افزایش امنیت مدیریت وردپرس در ۱۴ مرحله

1 / 5. تعداد رای: 1

افزایش امنیت پنل مدیریت وردپرس
افزایش امنیت پنل مدیریت وردپرس

یکی از وظایف اصلی مدیران وب‌سایت‌ها این است که امنیت پنل مدیریتی وردپرس خودشان را تأمین کنند، شما باید تمامی از نکاتی که ممکن است به شما برای افزایش امنیت مدیریت وردپرس کمک کند آگاهی داشته باشید و از آن‌ها استفاده کنید.

گاهی اوقات ممکن است پیش به یاد که بسیاری از حملات در بخش پنل مدیریت وردپرس ببینید، حفاظت کردن بخش پنل مدیریت از دسترسی‌های غیرمجاز به شما اجازه می‌دهد بسیاری از تهدیدات امنیتی رایج را مسدود کنید.

در این مقاله برای شما نکات ضروری برای محافظت بخش پنل مدیریت وردپرس را شرح خواهیم داد.

افزایش امنیت مدیریت وردپرس با WAF

اولین موردی که می‌تواند به شما برای افزایش امنیت پنل مدیریت وردپرس کمک کند، استفاده از فایروال برنامه‌های کاربردی تحت وب می‌باشد.

این برنامه یا WAF، ترافیک وب‌سایت و درخواست‌های بلاک مشکوک که به وب‌سایت شما وارد می‌شوند را نظارت می‌کنند، درحالی‌که چندین افزونه فایروال وردپرس وجود دارد ما به شما افزونه sucuri توصیه می‌کنیم. سرویس نظارت و امنیت است که یک امنیت ابری بر اساس WAF(دیواره آتش وب) برای محافظت کردن وب‌سایت شما ارائه می‌کند.

در مرحله اول تمام ترافیک وب‌سایت شما سراسر پروکسی ابری قرار می‌گیرد، مکانی که هر درخواست و بلاک مشکوکی که به وب‌سایت شما وارد می‌شود را تجزیه تحلیل کرده و از حملات فیشینگ، هک کردن یا بدافزارها و دیگر فعالیت‌های مخرب در درون وب‌سایت شما جلوگیری می‌کند.

قرار دادن رمز عبور روی پوشه مدیریت وردپرس

همان‌طور که میدانید پنل مدیریتی وردپرس در حال حاضر، به‌صورت پیش‌فرض با رمز عبور وردپرس محافظت می‌شود، اما شما می‌توانید برای اینکه لایه‌های امنیتی بیشتری به سایت خود اضافه کنید، از پسورد ایمن نیز استفاده کنید.

برای این کار باید وارد پنل هاست وردپرس خود شوید و در داشبورد سی پنل روی گزینه ”Directory Privacy” کلیک کنید.

سپس پوشه wp-admin را انتخاب کنید، باکس بعدی گزینه “password protect this directory” را چک کنید و یک نام برای مسیر محافظت‌شده وارد و ذخیره کنید. سپس یک کاربر ایجاد کنید و نام کاربری، رمز عبور را وارد کنید و در انتها بر روی Save کلیک کنید.

از این به بعد هر شخصی بخواهد وارد پنل مدیریت یا مسیر wp-admin وب‌سایت شما شود نام کاربری و رمز عبور از آنها پرسیده می‌شود. آموزش قرار دادن رمز عبور روی wp-admin را ببینید.

استفاده کردن از رمز عبور قوی

همیشه از پسورد قوی برای تمام اکانت‌های آنلاین ازجمله سایت وردپرس استفاده کنید. بهتر است این پسورد، ترکیبی از حروف، اعداد و کاراکترهای خاص باشد تا هکرها نتوانند پسورد شما را حدس بزنند.

همچنین می‌توانید نرم‌افزار مدیریت پسورد در کامپیوتر یا تلفن همراه خود نصب کنید، این‌گونه دیگر نگران فراموش کردن پسوردهای اکانت های مختلف در سایت‌های گوناگون نخواهید شد و می‌توانید به‌راحتی هر رمز عبوری را برای سایت پنل خود در نظر بگیرید. استفاده از LastPass را فراموش نکنید.

استفاده از تایید دو مرحله‌ای برای ورود به صفحه وردپرس

یکی دیگر از مواردی ه شما می‌توانید از آن برای افزایش امنیت پنل ووردپرس خود از آن استفاده کنید این است که از دو گام تأیید برای ورود به صفحه وردپرس استفاده کنید. درواقع شما با این کار، باعث می‌شوید روند وارد شدن به پیشخوان شما بسیار سخت شود و هرکسی به‌راحتی به پنل شما دسترسی نداشته باشد.

این دو گام لایه‌های امنیتی دیگری به رمز عبور اضافه می‌کند، به جای این‌که از یک پسورد تنها استفاده کنید، باید پسورد کد تأیید گوگل هم برای ورود به پنل مدیریت وردپرس وارد کنید.

محدود کردن تعداد تلاش ورود به سیستم

به‌طور پیش‌فرض در وردپرس می‌توانید هر تعداد دفعاتی که دوست دارید رمز عبور را وارد کنید و این باعث می‌شود که بالاخره بتوانید با وارد کردن ترکیبات مختلف، پسورد را حدس بزنید.

همچنین این موضوع به هکرها اجازه می‌دهد توسط اسکریپت‌های خودکار کلمات عبور را بشکنند. برای حل این مشکل افزونه login lockdown را نصب و فعال کنید، پس از فعال‌سازی صفحه تنظیمات login lockdown، پیکربندی تنظیمات مشاهده خواهید کرد. درواقع این افزونه به شما کمک می‌کند که تعداد تلاش برای ورود به وردپرس خود را محدود کنید.

محدودیت دسترسی ورود به سیستم با IP آدرس

یکی از راه‌های دیگر امنیت ورود به سیستم وردپرس، محدودیت دسترسی با IP آدرس خاص می‌باشد. این موضوع حائز اهمیت که فقط شما و تعداد کمی از کاربران مورد اعتمادتان دسترسی به پنل مدیریت وردپرس داشته باشند.

کد زیر به فایل htaccess اضافه کنید:

فراموش نکنید مقدار “XX” را با IP آدرس سایت خود جایگزین کنید، اگر بیش از یک IP آدرس برای دسترسی به اینترنت استفاده می‌کنید مطمئن شوید تمام آنها را به خوبی اضافه کرده‌اید.

غیرفعال کردن راهنمای ورود به سیستم

وقتی که وارد پنل مدیریت نمیشوید وردپرس علت خطا را نمایش میدهد، به شما میگوید پسورد یا نام کاربری را اشتباه وارد کرده اید و این مورد برای هکرها کمک قابل توجهی می باشد.به راحتی میتوانید با اضافه کردن کد زیر به فایل Function.php یا افزونه Site-Specific راهنمای ورود به سیستم را مخفی کنید.

مجبور کردن کاربر به استفاده از رمز قوی

اگر چند نویسنده سایت شما را اجرا می‌کنند سپس می‌توانند پروفایل خود را ویرایش کنند و رمز عبور ضعیف به‌کار ببرند، این پسوردها می‌توانند کرک شوند و اشخاص دیگری وارد پنل مدیریت شما شوند.

برای جلوگیری از این مشکل افزونه Force Strong Passwords نصب و فعال کنید. این افزونه تنظیمات ندارد، پس از فعال‌سازی کاربرانی که رمز عبور ضعیف استفاده کردند را متوقف می‌کند و پسوردهای قوی را بررسی نمی‌کند.

ریست کردن رمز عبور برای همه کاربران

شما این امکان را دارید که با ریست کردن رمز عبور برای همه کاربران، امنیت سایت خود را افزایش دهید برای این کار نیز می‌توانید از پلاگین کمک بگیرید.

افزونه Emergency Password Reset نصب و فعال کنید، پس از فعال‌سازی منو کاربران را انتخاب و Emergency Password Reset را کلیک کنید و بر روی دکمه Reset aAll Passwords کلیک کنید.

بروزرسانی همیشگی وردپرس

وردپرس اغلب نسخه جدید نرم‌افزار را منتشر می‌کند، هر نسخه جدید وردپرس شامل رفع اشکال‌زدایی مهم، ویژگی‌های جدید و رفع امنیتی می‌باشد.

استفاده کردن از نسخه قدیمی وردپرس اجازه می‌دهد بدافزارها وارد سایت شما شود، برای حل این مشکل حتماً از آخرین نسخه وردپرس استفاده کنید. همچنین افزونه‌های وردپرس شما آخرین نسخه باشند.

ساختن ورود به سیستم سفارشی و صفحات ثبت‌نام

در بسیاری از سایت‌های وردپرس نیاز است کاربران ثبت‌نام کنند. به‌عنوان‌مثال، عضویت در سایت، یادگیری سایت‌های مدیریت، و یا فروشگاه‌های آنلاین که کاربران یک حساب کاربری ایجاد می‌کنند.

به‌هرحال این کاربران می‌توانند از اکانت خود برای ورود به پنل مدیریت وردپرس استفاده کنند، درواقع تنها قادر خواهند بود دسترسی به مواردی داشته باشند که توسط سطوح کاربری برای آنها تعیین‌شده است و دسترسی به صفحات ثبت‌نام و ورود کاربری محدود می‌کند.ازاین‌رو به صفحاتی برای کاربران احتیاج دارید که بتوانند ثبت‌نام کنند یا پروفایل خود را مدیریت کرده و وارد محیط کاربری شوند.

سطوح دسترسی کاربران و مجوز آن‌ها در وردپرس

وردپرس با یک سیستم مدیریت کاربر قدرتمند با قابلیت‌ها و سطوح کاربری مختلف عرضه می‌شود. وقتی یک کاربر جدید به سایت وردپرس خود اضافه می‌کنید می‌توانید برای آن سطوح کاربری انتخاب کنید، این سطح کاربری تعیین می‌کند چه‌کارهایی می‌توانند در سایت شما انجام دهند.

تخصیص سطوح کاربری نادرست می‌تواند به افراد دسترسی‌هایی که به آنها نیاز ندارند بدهد که این موضوع نیز می‌تواند امنیت سایت شما را به خطر بیندازد.

محدودیت دسترسی پیشخوان

بعضی از سایت‌های وردپرسی هستند که باید به کاربران خاص خودشان امکان دسترسی به پیشخوان را بدهند و این در صورتی است که دیگر کاربرها نباید به پنل پیشخوان دست پیدا کنند.

بااین‌حال به‌طور پیش‌فرض همه کاربران می‌توانند به پنل مدیریت وردپرس دسترسی داشته باشند که شما باید از آن جلوگیری کنید. برای این کار می‌توانید از یک پلاگین استفاده کنید. با نصب و فعال‌سازی افزونه Remove Dashboard Access می‌توانید مشخص کنید چه کاربری به پنل مدیریت سایت شما دسترسی داشته باشد.

خروج کاربران بیکار به‌صورت خودکار

کاربران به‌طور اتوماتیک از سیستم خارج نمی‌شوند و خروج آن‌ها تنها می‌تواند به دلیل بستن پنجره مرورگر و یا خارج شدن از سیستم باشد. این موضوع می‌تواند برای سایت‌های وردپرس با اطلاعات حساس نگران‌کننده باشد. به همین دلیل مؤسسات مالی وب‌سایت و برنامه‌ها به‌صورت خودکار از سیستم خروج کاربران استفاده می‌کند اگر کاربری فعال نباشد.

برای حل این مشکل افزونه Idle User Logout را نصب و فعال کنید، پس از فعال‌سازی به صفحه تنظیمات افزونه بروید و زمان بیکاری و خروج از سیستم را برای افرادی که فعالیت ندارند معین نمایید.

امیدواریم این مقاله برای شما مفید واقع شده باشد. موفق و پیروز باشید. 🙂

نکته خاصی هست که این مقاله رو تکمیل‌تر کنه؟

  1. U347813 ۲۰ مرداد ۱۴۰۳

    سلام
    ببخشید من افزونه Emergency Password Reset
    نصب و فعال کردم همونجور که توضیح دادید ولی بعد اون کار نمیتونم وارد پیشخوانم بشم میگه رمز عبور یا نام کاربری اشتباهه .
    لطفاا کمکم کنید .

  2. کاربر مهمان ۲۲ شهریور ۱۳۹۶
  3. کاربر مهمان ۲۳ تیر ۱۳۹۶

    سلام خوب بود من رو این سایتم اعمال کردم

  4. کاربر مهمان ۱۳ تیر ۱۳۹۶

    سلام بسیار عالی بود من دوست داشتم

  5. U7097 ۱۲ تیر ۱۳۹۶

    سلام مجدد
    برای امنیت پوشه wp-admin وقتی روی directory privacy کلیک می کنیم، در لیست پوشه ها، wp-admin نمیاد بلکه پوشه های اصلی میان
    آیا مستقیم میشه رفت و از داخل روت اصلی روی پوشه wp-adminرمز گذاشت؟

    ممنونم

    • U7658 ۱۲ تیر ۱۳۹۶

      درود.

      بله، این کار شدنیست ولی پیشنهاد نمی شود، چرا که در برخی هاست ها مشکلاتی را به وجود می آورد، ولی اگر از خودمون هاست تهیه کرده باشید، مشکلی به وجود نخواهد آمد.

  6. U7097 ۱۲ تیر ۱۳۹۶

    سلام ممنونم از بابت این مقاله
    افزونه امنیت فراگیر وردپرس استفاده می کنم
    نظرتون درباره افزونه امنیت فراگیر وردپرس چی هست؟

    ممنونم