9 گام برای تقویت امنیت صفحه ورود به سیستم وردپرس

یکی از حملات مکرر که سایت وردپرس شما با آن مواجه است، حمله brute force است. نرم افزار خودکار با حدس زدن اعتبار ورود به سایت شما سعی می کند به سایت شما دسترسی پیدا کند. در صورتی که اجازه ورود برای آن ها صادر شود این برنامه چندین بار تلاش می کند به سایت وارد شود و به اطلاعات مدیریت سایت دسترسی پیدا می کند. اگر این اتفاق بیفتد، دچار مشکل می شوید،زیرا دسترسی به مدیریت به هکر اجازه می دهد هر کاری را که می خواهد در سایت شما انجام دهد. این یک مشکل کوچک نیست، زیرا هر روز میلیون ها حمله brute force به سایت های وردپرس انجام می شود. تقویت امنیت وردپرس از موارد مهمی است که باید در نظر گرفته شود.

در اینجا 9 مرحله برای سخت کردن صفحه ورود به سایت و محافظت از سایت وردپرس شما وجود دارد.

نام کاربری مناسب انتخاب کنید

از نام کاربری admin استفاده نکنید! این اولین نام کاربری است که در حملات استفاده می کند. این رایج ترین نام کاربری سرور در سایت وردپرس است و هنوز هم پیش فرض بسیاری از اسکریپت های نصب است. دانستن اینکه کدام نام کاربری حق دسترسی کاملی به سایت شما دارد، یک مزیت بزرگ برای این نوع حملات است، بنابراین این مورد را آسان انتخاب نکنید. سعی کنید فقط یک کاربر مدیر جدید با نام کاربری دیگر ایجاد کنید زیرا پیش بینی و حذف کاربر مدیر از سایت دشوار خواهد بود.

پست ها را از حساب مدیریت منتشر نکنید

برای تقویت امنیت وردپرس هیچ محتوایی را از حساب مدیریت ارسال نکنید. هر پست ارسال شده ممکن است حاوی اطلاعاتی درباره نویسنده باشد و وردپرس اطلاعات نویسنده را نمایش می دهد. این کار ممکن است نام کاربری مدیریت را در دسترس عموم قرار دهد. برای انتشار پست در سایت از یک حساب کاربری دیگر با امتیازات کمتر مانند نویسنده استفاده کنید.

از رمزهای عبور قوی استفاده کنید

گذرواژه‌های کوتاه یا ضعیف امنیت وردپرس شما را به خطر می اندازد. اگر اقدامات دیگری برای متوقف کردن حملات brute force وجود ندارد، می توانید وب سایت خود را فقط با استفاده از یک رمز عبور ایمن محافظت کنید. رمز عبور ضعیف کلمه ای کوتاه یا دارای کلمات قابل پیش بینی، سری شماره ها و غیره است. یک رمز عبور قوی دارای ترکیبی از حروف کوچک، حروف بزرگ، نمادها و اعداد است. نسخه های اخیر وردپرس به شما می گوید که رمز عبور شما ایمن است یا خیر. از استفاده نام، نام کاربری یا هر نامی در رابطه با وب سایت خود در رمز عبور خودداری کنید.

لینک صفحه فرم ورود را تغییر دهید

لینک پیش فرض فرم ورود به سایت در وب سایت های وردپرس با wplogin به پایان می رسد. در نتیجه مهاجمان به آسانی به فرم دسترسی پیدا می کنند و تنها باید تلاش کنند نام کاربری و رمز عبور را تشخیص دهند. با تغییر لینک پیش فرض، دسترسی ساده به صفحه ورود را برای مهاجمان و ربا ت ها سخت خواهید کرد و دسترسی به صفحه ورود به سیستم سخت خواهد بود. چندین افزونه در دسترس است که به شما امکان می دهد بدون هیچ برنامه نویسی اضافی این تغییر را انجام دهید.

استفاده از اتصال SSL ایمن

حمله man in the middle، که در آن فرد سوم یا هکر بین سایت و کاربر قرار دارد و اطلاعاتی که در این میان انتقال می یابد را شنود می کند. در این صورت امکان استراق سمع و بدست آوردن نام کاربری و رمز عبور وجود دارد. به طور پیش فرض، اتصالات کاربران به سرور رمزگذاری نمی شود و می توان با استفاده از این نوع حمله مورد سوء استفاده قرار گرفت.

با استفاده از اتصال ایمن با SSL (پروتکل Secure Socket Layer) کلیه داده های منتقل شده بین مرورگر کاربر و وب سایت وردپرس شما رمزگذاری می شود. ردیابی چنین اتصالات ایمنی و خواندن اطلاعات ورود به سیستم ارسال شده از کاربر به سرور تقریبا غیرممکن است.

به طور معمول گواهینامه های SSL هزینه بالایی دارند، اما می توانید سرویس رمزگذاری Let را ارائه دهید که گواهی های SSL را به صورت رایگان ارائه می دهد. این موارد به تقویت امنیت وردپرس کمک می کند.

تعداد دفعات تلاش برای ورود به سیستم را محدود کنید

یک تکنیک خوب برای محافظت از صفحه ورود به وب سایت وردپرس در برابر حملات brute force محدود کردن تعداد تلاش برای ورود به سیستم است. چندین افزونه رایگان وردپرس وجود دارد که این کار را به سرعت و کارآمد انجام می دهند. وظیفه اصلی این افزونه ها شناسایی و شمارش تلاش های ناموفق برای ورود به سیستم از آدرس های IP شخصی است. سپس آن ها ورود به سیستم را از آن آدرس IP ممنوع کرده یا آن ها را برای مدت زمانی طولانی در حدود چند ساعت به حالت تعلیق در می آورند. این یک عامل بازدارنده سریع و آسان برای مقابله با این حملات brute force است.

احراز هویت دو عاملی را فعال کنید

احراز هویت دو عاملی (همچنین به عنوان 2FA نیز شناخته می شود) باعث می شود حتی اگر نام کاربری و رمزعبور شما برای آنها شناخته شده باشد، وب سایت وردپرس شما در برابر مهاجمان محافظت شود. این تکنیک باعث می شود تا سومین نوع اطلاعات فقط در دسترس کاربر قانونی باشد. امروزه این معمولاً کدی است که به تلفن همراه ارسال شده یا توسط یک برنامه ثالث در تلفن یا رایانه تولید شده است.

این نوع محافظت از صفحه ورود به سیستم بسیار توصیه می شود. چندین افزونه در آنجا وجود دارد که شما را قادر می سازد این قابلیت را به سایت خود اضافه کنید.

دسترسی به صفحه ورود به سیستم را توسط IP محدود کنید

محدود کردن دسترسی به صفحه ورود به وسیله IP یکی از بهترین روش ها برای محافظت از صفحه ورود به سیستم است. می توانید یک پرونده htaccess. را با کد خاصی به فهرست wp-admin وردپرس اضافه کنید و دسترسی به این فهرست را به یک یا چند آدرس IP انتخاب شده محدود کنید. این روش بسیار مفید است، اما برای وب سایت هایی که کاربران باید برای دسترسی به ویژگی های خاص، ثبت نام کنند یا وارد شوند، مناسب نیست. همچنین اگر به جای یک آدرس IP استاتیک، IP پویا داشته باشید این روش عملی نیست.

محافظت از رمزعبور Apache را اضافه کنید

مطمئن ترین و دقیق ترین روش برای محافظت از صفحه ورود، اضافه کردن رمز عبور در کل فهرست wp-admin است. فقط در صورت دسترسی به سرور Apache (با استفاده از cPanel یا موارد مشابه) می توانید از این رویکرد استفاده کنید. در این روش، هرکسی می تواند از هر آدرس IP به دایرکتوری دسترسی پیدا کند، اما برای دسترسی به صفحه ورود به سیستم، باید یک رمزعبور دیگر را وارد کرد.

همه آن ها را برای امنیت سایت وردپرس خود در کنار هم قرار دهید

شما باید استراتژی برای محافظت از صفحه ورود انتخاب کنید که متناسب با نیازهای شما باشد. بدین صورت شما تقویت امنیت وردپرس را به خوبی انجام داده اید.