امنیت وردپرس

امنیت وردپرس به شرایط و فاکتورهای بسیاری وابسته است که در این آموزش قصد داریم بصورت کامل موضوع را بررسی و آموزش دهیم. امنیت سرور ، امنیت هسته وردپرس ، امنیت سرویس ها و نرم افزارهای موجود بر روی سرور و هاست ، امنیت شبکه مورد استفاده ، رعایت موارد امنیتی در هنگام کار با وردپرس و … همگی در امنیت وردپرس تاثیر گذار هستند. از قالب و افزونه های نال شده و غیر معتبر به هیچ عنوان استفاده نکنید و تنها آنها را از منبع اصلی خودشان دریافت و استفاده کنید. ممکن است همه موارد امنیتی در سطح بالایی انجام شده باشد اما با یک اشتباه کوچک تمامی موارد تحت تاثیر قرار گرفته و امنیت وردپرس به خطر بیافتد.

امنیت وردپرس

جلوگیری از هک وردپرس

جلوگیری از هک وردپرس با چند کار ساده و مقدماتی قابل انجام است. برای جلوگیری از هک وردپرس کافیست اقدامات بیان شده در زیر را انجام و موارد ذکر شده را رعایت کنید.

آموزش امنیت وردپرس

آموزش امنیت وردپرس طی مراحلی به حضور شما عزیزان ارائه می شود. در این آموزش طی روند منظمی مطالب مورد نظر ارائه می شود.

استفاده از نام کاربری غیر از admin

این موضوع بسیار مهم است که نام کاربری وردپرس مورد استفاده شما مقداری غیر از admin یا موارد مشابه باشد. بهتر است از نام کاربری غیر قابل پیش بینی استفاده کنید. در هنگام نصب وردپرس امکان تخصیص نام کاربری دلخواه وجود دارد. پس از نصب امکان تغییر نام کاربری از پنل مدیریت وردپرس وجود ندارد و باید از phpmyadmin جدول wp_users نام کاربری مورد نظر را انتخاب و مقدار موجود را به نام دیگری تغییر دهید.

سطح دسترسی wp-config.php در وردپرس

سطح دسترسی فایل wp-config.php در وردپرس را بر روی 400 تنظیم کنید. اگر با سطح دسترسی 400 مشکل عدم دسترسی به خواندن فایل کانفیگ وردپرس مشاهده شد آنرا بر روی 600 تنظیم کنید.

انتقال فایل wp-config.php به ریشه بالاتر
اگر وردپرس را در مسیر اصلی public_html نصب کرده اید این امکان وجود دارد که فایل کانفیگ wp-config.php را به ریشه ( root ) منتقل کنید.
فایل wp-config.php را به مسیر ریشه یعنی قبل از public_html انتقال دهید.

محافظت از مسیر مدیریتی وردپرس

1- فعال کردن password protect بر روی دایرکتوری wp-admin

در سی پنل بصورت زیر اقدام کنید.
– وارد شدن به سی پنل و کلیک بر روی File Manager
– وارد شدن به مسیری که دایرکتوری wp-admin در آن قرار دارد.
– راست کلیک بر روی پوشه wp-admin و کلیک بر روی password protect
– فعال کردن تیک Password protect this directory و وارد کردن نام دلخواه در Name the protected directory و save
–  واردن کردن نام کاربری دلخواه در Username
– وارد کردن رمز عبور دلخواه در فیلد New Password و Password-Again
– کلیک بر روی Add/modify authorized user

در دایرکت ادمین بصورت زیر اقدام کنید.
– ورود به پنل دایرکت ادمین
– کلیک بر روی FileManager
– رفتن به مسیری که دایرکتوری wp-admin در آن قرار دارد.
– کلیک بر روی عبارت Protect در مقابل دایرکتوری
– در صفحه مورد نظر بصورت زیر اقدام کنید.
– Protected Directory Prompt : نام اشاره که اهمیت آنچنانی ندارد.
– Set/Update User : نام کاربری مورد نظر
– and Password , Re-enter Password : وارد کردن رمز عبور و تایید آن
– و در نهایت فعال بودن Activate protection و کلیک بر روی

امنیت وردپرس

2- محافظت از مسیر مدیریتی توسط rectrict IP ( محدودیت آی پی )
وارد مسیر wp-admin شده و در حالت ویرایش، مقادیر زیر را درون فایل htaccess. وارد کنید.

order deny,allow
allow from 12.34.5.67
allow from 98.76.54.32
deny from all

مقادیر فوق دسترسی به مسیر مدیریتی را به آی پی محدود می کند.

توجه 1 : بجای عبارت 12.34.5.67 آی پی یا رنج آی پی خود را وارد کنید.
توجه 2 : هر بخش از 4 بخش آی پی را octet می گویند.
توجه 3 : اگر از آی پی دینامیک استفاده می کنید می توانید octet های ثابت را به عنوان رنج آی پی وارد کنید. برای مثال .12.34
توجه 3-1 : در مورد فوق هر آی پی که دو octet اول آن بصورت درج شده باشد مجاز به مشاهده مسیر مدیریت خواهد بود.
توجه 4 : وجود عبارت deny from all برای اجرای صحیح عدم دسترسی همه آی پی ها به غیر از موارد مجار شده ضروری است.
توجه 5 : برای مجاز کردن آی پی ها می توانید تعداد 0 تا بی نهایت مورد تعریف کنید که عدم وجود allow و وجود deny from all به معنی بستن دسترسی برای همه است.

تغییرات مورد نظر خود را ذخیره و سطح دسترسی فایل htaccess. را بر روی 444 تنظیم کنید.

تغییر پیشوند جداول وردپرس

تغییر پیشوند جدوال وردپرس به چند صورت قابل است. بصورت پیشفرض جدوال دیتابیس وردپرس بصورت wp_ است که توصیه می شود حتما این مقدار را تغییر دهید. برای اینکار دیتابیس خود را از phpmyadmin بصورت فایل sql عملیات export در سیستم خود ذخیره کنید و با نرم افزارهای ویرایش فایل مانند notepad ++ داخل فایل را ویرایش و با جستجوی عبارت wp_ مقدار دیگری را جایگزین کنید. برای مثال evtq_ . و پس از اتمام کار این فایل sql را جایگزین دیتابیس موجود در phmyadmin کنید.

محافظت از فایل های wp-config.php و xmlrpc.php و wp-login.php
فایل htaccess. را مسیر اصلی نصب وردپرس باز کنید و مقادیر زیر را در انتهای آن قرار دهید و پس ذخیره سطح دسترسی آنرا بر روی 444 تنظیم کنید.

<FilesMatch "wp-config\.php|wp-login\.php|xmlrpc\.php">
Order allow,deny
Deny from all
</FilesMatch>

محافظت از فایل wp-config.php وردپرس بدلیل وجود اطلاعات حیاتی و دیتابیس در این فایل است.

محافظت از فایل wp-login.php وردپرس بدلیل جلوگیری از حملات brute force ( ورود با زور ) و ddos ( تکذیب سرویس )

محافظت از فایل xmlrpc.php وردپرس بدلیل جلوگیری از ایجاد اختلال در وردپرس و جلوگیری از حملات تکذیب سرویس ddos

افزونه امنیت وردپرس

افزونه امنیت وردپرس در شرایطی که کاربر توانایی انجام دادن اقدامات امنیتی فوق را ندارد مناسب است. با در نظر گرفتن معیارهای عملکرد مناسب ، کارایی و سهولت کار با افزونه امنیت ، جایگاه بهترین افزونه امنیت وردپرس را می توان در اختیار iThemes Security (formerly Better WP Security) دانست.

امنیت وردپرس بحث گسترده ای است. برای کسب اطلاعات بیشتر می توانید با جستجو اطلاعات بیشتری در مورد امنیت وردپرس کسب کنید.