نکات مهم امنیتی برای وردپرس
در این مقاله میخوایم درمورد یکسری نکات مهم امنیتی وردپرس که قطعاً بکار میاد رو بیان کنیم.اما ابتدا درمورد یکسری نکات عمومی که هرکسی باید بدونه صحبت می کنیم.
ودرپرس رو به روز نگه دارید
یک مساله ساده میتونه تأثیر بزرگی روی امنیت وبسایت شما داشته باشه.هروقت که وارد داشبورد سایتتون میشید و گزینه ی Update Available رو میبینید حتماً روش کلیک کنید و از آپدیت سریع غافل نشید! اگر نگران این هستید که بعد از آپدیت مشکلی پیش بیاد حتماً قبلش یک بک آپ بگیرید.
یکی از مهمترین دلیل اصرار برای بروزرسانی وردپرس این هست که اطلاعات باگ های امنیتی نسخه های قبلی وردپرس برای همگان وجود داره و این یعنی یک سایت بروزنشده در معرض خطرات امنیتی قرار داره!
توجه کنید که همینطور که بروزرسانی وردپرس مهمه درمورد بروزرسانی پوسته ها و پلاگین های سایتتون هم دقیق باشید. این مساله میتونه به اندازه ی بروزرسانی خود وردپرس اهمیت داشته باشه.
هر پلاگین یا پوسته ای که بدون استفاده مونده رو حذف کنید !
خلاصی از هرپلاگین یا پوسته ای که ازش استفاده نمیکنید میتونه احتمال هک و نفوذ به سایتتون رو کاهش بده.اگر شما نمیخواهید ازش استفاده کنید و آپدیتش نمیکنید پس بهترین راه کلیک روی دکمه Deleteهست!
پلاگین ها و پوسته ها رو فقط از منابع شناخته شده دانلود کنید !
استفاده از وبسایت WordPress.org بهترین منبع و انتخاب برای دانلود پلاگین ها و پوسته هاست.وبسایت وردپرس برای قراردادن یک ابزار در دایرکتوری خودش اون رو از فیلترهای مختلف امنیتی عبور میده پس نگرانی خاصی برای استفاده ازش وجود نداره..اگر شما احتیاج به پلاگین یا پوسته ی پولی داشتید حتماً از وبسایت های معتبر مثل ThemeForest استفاده کنید.
تغییر مجوزهای فایل
با کد مجوز 777مسیرها رو پیکربندی نکنید!با توجه به وردپرس باید این مجوز 750 یا 755 باشه.همچنین فایلها رو به 640 یا 644 و wp-config.php رو به 600 تغییر بدید.
از 'admin'به عنوان نام کاربری استفاده نکنید
اگر شما وردپرس رو نصب کردید و بعنوان نام کاربری 'admin' یا نام ساده ی مشابه انتخاب کردید شما میتونید این نام رو با استفاده از کوئری SQL زدن در PHPMyAdmin تغییر بدید.
هرچند وقت یکبار پسورد رو عوض کنید (و قوی تر!)
انتخاب تصادفی اعداد و حروف بهترین راه برای انجام این کار هست.اگر شما نمیتونید بصورت دستی این کار رو انجام بدید ابزارهایی مثل Norton Password Generator یا Strong Password Generator وجود دارند که این کار رو براتون انجام می دهند.
احراز هویت دو مرحلهای
یک راه مطمئن برای جلوگیری از حملات هکرها Two-step Authentication یا احراز هویت دومرحله ای هست.این یعنی علاوه بر تأیید رمز عبور شما یک کد احرازهویت هم به موبایل شما فرستاده میشه و برای ورود به سایت اون کد هم الزامی هست.معمولاً برای ارسال این کد از SMS استفاده میشه پلاگین هایی مثل Clef, Google Authenticator و Duo Two-factor Authentication این کار رو برای شما انجام می دهند.
محدودیت برای ورود به سایت
اگر شما به افراد ناشناس اجازه بدید هرچند بار که دوست دارند برای ورود به سایت تلاش کنند اونها میتونند بالاخره به سایت شما نفوذ کنند!این حملات رو brute force می نامند.پلاگین های زیادی وجود دارند که به شما اجازه میدهند تا تعداد تلاش برای ورود هرنفر از IPخاص رو محدود کنند و اگر تعداد زیادی تلاش ناموفق برای ورود داشت یک مدت از ورود به سایت بن میشه. Login Lockdown یکی از بهترین پلاگین ها در این زمینه هست که یک ست کامل از ویژگیهای امنیتی فراهم می کنه.پلاگین های iThemes Security و Sucuri Security هم از این دسته پلاگین ها هستند.
محدودیت برای دسترسی کاربران
این مساله ممکنه ساده باشه اما بسیار با اهمیت هست که فقط دسترسی هایی رو به کاربران بدید که واقعاً نیاز هست و یک نکته مهم اینه که کمترین میزان دسترسی که کافی باشه رو به کاربران بدید.البته این میزان باید طوری باشه که کاربران بتونند وظیفه های معین شده رو انجام بدهند.هرچه دسترسی های داده شده بیشتر باشه میزان ریسک حملات به سایت افزایش پیدا می کنه.
بک آپ گیری از سایت
به صورت زمان بندی شده از سایتتون بک آپ بگیرید.بک آپ زمان بندی شده یکی از بخشهای مهم و امنیتی هر سایتی هست چون اگر زمانی سایت شما به مشکل برخورد بتونید براحتی با بازیابی بک آپ های گرفته شده سایت رو برگردونید.راه حلهای اتوماتیک برای این کار شامل BlogVault, BackupBuddyو Wordpress backup to dropboxهستند که کار رو براتون راحتتر می کنند.