اشتباهات امنیتی رایج در وردپرس

30 فروردین 1399
wordpress-security-mistakes

اگر تاکنون وب سایت وردپرسی شما مورد حمله ربات ها، هکرها و دیگر عناصر مخرب قرار گرفته باشد، حتما می دانید که اتفاق افتادن چنین مصیبت هایی برای وب سایتتان چه کابوس وحشتناکی است. با محبوب تر شدن وردپرس، هکرهای بیشتری هم برای هک کردن وب سایت های وردپرسی تقلا می کنند. البته هیچ راهی برای حفاظت صددرصدی از یک وب سایت وجود ندارد و همواره خطر حمله ی هکرها و ربات ها وجود دارد. اما یکسری کارها هست که می توانیم با انجام دادن آن ها ریسک هک شدن را تا حد زیادی کاهش دهیم. با رعایت اشتباهات رایج می توان آسیب رسانی و هک شدن سایت را برای ربات ها و هکرها مشکل ساخت. در این آموزش، به رایج ترین اشتباهات امنیتی که توسط مدیران وب سایت های وردپرسی انجام می شود، می پردازیم. همچنین راهکارهایی را برای بالا بردن امنیت سایت وردپرسی و کاهش ریسک و خطا در امنیت وردپرس ارائه می دهیم.

اشتباه شماره 1: بروزرسانی نکردن وردپرس

وردپرس جامعه ی بسیار بزرگی دارد که همواره در جستجوی پیدا کردن خطاها و شکاف های امنیتی می باشد. تیم وردپرس همیشه مشکلات امنیتی در وردپرس را پیدا می کند و راه حلی را برای رفع آن ها در نسخه های جدید ارائه می دهد. اما مسئولیت بروزرسانی با خود ماست و برای پر کردن شکاف های امنیتی وردپرس بهتر است همواره پیگیر آپدیت های جدید باشیم. اکثر بروزرسانی های مربوط به هسته ی وردپرس به صورت اتوماتیک انجام می شود اما برای برخی از موارد باید به صورت دستی بروزرسانی انجام داد. همچنین برای بروزرسانی قالب ها و افزونه ها نیز اعلان هایی در منوی وردپرس نمایش داده می شود که خبر از یک ورژن جدید برای آن ها می دهد.

اعلان های بروزرسانی در وردپرس

بروزرسانی ها در وردپرس بسیار ساده است. کافیست تا بر روی دکمه ی «بروزرسانی» یا Update کلیک کنید تا عملیات به صورت خودکار انجام شود.

اشتباه شماره 2: استفاده از قالب ها و پلاگین های بی کیفیت

افزونه ها و پوسته های وردپرسی که کدنویسی ضعیفی داشته باشند، خطر و ریسک هک شدن در سایت را بالا می برند. چنین افزونه هایی نه تنها سرعت وب سایت را کاهش می دهند، بلکه گاهی با دیگر افزونه ها یا ورژن جدید وردپرس نیز تداخل دارند و می توانند به عنوان درب ورود برای هکرها و ربات های مخرب مورد استفاده قرار بگیرند.

اقدام احتیاطی مورد نیاز در اینجا، آن است که برای وب سایت خود از افزونه ها و قالب های با کیفیت و حرفه ای استفاده نماییم. البته بسیاری از افزونه ها و پوسته های رایگان هم دارای کدنویسی قوی می باشند. فقط باید با احتیاط آن ها را انتخاب کرد.

افزودنی های وردپرس

برای پیدا کردن افزونه ها و قالب های با کیفیت به تعداد بارگیری آن ها، رتبه و امتیاز آن ها، نظرات کاربران در خصوص آن افزونه، آخرین بروزرسانی و توضیحات خود افزونه یک قالب را بخوانید و ببینید که توسط چه افرادی طراحی شده است. قطعا افزونه ها و قالب های با کیفیت، در موارد فوق دارای نتیجه ی مطلوبی هستند. برای اطمینان از عملکرد یک افزونه یا قالب می توانید ابتدا آن را بر روی یک هاست دیگر تست نمایید.

اشتباه شماره 3: بروزرسانی نکردن قالب ها و افزونه ها

آپدیت ازونه ها و قالب ها در وردپرس

همواره و در اولین فرصت قالب ها و افزونه های وب سایت خود را بروزرسانی نمایید. یکی از علت های رایج در بروزرسانی نکردن افزونه و خصوصا قالب وردپرسی آن است که کاربران نمی خواهند تنضیمات و کدهای سفارشی آن ها پس از بروزرسانی حذف شود. به همین خاطر ماه ها و حتی سال ها قالب وردپرسی خود را بروزرسانی نمی کنند. اگر چنین مشکلی دارید آموزش «بروزرسانی قالب وردپرس بدون از بین رفتن تنظیمات سفارشی» را مطالعه فرمایید.

اشتباه شماره 4: عدم امنیت در صفحه ورود یا لاگین

صفحه ی ورود همان جایی است که کاربران مجاز به وارد کردن نام کاربری و رمز عبور هستند و از طریق آن می توانند وارد وب سایت شوند اما بسیاری از هکرها، ربات ها و حتی کاربران می توانند با کمی تلاش از طریق همین برگه وب سایت شما را هک کنند یا به عنوان ادمین وارد پنل مدیریت وب سایت شما شوند. برای ایمن سازی این برگه می توانید کارهای مختلفی را انجام دهید.

ایمن سازی برگه ی ورود در وردپرس

اقداماتی مثل تغییر نام کاربری و انتخاب یک رمز عبور قوی، کاهش تعداد مجاز برای وارد کردن رمز عبور اشتباه، استفاده از سیستم احراز هویت دو مرحله ای و غیره از راه های ایمن سازی برگه ی لاگین و افزایش امنیت پنل مدیریت وب سایت های وردپرسی هستند. برای بررسی جزئیات بیشتر در این باره می توانید آموزش «ایمن کردن پنل مدیریت وردپرس» ما را مطالعه کنید.

اشتباه شماره 5: استفاده نادرست از نقش های کاربری

وردپرس نقش های کاربری زیادی دارد. سرپرست، ویرایشگر، نویسنده، مشارکت کننده و مشترک. همه آن ها نیازی به داشتن دسترسی ها و توانایی های یکسان در وب سایت شما ندارند. هنگامی که کاربران را به سایت خود اضافه می کنید، مراقب دسترسی هایی که به آن ها اعطا می کنید باشید. فقط به اندازه ای که لازم است به آن ها دسترسی بدهید. مثلا دسترسی برای تغییر پست ها و غیره را از یک کاربر معمولی (مشترک) سلب کنید، زیرا اعطای دسترسی نامحدود به همه ی کاربران می تواند ورود هکرها را آسانتر کند.

دسترسی ها در وردپرس

واقعاً نیازی نیست که کاربران معمولی به پنل مدیریت وردپرس دسترسی داشته باشند، چراکه فقط نیاز به مطالعه ی مطالب دارند، نه بیشتر. دسترسی به ویرایشگر فقط باید به کاربران قابل اعتماد داده شود و دسترسی به سطح سرپرستی یا پنل مدیریت در هر صورت بسیار خطرناک است. مجاز بودن دسترسی ها و محدود کردن کاربران مختلف و اجبار برای استفاده از رمزهای عبور قوی می تواند احتمال هک شدن سایت را تا حد زیادی کاهش دهد.

اشتباه شماره 6: حذف نکردن قالب ها و افزونه های بلااستفاده

ما به دلایل مختلف در وب سایت خود پلاگین ها و قالب های زیادی را نصب می کنیم و زمانی که دیگر به آن ها نیازی نداریم، فراموش می کنیم که آن ها را حذف کنیم. غیرفعال کردن پلاگین ها کافی نیست و حتما باید افزونه هایی را که استفاده ای برای شما ندارند، حذف کنید. همین کار ساده می تواند تا حد زیادی امنیت سایت را در برابر بدافزارها افزایش دهد. حذف کردن افزونه ها شاید تاثیر چندانی در ترافیک سایت شما ندشته باشد اما حداقل فضای زیادی را در وب سایت شما اشغال کرده و با حذف کردن افزونه این فضا را بدست خواهید آورد. افزونه ها نه تنها سرعت سایت شما را کاهش می دهند بلکه باعث می شوند هکرها خیلی راحت تر بدافزارهای خود را وارد سایت نمایند.

قبل از اینکه یک افزونه را دانلود کنید و فعال نمایید، ابتدا ببینید که خود وردپرس می تواند فانکشن مورد نظر را انجام دهد یا خیر. شاید قالب وب سایت شما هم بتواند فانکشنی را که افزونه می خواهد به سایت شما اضافه کند، پشتیبانی نماید. اگر می توانید فانکشن مورد نظر را به صورت دستی در قالب وردپرسی خود پیاده کنید، از افزونه های اضافی استفاده نکنید.

حالا که دست به کار شده اید و می خواهید افزونه ها و قالب های اضافی را پاک کنید، سری به رسانه ی وردپرس هم بزنید و عکس ها و دیگر فایل های بلااستفاده را حذف نمایید. گاهی اوقات هکرها بدافزار های خود را از طریق فایل های رسانه ای وارد سایت شما می کنند و از این طریق اقدام به هک کردن سایت می کنند. پس فایل های مشکوک و اضافی را پاک کنید تا هم به بالا بردن امنیت سایت وردپرسی خود کمک کنید و هم سرعت سایت را بهبود ببخشید.

اشتباه شماره 7: انتخاب هاست غیر ایمن

هکرها همیشه به صورت مستقیم برای هک کردن سایت شما اقدام نمی کنند. گاهی اوقات سرویس دهنده ی هاست شما را مورد هدف قرار می دهند. وقتی یک هکر ارائه دهنده ی هاست شما را هک کند، می تواند به وب سایت شما و بسیاری از سایت های دیگر تحت پوشش آن سرویس دهنده هم دسترسی داشته باشد. بنابراین انتخاب کردن یک سرویس دهنده ی معتبر و قوی هم از کارهای امنیتی بسیار مهم است. به یاد داشته باشید که هاست شما به اندازه ی قیمت آن قدرتمند خواهد بود و نه بیشتر.

اشتباه شماره 8: بررسی نکردن بدافزارها

بدافزارها یا ویروس ها گاهی بدون اینکه از ورود آن ها با خبر شوید، وارد وب سایت شما می شوند. این بدافزارها می توانند برای مدت طولانی دور از چشم شما باقی بمانند و کارهای زیادی را در وب سایت شما انجام دهند. مثلا می توانند فعالیت های کاربران شما را زیر نظر بگیرند، اطلاعات حساسی مثل شماره کارت ها و غیره را بدزدند و لینک های خارجی به وب سایت شما بیفزایند. گوگل با مشاهده ی چنین فعالیت هایی یا با دیدن لینک های خارجی زیاد، تمرکزش را بر وب سایت شما کم می کند و باعث افت شدید در سئو و ترافیک سایت شما خواهد شد.

افزونه ی ضد بدافزار - بالا بردن امنیت سایت وردپرسی

پلاگین های زیادی برای بررسی ویروس و بدافزار برای وردپرس وجود دارند که می توانید از آن ها استفاده نمایید. تنها کاری که باید انجام دهید این است که به سایتی مثل Sucuri SiteCheck Scanner سر بزنید و آدرس وب سایت خود را وارد کنید. این سرویس به سرعت وب سایت شما را اسکن می کند و یک گزارش کامل از وضعیت امنیت و بدافزارها و نحوه ی رفع مشکلات امنیتی به شما ارائه می دهد. البته می توانید یک پلاگین را نیز برای اسکن کردن سایت نصب نمایید. یادتان نرود که بعد از اینکه اسکن کردید و دیگر کاری با آن نداشتید، حتما آن را حذف نمایید. زیرا این افزونه فقط برای اسکن کردن می باشد.

اشتباه شماره 9: نصب نکردن یک افزونه امنیتی

یکی از راحت ترین راه ها برای بالا بردن امنیت سایت وردپرسی این است که یک پلاگین امنیتی را بر روی سایت خود نصب نمایید. چنین پلاگین هایی می توانند بسیاری از مسئولیت های امنیتی در سایت را به دوش بکشند. به کمک این افزونه های می توانید پسوردهای قدرتمندی برای خودتان و کاربران بسازید، می توانید یک سپر امنیتی یا فایروال برای سایت خود قرار دهید و غیره. پلاگین های رایگانی مثل iThemes Security وجود دارند اما توصیه می کنیم از پلاگین های حرفه ای برای امنیت سایت خود استفاده نمایید. همچنین سرویس های امنیتی ای مثل Sucuri نیز برای انجام امور امنیتی وجود دارند.

اشتباه شماره 10: عدم پشتیبان گیری از وب سایت

با انجام دادن موارد بالا تا حد زیادی به امنیت سایت خود می افزایید اما هنوز هم احتمال هک شدن سایت شما وجود دارد. هرچقدر سیستم های امنیتی رشد می کنند، هکرها هم هر روز قدرتمندتر می شوند. بنابراین توصیه می کنیم همیشه و در بازه ای زمانی معین از وب سایت خود یک نسخه ی پشتیبان (بک‌آپ) تهیه کنید. برای پشتیبان گیری از وب سایت های وردپرسی می توانید از افزونه هایی مثل BackupBuddy و VaultPress بهره ببرید یا به صورت دستی از وب سایت خود پشتیبان تهیه کنید.

اپ گیری از سایت وردپرس - بالا بردن امنیت سایت وردپرسی

 نتیجه گیری

بالا بردن امنیت سایت وردپرسی صرفا به «نصب یک افزونه» و «انجام دادن اقداماتی یک بار برای همیشه» محدود نمی شود. کسی در امنیت وب سایت خود موفق خواهد بود که همواره هشیار باشد و وب سایت خود را برای یافتن موارد مشکوک بررسی کند. راه ها و مراحل دوره ای وجود دارد که می توانید با رعایت و انجام دادن آن ها در بازه ی زمانی خاص، امنیت را در وب سایت خود برقرار کنید. همچنین مطمئن شوید که اشتباهات رایج مذکور را در سایت خود انجام نمی دهید.

خب! به پایان این آموزش رسیدیم. سوالات و نظرات خود را در زیر همین مطلب با ما در میان بگدارید. امیدواریم که این مقاله برای بالا بردن امنیت سایت وردپرسی شما مفید واقع شده باشد. موفق و سربلند باشید.


منبع: سایت WP Explorer

نویسنده شوید

دیدگاه‌های شما

در این قسمت، به پرسش‌های تخصصی شما درباره‌ی محتوای مقاله پاسخ داده نمی‌شود. سوالات خود را اینجا بپرسید.