امنیت وردپرس

امنیت وردپرس: آموزش افزایش امنیت وردپرس در چهار مرحله

امنیت وردپرس در چهار مرحله ساده

وردپرس به محبوب ترین سیستم مدیریت محتوای طراحی سایت جهان تبدیل شده. و همین محبوبیت باعث می شود که بیشتر به فکر افزایش و ارتقا امنیت آن باشید. بیشتر طراحان سایت سایت های خود را توسط وردپرس طراحی می کنند و از سیستم های امنیتی پیش‌فرض وردپرس استفاده می کنند، هرچند وردپرس به اندازه ی کافی امن است ولی اگر تمرکزی روی اصلاح سیستم امنیتی وردپرس و تنظیم دسترسی به فایل ها و مسیرهای مهم سایت نداشته باشید، همچنان خطر سایت شما را تهدید می کند. برای انجام این اصلاحات نیاز به تغییر، دستکاری و تنظیم اضافی بر روی وردپرس نیست، بلکه شما باید نحوه اجرای وردپرس بر روی سرور و اینکه کاربران به چه فایل هایی دسترسی داشته باشند و به چه فایل هایی دسترسی نداشته باشند را مشخص و تنظیم نمایید.

برای داشتن سایت وردپرس امن با آموزش امنیت وردپرس همراه ما باشید.

گام نخست: محدود کردن دسترسی به پوشه wp-includes

سایت های وردپرسی شامل یک سری از فایل ها و پوشه ها هستند و هر کدام آدرس دسترسی مختص به خود دارند. یعنی اینکه اگر شخصی آدرس یکی از فایل های سیستمی وردپرس رو به صورت صحیح وارد کنه، میتونه به صورت مستقیم به اون فایل که روی سایت شما در حال اجرا هستش دسترسی داشته باشه و امنیت وردپرس رو به خطر بیاندازه. یکی از این مسیرهای مهم و پر کاربرد برای این نوع از نفوذ پوشه wp-includes هستش. بنابراین در گام نخست با مقداری دستکاری و کدنویسی در تنظیمات سرور دسترسی به این نوع نفوذ رو مسدود می کنیم. وقتی کار ما در این گام به پایان رسید، اگر شخصی بخواد به این پوشه ها و فایل ها دسترسی پیدا کنه، سیستم از این اتفاق جلوگیری خواهد کرد.

هشدار: قبل از انجام هرگونه تغییرات از سایت خودتون بک آپ کامل تهیه کنید که اگر جایی اشتباهی مرتکب شدید بتونید سایت رو به حالت قبل برگردونید.

شروع تغییرات امنیت وردپرس:

برای شروع فایل .htaccess رو از پوشه اصلی که وردپرس در اون نصب شده رو باز کنید. این فایل رو میتونید با تمام نرم افزارهای واژه نگار یا ویراستار متن باز کنید و مهم نیست این کار رو با کدوم یکی از اونها انجام میدید، چون کاری که میخوایم انجام بدیم اینه که مقداری کد به محتوایت فایل اضافه کنیم. بعد از اینکه فایل رو باز کردید خواهید دید که این فایل خالی نیست و از قبل توسط وردپرس مقداری کد داخل htaccess نوشته شده که با #Begin WordPress شروع میشه. بالای این قسمت جایی هستش که ما میخوایم کد رو بهش اضافه کنیم تا سیستم دفاعی سایت اجازه دسترسی به wp-includes رو محدود کنه.

# محدود کردن دسترسی به پوشه wp-includes

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ – [F,L]

RewriteRule !^wp-includes/ – [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]

RewriteRule ^wp-includes/theme-compat/ – [F,L]

</IfModule>

بعد از اعمال و ذخیره تغییرات فایل .htaceess به روز رسانی شده رو دوباره آپلود کنید و تمام. با اینکه تغییرات اندک و جزیی بودند ولی تاثیر بسیار زیادی در امنیت و تقویت سیستم دفاعی سایت وردپرسی شما خواهد داشت. و این امر به خاطر این خواهد بود که بیساری از توابع پیچیده وردپرس در پوشه wp-includes قرار دارند که اونها هدف اصلی حملات هکر ها هستند. با این تغییرات وقتی کاربری بخواد مستقیم به یکی از فایل های داخل این پوشه دسترسی داشته باشه، به صورت خودکار به صفحه اصلی سایت هدایت خواهد شد.

گام دوم: محافظت از فایل wp-config.php

گام بعدی برای استحکام بخشی و بالابردن امنیت وردپرس محدود کردن دسترسی به فایل wp-config.php هستش. وقتی شما برای نخستین بار سایت وردپرس راه اندازی می کنید، شما باید پایگاه داده، نام کاربری، گذرواژه، و پیشوند جداول پایگاه داده رو تعیین کنید که همه اینها در wp-config.php ذخیره خواهند شد. دلیل اینکه چرا باید از این فایل محافظت ویژه کنید همین هست. این فایل نحوه اتصال سایت به پایگاه داده و همچنین کنترل بخش های سایت رو بر عهده داره.

برای محافظت از wp-config.php شما باید چند کار کوچک انجام بدید. نخست اینکه دوباره باید فایل .htaccess و ویرایش کنید. و دوم تکه کد زیر رو همانند مرحله نخست در بالای فایل htaccess کپی کنید.

# محدود کردن دسترسی به فایل wp-cnfig.php

<files wp-config.php>

order allow,deny

deny from all

</files>

بعد از اعمال و ذخیره تغییرات فایل .htaceess به روز رسانی شده رو دوباره آپلود کنید و تمام. امنیت کامل برای فایل wp-config.php برقرار شد.

گام سوم: محافظت از فایل .htaccess

 

همانطور که در گام های ۱ و ۲ متوجه اهمیت فراوان فایل .htaccess شدید، این فایل نقش اساسی در ایجاد و تقویت سیستم دفاعی یک سایت وردپرسی در مقابله با تهدیدات مخرب خارجی داره. پس دلیل اینکه چرا باید از فایل .htaccess به خوبی مراقبت بشه رو متوجه شدید، اگر نه: به دلیل جلوگیری از حذف سیستم دفاعی سایت که قبلا درون این فایل ایجاد کردیم در اثر حذف htaccess توسط هکر ها.

برای اینکار دوباره فایل htaccess رو باز کنید و کد زیر رو در بالای کدهای داخل فایل کپی کنید.

# محدود کردن دسترسی به فایل htaccess

<files ~ “^.*\.([Hh][Tt][Aa])”>

order allow,deny

deny from all

satisfy all

</files>

بعد از اعمال و ذخیره تغییرات فایل .htaceess به روز رسانی شده رو دوباره آپلود کنید و تمام. امنیت کامل فایل htaccess از تهدیدات خارجی برقرار شده.

گام چهارم: حذف دسترسی به سیستم ویرایش فایل ها در وردپرس

برای گام آخر ما باید دسترسی هکرها به یکی از مخرب ترین ابزارهایی که میتونن ازش برای تخریب سایت ما استفاده کنند رو مسدود کنیم: ویرایشگر داخل داشبورد وردپرس. ویرایشگر به شما اجازه میده تا فایل های قالب رو ویرایش کنید که قابلیت بسیار مفید در عین حال خطرناک هستش. اگر کسی به غیر از شما بتونه به ویرایشگر دسترسی پیدا کنه، میتونه سایت شما رو تخریب و یا عوض کنه.

در این گام به شما نحوه برداشتن این قابلیت از داشبورد وردپرس رو به شما آموزش خواهم داد. و برای ویرایش فایل ها به شما توصیه می کنم که فقط و حتما از ftp استفاده کنید.

برای انجام این کار نخست فایل wp-config.php رو باز کنید. بعد از اینکه فایل باز شد، کد زیر رو به انتهای کدهای موجود و قبل از “That’s all, stop editing! Happy blogging.” اضافه کنید.

define(‘DISALLOW_FILE_EDIT’, true);

بعد از اعمال و ذخیره تغییرات فایل wp-config.php به روز رسانی شده رو دوباره آپلود کنید و تمام. حالا سایت وردپرسی شما در مقابل دستکاری شدن کدها توسط هکر ها با استفاده از ویرایشگر فایل ایمن شده.

تنظیمات امنیتی پیشنهادی نهایی:

شما با کم کردن اجازه دسترسی فایل ها از طریق کنترل پنل هاست یا اف تی پی میتونید این فایل ها رو باز هم امن تر کنید. به فایل های htaccess و wp-config.php دسترسی ۴۴۴ بدید تا خیالتون بابت دسترسی مستقیم و ویرایش به این فایل ها ۱۰۰% راحت باشه.

تبریک! امنیت سایت وردپرس شما برقرار شد

اگر مراحل بالا رو اعمال کردید بدونید که سایت شما بسیار امن تر از گذشته شده. همیشه به یاد داشته باشید که هکر ها همیشه با دسترسی به فایل های سایت شما به سایت شما آسیب می زنند و هرچقدر دسترسی به فایل های سایت شما کمتر باشه، سایت شما به همون اندازه امن تر خواهد بود.

آیا نکته ای بوده که درباره برقرار کردن امنیت وردپرس فراموش شده؟

خوشحال میشیم اگر اونها رو با ما در قسمت دیدگاه ها در میون بگذارید.

حامد دلدار
CEO@PersianWeb.Co

از سال 1385 به صورت غیر تخصصی و بیشتر تفریحی طراحی وب رو شروع کردم، در این 10 سال چیز های زیادی یاد گرفتم و خیلی تغییر شغل، مسیر و استراتژی دادم تا الان که به عنوان طراح سایت و با نام طراحی سایت پرشین وب در خدمت شما عزیزان هستم.

۶ دیدگاه ها
  • Unknown
    ارسال شده در ۱۵:۰۶h, ۰۸ مرداد پاسخ

    سلام وقتی تیکه کد اول رو وارد میکنم سایتم ارور Internal Server Error میشه کمک کنید ؟ نمی دونم چی رو دارم اشتباه انجام میدم

    • پرشین وب
      ارسال شده در ۱۶:۱۶h, ۰۸ مرداد پاسخ

      کد رو در ابتدای htaccess قرار بدید، کد باید قبل از # BEGIN WordPress درج بشه.

  • بهترین معلم زیست شناسی کنکور
    ارسال شده در ۱۳:۲۸h, ۰۹ مرداد پاسخ

    اقا لینک مطلبو من پیدا نکردم.میشه راهنماییم کنید؟

  • Unknown
    ارسال شده در ۱۶:۱۱h, ۰۹ مرداد پاسخ

    همین کار رو انجام میدم ولی باز هم با ارور Internal Server Error رو به رو میشم !

    • پرشین وب
      ارسال شده در ۱۷:۳۷h, ۰۹ مرداد پاسخ

      لطفا فایل htaccess رو برای ما ارسال کنید تا فایل رو برای شما تست و بررسی کنیم.
      تلگرام: @Persianweb

  • دانلود فیلم
    ارسال شده در ۱۸:۴۱h, ۱۳ آذر پاسخ

    خسته نباشید ممنون به خاطر این
    وبسایت فوق العاده

دیدگاه خود را بنویسید

برای طراحی سایت نیاز به مشاوره دارید؟