چگونه امنیت صفحه ورود به وردپرس را افزایش دهیم؟

ارزیابی سطح امنیت وب‌سایت شما باید از واضح‌ترین نقطه شروع شود که  صفحه ورود وب‌سایت است. داشتن یک صفحه ورود امن وردپرس برای جلوگیری از نقض امنیت ضروری است. امنیت ضعیف ورود به سیستم می‌تواند تاثیر زیادی بر محافظت از داده‌های شما و سطح ایمنی که به بازدیدکنندگان وب‌سایت خود ارائه می‌دهید داشته باشد. اگرچه وردپرس یک پلتفرم CMS بسیار امن است، اما به دلیل محبوبیت بسیار زیاد، بیشتر مستعد حملات است.


صفحه ورود محافظت نشده می‌تواند یکی از راحت‌ترین نقاط ورود برای خرابکاری باشد و می‌تواند منجر به مشکلات امنیتی بزرگی برای شما به عنوان مالک یا مدیر وب سایت شود.


آیا صفحه ورود به وردپرس امن است؟

جدی گرفتن امنیت ورود به وردپرس به این معنی است که به تمام جنبه‌های قابل بهره برداری صفحه ورود خود نگاه کنید. اگر صفحه ورود به وردپرس امن هم باشد، غیر قابل نفوذ نیست. ایجاد یک وب‌سایت 100٪ ضد گلوله که هک کردن آن غیرممکن باشد، کاری نیست که بتوان انجام داد. کاری که می‌توانید انجام دهید این است که دسترسی هکرها به داده‌ها را تا حد امکان دشوار کنید.
به عنوان مثال، یکی از مواردی که شما را تا حدودی در معرض دید قرار می‌دهد این است که صفحه ورود به سیستم، در یک مکان شناخته شده مانند (www.sitename.com/wp-admin/) است . این مکان پیشفرض برای صفحه ورود به وردپرس، به محض نصب آن است.  پس هکرها دقیقا می‌دانند به کجا ضربه بزنند.

صفحه ورود به پیشخوان وردپرس

یکی دیگر از آسیب‌پذیری‌هایی که باید در نظر بگیریم، اجازه تلاش‌های نامحدود برای ورود به سیستم است. ربات‌ها می‌توانند، از طریق حملات brute force وارد سیستم شوند؛ مگر اینکه اقدامات امنیتی اضافی را اجرا کنید.

افزایش امنیت صفحه ورود وردپرس

خبر خوب این است که راه‌های مختلفی وجود دارد که می‌توانید بر سطح امنیت فرآیند ورود به وردپرس تاثیر بگذارید. نکات و ترفندهای زیادی وجود دارد که می‌توانید از آنها بهره مند شوید و خوشبختانه در اینجا برخی از مهمترین آنها آورده شده است:

  1. یک سیاست رمز عبور قوی را اجرا کنید

هر چه بیشتر درگیر درک معنای داشتن یک وب‌سایت امن باشیم، بیشتر از آنچه باید از اصول اولیه استفاده می‌کنیم. ساده‌ترین راه حل برای داشتن یک وب‌سایت امن این است که به رمز عبور خود توجه کنید.
برای درک بهتر قدرت رمز عبور قوی، بیایید ببینیم که یک الگوریتم اختصاصی برای شکستن یک رمز عبور از طریق brute force بر اساس تعداد کاراکترهای رمز عبور چقدر طول می‌کشد.

  • 8 کاراکتر - اگر فقط شامل اعداد باشد، فوری کرک می‌شوند. اگر حاوی اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، می تواند در 5 دقیقه کرک شود.
  • 10 کاراکتر - اگر فقط شامل اعداد باشد، فوری کرک می‌شوند. اگر حاوی اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، می‌تواند در عرض 2 هفته کرک شود.
  • 12 کاراکتر - اگر فقط شامل اعداد باشد در 1 ثانیه شکسته می‌شود. اگر دارای اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، می‌تواند در 226 سال کرک شود.
  • 16 کاراکتر - اگر فقط شامل اعداد باشد، می توان آن را در 1 ساعت کرک کرد. اگر حاوی اعداد، حروف بزرگ و کوچک و کاراکترهای خاص باشد، می تواند در 5 میلیارد سال شکسته شود.

همان طور که می‌بینید، یک رمز عبور قوی می‌تواند تفاوت زیادی ایجاد کند. تنها با استفاده از یک رمز عبور قوی، می‌توانید یک حمله 5 دقیقه‌ای بروت فورس را به یک حمله 5 میلیارد ساله تبدیل کنید. ولی داشتن یک رمز عبور قوی، به خاطر سپردن آن و استفاده از آن در هر بار ورود می‌تواند دشوار باشد.
به همین دلیل است که برخی از سرویس‌ها مانند Bitwarden و دیگر پلتفرم‌های مدیریت رمز عبور می‌توانند ابزار عالی برای کمک به شما برای غلبه بر مشکلات استفاده از رمزهای عبور قوی باشند.

  1. احراز هویت دو مرحله ای (2FA) را فعال کنید

احراز هویت دو مرحله‌ای می‌تواند راه عالی دیگری برای بهبود امنیت ورود به وردپرس باشد. همانطور که از نام آن پیداست، 2FA یک لایه حفاظتی دوم را به هر لاگین که انجام می‌دهید اضافه می‌کند که بر اساس اصل استفاده از چیزی است که شما می‌دانید و چیزی که برای هر ورود دارید و می‌تواند نقض‌های امنیتی را به شدت کاهش دهد.
2FA سرویسی است که از طریق آن هر بار که می‌خواهید وارد وب‌سایت خود شوید، باید از رمز عبوری که قبلا تنظیم کرده‌اید و یک کد منحصر به فرد که برای شما تولید و ارسال می‌شود استفاده کنید. می‌توانید انتخاب کنید که کدهایی که از طریق ایمیل، پیامک، تماس‌های تلفنی یا برنامه‌های احراز هویت ویژه برای شما ارسال می‌شوند را دریافت کنید.

شما می‌توانید با استفاده از یک افزونه اختصاصی، احراز هویت دو مرحله‌ای را در صفحه ورود به وردپرس خود ادغام کنید. برخی از بهترین افزونه‌های وردپرس 2FA عبارتند از:

  • Two-Factor
  • WP 2FA
  • miniOrange’s Google Authenticator
  1. یک افزونه امنیتی جامع وردپرس را نصب کنید

امنیت ورود به وردپرس و ایمنی کلی را می‌توان با استفاده از یک افزونه امنیتی به طور قابل توجهی بهبود بخشید. چندین گزینه وجود دارد که برخی از آنها از وب‌سایت در برابر طیف وسیعی از تهدیدات محافظت می‌کنند.
امنیت کلی وردپرس به طور کلی به اندازه کم‌ایمن‌ترین مولفه وب‌سایت شما است. این بدان معنی است که حتی اگر هسته وردپرس ایمن است، احتمالا به دلیل افزونه‌هایی که استفاده می‌کنید با چندین آسیب پذیری دیگر روبرو خواهید شد.
اختصاص بودجه و منابع وب سایت به یک افزونه امنیتی خوب وردپرس می‌تواند از سایت وردپرس شما در برابر آسیب پذیری‌های بسیار بیشتر از ورود محافظت کند. برخی از بهترین افزونه‌های امنیتی وردپرس دارای برنامه‌های زیادی برای محافظت از وب سایت‌ها هستند و می‌توانند به طور جدی شانس هک شدن سایت شما را کاهش دهند. در اینجا برخی از بهترین‌ها آورده شده است:

  • Wordfence
  • All-In-One Security (AIOS)
  • Jetpack Protect
  1. تعداد تلاش‌های ورود را محدود کنید

یکی از رایج‌ترین انواع حملاتی که بر وب سایت‌های وردپرسی تاثیر می‌گذارد، حمله brute force است که شامل یک الگوریتم است که سعی می‌کند رمز عبور شما را یک بار در یک زمان حدس بزند. یکی از ساده ترین راه‌ها برای جلوگیری از این امر محدود کردن تلاش برای ورود به سیستم (Login Attempts) است.
متاسفانه وردپرس دارای ویژگی داخلی برای محدود کردن تلاش برای ورود نیست. این بدان معناست که برای اینکه بتوانید تلاش برای ورود به وردپرس را محدود کنید، به یک افزونه امنیتی که شامل این گزینه یا یک افزونه اختصاصی باشد نیاز دارید. در اینجا تعدادی از برترین افزونه‌های اختصاصی آورده شده است:

  • Limit Login Attempts Reloaded
  • Loginizer
  • WPS Limit Login
  1. آدرس پیش فرض ورود به وردپرس را تغییر دهید

راه دیگر برای محافظت از وب‌سایت در برابر حملات brute force این است که به سادگی URL مورد استفاده برای ورود را تغییر دهید. همانطور که قبلا ذکر شد، وردپرس به صورت پیش فرض، آدرس ثابتی برای ورود به سیستم دارد و این چیزی شبیه به www.sitename.com/wp-admin/ است

هکرها این را می‌دانند و می‌توانند حملات خود را با ربات‌هایی که به سادگی URL صفحه ورود برای هر وب‌سایت را پیدا کرده و بعد فرآیند حدس رمز عبور را شروع کنند.

اگر URL صفحه ورود را تغییر دهید، شانس ربات‌ها برای یافتن صفحه ورود را به میزان قابل توجهی کاهش می‌دهید، بنابراین گاهی جلوی شروع حملات brute-force را می‌گیرید. با استفاده از افزونه‌های امنیتی که این گزینه را دارند یا با افزونه اختصاصی مانند WPS Hide Login می‌توانید این کار را به راحتی انجام دهید.

  1. یک لایه رمز عبور اضافی به صفحه ورود خود اضافه کنید

یک مرحله اضافی که می‌توانید به فرآیند ورود به پیشخوان وردپرس اضافه کنید، می تواند تاثیر زیادی بر امنیت وب سایت وردپرس شما داشته باشد. علاوه بر اقدامات امنیتی ذکر شده در بالا ، می‌توانید با محافظت از صفحه ورود به سیستم خود در سطح هاست، لایه دیگری از محافظت اضافه کنید.
بسته به اینکه ارائه دهنده هاست شما کجا باشد، این فرآیند می تواند متفاوت باشد. ایده اصلی این است که به cPanel یا کنترل پنل معادل آن دسترسی داشته باشید، به پوشه‌های وب‌سایت خود رفته و پوشه wp-admin را در public_html را پیدا کنید.
اگر از این پوشه با رمز عبور محافظت شود، هر بار که سعی می‌کنید به URL صفحه ورود به سیستم www.sitename.com/wp-admin دسترسی پیدا کنید، حتی قبل از وارد کردن اطلاعات ورود کاربر وردپرس، باید یک نام کاربری و رمز عبور وارد کنید.
حفاظت از رمز عبور وردپرس یک راه عالی برای کاهش جدی شانس شما برای هک شدن است. 

تنظیم رمزعبور برای پوشه wp-admin وردپرس

  1. Login Hints وردپرس را غیرفعال کنید

یکی دیگر از گام‌های مهم در بهبود امنیت ورود به وردپرس، غیرفعال کردن Login Hints به سیستم است که وردپرس پس از تلاش‌های ناموفق برای ورود به سیستم ارائه می‌دهد. به عنوان مثال، اگر بخواهید با نام کاربری اشتباه وارد شوید، وردپرس پیامی مبنی بر اشتباه بودن نام کاربری شما نمایش می‌دهد.
به طور خودکار، این اطلاعات می‌تواند برای هکرها یا ربات‌هایی که تلاش می‌کنند راهی پیدا کنند، مفید باشد. هر اطلاعاتی که از طریق کرک‌ها به بیرون درز کند، کمک بزرگی در فرآیند مخرب خواهد بود.
برای جلوگیری از دادن سرنخ به مهاجمان، باید Login Hints را غیرفعال کنید. به این ترتیب، شما مقداری از اطلاعاتی را که سایر وب‌سایت‌ها ناخواسته منتشر می‌کنند، حذف می‌کنید. برای انجام این کار، فقط باید چند خط کد به فایل functions.php خود اضافه کنید:


function no_wordpress_errors() 
{ return 'an error message of your choice.'; } 
add_filter( 'login_errors', 'no_wordpress_errors' );

اکنون، هر زمان که تلاش‌های ناموفق برای ورود رخ دهد، وردپرس به جای پیام‌های پیش‌فرض که شامل جزئیات مربوط به اینکه کدام قسمت از اطلاعات ورود اشتباه بوده است، پیام An error message of your choice را نمایش می‌دهد که می‌توانید آن را سفارشی کنید.
نکته‌ای که باید در نظر داشته باشید این است که فایل functions.php با هر بار به روز رسانی وردپرس رونویسی می‌شود، به این معنی که کدی که اضافه کرده‌اید به سادگی ناپدید می‌شود.

 

  1. نام کاربری ورود به وردپرس خود را مخفی کنید

یکی از مواردی که ما معمولا کمتر از داشتن یک رمز عبور قوی روی آن تمرکز می‌کنیم، این واقعیت است که نام کاربری ما معمولا نیمی از اطلاعات ورود به سیستم مورد نیاز یک خرابکار برای دسترسی به داده‌های ما را نشان می‌دهد.
همانطور که گفته شد، تلاش ما برای محافظت از رمزهای عبور و ایمن سازی آنها تا حد امکان به همان اندازه مهم است که تلاش برای حفظ خصوصی نام کاربری خود نیز اهمیت دارد. یکی از اطلاعات مرتبط که بسیاری از صاحبان وب سایت وردپرس فراموش می کنند این است که نام‌های کاربری به طور پیش‌فرض عمومی می‌شوند زیرا نام نویسنده هر نوشته در واقع نام کاربری ورود به سیستم است. این ممکن است بسته به نحوه تنظیمات شما و فرمی که نام نویسنده تنظیم شده است متفاوت باشد: نام مستعار - نام کاربری - نام کامل - نام - نام خانوادگی.

برای خصوصی کردن این بخش حیاتی از اطلاعات، فقط باید تنظیماتی را در پروفایل کاربری وردپرس خود انجام دهید، در قسمت Users -> Profile -> Nickname اگر به دنبال تغییر شرایط برای کاربر خود هستید، می توانید نام مستعار خود را به چیزی متفاوت از نام کاربری ورود به سیستم خود تغییر دهید.

اگر می‌خواهید این تغییر را برای کاربر دیگری انجام دهید، باید به منوی کاربران بروید و سپس روی ویرایش در کاربر مورد نظر کلیک نموده و  فیلد نام مستعار را ویرایش کنید.

یکی از موارد مهمی که باید ذکر شود این است که به عنوان یک کاربر وردپرس، یک نام کاربری (که برای ورود به سیستم از آن استفاده می‌کنید) و یک نام مستعار (که در تمام نوشته‌هایی که می‌نویسید ظاهر می شود) خواهید داشت.

در همین صفحه، می‌توانید تنظیم کنید که نام عمومی شما چگونه باشد. شما باید گزینه نمایش نام عمومی را مشاهده کنید و می توانید از بین گزینه های مختلف در منوی کشویی انتخاب کنید.

آخرین موردی که باید به آن اشاره کرد این است که نام کاربری که به عنوان پیش فرض برای هر کاربر مدیر وردپرس می‌آید admin است. تغییر این نام کاربری به هر چیز دیگری به شما یک لایه امنیتی بیشتر از وب سایت می‌دهد زیرا هر هکری را که از سیستم‌های خودکار مبتنی بر آسیب پذیری های شناخته شده استفاده می کنند، منحرف می کند.

برای تغییر آن، فقط باید روی Change username در سمت راست قسمت Username در همین صفحه کلیک کنید.

  1. خروج خودکار را فعال و پیکربندی کنید

به خصوص برای وب سایت‌هایی با چندین کاربر مهم است، پیکربندی قوانین مختلف خروج خودکار به طور جدی احتمال نقض امنیتی ناشی از خطای انسانی را کاهش می‌دهد. از آنجایی که کنترل کمی بر نحوه دسترسی کاربران به پیشخوان وب سایت وردپرس خود ندارید، مهم است که خطرات را به روش دیگری کاهش دهید.

اگر یکی از کاربران شما برای مثال از یک کامپیوتر عمومی وارد سیستم شود و فراموش کند که از سیستم خارج شود، وردپرس به طور خودکار پس از 48 ساعت کاربران را از سیستم خارج می‌کند. این مدت برای کاربرانی که کادر مرا به خاطر بسپار را در صفحه ورود علامت می زنند، می تواند تا 2 هفته افزایش یابد.

  1. CAPTCHA و سوالات امنیتی را یکپارچه کنید

اگر یک واقعیت ساده را درک کنید، امنیت ورود به وردپرس را می توان به طور قابل توجهی بهبود بخشید؛ بیشتر ترافیک مخرب در وب غیر انسانی است. این بدان معنی است که در بیشتر موارد، جلوگیری از هک شدن وب‌سایت شما یک موضوع ساده دور نگه داشتن ترافیک ربات از آن است.

اینجاست که CAPTCHA به عنوان راهی برای متمایز کردن ترافیک انسانی از ترافیک ربات وارد می‌شود. این‌ها تست‌های تورینگ مخصوص طراحی شده‌اند که می‌توانید در وب‌سایت خود برای دور نگه داشتن ربات‌ها استفاده کنید. برای پیاده سازی آنها، باید از افزونه های شخص ثالث مانند:

  • Login No Captcha reCAPTCHA
  • Login Security Captcha
  • reCaptcha by BestWebSoft
  1. به طور منظم حساب‌های کاربری را بررسی کنید

امنیت ورود به وردپرس نیز می‌تواند تحت تاثیر دقت شما با کاربرانی باشد که به پیشخوان شما دسترسی دارند.
اگر وب‌سایتی با تعداد مشارکت‌کنندگان بالاتر از میانگین دارید، لازم است مدام فهرست کاربران و مجوزهای آنها را بررسی کنید. همیشه باید حساب‌های فعال را زیر نظر داشته باشید و مطمئن شوید که هیچ کاربری را در زمانی که دیگر نیازی به دسترسی ندارند، فعال نگذارید.
همچنین، با داشتن یک ایده واضح از اینکه کاربران چه کسانی هستند و چه مجوزهایی دارند، می‌توانید متوجه شوید که آیا کاربران مشکوکی با امتیازات دسترسی بالا ظاهر می شوند یا خیر.

هاست وردپرس با وب سرور محبوب لایت اسپید و کش لایت اسپید باعث می‌شود تا سرعت لود فوق العاده‌ای را تجربه کنید.
با خرید هاست وردپرس کانفیگ حرفه ای و نظارت بر سرور به صورت پیوسته توسط تیم فنی پارسدِو انجام خواهد شد


چرا صفحه ورود به وردپرس خود را ایمن کنید؟

در حالی که تعداد واقعی سایت‌های وردپرسی که هر روز هک می‌شوند مشخص نیست، کارشناسان تخمین می‌زنند که حداقل 13000 وب‌سایت هر روز تحت نوعی حمله مخرب قرار می‌گیرند. این واقعیت که تقریبا 9 سایت در هر دقیقه هک می‌شود، باید همه چیز را در یک دیدگاه قرار دهد.
تا زمانی که خواندن این مقاله را به پایان برسانید، حدود 100 وب‌سایت در جهان هک شده است. اگر می خواهید بخشی از این آمار نباشید، باید امنیت ورود به وردپرس را جدی بگیرید و این موضوع را از  صفحه ورود، آغاز کنید. 

نتیجه گیری

تلاش بسیار کمی برای بهبود امنیت ورود به وردپرس می‌تواند یک راه عالی برای ایمن سازی وب سایت شما باشد. چه از طریق احراز هویت دو مرحله‌ای، افزودن محدودیت‌ها به تلاش‌های ورود به سیستم، تغییر URL صفحه‌ای که برای ورود به سیستم استفاده می‌کنید یا همه این موارد، نکته مهم این است که همیشه در بالای بازی بمانید.
همچنین باید آگاه بودن و به روز بودن توصیه‌های وردپرس را از نظر امنیت در اولویت قرار دهید و همیشه با فهرست بهترین شیوه‌های آن‌ها مطابقت داشته باشید.