امنیت به معنی جلوگیری از به سرقت رفتن اطلاعات است. اطلاعاتی که ماهها و سالها برای بهدست آوردنش زحمتکشیدهاید! لیست ایمیل کاربران و آمار فروش وبسایت شما هم شامل این اطلاعات خواهد بود. چه قبول کنید و چه نه، وبسایت شما همیشه در شبکه جهانی اینترنت آنلاین است و در حال دستوپنجه نرم کردن با ریسکهای امنیتی میباشد. از طرفی وب سرور سایت شما همیشه پنجرهای بین کسبوکار شما و دنیای اینترنت است. اما در مورد آموزش امنیت وردپرس راهحلی هست؟
آنچه در این مطلب میخوانید:
آموزش امنیت وردپرس
درعینحال تغییرات وبسایت شما، نصب افزونهها و قالبهای مختلف روی وردپرس، آپدیت کردن وردپرس و تغییرات امنیتی وبسایت شما، میتواند سایت این پنجره را تغییر دهد. پس بهتر است به حال امنیت سایت وردپرس خود و وب سرور سایتتان فکری کنید و تا حد ممکن این پنجره را کوچکتر کنید؛ تا از شر این ریسکهای امنیتی در امان باشید.
آیا امنیت وردپرس در خطر هست؟
بهطور نسبی میتوان گفت امنیت سایت وردپرسی شما به خیلی چیزها بستگی دارد. تنظیمات و ماژولهای نصبشده روی سرور سایت شما٬ قالبها و پلاگین های نصبشده روی وردپرس شما و درنهایت مهمترین موضوع نصب و تنظیمات افزونههای امنیتی روی وردپرس شما همگی از اهمیت ویژهای برخوردار هستند. پس اگر این موارد را بهدرستی رعایت کرده باشید عملاً سایت شما غیرقابل نفوذ خواهد بود.
آیا وردپرس امن است؟
همیشه وقتی بحث امنیت وردپرس میشود٬ کاربران از ما میپرسند آیا وردپرس امن است یا خیر؟ بهترین جوابی که برای این سؤال در مورد هر سیستمی (چه وردپرس و چه لینوکس و…) پیدا کردیم این است که:
پس نباید بگوییم کدام سیستم امنترین سیستم مدیریت محتوای دنیا است! درواقع بهتر است بگوییم وردپرس قابلانعطافترین سیستم مدیریت محتوای دنیا است. بهواسطه این انعطافپذیری میتوانید آن را به امنترین سیستم مدیریت محتوای دنیا تبدیل کنید. برای این کار تنها کافی است متخصص امنیت وردپرس شوید.
پس نباید بگوییم کدام سیستم امن ترین سیستم مدیریت محتوای دنیاست! بهتر است بگوییم وردپرس قابل انعطاف ترین سیستم مدیریت محتوای دنیاست و به واسطه این انعطاف پذیری میتوانید آنرا به امن ترین سیستم مدیریت محتوای دنیا تبدیل کنید. کافیست متخصص امنیت وردپرس شوید.
مشکلات امنیتی وردپرس
وقتی یک وبسایت وردپرس را بهصورت خام نصب میکنید طبیعتاً مشکلات زیادی ازنظر امنیت دارید که باید این موارد را حل کنید. مثلاً:
- همه هکر ها میدانند آدرس ورود به پنل مدیریت وردپرس wp-admin هست!
- همه هکر ها میدانند شما به عنوان مدیر سایت٬ در مرحله نصب وردپرس از نام کاربری admin برای ورود به سایتتان استفاده می کنید!
- هر هکر تازه کاری می تواند با استفاده از آدرس wp-admin و وارد کردن نام کاربری admin و تست رمز عبور های مختلف در فرم ورود سایت شما٬ بالاخره وارد مدیریت سایت شما شود! فاجعه هست نه؟!
نه فقط وردپرس٬ بلکه تمام سیستمهای مدیریت محتوا این مشکلات را دارند. درواقع وردپرس قویترین سیستم مدیریت محتوای دنیا است. اما تازه این اول ماجرا است! هر هکری میتواند از روشهای مختلفی مثل XSS بهراحتی اطلاعات شما را به سرقت ببرد. مگر اینکه شما متخصص امنیت وردپرس باشید.
حالا چرا باید آموزش امنیت وردپرس را جدی بگیریم؟
- بیش از ۴۹ درصد نفوذ در اطلاعات سازمانها از طریق وبسایتشان صورت میگیرد.
- در سال ۲۰۱۸ مردم دنیا بیش از ۴۳ بیلیون دلار برای امنیت کسب و کار خود و سیستم هایشان هزینه خواهند کرد!
- روزانه بیش از ۲۰ هزار وبسایت در دنیا هک می شوند!
- سایت شما با هک شدن یا ویروسی شدن٬ از نتایج گوگل حذف خواهد شد!
شاید با خواندن این متن٬ فکر کنید این حرفها برای وبسایتهای پربازدید است و سایت من به این راحتی هک نمیشود. اما در نظر داشته باشید سایتها آنلاین هستند و همیشه در معرض خطر قرار دارند.
داستان دوره آموزش افزایش امنیت وردپرس
در دوره آموزش امنیت وردپرس بهصورت عملی توضیحاتی مفصل در مورد امنیت وردپرس و چگونگی رفع باگهای امنیتی وردپرس ارائه خواهیم کرد. با استفاده از این روشها و تکنیکها میتوانید امنیت سایت خود را تا چند صد برابر افزایش دهید.
در جلسه اول این دوره شروع میکنیم به توضیحاتی در مورد امنیت و اینکه منظور از امنیت چیست؟ آیا وردپرس امن میباشد یا نه؟ و شما و هاستینگ سایت شما چه نقشی در امنیت سایتتان ایفا میکنید. سپس وارد فاز دوم آموزش شده و در مورد امنیت شرکت شما٬ نحوه عقد قرارداد کاری و لحاظ کردن بحث امنیت در قراردادهای کاری شرکتتان صحبت میکنیم. همچنین جلسه سوم را با موضوع جفنگها و اسپمها در وردپرس ادامه میدهیم؛ که با اتمام این جلسه صرفهجویی بسیار زیادی در زمان کاری خود خواهید داشت.
در جلسه چهارم آموزش شروع به امن کردن سایت وردپرسی میکنیم. سپس جلسه پنجم و ششم وردپرس را با نکات بیشتری در مورد امنیت وردپرس و ترفندهای حرفهای تر ادامه خواهیم داد. علاوه بر این جلسه هفتم را در مورد امنیت سرور و امکانات موردنیاز برای میزبانی ایمن یک وبسایت وردپرسی شروع میکنیم.
درنهایت به این موضوع که اگر وبسایت شما هک شد یا مورد نفوذ هکرها قرار گرفت میپردازیم. همچنین به شما توضیح میدهیم چطور بدون از دست رفتن اطلاعات سایتتان میتوانید وردپرس را پاکسازی کنید؛ و یا حتی اگر اطلاعات شما توسط هکر حذفشده بود و بک آپی از سایت شما موجود نبود چطور بخشی از سایت (شاید تمام بخشهای وبسایت) را بدون نیاز به فایل بک آپ بازیابی کنیم. همچنین اگر سایت شما بهواسطه این هک شدن یا ویروسی شدن از نتایج گوگل حذفشده بود چطور آن را به نتایج گوگل برگردانیم.
سرفصلهای این دوره آموزشی
جلسه اول – مقدمه و اصول امنیت
- امنیت چیست؟ آیا وردپرس امن است؟
- چرا امنیت سایت اینقدر مهم است؟
- نقش شما در امنیت سایتتان
- نقش وب هاستینگ در امنیت سایت
- انتخاب هاست امن و محکم
- امنیت سیستم شما و ارتباطش با امنیت سایت شما
- سطوح دسترسی کاربران در وردپرس و امنیت آن
- قدم اول – آپدیت نگه داشتن وردپرس و اهمیت آن
- تاثیر قالب ها و افزونه های غیر معتبر (نال شده) در امنیت سایت
- حملات bruteforce چیست؟
جلسه دوم – امنیت داخلی در شرکت شما
- وردپرس را ایمن نصب کنید
- چگونگی دسترسی دادن به کارمندان شرکت
- نکات مهم هنگام عقد قراردادهای استخدام کارمند
- استفاده از وای فای امن در شرکت
- استفاده از پروتکل ssl و اهمیت آن در امنیت سایت
جلسه سوم – مقابله با جفنگ ها
- جفنگ چیست و چطور با آن مقابله کنیم؟
- جلوگیری از ارسال pingback به سایت
- نصب افزونه akismet
- تنظیمات akismet و دریافت api آن
- قرار دادن کپچا روی فرم نظرات وردپرس
جلسه چهارم – سایتتان را امن کنید
- اهمیت رمز عبور شما در امنیت سایتتان
- انتخاب رمز عبور قوی و روش های انجام آن
- مدیریت رمز عبور های متفاوت با یک روش بسیار ساده
- بهترین افزونه امنیت برای وردپرس
- بک آپ گیری مداوم از وردپرس
- بهترین راه بک آپ گیری از سایت
- مخفی کردن فایل های اطلاعاتی وردپرس
- مخفی کردن نسخه فعلی وردپرس در کدهای سایت
- غیر فعال کردن ثبت نام در وردپرس (در صورت عدم نیاز)
جلسه پنجم – سایتتان را بیشتر امن کنید
- تغییر نام کاربری admin در وردپرس
- تغییر نام نمایشی مدیر سایت
- تغییر آدرس ورود به پنل مدیریت وردپرس
- غیر فعال کردن ویرایش فایل php از پنل مدیریت وردپرس
- محدودیت تعداد ورود غیرمجاز در وردپرس
- تغییر پیشوند جداول دیتابیس
- خروج خودکار کاربران غیر فعال در وردپرس
- افزودن سوال امنیتی به فرم ورود و عضویت سایت
- اطلاع از تغییرات فایل ها در وبسایت
- فعال کردن فایروال وردپرس
- عمومی کردن پیام ورود به سیستم
جلسه ششم – متخصص امنیت شوید
- غیر فعال کردن اجرای فایل php در پوشه آپلود وردپرس
- قراردادن رمز دوم روی پنل مدیریت وردپرس
- غیر فعال کردن Directory Indexing
- دسترسی به فایل xml–rpc
- غیر فعال کردن PHP OpenBase Dir
جلسه هفتم – سرور سایت را امن کنید
- تغییر پورت SSH سرور اصلی
- آپدیت کردن وب سرور لینوکسی با دستور yum
- از هاست اشتراکی استفاده کنیم یا سرور اختصاصی؟
- تاثیر CloudLinux در امنیت و stable بودن سایت
- ماژول cagefs چیست؟
- از هاست ویندوزی استفاده کنیم یا لینوکس؟
- استفاده از SFTP به جای FTP
- سطح دسترسی فایل ها در وردپرس
- ازکدام پنل هاستینگ استفاده کنیم؟
- آنتی ویروس ClamAV
- فایروال CSF و چگونگی برقراری امنیت توسط آن
- اسکنر اکسپلویت CXS و نقش آن در امنیت
- نصب mod_security در سی پنل
جلسه هشتم – در باب سایت های هک شده
- چه موقع میگوییم سایت ما هک شده؟
- نحوه تشخیص سایت هک شده
- اسکن کردن سایت بدون نیاز به افزونه
- تشخیص سایت هک شده از پنل وبمستر تولز
- پاکسازی کامل سایت هک شده بدون از دست رفتن اطلاعات
- پاکسازی کامل سایت هک شده با از دست رفتن اطلاعات
- ترفند: بازیابی برخی اطلاعات از دست رفته حتی در صورت نداشتن بک آپ
- بازیابی سایت هک شده در نتایج گوگل
جلسه نهم – از SSL رایگان استفاده کنیم یا پولی؟
- بهترین شرکتهای ارائه دهنده اس اس ال
- از اس اس ال رایگان استفاده کنیم یا Paid SSL؟
جلسه دهم – HSTS و استفاده از آن در وردپرس
- HSTS چیست؟
- چرا از HSTS استفاده میکنیم؟
- آموزش فعالسازی HSTS در وردپرس
مدرس این دوره آموزشی
رضا حسینی راد
- مدیر و موسس وبسایت میهن وردپرس با رتبه ۳۵۰ ایران
- دارای گواهینامه SEO Expert از SEO MOZ
- دارای گواهینامه بین المللی PHP , HTML & CSS و JavaScript از W3Schools
- نویسنده کتاب شاه کلید سئو
- مشاور و مدرس کسبوکار اینترنتی
تفاوت این دوره با سایر دورههای آموزشی
- در این دوره یک وبسایت را بصورت کاملا عملی از نظر امنیتی بهینه خواهیم کرد.
سوالات متداول
در کاربردی بودن مطالب این دوره شک دارم.
اگر در کاربردی بودن مطالب دوره شک دارید، همین الان شما را به یک چالش دعوت میکنیم. از یک هکر بخواهید به سایت میهن وردپرس نفوذ کند.
نحوه پشتیبانی این دوره
لیست بروزرسانیها
در تاریخ 4 اسفند 1397 جلسه دهم به دوره آموزش امنیت وردپرس اضافه شد.
- در این جلسه در مورد HSTS صحبت کردیم.
در تاریخ 28 مهر 1397 جلسه نهم به دوره آموزش امنیت وردپرس اضافه شد.
- در این جلسه درباره بهترین شرکتهای ارائه دهنده SSL و انتخاب بین SSL رایگان یا پولی صحبت شد.
سلام وقت بخیر ، در دوره وردپرس حرفه ای، گفتید سایت ما بقدری امن است که هرکی شک دارد میگوییم اگر میتوانی سایت ما را هک کنید. آیا در این آموزش امنیت کلیه مراحل گفته شده که بشود همچون شما برای امنیت آن حرف زده شود و یا اینکه شما کارهایی بیشتر از این آموزش انجام دادید برای خودتان؟
با سلام و احترام
بله تمامی مراحلی که برای امنیت سایت شما نیاز هست رو توضیح داده ایم این آموزش
سلام خسته نباشید – تو این دوره با کدوم پلاگین کار کردید ؟ آیا پلاگین رو به طور کامل آموزش دادید ؟
با سلام و احترام
پلاگین وردپرس راکت. بله کامل توضیح داده شده است
با سلام خدمت شما من کل اموزش رو دیدم و دو سوال برام پیش اومد
1 توی درس 10 شما گفتین که به صورت عادی وقتی که سایت قرار باز شه کاربر وقتی http وارد میکنه ریدایرکت انجام میشه و میشه httpsحالا این ریدایرکت در سرور انجام میشه یا مرورگر این کار رو میکنه؟
2 درمورد sslهم گفتیم که میاد با پروتکل https سایت رو باز میکند ایا https نام دیگر اس اس ال هست
با سلام و احترام
در ارتباط با محصولات خریدرای شده هرگونه مشکل یا سوالی که داشتید لطفا از طریق ارسال تکیت با بخش پشتیبانی سایت در ارتباط باشیدhttps://mihanwp.com/support/
با سلام در یکی از سایت های اینترنت خوندم که در هنگام نصب ورد پرس بهتر از به جای وارد کردن نام پایگاه داده و نام کاربری و رمز عبور را بهتر از پوشه س wp -confing وارد کنید اول این نکته درست هست ؟
دوم در اپدیت های جدید با توجه به تغییر نام و حذف Sample -خطای نام کاربری یا رمز یا پایگاه داده اشتباه هست را می دهد ؟ چرا ؟
ولی در نصب خود وردپرس خیچ خطایی نمی دهد برای همون نام کاربری و پایگاه داده
سلام خیر از روشی که در سایت گفته شده انجام دهید مشکلی پیش نمیاد
سلام خسته نباشید
من قالبم رو آپدیت کردم (قالب آوادا) و الان کلا گزینه بروز رسانی از پیشخوان وردپرس و همینطور از قسمت افزونه ها حذف شد با اینکه میدونم تعدادی از افزونه هام به روز نیست ولی گزینه آپدیت رو اصلا نشون نمیده حتی آپدیت وردپرسم دیگه نشون نمیده
ممنون میشم راهنمایی کنید اشکال از کجاست
سلام
آپدیت افزونههای همراه قالب را از فایل بسته نصبی دریافت کنید. وارد پوشه wp-content/plugins موجود در فایل archive بسته نصبی شوید و افزونه مورد نظر را در پوشه plugins سایتتان جایگزین کنید.
سلام. برای میلاد امام رضا علیهالسلام، تخفیف میذارین؟
سلام تخفیف ها توسط تیم فروش تصمیم گیری میشوند . مشخص نیست در صورت ارائه تخفیف در کانال تلگرام اطلاع رسانی خواهیم کرد.
سلام ممنون از آموزش های خوبتون
لطفا آموزش استفاده از افزونه های itheme security و Wordfence Security را هم بذارید، خیلی نیاز دارم ممنون
سلام. دوره بهزودی آپدیت میشه و افزونههای دیگر رو هم آموزش خواهیم داد.
سلام
افزونه رو فعال کردم ولی ولی محیطش انگلیسی هست . چطور میتونم فارسیش کنم؟
سلام از بخش بروزرسانی های وردپرس روی بروزرسانی ترجمهها کلیک کنید.
انجام دادم ولی هنوز افزونه انگلیشی هست
نسخه فارسی افزونه را مجدد دانلود کرده و نصب کنید. در سایت ما هم موجود هست.
انجام دادم ولی هنوز انگلیسی هست
لطفا اطلاعات ورود به سایت را ارسال بفرمایید بررسی کنیم.
سلام برای امنیت من از افزونه ایی که خودتان گفتید در سایت استفاده کردم All In One WP Security & Firewall
آیا نیازه از افزونه های دیگری مثل itheme security و یا Wordfence Security اسفاده کنم؟ لطفا بگید کدوم بهتره ممنون
سلام خیر نیاز نیست. همزمان یک افزونه رو نصب کنید و all in one افزونه خوبی هست.
سلام .این آموزش با افزونه All in one wp security توضیح داده شده؟
سلام هم با این افزونه و هم موارد دیگری که برای امنیت نیاز هست.
دوره بسیار عالی بود سپاس. منتظر آپدیتهای بعدی هستیم.
سپاس از شما
سلام . با تهیه این بسته اموزشی میتونیم یاد بگیریم به طور کامل ssl رو بر روی سایتمان تنظیم کنییم ؟ یعنی جوری اموزش داده شده که نیازی نباشه این کار رو به فرد متخصص واگذار کنیم ؟
درود خیر نصب SSL باید توسط هاست شما یا ارائه دهنده خدمات SSL انجام شود
سلام
خیلی ممنون از آموزش های خوبتون من تا اخر قسمت 5 دیدم فعلا
دو تا مشکل دارم
1- برای تغییر پیشوند جدولای دیتابیس نمیذاره فایل wp-config ادیت بشه و بخاطر همین نمیتونم پیشوند رو عوض کنم میشه راهنمایی کنید که چجوری ادیت این فایل رو فعال کنم
2-وقتی که از تم آماده که به فارسی ترجمه شده استفاده میکنم و هربار آپدیت های قالبمو انجام میدم باید جداگانه وردپرس رو هم اپدیت کنم؟ چون از جایی که قالب رو گرفتم میگن که نیازی نیست و همین که هر سری قالب رو اپدیت کنم کافیه اما تو پیشخوان وردپرسم نوشته که وردپرسم قدیمیه و برای آپدیتش به نسخه جدید کلیک کنم…باید کلیک کنم؟ یا طبق حرف فروشنده قالب نیازی نیس؟
3-تو سایتتون رفتم backup buddy رو بخرم دیدیم نیست چه افزونه دیگه ای پیشنهاد میدین برای بکاپ؟
بازم ممنونم از آموزشای خیلی خوبتون
سلام سپاس از شما
۱. باید از هاست بخواهید سطح دسترسی این فایل رو تغییر بدن
۲. بله حتما باید وردپرس رو آپدیت کنید
۳. از هاست بک آپ بگیرید بهتره.
سلام و درود خدمت شما
چطور افزونه رو مخفی کنیم
اگر هکر وارد پنل مدیریت بشه از هر راهی افزونه رو مشاهده کنه که میزنه همرو غیر فعال میکنه
* یک مشکل پیش امده اینکه آدرس ورود به پنل مدیریت وردپرس wp-admin را تغییر دادم
اما غیر فعال میشه خودکار .که فهمیدم از قابلیت جلوگیری از بورث فورث بر اساس کوکی بوده که غیر فعال کردم اما مثل اینکه هنوز داخل دیتابیس هست و ادرس ورود رو میزاره پیش فرض
باید چیکار کنم بکاپ هم متاسفانه نگرفتم
اما
سلام امکان مخفی کردن نیست. صرفا یک راه هست برای جلوگیری از دسترسی کاربرانی که دسترسی مدیریت پیدا نمیکنند. مثلا کاربری با سطح دسترسی ویرایشگر
قابلیت بروت فورس رو غیر فعال کنید. فقط آدرس ورود به وردپرس رو تغییر بدید تا تغییر نکنه خودکار
سلام و دورد
در این آموزش برای افزایش امنیت وردپرس از کدوم افزونه امنیتی استفاده شده ؟ بنده از افزونه وردفنس پرو استفاده میکنم.
درود از امنیت فراگیر وردپرس