استفاده از رمز عبور قوی و نام کاربری غیرقابل حدس
این اولین و سادهترین خط دفاعی شماست.
- رمز عبور قوی: از رمزهای عبور طولانی (حداقل ۱۲ کاراکتر) شامل ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها (!@ $%^&*) استفاده کنید. هرگز از رمزهای قابل حدس مانند 123456 یا password استفاده نکنید.
- نام کاربری “admin” را تغییر دهید: بسیاری از حملات brute-force (آزمون و خطا برای پیدا کردن رمز) روی نام کاربری پیشفرض admin متمرکز هستند. اگر هنوز از این نام کاربری استفاده میکنید، فوراً یک کاربر جدید با نقش مدیر کل (Administrator) و یک نام کاربری منحصر به فرد بسازید. سپس وارد حساب جدید خود شده و کاربر admin را حذف کنید.
بهروزرسانی منظم همهچیز
این مهمترین اقدام پیشگیرانه است. بسیاری از هکها از طریق آسیبپذیریهای شناختهشده در نرمافزارهای قدیمی اتفاق میافتند.
- هسته وردپرس: همیشه وردپرس خود را به آخرین نسخه بهروز نگه دارید.
- افزونهها (Plugins): افزونههای خود را به محض انتشار نسخه جدید، آپدیت کنید.
- قالبها (Themes): قالب سایت خود (و هر قالب غیرفعال دیگری) را همیشه بهروز نگه دارید.
وردپرس در پیشخوان خود به شما در مورد آپدیتهای موجود اطلاع میدهد. این هشدارها را نادیده نگیرید.
نصب یک افزونه امنیتی معتبر
یک افزونه امنیتی خوب، مانند یک نگهبان ۲۴ ساعته برای سایت شما عمل میکند و بسیاری از فرآیندهای امنیتی را خودکار میسازد.
- افزونه پیشنهادی: Wordfence Security یا iThemes Security
- قابلیتهای کلیدی:
- فایروال (Web Application Firewall): از ورود ترافیک مخرب به سایت شما جلوگیری میکند.
- اسکنر بدافزار (Malware Scanner): فایلهای سایت شما را برای پیدا کردن کدهای مخرب اسکن میکند.
- محافظت از صفحه ورود: تلاشهای ناموفق برای ورود را محدود کرده و IPهای مشکوک را مسدود میکند.
فعالسازی احراز هویت دو مرحلهای (2FA)
احراز هویت دو مرحلهای یک لایه امنیتی بسیار قدرتمند به صفحه ورود شما اضافه میکند. با فعال کردن آن، علاوه بر رمز عبور، به یک کد یکبار مصرف (که معمولاً به گوشی شما ارسال میشود) نیز برای ورود نیاز خواهید داشت.
- چگونه؟ اکثر افزونههای امنیتی مانند Wordfence این قابلیت را در خود دارند. همچنین میتوانید از افزونههای اختصاصی مانند Google Authenticator برای این کار استفاده کنید.
تهیه نسخه پشتیبان به صورت منظم
بکاپ یک اقدام پیشگیرانه نیست، بلکه بهترین راه برای بازیابی سایت در صورت بروز بدترین اتفاقات است.
- افزونه پیشنهادی: UpdraftPlus
- روش کار: این افزونه را طوری تنظیم کنید که به صورت خودکار و منظم (مثلاً روزانه) از تمام فایلها و پایگاه داده سایت شما نسخه پشتیبان تهیه کرده و آن را در یک فضای ذخیرهسازی ابری امن مانند Google Drive یا Dropbox ذخیره کند.
محدود کردن تلاش برای ورود (Limit Login Attempts)
این قابلیت از سایت شما در برابر حملات Brute-Force محافظت میکند. در این نوع حملات، رباتها با امتحان کردن هزاران ترکیب نام کاربری و رمز عبور، سعی در ورود به سایت شما دارند.
- چگونه؟ این ویژگی به صورت پیشفرض در اکثر افزونههای امنیتی (مانند Wordfence و iThemes Security) گنجانده شده است. این افزونهها پس از چند تلاش ناموفق، IP مهاجم را برای مدتی مسدود میکنند.
انتخاب هاستینگ باکیفیت و امن
امنیت وبسایت شما از سرور میزبان آن شروع میشود. یک شرکت هاستینگ معتبر، لایههای امنیتی خاص خود را در سطح سرور پیادهسازی میکند.
- ویژگیهای یک هاست خوب:
- فایروالهای پیشرفته در سطح سرور.
- اسکن بدافزار منظم.
- ارائه گواهی SSL رایگان.
- پشتیبانی از آخرین نسخههای PHP و MySQL.
نکته تکمیلی (کمی پیشرفتهتر): غیرفعال کردن ویرایشگر فایل
وردپرس به مدیران اجازه میدهد تا فایلهای قالب و افزونه را مستقیماً از پیشخوان وردپرس ویرایش کنند. اگر یک هکر به حساب مدیر دسترسی پیدا کند، میتواند از این طریق کدهای مخرب را به سایت شما تزریق کند.
- راهحل: فایل wp-config.php را در ریشه هاست خود باز کرده و این قطعه کد را به انتهای آن (قبل از خط /* That’s all, stop editing! */) اضافه کنید:
PHP
define(‘DISALLOW_FILE_EDIT’, true);
این کار ویرایشگرهای فایل را از پیشخوان وردپرس حذف میکند.
نتیجهگیری
امنیت یک فرآیند مداوم است، نه یک اقدام یکباره. با تبدیل این ۷ مورد به عادات منظم خود، میتوانید با خیال راحت روی رشد و تولید محتوای وبسایت خود تمرکز کنید.