راهنمای کامل امنیت وردپرس: +۲۰ اقدام حیاتی برای ضد هک شدن (۲۰۲۵)

وردپرس با قدرت بخشیدن به بیش از ۴۳٪ از کل وب‌سایت‌های جهان، محبوب‌ترین سیستم مدیریت محتوا است. اما این محبوبیت، آن را به یک هدف اصلی برای هکرها، ربات‌های مخرب و اسپمرها تبدیل کرده است. آمارها تکان‌دهنده هستند: هر هفته، گوگل ده‌ها هزار وب‌سایت را به دلیل وجود بدافزار یا فعالیت‌های فیشینگ در لیست سیاه خود قرار می‌دهد و بخش بزرگی از این سایت‌ها، وردپرسی هستند.

اگر صاحب یک وب‌سایت وردپرسی هستید، این سوال مطرح نیست که “آیا” باید به امنیت فکر کنید، بلکه سوال این است که “چگونه” می‌توانید یک دژ مستحکم و غیرقابل نفوذ بسازید. امنیت وردپرس یک گزینه لوکس نیست، بلکه ستون فقرات پایداری و موفقیت کسب‌وکار آنلاین شماست. یک حمله موفق می‌تواند به کسب‌وکار شما آسیب جدی بزند، اطلاعات حساس کاربران را به سرقت ببرد، اعتماد مشتریان که به سختی به دست آمده را نابود کند و حتی منجر به حذف کامل سایت شما از نتایج گوگل شود.

شاید تامین امنیت یک وب‌سایت در نگاه اول، پیچیده و فنی به نظر برسد. اما خبر خوب این است که با درک انواع تهدیدها و اجرای مجموعه‌ای از اقدامات کلیدی، می‌توانید بیش از ۹۹٪ از حملات خودکار را دفع کرده و سایت خود را به یک محیط امن برای خود و کاربرانتان تبدیل کنید.

در این راهنمای جامع از پشتیبان وردپرس، ما تمام روش‌های ضروری برای افزایش امنیت وردپرس را، از اقدامات پایه و بدون کدنویسی گرفته تا تکنیک‌های پیشرفته سخت‌سازی (Hardening)، قدم به قدم و با جزئیات کامل به شما آموزش می‌دهیم.

چرا امنیت وردپرس اینقدر مهم است؟ شناخت تهدیدها

قبل از پرداختن به راه‌حل‌ها، مهم است که بدانیم با چه چیزی روبرو هستیم. هکرها انگیزه‌های مختلفی دارند: از سرقت اطلاعات مالی و داده‌های کاربران گرفته تا استفاده از سرور شما برای ارسال ایمیل‌های اسپم یا حمله به سایت‌های دیگر. در اینجا برخی از رایج‌ترین انواع حملات به سایت‌های وردپرسی آورده شده است:

• حملات Brute Force: ربات‌ها به طور خودکار هزاران ترکیب مختلف از نام کاربری و رمز عبور را روی صفحه ورود شما امتحان می‌کنند تا به پیشخوان وردپرس دسترسی پیدا کنند.
• تزریق SQL (SQL Injection): مهاجمان کدهای مخرب SQL را به فرم‌های سایت شما تزریق می‌کنند تا به پایگاه داده دسترسی پیدا کرده و اطلاعات را سرقت یا دستکاری کنند.
• Cross-Site Scripting (XSS): هکرها اسکریپت‌های مخرب را در سایت شما تزریق می‌کنند. این اسکریپت‌ها در مرورگر بازدیدکنندگان دیگر اجرا شده و می‌توانند اطلاعات آن‌ها (مانند کوکی‌های نشست) را به سرقت ببرند.
• بدافزار (Malware): فایل‌های مخربی که روی سایت شما نصب می‌شوند و می‌توانند اقدامات مختلفی انجام دهند، از نمایش تبلیغات ناخواسته گرفته تا ریدایرکت کردن کاربران به سایت‌های کلاهبرداری.
• درهای پشتی (Backdoors): پس از یک نفوذ موفق، هکرها معمولاً یک “در پشتی” در سایت شما ایجاد می‌کنند که به آن‌ها اجازه می‌دهد حتی پس از تغییر رمزهای عبور، دوباره به سایت شما دسترسی پیدا کنند.

درک این تهدیدها به ما کمک می‌کند تا اهمیت هر یک از اقدامات امنیتی که در ادامه ذکر می‌شود را بهتر درک کنیم.

بخش اول: مبانی و اقدامات پیشگیرانه (سطح آسان)

این اقدامات، فونداسیون امنیت سایت شما هستند. این‌ها ساده‌ترین و در عین حال موثرترین گام‌ها برای جلوگیری از حملات رایج هستند.

۱. انتخاب سرویس میزبانی وب (هاست) امن

هاست شما اولین و مهم‌ترین خط دفاعی شماست. یک هاست ارزان و بی‌کیفیت، مانند ساختن یک قلعه روی شن‌های روان است؛ تمام اقدامات دیگر شما را بی‌اثر می‌کند. شرکت‌های میزبانی معتبر، سرمایه‌گذاری سنگینی روی زیرساخت‌های امنیتی خود می‌کنند.

ویژگی‌های یک هاست امن برای وردپرس چیست؟

ویژگی	توضیح و اهمیت
فایروال تحت وب (WAF)	یک سپر در سطح سرور که ترافیک مخرب را قبل از رسیدن به سایت شما فیلتر می‌کند. این ویژگی برای جلوگیری از حملات DDoS و تزریق SQL حیاتی است.
اسکنر بدافزار خودکار	سرورها را به طور مداوم برای یافتن کدهای مخرب بررسی کرده و در صورت شناسایی، به شما هشدار می‌دهد.
پشتیبان‌گیری خودکار و روزانه	یک هاست خوب باید به صورت روزانه از سایت شما بکاپ تهیه کرده و امکان بازگردانی آسان (One-Click Restore) را فراهم کند.
محیط ایزوله (Isolation)	در هاست‌های اشتراکی، یک هاست خوب باید از تکنولوژی‌هایی مانند CageFS یا CloudLinux برای ایزوله کردن کامل حساب‌های کاربری استفاده کند تا آلودگی یک سایت به سایت‌های دیگر سرایت نکند.
نسخه‌های به‌روز PHP و MySQL	استفاده از آخرین نسخه‌های پایدار PHP نه تنها سرعت سایت را بهبود می‌بخشد، بلکه شامل پچ‌های امنیتی مهمی نیز هست.
پشتیبانی فنی متخصص	تیمی که ۲۴/۷ در دسترس باشد و در مواقع بحرانی بتواند به شما کمک کند، ارزشمندترین دارایی شماست.

نکته حرفه‌ای: از هاست‌های رایگان و بسیار ارزان به هر قیمتی دوری کنید. برای یک کسب‌وکار جدی، سرمایه‌گذاری روی یک هاست مدیریت‌شده وردپرس (Managed WordPress Hosting) بهترین تصمیم است. این سرویس‌ها به طور خاص برای وردپرس بهینه شده‌اند و بسیاری از وظایف امنیتی و نگهداری را به صورت خودکار برای شما انجام می‌دهند.

۲. به‌روزرسانی مستمر همه چیز: وردپرس، قالب و افزونه‌ها

این ساده‌ترین، رایگان‌ترین و در عین حال یکی از نادیده‌گرفته‌شده‌ترین اقدامات امنیتی است. بیش از ۸۰٪ از سایت‌های وردپرسی هک‌شده، از نسخه‌های قدیمی وردپرس، قالب‌ها یا افزونه‌ها استفاده می‌کرده‌اند.

• چرا اینقدر مهم است؟ توسعه‌دهندگان به طور مداوم در حال کشف و رفع حفره‌های امنیتی هستند. هر به‌روزرسانی، یک یا چند مورد از این حفره‌ها را می‌بندد. وقتی شما سایت خود را به‌روز نمی‌کنید، در واقع درهای ورودی شناخته‌شده‌ای را برای هکرها باز گذاشته‌اید.
• چگونه به‌روزرسانی کنیم؟ وردپرس دارای یک سیستم به‌روزرسانی خودکار برای نسخه‌های جزئی (Minor Releases) است. برای نسخه‌های اصلی (Major Releases) و همچنین قالب‌ها و افزونه‌ها، می‌توانید با یک کلیک از پیشخوان وردپرس > به‌روزرسانی‌ها، آن‌ها را آپدیت کنید.
• نکته مهم: همیشه قبل از انجام هرگونه به‌روزرسانی، یک نسخه پشتیبان کامل از سایت خود تهیه کنید. گاهی ممکن است یک آپدیت با افزونه یا قالب دیگری تداخل داشته باشد. بکاپ به شما اجازه می‌دهد در صورت بروز مشکل، به سرعت به نسخه قبلی بازگردید.

۳. استفاده از رمزهای عبور قوی و مدیریت صحیح کاربران

رمزهای عبور ضعیف مانند دعوت‌نامه‌ای برای هکرها هستند. حملات Brute-Force که به صورت خودکار رمزهای رایج را امتحان می‌کنند، به طرز شگفت‌انگیزی موثر هستند.

• ویژگی‌های یک رمز عبور قوی:
  • طول: حداقل ۱۲ تا ۱۶ کاراکتر. هرچه طولانی‌تر، بهتر.
  • پیچیدگی: ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نمادها (@, #, $, %, &).
  • منحصر به فرد بودن: هرگز از یک رمز عبور برای چند سرویس مختلف استفاده نکنید.
• عدم استفاده از نام کاربری “admin”: این نام کاربری اولین حدس هر هکری است. اگر هنوز از آن استفاده می‌کنید، فوراً یک کاربر مدیر جدید با نامی غیرقابل حدس بسازید، وارد حساب جدید شوید و کاربر “admin” را حذف کنید (مطمئن شوید که محتوای آن را به کاربر جدید منتقل می‌کنید).
• اعطای حداقل دسترسی (Principle of Least Privilege): این یک اصل امنیتی کلیدی است. به هر کاربر فقط دسترسی‌های مورد نیاز برای انجام وظایفش را بدهید. یک نویسنده محتوا نیازی به دسترسی در سطح مدیر کل ندارد. از نقش‌های کاربری وردپرس (مدیر، ویرایشگر، نویسنده، مشارکت‌کننده) به درستی استفاده کنید.

۴. تهیه نسخه‌های پشتیبان (بکاپ) منظم و خودکار

تکرار می‌کنیم: هیچ سیستمی ۱۰۰٪ امن نیست. بکاپ، بیمه عمر وب‌سایت شماست. در صورت بروز فاجعه، بکاپ تنها راه نجات شماست.

• استراتژی بکاپ ایده‌آل:
  • خودکار بودن: فرآیند بکاپ‌گیری باید به صورت خودکار و زمان‌بندی‌شده انجام شود.
  • تناوب: برای یک فروشگاه اینترنتی یا یک سایت خبری فعال، بکاپ‌گیری روزانه ضروری است. برای سایت‌های کم‌تغییر، بکاپ هفتگی کافی است.
  • محل ذخیره‌سازی خارجی: هرگز بکاپ‌ها را فقط روی همان سروری که سایتتان قرار دارد، ذخیره نکنید. در صورت هک شدن سرور، بکاپ‌های شما نیز از دست می‌روند. از فضاهای ذخیره‌سازی ابری امن و خارجی مانند Google Drive، Dropbox یا Amazon S3 استفاده کنید.
• افزونه پیشنهادی: افزونه UpdraftPlus (نسخه رایگان) یکی از بهترین و محبوب‌ترین ابزارها برای مدیریت کامل و خودکار پشتیبان‌گیری در وردپرس است. این افزونه به شما اجازه می‌دهد بکاپ‌ها را به راحتی زمان‌بندی کرده و به سرویس‌های ابری مختلف ارسال کنید.

بخش دوم: تقویت امنیت با افزونه‌ها و سرویس‌ها (سطح متوسط)

پس از رعایت اصول اولیه، وقت آن است که با استفاده از ابزارهای تخصصی، لایه‌های دفاعی بیشتری به سایت خود اضافه کنید.

۵. نصب یک افزونه امنیتی جامع

یک افزونه امنیتی مانند یک نگهبان هوشیار و یک سیستم امنیتی پیشرفته برای سایت شما عمل می‌کند. این افزونه‌ها مجموعه‌ای از قابلیت‌های دفاعی را در یک پکیج ارائه می‌دهند.

• قابلیت‌های کلیدی یک افزونه امنیتی:
  • دیوار آتش برنامه وب (WAF): ترافیک مخرب را قبل از رسیدن به سایت شما مسدود می‌کند.
  • اسکنر بدافزار: فایل‌های سایت شما را برای یافتن کدهای مخرب، درهای پشتی و تغییرات غیرمجاز اسکن می‌کند.
  • محافظت از ورود (Login Protection): از حملات Brute-Force جلوگیری کرده و 2FA را فعال می‌کند.
  • تقویت امنیت (Hardening): با یک کلیک، اقدامات امنیتی پیشرفته (که در بخش بعد توضیح می‌دهیم) را اعمال می‌کند.
• افزونه‌های پیشنهادی:
  • Wordfence Security: یکی از محبوب‌ترین‌ها با فایروال و اسکنر قدرتمند. نسخه رایگان آن قابلیت‌های بسیار خوبی دارد.
  • Sucuri Security: ابزاری عالی برای مانیتورینگ فعالیت‌ها، حسابرسی امنیتی و اسکن بدافزار.
  • iThemes Security (formerly Better WP Security): مجموعه‌ای جامع از بیش از ۳۰ ابزار برای تقویت امنیت (Hardening) سایت.

۶. فعال‌سازی فایروال تحت وب (WAF)

فایروال یک سپر بین سایت شما و تمام ترافیک اینترنت است. این سپر، درخواست‌های مخرب، ربات‌های اسپم، حملات تزریق SQL و XSS را قبل از اینکه حتی به سرور شما برسند، شناسایی و مسدود می‌کند.

• چرا WAF مبتنی بر ابر بهتر است؟ در حالی که افزونه‌هایی مانند Wordfence یک فایروال در سطح برنامه ارائه می‌دهند، یک WAF مبتنی بر DNS (ابری) مانند Cloudflare موثرتر است. این سرویس‌ها ترافیک را از طریق سرورهای جهانی خود عبور داده و آن را پاک‌سازی می‌کنند. این کار نه تنها امنیت را افزایش می‌دهد، بلکه با مسدود کردن ترافیک بد، بار روی سرور شما را کاهش داده و سرعت سایت را نیز بهبود می‌بخشد.
• توصیه اکید: فعال‌سازی سرویس رایگان Cloudflare یکی از هوشمندانه‌ترین و موثرترین اقدامات امنیتی است که می‌توانید برای سایت وردپرسی خود انجام دهید. راه‌اندازی آن ساده است و مزایای امنیتی و عملکردی فوق‌العاده‌ای دارد.

۷. فعال‌سازی احراز هویت دو مرحله‌ای (2FA)

رمزهای عبور می‌توانند به سرقت بروند، اما تلفن همراه شما نه! احراز هویت دو مرحله‌ای یک لایه امنیتی قدرتمند به فرآیند ورود اضافه می‌کند. با فعال‌سازی 2FA، کاربر برای ورود علاوه بر رمز عبور (چیزی که می‌داند)، به یک کد یک‌بار مصرف که توسط اپلیکیشنی مانند Google Authenticator تولید می‌شود (چیزی که دارد) نیز نیاز خواهد داشت.

• کجا باید از 2FA استفاده کرد؟ این قابلیت برای تمام حساب‌های کاربری با دسترسی بالا (مدیر، ویرایشگر) کاملاً ضروری است. ارائه آن به صورت اختیاری برای کاربران عادی نیز اعتبار فروشگاه شما را افزایش می‌دهد.
• افزونه‌های پیشنهادی: افزونه‌هایی مانند Wordfence این قابلیت را به صورت داخلی دارند. همچنین می‌توانید از افزونه اختصاصی Google Authenticator – Two Factor Authentication (2FA) استفاده کنید.

۸. امنیت درگاه پرداخت و گواهی SSL (برای فروشگاه‌های اینترنتی)

اگر یک فروشگاه اینترنتی دارید، شما مسئول حفاظت از اطلاعات مالی مشتریان خود هستید.

• نصب گواهی SSL: تمام داده‌های رد و بدل شده بین کاربر و سایت شما باید از طریق HTTPS رمزنگاری شوند. این کار با نصب گواهی SSL انجام می‌شود. امروزه اکثر هاستینگ‌های معتبر، گواهی SSL رایگان (Let’s Encrypt) را ارائه می‌دهند. مرورگرها سایت‌های بدون HTTPS را با برچسب “Not Secure” علامت‌گذاری می‌کنند که باعث فرار مشتریان می‌شود.
• عدم ذخیره اطلاعات کارت بانکی: هرگز، تحت هیچ شرایطی، اطلاعات کامل کارت بانکی مشتریان (شماره ۱۶ رقمی، تاریخ انقضا، کد CVV2) را در پایگاه داده سایت خود ذخیره نکنید. این کار شما را به یک هدف بسیار جذاب برای هکرها تبدیل می‌کند.
• استفاده از درگاه‌های پرداخت معتبر: از درگاه‌های پرداختی استفاده کنید که استاندارد PCI DSS را رعایت می‌کنند. این درگاه‌ها فرآیند پرداخت را در محیط امن خودشان انجام می‌دهند و اطلاعات حساس را بدون اینکه در سرور شما ذخیره شود، پردازش می‌کنند.

بخش سوم: اقدامات پیشرفته و سخت‌سازی وردپرس (Hardening)

این تکنیک‌ها به دانش فنی کمی نیاز دارند اما تاثیر به‌سزایی در بستن حفره‌های امنیتی رایج و کاهش سطح حمله (Attack Surface) دارند. بسیاری از افزونه‌های امنیتی این کارها را با یک کلیک برای شما انجام می‌دهند.

۹. محدود کردن تلاش برای ورود به سیستم (Login Lockdown)

برای جلوگیری از حملات Brute-Force، باید تعداد تلاش‌های ناموفق برای ورود از یک IP مشخص را محدود کنید.

• چگونه؟ افزونه‌هایی مانند Login LockDown یا قابلیت داخلی Wordfence به شما اجازه می‌دهند تنظیم کنید که اگر یک IP در مدت زمان کوتاهی (مثلاً ۵ دقیقه) بیش از ۳ بار تلاش ناموفق برای ورود داشت، برای مدتی (مثلاً ۱ ساعت) مسدود شود.

۱۰. تغییر آدرس صفحه ورود وردپرس

صفحه ورود پیش‌فرض وردپرس (wp-login.php) برای همه شناخته شده است و ربات‌ها مستقیماً به این آدرس حمله می‌کنند. تغییر این آدرس، ۹۹٪ از ربات‌های مهاجم را سردرگم می‌کند.

• چگونه؟ با استفاده از افزونه‌ای مانند WPS Hide Login می‌توانید به راحتی آدرس صفحه ورود را به چیزی منحصر به فرد تغییر دهید (مثلاً: yourdomain.com/my-portal).

۱۱. غیرفعال کردن ویرایشگر فایل از پیشخوان

وردپرس به مدیران اجازه می‌دهد تا فایل‌های PHP قالب و افزونه را مستقیماً از پیشخوان ویرایش کنند. اگر یک هکر به پنل مدیریت شما دسترسی پیدا کند، می‌تواند از این طریق به راحتی کدهای مخرب را به سایت شما تزریق کند.

• چگونه؟ با افزودن قطعه کد زیر به فایل wp-config.php سایت خود، این قابلیت را برای همیشه غیرفعال کنید:

PHP

define( ‘DISALLOW_FILE_EDIT’, true );

۱۲. غیرفعال کردن اجرای فایل PHP در پوشه‌های خاص

پوشه‌هایی مانند wp-content/uploads فقط برای ذخیره فایل‌های رسانه‌ای هستند و هرگز نباید قادر به اجرای فایل‌های PHP باشند. با این کار، اگر هکری موفق به آپلود یک فایل مخرب (مثلاً یک شل PHP) در این پوشه شود، نمی‌تواند آن را اجرا کند.

• چگونه؟ یک فایل متنی با نام .htaccess بسازید، کد زیر را در آن قرار دهید و آن را در پوشه wp-content/uploads آپلود کنید:

htaccess

<Files *.php>

deny from all

</Files>

۱۳. تغییر پیشوند جداول پایگاه داده

به طور پیش‌فرض، وردپرس از wp_ به عنوان پیشوند برای تمام جداول پایگاه داده استفاده می‌کند. این امر حدس زدن نام جداول را برای هکرها آسان می‌کند و حملات تزریق SQL (SQL Injection) را تسهیل می‌بخشد.

• چگونه؟ اگر در حال راه‌اندازی یک سایت جدید هستید، در هنگام نصب، پیشوند را به چیزی تصادفی (مثلاً wp_a8f5d_) تغییر دهید. برای سایت‌های موجود، افزونه‌هایی مانند iThemes Security یا WP-DBManager می‌توانند این کار را برای شما انجام دهند.
  هشدار: این یک اقدام حساس است. حتماً قبل از انجام آن، یک بکاپ کامل از پایگاه داده خود تهیه کنید.

۱۴. غیرفعال کردن XML-RPC

XML-RPC یک پروتکل قدیمی است که به برنامه‌های خارجی اجازه اتصال به وردپرس را می‌داد. امروزه REST API جایگزین آن شده است. این پروتکل می‌تواند برای تقویت حملات Brute-Force (ارسال صدها رمز عبور در یک درخواست) مورد سوءاستفاده قرار گیرد.

• چگونه؟ اگر از برنامه‌هایی که به XML-RPC نیاز دارند (مانند اپلیکیشن موبایل قدیمی وردپرس) استفاده نمی‌کنید، آن را غیرفعال کنید. افزونه‌های امنیتی این گزینه را دارند. همچنین می‌توانید با افزودن کد زیر به فایل .htaccess در ریشه سایت، دسترسی به این فایل را مسدود کنید:

htaccess

# Block WordPress xmlrpc.php requests

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

۱۵. غیرفعال کردن Directory Browsing و نمایش نسخه وردپرس

• Directory Browsing: اگر یک پوشه در سایت شما حاوی فایل index.php نباشد، سرور ممکن است لیست تمام فایل‌های آن پوشه را به بازدیدکنندگان نمایش دهد. این کار به هکرها اطلاعات ارزشمندی می‌دهد.
  • راه‌حل: کد Options -Indexes را به انتهای فایل .htaccess خود اضافه کنید.
• نسخه وردپرس: وردپرس به طور پیش‌فرض نسخه خود را در هدر صفحات نمایش می‌دهد. این اطلاعات به هکرها کمک می‌کند تا آسیب‌پذیری‌های مختص نسخه شما را پیدا کنند.
  • راه‌حل: افزونه‌های امنیتی معمولاً این مورد را پنهان می‌کنند. همچنین می‌توانید کد زیر را به فایل functions.php قالب خود اضافه کنید: remove_action(‘wp_head’, ‘wp_generator’);

۱۶. استفاده از هدرهای امنیتی HTTP

هدرهای امنیتی، دستورالعمل‌هایی هستند که سرور شما به مرورگر کاربر ارسال می‌کند تا امنیت را در سمت کلاینت تقویت کند. این هدرها می‌توانند از حملاتی مانند Clickjacking و XSS جلوگیری کنند. برخی از هدرهای مهم عبارتند از: Content-Security-Policy, X-Content-Type-Options, X-Frame-Options.

• چگونه؟ پیاده‌سازی این هدرها می‌تواند کمی پیچیده باشد، اما افزونه‌هایی مانند iThemes Security یا Sucuri به شما اجازه می‌دهند با چند کلیک آن‌ها را فعال کنید. سرویس Cloudflare نیز بسیاری از این هدرها را به صورت خودکار اضافه می‌کند.

اگر هک شدیم چه کنیم؟ راهنمای بازیابی

گاهی با وجود تمام اقدامات، ممکن است سایت شما هک شود. مهم است که خونسردی خود را حفظ کرده و سریع و به ترتیب اقدام کنید.

1. سایت را به حالت تعمیر (Maintenance Mode) ببرید:این کار از آسیب بیشتر به کاربران و سئوی شما جلوگیری می‌کند.
2. با هاستینگ خود تماس بگیرید:آن‌ها می‌توانند لاگ‌های سرور را بررسی کرده و به شما در شناسایی منبع نفوذ کمک کنند.
3. رمزهای عبور را فوراً تغییر دهید:تمام رمزهای عبور (مدیریت وردپرس، هاست، cPanel، FTP، پایگاه داده و حتی ایمیل‌هایتان) را فوراً تغییر دهید.
4. سایت را از یک بکاپ سالم بازگردانی کنید:سریع‌ترین و مطمئن‌ترین راه، بازگرداندن سایت به آخرین نسخه پشتیبان است که می‌دانید پاک بوده است.
5. سایت را اسکن و پاکسازی کنید:پس از بازگردانی بکاپ (یا اگر بکاپ ندارید)، باید سایت را به دقت اسکن کنید. از اسکنر افزونه امنیتی خود یا سرویس‌های آنلاین مانند Sucuri SiteCheck استفاده کنید. تمام فایل‌های هسته وردپرس را با نسخه‌های اصلی جایگزین کنید و افزونه‌ها و قالب‌ها را مجدداً از منابع معتبر نصب کنید.
6. تمام درهای پشتی را پیدا و حذف کنید:این سخت‌ترین بخش است. هکرها معمولاً کدهای مخفی را در فایل‌های مختلف (مانند wp-config.php، پوشه uploads یا حتی فایل‌های تصویری) پنهان می‌کنند.
7. از متخصص کمک بگیرید:اگر دانش فنی کافی ندارید، به شدت توصیه می‌شود از خدمات پاکسازی سایت هک شده استفاده کنید. یک متخصص می‌تواند اطمینان حاصل کند که سایت شما به طور کامل پاکسازی شده و تمام حفره‌های امنیتی بسته شده‌اند.

چک‌لیست سریع امنیت وردپرس

□ استفاده از هاست امن و مدیریت‌شده.
□ به‌روزرسانی منظم وردپرس، قالب‌ها و افزونه‌ها.
□ استفاده از رمزهای عبور قوی و مدیریت صحیح کاربران.
□ تهیه بکاپ خودکار و روزانه در مکانی خارجی.
□ نصب و پیکربندی یک افزونه امنیتی جامع (مانند Wordfence).
□ فعال‌سازی فایروال تحت وب (ترجیحاً Cloudflare).
□ فعال‌سازی احراز هویت دو مرحله‌ای (2FA) برای مدیران.
□ نصب گواهی SSL و استفاده از HTTPS.
□ محدود کردن تلاش برای ورود به سیستم.
□ تغییر آدرس پیش‌فرض صفحه ورود.
□ غیرفعال کردن ویرایشگر فایل، XML-RPC و Directory Browsing.

نتیجه‌گیری: امنیت یک فرآیند مستمر است، نه یک پروژه یک‌باره

تامین امنیت وردپرس یک مقصد نیست، بلکه یک سفر مداوم است. این یک طرز فکر است که باید در تمام جنبه‌های مدیریت وب‌سایت شما حضور داشته باشد. با اجرای اقدامات ذکر شده در این راهنمای جامع، شما یک سپر دفاعی چندلایه و قدرتمند برای وب‌سایت خود ایجاد می‌کنید، اعتماد کاربران را جلب کرده و می‌توانید با خیالی آسوده‌تر بر آنچه واقعاً مهم است تمرکز کنید: رشد کسب‌وکار و ارائه ارزش به مخاطبان خود. امنیت را جدی بگیرید، قبل از آنکه مجبور شوید.

اگر احساس می‌کنید اجرای تمام این مراحل برایتان سنگین است یا زمان کافی ندارید، می‌توانید این مسئولیت را به یک تیم حرفه‌ای پشتیبانی سایت بسپارید تا امنیت سایت‌تان را به‌صورت مداوم و تخصصی تضمین کنند.

مقالات مرتبط

• روش‌های بهبود و افزایش امنیت سایت
• امنيت وردپرس و جلوگیری از حمله به صفحه ورود
• نکات و ترفندهای امنیتی وردپرس
• نحوه اسکن وردپرس برای تشخیص کدهای مخرب و پچ آسیب‌پذیری امنیتی