چگونه می توانید از صفحه ورود در وردپرس محافظت کنید
![چگونه می توانید از صفحه ورود در وردپرس محافظت کنید_6699c61bed076jpeg - مجله آموزشی تفریحی خالق چگونه می توانید از صفحه ورود در وردپرس محافظت کنید](https://khalg.ir/wp-content/uploads/2024/07/da86daafd988d986d987-d985db8c-d8aad988d8a7d986db8cd8af-d8a7d8b2-d8b5d981d8add987-d988d8b1d988d8af-d8afd8b1-d988d8b1d8afd9bed8b1d8b3-d985_6699c61b733f8-780x450.jpeg)
چگونه می توانید از صفحه ورود در وردپرس محافظت کنید
امنیت وب باید یک نگرانی دائمی و مداوم برای همه وب سایت ها باشد. مهم نیست که چه اقدامات احتیاطی انجام داده اید، همیشه جایی برای بهبود وجود دارد. این به این دلیل است که چیزی به نام امنیت بدون خطا وجود ندارد. به آن اضافه کنید، هکرها 24×7 در حال پرسه زدن هستند، بنابراین شما باید دائماً مراقب باشید. میزبانی، گذرواژههای ضعیف، نسخههای قدیمیتر وردپرس، یا مضامین/افزونههای مشکوک، نقاط ورود احتمالی رباتها به سایت شما هستند.
یکی از راههایی که میتوانید کار را برای هکرها سختتر کنید، افزایش حفاظت از مدیر وردپرس یا صفحه ورود به سیستم است. این دروازه ورود به وبسایت شما است، و میتوانید با افزایش امنیت در این صفحه، جلوی بسیاری از شرارتها را درست در آستانه خانه بگیرید.
چند راه برای محافظت از صفحه مدیریت خود،
تغییر نام کاربری
نام کاربری پیش فرض در وردپرس “Admin” است و ربات ها این را می دانند. اکنون، اگر آنها بتوانند رمز عبور شما را حدس بزنند، شما به معنای واقعی کلمه دعوتنامه ای برای ورود به آنها داده اید. بنابراین نام کاربری خود را به چیزی منحصر به فرد و غیرقابل حدس زدن تغییر دهید. به عنوان مثال، برای باشگاه فوتبال نیویورک، «NY Soccer» نام کاربری مناسبی نیست.
با دنبال کردن این مراحل ساده میتوانید نام کاربری را تغییر دهید،
- با استفاده از حساب کاربری مدیریت موجود خود وارد وردپرس شوید.
- با کلیک بر روی کاربران > افزودن جدید یک کاربر جدید اضافه کنید.
- “Administrator” را به عنوان نقش این کاربر جدید انتخاب کنید. به دنبال یک نام کاربری منحصر به فرد در اینجا بروید، زیرا این کاربر تازه اضافه شده کاربر جدید سرپرست خواهد شد.
- از حساب کاربری قدیمی “Admin” خارج شوید.
- با استفاده از نام کاربری منحصر به فرد جدیدی که ایجاد کرده اید دوباره وارد شوید.
- کاربر اصلی “Admin” را حذف کنید. باید همه پستهای قدیمی خود را از کاربر قدیمی «Admin» به کاربر جدید اختصاص دهید.
همچنین میتوانید نام کاربری را با دسترسی به phpMyAdmin تغییر دهید. این را در SiteGround بخوانید.
گذرواژه قوی
تغییر نام کاربری فقط نیمی از راه است. رمز عبور خود را تقویت کنید تا ربات ها نتوانند آن را حدس بزنند. تولد، نام حیوان خانگی، ورزشکار مورد علاقه همه را می توان به درستی حدس زد. حملات Brute Force فقط تلاش های مکرر و مکرر برای حدس زدن رمز عبور با آزمون و خطا هستند. و اگر رمز عبور ضعیف باشد، مطمئناً موفق خواهند شد. بنابراین، رمزهای عبور قوی مهم هستند.
یک رمز عبور قوی در حالت ایده آل باید از ترکیبی از اعداد و حروف بزرگ و کوچک استفاده کند. یک یا دو علامت مانند «!» یا «@» را به داخل بیندازید. وردپرس گزینه ای برای ایجاد یک رمز عبور قوی فراهم می کند، و شما می توانید از آن نیز استفاده کنید. یا از مولد رمز عبور کمک بگیرید. در گذرواژه من چقدر ایمن است بررسی کنید که آیا رمز عبور شما قوی است یا خیر. و رمز عبور را به طور منظم تغییر دهید.
به خاطر سپردن رمز عبور سخت است؟ مدیران رمز عبور مانند LastPass، DashLane، KeePass، 1Password و RoboForm. یک مدیر رمز عبور همه رمزهای عبور شما را به صورت رمزگذاری شده ذخیره می کند و می توانید از هر دستگاهی به آن دسترسی داشته باشید.
اگر گذرواژه قوی را مطرح نکردهام، این گزارشی از SplashData که بدترین پسوردهای سال 2015 را فهرست می کند، شاید بتواند شما را متقاعد کند.
دسترسی کاربر را محدود کنید
اگر شما تنها کسی هستید که به Admin دسترسی دارید، این یکی برای شما نیست. اما اگر به چندین کاربر اجازه دسترسی به باطن را میدهید، باید کنترل شدیدی بر امتیازات آنها داشته باشید. اجازه دسترسی و امتیازات را فقط به مناطق و در حدی که برای انجام وظایفشان لازم است، بدهید.
نه تنها این، کاربران سایت شما نیز باید از رمزهای عبور قوی استفاده کنند. برای اطمینان از این موضوع، میتوانید افزونه Force Strong Passwords را نصب کنید. این افزونه به کاربران امکان دسترسی به سایت را تنها در صورتی می دهد که رمز عبور قوی برای خود تنظیم کرده باشند. یا میتوانید به Login Security Solution نگاه کنید، که همچنین قدرت رمز عبور را بررسی و اجرا میکند، بدون اینکه کاربران واقعی آزاردهنده باشد.
محدود کردن تلاش برای ورود
ربات ها با آزمایش ترکیب های مختلف نام کاربری و رمز عبور وارد سایت شما می شوند. ممکن است تلاشهای زیادی برای آنها لازم باشد تا بتوانند وارد شوند. اگر تعداد تلاشهایی را که میتوان از یک IP انجام داد محدود کنیم، میتوانیم شانس دسترسی رباتها را به شدت کاهش دهیم.
افزونه های تخصصی وجود دارد که می تواند این کار را انجام دهد –
- محدود کردن تلاشهای ورود – میزان تلاشهای ورود را محدود میکند برای هر IP این یک افزونه پرکاربرد است، حتی اگر مدت زیادی است که به روز نشده است.
- محافظت ورود به سیستم Brute Force – از وب سایت شما محافظت می کند در برابر حملات brute force با استفاده از htaccess.
- Jetpack Protect – برای محافظت از وب سایت های وردپرس در برابر حملات شبکه ربات.
همچنین شایان ذکر است که برخی از هاست ها این ویژگی را به صورت داخلی ارائه می دهند. برای مثال WP Engine این را به پلتفرم میزبانی خود اضافه کرد از ابتدای سال 2015 برای ایمنتر کردن وبسایتهایی که میزبان آنها هستند (علاوه بر SSL رایگان، احراز هویت دو عاملی، پشتیبانگیری خودکار، فایروالهای متعدد، اسکن بدافزار و موارد دیگر).
URL ورود خود را تغییر دهید
نشانی اینترنتی برای ورود به همه وبسایتهای وردپرس، بهطور پیشفرض، نشانی اینترنتی اصلی سایت شما است و به دنبال آن wp-login.php یا wp-admin – به عنوان مثال، mywebsite.com/wp-login.php. هکرها این را میدانند، و اگر بتوانید این URL را تغییر دهید، ورود به وبسایت شما را برای آنها سختتر میکنید.
میتوانید Protect WP-Admin را برای تغییر نصب کنید آدرس پنل مدیریت شما و مسدود کردن لینک های پیش فرض. میتوانید آن را به هر چیزی که دوست دارید تغییر دهید، مانند mywebsite.com/allow_admin_access. وقتی درخواستی برای mywebsite.com/wp-login.php یا mywebsite.com/wp-admin به سایت رسید، به صفحه اصلی هدایت میشود. و فقط URL سفارشی به پنل مدیریت مجاز خواهد بود.
یک راه کاملاً قابل اعتماد برای محافظت از صفحه مدیریت، مسدود کردن کامل دسترسی به صفحه wp-admin و wp-login.php شما است. اما این فقط در صورتی قابل استفاده است که از یک آدرس IP استفاده کنید که تغییر نمی کند. در غیر این صورت، شما در معرض خطر قفل شدن وب سایت خود هستید. اگر میتوانید چندین آدرس IP را پیگیری کنید، همچنان میتوانید این گزینه را انتخاب کنید.
همچنین می توانید دسترسی به فایل wp-login.php خود را با استفاده از احراز هویت اولیه HTTP محدود کنید. این یک لایه امنیتی خارجی است که کاربر برای رسیدن به صفحه ورود باید از آن عبور کند. شما باید یک فایل htpasswd. ایجاد کنید تا همه نامهای کاربری مجاز و گذرواژههای رمزگذاری شده مربوطه را فهرست کنید. یک حمله brute force میتواند علیه احراز هویت اولیه HTTP نیز انجام شود، اما تلاش هکرها برای شکستن هر دو لایه، دو برابر خواهد بود.
SSL را به وب سایت خود اضافه کنید
SSL یک فناوری امنیتی استاندارد است. HTTP پروتکل انتقال ابر متن برای انتقال داده بین سرور و مرورگر است. نسخه ایمن HTTP HTTPS است که “S” مخفف Secure است. آنها با هم هویت وب سایت را برای کاربر تأیید می کنند و به کاربر در مورد محرمانه بودن بین وب سایت و مرورگر کاربر اطمینان می دهند.
هنگامی که SSL / HTTPS را راهاندازی کردید، سرور دادهها را رمزگذاری میکند و فقط مرورگر کاربر میتواند آنها را رمزگشایی کند. برای هر شخص ثالث ناخواسته، داده ها هیچ معنایی ندارند و فقط به صورت رشته ای از کاراکترها ظاهر می شوند. به عنوان یک جایزه، خواهید دید که Google هنگام رتبهبندی وبسایتها از HTTPS حمایت میکند.
دریافت گواهی SSL ممکن است دیگر اختیاری نباشد، به خصوص اگر از مرورگر Chrome استفاده می کنید. دلیل آن این است که Google در تلاش است تا همه سایتهای غیر HTTPS را بهعنوان «غیر امن» علامتگذاری کند.
امروزه، همه سایتهای غیر HTTPS از نظر نشان دادن وضعیت SSL صرفاً خنثی هستند، اما این وضعیت در ژانویه 2017 تغییر خواهد کرد. همه وبسایتهایی که به رمز عبور نیاز دارند یا اطلاعات کارت اعتباری را جمعآوری میکنند، باید ایمن شوند یا خطر برچسبگذاری ناامن توسط Google.
شرکتهای بسیاری مانند Comodo، DigiCert و SSL.com خدمات صدور گواهی ارائه می دهد. گواهینامه ها را می توان بدون هزینه زیاد از SSLMate و به صورت رایگان از اجازه می دهد رمزگذاری شود. برخی از ارائه دهندگان خدمات میزبانی SSL رایگان با برنامه های میزبانی خود ارائه می دهند. میتوانید در HTTPS و راهنمای رایگان SSL ما اطلاعات بیشتری در مورد نصب SSL بخوانید.
احراز هویت دو مرحله ای
احراز هویت دو عاملی یکی از امن ترین راه ها برای محافظت از وب سایت شما در برابر هکرها است. علاوه بر نام کاربری / رمز عبور استانداردی که قبلاً دارید کار می کند. هنگامی که این اعتبارنامه ها را کلید زدید، یک کد روی دستگاهی که در اختیار دارید، اغلب گوشی هوشمند شما، ایجاد می شود. فقط زمانی که این کد وارد شود، به سایت دسترسی پیدا می کنید.
بسیاری از افزونه های رایگان و ممتاز برای نصب در وب سایت شما در دسترس هستند. این روش امنیتی مدت زیادی است که وجود داشته است، اما اکنون به طور فزاینده ای برای دسترسی به وب سایت اعمال می شود. میتوانید در پست قبلی ما درباره احراز هویت دو عاملی بیشتر بخوانید.
افزونه های امنیتی
بسیاری از وبسایتها افزونههایی را نصب میکنند که به طور جامع از امنیت وردپرس مراقبت میکنند. آنها در حفاظت از فایروال، اسکن بدافزار، لیست سیاه و لیست سفید IP ها، نظارت بر فعالیت کاربر، گزارش حسابرسی و به طور کلی امنیت را سخت می کنند. هر دو گزینه رایگان و ممتاز در دسترس هستند.
برخی از افزونههایی که شامل محافظت از ورود به سیستم هستند،
- Wordfence – رمزهای عبور قوی را اعمال می کند و از حملات brute force جلوگیری می کند.
- Solid Security Pro – با حملات خودکار مبارزه می کند و تعداد را محدود می کند تلاش برای ورود همچنین اعتبار کاربری سخت تری را اجرا می کند.
- همه در یک امنیت و فایروال – از حملات brute force جلوگیری می کند و اجازه می دهد سطح IP مسدود شود و کاربر پس از یک دوره زمانی مشخص قفل شود. سایر ویژگیهای محافظت از ورود به سیستم شامل قفل کردن ورود به سیستم و قرار دادن آدرسهای IP در لیست سفید و سیاه هستند.
- امنیت ضد گلوله – ورود به سیستم و محافظت از نیروی brute force.
- McAfee Secure – لایههای حفاظتی متعددی از جمله یک علامت سایت قابل اعتماد، اسکن بدافزار، و پوشش محافظت از هویت برای فروشگاههای تجارت الکترونیک (یک دارایی بزرگ).
نظرات نهایی
روشهای فهرستشده در این پست عمدتاً روشهایی ساده، اما بسیار مؤثر هستند که از طریق آنها میتوانید از نفوذ رباتها، بدافزارها و شرارتکنندگان به وبسایت خود جلوگیری کنید. همچنین میتوانید کپچا یا تستهای کوچک دیگری اضافه کنید تا بررسی کنید که آیا تلاش برای ورود به سیستم توسط یک انسان انجام شده است یا خیر و از رباتها جلوگیری کنید. اگر به نکات بیشتری در مورد امنیت وردپرس نیاز دارید، آنچه را که فردی برای گفتن در این مطلب میخواهد بخوانید. پست.