- موضوع نویسنده
- #1
یکی از مهمترین چالشهای هر مدیر سایت وردپرسی، مقابله با هجوم رباتها و اسپمرهایی است که نه تنها امنیت سایت را به خطر میاندازند، بلکه میتوانند منابع سرور را مصرف کرده و سرعت سایت را کاهش دهند. اگر سایت شما دچار ثبتنام جعلی، دیدگاههای اسپم، یا حملات brute force شود، هم سئو و هم اعتماد کاربران به شدت آسیب میبیند. در این مقاله با بررسی بهترین راهکارهای عملی و افزونهها، شما را برای داشتن یک سایت امن و بدون اسپم راهنمایی میکنیم.
قبل از آغاز به معرفی راهکارها، باید بدانید رباتها و اسپمرها چه نوع مشکلاتی ایجاد میکنند:
افزونه Akismet یکی از شناختهشدهترین ابزارها برای مقابله با دیدگاههای اسپم در وردپرس است. پس از نصب افزونه، کافی است یک API Key رایگان ایجاد و آن را فعال کنید تا اکثر دیدگاههای اسپم بهطور خودکار حذف یا بررسی شوند.
افزودن reCAPTCHA به فرم ثبتنام، ورود و دیدگاه باعث میشود تنها انسانها بتوانند این فرمها را کامل کنند و رباتها ناکام بمانند. میتوانید از افزونههایی مانند WP-reCAPTCHA یا Google Captcha (reCAPTCHA) by BestWebSoft استفاده نمایید.
این کد را باید همراه با لود اسکریپت reCAPTCHA در قالب قرار دهید و کلید سایت را جایگزین کنید.
در منوی تنظیمات>عمومی وردپرس، حتماً گزینه
با ویرایش فایل
حملات brute force و login با ربات بسیار متداول است. غیر فعال کردن Xml-Rpc با افزونه Disable XML-RPC یا افزودن کد زیر به functions.php:
همچنین به کمک افزونههایی مثل Disable REST API میتوانید دسترسی غیرمجاز رباتها به بخشهای API را کنترل کنید.
افزونههایی مثل Wordfence Security، All In One WP Security & Firewall، و Sucuri Security امکانات پیشرفتهای مانند مسدودسازی کشورها، آیپیهای مشکوک و رصد رفتار مشکوک را در وردپرس فراهم میکنند. مقابله با حملات رباتیک، brute force و اسپم با فعالسازی قوانین فایروال این افزونهها بسیار سادهتر خواهد شد.
همیشه یک اکانت مدیر با نام غیر قابل حدس انتخاب کنید. اکانتهای پیشفرض مثل
عدم بروزرسانی فایلهای سایت موجب آسیبپذیری در برابر رباتهای مخرب و سوءاستفاده از حفرههای امنیتی میشود. سعی کنید هر هفته بهروزرسانی را چک کرده و همیشه آخرین نسخهها را فعال داشته باشید.
استفاده از راهکارها و تجربههای افراد فعال حوزه وبمستری میتواند مانع بسیاری از اشتباهات رایج شود. انجمن تخصصی احمدرضا کریمی (انجمن تخصصی وبمستران) و همچنین مقالات سایت akarimi.com مرجع مناسبی برای رفع مشکلات ربات و اسپم در وردپرس هستند. با اشتراکگذاری تجربیات خود در این انجمن، نهتنها مشکل خود را سریعتر حل میکنید، بلکه به دیگر وبمستران هم کمک خواهید کرد.
با رعایت نکات امنیتی مطرحشده در این مقاله، تا حد زیادی از شر رباتها و اسپمرها در سایت وردپرسی نجات پیدا خواهید کرد. همیشه پیشگیری بهتر از درمان است؛ پس با چند اقدام ساده و افزونه رایگان، سایت خود را همیشه ایمن و عاری از اسپم نگهدارید.
آسیبهای ناشی از رباتها و اسپمرها در وردپرس
قبل از آغاز به معرفی راهکارها، باید بدانید رباتها و اسپمرها چه نوع مشکلاتی ایجاد میکنند:
- کاهش سرعت سایت و افزایش فشار بر منابع سرور
- کاهش کیفیت دیدگاهها و آزار کاربران واقعی
- پر شدن فرمهای ثبتنام با اطلاعات جعلی
- کاهش اعتبار سایت نزد گوگل و پیامد منفی بر سئو
- احتمال نفوذ به ناحیه مدیریت و دسترسی به اطلاعات حساس
1. فعالسازی Akismet برای محافظت از دیدگاهها
افزونه Akismet یکی از شناختهشدهترین ابزارها برای مقابله با دیدگاههای اسپم در وردپرس است. پس از نصب افزونه، کافی است یک API Key رایگان ایجاد و آن را فعال کنید تا اکثر دیدگاههای اسپم بهطور خودکار حذف یا بررسی شوند.
Akismet automatically checks comments and filters out the ones that look like spam.2. استفاده از reCAPTCHA گوگل در فرمها
افزودن reCAPTCHA به فرم ثبتنام، ورود و دیدگاه باعث میشود تنها انسانها بتوانند این فرمها را کامل کنند و رباتها ناکام بمانند. میتوانید از افزونههایی مانند WP-reCAPTCHA یا Google Captcha (reCAPTCHA) by BestWebSoft استفاده نمایید.
PHP:
// نمونه کد افزودن reCAPTCHA به فرم ورود وردپرس
add_action('login_form', function() {
echo '<div class="g-recaptcha" data-sitekey="SITE_KEY"></div>';
});3. غیرفعال کردن ثبتنام اتوماتیک و انتخاب تایید دستی
در منوی تنظیمات>عمومی وردپرس، حتماً گزینه
هر کسی میتواند نامنویسی کند را غیرفعال و نقش پیشفرض کاربر تازه را محدود به مشترک کنید. افزونههایی مثل WP Approve User نیز اجازه میدهند کاربران جدید را ابتدا تایید کنید و از ثبتنام اسپم جلوگیری شود.4. محدودسازی دسترسی رباتها به فایلها و صفحات مهم
با ویرایش فایل
robots.txt میتوانید مسیرهای حساس سایت مثل wp-admin و wp-login.php را از دسترس خزندهها و رباتها خارج کنید:
کد:
User-agent: *
Disallow: /wp-admin/
Disallow: /wp-login.php5. بستن پورتهای XML-RPC و REST API برای مقابله با Brute Force
حملات brute force و login با ربات بسیار متداول است. غیر فعال کردن Xml-Rpc با افزونه Disable XML-RPC یا افزودن کد زیر به functions.php:
PHP:
add_filter('xmlrpc_enabled', '__return_false');6. استفاده از افزونههای دیوار آتش و امنیت حرفهای
افزونههایی مثل Wordfence Security، All In One WP Security & Firewall، و Sucuri Security امکانات پیشرفتهای مانند مسدودسازی کشورها، آیپیهای مشکوک و رصد رفتار مشکوک را در وردپرس فراهم میکنند. مقابله با حملات رباتیک، brute force و اسپم با فعالسازی قوانین فایروال این افزونهها بسیار سادهتر خواهد شد.
7. حذف و غیرفعالسازی نامکابر "admin" و اسامی متداول
همیشه یک اکانت مدیر با نام غیر قابل حدس انتخاب کنید. اکانتهای پیشفرض مثل
admin یا test اولین هدف رباتهای هکر هستند.8. بروزرسانی مداوم وردپرس، قالب و افزونهها
عدم بروزرسانی فایلهای سایت موجب آسیبپذیری در برابر رباتهای مخرب و سوءاستفاده از حفرههای امنیتی میشود. سعی کنید هر هفته بهروزرسانی را چک کرده و همیشه آخرین نسخهها را فعال داشته باشید.
تجربه دیگر وبمستران و منابع آنلاین برای پیشگیری
استفاده از راهکارها و تجربههای افراد فعال حوزه وبمستری میتواند مانع بسیاری از اشتباهات رایج شود. انجمن تخصصی احمدرضا کریمی (انجمن تخصصی وبمستران) و همچنین مقالات سایت akarimi.com مرجع مناسبی برای رفع مشکلات ربات و اسپم در وردپرس هستند. با اشتراکگذاری تجربیات خود در این انجمن، نهتنها مشکل خود را سریعتر حل میکنید، بلکه به دیگر وبمستران هم کمک خواهید کرد.
جمعبندی
با رعایت نکات امنیتی مطرحشده در این مقاله، تا حد زیادی از شر رباتها و اسپمرها در سایت وردپرسی نجات پیدا خواهید کرد. همیشه پیشگیری بهتر از درمان است؛ پس با چند اقدام ساده و افزونه رایگان، سایت خود را همیشه ایمن و عاری از اسپم نگهدارید.
