دوستان برای ایمن کردن وردپرس راه دستی بهتره یا با افزونه؟


اگه افزونه بهتره بهترین افزونه رو معرفی کنید فقط 1 افزونه بفرمایید که تصمیم گیری سخت نشه.

اگه ذستی بهتره دو سه تا از کارآمدترین روش ها رو با توضیح روش بفرمایید چون من تو گوگل سرچ کردم توی هر مطلب 20 جور روش گفتن تا الان 60 مدل روش خوندم اکثرا هم روش انجامو درست و حسابی توضیح ندادن

ممنون

سلام
پیشنهاد ما به شما استفاده از افزونه امنیت فراگیر وردپرس (All In One WP Security) است.
تقریباً همه ی افزونه ها هم شبیه به هم هستند.

سلام دوست عزیز

مقاله زیر رو مطالعه نمایید

چطور یک وردپرس امن داشته باشیم ؟ (http://www.itwebserver.com/314/how-to-have-a-secure-wordpress/)

امیدوارم براتون کارآمد باشه

سلام
افزونه در این زمینه زیاده ولی بالاخره شما با هر روشی که تونستید بهتره کار های زیر رو انجام بدید:



قرار دادن پسورد روی پوشه wp-admin در هاست.
تغییر نام کاربری admin به چیز دیگه که غیرقابل حدس زدن باشه.
ترجیحاً تغییر آیدی یوزر admin از 1 به چیز دیگه ای (که افزونه iThemes Security می تونه انجام بده).
تغییر مقدار ستون user_nicename یوزر اصلی به واژه admin پس از تغییر نام کاربریش به چیز دیگه (این کار باعث میشه همچنان صفحه author یوزر admin با نام admin نمایش داده بشه).
تغییر پیشوند جداول وردپرس در دیتابیس از _wp به یه چیز دیگه.
قرار دادن کپچا (سوال امنیتی) در فرم لاگین و فرم ارسال نظر و تماس با ما.
محدود سازی تعداد دفعات لاگین اشتباه به تعداد کم مثلاً 3 بار و سپس مسدود کردن آی پی شخص.
استفاده از پیوند های یکتا سفارشی به جای پیش فرض که صفحاتی مثل author بر اساس آیدی نباشه.
قرار دادن کد بلک لیست 3G (https://perishablepress.com/perishable-press-3g-blacklist/) و 4G (https://perishablepress.com/the-perishable-press-4g-blacklist/) ساخته شده توسط سایت perishablepress.com در فایل htaccess. سایت (دقت کنید این کد ممکنه با بعضی افزونه ها تداخل داشته باشه).
حذف افزونه های اضافی یا حداقل کمتر ضروری و همچنین عدم نگه داری افزونه ها در حالت غیرفعال (اگه افزونه ای رو نیاز ندارید اما اسمش رو می خواین بدونید بهتره تو فایل txt. چیزی اسمش رو ذخیره کنید نه که غیرفعال داشته باشیدش).
ویژگی پینگ (یا بازتاب) وردپرس که توسط فایل xmlrpc.php انجام میشه رو غیرفعال کنید و سطح دسترسی این فایل هم همانند فایل wp-config.php روی 400 بذارید بهتره (همه افزونه های امنیتی امکان غیرفعال سازی ویژگی پینگ وردپرس رو دارن).
متاتگ های پیش فرض وردپرس مثل Generator رو حذف کنید و همچنین دقت کنید در هیچ کجای قالب از آیدی مطالب و برگه ها استفاده نشده باشه (خیلی از سایت ها متاتگ shortlink که با آیدی مطالب وردپرس هست رو حذف میکنن اما یادشون میره آیدی مطالب رو از جا های دیگه قالب حذف کنن).
در آخر یکی از مهم ترین ارکان که بعضی ها رعایت نمیکنن داشتن پسورد خیلی قوی برای پنل مدیریت هست که هم قابل حدس زدن نباشه اما کلمات خاصی هم نباشه با BruteForce بشه راحت پیدا کرد.


درباره افزونه امنیتی هم به نظر من به هیچ کدوم نمیشه اعتماد کرد برای همین من اگه نیاز شد نصبشون میکنم کار هایی که می دونم تاثیر دائمی دارن مثل تغییر آیدی یوزر admin رو تغییر میدم بعد افزونه رو حذف و Table هاش هم از دیتابیس حذف میکنم.
راستی یادتون نره علاوه بر اینکه قبل از هر تغییر در دیتابیس باید ازش بکاپ بگیرید (با ویژگی EXPORT در phpMyAdmin میشه) حتماً حداقل هفته ای یک بار هم از دیتابیس بکاپ بگیرید و تو کامپیوتر خودتون داشته باشید و اگه حجم فایل هاتون هم کمه مثلاً ماهی یه بار یه Full Backup از هاست هم دانلود کنید داشته باشید.