1- آپدیت بودن وردپرس و پلاگین ها به آخرین نسخه
مهمترین نکته ای که باید در این رابطه در نظر داشته باشید این است که سعی کنید همیشه از آخرین نسخه استفاده کنید. یکی از رفتار های شرکت های ارائه دهنده سیستم های مدیریت محتوا و ارائه دهندگان افزونه ها این است که بعد از ارائه آخرین نسخه اشکالات و باگ های امنیتی نسخه قبلی که در نسخه جدید برطرف شده است را اعلام می کنند. این کار باعث می شود که هکر ها از نقاط ضعف نسخه هایی که به روز نیستند آگاه شوند و خیلی آسان بتوانند به وبسایت شما نفوذ کنند. پس همیشه سعی داشته باشید CMS خود را به روز نگه دارید.
2- ایجاد Custom Key برای فایل wp-config.php
فایل wp-config.php در وردپرس حاوی تمامی تنظیمات و دسترسی های وبسایت شماست. حفاظت از این فایل تاثیر زیادی در جلوگیری از هک شدن وبسایت شما دارد. قطعه کدی مانند کد زیر در این فایل قرار دارد:
define('AUTH_KEY', 'put yourghj unique phraghjghjse here');
define('SECURE_AUTH_KEY', 'put yourghj unique phraghjghjse here');
define('LOGGED_IN_KEY', 'put your unique phrasghjghjghje here');
define('NONCE_KEY', 'put yourjghj unique phrasehgjghj here');
define('AUTH_SALT', 'put your uniquehgjgfjh phrase here');
define('SECURE_AUTH_SALT', 'put your dghjghuniqufjdje phrase here');
define('LOGGED_IN_SALT', 'put your uniqdghjghjue phrase here');
define('NONCE_SALT', 'put your unique dghjghjphrase here');
این قطعه کد که Secret Key نامیده می شود بایستی تغیر پیدا کند. با استفاده از این لینک یک Secret Key مختص وبسایت خود تولید کنید و جایگزین نمایید.
3- تغییر Table Prefix از wp_ به متن دیگر
بصورت پیش فرض وردپرس برای ایجاد جداول دیتابیس از Prefix های با نام wp_ استفاده می کند. یکی از راه های هکر ها برای هک کردن وبسایت های وردپرس استفاده از دیتابیس می باشد. با توجه به این که wp_ بصورت پیش فرض از سمت وردپرس استفاده می شود اولین موردی که از سمت هکر ها هم برسی می شود همین است. پس پیشنهاد میشود حتما اقدام به تغییر Table Prefix دیتابیس وبسایت خود شوید.
جهت تغییر Prefix وبسایت خود فایل wp-config.php را باز کرده و کد $table_prefix = 'wp_'; را پیدا کنید. سپس به جای wp از حروف دیگر استفاده نمایید.
4- قرار دادن فولدر wp-admin در Secure Folder
همانطور که می دانید برای ورود به صفحه مدیریت وردپرس از آدرس yourdomain.com/wp-admin استفاده می شود. پیشنهاد میشود این فولدر را در یک Secure Folder قرار دهید.
جهت تنظیم Secure Folder به این راهنما مراجعه نمایید.
5- نصب پلاگین WordPress Security Scan
این پلاگین یک پلاگین امنیتی خوب در زمینه بررسی وبسایت شماست. بعد از بررسی کامل پیشنهاد هایی جهت افزایش امنیت به شما ارائه می دهد.
WordPress Security Scan موارد زیر را مورد بررسی قرار می دهد:
- پسورد ها
- دسترسی فایل ها
- امنیت دیتابیس
- امنیت مدیریت وردپرس
6- استفاده از افزونه AntiVirus
با استفاده از این افزونه می توانید وبسایت خود را جهت ورود فایل های مخرب و بد افزار ها محافظت کنید. برای دانلود این افزونه به این لینک مراجعه نمایید.
7- جلوگیری از تلاش برای ورود به مدیریت سایت
وردپرس به صورت پیشفرض محدودیتی برای تعداد دفعات لاگین اشتباه در نظر نگرفته است. با استفاده از افزونه Limit Login Attempts و یا Login Lockdown محدودیت مورد نظر خود را برای تعداد لاگین های اشتباه به مدیریت وبسایت را اعمال نمایید.
8- عدم استفاده از افزونه های نا معتبر
بسیاری از سازندگان افزونه های رایگان با هدف های نفوذ به وبسایت شما افزونه هایشان را طراحی می کنند. در نظر داشته باشید که حتما افزونه های مورد نیاز خود را از سایت wordpress.org دانلود و نصب نمایید تا احتمال وجود Back Door در افزونه های نصبی شما وجود نداشته باشد.
9. قابلیت ویرایش فایل ها را از طریق داشبورد وردپرس غیر فعال کنید. ممکن است با نی کار بسیاری از امکانات ویرایش فایل را از دست دهید اما در نظر داشته باشید این کار تاثیر بسیاری در امنیت سایت وردپرسی شما دارد. کافی ست کد زیر را در فایل wp-config.php اضافه کنید.
define('DISALLOW_FILE_EDIT', true);
10. خاموش کردن قابلیت XML-RPC pingbacks
استفاده از تمامی موارد بالا را در کنار استفاده از رمز های عبور پیچیده، تغییر دوره ای رمز های عبور، عدم اقدام به لاگین در سیستم های نا امن و ... می تواند عواملی باشد که اطمینان کامل داشته باشید که امکان هک شدن وبسایت شما بسیار ناچیز خواهد شد.