چک لیست امنیتی وردپرس 2022- راهنمای گام به گام
مقدمه
امنیت وردپرس مانند امنیت خانه است. وقتی خانه یا محل کار خود را ترک می کنید ، درها ، پنجره ها و تمام دسترسی های باز را می بندید ، درسته؟ چرا برای وب سایت خود همین کار را انجام نمی دهید؟
امنیت یک سایت وردپرس در سال 2022 قرار نیست به آرامی انجام شود طوری که ما هم متوجه شویم. وردپرس همیشه ممکن است هک شود مخصوصا زمانی که داده های شما با ارزش می شوند ، بنابراین شما باید با اجرای دستورالعمل های راهنمای امنیتی وردپرس، برای ایمن سازی سایت وردپرس خود از حملات مختلف پیشگیری کنید.
هکرها به همه سایتهای وردپرس حمله نمی کنند. آنها فقط سایتهای آسیب پذیر وردپرس را هدف قرار می دهند، سایت هایی که هک کردن آنها آسان است. اگر سایت وردپرس شما به درستی ایمن شده باشد. هیچ هکری وقت خود را صرف پیدا کردن یک حفره ی امنیتی کوچک و یا بزرگ در وبسایت شما نمیکند (آن هم برای سرگرمی). پس وبسایت خود را ایمن نگه دارید تا هکر ها به سراغ وبسایت شما نیایند.
دانستن اینکه چرا وب سایت وردپرس شما به یک برنامه (Plan) امنیتی محکم و ثابت احتیاج دارد ، می تواند به شما کمک کند تا اقدامات امنیتی پیشگیرانه مناسب را انجام دهید و موردی را فراموش نکنید و از اقدامات هکر هایی که می خواهند دیوار امنیتی وبسایت شما را بشکنند جلو گیری کنید.
با کمک این راهنما ، متوجه خواهید شد که چگونه وبسایت وردپرسی خود را ایمن کنید.
به همین دلیل تیم ما این چک لیست امنیتی وردپرس را جمع بندی کرده است که شامل نکات مفیدی برای ایمن سازی سایت وردپرس شماست.
همچنین این راهنما بصورت قدم به قدم تمام نکات امنیتی وردپرس را بررسی می کند.
در این چک لیست امنیتی وردپرس ، می خواهیم چگونگی ایمن نگه داشتن وب سایت وردپرس را طبق دستورالعمل های ایمنی وردپرس از OWASP بررسی کنیم. برای مراجعه بعدی باید این صفحه را در مرورگر خود ذخیره کنید. این یک پست بسیار مفصل (و به همین دلیل طولانی) است که به امنیت وبسایت شما بطور کامل کمک می کند.
برنامه امنیتی وردپرس
توجه به این نکته مهم است که وردپرس یکی از رایج ترین سیستم های مدیریت محتوای هک شده (CMS) در اینترنت است.
جدی گرفتن امنیت وب سایت وردپرس با اجرای یک برنامه امنیتی وردپرس در سال 2019 می تواند به محافظت از وب سایت شما در برابر هکرها و سایر حملات مخرب کمک کند.
اجرای یک چک لیست امنیتی وردپرس که به طور مداوم در حال تغییر و رشد است , همچنین اطمینان از به روزرسانی های منظم در کنار این چک لیست بررسی وردپرس مهم است.
WP-CONFIG.PHP
- کلیدهای امنیتی WordPress را پیکربندی کنید؟
از WP-login وبسایت خود محافظت کنید
- از افزونه WPS Hide Login استفاده کنید
- برای توقف هکرها ، افزونه LockDown را استفاده کنید
- فعال کردن تأیید هویت دو عاملی (2FA – Two-factor Authentication)
- آدرس صفحه ورود به WordPress خود را تغییر نام دهید
- به جای نام کاربری از آدرس ایمیل استفاده کنید
- پیوندهای ورود به سیستم را از درون قالب (theme) حذف کنید
- یک رمز عبور قوی انتخاب کنید
- اعتبارنامه یا گواهی نامه وردپرس خود را مرتباً تغییر دهید
- پیام خطای عمومی برای نام کاربری یا گذرواژه نادرست قرار دهید. متن خطا نباشد.
- غیرفعال کردن REST API در وردپرس (در صورت عدم نیاز)
از صفحه ی مدیریت وردپرس خود محافظت کنید
- یک پوشه محافظت شده با رمز عبور ایجاد کنید
- وردپرس خود را به روز نگه دارید
- حذف حساب کاربری (admin) و ایجاد یک حساب کاربری جدید
- نقش های کاربر را در وردپرس ایجاد کنید
- از SSL یا TLS در سایت وردپرس خود استفاده کنید
- افزونه های امنیتی وردپرس را نصب کنید
- وب سایت را برای ویروس ها ، بدافزارها و نقض امنیتی اسکن کنید
امنیت تم (قالب) وردپرس
- قالب وردپرس خود را به روز نگه دارید
- قالب های بدون استفاده را از سایت وردپرس خود حذف کنید
- قالب های وردپرس را فقط از منابع معتبر دانلود کنید
- شماره نسخه وردپرس از هدر وبسایت خود بردارید.
بروز رسانی افزونه های وردپرس
- همه افزونه های وردپرس را به روز کنید
- افزونه های ناخواسته یا بدون استفاده وردپرس را حذف کنید
- افزونه ها را فقط از منابع معتبر دریافت کنید
- در نظر بگیرید پلاگین های قدیمی را با گزینه های جدیدتر جایگزین کنید
- قبل از نصب هزاران افزونه وردپرس ، دو بار فکر کنید
با توجه به افزونه های شما ، از این توصیه ها پیروی می کنیم:
- فقط افزونه های مورد نیاز خود را نصب کنید. در صورت عدم استفاده از آنها نیازی به نگه داشتن ماژول در دفتر کار خود ندارید. بنابراین باید مرتباً افزونه هایی را که فعال نیستند و شما به آنها دیگر احتیاج ندارید مرتب سازی و حذف کنیم. این مورد به شما امکان می دهد تا زمان بارگذاری صفحات خود را بهینه کنید و از سرعت کلی سایت خود کاسته شود.
- فقط افزونه هایی که مرتباً به روز می شوند را دانلود و فعال کنید. هنگام بارگیری ماژول ، می توانید تاریخ آخرین به روزرسانی را مشاهده کنید.
- بنابراین مراقب باشید که همیشه تیم عملیاتی پشتیبان توسعه یک افزونه را بررسی کنید.
- درباره کیفیت افزونه هایی که دانلود می کنید سؤال کنید. برای دانلود افزونه عجله نکنید. اگر درباره آن افزونه نمی دانید ، مدتی وقت بگذارید تا در مورد کیفیت آن بیاموزید. بررسی مشتری و شماره بارگیری را بررسی کنید. می توانید تمام این اطلاعات را از WordPress.org پیدا کنید. برای اطلاع بیشتر می توانید از طریق سایت رسمی افزونه ، همچنین سازندگان آن و از طریق اینترنت جستجو کنید.
محافظت از پایگاه داده وردپرس
- پیشوند دیتابیس را تغییر دهید
- تهیه نسخه پشتیبان روزانه از پایگاه داده وردپرس
- از میزبانی وب ایمن وردپرس استفاده کنید
ویژگی هایی که باید درباره ارائه دهنده میزبان وب جستجو کنید
- آنچه را که بهای آن را پرداخت می کنید واقعا دریافت می کنید؟ ، اگر وب سایت شما در درجه اول به عنوان سرگرمی بنا شده است، پس امنیت آن چندادن مهم نیست. با این حال ، به عنوان یک ابزار ضروری برای تجارت ، اغلب تصمیم بدی گرفته می شود و آن خرید هاست ارزان و گاهی رایگان است. برای مشتری های خود ارزش قائل باشید و از هاست ایمن و کارا استفاده کنید.
- مراقب ترفندهای قیمت گذاری باشید ، اکثریت قریب به اتفاق خدمات میزبانی وب از آغاز قیمت های قرارداد خود پایین می آیند ، اما پس از پایان دوره مقدماتی ، قیمت ها را افزایش می دهند. این تغییر می تواند 24 ، 36 یا حتی 60 ماه پس از ثبت نام و استفاده از قیمت ارزان باشد.
- ارائه دهنده چقدر قابل اعتماد است؟ ، تقریباً هر کسی می تواند ادعا کند که یک ارائه دهنده میزبانی وب واقعی است و به سادگی می تواند یک reseller باشد که تنها هاست های خود را از یک میزبانی دیگر می خرد.
- محدودیت های خود را بدانید: برای ایجاد وب سایت خود چقدر راحت هستید و یا این که چقدر توانایی دارید؟ آیا برای ساخت آن به کمک خارجی نیاز دارید؟
- از توسعه دهندگان وب کمک بگیرید، در این صورت نیازی به پیکربندی WordPress ، Joomla و غیره ندارید. با این حال ، به خاطر داشته باشید که به لطف سیستم عامل های اختصاصی آنها ، قادر نخواهید بود که محتوای خود را به راحتی مهاجرت دهید.
سرویس میزبانی وردپرس مهمترین نقش را برای محافظت از وب سایت شما در برابر هکرها و بدافزارها ایفا می کند. فقط با رعایت نکات امنیتی وردپرس مطمئن شوید که وردپرس را ایمن نگه می دارید:
- از SFTP یا SSH برای انتقال فایلها بین سرورهای محلی و راه دور استفاده کنید
- مجوزهای صحیح را به 755 برای پوشه و 644 برای فایل بصورت عمده اختصاص دهید (طبق کد مرجع)
- از فایل wp-config.php وردپرس محافظت کنید و مطمئن شوید که در دسترس دیگران نیست
- از طریق فایل .htaccess از دسترسی به فایلهای license.txt ، wp-config-sample.php و readme.html را جلوگیری کنید.
- غیرفعال کردن قابلیت ویرایش کد در داشبورد از طریق wp-config.php با کد
define(‘DISALLOW_FILE_EDIT’,true);
- از طریق فایل .htaccess دسترسی به indexing یا جستجو در پوشه ها را ببندید. با کد زیر
Options All -Indexes
گرفتن پشتیبان (Backup) روزانه
بهتر است از زیر ساخت ابری جهت گرفتن پشتیبان استفاده کنید تا هم به کمبود منابع مواجه نشوید و هم با یک کلیک بتوانید منابع خود را بازگردانی کنید.
سیاست تعیین رمز قوی
کاربران سیستم خود (به ویژه مدیران سیستم) را مجبور کنید تارمز قوی برای سیستم وردپرسی خود بگذارند و باز آنها را مجبور کنید تا هر از گاهی پسورد خود را تعویض کنند. این کار از حملات brute force جلوگیری میکند.