RevealTheme logo

راهنما · به‌روزشده 2026

فهرست بررسی امنیت WordPress: ۳۰ گامی که واقعاً اهمیت دارند

بیشتر توصیه‌های امنیتی WordPress عمومی، هراس‌افکن هستند و آنچه را واقعاً اهمیت دارد فراموش می‌کنند. این فهرست اقدامات امنیتی را بر اساس تأثیر واقعی مرتب می‌کند، بر پایه الگوهای حمله واقعی که علیه سایت‌های WordPress استفاده می‌شوند (جست‌وجوی فراگیر، افزونه‌های آسیب‌پذیر، اعتبارنامه‌های ضعیف، هسته‌های منسوخ).

۵ مورد ضروری: ابتدا این‌ها را انجام دهید

  1. هسته WordPress، قالب‌ها و افزونه‌ها را به‌روز نگه دارید. افزونه‌های آسیب‌پذیر بردار حمله شماره ۱ هستند. به‌روزرسانی‌های خودکار نسخه‌های جزئی را فعال کنید (WordPress 5.6+ این کار را به‌طور پیش‌فرض انجام می‌دهد). برای نسخه‌های اصلی، ظرف ۷ روز پس از انتشار به‌روزرسانی کنید. برای افزونه‌ها، به‌روزرسانی خودکار موارد مورد اعتماد را فعال کنید؛ یادداشت‌های نسخه افزونه‌های حیاتی را به‌صورت دستی بررسی کنید.
  2. برای هر حساب WordPress از رمزهای عبور قوی و یکتا استفاده کنید. به‌ویژه حساب‌های مدیر. از یک مدیر رمز عبور (1Password، Bitwarden) استفاده کنید. نام کاربری «admin» را غیرفعال کنید: یک مدیر جدید بسازید و قدیمی را حذف کنید.
  3. احراز هویت دومرحله‌ای را فعال کنید. از Wordfence Login Security (رایگان) یا مولد QR 2FA ما با هر اپلیکیشن TOTP استفاده کنید. 2FA بیش از ۹۹٪ حملات پُرکردن اعتبارنامه را شکست می‌دهد.
  4. یک افزونه امنیتی مورد اعتماد نصب کنید. Wordfence (نسخه رایگان برای بیشتر سایت‌ها کافی است) یا Solid Security. چندتا را روی هم نگذارید: با هم تعارض پیدا می‌کنند. افزونه محدودیت تلاش‌های ورود، پایش یکپارچگی فایل و اسکن بدافزار را مدیریت می‌کند.
  5. پشتیبان‌گیری روزانه خارج از سایت. UpdraftPlus ← Dropbox/Google Drive. پشتیبان را پیش از نیاز به آن بگیرید. فرایند بازیابی را دست‌کم یک‌بار آزمایش کنید.

۱۰ مورد بعدی: اقدامات اضافی پرتأثیر

  1. HTTPS را اجباری کنید. Let's Encrypt روی هر هاستینگ مدرنی رایگان است. HTTP را در سطح سرور به HTTPS تغییر مسیر دهید.
  2. پیشوند جدول‌های پایگاه‌داده را تغییر دهید. WordPress به‌طور پیش‌فرض از wp_ استفاده می‌کند؛ آن را در حین نصب به چیزی سفارشی تغییر دهید. حملات را متوقف نمی‌کند، اما برخی الگوهای حمله را دشوارتر می‌سازد.
  3. اگر از XML-RPC استفاده نمی‌کنید آن را غیرفعال کنید. XML-RPC یک بردار رایج تقویت جست‌وجوی فراگیر است. اگر از اپلیکیشن موبایل Jetpack یا انتشار از راه دور استفاده نمی‌کنید، آن را از طریق .htaccess یا یک افزونه غیرفعال کنید.
  4. تلاش‌های ورود را محدود کنید. Wordfence این کار را به‌طور خودکار انجام می‌دهد. از پُرکردن اعتبارنامه با جست‌وجوی فراگیر جلوگیری می‌کند.
  5. کلیدها/saltهای احراز هویت WordPress را بچرخانید. از مولد Salt مربوط به WordPress ما استفاده کنید. آن‌ها را پس از هرگونه گمان به نفوذ، پس از حذف یک مدیر در معرض نفوذ و به‌صورت روتین هر ۶ تا ۱۲ ماه بچرخانید.
  6. برای انتقال فایل‌ها از SSH یا SFTP استفاده کنید، هرگز FTP ساده. FTP اعتبارنامه‌ها را به‌صورت متن ساده منتقل می‌کند.
  7. در صورت امکان دسترسی به wp-admin را بر اساس IP محدود کنید. اگر تیم شما از IPهای ثابت استفاده می‌کند (دفتر، VPN)، wp-admin را فقط به آن IPها محدود کنید. از طریق .htaccess یا پیکربندی Nginx.
  8. ویرایش فایل را در wp-config.php غیرفعال کنید. اضافه کنید: define('DISALLOW_FILE_EDIT', true); از ویرایش قالب‌ها/افزونه‌ها توسط مهاجمان از طریق پنل در صورت نفوذ به یک حساب جلوگیری می‌کند.
  9. شماره نسخه WordPress را پنهان کنید. تگ متای generator را حذف کنید. حملات را متوقف نمی‌کند، اما انگشت‌نگاری (fingerprinting) را کاهش می‌دهد.
  10. مجوزهای فایل را قفل کنید. فایل‌ها 644، دایرکتوری‌ها 755، wp-config.php 600. بیشتر هاستینگ‌های مدیریت‌شده این کار را به‌طور خودکار انجام می‌دهند؛ روی یک VPS، آن را به‌صراحت پیکربندی کنید.

تکمیلی: خوب اما نه حیاتی

  1. URL ورود سفارشی (مثلاً WPS Hide Login). بیشتر سر‌و‌صدای ترافیک ربات‌ها را کاهش می‌دهد؛ امنیت واقعی نیست.
  2. CAPTCHA در فرم‌های ورود. اصطکاکی اندک برای حملات خودکار.
  3. اجرای PHP را در /uploads/ غیرفعال کنید. از اجرای شل‌های PHP بارگذاری‌شده جلوگیری می‌کند.
  4. از WAF مربوط به Cloudflare (سطح رایگان) استفاده کنید. ترافیک مخرب را پیش از رسیدن به سرور شما فیلتر می‌کند.
  5. یک هشدار ایمیلی مدیر برای به‌روزرسانی‌های افزونه/هسته پیکربندی کنید.
  6. از پیش‌بارگذاری HSTS برای اجبار HTTPS در سطح مرورگر استفاده کنید.
  7. شمارش کاربران را از طریق REST API غیرفعال کنید (Solid Security یا Wordfence آن را مدیریت می‌کنند).
  8. از سرآیندهای سیاست امنیت محتوا (CSP) استفاده کنید.
  9. مرور دایرکتوری را غیرفعال کنید (بیشتر هاستینگ‌ها این کار را به‌طور پیش‌فرض انجام می‌دهند).
  10. زمان فعالیت + یکپارچگی را با یک سرویس خارجی پایش کنید (سطح رایگان UptimeRobot + Sucuri SiteCheck هفتگی).
  11. نقش‌های کاربر را به حداقل امتیاز محدود کنید. بیشتر مشارکت‌کنندگان به دسترسی سطح ویرایشگر نیاز ندارند.
  12. رمزگذاری پشتیبان‌های پایگاه‌داده (UpdraftPlus Premium آن را ارائه می‌دهد).
  13. میزبانی تصاویر خارج از دامنه از طریق CDN (سطح حمله را کاهش می‌دهد).
  14. بازبینی دوره‌ای سیاهه ممیزی امنیتی.
  15. تست نفوذ سالانه اگر سایت درآمد قابل توجهی ایجاد می‌کند.

افسانه‌های امنیت WordPress: نادیده بگیرید

چندین اقدام «امنیتی» بسیار توصیه‌شده محافظت واقعی حداقلی ارائه می‌دهند: (۱) «پنهان کردن نسخه WordPress»: دانستن نسخه شما اندکی به حملات هدفمند کمک می‌کند، اما راه‌حل واقعی به‌روزرسانی است، نه پنهان کردن. (۲) «انتقال wp-config.php به بالای public_html»: اساساً صفر بهره امنیتی می‌آورد؛ فایل از پیش با .htaccess محافظت می‌شود. (۳) «غیرفعال کردن REST API»: بسیاری از افزونه‌ها را می‌شکند و اندکی را مسدود می‌کند. به‌جای آن endpointهای مشخصی را محدود کنید. (۴) «روی هم گذاشتن چند افزونه امنیتی»: با هم تعارض و همپوشانی پیدا می‌کنند. یک افزونه مورد اعتماد (Wordfence یا Solid Security) آنچه را سه‌تا انجام می‌دهند پوشش می‌دهد. (۵) «تغییر نام wp-login.php»: امنیت از طریق مبهم‌سازی؛ مهاجمان URL جدید را به‌راحتی از طریق تغییر مسیرها پیدا می‌کنند.

اگر هک شدید: فهرست بازیابی

  1. دستپاچه نشوید؛ بلافاصله چیزی را حذف نکنید. ابتدا یک تک‌عکس از وضعیت فعلی برای تحلیل پزشکی‌قانونی بگیرید.
  2. سایت را آفلاین کنید (افزونه حالت نگهداری یا تغییر مسیر .htaccess به یک صفحه ایستا).
  3. همه رمزهای عبور مدیر را تغییر دهید و saltهای WordPress را بچرخانید.
  4. حساب‌های کاربری را ممیزی کنید: حساب‌های مدیر ناشناخته را بلافاصله حذف کنید.
  5. با Wordfence Premium یا Sucuri به دنبال بدافزار اسکن کنید.
  6. فایل‌های فعلی را با یک دانلود تمیز WordPress مقایسه کنید: تفاوت (diff) فایل‌های هسته تغییریافته را آشکار می‌کند.
  7. جدول wp_options پایگاه‌داده را به دنبال ورودی‌های غیرمنتظره بررسی کنید (اغلب شامل JS تزریق‌شده است).
  8. از جدیدترین پشتیبان تمیز بازیابی کنید (به همین دلیل پشتیبان‌های روزانه اهمیت دارند).
  9. پس از بازیابی، هر افزونه را ممیزی کنید: موارد استفاده‌نشده را حذف کنید، همه را به‌روز کنید و هر یک با CVEهای عمومی را جایگزین کنید.
  10. هسته WordPress را به آخرین نسخه به‌روز کنید.
  11. سایت را دوباره فعال کنید و به مدت ۳۰ روز مراقب آلودگی مجدد باشید.
همین حالا saltهای جدید WordPress تولید کنید

پرسش‌های متداول

آیا WordPress کم‌امن‌تر از دیگر CMSهاست؟
نه ذاتاً. شهرت WordPress به‌عنوان یک ریسک امنیتی از دو عامل می‌آید: ۴۳٪ وب را پیش می‌برد، پس مهاجمان آن را هدف می‌گیرند؛ و کاربران معمولی افزونه‌های آسیب‌پذیر را بدون ممیزی نصب می‌کنند. یک سایت WordPress نگهداری‌شده با افزونه‌های تأییدشده به همان اندازه Drupal یا Joomla امن است. یک سایت WordPress رهاشده با ۳۰ افزونه منسوخ یک هدف آسان است.
آیا به یک افزونه امنیتی پولی نیاز دارم؟
بیشتر سایت‌ها نه. Wordfence Free آنچه را ۹۰٪ سایت‌های WordPress نیاز دارند پوشش می‌دهد: دیوار آتش، اسکن بدافزار، امنیت ورود، یکپارچگی فایل. نسخه Premium به‌روزرسانی‌های تهدید بلادرنگ (در برابر تأخیر ۳۰ روزه)، مسدودسازی بر اساس کشور و پشتیبانی اولویت‌دار را اضافه می‌کند: برای سایت‌هایی با درآمد واقعی ارزشش را دارد، در دیگر موارد اختیاری است.
هر چند وقت یک‌بار باید WordPress را به‌روز کنم؟
نسخه‌های جزئی (5.6.1 ← 5.6.2): به‌طور خودکار، بلافاصله. نسخه‌های اصلی (5.x ← 6.x): ظرف ۷ روز پس از انتشار. به‌روزرسانی‌های افزونه: بازبینی هفتگی؛ به‌روزرسانی خودکار اگر پشتیبان دارید؛ بازبینی دستی برای افزونه‌های حیاتی (امنیت، تجارت الکترونیک، کد سفارشی).
رایج‌ترین شیوه‌ای که سایت‌های WordPress هک می‌شوند چیست؟
افزونه‌های آسیب‌پذیر، که طبق گزارش‌های سالانه Wordfence مسئول حدود ۵۵٪ حملات موفق به WordPress هستند. خودِ کد افزونه آسیب‌پذیری‌ای دارد که مهاجم از آن بهره‌برداری می‌کند. کاهش ریسک: افزونه‌ها را به‌روز نگه دارید، موارد استفاده‌نشده را حذف کنید و فقط افزونه‌هایی از توسعه‌دهندگان مورد اعتماد نصب کنید.
آیا باید از هاستینگی با امنیت WordPress یکپارچه استفاده کنم؟
هاستینگ‌های مدیریت‌شده WordPress (Kinsta، WP Engine، Pressable) شامل WAF، اسکن بدافزار و به‌روزرسانی‌های خودکار هسته هستند: افزوده‌های قابل توجه. اینکه آیا قیمت پریمیوم را توجیه می‌کنند به ترافیک و پروفایل تهدید شما بستگی دارد. برای یک سایت کسب‌وکار کوچک، یک نصب رایگان Wordfence روی هاستینگ اشتراکی بیشتر تهدیدها را پوشش می‌دهد.

مطالب مرتبط برای مطالعه

برای دریافت به‌روزرسانی‌ها مشترک شوید

ما ایمیل شما را نمی‌فروشیم. هرزنامه ارسال نمی‌کنیم.

© 2026 RevealTheme. All rights reserved.