نکات امنیتی هنگام نصب وردپرس

در این مدت مقالات زیادی در زمینه افزایش امنیت وردپرس در سایت منتشر کردیم که با استقبال کاربران روبرو شد و چند مقاله هم در مورد بررسی امنیت گذاشتیم حال میخواهیم نکات امنیتی هنگام نصب وردپرس را مورد بررسی قرار دهیم. یعنی وقتی اقدام به نصب وردپرس می کنیم باید چه نکات امنیتی را رعایت کنیم که وردپرس امن تر شود و کمتر مورد حملات امنیتی قرار گیرد. سعی می کنم در این مقاله فقط نکات عملی و اجرای را مورد بررسی قرار دهیم تا شما به راحتی بتوانید آنها را در هنگام نصب وردپرس رعایت کنید.

نکته: بهتون قول میدم اگر این چند نکتی رو که با عنوان نکات امنیتی هنگام نصب وردپرس، الان در اختیارتون قرار میدم اجرایی کنید امنیت سایتتون به میزان قابل توجهی افزایش پیدا می کند و نیاز نیست دیگر سایت را به یک کارشناس امنیتی بسپارید و هزینه خاصی را متحمل شوید. 

نکات امنیتی هنگام نصب وردپرس

در بخش زیر نکات امنیتی هنگام نصب وردپرس را به صورت لیست آماده کردیم که ابتدا یک دید کلی نسبت بهشون داشته باشیم و بعد هر کدام را به صورت جدا توضیح میدهیم و میگم چطور باید آن را اجرا کنید. ۱۷ مورد که باید هنگام نصب وردپرس به آنها توجه ویژه شود تا بتوانید وردپرس را امن تر کنید. 

• انتخاب هاست مناسب
• از آخرین نسخه وردپرس استفاده کنید
• یوزر Admin نسازید
• تغییر پیشوند جداول دیتابیس
• ساخت پسورد قوی
• تغییر نمایش عمومی نام
• تغییر نام کاربری در جعبه نویسنده
• گذاشتن پسورد روی فولدر ادمین
• تغییر جایگاه و دسترسی فایل wp-config.php
• کاهش سطح دسترسی فایل .htaccess
• تعریف salt در کانفیگ وردپرس
• حذف فایل های wp-config-sample.php و installer.php
• قالب و افزونه اضافی نصب نکنید
• غیر فعال کردن HTML در نظرات
• پلاگین های اجرای PHP را نصب نکنید
• افزونه ها و قالب وردپرس را به روز نگه دارید
• قالب و افزونه نال نصب نکنید

۱- انتخاب هاست مناسب

قبل از اینکه در مورد نکات امنیتی هنگام نصب وردپرس صحبت کنیم باید به فکر این باشیم که یک هاست خوب و با کیفیت انتخاب کنیم. معمولا خیلی از سرویس دهندهای جدید کیفیت بسیار بدی از لحاظ امنیتی دارند یعنی سرور اصلی هیچ گونه کانفیگ امنیتی روش صورت نگرفته و هیچ نرم افزار امنیتی روی سرور اصلی نصب نشده است. پس قبل از نصب وردپرس و شروع به کار دنبال یک سرویس دهنده خوب بگردید. در سایت در مورد آموزش خرید هاست مقاله ای منتشر کرده ایم که پیشنهاد میکنم یک دیدی بهش بندازید. در این مقاله نکات خوبی در زمینه خرید و تهیه هاست ارائه کرده ایم.

۲- از آخرین نسخه وردپرس استفاده کنید

نکته بعدی که باید بهش توجه شوید استفاده از آخرین نسخه وردپرس می باشد. بارها دیده ام خیلی از دوستان از نسخه های خیلی قدیمی برای نصب وردپرس استفاده می کنند و همین امر باعث ایجاد باگ و مشکلات در سایت می شود. پس حتما حتما، آخرین نسخه وردپرس را از صفحه دانلود وردپرس تهیه کنید و نصب نمایید.

۳- یوزر Admin نسازید

یکی از نکات امنیتی هنگام نصب وردپرس که به شدت باید رعایت شود نساختن یوزر Admin می باشد شاید از ۱۰۰ وردپرسی که توسط دوستان نصب می شود بیش از ۷۰ ۸۰ موردش استفاده از یوزر Admin به عنوان شناسه کاربری می باشد. حتی اگر از قالب های آماده استفاده می کنید و یوزر ادمین را دارید حتما این یوزر را حذف کنید. وقتی هکر یوزر شما را بداند کارش به شدت راحتر می شود و خیلی راحتر می تواند وارد سایت شما شود.

۴- تغییر پیشوند جداول دیتابیس

حتما دیده اید وقتی اقدام به نصب وردپرس می کنید از شما می پرسد می خواهید پیشوند جداول وردپرس چی باشد و به صورت پیش فرض wp_ است. یکی از مهمترین نکات امنیتی هنگام نصب وردپرس تغییر همین پیشوندهای جداول می باشد. سعی کنید یه چیز دیگر را برای پیشوند جداول انتخاب کنید مثلا W30m69Pd2_ را به عنوان پیشوند جداول انتخاب کنید با این روش امنیت جداول وردپرس به میزان قابل توجهی افزایش پیدا می کند چون دیگر کسی نمی داند پیشوند جداول شما چی هست.
اگر نصب وردپرس به اتمام رسید و شما این پیشوند جداول را تغییر ندادید بازم جای نگرانی نیست چون می توانید این تغییرات رو دوباره انجام دهید اما مقدار سخت و پیچیده است که در یک مطلب جدا در مورد این موضوع حتما مقاله ای منتشر می کنیم.

۵- ساخت پسورد قوی

یکی از کارهای اشتباه هنگام نصب وردپرس استفاده از پسوردهای ضعیف و قابل حدس زدم می باشد. معمولا دیده ام که طرف پسورهایی مثل پسوردهای زیر میزند:

• ۱۲۳۴۵۶۷۸۹
• ۱۲۳۴۵۶
• Admin123
• abcdefg
• و…

این مدل پسورد استفاده کردن بدترین کار اشتباه است. سعی کنید از پسوردهای قوی و پیچیده استفاده کنید که شامل اعداد، حروف بزرگ و کوچیک، علامت هایی مثل ستاره، توان، بی نهایت و … باشد. اگر نمیدونید چطور پسورد بسازید جای نگرانی نیست در بخش زیر چند سایت برای تولید پسوردهای قوی معرفی می کنیم تا بتوانید پسوردهای پیچیده و قوی بسازید که به همین راحتی قابلیت حدس زدن و هک کردن را نداشته باشند.

• https://passwordsgenerator.net
• https://www.lastpass.com/password-generator
• https://www.roboform.com/password-generator
• https://1password.com/password-generator

۶- تغییر نمایش عمومی نام

در وردپرس به صورت پیشفرض نام کاربری شما (که مدیر هستید) را در نوشته هایتان به نمایش گذاشته می شود که این موضوع اصلا خوب نیست. شاید بپرسید چرا؟ چون اگر شما کاربری با نام Admin نداشته باشید بازم افراد می توانند به سادگی با نگاه به نویسنده ی مطلب ها متوجه شوند نام کاربری چی هستش و این باعث کاهش امنیت می شود. کافیه روی ویرایش شناسمه ی من کلیک کنید (بالا، سمت چپ) تا وارد بخش شناسنامه شوید. در این بخش نام،نام خانوادگی و لقب را وارد کنید و از بخش نمایش عمومی نام، اسم و فامیل یا لقب خود را بزنید تا دیگه نام کاربری شما نمایش داده نشود.

توجه: با ایستادن روی نامتان در نوار بالایی مدیریت وردپرس، میتوانید به شناسنامه تان دسترسی داشته باشید.

۷- تغییر نام کاربری در جعبه نویسنده

اگر مرحله قبلی را انجام دادید بازم کافی نیست چون قالب هایی که بخش اسم نویسنده یا جعبه نویسنده دارند اسم نویسنده به یوزر لینک شده است و همین مسئله باعث می شود که بازم مشخص شود یوزر چی هستش. شما در این زمینه دو انتخاب دارید، اول اینکه با دست کاری قالبتان به طور کامل لینک نویسنده را حذف کنید. در سایت هایی که دارای یک نویسنده هستند این مسئله چندان هم مهم نیست اما اگر بیش از یک نویسنده داشته باشید، این مسئله کارایی سایتتان را از بین خواهد برد. بنابراین برای حل این مشکل به شیوه ی زیر عمل کنید:

• ابتدا افزونه ی Edit Author Slug را نصب کنید.
• در گام بعدی به شناسنامه تان در وردپرس مراجعه کنید و در بخش Edit Author Slug لینک جدیدی به یوزرتان اختصاص دهید.

به این شکل دیگر نام کاربری واقعی شما در لینک نویسنده به نمایش در نخواهد آمد و کسی به این سادگی ها قادر نخواهد بود نام کاربری واقعی شما را پیدا کند.

۸- گذاشتن پسورد روی فولدر ادمین

حتما توجه کرده اید که برای ورود به وردپرس باید آدرس site.com/wp-admin رو زد تا صفحه لاگین سایت رو دید. حالا همه می توانند از این صفحه در جهت هک سایت استفاده کنند شما می توانید روی پوشه wp-admin پسورد بذارید تا کسی دیگر نتواند به راحتی این صفحه را ببیند یا به اصطلاح دو لایه امنیتی برای صفحه لاگین سایت در نظر گرفتیم که خیلی خیلی خوب می شود و میزان امنیتی سایت را افزایش میدهد. بنابراین یکی از ساده ترین کارهایی که هرگز نباید فراموش کنید این است که روی فولدر ادمینتان پسورد بگذارید.

۹- تغییر جایگاه و دسترسی فایل wp-config.php

یکی از فایل ها مهم در زمینه امنیت فایل wp-config.php می باشد. اگر نصب وردپرس را تمام کردید حتما بیشتر به فکر این فایل باشید. بهتر است هر چه سریع تر به سراغش بروید و آن را به یک فولدر بالا تر از public_html سایتتان انتقال دهید. حتی الامکان دسترسی اش را هم روی ۴۴۴ بگذارید که خیالتان حسابی راحت باشد.
کافی است فایل کانفیگ به یک فولدر بالاتر از public_html سایتتان انتقال پیدا کند و پس از آن بقیه ی کارها بر عهده ی خود وردپرس است که جای این فایل را پیدا کند.

۱۰- کاهش سطح دسترسی فایل .htaccess

یکی دیگر از فایل ها مهم فایل .htaccess می باشد. اگر به دنبال ضد گلوله به معنای واقعی میگردید که خوب باید دسترسی این فایل را هم روی ۴۴۴ بگذارید که نوشتن روی آن به این سادگی ها امکان پذیر نباشد اما در نظر بگیرید که این کار ممکن است در کارکرد بعضی پلاگین های امنیتی و یا پلاگین سئو که در وردپرستان نصب کرده اید تداخل ایجاد کند. تصمیم با خودتان است.

۱۱- تعریف salt در کانفیگ وردپرس

در بخش بعدی از نکات امنیتی هنگام نصب وردپرس به تعریف salt در کانفیگ وردپرس رسیدیم. تعریف salt در کانفیگ وردپرس به شما کمک می کند که سایت خود را در برابر حملات هکر ها چندین برابر امن تر کنید. salt ای که شما تعریف میکنید در رمز گذاری کلیه ی ارتباطات، ذخیره ی فایل ها و کوکی های ذخیره شده روی سیستم های کاربران به کار خواهد رفت و همه چیز را امن تر خواهد نمود. در عین حال گاهی هم وردپرس salt ای که شما تعریف کرده اید را با یک استرینگ طولانی دیگر در هم می آمیزد و با ترکیب این دو، به بهترین شکل اطلاعات محرمانه ی شما را رمزگذاری می کند تا دسترسی به آنها به این سادگی ها ممکن نشود.

حالا این salt را کجا تعریف کنیم؟

• به فایل کانفیگ وردپرستان مراجعه کنید (wp-config.php)
• در این فایل به دنبال کد های زیر بگردید:

• روی این لینک کلیک کنید و محتوای ایجاد شده را کپی نمایید.
• کدی که کپی کرده اید را در فایل کانفیگ وردپرس جایگزین کد های قبلی کنید و تنظیمات را ذخیره نمایید.

۱۲- حذف فایل های wp-config-sample.php و installer.php

هنگام نصب وردپرس به این موضوع توجه کنید که نصب تمام شد فایل wp-config-sample.php از داخل پوشه روت و فایل installer.php از داخل پوشه wp-admin را حتما حذف کنید. این فایل ها به هکرها کمک می کند که به سایت شما نفوذ کنند و سایتتون رو دچار مشکل نمایند.

۱۳- قالب و افزونه اضافی نصب نکنید

یکی دیگر از نکات امنیتی هنگام نصب وردپرس، نصب نکردن قالب و افزونه های اضافی می باشد. به هیچ عنوان قالب و افزونه های اضافه ی که به دردتون نمیخورد را نصب نکنید هم وردپرس سنگین می شود هم احتمال نفوذ از طریقه آنها زیاد است.

۱۴- غیر فعال کردن HTML در نظرات

یکی از روش ها برای نفوذ به سایت استفاده از بخش HTML در نظرات است. به هیچ عنوان به کاربرانتان اجازه ارسال HTML در نظرات را ندهید من دلیل این کار رو نمیدونم و یکی از بخش های مهم برای نفوذ به سایت می باشد.
به طور پیشفرض اگر یک کاربر از تگ های HTML در نظرش استفاده کند، قالب شما آن بخش از نظر را که دارای کد HTML هست با همین زبان تفسیر کرده و نتیجه ی آن را به نمایش میگذارید اما اگر شما از قبل استفاده از HTML را در نظرات ممنوع کرده باشید، هر گاه کاربر یکی از تگ های این زبان را در نظرش به کار ببرد، نتیجه به جای اینکه تفسیر شود، به عنوان تکست ساده به نمایش در خواهد آمد.

۱۵- پلاگین های اجرای PHP را نصب نکنید

به صورت پیش فرض، کدهای php در نوشته ها و برگه های وردپرس اجرا نخواهند شد و به نمایش در خواهند آمد. اگر بخواهید این کدها را به اجرا درآورید باید از افزونه های اجرای کدهای PHP استفاده کنید. به خودتان لطف کنید و اگر این پلاگین ها را واقعا نیاز ندارید آنها را هرگز نصب نکنید. خوب حتما میپرسید چرا؟ به دو دلیل نباید استفاده کنید:

• اول اینکه ذخیره ی کد PHP در پایگاه داده اصلا جالب نیست. وقتی شما کد PHP را در یک پلاگین مخصوص اجرای PHP در وردپرس ذخیره میکنید، وقتی که قرار است این کد اجرا شود، ابتدا باید یک بار از دیتابیس خوانده شود و بعد به عنوان داده های زبان PHP تفسیر شود.
• دوم اینکه اجازه بدهید بنده پسورد وبسایت شما را پیدا کنم تا با همین پلاگین دوست داشتنی، وبسایت دوست داشتنی تر شما را تبدیل به یک بد افزار کنم. بعد هم از بلاک شدن سایتتان توسط گوگل و … لذت ببرید. پس در این زمینه دقت به خرج دهید.

۱۶- افزونه ها و قالب وردپرس را به روز نگه دارید

یکی دیگر از نکات امنیتی هنگام نصب وردپرس، به روز نگه داشتن قالب و افزونه ها است. همین که نصب وردپرس تموم شد و خواستید افزونه یا قالبی نصب کنید سعی کنید آخرین نسخه آن را نصب کنید تا بعدا دچار مشکل نشوید.

۱۷- قالب و افزونه نال نصب نکنید

آخرین گزینه مربوط به استفاده نکردن از قالب و افزونه نال می باشد. اگر در قالب و افزونه نال چیزی نمیدونید پیشنهاد میکنم مقاله قالب نال شده وردپرس و مشکلات استفاده از آن را حتما مطالعه کنید.