X

وردپرس و وبسایت خود را ایمن کنید | 14 ترفند ویژه برای امنیت بالا

آیا شما شاهد حملات زیادی در ناحیه مدیر Word Pressهستید؟ محافظت از ناحیه مدیریت از دسترسی غیر مجاز به شما اجازه می دهد تا بسیاری از تهدیدات امنیتی مشترک را مسدود کنید. در این مقاله، ما برخی از راهنمایی ها و ترفند‌های حیاتی برای محافظت از منطقه مدیریت وردپرس خود را به شما نشان می دهیم.

از فایروال استفاده کنید Website Application Firewall

فایروال نظارت بر ترافیک وب سایت و جلوگیری از درخواست های مشکوک از رسیدن به وب سایت شما را انجام می دهید.در حالی که چند پلاگین فایروال وردپرس وجود دارد، توصیه می کنیم از Sucuri استفاده کنید. این سرویس امنیتی و نظارت وب سایت است که WAF مبتنی بر ابر را برای محافظت از وب سایت شما ارائه می دهد.

در حالی که فایروال های زیادی در این زمینه فعالیت میکنند مانند ( Sucuri,Cloudflare,SiteLock,.Wordfence Security,BulletProof Security) وجود دارند اما بهترین های آن ها Wordfence و Sucuri را به شما پیشنهاد می کنیم.
این باعث می شود وب سایت شما از هک شدن ، فیشینگ، نرم افزارهای مخرب و سایر فعالیت های مخرب جلوگیری شود.

محافظت از پسورد ادمین در دایرکتوری

منطقه اداری وردپرس شما اکنون با رمز عبور وردپرس شما محافظت می شود. با این حال، اضافه کردن حفاظت از رمز عبور به پوشه مدیریت وردپرس شما یک لایه امنیتی دیگر را به وب سایت شما اضافه می کند.
ابتدا به وردپرس میزبان cPanel خود وارد شوید و سپس روی «Password Protect Directories» یا «Directory Privacy» کلیک کنید.

بعد، شما باید پوشه wp-admin خود را که معمولا در داخل / public_html / directory قرار دارد را انتخاب کنید.

در صفحه بعدی، شما باید کادر کنار ‘Password protect this directory’ را علامت بزنید و یک نام برای پوشه محافظت شده تهیه کنید.
پس از آن، برای تنظیم مجوز، روی دکمه ذخیره کلیک کنید.


بعد، شما باید دکمه بازگشت را فشار دهید و سپس یک کاربر ایجاد کنید. از شما خواسته خواهد شد که نام کاربری / رمز عبور را وارد کنید و سپس روی دکمه ذخیره کلیک کنید.
در حال حاضر زمانی که کسی سعی در بازدید از وردپرس admin یا wp-admin در وب سایت خود می کند، از آنها خواسته خواهد شد که نام کاربری و رمز عبور را وارد کنید.

همیشه از رمز ورود های بسیار قدرتمند استفاده کنید

همیشه از کلمات عبور قوی برای تمام حساب های آنلاین خود از جمله سایت وردپرسی خود استفاده کنید. توصیه می کنیم با استفاده از ترکیبی از حروف، اعداد و کاراکترهای ویژه در کلمه عبور خود استفاده کنید. این باعث می شود که هکرها به رمز ورود خود حدس بزنند.
ما اغلب از مبتدیان خواسته می شود که چگونه تمام کلمات عبور را به یاد داشته باشیم. ساده ترین پاسخ این است که شما نیازی به آن ندارید. برخی از برنامه های مدیریت رمز عبور واقعا عالی هستند که می توانید بر روی کامپیوتر و تلفن خود نصب کنید.

از دو مرحله تأیید به صفحه ورود وردپرس استفاده کنید ( Two Step verification)

تأیید دو مرحلهای یک لایه امنیتی دیگر را به گذرواژههای شما اضافه میکند. به جای استفاده از رمز عبور به تنهایی، از شما می خواهد که یک کد تأیید ایجاد شده توسط برنامه Authenticator Google را در تلفن خود وارد کنید.
حتی اگر کسی بتواند رمز عبور وردپرس خود را حدس بزند، هنوز به کد کپی شناسایی Google نیاز دارند تا وارد شوند.
در مقاله بعدی به آموزش این ترفند خواهیم پرداخت.

محدود کردن تلاش های ورود

به طور پیش فرض، وردپرس به کاربران امکان می دهد چندین بار به عنوان رمز عبور وارد شوند. این به این معنی است که کسی می تواند تلاش کند رمز ورود وردپرس خود را با وارد کردن ترکیب های مختلف حفظ کند. همچنین اجازه می دهد هکرها برای استفاده از اسکریپت های خودکار برای رمزگشایی رمز عبور.

برای تعمیر این، شما باید پلاگین Login LockDown را نصب و فعال کنید. پس از فعال سازی، به بازدید از تنظیمات »ورود به صفحه LockDown برای پیکربندی تنظیمات پلاگین.

محدودیت را برای آی پی هم اعمال کنید

یکی دیگر از راه های عالی برای ایمن کردن ورود وردپرس، محدود کردن دسترسی به آدرس های IP خاص است. این ترفند خیلی مفید است اگر شما یا فقط چند کاربر مورد اعتماد به دسترسی به منطقه مدیریت دسترسی داشته باشند.
به سادگی این کد را به فایل .htaccess اضافه کنید.


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

فراموش نکنید که ارزش xx را با آدرس IP خودتان جایگزین کنید. اگر از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، مطمئن شوید که آنها را نیز اضافه می کنید.

غیر فعال کردن Login hints

در تلاش برای ورود به سیستم ناموفق، وردپرس خطاهای نشان می دهد که به کاربران می گوید که آیا نام کاربری آنها نادرست است و یا رمز عبور. این نکات ورود به سیستم می تواند توسط شخص برای تلاش های مخرب مورد استفاده قرار گیرد.

شما می توانید این نکات ورود را پنهان کنید با اضافه کردن این کد به فایل functions.php یا یک پلاگین خاص برای سایت خود.


function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

اگر شما یک سایت چندرسانه ای وردپرس را اجرا می کنید، آن دسته از کاربران می توانند پروفایل خود را ویرایش کنند و از رمز عبور ضعیف استفاده کنند. این کلمات عبور را می توان ترک کرد و دسترسی به وردپرس را به مدیر بخش داد.
برای رفع این، شما می توانید پلاگین Force Strog Passwords را نصب و فعال کنید. این کار از جعبه انجام می شود و تنظیماتی برای پیکربندی شما وجود ندارد. پس از فعال شدن، کاربران از ذخیره کلمات عبور ضعیف متوقف خواهند شد.
این قدرت رمز عبور را برای حساب های کاربری موجود بررسی نخواهد کرد. اگر یک کاربر قبلا از یک گذرواژه ضعیف استفاده کرده باشد، پس آنها میتوانند از رمز عبور خود استفاده کنند.

هر چند وقت یکبار رمز عبور کاربران خود را ریست کنید.

نگران امنیت رمز عبور خود در سایت چند کاربره وردپرس هستید؟ شما به راحتی می توانید تمام کاربران خود را برای بازنشانی گذرواژه خود بپرسید.

اول، شما نیاز به نصب و فعال کردن پلاگین Emergency Password Reset. پس از فعال شدن، به بازدید از کاربران بروید »رمز عبور اضطراری صفحه را بازنشانی کنید و روی دکمه« بازنشانی تمام گذرواژهها »کلیک کنید.

وردپرس را مرتب اپدیت کنید

وردپرس اغلب نسخه های جدیدی از نرم افزار را منتشر می کند. هر نسخه جدید وردپرس حاوی رفع اشکال مهم، ویژگی های جدید و رفع امنیت است.
با استفاده از یک نسخه قدیمی وردپرس در سایت خود، شما را به سوء استفاده شناخته شده و آسیب پذیری بالقوه باز می کند. برای حل این مشکل، باید مطمئن شوید که شما از آخرین نسخه وردپرس استفاده می کنید. برای کسب اطلاعات بیشتر در مورد این موضوع، راهنمای ما در مورد اینکه چرا شما همیشه باید از آخرین نسخه وردپرس استفاده کنید را ببینید.

به طور مشابه، افزونه های وردپرس نیز اغلب به روز رسانی می شوند تا ویژگی های جدیدی را معرفی کنند یا امنیت و مسائل دیگر را حل کنند. اطمینان حاصل کنید که پلاگین های وردپرس نیز به روز می شوند.

ایجاد صفحات سفارشی ورود و ثبت نام

بسیاری از سایت های وردپرس نیاز به ثبت نام دارند. به عنوان مثال، سایت های عضویت، سایت های مدیریت یادگیری یا فروشگاه های آنلاین به کاربران برای ایجاد یک حساب کاربری نیاز دارند.
با این حال، این کاربران می توانند از حساب های خود برای ورود به منطقه مدیریت وردپرس استفاده کنند. این یک مسئله بزرگ نیست، زیرا تنها قادر به انجام کارهایی است که توسط نقش و توانایی کاربر آنها امکان پذیر است. با این حال، شما به طور صحیح دسترسی به صفحات ثبت نام و ورود به سیستم را محدود می کنید، زیرا به صفحاتی نیاز دارید که کاربران برای ثبت نام، مدیریت نمایه خود و ورود به سیستم به آنها نیاز دارند.
راه آسان برای حل این است که با ایجاد صفحه ورود و ثبت نام سفارشی، به طوری که کاربران می توانند ثبت نام و ورود مستقیم از وب سایت شما.

درباره وظیفه و نقش کاربر وردپرس یاد بگیرید

وردپرس همراه با یک سیستم مدیریت قدرتمند کاربر با نقش های مختلف و قابلیت های کاربر می باشد. هنگام اضافه کردن یک کاربر جدید به سایت وردپرس شما می توانید نقش کاربر را برای آنها انتخاب کنید. این نقش کاربر، آنچه را که می تواند در سایت WordPress شما انجام دهد، تعریف می کند.
اختصاص دادن نقش کاربر نادرست می تواند توانایی های بیشتری را در اختیار افراد قرار دهد. برای جلوگیری از این، شما باید بدانید که چه قابلیت هایی با نقش های مختلف کاربر در وردپرس وجود دارد. برای کسب اطلاعات بیشتر در مورد این موضوع، راهنمای مبتدی خود را در مورد نقشها و مجوزهای وردپرس ببینید.

محدود کردن دسترسی داشبورد

برخی از سایت های وردپرس دارای کاربران خاصی هستند که نیاز به دسترسی به داشبورد دارند و بعضی از کاربرانی که این کار را انجام نمی دهند. با این حال، به طور پیش فرض آنها همه می توانند به منطقه مدیریت دسترسی داشته باشند.

برای رفع این، شما نیاز به نصب و فعال کردن افزونه Remove Dashboard Access دارید. پس از فعال شدن، به تنظیمات »صفحه دسترسی داشبورد بروید و انتخاب کنید که چه کسی نقش ها را به قسمت مدیریت در سایت شما دسترسی داشته باشد.

کاربران غیر فعال را خارج کنید

وردپرس به صورت خودکار از کاربران خارج نمی شود تا آنها به صراحت از پنجره مرورگر خود خارج شوند یا بسته شوند. این می تواند نگرانی برای سایت های وردپرس با اطلاعات حساس باشد. به همین دلیل وب سایت ها و برنامه های موسسه مالی به طور خودکار از کاربران خارج می شوند اگر آنها فعال نشده باشند.
برای رفع این، شما می توانید پلاگین خاموش کاربر خروج را نصب و فعال کنید. پس از فعال سازی، به تنظیمات بروید »صفحه ورود به سیستم غیرفعال و زمان ورود را بعد از آن که می خواهید به طور خودکار از سیستم خارج شود، وارد کنید.

امیدواریم این آموزش ها برای شما عزیزان مفید بوده باشد.

Categories: آموزش ها
IRANVPS Writer: دانشجوی کارشناسی صنایع غذایی که علاقه مند به حوزه فناوری اطلاعات.