چگونه امنیت سایت وردپرس را تقویت کنیم؟ | ۱۸ راهکار عملی و سریع ۲۰۲۶ | وبکام

مقدمه:

سایت وردپرسی داری و میترسی یه روز صبح بیدار شی و سایتت رفته باشه؟ بیا مستقیم بریم سر اصل کار. من همه راهکارهای عملی رو برات لیست کردم که خودت بتونی اجرا کنی. هر کدوم رو انجام بدی، لایه امنیتی سایتت قویتر میشه.

اول همه چیز رو به روز نگه دار. وردپرس اصلی، قالب و افزونه‌ها رو همیشه آپدیت کن.

نسخه‌های قدیمی پر از باگ امنیتی هستن و هکرها دقیقا همونجا حمله میکنن. برو پیشخوان > به‌روزرسانی‌ها. همه رو یکجا ببین و نصب کن. حداقل هفته‌ای یک بار این کار رو بکن. اگر آپدیت خودکار فعال نیست، دستی انجام بده. این کار ساده‌ترین و قوی‌ترین دفاعته.

رمز عبور قوی بذار و احراز هویت دو مرحله‌ای رو روشن کن. رمز “admin123” یا اسم شرکتت رو دیگه استفاده نکن. از مدیر رمز عبور مثل LastPass یا Bitwarden استفاده کن و رمز ۱۶ کاراکتری بساز. برای ۲FA بهترین گزینه Google Authenticator یا Authy هست. افزونه Wordfence یا iThemes Security این کار رو برات راحت می‌کنه. بعد از فعال کردن، حتی اگه کسی رمزت رو بدونه، بدون کد گوشی نمیتونه وارد بشه.

تعداد تلاش لاگین رو محدود کن. هکرها با ابزارهای اتوماتیک هزاران بار رمز تست میکنن. این حمله brute force رو با محدود کردن تلاش‌ها متوقف کن.

افزونه Limit Login Attempts Reloaded یا همون Wordfence این کار رو انجام میده. بعد از ۳-۴ تلاش اشتباه، آی‌پی رو بلاک کن. این کار ۹۰ درصد حملات ساده رو دفع میکنه.

افزونه امنیتی قوی نصب کن. Wordfence بهترین انتخاب برای بیشتر سایت‌هاست. فایروال داره، بدافزار اسکن میکنه، حمله‌ها رو بلاک میکنه و گزارش کامل میده. نسخه رایگانش هم عالی کار میکنه. iThemes Security هم خوبه برای تغییر آدرس ورود و قفل کردن فایل‌ها.

تو مقاله «بهترین افزونه های وردپرس برای کسب‌وکار» لیست کامل و مقایسه‌شون رو گذاشتم. حتما بخون و انتخاب کن: https://webcomco.com/بهترین-افزونه-های-وردپرس/

فایروال وب اپلیکیشن (WAF) فعال کن. Wordfence فایروال داخلی داره. Cloudflare هم رایگان و فوق‌العاده‌ست. تو Cloudflare ثبت‌نام کن، DNS رو تغییر بده و فایروال رو روی Medium یا High بذار. این کار ترافیک مشکوک رو قبل از رسیدن به سایتت فیلتر میکنه.

گواهی SSL نصب کن و سایت رو به HTTPS ببر. هاستینگ بیشتر شرکت‌ها Let’s Encrypt رایگان میده. تو cPanel یا پنل هاستینگ یک کلیک نصب کن. بعد تو وردپرس آدرس سایت رو از http به https تغییر بده. این کار داده‌های کاربر رو رمزنگاری میکنه و گوگل هم رتبه بهتری میده.

بکاپ منظم بگیر و تست کن. هر هفته بکاپ کامل از فایل‌ها و دیتابیس بگیر. UpdraftPlus بهترین افزونه‌ست. بکاپ رو به گوگل درایو یا دراپ‌باکس بفرست. هر ماه یک بار بکاپ رو روی هاست تست کن که مطمئن شی درست برگردونده میشه. بدون بکاپ، اگه هک بشی همه چیز از دست میره.

مجوز فایل‌ها و پوشه‌ها رو درست تنظیم کن. از طریق FTP یا فایل منیجر هاستینگ:

• پوشه‌ها ۷۵۵
• فایل‌ها ۶۴۴
• wp-config.php رو ۶۰۰ کن این کار جلوی دستکاری فایل‌ها رو میگیره. هر ماه چک کن تغییر نکرده باشه.

افزونه و قالب اضافه رو حذف کن. هر افزونه‌ای که استفاده نمی‌کنی رو کامل پاک کن. حتی اگه غیرفعال باشه، کدش هنوز تو سرور هست و ممکنه آسیب‌پذیر باشه. قالب‌های پیش‌فرض مثل Twenty Twenty-Four رو هم اگر استفاده نمی‌کنی حذف کن. سایت سبک‌تر و امن‌تر میشه.

اسکن بدافزار رو هفتگی انجام بده. Wordfence اسکن کامل داره. Sucuri هم عالیه. اسکن رو شب‌ها زمان‌بندی کن تا سایت کند نشه. اگه چیزی پیدا کرد، فوری پاک کن و بکاپ قبلی رو برگردون.

آدرس صفحه ورود رو تغییر بده. wp-login.php رو پنهان کن. افزونه iThemes Security یا Wordfence این کار رو با یک کلیک انجام میده. مثلا آدرس جدید بشه /mysecurelogin. هکرها دیگه نمیتونن راحت پیدا کنن.

XML-RPC رو غیرفعال کن اگه نیاز نداری. بیشتر سایت‌ها بهش نیاز ندارن ولی هکرها ازش سوءاستفاده میکنن. تو فایل functions.php کد زیر رو اضافه کن: add_filter(‘xmlrpc_enabled’, ‘__return_false’); یا از افزونه امنیتی استفاده کن.

پیشوند جدول دیتابیس رو تغییر بده. به جای wp_ از چیزی مثل wp_abc123_ استفاده کن. موقع نصب جدید این کار رو بکن یا با افزونه تغییر بده. این کار حدس زدن نام جدول‌ها رو سخت میکنه.

ویرایش فایل از پیشخوان رو غیرفعال کن. تو wp-config.php این خط رو اضافه کن: define(‘DISALLOW_FILE_EDIT’, true); این کار جلوی هکرهایی که به پیشخوان دسترسی پیدا کردن رو میگیره که فایل تغییر بدن.

هاستینگ امن انتخاب کن یا ارتقا بده. هاست اشتراکی معمولی امنیت ضعیفی داره. هاست وردپرس مدیریت‌شده با فایروال، اسکن روزانه و بکاپ اتوماتیک بگیر. اگه سایتت رشد کرده، به هاستینگ قوی‌تر برو. امنیت از پایه شروع میشه.

از CDN با امنیت بالا استفاده کن. Cloudflare رایگان شروع خوبیه. DDoS Protection، WAF و SSL رایگان داره. فعال کردنش کمتر از ۱۰ دقیقه طول میکشه و سرعت سایتت هم چند برابر میشه.

هدرهای امنیتی رو اضافه کن. تو .htaccess یا با افزونه Security Headers این هدرها رو بذار: X-Frame-Options SAMEORIGIN X-XSS-Protection “1; mode=block” Strict-Transport-Security این کار جلوی حمله‌های رایج مثل clickjacking رو میگیره.

لاگ‌ها رو مانیتور کن. Wordfence لاگ حمله‌ها رو نشون میده. هر هفته ۵ دقیقه وقت بذار و ببین چه آی‌پی‌هایی تلاش کردن وارد بشن. آی‌پی‌های مشکوک رو بلاک کن.

از افزونه‌های نال و کرک شده دوری کن. این افزونه‌ها خودشون بدافزار دارن. همیشه از مخزن رسمی وردپرس یا سایت سازنده بخر. صرفه‌جویی ۵۰ هزار تومنی امروز، فردا سایتت رو از دست میده.

جدول چک لیست کامل امنیت سایت وردپرس

این جدول رو پرینت کن و هر ماه تیک بزن. همه موارد رو اجرا کنی، سایتت جزو امن‌ترین سایت‌های وردپرسی میشه.

سوالات متداول

چرا سایت وردپرسی هک میشه؟

چون وردپرس محبوب‌ترین سیستمه و هکرها بیشتر روش تمرکز دارن. ولی با همین راهکارهایی که گفتم، ریسک رو به حداقل میرسونی.

بهترین افزونه امنیتی وردپرس چیه؟

Wordfence برای اکثر سایت‌ها بهترینه. رایگان، کامل و به‌روز. اگه سایت فروشگاهی داری، iThemes Security هم عالیه.

آیا باید هزینه کنم برای امنیت؟

نسخه رایگان Wordfence و Cloudflare کافیه برای ۹۰ درصد سایت‌ها. فقط زمان بذار.

چقدر طول میکشه سایت رو امن کنم؟

اولین بار ۲-۳ ساعت. بعدش هر هفته ۱۵ دقیقه کافیه.

اگر سایتم هک شد چیکار کنم؟

فوری بکاپ جدید بگیر، همه چیز رو آپدیت کن، افزونه امنیتی نصب کن و فایل‌ها رو اسکن کن. اگه پیچیده بود با تیم ما تماس بگیر.

آیا تغییر آدرس ورود واقعا کمک میکنه؟

بله، چون ۸۰ درصد حملات اتوماتیک فقط wp-login.php رو هدف میگیرن.

چطور بدون دانش فنی این کارها رو انجام بدم؟ همه افزونه‌ها رابط ساده دارن. یا با ۰۹۰۵۵۷۱۶۵۶۳ تماس بگیر تا تیم وبکام برات انجام بده.

آیا هاستینگ مهمه؟

بله. هاست ضعیف همه زحماتت رو هدر میده. هاست وردپرس مدیریت‌شده بگیر.