همهی سایتها، حتی سایتهایی که از صفر نوشته میشوند، درمعرض خطر هستند. واقعیت دنیای نت این است که تمام سایتها، حتی اگر تمامی استانداردهای امنیتی را رعایت کرده باشند، بازهم ممکن است هک شوند یا اطلاعاتشان سرقت شود. نکتهی مهم این است که امنیت سایتها باید پیوسته چک شود. موضوع این محتوا معرفی مهمترین و کاربردیترین نکات برای تامین امنیت سایتهای وردپرسی است.
1. هاست مطمئن و امن
اولین قدم در تامین امنیت سایت وردپرسی این است که از شرکتی معتبر و مطمئن هاست تهیه کنید. تامینکنندگان مطمئن هاست خودشان استانداردهای امنیتی بالا و ابزارهای مختلفی برای حفاظت از سرورهایشان دارند. بههمیندلیل، سایت شما تاحد بسیار زیادی ایمن میشود، مخصوصا دربرابر حملههای (DDoS).مزیت دیگر این است که این شرکتها پیوسته سیستم و شبکهی خود را بهروز نگه میدارند.
2. تهیهی نسخهی پشتیبان (Back up) از سایت
باید در فواصل زمانی مشخص از تمامی دادهها و کدهای سایت نسخهی پشتیبان تهیه شود. دقت کنید که این نسخه باید درجای امنی نگهداری شود. اگر اتفاقی بیفتد یا حملهای هکری به سایت شود، با کمک همین نسخه میشود سایت را دوباره بازسازی کرد. سایتهای وردپرسی افزونههای مختلفی دارند که خودشان بهصورت خودکار از سایت و تمامی مطالب و دادههای جدید بکآپ میگیرند. بههمیندلیل، علاوهبر پلاگینهای امنیتی، باید افزونههایی که نسخهی پشتیبان تهیه میکنند هم بر روی سایت وردپرسی نصب شود.
3. آپدیت منظم سیستم، افزونهها و قالبهای وردپرس
ويژگي كارامد سیستمهای مدیریت محتوا ، مخصوصا وردپرس این است که خود سیستم به مدیر سایت اخطار میدهد که سیستم، افزونهها یا قالب وردپرس نیاز به آپدیت دارد. بهتر است افزونهها و قالبهای رایگان را نصب نکنید. باید افزونهها و پلاگینها را از سایت وردپرس یا دیگر سایتهای مطمئن بگیرید.
4. محدودکردن دسترسیها و تغییر منظم رمز عبور
تاجایی که ممکن است باید ورود (Login) به پیشخوان وردپرس و ناحیهی مدیریتی آن را محدود کرد. سایتهای وردپرسی که به چندین نفر (User) اجازهی دسترسی و اعمال تغییرات و بارگذاری محتوا و فایل را میدهند، باید بر فعالیت آنها نظارت داشته باشند. رمزعبور ادمین و کاربران باید قوی باشد و منظم تغییر داده شود. وردپرس این امکان را فراهم کرده تا نام ادمین سایت را تغییر دهید. بنابراین از نام ادمین استفاده نکنید. چیز دیگری که بهتر است تغییر داده شود LoginURL است. آدرس ورود به ناحیهی مدیریتی وردپرس یکی از این دو آدرس است : YOURSITE.com/wp-login.php یا YOURSITE.com/ wp-admin. هکرها هم بهخوبی این دو آدرس را میشناسند و از آن برای ورود به سایت شما سوءاستفاده میکنند. بعضی افزونههای امنیتی وردپرس هم به شما امکان تغییر این آدرس را میدهند.
۵. محافظت از wp-config.php و غیرفعالکردن File Editing
از مهمترین و در عین حال حساسترین و آسیبپذیرترین فایلها در سایت وردپرسی فايل wp-config.php است. این فایل هستهی سایت وردپرسی شماست و اگر اتفاقی برای آن بیفتد، فعالیت سایت شما با اخلال مواجه میشود. از سادهترین راهها برای محافظت از این فایل مخفیکردن (Hide) آن است. یعنی میتوانید این فایل را در پوشهای بهغیر از public_html ذخیره کنید. علاوه بر این، وردپرس بهصورت پیشفرض اجازهی ادیتکردن کدهای افزونهها و قالبها را در ناحیهی مدیریتی میدهد. یعنی هر کاربری که میتواند وارد این ناحیه شود، میتواند تغییراتی در سایت ایجاد کند. برای غیرفعالکردن این ویژگی باید کد زیر را به فایل wp-config.php اضافه کنید:
// Disallow file edit
define (‘DISALLOW_FILE_EDIT’,true );
موضوعات كلي سايت