نه گام برای امن کردن سایت وردپرسی خود

نه گام برای امن کردن سایت وردپرسی خود
با توجه به هک شدن یک سری از سایت ها و مسائلی که برای بعضی از کاربرانی که اطلاعات کافی در مورد  امن کردن سایت وردپرسی خود نداشتن و سایت آن ها هک شده بر این آمدیم تا یک سری موارد را بیان کنیم تا بتواند کمکی برای کسانی که از وردپرس استفاده میکند شود
امن کردن سایت وردپرسی نه گام برای امن کردن سایت وردپرسی خود نه گام برای امن کردن سایت وردپرسی خود d986d987 daafd8a7d985 d8a8d8b1d8a7db8c d8a7d985d986 daa9d8b1d8afd986 d8b3d8a7db8cd8aa d988d8b1d8afd9bed8b1d8b3db8c d8aed988d8af 608443cb77b74

گام اول

از وبسایت خود بک آپ داشته باشید
اگر کنترل پنل سایت شما سی پنل است میتوانید از این آموزش برای گرفتن بکآپ از سایت استفاده کنید.
اگر هم نه ما به شما پلاگین “Backup Buddy” را پیشنهاد میکنم که میتوانید در گوگل سرچ کرده و این پلاگین را از خود سایت وردپرس دانلود کنید

گام دوم

حتما وردپرس خود را به نسخه جدید آپدیت کنید
این یک مسئله بحرانی هست که مسائل آسیب پذیری امنیتی سایت خود را که خود وردپرس متوجه آن ها میشود و پتچ برای آنها منتشر میکند به صورت خودکار توسط آپدیت بسته میشود. این مسئله مانند این است که سایت خود را سالم نگه دارید.

گام سوم

پسورد و نام کاربری خود را تغییر دهید
نام کاربری پیشفرض وردپرس “admin” است که تمامی هکر ها از این مطلع هستند و بهتر است که شما این مورد را به یک کلمه شخصی تر مانند “AliReza12” یا “Amir15” تغییر دهید. بهترین راه برای این که از این مورد در امان باشید این است که یک نام کاربری جدید بسازید و به آن دسترسی ادمین دهید و خود ادمین اصلی را حذف نمایید.

من به شما یک پسورد کاملا قوی پشنهاد میکنم ( این باید شامل حروف کوچک و بزرگ ، اعداد و سیمبل ها باشد ) مانند “Tehran11@$Host” یا “Pers^4Iran”.

بیشتر هکر ها سعی میکنند که پسورد شما را حدس بزنند پس اگر واقعا یک پسورد قوی داشته باشید میتوانید از این مورد در امان باشید.

گام چهارم

کلیدهای وردپرس خود را عوض کنید!
بیشتر مردم از این مورد بدون اهمیت چندانی عبور میکنند ولی این موضوع اهمیت زیادی دارد چون این کلید ها مانند شکر برای بیسکوت ها میمانند و باعث رمزگذاری بهتر داده ها میشوند
از تولید کننده کلید وردپرس براید تولید کلید های اشاره شده در بالا استفاده کنید و خط های زیر را در فایل wp-config.php خود ویرایش کنید.

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);

حال آن ها را با آن کلیدی که تولید کننده کلید به شما میدهد تعویض کنید و آن را ذخیره کنید.

گام پنجم

پلاگین WP Security Scan را نصب کنید
این پلاگین یک مورد خوب برای امن کردن سایت شما به صورت ساده هست که به دنبال حفره های امنیتی میگردد و شما را از وجود این کد های خراب آگاه میکند.
اگر این پلاگین متون شما را به صورت سبز نشان داد میتوانید از آن ها استفاده کنید و اگر رنگ سبز نشدند شما باید مشکل آن ها را حل کنید تا به رنگ سبز در بیایند.

گام ششم

پشوند های جدول دیتابیس خود را تغییر دهید
— خطر! لطفا قبل از این مورد حتما از دیتابیس خود نسخه پشتیبان تهیه کنید—
به صورت پیشفرض پیشوند های جدول شمما در دیتابیس “wp_” هست که این باعث میشود هکر ها به راحتی با استفاده از SQL injection سایت شما را هک کنند به دلیل این که به راحتی میتوان این مورد را حدس زد.
یک پیشوند خوب برای جدول شما میتواند مانند “khordad21_” یا “tehran58″ باشد که شما به راحتی میتوانید با افزونه ای که در قبل آمد به نام WP Security Scan انجام دهید.
این پلاگین یک سربرگ به نام ” Database ” دارد. که با رفتن به آن سربرگ پیشوند مورد نظر خود را تغییر دهید و آن را به کلمه ی امنی که در بالا به آن اشاره شد تغییر دهید.

گام هفتم

جلوگیری از هک با مسدود کردن عنکبوت های موتور های جست و جو از ایندکس کردن پوشه ی ادمین در موتورها
عنکبوت ها بر روی کل وبسایت شما میخزند و همه ی آن را به موتور جست و جو معرفی میکنند.

راحت ترین راه برای جلوگیری از این مورد این است که یک فایل به نام robots.txt در public_html خود درست کنید و خطوط زیر را در آن کپی کنید.
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

گام هشتم

جلوگیری از هک با فایل .htaccess
عنکبوت ها بر روی کل وبسایت شما میخزند و همه ی آن را به موتور جست و جو معرفی میکنند.
.htaccess (hypertext access) نام پیشفرض فایلی است که پیکربندی سطح دایرکتری ها هست که این فایل موجب مدیریت غیر متمرکز پیکربندی های موجود در  وبسایت شما میشود .
این فایل عمدتا برای محدودیت های امنیتی روی دایرکتوری های مهم به کار میرد
در پایین برای شما مواردی در مورد پیکربندی این فایل آورده ایم .

مورد اول این است که برای حفاظت از خود فایل این مورد را اضافه میکنیم . ( این مورد را برای همه ی فایل ها اضافه کنید اعم از آنهایی که در خود روت هستند یا خودتان اضافه میکنید. )
# STRONG HTACCESS PROTECTION

order allow,deny
deny from all
satisfy all

در این مورد میخواهیم فایل config.php را اضافه کنیم.
# protect wp-config.php

Order deny,allow
Deny from all
در اینجا هم جلوگیری میکنیم از این که هکر ها بتوانند دایرکتوری های شما را با اضافه کردن شناسایی کنند.
# disable directory browsing
Options All –Indexes
و برای جلوگیری از اسکریپت های تزریقی ( SQL injection  ) نیز از موراد زیر استفاده کنید
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

در صورتی که پس از این تغییر با خطا ۵۰۰ مواجه شدید کد Options +FollowSymLinks  را به Options +symlinksifownermatch تغییر دهید.

به فلدر /wp-content بروید و دسترسی های دایرکتوری های آن را با ساخت یک فایل و اضافه کردن این خطوط به آن محدود کنید.
Order deny,allow
Deny from all

Allow from all
حال به فلدر /wp-admin بروید و اگر از آی پی استاتیک استفاده میکند بهتر است که یک فایل هم برای این فلدر تولید کنید و آن را به صورت زیر پیکربندی نمایید. (جای آی پی خود را با xx.xx.xx.xx  عوض کنید.)

# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx
deny from all

گام نهم

این مورد آخرین مورد است اما اهمیت کمتری نسبت به بقیه ندارد.
شما میتوانید WordPress Firewall 2 را نصب کنید که به صورت جدی جلوی بیشتر حملات هک را میگیرد
این مورد را با احتیاط استفاده کنید چون میتواند حتی خود شما را نیز بیرون از وبسایت نگه دارد.

 

 

نظرات کاربران
مطالب مرتبط
نحوه تغییر آی پی اکانت های سی پنل

در مواردی ممکن است آی پی سرور شما با مشکل مواجه شود و یا آی پی سرور مسدود شود و…

انتقال دامنه از رسلو به جوکر

همانگونه که اطلاع دارید شرکت رسلو، ایران را در لیست کشورهای مورد تحریم خود قرار داده است و دیگر امکان…

مصرف بیش از حد منابع هاست یا سرور چیست؟

ممکن است شما جزء کاربران و وبمسترهایی باشید که بعد گذشت مدتی از راه اندازی سایت خود با اخطار پشتیبان…

درباره تجریش هاست

مجموعه تجریش هاست با بیش از 10 سال سابقه در زمینه خدمات شبکه و میزبانی وب بصورت کاملا حرفه و با در اختیار داشتن بروز ترین سرور های اختصاصی در بهترین و مدرن ترین دیتاسنتر های جهان بهترین گزینه انتخابی جهت میزبانی وب سایت و یا اطلاعات سازمانی شما.

طراحی و توسعه منحصر به فرد برای تجریش هاست توسط استودیو نوا

هاست لینوکس

هاست پربازدید

هاست ارزان

ثبت دامنه

دامنه ارزان

خرید سرویس اختصاصی

هاست معمولی

هاست حرفه ای

هاست آلمان