چگونه امنیت صفحه ورود به وردپرس را افزایش دهیم؟
ارزیابی سطح امنیت وبسایت شما باید از واضحترین نقطه شروع شود که صفحه ورود وبسایت است. داشتن یک صفحه ورود امن وردپرس برای جلوگیری از نقض امنیت ضروری است. امنیت ضعیف ورود به سیستم میتواند تاثیر زیادی بر محافظت از دادههای شما و سطح ایمنی که به بازدیدکنندگان وبسایت خود ارائه میدهید داشته باشد. اگرچه وردپرس یک پلتفرم CMS بسیار امن است، اما به دلیل محبوبیت بسیار زیاد، بیشتر مستعد حملات است.
صفحه ورود محافظت نشده میتواند یکی از راحتترین نقاط ورود برای خرابکاری باشد و میتواند منجر به مشکلات امنیتی بزرگی برای شما به عنوان مالک یا مدیر وب سایت شود.
آیا صفحه ورود به وردپرس امن است؟
جدی گرفتن امنیت ورود به وردپرس به این معنی است که به تمام جنبههای قابل بهره برداری صفحه ورود خود نگاه کنید. اگر صفحه ورود به وردپرس امن هم باشد، غیر قابل نفوذ نیست. ایجاد یک وبسایت 100٪ ضد گلوله که هک کردن آن غیرممکن باشد، کاری نیست که بتوان انجام داد. کاری که میتوانید انجام دهید این است که دسترسی هکرها به دادهها را تا حد امکان دشوار کنید.
به عنوان مثال، یکی از مواردی که شما را تا حدودی در معرض دید قرار میدهد این است که صفحه ورود به سیستم، در یک مکان شناخته شده مانند (www.sitename.com/wp-admin/) است . این مکان پیشفرض برای صفحه ورود به وردپرس، به محض نصب آن است. پس هکرها دقیقا میدانند به کجا ضربه بزنند.
یکی دیگر از آسیبپذیریهایی که باید در نظر بگیریم، اجازه تلاشهای نامحدود برای ورود به سیستم است. رباتها میتوانند، از طریق حملات brute force وارد سیستم شوند؛ مگر اینکه اقدامات امنیتی اضافی را اجرا کنید.
افزایش امنیت صفحه ورود وردپرس
خبر خوب این است که راههای مختلفی وجود دارد که میتوانید بر سطح امنیت فرآیند ورود به وردپرس تاثیر بگذارید. نکات و ترفندهای زیادی وجود دارد که میتوانید از آنها بهره مند شوید و خوشبختانه در اینجا برخی از مهمترین آنها آورده شده است:
-
یک سیاست رمز عبور قوی را اجرا کنید
هر چه بیشتر درگیر درک معنای داشتن یک وبسایت امن باشیم، بیشتر از آنچه باید از اصول اولیه استفاده میکنیم. سادهترین راه حل برای داشتن یک وبسایت امن این است که به رمز عبور خود توجه کنید.
برای درک بهتر قدرت رمز عبور قوی، بیایید ببینیم که یک الگوریتم اختصاصی برای شکستن یک رمز عبور از طریق brute force بر اساس تعداد کاراکترهای رمز عبور چقدر طول میکشد.
- 8 کاراکتر - اگر فقط شامل اعداد باشد، فوری کرک میشوند. اگر حاوی اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، می تواند در 5 دقیقه کرک شود.
- 10 کاراکتر - اگر فقط شامل اعداد باشد، فوری کرک میشوند. اگر حاوی اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، میتواند در عرض 2 هفته کرک شود.
- 12 کاراکتر - اگر فقط شامل اعداد باشد در 1 ثانیه شکسته میشود. اگر دارای اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، میتواند در 226 سال کرک شود.
- 16 کاراکتر - اگر فقط شامل اعداد باشد، می توان آن را در 1 ساعت کرک کرد. اگر حاوی اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، می تواند در 5 میلیارد سال شکسته شود.
همان طور که میبینید، یک رمز عبور قوی میتواند تفاوت زیادی ایجاد کند. تنها با استفاده از یک رمز عبور قوی، میتوانید یک حمله 5 دقیقهای بروت فورس را به یک حمله 5 میلیارد ساله تبدیل کنید. ولی داشتن یک رمز عبور قوی، به خاطر سپردن آن و استفاده از آن در هر بار ورود میتواند دشوار باشد.
به همین دلیل است که برخی از سرویسها مانند Bitwarden و دیگر پلتفرمهای مدیریت رمز عبور میتوانند ابزار عالی برای کمک به شما برای غلبه بر مشکلات استفاده از رمزهای عبور قوی باشند.
-
احراز هویت دو مرحله ای (2FA) را فعال کنید
احراز هویت دو مرحلهای میتواند راه عالی دیگری برای بهبود امنیت ورود به وردپرس باشد. همانطور که از نام آن پیداست، 2FA یک لایه حفاظتی دوم را به هر لاگین که انجام میدهید اضافه میکند که بر اساس اصل استفاده از چیزی است که شما میدانید و چیزی که برای هر ورود دارید و میتواند نقضهای امنیتی را به شدت کاهش دهد.
2FA سرویسی است که از طریق آن هر بار که میخواهید وارد وبسایت خود شوید، باید از رمز عبوری که قبلا تنظیم کردهاید و یک کد منحصر به فرد که برای شما تولید و ارسال میشود استفاده کنید. میتوانید انتخاب کنید که کدهایی که از طریق ایمیل، پیامک، تماسهای تلفنی یا برنامههای احراز هویت ویژه برای شما ارسال میشوند را دریافت کنید.
شما میتوانید با استفاده از یک افزونه اختصاصی، احراز هویت دو مرحلهای را در صفحه ورود به وردپرس خود ادغام کنید. برخی از بهترین افزونههای وردپرس 2FA عبارتند از:
- Two-Factor
- WP 2FA
- miniOrange’s Google Authenticator
-
یک افزونه امنیتی جامع وردپرس را نصب کنید
امنیت ورود به وردپرس و ایمنی کلی را میتوان با استفاده از یک افزونه امنیتی به طور قابل توجهی بهبود بخشید. چندین گزینه وجود دارد که برخی از آنها از وبسایت در برابر طیف وسیعی از تهدیدات محافظت میکنند.
امنیت کلی وردپرس به طور کلی به اندازه کمایمنترین مولفه وبسایت شما است. این بدان معنی است که حتی اگر هسته وردپرس ایمن است، احتمالا به دلیل افزونههایی که استفاده میکنید با چندین آسیب پذیری دیگر روبرو خواهید شد.
اختصاص بودجه و منابع وب سایت به یک افزونه امنیتی خوب وردپرس میتواند از سایت وردپرس شما در برابر آسیب پذیریهای بسیار بیشتر از ورود محافظت کند. برخی از بهترین افزونههای امنیتی وردپرس دارای برنامههای زیادی برای محافظت از وب سایتها هستند و میتوانند به طور جدی شانس هک شدن سایت شما را کاهش دهند. در اینجا برخی از بهترینها آورده شده است:
- Wordfence
- All-In-One Security (AIOS)
- Jetpack Protect
-
تعداد تلاشهای ورود را محدود کنید
یکی از رایجترین انواع حملاتی که بر وب سایتهای وردپرسی تاثیر میگذارد، حمله brute force است که شامل یک الگوریتم است که سعی میکند رمز عبور شما را یک بار در یک زمان حدس بزند. یکی از ساده ترین راهها برای جلوگیری از این امر محدود کردن تلاش برای ورود به سیستم (Login Attempts) است.
متاسفانه وردپرس دارای ویژگی داخلی برای محدود کردن تلاش برای ورود نیست. این بدان معناست که برای اینکه بتوانید تلاش برای ورود به وردپرس را محدود کنید، به یک افزونه امنیتی که شامل این گزینه یا یک افزونه اختصاصی باشد نیاز دارید. در اینجا تعدادی از برترین افزونههای اختصاصی آورده شده است:
- Limit Login Attempts Reloaded
- Loginizer
- WPS Limit Login
-
آدرس پیش فرض ورود به وردپرس را تغییر دهید
راه دیگر برای محافظت از وبسایت در برابر حملات brute force این است که به سادگی URL مورد استفاده برای ورود را تغییر دهید. همانطور که قبلا ذکر شد، وردپرس به صورت پیش فرض، آدرس ثابتی برای ورود به سیستم دارد و این چیزی شبیه به www.sitename.com/wp-admin/ است
هکرها این را میدانند و میتوانند حملات خود را با رباتهایی که به سادگی URL صفحه ورود برای هر وبسایت را پیدا کرده و بعد فرآیند حدس رمز عبور را شروع کنند.
اگر URL صفحه ورود را تغییر دهید، شانس رباتها برای یافتن صفحه ورود را به میزان قابل توجهی کاهش میدهید، بنابراین گاهی جلوی شروع حملات brute-force را میگیرید. با استفاده از افزونههای امنیتی که این گزینه را دارند یا با افزونه اختصاصی مانند WPS Hide Login میتوانید این کار را به راحتی انجام دهید.
-
یک لایه رمز عبور اضافی به صفحه ورود خود اضافه کنید
یک مرحله اضافی که میتوانید به فرآیند ورود به پیشخوان وردپرس اضافه کنید، می تواند تاثیر زیادی بر امنیت وب سایت وردپرس شما داشته باشد. علاوه بر اقدامات امنیتی ذکر شده در بالا ، میتوانید با محافظت از صفحه ورود به سیستم خود در سطح هاست، لایه دیگری از محافظت اضافه کنید.
بسته به اینکه ارائه دهنده هاست شما کجا باشد، این فرآیند می تواند متفاوت باشد. ایده اصلی این است که به cPanel یا کنترل پنل معادل آن دسترسی داشته باشید، به پوشههای وبسایت خود رفته و پوشه wp-admin را در public_html را پیدا کنید.
اگر از این پوشه با رمز عبور محافظت شود، هر بار که سعی میکنید به URL صفحه ورود به سیستم www.sitename.com/wp-admin دسترسی پیدا کنید، حتی قبل از وارد کردن اطلاعات ورود کاربر وردپرس، باید یک نام کاربری و رمز عبور وارد کنید.
حفاظت از رمز عبور وردپرس یک راه عالی برای کاهش جدی شانس شما برای هک شدن است.
-
Login Hints وردپرس را غیرفعال کنید
یکی دیگر از گامهای مهم در بهبود امنیت ورود به وردپرس، غیرفعال کردن Login Hints به سیستم است که وردپرس پس از تلاشهای ناموفق برای ورود به سیستم ارائه میدهد. به عنوان مثال، اگر بخواهید با نام کاربری اشتباه وارد شوید، وردپرس پیامی مبنی بر اشتباه بودن نام کاربری شما نمایش میدهد.
به طور خودکار، این اطلاعات میتواند برای هکرها یا رباتهایی که تلاش میکنند راهی پیدا کنند، مفید باشد. هر اطلاعاتی که از طریق کرکها به بیرون درز کند، کمک بزرگی در فرآیند مخرب خواهد بود.
برای جلوگیری از دادن سرنخ به مهاجمان، باید Login Hints را غیرفعال کنید. به این ترتیب، شما مقداری از اطلاعاتی را که سایر وبسایتها ناخواسته منتشر میکنند، حذف میکنید. برای انجام این کار، فقط باید چند خط کد به فایل functions.php خود اضافه کنید:
function no_wordpress_errors()
{ return 'an error message of your choice.'; }
add_filter( 'login_errors', 'no_wordpress_errors' );
اکنون، هر زمان که تلاشهای ناموفق برای ورود رخ دهد، وردپرس به جای پیامهای پیشفرض که شامل جزئیات مربوط به اینکه کدام قسمت از اطلاعات ورود اشتباه بوده است، پیام An error message of your choice را نمایش میدهد که میتوانید آن را سفارشی کنید.
نکتهای که باید در نظر داشته باشید این است که فایل functions.php با هر بار به روز رسانی وردپرس رونویسی میشود، به این معنی که کدی که اضافه کردهاید به سادگی ناپدید میشود.
-
نام کاربری ورود به وردپرس خود را مخفی کنید
یکی از مواردی که ما معمولا کمتر از داشتن یک رمز عبور قوی روی آن تمرکز میکنیم، این واقعیت است که نام کاربری ما معمولا نیمی از اطلاعات ورود به سیستم مورد نیاز یک خرابکار برای دسترسی به دادههای ما را نشان میدهد.
همانطور که گفته شد، تلاش ما برای محافظت از رمزهای عبور و ایمن سازی آنها تا حد امکان به همان اندازه مهم است که تلاش برای حفظ خصوصی نام کاربری خود نیز اهمیت دارد. یکی از اطلاعات مرتبط که بسیاری از صاحبان وب سایت وردپرس فراموش می کنند این است که نامهای کاربری به طور پیشفرض عمومی میشوند زیرا نام نویسنده هر نوشته در واقع نام کاربری ورود به سیستم است. این ممکن است بسته به نحوه تنظیمات شما و فرمی که نام نویسنده تنظیم شده است متفاوت باشد: نام مستعار - نام کاربری - نام کامل - نام - نام خانوادگی.
برای خصوصی کردن این بخش حیاتی از اطلاعات، فقط باید تنظیماتی را در پروفایل کاربری وردپرس خود انجام دهید، در قسمت Users -> Profile -> Nickname اگر به دنبال تغییر شرایط برای کاربر خود هستید، می توانید نام مستعار خود را به چیزی متفاوت از نام کاربری ورود به سیستم خود تغییر دهید.
اگر میخواهید این تغییر را برای کاربر دیگری انجام دهید، باید به منوی کاربران بروید و سپس روی ویرایش در کاربر مورد نظر کلیک نموده و فیلد نام مستعار را ویرایش کنید.
یکی از موارد مهمی که باید ذکر شود این است که به عنوان یک کاربر وردپرس، یک نام کاربری (که برای ورود به سیستم از آن استفاده میکنید) و یک نام مستعار (که در تمام نوشتههایی که مینویسید ظاهر می شود) خواهید داشت.
در همین صفحه، میتوانید تنظیم کنید که نام عمومی شما چگونه باشد. شما باید گزینه نمایش نام عمومی را مشاهده کنید و می توانید از بین گزینه های مختلف در منوی کشویی انتخاب کنید.
آخرین موردی که باید به آن اشاره کرد این است که نام کاربری که به عنوان پیش فرض برای هر کاربر مدیر وردپرس میآید admin است. تغییر این نام کاربری به هر چیز دیگری به شما یک لایه امنیتی بیشتر از وب سایت میدهد زیرا هر هکری را که از سیستمهای خودکار مبتنی بر آسیب پذیری های شناخته شده استفاده می کنند، منحرف می کند.
برای تغییر آن، فقط باید روی Change username در سمت راست قسمت Username در همین صفحه کلیک کنید.
-
خروج خودکار را فعال و پیکربندی کنید
به خصوص برای وب سایتهایی با چندین کاربر مهم است، پیکربندی قوانین مختلف خروج خودکار به طور جدی احتمال نقض امنیتی ناشی از خطای انسانی را کاهش میدهد. از آنجایی که کنترل کمی بر نحوه دسترسی کاربران به پیشخوان وب سایت وردپرس خود ندارید، مهم است که خطرات را به روش دیگری کاهش دهید.
اگر یکی از کاربران شما برای مثال از یک کامپیوتر عمومی وارد سیستم شود و فراموش کند که از سیستم خارج شود، وردپرس به طور خودکار پس از 48 ساعت کاربران را از سیستم خارج میکند. این مدت برای کاربرانی که کادر مرا به خاطر بسپار را در صفحه ورود علامت می زنند، می تواند تا 2 هفته افزایش یابد.
-
CAPTCHA و سوالات امنیتی را یکپارچه کنید
اگر یک واقعیت ساده را درک کنید، امنیت ورود به وردپرس را می توان به طور قابل توجهی بهبود بخشید؛ بیشتر ترافیک مخرب در وب غیر انسانی است. این بدان معنی است که در بیشتر موارد، جلوگیری از هک شدن وبسایت شما یک موضوع ساده دور نگه داشتن ترافیک ربات از آن است.
اینجاست که CAPTCHA به عنوان راهی برای متمایز کردن ترافیک انسانی از ترافیک ربات وارد میشود. اینها تستهای تورینگ مخصوص طراحی شدهاند که میتوانید در وبسایت خود برای دور نگه داشتن رباتها استفاده کنید. برای پیاده سازی آنها، باید از افزونه های شخص ثالث مانند:
- Login No Captcha reCAPTCHA
- Login Security Captcha
- reCaptcha by BestWebSoft
-
به طور منظم حسابهای کاربری را بررسی کنید
امنیت ورود به وردپرس نیز میتواند تحت تاثیر دقت شما با کاربرانی باشد که به پیشخوان شما دسترسی دارند.
اگر وبسایتی با تعداد مشارکتکنندگان بالاتر از میانگین دارید، لازم است مدام فهرست کاربران و مجوزهای آنها را بررسی کنید. همیشه باید حسابهای فعال را زیر نظر داشته باشید و مطمئن شوید که هیچ کاربری را در زمانی که دیگر نیازی به دسترسی ندارند، فعال نگذارید.
همچنین، با داشتن یک ایده واضح از اینکه کاربران چه کسانی هستند و چه مجوزهایی دارند، میتوانید متوجه شوید که آیا کاربران مشکوکی با امتیازات دسترسی بالا ظاهر می شوند یا خیر.
با خرید هاست وردپرس کانفیگ حرفه ای و نظارت بر سرور به صورت پیوسته توسط تیم فنی پارسدِو انجام خواهد شد
چرا صفحه ورود به وردپرس خود را ایمن کنید؟
در حالی که تعداد واقعی سایتهای وردپرسی که هر روز هک میشوند مشخص نیست، کارشناسان تخمین میزنند که حداقل 13000 وبسایت هر روز تحت نوعی حمله مخرب قرار میگیرند. این واقعیت که تقریبا 9 سایت در هر دقیقه هک میشود، باید همه چیز را در یک دیدگاه قرار دهد.
تا زمانی که خواندن این مقاله را به پایان برسانید، حدود 100 وبسایت در جهان هک شده است. اگر می خواهید بخشی از این آمار نباشید، باید امنیت ورود به وردپرس را جدی بگیرید و این موضوع را از صفحه ورود، آغاز کنید.
نتیجه گیری
تلاش بسیار کمی برای بهبود امنیت ورود به وردپرس میتواند یک راه عالی برای ایمن سازی وب سایت شما باشد. چه از طریق احراز هویت دو مرحلهای، افزودن محدودیتها به تلاشهای ورود به سیستم، تغییر URL صفحهای که برای ورود به سیستم استفاده میکنید یا همه این موارد، نکته مهم این است که همیشه در بالای بازی بمانید.
همچنین باید آگاه بودن و به روز بودن توصیههای وردپرس را از نظر امنیت در اولویت قرار دهید و همیشه با فهرست بهترین شیوههای آنها مطابقت داشته باشید.