۱۵ نکته حیاتی برای محافظت از بخش پیشخوان وردپرس

محافظت از بخش مدیریت وردپرس

با اینکه راه‌اندازی یک سایت یا وبلاگ با وردپرس بسیار آسان است، ولی اکثر افراد به ویژگی‌های امنیتی وب‌سایت یا وبلاگ خود توجهی نمی‌کنند. به همین خاطر زود مورد حمله هکر‌ها قرار می‌گیرند. اگر وب‌سایت‌های فریلنسرها را مشاهده کنید، متوجه می‌شوید که افراد زیادی برای بازیابی سایت یا وبلاگ هک شده خود درخواست کمک می‌کنند تا سایت خود را دوباره به حالت قبل برگردانند.

با توجه به موارد ذکر شده، اگر به امنیت سایت خود بی‌توجه باشید بدون شک لطمه بزرگی به سایت خود وارد می‌کنید و زحمات خود را یک شبه به باد خواهی داد. برای جلوگیری از این مشکل، باید از بخش پیشخوان و صفحه ورود وردپرس محافظت کنید. در این مقاله قصد داریم برای محافظت از بخش پیشخوان وردپرس، ۱۵ نکته مهم را در اختیار شما عزیزان قرار دهیم تا بتوانید از امنیت بخش مدیریت وردپرس خود مطمئن شوید.

۱- استفاده از فایروال برنامه وب

فایروال برنامه وب یا WAF، علاوه بر نظارت دقیق بر ترافیک وب‌سایت، از ورود درخواست‌های مشکوک به سایت هم جلوگیری کرده و آن‌ها را مسدود می‌کند. برای این امر، افزونه‌های امنیتی زیادی با ویژگی فایروال در مخزن وردپرس وجود دارد که ما بهترین افزونه آن (sucuri) را پیشنهاد می‌کنیم. این افزونه یک سرویس امنیت و نظارت بر وب‌سایت است که بر اساس WAF طراحی شده و از سایت شما در برابر حملات محافظت می‌کند.

فایروال برنامه وب برای محافظت از بخش پیشخوان وردپرس

در ابتدا تمام ترافیک وب‌سایت شما وارد پراکسی ابری sucuri می‌شوند، سپس تمامی این ترافیک‌ها توسط یک اسکنر تجزیه و تحلیل شده و در صورت وجود درخواستی مشکوک، فورا آن را مسدود می‌کند. همین امر مانع ورود حمله هکرها، فیشینگ، بدافزارها و سایر فعالیت‌های مخرب به سایت می‌شود.

۲- محافظت از پوشه مدیریت وردپرس و گذاشتن یک پسورد قوی روی آن

هر چند که بخش مدیریتی وردپرس شما با یک رمز محافظت شده‌است، با این حال با اضافه کردن یک رمز عبور قوی دیگر به پوشه wp-admin سایت خود، می‌توانید لایه دیگری از امنیت را به بخش مدیریتی سایت خود اضافه کنید.

برای اضافه کردن امنیت به پوشه مدیریت وردپرس، ابتدا به هاست cpanel خود مراجعه کنید سپس روی گزینه ” Directory Privacy” کلیک کنید. بعد از آن باید پوشه “wp-admin” که در مسیر /public_html/ یا htdocs قرار دارد انتخاب کنید.

گذاشتن پسورد روی پوشه مدیریت برای محافظت از بخش پیشخوان وردپرس

حال باید تیک گزینه “Password protect this directory” را فعال کرده و یک نام برای پوشه محافظت شده “Enter a name for the protected directory” وارد کنید و در نهایت روی دکمه “Save” کلیک نمایید تا تنظیمات ایجاد شده ذخیره شود.

گذاشتن پسورد روی پوشه مدیریت برای محافظت از بخش پیشخوان وردپرس

بعد از انجام مراحل فوق، روی دکمه بازگشت کلیک کنید تا دوباره به پوشه ادمین خود بازگردید. حال در بخش username و password یک نام کاربری و رمز جدید انتخاب کنید و برای اعمال تغییرات روی دکمه “Save” کلیک کنید.

با انجام مراحل فوق، هر گاه کسی بخواهد وارد بخش مدیریت یا پوشه wp-admin سایت شما شود. باید نام کاربری و رمز عبوری که اکنون انتخاب کرده‌اید وارد کند.

گذاشتن پسورد روی پوشه مدیریت برای محافظت از بخش پیشخوان وردپرس

۳- استفاده از رمزهای عبور قوی برای همیشه

یکی دیگر از روش‌های محافظت از بخش پیشخوان وردپرس ، گذاشتن رمز‌های عبور قدرتمند برای صفحه ورود به سایت است. توصیه می‌کنیم برای ایجاد یک رمز قوی از ترکیب حروف، اعداد و کاراکترهای خاص مانند « !@#^*)(؟ » استفاده کنید. زیرا همین اقدام بسیار ساده می‌تواند مانع از حدس زدن پسورد، توسط هکرها شود و امنیت بخش مدیریت سایت شما را بالا ببرد.

استفاده از رمز عبور قوی برای محافظت از بخش پیشخوان وردپرس

اگر حفظ کردن پسوردهای سخت برایتان دشوار است، می‌توانید نرم‌افزارهای مدیریت پسورد را بر روی گوشی یا کامپیوتر خود نصب کنید، با نصب این نرم‌افزارها دیگر نگران فراموش شدن پسور‌دها در سایت‌های مختلف نخواهید شد.

۴- استفاده از تایید دو مرحله‌ای برای ورود به وردپرس

تایید دو مرحله‌ای، نه تنها باعث افزایش امنیت سایت می‌شود بلکه می‌تواند یک لایه امنیتی دیگر به گذرواژه‌ها اضافه کند. با فعال کردن این قابلیت، زمانی که وارد بخش صفحه ورود به وردپرس می‌شوید علاوه بر وارد کردن یک نام کاربری و رمز عبور، باید یک کد تاییدیه هم که توسط اپلیکیشن تولید شده را در کادر “Google Authenticator” وارد کنید تا بتوانید به صفحه پیشخوان دسترسی پیدا کنید. (این اپلکشین را می‌توانید از گوگل پلی دانلود، و بر روی موبایل خود نصب کنید)

استفاده از تایید دو مرحله ایی برای محافظت از بخش پیشخوان وردپرس

این قابلیت فوق‌العاده بی‌نظیر است زیرا اگر کسی هم بتواند رمز ورود شما را حدس بزند، برای ورود به پنل مدیریت نیاز به کد Google Authenticator دارد و چون این کد برای شما فرستاده می‌شود امکان ورود به سایت غیرممکن می‌شود.

۵- محدودیت تلاش برای ورود به بخش پیشخوان

به طور پیشفرض، وردپرس به کاربران اجازه می‌دهد تا هر تعداد باری که می‌خواهند رمز عبور خود را وارد کنند. همین امر به لحاظ ساده، باعث می‌شود که هکرها با وارد کردن ترکیبات اعداد و حروف مختلف، رمز عبور را حدس بزنند. برای حل این مشکل می‌توانید از افزونه login lockdown استفاده کنید. این افزونه تا کنون بیش از ۱۰۰.۰۰۰ هزار نصب فعال داشته و توانسته رضایت کاربران زیادی را به خود جلب کند. پس توصیه می‌کنیم برای حفظ امنیت بخش مدیریت سایت خود، این افزونه را نصب و فعال کنید. بعد از فعال‌سازی به بخش تنظیمات => login lockdown مراجعه کنید و تعداد تلاش‌ها برای ورود به سیستم را مشخص نمایید.

۶- محدود کردن دسترسی به بخش پیشخوان وردپرس با IP آدرس‌ها

یکی دیگر از راه های عالی برای ایمن کردن ورود به وردپرس، محدود کردن دسترسی با IP آدرس‌های خاص است. این ترفند زمانی مفید خواهد بود که فقط شما و تعداد کمی از کاربران مورد اعتماد خود به پنل مدیریت وردپرس دسترسی داشته باشند. برای این کار تنها کافی است کد زیر را به فایل htaccess. هسته وردپرس خود اضافه کنید.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

فقط توجه کنید به جای xx.xx.xx.xxx، باید IP آدرس‌ خود را وارد کنید. اگر می‌خواهید از کامپیوتر و اکانت دیگری به بخش مدیریت خود دسترسی داشته‌باشید، باید IP آن را نیز به فایل htaccess. اضافه کنید.

۷- غیر فعال کردن تذکرها هنگام ورود به وردپرس

یکی از نقاط ضعف وردپرس این است که در هنگام تلاش‌های ناموفق برای ورود به بخش پیشخوان وردپرس، خطاهایی را نشان می‌دهد. به عنوان مثال، اگر شما نام کاربری خود را اشتباهی وارد کرده‌باشید یک خطا به شما نشان می‌دهد که فقط نام کاربری اشتباه است. یا اگر رمز عبور خود را اشتباه وارد کنید به شما می‌گوید که فقط پسورد شما اشتباه است. همین امر می‌تواند به هکر‌ها در حدس و تشخیص نام کاربری و رمز عبور کمک بسیار زیادی بکند.

غیر فعال کردن تذکرها هنگام ورود به وردپرس برای محافظت از بخش پیشخوان وردپرس

برای پنهان کردن این تذکرها و امنیت بیشتر بخش مدیریت سایت خود، می‌توانید کد زیر را در فایل “function.php” قالب خود قرار دهید.

function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

۸- وادار کردن کاربران به استفاده از رمزهای قوی

اگر در سایت شما نویسندگان زیادی فعالیت می‌کنند، آن‌ها می‌توانند پروفایل خود را ویرایش کرده و از یک رمز عبور ضعیف استفاده کنند. این رمز‌ها می‌تواند به آسانی توسط هکرها قابل شناسایی باشد.

برای حل این مشکل می‌توانید افزونه Force Strong Passwords را بر روی سیستم خود نصب و فعال‌سازی کنید. کار با این افزونه بسیار راحت است، نیاز به هیچگونه تنظیماتی ندارد و از گذاشتن رمزهای ضعیف توسط کاربران جلوگیری می‌کند. این افزونه تنها مشکلی که دارد این است که، کابرانی که قبلا ثبت‌نام کرده‌اند را مجبور به عوض کردن رمز‌های قوی نمی‌کند و آن‌ها همچنان می‌توانند با رمزهای قبلی وارد سایت شوند. ولی به کاربرانی که می‌خواهند رمز خود را تغییر دهند، آن‌ها را مجبور به استفاده از رمزهای قوی می‌کند.

۹- ریست کردن پسورد برای تمامی کاربران

یکی دیگر از روش‌های محافظت از بخش پیشخوان وردپرس، ریست کردن رمز‌های عبور تمامی کاربران است. اگر نگران امنیت سایت خود هستید و فکر می‌کنید که رمز‌های عبور کاربران‌ شما ضعیف است یا هک شده‌اند. می‌توانید از کابران خود درخواست کنید تا رمز‌های عبور خود را تغییر دهند.

برای همین امر، شما باید افزونه Emergency Password Rese را نصب و فعال‌ کنید بعد از فعال‌سازی، به بخش کاربران => Emergency Password Reset مراجعه کنید و روی دکمه “Reset All Passwords” کلیک کنید تا رمز عبور تمامی کاربران ریست شود.

ریست کردن پسورد تمامی کاربران برای محافظت از بخش پیشخوان وردپرس

۱۰- به روزرسانی وردپرس به آخرین ورژن

وردپرس، در مدت زمان‌های معینی نسخه‌های جدیدی از نرم‌افزار خود را منتشر می‌کند. هر نسخه جدید مشکلات و باگ‌های امنیتی نسخه قبل را برطرف می‌کند. امکان دارد هکرها از طریق هر کدام از این باگ‌‌‌ها به داخل سایت نفوذ کنند و سایت را از کار بیاندازند. برای جلوگیری از این مشکلات، سعی کنید همیشه وردپرس خود را به‌روز نگه‌دارید یعنی با آمدن هر نسخه جدید فورا آن را آپدیت کنید.

همچنین تمام افزونه‌ها و قالب‌های وردپرسی را مرتب آپدیت کنید.

۱۱- ایجاد صفحه ورود و ثبت‌نام سفارشی

بسیاری از سایت‌های وردپرسی به یک صفحه برای ثبت‌نام نیاز دارند. به عنوان مثال، اگر سایت‌ شما یک سایت فروشگاهی آنلاین است یا یک سایت خرید عضویت، باید یک صفحه برای ثبت‌نام و ورود کاربران ایجاد کنید.

خوشبختانه، خود وردپرس این امکان را فراهم کرده‌است تا بتواند سطح دسترسی کاربران خود را مشخص کند. ولی بازهم پیشنهاد می‌کنیم که یک صفحه سفارشی برای ثبت‌نام و ورود کاربران خود استفاده کنید.

۱۲- محدود کردن نقش‌ها و دسترسی‌های کاربران در وردپرس

وردپرس از یک سیستم مدیریتی قدرتمند با نقش‌ها و قابلیت‌های مختلف استفاده می‌کند. هنگام افزودن یک کاربر جدید به سایت خود می‌توانید برای آن تعیین نقش انجام دهید، این نقش تعیین می‌کند که هر کدام از کاربرها چه کاری در سایت انجام می‌دهند.

محدود کردن نقش‌ها و دسترسی کابران برای محافظت از بخش پیشخوان وردپرس

تعیین نقش‌های نادرست به کاربران، می‌تواند توانایی بیشتری را نسبت به آنچه لازم است داشته باشد و در اختیار افراد قرار دهد. برای جلوگیری از این امر، سعی کنید نقش هر کاربر را به درستی انتخاب کنید.

۱۳- دسترسی محدود به بخش پیشخوان

بعضی از سایت‌های وردپرسی دارای کابران خاصی هستند. این کاربران نیاز به دسترسی به بخش پیشخوان را دارند و افرادی که از این امر آگاهی ندارند به تمام کاربران اجازه دسترسی به بخش مدیریت وردپرس را می‌دهند.

برای جلوگیری از این کار می‌توانید افزونه Remove Dashboard Access را نصب و فعال کنید. بعد از فعال‌سازی به بخش تنظیمات => Dashboard Access مراجعه کنید. در این صفحه کاربرانی را که می‌خواهید دسترسی‌شان را محدود کنید انتخاب نمایید.

۱۴- خروج کاربران بیکار

وردپرس به طور خودکار نمی‌تواند کابران را از سایت خارج کند، مگر اینکه خودشان خارج شوند یا اینکه پنجره مرورگرشان را ببندند. همین موضوع ممکن است مسئله‌ای نگران‌کننده برای سایت‌های وردپرسی با اطلاعاتی حساس باشد. به همین دلیل اکثر سایت‌های با اطلاعات حساس، کاربرانی که هیچ فعالیتی در سایت ندارند را خارج می‌کند.

برای این کار می‌توانید افزونه dle User Logout را بر روی سایت خود نصب و فعال کنید. بعد از فعال‌سازی، به بخش تنظیمات => Inactice Logout مراجعه کنید. وارد صفحه‌ای همانند تصویر زیر می‌شوید. در این صفحه، زمانی که می‌خواهید کاربران به صورت خودکار از سیستم خارج شوند را می‌توانید انتخاب کنید.

خروج کاربران بیکار برای محافظت از بخش پیشخوان وردپرس

۱۵- استفاده از ریکپچا

یکی دیگر از روش‌‌ها برای افزایش امنیت بخش مدیریت وردپرس، اضافه کردن قابلیت ریکپچا به صفحه ورود وردپرس است. ریکپچا برنامه‌‌ای است که انسان را از ربات تشخیص می‌دهد. همین قابلیت در فرم‌های ثبت‌نام یا بخش نظرات به کار برده می‌شود. به همین دلیل اسپم شدن تعداد زیادی از سایت‌ها در سال‌های اخیر، استفاده از ریکپچا، به یک امر بسیار ضروری برای هر وب‌سایتی تبدیل شده‌‌است. با اضافه کردن قابلیت reCAPTCHA می‌توانید از اسپم شدن سایت خود جلوگیری کرده و امنیت آن را بالا ببرید.

اگر از سایت‌های وردپرسی استفاده می‌کنید می‌توانید بدون دانش کدنویسی از ریکپچا استفاده کنید. برای این منظور می‌توانید افزونه reCAPTCHA را از مخزن وردپرس دانلود کرده و بر روی سایت خود نصب و فعال نمایید.

حرف آخر

امیدوارم این مقاله به شما در یادگیری نکات جدید برای محافظت از بخش پیشخوان وردپرس کمک کرده‌باشد. اگر سوال یا انتقادی در مورد این مقاله داشتید در بخش دیدگاه‌های این مقاله مطرح کنید. ما در کمترین زمان ممکن پاسخگو خواهیم بود.

برای حفظ امنیت بیشتر سایت خود توصیه می‌کنیم مقاله‌های زیر را نیز مطالعه نمایید.

درباره shahin rabani

مهندس نرم افزار کامپیوتر هستم. در زمینه طراحی وب سایت، وردپرس، سئو و فارسی سازی قالب های وردپرسی فعالیت می کنم.

مطالب زیر را حتما بخوانید

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *