14 نکته حیاتی برای محافظت از پیشخوان وردپرس
- در این مقاله، برخی از نکات و هک های حیاتی برای محافظت از ناحیه مدیریت وردپرس را به شما نشان می دهیم.
آیا شاهد حملات زیادی به ناحیه مدیریت وردپرس خود هستید؟ محافظت از ناحیه مدیریت از دسترسی غیرمجاز به شما امکان می دهد بسیاری از تهدیدات امنیتی رایج را مسدود کنید. در این مقاله، برخی از نکات و هک های حیاتی برای محافظت از ناحیه مدیریت وردپرس را به شما نشان می دهیم.
۱. از فایروال (WAF) استفاده کنید
فایروال برنامه وب سایت یا WAF ترافیک وب سایت را نظارت می کند و درخواست های مشکوک را از رسیدن به وب سایت شما مسدود می کند.
در حالی که چندین افزونه فایروال وردپرس وجود دارد ، توصیه می کنیم از Sucuri استفاده کنید . این یک سرویس امنیت و نظارت وب سایت است که یک WAF مبتنی بر ابر را برای محافظت از وب سایت شما ارائه می دهد
تمام ترافیک وب سایت شما از زیرساخت ابری آنها عبور می کند، جایی که آنها هر درخواست را تجزیه و تحلیل می کنند و مانع از دسترسی موارد مشکوک به وب سایت شما می شوند. این وب سایت شما را از تلاش های احتمالی هک، فیشینگ، بدافزار و سایر فعالیت های مخرب محافظت می کند
۲. دایرکتوری پیشخوان وردپرس را با رمز عبور محافظت کنید
ورود به پیشخوان وردپرس شما توسط رمز عبور محافظت می شود. با این حال، افزودن رمز عبور به دایرکتوری پیشخوان وردپرس، لایه دیگری از امنیت را به وب سایت شما اضافه می کند.
ابتدا وارد داشبورد cPanel میزبانی وردپرس خود شوید و سپس بر روی نماد «Password Protect Directories» یا «Directory Privacy» کلیک کنید.
در مرحله بعد، باید پوشه wp-admin خود را انتخاب کنید، که معمولاً در پوشه /public_html/ قرار دارد.
در صفحه بعدی، باید کادر کنار گزینه «Password protect this directory» را علامت بزنید و نامی برای دایرکتوری محافظت شده ارائه دهید.
پس از آن، روی دکمه Save کلیک کنید تا مجوزها ذخیره گردند
در مرحله بعد، باید دکمه Back را فشار دهید و سپس یک کاربر ایجاد کنید. از شما خواسته می شود نام کاربری / رمز عبور را وارد کنید و سپس بر روی دکمه ذخیره کلیک کنید.
اکنون هنگامی که شخصی سعی می کند از فهرست مدیریت وردپرس یا دایرکتوری wp-admin در وب سایت شما بازدید کند، از او خواسته می شود نام کاربری و رمز عبور را وارد کند
3. همیشه از رمزهای عبور قوی استفاده کنید
همیشه از رمزهای عبور قوی برای تمام حساب های آنلاین خود از جمله سایت وردپرس خود استفاده کنید. توصیه می کنیم از ترکیبی از حروف، اعداد و کاراکترهای خاص در رمزهای عبور خود استفاده کنید. این امر باعث می شود هکرها نتوانند رمز عبور شما را حدس بزنند.
اغلب افراد مبتدی از ما می پرسند که چگونه همه آن رمزهای عبور را به خاطر بسپاریم. ساده ترین پاسخ این است که شما نیازی به این کار ندارید. برخی از برنامه های مدیریت رمز عبور واقعا عالی وجود دارد که می توانید آنها را روی رایانه و تلفن خود نصب کنید.
برای اطلاعات بیشتر در مورد این موضوع، راهنمای ما در مورد بهترین راه برای مدیریت رمز عبور برای مبتدیان وردپرس را ببینید
4. از تایید دو مرحله ای برای ورود به صفحه وردپرس استفاده کنید
تأیید دو مرحله ای یک لایه امنیتی دیگر به رمزهای عبور شما اضافه می کند. به جای استفاده از رمز عبور به تنهایی، از شما میخواهد یک کد تأیید ایجاد شده توسط برنامه Google Authenticator را در تلفن خود وارد کنید.
حتی اگر کسی بتواند رمز عبور وردپرس شما را حدس بزند، همچنان برای ورود به کد Google Authenticator نیاز دارد.
5. محدود کردن تلاش برای ورود
به طور پیش فرض، وردپرس به کاربران اجازه می دهد تا هر چند بار که می خواهند رمز عبور را وارد کنند. این بدان معناست که شخصی میتواند با وارد کردن ترکیبهای مختلف، رمز عبور وردپرس شما را حدس بزند. همچنین به هکرها اجازه می دهد تا از اسکریپت های خودکار برای شکستن رمزهای عبور استفاده کنند.
برای رفع این مشکل، باید افزونه Login LockDown را نصب و فعال کنید . پس از فعال سازی، برای پیکربندی تنظیمات افزونه، به صفحه تنظیمات » Login LockDown مراجعه کنید .
6. دسترسی ورود به آدرس IP را محدود کنید
یکی دیگر از راه های عالی برای ایمن کردن ورود به وردپرس، محدود کردن دسترسی به آدرس های IP خاص است. این نکته به ویژه در صورتی مفید است که شما یا فقط چند کاربر قابل اعتماد نیاز به دسترسی به بخش مدیریت داشته باشید.
به سادگی این کد را به فایل .htaccess خود اضافه کنید.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT>
فراموش نکنید که مقادیر xx را با آدرس IP خود جایگزین کنید. اگر از بیش از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، مطمئن شوید که آنها را نیز اضافه کنید.
7. خطاهای ورود را غیر فعال کنید
در یک تلاش ناموفق برای ورود به سیستم، وردپرس خطاهایی را نشان می دهد که به کاربران می گوید نام کاربری آنها نادرست بوده یا رمز عبور. این نکات ورود می تواند توسط شخصی برای تلاش های مخرب استفاده شود.
شما به راحتی می توانید این نکات ورود به سیستم را با افزودن این کد به فایل functions.php تم خود یا یک افزونه خاص سایت مخفی کنید
function no_wordpress_errors(){ return 'Something is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
8. کاربران را ملزم به استفاده از رمزهای عبور قوی کنید
اگر یک سایت وردپرسی با چند نویسنده را اجرا می کنید، آن کاربران می توانند نمایه خود را ویرایش کنند و از یک رمز عبور ضعیف استفاده کنند. این پسوردها می توانند شکسته شوند و به افراد اجازه دسترسی به بخش مدیریت وردپرس را بدهند.
برای رفع این مشکل می توانید افزونه Force Strong Passwords را نصب و فعال کنید . پس از فعال شدن، کاربران را از ذخیره گذرواژههای ضعیفتر باز میدارد.
قدرت رمز عبور حساب های کاربری موجود را بررسی نمی کند. اگر کاربری در حال حاضر از رمز عبور ضعیف استفاده می کند، می تواند به استفاده از رمز عبور خود ادامه دهد
9. تغییر رمز عبور برای همه کاربران
آیا نگران امنیت رمز عبور در سایت وردپرس چند کاربره خود هستید؟ شما به راحتی می توانید از همه کاربران خود بخواهید رمز عبور خود را تغییر دهند.
ابتدا باید افزونه Emergency Password Reset را نصب و فعال کنید . پس از فعال سازی، به صفحه Users » Emergency Password Reset بروید و روی دکمه «Reset All Passwords» کلیک کنید.
10. وردپرس را به روز نگه دارید
وردپرس اغلب نسخه های جدیدی از نرم افزار را منتشر می کند. هر نسخه جدید وردپرس شامل رفع اشکالات مهم، ویژگی های جدید و رفع امنیتی است.
استفاده از نسخه قدیمی وردپرس در سایت شما را در معرض سوء استفاده های شناخته شده و آسیب پذیری های احتمالی قرار می دهد. برای رفع این مشکل، باید مطمئن شوید که از آخرین نسخه وردپرس استفاده می کنید.
به طور مشابه، افزونه های وردپرس نیز اغلب برای معرفی ویژگی های جدید یا رفع مشکلات امنیتی و سایر موارد به روز می شوند. مطمئن شوید که افزونه های وردپرس شما نیز به روز هستند
11. صفحات ورود و ثبت نام سفارشی ایجاد کنید
بسیاری از سایت های وردپرسی کاربران را ملزم به ثبت نام می کنند. به عنوان مثال، سایتهای عضویت ، سایتهای مدیریت یادگیری یا فروشگاههای آنلاین به کاربران نیاز دارند تا حساب کاربری ایجاد کنند.
با این حال، این کاربران می توانند از حساب های خود برای ورود به بخش مدیریت وردپرس استفاده کنند. این مسئله بزرگی نیست، زیرا آنها فقط می توانند کارهایی را انجام دهند که به واسطه نقش کاربری و قابلیت هایشان مجاز است. با این حال، شما را از محدود کردن صحیح دسترسی به صفحات ورود و ثبت نام باز می دارد زیرا برای ثبت نام، مدیریت نمایه و ورود کاربران به آن صفحات نیاز دارید.
راه آسان برای رفع این مشکل، ایجاد صفحات ورود و ثبت نام سفارشی است، به طوری که کاربران می توانند مستقیماً از وب سایت شما ثبت نام و وارد شوند.
برای دستورالعمل های گام به گام دقیق، راهنمای ما در مورد نحوه ایجاد صفحات ورود و ثبت نام سفارشی در وردپرس را ببینید
12. درباره نقش ها و مجوزهای کاربر وردپرس بیاموزید
وردپرس با یک سیستم مدیریت کاربر قدرتمند با نقشها و قابلیتهای کاربری متفاوت عرضه میشود. هنگامی که یک کاربر جدید به سایت وردپرس خود اضافه می کنید، می توانید یک نقش کاربری برای آنها انتخاب کنید. این نقش کاربری مشخص می کند که آنها چه کاری می توانند در سایت وردپرس شما انجام دهند.
تخصیص نقش نادرست کاربر می تواند به افراد توانایی های بیشتری نسبت به نیازشان بدهد. برای جلوگیری از این امر، باید بدانید که چه قابلیت هایی با نقش های مختلف کاربر در وردپرس همراه است. برای اطلاعات بیشتر در مورد این موضوع، راهنمای مبتدیان ما در مورد نقشها و مجوزهای کاربر وردپرس را ببینید
13. دسترسی به داشبورد را محدود کنید
برخی از سایت های وردپرسی کاربران خاصی دارند که نیاز به دسترسی به داشبورد دارند و برخی کاربرانی که به داشبورد دسترسی ندارند. با این حال، به طور پیش فرض همه آنها می توانند به بخش مدیریت دسترسی داشته باشند.
برای رفع این مشکل، باید افزونه Remove Dashboard Access را نصب و فعال کنید . پس از فعالسازی، به تنظیمات » صفحه دسترسی داشبورد بروید و نقشهای کاربران را انتخاب کنید که به قسمت مدیریت سایت شما دسترسی داشته باشند.
14. خارج کردن کاربران بیکار
وردپرس به طور خودکار کاربران را تا زمانی که به صراحت از سیستم خارج نشوند یا پنجره مرورگر خود را نبندند از سیستم خارج نمی کند. این می تواند برای سایت های وردپرسی با اطلاعات حساس نگران کننده باشد. به همین دلیل است که وبسایتها و اپلیکیشنهای مؤسسات مالی در صورتی که کاربران فعال نبوده باشند، بهطور خودکار از سیستم خارج میشوند.
برای رفع این مشکل می توانید افزونه Idle User Logout را نصب و فعال کنید . پس از فعال سازی، به تنظیمات » صفحه خروج کاربر بیکار بروید و زمانی را وارد کنید که پس از آن می خواهید کاربران به طور خودکار از سیستم خارج شوند.
امیدواریم این مقاله به شما کمک کند تا نکات و هک های جدیدی را برای محافظت از ناحیه مدیریت وردپرس خود بیاموزید. همچنین ممکن است بخواهید راهنمای امنیتی گام به گام وردپرس برای مبتدیان ببینید.