وب سایت وردپرس ایمن

1] مطمئن شوید که رایانه ویندوز^{(Windows computer)} شما عاری از بدافزار است. اگر یک کی لاگر غیرقانونی روی رایانه شما نصب شده باشد، هیچ میزان امنیتی در وردپرس^(WordPress) یا سرور وب شما تفاوتی ایجاد نمی کند.

2] همیشه مطمئن شوید که آخرین نسخه ^{(latest version)}وردپرس^(WordPress) و افزونه های خود را نصب کرده اید. وب سرور شما نیز می تواند دارای آسیب پذیری باشد. بنابراین، مطمئن شوید که هاست وب^{(Web Host)} شما آخرین نسخه، ایمن و پایدار نرم افزار سرور را روی آن اجرا می کند. بهتر است، مطمئن شوید که از یک میزبان قابل اعتماد استفاده می کنید که از این موارد برای شما مراقبت می کند.

3] از یک نام کاربری قوی^{(strong username)} و یک رمز عبور قوی استفاده^{(strong passwords)} کنید. بهترین کار این است که با استفاده از حروف بزرگ، کوچک، اعداد و کاراکترهای ویژه با طول بیش از 15 کاراکتر، به دنبال رمزهای عبور پیچیده ترکیبی باشید. استفاده از رمزهای^(Enforce) عبور قوی را برای همه نویسندگان خود نیز اعمال کنید.

4] نام کاربری Administrator^{(Change the Administrator username)} نصب وردپرس خود را از مدیر^(admin) پیش فرض به چیزی قوی و نامرتبط با نام خود یا سایت خود تغییر دهید. می‌توانید حساب کاربری دیگری ایجاد کنید، به‌عنوان کاربر سرپرست جدید وارد شوید و نام کاربری پیش‌فرض قبلی را حذف کنید. یا می توانید برای تغییر نام کاربری پیش فرض ادمین از افزونه تغییر نام کاربری^{(Admin username changer)} Admin یا افزونه توسعه یافته^{(Admin renamer extended)} تغییر نام Admin یا یکی از افزونه های امنیتی ذکر شده در زیر استفاده کنید.

5] از Captcha ^(Use)برای^(Captcha) اهداف ورود استفاده کنید.

افزونه Captcha از BWS^{(Captcha plugin from BWS)} یک افزونه خوب است که ممکن است بخواهید به آن نگاهی بیندازید. به شما امکان می دهد عملیات و سطوح پیچیدگی را انتخاب کنید.

6] پلاگین Limit Login Attempts میزان تلاش برای ورود به سیستم را از طریق کوکی ها برای هر IP محدود می کند. این فقط تعداد تلاش های پیکربندی شده را اجازه می دهد که پس از آن کاربر قفل می شود. می‌توانید تمام تنظیمات آن مانند تعداد تلاش‌های مجاز، دوره قفل، تلاش‌های مجدد مجاز و غیره را پیکربندی کنید. این افزونه برای جلوگیری از حملات brute force^{(brute force attacks)} مفید است .

اگر کاربری از نام کاربری یا رمز عبور اشتباه استفاده کند، این پیام را مشاهده خواهد کرد.

7] URL ورود به پنل وردپرس را^{(Change the WordPress Panel login URL)} از /wp-admin/ به چیزی دیگر با استفاده از تغییر نام افزونه wp-login تغییر^{(Rename wp-login)} دهید . این افزونه برای جلوگیری از حملات brute force نیز مفید است.

8] از افزونه Security Scanner^{(Security Scanner plugin)} برای اسکن دوره ای فایل های نصب وردپرس خود استفاده کنید. ^(WordPress)افزونه Sucuri Security – SiteCheck Malware Scanner^{(Sucuri Security – SiteCheck Malware Scanner)} به شما امکان می دهد تا سایت وردپرس^(WordPress) خود را با استفاده از Sucuri SiteCheck درست در داشبورد وردپرس خود اسکن کنید. ^(WordPress)بدافزار، هرزنامه، لیست سیاه، تغییر مسیرهای htaccess.، کد ارزی پنهان و سایر مسائل امنیتی را بررسی می کند.

به‌علاوه، تأیید می‌کند که آیا وردپرس^(WordPress) و PHP به‌روز هستند و نسخه ^(PHP)وردپرس^(WordPress) را از عموم پنهان می‌کند ، و غیره اگر سایت شما توسط فایروال وب^{(Web Firewall)} محافظت می‌شود . همچنین از دایرکتوری آپلودهای^{(Uploads Directory)} شما محافظت می کند ، wp-content و wp-includes دسترسی را با سخت کردن مجوزهای فایل محدود می کند، و یکپارچگی فایل های اصلی وردپرس^(WordPress) شما را بررسی می کند. تعداد زیادی از اقدامات، از جمله، تلاش برای ورود، ورود^(Login) ناموفق ، تغییرات ^(Logins)فایل^{(File Changes)} ، و غیره را نظارت می کند.

Sucuri همچنین بررسی می‌کند که آیا سایت شما در هر جایی مانند ^(Sucuri)Google Safe Browsing ، Norton Safe Web ، Phish Tank ، SiteAdvisor ، Eset ، Yandex و غیره در لیست سیاه قرار گرفته است یا خیر و به شما اطلاع می‌دهد.

به غیر از Sucuri، افزونه امن وردپرس^{(Secure WordPress)} ، اسکنر اکسپلویت^{(Exploit Scanner)} ، امنیت^{(WordFence Security)} WordFence ، وردپرس Sentinel^{(WordPress Sentinel)} ، Quttera ، اسکنر VIP^{(VIP Scanner)} ، امنیت iThemes^{(iThemes Security)} (که قبلا امنیت WP بهتر بود)،  امنیت گلوله^{(BulletProof Security)} و امنیت و فایروال All In One WP^{(All In One WP Security & Firewall)} از دیگر اسکنرها و پلاگین های امنیتی خوب هستند. ممکن است بخواهید به آن نگاهی بیندازید. اکثر این افزونه ها، جدا از اسکن سایت شما برای بدافزار، به شما در سخت کردن مجوزهای فایل^{(Harden File Permissions)} ، حذف فایل های ReadMe ، مخفی کردن نسخه های وردپرس و موارد دیگر کمک می کنند.^(WordPress)

به یاد داشته باشید^(Remember) که قبل از ایجاد هرگونه تغییر قابل توجه در نصب وردپرس^(WordPress) خود از پایگاه داده یا سایت کامل خود نسخه پشتیبان تهیه کنید زیرا برخی از این اصلاحات با یک کلیک ممکن است برخی از عملکردهای سایت شما را خراب کنند. پس لطفا در اینجا مراقب باشید.

8] از شبکه تحویل محتوای رایگان Cloudflare برای فیلتر کردن تمام ترافیک خود استفاده کنید و خطر تبدیل شدن به وب سایت وردپرس^(WordPress) شما را به حداقل می رساند ، زیرا به عنوان یک پروکسی بین بازدیدکنندگان و سروری که وب سایت شما روی آن میزبانی می شود عمل می کند. Cloudflare Basic رایگان است، اما در صورت پرداخت مبلغ اسمی، می توانید از سرویس Web Application Firewall آن نیز استفاده کنید. این حملات بلادرنگ مانند تزریق SQL ، اسکریپت بین سایتی، هرزنامه نظرات و سایر سوء استفاده ها را در لبه شبکه متوقف می کند. ما در اینجا از فایروال Sucuri^{(Sucuri Firewall)} استفاده می کنیم. Sucuri یک فایروال عالی ارائه می دهد، اما رایگان نیست. Google Project Shield DDoS رایگان ارائه می دهدمحافظت از وب سایت های منتخب

9] تعداد افزونه هایی^{(number of plugins)} را که استفاده می کنید به حداقل برسانید. غیرفعال^(Deactivate) کنید یا حتی بهتر، مواردی را که استفاده نمی کنید حذف کنید.

10] به ایجاد نسخه پشتیبان^(backups) از سایت خود در فواصل زمانی معین ادامه دهید و آنها را در برخی از سرویس های Cloud و/یا روی دسکتاپ خود آپلود کنید. BackWPUp ، VaultPress ، BackupBuddy ، DropBox برای وردپرس، ^{(DropBox for WordPress,)} BackUpWordPress از جمله افزونه های ^{(BackUpWordPress)}پشتیبان گیری^(Backup) خوب هستند که ممکن است بخواهید آنها را بررسی کنید.

در حالی که این ممکن است برای اکثر سایت های وردپرس^(WordPress) کافی باشد ، اگر نیاز به ادامه دادن دارید، می توانید این پست را در WordPress.org بخوانید .

بخوانید: ^(Read:) چرا وب سایت ها هک می شوند ؟

برخی از شما ممکن است بخواهید پست من در مورد نکات مفید برای وبلاگ نویسان جدید^{(Useful tips for new bloggers)} را بررسی کنید.^{(Some of you might want to check out my post on Useful tips for new bloggers.)}

Protect and secure WordPress website from Hackers

Secure WordPress website

1]  Make sure your Windows computer is free of malware. No amount of security in WordPress or on your web server will make any difference if there is an illegal keylogger installed on your computer.

2] Always make sure that you have the latest version of WordPress and your Plugins installed. Your web server can have vulnerabilities too. Therefore, make sure that your Web Host is running latest, secure, stable versions of server software on it. Better still, make sure you are using a trusted host that takes care of these things for you.

3] Use a strong username and a strong passwords. Best to go for mixed complex passwords using upper, lower case alphabets, numerals and special characters of length exceeding 15 characters. Enforce usage of strong passwords for all your Authors too.

4] Change the Administrator username of your WordPress installation from the default admin to something strong and unrelated to your own or sites name. You can create another administrator account, login as new administrator user and delete the old default admin username account. Or you could use Admin username changer or Admin renamer extended plugin or one of the security plugins mentioned below to rename the default admin username.

5] Use a Captcha for login purposes.

The Captcha plugin from BWS is a good one you may want to have a look at. It lets you choose the operations and the complexity levels.

6] The Limit Login Attempts plugin will limit the rate of login attempts, by way of cookies, for each IP. It will allow only the configured number of attempts after which the user will get locked out. You can configure all its settings like the number of attempts allowed, lockout period, allowed re-tries and so on. This plugin is useful in preventing brute force attacks.

If a user uses an incorrect username or password, he or she will see this message.

7] Change the WordPress Panel login URL from default /wp-admin/ to something else using Rename wp-login plugin.  This plugin is useful in preventing brute force attacks too.

8] Use a Security Scanner plugin to scan your WordPress installation files periodically. The Sucuri Security – SiteCheck Malware Scanner plugin enables you to scan your WordPress site using Sucuri SiteCheck right in your WordPress dashboard. It checks for malware, spam, blacklisting, .htaccess redirects, hidden eval code, and other security issues.

Furthermore, it verifies if WordPress and PHP are up-to-date and hides the WordPress version from the public, etc if your site is protected by a Web Firewall. It also protects your Uploads Directory, restricts wp-content and wp-includes access by hardening file permissions, and checks for the integrity of your core WordPress files. It monitors a large number of actions, including, Login attempts, Failed Logins, File Changes, and so on.

Sucuri also checks if your site has been black-listed anywhere like Google Safe Browsing, Norton Safe Web, Phish Tank, SiteAdvisor, Eset, Yandex, etc and informs you about it.

Apart from Sucuri, Secure WordPress plugin, Exploit Scanner, WordFence Security, WordPress Sentinel, Quttera, VIP Scanner, iThemes Security (formerly Better WP Security), BulletProof Security and All In One WP Security & Firewall are among the other good scanners and security plugins you may want to have a look at. Most of these plugins, apart from scanning your site for malware, will also help you Harden File Permissions, delete ReadMe files, hide WordPress versions, and more.

Remember to back up your database or full site before making any notable changes to your WordPress installation as some of these 1-click fixes could potentially break some functionality of your site. So please be careful here.

8] Use Cloudflare free content delivery network to filter all your traffic and minimizes the risk of your WordPress website from becoming a target, as it acts as a proxy between your visitors and the server your website is hosted on. Cloudflare basic is free, but if you pay a nominal amount, you can also avail of its Web Application Firewall service. It stops real-time attacks like SQL injection, cross-site scripting, comment spam and other abuse at the network edge. We use Sucuri Firewall here. Sucuri offers a great firewall, but it is not free. Google Project Shield offers free DDoS protection to select websites.

9] Minimize the number of plugins you use. Deactivate or even better, delete the ones you don’t use.

10] Keep creating backups of your site at regular intervals, and upload them to some Cloud service and/or to your desktop. BackWPUp, VaultPress, BackupBuddy, DropBox for WordPress, BackUpWordPress are among the good Backup plugins you may want to check out.

While this may be enough for most WordPress sites, if you need to go further, you could read this post on WordPress.org.

Read: Why are websites hacked?

Some of you might want to check out my post on Useful tips for new bloggers.

Related posts

• Best رایگان وب سایت های میزبانی وب رایگان

• چگونه به مقابله با Plagiarism and Online Content Theft

• فهرست بالا Blogs در India توسط ترافیک - 2020

• راهنمایی Blogging عملی برای وبلاگ نویسان جدید و مبتدیان

• Find لینک های شکسته، validate HTML & CSS در وب سایت خود را با استفاده DeepTrawl

• چگونه ورود مدیریت وردپرس خود را پیدا کنیم

• AMP برای وردپرس چیست و چگونه آن را نصب کنیم

• 8 تم Premium WordPress رایگان برای نصب

• چگونه به نصب WordPress در Google Cloud Platform

• نمایش گزیده ای در صفحه اصلی از WordPress blog

• نحوه نصب و راه اندازی WordPress در Microsoft Azure

• چگونه WordPress site را از یک میزبان به دیگری حرکت دهیم

• نحوه نصب تم در وردپرس

• Open Live Writer در حال حاضر در Windows Store به عنوان Trusted app موجود است

• نحوه اضافه کردن نوار کناری شناور در Wordpress

• Click Frauds and Online Advertising Frauds چیست؟

• Wix در مقابل وردپرس: کدام یک برای ایجاد وب سایت شما بهترین است؟

• چگونه یک صفحه را در وردپرس کپی کنیم

• نحوه ایجاد Money Online برای مبتدیان

• 11 بهترین افزونه پادکست وردپرس