همه ادمین های یک سایت باید نگران امنیت صفحه لاگین به وردپرس باشند.
وردپرس محبوب ترین سیستم مدیریت محتوا در جهان است زیرا ساختن یک وب سایت با آن بسیار آسان است. اگرچه این یک CMS رایگان است، اما باید با انجام برخی اقدامات، امنیت آن را افزایش داد. وردپرس بسیار قابل پیش بینی است، که گاهی اوقات آن را به یک هدف برای هکر ها تبدیل می کند.
به عنوان مثال، صفحه لاگین وردپرس را در نظر بگیرید
هر وب سایت وردپرس دارای یک صفحه ورود به سیستم (/wp-admin.com یا /wp-login.php) است. از آنجایی که URL لاگین برای همه سایت های وردپرسی یکسان است، همه هکر ها اولین هدف خود را صفحه لاگین سایت قرار میدهند.
کارشناسان امنیتی می گویند که صفحه لاگین آسیب پذیرترین صفحه در یک وب سایت است. هر روز، هکرها ربات ها را برای انجام حملات brute force در آن صفحه مستقر می کنند. با مشخص کردن اعتبار ورود به سیستم، آنها به راحتی می توانند به CMS شما دسترسی پیدا کنند. بنابراین، شما باید تمام تلاش خود را برای افزایش امنیت صفحه لاگین وردپرس انجام دهید.
در این مقاله ۵ روش پیشرفته برای بهبود امنیت لاگین به وردپرس و جلوگیری از هک شدن را به شما آموزش خواهیم داد.
چگونه امنیت صفحه لاگین به سیستم وردپرس افزایش دهیم؟
در این مقاله روش هایی را به شما نشان خواهیم داد که در افزایش امنیت صفحه لاگین به وردپرس بسیار موثر هستند:
- تغییر URL صفحه لاگین (صفحه ورود)
- فعالسازی تایید دو مرحله ای
- تعیین حد مجاز تلاش برای لاگین کردن
- جلوگیری از کشف نام کاربری
- استفاده از auto logout (خروج خودکار)
حتما متوجه شده اید که ما اجرای رمزهای عبور قوی و نصب گواهینامه های SSL را در موارد بالا لحاظ نکرده ایم. به این دلیل که انجام این اقدامات یک امر ضروری برای همه است و فرض میگیریم شما از قبل این کار ها را انجام داده اید.
توجه: برای انجام اقداماتی که در زیر ذکر کردیم، باید یک یا دو افزونه نصب کنید. و ما می دانیم که حتی ممکن است بهترین افزونه ها هم اختلالاتی در سایت ایجاد کنند. بنابراین قبل از ادامه کار از وب سایت خود یک نسخه پشتیبان تهیه کنید.
۱٫ تغییر URL صفحه لاگین (صفحه ورود)
همانطور که در ابتدای مقاله گفتیم، صفحه ورود پیش فرض وردپرس به شکل زیر است:
www.website.com/wp-admin/ یا www.website.com/wp-login.php
همه آن را می دانند، از جمله هکرهایی که ربات هایی را طراحی می کنند که صفحات ورود به وردپرس را هدف قرار می دهند. و از آنجایی که اکثر افراد از رمزهای عبور ضعیف استفاده می کنند، هک کردن یک وب سایت در صفحه ورود بسیار آسان است.
در نتیجه یکی از راههای افزایش امنیت صفحه لاگین وردپرس، تغییر URL لاگین است.
ایجاد یک URL صفحه ورود سفارشی جدید آسان است. تعدادی پلاگین موجود است که به شما امکان می دهد این کار را با چند کلیک انجام دهید.
ما از افزونه WPS Hide Login برای انجام این فرآیند استفاده خواهیم کرد. افزونه WPS Hide Login را نصب و فعال کنید. به تنظیمات >> WPS Hide Login بروید.
در پایین صفحه به پایین اسکرول کنید، URL جدید را در قسمت Login URL وارد کنید و Save Changes را بزنید.
از حالا فقط میتوانید با URL جدید وارد داشبورد ادمین سایت خود شوید.
۲٫ فعالسازی تایید دو مرحله ای برای افزایش امنیت لاگین وردپرس
حتما هنگام استفاده از فیس بوک و جیمیل با احراز هویت دو مرحله ای مواجه شده اید. سرویسها معمولاً هر زمان که بخواهید وارد حساب خود شوید، یک کد منحصر به فرد به شماره تلفن همراه ثبتشده شما ارسال میکنند. این اقدام امنیتی برای اطمینان از اینکه فقط مالک حساب میتواند به آن دسترسی داشته باشد اجرا میشود. حتی اگر هکرها بتوانند پسوورد شما را به دست آورند، هیچ راهی وجود ندارد که بتوانند کد منحصر به فرد ارسال شده به شماره تلفن همراه ثبت شده شما را بدزدند.
احراز هویت دو مرحله ای نیز می تواند در وب سایت وردپرس شما اعمال شود. در واقع یک لایه امنیتی به صفحه ورود اضافه می کند. تنها کاری که باید انجام دهید این است که یکی از پلاگین های زیر را نصب کنید:
- miniOrange’s Google Authenticator
- Google Authenticator – Two Factor Authentication (2FA)
- WP 2FA by WP White Security
راه اندازی یک پلاگین احراز هویت دو مرحله ای بسیار آسان است. ما در این آموزش از Google Authenticator miniOrange استفاده میکنیم.
Google Authenticator miniOrange را نصب کنید. به محض فعال کردن افزونه، ویجت راه اندازی ظاهر می شود. گزینه اول یعنی Google Authenticator را انتخاب کنید.
در مرحله بعد، برنامه Google Authenticator را در تلفن هوشمند خود دانلود کنید. برنامه را باز کنید و کد QR را اسکن کنید.
برنامه یک کد تولید می کند. آن را در ابزارک نصب وارد کنید و Save را بزنید.
امنیت لاگین به سیستم وردپرس ۲FA اکنون در صفحه ورود شما فعال است.
۳٫ تعیین حد مجاز تلاش برای لاگین کردن
وردپرس به کاربران خود امکان تلاش ورود نامحدود را می دهد. این ممکن است بی ضرر به نظر برسد، اما صادقانه بگوییم، این یک شکاف امنیتی آشکار است.
تلاشهای نامحدود برای ورود به سیستم، هکرها را قادر میسازد تا حملات brute force را انجام دهند. در این نوع حمله، هکرها از ربات ها استفاده می کنند تا ترکیب مناسبی از نام کاربری و رمز عبور را پیدا کنند. ربات ها چندین بار قبل از اینکه به اعتبار مناسب دست پیدا کنند، شکست می خورند. یکی از موثرترین راهها برای مقابله با حملات ربات، محدود کردن تلاشهای ورود به سیستم است.
افزونه های زیر به شما در انجام این کار کمک می کنند:
ما از افزونه Limit Login Attempts Reloaded برای محدود کردن تعداد دفعات لاگین کردن استفاده میکنیم. افزونه را نصب کنید و سپس به مسیر تنظیمات >> Limit Login Attempts >> Local App بروید. در اینجا می توانید تعیین کنید که چند بار تلاش برای ورود به وب سایت شما مجاز باشد. و برای چه مدت فردی پس از تعداد تلاش های ذکر شده برای ورود قفل می شود.
۴٫ جلوگیری از کشف نام کاربری
به طور معمول، نام کاربری اهمیت کمتری نسبت به رمز عبور دارد. اما اینگونه نیست زیرا نام کاربری نیمی از اعتبار شما را تشکیل می دهد. پس باید مانند رمز عبور محافظت شود.
در یک وب سایت وردپرس، نام های کاربری نمایش داده شده در پست ها و آرشیو نویسندگان را خواهید دید. خوشبختانه راهی برای غیرفعال کردن هر دوی آنها وجود دارد.
این کار را می توان با کمک هر افزونه سئو انجام داد. در این بخش از Yoast SEO برای نشان دادن آن استفاده می کنیم.
به SEO → Search Appearance → Archives بروید و سپس Author Archives یا بایگانی نویسنده را غیرفعال کنید. Save change را بزنید.
به طور پیش فرض، نام نمایشی و نام کاربری (نام کاربری که برای ورود به سیستم استفاده می کنید) یکسان هستند. برای جلوگیری از کشف نام کاربری، می توانید نام نمایشی را به چیز دیگری تغییر دهید.
به کاربران >> شناسه >> لقب بروید. شما نمی توانید مستقیماً نام نمایشی را تغییر دهید. باید ابتدا لقب را تغییر دهید. سپس نام لقب جدید را از منوی کشویی زیر انتخاب کنید.
۵٫ استفاده از auto logout (خروج خودکار)
خروج خودکار از وب سایت ها در برابر جاسوسان محافظت می کند. هنگامی که کاربران سشن را بدون نظارت ترک می کنند، خروج خودکار جلسه را پایان می دهد و از وب سایت محافظت می کند.
رفتار پیشفرض وردپرس این است که کاربر را ۴۸ ساعت پس از انقضای کوکی سشن ورود از سیستم خارج کنید. و اگر کاربر کادر “Remember Me” را علامت زده باشد، شما به مدت ۱۴ روز در سیستم لاگین هستید. برای پایان دادن به سشن به دلیل کمی زمان بیکاری، باید یک افزونه جداگانه نصب کنید.
افزونههای زیر به شما کمک میکنند تا برای پایان دادن به سشن غیرفعال کاربر، از سیستم خارج شوید:
افزونه را فعال کنید و سپس به تنظیمات >> Inactive Logout بروید. ساعت را برای مدت زمان بیکاری تنظیم کنید. گزینههایی برای تایم اوتهای مبتنی بر نقش نیز وجود دارد.
همانطور که بالا دکر شد، اولین تلاش هکر ها برای هک کردن یک سایت، نفوذ به صفحه لاگین سایت شماست، در نتیجه حفظ امنیت آن بسیار مهم است. که در این آموزش به شما ۵ روش بسیار کاربردیرا بری این کار آموزش دادیم.