راه اندازی سایت وردپرس^(WordPress) خود این روزها بسیار آسان است. متأسفانه زمان زیادی طول نمی کشد تا هکرها شروع به هدف قرار دادن سایت شما کنند.

بهترین راه برای ایمن کردن یک سایت وردپرسی^(WordPress) ، درک هر نقطه آسیب پذیری ناشی از اجرای یک سایت وردپرس^(WordPress) است. سپس امنیت مناسب را برای مسدود کردن هکرها در هر یک از آن نقاط نصب کنید.

در این مقاله یاد خواهید گرفت که چگونه دامنه خود، ورود به سیستم وردپرس^(WordPress) خود و ابزارها و افزونه های موجود برای ایمن سازی سایت وردپرس^(WordPress) خود را بهتر ایمن کنید .

یک دامنه خصوصی ایجاد کنید

این روزها یافتن دامنه موجود^{(find an available domain)} و خرید آن با قیمت بسیار ارزان بسیار آسان است. اکثر مردم هرگز هیچ افزونه دامنه ای برای دامنه خود خریداری نمی کنند. با این حال، یکی از افزونه‌هایی که همیشه باید در نظر داشته باشید، حفاظت از حریم خصوصی^{(Privacy Protection)} است .

سه سطح اساسی از حفاظت از حریم خصوصی با GoDaddy وجود دارد، اما اینها همچنین با پیشنهادات اکثر ارائه دهندگان دامنه مطابقت دارند.

• پایه : نام و اطلاعات تماس خود را از فهرست ^(Basic)WHOIS پنهان کنید . این تنها در صورتی در دسترس است که دولت شما به شما اجازه دهد اطلاعات تماس دامنه را پنهان کنید.
• کامل^(Full) : اطلاعات خود را با آدرس ایمیل و اطلاعات تماس جایگزین جایگزین کنید تا هویت واقعی خود را پنهان کنید.
• نهایی^(Ultimate) : امنیت اضافی که اسکن دامنه های مخرب را مسدود می کند و شامل نظارت بر امنیت وب سایت برای سایت واقعی شما می شود.

معمولاً، ارتقاء دامنه خود به یکی از این سطوح امنیتی فقط مستلزم انتخاب ارتقاء از یک کشویی در صفحه فهرست دامنه خود است.

حفاظت از دامنه اولیه^(Basic) نسبتاً ارزان است (معمولاً حدود 9.99 دلار در سال) و سطوح بالاتر امنیت گران‌تر نیست.

این یک راه عالی برای جلوگیری از هرزنامه‌ها از حذف اطلاعات تماس شما از پایگاه داده WHOIS یا دیگرانی که قصد دارند به اطلاعات تماس شما دسترسی داشته باشند، می‌باشد.

^(Hide)فایل های wp-config.php و .htaccess را مخفی کنید

هنگامی که وردپرس را برای اولین بار نصب^{(install WordPress)} می کنید ، باید شناسه مدیریت و رمز عبور پایگاه داده SQL وردپرس^{(WordPress SQL)} خود را در فایل wp-config.php قرار دهید. 

این داده ها پس از نصب رمزگذاری می شوند، اما شما همچنین می خواهید هکرها را از ویرایش این فایل و شکستن وب سایت خود مسدود کنید. برای این کار فایل htaccess. را در پوشه ریشه سایت خود پیدا و ویرایش کنید و کد زیر را در پایین فایل اضافه کنید.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

برای جلوگیری از تغییرات خود htaccess، موارد زیر را نیز به پایین فایل اضافه کنید.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

فایل را ذخیره کرده و از ویرایشگر فایل خارج شوید.

همچنین ممکن است روی هر فایل کلیک راست کرده و مجوزها را تغییر دهید تا دسترسی Write را به طور کامل برای همه حذف کنید.

در حالی که انجام این کار روی فایل wp-config.php نباید مشکلی ایجاد کند، انجام آن در htaccess. ممکن است مشکلاتی ایجاد کند. به خصوص اگر از پلاگین های امنیتی وردپرس^(WordPress) استفاده می کنید که ممکن است نیاز به ویرایش فایل .htaccess برای شما داشته باشد.

اگر هر گونه خطایی از وردپرس^(WordPress) دریافت کردید، همیشه می توانید مجوزها را به روز کنید تا دوباره اجازه دسترسی Write در فایل htaccess.

URL ورود به وردپرس خود را تغییر دهید

از آنجایی که صفحه ورود پیش فرض برای هر سایت وردپرس^(WordPress) ، yourdomain/wp-admin.php است، هکرها از این URL برای هک کردن سایت شما استفاده می کنند.

آنها این کار را از طریق آنچه به عنوان حملات "بی رحم" شناخته می شود انجام می دهند که در آن انواع نام های کاربری و رمزهای عبور معمولی را که بسیاری از مردم معمولاً استفاده می کنند ارسال می کنند. هکرها امیدوارند که خوش شانس باشند و ترکیب مناسبی را بدست آورند.

شما می توانید با تغییر URL ورود به سیستم وردپرس^{(WordPress login URL)} خود به چیزی غیر استاندارد، این حملات را به طور کامل متوقف کنید .

افزونه های وردپرس^(WordPress) زیادی وجود دارد که به شما در انجام این کار کمک می کند. یکی از رایج ترین آنها WPS Hide Login است.

این افزونه بخشی را به تب General در قسمت ^(General)تنظیمات^(Settings) در وردپرس اضافه می کند.

در آنجا، می‌توانید هر URL ورود به سیستمی را که می‌خواهید تایپ کنید و Save Changes را انتخاب کنید تا فعال شود. دفعه بعد که می خواهید وارد سایت وردپرس^(WordPress) خود شوید ، از این URL جدید استفاده کنید .

اگر کسی سعی کند به URL wp-admin قدیمی شما دسترسی پیدا کند ، به صفحه 404 سایت شما هدایت می شود.

توجه^(Note) : اگر از افزونه کش استفاده می کنید، مطمئن شوید که URL ورود به سیستم جدید خود را به لیست سایت هایی که نباید^(not) کش اضافه کنید. سپس قبل از اینکه دوباره وارد سایت وردپرس^(WordPress) خود شوید، کش را پاک کنید.

یک افزونه امنیتی وردپرس را نصب کنید

افزونه های امنیتی وردپرس^{(WordPress security plugins)} زیادی برای انتخاب وجود دارد. از بین همه آنها، Wordfence بیشترین بارگیری را دارد که دلیل خوبی دارد.

نسخه رایگان Wordfence شامل یک موتور اسکن قدرتمند است که به دنبال تهدیدات درب پشتی، کدهای مخرب در پلاگین ها^{(malicious code in your plugins)} یا در سایت شما، تهدیدات تزریق MySQL و موارد دیگر است. ^(MySQL)همچنین دارای یک فایروال برای جلوگیری از تهدیدات فعال مانند حملات  DDOS است.^(DDOS)

همچنین به شما این امکان را می‌دهد تا با محدود کردن تلاش‌های ورود به سیستم و قفل کردن کاربرانی که تلاش‌های زیادی برای ورود نادرست انجام می‌دهند، حملات brute force را متوقف کنید.

تنظیمات کمی در نسخه رایگان موجود است. بیش از حد کافی برای محافظت از وب سایت های کوچک تا متوسط ​​در برابر اکثر حملات.

همچنین یک صفحه داشبورد مفید وجود دارد که می توانید برای نظارت بر تهدیدها و حملات اخیر که مسدود شده اند، مرور کنید.

از Generator Password WordPress^{(WordPress Password Generator)} و 2FA استفاده کنید

آخرین چیزی که می خواهید این است که هکرها به راحتی رمز عبور شما را حدس بزنند. متأسفانه بسیاری از افراد از رمزهای عبور بسیار ساده ای استفاده می کنند که به راحتی قابل حدس زدن هستند. برخی از نمونه ها شامل استفاده از نام وب سایت یا نام خود کاربر به عنوان بخشی از رمز عبور یا عدم استفاده از هیچ کاراکتر خاصی است.

اگر به آخرین نسخه وردپرس^(WordPress) ارتقا داده اید ، به ابزارهای امنیتی قدرتمند رمز عبور برای ایمن سازی سایت وردپرس^(WordPress) خود دسترسی دارید . 

اولین قدم برای بهبود امنیت رمز عبور این است که به هر کاربر سایت خود بروید، به بخش مدیریت حساب کاربری بروید و دکمه ^{(Account Management)}Generate Password را انتخاب کنید.

این یک رمز عبور طولانی و بسیار امن ایجاد می کند که شامل حروف، اعداد و کاراکترهای خاص است. این رمز عبور را در جایی امن ذخیره کنید، ترجیحاً در سندی روی یک درایو خارجی که می‌توانید وقتی آنلاین هستید، اتصال آن را از رایانه خود جدا کنید.

Log Out Everywhere Else را انتخاب کنید تا مطمئن شوید تمام جلسات فعال بسته شده اند.

در نهایت، اگر افزونه امنیتی Wordfence را نصب کرده باشید، دکمه ^(Wordfence)Activate^{(Activate 2FA)} 2FA را مشاهده خواهید کرد . این را انتخاب کنید تا احراز هویت دو مرحله ای برای ورود کاربران فعال شود.

اگر از Wordfence استفاده نمی کنید، باید هر یک از این افزونه های محبوب 2FA را نصب کنید.

• Google Authenticator
• احراز هویت دو عاملی^{(Two Factor Authentication)}
• احراز هویت دو مرحله ای روبلون^{(Rublon Two-Factor Authentication)}
• احراز هویت دو مرحله ای Duo^{(Duo Two-Factor Authentication)}

سایر ملاحظات امنیتی مهم^{(Important Security Considerations)}

چند کار دیگر وجود دارد که می توانید برای ایمن سازی کامل سایت وردپرس خود انجام دهید.^(WordPress)

هم افزونه های وردپرس^{(WordPress plugins)} و هم نسخه خود وردپرس^(WordPress) باید همیشه به روز شوند. هکرها اغلب سعی می کنند از آسیب پذیری های موجود در نسخه های قدیمی کد سایت شما سوء استفاده کنند. اگر هر دو مورد را به روز نکنید، سایت خود را در معرض خطر قرار می دهید.

1. به طور منظم افزونه ها^(Plugins) و افزونه های نصب شده^{(Installed Plugins)} را در پنل مدیریت وردپرس^(WordPress) خود انتخاب کنید. همه پلاگین ها را برای وضعیتی که می گوید نسخه جدیدی در دسترس است بررسی کنید.^(Review)

وقتی یکی را می بینید که قدیمی است، گزینه update now را انتخاب کنید . همچنین می‌توانید فعال کردن به‌روزرسانی‌های خودکار را برای افزونه‌های خود انتخاب کنید. 

با این حال، برخی از افراد از انجام این کار احتیاط می کنند زیرا به روز رسانی افزونه ها گاهی اوقات می تواند سایت یا موضوع شما را خراب کند. بنابراین همیشه ایده خوبی است که به‌روزرسانی‌های افزونه را در یک سایت آزمایشی محلی وردپرس^{(local WordPress test site)} قبل از فعال کردن آنها در سایت زنده خود آزمایش کنید.

2. هنگامی که وارد داشبورد وردپرس^(WordPress) خود می شوید، اعلانی را مشاهده می کنید که در صورت استفاده از نسخه قدیمی وردپرس قدیمی است.^(WordPress)

مجدداً از سایت پشتیبان تهیه کنید و آن را در یک سایت آزمایشی محلی در رایانه شخصی خود بارگذاری کنید تا قبل از اینکه آن را در وب سایت زنده خود به روز کنید، آزمایش کنید که به روز رسانی وردپرس^(WordPress) باعث خرابی سایت شما نمی شود.

3. از ویژگی های امنیتی رایگان میزبان وب خود استفاده کنید. اکثر هاست های وب انواع خدمات امنیتی رایگان را برای سایت هایی که در آنجا میزبانی می کنید ارائه می دهند. آنها این کار را انجام می دهند زیرا نه تنها از سایت شما محافظت می کند، بلکه کل سرور را ایمن نگه می دارد. این امر به ویژه زمانی مهم است که در یک حساب میزبانی مشترک هستید که سایر مشتریان وب‌سایت‌هایی در همان سرور دارند.

اینها اغلب شامل نصب رایگان امنیت SSL^{(free SSL security)} برای سایت شما، پشتیبان گیری رایگان^{(free backups)} ، امکان مسدود کردن آدرس های IP مخرب، و حتی یک اسکنر سایت رایگان است که به طور منظم سایت شما را برای هر کد مخرب یا آسیب پذیری اسکن می کند.

راه اندازی یک وب سایت هرگز به سادگی نصب وردپرس^(WordPress) و ارسال محتوا نیست. مهم است که وب سایت وردپرس^(WordPress) خود را تا حد امکان ایمن کنید. تمام نکات بالا می تواند به شما کمک کند بدون تلاش زیاد این کار را انجام دهید.

How to Make a WordPress Site Secure

Launchіng your own WordPress site these days is pretty easу. Unfortυnately, it won’t take long for hackers to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 راه برای پیدا کردن امن ترین رمز عبور

• آیا برنامه پیام‌رسانی شما واقعاً امن است؟

• 3 راه برای گرفتن Photo or Video در Chromebook

• چگونه Detect Computer & Email Monitoring یا Spying Software

• Panel Display Technology Demystified تخت: TN، IPS، VA، OLED و بیشتر

• DVI vs HDMI vs DisplayPort - آنچه شما باید بدانید

• چگونه Caps Lock را روشن یا خاموش بر روی Chromebook

• چگونه به Download and Install Peacock در Firestick

• چگونه به Mute Someone در Discord

• چگونه به Find Birthdays در Facebook

• 10 Best Ways به Child Proof Your Computer

• Best Camera Settings برای Portraits

• 4 Ways برای یافتن بهترین Options اینترنت (ISPs) در منطقه شما

• آیا می توانید Twitch Name خود را تغییر دهید؟ بله، اما Be Careful

• چگونه Post یک مقاله در مورد Linkedin (و Best Times به Post)

• چگونه Search Facebook Friends توسط Location، Job یا School

• نحوه استفاده VLOOKUP در Google ورق

• آیا Schedule AN Uber در Advance نیست؟ در اینجا چیزی است که باید انجام دهیم

• نحوه رفع خطای Steam "در انتظار تراکنش"

• چگونه به تغییر زبان در Netflix