
ما از تجربه می دانیم که هک کردن سایت ما اصلاً سرگرم کننده نیست. به همین دلیل، در اینجا در پشتیبانی وردپرس، امنیت را بسیار جدی میگیریم. در راستای رویکرد جدی ما به امنیت، محصولات ما با دقت برای امنیت بیشتر بهینه شدهاند. با این حال، هنوز هم خطرات امنیتی بالقوه انگشت شماری در هنگام برخورد با وب سایتی وجود دارد که کنترلی روی آن نداریم. به عنوان یک مالک وب سایت، باید از این خطرات امنیتی بالقوه برای حفظ امنیت وب سایت خود آگاه باشید. نکات و ترفندهای مفید برای ایمن سازی وب سایت وردپرس شما همیشه یک موضوع داغ است. درست مانند زندگی روزمره، مردم با خرید خانه های سیمی، دزدگیر ماشین و وسایل، امنیت خود را افزایش می دهند. امنیت آنلاین به خصوص برای افرادی که از طریق وب سایت ها و وبلاگ ها امرار معاش می کنند اهمیت بیشتری دارد. در این مقاله نکات و ترفندهای امنیتی مفیدی را برای محافظت از وب سایت وردپرسی به شما خواهیم گفت، پس تا پایان مقاله با پشتیبانی وردپرس همراه باشید.
آنچه در این مقاله می خوانید:
1. از نمایش اطلاعات غیر ضروری خودداری کنید
موضوع هنگامی که موفق به ورود به وبلاگ وردپرس نمی شوید، سیستم مدیریت محتوا (CMS) اطلاعاتی را به شما نشان می دهد تا به شما در درک اشتباهات خود کمک کند. اگر رمز عبور خود را فراموش کرده اید نمایش این پیام برای شما مفید خواهد بود، اما نمایش این پیام برای کسانی که می خواهند وبلاگ شما را هک کنند نیز می تواند مفید باشد! پس چرا وقتی وارد سیستم نشده اید از نمایش پیام خطا در وردپرس جلوگیری نکنید؟پاسخ برای حذف پیام های خطای ورود، کافی است فایل functions.php را باز کنید و کد زیر را وارد کنید:
add_filter('login_errors',create_function('$a', "return null;"));
فایل را ذخیره کنید، سپس خواهید دید که در صورت عدم ورود به سیستم، پیام دیگر ظاهر نخواهد شد. لطفاً توجه داشته باشید که چندین فایل functions.php وجود دارد. مطمئن شوید که تغییراتی را در فهرست راهنمای wp-content خود ایجاد کرده اید.توضیحات کد: برای نگهداری بهتر سایت با استفاده از این کد، یک هوک ساده برای جایگزینی تابع login_errors() اضافه کردهایم. تابع سفارشی که ایجاد کردیم فقط null را برمی گرداند، بنابراین پیام نمایش داده شده یک رشته خالی است.
2. استفاده اجباری از SSL
موضوع اگر نگران اطلاعات خود هستید، قطعا می توانید از SSL استفاده کنید، SSL یک پروتکل رمزگذاری است که امنیت ارتباطات در شبکه هایی مانند اینترنت را تضمین می کند. آیا می دانستید که می توان وردپرس را مجبور به استفاده از SSL کرد؟ هیچ یک از سرویس های میزبانی وب به شما اجازه استفاده از SSL را نمی دهد، اما اگر روی WebHost WP یا HostGator میزبانی می کنید، می توانید SSL را فعال کنید.
پاسخ هنگامی که مطمئن شدید وب سرور شما می تواند SSL را مدیریت کند، به سادگی فایل wp-config.php خود را (در ریشه نصب وردپرس خود) باز کنید و کد زیر را وارد کنید:
define('FORCE_SSL_ADMIN', true);
سپس فایل را ذخیره کنید.
توضیحات کد: وردپرس از تعداد زیادی ثابت برای پیکربندی نرم افزار استفاده می کند. در این حالت، به سادگی ثابت FORCE_SSL_ADMIN را تعریف کرده و مقدار آن را روی true قرار می دهیم.
3. هرگز از کلمه “admin” به عنوان نام کاربری استفاده نکنید
در اوایل سال جاری، موجی از حملات brute force بر روی وب سایت های وردپرس در وب راه اندازی شد که شامل تلاش های مکرر برای ورود با نام کاربری “admin” به همراه یک سری از رمزهای عبور رایج بود. اگر از کلمه “admin” به عنوان نام کاربری خود استفاده می کنید و رمز عبور شما به اندازه کافی قوی نیست، سایت شما در برابر حملات مخرب بسیار آسیب پذیر است. به شدت توصیه می شود که نام کاربری خود را به چیزی کمتر واضح تغییر دهید. قبل از نسخه 3.0، نصب خودکار وردپرس کاربری ایجاد کرد که نام کاربری آن “admin” بود. در نسخه 3.0 این قسمت آپدیت شد تا اکنون بتوانید نام کاربری خود را انتخاب کنید. بسیاری از کاربران هنوز از “admin” به عنوان نام کاربری خود استفاده می کنند زیرا به یک نوع استاندارد تبدیل شده و به راحتی قابل یادآوری است. برخی از میزبانهای وب از اسکریپتهای نصب خودکار استفاده میکنند که همچنان نام کاربری «admin» بهطور پیشفرض است. برای حل این مشکل، کافی است با استفاده از یک نام کاربری دیگر، یک حساب کاربری جدید برای خود ایجاد کنید، با نام کاربری جدید وارد شوید و اکانت “admin” اصلی را حذف کنید. اگر پستهایی دارید که توسط حساب «ادمین» منتشر شده است، پس از حذف میتوانید تمام پستهای قبلی را به حساب جدید خود اختصاص دهید.
4 ویرایش فایل را از طریق کنترل پنل غیرفعال کنید
در نصب پیش فرض وردپرس، می توانید مشاهده / ویرایشگر پیش بروید و هر یک از فایل های موضوعی خود را درست در داشبورد ویرایش کنید. مشکل این است که اگر یک هکر موفق شود به پنل مدیریت شما دسترسی پیدا کند، میتواند فایلهای شما را نیز از این طریق و هر کدی را که میخواهد اجرا کند، ویرایش کند. بنابراین ایده خوبی است که این روش ویرایش فایل را با افزودن موارد زیر به فایل wp-config.php خود غیرفعال کنید: define( ‘DISALLOW_FILE_EDIT’, true ); تعمیر و نگهداری سایت وردپرس برای بهبود نگهداری سایت خود لطفا از این مقاله استفاده کنید تا کمتر شاهد هک شدن سایت های ایرانی باشیم.
سرویس پاکسازی کدهای مخرب از ویروس ها و سایت های هک شده