وردپرس نیز فرقی نمی‌کند و همانند تمامی وبسایت‌های دیگر باید به فکر حفاظت و ایمنی بود. حفظ امنیت کامل در وردپرس با کمک افزونه‌ها تا حدی تامین می‌شود اما به این معنی نیست که فاکتورهای دیگر را نادیده بگیریم.

امنیت کامل در وردپرس

برای اینکه بتوانیم امنیت کامل در وردپرس برقرار کنیم باید ۱۲ راهکار ساده اما خیلی ضروری را محکم برداریم و هیچ‌کدام را نادیده نگیریم.

1. لطفا از نام کاربری admin استفاده نکنید. 
2. از پسوردهای سخت استفاده کنید. 
3. از احراز هویت دو مرحله‌ای استفاده کنید. 
4. دسترسی سایت را به افراد مطمئن دهید.
5. پنهان کردن wp-config.php و htaccess.
6. استفاده از کلیدهای امنیتی وردپرس برای احراز هویت استفاده کنید.
7. غیرفعال کردن ویرایشگر فایل
8. ایجاد محدودیت در وارد شدن به سایت
9. استفاده از XML-RPC
10. انتخاب هاست ایمن برای وردپرس
11. همیشه بروز بمانید. 
12. از قالب و افزونه‌های مطمئن استفاده کنید.

۱- لطفا از نام کاربری admin استفاده نکنید

به این موضوع خوب فکر کنید. راحت‌ترین کاری است که می‌توانید برای برقراری امنیت کامل در وردپرس انجام دهید. نه نیاز به ابزاری است و نه نیاز به بررسی. تنها کافیست به جای اینکه نام کاربری پیش‌فرض وردپرس را استفاده کنید، خود نام کاربری مقاوم‌تری انتخاب کنید. این گزینه نیازمند هیچ هزینه‌ای نیست اما عدم رعایت آن می‌تواند برایتان هزینه سنگینی ایجاد کند! هرگز فراموش نکنید:

امنیت در مورد حذف خطر نیست، بلکه در مورد کاهش خطر است.

یک حساب کاربری برای خودتان ایجاد کنید زیرا زمانی که می‌خواهید در سایت، مطالبی بنویسید نام کاربری که همان ادمین است به کاربران نمایش داده می‌شود. پس یک نام کاربری دیگر به عنوان ویرایشگر بسازید و در هنگام نوشتن مطالب از آن استفاده کنید تا کسی در مورد اکانت کاربری مدیریت بویی نبرد.

۲- از رمز های قوی استفاده کنید

نکته‌ای که همیشه باید به خاطر داشته باشید: پیچیده، طولانی و یکتا بودن است.
وبسایتی مانند Lastpass امکان انتخاب پسوردهای قوی را به شما می‌دهد. البته کار پیچیده‌ای نیست و خودتان نیز به راحتی می‌توانید آن را برای برقراری امنیت کامل در وردپرس انتخاب کنید. ولی اگر دوست دارید از چنین سایتی نیز می‌توانید کمک بگیرید.

۳- از احراز هویت دو مرحله‌ای استفاده کنید

حتی اگر از نام کاربری و پسورد قوی استفاده می‌کنید، آگاه باشید که هنوز امکان خطر حملات Brute Force در کمین شماست! مرحله‌ دیگری که باید برای مقابله با آن در نظر بگیرید، استفاده از احراز هویت دو مرحله‌ای است. برای ایجاد چنین امکانی پیشنهاد می‌کنم از افزونه wordfence Security استفاده کنید.

۴- دسترسی سایت را به افراد مطمئن دهید

ممکن است وبسایتتان دارای چند نویسنده، مدیر، ویرایشگر و… باشد. این‌گونه کار شما در برقراری امنیت کامل در وردپرس سخت می‌شود. چرا؟
واضح است! آیا نسبت به تمامی افراد مطمئن هستید؟ هرگز نمی‌توان گفت بله. ممکن است افراد خودشان خطرناک باشند یا در بهترین حالت از اطلاعات کاربری قوی استفاده نکنند و وبسایت را به خطر بیندازند. برای جلوگیری از این مشکل باید چه کرد؟
۱- افرادی که مطمئن هستند را انتخاب کنید.
۲- دسترسی افراد را براساس عملکردی که دارند محدود کنید. این عملیات را می‌توان با کمک افزونه Advanced Access Manager انجام داد.

۵- پنهان کردن wp-config.php و htaccess.

یکی دیگر از روش‌های برقراری امنیت کامل در وردپرس، مخفی کردن همین دو فایل است. کار به ظاهر ساده‌ای است اما کمی اشتباه در انجام آن، می‌تواند وبسایتتان را از دسترس خارج کند. پس اول یک نسخه پشتیبان تهیه کرده و سپس عملیات را آغاز کنید. ناگفته نماند که افزونه Yoast SEO این کار را برایتان ساده‌تر می‌کند. برای این منظور به بخش ابزارها>> ویرایشگر فایل مراجعه کنید. در اینجا با فایل htaccess. مواجه می‌شوید. حال قطعه کد زیر را برای حفظ ایمنی بیشتر wp-config.php وارد کنید:

[php]
<Files wp-config.php>
order allow,deny
deny from all
</Files>
[/php]

همچنین برای محافظت از فایل htaccess. می‌توانید قطعه کد زیر را وارد کنید:

[php]
<Files .htaccess>
order allow,deny
deny from all
</Files>
[/php]

۶- استفاده از کلیدهای امنیتی وردپرس برای احراز هویت استفاده کنید

کلید‌های امنیتی وردپرس و احراز هویت در یک همکاری قدرتمند برای محافظت از کوکی‌ها و رمزهای عبور در بین مرورگر و وب‌سرور فعالیت می‌کنند. لطفا کلیدهای احراز هویت را با پسوردهای رندوم اشتباه نگیرید. این کلیدها وظیفه حفاظت و بهبود امنیت در برابر کوکی‌ها را برعهده دارند.
برای این منظور باید تغییراتی را در wp-config.php به کمک کلیدهای امنیتی انجام داد. برخی از آن‌ها به صورت زیر است:

[php]
define(‘AUTH_KEY’, ‘-+[_ig?wETc;r3<!S#.aB`F4)muO9Z7t>GR$Xzbh=HFD(|ZMS V}wN%[h[Kf|:`H’);
define(‘SECURE_AUTH_KEY’, ‘-=,=ou;=z]2W`Vp510}n+X,>)&@e|O;EI#I1eTmdy}.{=NuZzW~^|W{0{i%@;A`c’);
define(‘LOGGED_IN_KEY’, ‘(%0/c;f|7iGciA^;+yN&)6G?g+}|mFQ0J1qrs9{6UcQ5L8L9$6c_YQ6SP:%)3GL{‘);
define(‘NONCE_KEY’, ‘4_O}rtFl-Pq_Tp x0RLsOY+wQGTeA[hy~P;~-Lg]+{sfNsY^G{[O2Xg4`-l;$m-=’);
define(‘AUTH_SALT’, ‘Z!>bOhFB2i~P%r$LC[sc- ^-u&>eF>A-QhWQ@ygrL^5lN@2@29t+d#rz~:F!cpw1’);
define(‘SECURE_AUTH_SALT’, ‘,UN9qIyGatT&)%pj=|*StP?aabOL*Jl.L-3_31|u?#iO8nC^nNT/3DF<>~x^CSRf’);
define(‘LOGGED_IN_SALT’, ‘3vfbS2m}2],UO<c,;==f9a` *k%{jUny=kGmeB/[*[OwtY2Emmw?Afn%2?7_bF5Z’);
define(‘NONCE_SALT’, ‘L@::-KC3O=pg;Dm+66Osgph(@@uR^lDw[wu0qk/-CP.SblVO@Oyv`L=+yYQF2cJ-‘);
[/php]

می‌توانید آن‌ها را در wp-config.php اضافه کنید.

۷- غیرفعال کردن ویرایشگر فایل

کی دیگر از روش‌های برقراری امنیت کامل در وردپرس، غیرفعال کردن حالت ویرایشگر در وردپرس است. چنانچه هکر به وردپرس نفوذ کند به راحتی می‌تواند از بخش نمایش>> ویرایشگر به کدهای وبسایتتان دسترسی یافته و آن را دچار خرابی یا تغییر کند. برای این منظور باید این بخش را غیرفعال کرد. برای این منظور لطفا قطعه کد زیر را در فایل wp-config.php وارد کنید:

[php]
define(‘DISALLOW_FILE_EDIT’, true);
[/php]

از این پس لطفا تغییرات خود را به کمک FTP یا وارد شدن به هاست، انجام دهید. و قید این بخش را بزنید!

۸- ایجاد محدودیت در وارد شدن به سایت

یکی دیگر از حملاتی که Brute Force در آن نقش پر رنگی دارد، تلاش در وارد شدن به پنل ادمین است. آنقدر نام کاربری و پسورد را وارد می‌کند تا بالاخره وارد شود. برای مقابله با این مشکل و برقراری امنیت کامل در وردپرس دو روش را پیشنهاد می‌کنم:

یک – تغییر آدرس پیش‌فرض برای ورود به پیشخوان وردپرس که با کمک افزونه Protect WP admin .
دو – ایجاد محدودیت در تلاش برای وارد شدن به سایت. این اقدام نیز با کمک بعضی افزونه‌های امنیتی امکان‌پذیر است که یکی از آن‌ها افزونهBrute Force Login Protection است. 

۹- استفاده از XML-RPC

XML-RPC یک برنامه رابط کاربری یا API است که ایجاد آن برای مدتی طول کشید و توسط تعدادی افزونه و قالب استفاده می‌شود. البته باید تکنیک‌های فنی زیادی را در استفاده از آن رعایت کرد تا با خطرات امنیتی مواجه نشویم. پس اگر از افزونه‌های این چنینی استفاده می‌کنید، لطفا حواستان را جمع کنید و با تسلط کامل از آن بهره‌مند شوید.

۱۰- انتخاب هاست ایمن برای وردپرس

در برقراری امنیت کامل در وردپرس، هرگز قدرت هاست را دست کم نگیرید. می‌دانم که ممکن است برای هزینه‌های بالایی که با آن مواجه می‌شوید یک هاست معمولی را انتخاب کنید، اما اگر به پیامدهای آن فکر کنید مطمئنا این هزینه اولیه را متحمل می‌شوید.
در کنار انتخاب هاست قدرتمند، استفاده از هاستی که برای وردپرس مناسب باشد به مراتب بهتر است. اکثر شرکت‌های معتبر ارائه دهنده هاست، پلنی را به عنوان هاست وردپرس دارند. مطمئنا امکاناتی را بر روی آن ایجاد کرده‌اند که برای ساخت وبسایت‌های وردپرسی گزینه خوبی است.

۱۱- همیشه بروز بمانید

بروزرسانی وردپرس، افزونه وردپرس و قالب وردپرس را در اولویت کار خود قرار دهید. اگر از بروزرسانی‌های به موقع غافل شوید دیگر تضمین نمی‌کنم وبسایت سالمی داشته باشید. به نظر شما چرا نسخه‌های جدید ارائه می‌شوند؟
به هزار و یک دلیل که یکی از برجسته‌ترین آن حل باگ‌ها و مشکلات امنیتی در نسخه قبلی است. همین یک مورد می‌تواند به شدت برایتان ایجاد مشکل کند. پس لطفا آن را جدی بگیرید!

۱۲- از قالب و افزونه‌های مطمئن استفاده کنید

چندی پیش یکی از دوستان صحبتی در مورد قالب و افزونه رایگان و پرمیوم می‌کرد و تمایل داشت تفاوت عمیقی در انتخاب قالب رایگان و پرمیوم ایجاد کند. بله تفاوت هست اما اینکه من بگویم قالب‌ها و افزونه‌های رایگان به درد بخور نیستند، حرف اشتباهی است و هرگز تایید نمی‌کنم.
مخزن وردپرس خود نمونه عالی از افزونه و قالب‌های رایگان و استاندارد است. فقط لطفا قالب و افزونه مورد نظر را همیشه تست کنید و بعد بر روی وبسایت خود نصب کنید. ممکن است عدم سازگاری و امنیت پایین شما را دچار مشکل کند.
همین که از مراجع رسمی دانلود خود را انجام دهید، بهترین کمک به سایت است.