10 راهکار افزایش امنیت سایت وردپرسی
سالانه میلیونها وبسایت توسط سیستمهای مدیریت محتوا (CMS) مانند وردپرس، جوملا و غیره ساخته میشود. وردپرس به دلیل اوپن سورس بودن از نظر امنیت مشکلات بیشتری نسبت به سایر CMSها دارد در این مقاله به بررسی 10 راهکار افزایش امنیت سایت بهویژه سایتهای وردپرسی میپردازیم.
در پاراگراف قبلی اشاره به امنیت پایین وردپرس کردیم اما به این معنی نیست که سایر سیستمهای مدیریت محتوا نیاز به تقویت امنیت ندارند!
وردپرس به دلیل سهولت در یادگیری و امکانات بسیار ، محبوبیت بیشتری داشته و اغلب سایتها با آن ساخته میشوند به همین دلیل تقویت امنیت آن نیز امری ضروری است.
چرا باید امنیت سایت خود را تامین کنم؟
قبل از ارائه راهکار افزایش امنیت سایت بهتر است بدانیم چرا باید امنیت یک سایت را تامین کنیم؟ موتور جستوجوی گوگل یکی از فاکتورهای رتبهبندی وبسایتها را میزان امنیتها آنها قرار داده است.
گوگل ارزش زیادی برای کاربران خود قائل است و حفظ امنیت آنها را یکی از وظایف خود میداند ، بنابراین اگر سایت شما امنیت مناسبی نداشته باشد در رتبهبندی گوگل نیز جایگاهی نخواهید داشت.
یکی دیگر از دلایل تقویت امنیت سایت وجود هکرهای همیشه در صحنه است! باور داشته باشید یا نه ، هکرهای زیادی در دنیا وجود دارند که قصد دارند به سایت شما حمله کنند.
شاید این موضوع برایتان خندهدار باشد و بگویید: سایت من چیز خاصی ندارد که برای هکرها جالب باشد.
توجه! هکرها در کمیناند.
متاسفانه باید اعلام کنم تک تک مقالات و محصولات سایت تان (بهویژه محصولات دانلودی)، ایمیلی که با آن ثبتنام کردهاید، فاکتورهای فروش، اطلاعاتی که کاربران در سایت وارد کردهاند از جمله شماره تماس، ایمیل، آدرس و غیره برای هکرها جذاب بوده و با هک کردن شما به یک رزومه پر و پیمان برای استخدام در شرکتهای امنیتی دست پیدا میکنند!
همچنین ممکن است شما یک سایت پرطرفدار و پرفروش داشته باشید و اگر امنیت آن را به خوبی حفظ نکنید با هک شدن یا ویروسی شدن سایت علاوهبراینکه مشتریان و مخاطبین خود را از دست میدهید در لیست سیاه موتورهای جستوجوگر قرار گرفته، اعتبار خود را از دست میدهید و هیچ چیز مثل سابق نخواهد شد.
اکنون که با چرایی حفظ امنیت سایت آشنا شدیم به بررسی راهکار افزایش امنیت سایت میپردازیم.
نکات عمومی برای حفظ امنیت در اینترنت
اگرچه حفظ امنیت وبسایتها لازم و ضروری است اما تامین امنیت خودمان در دنیای وب نیز اهمیت بالایی دارد؛ بنابراین قبل از اینکه چند راهکار افزایش امنیت سایت به شما پیشنهاد دهیم به توضیح چند نکته عمومی برای حفظ امنیت در اینترنت میپردازیم.
- امنیت ایمیل خود را تامین کنید. برای آن یک پسورد غیرقابل تشخیص و قوی انتخاب کنید.
- ورود دومرحلهای را برای ایمیل و سایر اپلیکیشنها فعال کنید. این تایید دو مرحله دقیقا مانند رمز دوم یکبار مصرف کارت های بانکی است . که توسط افزونه های امنیتی برای کاربران صادر وبه ایمیل آنها برای هر بار ورود ارسال می شود . البته ممکن است به علت تاخیر در رسیدن ایمیل یا جیمیل کاربران با این روند کلافه شوند . اما برای ورود مدیران به سایت حتما از این تکنیک استفاده کنید .
- همواره مرورگر خود را آپدیت نگهدارید و از مرورگرهای مشکوک و ناشناس استفاده نکنید. بهترین مرورگرها از نظر امنیت گوگل کروم، فایرفاکس و سافاری هستند.
- بهطور مرتب کوکیها و سابقه سرچ را پاک کنید.
- از وایفای مکانهای عمومی مثل رستورانها، هتلها و غیره استفاده نکنید. اگر مجبور به استفاده از WiFi عمومی هستید، حدالامکان از ورود به حسابهای کاربری خود جلوگیری کنید.
- نگران تامین امنیتدرگاه های بانکی نباشیدبعد از ورود کاربرانبه درگاه بانکی ، تامین امنیت آن ها بر عهده ساختارهای بانک هاست . آنچه اهمیت دارد تامین امنیت کاربران قبل از رسیدن به درگاه بانکی است . حفظ و هراست از اطلاعات کاربران مادامی که در سایت شما هستند ، برعهده شماست .
بررسی 10 راهکار افزایش امنیت سایت
هیچ راهکار دائمی و 100 درصدی برای حفظ امنیت در اینترنت وجود ندارد اما با انجام راهکارهای زیر تا حد زیادی میتوانید امنیت سایت خود را افزایش داده تا در نگاه گوگل و کاربران یک وبسایت قابل اعتماد باشید.
علاوه بر این استفاده از این راهکارها باعث میشود اگر سایت شما در معرض هک شدن قرار گرفت، هکر ساعتهای زیادی را صرف از بین بردن اقدامات امنیتی کند و به راحتی نتواند به اطلاعات شما دست پیدا کند.
1)خرید هاست معتبر اولین قدم برای حفظ امنیت سایت
هاستی که وبسایت شما را میزبانی میکند نقش مهمی در تقویت امنیت وبسایت دارد.
همانطور که برای راهاندازی یک فروشگاه یا شرکت در مکان مناسب برای آن تحقیق میکنید، هاست شما نیز حکم مغازه یا دفتر شما را در فضای آنلاین دارد.
اگر هنوز سایت خود را راهاندازی نکردهاید قبل از خرید اعتبار شرکت هاستینگ را بررسی کنید علاوه بر این از خرید هاستهای ارزان جلوگیری کنید.
درصورتی که متوجه شدید شرکت هاستینگ شما اعتبار لازم را نداشته و اقدامات امنیتی را بهخوبی اعمال نمیکند، میتوانید هاست خود را تغییر دهید.
شاید بپرسید یک هاست خوب چه ویژگیهای دارد و در هنگام خرید هاست چه نکاتی را میبایست درنظر بگیریم؟
- از شرکتهای بینام و نشان خرید نکنید؛ یک شرکت هاستینگ معتبر باید آدرس دائمی، شماره تلفن ثابت، اینماد و پشتیبانی خوب داشته باشد.
- نکته مهم دیگری که باید درنظر بگیرید این است که شرکت هاستینگ از فایروال و آنتیویروس در هاستهای خود استفاده کند. فایروالها و آنتیویروسها تا حد زیادی میتوانند از حمله هکرها جلوگیری کنند.
- نکته بعدی که میبایست به آن توجه کنید روند بکآپگیری هاست از اطلاعات سایت شما است. شرکتهای هاستینگ بهطور منظم از اطلاعات هر سایت بکآپ میگیرند تا در صورت رخداد مشکلات امنیتی و غیره بتوانند اطلاعات را بازیابی کنند.
- همچنین برای راه اندازی سرور ها ، تجهیزات سخت افزاری با مشخصات حداقلی وجود دارد . شرکت مورد نظر شما باید این حداقل ها را دارا باشد . به طور مثال از هارد های NVME استفاده کنند . حداقل ssl رایگان را در اختیار شما بگذارند . مهلت تست چند روزه را به شما بدهند . قطعی سرویس های آن ها در حداقل حالت ممکن باشد . در بین این شرکت ها ، ما شرکت سون هاست را به شما پیشنهاد می کنیم .
2) افزونههای سایت خود را بهروز نگهدارید
دومین راهکار بالابردن امنیت سایت بروزرسانی افزونهها و نرمافزارهای آن است. برنامهنویسان ارائه دهنده افزونههای وردپرس و سایر CMSها بهطور مداوم درحال بهبود امکانات افزونه و رصد مشکلات امنیتی آنها هستند.
رفع مشکلات امنیتی و تعمیر کدهای آسیبپذیر افزونهها از طریق بروزرسانی ها در اختیار وبسایتها قرار میگیرند.
برای بروزرسانی بهموقع افزونهها میتوانید اعلان بروزرسانی آن را فعال یا از پلتفرمهایی که بروزرسانی خودکار دارند، استفاده کنید.
اگر درباره این موضوعات دانش فنی ندارید می توانید پشتیبانی سایت خودتان را به گروه نوین پدیا بسپارید .
3)استفاده از گواهی SSL
راهکار بعدی برای ارتقای امنیت وبسایت استفاده از گواهی SSL و ایمن کردن URLهای سایت است.
بهطورکلی آدرس هر وبسایت با عبارت HTTP شروع میشود اما این آدرس بهاندازه کافی ایمن نیست و ممکن است اطلاعات کاربران در اینترنت فاش شود؛ به همین دلیل باید از اساسال که یک لایه سوکت امن برای سایت ایجاد میکند استفاده کنید.
برای اینکه بهخوبی عملکرد SSL را درک کنید اجازه دهید بیشتر آن را بررسی کنیم. تصور کنید یک کاربر قصد دارد در وبسایت شما ثبتنام کند.
در حالت عادی زمانی که اطلاعات خود را در فرم ثبتنام وارد میکند، این اطلاعات بهطور مستقیم به پایگاه داده سایت منتقل میشوند.
اکنون شما تصمیم میگیرد برای امنیت بیشتر یک اساسال به سایت خود اضافه کنید.
در حالت ایمن یا https زمانی که کاربر اطلاعات خود را در فرم ثبتنام وارد میکند، SSL این اطلاعات را رمزگذاری کرده تا برای شخص ثالث قابل خواندن نباشد و سپس آنها را به پایگاه داده منتقل میکند!
همچنین موتورهای جستجوگر استفاده از اساسال را به عنوان یک شاخص رتبهدهی به سایتها قرار دادهاند.
البته لازم است بدانید که استفاده از این گواهی نامه سال ها قبل توسط گوگل اجباری اعلام شد . در نتیجه سایت هایی که از این گواهی نامه استفاده نمی کنند و همچنان آدرس سایت شان با http باز می شود توسط گوگل امن شناخته نمی شوند .
و زمانی که کاربر بخواهد وارد این سایت ها شود با اخطار گوگل مبنی بر امن نبودن آن سایت روبرو می شود که احتمال ورود کاربران به سایت را بسیار پایین می آورد .
البته خبر خوب این است که برای دریافت این گواهی نامه لازم نیست هزینه کنید . معمولا شرکت های سرویس دهنده هاست ها این گواهی نامه را به صورت رایگان در اختیار شما قرار می دهند که می توانیدبه راحتی آن را فعال کنید .
همچنین به عنوان یک سپر امنیتی می توانید از سرویس هایCDN داخلی مانند ابرآروان استفاده کنید . متاسفانه سرویس های ارائه دهنده خارجی مانند Cloudflare با هاست های داخلی سازگار نیستند .
سرویس CDN یک سپر امنیتی بین تمام درخواست هایی که به سایت شما داده می شود و هاست تان قرار میدهد . لذا کاربران قبل از ورودبه سایت شما از این فیلتر امنیتی رد می شوند .
در نتیجه اگر این درخواست از طرف یک ربات یا هکر باشد در اغلب موارد نمیتواند به سایت و اطلاعات شما دسترسی پیدا کند و در همان مرحله اول توسط سپر ، بلاک می شود .
4)پسورد خود را جدی بگیرید!
عموم افراد از یک رمز مشخص برای حسابهای کاربری خود استفاده میکنند. دراکثر موارد این پسورد شماره تماس یا کدملی آنهاست!
چهارمین راهکار افزایش امنیت سایت استفاده از پسورد قوی است اما چطور یک پسورد مناسب انتخاب کنیم؟
برای انتخاب پسورد و البته حفظ امنیت کاربران سایتتان میتوانید اقدامات زیر را انجام دهید.
- از پسوردهای قابل شناسایی مانند شماره تلفن به هیچ عنوان استفاده نکنید.
- استفاده از عبارت 12345 را برای همیشه فراموش کنید.
- هرگز از یک رمز برای دو حساب کاربری استفاده نکنید!
- پسوردی که انتخاب میکنید باید حداقل 8 کارکتر داشته باشد و شامل اعداد و حروف باشد.
- برای انتخاب رمز میتوانید از امکانات پسورد هوشمند گوگل، وردپرس یا افزونههای امنیتی استفاده کنید.
- برای ساخت رمز می توانید از سایت generate password استفاده کنید
- اگر نمیخواهید از پسوردهای هوشمند استفاده کنید، سختی رمز انتخابی خود در سایت how secure is password چک کنید.
- برای به خاطر سپاری رمز ها از سرویس Lastpass یا Bitwarden استفاده کنید .
- حداقل هر سه ماه یکبار پسورد خود را تغییر دهید.
- اگر سایت شما مجلهای، خبری یا بهگونهای است که کاربر نیاز به ثبتنام در آن ندارد، قابلیت ثبتنام در سایت را غیرفعال کنید.
- اگر لازم است کاربران در سایت ثبتنام کنند الزاما برای ورود کاربران از تایید 2 مرحلهای استفاده کنید.
5)دسترسی کارمندانتان به سایت را بازبینی کنید
ممکن است چندین کارمند داشته باشید و طبق وظیفه کاری آنها به هر کدام یکی از سطوح دسترسی بهCMS مانند نویسنده، ویرایشگر، مدیر سایت و غیره را داده باشید.
در قدم اول لینک این مقاله را برای کارمندان خود فرستاده و از آنها بخواهید آن را بخوانند تا با اهمیت امنیت سایت آشنا شوند.
در قدم بعدی سعی کنید با ایمیل شخصی کارمندان به آنها دسترسی ندهید در عوض برای هر سطح مدیریتی یک ایمیل ساخته و اطلاعات اکانت کاربری CMS را در اختیار آنها قرار دهید.
با این شیوه حتی با اتمام همکاری کارمند با مجموعه شما نیاز به اقدام خاصی نیست و فقط کافیست پسورد اکانت کاربری را تغییر دهید.
این شیوه برای کارمندانی که به صورت دورکاری فعالیت میکنند بسیار موثر است.
یکی دیگر از نکاتی که باید حتما به آن توجه کنید بررسی دسترسی مالک قالب سایت است. بیشتر کسانی که سایت خود را با وردپرس میسازند از قالبهای آماده استفاده میکنند.
هنگام راهاندازی سایت با نصب پوسته یک ایمیل مدیریت برای سازنده قالب ایجاد میشود. الزامیست که پس از انجام تنظیمات اکانت ایجاد شده برای سازنده را حذف کنید.
6)پیش فرضهای وردپرس را تغییر دهید
بهطور پیش فرض یک سری تنظیمات برای CMS وردپرس تعریف شده است و تغییر این پیش فرضها یک راهکار افزایش امنیت سایت است.
- دسترسی به فایلهای سایت را از طریق سیپنل یا دایرکت ادمین قفل کنید؛ متاسفانه در برخی از هاستها امکان ورود به پوشه آپلود بسته نشده و امکان ورود به پوشه و دانلود فایلهای سایت وجود دارد. اگر وبسایتی برای فروش محصولات دانلودی دارید این مشکل علاوهبر کاهش امنیت سایت به کسبوکار شما نیز لطمه میزند. اما بستن اجازه دسترسی بسیار ساده و با چند خط کد انجام می شود . البته می توانید به پشتیبان سرویس ارائه دهنده هاستت تان تیکت بزنید تا این کار را برای شما انجام دهند.
- هنگام ساخت دیتابیس، نام دیتابیس و نام یوزر دیتابیس را یکسان قرار ندهید.
- هنگام نصب وردپرس پیشوند جدولهای وردپرس که بهطور پیشفرض WP قرار داده شده را تغییر دهید. برای تغییر این پیشوند میتوانید از عدد و حروف استفاده کنید. اگر سایت خود را از قبل راهاندازی کردهاید این پیشوند را با افزونههای مخصوص این کار مانند Change Table Prefix یا افزونه امنیتی ITHEMS تغییر دهید.
- به هیچ عنوان از اسم و فامیل یا کلماتی مانند ادمین، مدیر و غیره برای نام کاربری استفاده نکنید. امکان تغییر نام کاربری در وردپرس وجود ندارد و برای تغییر آن میبایست از افزونههای تغییر نام کاربری استفاده یا از طریق دیتابیس اقدام کنید. کلمه ادمین اولین مسیری است که ربات ها و هکر هابرای ورودبه سایت شما از آن استفاده می کنند. این کلمه ممنوع است !
7)بهطور منظم از هاست و سایت خود بکآپ بگیرید
در ظاهر شاید بکآپگیری از فایلها ارتباطی با مبحث امنیت نداشته باشد. شرایطی را تصور کنید که مورد حمله هکری قرار گرفتهاید اگر از فایلها، پایگاه داده و ایمیلهای خود بکآپ تهیه نکرده باشید مدت زمان زیادی طول میکشد تا بتوانید دوباره سایت را به حالت قبل بازگردانید.
برای پشتیبانگیری از اطلاعات میتوانید به صورت دستی از هاست خود بکآپ تهیه کنید با از افزونههای مربوطه استفاده کنید.
البته بسیاری از شرکت های سرویس دهنده به صورت روزانه یا حداکثر هفتگی این کار را انجام می دهند که در صورت بروز مشکل بتوانید از این بکاپ استفاده کنید اما معمولا بکاپ مربوط به فقط هفت روز پیش موجود است و قبل از آن بکاپی وجود ندارد .
8)هاست خود را از طریق ویروس اسکنر چک کنید
در سیپنل یا دایرکت ادمین هر هاست یک ویروس اسکنر قراره گرفته است. از طریق این اسکنر میتوانید تمام ایمیلها و پوشههای هاست را بررسی کرده و اگر کد یا فایل مخربی درون هاست وجود داشته باشد آن را برطرف کنید.
البته از طریق افزونهها نیز میتوان وبسایتها را اسکن کرد که در تیتر بعدی آن را توضیح خواهیم داد.
9)یک افزونه امنیتی نصب کنید
نهمین راهکار افزایش امنیت سایت نصب یک افزونه امنیتی برای سایتتان است.
این افزونه بهطور منظم سایت را اسکن میکند، درصورتی که یک کاربر از پسورد نامناسب استفاده کند اخطار میدهد.
در صورتی که افزونهای نیاز به بروزرسانی داشته باشد اعلام میکند.
از سایت بکآپ تهیه میکند، آیپیهای مشکوک را مسدود میکند و غیره.
این افزونهها دستیاران خوبی برای تقویت امنیت سایت هستند.
10)یک کارشناس امنیتی استخدام کنید
موضوع امنیت آنقدر مهم است که رشتهای برای تدریس آن در دانشگاهها وجود دارد.
کارشناسهای امنیت میتوانند بهطور منظم سایت شما را اسکن کنند و در صورت بهوجود آمدن هرگونه مشکلی سریع آن را برطرف کنند.
علاوهبراین میتوانید انجام اقدامات امنیتی را بهطور کامل به این کارشناسان بسپارید تا خیالتان از امنیت سایت راحت باشد.
نتیجهگیری
همانطور که در قسمتهای مختلف مقاله اشاره کردیم امنیت سایت موضوع بسیار مهمی است و بهطور کلی روی میزان درآمد، جایگاه شما در گوگل و برند کاریتان اثر میگذارد.
در این مقاله به 10 راهکار افزایش امنیت سایت بهویژه برای سایتهای وردپرسی توضیح داده شد.
با انجام این راهکارها بهطور نسبی میتوانید امنیت سایت خود را تامین کنید؛ زیرا امنیت هرگز 100 درصد رخ نخواهد داد و هکرها همیشه در کمین هستند.
همچنین میتوانید برای بررسی میزان امنیت سایتتان از متخصصان نوین پدیا کمک بگیرید.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.