نه گام برای امن کردن سایت وردپرسی خود
با توجه به هک شدن یک سری از سایت ها و مسائلی که برای بعضی از کاربرانی که اطلاعات کافی در مورد  امن کردن سایت وردپرسی خود نداشتن و سایت آن ها هک شده بر این آمدیم تا یک سری موارد را بیان کنیم تا بتواند کمکی برای کسانی که از وردپرس استفاده میکند شود


گام اول

از وبسایت خود بک آپ داشته باشید
اگر کنترل پنل سایت شما سی پنل است میتوانید از این آموزش برای گرفتن بکآپ از سایت استفاده کنید.
اگر هم نه ما به شما پلاگین “Backup Buddy” را پیشنهاد میکنم که میتوانید در گوگل سرچ کرده و این پلاگین را از خود سایت وردپرس دانلود کنید

گام دوم

حتما وردپرس خود را به نسخه جدید آپدیت کنید
این یک مسئله بحرانی هست که مسائل آسیب پذیری امنیتی سایت خود را که خود وردپرس متوجه آن ها میشود و پتچ برای آنها منتشر میکند به صورت خودکار توسط آپدیت بسته میشود. این مسئله مانند این است که سایت خود را سالم نگه دارید.

گام سوم

پسورد و نام کاربری خود را تغییر دهید
نام کاربری پیشفرض وردپرس “admin” است که تمامی هکر ها از این مطلع هستند و بهتر است که شما این مورد را به یک کلمه شخصی تر مانند “AliReza12” یا “Amir15” تغییر دهید. بهترین راه برای این که از این مورد در امان باشید این است که یک نام کاربری جدید بسازید و به آن دسترسی ادمین دهید و خود ادمین اصلی را حذف نمایید.

من به شما یک پسورد کاملا قوی پشنهاد میکنم ( این باید شامل حروف کوچک و بزرگ ، اعداد و سیمبل ها باشد ) مانند “Tehran11@$Host” یا “Pers^4Iran”.

بیشتر هکر ها سعی میکنند که پسورد شما را حدس بزنند پس اگر واقعا یک پسورد قوی داشته باشید میتوانید از این مورد در امان باشید.

گام چهارم

کلیدهای وردپرس خود را عوض کنید!
بیشتر مردم از این مورد بدون اهمیت چندانی عبور میکنند ولی این موضوع اهمیت زیادی دارد چون این کلید ها مانند شکر برای بیسکوت ها میمانند و باعث رمزگذاری بهتر داده ها میشوند
از تولید کننده کلید وردپرس براید تولید کلید های اشاره شده در بالا استفاده کنید و خط های زیر را در فایل wp-config.php خود ویرایش کنید.

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);

حال آن ها را با آن کلیدی که تولید کننده کلید به شما میدهد تعویض کنید و آن را ذخیره کنید.

گام پنجم

پلاگین WP Security Scan را نصب کنید
این پلاگین یک مورد خوب برای امن کردن سایت شما به صورت ساده هست که به دنبال حفره های امنیتی میگردد و شما را از وجود این کد های خراب آگاه میکند.
اگر این پلاگین متون شما را به صورت سبز نشان داد میتوانید از آن ها استفاده کنید و اگر رنگ سبز نشدند شما باید مشکل آن ها را حل کنید تا به رنگ سبز در بیایند.

گام ششم

پشوند های جدول دیتابیس خود را تغییر دهید
— خطر! لطفا قبل از این مورد حتما از دیتابیس خود نسخه پشتیبان تهیه کنید—
به صورت پیشفرض پیشوند های جدول شمما در دیتابیس “wp_” هست که این باعث میشود هکر ها به راحتی با استفاده از SQL injection سایت شما را هک کنند به دلیل این که به راحتی میتوان این مورد را حدس زد.
یک پیشوند خوب برای جدول شما میتواند مانند “khordad21_” یا “tehran58″ باشد که شما به راحتی میتوانید با افزونه ای که در قبل آمد به نام WP Security Scan انجام دهید.
این پلاگین یک سربرگ به نام ” Database ” دارد. که با رفتن به آن سربرگ پیشوند مورد نظر خود را تغییر دهید و آن را به کلمه ی امنی که در بالا به آن اشاره شد تغییر دهید.

گام هفتم

جلوگیری از هک با مسدود کردن عنکبوت های موتور های جست و جو از ایندکس کردن پوشه ی ادمین در موتورها
عنکبوت ها بر روی کل وبسایت شما میخزند و همه ی آن را به موتور جست و جو معرفی میکنند.

راحت ترین راه برای جلوگیری از این مورد این است که یک فایل به نام robots.txt در public_html خود درست کنید و خطوط زیر را در آن کپی کنید.
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

گام هشتم

جلوگیری از هک با فایل .htaccess
عنکبوت ها بر روی کل وبسایت شما میخزند و همه ی آن را به موتور جست و جو معرفی میکنند.
.htaccess (hypertext access) نام پیشفرض فایلی است که پیکربندی سطح دایرکتری ها هست که این فایل موجب مدیریت غیر متمرکز پیکربندی های موجود در  وبسایت شما میشود .
این فایل عمدتا برای محدودیت های امنیتی روی دایرکتوری های مهم به کار میرد
در پایین برای شما مواردی در مورد پیکربندی این فایل آورده ایم .

مورد اول این است که برای حفاظت از خود فایل این مورد را اضافه میکنیم . ( این مورد را برای همه ی فایل ها اضافه کنید اعم از آنهایی که در خود روت هستند یا خودتان اضافه میکنید. )
# STRONG HTACCESS PROTECTION

order allow,deny
deny from all
satisfy all

در این مورد میخواهیم فایل config.php را اضافه کنیم.
# protect wp-config.php

Order deny,allow
Deny from all
در اینجا هم جلوگیری میکنیم از این که هکر ها بتوانند دایرکتوری های شما را با اضافه کردن شناسایی کنند.
# disable directory browsing
Options All –Indexes
و برای جلوگیری از اسکریپت های تزریقی ( SQL injection  ) نیز از موراد زیر استفاده کنید
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

در صورتی که پس از این تغییر با خطا 500 مواجه شدید کد Options +FollowSymLinks  را به Options +symlinksifownermatch تغییر دهید.

به فلدر /wp-content بروید و دسترسی های دایرکتوری های آن را با ساخت یک فایل و اضافه کردن این خطوط به آن محدود کنید.
Order deny,allow
Deny from all

Allow from all
حال به فلدر /wp-admin بروید و اگر از آی پی استاتیک استفاده میکند بهتر است که یک فایل هم برای این فلدر تولید کنید و آن را به صورت زیر پیکربندی نمایید. (جای آی پی خود را با xx.xx.xx.xx  عوض کنید.)

# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx
deny from all

گام نهم

این مورد آخرین مورد است اما اهمیت کمتری نسبت به بقیه ندارد.
شما میتوانید WordPress Firewall 2 را نصب کنید که به صورت جدی جلوی بیشتر حملات هک را میگیرد
این مورد را با احتیاط استفاده کنید چون میتواند حتی خود شما را نیز بیرون از وبسایت نگه دارد.

امیدوارم این مسائل امنیتی بتوانند کمک کوچکی به همه باشد.