امنیت وبسایت یکی از مهمترین دغدغههایی است که هر صاحب سایت باید به آن توجه کند. مخصوصاً اگر وبسایت شما با وردپرس ساخته شده باشد، زیرا WordPress با اینکه محبوبترین سیستم مدیریت محتوا (CMS) دنیا است، اما همین محبوبیت آن را به هدفی جذابتر برای مهاجمان تبدیل میکند.
چرا امنیت وردپرس اهمیت زیادی دارد؟
وردپرس بهصورت پیشفرض امن است، اما امنیت آن 100٪ تضمینشده نیست. دلایل اصلی حساسیت امنیت وردپرس شامل موارد زیر است:
1. محبوبیت بالا
بیش از 40٪ کل سایتهای جهان با WordPress ساخته شدهاند. هر پلتفرمی که این تعداد کاربر داشته باشد، هدف جذابی برای هکرها است.
افزونهها و قالبهای متعدد
وجود هزاران افزونه و قالب مفید است اما در عین حال، هر کدام میتوانند یک نقطهضعف امنیتی باشند.
3. خطای انسانی
بسیاری از حملات موفق روی وردپرس به دلیل پیکربندی اشتباه، رمز عبور ضعیف یا بیتوجهی به بهروزرسانیها است.
4. سرور یا هاست ناامن
امنیت وردپرس فقط به سیستم مدیریت محتوا محدود نیست. اگر هاست یا سرور شما ایمن نباشد، کل سایت به خطر میافتد.
رایجترین تهدیدات امنیتی برای سایتهای WordPress
1. حملات Brute Force (حدس رمز عبور)
در این نوع حمله، مهاجم تلاش میکند با امتحان کردن هزاران رمز عبور، به پنل مدیریت وردپرس شما دسترسی پیدا کند.
2. بدافزار (Malware)
هکرها با تزریق کدهای مخرب میتوانند محتوا را تغییر دهند، کاربران را به سایتهای دیگر هدایت کنند یا اطلاعات سایت شما را سرقت کنند.
3. تزریق SQL یا SQL Injection
در صورت وجود آسیبپذیری در افزونهها، امکان تزریق دستورات SQL و دسترسی به دیتابیس وجود دارد.
4. آسیبپذیری افزونهها / قالبها
بسیاری از حملات از طریق پلاگینهای قدیمی، نالشده یا توسعهنیافته انجام میشود.
5. حملات DDoS
ارسال حجم زیادی از درخواستها به سایت برای ایجاد اختلال و خاموش کردن آن.
چکلیست کامل افزایش امنیت وردپرس
در این بخش، مهمترین اقداماتی که باید برای افزایش امنیت سایت انجام دهید را مرحلهبهمرحله آوردهایم.
1. همیشه وردپرس، افزونهها و قالبها را بهروز نگه دارید
بهروزرسانیها معمولاً شامل رفع باگها و آسیبپذیریهای امنیتی هستند.
بهروزرسانی نکردن باعث راحتی ورود مهاجمان به سایت شما میشود.
نکات:
- اگر سایت بسیار حساس است، بهروزرسانیها را ابتدا روی یک «سایت استیجینگ» تست کنید.
- از نصب قالبها و افزونههای نالشده بهشدت خودداری کنید.
2. برای مدیریت وردپرس رمز عبور قوی انتخاب کنید
رمز عبور باید شامل موارد زیر باشد:
- حروف کوچک و بزرگ
- عدد
- علامت
- حداقل 12 کاراکتر
پیشنهاد میشود از ابزارهایی مثل Password Manager استفاده کنید.
3. استفاده از احراز هویت دو مرحلهای (2FA)
2FA احتمال دسترسی غیرمجاز به اکانت مدیر را تقریباً صفر میکند.
افزونههای پیشنهادی:
- Wordfence Login Security
- Google Authenticator
4. محدود کردن تلاشهای ورود (Limit Login Attempts)
تعداد دفعات ورود اشتباه را محدود کنید تا جلوی حملات Brute Force گرفته شود.
افزونههای کاربردی:
- Limit Login Attempts Reloaded
- iThemes Security
5. نصب یک افزونه امنیتی معتبر
برخی از افزونههای قدرتمند که سایت را نظارت و از آن محافظت میکنند:
- Wordfence Security
- Sucuri Security
- All in One WP Security & Firewall
این افزونهها قابلیتهایی مثل اسکن بدافزار، فایروال، نظارت بر فایلها و محدودسازی حملات را ارائه میکنند.
6. مخفی کردن صفحه ورود به وردپرس
مسیر پیشفرض /wp-login.php بسیار شناختهشده است و هدف اصلی رباتهای مهاجم محسوب میشود.
میتوانید مسیر را تغییر دهید، مثلاً:yourdomain.com/my-login-panel
7. استفاده از SSL / HTTPS
استفاده از SSL باعث رمزنگاری اطلاعات بین کاربر و سرور میشود.
این کار علاوهبر بهبود سئو، امنیت سایت را چند برابر میکند.
8. فعال کردن فایروال (WAF)
فایروال وب (WAF) میتواند قبل از رسیدن درخواستهای مشکوک، آنها را مسدود کند.
دو نوع فایروال وجود دارد:
- فایروال افزونه وردپرس (Wordfence و …)
- فایروال سطح سرور (Cloudflare، Imunify360، CSF)
9. تنظیم دسترسی فایلها و پوشهها (File Permissions)
بهترین Permission برای پوشهها و فایلهای وردپرس:
- پوشهها: 755
- فایلها: 644
- فایل wp-config.php: 600
این کار مانع دسترسی غیرمجاز سایر کاربران سرور به فایلها میشود.
10. غیرفعال کردن فایل ویرایشگر داخلی وردپرس
وردپرس امکان ویرایش فایلها را از طریق داشبورد فراهم میکند. بهتر است آن را غیرفعال کنید:
در فایل wp-config.php اضافه کنید:
define( 'DISALLOW_FILE_EDIT', true );
11. بکاپگیری منظم از سایت
برای امنیت واقعی، بکاپ باید هم خارج از سرور اصلی و هم بهصورت منظم ذخیره شود.
ابزارهای مناسب:
- UpdraftPlus
- JetBackup (روی هاست)
- Softaculous Backup
اگر سایت وردپرسی شما هک شد، چه باید بکنید؟
اگر سایت شما هک شده، مهمترین نکته عدم وحشت است. با دنبال کردن مراحل زیر میتوانید وضعیت را کنترل و سایت را بازیابی کنید.
1. دسترسیها را مسدود و رمزهای عبور را تغییر دهید
اولین کاری که باید انجام دهید:
- تغییر پسورد وردپرس
- تغییر رمز عبور هاست یا پنل کاربری
- ریست رمز دیتابیس (در صورت نیاز)
2. اسکن و پاکسازی بدافزار
از افزونههای امنیتی برای شناسایی فایلهای آلوده استفاده کنید:
- Wordfence Scan
- Sucuri Malware Scanner
در فایلهای آلوده، معمولاً کدهای ناشناس، رمزگذاریشده یا عجیب مشاهده میشود.
3. بررسی فایلهای اصلی وردپرس
در بسیاری از هکها فایلهای Core تغییر میکنند.
راهحل:
با نصب مجدد WordPress Core (بدون حذف محتوا) مشکل رفع میشود.
4. بررسی کاربران وردپرس
گاهی هکر یک حساب کاربری جدید با نقش Administrator ایجاد میکند.
بخش Users را بررسی کنید.
5. پاکسازی دیتابیس
برخی بدافزارها کدهای مخرب را در جدولهای دیتابیس تزریق میکنند.
مواردی که باید بررسی شوند:
- جدول options
- جدول posts
- جدول users
6. فعالسازی مجدد سایت و مانیتورینگ امنیتی
پس از پاکسازی:
- فایروال را فعال کنید
- تغییرات لاگ را بررسی کنید
- رفتار سایت را چند روز مانیتور کنید
بهترین اقدامات امنیتی در سطح سرور برای وردپرس
1. استفاده از هاست وردپرس یا سرور بهینهسازیشده
سرور استاندارد باید مجهز به موارد زیر باشد:
- فایروال سختافزاری/نرمافزاری
- آنتیمالور (Imunify360 یا Maldet)
- سیستم تشخیص و جلوگیری از نفوذ (IDS/IPS)
2. پشتیبانی از PHP نسخه جدید
نسخههای قدیمی PHP دارای آسیبپذیری امنیتی هستند.
3. استفاده از Cloudflare
مزایا:
- محافظت از DDoS
- فایروال وب
- شناسایی رفتار رباتها
- افزایش سرعت
4. فعالسازی ModSecurity
یکی از مؤثرترین ابزارهای امنیت سرورهای Apache و LiteSpeed است.
امنیت وردپرس برای یک بار و همیشه انحام نمیشود. بلکه یک فرآیند مستمر است. با رعایت نکات سادهای مثل بهروزرسانی، انتخاب رمز عبور قوی، استفاده از افزونههای امنیتی و انجام تنظیمات سرور، میتوانید امنیت سایت خود را چندین برابر کنید.