
سلام دوستان؛ در جلسات قبل اصول امنیت وردپرس و اقدامات امنیتی غیر کدنویسی را مورد بحث قرار دادیم. در این جلسه از پشتیبانی وردپرس، در مورد اقدامات امنیتی وردپرس که توسط صاحبان وب سایت وردپرس اجرا می شود صحبت خواهیم کرد.
آنچه در این مقاله می خوانید:
اقدامات امنیتی وردپرس از سوی صاحبان مشاغل
تمام اقداماتی که تا کنون ذکر کردیم باعث افزایش سطح امنیت وردپرس می شود. اما سطح ایمنی همچنان قابل افزایش است. با اقداماتی که صاحبان وب سایت انجام می دهند می توان سطح امنیت وب سایت وردپرس را تا حد زیادی افزایش داد. همانطور که در جلسه اول اشاره کردیم 11 اقدام امنیتی وجود دارد که توسط صاحبان سایت ها انجام می شود که در ادامه به آنها اشاره خواهیم کرد.
1- تغییر نام کاربری پیش فرض وردپرس (Admin)
نام کاربری مدیریتی به طور پیش فرض admin است و از آنجایی که نام کاربری حاوی نیمی از اعتبارنامه های وارد شده است، هکرها را تشویق به انجام حملات brute force می کند. خوشبختانه وردپرس به این موضوع پاسخ داده و اکنون امکان تعیین نام کاربری در هنگام نصب وردپرس وجود دارد. با این حال، برخی هنوز از نام کاربری پیش فرض admin استفاده می کنند. اگر از خطر این موضوع آگاه هستید، بهتر است نام کاربری پیش فرض خود را تغییر دهید. وردپرس به شما اجازه می دهد نام کاربری پیش فرض خود را تغییر دهید. برای این کار سه روش وجود دارد. شامل:
- یک کاربر اداری جدید ایجاد کنید و کاربر قبلی را حذف کنید.
- برای تغییر نام کاربری از افزونه ها کمک بگیرید.
- نام کاربری شما از طریق phpMyAdmin تغییر دهید.
در صورت تمایل می توانید از راهنمای موجود در پشتیبانی وردپرس تحت عنوان 3 روش ساده برای تغییر نام کاربری وردپرس کمک بگیرید.
نکته: ما در مورد نام کاربری ورود به وردپرس “admin” صحبت می کنیم، نه نقش مدیر.
2- قابلیت ویرایش فایل ها را غیر فعال کنید
وردپرس دارای یک ویرایشگر کد است که به شما امکان می دهد تم و فایل های افزونه خود را از قسمت مدیریت وردپرس ویرایش کنید. در این صورت، این ویژگی ممکن است خطر امنیتی ایجاد کند، توصیه می کنیم آن را غیرفعال کنید.
برای غیرفعال کردن حالت ویرایشگر داخلی وردپرس می توانید قطعه کد زیر را در فایل wp-config.php خود قرار دهید.
// ویرایش فایل را غیرفعال کنید define(‘DISALLOW_FILE_EDIT’, true);
برخی از افزونه های امنیتی این را در امکانات خود قرار داده اند و با یک کلیک می توانید ویرایشگر داخلی وردپرس را غیرفعال کنید.
3- پخش خودکار فایل ها را غیرفعال کنید PHP در دایرکتوری های خاص
یکی دیگر از راههای بهبود امنیت وردپرس، غیرفعال کردن اجرای فایلهای PHP در دایرکتوریهایی است که مورد نیاز نیستند، مانند /wp-content/uploads/. برای این منظور می تواند یک ویرایشگر متن مانند Notepad را باز کنید و کد زیر را در آن وارد کنید.
<Файлове *.php>
همه رو تکذیب میکنم
سپس این فایل باید htaccess نامیده شود. آن را ذخیره کرده و با استفاده از یک سرور FTP در مسیر wp-content/uploads/ در وب سایت خود آپلود کنید. شایان ذکر است که برخی از افزونه های امنیتی در صورت تمایل این کار را برای شما انجام می دهند.
4-محدود کردن تعداد تلاش برای ورود کاربر
به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا تا زمانی که می خواهند بدون محدودیت وارد سیستم شوند. این سیاست وب سایت وردپرس شما را در برابر حملات بی رحمانه آسیب پذیر می کند. هکرها سعی می کنند ترکیب های مختلف رمز عبور را آزمایش کنند.اما این اقدام مخرب هکرها را می توان به راحتی با محدود کردن تلاش های ناموفق برای ورود به سیستم جلوگیری کرد. اگر از فایروال ذکر شده در بالا استفاده کنید، به طور خودکار سیستم را کنترل می کند. با این حال، اگر راه اندازی فایروال ندارید، مراحل زیر را دنبال کنید.
- افزونه Login LockDown را نصب و فعال کنید. برای مشاهده جزئیات بیشتر به آموزش مراجعه کنید افزونه Login LockDown را بررسی کنید.
- پس از فعال سازی، برای راه اندازی و پیکربندی افزونه، از قسمت تنظیمات وردپرس به زیر منوی Login LockDown مراجعه کنید.
تنظیمات مورد نظر را برای محدود کردن تلاش های ناموفق برای ورود با استفاده از راهنمای این افزونه اعمال کنید. این یکی از مهمترین اقدامات امنیتی در وردپرس است.
5- تغییر پیشوند جداول پایگاه داده وردپرس
به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول پایگاه داده استفاده می کند. اگر سایت وردپرس شما از پیشوند پایگاه داده پیش فرض استفاده می کند، هکرها می توانند حدس بزنند نام جدول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید.
نکته: اگر این کار به درستی انجام نشود باعث ایجاد مشکل می شود. اگر مهارت کافی ندارید این را توصیه نمی کنیم. قبل از اعمال تغییرات برای کمک افزونه UpdraftPlus از پایگاه داده خود نسخه پشتیبان تهیه کنید.
در جلسه گذشته 6 روش مهم برای ارتقای سطح امنیت وردپرس را ارائه خواهیم داد. موفق باشید. 😉
پایان جلسه سوم
بهبود امنیت و پاکسازی کدهای مخرب وردپرس