چگونه می توانید از صفحه ورود در وردپرس محافظت کنید

چگونه می توانید از صفحه ورود در وردپرس محافظت کنید
#image_title

چگونه می توانید از صفحه ورود در وردپرس محافظت کنید

امنیت وب باید یک نگرانی دائمی و مداوم برای همه وب سایت ها باشد. مهم نیست که چه اقدامات احتیاطی انجام داده اید، همیشه جایی برای بهبود وجود دارد. این به این دلیل است که چیزی به نام امنیت بدون خطا وجود ندارد. به آن اضافه کنید، هکرها 24×7 در حال پرسه زدن هستند، بنابراین شما باید دائماً مراقب باشید. میزبانی، گذرواژه‌های ضعیف، نسخه‌های قدیمی‌تر وردپرس، یا مضامین/افزونه‌های مشکوک، نقاط ورود احتمالی ربات‌ها به سایت شما هستند.

یکی از راه‌هایی که می‌توانید کار را برای هکرها سخت‌تر کنید، افزایش حفاظت از مدیر وردپرس یا صفحه ورود به سیستم است. این دروازه ورود به وب‌سایت شما است، و می‌توانید با افزایش امنیت در این صفحه، جلوی بسیاری از شرارت‌ها را درست در آستانه خانه بگیرید.

چند راه برای محافظت از صفحه مدیریت خود،

تغییر نام کاربری

نام کاربری پیش فرض در وردپرس “Admin” است و ربات ها این را می دانند. اکنون، اگر آنها بتوانند رمز عبور شما را حدس بزنند، شما به معنای واقعی کلمه دعوتنامه ای برای ورود به آنها داده اید. بنابراین نام کاربری خود را به چیزی منحصر به فرد و غیرقابل حدس زدن تغییر دهید. به عنوان مثال، برای باشگاه فوتبال نیویورک، «NY Soccer» نام کاربری مناسبی نیست.

با دنبال کردن این مراحل ساده می‌توانید نام کاربری را تغییر دهید،

  • با استفاده از حساب کاربری مدیریت موجود خود وارد وردپرس شوید.
  • با کلیک بر روی کاربران > افزودن جدید یک کاربر جدید اضافه کنید.
  • “Administrator” را به عنوان نقش این کاربر جدید انتخاب کنید. به دنبال یک نام کاربری منحصر به فرد در اینجا بروید، زیرا این کاربر تازه اضافه شده کاربر جدید سرپرست خواهد شد.
  • از حساب کاربری قدیمی “Admin” خارج شوید.
  • با استفاده از نام کاربری منحصر به فرد جدیدی که ایجاد کرده اید دوباره وارد شوید.
  • کاربر اصلی “Admin” را حذف کنید. باید همه پست‌های قدیمی خود را از کاربر قدیمی «Admin» به کاربر جدید اختصاص دهید.

همچنین می‌توانید نام کاربری را با دسترسی به phpMyAdmin تغییر دهید. این را در SiteGround بخوانید.

گذرواژه قوی

تغییر نام کاربری فقط نیمی از راه است. رمز عبور خود را تقویت کنید تا ربات ها نتوانند آن را حدس بزنند. تولد، نام حیوان خانگی، ورزشکار مورد علاقه همه را می توان به درستی حدس زد. حملات Brute Force فقط تلاش های مکرر و مکرر برای حدس زدن رمز عبور با آزمون و خطا هستند. و اگر رمز عبور ضعیف باشد، مطمئناً موفق خواهند شد. بنابراین، رمزهای عبور قوی مهم هستند.

یک رمز عبور قوی در حالت ایده آل باید از ترکیبی از اعداد و حروف بزرگ و کوچک استفاده کند. یک یا دو علامت مانند «!» یا «@» را به داخل بیندازید. وردپرس گزینه ای برای ایجاد یک رمز عبور قوی فراهم می کند، و شما می توانید از آن نیز استفاده کنید. یا از مولد رمز عبور کمک بگیرید. در گذرواژه من چقدر ایمن است بررسی کنید که آیا رمز عبور شما قوی است یا خیر. و رمز عبور را به طور منظم تغییر دهید.

به خاطر سپردن رمز عبور سخت است؟ مدیران رمز عبور مانند LastPass، DashLane، KeePass، 1Password و RoboForm. یک مدیر رمز عبور همه رمزهای عبور شما را به صورت رمزگذاری شده ذخیره می کند و می توانید از هر دستگاهی به آن دسترسی داشته باشید.

اگر گذرواژه قوی را مطرح نکرده‌ام، این گزارشی از SplashData که بدترین پسوردهای سال 2015 را فهرست می کند، شاید بتواند شما را متقاعد کند.

دسترسی کاربر را محدود کنید

اگر شما تنها کسی هستید که به Admin دسترسی دارید، این یکی برای شما نیست. اما اگر به چندین کاربر اجازه دسترسی به باطن را می‌دهید، باید کنترل شدیدی بر امتیازات آنها داشته باشید. اجازه دسترسی و امتیازات را فقط به مناطق و در حدی که برای انجام وظایفشان لازم است، بدهید.

نه تنها این، کاربران سایت شما نیز باید از رمزهای عبور قوی استفاده کنند. برای اطمینان از این موضوع، می‌توانید افزونه Force Strong Passwords را نصب کنید. این افزونه به کاربران امکان دسترسی به سایت را تنها در صورتی می دهد که رمز عبور قوی برای خود تنظیم کرده باشند. یا می‌توانید به Login Security Solution نگاه کنید، که همچنین قدرت رمز عبور را بررسی و اجرا می‌کند، بدون اینکه کاربران واقعی آزاردهنده باشد.

محدود کردن تلاش برای ورود

ربات ها با آزمایش ترکیب های مختلف نام کاربری و رمز عبور وارد سایت شما می شوند. ممکن است تلاش‌های زیادی برای آنها لازم باشد تا بتوانند وارد شوند. اگر تعداد تلاش‌هایی را که می‌توان از یک IP انجام داد محدود کنیم، می‌توانیم شانس دسترسی ربات‌ها را به شدت کاهش دهیم.

افزونه های تخصصی وجود دارد که می تواند این کار را انجام دهد –

  • محدود کردن تلاش‌های ورود – میزان تلاش‌های ورود را محدود می‌کند برای هر IP این یک افزونه پرکاربرد است، حتی اگر مدت زیادی است که به روز نشده است.
  • محافظت ورود به سیستم Brute Force – از وب سایت شما محافظت می کند در برابر حملات brute force با استفاده از htaccess.
  • Jetpack Protect – برای محافظت از وب سایت های وردپرس در برابر حملات شبکه ربات.

همچنین شایان ذکر است که برخی از هاست ها این ویژگی را به صورت داخلی ارائه می دهند. برای مثال WP Engine این را به پلتفرم میزبانی خود اضافه کرد از ابتدای سال 2015 برای ایمن‌تر کردن وب‌سایت‌هایی که میزبان آن‌ها هستند (علاوه بر SSL رایگان، احراز هویت دو عاملی، پشتیبان‌گیری خودکار، فایروال‌های متعدد، اسکن بدافزار و موارد دیگر).

URL ورود خود را تغییر دهید

نشانی اینترنتی برای ورود به همه وب‌سایت‌های وردپرس، به‌طور پیش‌فرض، نشانی اینترنتی اصلی سایت شما است و به دنبال آن wp-login.php یا wp-admin به عنوان مثال، mywebsite.com/wp-login.php. هکرها این را می‌دانند، و اگر بتوانید این URL را تغییر دهید، ورود به وب‌سایت شما را برای آنها سخت‌تر می‌کنید.

می‌توانید Protect WP-Admin را برای تغییر نصب کنید آدرس پنل مدیریت شما و مسدود کردن لینک های پیش فرض. می‌توانید آن را به هر چیزی که دوست دارید تغییر دهید، مانند mywebsite.com/allow_admin_access. وقتی درخواستی برای mywebsite.com/wp-login.php یا mywebsite.com/wp-admin به سایت رسید، به صفحه اصلی هدایت می‌شود. و فقط URL سفارشی به پنل مدیریت مجاز خواهد بود.

یک راه کاملاً قابل اعتماد برای محافظت از صفحه مدیریت، مسدود کردن کامل دسترسی به صفحه wp-admin و wp-login.php شما است. اما این فقط در صورتی قابل استفاده است که از یک آدرس IP استفاده کنید که تغییر نمی کند. در غیر این صورت، شما در معرض خطر قفل شدن وب سایت خود هستید. اگر می‌توانید چندین آدرس IP را پیگیری کنید، همچنان می‌توانید این گزینه را انتخاب کنید.

همچنین می توانید دسترسی به فایل wp-login.php خود را با استفاده از احراز هویت اولیه HTTP محدود کنید. این یک لایه امنیتی خارجی است که کاربر برای رسیدن به صفحه ورود باید از آن عبور کند. شما باید یک فایل htpasswd. ایجاد کنید تا همه نام‌های کاربری مجاز و گذرواژه‌های رمزگذاری شده مربوطه را فهرست کنید. یک حمله brute force می‌تواند علیه احراز هویت اولیه HTTP نیز انجام شود، اما تلاش هکرها برای شکستن هر دو لایه، دو برابر خواهد بود.

SSL را به وب سایت خود اضافه کنید

SSL یک فناوری امنیتی استاندارد است. HTTP پروتکل انتقال ابر متن برای انتقال داده بین سرور و مرورگر است. نسخه ایمن HTTP HTTPS است که “S” مخفف Secure است. آنها با هم هویت وب سایت را برای کاربر تأیید می کنند و به کاربر در مورد محرمانه بودن بین وب سایت و مرورگر کاربر اطمینان می دهند.

هنگامی که SSL / HTTPS را راه‌اندازی کردید، سرور داده‌ها را رمزگذاری می‌کند و فقط مرورگر کاربر می‌تواند آن‌ها را رمزگشایی کند. برای هر شخص ثالث ناخواسته، داده ها هیچ معنایی ندارند و فقط به صورت رشته ای از کاراکترها ظاهر می شوند. به عنوان یک جایزه، خواهید دید که Google هنگام رتبه‌بندی وب‌سایت‌ها از HTTPS حمایت می‌کند.

دریافت گواهی SSL ممکن است دیگر اختیاری نباشد، به خصوص اگر از مرورگر Chrome استفاده می کنید. دلیل آن این است که Google در تلاش است تا همه سایت‌های غیر HTTPS را به‌عنوان «غیر امن» علامت‌گذاری کند.

امروزه، همه سایت‌های غیر HTTPS از نظر نشان دادن وضعیت SSL صرفاً خنثی هستند، اما این وضعیت در ژانویه 2017 تغییر خواهد کرد. همه وب‌سایت‌هایی که به رمز عبور نیاز دارند یا اطلاعات کارت اعتباری را جمع‌آوری می‌کنند، باید ایمن شوند یا خطر برچسب‌گذاری ناامن توسط Google.

شرکت‌های بسیاری مانند Comodo، DigiCert و SSL.com خدمات صدور گواهی ارائه می دهد. گواهینامه ها را می توان بدون هزینه زیاد از SSLMate و به صورت رایگان از اجازه می دهد رمزگذاری شود. برخی از ارائه دهندگان خدمات میزبانی SSL رایگان با برنامه های میزبانی خود ارائه می دهند. می‌توانید در HTTPS و راهنمای رایگان SSL ما اطلاعات بیشتری در مورد نصب SSL بخوانید.

احراز هویت دو مرحله ای

احراز هویت دو عاملی یکی از امن ترین راه ها برای محافظت از وب سایت شما در برابر هکرها است. علاوه بر نام کاربری / رمز عبور استانداردی که قبلاً دارید کار می کند. هنگامی که این اعتبارنامه ها را کلید زدید، یک کد روی دستگاهی که در اختیار دارید، اغلب گوشی هوشمند شما، ایجاد می شود. فقط زمانی که این کد وارد شود، به سایت دسترسی پیدا می کنید.

بسیاری از افزونه های رایگان و ممتاز برای نصب در وب سایت شما در دسترس هستند. این روش امنیتی مدت زیادی است که وجود داشته است، اما اکنون به طور فزاینده ای برای دسترسی به وب سایت اعمال می شود. می‌توانید در پست قبلی ما درباره احراز هویت دو عاملی بیشتر بخوانید.

افزونه های امنیتی

بسیاری از وب‌سایت‌ها افزونه‌هایی را نصب می‌کنند که به طور جامع از امنیت وردپرس مراقبت می‌کنند. آنها در حفاظت از فایروال، اسکن بدافزار، لیست سیاه و لیست سفید IP ها، نظارت بر فعالیت کاربر، گزارش حسابرسی و به طور کلی امنیت را سخت می کنند. هر دو گزینه رایگان و ممتاز در دسترس هستند.

برخی از افزونه‌هایی که شامل محافظت از ورود به سیستم هستند،

  • Wordfence – رمزهای عبور قوی را اعمال می کند و از حملات brute force جلوگیری می کند.
  • Solid Security Pro –  با حملات خودکار مبارزه می کند و تعداد را محدود می کند تلاش برای ورود همچنین اعتبار کاربری سخت تری را اجرا می کند.
  • همه در یک امنیت و فایروال – از حملات brute force جلوگیری می کند و اجازه می دهد سطح IP مسدود شود و کاربر پس از یک دوره زمانی مشخص قفل شود. سایر ویژگی‌های محافظت از ورود به سیستم شامل قفل کردن ورود به سیستم و قرار دادن آدرس‌های IP در لیست سفید و سیاه هستند.
  • امنیت ضد گلوله – ورود به سیستم و محافظت از نیروی brute force.
  • McAfee Secure – لایه‌های حفاظتی متعددی از جمله یک علامت سایت قابل اعتماد، اسکن بدافزار، و پوشش محافظت از هویت برای فروشگاه‌های تجارت الکترونیک (یک دارایی بزرگ).

نظرات نهایی

روش‌های فهرست‌شده در این پست عمدتاً روش‌هایی ساده، اما بسیار مؤثر هستند که از طریق آنها می‌توانید از نفوذ ربات‌ها، بدافزارها و شرارت‌کنندگان به وب‌سایت خود جلوگیری کنید. همچنین می‌توانید کپچا یا تست‌های کوچک دیگری اضافه کنید تا بررسی کنید که آیا تلاش برای ورود به سیستم توسط یک انسان انجام شده است یا خیر و از ربات‌ها جلوگیری کنید. اگر به نکات بیشتری در مورد امنیت وردپرس نیاز دارید، آنچه را که فردی برای گفتن در این مطلب می‌خواهد بخوانید. پست.

حتما بخوانید : نکاتی آسان برای مبتدیان وردپرس برای شروع
نوشته های مشابه
خروج از نسخه موبایل