14 نکته مهم برای محافظت از بخش مدیریت وردپرس

آیا شما هم به دنبال روشی جهت محافظت از بخش مدیریت وردپرس (Wordpress admin area) هستید؟

همانطور که شاهد بودید، بیشتر حملات هکری به بخش مدیریت وردپرس انجام می شوند و حفاظت از این منطقه برای حفاظت از سایت در برابر تهدیدات مختلف هکری، بیسیار مهم می باشد.

در ادامه این مطلب از روکسو، قرار است به شما، نکته هایی را معرفی کنیم که با استفاده از آن ها بتوانید از منطقه مدیریت وردپرس خود نیز بهتر محافظت کنید.

1. استفاده از یک فایروال وب سایت

استفاده از یک فایروال اپلیکیشن وب سایت یا به اختصار WAF می تواند نظارت دقیقی بر روی ترافیک وب سایتتان دارد و از سایتتان در برابر درخواست های مشکوک، محافظت می کند.

در حالی که تا کنون بسیاری از افزونه های امنیتی با ویژگی های فایروال منتشر شده اند، یکی از بهترین آن ها، افزونه Sucuri است که بر طبق سیستم WAF طراحی شده و نظارت دقیقی بر روی سایت و درخواست های آن دارد.

فایروال Sucuri

تمام ترافیک وب سایتتان در ابتدا وارد سرور های ابری Sucuri می شوند و توسط یک اسکنر، تمامی درخواست ها اسکن می شوند و درخواست های مشکوک به طور کامل مسدود و نمی گذارد به سرور های اصلی سایت برسند. این باعث می شود که سایتتان در برابر تلاش هکران، نرم افزار های مخرب و سایر فعالیت ها در امان بماند.

2. استفاده از پسورد اضافه برای بخش مدیریت وردپرس

منطقه مدیریت وردپرس شما، هم اکنون با یک پسورد انتخاب شده در حال محافظت است و هرکسی که بخواهد به منطقه دسترسی پیدا کند، باید در ابتدا یک پسورد وارد کند.

حال اگر بیایم و یک پسورد اضافه دیگر هم به دایرکتوری Wordpress admin area اضافه کنیم، سطح امنیتی سایت نیز افزایش میابد.

برای انجام این فرایند، وارد کنترل پنل هاست سایت خود شوید، سپس بر روی آیکون "Directory Privacy" نیز کلیک کنید.

بخش Directory Privacy

سپس باید فولدر wp-admin که معمولا در روت سایت یعنی در public_html قرار دارد را انتخاب کنید.

در صفحه بعد نیز باید تیک گزینه Password protect this directory را همانند تصویر زیر فعال کنید و یک نام برای فولدر آن نیز وارد کنید.

پس از آن، بر روی گزینه Save کلیک کنید.

بخش usersettings

پس از آن، باید دکمه بازگشت را انتخاب کنید و مانند تصویر بالا، یک یوزر نیم و پسورد برای آن نیز انتخاب کنید و در نهایت بر روی گزینه Save کلیک کنید.

از این به بعد، اگر کسی سعی داشته باشد که به دایرکتوری wp-admin دسترسی پیدا کند، با صفحه ای مانند تصویر زیر رو به رو می شود که باید یوزر نیم و پسورد دیگری را وارد کند.

اعمال پسورد به صفحه مدیریت وردپرس

3. استفاده از پسورد قدرتمند

ایجاد پسورد قدرتمند برای وردپرس

همیشه از پسوردهای بسیار قوی برای حساب های کاربری خود در اینترنت بخصوص وردپرس استفاده کنید. پیشنهاد می کنیم که در پسورد های خود، ترکیبی از حروف، اعداد و کارکتر های ویژه مانند "#@%$" را نیز استفاده کنید. این کار باعث می شود که حدس زدن رمز عبور برای هکر ها بسیار دشوار تر شود.

بسیاری از کاربران سوال کرده اند که حفظ کردن و بخاطر سپردن این نوع پسورد ها بسیار دشوار است و بعضی اوقات غیرممکن! خب جواب این سوال بسیار سادست، شما در واقع هیچ نیازی ندارید که تمامی این پسورد ها را بخاطر بسپرید. بسیاری از نرم افزار های مدیریت پسورد مختلف برای سیستم عامل های متفاوت وجود دارند که می توانید به صورت رایگان از آن ها برای مدیریت و ذخیره پسورد های خود نیز استفاده کنید.

4. استفاده از دو مرحله تایید در صفحه ورود به وردپرس

تایید دو مرحله ای وردپرس

تایید دو مرحله ای وردپس باعث اضافه شدن یک لایه امنیتی دیگر به سایت وردپرسی می شود. به طوری که اگر کاربری بخواهد وارد بخش کنترل پنل وردپرس شود، علاوه بر پسورد، باید یک کد ساخته شده توسط نرم افزار Google Authenticator در موبایل خود را وارد کند.

این کد برای ایمیل صاحب اکانت فرستاده می شود، در نتیجه اگر اکانت ایمیل صاحب سایت در موبایلش وجود داشته باشد، به راحتی می تواند کد Google Authenticator را وارد کند.

پس اگر حتی کسی پسورد سایت را هم به درستی حدس بزند، نیاز دارد که یک کد Google Authenticator را جهت ورود به سایت نیز وارد کند.

5. محدودیت تلاش برای ورود

محدودیت تلاش برای ورود به مدیریت وردپرس

به طور پیش فرض، وردپرس به کاربران این اجازه را می دهد تا هرچقدر که می خواهند، برای ورود تلاش کنند. این کار باعث می شود که هکر ها بتوانند خیلی راحت با استفاده از یکسری اسکریپت های خودکار، پسورد سایت را نیز کرک کنند.

اما قرار دادن یک محدودیت برای دفعات تلاش برای ورود، می تواند امنیت سایت را چند برابر کند! برای اینکه بتوانید این محدودیت را در سایت وردپرسی خود فعال کنید، ما پیشنهاد می کنیم تا از افزونه Login LockDown plugin نیز برای انجام این کار استفاده کنید.

6. محدود کردن دسترسی به صفحه ورود

ایجاد محدودیت و قرار دادن یک دیوار بزرگ برای کسانی که مورد اعتماد شما جهت دسترسی به صفحه ورود نیستند، می تواند کمک بسیار زیادی به امنیت سایت بکند.

پس اگر می خواهید تنها خودتان به پنل مدیریت وردپرس دسترسی داشته باشید یا چند کاربر دیگر هم برای دسترسی به این پنل، اضافه کنید، خیلی راحت می توانید کد زیر را در فایل htaccess. سایت خود نیز قرار دهید:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

فراموش نکنید که آدرس آی پی خود را بجای مقادیر "xx" وارد کنید.

6. غیرفعال سازی تذکرات هنگام ورود

تذکرات ورود

به عنوان یک ویژگی بسیار بد درمورد وردپرس، نشان دادن ارور هایی است که در هنگام خطا در ورود به پنل مدیریت نیز نمایش داده می شوند. به طور مثال، اگر کاربری رمز عبور را تنها اشتباه وارد کرده باشد، وردپرس به او می گوید که تنها رمز عبور اشتباه است و بلعکس، اگر نام کاربری را تنها اشتباه وارد کرده باشد، به او می گوید که نام کاربری اشتباه است.

این ویژگی به هکر ها کمک می کند تا بتوانند مشکلات کار های خود را بهتر و راحت تر پیدا کنند و سایت را سریع تر هک کنند.

برای غیرفعال سازی این نوع اعلانات و تذکرات در هنگام ورود به صفحه وردپرس، کد زیر را در فایل functions.php سایت خود قرار دهید:

function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8. از کاربران بخواهید که از پسورد های قدرتمند استفاده کنند

اگر سایت وردپرسی شما سایتی است که کاربران دیگر هم در آن فعالیت دارند، پس صد در صد نیاز دارید تا از کاربران خود بخواهید که یک پسورد قوی برای اکانت های خود انتخاب کنند.

گاهی اوقات، اگر کاربری یک پسورد ضعیف برای اکانت وردپرس خود استفاده کرده باشد، ممکن است هکر ها از طریق کرک پسورد، به پنل مدیریت وردپرس نیز دسترسی پیدا کنند.

پس چه بهتر که سیستمی در سایت وردپرسی خود قرار دهید که از کاربران بخواهد از پسورد های قوی استفاده کنند. ما پیشنهاد می کنیم برای فعال کردن این قابلیت در سایت، از افزونه Force Strong Passwords نیز استفاده کنید. گرچه این افزونه هیچ پیکربندی برای تنظیمات خود ندارد و قدرت سنجش پسورد های ضعیف را نشان نمی دهد، اما می تواند در این زمینه، بسیار کاربردی عمل کند و امنیت سایت را بالا ببرد.

9. ریست کردن پسورد تمامی کاربران

اگر نگران امنیت سایت خود هستید و فکر می کنید که پسورد برخی از کاربرانتان هک شده است، می توانید خیلی ساده از همه آن ها درخواست کنید که پسورد اکانت خود را عوض کنند.

برای انجام این کار، خیلی راحت افزونه Emergency Password Reset را در وردپرس خود نصب و فعال کنید. سپس به بخش "Emergency Password Reset < کاربران" رفته و مانند تصویر زیر، بر روی دکمه Reset All Passwords کلیک کنید.

دکمه Reset All Passwords

10. آپدیت کردن وردپرس

وردپرس اغلب برای نرم افزار خود، آپدیت هایی را در زمان های خاصی منتشر می کند. در این آپدیت ها، بسیاری از مشکلات آن نظیر نقص های فنی، باگ ها و... نیز رفع شده اند.

پس اگر از یک نسخه قدیمی وردپرس درحال استفاده هستید، بدون شک سایتتان آسیب پذیر است و هر لحظه ممکن است توسط حملات هکری، مورد حمله قرار بگیرد. پس مطمئن شوید که از آخرین نسخه وردپرس نیز استفاده می کنید.

همین مسئله برای افزونه ها و قالب های وردپرس هم صدق می کند. در افزونه ها و قالب های فعال وردپرس، نقص هایی وجود دارند که توسعه دهندگان آن ها، با انتشار آپدیت هایی، نقص های آن ها را نیز رفع می کنند.

11. ایجاد صفحه ورود و ثبت نام سفارشی

بسیاری از سایت های وردپرس نیاز به یک صفحه برای ورود و ثبت نام کاربران دارند. به طور مثال، اگر سایت شما یک سایت خرید عضویت، فروشگاه آموزش های آنلاین و... است، صد در صد نیاز به یک صفحه برای ورود و ثبت نام کاربران خود دارید.

با توجه به اینکه خود وردپرس نیز این امکان را برای کاربر فراهم می سازد تا بتواند سطح دسترسی کاربران خود را نیز مشخص کند. ولی باز هم کارشناسان وردپرس پیشنهاد می کنند که به صورت کلی، یک صفحه سفارشی نیز برای ثبت نام و ورود کاربران نیز استفاده شود.

12. نقش و دسترسی های کاربر در وردپرس

همانطور که می دانید، وردپرس یک سیستم قدرتمند مدیریت است و به شما این امکان را می دهد تا بتوانید سطح های دسترسی کاربران خود را تعیین کنید.

به طور مثال، اگر می خواهید کاربری را به سایت خود اضافه کنید، با تعیین یک سطح دسترسی نادرست و بیش از حد، می توانید به کاربر این امکان را فراهم کنید که کار های بیشتری در سایت انجام دهد.

پس همیشه در افزودن کاربران به سایت خود، به سطح دسترسی آن ها نیز دقت کنید.

13. محدود کردن دسترسی به داشبورد وردپرس

اگر سایت شما از تعداد کاربران زیادی برخوردار است و تنها تعداد خاصی از آن ها نیاز دارند که به داشبورد دسترسی پیدا کنند، نیاز دارید که محدودیتی برای این دسترسی برای سایر کاربران نیز قرار دهید.

با استفاده از افزونه Remove Dashboard Access می توانید کاربرانی که می توانند به داشبورد وردپرس دسترسی پیدا کنند را انتخاب کنید.

14. خروج خودکار کاربران بدون فعالیت

خروج خودکار کاربران بیکار

سیستم وردپرس، به صورت خودکار کاربرانی که در سایت هیچ گونه فعالیتی ندارند و یا پنجره های مرورگر خود را بسته اند را خارج نمی کند. همین کار باعث می شود که امنیت سایت نیز به خطر بیفتد.

شما می توانید با استفاده از افزونه Idle User Logout یک زمان مشخصی را برای خروج خودکار کاربران بیکار سایت تنظیم کنید.

پس از نصب و فعال سازی افزونه Idle User Logout، خیلی راحت می توانید به بخش "Idle User Logout < تنظیمات" در وردپرس خود رفته و زمان مورد نظر خود را تعیین کنید (همانند تصویر بالا).