شاید برای شما نیز پیش آمده است که ناحیه ادمین سایت وردپرسی تان دچار حملات بسیاری شده باشد. محافظت از ناحیه ادمین در برابر دسترسی های غیر مجاز به شما اجازه می دهد جلوی بسیاری از تهدیدات امنیتی رایج را بگیرید. در این مقاله برخی از نکات ضروری برای محافظت از ناحیه ادمین وردپرس را با هم مرور خواهیم کرد. پس همراه وب ایده باشید.
- از فایروال اپلیکیشن سایت استفاده کنید:
فایروال اپلیکیشن سایت یا همان WAF ترافیک سایت را مورد بررسی قرار می دهد و از رسیدن درخواست مشکوک به سایت جلوگیری می کند. با اینکه افزونه های فایروال متعددی برای وردپرس وجود دارد اما ما توصیه می کنیم از افزونه Sucuri به عنوان فایروال استفاده کنید. این افزونه یک سرویس مانیتورینگ و امنیت سایت است که فایروال مبتنی بر ابر را برای محافظت از سایت ارائه می کند. همه ترافیک سایت ابتدا وارد پروکسی ابری آن ها می شود. این ترافیک تجزیه و تحلیل می گردد و اگر درخواست مشکوکی وجود داشته باشد توسط پروکسی مسدود می شود.
همچنین بخوانید: ۵ مورد از بهترین افزونه های فایروال برای وردپرس
- دایرکتوری ادمین وردپرس را با پسورد محافظت کنید:
ناحیه ادمین در سایت وردپرسی شما باید توسط پسورد محافظت شود. با اینحال اضافه کردن پسورد به دایرکتوری ادمین در وردپرس لایه امنیتی بیشتری را در برابر حملات و تهدیدات فراهم می کند. در ابتدا وارد هاست وردپرس خود شوید و در داشبورد Cpanel خود بر روی Password Protect Directories’ یا آیکون Directory Privacy کلیک نمایید. سپس فولدر wp-admin خود را انتخاب کنید که معمولا داخل دایرکتوری/public_html/ قرار دارد. در صفحه بعدی، می توانید جعبه کنار Password protect this directory را تیک بزنید و نام موردنظر برای دایرکتوری محافظت شده را انتخاب نمایید. بعد از انجام اینکار بر روی دکمه ذخیره کلیک کنید تا بتوانید permission ها را تنظیم نمایید. در مرحله بعدی باید دکمه بازگشت را بزنید و کاربری را ایجاد کنید. از شما خواسته می شود نام کاربری و پسورد را وارد کنید و سپس بر روی دکمه Save کلیک نمایید. حالا زمانی که فردی بخواهد از ناحیه ادمین سایت یا دایرکتوری Wp-admin بازدید کنند باید نام کاربری و پسوردی که شما فراهم کرده اید را وارد نماید.
- همیشه از پسوردهای قوی استفاده کنید:
همیشه برای تمامی اکانت های خود از جمله اکانت سایت وردپرسی، پسورد قوی فراهم کنید. توصیه می کنیم از ترکیب اعداد، حروف و کاراکترهای خاص در پسورد خود استفاده نمایید. این موضوع باعث می شود حدس زدن پسورد دشوارتر گردد.
- از تایید دو مرحله ای برای صفحه لاگین وردپرس خود استفاده کنید:
تایید هویت دو مرحله ای لایه امنیتی دیگری را به سایت شما اضافه می کند. به جای اینکه تنها از پسورد استفاده کنید، این گزینه از شما می خواهد کد تایید تولید شده توسط اپلیکیشن Google Authenticator را وارد کنید. در این شرایط حتی اگر فردی بتواند پسورد سایت وردپرس شما را حدس بزند باز هم باید به کد تایید دسترسی داشته باشد.
- تلاش برای لاگین را محدود کنید:
به طور پیش فرض، وردپرس به کاربران اجازه می دهد پسورد خود را هر چند بار که خواستند وارد نمایند. این موضوع بدین معنی است که کاربران می توانند با وارد کردن ترکیب های مختلفی از پسوردها، آن را حدس بزنند. چنین شرایطی به هکرها اجازه می دهد به کمک اسکرپیت های خودکار یا نرم افزارهای خاص به پسورد سایت دسترسی یابند. برای اینکه جلوی چنین خطراتی را بگیرید، بهتر است افزونه Login LockDown را دانلود کرده و نصب کنید. بعد از فعالسازی افزونه به صفحه تنظیمات و سپس Login LockDown بروید و تنظیمات ان را پیکربندی کنید.
- دسترسی لاگین با آی پی آدرس را محدود کنید:
روش دیگر برای امن کردن سایت وردپرسی با محدود کردن آی پی آدرس خاصی است. این ترفند زمانی مفید خواهد بود که تنها شما یا چند کاربر معتبر به ناحیه ادمین دسترسی داشته باشید. کافیست کد زیر را به فایل .htaccess اضافه کنید
۰۱ | AuthUserFile /dev/null | |
۰۲ | AuthGroupFile /dev/null |
۰۳ | AuthName “WordPress Admin Access Control” | |
۰۴ | AuthType Basic |
۰۵ | <LIMIT GET> | |
۰۶ | order deny,allow |
۰۷ | deny from all | |
۰۸ | # whitelist Syed’s IP address |
۰۹ | allow from xx.xx.xx.xxx | |
۱۰ | # whitelist David’s IP address |
۱۱ | allow from xx.xx.xx.xxx | |
۱۲ | </LIMIT> |
فقط فراموش نکنید که xx را با آی پی آدرس خود جایگزین کنید. اگر بیش از چند آی پی آدرس برای دسترسی به اینترنت دارید مطمئن شوید که آن ها را نیز وارد می کنید.
- Hint را در لاگین غیر فعال کنید:
زمانی که تلاش های لاگین فردی با شکست مواجه می شود وردپرس خطاهایی را نشان می دهد که به کاربر می گوید نام کاربری نادرست بوده یا پسورد وارد شده. به این موارد Hint گفته می شود. سعی کنید کد زیر را به فایل functions.php قالب یا افزونه های مخصوص سایت خود اضافه نمایید.
۱ | function no_wordpress_errors(){ | |
۲ | return ‘Something is wrong!’; |
۳ | } | |
۴ | add_filter( ‘login_errors’, ‘no_wordpress_errors’ ); |
۸٫کاربران خود را ملزم کنید از پسوردهای قوی استفاده کنند:
اگر در سایت خود چندین نویسنده دارید، از آن ها بخواهید پسوردهای خود را تغییر دهند و از پسوردهای قوی استفاده کنند. برای اینکار می توانید افزونه Force Strong Passwords را دانلود و نصب نمایید. این افزونه به خوبی کار می کند و لازم نیست تنظیماتی را برای آن پیکربندی کنید. بعد از فعالسازی، این افزونه کاربران را ملزم می کند پسوردهای قوی تری داشته باشند. همچنین این افزونه قدرت پسوردها برای اکانت های فعلی را مورد بررسی قرار می دهد.
- پسورد همه کاربران را ریست کنید:
ایا در مورد امنیت پسوردها در سایت چند کاربری خود نگران هستید؟ می توانید از کاربران بخواهید پسورد خود را ریست کنند. ابتدا افزونه Emergency Password Reset را دانلود و سپس نصب کنید. بعد از فعالسازی به قسمت کاربران و سپس صفحه افزونه بروید و بر روی Reset All Passwords کلیک نمایید.
- وردپرس خود را به روز نگه دارید:
وردپرس اغلب نسخه جدیدی از این نرم افزار را منتشر می کند. هر نسخه جدیدی که منتشر می شود در برگیرنده تعمیر باگ ها، قابلیت های جدید و موارد امنیتی است. به همین خاطر استفاده از نسخه قدیمی وردپرس راه را برای سوء استفاده و آسیب پذیری های احتمالی باز می گذارد. برای حل چنین مشکلاتی باید از آخرین نسخه وردپرس استفاده کنید. همچنین به خاطر داشته باشید که افزونه های وردپرسی نیز باید به روز شوند.
- صفحه لاگین و ثبت نام سفارشی ایجاد کنید:
بیشتر سایت های وردپرسی به ثبت نام کاربران خود نیاز دارند. با اینحال، این کاربران می توانند از اکانت خود برای ورود به ناحیه ادمین وردپرسی استفاده کنند. این مشکل بزرگی نیست زیرا آن ها می توانند کارهایی که شما اجازه داده اید را انجام دهند. با اینحال چنین شرایطی شما را از محدود کردن دسترسی ها به لاگین و صفحه ثبت نام محدود می کند. بهترین روش برای جلوگیری از چنین مشکلاتی، ایجاد صفحه لاگین و ثبت نام سفارشی برای کاربران است.
- در مورد نقش ها و Permission های کاربران وردپرسی اطلاعاتی به دست آورید:
وردپرس سیستم مدیریتی قدرتمندی برای کاربران دارد. زمانی که کاربر جدیدی را به سایت خود اضافه می کنید می توانید از میان نقش های موجود یکی را به دلخواه انتخاب کنید. این نقش،کاری که فرد می تواند انجام دهد را توصیف می کند. اختصاص نقش نامناسب به کاربران می تواند توانایی های بیشتری در اختیارشان بگذارد.به همین خاطر باید در مورد نقش ها و Permission ها اطلاعاتی داشته باشید.
- دسترسی به داشبورد را محدود کنید:
برخی از سایت های وردپرسی کاربران خاصی دارند که باید به داشبورد دسترسی داشته باشند. با اینحال به طور پیش فرض همه کاربران می توانند به ناحیه ادمین دسترسی داشته باشند. برای حل این مشکل، باید افزونه Remove Dashboard Access را دانلود و نصب کنید. بعد از فعالسازی به قسمت تنظیمات و سپس Dashboard Access بروید و نقش کاربرانی که می خواهید به داشبورد دسترسی داشته باشند را انتخاب نمایید.
- کاربران بیکار را Logout کنید:
وردپرس به طور پیش فرض تا زمانی که کاربر خودش مرورگر را نبندد یا Log out نکند او را به طور خودکار log out نمی کند. این موضوع می تواند در سایت هایی که اطلاعات حساس دارند نگران کننده باشد. برای حل چنین مکشلاتی افزونه Idle User Logout را دانلود و نصب کنید.
مفید و کاربردی . متشکرم .