امنیت سایت وردپرس

امنیت سایت وردپرس خود را تامین کنید!

همان طور که در مقاله ی قبل با یک روش از اقدامات امنیتی پایه در وردپرس و در مقابل حملات سعی و خطایی آشنا شدیم، در این مقاله به بسط و تشریح روش های دیگر می پردازیم.

در مقاله ی قبلی اولین روش از اقدامات امنیتی در وردپرس برای دفاع از سیستم خود در مقابل حملات سعی و خطایی، را بررسی کردیم. در ادامه روش هایی را معرفی خواهیم کرد که سیستم خود را بوسیله ی آن از هر نوع خطر امنیتی محافظت کنید.

 

امنیت سایت وردپرس

 

روش # 2 برای امنیت سایت وردپرس: بلوک آدرس های IP از دسترسی به صفحه ورود وردپرس

 

راه دیگری برای مقابله با حمله های سعی و خطایی (Brute Force Attacks) با مسدود کردن آدرس های IP است. با استفاده از این پیکربندی، می توانید یک یا چند آدرس IP را برای دسترسی به صفحه ورود به وردپرس مجاز کنید و همه چیز را مسدود کنید.

 

  • اگر شما مسدود کردن آدرس IP را فعال کرده و همچنین از CloudFlare استفاده کنید، مطمئن شوید درگاه های ورود به سایت را کاملا آزمایش کنید. در برخی از تنظیمات سرور، ترکیبی از CloudFlare و مسدود کردن IP آدرس ممکن است از ورود صحیح به سیستم جلوگیری کند.

 

برای جلوگیری از دسترسی آدرس های IP به صفحه ورود به سیستم، این مراحل را دنبال کنید:

 

۱-یک فایل htaccess را در دایرکتوری که در آن وردپرس را نصب کرده اید ایجاد کنید:

  • اگر شما وردپرس را در document rootدامین نصب کرده اید، این پوشه / home / username / public_html است، جایی که نام کاربری، نام کاربری حساب کاربری A2 Hosting شما را نشان می دهد.
  • اگر وردپرس را در یک زیرپوشه یا زیر دامین نصب کرده باشید، این پوشه / home / username / public_html / directory است، جایی که دایرکتوری محل وردپرس است.
  • اگر قبلا مراحل را برای تنظیم حفاظت از رمز عبور برای صفحه ورود وارد کرده اید، از همان فایل .htaccess که در این روش ایجاد کردید استفاده کنید.

۲- متن زیر را در فایل htaccess کپی و جایگذاری کنید:

<Files wp-login.php>

order deny,allow

allow from xxx.xxx.xxx.xxx

deny from all

</Files>

۳- در فایل .htaccess، xxx.xxx.xxx.xxx را با آدرس IP که می خواهید برای ورود به سیستم وردپرس مجاز باشد، جایگزین کنید. تمام آدرس های IP دیگر از دسترسی به صفحه wp-login.php مسدود می شوند.

 

  • برای اعطای دسترسی به چندین آدرس IP، می توانید چندین اجازه از خطوط اضافه کنید.
  • برای تعیین آدرس IP فعلی شما می توانید از http://ipfinder.us بازدید کنید.

 

۴- فایل htaccess را ذخیره کرده و از ویرایشگر متن خارج شوید.

۵- سایت وردپرس خود را تست کنید تا مطمئن شوید که هنوز هم به درستی عمل می کند و می توانید به صفحه ورود به سیستم دسترسی داشته باشید.

 

روش # 3 برای امنیت سایت وردپرس: تغییر URL صفحه ورود وردپرس

صفحه ورود به سایت وردپرس به صورت پیش فرض wp-login.php  است و یک نصب ساده وردپرس به شما این امکان را نمی دهد که این مکان را تغییر دهید. با این حال، تغییر نام پلاگین wp-login.php به شما اجازه می دهد که URL صفحه ورود به وردپرس را تغییر دهید. انجام این کار می تواند تاثیر حمله های سعی و خطایی (Brute Force Attacks) را کاهش دهد که معمولا اسکریپت هایی برنامه ریزی شده ای هستند که صفحه wp-login.php را با تلاش های ورود بمباران می کنند.

وقتی URL صفحه ورود وردپرس را عوض می کنید، هر کسی که تلاش می کند که به صفحه wp-login.php یا wp-admin دسترسی پیدا کند، یک پیام خطای “404 “Not Found دریافت می کند.

امنیت سایت وردپرس

 

برای تغییر URL ورود وردپرس، این مراحل را دنبال کنید:

 

۱-ورود به سایت وردپرسی خود.

۲- روی Plugins کلیک کنید و سپس روی افزودن جدید کلیک کنید.

۳- در کادر Search،rename wp-login را تایپ کنید و سپس روی Search Plugins کلیک کنید.

۴- پلاگین تغییر نام wp-login.php در لیست نتایج جستجو ظاهر می شود.

۵- در قسمت Rename wp-login.php، روی Install Now کلیک کنید و سپس برای تأیید نصب روی OK کلیک کنید.

۶- پس از اتمام نصب افزونه، روی فعال کردن پلاگین کلیک کنید. صفحه تنظیمات Permalink ظاهر می شود.

۷- در زیر تنظیمات مشترک، یک ساختار permalink برای سایت خود انتخاب کنید.

  • شما نمیتوانید از ساختار پیش فرض permalink با Plugin rename wp-login.php استفاده کنید.

 

۸- زیر ورود به سیستم، در کادر نوشتار wp-login.php، یک URL برای صفحه ورود را وارد کنید یا مقدار پیش فرض ورود به سیستم را تایید کنید.

۹- روی ذخیره تغییرات کلیک کنید. URL جدید ورود وردپرس در نزدیکی بالای صفحه تنظیمات پی اچ پی لینک ظاهر می شود.

۱۰- سایت وردپرس خود را تست کنید تا مطمئن شوید که هنوز هم به درستی عمل می کند و می توانید به صفحه ورود به سایت با استفاده از URL جدید دسترسی پیدا کنید. علاوه بر این، اگر شما سعی کنید برای دسترسی به wp-login.php یا wp-admin، یک پیام خطای 404 Not Found باید دریافت کنید.

روش # 4 برای امنیت سایت وردپرس: CloudFlare را برای سایت خود فعال کنید

CloudFlare یک شبکه تحویل محتوا (CDN) است که می تواند درخواست های مخرب را قبل از دسترسی به سایت شما متوقف کند. به عنوان مثال، سایت های Cloudflare-enabled  به طور قابل توجهی در طول مقیاس بزرگ حمله های سعی و خطایی (Brute Force Attacks) وردپرس که در آوریل 2013 اتفاق افتاد، محافظت شد و در امان ماند.

امنیت سایت وردپرس

CloudFlare با هدایت ترافیک به وب سایت شما از طریق شبکه خود، کار می کند. در نتیجه، CloudFlare قادر به مسدود کردن انواع خاصی از درخواست های مخرب است.Cloudflare همچنین عملکرد وب سایت را با استفاده از شبکه جهانی سرور خود برای ارائه مطالب به کاربران به طور موثر تر، افزایش می دهد.

در این مقاله با ۴ روش قدرتمند برای حفاظت و برقراری امنیت سایت وردپرس تان آشنا شدید. برای امن تر کردن سایت خود می توانید از افزونه ها یا نرم افزار دیگری نیز استفاده کنید که در مقالات آینده به آن ها خواهیم پرداخت.