برای جلوگیری از هک شدن سایت وردپرسی، اقدامات امنیتی ضروری هستند. با استفاده از پلاگین‌های امنیتی، به‌روزرسانی منظم وردپرس، انتخاب پسوردهای قوی و فعال‌سازی احراز هویت دو مرحله‌ای، می‌توانید از سایت خود در برابر تهدیدات و حملات سایبری محافظت کنید. این کارها کمک می‌کند تا از دسترسی غیرمجاز به اطلاعات سایت شما جلوگیری شود و امنیت آن به طور قابل‌توجهی افزایش یابد.

بیشتر بدانید : جلوگیری از هک شدن سایت وردپرسی

برای ایمن‌سازی سایت وردپرسی و جلوگیری از هک شدن، می‌توانید اقدامات مختلفی انجام دهید. در اینجا چند راهکار مهم برای افزایش امنیت سایت وردپرس آورده شده است:

1.استفاده از پسوردهای قوی: پسوردهای پیچیده و ترکیبی از حروف، اعداد و نمادها انتخاب کنید و آن‌ها را برای ورود به پنل مدیریت، پایگاه داده، و FTP به‌طور منظم تغییر دهید.

هک کردن سایت وردپرسی

هک کردن سایت وردپرسی

 

استفاده از پسوردهای قوی یکی از مهم‌ترین اقدامات امنیتی برای محافظت از سایت وردپرس است. پسورد ضعیف می‌تواند به راحتی توسط هکرها حدس زده شود و به آن‌ها این امکان را می‌دهد که به حساب‌های شما دسترسی پیدا کنند. در اینجا چطور می‌توانید پسوردهای قوی انتخاب کنید و آن‌ها را به‌طور مؤثر مدیریت کنید:

1. ویژگی‌های پسورد قوی

یک پسورد قوی باید ویژگی‌های زیر را داشته باشد:

  • طول زیاد: حداقل 12 تا 16 کاراکتر.
  • ترکیب حروف بزرگ و کوچک: از حروف بزرگ (A-Z) و کوچک (a-z) استفاده کنید.
  • اعداد: حداقل یک عدد (0-9).
  • نمادها و کاراکترهای ویژه: مانند !، @، #، $، %، &، *.
  • عدم استفاده از اطلاعات شخصی: از کلمات ساده یا اطلاعات قابل حدس مانند نام، تاریخ تولد یا آدرس استفاده نکنید.
  • عدم استفاده از کلمات دیکشنری: از کلمات معمولی یا کلمات موجود در دیکشنری برای پسورد استفاده نکنید، زیرا هکرها می‌توانند از حملات دیکشنری برای حدس زدن پسورد استفاده کنند.جلوگیری از هک شدن سایت وردپرسی

2. چگونه پسورد قوی بسازیم؟

برای ساختن یک پسورد قوی، می‌توانید از روش‌های زیر استفاده کنید:

  • استفاده از عبارات طولانی: مثلاً می‌توانید از ترکیب کلمات تصادفی استفاده کنید: *GoldFish#73_Coffee!Tree
  • استفاده از پسورد ژنراتور: می‌توانید از ابزارهای آنلاین مانند LastPass Password Generator یا Strong Password Generator استفاده کنید تا پسوردهای قوی و تصادفی بسازید.

3. مدیریت پسوردهای مختلف

برای اینکه نگران فراموش کردن پسوردها نباشید و بتوانید آن‌ها را ایمن نگه دارید، از روش‌های زیر استفاده کنید:

  • مدیر پسورد: از مدیر پسورد مانند LastPass، 1Password، یا Bitwarden برای ذخیره و مدیریت پسوردها استفاده کنید. این ابزارها پسوردهای شما را رمزگذاری کرده و به شما این امکان را می‌دهند که به راحتی پسوردهای پیچیده را ذخیره و مدیریت کنید.
  • مکانیزم‌های ذخیره‌سازی ایمن: اگر نمی‌خواهید از ابزارهای مدیر پسورد استفاده کنید، مطمئن شوید که پسوردهای خود را در یک مکان امن (مثلاً یک اپلیکیشن رمزگذاری شده یا یک یادداشت ایمن) ذخیره کنید.

4. تغییر پسوردها به‌طور دوره‌ای

  • پسوردهای خود را به‌طور منظم تغییر دهید. به‌ویژه پس از هر حمله یا تلاش برای ورود غیرمجاز به حساب شما، تغییر پسورد ضروری است.جلوگیری از هک شدن سایت وردپرسی

5. فعال‌سازی احراز هویت دو مرحله‌ای (2FA)

برای افزایش امنیت، پس از انتخاب پسورد قوی، از احراز هویت دو مرحله‌ای (2FA) استفاده کنید. با این ویژگی، حتی اگر هکرها پسورد شما را پیدا کنند، برای دسترسی به حساب نیاز به یک کد تایید اضافی خواهند داشت که به‌طور معمول به تلفن همراه شما ارسال می‌شود. می‌توانید از افزونه‌هایی مانند Google Authenticator یا Authy برای این کار استفاده کنید.

6. تغییر پسوردهای پیش‌فرض وردپرس

وردپرس به‌طور پیش‌فرض برای نام‌های کاربری مانند “admin” پسوردهای ساده می‌سازد. اطمینان حاصل کنید که پسوردهای پیش‌فرض را تغییر دهید و از نام‌های کاربری منحصر به فرد و پیچیده استفاده کنید.

7. نکات اضافی برای افزایش امنیت پسورد

  • از استفاده از پسورد یکسان برای چندین حساب خودداری کنید.
  • در صورتی که پسوردهای شما قبلاً لو رفته است، آن‌ها را فوراً تغییر دهید.

با رعایت این نکات، امنیت سایت وردپرس شما به‌طور قابل‌توجهی افزایش خواهد یافت.

2.بروزرسانی منظم وردپرس و افزونه‌ها: همیشه آخرین نسخه وردپرس، قالب‌ها و افزونه‌ها را نصب کنید تا آسیب‌پذیری‌ها برطرف شوند.

بیشتر بدانید : افزونه‌های ضروری وردپرس برای طراحی سایت کدامند؟

بروزرسانی منظم وردپرس و افزونه‌ها یکی از مهم‌ترین اقدامات برای حفظ امنیت سایت شما است. این بروزرسانی‌ها معمولاً شامل رفع آسیب‌پذیری‌ها، بهبود عملکرد، و اضافه کردن ویژگی‌های جدید هستند. در اینجا مراحل عملی برای انجام این کار آورده شده است:

1. بروزرسانی خودکار وردپرس

وردپرس به‌طور پیش‌فرض برخی از بروزرسانی‌ها را به‌صورت خودکار انجام می‌دهد (مانند بروزرسانی‌های امنیتی و جزئی). اما برای اطمینان از دریافت آخرین نسخه‌های اصلی، شما باید به‌صورت دستی نیز سایت خود را بروزرسانی کنید.جلوگیری از هک شدن سایت وردپرسی

مراحل بروزرسانی وردپرس:

  1. ورود به داشبورد وردپرس: به پنل مدیریت سایت خود وارد شوید.
  2. بررسی بروزرسانی‌ها: در نوار کناری، به بخش Dashboard بروید و سپس بر روی Updates کلیک کنید. این بخش تمام بروزرسانی‌های موجود برای وردپرس، افزونه‌ها، و قالب‌ها را نمایش می‌دهد.
  3. بروزرسانی وردپرس: اگر نسخه جدیدی از وردپرس در دسترس است، دکمه Update Now را فشار دهید تا وردپرس به آخرین نسخه بروزرسانی شود.
  4. پشتیبان‌گیری قبل از بروزرسانی: قبل از هر بروزرسانی، توصیه می‌شود از سایت خود یک پشتیبان تهیه کنید (با استفاده از افزونه‌هایی مثل UpdraftPlus یا All-in-One WP Migration) تا در صورت بروز مشکل، بتوانید به نسخه قبلی بازگردید.

2. بروزرسانی افزونه‌ها

افزونه‌ها (Plugins) بخش‌های اساسی سایت وردپرس شما هستند و باید آن‌ها را نیز به‌طور منظم بروزرسانی کنید. افزونه‌ها ممکن است حاوی اصلاحات امنیتی، رفع باگ‌ها، و ویژگی‌های جدید باشند.

مراحل بروزرسانی افزونه‌ها:

  1. ورود به بخش افزونه‌ها: به داشبورد وردپرس بروید و در نوار کناری، روی Plugins کلیک کنید.
  2. بررسی بروزرسانی‌ها: در این صفحه، لیستی از تمام افزونه‌های نصب شده را مشاهده خواهید کرد. اگر افزونه‌ای بروزرسانی دارد، به شما نشان داده می‌شود.
  3. انتخاب افزونه‌های بروزرسانی: تیک تمام افزونه‌هایی که نیاز به بروزرسانی دارند را بزنید و سپس روی Update Plugins کلیک کنید.
  4. بروزرسانی تک‌تک افزونه‌ها: اگر نمی‌خواهید تمام افزونه‌ها را به‌طور همزمان بروزرسانی کنید، می‌توانید هرکدام را جداگانه بروزرسانی کنید.
  5. پشتیبان‌گیری قبل از بروزرسانی افزونه‌ها: مشابه بروزرسانی وردپرس، قبل از بروزرسانی افزونه‌ها نیز بهتر است از سایت خود پشتیبان تهیه کنید.جلوگیری از هک شدن سایت وردپرسی

3. بروزرسانی قالب‌ها

قالب‌ها نیز به‌طور مرتب بروزرسانی می‌شوند. این بروزرسانی‌ها معمولاً شامل بهبود طراحی، رفع مشکلات امنیتی، و سازگاری با نسخه‌های جدید وردپرس است.

مراحل بروزرسانی قالب‌ها:

  1. ورود به بخش نمایش: به داشبورد وردپرس بروید و در نوار کناری، روی Appearance و سپس Themes کلیک کنید.
  2. بررسی بروزرسانی‌ها: اگر قالب شما به نسخه جدیدی بروزرسانی شده باشد، این موضوع در این صفحه نمایش داده می‌شود.
  3. بروزرسانی قالب: در صورت موجود بودن بروزرسانی، دکمه Update Now را فشار دهید تا قالب شما به آخرین نسخه بروزرسانی شود.
  4. پشتیبان‌گیری قبل از بروزرسانی قالب‌ها: همانند افزونه‌ها و وردپرس، پیش از بروزرسانی قالب نیز از سایت خود پشتیبان تهیه کنید.

4. نکات مهم هنگام بروزرسانی

  • پشتیبان‌گیری: قبل از هرگونه بروزرسانی، همیشه از سایت خود یک پشتیبان کامل (بیشتر از فایل‌ها و پایگاه داده) تهیه کنید. اگر بروزرسانی‌ها باعث ایجاد مشکل شوند، می‌توانید سایت خود را بازگردانی کنید.
  • بررسی تغییرات افزونه‌ها و قالب‌ها: قبل از بروزرسانی، تغییرات افزونه‌ها و قالب‌ها را بررسی کنید تا از مشکلات احتمالی و سازگاری مطمئن شوید. معمولاً توسعه‌دهندگان افزونه‌ها و قالب‌ها تغییرات جدید را در بخش “Changelog” توضیح می‌دهند.
  • غیرفعال کردن افزونه‌ها قبل از بروزرسانی: در بعضی موارد، بهتر است افزونه‌ها را غیرفعال کرده و سپس آن‌ها را بروزرسانی کنید تا از بروز مشکلات ناسازگاری جلوگیری کنید.
  • تست سایت بعد از بروزرسانی: پس از بروزرسانی وردپرس، افزونه‌ها و قالب‌ها، سایت خود را تست کنید تا مطمئن شوید همه چیز درست کار می‌کند. بررسی کنید که هیچ صفحه‌ای خراب نشده و عملکرد سایت همانطور که باید باشد، ادامه پیدا کند.جلوگیری از هک شدن سایت وردپرسی

5. فعال کردن بروزرسانی خودکار

وردپرس به‌طور پیش‌فرض فقط بروزرسانی‌های جزئی را به‌صورت خودکار انجام می‌دهد. اگر می‌خواهید بروزرسانی‌های اصلی، افزونه‌ها و قالب‌ها به‌طور خودکار انجام شوند، می‌توانید از افزونه‌هایی مثل Easy Updates Manager یا WP Auto Update استفاده کنید.

با رعایت این مراحل، سایت وردپرس شما همیشه به‌روز و ایمن خواهد بود و آسیب‌پذیری‌های احتمالی کاهش می‌یابد.

3.استفاده از افزونه‌های امنیتی: افزونه‌هایی مانند Wordfence، iThemes Security و Sucuri به شما کمک می‌کنند تا سایت خود را در برابر حملات مختلف مانند SQL Injection و Brute Force محافظت کنید.

بیشتر بدانید : چرا سرعت سایت مهم است و چگونه آن را افزایش دهیم؟

استفاده از افزونه‌های امنیتی یکی از بهترین روش‌ها برای محافظت از سایت وردپرس شما است. افزونه‌های امنیتی به شما کمک می‌کنند تا سایت خود را در برابر حملات مختلف مانند حملات Brute Force، SQL Injection، Cross-Site Scripting (XSS) و Malware محافظت کنید. در اینجا نحوه استفاده از افزونه‌های امنیتی و فعال‌سازی آن‌ها به طور دقیق توضیح داده شده است.

1. معرفی افزونه‌های امنیتی محبوب برای وردپرس

1.1 Wordfence Security

یکی از بهترین و معروف‌ترین افزونه‌های امنیتی وردپرس است که ویژگی‌های متعددی را ارائه می‌دهد:

  • فایروال: محافظت در برابر حملات و ترافیک‌های مشکوک.
  • اسکن بدافزار: شناسایی و حذف بدافزارها.
  • حفاظت در برابر حملات Brute Force: محدود کردن تعداد تلاش‌های ورود ناموفق.
  • گزارش‌های دقیق: دریافت گزارش‌های امنیتی از طریق ایمیل.

1.2 iThemes Security

این افزونه یکی دیگر از افزونه‌های امنیتی عالی است که ویژگی‌های زیادی برای محافظت از سایت ارائه می‌دهد:

  • محافظت در برابر حملات Brute Force.
  • تغییر مسیرهای ورود به سایت: تغییر URL ورود به پنل مدیریت به یک آدرس غیرقابل حدس.
  • شناسایی تلاش‌های ورود مشکوک: نظارت بر ورودهای مشکوک و گزارش آن‌ها.
  • اسکن بدافزار: شناسایی و پاکسازی فایل‌های مخرب.جلوگیری از هک شدن سایت وردپرسی

1.3 Sucuri Security

Sucuri یک افزونه امنیتی بسیار قوی است که شامل ویژگی‌های زیر می‌شود:

  • فایروال وب اپلیکیشن (WAF): جلوگیری از حملات و مسدود کردن ترافیک مخرب.
  • اسکن بدافزار و نظارت بر تغییرات سایت.
  • نظارت بر وضعیت امنیتی سایت: گزارش دقیق در مورد تهدیدات و آسیب‌پذیری‌ها.
  • ایجاد و ذخیره پشتیبان: برای جلوگیری از از دست رفتن داده‌ها در صورت بروز مشکل.

1.4 All In One WP Security & Firewall

این افزونه یکی از بهترین گزینه‌ها برای افرادی است که به دنبال امنیت رایگان و کامل هستند:

  • دیواره آتش (Firewall): برای مسدود کردن حملات.
  • محافظت در برابر حملات Brute Force: محدود کردن تلاش‌های ورود ناموفق.
  • شناسایی تهدیدات: شناسایی تغییرات غیرمجاز در فایل‌ها.

2. نحوه نصب و فعال‌سازی افزونه امنیتی

در اینجا نحوه نصب و فعال‌سازی افزونه Wordfence Security به عنوان یک مثال آورده شده است:

2.1 نصب افزونه Wordfence

  1. ورود به داشبورد وردپرس: ابتدا وارد داشبورد وردپرس سایت خود شوید.
  2. رفتن به بخش افزونه‌ها: در نوار کناری، روی Plugins (افزونه‌ها) کلیک کنید.
  3. جستجو برای افزونه: در قسمت جستجو، کلمه Wordfence Security را تایپ کنید.
  4. نصب افزونه: زمانی که افزونه Wordfence Security را پیدا کردید، روی Install Now کلیک کنید.
  5. فعال‌سازی افزونه: پس از نصب، دکمه Activate را فشار دهید تا افزونه فعال شود.جلوگیری از هک شدن سایت وردپرسی

2.2 پیکربندی اولیه افزونه Wordfence

  1. رفتن به تنظیمات Wordfence: پس از فعال‌سازی، در نوار کناری داشبورد وردپرس، منوی جدیدی به نام Wordfence اضافه می‌شود. روی آن کلیک کنید.
  2. شروع تنظیمات: صفحه تنظیمات افزونه باز می‌شود. ابتدا، از شما خواسته می‌شود که حساب کاربری رایگان برای دریافت گزارش‌ها و به‌روزرسانی‌ها ایجاد کنید. این مرحله را طی کنید.
  3. پیکربندی فایروال: به بخش Firewall بروید. در اینجا، فایروال می‌تواند به‌صورت اتوماتیک تنظیم شود یا شما می‌توانید آن را دستی تنظیم کنید.
    • پیشنهاد می‌شود که فایروال را به حالت Enabled and Protecting قرار دهید تا حملات به‌طور پیش‌فرض مسدود شوند.
  4. پیکربندی اسکن بدافزار: به بخش Scan بروید و اسکن سایت خود را شروع کنید. این اسکن، سایت شما را برای هرگونه بدافزار، فایل‌های مخرب و آسیب‌پذیری‌ها بررسی می‌کند.جلوگیری از هک شدن سایت وردپرسی
  5. تنظیمات ورود و خروج: برای محافظت در برابر حملات Brute Force، به بخش Login Security بروید.
    • در اینجا می‌توانید تعداد تلاش‌های ورود ناموفق را محدود کنید و پس از تعداد معینی تلاش ناموفق، دسترسی را مسدود کنید.

2.3 استفاده از گزارش‌ها

  1. گزارش‌های امنیتی: افزونه Wordfence گزارش‌هایی از فعالیت‌های مشکوک به شما ارسال می‌کند. این گزارش‌ها به شما اطلاع می‌دهند که آیا حملاتی به سایت شما صورت گرفته است یا خیر.
  2. تنظیمات ایمیل گزارش‌ها: در بخش General Settings می‌توانید تنظیم کنید که هرگونه تلاش ورود یا تغییرات مشکوک از طریق ایمیل به شما گزارش شود.

2.4 به‌روزرسانی افزونه‌ها

  • نکته: همیشه افزونه‌های خود را به‌روزرسانی کنید تا از آخرین ویژگی‌ها و به‌روزرسانی‌های امنیتی بهره‌مند شوید.
    • به بخش Plugins بروید و روی Check for Updates کلیک کنید تا افزونه‌های به‌روز را پیدا کنید.

3. نکات اضافی برای تقویت امنیت

  • گزارش خطاها: اگر متوجه خطاهای مشکوک یا حملات شدید، آن‌ها را از طریق گزارش‌های افزونه بررسی کرده و به سرعت اقدام کنید.
  • آزمایش بعد از پیکربندی: پس از پیکربندی افزونه‌های امنیتی، سایت خود را تست کنید تا مطمئن شوید که هیچ مشکلی در عملکرد سایت یا افزونه‌ها وجود ندارد.
  • پشتیبان‌گیری منظم: علاوه بر استفاده از افزونه‌های امنیتی، از سایت خود به‌طور منظم پشتیبان بگیرید. افزونه‌هایی مانند UpdraftPlus یا BackupBuddy این کار را به‌راحتی انجام می‌دهند.

با انجام این مراحل و استفاده از افزونه‌های امنیتی معتبر، می‌توانید امنیت سایت وردپرس خود را به طور قابل‌توجهی افزایش دهید.جلوگیری از هک شدن سایت وردپرسی

کدوم افزونه امنیت سایت وردپرسی بهترین هست؟

برای انتخاب بهترین افزونه امنیتی، بستگی به نیازهای خاص شما و ویژگی‌هایی که برای سایت خود می‌خواهید، دارد. اما از میان افزونه‌های محبوب، Wordfence Security و iThemes Security به‌طور گسترده‌ای به‌عنوان بهترین‌ها شناخته می‌شوند. در اینجا مقایسه‌ای از این دو افزونه آورده‌ام تا به شما کمک کند تصمیم بگیرید:

1. Wordfence Security

مزایا:

  • فایروال قوی: یکی از قوی‌ترین فایروال‌های وردپرس را دارد که به‌طور مستقیم در سایت شما نصب می‌شود و حملات را شناسایی و مسدود می‌کند.
  • اسکن بدافزار: به‌طور دوره‌ای سایت شما را برای شناسایی بدافزارها و تهدیدات اسکن می‌کند.
  • گزارش‌های امنیتی: گزارش‌های دقیقی از فعالیت‌های مشکوک ارسال می‌کند و به شما اطلاع می‌دهد که اگر سایت شما هدف حمله قرار گرفته باشد.
  • محافظت از تلاش‌های ورود: محدود کردن تعداد تلاش‌های ورود ناموفق، که از حملات Brute Force جلوگیری می‌کند.
  • نسخه رایگان و پرداختی: نسخه رایگان آن بسیار کامل است، ولی نسخه پولی امکانات اضافی از جمله شناسایی بهتر بدافزارها و فایروال پیشرفته دارد.

معایب:

  • سرعت کمی کندتر می‌شود: اگرچه افزونه قوی است، اما گاهی اوقات ممکن است سرعت سایت را کمی کاهش دهد، به‌ویژه اگر پیکربندی‌های زیادی را فعال کنید.

2. iThemes Security

مزایا:

  • محافظت از صفحه ورود: iThemes امکان تغییر URL صفحه ورود به سایت را می‌دهد تا از حملات Brute Force جلوگیری کند.
  • شناسایی تلاش‌های ورود مشکوک: به‌طور خودکار تلاش‌های مشکوک را شناسایی می‌کند و هشدارهایی برای شما ارسال می‌کند.
  • پشتیبان‌گیری از فایل‌ها: امکان ذخیره فایل‌های سایت در حالت امن و بررسی تغییرات در فایل‌های هسته‌ای وردپرس.
  • آسان برای استفاده: رابط کاربری بسیار ساده و کاربردی دارد و برای کاربران مبتدی بسیار مناسب است.
  • نسخه رایگان و پولی: نسخه رایگان آن ویژگی‌های مناسبی دارد، اما نسخه پولی امکانات اضافی و پیشرفته‌تری را شامل می‌شود.جلوگیری از هک شدن سایت وردپرسی

معایب:

  • گزارش‌ها کمتر از Wordfence: گزارش‌های امنیتی کمتری ارائه می‌دهد و نیاز به تنظیمات دستی بیشتری دارد.

3. Sucuri Security

مزایا:

  • فایروال وب اپلیکیشن (WAF): از جمله قدرتمندترین فایروال‌ها برای محافظت در برابر حملات خارجی است.
  • اسکن بدافزار: سایت شما را برای بدافزارها اسکن کرده و به‌طور خودکار آن‌ها را شناسایی و حذف می‌کند.
  • پشتیبان‌گیری و نگهداری: امکان پشتیبان‌گیری و نگهداری اطلاعات از سایت در برابر آسیب‌ها را فراهم می‌کند.
  • پشتیبانی خوب: پشتیبانی از طریق چت آنلاین و ایمیل در صورت نیاز به کمک ارائه می‌دهد.

معایب:

  • نسخه رایگان محدود است: بیشتر ویژگی‌ها تنها در نسخه پولی موجود است.
  • هزینه بالاتر: هزینه‌های اشتراک ماهانه برای استفاده از خدمات امنیتی به‌ویژه فایروال، ممکن است نسبت به افزونه‌های دیگر کمی بیشتر باشد.

بهترین انتخاب برای شما

  • اگر به دنبال یک افزونه رایگان و کامل هستید، Wordfence Security بهترین انتخاب است. این افزونه با داشتن ویژگی‌های قدرتمند مانند فایروال و اسکن بدافزار، عملکرد بسیار خوبی دارد و برای اکثر سایت‌ها کافی است.
  • اگر به دنبال یک رابط ساده‌تر و محافظت از ورود به سایت هستید، iThemes Security گزینه مناسبی است. این افزونه نیز ویژگی‌های عالی برای جلوگیری از حملات Brute Force و دسترسی‌های غیرمجاز دارد.
  • اگر نیاز به فایروال قوی و خدمات پشتیبانی دارید، Sucuri گزینه مناسبی است، اگرچه هزینه آن ممکن است بالاتر از افزونه‌های دیگر باشد.

جمع‌بندی

برای امنیت کامل و بدون هزینه اضافی، Wordfence Security به‌عنوان بهترین گزینه پیشنهاد می‌شود، به‌ویژه برای سایت‌های کوچک تا متوسط. اما اگر سایت شما نیاز به ویژگی‌های خاص‌تری مانند پشتیبانی فنی و فایروال حرفه‌ای دارد، می‌توانید از Sucuri یا iThemes Security استفاده کنید.

  1. پشتیبان‌گیری دستی: فایل wp-config.php را دانلود کرده و در مکانی امن ذخیره کنید.

پشتیبان‌گیری خودکار: از افزونه‌هایی مانند UpdraftPlus استفاده کنید تا به‌طور منظم از تمام سایت خود، از جمله فایل‌های پیکربندی، پشتیبان تهیه کنید.

4.فایل wp-config.php را ایمن کنید: این فایل حاوی اطلاعات مهم پایگاه داده است. مطمئن شوید که دسترسی به این فایل محدود است و همچنین اطلاعات امنیتی آن را در صورت نیاز تغییر دهید.

فایل wp-config.php یکی از مهم‌ترین فایل‌های وردپرس است که تنظیمات پایگاه داده، کلیدهای امنیتی و تنظیمات دیگر سایت شما را ذخیره می‌کند. به همین دلیل، باید این فایل را ایمن کنید تا از حملات احتمالی جلوگیری شود. در اینجا نحوه ایمن‌سازی فایل wp-config.php به صورت گام به گام و عملی توضیح داده شده است:

1. انتقال فایل wp-config.php به دایرکتوری بالاتر

به طور پیش‌فرض، فایل wp-config.php در ریشه پوشه وردپرس قرار دارد، اما می‌توانید آن را به دایرکتوری بالاتر از پوشه ریشه سایت وردپرس منتقل کنید تا از دسترسی‌های غیرمجاز جلوگیری شود. برای این کار:

  1. انتقال فایل:
    • به هاست خود وارد شوید (از طریق File Manager یا FTP).
    • فایل wp-config.php را از ریشه وردپرس (معمولاً در مسیر public_html یا مشابه آن) به یک پوشه بالاتر منتقل کنید.
      • به عنوان مثال، اگر سایت شما در public_html است، فایل را به پوشه‌ای مانند /home/username/ منتقل کنید.
  2. به روزرسانی مسیر در وردپرس:
    • وردپرس به طور خودکار از این فایل در مسیر جدید شناسایی خواهد کرد، بنابراین نیازی به تغییرات خاصی در تنظیمات وردپرس نیست.جلوگیری از هک شدن سایت وردپرسی

2. تغییر مجوزهای دسترسی به فایل wp-config.php

برای اطمینان از اینکه هیچ فردی نمی‌تواند به فایل wp-config.php دسترسی پیدا کند، باید مجوزهای دسترسی این فایل را محدود کنید.

  1. استفاده از File Manager یا FTP:
    • به هاست خود وارد شوید.
    • روی فایل wp-config.php راست‌کلیک کرده و گزینه Permissions یا File Permissions را انتخاب کنید.
  2. تغییر مجوزها:
    • مجوزهای فایل wp-config.php باید به 440 یا 400 تنظیم شوند تا فقط کاربر اصلی (که وردپرس را اجرا می‌کند) به آن دسترسی داشته باشد.
    • این تغییرات باعث می‌شود که فایل فقط برای خواندن قابل دسترسی باشد و دسترسی نوشتن برای دیگران مسدود شود.

3. محدود کردن دسترسی به wp-config.php از طریق فایل .htaccess

می‌توانید دسترسی به فایل wp-config.php را از طریق وب سرور محدود کنید. این کار باعث می‌شود که حتی اگر کسی قصد دسترسی به آن از طریق مرورگر را داشته باشد، امکان آن وجود نداشته باشد.

  1. ویرایش فایل .htaccess:
    • فایل .htaccess را در پوشه ریشه سایت وردپرس (همان جایی که فایل wp-config.php قرار دارد) باز کنید.
    • اگر این فایل وجود ندارد، یک فایل متنی جدید با نام .htaccess بسازید.
  2. اضافه کردن کد محدودیت دسترسی: در فایل .htaccess کد زیر را اضافه کنید: 
    <Files wp-config.php>
    Order Deny,Allow
    Deny from all
</Files>

    این کد باعث می‌شود که هیچ کسی نتواند به فایل wp-config.php از طریق مرورگر دسترسی پیدا کند.

4. افزودن کلیدهای امنیتی به wp-config.php

وردپرس از کلیدهای امنیتی برای رمزگذاری کوکی‌ها و اطلاعات کاربران استفاده می‌کند. این کلیدها باید پیچیده و منحصر به فرد باشند. برای افزایش امنیت سایت خود، از کلیدهای امنیتی قوی استفاده کنید:

  1. تولید کلیدهای امنیتی: به صفحه تولید کلید امنیتی وردپرس بروید.
  2. کپی کردن کلیدها: تمام کلیدهای امنیتی را کپی کنید.
  3. ویرایش فایل wp-config.php: فایل wp-config.php را باز کرده و بخش مربوط به کلیدهای امنیتی را پیدا کنید.
  4. جایگزینی کلیدهای قدیمی: کلیدهای جدید را جایگزین کلیدهای موجود کنید تا امنیت سایت شما افزایش یابد.

5. غیرفعال کردن نمایش خطاها در wp-config.php

برای جلوگیری از افشای اطلاعات حساس در هنگام بروز خطا، باید نمایش خطاها را در وردپرس غیرفعال کنید.جلوگیری از هک شدن سایت وردپرسی

  1. ویرایش فایل wp-config.php:
    • فایل wp-config.php را باز کنید.
    • خطوط زیر را در فایل قرار دهید (در صورتی که قبلاً وجود نداشته باشند): 
      define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);

    این تنظیمات باعث می‌شود که خطاها در سایت نمایش داده نشوند.

6. استفاده از امنیت HTTP و HTTPS

اطمینان حاصل کنید که سایت شما از پروتکل HTTPS استفاده می‌کند و ترافیک سایت رمزنگاری شده است. برای این کار:

  1. خرید گواهی SSL: برای سایت خود گواهی SSL تهیه کنید (بسیاری از ارائه‌دهندگان هاست این گواهی را به‌صورت رایگان ارائه می‌دهند).
  2. تنظیم در wp-config.php: در فایل wp-config.php، کد زیر را برای اجباری کردن HTTPS اضافه کنید: 
    define('FORCE_SSL_ADMIN', true);

7. پشتیبان‌گیری از فایل wp-config.php

یکی از بهترین روش‌ها برای ایمن کردن فایل wp-config.php پشتیبان‌گیری منظم از آن است. این فایل تنظیمات مهم سایت شما را در خود دارد و در صورت بروز مشکل، باید بتوانید آن را به سرعت بازیابی کنید.

    • احراز هویت با روش‌های مختلف: برای امنیت بیشتر، می‌توانید روش‌های مختلف احراز هویت دو مرحله‌ای مانند ایمیل، پیامک و Google Authenticator را به طور همزمان فعال کنید.

اطلاع رسانی به کاربران: به کاربران سایت خود اطلاع دهید که 2FA را فعال کنند و مزایای آن را برای‌شان توضیح دهید.

5.فعال کردن احراز هویت دو مرحله‌ای (2FA): برای ورود به داشبورد وردپرس از احراز هویت دو مرحله‌ای استفاده کنید تا امنیت حساب شما افزایش یابد.

فعال کردن احراز هویت دو مرحله‌ای (2FA) یکی از بهترین روش‌ها برای افزایش امنیت سایت وردپرس شماست. این روش از شما می‌خواهد که علاوه بر وارد کردن نام کاربری و رمز عبور، یک کد موقتی که معمولاً از طریق اپلیکیشن موبایل یا پیامک دریافت می‌کنید، وارد کنید. این امر باعث می‌شود که حتی اگر کسی رمز عبور شما را به دست آورد، برای ورود به سایت به کد دوم نیاز خواهد داشت.جلوگیری از هک شدن سایت وردپرسی

در اینجا نحوه فعال‌سازی 2FA در وردپرس به صورت گام به گام و عملی توضیح داده شده است:

1. نصب و فعال‌سازی افزونه برای 2FA

برای فعال‌سازی 2FA در وردپرس، شما باید یک افزونه امنیتی نصب کنید. یکی از بهترین افزونه‌ها برای این منظور “Two Factor Authentication” است که به راحتی می‌توانید آن را نصب و تنظیم کنید.

مراحل نصب افزونه “Two Factor Authentication”:

  1. ورود به داشبورد وردپرس: به پنل مدیریت وردپرس خود وارد شوید.
  2. نصب افزونه:
    • به بخش افزونه‌ها > افزودن بروید.
    • در قسمت جستجو، عبارت “Two Factor Authentication” را تایپ کنید.
    • افزونه‌ای به نام “Two Factor Authentication” (توسعه‌دهنده: Plugin Contributors) را پیدا کنید.
    • روی “اکنون نصب کن” کلیک کنید و سپس افزونه را فعال کنید.

2. تنظیمات افزونه 2FA

پس از نصب و فعال‌سازی افزونه، باید تنظیمات مربوط به 2FA را انجام دهید.

  1. دسترسی به تنظیمات افزونه:
    • به بخش تنظیمات > Two Factor Authentication بروید.
  2. انتخاب روش‌های احراز هویت دو مرحله‌ای: در این بخش، چندین روش برای فعال‌سازی 2FA به شما پیشنهاد می‌شود:
    • کدهای ایمیل: شما می‌توانید این روش را انتخاب کنید تا کد تایید به ایمیل شما ارسال شود.
    • کدهای اپلیکیشن Authenticator: این روش یکی از امن‌ترین گزینه‌ها است. شما می‌توانید از اپلیکیشن‌های معروف مانند Google Authenticator یا Authy برای تولید کدهای یکبار مصرف استفاده کنید.
    • کدهای پیامکی: در صورتی که برای شما ممکن است، می‌توانید این روش را فعال کنید، اما این روش به دلیل احتمال هک شماره‌های تلفن معمولاً امن‌ترین گزینه نیست.
  3. فعال کردن روش مورد نظر: در اینجا نحوه فعال‌سازی 2FA با استفاده از Google Authenticator (یکی از امن‌ترین و رایج‌ترین اپلیکیشن‌ها) را توضیح می‌دهیم.

3. فعال‌سازی 2FA با Google Authenticator

برای فعال کردن 2FA با استفاده از اپلیکیشن Google Authenticator، مراحل زیر را دنبال کنید:

  1. دریافت و نصب اپلیکیشن Google Authenticator:
    • به فروشگاه Google Play (برای اندروید) یا App Store (برای iOS) بروید و اپلیکیشن Google Authenticator را نصب کنید.
  2. اتصال افزونه به اپلیکیشن Google Authenticator:
    • در تنظیمات افزونه “Two Factor Authentication” در داشبورد وردپرس، روش “Authenticator App” را انتخاب کنید.
    • در این مرحله، افزونه یک کد QR به شما نمایش می‌دهد.
    • اپلیکیشن Google Authenticator را باز کنید.
    • در Google Authenticator، گزینه “+” را انتخاب کنید تا گزینه اسکن کد QR را انتخاب کنید.
    • کد QR موجود در تنظیمات افزونه وردپرس را اسکن کنید.
  3. ورود کد تایید:
    • پس از اسکن کد QR، اپلیکیشن Google Authenticator کدی 6 رقمی را تولید می‌کند.
    • این کد را در بخش مربوطه در داشبورد وردپرس وارد کنید تا 2FA فعال شود.
  4. ذخیره کلید بازیابی (اختیاری): برخی از افزونه‌ها یا اپلیکیشن‌های 2FA به شما یک کلید بازیابی (recovery key) می‌دهند. این کلید برای مواقعی که دستگاه شما گم شده یا مشکلی پیش آید مفید است. این کلید را در جای امن ذخیره کنید.

4. تست کردن 2FA

پس از فعال‌سازی 2FA، باید مطمئن شوید که به درستی کار می‌کند:

  1. از حساب کاربری خود خارج شوید.
  2. دوباره وارد شوید.
  3. پس از وارد کردن نام کاربری و رمز عبور، باید از شما خواسته شود که کدی را که از طریق Google Authenticator دریافت کرده‌اید وارد کنید.
  4. پس از وارد کردن کد صحیح، وارد حساب کاربری خواهید شد.جلوگیری از هک شدن سایت وردپرسی

5. فعال کردن 2FA برای سایر کاربران

اگر شما یک مدیر سایت هستید و می‌خواهید سایر کاربران سایت خود را نیز به استفاده از 2FA مجبور کنید، می‌توانید این کار را در تنظیمات افزونه انجام دهید:

  1. در بخش تنظیمات افزونه “Two Factor Authentication”، گزینه‌ای برای فعال‌سازی اجباری 2FA برای سایر کاربران وجود دارد.
  2. این گزینه را فعال کنید تا سایر کاربران برای ورود به سایت از 2FA استفاده کنند.

6. نکات امنیتی اضافی

6.پشتیبان‌گیری منظم: از سایت خود به‌طور منظم پشتیبان تهیه کنید تا در صورت بروز مشکل، بتوانید سایت را بازیابی کنید.

پشتیبان‌گیری منظم از سایت وردپرس یکی از مهم‌ترین اقداماتی است که می‌توانید برای حفظ امنیت و جلوگیری از از دست دادن داده‌ها انجام دهید. پشتیبان‌گیری به شما این امکان را می‌دهد که در صورت بروز مشکل (هک شدن، خطاهای سرور، یا حذف اشتباهی اطلاعات) بتوانید سایت خود را به وضعیت قبلی بازگردانید. در اینجا نحوه انجام پشتیبان‌گیری منظم برای سایت وردپرس به صورت دقیق و عملی بیان شده است.

1. نصب افزونه پشتیبان‌گیری

برای پشتیبان‌گیری منظم از سایت وردپرس، بهترین روش استفاده از افزونه‌های پشتیبان‌گیری است. یکی از افزونه‌های معروف و کاربردی برای این کار UpdraftPlus است که امکانات کاملی برای پشتیبان‌گیری خودکار و دستی فراهم می‌کند.

مراحل نصب افزونه UpdraftPlus:

  1. ورود به داشبورد وردپرس: به پنل مدیریت وردپرس خود وارد شوید.
  2. نصب افزونه:
    • به بخش افزونه‌ها > افزودن بروید.
    • در قسمت جستجو، عبارت UpdraftPlus را تایپ کنید.
    • افزونه UpdraftPlus WordPress Backup Plugin را پیدا کنید.
    • روی اکنون نصب کن کلیک کنید و سپس افزونه را فعال کنید.

2. تنظیمات پشتیبان‌گیری خودکار با UpdraftPlus

بعد از نصب و فعال‌سازی افزونه، باید تنظیمات مربوط به پشتیبان‌گیری خودکار را انجام دهید.

مراحل تنظیم پشتیبان‌گیری خودکار:

  1. دسترسی به تنظیمات افزونه:
    • پس از فعال‌سازی افزونه، به بخش تنظیمات > UpdraftPlus Backups بروید.
  2. تنظیم زمانبندی پشتیبان‌گیری: در صفحه تنظیمات، گزینه‌های مختلفی برای زمانبندی پشتیبان‌گیری خودکار مشاهده خواهید کرد. این گزینه‌ها به شما این امکان را می‌دهند که پشتیبان‌گیری سایت را به صورت روزانه، هفتگی، یا ماهانه انجام دهید.
    • پشتیبان‌گیری فایل‌ها: این بخش به شما اجازه می‌دهد که پشتیبان‌گیری از فایل‌های سایت را به صورت خودکار انجام دهید.
    • پشتیبان‌گیری پایگاه داده: در این بخش می‌توانید زمانبندی برای پشتیبان‌گیری از پایگاه داده سایت خود تنظیم کنید.

    پیشنهاد می‌شود که تنظیمات را روی روزانه یا هفتگی تنظیم کنید.

  3. انتخاب محل ذخیره‌سازی پشتیبان: UpdraftPlus این امکان را به شما می‌دهد که پشتیبان‌های سایت خود را در سرویس‌های ذخیره‌سازی ابری مانند Google Drive، Dropbox، Amazon S3، FTP و غیره ذخیره کنید.
    • برای ذخیره پشتیبان در Google Drive یا Dropbox، باید افزونه را به حساب کاربری خود در این سرویس‌ها متصل کنید. برای این کار، در تنظیمات UpdraftPlus روی گزینه “Authenticate with Google” یا “Authenticate with Dropbox” کلیک کنید و مراحل اتصال را دنبال کنید.
  4. تنظیم تعداد نسخه‌های پشتیبان نگهداری‌شده: UpdraftPlus به شما این امکان را می‌دهد که تعداد نسخه‌های پشتیبان ذخیره‌شده را محدود کنید. برای مثال، می‌توانید مشخص کنید که تنها 3 یا 5 نسخه آخر از پشتیبان‌ها ذخیره شوند تا فضای ذخیره‌سازی زیاد پر نشود.
  5. حفظ امنیت پشتیبان‌ها:
    • از رمزنگاری (Encryption) استفاده کنید تا پشتیبان‌هایتان ایمن بمانند.
    • مطمئن شوید که پشتیبان‌ها در محل ذخیره‌سازی امن قرار دارند (مثلاً در Google Drive یا Dropbox که به طور پیش‌فرض رمزگذاری می‌شوند).جلوگیری از هک شدن سایت وردپرسی

3. پشتیبان‌گیری دستی با UpdraftPlus

علاوه بر پشتیبان‌گیری خودکار، می‌توانید در هر زمان پشتیبان دستی نیز تهیه کنید.

مراحل پشتیبان‌گیری دستی:

  1. ورود به تنظیمات UpdraftPlus: به بخش تنظیمات > UpdraftPlus Backups بروید.
  2. شروع پشتیبان‌گیری دستی:
    • در این صفحه، شما دکمه‌ای به نام “Backup Now” خواهید دید.
    • روی این دکمه کلیک کنید.
    • گزینه‌هایی برای انتخاب پشتیبان‌گیری از فایل‌ها، پایگاه داده یا هر دو خواهید داشت.
    • گزینه‌های مورد نظر خود را انتخاب کنید و روی “Backup Now” کلیک کنید تا پشتیبان‌گیری آغاز شود.
  3. دانلود پشتیبان: پس از اتمام پشتیبان‌گیری، می‌توانید فایل‌های پشتیبان را از طریق رابط کاربری UpdraftPlus دانلود کنید.

4. آزمایش و بازیابی پشتیبان‌ها

مهم است که به طور منظم پشتیبان‌های خود را آزمایش کنید تا مطمئن شوید که قابل بازیابی هستند. در صورتی که مشکلی پیش آید، باید قادر باشید پشتیبان‌های خود را بازیابی کنید.

مراحل بازیابی پشتیبان:

  1. دسترسی به پشتیبان‌ها: به بخش تنظیمات > UpdraftPlus Backups بروید.
  2. انتخاب پشتیبان برای بازیابی: در قسمت “Existing Backups”، پشتیبان‌های موجود را خواهید دید.
    • در کنار هر پشتیبان، گزینه‌هایی مانند Restore وجود دارد. برای بازیابی، روی Restore کلیک کنید.
    • از شما خواسته می‌شود که مشخص کنید کدام بخش‌ها (فایل‌ها، پایگاه داده) را می‌خواهید بازیابی کنید.
  3. شروع بازیابی: پس از انتخاب بخش‌های مورد نظر، روی Restore کلیک کنید و بازیابی پشتیبان آغاز خواهد شد.

5. پشتیبان‌گیری از طریق هاست (اختیاری)

بسیاری از ارائه‌دهندگان هاستینگ این امکان را به شما می‌دهند که از طریق کنترل پنل هاست (مانند cPanel یا Plesk) از سایت خود پشتیبان بگیرید.

  • به بخش Backup یا Backup Wizard در کنترل پنل هاست خود بروید.
  • گزینه پشتیبان‌گیری از تمامی فایل‌ها و پایگاه داده را انتخاب کنید و فایل پشتیبان را دانلود کنید.

 

7.غیرفعال کردن و حذف پلاگین‌ها و قالب‌های غیرضروری: پلاگین‌ها و قالب‌هایی که استفاده نمی‌کنید را غیرفعال و حذف کنید تا احتمال آسیب‌پذیری کاهش یابد.جلوگیری از هک شدن سایت وردپرسی

غیرفعال کردن و حذف پلاگین‌ها و قالب‌های غیرضروری یکی از بهترین روش‌ها برای بهبود امنیت و عملکرد سایت وردپرس است. پلاگین‌ها و قالب‌های غیرضروری می‌توانند در معرض حملات امنیتی قرار گیرند، و همچنین ممکن است منابع سیستم را مصرف کرده و باعث کندی سایت شوند. در اینجا نحوه غیرفعال کردن و حذف پلاگین‌ها و قالب‌های غیرضروری به طور دقیق و عملی توضیح داده شده است:

1. غیرفعال کردن پلاگین‌های غیرضروری

برای شروع، ابتدا پلاگین‌های غیرضروری که دیگر به آنها نیاز ندارید را غیرفعال کنید.

مراحل غیرفعال کردن پلاگین‌ها:

  1. ورود به داشبورد وردپرس: به پنل مدیریت وردپرس خود وارد شوید.
  2. رفتن به بخش پلاگین‌ها: از منوی سمت چپ به پلاگین‌ها > پلاگین‌های نصب‌شده بروید. در این صفحه تمام پلاگین‌های نصب شده در سایت شما نمایش داده می‌شود.
  3. غیرفعال کردن پلاگین‌ها:
    • در کنار هر پلاگین، دکمه‌ای به نام “غیرفعال کردن” وجود دارد.
    • برای غیرفعال کردن یک پلاگین، روی “غیرفعال کردن” کلیک کنید.
    • بعد از غیرفعال کردن پلاگین، دیگر از منابع سایت شما استفاده نخواهد کرد، اما هنوز در فهرست پلاگین‌ها باقی خواهد ماند.
  4. غیرفعال کردن پلاگین‌های غیرضروری: پلاگین‌هایی که دیگر به آنها نیاز ندارید را غیرفعال کنید تا از خطرات امنیتی و کاهش سرعت جلوگیری کنید. برای پلاگین‌هایی که به آنها نیاز ندارید، می‌توانید آنها را حذف کنید.

2. حذف پلاگین‌های غیرضروری

حذف پلاگین‌ها باید با دقت انجام شود، زیرا ممکن است برخی پلاگین‌ها تنظیمات و داده‌هایی را در پایگاه داده یا فایل‌های سایت شما ذخیره کرده باشند. بنابراین قبل از حذف پلاگین‌ها، حتماً از سایت خود پشتیبان‌گیری کنید.

مراحل حذف پلاگین‌ها:

  1. ورود به داشبورد وردپرس: دوباره به بخش پلاگین‌ها > پلاگین‌های نصب‌شده بروید.
  2. حذف پلاگین‌ها:
    • پس از غیرفعال کردن پلاگین، کنار نام آن دکمه‌ای به نام “حذف” نمایش داده می‌شود.
    • روی “حذف” کلیک کنید تا پلاگین به طور کامل از سایت شما حذف شود.
    • در برخی موارد، پلاگین‌ها ممکن است به طور خودکار فایل‌هایی را در پوشه‌های سایت شما ایجاد کنند که پس از حذف پلاگین، همچنان باقی بمانند. برای حذف کامل این فایل‌ها، نیاز به بررسی دستی پوشه‌ها یا استفاده از افزونه‌های پاکسازی وجود دارد.جلوگیری از هک شدن سایت وردپرسی

3. غیرفعال کردن قالب‌های غیرضروری

وردپرس به شما این امکان را می‌دهد که چندین قالب را نصب کنید، اما فقط یک قالب فعال است. قالب‌های غیرضروری نیز باید غیرفعال و حذف شوند تا از مشکلات امنیتی و عملکردی جلوگیری شود.

مراحل غیرفعال کردن قالب‌ها:

  1. ورود به داشبورد وردپرس: به پنل مدیریت وردپرس وارد شوید.
  2. رفتن به بخش قالب‌ها: از منوی سمت چپ به نمایش > قالب‌ها بروید. در این بخش، قالب‌های نصب‌شده در سایت شما نمایش داده می‌شوند.
  3. غیرفعال کردن قالب‌ها:
    • فقط یک قالب می‌تواند فعال باشد. برای غیرفعال کردن قالبی که فعال است، باید ابتدا یک قالب دیگر را فعال کنید.
    • برای فعال‌سازی قالب دیگر، روی فعال کردن کنار قالب مورد نظر کلیک کنید.
    • حالا قالب قبلی غیرفعال شده و قابل حذف است.
  4. حذف قالب‌های غیرضروری: پس از غیرفعال کردن قالب، برای حذف آن، بر روی قالب مورد نظر کلیک کنید تا جزئیات آن نمایش داده شود.
    • در پایین صفحه، گزینه‌ای به نام حذف وجود دارد.
    • روی حذف کلیک کنید تا قالب به طور کامل از سایت شما حذف شود.

4. مزایای غیرفعال کردن و حذف پلاگین‌ها و قالب‌های غیرضروری

  • افزایش امنیت: پلاگین‌ها و قالب‌های قدیمی یا غیرضروری می‌توانند آسیب‌پذیری‌های امنیتی به سایت شما وارد کنند.
  • افزایش سرعت: پلاگین‌ها و قالب‌های فعال می‌توانند منابع سیستم را مصرف کنند، و حذف آنها باعث افزایش سرعت بارگذاری سایت می‌شود.
  • مدیریت بهتر منابع: با حذف پلاگین‌ها و قالب‌های غیرضروری، منابع سرور و فضای ذخیره‌سازی بهینه می‌شود.

نکات تکمیلی

  • پشتیبان‌گیری: قبل از حذف هر پلاگین یا قالبی، از سایت خود پشتیبان‌گیری کنید تا در صورت بروز هرگونه مشکلی بتوانید سایت را بازگردانید.
  • بازبینی دوره‌ای: به صورت دوره‌ای پلاگین‌ها و قالب‌های نصب‌شده سایت خود را بازبینی کنید و فقط پلاگین‌ها و قالب‌های مورد نیاز را نگهداری کنید.

 

8.دسترسی محدود به پنل مدیریت: از دسترسی افراد غیرمجاز به بخش‌های مختلف سایت جلوگیری کنید و فقط به افراد مجاز اجازه ورود دهید.جلوگیری از هک شدن سایت وردپرسی

محدود کردن دسترسی به پنل مدیریت وردپرس یکی از بهترین روش‌ها برای افزایش امنیت سایت است. این کار باعث می‌شود که فقط افراد معتبر بتوانند به داشبورد وردپرس دسترسی پیدا کنند و خطرات هک شدن کاهش یابد. در اینجا نحوه محدود کردن دسترسی به پنل مدیریت وردپرس به طور دقیق و عملی توضیح داده شده است:

1. محدود کردن دسترسی به IP خاص (از طریق فایل .htaccess)

یکی از روش‌های مؤثر برای محدود کردن دسترسی به پنل مدیریت وردپرس، اجازه دادن فقط به آدرس‌های IP خاص است. این کار باعث می‌شود که تنها از آی‌پی‌های مشخص شده بتوان به داشبورد وردپرس وارد شد.

مراحل محدود کردن دسترسی به پنل مدیریت با فایل .htaccess:

  1. ورود به هاست:
    • ابتدا وارد کنترل پنل هاست خود (مانند cPanel یا Plesk) شوید.
    • به File Manager بروید.
  2. ایجاد تغییرات در فایل .htaccess:
    • فایل .htaccess را پیدا کنید. این فایل معمولاً در پوشه اصلی سایت (public_html) قرار دارد.
    • قبل از انجام هرگونه تغییرات در این فایل، پشتیبان‌گیری از آن انجام دهید.
    • روی فایل کلیک راست کرده و Edit را انتخاب کنید.
  3. اضافه کردن قوانین محدودیت دسترسی: در انتهای فایل .htaccess، این کدها را اضافه کنید: 
    <Files wp-login.php>
order deny,allow
deny from all
allow from x.x.x.x
</Files>
    • جایگزین x.x.x.x با آدرس آی‌پی خود کنید. این آی‌پی تنها کسی است که اجازه دسترسی به صفحه ورود وردپرس (wp-login.php) را خواهد داشت.
    • اگر می‌خواهید دسترسی را برای چندین آی‌پی فراهم کنید، می‌توانید چند خط مانند زیر اضافه کنید: 
      allow from x.x.x.x
allow from y.y.y.y
  4. ذخیره تغییرات:
    • پس از اعمال تغییرات، فایل .htaccess را ذخیره کنید.
    • حالا تنها آی‌پی‌هایی که مشخص کرده‌اید می‌توانند به صفحه ورود وردپرس دسترسی پیدا کنند.جلوگیری از هک شدن سایت وردپرسی

2. استفاده از افزونه‌های محدودکننده دسترسی

برای افرادی که با فایل‌های هاستینگ آشنایی ندارند، استفاده از افزونه‌های محدودکننده دسترسی به پنل مدیریت وردپرس می‌تواند یک روش ساده و مؤثر باشد. یکی از افزونه‌های پرکاربرد در این زمینه WP Limit Login Attempts است که به شما این امکان را می‌دهد که تعداد تلاش‌های ورود به سیستم را محدود کنید.

مراحل نصب و فعال‌سازی افزونه:

  1. ورود به داشبورد وردپرس: به پنل مدیریت وردپرس خود وارد شوید.
  2. نصب افزونه:
    • به پلاگین‌ها > افزودن بروید.
    • در بخش جستجو، عبارت Limit Login Attempts را وارد کنید.
    • افزونه Limit Login Attempts Reloaded را نصب و فعال کنید.
  3. تنظیمات افزونه:
    • بعد از فعال‌سازی، به بخش تنظیمات > Limit Login Attempts بروید.
    • در این بخش، می‌توانید تعداد تلاش‌های مجاز برای ورود ناموفق را محدود کنید.
    • پیشنهاد می‌شود که تعداد تلاش‌های مجاز را روی 3 قرار دهید و پس از تلاش‌های ناموفق، دسترسی را برای مدت زمان مشخصی مسدود کنید.

3. استفاده از احراز هویت دو مرحله‌ای (2FA)

احراز هویت دو مرحله‌ای (2FA) یکی از بهترین روش‌ها برای افزایش امنیت ورود به پنل مدیریت وردپرس است. با فعال‌سازی 2FA، حتی اگر کسی رمز عبور شما را بداند، نمی‌تواند به پنل وارد شود زیرا به کد تایید اضافه‌ای نیاز دارد که فقط شما به آن دسترسی دارید.

مراحل فعال‌سازی 2FA:

  1. نصب افزونه احراز هویت دو مرحله‌ای: یکی از افزونه‌های پرطرفدار برای فعال‌سازی 2FA Google Authenticator است. برای نصب آن به روش زیر عمل کنید:
    • به پلاگین‌ها > افزودن بروید.
    • در بخش جستجو، عبارت Google Authenticator را جستجو کنید.
    • افزونه Google Authenticator را نصب و فعال کنید.
  2. پیکربندی افزونه: پس از فعال‌سازی افزونه، به بخش کاربران > پروفایل بروید.
    • در این بخش گزینه‌ای به نام Google Authenticator Settings ظاهر می‌شود.
    • در این قسمت می‌توانید گزینه فعال‌سازی Google Authenticator را انتخاب کنید.
    • پس از فعال‌سازی، یک QR کد نمایش داده می‌شود که باید آن را با اپلیکیشن Google Authenticator اسکن کنید (در گوشی خود اپلیکیشن Google Authenticator را نصب کنید).
  3. تنظیمات 2FA: پس از اسکن QR کد، یک کد تایید در اپلیکیشن Google Authenticator خواهید دید. این کد را در بخش مربوطه وارد کرده و تنظیمات را ذخیره کنید.حالا برای ورود به پنل مدیریت وردپرس، علاوه بر وارد کردن نام کاربری و رمز عبور، باید کدی که از اپلیکیشن Google Authenticator دریافت می‌کنید را وارد کنید.

4. محدود کردن دسترسی به wp-admin با استفاده از IP

اگر می‌خواهید دسترسی به بخش مدیریت وردپرس (wp-admin) را محدود کنید، می‌توانید مشابه روش اول که برای wp-login.php اعمال کردید، این کار را برای پوشه wp-admin نیز انجام دهید.

مراحل محدود کردن دسترسی به wp-admin:

  1. وارد فایل .htaccess شوید.
  2. کد زیر را به فایل .htaccess داخل پوشه wp-admin اضافه کنید: 
    order deny,allow
deny from all
allow from x.x.x.x
  3. x.x.x.x را با آی‌پی خود جایگزین کنید.جلوگیری از هک شدن سایت وردپرسی

5. پنهان کردن wp-login.php

برای جلوگیری از دسترسی هکرها به صفحه ورود وردپرس، می‌توانید آدرس پیش‌فرض صفحه ورود (wp-login.php) را تغییر دهید.

مراحل تغییر آدرس ورود:

  1. افزونه WPS Hide Login را نصب و فعال کنید.
  2. بعد از فعال‌سازی افزونه، به بخش تنظیمات > WPS Hide Login بروید.
  3. در این صفحه می‌توانید آدرس جدیدی برای ورود به سایت خود تعیین کنید (مثلاً yourdomain.com/my-login).

 

9.فعال کردن SSL: از گواهی SSL استفاده کنید تا ارتباطات سایت شما رمزگذاری شده و داده‌های حساس محفوظ بماند.

فعال کردن SSL (Secure Socket Layer) در سایت وردپرس، برای محافظت از اطلاعات حساس کاربران و اطمینان از امنیت ارتباطات میان مرورگر کاربر و سرور ضروری است. فعال‌سازی SSL باعث می‌شود که سایت شما به صورت امن با استفاده از پروتکل HTTPS بارگذاری شود، که اطلاعات کاربران را در برابر هک شدن و دسترسی غیرمجاز محافظت می‌کند.

چرا باید SSL را فعال کنیم؟

اگر SSL را فعال نکنید، اطلاعاتی که کاربران در سایت شما وارد می‌کنند (مثل نام کاربری، رمز عبور، اطلاعات کارت اعتباری و غیره) به‌طور ناامن منتقل می‌شود. بدون SSL، سایت شما از HTTP استفاده می‌کند که داده‌ها را به صورت رمزگذاری نشده ارسال می‌کند. این امر باعث می‌شود که اطلاعات در مسیر انتقال به راحتی قابل دسترسی برای هکرها باشد. همچنین، گوگل سایت‌هایی که از SSL استفاده نمی‌کنند را به عنوان سایت‌های ناامن نمایش می‌دهد.

مزایای فعال کردن SSL:

  1. افزایش امنیت: اطلاعات بین سرور و مرورگر به صورت رمزگذاری شده منتقل می‌شود.
  2. افزایش اعتبار: مرورگرها سایت‌های با SSL را به صورت ایمن (با آیکون قفل سبز) نمایش می‌دهند.
  3. بهبود SEO: گوگل به سایت‌هایی که از SSL استفاده می‌کنند رتبه بالاتری می‌دهد.
  4. حفاظت از داده‌های کاربران: حفاظت از داده‌های حساس مانند اطلاعات کارت بانکی و ورود کاربران.

چطور SSL را فعال کنیم؟

برای فعال‌سازی SSL در سایت وردپرس خود، باید مراحل زیر را به ترتیب انجام دهید:

مرحله 1: دریافت گواهی SSL

  1. گواهی SSL رایگان از Let’s Encrypt: اکثر شرکت‌های هاستینگ گواهی SSL رایگان از Let’s Encrypt ارائه می‌دهند. این گواهی رایگان است و می‌توانید آن را از طریق پنل مدیریت هاست خود فعال کنید.
  2. خرید گواهی SSL: اگر هاست شما گواهی SSL رایگان ارائه نمی‌دهد، می‌توانید از سرویس‌هایی مانند Comodo, GeoTrust, Symantec و دیگر ارائه‌دهندگان SSL خریداری کنید. پس از خرید، گواهی SSL باید به سرور شما نصب شود.

مرحله 2: نصب گواهی SSL بر روی هاست

برای نصب SSL، بسته به نوع کنترل پنل هاستینگ شما (مثلاً cPanel یا Plesk)، مراحل نصب کمی متفاوت خواهد بود. در اینجا مراحل نصب گواهی SSL در cPanel توضیح داده شده است.جلوگیری از هک شدن سایت وردپرسی

در cPanel:

  1. وارد پنل cPanel شوید.
  2. به بخش Security بروید و گزینه SSL/TLS را انتخاب کنید.
  3. در قسمت Install and Manage SSL for your site (HTTPS)، دامنه‌ای که می‌خواهید SSL را فعال کنید، انتخاب کنید.
  4. در بخش SSL Certificate، گواهی SSL را که به شما داده شده وارد کنید.
  5. پس از وارد کردن گواهی، روی Install Certificate کلیک کنید.

در Plesk:

  1. وارد پنل Plesk شوید.
  2. به بخش Websites & Domains بروید.
  3. گزینه SSL Certificates را انتخاب کنید.
  4. گواهی SSL را بارگذاری کرده و آن را برای دامنه خود فعال کنید.

مرحله 3: تغییر تنظیمات وردپرس برای استفاده از HTTPS

پس از نصب SSL روی سرور، باید سایت وردپرس خود را به گونه‌ای تنظیم کنید که از پروتکل HTTPS استفاده کند.

1. تغییر آدرس سایت در وردپرس:

  1. وارد داشبورد وردپرس خود شوید.
  2. به بخش تنظیمات > عمومی بروید.
  3. در فیلدهای آدرس وردپرس (URL) و آدرس سایت (URL)، پروتکل HTTP را به HTTPS تغییر دهید.
    • به جای http://yourdomain.com، بنویسید https://yourdomain.com.
  4. تغییرات را ذخیره کنید.

2. استفاده از افزونه برای انتقال تمام لینک‌ها به HTTPS:

برای اطمینان از اینکه تمامی محتوای سایت شما به HTTPS منتقل می‌شود، می‌توانید از افزونه‌های خاصی مانند Really Simple SSL استفاده کنید.

  1. به پلاگین‌ها > افزودن بروید.
  2. افزونه Really Simple SSL را جستجو کرده و آن را نصب و فعال کنید.
  3. پس از فعال‌سازی، افزونه به‌طور خودکار تنظیمات سایت شما را برای استفاده از HTTPS به‌روز خواهد کرد.

مرحله 4: بررسی و اطمینان از فعال بودن SSL

پس از فعال‌سازی SSL، باید اطمینان حاصل کنید که سایت شما به‌درستی از HTTPS استفاده می‌کند.

  1. بازدید از سایت: وارد سایت خود شوید و مطمئن شوید که URL سایت شما اکنون با https:// آغاز می‌شود.
  2. آیکون قفل سبز در مرورگر: در کنار URL سایت، آیکون قفل سبز رنگ باید نمایش داده شود که نشان‌دهنده ارتباط امن است.
  3. بررسی با ابزار آنلاین: می‌توانید از ابزارهایی مانند Why No Padlock یا SSL Labs برای بررسی کامل وضعیت SSL سایت خود استفاده کنید.جلوگیری از هک شدن سایت وردپرسی

مرحله 5: ریدایرکت HTTP به HTTPS

برای اطمینان از اینکه کاربران به‌طور خودکار به نسخه HTTPS سایت هدایت می‌شوند، باید ریدایرکت HTTP به HTTPS را تنظیم کنید.

از طریق فایل .htaccess:

  1. وارد پنل cPanel شوید و به File Manager بروید.
  2. فایل .htaccess را در پوشه ریشه سایت خود پیدا کنید.
  3. کد زیر را به انتهای فایل .htaccess اضافه کنید: 
    RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  4. این تغییر باعث می‌شود که هر درخواست HTTP به HTTPS ریدایرکت شود.

مرحله 6: بروزرسانی لینک‌های داخلی و منابع

بعد از فعال‌سازی SSL، برخی از لینک‌ها و منابع داخلی سایت ممکن است همچنان از HTTP استفاده کنند که ممکن است باعث بروز مشکلات نمایش محتوا شود (Mixed Content).

راه‌حل:

  1. از ابزارهایی مانند Velvet Blues Update URLs برای بروزرسانی خودکار تمام لینک‌های داخلی سایت به HTTPS استفاده کنید.
  2. همچنین می‌توانید از طریق Search and Replace در پایگاه داده، لینک‌ها را به صورت دستی به HTTPS تغییر دهید.

اگر SSL فعال نشود، چه مشکلاتی ایجاد می‌شود؟

  1. امنیت پایین: اطلاعات حساس کاربران (مثل رمز عبور و کارت اعتباری) به صورت رمزگذاری‌نشده منتقل می‌شود که باعث افزایش خطر هک و دسترسی غیرمجاز به اطلاعات می‌شود.
  2. SEO: گوگل سایت‌های بدون SSL را به عنوان “ناامن” نشان می‌دهد و این می‌تواند بر رتبه‌بندی سایت شما در نتایج جستجو تأثیر منفی بگذارد.
  3. اعتماد کاربران: کاربران به سایت‌هایی که از SSL استفاده نمی‌کنند، اعتماد نخواهند کرد، به‌ویژه هنگام ورود به سایت یا خرید آنلاین.جلوگیری از هک شدن سایت وردپرسی

10.چک کردن وضعیت امنیت سایت: از ابزارهایی مانند Google Search Console و Securityheaders.io برای بررسی وضعیت امنیت سایت خود استفاده کنید.

چک کردن وضعیت امنیت سایت وردپرسی، یکی از مراحل مهم برای شناسایی و رفع مشکلات امنیتی احتمالی است. این کار به شما کمک می‌کند که از آسیب‌پذیری‌های سایت خود جلوگیری کرده و از هک شدن آن جلوگیری کنید. برای بررسی وضعیت امنیت سایت خود، می‌توانید از ابزارها و روش‌های مختلفی استفاده کنید که در ادامه به صورت کامل و با جزئیات توضیح داده شده است.

1. استفاده از ابزارهای آنلاین برای بررسی امنیت سایت

یکی از ساده‌ترین روش‌ها برای بررسی امنیت سایت استفاده از ابزارهای آنلاین است. این ابزارها به طور خودکار سایت شما را بررسی می‌کنند و مشکلات امنیتی را شناسایی می‌کنند.

ابزارهای آنلاین معتبر برای بررسی امنیت سایت:

  1. Sucuri SiteCheck
    • ویژگی‌ها: این ابزار به طور کامل سایت شما را برای شناسایی تهدیدات، بدافزارها، اسپم‌ها، لینک‌های خراب و مشکلات امنیتی دیگر اسکن می‌کند.
    • چطور استفاده کنید:
      1. به سایت Sucuri SiteCheck بروید.
      2. آدرس سایت خود را وارد کنید.
      3. روی Scan Website کلیک کنید.
      4. نتایج را بررسی کنید و مشکلات احتمالی را شناسایی کنید.
  2. GTMetrix
    • ویژگی‌ها: علاوه بر بررسی سرعت سایت، GTMetrix می‌تواند برخی مشکلات امنیتی مانند عدم استفاده از HTTPS را شناسایی کند.
    • چطور استفاده کنید:
      1. به سایت GTMetrix بروید.
      2. آدرس سایت خود را وارد کنید.
      3. روی Analyze کلیک کنید.
      4. نتایج را بررسی کنید.
  3. Wordfence Security (افزونه وردپرس)
    • ویژگی‌ها: این افزونه می‌تواند سایت شما را اسکن کند و مشکلات امنیتی را شناسایی کند.
    • چطور استفاده کنید:
      1. وارد داشبورد وردپرس خود شوید.
      2. به پلاگین‌ها > افزودن بروید.
      3. جستجو کنید Wordfence Security و آن را نصب و فعال کنید.
      4. پس از فعال‌سازی، به بخش Wordfence > Scan بروید.
      5. روی Start New Scan کلیک کنید و نتایج را بررسی کنید.

2. بررسی آسیب‌پذیری‌ها و تهدیدات امنیتی رایج

برخی از آسیب‌پذیری‌های متداول در وردپرس می‌توانند امنیت سایت شما را به خطر بیاندازند. این آسیب‌پذیری‌ها شامل موارد زیر هستند:

  1. حمله SQL Injection: این حملات از طریق ورودی‌های سایت (فرم‌ها، URLها و غیره) می‌توانند به پایگاه داده سایت شما دسترسی پیدا کنند.
    • راه‌حل: استفاده از افزونه‌های امنیتی مانند Wordfence و iThemes Security که از این نوع حملات جلوگیری می‌کنند.
  2. Cross-Site Scripting (XSS): این نوع حملات از طریق کدهای جاوااسکریپت مخرب به سایت شما نفوذ می‌کنند.
    • راه‌حل: استفاده از افزونه‌هایی که ورودی‌های کاربران را فیلتر می‌کنند و جلوگیری از بارگذاری کدهای مخرب.
  3. Brute Force Attacks: در این حملات، هکرها تلاش می‌کنند تا با استفاده از کلمات عبور مختلف به سایت شما دسترسی پیدا کنند.جلوگیری از هک شدن سایت وردپرسی
    • راه‌حل: استفاده از احراز هویت دو مرحله‌ای (2FA) و تعیین محدودیت برای تعداد تلاش‌های ناموفق ورود.

3. بررسی وضعیت پلاگین‌ها و قالب‌ها

یکی از بخش‌های مهم امنیت سایت بررسی وضعیت پلاگین‌ها و قالب‌های سایت است. پلاگین‌ها و قالب‌های قدیمی و به‌روز نشده ممکن است آسیب‌پذیری‌های امنیتی داشته باشند.

چطور این کار را انجام دهیم؟

  1. بروزرسانی پلاگین‌ها و قالب‌ها:
    • وارد داشبورد وردپرس شوید.
    • به پلاگین‌ها > افزونه‌های نصب‌شده بروید و بررسی کنید که آیا پلاگین‌ها نیاز به بروزرسانی دارند یا خیر.
    • همین کار را برای قالب‌ها نیز انجام دهید.
    • در صورت وجود نسخه جدید برای هر کدام، آنها را به‌روز کنید.
  2. حذف پلاگین‌ها و قالب‌های غیرضروری:
    • پلاگین‌ها و قالب‌های غیرضروری را از سایت خود حذف کنید. این پلاگین‌ها و قالب‌ها ممکن است به دلایل مختلفی (مثل به‌روزرسانی نشدن یا عدم استفاده) خطر امنیتی داشته باشند.

4. بررسی پسوردها و دسترسی‌ها

پسوردهای ضعیف یکی از مشکلات امنیتی بزرگ هستند که می‌توانند به راحتی توسط هکرها حدس زده شوند یا از طریق حملات brute force به‌دست بیایند.جلوگیری از هک شدن سایت وردپرسی

چطور این کار را انجام دهیم؟

  1. استفاده از پسوردهای قوی:
    • از پسوردهای پیچیده و طولانی (ترکیب حروف بزرگ و کوچک، اعداد و نمادها) استفاده کنید.
    • از افزونه‌هایی مثل Password Policy Manager استفاده کنید تا سایت شما الزاماتی برای ایجاد پسوردهای قوی داشته باشد.
  2. محدود کردن دسترسی به پنل مدیریت:
    • محدود کردن دسترسی به پنل مدیریت وردپرس از طریق IPهای خاص.
    • این کار را می‌توانید با تغییرات در فایل .htaccess یا استفاده از افزونه‌های امنیتی مانند iThemes Security انجام دهید.

5. بررسی وضعیت SSL/TLS

اگر سایت شما از گواهی SSL استفاده نمی‌کند، اطلاعات کاربران شما در خطر است. برای جلوگیری از حملات man-in-the-middle، باید از پروتکل HTTPS استفاده کنید.

چطور این کار را انجام دهیم؟

  1. مطمئن شوید که گواهی SSL نصب شده است.
  2. آدرس سایت خود را از HTTP به HTTPS تغییر دهید.
  3. با استفاده از افزونه‌هایی مانند Really Simple SSL، تمامی درخواست‌ها را به HTTPS ریدایرکت کنید.

6. نظارت مستمر بر فعالیت‌های سایت

برای حفظ امنیت سایت در بلندمدت، باید به‌طور مستمر فعالیت‌های سایت را نظارت کنید.

چطور این کار را انجام دهیم؟

  1. استفاده از افزونه‌های نظارت امنیتی مانند Wordfence یا iThemes Security که به شما امکان می‌دهند فعالیت‌های مشکوک و حملات احتمالی را شناسایی کنید.
  2. تنظیم اعلان‌های ایمیل برای دریافت هشدارها در صورت وقوع حملات یا تلاش‌های ناموفق برای ورود.

7. بررسی وضعیت پشتیبان‌گیری (Backup)

داشتن پشتیبان‌گیری منظم از سایت، در صورتی که سایت هک شود یا آسیب ببیند، می‌تواند بسیار مفید باشد.

چطور این کار را انجام دهیم؟

  1. مطمئن شوید که پشتیبان‌گیری منظم از سایت وردپرس خود دارید.
  2. از افزونه‌هایی مانند UpdraftPlus یا BackupBuddy برای انجام پشتیبان‌گیری خودکار استفاده کنید.
  3. بررسی کنید که پشتیبان‌گیری‌ها به درستی ذخیره و قابل بازیابی باشند.

این اقدامات می‌توانند به کاهش احتمال هک شدن سایت شما کمک کنند، اما باید همواره به‌روزرسانی‌ها را انجام داده و اقدامات امنیتی جدید را در نظر بگیرید.جلوگیری از هک شدن سایت وردپرسی