امنیت وردپرس

 

چندین اقدام اساسی برای ارتقای امنیت وردپرس وجود دارد:

امنیت وردپرس یک مسئله آسان ولی بسیار ضروری

  • از یک رمز عبور قوی برای همه حساب های مدیریت استفاده کنید و گذرواژه ها را به صورت دوره ای تغییر دهید.

اگر سایت شما به خطر افتاده است (یا حتی گمان کرده اید)، باید کلیدهای امنیتی فایل wp-config.php را که برای رمزگذاری کوکی ها استفاده می شود، تغییر دهید. البته تغییر گذرواژه به تنهایی کافی نیست، زیرا ممکن است یک مهاجم هنوز یک کوکی معتبر داشته باشد و بتواند به سایت شما دسترسی پیدا کند.

  • از نام کاربری پیش فرض admin برای adminstrator استفاده نکنید. در عوض، یک کاربر با یک نام کاربری دیگر ایجاد کنید، نقش اداری را به آن اختصاص دهید، و سپس مدیر پیشفرض admin را حذف کنید.
  • به روزرسانی ها را به طور مرتب انجام دهید تا مطمئن شوید که وردپرس و تمام پلاگین های مربوطه به روز می شوند.

علاوه بر این، شما باید پشتیبان گیری منظم یک سایت وردپرس را انجام دهید. شما می توانید Softaculous را برای پشتیبان گیری، بازیابی و به روز رسانی سایت وردپرس خود از یک رابط کاربری مناسب استفاده کنید.

 

دفاع در مقابل حمله های سعی و خطایی (Brute Force Attacks)

یک حمله های سعی و خطایی (Brute Force Attacks) یک نوع حمله ساده است که در آن یک کاربر یا اسکریپت تلاش می کند تا با دسترسی بارها به ترکیبات مختلف نام کاربری و رمز عبور، دسترسی به یک سایت را به دست آورد. متأسفانه، بسیاری از مردم دارای نام کاربری و رمز عبور ترکیب شده اند که به راحتی قابل حدس اند، بنابراین حمله های سعی و خطایی (Brute Force Attacks) اغلب موثر هستند.

اگر سایت وردپرس شما در حال تجربه یک حمله های سعی و خطایی (Brute Force Attacks) باشد، ممکن است متوجه شوید که سایت به آرامی پاسخ می دهد یا اصلا پاسخ نمی دهد. علاوه بر این، ممکن است قادر به ورود به سیستم نباشیید. این به این دلیل است که سیل ورود به سیستم در طول حمله های سعی و خطایی (Brute Force Attacks) تلاش فراوانی برای فراخوانی PHP و MySQL می کند. این فراخوانی ها بار سرور را افزایش می دهند و عملکرد وب سایت را تحت تاثیر قرار می دهند.

 

اقدامات متعددی وجود دارد که می توانید برای دفاع در برابر حمله های سعی و خطایی (Brute Force Attacks)

بر روی سایت خود انجام دهید:

 

روش # 1:

 رمز عبور محافظ صفحه ورود وردپرس

وردپرس از فایل wp-login.php برای logins ها استفاده می کند. با اضافه کردن حفاظت از رمز عبور به این فایل، شما یک لایه امنیتی دیگر را به سایت اضافه می کنید. کاربران قبل از اینکه بتوانند به فایل wp-login.php برای ورود به وردپرس دسترسی داشته باشند، باید یک نام کاربری و رمز عبور را وارد کنید.

 

برای تنظیم حفاظت از رمز عبور برای صفحه ورود به وردپرس، این مراحل را دنبال کنید:

۱-برای رفتن به http://www.htaccesstools.com/htpasswd-generator از مرورگر وب خود استفاده کنید.

۲-در جعبه متن نام کاربری، یک نام کاربری را تایپ کنید.

۳-در جعبه متن رمز عبور، یک کلمه عبور برای کاربر تایپ کنید.

۴-روی ایجاد فایل .htpasswd کلیک کنید و سپس خط متن را کپی کنید. خط متن باید حاوی نام کاربری است که شما مشخص کرده اید، و پس از آن کولون (:)، و سپس رمز عبور رمزگذاری شده.

۵-یک فایل با نام .wp-password در دایرکتوری اصلی حساب کاربری میزبان A2 خود (/ home / username، که نام کاربری نام کاربری حساب کاربری A2 Hosting شما را نشان می دهد) ایجاد کنید. خط متن را از مرحله قبل به فایل وارد کنید. دو راه برای ایجاد و ویرایش این فایل وجود دارد:

  • با استفاده از SSH به حساب خود وارد شوید و از خط فرمان از ویرایشگر متن استفاده کنید.
  • با استفاده از cPanel به حساب کاربری خود وارد شوید و از ویرایشگر در مدیریت فایل استفاده کنید.

۶-فایل wp-password را ذخیره کرده و از ویرایشگر متن خارج شوید.

۷-یک فایل htaccess را در دایرکتوری که در آن وردپرس را نصب کرده اید ایجاد کنید:

 

  • اگر شما وردپرس را در document root دامین نصب کرده اید، این پوشه / home / username / public_html است، جایی که نام کاربری، نام کاربری حساب کاربری A2 Hosting شما را نشان می دهد.
  • اگر وردپرس را در یک زیرپوشه یا زیر دامنه نصب کرده باشید، این پوشه / home / username / public_html / directory است، جایی که دایرکتوری محل وردپرس است.

 

۸-متن زیر را در فایل htaccess کپی و جایگذاری کنید:

# Prevent Apache from serving .ht* files:

<FilesMatch “^\.ht”>

Order allow,deny

Deny from all

</FilesMatch>

 

ErrorDocument 401 “401 Unauthorized”

ErrorDocument 403 “403 Forbidden”

 

# Protect wp-login.php:

<Files wp-login.php>

AuthUserFile /home/A2-USERNAME/.wp-password

AuthName “Please log in”

AuthType Basic

require user WP-USERNAME

</Files>

۹- در فایل htaccess، تغییرات زیر را انجام دهید:

 

جایگزین کردن A2-USERNAME با A2 Hosting account (cPanel) username

جایگزین کردن WP-USERNAME با نام کاربری که در مرحله 2 مشخص کرده اید.

 

۱۰- ذخیره فایل htaccess و خروج از ویرایشگر متن.

۱۱-از مرورگر وب خود برای رفتن به صفحه ورود به وردپرس (به عنوان مثال، http://www.example.com/wp-admin، جایی که example.com نام دامنه شما را نشان می دهد) استفاده کنید.

۱۲-شما باید یک نام کاربری و رمز عبور را تایپ کنید. ترکیب نام کاربری و رمز عبور که در مراحل 2 و 3 مشخص شده است را وارد کنید. صفحه ورود به وردپرس باید ظاهر شود و شما هم اکنون می توانید وارد شوید تا وردپرس را به طور معمول انجام دهید.

 

پایان بخش اول

منتظر بخش بعدی ما باشید