9 گام جهت امن‏ سازی وردپرس

وردپرس محبوبترین سیستم مدیریت محتوا جهت وبلاگ نویسی در سطح جهان است. با این حال در مقابل آسیب‏ پذیری‏ هایی که برای این سیستم مدیریت محتوا می‏ توان متصور شد، این محبوبیت اهمیت چندانی ندارد و آن چیزی که اهمیت دارد و کاربرانش را نگران می‏ کند امنیت این سیستم می‏ باشد.

در زیر به 9 نکته از مهمترین نکات امنیتی در مورد وردپرس می پردازیم:

1) نصب پلاگین های امینتی

جهت امن نگه‏داشتن وردپرس نیاز است از برخی پلاگین‏های امنیتی مطمئن استفاده کرد که در زیر به معرفی دو پلاگین بسیار کارآمد در این زمینه می ‏پردازیم.

پلاگین WordFence :

برخی از ویژگی‏ها :

        شامل یک فایروال جهت جلوگیری از تهدیدات امنیتی مانند Googlebotهای جعلی، اسکنرهای جستجوگر جهت پیدا کردن نقاط آسیب پذیر سایت و بات‏نت.

        اسکن بیش از 44000 انواع بدافزارهای شناخته شده که شامل تهدیدات امنیتی می‏ شود.

        اسکن فایل‏های مهم از جمله تم‏ ها و پلاگین‏ های سایت و بررسی آن‏ها جهت پیدا کردن مشکل امنیتی. در صورت هشدار و یا حمله به سایت، به شما ایمیل ارسال می‏ کند.

لینک دانلود: http://wordpress.org/plugins/wordfence/

پلاگین iThemes Security :

برخی از ویژگی‏ها :

        تغییر نام حساب‏کاربری "admin"e

        تغییر پیشوند نام جدول‏ها در database

        حذف meta generator از کد سورس صفحه‏ وردپرس، که جزء داده های غیرضروری وردپرس به حساب می آید که نسخه ی وردپرس شما را برای همه نمایان می کند.

        تغییر مسیر فایل wp-content

        حذف پیام های خطا هنگام ورود به سیستم.

        نمایش شماره نسخه تصادفی از وردپرس به کاربران و بازدیدکننده گان سایت.

        جلوگیری از حملات BruteForce (محدود کردن تلاش برای Login در سیستم).

        غیرفعال کردن ویرایش فایل ها از قسمت داشبورد.

        گرفتن بکاپ از دیتابیس و ارسال آن به ایمیل شما.

لینک دانلود: http://wordpress.org/plugins/better-wp-security

2) نسخه‏ وردپرس خود را بطور مداوم update کنید

امنیت، علت اصلی Matt Mullenweg (بنیانگذار وردپرس) و تیمش به منظور به روز‏رسانی های مداوم  و انتشار نسخه‏ های جدید وردپرس است. نسخه‏ جدید وردپرس شامل رفع اشکالات گزارش شده و همچنین ارتقاء امنیت پوسته‏ آن است. بطور خلاصه همیشه اطمینان حاصل کنید که نسخه‏ وردپرس شما به‏ روز است و هرگز از آن غافل نشوید.

3) حذف پلاگین های اضافی و زائد

یکی از اصلی‏ ترین راه‏ های هکرها و هرزنامه‏ ها و بدافزارها برای نفوذ به سیستم مدیریت محتوای شما، سوء استفاده از پلاگین‏ های زائد نصب شده روی سایت شما است. برای جلوگیری از این نوع حملات،  تا جای ممکن پلاگین‏ های اضافی را حذف کنید.

4) نام‏ کاربری و رمزعبور پیش‏ فرض جهت ورود به صفحه‏ پیشخوان را تغییر دهید

بطور پیش‏فرض بعد از نصب و تنظیمات وردپرس، نام کاربری شما در اکثر موارد admin است. بلافاصله نام‏ کاربری خود را تغییر دهید و برای همه کاربران از یک رمزعبور پیچیده و غیرقابل حدس (حروف کوچک و بزرگ با کارکترهای خاص) استفاده کنید، تا در برابر حملات

BruteForce در امان باشید. به عنوان یک قانون، هر یک ماه رمز عبور خود را تغییر دهید.

5) رمزعبور صفحه‏ مربوط به هاستینگ خود را تغییر دهید

این رمزعبور مربوط به صفحه‏ مدیریت میزبان سایت شما است. این رمز از رمزعبور صفحه‏ پیشخوان وردپرس شما مهم‏تر است. هر 2 الی 3 ماه یکبار آن را تغییر دهید.

6) تا جای ممکن از پوسته‏ های رایگان استفاده نکنید

بطور کلی یک وبلاگ‏نویس حرفه‏ ای، باید از پوسته‏ های رایگان استفاده نکند زیرا ممکن است پوسته‏ های رایگان دارای کدهای مخرب باشند.

7) از یک میزبان وب‏ سایت مطمئن و معتبر استفاده کنید

داشتن یک شرکت معتبر میزبانی وب برای شما، از مهمترین تدابیر امنیتی است. زیرا اگر وب سایت شما کاملا امن باشد، اما میزبان سایت شما ضعف امنیتی داشته باشد، به راحتی مورد آسیب و نفوذ قرار خواهید گرفت.

8) از فایل‏های مهم و اصلی وردپرس محافظت کنید

با استفاده از فایل .htaccess از فایل‏های حیاتی مانند wp-config.php و php.ini و .htaccess و erroe_log محافظت کنید. همچنین فایل های license.txt و readme.html را  حذف کنید. این فایل ها نسخه‏ وردپرس شما را نمایش می دهند و کاربردی ندارند.

9) نام صفحه‏ ورود به پیشخوان و پوشه‏ های اصلی وردپرس را تغییر دهید

در این روش نام پوشه‏ های wp-admin، wp-content و wp-includes و همچنین نام فایل wp-login.php را که همان آدرس صفحه‏ ورود به پیشخوان وردپرس است را تغییردهید. به این نکته نیز توجه کنید که باید نام تغییر یافته این پوشه‏ ها و فایل ها را در تمام کدهای  وردپرس تغییر دهید. در غیر این صورت سیستم مدیریت محتوای شما با مشکل مواجه خواهد شد.