در این آموزش قصد داریم نکاتی درباره امنیت در وردپرس را بازگو کنیم، با ما همراه باشید.

1.
ورود از طریق ایمیل:

وقتی برای اولین بار وردپرس را نصب می‌کنید، کاربر admin بصورت پیش فرض تعیین می‌شود. برای افزایش امنیت این کاربر را پاک کرده و کاربری جدید بسازید و یا اینکه آن را از Admin به نقش administrator تغییر دهید. اگر این امکان برای شما وجود ندارد از افزونه ایمیل استفاده کنید، شما با نصب این افزونه می توانید به جای نام کاربری از ایمیل برای وارد شدن استفاده کنید.


2.
مخفی نگاه داشتن ورژن وردپرس از دید عموم:

سایت وردپرس دارای شماره ورژن است و چناچه تاریخ ورژن وردپرس شما گذشته باشد و هکر از این موضوع مطلع شود، می تواند از نقطه ضعف های موجود در ورژن شما برای حمله به سایت شما استفاده کند.

3.
اجازه ندهید کسی در مسیر وردپرس شما چیزی بنویسید:

وارد وردپرس لینوکس خود شوید و برای دیدن لیست مسیرهای باز دستور زیر را در ترمینال وارد کنید:

find . -type d -perm -o=w

همچنین برای تعیین اجازه مدیر به فایل‌های امنیتی دو دستور زیر را وارد کنید:

find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;

4.
اسم tables Prefix(پیشوند جداول) را عوض کنید:

در وردپرس بصورت پیش فرض اسم Tableهای شما wp_post یا wp_user می‌باشد. منظور از Prefix همان wp_ اول می‌باشد. شما با افزونه تغییر Prefix می‌توانید آنها را تغییر دهید.


5.
جلوگیری کاربران برای جستجو در مسیرها:

بسیار مهم است که دستور زیر را در htaccess. وردپرس واقع در مسیر Root خود اضافه کنید:

Options -Indexes

با اضافه کردن این دستور فقط مدیر می‌توانند به این فایل دسترسی داشته باشند و html و یا php از آخر آدرس وب شما حذف می‌شود.


6.
کلید های امنیتی وردپرس را به روزرسانی کنید:

از مسیر وردپرس فایل wp-config.php را باز کنید و کلید جدید را جایگزین قبلی کنید.

7.
پیام های اخطار وردپرس را بایگانی کنید:

در بعضی موارد پیام های خطا می توااند در داده های مخرب کمک بزرگی باشند. برای بایگانی پیام‌های خطا فایل wp-config.php را باز کرده و کد زیر را به آن اضافه کنید، توجه داشته باشید که مسیر پیام‌های خطا /path/to/error.log می‌باشد:

define(‘WP_DEBUG’, true);
if (WP_DEBUG) {
define(‘WP_DEBUG_DISPLAY’, false);
@ini_set(‘log_errors’, ‘On’);
@ini_set(‘display_errors’, ‘Off’);
@ini_set(‘error_log’, ‘/path/to/error.log’);
}

8.
پسورد گذاری بر روی پوشه های مدیر:

تعیین یک پسورد برای پوشه های مدیریت برای مواقعی که کاربری بخواهد بدون اجازه وارد بخشی شود ایده خوبی است، در چنین حالتی کاربر با پسورد مواجه می شود. حتی اگر شخصی پسورد را داشته باشد باید باز هم آن را وارد کند تا اجازه دسترسی داده شود.

9.
ردگیری فعالیت‌های کاربران بر روی سرور:
شما می‌توانید با استفاده از دستور last -i لیست تمام کاربران وارد شده به وردپرس خود بعلاوه IP آنها را مشاهده کنید. اگر IP مشکوکی در لیست مشاهده کردید بدانید وقت آن رسیده که پسورد خود را عوض کنید. اگر به دنبال فعالیت‌های دوره ای کاربران هستید می‌توانید از دستور زیر برای مشاهده آن استفاده کنید:

last -if /var/log/wtmp.1 | grep USERNAME | awk ‘{print $3}’ | sort | uniq -c

وردپرس خود را با افزنه تحت نظر داشته باشید.

10.
منبع WordPress.org دارای چندین افزونه امنیتی خودب می‌باشد که به شما کمک می‌کند وردپرس خود را در طی سپری شدن زمان تحت نظر داشته باشید.

10-1.
Exploit Scanner این افزونه در سریع ترین زمان ممکن وردپرس شما را اسکن می‌کند و در صورت مشاهده کد، لینک یا فایل مشکوک آن را به شما گزارش می‌دهد.


10-2
WordFence Security این یک افزونه امنیتی بسیارقوی است که پیشنهاد می‌شود حتما از آن استفاده کنید. این افزونه فایل‌های موجود در هسته وردپرس را با فایل‌های پیش فرض هسته مقایسه می‌کند و اگر تغییر کرده باشد تغییرات را به شما گزارش و در صورت نیاز مشکل را حل می‌کند.


10-3
WordPress Sentinel یکی دیگر از افزونه‌هایی امنیتی همانند WordFence Security می‌باشد اما این افزونه هسته وردپرس را تحت نظر می‌گیرد و در صورتی که فایلی به آن اضافه شود آن را برای شما گزارش می‌دهد.


10-4
WP Notifier اگر زیاد به وردپرس وارد نمی‌شوید این افزونه مخصوص شما می‌باشد. این افزونه در صورتی که به روز رسانی جدید صورت بگیرد در طی یک ایمیل خبر را به دست شما می‌رساند.


10-5
VIP Scanner افزونه اصلی این برنامه تم وردپرس شما را برای مشاهده خطا اسکن می‌کند. همچنین اگر کد تبلیغاتی به تم تزریق شده باشد آن را حذف خواهد کرد.

شما می‌توانید از دستور زیر در لینوکس برای مشاهده تغییرات سه روز قبل وردپرس استفاده کنید:

find . -type f -mtime -3 | grep -v “/Maildir/” | grep -v “/logs/”	

11.
صفحه ورودی وردپرس خود را امن کنید

11-1.
محافظت از.htaccess با پسورد،این فایل حاوی اطلاعاتی مهمی از جمله نام کاربری و رمز عبور می‌باشد که پیشنهاد می شود برای آن پسورد تعیین کنید.

11-2.
Google Authenticator این افزونه معتبر دو مرحله تایید برای ورود به وردپرس تعیین می‌کند. مرحله اول پسورد وردپرس شماست و مرحله دوم کد امنیتی است که از طریق جی میل به شما ارسال می شود.

11-3.
Login Dongle این افزونه به صفحه ورودی شما سوال امنیتی اضافه می‌کند که کاربر باید آن را قبلا تعیین کرده باشد. سوالی همانند: نام بهترین دوست شما چیست؟