افزایش امنیت سایت وردپرس نیازمند دانستن رازهایی است که در این مقاله به زبانی ساده و دوستانه به شما آموزش می‌دهم. امنیت وردپرس چگونه است؟ سوالی که ذهن هر صاحب سایت وردپرسی را درگیر کرده و امروز با هم قدم به قدم آن را بررسی می‌کنیم. افزونه امنیتی وردپرس تنها بخشی از پازل امنیت است و من به شما نشان می‌دهم چطور بهترین افزونه امنیت وردپرس را برای سایت خود انتخاب کنید.

👋 , اگر نگران امنیت سایت وردپرسی خود هستی، دقیقاً جای درستی آمده‌ای. من اینجا هستم تا مثل یک دوست باتجربه، تمام نکات امنیتی که واقعاً کار می‌کنند را با تو به اشتراک بگذارم. قرار نیست با اصطلاحات پیچیده تو را سردرگم کنم، بلکه می‌خواهم به ساده‌ترین زبان ممکن، راه‌های عملی محافظت از سایتت را آموزش دهم.

بخش اول: چرا امنیت وردپرس اینقدر مهم است؟

داستانی از زندگی واقعی
یک ماه پیش، دوستی با من تماس گرفت که سایت فروشگاهی‌اش هک شده بود. هکرها تمام محصولاتش را پاک کرده و پیام “سایت شما ناامن است!” را روی صفحه اصلی گذاشته بودند. او ۳ روز برای بازیابی سایتش زمان گذاشت و بیش از ۱۰ میلیون تومان ضرر کرد. اما جالب اینجاست که فقط با ۵ تنظیم ساده می‌توانست از این اتفاق جلوگیری کند!

آمارهایی که باید بدانی
– هر ۳۹ ثانیه یک حمله سایبری در دنیا اتفاق می‌افتد
– ۹۸٪ سایت‌های هک شده وردپرسی، به‌روزرسانی نشده بودند
– ۷۳٪ حملات از طریق صفحه ورود وردپرس صورت می‌گیرد
– افزونه امنیتی وردپرس مناسب می‌تواند ۹۵٪ حملات را مسدود کند

بخش دوم: صفحه ورود وردپرس – قلعه اول دفاعی شما

چرا صفحه ورود اینقدر خطرناک است؟
صفحه ورود وردپرس مثل درب اصلی خانه شماست. اگر این درب قفل محکمی نداشته باشد، هرکسی می‌تواند وارد شود. هکرها با روش‌های مختلف سعی می‌کنند از این درب عبور کنند.

۷ تکنیک طلایی برای تبدیل صفحه ورود به قلعه نفوذناپذیر

۱. تغییر آدرس صفحه ورود (مهم‌ترین قدم)
آیا می‌دانی که همه می‌دانند آدرس صفحه ورود وردپرس yoursite.com/wp-admin یا yoursite.com/wp-login.php است؟ این مثل این می‌ماند که کلید خانه را زیر گلدان بگذاری و فکر کنی کسی پیدایش نمی‌کند!

چطور آدرس را تغییر دهیم:
1. از افزونه WPS Hide Login استفاده کن
2. وارد بخش تنظیمات افزونه شو
3. یک آدرس دلخواه مانند yoursite.com/my-secret-door انتخاب کن
4. تغییرات را ذخیره کن

نکته مهم: آدرس انتخابی را جایی امن یادداشت کن!

۲. فعال‌سازی احراز هویت دو مرحله‌ای (2FA)
تصور کن برای ورود به خانه‌ات علاوه بر کلید، نیاز به اثر انگشت هم داشته باشی. این دقیقاً کاری است که 2FA انجام می‌دهد.

بهترین روش‌های 2FA:
– Google Authenticator: رایگان و بسیار امن
– Authy: پشتیبانی از چند دستگاه
– Email Verification: ارسال کد به ایمیل

نحوه راه‌اندازی:
1. افزونه Wordfence را نصب کن
2. به بخش Login Security برو
3. 2FA را فعال کن
4. با اپلیکیشن موبایل اسکن کن

۳. محدود کردن تلاش برای ورود
آیا اجازه می‌دهی یک دزد ۱۰۰ بار درب خانه‌ات را امتحان کند؟ قطعاً نه! پس چرا به هکرها این اجازه را می‌دهی؟

تنظیمات پیشنهادی:
– حداکثر ۳ تلاش ناموفق
– قفل شدن به مدت ۳۰ دقیقه
– مسدود شدن IP پس از ۵ بار قفل شدن

۴. استفاده از کپچا
کپچا مثل نگهبانی است که از ربات‌ها می‌پرسد: “آیا انسان هستی؟”

بهترین نوع کپچا: Google reCAPTCHA v3
– کاربران نیاز نیست چیزی را حل کنند
– در پس‌زمینه کار می‌کند
– تجربه کاربری خوبی دارد

۵. غیرفعال کردن ورود با نام کاربری
می‌توانی طوری تنظیم کنی که کاربران فقط با ایمیل وارد شوند.

کد مورد نیاز برای functions.php:
// غیرفعال کردن ورود با نام کاربری
function disable_username_login( $username, $raw_username, $strict ) {
if ( ! is_email( $username ) ) {
return ”;
}
return $username;
}
add_filter( ‘authenticate’, ‘disable_username_login’, 20, 3 );
۶. زمان‌بندی برای صفحه ورود
می‌توانی تعیین کنی که صفحه ورود فقط در ساعات خاصی در دسترس باشد.

برای سایت‌های ایرانی:
– فعال از ۶ صبح تا ۱۰ شب
– غیرفعال در شب (زمانی که سایت بازدید کمتری دارد)

۷. نظارت بر لاگ‌های ورود
همیشه بدان چه کسی، چه زمانی و از کجا وارد شده است.

افزونه‌های پیشنهادی:
– فضای امن | Safeam Space
– WP Security Audit Log
– Simple History

بخش سوم: افزونه‌های امنیتی – محافظان واقعی سایت

تفاوت اصلی: WAF در مقابل اسکنرها
بسیاری نمی‌دانند که افزونه امنیتی وردپرس دو نوع اصلی دارد:

نوع اول: WAF (فایروال برنامه‌های کاربردی وب)
کارکرد: مثل یک گارد امنیتی است که قبل از ورود به سایت، هر کسی را چک می‌کند.

بهترین WAFها:
1. Wordfence Security – محبوب‌ترین و کامل‌ترین
– قیمت: رایگان (نسخه پریمیوم از ۹۹ دلار)
– مزایا: فایروال داخلی، اسکنر بدافزار
– معایب: ممکن است کمی سرعت را کم کند

2. Sucuri Security – فایروال ابری قدرتمند
– قیمت: از ۱۹۹ دلار در سال
– مزایا: ترافیک مخرب را قبل از سرور مسدود می‌کند
– معایب: گران‌تر از بقیه

3. NinjaFirewall – سبک و سریع
– قیمت: رایگان
– مزایا: تاثیر کم روی سرعت
– معایب: امکانات کمتر

نوع دوم: اسکنرهای بدافزار
کارکرد: مثل یک پزشک است که مرتباً سایت را چک‌اپ می‌کند.

بهترین اسکنرها:
1. MalCare – بهترین اسکنر حرفه‌ای
– قیمت: از ۹۹ دلار در سال
– مزایا: اسکن عمیق، پاکسازی خودکار
– معایب: گران

2. Quttera Web Malware Scanner – دقت بالا
– قیمت: رایگان
– مزایا: شناسایی کدهای مخرب پنهان
– معایب: رابط کاربری پیچیده

3. Virusdie – اسکنر + فایروال
– قیمت: از ۹٫۹۵ دلار در ماه
– مزایا: ترکیب خوبی از امکانات
– معایب: پشتیبانی ضعیف

مقایسه عملی: کدام را انتخاب کنیم؟

اگر مبتدی هستید:
– Wordfence رایگان + Google reCAPTCHA

اگر سایت فروشگاهی دارید:
– Wordfence پریمیوم + MalCare

اگر بودجه کمی دارید:
– All In One WP Security + NinjaFirewall

اگر سرعت برایتان مهم است:
– Sucuri (فایروال ابری) + اسکنر سبک

بخش چهارم: رازهای امنیت دیتابیس وردپرس

چرا دیتابیس اینقدر مهم است؟
دیتابیس وردپرس مثل مغز سایت شماست. تمام اطلاعات کاربران، محصولات، مقالات و تنظیمات در آن ذخیره شده است.

۵ قدم طلایی برای امنیت دیتابیس

۱. تغییر پیشوند جداول (ضروری)
پیشوند پیشفرض wp_ را باید حتماً تغییر دهی.

اگر سایت را تازه نصب می‌کنی:
در مرحله نصب وردپرس، پیشوند را به چیزی مانند myse_ تغییر بده.

اگر سایت از قبل نصب شده:
1. از افزونه Change Table Prefix استفاده کن
2. از سایت پشتیبان بگیر
3. پیشوند را تغییر بده
4. سایت را تست کن

۲. رمزنگاری داده‌های حساس
برخی اطلاعات مانند گذرواژه‌ها باید رمزنگاری شوند.

مواردی که باید رمزنگاری شوند:
– گذرواژه کاربران
– اطلاعات کارت‌های بانکی
– اطلاعات شخصی کاربران

افزونه‌های مفید:
– WP Encryption – رایگان و ساده
– iThemes Security – دارای گزینه رمزنگاری

۳. تنظیم دسترسی‌های دیتابیس
کاربر دیتابیس نباید دسترسی کامل داشته باشد.

دسترسی‌های ضروری:
– SELECT
– INSERT
– UPDATE
– DELETE

دسترسی‌های غیرضروری (غیرفعال کن):
– DROP
– GRANT
– ALTER

۴. پشتیبان‌گیری منظم از دیتابیس
برنامه پیشنهادی:
– روزانه: پشتیبان از تغییرات
– هفتگی: پشتیبان کامل
– ماهانه: پشتیبان در مکان دیگر

افزونه‌های پشتیبان:
– UpdraftPlus – بهترین و رایگان
– BackWPup – سبک و سریع

۵. نظارت بر کوئری‌های مشکوک
می‌توانی کوئری‌های غیرعادی به دیتابیس را شناسایی کنی.

نشانه‌های کوئری مشکوک:
– تعداد زیاد کوئری در زمان کوتاه
– کوئری‌های دارای کلمات خاص مانند UNION, SELECT *
– کوئری‌های از IPهای ناشناس

بخش پنجم: ۴ اشتباه مهلک در تنظیمات پیشخوان

اشتباه ۱: استفاده از نام کاربری “admin”
این مثل این است که روی درب خانه بنویسی: “لطفاً دزدیده شود!”

راه حل:
1. یک کاربر جدید با دسترسی ادمین بساز
2. با کاربر جدید وارد شو
3. کاربر “admin” را حذف کن
4. مقالات کاربر قدیمی را به کاربر جدید منتقل کن

اشتباه ۲: غیرفعال کردن به‌روزرسانی‌ها
هر به‌روزرسانی وصله امنیتی دارد.

تنظیمات پیشنهادی:
– به‌روزرسانی‌های جزئی: خودکار
– به‌روزرسانی‌های اصلی: ابتدا در محیط تست
– افزونه‌ها و قالب‌ها: به‌روزرسانی خودکار

اشتباه ۳: اجازه ثبت‌نام آزاد کاربران
اگر سایت شما نیاز به ثبت‌نام کاربران ندارد، آن را غیرفعال کن.

مراحل:
1. به پیشخوان وردپرس برو
2. به تنظیمات > عمومی برو
3. گزینه “عضویت” را غیرفعال کن
4. اگر نیاز به ثبت‌نام داری، حتما تایید ایمیل فعال کن

اشتباه ۴: نادیده گرفتن بررسی دسترسی‌ها
هر ۳ ماه یکبار باید بررسی کنی:
– چه کاربرانی دسترسی دارند؟
– آخرین ورود هر کاربر چه زمانی بوده؟
– آیا کاربر غیرفعالی وجود دارد؟

بخش ششم: ایمن‌سازی فایل‌های حیاتی

فایل wp-config.php – قلب تپنده وردپرس

چرا مهم است؟
این فایل شامل تمام اطلاعات حیاتی سایت شماست:
– اطلاعات اتصال به دیتابیس
– کلیدهای امنیتی
– تنظیمات پیشرفته

۷ قدم برای محافظت:

۱. تغییر محل فایل (مهم)
فایل را به خارج از پوشه public_html منتقل کن.

مراحل:
1. از فایل پشتیبان بگیر
2. فایل را به پوشه بالاتر منتقل کن
3. نصب پلاگین فضای امن

۲. تنظیم مجوزهای دسترسی
– بهینه: ۶۰۰ (فقط مالک می‌تواند بخواند و بنویسد)
– قابل قبول: ۶۴۰

۳. روش های مهم امنیتی

// غیرفعال کردن ویرایشگر فایل

// غیرفعال کردن نصب قالب و افزونه

۴. مخفی کردن اطلاعات خطاها
### فایل htaccess. – محافظ اصلی سرور

مکان‌های اصلی:
1. پوشه ریشه سایت
2. پوشه wp-admin
3. پوشه wp-content

کدهای امنیتی ضروری:
# مسدود کردن دسترسی به فایل‌های حساس
# محافظت از فایل wp-config.php
# مسدود کردن اسکریپت‌های مخرب
# محدود کردن دسترسی به IPهای خاص
# جلوگیری از اجرای PHP در پوشه آپلود
بخش هفتم: برنامه عملی ۳۰ روزه برای امنیت کامل

هفته اول: پایه‌ریزی امنیت
روز ۱-۲: نصب و تنظیم افزونه امنیتی
روز ۳-۴: تغییر آدرس صفحه ورود
روز ۵-۶: فعال‌سازی 2FA
روز ۷: پشتیبان‌گیری کامل

هفته دوم: تقویت زیرساخت
روز ۸-۹: تنظیمات دیتابیس
روز ۱۰-۱۱: ایمن‌سازی فایل‌ها
روز ۱۲-۱۳: بررسی کاربران
روز ۱۴: تست امنیت

هفته سوم: بهینه‌سازی
روز ۱۵-۱۶: تنظیم فایروال
روز ۱۷-۱۸: نصب اسکنر
روز ۱۹-۲۰: نظارت و مانیتورینگ
روز ۲۱: بررسی لاگ‌ها

هفته چهارم: نگهداری
روز ۲۲-۲۳: به‌روزرسانی‌ها
روز ۲۴-۲۵: اسکن عمیق
روز ۲۶-۲۷: بررسی آسیب‌پذیری‌ها
روز ۲۸-۳۰: مستندسازی و برنامه‌ریزی آینده

بخش هشتم: پاسخ به سوالات متداول

سوال ۱: آیا واقعاً نیاز به این همه تنظیمات دارم؟
پاسخ: بستگی به ارزش سایتت دارد. اگر سایتت برایت مهم است، بله!

سوال ۲: اگر فنی نیستم چکار کنم؟
پاسخ: از یک متخصص کمک بگیر. هزینه کمک متخصص بسیار کمتر از هزینه هک شدن است.

سوال ۳: چقدر زمان می‌برد؟
پاسخ: راه‌اندازی اولیه: ۲-۳ ساعت. نگهداری ماهانه: ۱-۲ ساعت.

سوال ۴: اگر اشتباه کنم و سایت از کار بیفتد؟
پاسخ: همیشه قبل از هر تغییری پشتیبان بگیر. با پشتیبان، همیشه می‌توانی به حالت قبل برگردی.

نتیجه‌گیری: امنیت یک سفر است، نه مقصد

دوست عزیز، افزایش امنیت سایت وردپرس مانند ورزش کردن است. باید مداوم باشد و همیشه ادامه داشته باشد. امروز اولین قدم را برداشته‌ای. همین که این مقاله را خوانده‌ای، نشان می‌دهد که به امنیت سایتت اهمیت می‌دهی.

یادت باشد:
– هیچ سیستمی ۱۰۰٪ امن نیست
– اما می‌توانی ۹۹٪ خطرات را کاهش دهی
– امنیت سرمایه‌گذاری است، نه هزینه
– بهتر است امروز اقدام کنی تا فردا پشیمان شوی

از همین امروز شروع کن. حتی اگر فقط یک کار از این مقاله را انجام دهی، یک قدم به امنیت نزدیک‌تر شده‌ای🛡️✨