راهنمای نهایی نمک های وردپرس و کلیدهای امنیتی
WordPress یکی از پرمخاطب ترین و محبوب ترین سیستم های مدیریت محتوا در جهان است. در نتیجه، وردپرس هدف مکرر سوء استفاده های امنیتی، مانند حملات brute force، تزریق SQL، بدافزار، اسکریپت بین سایتی و حملات DDoS است. در واقع، اخیراً یک نوع بدافزار جدید به نام Clipsa در حال راهاندازی حملات brute force در سایتهای وردپرس، سرقت ارزهای دیجیتال از طریق ربودن کلیپبورد است.
WordPress فقط به اندازه تلاشی که برای بهبود امنیت سایت خود انجام می دهید ایمن است. به عنوان یک مالک وب سایت، این مسئولیت شماست که مراقب باشید و یک استراتژی امنیتی پیشگیرانه را برای جلوگیری از حملات مخرب پیاده سازی کنید. استفاده از گذرواژهها و نامهای کاربری ضعیف، عدم بهروزرسانی هسته و افزونههای وردپرس، و کیفیت پایین هاست از جمله اشتباهات امنیتی رایجی است که صاحبان وبسایت مرتکب میشوند و دسترسی آسان به هکرهای مخرب را فراهم میکنند.
WordPress در نوع خود یک CMS بسیار امن است. با این حال، ایمن نگه داشتن سایت مبتنی بر وردپرس شما در برابر مجرمان سایبری مستلزم بهبود وضعیت امنیتی و بهبود اعتبار آنلاین خود است. مراحل ساده ای مانند به روز رسانی هسته وردپرس، انتخاب یک ارائه دهنده امن هست وردپرس، توجه به امنیت نام دامنه، و استفاده از رمز عبور امن می تواند به مسدود کردن ربات ها و مهاجمان مخرب کمک کند.
در این پست، ما روی نمکهای وردپرس و کلیدهای امنیتی و نقش آنها در حصول اطمینان از اینکه مجبور نیستید با حملات بدافزار مقابله کنید، تمرکز خواهیم کرد.
کلیدها و نمک های امنیتی وردپرس چیست؟
هنگامی که کاربر وارد سایت وردپرس می شود، تعدادی کوکی در رایانه ایجاد می شود. اینها برای تأیید هویت کاربرانی که وارد سیستم شده اند استفاده می شود. اگر یک هکر وارد پایگاه داده شما شود یا کوکی های شما را پیدا کند، ممکن است بتواند رمز عبور شما را بخواند و در نتیجه سایت شما را در برابر حملات آسیب پذیر کند.
وردپرس از کلیدها و نمکهای امنیتی استفاده میکند تا یک خروجی مرموز به شما ارائه دهد که در پایگاه داده یا کوکی ذخیره میشود و یک لایه امنیتی به وبسایت شما اضافه میکند.
دو مورد از این کوکی ها عبارتند از:
- WordPress_[هش] فقط در صفحه مدیریت یا داشبورد وردپرس استفاده میشود.
- WordPress_logged_in_[هش] در سرتاسر وردپرس برای تعیین اینکه آیا شما وارد وردپرس شدهاید یا نه استفاده میشود.
جزئیات احراز هویت ذخیره شده در این کوکیها توسط وردپرس با استفاده از الگوهای تصادفی که در کلیدهای امنیتی وردپرس مشخص شدهاند، هش میشوند (مقادیر رمزی اختصاص داده شده).
کلید امنیتی وردپرس رمز عبوری است که حاوی مجموعهای تصادفی، طولانی و پیچیده از متغیرها است که رمزگذاری را بهبود میبخشد و شکستن رمز عبور شما را تقریبا غیرممکن میکند. آخرین نسخه وردپرس از چهار کلید امنیتی استفاده میکند که هر کدام دارای نمک مربوطه هستند که میتواند امنیت وبسایت مبتنی بر وردپرس شما را افزایش دهد.
اینها عبارتند از:
-
برای ایجاد تغییرات در سایت می توان از
- AUTH_KEY استفاده کرد. این به شما کمک می کند کوکی مجاز برای غیر SSL را امضا کنید.
- SECURE_AUTH_KEY برای امضای کوکی مجاز برای سرپرست SSL استفاده می شود و برای ایجاد تغییرات در وب سایت استفاده می شود.
- LOGGED_IN_KEY برای ایجاد یک کوکی برای کاربر وارد شده استفاده می شود. نمی توان از آن برای ایجاد تغییرات در سایت استفاده کرد.
- NONCE_KEY برای امضای کلید غیر یک استفاده می شود. الف>. این کلید از nonces ها در برابر ایجاد محافظت می کند و در نتیجه از سایت شما در برابر حمله محافظت می کند.
این کلیدها و نمکهای احراز هویت را در پیدا خواهید کرد. فایل wp-config.php، در پوشه ریشه وردپرس قرار دارد.
نمکهای وردپرس رشتههای تصادفی دادههایی هستند که کلیدهای امنیتی را هش میکنند و یک لایه حفاظتی اضافی به سایت و اعتبار شما اضافه میکنند.
همانطور که در این تصویر می بینید، هر کلید امنیتی دارای نمک مربوطه است، یعنی AUTH_SALT، SECURE_AUTH_SALT، LOGGED_IN_SALT، و NONCE_SALT.
چرا از کلیدها و نمک های امنیتی وردپرس استفاده کنیم؟
وردپرس از کوکیها برای ردیابی هویت کاربرانی که به وبسایت شما وارد شدهاند استفاده میکند. این کوکیها در حساب داشبورد سایت شما، که سمت مشتری است، ذخیره میشوند. برای رمزگذاری بهتر، جزئیات احراز هویت (هم نام کاربری و هم رمز عبور) با استفاده از مجموعه ای از مقادیر تصادفی مشخص شده در کلیدهای امنیتی وردپرس هش می شوند.
بنابراین، شکستن یک رمز عبور رمزگذاری شده تصادفی مانند “65a3ds2873ba27us36sd89s0fc” در مقایسه با رمز عبور غیر رمزگذاری شده بسیار دشوار است. بنابراین، صاحبان وبسایت باید از کلیدهای امنیتی وردپرس برای ایمن کردن کوکیهای سایت خود و جلوگیری از دسترسی هکرهای مخرب به سایت استفاده کنند.
نحوه تغییر دستی کلیدها و نمک های WordPRess
میتوانید کلیدها و نمکهای مخفی را به صورت دستی یا با استفاده از افزونه امنیتی وردپرس پیکربندی کنید. اگر یک سایت وردپرس خود میزبانی دارید، باید کلیدهای امنیتی را خودتان اضافه کنید.
لطفاً توجه داشته باشید: فقط در صورتی که توسعهدهنده هستید یا از کار کردن با کد در سطح متوسط یا بالاتر راحت هستید، توصیه میکنیم فایلهای وردپرس را به صورت دستی ویرایش کنید. اگر مبتدی هستید، لطفاً به پلاگین های توصیه شده در زیر بروید.
ابتدا، از مولد تصادفی در وردپرس برای تهیه یک کلید مخفی منحصر به فرد استفاده کنید.
ایجاد کلید
بعد، به مدیریت فایل کنترل پنل خود یا از طریق FTP وارد شوید. از اینجا فایل wp-config.php را پیدا کنید تا آن را تغییر دهید.
فایل را باز کنید و به قسمت “Authentication Unique Keys and Salts” بروید. اینجاست که میتوانید کلیدهای مخفی خود را که قبلاً ایجاد کردهاید اضافه کنید.
پس از ذخیره فایل، باید دوباره وارد سیستم شوید.
از یک افزونه برای بهروزرسانی کلیدها و نمکها استفاده کنید
مانند بسیاری از موارد در وردپرس، لازم نیست این کار را به صورت دستی انجام دهید. از چندین پلاگین وردپرس می توان برای خودکارسازی فرآیند از طرف شما استفاده کرد. آنها یک راه سریع و آسان برای تغییر کلیدها و نمک های وردپرس شما هستند. در اینجا دو مورد است که ما توصیه می کنیم.
امنیت جامد
نسخه فعلی Solid Security دارای یک ویژگی امنیتی صرفه جویی در زمان است که به راحتی کلیدهای امنیتی و نمک های وردپرس را به روز می کند. هر ماه یک یادآوری بهروزرسانی ارائه میکند و از نیاز به ایجاد دستی مجموعه جدیدی از کلیدها یا ویرایش فایل wp-config.php شما جلوگیری میکند.
برای بهروزرسانی کلیدها و نمکها، به بخش «WordPress Salts» در «Advanced Tab» بروید، روی کادر تأیید «Change WordPress Salts» کلیک کنید و در نهایت روی دکمه «Change WordPress Salts» کلیک کنید.
Solid Security Pro ویژگیهای اضافی مانند احراز هویت دو مرحلهای، اسکن بدافزار برنامهریزی شده، و reCAPTCHA را برای شناسایی نرمافزارهای مخرب و افزودن یک لایه امنیتی اضافی به صفحات ورود به وردپرس ارائه میدهد.
نمک پاش
به طور مشابه، Salt Shaker ویژگیها و تنظیمات چشمگیری مانند کلیدهای امنیتی WP دستی و فوری و تغییر نمکها برای بهبود امنیت وردپرس شما ارائه میدهد.
بهعلاوه، پس از نصب افزونه نمکدان، میتوانید کار زمانبندی شده را برای تعویض خودکار نمک تنظیم کنید. تنها کاری که باید انجام دهید این است که کادر را علامت بزنید و تنظیم روزانه، هفتگی یا ماهانه را انتخاب کنید.
در هر دو مورد، این افزونه برای ارسال یادآورهای خودکار برای به روز رسانی کلیدهای وردپرس برنامه ریزی شده است. در نتیجه تمامی کاربرانی که وارد سیستم شده اند را مجبور می کند تا دوباره مراحل ورود را طی کنند. همه این ویژگیها به محافظت از وبسایت در برابر حملات brute force و دیگر تلاشهای هک کمک میکنند.
وقتی نوبت به ایمن سازی سایت وردپرسی شما می رسد، پیشگیری راه حلی است. ترکیب سخت کلیدهای امنیتی وردپرس و نمک ها، شکستن رمزهای عبور وب سایت را برای هکرها سخت می کند. به این ترتیب وردپرس امنیت بهتری را برای جلسات کاربر ارائه می دهد و داده ها را ایمن می کند.
به طور خلاصه، در اینجا چند نکته وجود دارد که باید هنگام بهروزرسانی کلیدهای امنیتی و نمک وردپرس در نظر داشت.
- بعد از راه اندازی سایت وردپرس خود، کلیدهای امنیتی و salts را تغییر دهید.
- همیشه از تولید کننده کلید نمک وردپرس برای ایجاد کلیدهای امنیتی استفاده کنید. خودت انجامش نده از طرف دیگر، میتوانید فرآیند را با استفاده از افزونه وردپرس خودکار یا خودکار کنید.
- بهروزرسانی کلیدهای امنیتی وردپرس و نمکها، همه کوکیهای موجود را باطل میکند و باعث میشود همه کاربران فوراً از سیستم خارج شوند. بنابراین، هنگام تغییر آنها، توجه داشته باشید که برخی از کاربران ممکن است آنلاین باشند.
- اگر نشانه هایی از حمله به سایت خود مشاهده کردید، کلیدهای امنیتی وردپرس را به روز کنید و کاربران خود را تشویق کنید تا رمز عبور خود را تغییر دهند.
آیا در مورد نمک ها و کلیدهای امنیتی سؤالی دارید؟ یا نکاتی که می خواهید اضافه کنید؟ در نظرات به ما اطلاع دهید!