

وقتی صحبت از راهاندازی یک وبسایت وردپرسی میشود، اولین چیزی که باید به آن فکر کرد، امنیت وردپرس است. شاید طراحی زیبا، افزونههای متنوع و تولید محتوا برای شما اهمیت زیادی داشته باشد، اما بدون امنیت، همه این تلاشها میتواند در یک چشم به هم زدن از بین برود. هکرها همیشه بهدنبال آسیبپذیریها هستند و سایتهای وردپرسی یکی از محبوبترین اهداف آنها به شمار میروند. به همین دلیل، اگر میخواهید سایتتان پایدار بماند و اعتماد کاربران از بین نرود، باید از همان ابتدا امنیت وردپرس را جدی بگیرید. در این مقاله با روشها و ابزارهای کاربردی آشنا میشوید که کمک میکنند سایت شما در برابر حملات سایبری مقاومتر شود.
امنیت وردپرس برای هر وبسایتی که با این پلتفرم ساخته شده است، از اهمیت ویژهای برخوردار است. در ادامه به دلایل اصلی اهمیت امنیت وردپرس میپردازیم:
امنیت وردپرس
یکی از ابتداییترین و مهمترین اقدامات برای بهبود امنیت وردپرس، بهروزرسانی منظم هسته وردپرس، افزونهها، و قالبها است. تیم توسعهدهنده وردپرس بهطور مرتب بهروزرسانیهایی را برای رفع مشکلات امنیتی و بهبود عملکرد منتشر میکند. همچنین، توسعهدهندگان افزونهها و قالبها نیز بهطور مرتب بهروزرسانیهایی را ارائه میدهند که شامل رفع مشکلات امنیتی و بهبودهای عملکردی است. برای بهروزرسانی منظم، میتوانید تنظیمات بهروزرسانی خودکار را فعال کنید یا از ابزارهایی مانند ManageWP استفاده کنید.
افزونههای امنیتی برای حفاظت از سایت وردپرسی شما بسیار موثر هستند. افزونههایی مانند Wordfence، Sucuri Security، iThemes Security و All In One WP Security مجموعهای از ابزارهای امنیتی مانند فایروال، اسکن بدافزار، حفاظت از ورود به سیستم، و نظارت بر فعالیتهای مشکوک را ارائه میدهند. این افزونهها میتوانند به شناسایی تهدیدات و جلوگیری از حملات احتمالی کمک کنند تا یک گام به امنیت وردپرس نزدیکتر شوید.
ورود به سیستم یکی از نقاط اصلی دسترسی به سایت است و باید به خوبی محافظت شود. برای افزایش امنیت این بخش، میتوانید از روشهای زیر استفاده کنید:
گواهینامه SSL (Secure Socket Layer) اطلاعاتی که بین کاربر و سرور رد و بدل میشود را رمزنگاری میکند و از دسترسی غیرمجاز به این اطلاعات جلوگیری میکند. استفاده از SSL علاوه بر افزایش امنیت وردپرس، به بهبود سئو وبسایت شما نیز کمک میکند. بیشتر هاستها این امکان را به صورت رایگان ارائه میدهند و میتوانید به راحتی SSL را بر روی سایت خود نصب کنید.
پشتیبانگیری منظم از وبسایت یکی از مهمترین اقدامات برای حفظ امنیت است. داشتن یک نسخه پشتیبان از سایت به شما این امکان را میدهد که در صورت بروز مشکل یا حمله، وبسایت خود را به سرعت بازیابی کنید. از افزونههای پشتیبانگیری مانند UpdraftPlus، BackupBuddy و VaultPress برای ایجاد پشتیبانهای منظم استفاده کنید و اطمینان حاصل کنید که نسخههای پشتیبان در یک مکان امن (مانند فضای ابری) ذخیره میشوند.
فایروال وب (Web Application Firewall) یک لایه امنیتی است که میتواند ترافیک مخرب را قبل از رسیدن به وبسایت شما مسدود کند. فایروالهای وب معمولاً میتوانند به عنوان افزونههای وردپرس (مانند Wordfence) یا به عنوان سرویسهای مبتنی بر کلود (مانند Cloudflare) استفاده شوند. استفاده از WAF کمک میکند تا حملات مخرب مانند SQL Injection، XSS، و DDoS شناسایی و مسدود شوند.
یکی از روشهای ساده برای افزایش امنیت سایت وردپرسی، تغییر URL پیشفرض ورود به سیستم (wp-login.php) است. با تغییر این URL به یک آدرس سفارشی، میتوانید دسترسی رباتها و هکرها به صفحه ورود را کاهش دهید و از حملات Brute Force جلوگیری کنید. افزونههایی مانند “WPS Hide Login” میتوانند به شما در این کار کمک کنند.
برخی از فایلهای وردپرس، مانند wp-config.php
و .htaccess
، حاوی اطلاعات حساس و حیاتی هستند. باید اطمینان حاصل کنید که دسترسی به این فایلها به حداقل ممکن کاهش یابد. برای این کار، میتوانید از دستورات خاص در فایل .htaccess
استفاده کنید. به عنوان مثال، برای محدود کردن دسترسی به wp-config.php
، میتوانید کد زیر را به فایل .htaccess
اضافه کنید:
<files wp-config.php> order allow,deny deny from all </files>
نظارت بر فعالیتهای کاربران به شما این امکان را میدهد که هرگونه فعالیت مشکوک یا غیرمجاز را در وبسایت شناسایی کنید. افزونههایی مانند “WP Activity Log” میتوانند تغییرات کاربران، تلاشهای ورود، و سایر فعالیتهای مهم را بهطور منظم پیگیری کنند. این نظارت به شما کمک میکند تا به سرعت متوجه هرگونه فعالیت غیرعادی شوید و اقدامات لازم را انجام دهید.
سرویسهای مانیتورینگ امنیتی مانند Sucuri، Jetpack، و Wordfence به شما کمک میکنند تا بهصورت خودکار وبسایت خود را برای شناسایی بدافزارها، مشکلات امنیتی، و حملات احتمالی اسکن کنید. این سرویسها معمولاً هشدارهای فوری برای هرگونه فعالیت مشکوک ارسال میکنند و به شما اجازه میدهند تا اقدامات لازم را برای رفع مشکل انجام دهید.
وجود افزونهها و قالبهای غیرضروری میتواند خطرات امنیتی را افزایش دهد. هرچه تعداد افزونهها و قالبهای نصب شده بیشتر باشد، احتمال بروز مشکلات امنیتی افزایش مییابد. بنابراین، بهتر است که افزونهها و قالبهای غیرضروری را حذف کنید و فقط از افزونهها و قالبهای مورد نیاز و مطمئن استفاده کنید.
تنظیمات مناسب فایروال سرور (Firewall) میتواند از دسترسی غیرمجاز به سرور جلوگیری کند. اطمینان حاصل کنید که فقط پورتهای ضروری باز هستند و دسترسی به سایر پورتها محدود شده است. این تنظیمات میتواند از حملات مختلفی مانند حملات DDoS و تلاشهای ناموفق ورود جلوگیری کند.
شبکههای تحویل محتوا (CDN) مانند Cloudflare و StackPath به بهبود سرعت وبسایت و همچنین افزایش امنیت کمک میکنند. CDNها با توزیع محتوای سایت شما در چندین سرور در سراسر جهان، بار سرور اصلی را کاهش میدهند و از حملات DDoS جلوگیری میکنند. همچنین، CDNها به بهبود تجربه کاربری و سئوی وبسایت شما نیز کمک میکنند.
با غیرفعال کردن قابلیت ویرایش فایل از طریق داشبورد وردپرس، میتوانید از تغییرات ناخواسته در فایلهای مهم توسط هکرها جلوگیری کنید. برای انجام این کار، میتوانید کد زیر را به فایل wp-config.php
اضافه کنید:
define('DISALLOW_FILE_EDIT', true);
احراز هویت دو مرحلهای (2FA) یک لایه امنیتی اضافی است که از رمز عبور بهعنوان تنها وسیله ورود استفاده نمیکند. با فعال کردن 2FA، کاربران برای ورود به سایت نیاز به تأیید هویت از طریق یک دستگاه دیگر مانند تلفن همراه خواهند داشت. این روش به طور موثری از حملات Brute Force و دسترسی غیرمجاز جلوگیری میکند.
اگر لیستبرداری دایرکتوریها فعال باشد، هکرها میتوانند فهرست فایلها و پوشههای موجود در دایرکتوریها را مشاهده کنند که این موضوع ممکن است اطلاعات حساسی را افشا کند. برای غیرفعال کردن لیستبرداری، میتوانید کد زیر را به فایل .htaccess
اضافه کنید:
Options -Indexes
دایرکتوری wp-admin
به عنوان مهمترین بخش سایت وردپرسی باید محافظت شود. با استفاده از کنترلپنل هاست خود (مانند cPanel) یا از طریق فایل .htaccess
، میتوانید یک لایه امنیتی اضافی برای این دایرکتوری ایجاد کنید و از دسترسیهای غیرمجاز جلوگیری کنید.
در مرحله آخر مهمترین گزینه استفاده از هاست معتبر میباشد.یکی از نکات کلیدی در امنیت وردپرس در سرور میزبان هاست ( هاست اشتراکی – هاست اختصاصی ) , استفاده از شل اسکنر , و انتی ویروس آپدیت میباشد که به دلیل لایسنس دار بودن این افزونه ها معمولا سرور های میزبان هاست از نصب آن خودداری میکنند که این موضوع باعث کار کردن شل و ویروس در وبسایت یا هاست شما میشود. در صورتی که با وجود این افزونه ها امکان اجرا شل , مدیریت فایل غیر مجاز , اجرا اسکریپت های دامپر و … غیر ممکن خواهد بود.
نام افزونه | قابلیتها | قیمت | توضیحات |
Wordfence | فایروال، اسکن بدافزار، حفاظت ورود | رایگان / نسخه پولی | محبوبترین افزونه امنیتی وردپرس |
Sucuri Security | مانیتورینگ امنیتی، فایروال | رایگان / نسخه پولی | ارائه خدمات جامع امنیتی |
iThemes Security | حفاظت ورود، اسکن بدافزار، لاگ فعالیتها | رایگان / نسخه پولی | ابزارهای جامع امنیتی |
All In One WP Security | حفاظت ورود، فایروال، اسکن فایلها | رایگان | ابزارهای امنیتی پایه برای کاربران مبتدی |
WP Activity Log | لاگ فعالیتهای کاربران | رایگان / نسخه پولی | مناسب برای مانیتورینگ فعالیت کاربران |
داشتن نسخه پشتیبان منظم یکی از بنیادیترین اقدامات در امنیت وردپرس است. تصور کنید سایت شما به هر دلیلی هک شود یا فایلها و دیتابیس شما بهطور اتفاقی حذف شوند. بدون بکاپ، بازگرداندن سایت به حالت قبلی ممکن است ماهها زمان ببرد و حتی هزینههای زیادی داشته باشد. بکاپگیری باعث میشود در کوتاهترین زمان سایت خود را بازیابی کنید و از آسیبهای جدی جلوگیری شود.
اولاً، بکاپ از تمام محتوا، فایلها، تصاویر و دیتابیس سایت شما حفاظت میکند. دوماً، در مواقع اضطراری میتوانید سایت را به حالت قبل از حمله یا مشکل فنی بازگردانید. حتی اگر تغییرات یا افزونهای باعث اختلال در عملکرد سایت شود، با یک بکاپ سالم، بدون نگرانی میتوانید همه چیز را بازیابی کنید.
UpdraftPlus: افزونه رایگان و پولی با قابلیت زمانبندی بکاپ و ذخیرهسازی در فضاهای ابری مثل Google Drive و Dropbox.
BackupBuddy: افزونه حرفهای و پولی که امکان بکاپگیری کامل و بازیابی آسان را فراهم میکند.
VaultPress (Jetpack Backup): پشتیبانگیری لحظهای و ابری، مناسب سایتهای فروشگاهی و پرترافیک.
بهترین روش، داشتن یک برنامه زمانبندی منظم است. مثلاً سایتهای کمترافیک هفتهای یک بار و سایتهای فروشگاهی یا خبری روزانه بکاپ داشته باشند. همچنین بکاپ را در مکان دیگری غیر از سرور اصلی ذخیره کنید تا در صورت خرابی سرور هم از اطلاعات خود محافظت کنید.
فایل XML-RPC در وردپرس برای ارتباط با سرویسهای خارجی و برنامههای موبایل ایجاد شده است، اما اگر استفاده نشود، میتواند یک مسیر آسیبپذیری جدی باشد. هکرها از آن برای حملات Brute Force یا DDoS بهره میبرند و میتوانند بهصورت خودکار چندین بار تلاش کنند تا وارد سایت شوند.
بسیاری از سایتها اصلاً از XML-RPC استفاده نمیکنند. فعال بودن آن باعث افزایش ریسک نفوذ میشود. همچنین برخی هکرها با ارسال درخواستهای متوالی، منابع سرور را اشغال کرده و باعث کاهش سرعت یا از کار افتادن سایت میشوند.
افزونههای امنیتی: افزونههایی مثل Wordfence یا Disable XML-RPC به راحتی میتوانند دسترسی به این فایل را مسدود کنند و از حملات جلوگیری نمایند.
استفاده از فایل .htaccess: افزودن کد زیر به فایل .htaccess میتواند دسترسی به XML-RPC را کامل ببندد:
<Files xmlrpc.php> order deny,allow deny from all </Files>
یکی دیگر از اقدامات مهم در امنیت وردپرس، تغییر پیشوند جدولهای دیتابیس است. پیشوند پیشفرض wp_
است و هکرها به راحتی آن را میدانند، بنابراین حملات SQL Injection روی سایتهای با پیشوند پیشفرض راحتتر انجام میشود.
حفاظت از اطلاعات کاربران: با تغییر پیشوند، احتمال نفوذ به جداول کاربران و رمزهای عبور کاهش مییابد.
کاهش ریسک حملات خودکار: بسیاری از ابزارهای هک، بر اساس پیشوند پیشفرض کار میکنند.
افزودن لایه امنیتی اضافه: این کار یکی از سادهترین اقدامات برای افزایش امنیت است که اغلب فراموش میشود.
تغییر پیشوند نیاز به دقت دارد، زیرا اشتباه در آن باعث اختلال سایت میشود. افزونههایی مثل iThemes Security این کار را بدون ریسک انجام میدهند.
میتوانید پیشوند را به ترکیبی از حروف و اعداد تغییر دهید، مثلاً wp9x7_
یا wpxyz_
، تا حدس زدن آن برای هکرها سخت شود.
اکانت پیشفرض “admin” یکی از پرخطرترین نقاط در وردپرس است. اگر هنوز از این کاربر استفاده میکنید، سایت شما در معرض حملات Brute Force قرار دارد.
هکرها اغلب اولین تلاش خود را روی کاربر “admin” انجام میدهند. اگر این کاربر فعال باشد، نفوذ آسانتر میشود و امنیت سایت بهشدت کاهش مییابد.
ایجاد یک کاربر جدید با سطح دسترسی مدیر.
انتقال تمام محتوا و نوشتهها به کاربر جدید.
حذف کاربر پیشفرض “admin”.
نام افزونه | نسخه | امکانات اصلی | نقاط قوت | مناسب برای |
---|---|---|---|---|
Wordfence Security | رایگان / پولی | فایروال، اسکن بدافزار، محافظت از لاگین | امکانات کامل و بروزرسانی مداوم | همه سایتها |
iThemes Security | رایگان / پولی | تغییر URL ورود، محافظت از دیتابیس، محدودیت ورود | رابط کاربری ساده، تنظیمات آسان | تازهکارها |
Sucuri Security | رایگان / پولی | مانیتورینگ، اسکن، فایروال ابری | برند معتبر جهانی، بسیار حرفهای | سایتهای تجاری |
All In One WP Security | رایگان | امکانات پایه امنیتی، تغییر پیشوند DB، محدودیت لاگین | سبک و ساده | سایتهای کوچک |
WP Activity Log | رایگان / پولی | ثبت کامل فعالیت کاربران، گزارش تغییرات | بسیار کاربردی در تیمهای چندنویسنده | سایتهای سازمانی |
امنیت وردپرس یک نیاز اساسی و غیرقابل چشمپوشی برای هر وبسایتی است که روی این پلتفرم ساخته شده است. رعایت اصول امنیتی، از جمله بهروزرسانی منظم وردپرس و افزونهها، استفاده از افزونههای امنیتی معتبر، انجام بکاپهای منظم، محدودسازی دسترسی کاربران و اسکن دورهای بدافزارها، باعث میشود سایت شما در برابر انواع تهدیدات هکری، نفوذهای غیرمجاز و از دست رفتن اطلاعات محافظت شود.
با اجرای این اقدامات، نه تنها از سایت خود محافظت میکنید، بلکه تجربه کاربری امن و قابل اطمینان برای بازدیدکنندگان فراهم میکنید و اعتماد کاربران را به برند و خدمات خود افزایش میدهید. امنیت وردپرس یک فرآیند مداوم است و توجه مستمر به آن، تضمین میکند که سایت شما همواره در شرایط ایمن و پایدار باقی بماند.
بهروزرسانی منظم وردپرس، افزونهها، و قالبها از اهمیت زیادی برخوردار است زیرا این بهروزرسانیها شامل رفع مشکلات امنیتی، بهبود عملکرد، و ویژگیهای جدید هستند. هرچه نسخههای قدیمیتر نرمافزارها روی سایت شما باقی بماند، آسیبپذیریهای بیشتری برای حملات سایبری ایجاد میشود.
برای جلوگیری از حملات Brute Force، میتوانید از افزونههای امنیتی مانند Wordfence یا iThemes Security استفاده کنید که قابلیت محدود کردن تعداد تلاشهای ورود ناموفق را دارند. همچنین، فعالسازی تأیید هویت دو مرحلهای (2FA) و تغییر URL پیشفرض ورود به سیستم نیز میتواند به کاهش این نوع حملات کمک کند.
بله، استفاده از SSL بسیار مهم است. SSL اطلاعاتی که بین کاربر و سرور منتقل میشود را رمزنگاری میکند و از نشت اطلاعات حساس جلوگیری میکند. علاوه بر این، گوگل و سایر موتورهای جستجو برای وبسایتهایی که از SSL استفاده میکنند، رتبهبندی بالاتری قائل میشوند.
برای اطلاعات بیشتر در مورد SSL مقاله چرا استفاده از SSL مهم است را مطالعه کنید.
برای اطمینان از عدم وجود بدافزار، از افزونههای امنیتی مانند Wordfence، Sucuri Security یا iThemes Security برای اسکن منظم وبسایت خود استفاده کنید. این افزونهها به شناسایی و حذف بدافزارها و کدهای مخرب کمک میکنند.
بهترین روش برای پشتیبانگیری از وبسایت وردپرس، استفاده از افزونههای پشتیبانگیری مانند UpdraftPlus، BackupBuddy یا VaultPress است. این افزونهها به شما امکان میدهند تا بهصورت خودکار و منظم از وبسایت خود پشتیبان بگیرید و در صورت بروز مشکل، آن را بازیابی کنید.
بله، میتوانید با استفاده از افزونههای امنیتی، استفاده از رمز عبور قوی، محدود کردن تعداد تلاشهای ورود، استفاده از تأیید هویت دو مرحلهای (2FA)، و تغییر URL پیشفرض ورود به سیستم، امنیت ورود به وردپرس را افزایش دهید.
افزونههای امنیتی رایگان میتوانند بسیاری از ویژگیهای امنیتی پایه را فراهم کنند، اما نسخههای پولی این افزونهها معمولاً قابلیتهای پیشرفتهتری مانند فایروال، مانیتورینگ امنیتی و پشتیبانی حرفهای را ارائه میدهند. بنابراین، بستگی به نیازها و سطح امنیتی مورد نظر شما دارد.
برای اطمینان از امنیت افزونهها، فقط از افزونههایی استفاده کنید که در مخزن رسمی وردپرس موجود هستند یا از منابع معتبر خریداری شدهاند. همچنین، نظرات کاربران، تعداد نصبها، و بهروزرسانیهای منظم را بررسی کنید.
برای جلوگیری از حملات DDoS، میتوانید از فایروال وب (WAF) و سرویسهای شبکه تحویل محتوا (CDN) مانند Cloudflare استفاده کنید. این ابزارها میتوانند ترافیک مشکوک را مسدود کرده و از بار بیش از حد بر روی سرور جلوگیری کنند.
بله، استفاده از یک CDN میتواند به افزایش امنیت سایت کمک کند. CDNها به کاهش بار سرور، بهبود سرعت بارگذاری، و جلوگیری از حملات DDoS کمک میکنند.
خیر. افزونه امنیتی کمک زیادی میکند، اما برای امنیت کامل باید مواردی مثل بهروزرسانی منظم، استفاده از SSL، بکاپگیری و تغییر تنظیمات پیشفرض را هم انجام دهید.
بله، چون بسیاری از حملات خودکار روی آدرس پیشفرض wp-login.php
انجام میشود. تغییر آن امنیت بیشتری ایجاد میکند.
فاماسرور
سرور مجازی یکی از سرویس های پر استفاده و مقرون بصرفه برای کسب و کارهای کوچک و خدمات سایر در ضمینه IT و شبکه میباشد که توان پشتیبانی از 128 هسته و 512 گیگ رم را دارد.
سرور های اختصاصی فاماسرور از دو گروه نسل جدید و پردازش سنگین استفاده میشود که میتوانید تا 155 گیگاهرتز پردازش و تا 1.5 ترابایت رم را در اختیار داشته باشید.
سرور بیگ بلوباتن اختصاصی و مجازی یکی از خدمات , برای استفاده از کلاس های آموزشی , جلسات و ... بصورت دوطرفه و با کیفیت تضمین شده میباشد.
در هاست لینوکس با منابع گوناگون امکان میزبانی از سایت های بزرگ و پر بازدید نیز وجود دارد و میتوان از مزایا و خدمات آن استفاده کرد.
هاست های ویندوز فاماسرور میزبانی شده در ایران و هلند میباشد که با سخت افزار ها و استوریج های نسل جدید میزبانی و پشتیبانی میشوند.
ثبت دامنه های بین المللی , دامنه ir و دامنه های با پسوند های مختلف در فاماسرور پشتیبانی میشوند.
سلام
من یک وردپرس دارم که هر ااز گاهی هدر و فوتر های من عوض میشه و یا خطا میگیره و داخلش لینک های زیادی بصورت چینی وارد میشه در صورتی که ما وارد نکردیم این داده هارو .
ممنون میشم راهنمایی کنید
احتمالا یا سیستم شما هک شده و یا وبسایت شما.
در ابتدا مقاله مربوط به تروجان ها مطالعه کنید
زمانی که وبسایتی آلوده میشود ابتدا باید تمامیه رمز عبور های سایت , FTP و SSH تغییر کنند.
مرحله بعدی آپدیت تمام افزونه ها و قالب ها میباشد.
و سپس اقدام به اسکن فایل های وبسایت با انتی ویروس های شل اسکنر یا ایمونیفای کنید.
به احتمال زیاد یا کلمات عبور شما هک شدند و یا یک افزونه دارید که اکسپولیت شده و توسط اون میتونند رو وبسایتتون شل آپلود کنند یا افزونه مدیریت فایل در وردپرس رو اگر فعال دارید حتما غیر فعالش کنید.