سالانه میلیون‌ها وب‌سایت توسط سیستم‌های مدیریت محتوا (CMS) مانند وردپرس، جوملا و غیره ساخته می‌شود. وردپرس به دلیل اوپن سورس بودن از نظر امنیت مشکلات بیشتری نسبت به سایر CMSها دارد در این مقاله به بررسی 10 راهکار افزایش امنیت سایت به‌ویژه سایت‌های وردپرسی می‌پردازیم.

در پاراگراف قبلی اشاره به امنیت پایین وردپرس کردیم اما به این معنی نیست که سایر سیستم‌های مدیریت محتوا نیاز به تقویت امنیت ندارند!

وردپرس به دلیل سهولت در یادگیری و امکانات بسیار ، محبوبیت بیشتری داشته و اغلب سایت‌ها با آن ساخته می‌شوند به همین دلیل تقویت امنیت آن نیز امری ضروری است.

چرا باید امنیت سایت خود را تامین کنم؟

قبل از ارائه راهکار افزایش امنیت سایت بهتر است بدانیم چرا باید امنیت یک سایت را تامین کنیم؟ موتور جستوجوی گوگل یکی از فاکتورهای رتبه‌بندی وب‌سایت‌ها را میزان امنیت‌ها آن‌ها قرار داده است.

گوگل ارزش زیادی برای کاربران خود قائل است و حفظ امنیت آن‌ها را یکی از وظایف خود می‌داند ، بنابراین اگر سایت شما امنیت مناسبی نداشته باشد در رتبه‌بندی گوگل نیز جایگاهی نخواهید داشت.

یکی دیگر از دلایل تقویت امنیت سایت وجود هکرهای همیشه در صحنه است! باور داشته باشید یا نه  ، هکرهای زیادی در دنیا وجود دارند که قصد دارند به سایت شما حمله کنند.

شاید این موضوع برایتان خنده‌دار باشد و بگویید: سایت من چیز خاصی ندارد که برای هکرها جالب باشد.

توجه! هکرها در کمین‌اند.

متاسفانه باید اعلام کنم تک تک مقالات و محصولات سایت تان (به‌ویژه محصولات دانلودی)، ایمیلی که با آن ثبت‌نام کرده‌اید، فاکتورهای فروش، اطلاعاتی که کاربران در سایت وارد کرده‌اند از جمله شماره تماس، ایمیل، آدرس و غیره برای هکرها جذاب بوده و با هک کردن شما به یک رزومه پر و پیمان برای استخدام در شرکت‌های امنیتی دست پیدا می‌کنند!

همچنین ممکن است شما یک سایت پرطرفدار و پرفروش داشته باشید و اگر امنیت آن را به خوبی حفظ نکنید با هک شدن یا ویروسی شدن سایت علاوه‌براینکه مشتریان و مخاطبین خود را از دست می‌دهید در لیست سیاه موتورهای جستوجوگر قرار گرفته، اعتبار خود را از دست می‌دهید و هیچ چیز مثل سابق نخواهد شد.

اکنون که با چرایی حفظ امنیت سایت آشنا شدیم به بررسی راهکار افزایش امنیت سایت می‌پردازیم.

نکات عمومی برای حفظ امنیت در اینترنت

اگرچه حفظ امنیت وب‌سایت‌ها لازم و ضروری است اما تامین امنیت خودمان در دنیای وب نیز اهمیت بالایی دارد؛ بنابراین قبل از اینکه چند راهکار افزایش امنیت سایت به شما پیشنهاد دهیم به توضیح چند نکته عمومی برای حفظ امنیت در اینترنت می‌پردازیم.

• امنیت ایمیل خود را تامین کنید. برای آن یک پسورد غیرقابل تشخیص و قوی انتخاب کنید.
• ورود دومرحله‌ای را برای ایمیل و سایر اپلیکیشن‌ها فعال کنید. این تایید دو مرحله دقیقا مانند رمز دوم یکبار مصرف کارت های بانکی است . که توسط افزونه های امنیتی برای کاربران صادر وبه ایمیل آنها برای هر بار ورود ارسال می شود . البته ممکن است به علت تاخیر در رسیدن ایمیل یا جیمیل کاربران با این روند کلافه شوند . اما برای ورود مدیران به سایت حتما از این تکنیک استفاده کنید .
• همواره مرورگر خود را آپدیت نگه‌دارید و از مرورگرهای مشکوک و ناشناس استفاده نکنید. بهترین مرورگرها از نظر امنیت گوگل کروم، فایرفاکس و سافاری هستند.
• به‌طور مرتب کوکی‌ها و سابقه سرچ را پاک کنید.
• از وای‌فای مکان‌های عمومی مثل رستوران‌ها، هتل‌ها و غیره استفاده نکنید. اگر مجبور به استفاده از WiFi عمومی هستید، حدالامکان از ورود به حساب‌های کاربری خود جلوگیری کنید.
• نگران تامین امنیتدرگاه های بانکی نباشیدبعد از ورود کاربرانبه درگاه بانکی ، تامین امنیت آن ها بر عهده ساختارهای بانک هاست . آنچه اهمیت دارد تامین امنیت کاربران قبل از رسیدن به درگاه بانکی است . حفظ و هراست از اطلاعات کاربران مادامی که در سایت شما هستند ، برعهده شماست .

بررسی 10 راهکار افزایش امنیت سایت

هیچ راهکار دائمی و 100 درصدی برای حفظ امنیت در اینترنت وجود ندارد اما با انجام راهکارهای زیر تا حد زیادی می‌توانید امنیت سایت خود را افزایش داده تا در نگاه گوگل و کاربران یک وب‌سایت قابل اعتماد باشید.

علاوه‌ بر این استفاده از این راهکارها باعث می‌شود اگر سایت شما در معرض هک شدن قرار گرفت، هکر ساعت‌های زیادی را صرف از بین بردن اقدامات امنیتی کند و به‌ راحتی نتواند به اطلاعات شما دست پیدا کند.

1)خرید هاست معتبر اولین قدم برای حفظ امنیت سایت

هاستی که وب‌سایت شما را میزبانی می‌کند نقش مهمی در تقویت امنیت وب‌سایت دارد.

همانطور که برای راه‌اندازی یک فروشگاه یا شرکت در مکان مناسب برای آن تحقیق می‌کنید، هاست شما نیز حکم مغازه یا دفتر شما را در فضای آنلاین دارد.

اگر هنوز سایت خود را راه‌اندازی نکرده‌اید قبل از خرید اعتبار شرکت هاستینگ را بررسی کنید علاوه‌ بر این از خرید هاست‌های ارزان جلوگیری کنید.

درصورتی که متوجه شدید شرکت هاستینگ شما اعتبار لازم را نداشته و اقدامات امنیتی را به‌خوبی اعمال نمی‌کند، می‌توانید هاست خود را تغییر دهید.

شاید بپرسید یک هاست خوب چه ویژگی‌های دارد و در هنگام خرید هاست چه نکاتی را می‌بایست درنظر بگیریم؟

• از شرکت‌های بی‌نام و نشان خرید نکنید؛ یک شرکت هاستینگ معتبر باید آدرس دائمی، شماره تلفن ثابت، ای‌نماد و پشتیبانی خوب داشته باشد.
• نکته مهم دیگری که باید درنظر بگیرید این است که شرکت هاستینگ از فایروال و آنتی‌ویروس در هاست‌های خود استفاده کند. فایروال‌ها و آنتی‌ویروس‌ها تا حد زیادی می‌توانند از حمله هکرها جلوگیری کنند.
• نکته بعدی که می‌بایست به آن توجه کنید روند بک‌آپ‌گیری هاست از اطلاعات سایت شما است. شرکت‌های هاستینگ به‌طور منظم از اطلاعات هر سایت بک‌آپ می‌گیرند تا در صورت رخداد مشکلات امنیتی و غیره بتوانند اطلاعات را بازیابی کنند.
• همچنین برای راه اندازی سرور ها ، تجهیزات سخت افزاری با مشخصات حداقلی وجود دارد . شرکت مورد نظر شما باید این حداقل ها را دارا باشد . به طور مثال از هارد های NVME استفاده کنند . حداقل ssl رایگان را در اختیار شما بگذارند . مهلت تست چند روزه را به شما بدهند . قطعی سرویس های آن ها در حداقل حالت ممکن باشد . در بین این شرکت ها ، ما شرکت سون هاست را به شما پیشنهاد می کنیم .

2) افزونه‌های سایت خود را به‌روز نگهدارید

دومین راهکار بالابردن امنیت سایت بروزرسانی افزونه‌ها و نرم‌افزارهای آن است. برنامه‌نویسان ارائه دهنده افزونه‌های وردپرس و سایر CMSها به‌طور مداوم درحال بهبود امکانات افزونه و رصد مشکلات امنیتی آن‌ها هستند.

رفع مشکلات امنیتی و تعمیر کدهای آسیب‌پذیر افزونه‌ها از طریق بروزرسانی ها در اختیار وب‌سایت‌ها قرار می‌گیرند.

برای بروزرسانی به‌موقع افزونه‌ها می‌توانید اعلان بروز‌رسانی آن را فعال یا از پلتفرم‌هایی که بروزرسانی خودکار دارند، استفاده کنید.

اگر درباره این موضوعات دانش فنی ندارید می توانید پشتیبانی سایت خودتان را به گروه نوین پدیا بسپارید . 

3)استفاده از گواهی SSL

راهکار بعدی برای ارتقای امنیت وب‌سایت استفاده از گواهی SSL و ایمن کردن URL‌های سایت است.

به‌طورکلی آدرس هر وب‌سایت با عبارت HTTP شروع می‌شود اما این آدرس به‌اندازه کافی ایمن نیست و ممکن است اطلاعات کاربران در اینترنت فاش شود؛ به ‌همین دلیل باید از اس‌اس‌ال که یک لایه سوکت امن برای سایت ایجاد می‌کند استفاده کنید.

برای اینکه به‌خوبی عملکرد SSL را درک کنید اجازه دهید بیشتر آن را بررسی کنیم. تصور کنید یک کاربر قصد دارد در وب‌سایت شما ثبت‌نام کند.

در حالت عادی زمانی که اطلاعات خود را در فرم ثبت‌نام وارد می‌کند، این اطلاعات به‌طور مستقیم به پایگاه داده سایت منتقل می‌شوند.

اکنون شما تصمیم می‌گیرد برای امنیت بیشتر یک اس‌اس‌ال به سایت خود اضافه کنید.

در حالت ایمن یا https زمانی که کاربر اطلاعات خود را در فرم ثبت‌نام وارد می‌کند، SSL این اطلاعات را رمزگذاری کرده تا برای شخص ثالث قابل خواندن نباشد و سپس آن‌ها را به پایگاه داده منتقل می‌کند!

همچنین موتورهای جستجوگر استفاده از اس‌اس‌ال را به عنوان یک شاخص رتبه‌دهی به سایت‌ها قرار داده‌اند.

البته لازم است بدانید که استفاده از این گواهی نامه سال ها قبل توسط گوگل اجباری اعلام شد . در نتیجه سایت هایی که از این گواهی نامه استفاده نمی کنند و همچنان آدرس سایت شان با http باز می شود توسط گوگل امن شناخته نمی شوند .

و زمانی که کاربر بخواهد وارد این سایت ها شود با اخطار گوگل مبنی بر امن نبودن آن سایت روبرو می شود که احتمال ورود کاربران به سایت را بسیار پایین می آورد .

البته خبر خوب این است که برای دریافت این گواهی نامه لازم نیست هزینه کنید . معمولا شرکت های سرویس دهنده هاست ها این گواهی نامه را به صورت رایگان در اختیار شما قرار می دهند که می توانیدبه راحتی آن  را فعال کنید .

همچنین به عنوان یک سپر امنیتی می توانید از سرویس هایCDN داخلی مانند ابرآروان استفاده کنید . متاسفانه سرویس های ارائه دهنده خارجی مانند Cloudflare با هاست های داخلی سازگار نیستند .

سرویس CDN یک سپر امنیتی بین تمام درخواست هایی که به سایت شما داده می شود و هاست تان قرار میدهد . لذا کاربران قبل از ورودبه سایت شما از این فیلتر امنیتی رد می شوند .

در نتیجه اگر این درخواست از طرف یک ربات یا هکر باشد در اغلب موارد نمیتواند به سایت و اطلاعات شما دسترسی پیدا کند و در همان مرحله اول توسط سپر ، بلاک می شود .

4)پسورد خود را جدی بگیرید!

عموم افراد از یک رمز مشخص برای حساب‌های کاربری خود استفاده می‌کنند. دراکثر موارد این پسورد شماره تماس یا کدملی آن‌هاست!

چهارمین راهکار افزایش امنیت سایت استفاده از پسورد قوی است اما چطور یک پسورد مناسب انتخاب کنیم؟

برای انتخاب پسورد و البته حفظ امنیت کاربران سایتتان می‌توانید اقدامات زیر را انجام دهید.

• از پسوردهای قابل شناسایی مانند شماره تلفن به هیچ عنوان استفاده نکنید.
• استفاده از عبارت 12345 را برای همیشه فراموش کنید.
• هرگز از یک رمز برای دو حساب کاربری استفاده نکنید!
• پسوردی که انتخاب می‌کنید باید حداقل 8 کارکتر داشته باشد و شامل اعداد و حروف باشد.
• برای انتخاب رمز می‌توانید از امکانات پسورد هوشمند گوگل، وردپرس یا افزونه‌های امنیتی استفاده کنید.
• برای ساخت رمز می توانید از سایت generate password استفاده کنید
• اگر نمی‌خواهید از پسوردهای هوشمند استفاده کنید، سختی رمز انتخابی خود در سایت how secure is password چک کنید.
• برای به خاطر سپاری رمز ها از سرویس Lastpass یا Bitwarden استفاده کنید .
• حداقل هر سه ماه یکبار پسورد خود را تغییر دهید.
• اگر سایت شما مجله‌‌ای، خبری یا به‌گونه‌ای است که کاربر نیاز به ثبت‌نام در آن ندارد، قابلیت ثبت‌نام در سایت را غیرفعال کنید.
• اگر لازم است کاربران در سایت ثبت‌نام کنند الزاما برای ورود کاربران از تایید 2 مرحله‌ای استفاده کنید.

5)دسترسی کارمندانتان به سایت را بازبینی کنید

ممکن است چندین کارمند داشته باشید و طبق وظیفه‌ کاری آن‌ها به هر کدام یکی از سطوح دسترسی بهCMS  مانند نویسنده، ویرایشگر، مدیر سایت و غیره را داده باشید.

در قدم اول لینک این مقاله را برای کارمندان خود فرستاده و از آن‌ها بخواهید آن را بخوانند تا با اهمیت امنیت سایت آشنا شوند.

در قدم بعدی سعی کنید با ایمیل شخصی کارمندان به آن‌ها دسترسی ندهید در عوض برای هر سطح مدیریتی یک ایمیل ساخته و اطلاعات اکانت کاربری CMS را در اختیار آن‌ها قرار دهید.

با این شیوه حتی با اتمام همکاری کارمند با مجموعه شما نیاز به اقدام خاصی نیست و فقط کافیست پسورد اکانت کاربری را تغییر دهید.

این شیوه برای کارمندانی که به صورت دورکاری فعالیت می‌کنند بسیار موثر است.

یکی دیگر از نکاتی که باید حتما به آن توجه کنید بررسی دسترسی مالک قالب سایت است. بیشتر کسانی که سایت خود را با وردپرس می‌سازند از قالب‌های آماده استفاده می‌کنند.

هنگام راه‌اندازی سایت با نصب پوسته یک ایمیل مدیریت برای سازنده قالب ایجاد می‌شود. الزامی‌ست که پس از انجام تنظیمات اکانت ایجاد شده برای سازنده را حذف کنید.

6)پیش فرض‌های وردپرس را تغییر دهید

به‌طور پیش فرض یک سری تنظیمات برای CMS وردپرس تعریف شده است و تغییر این پیش فرض‌ها یک راهکار افزایش امنیت سایت است.

• دسترسی به فایل‌های سایت را از طریق سی‌پنل یا دایرکت ادمین قفل کنید؛ متاسفانه در برخی از هاست‌ها امکان ورود به پوشه آپلود بسته نشده و امکان ورود به پوشه و دانلود فایل‌های سایت وجود دارد. اگر وب‌سایتی برای فروش محصولات دانلودی دارید این مشکل علاوه‌بر کاهش امنیت سایت به کسب‌وکار شما نیز لطمه می‌زند. اما بستن اجازه دسترسی بسیار ساده و با چند خط کد انجام می شود . البته می توانید به پشتیبان سرویس ارائه دهنده هاستت تان تیکت بزنید تا این کار را برای شما انجام دهند.
• هنگام ساخت دیتابیس، نام دیتابیس و نام یوزر دیتابیس را یکسان قرار ندهید.
• هنگام نصب وردپرس پیشوند جدول‌های وردپرس که به‌طور پیشفرض WP قرار داده شده را تغییر دهید. برای تغییر این پیشوند می‌توانید از عدد و حروف استفاده کنید. اگر سایت خود را از قبل راه‌اندازی کرده‌اید این پیشوند را با افزونه‌های مخصوص این کار مانند Change Table Prefix یا افزونه امنیتی ITHEMS تغییر دهید.
• به هیچ عنوان از اسم و فامیل یا کلماتی مانند ادمین، مدیر و غیره برای نام کاربری استفاده نکنید. امکان تغییر نام کاربری در وردپرس وجود ندارد و برای تغییر آن می‌بایست از افزونه‌های تغییر نام کاربری استفاده یا از طریق دیتابیس اقدام کنید. کلمه ادمین اولین مسیری است که ربات ها و هکر هابرای ورودبه سایت شما از آن استفاده می کنند. این کلمه ممنوع است !

7)به‌طور منظم از هاست و سایت خود بک‌آپ بگیرید

در ظاهر شاید بک‌آپ‌گیری از فایل‌ها ارتباطی با مبحث امنیت نداشته باشد. شرایطی را تصور کنید که مورد حمله هکری قرار گرفته‌اید اگر از فایل‌ها، پایگاه داده و ایمیل‌های خود بک‌آپ تهیه نکرده باشید مدت زمان زیادی طول می‌کشد تا بتوانید دوباره سایت را به حالت قبل بازگردانید.

برای پشتیبان‌گیری از اطلاعات می‌توانید به صورت دستی از هاست خود بک‌آپ تهیه کنید با از افزونه‌های مربوطه استفاده کنید.

البته بسیاری از شرکت های سرویس دهنده به صورت روزانه یا حداکثر هفتگی این کار را انجام می دهند که در صورت بروز مشکل بتوانید از این بکاپ استفاده کنید اما معمولا بکاپ مربوط به فقط هفت روز پیش موجود است و قبل از آن بکاپی وجود ندارد .

8)هاست خود را از طریق ویروس اسکنر چک کنید

در سی‌پنل یا دایرکت ادمین هر هاست یک ویروس اسکنر قراره گرفته است. از طریق این اسکنر می‌توانید تمام ایمیل‌ها و پوشه‌های هاست را بررسی کرده و اگر کد یا فایل مخربی درون هاست وجود داشته باشد آن را برطرف کنید.

البته از طریق افزونه‌ها نیز می‌توان وب‌سایت‌ها را اسکن کرد که در تیتر بعدی آن را توضیح خواهیم داد.

9)یک افزونه امنیتی نصب کنید

نهمین راهکار افزایش امنیت سایت نصب یک افزونه امنیتی برای سایتتان است.

این افزونه به‌طور منظم سایت را اسکن می‌کند، درصورتی که یک کاربر از پسورد نامناسب استفاده کند اخطار می‌دهد.

در صورتی که افزونه‌ای نیاز به بروزرسانی داشته باشد اعلام می‌کند.

از سایت بک‌آپ تهیه می‌کند، آی‌پی‌های مشکوک را مسدود می‌کند و غیره.

این افزونه‌ها دستیاران خوبی برای تقویت امنیت سایت هستند.

10)یک کارشناس امنیتی استخدام کنید

موضوع امنیت آنقدر مهم است که رشته‌ای برای تدریس آن در دانشگاه‌ها وجود دارد.

کارشناس‌های امنیت می‌توانند به‌طور منظم سایت شما را اسکن کنند و در صورت به‌وجود آمدن هرگونه مشکلی سریع آن را برطرف کنند.

علاوه‌براین می‌توانید انجام اقدامات امنیتی را به‌طور کامل به این کارشناسان بسپارید تا خیالتان از امنیت سایت راحت باشد.

نتیجه‌گیری

همانطور که در قسمت‌های مختلف مقاله اشاره کردیم امنیت سایت موضوع بسیار مهمی است و به‌طور کلی روی میزان درآمد، جایگاه شما در گوگل و برند کاریتان اثر می‌گذارد.

در این مقاله به 10 راهکار افزایش امنیت سایت به‌ویژه برای سایت‌های وردپرسی توضیح داده شد.

با انجام این راهکارها به‌طور نسبی می‌توانید امنیت سایت خود را تامین کنید؛ زیرا امنیت هرگز 100 درصد رخ نخواهد داد و هکرها همیشه در کمین هستند.

همچنین می‌توانید برای بررسی میزان امنیت سایتتان از متخصصان نوین پدیا کمک بگیرید.