1. کلیه پسورد ها باید از کلمات سخت حداقل 8 کارکتر شامل حروف بزرگ و کوچک علائم و اعداد باشد. (از سایت های password generator نیز استفاده نکنید این گونه سایت ها عمدتا پسوردهای تولید شده را به فروش میگذارند)
2. کلیه یوزرهای دیتابیس هایتان بایستی تغییر کنند. موارد مورد 1 رعایت شود (برای این کار از داخل سی پنل قسمت دیتابیس میتوانید تغییر داده و سپس در فایل منجیر فایل wp-config.php پسورد یوزر دیتابیس را تغییر دهید.)
3. هنگام نصب وردپرس پیشوند دیتابیس به صورت پیش فرض wp است که بایستی به یک پیشوند دلخواه تغییر داده شود.
4. نصب افزونه امنیتی iTheme کانفیگ آن : (مجاز هستید تمامی کانفیگ هایی که قرمز هستند را انجام دهید به جز دو مورد : wp-admin , wp-content) چراکه با تغییر wp-admin ممکنه نتوانید تغییرات را به درستی انجام داده و دسترسی به پنل ادمین وردپرستان به مشکل میخورد/ با تغییر wp-content نیز فایل هایی که قبلا آپلود کردید لینک آنها تغییر داده میشه و اصلاح آن کاری وقت گیر است.
5. آی دی یوزر ادمین در وردپرس با توجه به اینکه اولین یوزر است به صورت پیش فرض 1 است به همین دلیل برخی هکر ها که SQL injection میزنن با آی دی شماره یک میزنن و دیگه نیاز نیست یوزرنام را بدست آورند، به همین دلیل آیدی یوزر ادمین را به یک عدد دلخواه تغییر دهید.
6. هیچ گاه نام نمایشی ادمین را یوزر نام قرار ندهید (منظور نام نمایشی نویسنده است) برای تغییر آن در قسمت کاربران، شناسنامه شما، نام نمایشی را به نام، نام خانوادگی یا موارد دیگر تغییر دهید که در پست ها یوزرنام نمایش داده نشود.
7.قبل از انجام هرکاری از بانک اطلاعاتی سایت و اطلاعات موجود بر روی هاست خود نسخه پشتیبان تهیه کنید تا در صورت بروز مشکل اطلاعات شما به راحتی قابل بازگشت باشد ، همچنین در صورتی که در آینده مشکلی برای سایت و یا سرور شما پیش بیاید اطلاعات شما از بین نرفته و قابل بازیابی است.
8.همواره مشکلات امنیتی و نقاط ضعف بسیاری در سیستم های و اسکریپت های مختلف از جمله وردپرس و پلاگین های آن کشف می شود و طراحان و توسعه دهندگان با ارائه پچ ها و بروزرسانی های مختلف آن ها را اصلاح می کنند ، پس هر زمان پیغامی مبنی بر بروزرسانی و آپدیت وردپرس و پلاگین ها مشاهده کردید ، فورا اقدام به آپدیت نمایید.
9.هر پلاگین و قالبی قابل اطمینان نیست ، کافیست قالب یا پلاگینی که نصب می کنید شامل کد های مخرب باشد ، آنگاه به راحتی شما یک دسترسی کامل به هکر داده اید ، پس هرگز از پلاگین ها و قالب های نال شده و پولی که به صورت رایگان برای دانلود قرار داده شده اند استفاده نکنید و تمام پلاگین های مورد نیاز را از سایت رسمی وردپرس دریافت کنید.
10.در مواردی که یک هکر یا یک ربات با استفاده از حمله ی brute-force برای شکستن رمز عبور شما تلاش می کند، محدود کردن تعداد دفعات تلاش های شکست خورده از یک آدرس IP مشخص برای ورود به سیستم، مفید خواهد بود.
محدود کردن تعداد دفعات تلاش برای ورود فقط این کار را انجام می دهد: به شما اجازه می دهد که مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش های مجدد شکست خورده برای ورود به سیستم، قفل خواهد شد.
راه هایی هم برای دور زدن این کار وجود دارد، زیرا که برخی از حمله کننده ها، از تعداد زیادی از آدرس های IP مختلف استفاده می کنند، اما هنوز هم به عنوان احتیاط بیشتر ارزش انجام دادن را دارد.
2. کلیه یوزرهای دیتابیس هایتان بایستی تغییر کنند. موارد مورد 1 رعایت شود (برای این کار از داخل سی پنل قسمت دیتابیس میتوانید تغییر داده و سپس در فایل منجیر فایل wp-config.php پسورد یوزر دیتابیس را تغییر دهید.)
3. هنگام نصب وردپرس پیشوند دیتابیس به صورت پیش فرض wp است که بایستی به یک پیشوند دلخواه تغییر داده شود.
4. نصب افزونه امنیتی iTheme کانفیگ آن : (مجاز هستید تمامی کانفیگ هایی که قرمز هستند را انجام دهید به جز دو مورد : wp-admin , wp-content) چراکه با تغییر wp-admin ممکنه نتوانید تغییرات را به درستی انجام داده و دسترسی به پنل ادمین وردپرستان به مشکل میخورد/ با تغییر wp-content نیز فایل هایی که قبلا آپلود کردید لینک آنها تغییر داده میشه و اصلاح آن کاری وقت گیر است.
5. آی دی یوزر ادمین در وردپرس با توجه به اینکه اولین یوزر است به صورت پیش فرض 1 است به همین دلیل برخی هکر ها که SQL injection میزنن با آی دی شماره یک میزنن و دیگه نیاز نیست یوزرنام را بدست آورند، به همین دلیل آیدی یوزر ادمین را به یک عدد دلخواه تغییر دهید.
6. هیچ گاه نام نمایشی ادمین را یوزر نام قرار ندهید (منظور نام نمایشی نویسنده است) برای تغییر آن در قسمت کاربران، شناسنامه شما، نام نمایشی را به نام، نام خانوادگی یا موارد دیگر تغییر دهید که در پست ها یوزرنام نمایش داده نشود.
7.قبل از انجام هرکاری از بانک اطلاعاتی سایت و اطلاعات موجود بر روی هاست خود نسخه پشتیبان تهیه کنید تا در صورت بروز مشکل اطلاعات شما به راحتی قابل بازگشت باشد ، همچنین در صورتی که در آینده مشکلی برای سایت و یا سرور شما پیش بیاید اطلاعات شما از بین نرفته و قابل بازیابی است.
8.همواره مشکلات امنیتی و نقاط ضعف بسیاری در سیستم های و اسکریپت های مختلف از جمله وردپرس و پلاگین های آن کشف می شود و طراحان و توسعه دهندگان با ارائه پچ ها و بروزرسانی های مختلف آن ها را اصلاح می کنند ، پس هر زمان پیغامی مبنی بر بروزرسانی و آپدیت وردپرس و پلاگین ها مشاهده کردید ، فورا اقدام به آپدیت نمایید.
9.هر پلاگین و قالبی قابل اطمینان نیست ، کافیست قالب یا پلاگینی که نصب می کنید شامل کد های مخرب باشد ، آنگاه به راحتی شما یک دسترسی کامل به هکر داده اید ، پس هرگز از پلاگین ها و قالب های نال شده و پولی که به صورت رایگان برای دانلود قرار داده شده اند استفاده نکنید و تمام پلاگین های مورد نیاز را از سایت رسمی وردپرس دریافت کنید.
10.در مواردی که یک هکر یا یک ربات با استفاده از حمله ی brute-force برای شکستن رمز عبور شما تلاش می کند، محدود کردن تعداد دفعات تلاش های شکست خورده از یک آدرس IP مشخص برای ورود به سیستم، مفید خواهد بود.
محدود کردن تعداد دفعات تلاش برای ورود فقط این کار را انجام می دهد: به شما اجازه می دهد که مشخص کنید چند مجدد مجاز است، و یک IP چه مدت پس از تلاش های مجدد شکست خورده برای ورود به سیستم، قفل خواهد شد.
راه هایی هم برای دور زدن این کار وجود دارد، زیرا که برخی از حمله کننده ها، از تعداد زیادی از آدرس های IP مختلف استفاده می کنند، اما هنوز هم به عنوان احتیاط بیشتر ارزش انجام دادن را دارد.
