ضد هک شدن وردپرس در 14 مرحله

مهران حسینی راد
امنیت وردپرس, مقالات آموزشی
1403/12/04
4 اسفند 1403

ضد هک شدن وردپرس در 14 مرحله

همانطور که می دانید یکی از وظایف های مهم مدیران سایت این است که بتوانند امنیت سایت وردپرسی خود را به سبکی افزایش دهند که به سادگی هک نشود و امنیت سایت وردپرسی آن ها به خودشان بستگی دارد از اینکه چه روش های را برای بالا بردن امنیت سایت خود استفاده می کنند و اینجا ما در این مقاله از میهن آکادمی می خواهیم به شما توضیح دهیم که چطور می توانید با یک سایت ضد هک داشته باشید

در اینجا بخوانید . . .

با اینکه روش های زیادی برای افزایش امنیت سایت وجود دارد و ما در این مقاله می خواهم به شما در مورد 14 مرحله برای افزایش امنیت سایت وردپرس با شما توضیح دهیم که می توانید خیلی راحت با این چند روش یک سایت وردپرس با امنیت بالا داشته باشید و سایت خود را به راحتی در دست هکر ها قرار ندهید.

بعضی مواقعه ممکن است برای شما پیش آید که شاهد حملاتی در بخش پنل مدیریت سایت خود باشید و حفاظت کردن از بخش پنل مدیریت یکی از اساسی ترین بخش های وب سایت می باشد که شما بتوانید از پنل مدیریت سایت وردپرسی خود محافظت کنید و دسترسی های غیرمجاز و افراد غیرفعال در سایت خود را مسدود به تهدیدات امنیتی کنید یا به صورت ساده آن ها را مسدود کنید

در این مقاله آموزشی می خواهیم به شما نکاتی برای افزایش امنیت پنل مدیریت سایت وردپرس را توضیح دهیم پس تا انتهای این آموزش با ما همراه باشید

WAF ، یک روش حرفه ای برای افزایش پنل مدیریت وردپرس

اولین روشی که شما برای افزایش امنیت سایت خود باید رعایت این است که از برنامه های فایروال تحت وب می باشد استفاده کنید ، زیرا این برنامه یا همان WAF است که ترافیک وب سایت و در خواست های بلاک مشکوک که به وب سایت شما وارد می شود را بررسی و نظارت می کند و در حالی که چندین افزونه فایروال برای وردپرس وجود دارد ما به شما این پیشنهاد را می دهیم که از افزونه Sucuri استفاده کنید

این یک افزونه برای نظارت و امنیت سایت وردپرس شماست که یک امنیت ابری بر اساس WAF یا همان دیواره آتش برای محافظت از وب سایت شما ارائه می کند و در مرحله اول تمام ترافیک وب سایت شما توسط پروکسی های سرور ابری قرار می گیرد و مکانی که هر درخواست و بلاک مشکوکی به سایت شما وارد شود آن را تجزیه و تحویل می کنند و از حملات ای پی فیشینگ ، هک کردن یا بد افزار های دیگر از فعالیت های مخرب در سایت شما جلوگیری می کند

قرار دادن پسورد بر روی پوشه مدیریت وردپرس همان WP-ADMIN

همانطور که می دانید پنل مدیریت وردپرس به صورت عادی با پسورد ورود به وردپرس محافظت می شود و شما می توانید برای اینکه موارد های امنیتی بیشتری به سایت خود اضافه کنید و از رمز عبور ایمن و قوی برای سایت خود استفاده کنید و در ضمن شما می توانید برای امنیت بیشتر صفحه پنل مدیریت خود بر روی پوشه WP-ADMIN وردپرس خود رمز عبور قرار دهید تا باعث دو مرحله ای شدن رمز عبور برای وارد شدن به پنل مدیریت شما شود

افزایش امنیت وردپرس با رمز گذاری بر روی wp-admin

برای اینکه شما بتوانید در بر روی پوشه سایت خود یعنی WP-ADMIN رمز عبور قرار دهید باید وارد هاست سایت خود شوید و بعد از آن وارد بخش FileManeger هاست شده که بتوانید بر روی پوشه wp-admin سایت خود رمز عبور یا همان پسورد قرار دهید و بعد از وارد شدن به FileManeger هاست خود شما باید بر روی پوشه WP-ADMIN کلیک راست کرده و بر روی دکمه Password Protect کلیک کنید و اینجا یک صفحه برای شما باز می شود که شما باید رمز عبور خود را بنویسید و بر روی دکمه Save کلیک کنید تا رمز شما بر روی پوشه قرار داده شود.

در ضمن اگر آموزش کامل قرار دادن رمز عبور بر روی پوشه WP-ADMIN را می خواهید ، این مقاله به صورت کامل در میهن آکادمی موجود است

استفاده کردن از پسورد قوی برای پنل مدیریت

همیشه برای افزایش امنیت سایت خود بهتره که برای تمامی اکانت های کاربران در سایت وردپرسی خود از پسورد یا رمز عبور های قوی استفاده کنید و بهتره که این پسورد که می سازید مخلفاتی از حروف و اعداد و کاراکتر های اسمبلی باشد مانند @ و # و ! که هکر ها نتوانند پسورد امنیتی سایت شما را به راحتی پیدا کنند و بعد از آن وارد پنل مدیریت سایت شما شوند

همچنین می توانید برای مدیریت کردن پسورد یا همان رمز عبور در سیستم شخصی خودتان (کامپیوتر) یا تلفن همراه خود برنامه های برای مدیریت پسورد و یا همان رمز عبور نصب کنید تا در صورت فراموشی رمز عبور خود به آن برنامه مراجعه کنید و رمز خود را پیدا کنید و در ضمن شما می توانید از سرویس LastPass برای ذخیره سازی رمز های عبور خود استفاده کنید ، این برنامه هر یوزر و پسوردی که شما در سیستم خود دارید و با آن وارد هر سایتی می شوید را در خود ذخیره سازی می کند

محدود کردن تلاش کاربران برای ورود به سایت

یکی دیگر از روش های که شما می توانید برای افزایش امنیت پنل مدیریت سایت خود از آن استفاده کنید ، این است که از محدود کنید کاربرانی را که می خواهند وارد سایت شما شوند و رمز عبور یا یوزر کاربری اشتباه وارد می کنند را وقتی که شما رمز عبور خود را قوی انتخاب کنید یک کاربر به سادگی نمی تواند وارد پنل مدیریت وردپرس شما شود مگر اینکه با یوزر های کاربری ضعیف را پیدا کند و بعد وارد پنل مدیریت سایت شما شود

وقتی که رمز عبور قوی انتخاب کنید کاربر باید چندین بار یک رمز و یک نام کاربری را در پنل مدیریت شما وارد کند تا وارد سایت شما شود و وارد کردن اشتباه اطلاعات کاربری باعث هنگ کردن و از دست رفتن سایت شما می شود ، اینجاست که باید محدودیت برای کاربران قرار دهیم که اگر به فرض نمونه 2 بار اطلاعات اشتباه برای وارد شدن به سایت شما وارد کرد ، دیگر دسترسی آن کاربر را از صفحه پنل مدیریت وردپرس خارج کند

این کار با استفاده از افزونه ای به نام login lockdown می باشد و به شما این امکان را می دهد که بتوانید به کمک IP های کاربرانی که در سایت شما اطلاعات نادرست را وارد می کنند بلاک می کند و اجازه دسترسی سایت را دیگر تا مدتی محدود نمی دهد.

دو مرحله ای کردن برای ورود به پنل مدیریت وردپرس

یکی دیگر از روش های افزایش امنیت وب سایت ، استفاده از سیستم دو مرحله ای کردن پنل مدیریت وردپرس است که شما می توانید برای افزایش پنل مدیریت سایت خود از آن استفاده کنید و در واقع این کار باعث می شود که روند وارد شدن به پنل مدیریت سایت شما بسیار سخت تر شود و هر کسی به راحتی نتواند در سایت شما و به خصوص پنل مدیریت وردپرس تان دسترسی نداشته باشد

این دو مرحله ای کردن برای وارد شدن به پنل مدیریت وردپرس یک لایه امنیتی دیگر به سایت شما اضافه می کند که کاربر برای اینکه یک پسورد وارد کند و به پنل مدیریت شما وارد شود باید پسورد یا کد تایید گوگل هم برای وارد شدن به پنل مدیریت سایت اضافه کند و اگر که می خواهید سوال امنیتی برای صفحه ورود به وردپرس خود داشته باشید (آموزش افزودن سوال امنیتی به صفحه ورود) را مطالعه کنید

محدود کردن دسترسی ورود به پنل مدیریت وردپرس با IP آدرس

این روش دسترسی به صفحه ورود وردپرس (wp-admin) رو فقط برای IP address های مشخصی که شما تعیین می‌کنید، مجاز می‌کنه. با این کار، اگر کسی با IP دیگری تلاش کنه وارد پنل مدیریت بشه، با پیغام خطا مواجه میشه و نمیتونه وارد بشه. این یک لایه امنیتی اضافه برای جلوگیری از حملات brute-force و تلاش‌های نفوذ به سایت شماست. فقط مطمئن بشید که IP address های درست رو وارد کردید و اگر IP شما داینامیکه، از این روش استفاده نکنید.

برای اینکه شما بتوانید دسترسی کاربران را برای ورود به پنل مدیریت وردپرس محدود کنید باید کد زیر را در فایل htaccess وردپرس خود قرار دهید

&lt;Directory /wp-admin>
    order deny,allow
    deny from all
    allow from "آدرس IP شما"
    allow from "آدرس IP دوم شما"
    # میتونید IP های دیگه رو هم اینجا اضافه کنید
&lt;/Directory>

با استفاده درست از کد بالا شما می توانید آدرس IP کاربران مزاحم خود را پیدا کنید و آن را از پنل مدیریت سایت خود محدود کنید

غیرفعال کردن نمایش خطا ورود پنل به وردپرس

همانطور که می دانید زمانی که شما وارد صفحه ورود به پنل مدیریت سایت خود می شوید و رمز یا اطلاعات اشتباه وارد می کنید ، به شما دلیل اینکه چرا نمی توانید وارد پنل مدیریت سایت شوید را نمایش می دهد و گفته می شود که شما به دلیل فلان نمی توانید وارد پنل مدیریت وردپرس شوید و این مورد خیلی میتونه به هکر ها برای هک کردن سایت ها استفاده شود و پس بهتره که این خطا را از نمایش دادن غیرفعال کنیم

با اضافه کردن کد زیر به فایل Functions.php می توانید این اخطاریه را غیرفعال کنید :

&lt;?php add_filter('login_errors', create_function('$a', "return null;"));?>

با استفاده از تکیه کد بالا شما می توانید خیلی راحت ، اطلاعیه های نمایش خطا در صفحه ورود وردپرس نمایش داده می شود را غیرفعال سازی کنید تا نمایش داده نشود

اجبار کردن کاربر برای استفاده از پسورد قوی

اگر که چند نویسنده در سایت شما فعالیت می کنند بهتره که پسورد آن ها قوی باشد و تا از طرف اکانت های کاربران سایت شما مورد دسترسی هکر ها قرار داده نشود و نتوانند آن را هک کنند ، اینجا در پروفایل وردپرس شما می توانید رمز خود را یک رمز عبور قوی قرار دهید تا کسی وارد پنل مدیریت شما نشود ، دلیل پسورد قوی گذاشتن این است که رمز ها می توانند کرک شوند مانند برنامه های کامپیوتری و کرک شدن رمز های عبور ضعیف باعث از دست رفتن سایت می شود

برای جلوگیری از این مشکل شما باید افزونه ای به نام Force Strong Passwords نصب و فعال سازی کنید و این افزونه تنظیماتی ندارد و پس از فعالسازی این افزونه هر کاربری که رمز عبور ضعیف استفاده می کند را متوقف می کند و آن کاربر های که رمز عبور قوی دارند را کاری ندارد و می توانند فعالیت خود را ادامه دهند.

بازگردانی پسورد وردپرس برای همه کاربران

یکی از قابلیت های افزایش امنیت این است که شما می توانید با ریست کردن یا بازگردانی پسورد همه کاربران خودتان امنیت سایت خود را افزایش دهید و برای این کار شما می توانید از افزونه های موجود در وردپرس استفاده کنید در مخزن وردپرس یک افزونه ای به نام Emergency Password Reset وجود دارد که شما می توانید این افزونه را در سایت خود نصب کرده و برای بازگردانی رمز عبور کاربران خود استفاده کنید

این افزونه تنظیمات آنچنانی ندارد و شما بعد از نصب و فعالسازی این افزونه یک بخش به نام خود افزونه یعنی Emergency Password Reset اضافه می شود که شما باید بر روی این دکمه کلیک کنید و بر روی دکمه Reset All Passwords بزنید تا همه پسورد های شما را ریست کند

آپدیت همیشگی وردپرس

وردپرس به دلیل استفاده کننده های زیاد همیشه دارای باگ های امنیتی ، ناسازگاری با افزونه ها و قالب های جدید وردپرسی ، مشکلات جدیدی که توسط کاربران آن به وردپرس ارسال می شود و نکات های دیگر نیاز به آپدیت دارد و این آپدیت کردن وردپرس نه تنها امنیت سایت شما را بهبود می‌بخشد، بلکه عملکرد، ویژگی‌ها، و تجربه کاربری سایت را نیز ارتقا می‌دهد.

اگر شما به طور منظم وردپرس خود را به‌روزرسانی کنید، سایت شما همیشه در بهترین وضعیت قرار خواهد داشت و از مشکلات احتمالی جلوگیری می‌شود. پیشنهاد می‌شود برای حفظ امنیت و بهینه‌سازی سایت خود، همیشه از آخرین نسخه وردپرس استفاده کنید.

ساخت صفحه ثبت نام و ورود سفارشی در سایت

در بیشتر سایت های وردپرسی نیاز است که کاربران برای فعالیت در سایت ثبت نام کنند ، به فرض مثال در سایت های یادگیری ، فروشگاه های آنلاین ، سرویس و ارائه خدمات برای ادامه روند فعالیت باید عضو شوند و در یکسری از سایت ها برای صفحه ثبت نام و صفحه ورود سایت خود از صفحه های سفارشی استفاده می کنند و به هر حال این کاربران می توانند از اکانت های کاربری خود برای وارد شدن به پنل مدیریت و یا ثبت نام در سایت استفاده کنند

این کاربران تنها صورتی در می توانند به پنل مدیریت سایت دسترسی داشته باشند که سطح کاربری برای آن ها مشخص شده باشد در حین ثبت نام ، آن سطح دسترسی به کاربران ثبت نام شده داده شده باشد که کاربر بتواند با آن سطح دسترسی وارد پنل مدیریت سایت شوند و این روش هم می تونه بهتون کمک کنه تا امنیت سایت خود را کمی بهبود بخشید و اینجاست که سطح دسترسی های وردپرس به شما کمک می کند

سطح دسترسی کاربران و امکانات آن سطح کاربری ها در وردپرس

همانطور که می دانید در وردپرس، سطح های دسترسی کاربران نقش مهمی در تعیین اینکه هر کاربر چه کارهایی می‌تواند انجام دهد را دارد ، در واقع می دانید که وردپرس به صورت پیشفرض دارای پنج نوع دسترسی می باشد که هر کدام در وردپرس می تواند برای خود فعالیت های انجام دهد و به فرض مثال ، یک مدیر سایت می تواند تمام بخش سایت را ببنید و مدیریت کند و یا یک نویسنده می تواند مقاله بنویسید و در سایت انتشار دهد

ویراستار می تواند در سایت شما مقاله های وب سایت را مشاهده کند و ویرایش کند و یا دسته های جدید بسازد و در سایت منتشر کند و دیگر سطح دسترسی های وردپرس برای خود امکاناتی به کاربر می دهد تا در سایت شما استفاده کند ، دادن سطح کاربری نامناسب می تواند به ضرر سایت شما تمام شود و امنیت سایت شما را به خطر بیندازند

محدود کردن دسترسی پیشخوان

بعضی از وب سایت های وردپرسی برای اینکه فقط به افرادی که در سایت خودشان کار و فعالیت می کنند بخواهند دسترسی به پیشخوان وردپرس را بدهند و در صورتی که کاربران دیگر نتواند وارد پنل مدیریت سایت شود می توانند از این روش برای سایت خود محدود کردن دسترسی پیشخوان خود را بدهند

با این حال به طور پیشفرض همه کاربران می توانند به پنل مدیریت وردپرس دسترسی داشته باشند که شما باید از آن جلوگیری کنید و اکثریت افراد برای این کار از کد نویسی استفاده می کنند که بتوانند به راحتی بدون نیاز به افزونه این کار را انجام دهند ، پس بهتره که ما برای افراد مبتدی افزونه ای را معرفی کنیم به نام افزونه Remove Dashboard Access می باشد که این افزونه تا به حال بیش از 40000 بار در مخزن وردپرس ، دانلود شده است و شما هم می توانید به راحتی از این افزونه برای محدود کردن دسترسی پیشخوان وردپرس خود استفاده کنید

خروج کاربران بیکار در وردپرس به صورت خودکار

وردپرس به صورت خودکار کاربران وارد شدن را از سیستم مدیریت بیرون نمی کند و خروج آن ها از وب سایت تنها می تواند دلیل بستن پنجره مرورگر و یا در نهایت خارج شدن از سیستم باشد و این روند می تواند برای سایت های وردپرسی با اطلاعات و مشتری بالا حساس و نگران کننده باشد و به همین است که سایت های مالی و برنامه های مالی به صورت خودکار از سیستم مدیریت سایت اگر که فعال نباشد به صورت خودکار خارج می کند

برای حل این مشکل شما باید یک افزونه ای به نام Idle User Logout را در سایت وردپرسی خودتان نصب و فعالسازی کنید و بعد از فعال کردن این افزونه شما باید به صفحه تنظیمات افزونه بروید و زمان بیکاری و خروج از سیستم را برای کاربرانی که فعالیت در سایت شما ندارند مشخص کنید

به همین راحتی شما می توانید با استفاده از این چند روش امنیت سایت خود را افزایش دهید ، موفق و پیروز باشید.

مقالات بیشتر برای افزایش امنیت وردپرس