14 روش افزایش امنیت بخش ادمین وردپرس
آیا شما شاهد حملات زیادی در ناحیه مدیر WordPress هستید؟
محافظت از ناحیه مدیریت از دسترسی غیر مجاز به شما اجازه می دهد تا بسیاری از تهدیدات امنیتی کاربر هاست وردپرس را مسدود کنید.
در این مقاله، ما برخی از راهنمایی ها و هک های حیاتی برای محافظت از منطقه مدیریت وردپرس خود را به شما نشان می دهیم.
نکاتی و هک برای محافظت از منطقه مدیریت وردپرس
1. از فایروال برنامه وب سایت استفاده کنید
فایروال وب سایت برنامه یا WAF نظارت بر ترافیک وب سایت و جلوگیری از درخواست های مشکوک از رسیدن به وب سایت شما.
در حالی که چند پلاگین فایروال وردپرس وجود دارد، توصیه می کنیم از Sucuri استفاده کنید.
این سرویس امنیتی و نظارت وب سایت است که WAF مبتنی بر ابر را برای محافظت از وب سایت شما ارائه می دهد.
فایروال برنامه وب سایت
تمام ترافیک وبسایت شما برای اولین بار از طریق پروکسی ابر خود، جایی که آنها هر درخواست را تجزیه و تحلیل می کند و مسدود کردن مشکوک ها را از همیشه به وب سایت شما منتقل می کند.
این باعث می شود وب سایت شما از هک شدن تلاش، فیشینگ، نرم افزارهای مخرب و سایر فعالیت های مخرب جلوگیری شود.
2. رمز عبور محافظت از وردپرس مدیر دایرکتوری
منطقه مدیریتی وردپرس شما اکنون با رمز عبور وردپرس شما محافظت می شود.
با این حال، اضافه کردن حفاظت از رمز عبور به پوشه مدیریت وردپرس شما یک لایه امنیتی دیگر را به وب سایت شما اضافه می کند.
ابتدا به وردپرس میزبان cPanel خود وارد شوید و سپس روی «رمز عبور محافظت از راهنماها» یا «آیکون دایرکتوری» کلیک کنید.
حریم خصوصی دایرکتوری
بعد، شما باید پوشه wp-admin خود را که معمولا در داخل / public_html / directory قرار دارد را انتخاب کنید.
در صفحه بعدی، شما باید کادر کنار ‘Password protect this directory’ را علامت بزنید و یک نام برای پوشه محافظت شده تهیه کنید.
پس از آن، برای تنظیم مجوز، روی دکمه ذخیره کلیک کنید.
رمز عبور محافظت از تنظیمات دایرکتوری
بعد، شما باید دکمه بازگشت را فشار دهید و سپس یک کاربر ایجاد کنید.
از شما خواسته خواهد شد که نام کاربری / رمز عبور را وارد کنید و سپس روی دکمه ذخیره کلیک کنید.
در حال حاضر زمانی که کسی سعی در بازدید از وردپرس admin یا wp-admin در وب سایت خود می کند، از آنها خواسته خواهد شد که نام کاربری و رمز عبور را وارد کنید.
رمز عبور را وارد کنید
3. همیشه از کلمات قوی استفاده کنید
همیشه از کلمات عبور قوی استفاده کنید.
همیشه از کلمات عبور قوی برای تمام حساب های آنلاین خود از جمله سایت وردپرسی خود استفاده کنید.
توصیه می کنیم با استفاده از ترکیبی از حروف، اعداد و کاراکترهای ویژه در کلمه عبور خود استفاده کنید.
این باعث می شود که هکرها به رمز ورود خود حدس بزنند.
ما اغلب از مبتدیان خواسته می شود که چگونه تمام کلمات عبور را به یاد داشته باشیم.
ساده ترین پاسخ این است که شما نیازی به آن ندارید.
برخی از برنامه های مدیریت رمز عبور واقعا عالی هستند که می توانید بر روی کامپیوتر و تلفن خود نصب کنید.
4. از دو مرحله تأیید به صفحه ورود وردپرس استفاده کنید
صفحه ورود به وردپرس با Google Authenticator فعال شده است.
تأیید دو مرحلهای یک لایه امنیتی دیگر را به گذرواژههای شما اضافه میکند. به جای استفاده از رمز عبور به تنهایی،
از شما می خواهد که یک کد تأیید ایجاد شده توسط برنامه Authenticator Google را در تلفن خود وارد کنید.
حتی اگر کسی بتواند رمز عبور وردپرس خود را حدس بزند، هنوز به کد کپی شناسایی Google نیاز دارند تا وارد شوند.
5. محدود کردن تلاش های ورود
محدود کردن تلاش ورود
به طور پیش فرض، وردپرس به کاربران امکان می دهد چندین بار به عنوان رمز عبور وارد شوند.
این به این معنی است که کسی می تواند تلاش کند رمز ورود وردپرس خود را با وارد کردن ترکیب های مختلف حفظ کند.
همچنین اجازه می دهد هکرها برای استفاده از اسکریپت های خودکار برای رمزگشایی رمز عبور استفاده کنند.
برای تعمیر این، شما باید پلاگین Login LockDown را نصب و فعال کنید.
پس از فعال سازی، به بازدید از تنظیمات »ورود به صفحه LockDown برای پیکربندی تنظیمات پلاگین.
6. محدود کردن ورود به دسترسی به آدرس های IP
یکی دیگر از راه های عالی برای ایمن کردن ورود وردپرس، محدود کردن دسترسی به آدرس های IP خاص است.
این نوک مخصوصا مفید است اگر شما یا فقط چند کاربر مورد اعتماد به دسترسی به منطقه مدیریت دسترسی داشته باشند.
به سادگی این کد را به فایل .htaccess اضافه کنید.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
</LIMIT>
فراموش نکنید که ارزش xx را با آدرس IP خودتان جایگزین کنید.
اگر از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، مطمئن شوید که آنها را نیز اضافه می کنید.
7. نکات ورود به سیستم را غیرفعال کنید
در یک تلاش ورودی ناموفق، وردپرس خطاهای نشان می دهد که به کاربران می گوید که آیا نام کاربری آنها نادرست است و یا رمز عبور.
این نکات ورود به سیستم می تواند توسط شخص برای تلاش های مخرب مورد استفاده قرار گیرد.
شما می توانید این نکات ورود را پنهان کنید با اضافه کردن این کد به فایل functions.php یا یک پلاگین خاص برای سایت خود.
function
no_wordpress_errors(){
return
'Something is wrong!'
;
}
add_filter(
'login_errors'
,
'no_wordpress_errors'
);
8. نیاز کاربران به استفاده از کلمات عبور قوی
اگر شما یک سایت چندرسانه ای وردپرس را اجرا می کنید،
آن دسته از کاربران می توانند پروفایل خود را ویرایش کنند و از رمز عبور ضعیف استفاده کنند.
این کلمات عبور را می توان ترک کرد و دسترسی به وردپرس را به مدیر بخش داد.
برای رفع این، شما می توانید پلاگین نیروهای قوی نیروها را نصب و فعال کنید.
این کار از جعبه انجام می شود و تنظیماتی برای پیکربندی شما وجود ندارد.
پس از فعال شدن، کاربران از ذخیره کلمات عبور ضعیف متوقف خواهند شد.
این قدرت رمز عبور را برای حساب های کاربری موجود بررسی نخواهد کرد.
اگر یک کاربر قبلا از یک گذرواژه ضعیف استفاده کرده باشد، پس آنها میتوانند از رمز عبور خود استفاده کنند.
9. تنظیم مجدد کلمه عبور برای تمام کاربران
نگران امنیت رمز عبور خود در سایت چند کاربره وردپرس هستید؟
شما به راحتی می توانید تمام کاربران خود را برای بازنشانی گذرواژه خود بپرسید.
اول، شما باید پلاگین تنظیم مجدد رمز عبور اورژانسی را نصب و فعال کنید.
پس از فعال شدن، به بازدید از کاربران بروید »رمز عبور اضطراری صفحه را بازنشانی کنید و روی دکمه« بازنشانی تمام گذرواژهها »کلیک کنید.
همه گذرواژهها را بازنشانی کنید
10. وردپرس را به روز کنید
وردپرس اغلب نسخه های جدیدی از نرم افزار را منتشر می کند.
هر نسخه جدید وردپرس حاوی رفع اشکال مهم، ویژگی های جدید و رفع امنیت است.
با استفاده از یک نسخه قدیمی وردپرس در سایت خود، شما را به سوء استفاده شناخته شده و آسیب پذیری بالقوه باز می کند.
برای حل این مشکل، باید مطمئن شوید که شما از آخرین نسخه وردپرس استفاده می کنید.
برای کسب اطلاعات بیشتر در مورد این موضوع، راهنمای ما در مورد اینکه چرا شما همیشه باید از آخرین نسخه وردپرس استفاده کنید را ببینید.
به طور مشابه، افزونه های وردپرس نیز اغلب به روز رسانی می شوند تا ویژگی های جدیدی را معرفی کنند
یا امنیت و مسائل دیگر را حل کنند. اطمینان حاصل کنید که پلاگین های وردپرس نیز به روز می شوند.
11. ایجاد صفحات ورود و ثبت سفارشی
بسیاری از سایت های وردپرس نیاز به ثبت نام دارند. به عنوان مثال، سایت های عضویت،
سایت های مدیریت یادگیری یا فروشگاه های آنلاین به کاربران برای ایجاد یک حساب کاربری نیاز دارند.
با این حال، این کاربران می توانند از حساب های خود برای ورود به منطقه مدیریت وردپرس استفاده کنند.
این یک مسئله بزرگ نیست، زیرا تنها قادر به انجام کارهایی است که توسط نقش و توانایی کاربر آنها امکان پذیر است.
با این حال، شما به طور صحیح دسترسی به صفحات ثبت نام و ورود به سیستم را محدود می کنید،
زیرا به صفحاتی نیاز دارید که کاربران برای ثبت نام، مدیریت نمایه خود و ورود به سیستم به آنها نیاز دارند.
راه آسان برای حل این است که با ایجاد صفحه ورود و ثبت نام سفارشی، به طوری که کاربران می توانند ثبت نام و ورود مستقیم از وب سایت شما.
12. درباره وظایف و کاربردهای وردپرس یاد بگیرید
وردپرس همراه با یک سیستم مدیریت قدرتمند کاربر با نقش های مختلف و قابلیت های کاربر می باشد.
هنگام اضافه کردن یک کاربر جدید به سایت وردپرس شما می توانید نقش کاربر را برای آنها انتخاب کنید.
این نقش کاربر، آنچه را که می تواند در سایت WordPress شما انجام دهد، تعریف می کند.
اختصاص دادن نقش کاربر نادرست می تواند توانایی های بیشتری را در اختیار افراد قرار دهد.
برای جلوگیری از این، شما باید بدانید که چه قابلیت هایی با نقش های مختلف کاربر در وردپرس وجود دارد.
13. محدود کردن دسترسی داشبورد
برخی از سایت های وردپرس دارای کاربران خاصی هستند که نیاز به دسترسی به داشبورد دارند و بعضی از کاربرانی که این کار را انجام نمی دهند.
با این حال، به طور پیش فرض آنها همه می توانند به منطقه مدیریت دسترسی داشته باشند.
برای رفع این، شما نیاز به نصب و فعال کردن افزونه Remove Dashboard Access دارید.
پس از فعال شدن، به تنظیمات »صفحه دسترسی داشبورد بروید و انتخاب کنید که چه کسی نقش ها را به قسمت مدیریت در سایت شما دسترسی داشته باشد.
14. خروج از کاربران بیکار
وردپرس به صورت خودکار از کاربران خارج نمی شود تا آنها به صراحت از پنجره مرورگر خود خارج شوند یا بسته شوند.
این می تواند نگرانی برای سایت های وردپرس با اطلاعات حساس باشد.
به همین دلیل وب سایت ها و برنامه های موسسه مالی به طور خودکار از کاربران خارج می شوند اگر آنها فعال نشده باشند.
برای رفع این، شما می توانید پلاگین خاموش کاربر خروج را نصب و فعال کنید.
پس از فعال شدن، به تنظیمات بروید »صفحه ورود به سیستم غیرفعال کاربر و زمان را که پس از آن شما می خواهید به طور خودکار از سیستم خارج شود وارد کنید.
برای اطلاعات بیشتر، مقاله ما را در مورد چگونگی به طور خودکار از کاربران بیکار در وردپرس دیدن کنید.
ما امیدواریم که این مقاله به شما کمک کند راهنمایی و هک های جدیدی برای محافظت از منطقه مدیریت وردپرس خود یاد بگیرند.
همچنین ممکن است بخواهید گام نهایی گام به گام راهنمای امنیت وردپرس برای مبتدیان را ببینید.