تبلیغات در پورتال

امنیت وردپرس - نکات و ترفندها. افزونه های امنیتی برای وردپرس یک حساب کاربری جداگانه با حقوق ویرایشگر ایجاد کنید

  • ترجمه

حوزه اداری هر برنامه وب مدت‌هاست که به یک هدف مورد علاقه برای هکرها تبدیل شده است و امنیت آن برای توسعه‌دهندگان نگرانی زیادی دارد. این در مورد وردپرس نیز صدق می کند - هنگام نصب یک وبلاگ جدید، سیستم یک حساب مدیر با یک رمز عبور تصادفی منحصر به فرد در زمان واقعی ایجاد می کند که دسترسی همه را به تنظیمات سیستم مسدود می کند و آن را با استفاده از صفحه مجوز کنترل می کند.

این مقاله بر روی تقویت امنیت وردپرس متمرکز شده است - هم پنل مدیریت و هم تنظیمات وبلاگ، یعنی کل محتویات پوشه "wp-admin"، که فقط نمایش داده می شود پس از مجوز. ما عمدا بر این جمله تاکید کردیم پس از مجوز" - باید به وضوح درک کنید که فقط یک درخواست ساده "هکر شیطانی" را از مدیر کل وبلاگ یا وب سایت شما جدا می کند! و دومی فقط به اندازه رمز عبوری که انتخاب کرده اید محافظت می شود.

برای اینکه کار هکرها بسیار دشوارتر شود، مجموعه ای از عملیات را ارائه می دهیم که می توانید به صورت دستی انجام دهید. این راه حل ها محافظت 100٪ را تضمین نمی کنند، اما با کمک آنها به طور قابل توجهی امنیت وبلاگ خود را بهبود خواهید داد.

1. نام پوشه wordpress را تغییر دهید.

از نسخه 2.6، امکان تغییر مسیر پوشه فراهم شده است wp-content. متاسفانه این هنوز برای پوشه قابل اجرا نیست wp-admin. وبلاگ نویسان آگاه به امنیت این را پذیرفتند و امیدوار بودند که این امر در نسخه های بعدی امکان پذیر باشد. تا زمانی که این اتفاق نیفتد، پیشنهاد می کنیم از موارد زیر استفاده کنید راه حل جایگزینمشکلات پس از باز کردن آرشیو با فایل‌های وردپرس، پوشه «وردپرس» را مشاهده خواهید کرد - نام پوشه را تغییر دهید (در حالت ایده‌آل به چیزی نامشخص مانند " wordpress_live_Ts6K" ) و سپس فایل را بر اساس آن پیکربندی کنید wp-config.php، که در دایرکتوری ریشه قرار دارد.
این تغییر چه چیزی به ما خواهد داد؟
  • اولاً، تمام فایل های وردپرس با فایل های دیگر در ریشه سایت مخلوط نمی شوند و در نتیجه وضوح سطح ریشه افزایش می یابد.
  • ثانیاً، چندین نسخه از وردپرس را می توان به صورت موازی در پوشه هایی با آن نصب کرد نام های مختلف، از بین بردن تعامل آنها، آن را برای آزمایش ایده آل می کند
  • مزیت سوم مستقیماً به امنیت مربوط می شود: منطقه اداری (و کل وبلاگ به طور کلی) دیگر در پوشه ریشه قرار ندارد و برای انجام هرگونه اقدام هک ابتدا باید آن را پیدا کنید. این برای مردم مشکل ساز است، اما در مورد ربات ها، موضوع زمان است.

بعضی ها نسخه های نصب شدهدر دایرکتوری ریشه - ممکن است!

توجه:اگر فایل های سیستمیوردپرس دیگر در دایرکتوری ریشه نیست و نام پوشه نصب طبق توصیه‌های توضیح داده شده در بالا تغییر کرده است، وبلاگ همچنان در دسترس خواهد بود wp-config.ru. چرا؟ به بخش «تنظیمات عمومی» وبلاگ خود بروید و آدرس وبلاگ واقعی را در سرور در قسمت «آدرس وردپرس (URL)» وارد کنید، همانطور که در مثال نشان داده شده است:

آدرس وبلاگ باید زیبا و بدون مزاحمت باشد

این به وبلاگ اجازه می دهد تا در یک آدرس مجازی خوب نمایش داده شود.

2. فایل wp-config.php را بهبود دهید

فایل پیکربندی وردپرس wp-config.phpحاوی برخی تنظیمات سایت و اطلاعات برای دسترسی به پایگاه داده است. همچنین تنظیمات مرتبط با امنیت دیگری نیز وجود دارد (آنها در لیست زیر ارائه شده اند). اگر چنین مقادیری در این فایل وجود ندارد یا فقط مقادیر پیش‌فرض وجود دارد، باید آنها را بر اساس آن اضافه یا تغییر دهید:
  • کلیدهای امنیتی:از نسخه 2.7، وردپرس دارای چهار کلید امنیتی است که باید به درستی تنظیم شوند. وردپرس شما را از ایجاد این خطوط به صورت خودکار نجات می دهد تولید می کندکلیدهای صحیح از نقطه نظر امنیتی فقط باید کلیدها را در خطوط مناسب فایل قرار دهید wp-config.php.این کلیدها هستند اجباریتا امنیت وبلاگ خود را تضمین کنید.
  • پیشوند جدول یک وبلاگ وردپرس تازه نصب شده نباید استاندارد باشد "wp_"هرچه مقدار پیشوند پیچیده تر باشد، احتمال اینکه دسترسی غیرمجاز به جداول شما رخ دهد کمتر است. پایگاه های داده MySQLداده ها بد: $table_prefix = "wp_"; . خیلی بهتر: $table_prefix = "wp4FZ52Y_"; از فراموش کردن این مقدار نترسید - فقط یک بار باید آن را وارد کنید، دیگر به آن نیاز نخواهید داشت.
  • اگر در سرور شما موجود است رمزگذاری SSL، توصیه می شود برای محافظت از منطقه اداری فعال شود. این کار را می توان با افزودن دستور زیر به فایل wp-config.php انجام داد: define("FORCE_SSL_ADMIN"، true);
شما همچنین می توانید موارد دیگر را تنظیم کنید تنظیمات سیستم V فایل پیکربندی. یک لیست واضح و جامع از تنظیمات موجود در صفحه موجود است کد

از نصب کلیدهای امنیتی صحیح غافل نشوید!

3. فایل wp-config.php را جابجا کنید

همچنین از نسخه 2.6، وردپرس به شما امکان انتقال فایل را می دهد wp-config.phpبه بالاترین سطح. با توجه به اینکه این فایل حاوی موارد بسیار بیشتری است اطلاعات مهم، بیش از هر فایل دیگری، و از آنجا که دسترسی به پوشه ریشه سرور همیشه دشوارتر است، ذخیره آن در پوشه ای متفاوت از بقیه فایل ها منطقی است. WortdPress هنگام جستجوی یک فایل به طور خودکار به بالاترین پوشه نگاه می کند wp-config.php. هر گونه تلاش کاربران برای پیکربندی مسیر خود بی فایده است.

4. از فایل wp-config.php محافظت کنید

همه سرورهای ISP به شما اجازه نمی دهند داده ها را به بیشتر منتقل کنید سطوح بالااز دایرکتوری ریشه به عبارت دیگر، همه حقوق کافی برای تکمیل مرحله قبل را ندارند. یا به دلایل دیگر: به عنوان مثال، اگر چندین وبلاگ دارید، با ساختار پوشه ای خاص، نمی توانید همه فایل ها را در ریشه قرار دهید، زیرا نام آنها برای هر یک از وبلاگ ها یکسان خواهد بود. در این صورت می توانیم دسترسی به فایل را رد کنیم wp-config.phpخارجی با استفاده از یک فایل htaccess. در اینجا کد این است:

# محافظت از wpconfig.php
دستور رد، اجازه انکار از همه

بسیار مهم است که از فایل مطمئن شوید htaccessدر همان دایرکتوری فایل قرار دارد wp-config.php.

5. حساب مدیر را حذف کنید.

در طول فرآیند نصب وردپرسیک حساب کاربری با نام مستعار پیش فرض "admin" ایجاد می کند. از یک طرف، این کاملا منطقی است، از طرف دیگر، کاربری با نام مستعار معروف، یعنی. ID - 1 که دارای حقوق اداری است، یک هدف کاملاً قابل پیش بینی برای هکرها با برنامه های حدس زدن رمز عبور است. توصیه ما این است:
  • کاربر دیگری با حقوق مدیریت و نام مستعار خود ایجاد کنید.
  • جلسه کاری خود را تمام کنید
  • با یک حساب کاربری جدید وارد شوید.
  • اکانت خود را حذف کنید" مدیر".
اگر وبلاگ جدید و زیر ندارید حساب کاربری مدیراگر قبلاً پست‌ها یا نظراتی را منتشر کرده‌اید، از میان گزینه‌های پیشنهادی در زمان حذف، «پیوند همه پست‌ها و پیوندها به:» را انتخاب کنید و نام کاربر جدید را انتخاب کنید:

توجه:در حالت ایده آل، مطلوب است که لاگین کاربر جدید با نام کاربری نمایش داده شده در پست ها متفاوت باشد تا کسی لاگین شما را تشخیص ندهد.

6. یک رمز عبور قوی انتخاب کنید.

احتمال و فراوانی حملات احتمالی مستقیماً به محبوبیت وبلاگ بستگی دارد. و توصیه می شود تا این لحظه مطمئن باشید که هیچ پیوند ضعیفی در زنجیره امنیتی سایت شما باقی نمانده است.

اغلب رمزهای عبور ضعیف ترین حلقه در این زنجیره هستند. چرا؟ روشی که اکثر کاربران رمز عبور را انتخاب می کنند اغلب بی فکر و بی دقت است. بسیاری از مطالعات نشان داده اند که اکثر رمزهای عبور کلمات موجود تک هجا هستند که با حروف کوچک تایپ می شوند که حدس زدن آنها کار دشواری نیست. برنامه های حدس زدن رمز عبور حتی لیستی از رایج ترین رمزهای عبور را ارائه می دهند.

وردپرس یک شاخص بصری از قدرت رمز عبوری که تایپ می‌کنید پیاده‌سازی کرده است که سطح پیچیدگی آن را در رنگ نشان می‌دهد:

7. پوشه "wp-admin" را محافظت کنید.

با پیروی از ضرب المثل "دو سر بهتر از یک است"، راهی برای دو برابر شدن امنیت منطقه اداری وجود دارد. امنیت توسط فایل تنظیم می شود htaccess، که باید در پوشه باشد "wp-admin"به همراه فایل htpasswd، که لاگین و رمز عبور کاربر را ذخیره می کند. پس از دسترسی به پوشه، باید نام کاربری و رمز عبور خود را وارد کنید، اما تفاوت این است که در این حالت، مجوز در سمت سرور کنترل می شود و نه توسط خود وردپرس.

برای تولید آسان و سریع فایل ها htaccessو htpasswd، استفاده کنید این سرویس .

8. نمایش خطاها در صفحه ورود را غیرفعال کنید.

صفحه ورود به وردپرس دری به قسمت اداری وبلاگ شما است که پس از تایید بدون خطا در دسترس قرار می گیرد. هر کاربر بی نهایت تلاش برای ورود دارد و هر بار به طور پیش فرض، وردپرس مفید دقیقاً نشان می دهد که خطا چه بوده است. یعنی اگر لاگین وارد شده نادرست باشد، وردپرس این را می گوید. این برای کاربر و همچنین برای هکر راحت است.

به راحتی می توان حدس زد که با چه سرعتی احتمال انتخاب ترکیب ورود به سیستم/رمز عبور کاهش می یابد، زمانی که سیستم نشان می دهد دقیقا چه چیزی اشتباه وارد شده است. یک خط کد ساده به حل این مشکل کمک می کند، فقط آن را به فایل اضافه کنید functions.phpموضوع شما:

Add_filter("login_errors",create_function("$a", "return null;"));

ظاهر اصلی/تغییر شده صفحه ورود.

9. تعداد تلاش های ناموفق برای ورود را محدود کنید.

وردپرس آماری در مورد مجوزها، چه موفق و چه ناموفق، نگه نمی دارد. این برای مدیر بسیار ناخوشایند است، زیرا او هیچ راهی برای مشاهده اینکه آیا تلاش هایی برای دسترسی غیرمجاز صورت گرفته است یا خیر تا در صورت تکرار بیشتر اقداماتی انجام دهد. ما دو راه حل ارائه می دهیم: پلاگین

سرگئی آرسنتیف

وردپرس را با 2 کلیک با All In One WP Security ایمن کنید

وردپرس توجه زیادی به امنیت دارد، اما هنوز مواردی از هک سایت وجود دارد. با این حال، می توانید از یک افزونه خاص استفاده کنید و محافظت از سایت خود را به میزان قابل توجهی افزایش دهید، به خصوص که این کار تنها با 2 کلیک قابل انجام است.

چرا اصلاً نیاز به بهبود امنیت وردپرس دارید؟
البته برای جلوگیری از هک و استفاده غیرمجاز از فضای سایت.

اما آیا واقعا اینقدر بد است؟ خوب، بگذارید آن را بشکنند - به هر حال چیزی برای گرفتن از من وجود ندارد!

این در مورد خود هک نیست، بلکه در مورد عواقب آن است. هکرها وب‌سایت‌ها را به دلایلی می‌شکنند، آنها شروع به ارسال هرزنامه از طرف شما می‌کنند، پیوندهایی به سایت‌های مشکوک دیگر قرار می‌دهند و به بستری برای رشد ویروس‌ها و سایر عفونت‌ها تبدیل می‌شوند. موتورهای جستجو این را خیلی سریع تشخیص می دهند و با اعلان هایی پاسخ می دهند و به بازدیدکنندگانی که به سایت می روند به شکل زیر هشدار می دهند:


این یک جسارت نادر است که هنوز جرأت می کند به یک سایت عفونی برود، بنابراین از آن بازدید کنید موتورهای جستجوسایت های هک شده به میزان قابل توجهی کاهش می یابد. و همراه با ترافیک، درآمد صاحبان وب سایت نیز به سرعت در حال کاهش است.

بنابراین، علی‌رغم اینکه هر سایتی قابل هک است، توصیه می‌کنم این کار را تا حد امکان برای مهاجمان سخت کنید: در نتیجه، زمانی که سایت‌های کمتر امن و آسان‌تری در اطراف وجود دارد، ممکن است تمایلی به تماس با سایت شما وجود نداشته باشد.

من برای بهبود امنیت وردپرس پلاگین های مختلفی را روی سایت ها نصب کردم (اغلب به آنها فایروال گفته می شود)، اما من آن را به شما توصیه می کنم که شخصاً فکر می کنم از بسیاری جهات بهترین است، این است - امنیت همه در یک WP.

مزایای اصلی آن:

  • رایگان
  • رابط روسی زبان راحت
  • بسیاری از گزینه های حفاظتی
  • به روز رسانی های مکرر
  • واردات و صادرات فوری تنظیمات

این افزونه مانند یک افزونه معمولی وردپرس نصب شده است (اگر نمی دانید چگونه این کار را انجام دهید، "" را بخوانید). بنابراین نباید در نصب مشکلی داشته باشید.

اما پس از آن همچنان باید All In One WP Security را پیکربندی کنید، یعنی تنظیمات حفاظت را انتخاب و فعال کنید. بسیاری از آنها وجود دارد که لازم نیست همه آنها گنجانده شوند، در غیر این صورت ممکن است سایت به سادگی کار نکند. بنابراین کدام پارامترها باید انتخاب شوند و کدام یک باید نادیده گرفته شوند؟

در زیر در مقاله پیوندی به فایل import تنظیمات شخصی خود ارائه خواهم کرد که از آن برای بهبود امنیت در اکثر سایت ها استفاده می کنم - می توانید آنها را وارد کنید و بنابراین مجبور نیستید با تنظیمات برنامه سر و کار داشته باشید، که یکی از آنها وجود دارد. مقدار زیادی بنابراین، اگر تمام این توضیحات تنظیمات برای شما جالب نیست، به سمت قفل اجتماعی بروید و پیوندی به فایل آمادهبا تنظیمات. آنجا خواهد بود دستورالعمل های مختصربرای افزودن به افزونه All In One WP Security.

در حال حاضر، من به طور خلاصه تنظیمات افزونه را شرح می دهم.

تنظیمات اولیه All In One WP Security

تنظیمات افزونه بسیار زیادی وجود دارد، همه آنها در کنترل پنل، در مورد WP Security جمع آوری می شوند:

بیایید به ترتیب شروع کنیم.

کنترل پنل

اطلاعات اولیه سیستم به راحتی در اینجا جمع آوری می شود: سطح حفاظت فعلی، تنظیمات اولیه درگیر، نسخه سرور php، گزارش ورود کاربران به پنل مدیریت و غیره. یعنی در این برگه چیزی برای تغییر وجود ندارد - نقش آموزنده ای دارد.

هیچ فایده ای در تلاش برای اطمینان از داشتن حداکثر امتیاز دفاعی وجود ندارد. در واقع، در این صورت، برخی از افزونه های دیگر ممکن است مسدود شوند و سایت به درستی کار نکند. مهم است که به طور کلی آسیب پذیرترین و آشکارترین "سوراخ" را بدون به خطر انداختن راحتی و عملکرد سایت حذف کنید.

تنظیمات

در اینجا می توانید از فایل های اصلی وردپرس بک آپ تهیه کنید که در آن افزونه تنظیمات امنیتی را تغییر می دهد: htaccessو wp-config.البته، مگر اینکه قبلاً این کار را از طریق FTP انجام داده باشید (بخوانید " "). قبل از اعمال تغییرات در تنظیمات افزونه حتما این کار را انجام دهید.

نکته مهم این است "اطلاعات متا WP".
کادر را علامت بزنید، این اطلاعاتی را که بر اساس وردپرس ایجاد شده است از کد سایت حذف می کند، این امر باعث افزایش امنیت در برابر اسکن انبوه نسخه های سایت توسط روبات های هکر می شود.

و نکته آخر اینکه " واردات و صادرات".
اینجاست که می توانید به سرعت تنظیمات افزونه را از سایتی به سایت دیگر صادر و وارد کنید.

مدیران

در این پاراگراف در مورد اکانت مدیران ثبت نام شده در کنترل پنل صحبت خواهیم کرد.

این یک دانش عمومی است که شما نمی توانید از آن استفاده کنید نام های استانداردمدیران، برای مثال "admin" در وردپرس یا "administrator" در جوملا. این تأثیر بسیار منفی بر امنیت دارد، زیرا زمانی که ورود به سیستم شناخته شود، هکر فقط می تواند رمز عبور را حدس بزند.

بنابراین، اگر از «ادمین» استاندارد به عنوان نام مدیر خود استفاده می‌کنید، از نظر ذهنی به توسعه‌دهنده نفرین کنید و به سرعت آن را به چیزی پیچیده‌تر تغییر دهید. برای انجام این کار در وردپرس باید ایجاد کنید حساب جدیدکاربر. قبلی را حذف کنید و همه ورودی ها را به حساب جدید پیوند دهید.

همچنین مهم است که نام کاربری با لاگین مطابقت داشته باشد.
و پیچیدگی رمز عبور را بررسی کنید. رمز عبور بد چیزی شبیه به “serega”، یک رمز عبور معمولی “serega1212” و یک رمز عبور ایده آل “dfw&uuhsU2%” است.

مجوز

اگر شخصی در هنگام ورود به بخش مدیریت چندین بار رمز عبور را اشتباه وارد کرد، چه کاری باید انجام دهم؟ به طور پیش فرض، سیستم هیچ کاری انجام نمی دهد. و اگر " گزینه‌ها را برای مسدود کردن تلاش‌های مجوز فعال کنید"، سپس سیستم پس از تعداد معینی تلاش ناموفق در مدت زمان معین، چنین اتصالاتی را مسدود می کند. شما خودتان تعداد تلاش ها، زمان و سایر پارامترها را در پاراگراف های زیر تنظیم کنید.

برگه های باقی مانده عمدتاً اطلاعاتی هستند.

ثبت نام کاربر

کپچای ثبت نام تنها زمانی مرتبط است که وب سایت یا وبلاگ شما توانایی ثبت کاربران جدید را داشته باشد.

پایگاه داده

حتما پیشوند جدول را در پایگاه داده تغییر دهید. به طور پیش فرض، جداول در پایگاه داده وردپرس با "wp_" شروع می شوند - این برای امنیت بد است. انتخاب کنید " یک پیشوند جدول پایگاه داده جدید ایجاد کنیدو کادر را علامت بزنید تا افزونه چیزی شبیه "hwy1e2_" تولید کند.

اگر چه من پیشوند را در بسیاری از سایت های وردپرس تغییر دادم، اما همه چیز خوب بود، اما احتیاط لازم است: اتفاقاً از پایگاه داده یک نسخه پشتیبان تهیه کنید، می توانید این کار را درست در برگه بعدی انجام دهید.

سیستم فایل

در برگه اصلی " دسترسی به فایل"همه موارد باید با رنگ سبز مشخص شوند. اگر اینطور نیست، به سادگی روی مورد مناسب کلیک کنید.

کادرها را علامت بزنید و در برگه زیر " در حال ویرایش فایل های PHP "و" دسترسی به فایل WPشما مجبور نیستید این فرصت را برای ساختن هر یک از آنها ترک کنید تغییرات برنامهاز طریق کنترل پنل - بهتر است این کار را از طریق دسترسی FTP انجام دهید، که هک کردن آن بسیار دشوارتر است، زیرا برنامه نویسان حرفه ای میزبان شما امنیت را در آنجا مدیریت می کنند. به علاوه، نباید فایل های اطلاعاتی مهم سیستم را در معرض دید قرار دهید.

جستجوی Whois

در اینجا هیچ تنظیماتی وجود ندارد، اما اگر شخصی وارد درب شما شد یا کاربر نامناسبی پیام های احمقانه ای گذاشت، می توانید سعی کنید از ارائه دهنده او مطلع شوید و از کاربر نامناسب شکایت کنید یا به سادگی او را در یک پیام شخصی تهدید کنید.

البته، اگر یک هکر از یک ناشناس IP استفاده کند، شما واقعاً چیزی نمی دانید، اما این عملکرد همچنان می تواند مفید باشد، زیرا به طور کلی می توانید به سرعت اطلاعاتی در مورد صاحبان سایت و مخاطبین آنها به دست آورید.

لیست سیاه

فرض کنید از طریق whois متوجه شده اید که هرزنامه به طور فعال در وبلاگ شما در نظرات آدرس IP یک شخص خصوصی توزیع می شود. شما می توانید او را به لیست سیاه اضافه کنید و او به صفحات سایت دسترسی نخواهد داشت.

همچنین می‌توانید ربات‌های «چپ‌گرا» را که می‌توانند اینترنت را در جستجوی آسیب‌پذیری‌ها شانه کنند، ممنوع کنید.

اساساً این ویژگی در صورتی منطقی است که شخصی به طور فعال سعی کند شما را هک کند. در بیشتر موارد، این فیلدها خالی خواهند ماند.

فایروال

خوب، ما به عملکرد اصلی افزونه رسیدیم - فایروال. این توابع در چندین برگه پراکنده هستند.

در "برگه" قوانین اساسی"من توصیه می کنم هر دو کادر را فعال کنید:" ویژگی های اصلی فایروال"و" محافظت در برابر آسیب پذیری های Pingback". برای هر مورد، تمام عملکردهایی که مورد استفاده قرار خواهند گرفت به تفصیل شرح داده شده است. اینها قوانین اساسی هستند - آنها، به عنوان یک قاعده، بر عملکرد سایت تاثیر نمی گذارند.

در " قوانین اضافی"من شخصا استفاده می کنم:

  • مشاهده محتویات دایرکتوری
  • ردیابی HTTP

سایر نکات:

  • نظرات از طریق سرورهای پروکسی
  • رشته های ناخواسته در کوئری ها
  • فیلتر کاراکتر اضافی

در برخی سایت‌ها باعث بی‌ثباتی در عملکرد شد، بنابراین نمی‌توانم استفاده از آنها را به طور قطع توصیه کنم.

اگر می‌خواهید از آن‌ها استفاده کنید، یک نسخه پشتیبان از htaccess تهیه کنید، آن را فعال کنید و سایت را برای عملکرد قبلی‌اش به طور کامل تست کنید. سعی کنید نظر بگذارید، فایل دانلود کنید، ثبت نام کنید، سایت را جستجو کنید، فرم ارسال کنید بازخوردو غیره اگر همه چیز خوب است، پس خوب است، شما خوش شانس هستید.

بعدی در "برگه" فایروال 5G"شما می توانید محافظت جامع در برابر حملات هکرها را از طریق URL سایت فعال کنید. این یک ویژگی مفید است، اما در وبلاگ من هنگام دانلود فایل ها توسط کاربران با خطا مواجه شد، بنابراین من آن را غیرفعال کردم و در تمام سایت های دیگر غیرفعال کردم، زیرا ترجیح می دهم فعال کنم. فقط آن پارامترهایی که هرگز باعث شکایت در کار نمی شوند.

در "برگه" روبات های اینترنتی"من چک باکس را وارد نکردم زیرا هنوز نگرانی هایی در مورد جلوگیری از انجام کار ربات اصلی گوگل وجود دارد. اگر کسی بتواند نگرانی های من را در نظرات برطرف کند، سپاسگزار خواهم بود.

"جلوگیری از هات لینکمن همچنین آن را غیرفعال می‌کنم، زیرا من خودم تصاویر وبلاگ را از سایت‌های دیگر دانلود می‌کنم. و اشاره کردم که بسیاری از مشتریان من نیز این کار را انجام می‌دهند، به عنوان مثال، آنها تصاویر را از سایت خود در تابلوهای پیام مختلف، انجمن‌ها و غیره آپلود می‌کنند. اگر مطمئن هستید که هیچ کجا اگر از تصاویر سایت استفاده نمی کنید، برای کاهش بار غیر ضروری روی هاست، البته، می توانید کادر را علامت بزنید.

"تشخیص خطای 404"فقط باید از آن استفاده کنید اگر خطاهای مشکوک زیادی در مورد صفحات پیدا نشده در گزارش های خود دارید. همه چیز در همه سایت های من خوب است، بنابراین چیزی برای اضافه کردن به لیست آدرس های IP که باید ممنوع شوند وجود ندارد.

محافظت در برابر حملات brute force

"نیروی بی رحم" چیست؟ این یک حمله بیرحمانه است که به سادگی شامل آزمایش تمام رمزهای عبور ممکن در یک وب سایت می شود. یعنی ربات به صفحه ورود ادمین می رود و شروع به امتحان یک یا آن رمز عبور می کند.

صفحه ورود را بنا به صلاحدید خود نامگذاری کنید، به عنوان مثال، /lg-wp، و ربات گذرواژه brute force دیگر نمی تواند وارد بخش مدیریت شما شود - به سادگی آن را پیدا نمی کند!

"حفاظت مبتنی بر کوکی"من از آن استفاده نمی کنم - زیرا اغلب با آن آنلاین می شوم مرورگرهای مختلف، به علاوه من به طور دوره ای کوکی ها را پاک می کنم و بنابراین روند ورود به سیستم با این پارامتر بسیار خسته کننده خواهد بود. به همان دلیلی که من استفاده نمی کنم " کپچا برای ورود". من در حال حاضر به اندازه کافی انواع کپچا در اینترنت دارم، و بنابراین سعی می کنم آنها را در وب سایت خود به حداقل برسانم.

"لیست سفید برای ورود" - این تقریباً 100٪ محافظت در برابر روبات های brute force است، زیرا ورود و رمز عبور را فقط می توان از یک آدرس IP خاص وارد کرد. اما من و مشتریان من اغلب از آدرس های IP مختلف به سایت های خود دسترسی داریم، به عنوان مثال، از دفتر، از آدرس IP. تلفن همراه، از مهمانان و غیره. در این مورد، حفاظت اضافی خواهد بود، زیرا به مالک اجازه دسترسی به سایت را نمی دهد. با این حال، اگر در وب سایت خود به طور دائم با یک آدرس IP کار می کنید، می توانید از این تابع استفاده کنید.

حفاظت از هرزنامه

من این محافظت را فعال نکردم، زیرا افزونه تخصصی Antispam Bee (بخوانید " ") برای من خوب کار می کند.

اسکنر

اگر ناگهان یک حرامزاده موفق شد از تمام سیستم های امنیتی شما عبور کند و خودش را وارد کند کد مخربو یا لینک های باقی مانده در فایل های سایت، سیستم شما را در این مورد مطلع می کند. و شما قادر خواهید بود نگاهی دقیق تر و دقیق تر به این تغییرات بیندازید: اگر واقعاً هک شده باشید چه؟

من هر 7 روز یک بار سایت ها را اسکن می کنم، بدون توجه به تصاویر، فایل های شخصی، پشتیبان گیری و غیره. همه اینها در تنظیمات است که می توانید در انتهای مقاله دانلود کنید.

بعید است که به برگه های باقی مانده نیاز داشته باشید.

حالت تعمیر و نگهداری

این فقط یک ابزار مفید است، اما بسیار مفید است. به شما این امکان را می دهد که در صورت انجام برخی کارها، سایت را برای همه افراد به جز مدیران غیرفعال کنید.

متفرقه

"حفاظت از کپی"من آن را روشن نمی‌کنم، زیرا در واقعیت‌های مدرن بررسی منحصربه‌فرد بودن متون، کاملاً بی‌معنی است و زندگی را برای برخی از کاربران دشوار می‌کند. اما چک باکس را فعال کنید." محافظت از قاب را فعال کنید" ضرری نخواهد داشت، زیرا به سایت شما اجازه نمی دهد در چارچوب سایت دیگری باز شود.

این یک سوال رایج است که مبتدیان می پرسند. در این مقاله، 10 کاری که باید بلافاصله پس از نصب وردپرس انجام دهید را به شما نشان می دهم.

1. نام، شعار، منطقه زمانی و فاویکون را تغییر دهید

سه مرحله اول را می توان در یک مرحله ترکیب کرد زیرا می توانید به سرعت این تغییرات را در پنل مدیریت وردپرس ایجاد کنید.

برای تغییر اینها، به تنظیماتدر نوار ابزار و انتخاب کنید ژنرال نام و برچسب سایت خود را به چیزی که به سایت شما مربوط می شود تغییر دهید.

اکنون صفحه را به پایین اسکرول کنید تا منطقه زمانی خود را به روز کنید. این قابلیت برای نمایش دقیق ترین تاریخ در سایت شما مهم است و همچنین به زمان بندی پست ها کمک می کند.

تا وسط صفحه ای که در آن هستید (در تنظیمات کلی)، گزینه ای را برای نصب در منطقه خود پیدا خواهید کرد. می توانید شهری را انتخاب کنید که در همان منطقه زمانی زندگی شما باشد یا روی UTC تنظیم شده باشد. برای یافتن تنظیمات صحیح UTC، می‌توانید در سایتی مانند http://www.timeanddate.com/time/map/ جستجو کنید تا مطمئن شوید منطقه زمانی درست را انتخاب کرده‌اید.

سپس فاویکون را به روز می کنیم. این نماد کوچک، که در تب مرورگر در کنار نام سایت ظاهر می شود که برای هویت سایت شما مهم است.مردم اغلب منابع اینترنتی را با این نماد به یاد می آورند.

2. ساختار پیوند ثابت را تغییر دهید

متأسفانه ساختار پیوند دائمی پیش فرض یک ساختار URL است که موتورهای جستجو آن را دوست ندارند.پس لازم است آن را به چیز دیگری تغییر دهید

باید برگردیم به تنظیمات،و سپس انتخاب کنید پیوند دائمیاز منو در آنجا چندین خواهید یافت گزینه های مختلفبرای ایجاد یک ساختار جدید. بهترین موارد برای استفاده هر دو هستند روز و نامیا و منپیام ها

مورد دلخواه خود را انتخاب کنید و سپس تغییرات خود را ذخیره کنید.

3. تنظیم پارامترهای خواندن

همچنین باید تنظیمات خواندن خود را پیکربندی کنید.

به گزینه خواندن در منو بروید و تصمیم بگیرید که چه می خواهید - به طوری که شما صفحه اصلیآخرین پست های شما را نشان داد یا می خواهید از یک صفحه ثابت استفاده کنید. انتخاب خود را انجام دهید و سپس تغییرات خود را ذخیره کنید. همیشه می توانید بعداً این مورد را تغییر دهید، بنابراین زیاد درنگ نکنید.

4. حذف تم های استفاده نشده

اکثر کاربران وردپرس قبل از تصمیم گیری در مورد نگه داشتن تم، چندین تم را نصب و آزمایش می کنند. به جای اینکه این تم های استفاده نشده را نصب کنید، آنها را حذف کنید. تم ها، حتی آن هایی که استفاده نمی شوند، باید به روز شوند.

کنار گذاشتن آن‌ها می‌تواند کار به‌روزرسانی غیرضروری ایجاد کند.و نه به روز رسانی، خطری برای امنیت سایت شما وجود خواهد داشت، زیرا ممکن است به هکرها خللی وارد کند.

خوشبختانه حذف موضوعات ناخواسته اصلا سخت نیست. فقط به دنبال آیتم منو به نام بگردید ظاهر, و سپس به سراغ موضوعات بروید. برای حذف این موضوع، باید به آن اشاره کرده و انتخاب کنید موضوع و اطلاعات پس از این، پنجره ای باز می شود و گزینه حذف موضوع در آنجا در دسترس خواهد بود.

5. افزونه کش را نصب کنید

چرا کش افزونه؟ زیرا می تواند به افزایش سرعت وب سایت شما کمک کند. ذخیره سازی به کاهش بار روی سرور و سرعت بخشیدن به سایت شما کمک می کند. این برای سئو عالی است و همچنین از خراب شدن سایت شما تحت بارگذاری جلوگیری می کند.

من WP Super Cache را نصب کرده ام که یک افزونه کش عالی برای وردپرس است. به سادگی آن را نصب کنید و کش را فعال کنید و یک قدم به یک سایت سریعتر نزدیک می شوید. گزینه های افزونه دیگری نیز وجود دارد.

6. بهبود امنیت وردپرس

وقتی نوبت به وب سایت شما می رسد، احتمالاً ایمن بودن بهتر از متاسف بودن است. پست های زیر را حتما بخوانید و اقدام کنید.

7. یک افزونه ضد هرزنامه نصب کنید

هیچ کس اسپم را دوست ندارد.

نظرات اسپم مشکل بزرگی برای بسیاری از صاحبان سایت های وردپرسی است. نه تنها آزاردهنده هستند، بلکه برای سئو نیز مضر هستند. برای رفع مشکلات، باید افزونه ضد اسپم را در وب سایت خود نصب کنید.رایج ترین آنها Akismet است


Akismet – این افزونه Automattic یک افزونه ممتاز ضد هرزنامه است که معجزه می کند. اگر تصمیم به استفاده از آن در سایت خود دارید، Akismet را فعال کرده و کد فعال سازی دریافت کنید. نسخه رایگانمحدود است، اما در صورت پرداخت هزینه قابل افزایش است. این دقیقاً همان چیزی است که من در وب سایت خود دارم و از آن راضی هستم.


Antispam Bee - این یکی دیگر از موارد بزرگ است افزونه رایگان، که به مسدود کردن اسپمرهای مزاحم کمک می کند. اگرچه افزونه Akismet بهتر عمل می کند، این هنوز یک گزینه عالی است.

در هر صورت، مطمئن شوید که از یکی از این موارد استفاده می کنید.

8. افزونه سئو وردپرس را نصب کنید

سئو است بخش مهمهر وب سایت وردپرسی و نه فقط وردپرس. برای اینکه پست های وبلاگ شما حداکثر نتیجه را داشته باشند، باید آنها را با استفاده از یک افزونه SEO بهینه کنید.در حالی که این نوع افزونه ها به طور خودکار سئوی شما را افزایش نمی دهند، اما به شما کمک خواهند کرد.

بهترین انتخاب برای بسیاری، بسته سئو پلاتینیوم است. این یک افزونه آسان برای استفاده و پیکربندی است.

9. بهینه سازی از طریق اشتراک گذاری اجتماعی

اول از همه، آیا واقعاً مهم است؟بله، قطعا! لازم نیست منتظر بمانید تا سایت شما ترافیک دریافت کند، فوراً آن را بهینه سازی کنید شبکه های اجتماعی. بهترین و ساده ترین راه برای بهینه سازی وب سایت برای رسانه های اجتماعی استفاده از یک افزونه اجتماعی است. اما من انجام این کار را توصیه نمی کنم،زیرا افزونه های غیر ضروری سرعت سایت را کاهش می دهند.بهتر است از دکمه های Yandex استفاده کنید.

10. شروع به پشتیبان گیری منظم کنید

اکنون که زمان زیادی را صرف فردی کرده اید تنظیمات وردپرس، شما نمی خواهید آنها را از دست بدهید، نه؟ خوب، در این صورت، شما باید یک منظم ایجاد کنید پشتیبان گیری. نحوه انجام این کار را در مقاله بیابید

بنابراین، در تمام ده مرحله توضیح داده شده در بالا برای یک سایت وردپرس حیاتی هستند. بدیهی است که موارد دیگری وجود دارد که برخی دوست دارند با نصب وردپرس انجام دهند، اما اینها باید در بالای لیست قرار گیرند.

بسیار مهم است که همه چیز را به موقع مرتب کنید تا بعداً مجبور به تعمیر آن نشوید.

مقالات مرتبط:

2014-12-19T14:26:18+00:00 امیدوردپرس

نصب وردپرس اولین قدم برای ایجاد یک وب سایت است. بعد از نصب وردپرس چه می کنید؟ این یک سوال رایج است که مبتدیان می پرسند. در این مقاله، 10 کاری که باید بلافاصله پس از نصب وردپرس انجام دهید را به شما نشان می دهم. 1. تغییر نام، شعار، منطقه زمانی و فاویکون سه مرحله اول را می توان ترکیب کرد...

نادژدا تروفیمووا [ایمیل محافظت شده]سایت وبلاگ مدیر

شما همچنین ممکن است علاقه مند باشید:

نحوه ساخت فاویکون برای وب سایت

فاویکون آیکون زیبایی است که همه در کنار نام سایت در مرورگر می بینند. فاویکون به سایت شما امکان می دهد هم در بوکمارک های مرورگر برجسته شود و هم...

چگونه یک وب سایت را برای سال نو تزئین کنیم

سال نو نزدیک است. بیایید در مورد موضوع بحث کنیم - چگونه یک وب سایت را برای سال نو تزئین کنیم.

از مقاله یاد خواهید گرفت:

1. از یک لاگین خوب استفاده کنید.

ایمن سازی یک سایت وردپرس با یک چیز اساسی شروع می شود - ایجاد یک ورود خوب. هنگام نصب وردپرس، کاربران اغلب از لاگینی استفاده می کنند که نصب کننده به طور پیش فرض ارائه می دهد، یعنی – مدیر. این همان چیزی است که ربات هایی که به دنبال حفره های امنیتی در سایت شما هستند ابتدا آن را بررسی می کنند. با استفاده از این لاگین، نیمی از اطلاعات لازم را در اختیار هکرها قرار داده اید و تنها کاری که باید انجام دهند این است که رمز عبور را پیدا کنند.

اگر قبلاً این پلتفرم را نصب کرده‌اید و روی وب‌سایت خود کار می‌کنید، بعید است که بخواهید نصب را حذف کنید و برای استفاده از ورود امن‌تر از ابتدا از ابتدا شروع کنید. راهی برای خروج وجود دارد:

مرحله 1 - یک کاربر جدید ایجاد کنید

وارد بخش مدیریت شوید پنل وردپرسو یک حساب کاربری جدید با ورود پیچیده تر، با دسترسی کامل به تمام عملکردهای سایت، یعنی حقوق مدیر ایجاد کنید.

از منوی اصلی سمت چپ، را انتخاب کنید کاربران >> افزودن جدید.

همه را وارد کنید اطلاعات لازمبرای یک کاربر جدید، نقش خود را به عنوان "مدیر"و فشار دهید "افزودن کاربر جدید".

مرحله 2 - حذف کاربر ادمین

پس از این، از سیستم مدیریت خارج شوید، با یک حساب کاربری جدید وارد شوید و کاربر را حذف کنید مدیراز سیستم به یکی از روش های زیر:

روش 1 - از منوی اصلی سمت چپ، را انتخاب کنید کاربران >> همه کاربران. نشانگر را روی نام کاربری ببرید مدیرو تابع را خواهید دید "حذف".

روش 2 - از منوی اصلی سمت چپ، را انتخاب کنید کاربران >> همه کاربران. کاربر پیدا کنید مدیر، آن را علامت بزنید و از منوی کشویی "اقدامات"انتخاب کنید "حذف". پس از آن بر روی گزینه کلیک کنید "اعمال"زیر لیست کاربران اگر بخواهید چندین کاربر را همزمان حذف کنید، این گزینه مناسب است.

همچنین می توانید نام کاربری ادمین را از طریق کوئری پایگاه داده تغییر دهید:
به روز رسانی wp_users SET user_login = 'new_login' WHERE user_login = 'admin';

U این روشمنهای وجود دارد: نویسنده برای پست های نوشته شده توسط کاربر مدیر، تغییر نخواهد کرد. برای رفع این مشکل، باید یک پرس و جو دیگر در پایگاه داده ایجاد کنید:
به روز رسانی wp_posts SET post_author = 'new_login' WHERE post_author = 'admin';

2. از رمز عبور پیچیده و منحصر به فرد استفاده کنید.

حفاظت مدیر وردپرسالبته بدون پیچیدگی غیر ممکن است رمز عبور خوب. مهم است که منحصر به فرد باشد و شامل اعداد، حروف موارد مختلف، علائم نگارشی، نمادها و غیره باشد. پسوردهایی مانند: pass، 1q2w3e4r5t6y، 87654321، qwerty، abc123، 111111، 1234، تاریخ تولد شما و غیره. - قابل اعتماد نیستند، اما بسیاری از کاربران همچنان از آنها استفاده می کنند. نمونه ای از یک رمز عبور خوب: pcVaOF8r39. البته، به خاطر سپردن چنین رمز عبوری برای شما دشوار خواهد بود، اما برای این کار تعدادی برنامه وجود دارد که رمزهای عبور را ذخیره و تولید می کنند و همچنین می توانند در رابط مرورگر شما ادغام شوند (به عنوان مثال Password Agent، KeyPass، Roboform و غیره)

اگر هنوز هم می‌خواهید رمزهای عبور خود را به خاطر بسپارید، توصیه می‌کنیم یک رمز عبور ترکیبی از نام/کلمه‌ای که به خوبی می‌شناسید با چند حرف/اعداد بزرگ در مکان‌های تصادفی و چند عدد ایجاد کنید. شخصیت های خاصدر آغاز یا پایان حدس زدن چنین رمز عبوری نیز دشوار خواهد بود، اما به خاطر سپردن آن بسیار آسان خواهد بود.

فراموش نکنید که رمزهای عبور خود را به طور مرتب به روز کنید.

3. نسخه وردپرس خود را به روز کنید.

وردپرس به کاربران خود اهمیت می دهد و به همین دلیل است که می توانید اعلان خروج را در پنل مدیریت خود پیدا کنید نسخه جدید. توصیه می کنیم به محض مشاهده آن را به روز کنید، زیرا یکی از رایج ترین حفره های امنیتی در سایت شما استفاده می شود نسخه قدیمیپلت فرم ها

4. نسخه وردپرس را مخفی کنید.

وردپرس به صورت پیش فرض یک عدد اضافه می کند نسخه فعلی V کد منبعفایل ها و صفحات شما و از آنجایی که اغلب اوقات نمی توان نسخه وردپرس را به موقع به روز کرد، این می تواند باشد نقطه ضعفوب سایت شما با دانستن اینکه کدام نسخه از وردپرس را دارید، یک هکر می تواند آسیب زیادی وارد کند.

با استفاده از یک فایل functions.phpمی توانید از نمایش اطلاعات نسخه پلتفرم خود جلوگیری کنید. برای این کار باید فایل را باز کنید functions.php، در پوشه اصلی موضوع فعلی وب سایت شما قرار دارد (wp-content/themes/current_theme_wordpress)و کد زیر را اضافه کنید:
remove_action('wp_head', 'wp_generator');

یا می توانید کد زیر را به فایل اضافه کنید functions.php:

/* رشته های نسخه WP را از اسکریپت ها و سبک ها مخفی کنید
* @return (رشته) $src
* @filter script_loader_src
* @filter style_loader_src
*/
تابع fjarrett_remove_wp_version_strings($src) (
جهانی $wp_version;
parse_str(parse_url($src، PHP_URL_QUERY)، $query);
if (!empty($query['ver']) && $query['ver'] === $wp_version) (
$src = remove_query_arg('ver', $src);
}
بازگشت $src;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');

/* رشته های نسخه WP را از متا تگ ژنراتور مخفی کنید */
تابع wpmudev_remove_version() (
بازگشت "؛
}
add_filter('the_generator', 'wpmudev_remove_version');

علاوه بر موارد فوق، در پوشه any تم های وردپرس، پیدا خواهید کرد header.phpفایل همچنین نسخه نصب شما را نشان می دهد که همانطور که قبلا ذکر شد برای یک هکر بسیار جالب است. با حذف خط زیر از فایل از شر آن خلاص خواهید شد اطلاعات غیر ضروری:

” />

5. تم ها و افزونه ها را از منابع معتبر دانلود کنید.

وردپرس آنقدر گسترده است که توسعه دهندگان بیشتر و بیشتر در حال ایجاد تم ها و افزونه های آماده برای آن هستند. در حالی که اکثر آنها استفاده از سایت شما را آسان تر می کنند و عملکرد آن را گسترش می دهند، برخی می توانند عواقب بسیار ناخوشایندی را در قالب ویروس پنهان کنند و در را به روی هکرها باز کنند. برای دانلود تم ها و افزونه ها فقط از منابع قابل اعتماد استفاده کنید، به عنوان مثال wordpress.org، و همچنین به هشدارهایی که در مورد فایل های مخرب ظاهر می شود توجه کنید. درست مانند خود وردپرس، مهم است که افزونه های خود را با آخرین نسخه ها به روز نگه دارید.

6. فایل های غیر ضروری را ذخیره نکنید.

افزونه های غیرفعال می توانند امنیت وب سایت شما را تهدید جدی کنند. بنابراین، با خیال راحت همه افزونه ها و تم های استفاده نشده را حذف کنید. به عنوان مثال، شما آن را برای آزمایش و انتخاب مورد استفاده خود نصب کرده اید. پس از انتخاب، فراموش نکنید که همه موارد غیر ضروری را حذف کنید.

7. به طور منظم رایانه محلی خود را برای ویروس اسکن کنید.

انجام مراحل مختلف برای ایمن سازی سایت وردپرس خوب است، اما باید مراقب رایانه خود نیز باشید. شما باید یک آنتی ویروس دائماً به روز شده را نصب کرده باشید. در غیر این صورت، با آپلود فایل های ویروسی در وب سایت خود، خطر آلوده شدن به آن را دارید.

8. از سایت نسخه پشتیبان تهیه کنید.

نمی توان از همه حملات مخرب جلوگیری کرد، اما فقط یک حمله موفقیت آمیز می تواند تمام تلاش ها برای کار در سایت شما را از بین ببرد. توصیه می کنیم از وب سایت خود به طور منظم نسخه پشتیبان تهیه کنید. بسیاری از شرکت های هاستینگ امکان تهیه نسخه پشتیبان از سرور را فراهم می کنند و اگر اتفاقی افتاد، می توانید سایت را از نسخه ای که در سرور موجود است بازیابی کنید.

با نصب افزونه Backup پایگاه داده وردپرس، می توانید پایگاه داده سایت خود را بیشتر ایمن کنید. تنظیمات افزونه به شما این امکان را می دهد که گزینه ارسال یک نسخه پشتیبان از پایگاه داده روزانه به صندوق پستی تماس خود را تنظیم کنید.

9. از یک اتصال امن استفاده کنید.

اگر ترجیح می دهید فایل های خود را با استفاده از یک سرویس گیرنده FTP آپلود کنید، از پروتکل اتصال ایمن به سرور SFTP استفاده کنید.

10. یک فایل htaccess ایجاد کنید.

کدی که دسترسی به فهرست /wp-content را مسدود می کند:

دستور رد، اجازه دهید
انکار از همه

اجازه از همه

این پوشه یکی از مهم ترین پوشه ها است زیرا حاوی تم ها، پلاگین ها، تصاویر و مطالب دیگر است.

محافظت از کد در برابر هات لینک:

بازنویسی موتور روشن است
RewriteCond %(HTTP_REFERER) !^http://(.+\.)?yourdomain\.com/
RewriteCond %(HTTP_REFERER) !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Hotlinking درج تصویری از سرور شما در وب سایت/وبلاگ شخص دیگری است. ترافیک مستقیماً به سرور شما می رود.

با استفاده از کد بالا، می توانید سرور را وادار کنید تا بررسی کند که درخواست دقیقاً از کجا آمده است: اگر از صفحات وب سایت شما باشد، سرور بدون هیچ مشکلی تصویر را به کاربر برمی گرداند. اگر از وب سایت شخص دیگری باشد، تصویری با خطا نشان می دهد.

11. پیشوند جداول پایگاه داده را تغییر دهید.

در صورت حذف پیشوند اولیه، حفاظت وردپرس در برابر هکرها نیز افزایش می یابد. wp_ —این کار پیدا کردن شما را برای مهاجمان سخت تر می کند. بیایید چندین راه را در نظر بگیریم:

روش 1 - مناسب برای نصب های جدید از طریق Softaculous
اگر ارائه دهنده هاست شما به شما اجازه می دهد از اسکریپت Softaculous برای نصب وردپرس استفاده کنید، می توانید پیشوند را در هنگام نصب اولیه تغییر دهید: در بخش گزینه های پیشرفته باید تغییرات مورد نیاز را انجام دهید.

روش 2 - برای سایت های در حال اجرا و نصب های جدید وردپرس
اگر وردپرس شما برای مدت طولانی نصب شده است و سایت در حال اجرا است، می توانید با استفاده از برنامه phpMyAdmin پیشوند را تغییر دهید.

پایگاه داده مورد نیاز را از لیست انتخاب کنید و کوئری پایگاه داده زیر را انجام دهید:

تغییر نام جدول «wp_commentmeta» به «newprefix_commentmeta».
تغییر نام جدول "wp_comments" به "newprefix_comments".
تغییر نام جدول "wp_links" به "پیوندهای_پیشوند_جدید".
تغییر نام جدول "wp_options" به "newprefix_options".
تغییر نام جدول "wp_postmeta" به "newprefix_postmeta".
تغییر نام جدول "wp_posts" به "newprefix_posts".
تغییر نام جدول "wp_terms" به "newprefix_terms".
تغییر نام جدول "wp_term_relationships" به "newprefix_term_relationships".
تغییر نام جدول "wp_term_taxonomy" به "newprefix_term_taxonomy".
تغییر نام جدول «wp_usermeta» به «newprefix_usermeta».
تغییر نام جدول "wp_users" به "newprefix_users".

کجا "پیشوند جدید_"باید با پیشوند جدیدی که می خواهید به جای پیشوند استفاده کنید جایگزین شود "wp_".

پس از این، پیشوند جدید را در جداول پایگاه داده خواهید دید:

برای اطمینان از موفقیت آمیز بودن همه تغییرات و عدم استفاده از پیشوند wp_ در جدول _گزینه هاو _usermeta، باید یک پرس و جو دیگر در پایگاه داده ایجاد کنید:

انتخاب * از «newprefix_options» جایی که «option_name» مانند «%wp_%»

انتخاب * از «newprefix_usermeta» جایی که «meta_key» مانند «%wp_%»

در نتیجه، ممکن است تعدادی پیشوند پیدا کنید که باید با استفاده از دکمه، نام آنها را به صورت دستی تغییر دهید تغییر دهید:

تعداد تغییراتی که باید انجام دهید ممکن است متفاوت باشد. اما تمام پیشوندها wp_شما باید به پیشوند جدید خود تغییر دهید تا وب سایت به درستی کار کند.

پس از آن، فراموش نکنید که پیشوند را نیز تغییر دهید wp-config.phpفایل:

همچنین می توانید از افزونه های ویژه برای تغییر پیشوند پایگاه داده استفاده کنید: تغییر پیشوند DB یا تغییر پیشوند جدول.

12. تعداد تلاش برای دسترسی را محدود کنید.

اغلب، مهاجمان با حدس زدن رمز عبور شما، تلاش زیادی برای ورود به سایت شما انجام می دهند. می توانید سیستم را طوری پیکربندی کنید که یک آدرس IP را برای چند ساعت پس از تعداد معینی از تلاش های ناموفق برای ورود به سیستم مسدود کند.

برای انجام این کار، می توانید از افزونه های اضافی، به عنوان مثال، Login LockDown یا Limit Login Attempts استفاده کنید. در تنظیمات این افزونه ها می توانید به طور مستقل تعداد دفعات ورود به سیستم و زمان مسدود شدن را تعیین کنید.

علاوه بر این، امکان مخفی کردن نمایش پیامی مبنی بر نادرست بودن لاگین و رمز ورود وارد شده وجود دارد. پس از همه، این نیز اطلاعاتی است که می تواند به یک مهاجم کمک کند.

برای حذف این پیام، باید فایل را باز کنید functions.php، در پوشه موضوع فعلی وب سایت شما قرار دارد (wp-content/themes/current_theme_WordPress)و این کد را اضافه کنید:
add_filter('login_errors',create_function('$a', "return null;"));

13. readme.html و License.txt را حذف کنید.

فایل های readme.html و License.txt در پوشه ریشه هر نصب وردپرس وجود دارد. این فایل ها هیچ فایده ای برای شما ندارند، اما می توانند برای هکرها شواهدی برای جنایات خود ارائه دهند. به عنوان مثال، برای اطلاع از نسخه فعلی وردپرس و بسیاری موارد مفید دیگر برای هک یک وب سایت. توصیه می کنیم بلافاصله پس از نصب وردپرس آنها را حذف کنید.

14. از گواهی SSL استفاده کنید.

برای انتقال اطلاعات محافظت شده و محرمانه بودن تبادل داده ها، توصیه می کنیم از پروتکل SSL استفاده کنید. اگر نمی خواهید اطلاعات شخصی مشتریان شما به روشی ناامن منتقل شود، این امر به ویژه برای فروشگاه های آنلاین صادق است.

اول از همه، شما باید آن را برای نام دامنه خود نصب کنید.

پس از این، می توانید استفاده اجباری از پروتکل SSL را هنگام ورود به کنترل پنل سایت خود تنظیم کنید. برای این کار، باز کنید wp-config.phpفایل را در پوشه ریشه وب سایت خود قرار دهید و خط زیر را اضافه کنید:
define('FORCE_SSL_ADMIN'، true);

15. فایل wp-config.php را ویرایش کنید.

با افزودن این کد به wp-config.phpفایل، شما همچنین می توانید حفاظت از وب سایت خود را تقویت کنید:

محدودیت‌های تغییر در تم و افزونه‌ها:
define('DISALLOW_FILE_EDIT', true);

غیرفعال کردن قابلیت نصب و حذف افزونه ها:
define('DISALLOW_FILE_MODS'، true);

افزودن کلیدهای نمکی یا به اصطلاح کلیدهای امنیتی: ابتدا باید چنین خطوطی را در آن پیدا کنید wp-config.phpفایل:

خواهید دید که کلیدها از قبل نصب شده اند و قابل تغییر هستند. یا خطوطی مانند این را خواهید دید: "عبارت منحصر به فرد خود را در اینجا قرار دهید" که نشان می دهد کلیدها هنوز نصب نشده اند:
/**#@+
* احراز هویت کلیدها و نمک های منحصر به فرد.
*
* اینها را به عبارات منحصر به فرد مختلف تغییر دهید!
* می‌توانید اینها را با استفاده از (@link https://api.wordpress.org/secret-key/1.1/salt/ سرویس کلید مخفی WordPress.org) تولید کنید.
* می‌توانید این موارد را در هر زمانی تغییر دهید تا همه کوکی‌های موجود را باطل کنید. این باعث می شود همه کاربران مجبور شوند دوباره وارد شوند.
*
* @از 2.6.0
*/
define('AUTH_KEY', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('SECURE_AUTH_KEY', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('LOGGED_IN_KEY', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('NONCE_KEY', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('AUTH_SALT', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('SECURE_AUTH_SALT', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('LOGGED_IN_SALT', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');
define('NONCE_SALT', 'عبارت منحصر به فرد خود را در اینجا قرار دهید');

من می خواهم به چند افزونه جداگانه اشاره کنم:

این یک افزونه امنیتی وردپرس است که به شما امکان می دهد وب سایت خود را برای کدهای مخرب، شکاف ها و حفره های باقی مانده توسط هکرها اسکن کنید و تجزیه و تحلیل سایت و ترافیک را در زمان واقعی نشان دهید. همچنین امکان پیکربندی اسکن خودکار و موارد دیگر وجود دارد.

این افزونه وب سایت شما را از نظر آسیب پذیری های امنیتی مختلف بررسی می کند و روش های مختلفی برای رفع آنها ارائه می دهد. به عنوان مثال، رمزهای عبور، حقوق مختلف دسترسی به فایل، حفاظت از پایگاه داده، حفاظت از اطلاعات نسخه وردپرس، حفاظت از مدیر و غیره.

این افزونه به شما اجازه می دهد تا حساب های کاربری و لاگین ها، پایگاه های داده و سیستم های فایل را ایمن کنید، از حملات brute force (حملات حدس زدن رمز عبور)، اسکن سایت و غیره جلوگیری کنید.

هر چقدر هم که غم انگیز به نظر برسد، محافظت از وردپرس یک چیز پیچیده است و روش های توضیح داده شده در این مقاله 100٪ تضمین نمی کند که سایت شما به طور کامل در برابر هرگونه اقدام کلاهبرداران محافظت شود. با این حال، نباید از آنها غافل شوید، زیرا احتمال هک سایت توسط هکرها را به میزان قابل توجهی کاهش می دهند.