مهم ترین قسمت امنیت سایت شما صفحه ورود سایت شما است. امنیت ضعیف ورود به سیستم می تواند تاثیر زیادی بر نحوه محافظت از داده های شما و میزان ایمنی که به بازدید کنندگان وب سایت خود ارائه می دهید، داشته باشد. حتی اگر وردپرس یک پلت فرم CMS بسیار امن باشد، به طور کلی به دلیل محبوبیت زیادی که دارد، دارای حملات متعددی است. یک صفحه ورود به سیستم محافظت نشده می تواند یکی از راحت ترین نقاط ورود برای اشخاص و هکرها باشد و می تواند به مشکلات امنیتی بزرگی برای شما به عنوان صاحب وب سایت یا مدیر منجر شود.
آیا صفحه ورود به وردپرس امن است؟
جدی گرفتن امنیت صفحه ورود به وردپرس مهمترین بخش امنتی سایت شما است. در حالی که صفحه ورود به وردپرس شما امن است، اما غیر قابل نفوذ نیست. ایجاد یک وب سایت ضد گلوله 100% که هک کردن آن غیر ممکن است چیزی نزدیک به صفر است، کاری که می توانید انجام دهید این است که دسترسی هکرها به داده ها را تا حد ممکن دشوار کنید.
به عنوان مثال، یکی از چیزهایی که شما را به میزان مشخصی در معرض دید قرار می دهد، این واقعیت است که صفحه ورود، مگر اینکه تغییر کرده باشد، یعنی این قسمت از ادرس www.sitename.com/wp-admin/ را تغییر دهید. این مکان پیش فرض برای صفحه ورود به وردپرس شما به محض ایجاد سایت وردپرس شما است. این بدان معنی است که هکرها دقیقا می دانند کجا باید ضربه بزنند. ئس با استفاده از افزونه هایی مانند WPS Hide Login میتوانید ادرس ورود به پیشخوان وردپرس را تغییر دهید.
یکی دیگر از آسیب پذیری هایی که باید در نظر بگیریم، اجازه دادن به تلاش های ورود نامحدود است.
وردپرس یک CMS امن است و به طور پیش فرض مجموعه ای از اقدامات حفاظتی را ارائه می دهد. به عنوان مثال, رمزگذاری SSL به طور پیش فرض برای تمام سایت های وردپرس میتواند فعال باشد. فایروال ها در جای خود قرار دارند. تست امنیتی به طور منظم انجام می شود. ارائه پشتیبان گیری داده ها و گزینه های بازیابی در صورت عدم موفقیت همه موارد. یک تیم امنیتی اختصاصی به طور خستگی ناپذیر کار می کند و متعهد به محافظت از تمام داده های به اشتراک گذاشته شده از طریق سایت های وردپرس است.
با وجود تمام این اقدامات امنیتی، هنوز هم آسیب پذیری هایی وجود دارد که باید از آن آگاه باشید. این محدود کردن تلاش های ورود به سیستم و تغییر URL ورود می تواند تأثیر مثبتی بر امنیت ورود به وردپرس شما داشته باشد.
بیشتر بخوانید : خطای 500 در وردپرس و 12 روش برای رفع مشکل
چگونه صفحه ورود به وردپرس را امن کنیم
خبر خوب این است که راه های مختلفی وجود دارد که می توانید بر سطح امنیت فرآیند ورود به سیستم وردپرس خود تأثیر بگذارید. نکات و ترفندهای زیادی وجود دارد که می توانید از آنها بهره مند شوید و ما خوشبختانه اکثر آنها را می دانیم. در اینجا برخی از مهمترین موارد عبارتند از:
1. رمز عبور قوی برای صفحه ورود به وردپرس ایجاد کنید.
گاهی اوقات ساده ترین راه برای داشتن یک وب سایت امن وردپرس این است که به نحوه تنظیم رمزهای عبور خود توجه کنیم.
همانطور که می دانید، یک رمز عبور قوی می تواند تفاوت زیادی ایجاد کند. فقط با استفاده از یک رمز عبور قوی، می توانید یک حمله 5 دقیقه ای بی رحمانه را به یک حمله 5 میلیارد ساله تبدیل کنید. داشتن یک رمز عبور قوی، به یاد آوردن آن و استفاده از آن هر بار که وارد سیستم می شوید، می تواند دشوار باشد.
به همین دلیل است که برخی از خدمات و دیگر سیستم عامل های مدیریت رمز عبور می توانند ابزار خوبی برای کمک به شما در غلبه بر مشکلات استفاده از کلمات عبور قوی باشند.
2. تأیید هویت دو عاملی (2FA) را فعال کنید
احراز هویت دو عاملی می تواند یکی دیگر از راه های عالی برای بهبود امنیت ورود به سیستم وردپرس شما باشد. 2FA، همانطور که از نام آن پیداست، یک لایه دوم حفاظت را به هر ورودی که انجام می دهید اضافه می کند. این بر اساس اصل استفاده از چیزی است که شما می دانید و چیزی که برای هر ورود دارید و می تواند نقض امنیتی را به شدت کاهش دهد.
2FA یک سرویس است که از طریق آن هر بار که می خواهید به وب سایت خود وارد شوید, شما باید از رمز عبور قبلی خود و یک کد منحصر به فرد که برای شما تولید و ارسال شده است استفاده کنید. شما می توانید کدهای ارسال شده به شما را از طریق ایمیل، اس ام اس، تماس های تلفنی یا برنامه های تأیید اعتبار ویژه دریافت کنید.
شما می توانید احراز هویت دو مرحله ای را در صفحه ورود به سیستم وردپرس خود با استفاده از یک اختصاص داده شده خاص ادغام کنید. برخی از بهترین پلاگین های وردپرس 2FA عبارتند از:
3. پلاگین امنیتی وردپرس نصب کنید
امنیت ورود به سیستم وردپرس و ایمنی کلی را می توان با استفاده از یک پلاگین امنیتی به طور قابل توجهی بهبود بخشید. گزینه های مختلفی وجود دارد و برخی از آنها از وب سایت شما در برابر انواع مختلفی از تهدیدات بالقوه محافظت می کنند.
امنیت وردپرس به طور کلی به عنوان حداقل جزء امن وب سایت شما مناسب است. این بدان معنی است که حتی اگر هسته وردپرس امن باشد، احتمالا به دلیل پلاگین هایی که استفاده می کنید، با چندین آسیب پذیری دیگر مواجه خواهید شد.
اختصاص برخی از وجوه و منابع وب سایت به یک پلاگین امنیتی خوب وردپرس می تواند سایت وردپرس خود را در برابر خیلی بیشتر از آسیب پذیری های ورود به سیستم محافظت کند. برخی از بهترین پلاگین های امنیتی وردپرس برنامه های زیادی برای محافظت از وب سایت ها داشته باشید و می توانید به طور جدی احتمال هک شدن وب سایت خود را کاهش دهید. در اینجا برخی از بهترین ها:
4. تعداد تلاش های ورود را محدود کنید
یکی از رایج ترین انواع حملات که وب سایت های وردپرس را تحت تاثیر قرار می دهد، حمله خشونت آمیز است. این شامل یک الگوریتم است که تلاش می کند رمز عبور خود را در یک زمان حدس بزند. یکی از ساده ترین راه ها برای جلوگیری از این امر، محدود کردن تلاش های ورود به سیستم است.
متاسفانه، وردپرس یک ویژگی داخلی برای محدود کردن تلاش های ورود به سیستم ندارد. این بدان معنی است که برای محدود کردن تلاش های ورود به سیستم در وردپرس، شما نیاز به یک پلاگین امنیتی دارید که شامل این گزینه یا یک پلاگین اختصاصی است. در اینجا برخی از پلاگین های اختصاصی وجود دارد:
5. آدرس ورود به سیستم پیش فرض وردپرس را تغییر دهید
راه دیگری برای محافظت از وب سایت شما در برابر حملات این است که به سادگی URL مورد استفاده برای ورود به سیستم را تغییر دهید. همانطور که قبلا ذکر شد، وردپرس به طور پیش فرض همان مقصد برای ورود به سیستم است و این چیزی شبیه به www.sitename.com/wp-admin/ است
هکرها این را میدانند و قادر به خودکارسازی حملات با رباتها هستند که به سادگی سعی در پیدا کردن URL صفحه ورود برای هر وب سایت و سپس شروع فرایند “guessing” رمز عبور دارند.
اگر URL صفحه ورود به سیستم را تغییر دهید، شانس ربات ها برای پیدا کردن صفحه ورود به سیستم را به میزان قابل توجهی کاهش می دهید، بنابراین آنها حتی قادر به شروع حملات نیستند. شما به راحتی می توانید این کار را با استفاده از پلاگین های امنیتی که این گزینه را دارند یا با یک پلاگین اختصاصی مانند WPS Hide Login انجام دهید.
بیشتر بخوانید : نحوه اضافه کردن متا تگ در وردپرس : آموزش گام به گام
6. یک لایه رمز عبور اضافی به صفحه ورود خود اضافه کنید
یک مرحله اضافی که می توانید به روند ورود به داشبورد وردپرس خود اضافه کنید می تواند تأثیر زیادی بر امنیت وب سایت وردپرس شما داشته باشد. در بالای اقدامات امنیتی ذکر شده، می توانید با محافظت از رمز عبور از صفحه ورود خود در سطح میزبانی ، لایه دیگری از محافظت را اضافه کنید.
بسته به اینکه ارائه دهنده میزبانی شما چه کسی است، این روند می تواند متفاوت باشد. ایده اصلی این است که به cPanel یا کنترل پنل خود دسترسی پیدا کنید، به پوشه های وب سایت خود بروید و مکان آن را به درستی پیدا کنید پوشه /public_html/wp-admin/ .
هر بار که شما سعی می کنید وارد شوید، شما ملزم به وارد کردن نام کاربری و رمز عبور حتی قبل از ورود به اطلاعات ورود کاربر وردپرس خواهید بود.
7. غیرفعال کردن پیامهای پیش فرض ورود به سیستم وردپرس
یکی دیگر از گام های مهم در بهبود امنیت ورود به سیستم وردپرس غیر فعال کردن پیامهای پیش فرض ورود به سیستم وردپرس است. به صورت کلی پس از تلاش های ورود به سیستم که نمیتوانید وارد شوید یا سعی می کنید با یک نام کاربری نادرست وارد شوید، وردپرس یک پیام را نشان می دهد که نام کاربری شما اشتباه بوده است.
به طور خودکار، این اطلاعات می تواند برای هکرها یا ربات هایی که سعی در پیدا کردن راهی بهتر دارند مفید باشد. هر قطعه ای از اطلاعات که از طریق ترک ها نشت می کند، کمک بزرگی در روند مخرب خواهد بود.
برای جلوگیری از دادن هر گونه سرنخ به مهاجمان، باید پیامهای پیش فرض ورود به سیستم را غیرفعال کنید. به این ترتیب، شما کمی از اطلاعاتی را که وب سایت های دیگر ناخواسته ارائه می دهند حذف می کنید. برای انجام این کار، فقط باید چند خط کد را به آن اضافه کنید توابع.php فایل:
function no_wordpress_errors()
{ return 'an error message of your choice.'; }
add_filter( 'login_errors', 'no_wordpress_errors' );
در حال حاضر، هر زمان که تلاش های ورود ناموفق رخ می دهد، وردپرس “ یک پیام خطا با انتخاب شما” به جای پیامهای پیش فرض که شامل جزئیاتی در مورد اینکه کدام قسمت از اطلاعات ورود اشتباه بوده است را نمایش میدهد.
نکته ای که باید در نظر داشته باشید این است که فایل functions.php هر بار که به روز رسانی وردپرس بازنویسی می شود، به این معنی است که کد اضافی که شما اضافه کرده اید به سادگی ناپدید می شود.
یک راه حل آسان برای اجرای این است که از یک افزونه اختصاصی یا child theme استفاده کنید.
8. نام کاربری ورود به وردپرس خود را مخفی کنید
یکی از چیزهایی که ما معمولا تمایل به تمرکز بسیار کمتر از داشتن یک رمز عبور قوی داریم این واقعیت است که نام کاربری ما به طور کلی نشان دهنده 50% نمایش اطلاعات برای هکرهاست. از اطلاعات ورود به سیستم، یک نهاد مخرب نیاز به دسترسی به داده های ما دارد.
تلاش های ما برای محافظت از رمزهای عبور ما و ایمن سازی آنها تا حد امکان به همان اندازه مهم است که تلاش کنیم نام کاربری خود را نیز خصوصی نگه داریم. یک بخش مرتبط از اطلاعاتی که بسیاری از صاحبان وب سایت های وردپرس فراموش می کنند این است که نام های کاربری به طور پیش فرض عمومی می شوند.
زیرا نام نویسنده هر پست در واقع نام کاربری ورود به سیستم است. این میتواند بسته به نحوه تنظیم تنظیمات شما متفاوت باشد و اینکه نام نویسنده به چه شکلی تنظیم شده باشد ظاهر شود: نام مستعار / نام کاربری / نام کامل / نام خانوادگی.
برای اینکه این بخش حیاتی از اطلاعات خصوصی شود، شما فقط باید برخی از تنظیمات را در پروفایل کاربر وردپرس خود انجام دهید, تحت Users -> Profile -> youname اگر شما به دنبال تغییر همه چیز برای کاربر خود هستید. در اینجا، شما می توانید نام مستعار خود را به چیزی متفاوت از نام کاربری ورود خود را تغییر دهید.
اگر می خواهید این تغییر را برای یک کاربر متفاوت ایجاد کنید، باید به منوی Users بروید و سپس کلیک کنید ویرایش کنید در مورد کاربر مورد نظر، جایی که می توانید ویرایش کنید نام مستعار زمینه.
یک نکته مهم که باید ذکر شود این است که به عنوان یک کاربر وردپرس, شما یک نام کاربری (که همان چیزی است که شما برای ورود به سیستم استفاده می کنید) و یک نام مستعار (که در تمام پست هایی که نویسنده شما ظاهر می شود) خواهید داشت.
در همان صفحه، شما همچنین می توانید تنظیم کنید که چگونه نام عمومی شما به نظر برسد. شما باید گزینه ای را ببینید که نام عمومی را نمایش دهید و قادر خواهید بود از گزینه های مختلف در یک منوی کشویی استفاده کنید.
تغییر این نام کاربری به هر چیز دیگری به شما یک لایه اضافی از امنیت وب سایت را می دهد، زیرا هر هکر با استفاده از سیستم های خودکار بر اساس آسیب پذیری های شناخته شده را از بین می برد.
برای تغییر آن، فقط باید روی آن کلیک کنید تغییر نام کاربری در طرف راست نام کاربر فیلد در همان صفحه.
بیشتر بخوانید : افزونه بکآپ وردپرس UpdraftPlus
9. فعال کردن و پیکربندی خودکار ورود
به خصوص برای وب سایت هایی با چندین کاربر، مهم است، پیکربندی قوانین مختلف خودکار ورود به سیستم به طور جدی شانس شما را برای نقض امنیتی ناشی از خطای انسانی کاهش می دهد. از آنجا که شما کنترل کمی بر نحوه دسترسی کاربران خود به داشبورد وب سایت وردپرس خود دارید، مهم است که خطرات را به روش دیگری کاهش دهید.
اگر یکی از کاربران شما از یک رایانه عمومی وارد شود و فراموش کند که وارد سیستم شود، وردپرس به طور خودکار کاربران را پس از 48 ساعت ثبت می کند. این دوره می تواند تا 2 هفته برای کاربرانی که کادر “member me” را در صفحه ورود بررسی می کنند، گسترش یابد.
برای کوتاه کردن این فریم های زمانی که می تواند باعث نگرانی های امنیتی جدی شما شود، باید از یک پلاگین شخص ثالث استفاده کنید پلاگین Inactive Logout, یا سایر افزونه های امنیتی که شامل این ویژگی هستند.
10. CAPTCHA و سوالات امنیتی را ادغام کنید
امنیت صفحه ورود به وردپرس می تواند به طور قابل توجهی بهبود یابد اگر شما یک واقعیت ساده را درک کنید: بیشتر ترافیک مخرب در وب غیر انسانی است. این بدان معنی است که در بیشتر موارد، نگه داشتن وب سایت شما از هک شدن یک موضوع ساده برای دور نگه داشتن ترافیک ربات از آن است.
ریکپچا به عنوان راهی برای تمایز ترافیک انسانی از ترافیک ربات می آید. این ها تست های تورینگ ویژه ای هستند که می توانید در وب سایت خود برای دور نگه داشتن ربات ها استفاده کنید. برای پیاده سازی آنها، شما باید از پلاگین های شخص ثالث مانند: استفاده کنید:
11 به طور منظم حساب های کاربری را بررسی کنید
امنیت ورود به سیستم وردپرس همچنین می تواند تحت تأثیر میزان دقت شما با کاربرانی باشد که به داشبورد شما دسترسی دارند.
اگر شما یک وب سایت با تعداد بالای ;کاربر در وبسایت خود دارید، ضروری است که شما به طور مداوم لیست کاربران و مجوز های آنها را بررسی کنید. شما همیشه باید به حساب های فعال توجه داشته باشید و اطمینان حاصل کنید که در صورت عدم نیاز به دسترسی ، هیچ کاربر فعال را ترک نمی کنید.
همچنین، با داشتن یک ایده روشن از اینکه کاربران چه کسانی هستند و مجوزهای آنها چیست، می توانید متوجه شوید که آیا هر چیزی مشکوک به کاربران با امتیازات دسترسی بالا از هیچ جا ظاهر نمی شود.
در نهایت
تلاش برای بهبود امنیت صفحه ورود وردپرس می تواند راهی عالی برای ایمن سازی وب سایت شما باشد. این که آیا از طریق احراز هویت دو عامل، اضافه کردن محدودیت برای تلاش های ورود به سیستم، تغییر URL صفحه ای که برای ورود به سیستم استفاده می کنید، بسیار مهم است.