نکاتی برای تامین امنیت

خدمات طراحی سایت و برنامه نویسی انواع پلتفرم ، اپلیکیشن در شمال کشور با سابقه درخشان از سال 1385 بصورت حرفه ای

نکاتی برای تامین امنیت سیستم مدیریت محتوا وردپرس

همه‌ی سایت‌ها، حتی سایت‌هایی که از صفر نوشته می‌شوند، درمعرض خطر هستند. واقعیت دنیای نت این است که تمام سایت‌ها، حتی اگر تمامی استانداردهای امنیتی را رعایت کرده باشند، بازهم ممکن است هک شوند یا اطلاعاتشان سرقت شود. نکته‌ی مهم این است که امنیت سایت‌ها باید پیوسته چک شود. 

قبل از پرداختن به آن ۵ نکته، باید گفت که بسیاری از این نکات برای تامین امنیت تمامی وب سایت‌ها کاربرد دارند و فقط مخصوص به سایت‌های وردپرسی نیستند. رعایت بسیاری از این نکات امنیتی درواقع همان ترفندهای خاص جلوگیری از هک وبسایت به‌شمار می‌آید. پس مدیران سایت‌های وردپرسی دو دسته نکات امنیتی را باید درنظر داشته باشند: نکات امنیتی مشترک و نکات امنیتی اختصاصی وردپرس.

درمیان نکات امنیتی و استانداردها نیز بعضی‌ها مهم‌تر از بعضی دیگر هستند. یعنی در رعایت این نکات اولویت‌بندی وجود دارد و نمی‌شود بعضی موارد را نادیده‌ گرفت. دلیلش هم این است که :

To some extent, a website is like the human body. If a certain part is damaged, it affects the whole system.

تاحدی، یک سایت شبیه بدن انسان است. اگر بخش‌های مشخصی آسیب ببینند، تمام سیستم متاثر می‌شود.

۵ نکته کاربردی برای تامین امنیت وردپرس  (WordPress CMS)

درمیان این ۵ نکته، به نصب‌کردن افزونه‌ی امنیتی و داشتن پروتکل HTTPS اشاره‌ای نشده است. اولا، به این دلیل که در مقاله‌‌های دیگری ( ۱۰تا از مهم‌ترین و کاربردی‌ترین افزونه‌های وردپرس [2022] ) ضروری‌ترین افزونه‌ی امنیتی وردپرس معرفی شده و درباره‌ی پروتکل نیز در محتوای ترفند‌های خاص جلوگیری از هک وبسایت که قبلا به آن لینک داده شده است به‌تفصیل بحث شده. دوما، این موارد در تمامی محتواهای مرتبط آورده شده و همه‌ی کسانی‌که با سیستم‌های مدیریت محتوا کار می‌کنند به‌خوبی با آن‌ها آشنا هستند. درادامه، ترجیح داده شد تا به‌ترتیب مهم‌ترین و کاربردی‌ترین نکات امنیتی سایت‌های وردپرسی معرفی شود:

نکاتی برای تامین امنیت

۱. هاست مطمئن و امن

اولین قدم  در تامین امنیت سایت وردپرسی این است که از شرکتی معتبر و مطمئن هاست تهیه کنید. تامین‌کنندگان مطمئن هاست خودشان استانداردهای امنیتی بالا و ابزارهای مختلفی برای حفاطت از سرورهایشان دارند. به‌همین‌دلیل، داده‌های شما و سایت شما تاحد بسیار زیادی ایمن می‌شود، مخصوصا دربرابر حمله‌های DDoS . مزیت دیگر این است که این شرکت‌ها پیوسته سیستم و شبکه‌ی خود را زیر نظر دارند و به‌روز نگه می‌دارند.

۲.  تهیه‌ی نسخه‌ی پشتیبان (Back up) از سایت

باید در فواصل زمانی مشخص از تمامی داده‌ها و کدهای سایت نسخه‌ی پشتیبان تهیه شود. دقت کنید که این نسخه باید درجای امنی نگهداری شود. اگر اتفاقی بیفتد یا حمله‌ای هکری به سایت شود، با کمک همین نسخه می‌شود سایت را دوباره بازسازی کرد. سایت‌های وردپرسی افزونه‌های مختلفی دارند که خودشان به‌صورت خودکار از سایت و تمامی مطالب و داده‌های جدید پک‌آپ می‌گیرند. به‌همین‌دلیل، علاوه‌بر پلاگین‌های امنیتی، باید افزونه‌‌هایی که نسخه‌ی پشتیبان تهیه می‌کنند هم بر روی سایت وردپرسی نصب شود.

۳. آپدیت منظم سیستم، افزونه‌ها و قالب‌های وردپرس

خوبی دیگر سیستم‌های مدیریت محتوا و مخصوصا وردپرس این است که خود سیستم به مدیر سایت اخطار می‌دهد که سیستم، افزونه‌ها یا قالب وردپرس نیاز به آپدیت دارد. به این نکته توجه داشته باشید که بهتر است نسخه‌ی وردپرس سایت خود را مخفی کنید. این بخش آسان است و مشکلی پیش نمی‌آورد. اما نکته‌‌ی مهم دیگری درباره‌ی پلاگین‌ها و قالب‌ها وجود دارد. بهتر است افزونه‌ها و قالب‌های رایگان را نصب نکنید. باید افزونه‌ها و پلاگین‌ها را از سایت وردپرس بگیرید یا دیگر سایت‌های مطمئن. تهدید امنیتی دراین‌باره برای وب فارسی و نسخه‌ی فارسی قالب‌ها جدی‌تر است. چون قالب‌ها و افزونه‌ها اغلب رایگان نیستند و هیچ‌کدام برای زبان فارسی نیستند. کسانی آن‌ها را فارسی می‌کنند و بعد برای استفاده‌ در وب فارسی عرضه می‌کنند.

۴. محدودکردن دسترسی‌ها و تغییر منظم رمزعبور

تاجایی‌که می‌شود و ممکن است باید ورود (Login) به پیشخوان وردپرس و ناحیه‌ی مدیریتی آن را محدود کرد. سایت‌های وردپرسی که به چندین نفر (User) اجازه‌ی دسترسی و اعمال تغییرات و بارگذاری محتوا و فایل را می‌‌دهند، باید بر فعالیت آن‌ها نظارت داشته باشند. رمزعبور ادمین و کاربران باید قوی باشد و منظم تغییر داده شود. وردپرس این امکان را فراهم کرده تا نام ادمین سایت را تغییر دهید. بنابراین از نام ادمین استفاده نکنید. چیز دیگری که بهتر است تغییر داده شود  Login URL است. آدرس ورود به ناحیه‌ی مدیریتی وردپرس یکی از این دو است: YOURSITE.com/wp-login.php یا YOURSITE.com/ wp-admin . هکرها هم به‌خوبی این دو آدرس را می‌شناسند و از آن برای ورود به سایت شما سوءاستفاده می‌کنند. بعضی افزونه‌های امنیتی وردپرس هم به شما امکان تغییر این آدرس را می‌دهند. 

۵. محافظت از wp-config.php و غیرفعال‌کردن File Editing 

از مهم‌ترین و درعین‌حال حساس‌ترین و آسیب‌پذیرترین فایل‌ها در سایت وردپرسی wp-config.php است. این فایل هسته‌ی سایت وردپرسی شماست و اگر اتفاقی برای آن بیفتد، فعالیت سایت شما با اخلال مواجه می‌شود. از ساده‌ترین راه‌ها برای محافظت از این فایل مخفی‌کردن (Hide) آن است. یعنی می‌توانید این فایل را در پوشه‌ای به‌غیر از public _ html ذخیره کنید. علاوه‌براین، وردپرس به‌صورت پیش‌فرض اجازه‌ی ادیت‌کردن کدهای افزونه‌ها و قالب‌ها را در ناحیه‌‌ی مدیریتی می‌دهد. یعنی هر کاربری که می‌تواند وارد این ناحیه شود، می‌تواند تغییراتی در سایت ایجاد کند. برای غیر‌فعال‌کردن این ویژگی باید کد زیر را به فایل wp-config.php اضافه کنید: