راهنمای نهایی نمک های وردپرس و کلیدهای امنیتی

WordPress یکی از پرمخاطب ترین و محبوب ترین سیستم های مدیریت محتوا در جهان است. در نتیجه، وردپرس هدف مکرر سوء استفاده های امنیتی، مانند حملات brute force، تزریق SQL، بدافزار، اسکریپت بین سایتی و حملات DDoS است. در واقع، اخیراً یک نوع بدافزار جدید به نام Clipsa در حال راه‌اندازی حملات brute force در سایت‌های وردپرس، سرقت ارزهای دیجیتال از طریق ربودن کلیپ‌بورد است.

WordPress فقط به اندازه تلاشی که برای بهبود امنیت سایت خود انجام می دهید ایمن است. به عنوان یک مالک وب سایت، این مسئولیت شماست که مراقب باشید و یک استراتژی امنیتی پیشگیرانه را برای جلوگیری از حملات مخرب پیاده سازی کنید. استفاده از گذرواژه‌ها و نام‌های کاربری ضعیف، عدم به‌روزرسانی هسته و افزونه‌های وردپرس، و کیفیت پایین هاست از جمله اشتباهات امنیتی رایجی است که صاحبان وب‌سایت مرتکب می‌شوند و دسترسی آسان به هکرهای مخرب را فراهم می‌کنند.

WordPress در نوع خود یک CMS بسیار امن است. با این حال، ایمن نگه داشتن سایت مبتنی بر وردپرس شما در برابر مجرمان سایبری مستلزم بهبود وضعیت امنیتی و بهبود اعتبار آنلاین خود است. مراحل ساده ای مانند به روز رسانی هسته وردپرس، انتخاب یک ارائه دهنده امن هست وردپرس، توجه به امنیت نام دامنه، و استفاده از رمز عبور امن می تواند به مسدود کردن ربات ها و مهاجمان مخرب کمک کند.

در این پست، ما روی نمک‌های وردپرس و کلیدهای امنیتی و نقش آنها در حصول اطمینان از اینکه مجبور نیستید با حملات بدافزار مقابله کنید، تمرکز خواهیم کرد.

کلیدها و نمک های امنیتی وردپرس چیست؟

هنگامی که کاربر وارد سایت وردپرس می شود، تعدادی کوکی در رایانه ایجاد می شود. اینها برای تأیید هویت کاربرانی که وارد سیستم شده اند استفاده می شود. اگر یک هکر وارد پایگاه داده شما شود یا کوکی های شما را پیدا کند، ممکن است بتواند رمز عبور شما را بخواند و در نتیجه سایت شما را در برابر حملات آسیب پذیر کند.

وردپرس از کلیدها و نمک‌های امنیتی استفاده می‌کند تا یک خروجی مرموز به شما ارائه دهد که در پایگاه داده یا کوکی ذخیره می‌شود و یک لایه امنیتی به وب‌سایت شما اضافه می‌کند.

دو مورد از این کوکی ها عبارتند از:

• WordPress_[هش] فقط در صفحه مدیریت یا داشبورد وردپرس استفاده می‌شود.
• WordPress_logged_in_[هش] در سرتاسر وردپرس برای تعیین اینکه آیا شما وارد وردپرس شده‌اید یا نه استفاده می‌شود.

جزئیات احراز هویت ذخیره شده در این کوکی‌ها توسط وردپرس با استفاده از الگوهای تصادفی که در کلیدهای امنیتی وردپرس مشخص شده‌اند، هش می‌شوند (مقادیر رمزی اختصاص داده شده).

کلید امنیتی وردپرس رمز عبوری است که حاوی مجموعه‌ای تصادفی، طولانی و پیچیده از متغیرها است که رمزگذاری را بهبود می‌بخشد و شکستن رمز عبور شما را تقریبا غیرممکن می‌کند. آخرین نسخه وردپرس از چهار کلید امنیتی استفاده می‌کند که هر کدام دارای نمک مربوطه هستند که می‌تواند امنیت وب‌سایت مبتنی بر وردپرس شما را افزایش دهد.

اینها عبارتند از:

برای ایجاد تغییرات در سایت می توان از
1. AUTH_KEY استفاده کرد. این به شما کمک می کند کوکی مجاز برای غیر SSL را امضا کنید.
2. SECURE_AUTH_KEY برای امضای کوکی مجاز برای سرپرست SSL استفاده می شود و برای ایجاد تغییرات در وب سایت استفاده می شود.
3. LOGGED_IN_KEY برای ایجاد یک کوکی برای کاربر وارد شده استفاده می شود. نمی توان از آن برای ایجاد تغییرات در سایت استفاده کرد.
4. NONCE_KEY برای امضای کلید غیر یک استفاده می شود. الف>. این کلید از nonces ها در برابر ایجاد محافظت می کند و در نتیجه از سایت شما در برابر حمله محافظت می کند.

این کلیدها و نمک‌های احراز هویت را در پیدا خواهید کرد. فایل wp-config.php، در پوشه ریشه وردپرس قرار دارد.

نمک‌های وردپرس رشته‌های تصادفی داده‌هایی هستند که کلیدهای امنیتی را هش می‌کنند و یک لایه حفاظتی اضافی به سایت و اعتبار شما اضافه می‌کنند.

همانطور که در این تصویر می بینید، هر کلید امنیتی دارای نمک مربوطه است، یعنی AUTH_SALT، SECURE_AUTH_SALT، LOGGED_IN_SALT، و NONCE_SALT.

چرا از کلیدها و نمک های امنیتی وردپرس استفاده کنیم؟

وردپرس از کوکی‌ها برای ردیابی هویت کاربرانی که به وب‌سایت شما وارد شده‌اند استفاده می‌کند. این کوکی‌ها در حساب داشبورد سایت شما، که سمت مشتری است، ذخیره می‌شوند. برای رمزگذاری بهتر، جزئیات احراز هویت (هم نام کاربری و هم رمز عبور) با استفاده از مجموعه ای از مقادیر تصادفی مشخص شده در کلیدهای امنیتی وردپرس هش می شوند.

بنابراین، شکستن یک رمز عبور رمزگذاری شده تصادفی مانند “65a3ds2873ba27us36sd89s0fc” در مقایسه با رمز عبور غیر رمزگذاری شده بسیار دشوار است. بنابراین، صاحبان وب‌سایت باید از کلیدهای امنیتی وردپرس برای ایمن کردن کوکی‌های سایت خود و جلوگیری از دسترسی هکرهای مخرب به سایت استفاده کنند.

نحوه تغییر دستی کلیدها و نمک های WordPRess

می‌توانید کلیدها و نمک‌های مخفی را به صورت دستی یا با استفاده از افزونه امنیتی وردپرس پیکربندی کنید. اگر یک سایت وردپرس خود میزبانی دارید، باید کلیدهای امنیتی را خودتان اضافه کنید.

ابتدا، از مولد تصادفی در وردپرس برای تهیه یک کلید مخفی منحصر به فرد استفاده کنید.

ایجاد کلید

بعد، به مدیریت فایل کنترل پنل خود یا از طریق FTP وارد شوید. از اینجا فایل wp-config.php را پیدا کنید تا آن را تغییر دهید.

فایل را باز کنید و به قسمت “Authentication Unique Keys and Salts” بروید. اینجاست که می‌توانید کلیدهای مخفی خود را که قبلاً ایجاد کرده‌اید اضافه کنید.

پس از ذخیره فایل، باید دوباره وارد سیستم شوید.

از یک افزونه برای به‌روزرسانی کلیدها و نمک‌ها استفاده کنید

مانند بسیاری از موارد در وردپرس، لازم نیست این کار را به صورت دستی انجام دهید. از چندین پلاگین وردپرس می توان برای خودکارسازی فرآیند از طرف شما استفاده کرد. آنها یک راه سریع و آسان برای تغییر کلیدها و نمک های وردپرس شما هستند. در اینجا دو مورد است که ما توصیه می کنیم.

امنیت جامد

نسخه فعلی Solid Security دارای یک ویژگی امنیتی صرفه جویی در زمان است که به راحتی کلیدهای امنیتی و نمک های وردپرس را به روز می کند. هر ماه یک یادآوری به‌روزرسانی ارائه می‌کند و از نیاز به ایجاد دستی مجموعه جدیدی از کلیدها یا ویرایش فایل wp-config.php شما جلوگیری می‌کند.

برای به‌روزرسانی کلیدها و نمک‌ها، به بخش «WordPress Salts» در «Advanced Tab» بروید، روی کادر تأیید «Change WordPress Salts» کلیک کنید و در نهایت روی دکمه «Change WordPress Salts» کلیک کنید.

Solid Security Pro ویژگی‌های اضافی مانند احراز هویت دو مرحله‌ای، اسکن بدافزار برنامه‌ریزی شده، و reCAPTCHA را برای شناسایی نرم‌افزارهای مخرب و افزودن یک لایه امنیتی اضافی به صفحات ورود به وردپرس ارائه می‌دهد.

نمک پاش

به طور مشابه، Salt Shaker ویژگی‌ها و تنظیمات چشمگیری مانند کلیدهای امنیتی WP دستی و فوری و تغییر نمک‌ها برای بهبود امنیت وردپرس شما ارائه می‌دهد.

به‌علاوه، پس از نصب افزونه نمک‌دان، می‌توانید کار زمان‌بندی شده را برای تعویض خودکار نمک تنظیم کنید. تنها کاری که باید انجام دهید این است که کادر را علامت بزنید و تنظیم روزانه، هفتگی یا ماهانه را انتخاب کنید.

در هر دو مورد، این افزونه برای ارسال یادآورهای خودکار برای به روز رسانی کلیدهای وردپرس برنامه ریزی شده است. در نتیجه تمامی کاربرانی که وارد سیستم شده اند را مجبور می کند تا دوباره مراحل ورود را طی کنند. همه این ویژگی‌ها به محافظت از وب‌سایت در برابر حملات brute force و دیگر تلاش‌های هک کمک می‌کنند.

وقتی نوبت به ایمن سازی سایت وردپرسی شما می رسد، پیشگیری راه حلی است. ترکیب سخت کلیدهای امنیتی وردپرس و نمک ها، شکستن رمزهای عبور وب سایت را برای هکرها سخت می کند. به این ترتیب وردپرس امنیت بهتری را برای جلسات کاربر ارائه می دهد و داده ها را ایمن می کند.

به طور خلاصه، در اینجا چند نکته وجود دارد که باید هنگام به‌روزرسانی کلیدهای امنیتی و نمک وردپرس در نظر داشت.

• بعد از راه اندازی سایت وردپرس خود، کلیدهای امنیتی و salts را تغییر دهید.
• همیشه از تولید کننده کلید نمک وردپرس برای ایجاد کلیدهای امنیتی استفاده کنید. خودت انجامش نده از طرف دیگر، می‌توانید فرآیند را با استفاده از افزونه وردپرس خودکار یا خودکار کنید.
• به‌روزرسانی کلیدهای امنیتی وردپرس و نمک‌ها، همه کوکی‌های موجود را باطل می‌کند و باعث می‌شود همه کاربران فوراً از سیستم خارج شوند. بنابراین، هنگام تغییر آنها، توجه داشته باشید که برخی از کاربران ممکن است آنلاین باشند.
• اگر نشانه هایی از حمله به سایت خود مشاهده کردید، کلیدهای امنیتی وردپرس را به روز کنید و کاربران خود را تشویق کنید تا رمز عبور خود را تغییر دهند.

آیا در مورد نمک ها و کلیدهای امنیتی سؤالی دارید؟ یا نکاتی که می خواهید اضافه کنید؟ در نظرات به ما اطلاع دهید!