افزایش امنیت وردپرس:+20ترفند بالا بردن امنیت وردپرس
در این مقاله 20+ اقدام مهم ساده تا پیشرفته و کاربردی برای افزایش امنیت وردپرس آورده شده است تا با انجام آن باعث بالابردن امنیت وردپرس شوید.
افزایش امنیت وردپرس
امنیت وردپرس یک موضوع مهم برای صاحب هر سایتی است. هر روز، گوگل حدود 10،000 سایت مشکوک را وارد لیست سیاه خود می کند. اگر در مورد فعالیت سایت خود جدی هستید، باید به بهترین شیوه های امنیت وردپرس توجه داشته باشید. در این راهنما، تمام نکات امنیت وردپرس در برابر هکرها و بدافزارها را به اشتراک خواهیم گذاشت.
در حالی که خود هسته ی وردپرس بسیار امن است و صدها توسعه دهندگان آن را به طور مرتب بررسی می کنند، می توان امنیت وردپرس را قوی تر کرد. درواقع وردپرس خود را ضدگلوله کنید.
تعدادی اقدام عملی برای افزایش امنیت وردپرس و تامین امنیت وردپرس وجود دارد. در این آموزش افزایش امنیت وردپرس را بصورت تصویری، عملی خواهید خواند.
چرا امنیت وردپرس مهم است؟
سایت هک شده می تواند باعث آسیب جدی به درآمد، کسب و کار و شهرت شما واردکند. هکرها می توانند اطلاعات کاربران، رمزهای عبور سرقت کنند، نرم افزارهای مخرب را در هاست شما نصب کنند و حتی می توانند نرم افزارهای مخرب را درمیان کاربران سایت شما توزیع کنند.
بدتر از همه، ممکن است شما را مجبور به پرداخت مبلغی به هکرها کنند تا بتوانید به وب سایت خود دسترسی پیدا کنید.
اگر سایت شما یک سایت کسب و کار باشد، باید توجه بیشتری به امنیت وردپرس خود داشته باشید.
همانطور که یکی از مسئولیت صاحبان کسب و کار، محافظت از ساختمان فروشگاه ها است، شما هم به عنوان صاحب یک کسب و کار آنلاین، مسئولیت حفاظت از سایت کسب و کارتان را دارید.
دوره امنیت وردپرس شامل 8 ساعت آموزش جامع، ویدئویی و کاربردی افزایش امنیت وردپرس
آیا وردپرس امن است؟
می توان به جرات گفت تا 99% وردپرس امن است. شاید برخی افراد ناآگاه اظهار کنند که وردپرس امن نیست، درصورتیکه امنیت اصلا مربوط به اینکه سایت شما وردپرسی است یا خیر اصلا مربوط نمی شود.
عامل های مهم درمورد امنیت سایت
1- هاست: حتی اگر کدنویسی و طراحی سایت شما، به بهترین وجه ممکن انجام شده باشد ولی سرویس هاست شما امن نباشد، بنابراین سایت شما دچار تهدیدهای امنیتی خواهدشد.
2- کاربر: کاربران یک سایت مخصوصا کاربران سطح بالا مثل مدیر، نقش موثری در امنیت سایت وردپرسی دارند. چگونگی نصب وردپرس تا نحوه انتخاب افزونه ها وپوسته ها، مثالهایی از این دست هستند.
3- نرم افزار: نرم افزارها شامل سرویس هایی که در هاست ارائه می شود، پوسته و افزونه های مورداستفاده شده در سایت و کامپیوتر مورداستفاده برای ورود به هاست و پیشخوان وردپرس هم مهم هستند.
اینها توضیحات کوتاهی بودند، جلوتر نقش این 3 مورد را در افزایش امنیت وردپرس خواهید دید.
| خدمات امنیتی وردپرس |
آموزش افزایش امنیت وردپرس: راهکارهایی که مبتدیان هم می توانند انجام دهند.
در این بخش از اموزش امنیت وردپرس، با روشهای ساده ولی موثر از افزایش امنیت وردپرس آشنا خواهیدشد. با این که روش ها ساده هستند ولی خود من بعضا دیده ام افرادی که زمانی زیاد با وردپرس کار کرده اند ولی باز این موارد را رعابت نمیکنند پس شما جه مبتدی باشید چه حرفه ای این مسائل را برای امنیت وردپرس رعابت کنید.
به روز نگه داشتن وردپرس برای بالا بردن امنیت وردپرس
اولین روش افزایش امنیت وردپرس، به روز رسانی وردپرس و تمام پوسته ها و افزونه ها است. وردپرس یک سیستم مدیریت محتوا منبع باز است که به طور مرتب نگهداری و به روزرسانی می شود. به طور پیش فرض، وردپرس به طور خودکار به روز رسانی های جزئی را نصب می کند. و برای به روزرسانی نسخه های کلی، باید خودتان از داشبود وردپرس، اقدام کنید.
وردپرس همچنین دارای هزاران افزونه و پوسته هایی است که شما می توانید در سایت خود نصب کنید. این افزونه و پوسته ها توسط توسعه دهندگان شخص ثالث نگهداری می شوند که به طور مرتب به روز رسانی می شوند.
این به روز رسانی وردپرس برای حفظ امنیت وردپرس و ثبات سایت وردپرسی بسیار ضروری است. شما باید مطمئن شوید که هسته اصلی، افزونه ها و پوسته های وردپرس به روز می شود.
رمزهای عبور قوی و مجوز کاربران
شایع ترین تلاش برای هک سایت، استفاده از کلمات عبور به سرقت رفته است. با استفاده از کلمه عبور قوی تر و منحصربفرد، می توانید این کار را برای هکرها دشوارتر کنید. رمزعبور قوی و منحصر بفرد نه فقط برای منطقه مدیریت وردپرس، بلکه برای حساب های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس ایمیل حرفه ای شما هم باید وجود داشته باشد.
دلیل اصلی این است که برخی کاربران دوست ندارند از کلمات عبور قوی استفاده کنند، عدم بخاطرسپاری آن رمزهاست. خوب، الان لازم نیست که کلمه عبور را بخاطر داشته باشید. شما می توانید از یک مدیر رمز عبور استفاده کنید. راهنمای ما در مورد نحوه مدیریت کلمات عبور وردپرس را ببینید .
یکی دیگر از راه های کاهش ریسک این است که هرگز به منطقه مدیریت وردپرس خود هیچ کسی دسترسی نداشته باشد، مگر اینکه به طور کامل آن را تحت کنترل داشته باشید . اگر شما یک تیم بزرگ نویسنده یا نویسنده مهمان دارید، قبل از اضافه کردن آنها به سایتتان، مطمئن شوید که نقش و قابلیت های کاربر در وردپرس را می دانید.
می توانید مقاله حفظ امنیت وردپرس با به روز نگه داشتن وردپرس، افزونه ها و پوسته ها را مطالعه کنید.
نقش میزبانی سایت (شرکت هاستینگ) در افزایش امنیت وردپرس
سرویس میزبانی سایت شما مهمترین نقش را در امنیت وردپرس ایفا می کند. شرکت های ارائه دهنده میزبانی وب خوب، اقدامات اضافی برای محافظت از سرور در برابر تهدیدات رایج را انجام می دهند.
با این حال، اگر از سرور اختصاصی استفاده نمی کنید، منابع سرور با بسیاری از صاحبان سایت دیگر به اشتراک گذاشته می شود. این امر خطر آلودگی سایت متقابل را می دهد که هکر می تواند از یک سایت همسایه برای حمله به سایت شما استفاده کند.
استفاده از سرویس میزبانی وردپرس مدیریت شده یک پلتفرم امن تر برای وب سایت شما فراهم می کند. سرویس میزبانی وردپرس مدیریت شده، پشتیبان گیری خودکار، به روز رسانی خودکار وردپرس و تنظیمات امنیتی پیشرفته تر برای محافظت از سایت شما ارائه می دهند.
می توانید مقاله نقش هاست در امنیت وردپرس مطالعه کنید.
حذف افزونه ها و پوسته های بدون استفاده
یکی دیگر از راهکارهای افزایش امنیت وردپرس، حذف افزونه ها و پوسته های بدون استفاده است. به هر حال کدی که در سایت شما باشد، می تواند برای نفوذ در سایت مورد سوء استفاده قرارگیرد.
نکنه ای که وجود دارد این است که اعلان های مربوط به به روزرسانی افزونه ها، فقط مربوط به افزونه های فعال می باشد و هیچ گونه اعلانی برای به روز رسانی افزونه های غیرفعال داده نمی شود. به این خاطر همانطور که در بالا گفته شد، باید وردپرس، افزونه ها وپوسته ها را همیشه به روز رسانی کنید. ولی خب وقتی اعلانی برای به روزرسانی افزونه های غیرفعال دریافت نکنید، نمی توانید آنها را به روز کنید و این خود یک مشکل امنیت محسوب میشود.
بنابراین برای افزایش امنیت وردپرس، حتما حتما حتما افزونه ها و پوسته های بدون استفاده را غیرفعال کنید.
افزایش امنیت وردپرس: روش هایی که کاربران با آشنایی کافی با وردپرس هم می توانند انجام دهند.
امنیت وردپرس با چند گام آسان (بدون کدنویسی)
ما به شما نشان داده می شود چگونه می توانید امنیت وردپرس خود را فقط با چند کلیک (بدون کدنویسی) بهبود بخشید.
یک افزونه پشتیبان گیری وردپرس نصب کنید
پشتیبان گیری اولین دفاع شما در برابر هر حمله هکرهاست. به یاد داشته باشید هیچ چیز 100٪ امن نیست. اگر سایت های مهم را هک می کنند، سایت شما را هم میتوانند.
پشتیبان گیری به شما اجازه می دهد تا به سرعت سایت وردپرس خود را در صورت بروز هر چیزی بد برگردانید.
بسیاری از افزونه های پشتیبان گیری وردپرس رایگان هستند. حتما افزونه ای انتخاب کنید که امکان بک اپ گیری کامل سایت شما را در یک هاست دیگر غیر از هاست خودتان را داشته باشد.
توصیه می شود بک اپ را در یک سرویس ابری مانند آمازون، Dropbox یا گوگل درایو نگهداری کنید.
بسته به اینکه سایتتان را به چه میزان به روز می کنید، تنظیمات ایده آل ممکن است یک بار در روز یا پشتیبان گیری لحظه ای باشد.
خوشبختانه این را می توان به راحتی با استفاده از افزونه هایی مانند UpdraftPlus انجام داد . این افزونه قابل اعتماد و از همه مهمتر براحتی قابل استفاده است.
افزونه امنیت کامل وردپرس باwordfence
بعد از پشتیبان گیری، گام بعدی که باید انجام دهیم این است که یک سیستم بررسی و نظارت داشته باشیم که هر چیزی را که در سایت شما اتفاق می افتد پیگیری و بررسی کند.
این شامل نظارت بر تمام فایل ها، تلاش های ناموفق ورود به سیستم، اسکن بدافزار و غیره است.
خوشبختانه،همه این موارد می تواند توسط بهترین افزونه رایگان امنیتی وردپرس، Wordfenece انجام شود.
دانلود رایگان افزونه wordfence
دانلود رایگان آخرین نسخه افزونه وردفنس
میتوانید با کلیک روی لینک زیر، اموزش تنظیم امنیتی افزونه Wordfence را دریافت کنید.
می توانید مقاله آموزش کار با wordfence را مطالعه کنید.
درضمن در می توانید مقاله مقایسه افزونه wordfence با iThemes Security و All in One WP Security را مطالعه کنید.
چرا برای بالا بردن امنیت وردپرس می توان از افزونه وردفنس،استفاده کرد؟
- این افزونه بیشترین تعداد نصب در مخزن وردپرس را بین تمام افزونه های امنیتی وردپرس دارد.
- امکاناتی که در نسخه رایگان این افزونه وجود دارد در دیگر افزونه های امنیتی وردپرس وجود ندارد.
- فایروال WAF)WEB APPLICATION FIREWALL)
- اسکنر امنیتی وردپرس
- امنیت ورود با 2FA و Google CAPTCHA
- ابزارهای امنیتی
افزایش امنیت وردپرس: روش هایی که فقط کاربرانی که آشنایی کامل با وردپرس دارند می توانند استفاده کنند.
امنیت وردپرس برای تکنسین ها
اگر مواردی که تا بحال گفته شده، را انجام دهید؛ تا حدود مطلوبی امنیت سایت وردپرسی را تامین کردید. اما می توانید امنیت وردپرس را بیشتر کنید.
دانلود رایگان 2 جلسه اول دوره اموزشی تصویری و عملی امنیت وردپرس
برخی موارد نیاز به دانش کدنویسی در حد خیلی ساده دارد.
بالا بردن امنیت وردپرس با نام کاربری پیش فرض “admin” را تغییر دهید
در این بخش از آموزش افزایش امنیت سایت، با یکی از روشهای مهم و حیاتی ضد هک کردن وردپرس آشنا می شوید.
قبلا نام کاربری پیش فرض مدیریت وردپرس، “admin” بود. از آنجا که نام کاربری نیمی از اعتبار ورود است، این امر هکرها را ترغیب به حملات brute-force می کند.
خوشبختانه وردپرس از آن زمان به بعد تغییر کرده است و در حال حاضر هنگام نصب وردپرس می توان نام کاربری پیش فرض مدیریت را تغییر دارد .
با این حال، هنوز برخی از کاربران هنگام نصب وردپرس، نام کاربری مدیریت را به عنوان “admin” تنظیم می کنند.
از آنجا که بعد از نصب وردپرس، وردپرس به شما اجازه تغییر نام کاربری را نمی دهد، سه روش برای تغییر نام کاربری وجود دارد.
1. نام کاربری مدیر جدید ایجاد کنید و قبلی را حذف کنید.
2. از افزونه تغییر نام کاربری استفاده کنید
3. به روزرسانی نام کاربری از طریق phpMyAdmin
در مقاله تغییرنام کاربری در وردپرس، راهکارهای بالا شرح داده شده است.
توجه: ما در مورد نام کاربری “admin” صحبت می کنیم، نه نقش مدیر.
فیلم آموزش افزایش امنیت وردپرس : تغییر نام کاربری پیش فرض وردپرس
آموزش غیر فعال کردن ویرایشگر فایل
یکی دیگر از راه های بالا بردن امنیت وردپرس، غیرفعال کردن ویرایشگر داخلی پوسته و افزونه است. ویرایشگر فایل به شما اجازه می دهد که فایل های افزونه ها و پوسته ها را از قسمت مدیریت وردپرس ویرایش کنید. ما توصیه می کنیم آن را خاموش کنید بخاطراینکه این ویژگی می تواند خطر امنیتی باشد. علت این امر این است که اگر به هر روشی نفوذ به قسمت پیشخوان وردپرس انجام شود،ویرایشگر پوسته و افزونه کمک زیادی به نفوذگران به تکمیل یا ادامه کار مخرب آنها می کند. بنابراین حتما این 2 ویرایشگر با باید غیرفعال کنید:
شما می توانید این کار را با اضافه کردن کد زیر در فایل wp-config.php خود انجام دهید .
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
مطالعه کامل مقاله غیرفعال کردن ویرایشگر فایل در وردپرس
غیر فعال کردن اجرای فایل PHP در دایرکتوری های خاص وردپرس
راه دیگری برای بالا بردن امنیت وردپرس و قوی تر کردن امنیت سایت وردپرس شما این است که از اجرای فایل PHP در دایرکتوری هایی که نیازی به PHP نیست مانند /wp-content/uploads/ را غیرفعال کنید.
1. فایل Notepad را بازکرده و متن زیر را درون آن قرار می دهیم:
<Files *.php>deny from all</Files>
2. هنگام ذخیره فایل، دقیقا عبارت زیر را وارد می کنیم.( ” را هم تایپ کنید)
".htaccess"
3. سپس آن را در مسیر /wp-content/uploads/ و /wp-includes/ آپلود کنید.
اطلاعات بیشتر در این مقاله غیرفعال کردن اجرای PHP در وردپرس بخوانید.
محدود کردن تلاش های ورود به منطقه مدیریت وردپرس
در این قسمت از آموزش امنیت وردپرس، با یکی دیگر از روشهای بالابردن امنیت سایت وردپرس اشنامی شوید.
اگر کاربر نام کاربری یا رمزعبور خود را هنگام ورود اشتباه وارد کند، بطور پیش فرض می تواند بینهایت تلاش کند. این مورد امنیت وردپرس را در معرض خطر حمله های Brute Force قرار می دهد . به این صورت هکرها با استفاده از رمزهای تصادفی سعی در ورود به مدیریت وردپرس می کنند.
روش محدود کردن تلاش ورود به مدیریت وردپرس
- در قسمت Brute Force Protection از تنظیمات Wordfence، می توان با استفاده از گزینه Lock out after how many login failures ، تعداد تلاش را محدود کرد و بعد از ان کاربر قفل می شود.
- اگر از افرونه Wordfence استفاده نمی کنید، می توانید از افزونه Login LockDown استفاده کنید.
- ابتدا این افزونه را نصب و فعال کنید. (راهنمای کلی نصب افزونه در وردپرس)
- پس از فعال سازی، از قسمت تنظیمات، روی گزینه Login LockDown کلیک کنید تا وارد صفحه مربوطه شوید. تعداد تلاش را در کادر زیر گزینه Max Login Retries واردکنید.
پیشنهاد میکنم مقاله محدود کردن تلاش ورود به محیط مدیریت وردپرس برای افزایش امنیت وردپرس، را مطالعه کنید.
دانلود رایگان 2 جلسه اول دوره اموزشی تصویری و عملی امنیت وردپرس
آموزش امنیت سایت با تغییر پیشوند جدول های پایگاه داده وردپرس
یکی دیگر از روش های بالا بردن امنیت سایت و نکات امنیتی هنگام نصب وردپرس، عدم استفاده از پیشوند پیش فرض هنگام نصب وردپرس است. به طور پیش فرض، وردپرس از _wp به عنوان پیشوند جداول پایگاه داده وردپرس استفاده می کند . اگر دیتابیس پایگاه داده از پیشوند پیشفرض استفاده می کند، هکرها می دانند نام جداول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید.
شما می توانید پیشوند پایگاه داده خود را با دنبال کردن آموزش تغییر پیشوند پایگاه داده وردپرس ، تغییر دهید .
نکته: این می تواند سایت شما را شکست دهد در صورتی که به درستی انجام نشود. اگر با مهارت های برنامه نویسی خود احساس راحتی کنید، ادامه دهید.
حفاظت از پوشه مدیریت وردپرس و صفحه ورود به سیستم
در این قسمت از آموزش امنیت در وردپرس، با یکی دیگر از روش های بالا بردن امنیت وردپرس آشنا می شوید. به طور معمول، هکرها می توانند بدون محدودیت پوشه wp-admin و صفحه ورود را از سرور درخواست کنند . این مورد به هکرها اجازه می دهد تا به میزانی که می خواهند انواع ترفندها و جملات DDoS را روی این دو صفحه اجرا کنند.
شما می توانید بر روی این دو در سمت سرور، رمز قراردهید و درخواست ها را محدودکنید.
می توانید مقاله قراردادن رمزعبور روی پوشه wp-admin را مطالعه کنید.
افزایش امنیت وردپرس : غیر فعال کردن Directory Indexing
ِDIrectory Indexing قابلیتی است که اگر فعال باشد و یک دایرکتوری از سرور دارای فایل index(مثل index.php و…) نباشد، تمام محتویات آن پوشه به کاربر نمایش داده می شود.
ِDIrectory Indexing می تواند توسط هکرها مورد سوء استفاده قرار گیرد تا از طریق آن، هکر ها فایلی را که دارای آسیب پذیری های شناخته شده است شناسایی کنند و بتوانند از این فایل ها برای دسترسی استفاده کنند.
DIrectory Indexing همچنین می تواند توسط افراد دیگر مورد استفاده قرار گیرد تا فایل ها و تصاویر شما را کپی کنند، و به ساختار دایرکتوری شما و سایر اطلاعات دسترسی پیدا کنند. ب
شما باید با استفاده از FTP یا از cPanel ، یک فایل htaccess. را در دایرکتوری ریشه سایت خود بسازید و البته اگر از قبل وجود دارد، باید خط زیر را در انتهای فایل اضافه کنید:
Options -Indexes
افزایش امنیت وردپرس : غیر فعال کردن XML-RPC در وردپرس
در این بخش با یکی دیگر از روش های افزایش امنیت وردپرس آشنا می شوید. این روش غیرفعال کردن xml-rpc در وردپرس می باشد.
XML-RPC به طور پیش فرض تا وردپرس 3.5 فعال بود و دلیل آن هم این بود که به شما کمک می کرد تا سایت وردپرس خود را به برنامه های دیگر تحت وب و تلفن همراه وصل کنید.
با این حال به دلیل ماهیت قدرتمند آن، XML-RPC می تواند حملات را به طور قابل توجهی تقویت کند.
به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 کلمه عبور متفاوت را در سایت شما امتحان کند، باید 500 بار باید وارد سایت شود و رمزعبور را امتحان کند درحالیکه این کار توسط افزونه ورود به سیستم قفل شده است.
اما با استفاده از XML-RPC، یک هکر می تواند از تابع system.multicall برای تست هزاران کلمه عبور با 20 یا 50 درخواست استفاده کند.
به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.
XML-RPC چیست؟
XML-RPC یک تابع قابل استفاده از راه دور است که از XML برای کدگذاری فراخوانی ها و HTTP هم به عنوان یک مکانیسم انتقال استفاده می کند. به طور خلاصه، XML-RPC به شما اجازه می دهد تا از نرم افزارهایی مثل Windows Live Writer و Microsoft word برای نوشتن مقالات سایت استفاده کنید. البته اگر شما از اپلیکیشن وردپرسی استفاده می کنید باز این مورد مورد نیاز است. اگر شما مایل به استفاده از خدماتی مانند IFTTT، باز هم نیاز به XML-RPC دارید.
3 راه برای غیرفعال سازی XML-RPC در وردپرس وجود دارد، اما روش htaccess. بهترین است زیرا کمترین منابع را استفاده می کند.
روش اول غیرفعال کردن XML-RPC در وردپرس: استفاده از فیلتر
در حالی که گزینه مربوطه در مدیریت وردپرس برای خاموش کردن XML-RPC حذف شده است، یک فیلتر وجود دارد که می توانید برای خاموش کردن آن در صورت لزوم استفاده کنید.
add_filter('xmlrpc_enabled', '__return_false');
روش دوم غیرفعال کردن XML-RPC در وردپرس: استفاده از افزونه
شما می توانید به اسانی از افزونه Disable XML-RPC برای غیرفعال کردن xml-rpc استفاده کنید.
روش سوم غیرفعال کردن XML-RPC در وردپرس: استفاده از htaccess.
در حالی که استفاده از افزونه برای بسیاری موارد کافی است، هنوز هم امکان حمله وجود دارد.
در این موارد، ممکن است بخواهید همه درخواست های مربوط به xmlrpc.php را حتی قبل از آن که درخواست به وردپرس داده شود، غیرفعال کنید.
به سادگی کد زیر را در فایل .htaccess خود اضافه کنید:
# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
allow from 123.123.123.123
خارج کردن(Log out) خودکار کاربران غیرفعال از محیط مدیریت وردپرس
یکی دیگر از روش های آموزش امنیت در وردپرس، logout کردن کاربران غیرفعال از محیط پیشخوان وردپرس است.
برخی اوقات پیش می آید که کاربر log in می کند، و پس از مدتی کامپیوتر یا هر دستگاه دیگری که با آن واردشده، ترک می کند. این یک خطر امنیتی محسوب می شود. بخاطراینکه ممکن است فرد دیگری در همین حین از دستگاه او استفاده کند، تغییراتی در حساب کاربری ایجاد کند. مثلا رمزعبور را تغییردهد یا حتی بدتر از آن، ایمیل را هم تغییردهد.
به همین دلیل است که بسیاری از سایت های اینترنت بانکی و سایت های مالی به طور خودکار پس از مدت زمانی که کاربر غیرفعال می شود، بطور خودکار، کاربر را از سایت خارج (log out) می کنند. . شما می توانید امکانی مشابه را در سایت وردپرسی خود نیز اجرا کنید.
شما نیاز به نصب و فعال کردن افزونه Inactive Logout دارید. پس از فعال کردن افزونه، از قسمت تنظیمات » گزینه Inactive Logout را کلیک کنید تا وارد صفحه پیکربندی شوید.
به سادگی مدت زمان را در قسمت Idle Timeout تنظیم کرده و هیچ یک از گزینه ها را انتخاب نکنید و درنهایت روی Save Changes کلیک کنید.
برای دستورالعمل دقیق تر، راهنمای نحوه خارج کردن(Log out) خودکار کاربران غیرفعال از محیط مدیریت وردپرس را بخوانید.
بالا بردن امنیت وردپرس با اضافه کردن سوال امنیتی به وردپرس
یکی دیگر از راهکارهای آموزش امنیت در وردپرس، افزودن سوال امنیت به وردپرس است. اضافه کردن سوال امنیتی به صفحه ورود login وردپرس، کار را برای افرادی که قصد دسترسی غیرمجاز دارند، سخت تر می کند. شما برای اضافه کردن سوال امنیتی به وردپرس، می توانید از افزونه WP Security Questions استفاده کنید.
برای انجام تنظیمات این افزونه، می توانید بعد از نصب و فعال سازی این افزونه ، در فهرست گزینه های داخل پیشخوان، از قسمت WP Security Question روی گزینه Plugin settings کلیک کنید.
[ بازگشت به بالا ↑ ]
می توانید برای اطلاعات بیشتر،مقاله اضافه کردن سوال امنیتی به وردپرس را بخوانید.
محافظت از فایل wp-config فایل پیکربندی وردپرس
یکی دیگر از روش های افزایش امنیت وردپرس، محافظت از فایل wp-config می باشد.
فایل wp-config حاوی اطلاعات حیاتی وردپرس است. این اطلاعات راه هنگام نصب وردپرس وارد کردیم:
- نام پایگاه داده
- نام کاربری پایگاه داده
- رمزعبور پایگاه داده
- ادرس سرور پایگاه داده
اگر این اطلاعات بدست نفوذگران و هکران بیافتد، امنیت وردپرس شما به شدت تهدید می شود. هکرها می توانند اقداماتی را برای نفوذ بیشتر، پاک کردن اطلاعات شما، اسپمینگ و… انجام دهند. پس باید تمام سعی خود را بکار بگیرید تا این فایل دردسترس هکرها نباشد.
برای محافظت از فایل wp-config می توان از راهکاری های زیر استفاده کرد:
راه کار اول محافظت از فایل wp-config: تنظیم مجوز 600 برای فایل wp-config: اگر با تنظیم این مجوز مشکلی در سایت پیش آمد، می توانید مجوز 644 را قراردهید.
1. برای این کار بعد از ورود به File Manager و رفتن به آدرسی که وردپرس را نصب کرده اید.
2. روی فایل wp-config کلیک راست کرده، گزینه Change permissions را کلیک می کنید.
3. سپس طبق تصویر زیر ، تنظیمات را انجام دهید . روی گزینه Change Permissions کلیک کنید.
راه کار دوم محافظت از فایل wp-config: قراردادن کد زیر در ابتدای فایل htaccess. محلی که وردپرس را نصب کردید:
# PROTECT WP-CONFIG
# Apache < 2.3
Order allow,deny
Deny from all
Satisfy All
# Apache >= 2.3
Require all denied
البته بهتراست هر دو راهکار را برای قوی تر کردن این کار استفاده کنید.
حذف شماره نسخه وردپرس برای افزایش امنیت وردپرس
در این قسمت میخواهم شما را با یکی دیگر از روش های افزایش امنیت وردپرس آشناکنم تا بکارگیری آن، امنیت سایت وردپرسی را افزایش دهید.
یکی از دلایل به روزرسانی وردپرس، این است که ممکن است در هر نسخه مشکلات امنیتی موجود باشید، که یا از طرف کاربران گزارش شده است یا تیم امنیت وردپرس که سریعا وصله های امنیتی را در قالب به روزرسانی اعلام می کنند.
از طرفی هم اکسپلویتهایی هم برای این باگ نوشته شده و در اینترنت یافت می شود، پس حتی اگر فردی هکر تازه کارباشد و فقط با نحوه کدنویسی اشناباشد می تواند، سایت های قربانی که از نسخه خاصی که مشکل امنیتی دارد و اکسپلویت آن موجود است را یافته، و شروع به نفوذ به سایت موردنظرکند.
از طرفی هکرها یا بصورت دستی یا بااستفاده از اسکریپت، از نسخه وردپرس آگاه می شوند.
همین الان می توانید، سایت وردپرسی در مرورگر بازکنید. کلیک راست کرده و گزینه view page source یا شبیه آن را کلیک کنید.
دنبال کلمه generator بگردید، همان ابتدای صفحه با تگ زیر مواجه می شوید:
<meta name="generator" content="WordPress 5.0.3" />
می توانید ببینید که نسخه وردپرس براحتی قابل ردیابی است.
روش حذف نسخه وردپرس
با قراردادن کد زیر در فایل functions.php پوسته فعال وردپرس، می توانید علاوه بر حذف نسخه وردپرس از سورس صفحات سایت، نسخه وردپرس را از خوراکRSS و همینطور استایل و اسکریپت ها هم حذف کنید.
// remove version from head
remove_action('wp_head', 'wp_generator');
// remove version from rss
add_filter('the_generator', '__return_empty_string');
// remove version from scripts and styles
function shapeSpace_remove_version_scripts_styles($src)
{
if (strpos($src, 'ver='))
{
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('style_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);
فیلم اموزش حذف نسخه وردپرس
تنظیم کلیدهای امنیتی وردپرس
اگر فایل wp-config.php را بازکرده باشید، قسمت از این فایل با عبارت زیر مشخص شده است:
* Authentication Unique Keys and Salts.
از نسخه 2.6 وردپرس کلیدهای امنیتی salt key برای افزایش امنیت وردپرس، اضافه شد. این کلیدهای امنیتی را با مراجعه به آدرس زیر پیداکرده و در زیر قسمت بالا قراردهید. البته اگر این قسمت خالی هم نباشد، کد تولید شده را جایگزین کدقبلی کنید.
https://api.wordpress.org/secret-key/1.1/salt/
با این کار تمام کاربرانی که لاگین کرده اند، باید دوباره واردشوند.
فیلم افزایش امنیت وردپرس با تنظیم کلیدهای امنیتی
[gap]
[gap]
غیرفعال کردن نمایش خطاها
نمایش خطاها در سایت، یک تهدید امنیتی محسوب می شود، به این علت که برخی هکرهایی که واقعا به علم کدنویسی اشراف دارند، می توانند با دیدن باگ ها و خطاهای سایت، راهکارهایی برای نفوذ پیداکنند.
برای غیرفعال کردن نمایش خطاها، باید مراحل زیر را طی کنید:
1. فایل wp-config.php را در هاست، بازکنید و یکی از 2 حالت کد زیر را پیداکنید.
define('WP_DEBUG', true);
یا
define('WP_DEBUG', false);
2. کد بالا را کلا حذف کرده و کد زیر را جایگرین کنید:
ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
3. فایل را ذخیره کنید.
توقف امکان hotlinking
یکی دیگر از روشهای افزایش امنیت وردپرس و جلوگیری از سرقت پهنای باند سایت، توقف امکان hotlinking است.
فرض کنید فردی مقاله شما را عینا در سایت خورد، قرارمیدهد، اینجا هر فردی که آن مقاله را باز میکند، تصاویر آن نوشته از هاست سایت شما خوانده می شود و به این صورت پهنای باند شما استفاده می شود.
درضمن اگر بخواهید تصاویر سایت شما در سایت دیگری قابل استفاده نباشد، می توانید از کد زیر در htaccess استفاده کنید:
# HOTLINK PROTECTION
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://([^.]+.)?testwp.ap2co.com [NC]
RewriteRule .(gif|jpe?g?|png)$ - [NC,F,L]
به جای domain.com نام دامنه خودتان را واردکنید.
نظارت بر کاربران مدیر
در این یخش، شما با یکی دیگر از روش های افزایش امنیت وردپرس آشنا میکنم. اگر شما سایتی دارید که بیش از یک مدیر یا نویسنده دارد، باید روی اعمال آنها نظارت داشته باشید تا با اینکار باعث افزایش امنیت وردپرس شوید.
برای این کار می توانید از افزونه Activity Log یا افزونه WP Security Audit Log استفاده کنید. با استفاده از این افزونه ها می توانید، روی تمام اعمال کاربران مدیر یا نویسنده، از ایجاد نوشته یا برگه جدید، تا نصب و غیرفعال کردن افزونه ها و هر کاری که در مدیریت وردپرس انجام می دهند، نظارت داشته باشند.
محافظت از فایل نصاب وردپرس
همانطور که می دانید در وردپرس، بعد از اینکه وردپرس را نصب می کنیم، فایل install.php در مسیر wp-admin هنوز هم وجود دارد، و این امنیت وردپرس را به خطر میاندازد.
برای افزایش امنیت وردپرس می توان از 2 راهکار استفاده کرد:
- فایل install.php را پاک کرد.
- دسترسی به آن را محدود کرد. برای اینکار یک فایل .htaccess در دایرکتوری wp-admin می سازیم و کد زیر را داخل آن قرارمیدهیم. و فایل را ذخیره می کنیم.
# HOTLINK PROTECTION
# PROTECT install.php
#Apache < 2.3
Order allow,deny
Deny from all
Satisfy all
#Apache >= 2.3
Require all denied
امنیت صفحه ورود وردپرس
کنترل دسترسی به منطقه مدیریت و صفحه ورود
روش دیگری که می توان برای بالا بردن امنیت وردپرس استفاده کرد، امنیت صفحه ورود وردپرس است. همانطور که می دانید برای ورود به وردپرس از آدرس wp-login.php استفاده می شود و پس از ورود موفقیت آمیز، وارد آدرس wp-admin می شویم. پس یاید دسترسی به فایل wp-login.php و هم پوشه wp-admin را کنترل کنیم.
امنیت صفحه ورود وردپرس : محافظت از پوشه wp-admin:
برای یالابردن امنیت وردپرس یاید از پوشه wp-admin برای دسترسی غیرمجاز جلوگیری کنیم، برای این کار از 2 روش می توان استفاده کرد:
-
- محافظت از wp-admin با استفاده از password protect که در بالا توضیح داده شده است.
- استفاده از فایل .htaccess: در این روش از یکی دیگر از روشهای افزایش امنیت وردپرس با htaccess استفاده می کنیم.
- اگر در دایرکتوری wp-admin فایل .htaccess وجود ندارد، آن را ایجاد کنید.
- کد زیر را در آن قراردهید و آن را ذخیره کنید.
# Secure WP-ADMIN
<FilesMatch ".*">
#Apache<2.3
<IfModule !mod_authz_core.c>
Order Deny,Allow
Deny from All
Allow from 123.456.789.000
</IfModule>#Apache>2.3
<IfModule mod_authz_core.c>
Require ip 123.456.789.000
</IfModule>
</FilesMatch>
به جای عددی که جلوی ip نوشته شده، IP که با ان وارد اینترنت می شوید، را وارد کنید. اگر هر بار با ip های مختلفی وارد اینترنت می شوید، میتوانید این خط را 2 بار تکرار کرده و هر بار یک ip را نوشت
اگر هم ip خود را نمیدانید داخل گوگل جستجو کنید: what is my ip
امنیت صفحه ورود وردپرس : محافظت از wp-login.php:
برای امنیت صفحه ورود وردپرس می توانید کد زیر را وارد فایل htaccess. کنید:
# Secure wp-login.php
<Files wp-login.php>
#Apache<2.3
<IfModule !mod_authz_core.c>
Order Deny,Allow
Deny from All
Allow from 123.456.789.000
</IfModule>
#Apache>2.3
<IfModule mod_authz_core.c>
Require ip 123.456.789.000
</IfModule>
</Files>
درمورد IP، همان مواردی که در بالا خواندید، درنظرداشته باشید.
مخفی کردن صفحه ورود وردپرس : تغییر آدرس صفحه ورود wp-login.php
در این بخش، روش هایی برای تغییر آدرس صفحه ورود وردپرس و مخفی کردن صفحه ورود وردپرس را خوهیددید.
برای اینکار می توانید از 2 روش استفاده کنید:
1- استفاده از افزونه
2- بدون استفاده از افزونه
تغییر آدرس صفحه ورود وردپرس با افزونه
اگر بخواهید برای تغییر آدرس صفحه ورود وردپرس، درگیر کدنویسی نشوید، می توانید از افزونه های مرتبط با این کار استفاده کنید. یکی از این افزونه ها، افزونه WPS Hide Login است. بعد از نصب و فعال سازی این افزونه، در قسمت تنظیمات وردپرس، روی گزینه WPS Hide login کلیک کنید.
در کادر Loing url، می توانید نام جدیدی برای wp-login.php انتخاب کنید. می توانید این نام را غیرقابل حدس زدن انتخاب کنید و البته آن را جایی یادداشت یا ذخیره کنید یا صفحه موردنظر را بعدا بوکمارک کنید.
در کادر Redirection url، حالا اگر فردی سعی در ورود به وردپرس به آدرس پیشفرض wp-login.php داشته باشد، به صفحه ای که شما انتخاب می کنید، هدایت میشود.
مخفی کردن آدرس ورود وردپرس با افزونه
راه دیگر برای تغییر آدرس صفحه ورود، استفاده از افزونه easy hide login می باشد. این افزونه علاوه بر مخفی کردن آدرس صفحه ورود، قابلیت مسدود کردن دسترسی به فایل wp-login.php را دارد.
بعد از نصب و فعال سازی این افزونه، از قسمت تنظبمات، روی گزینه Easy Hide Login کلیک کنید.
براحتی در کادر Slug Text یک متن را واردکنید. از این به بعد با واردکردن ادرس سایت و همراه آن ? و بعد ادرسی که انتخاب کردید، می توانید به صفحه ورود، دسترسی داشته باشید.
برای مثال اگر نام دامنه شما، example.com باشد و در کادر، متن root را واردکرده باشید، برای واردشدن به صفحه ورود وردپرس، باید وارد آدرس example.com?root شوید.
اگر فردی سعی دار بازکردن wp-login.php وارد ادرس 404 میشه
تغییر آدرس صفحه ورود وردپرس بدون افزونه
در این روش از تغییر آدرس صفحه ورود وردپرس برای بالا بردن امنیت سایت، از افزونه استفاده نمی کنیم، و البته این روش مخصوص افرادی است که براحتی می توانند تغییرات را در فایلهای هاست انجام دهند، پس اگر شما مبتدی هستید از افزونه استفاده کنید. برای تغییر آدرس صفحه wp-login.php می توانید مراحل زیر را طی کنید:
- ابتدا وارد پنل هاست خود، سپس file manager شوید، سپس فایل wp-login.php را پیدا کنید و از آن یک کپی بگیرید که درصورت هرگونه مشکلی فایل کپی را جایگزین فایل تغییر داده شده کنید.
- فایل wp-login.php را به یک نام غیر قابل حدس زدن، تغییردهید. برای مثال : sWdfkdalw.php (از این پس برای ورود به ورود به وردپرس، از ادرس سایت و بعد این فایل استفاده کنید)
- در این مرحله باید هر جایی از متن فایل wp-login.php که از این نام استفاده شده است را پیدا میکنیم، و نام جدید را جایگزین آن میکنیم. برای اینکار باید فایل تغییرنام شده را در حالت ویرایش بازکنیم، هر جایی که wp-login.php وجود دارد را تبدیل به sWdfkdalw.php میکنیم. درنهایت فایل را ذخیره کنید.
- در این مرحله باید وارد دایرکتوری wp-includes شده و فایل general-template.php را ویرایش کنیم. در این فایل هم عبارت wp-login.php را به عابرت موردنظر(دراینجا Wdfkdalw.php) میکنیم. البته یه جایی نزدیک خط 320، wp-login.php را به index.php تغییر می دهیم و دراخر فایل را ذخیره می کنیم.
در اینجا کار تمام شده است، و می توانیم با ادرس جدید وارد مدیریت وردپرس شوید.
قراردادن ورود 2 مرحله ای به ادمین وردپرس
یکی دیگر از روشهای بالا بردن امنیت وردپرس، و افزایش امنیت صفحه ورود وردپرس استفاده از افزونه Wordfence است. اخیرا افرونه وردفنس امکان 2Fa یا ورود دو مرحله ای را به قسمت رایگان اضافه کرده است، بنابراین می توان از این امکان برای افزایش امنیت وردپرس استفاده کرد.
1- برای این کار کافی است از منوی wordfence، وارد گزینه امنیت وردپرس شد.
2- بعد از آن باید اپلیکیشن Google Authenticator را روی گوشی هوشمند خود نصب کنید.
3- سپس وارد این اپلیکشن بشوید و روی دکمه + کلیک کنید، سپس گزینه اسکن بارکد را انتخاب کنید.
4- بارکد نمایش داده شده در قسمت امنیت ورود وردفنس را با گوشی خود اسکن کنید.
5- سپس کد نمایش داده شده در اپلیکیشن را وارد قسمت مربوطه در تنظیمات موردنظر در وردفنس کنید.
6- از این به بعد برای هربار ورود باید کد را از اپلیکیشن مشاهده و وارد قسمت 2Fa کنید.
بالا بردن امنیت وردپرس با مخفی کردن وردپرس
همانطور که میدانید، محبوبیت وردپرس باعث جلب توجه هکرها شده است. بخاطر اینکه اطلاعات خوبی از این سیستم مدیریت محتوا دارند، و از آن برای عملیات خرابکارانه خود استفاده می کنند. مواردی مثل، نام کاربری پیش فرض وردپرس admin، پیشوند پیشفرض wp_، آدرس ورود wp-login.php و wp-admin که در همین مقاله درمورد این موارد و راهکارهای آن توضیحات لازم داده شد.
برای مخفی کردن وردپرس می توانید از افزونه Hide m wp که یک افزونه تجاری است استفاده کنید، البته می توانید از افزونه WP Hide & Security Enhancer ، WPS Hide Login یا Hide My WP Ghost – Security Plugin که رایگان هستند، استفاده کنید.
تغییر مکان فایل wp-config.php در وردپرس
یکی دیگر از روش های افزایش امنیت وردپرس و بالابردن امنیت وردپرس مخقی کردن فایل wp-config.php می باشد. همانطور که می دانید داخل فایل wp-config اطلاعات حیاتی وردپرس مثل اطلاعات اتصال به پایگاه داده می باشد. درصورتیکه هکرها به این فایل دسترسی پیداکنند، هک شدن سایت شما 100% است، بنابراین باید راه دسترسی به این فایل را با مخفی کردن این فایل باید ببندیم.
- فایل wp-config.php به پوشه بالای public_html انتقال دهید.
- یک فایل جدید wp-config.php داخل مکانی که وردپرس را نصب کرده اید، ایجاد کنید.
- داخل این فایل فقط کد زیر را واردنمائید:
include('/home/user/domains/ikarsoo.com/');
به جای ادرس یالا شما ادرس روت یا ریشه هاستینگ خود را قراردهید (می توانید به شرکت هاستینگ بخواهید تا این ادرس را دراختیار شما قراردهد.)
پاکسازی سایت هک شده
در این آموزش افزایش امنیت وردپرس، سعی شد تا با روش های افزایش امنیت وردپرس، بخوبی آشناشوید، اما فراموش نکنید، امنیت وردپرس هم نسبی است، پس باید همیشه راه حلی برای هنگام هک شدن سایتتان داشته باشید.
بسیاری از کاربران اهمیت پشتیبان گیری و امنیت سایت را تا زمانی که سایت آنها هک شده است، درک نمی کنند. پاکسازی یک سایت وردپرس می تواند بسیار دشوار و وقت گیر باشد. بهتراست برای پاکسازی متخصصین امنیت کمک بگیرید.
برای اطلاعات بیشتر در این زمینه مقاله پاکسازی سایت هک شده، را مطالعه کنید. یا از خدمات امنیت وردپرس ما استفاده کنید.
دانلود چک لیست امنیت وردپرس
گزارش آمار سایت های هک شده در سال 2019 : آماری که تن سایت های وردپرسی را می لرزاند.
همانطور که میدانید راه های افزایش امنیت وردپرس، به موارد بالا محدود نمی شود. پس
برای تخصص امنیت وردپرس، پیشنهاد می کنم محصول دوره امنیت وردپرس را ببینید.
عضویت در خبرنامه مقالات امنیت وردپرس
این مقاله به روز رسانی خواهدشد. برای اینکه از آخرین به روز رسانی این آموزش و آموزش های دیگر امنیت وردپرس باخبر شوید، در خبرنامه عضو شوید.
امیدواریم این مقاله به شما کمک کرده باشد تا بهترین شیوه های امنیت وردپرس را بیاموزید.
لطفا هر سوالی دارید از قسمت نظرات استفاده کنیدو درضمن هر تجربه ای در مورد امنیت وردپرس داشتید، باشتراک بگذارید.
درباره اسماعیل منصوری
از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی
نوشتههای بیشتر از اسماعیل منصوری
سلام آقای منصوری
بنده یک سایت وردپرسی داشتم که قبلا روی هاست دیگری بود و هک شد.
حالا هاست دیگری گرفتم و از اونجایی که سایتم اطلاعات زیادی نداشت، دوباره سایت را برپا کردم ولی هاست جدید رو به همون دامنه قبلی متصل کردم.
این مقاله شما را دیدم و افزونه وردفنس را نصب کردم، هنگام اسکن پیام بلک لیست بودن رو نمایش داد، چطور می تونم این مشکل رو حل کنم؟
ممنون از راهنماییتون
سلام
باید ببینید در لیست سیاه کدام سایت یا سرویس امنیتی قرار گرفته است
برای مثال گوگل ممکن است سایت شما را در بلک لیست قرارداده باشد، که باید پس از اطمینان از رفع هک، از گوگل درخواست کنید که سایت شما را از بلک لیست خارج کند، گرچه زمانبر است ولی میتوانید این کار را از طریق سرچ کنسول انجام دهید.
ممکن است برخی انتی ویروس های دیگر مثل nod32 و …سایت شما را بلک لیست کرده باشند، که در گوگل عبارت remove domain name from nod32 blacklist را سرچ کنید و این کار را برای بقیه انتی ویروس ها هم می توانید انجام دهید و طبق دستورالعمل هر کدام پیش برید و بعد از رفع هک سایت، درخواست بدهید.
سلام آقای منصوری
ممنون از مقاله جامعتون در مورد افزایش امنیت وردپرس
چند وقتیه که داخل سایتم تگ تبلیغاتی قبل از تگ HTML ظاهر میشه
تمام افزونه ها را هم که غیرفعاال کردم بازهم ظاهرمیشه،
بنظر شما مشکل از کجا میتونه باشه؟
سلام
بنظر باید از افزونه یا پوسته نال شده ای که در سایت استفاده کرده اید باشه
از افزونه وردفنس برای بررسی الودگی استفاده بکنید
درصورتیکه نتونستید الودگی را برطرف کنید می توانید خدمات رفع هک سایت استفاده کنید.
سلام
چند وقتیه که سایتم ریدارکت میشه
درضمن در گوگل عنوان صفحاتم با حروف چینی دیده میشه
باید چکار کنم؟
سلام
قطعا سایت شما دارای بدافزار seo spam است. همین نشانه هایی که گفتید، ایجاد صفحات بسیار زیادی که شما انها را ایجاد نکرده اید، عنوان و محتوای حروف چینی(کره ای)، لینک شدن به سایت های دیگر، ریدارکت شدن به سایت های دیگر در صفحه نتایج گوگل وجود دارد.
برای رفع هک می توانید از افزونه اریجینال وردفنس استفاده کنید. همینطور می توانید از خدمات امنیت وردپرس استفاده کنید. درضمن با مشاهده آموزش سرچ کنسول (یا همان وبمستر تولز) می توایند آدرسهای ناخواسته را از نتایج گوگل حذف کنید. ابزاری که در سرچ کنسول وجود دارد removal tools نام دارد.
سلام
خوب بود در این آموزش افزایش امنیت وردپرس خوبی که دارید، اموزش وردفنس رو هم قرار میدادید
سلام
خواهش میکنم
در این مقاله آموزش وردفنس را میتوانید مطالعه کنید.
سلام و ضمن خسته نباشید. من پوشه wp-admin رو قفل کردم. ولی چون سایت فوشگاهی دارم کاربرا وقتی وارد صفحه ورود (my-account) میشن. ازشون رمز عبور و یوزر میخواد. چجوری درستش کنم؟
سلام
بنابراین باید فقل رو از پوشه بردارید و از روش های دیگر محدود کردن دسترسی به wp-admin که در همین مقاله مطرح شده استفاده کنید یا قراردادن ورود 2 مرحله ای برای کاربران با دسترسی بالا مثل مدیر و نویسنده و این کار با استفاده از افزونه های مختلفی قابل استفاده است اما اگر از افزونه وردفنس wordfence استفاده می کنید علاوه بر امکانات عالی مثل فایروال ، اسکنر ، این امکان را درخودش دارد.
درضمن پیشنهاد میکنم محصول آموزش ویدئویی 8 ساعته امنیت وردپرس را هم تهیه کنید.
سلام
ایا افزایش امنیت وردپرس روی seo آن هم موثر است؟
سلام
قطعا امنیت روی سئوی سایت تاثیر دارد.
برای نمونه گوگل وقتی متوجه مشکلات امنیتی یک سایت، شود یا سایت شما را از نتایج جستجو حذف می کند و در بهترین حالت در زیر لینک شما در نتایج گوگل، پیامی مبنی بر الودن بودن سایت به کاربر نمایش میدهد
همین مورد باعث کاهش نرخ CTR می شود که باعث افت رتبه می شود
درضمن در یک وبینار درمورد این مورد صحبت کردم که در ابنده نزدیک در سایت قرار خواهم داد.
سلام.
من طبق آموزش شما بعضی کارا ر انجام دادم. ولی اونموقع سایتمو چک نکردم. چن روز قبل چک کردم دیدم فونت قالب عض شده و آیکن ها رو نمایش نمیده.
میشه راهنمایی کنید چجوری درستش کنم؟
سلام
دقیقا کدوم قسمت را انجام دادید، چون مواردی که گفته شده تاثیری روی ظاهر سایت نداره
سلام
امکان این وجود دارد که کانفیگ امنیتی را روی سایت ما پیاده کنید؟
سلام
بله برای این کار میتوانید از خدمات امنیت وردپرس استفاده کنید.
سلام
سپاس از مقاله کاملتان
من آدرس لاگین ورد پرس ر تغییر دادم و حتی روی پوشه wp-admin پسورد گذاشتم
یه سایت فروشگاهی دارم کاربرا میتونن ثیت نام و لاگین کنم. من اگه یوزر و پسورد وردپرسمو بزنم لاگین میشه و پیشخوان رو میاره. (یعنی مخفی کردن آدرس لاگین وردپرس الکی شده ولی داخل پیشخوان نمیره و رمز پوشه wp-admin رو میخواد که خوبع)
ولی من میخوام از سایتم نتونم لاگین کنم
چیکار کنم؟
سلام
ببینید اگه منظورتون اینه که کاربران بعد از ورود نام کاربری و رمزعبور وارد پیشخوان نشوند، میتونید از افزونه های پروفایل کاربری استفاده کنید که یک داشبورد دیگه به کاربران نشون داده میشه
کاربرا وارد پیشخوان نمیشن. ولی اگه یوزر و پسورد خودمو بزنم پیشخوانو میاره. میخوام اینجوری نباشه که هکر نتونه اقدام کنه (با توجه به اینکه آدرس لاگین ورد پرس رو تغییر دادم. هکر میتونه از خود سایتم لاگین کنه اگه پسورد و یوزرمو بدونه)
سلام میتونید از افزونه wordfence استفاده کنید
در قسمت امنیت ورود، two factor auth را برای کاربر خودتون فعال کنید
بدین صورت برای هر باز ورود باید یک کد یکبار مصرف که توسط اپلیکیشن google authenticator مشاهده می کنید را واردکنید
سپاسگذارم
خواهش میکنم
سلام اقای منصوری
ممنون از اموزش جامع و کاملتون
برای بالا بردن امنیت وردپرس هنگام خرید یا دانلود رایگان افزونه یا پوسته ها چه توصیه های دارید؟
سلام
افزونه و پوسته های نال شده یکی از دلایل اصلی هک شدن سایت های وردپرسی میباشد.
درصورت نصب افزونه های رایگان حتما از مخزن وردپرس استفاده کنید، درضمن هنگام انتخاب افزونه موردنظر مواردی مثل اخرین تاریخ بروزرسانی، تعداد بروزرسانی، تعداد دانلود …. را بررسی کنید
درصورت نصب افرونه ها و پوسته های تجاری در صورت امکان آن را بصورت اریجینال از سایت خود آن تهیه کنید، درغیراینصورت از مارکتهای معتبر فارسی
درهرصورت قبل از استفاده فایل zip اصللی خود افزونه را در سایت virustotal.com بارگذاری کنید و آن را بررسی کنید
درصورتیکه از افزونه وردفنس استفاده می کنید، قبل از فعالسازی کل سایت را اسکن کنید
درضمن در دوره آموزش امنیت وردپرس در این رابطه بصورت عملی توضبح داده ام.
سلام
خیلی ممنون از اموزش کاملتون
امکانش هست اموزش وردفنس رو هم قراردهید
سلام
خواهش میکنم
در این صفحه، توضیحات کامل داده شده است.
سلام اقای منصوری
واقعا از اموزش خوبتون تشکر میکنم
تو کل سایتهای فارسی اموزشی جامع در مورد امنیت وردپرس مثل مقاله شما پیدانکردم
لطف میکنید سوال بنده رو جواب بدید:
در مورد تغییر پیشوندپیشفرض وردپرس،موارد رو انجام دادم ولی هنوز در view page source عبارتهای wp وجود دارد
راه حل چیه
سلام اقای مومنی، خواهش میکنم، خوشحالم که این اموزش برای شما مفید بوده
ببینید تغییر پیشوند پیشفرض وردپرس برای افزایش امنیت وردپرس برای مواردی که به بانک اطلاعاتی مربوط میشه (مثل sql injection …) است
در خصوص سوال شما می تونید از افزونه هایی مثل hide my wp برای مخفی سازی وردپرس استفاده کنید
سلام اقا منصوری
فقط میخواستم تشکر کنم از اموزش جامعی که قراردادید، واقعا کار منو راه انداخت
درضمن یه سوال شما خدمات امنیتی وردپرس هم ارائه می دید؟
سلام اقای حسینی
خوشحالم که این اموزش برای شما مفیدبوده
بله خدمات امنیت وردپرس هم ارائه میدهیم.
سلام
ممنون از اموزش جامع رایگانی که در سایت قراردادید
چطور میتونم برای پوشه wp-admin در CPanel پسورد بزارم
سلام
خواهش میکنم
برای نحوه رمزگذاری روی پوشه Wp-admin روی سی پنل یا دایرکت ادمین، مقاله قراردادن رمزعبور روی پوشه wp-admin را مشاهده کنید.
سلام
خیلی متشکر از اموزش خوبتون
برای اینکه وردپرس مخفی بشه غیر از مخفی کردن نسخه وردپرس چکار دیگه ای میشه کرد؟
چون سورس سایت را بازکردم و دیدم هنوز هم wp در جاهای مختلف سورس صفحه وجود داره
سلام
خواهش میکنم
برای مخفی کردن کامل وردپرس میتونید از افزونه hide my wp استفاده کنید، ولی بدون افزونه هم یکسری راهکارهای دیگه هست که در اینده در همین راهنما منتشرخواهم کرد.
سلام جناب منصوری
سایت من چند ماهی هست که فکر می کنم هک شده . الان اگر عبارت ایده یابی برای تولید محتوا رو در گوگل سرچ کنید سایت من جزء نتایج هست (****.com)
ولی این عبارت (This site may be hacked.) رو هم زیر آدرس سایتم آورده . ممنون میشم راهنمایی بفرمایید مشکل سایتم حل بشه.
سلام جزییات برای شما ایمیل شد
سلام
فقط میخواستم تشکر کنم که بصورت رایگان این همه راهکار خوب برای بالا بردن امنیت وردپرس گفتید.
همین
سلام
خواهش میکنم
سلام
ممنون از آموزش کامل تون
امکانش هست یک مقایسه هم در مورد افزونه های امنیتی بذارید تا بتونم بهتر برای تهیه افزونه امنیتی اقدام کنیم؟
سلام
حتما ، هفته بعد این مقایسه wordfence، all in one wp و ithemes را قرار میدم
سلام
قراردادن رمزعبور روی دایرکتوری wp-admin. باعث ازکار افتادن افزونه هایی که از ajax استفاده میکنند، میشه
راهکاری دارین براش؟
سلام
حرف شما دقیقا درسته
راهکارهای اضافی برای پیشخوان و مدیریت وردپرس در محصول آموزش امنیت وردپرس وجود دارد که می توانید از آنها استفاده کنید.
خیلی عالی بود.الان فهمیدم چقد سهلنگاری کردم تو وردپرسم
عالی عالی عالی
ممنون میشم به سایت منم سر بزنید و اگر نکته ای هست بهم بگید
**** .ir
سلام
یک بررسی اجمالی انچام دادم ولی بعلت اینکه قسمت نظرات عمومی است، موارد را برای ایمیل ارسال می کنم.